À la fin de ce cours, vous saurez
- Situer un protocole, un équipement ou une attaque à la bonne couche OSI / TCP-IP.
- Décrire l'encapsulation et nommer les PDU de chaque couche (data, segment, packet, frame, bits).
- Calculer un subnetting (masque, nombre d'hôtes, découpage) et raisonner sur l'adressage IPv4/IPv6, NAT/PAT.
- Choisir et placer les composants de sécurité réseau (firewalls, IDS/IPS, proxies, NAC) selon le risque.
- Distinguer les protocoles sécurisés de leurs équivalents en clair (HTTPS/HTTP, SSH/Telnet, SFTP/FTP) et expliquer TLS, IPsec, Kerberos.
- Sécuriser un réseau sans-fil (WPA2/WPA3, 802.1X/EAP) et reconnaître les attaques sans-fil.
- Concevoir une architecture segmentée et appliquer Zero Trust, SDN et les contrôles cloud.
- Mettre en place un accès distant sécurisé (VPN, RADIUS/TACACS+, NAC) et identifier/contrer les attaques réseau majeures.
Prérequis : Aucun prérequis formel. Une culture IT générale et la lecture préalable du Domaine 1 (vocabulaire de sécurité) aident. Le module M1 pose les modèles en couches qui structurent tout le reste du domaine.
Parcours conseillé
Parcours conseillé en 5 sessions d'environ 3 h, à étaler sur 3 à 4 semaines. Refaire les checkpoints de chaque module avant de passer à la session suivante, puis le quiz complet (150+ Q) en révision finale. Total d'environ 16 h.
-
Session 1 - Modèles et bas de pile
MODULE 1 · MODULE 2
Modèles OSI/TCP-IP, encapsulation, médias, topologies, équipements de couche physique.
-
Session 2 - Liaison et réseau
MODULE 3 · MODULE 4
Ethernet, ARP, VLAN ; adressage IP, subnetting, NAT, routage.
-
Session 3 - Transport et services
MODULE 5 · MODULE 6
TCP/UDP, ports, firewalls, IDS/IPS ; DNS, DHCP, protocoles applicatifs.
-
Session 4 - Crypto réseau et sans-fil
MODULE 7 · MODULE 8
TLS, IPsec, SSH, Kerberos ; Wi-Fi WPA2/WPA3, 802.1X/EAP, attaques sans-fil.
-
Session 5 - Architecture et accès distant
MODULE 9 · MODULE 10
Segmentation, Zero Trust, SDN, cloud ; VPN, RADIUS/TACACS+, NAC, convergence, attaques réseau.
Modèles de référence et internetworking
Prérequis : Aucun. Point de départ du domaine 4.
Le domaine 4 traite de la sécurité des communications et des réseaux. Avant de plonger dans les protocoles, les équipements et les contre-mesures, il faut une carte mentale partagée : un modèle en couches. Un protocol stack découpe la fonction réseau en couches successives, chacune offrant un service à celle du dessus et masquant les détails de celle du dessous. Ce découpage rend les réseaux interopérables entre constructeurs (vendor-agnostic), évolutifs et plus faciles à raisonner.
Deux modèles dominent et se complètent. Le modèle OSI 7-Layer de l'ISO fournit un cadre conceptuel unifié, riche pour décrire et enseigner ; le modèle TCP/IP de l'IETF, plus pragmatique, est celui qui fait réellement tourner Internet. Un professionnel de la sécurité doit maîtriser les deux, car produits, documentations et analyses de menace empruntent à l'un comme à l'autre.
Ce module pose les fondations : pourquoi des couches, les 7 couches OSI et les 4 couches TCP/IP, leur correspondance, le mécanisme d'encapsulation et de décapsulation avec les noms de PDU, puis l'usage de la pile comme carte de la surface d'attaque, illustré par la cyber kill chain.
1.1 Le modèle OSI à 7 couches
Le modèle OSI (Open Systems Interconnection) de l'ISO décompose la communication en 7 couches. De haut en bas : 7 Application, 6 Presentation, 5 Session, 4 Transport, 3 Network, 2 Data Link, 1 Physical. Chaque couche rend un service précis à la couche supérieure et s'appuie sur la couche inférieure. On regroupe souvent les couches en deux familles : les host layers (7 à 4), proches de l'application et de l'utilisateur, et les media layers (3 à 1), qui gèrent l'acheminement et l'interface avec le support physique.
Fonction de chaque couche. Application (7) : interface des services réseau à l'application (HTTP, DNS, SMTP). Presentation (6) : représentation, encodage et chiffrement des données (formats, TLS). Session (5) : ouverture, maintien et fermeture des sessions entre hôtes. Transport (4) : connexions de bout en bout et fiabilité (TCP, UDP), avec les ports. Network (3) : adressage logique (IP) et détermination du chemin (routage). Data Link (2) : adressage physique MAC, mise en trame, LLC sur un même lien. Physical (1) : transmission binaire, signaux, supports et connecteurs.
Un mnémonique classique aide à mémoriser l'ordre, par exemple, de la couche 7 vers la 1 : All People Seem To Need Delicious Pizza (Application, Presentation, Session, Transport, Network, Data Link, Physical). Inversement, de 1 à 7 : Please Do Not Throw Sausage Pizza Away.
Piège d'examen : ne pas confondre l'ordre, et bien situer chaque protocole ou équipement à sa couche (un routeur opère en couche 3, un switch en couche 2). Le modèle OSI est conceptuel : tout équipement réel n'implémente pas chaque couche de façon strictement isolée.
- 7 couches OSI dans l'ordre : Application, Presentation, Session, Transport, Network, Data Link, Physical.
- Host layers (7-4) vs media layers (3-1) : application/utilisateur vs acheminement/support.
- Chaque couche sert la couche du dessus et s'appuie sur celle du dessous.
- Situer protocoles et équipements à leur couche : switch = 2, routeur = 3.
1.2 Le modèle TCP/IP et la correspondance OSI vers TCP/IP
Le modèle TCP/IP, défini par l'IETF, se concentre sur les fonctions cœur de l'interconnexion et laisse aux applications, au-dessus de lui, le soin de servir les objectifs métier. Il comporte 4 couches : Application, Transport (host-to-host), Internet et Network Access (network interface). C'est un modèle best-effort et pragmatique, taillé pour faire communiquer des hôtes hétérogènes à grande échelle.
Correspondance avec OSI. La couche Application de TCP/IP regroupe les couches OSI 7, 6 et 5 (Application, Presentation, Session) : TCP/IP ne traite pas la notion de session de façon dédiée. La couche Transport est quasiment identique à la couche 4 d'OSI (TCP, UDP, ports). La couche Internet correspond à la couche 3 Network d'OSI (IP, routage). La couche Network Access regroupe les couches 2 et 1 d'OSI (Data Link et Physical). C'est la lecture côte à côte de la figure de comparaison : en bas les deux modèles se ressemblent fortement, en haut ils divergent.
Pourquoi connaître les deux ? Parce que les analyses de sécurité, l'ingénierie et les activités d'assurance deviennent plus simples avec un vocabulaire commun, et parce que produits et documentations empruntent aux deux. Le manuel note aussi des biais régionaux (TCP/IP plutôt côté nord-américain, OSI souvent côté européen) : il faut en être conscient sans en être prisonnier.
Piège d'examen : ne pas plaquer mécaniquement 7 couches sur 4. La règle la plus piégeuse est le haut de pile : Application TCP/IP couvre Application + Presentation + Session d'OSI, et Network Access couvre Data Link + Physical.
- TCP/IP a 4 couches : Application, Transport, Internet, Network Access.
- Application TCP/IP = OSI 7+6+5 ; Transport = OSI 4 ; Internet = OSI 3 ; Network Access = OSI 2+1.
- Le bas des deux piles se ressemble fortement ; le haut diverge.
- Maîtriser les deux modèles simplifie les analyses de sécurité et la communication.
1.3 Encapsulation, PDU et décapsulation
Quand un message descend la pile chez l'émetteur, chaque couche encapsule les données reçues de la couche supérieure : elle y ajoute son propre en-tête (header), parfois un suffixe (trailer), avec les informations d'adressage et de contrôle utiles à cette couche, puis transmet le tout à la couche inférieure. C'est l'encapsulation. À la réception, le processus inverse se produit, couche après couche, en remontant : chaque couche retire l'en-tête qui lui est destiné et passe le reste vers le haut. C'est la décapsulation.
À chaque couche, l'unité de données encapsulée porte un nom propre : la PDU (Protocol Data Unit). De haut en bas : aux couches hautes, on parle de données (data) ; à la couche Transport, l'unité devient un segment (un datagram pour UDP) ; à la couche Network, un packet ; à la couche Data Link, une frame (trame) ; à la couche Physical, des bits transmis sur le support. Le manuel résume cette traversée de l'écran jusqu'aux bits.
Point important souligné par le manuel : les couches les plus hautes n'encapsulent pas au sens strict (elles ne reçoivent pas de données d'une couche encore au-dessus pour les empaqueter), tandis que dans les couches encapsulées, la portion de données change de nom à chaque étape. Comprendre ce mécanisme est essentiel pour lire une capture réseau et pour situer où agit une attaque.
Piège d'examen : associer la mauvaise PDU à une couche. Mémorisez l'ordre data, segment, packet, frame, bits. Le terme datagram s'emploie surtout pour UDP au niveau transport et parfois pour IP. Confondre segment (couche 4) et packet (couche 3) est une erreur classique.
- Encapsulation à l'émission (ajout d'en-tetes en descendant), décapsulation à la réception (retrait en remontant).
- PDU par couche, de haut en bas : data, segment, packet, frame, bits.
- Un en-tête porte adressage et contrôle propres à sa couche.
- Confondre segment (couche 4) et packet (couche 3) est un piège fréquent.
1.4 La pile comme carte de la surface d'attaque et la cyber kill chain
Les modèles en couches ne sont pas que pédagogiques : ils servent de grille d'analyse de la surface d'attaque. Chaque couche a ses protocoles, ses équipements et ses menaces propres. Le manuel rappelle que la surface de menace est la plus vaste et la plus complexe à la couche Application, et que le threat modeling, la modélisation de vulnérabilités centrée données et l'expérience utilisateur se concentrent en haut de la pile. Raisonner couche par couche permet de localiser une faiblesse, de choisir la bonne contre-mesure et de ne rien oublier.
Le manuel distingue deux grandes classes de problèmes : les hazards (événements non délibérés - usure, panne d'alimentation, incendie, erreurs d'installation) et les threats (actions délibérées d'un acteur, menées par des attaques). La différence clé est l'intention. Les hazards relèvent de la sûreté de fonctionnement (safety), les threats de la sécurité (security). Cette distinction oriente les contre-mesures.
Pour structurer l'analyse d'une attaque, le manuel présente la cyber kill chain, un modèle inspiré de la doctrine militaire qui décompose une intrusion en phases successives (reconnaissance, armement, livraison, exploitation, installation, commande et contrôle, actions sur l'objectif). Ce découpage en phases aide à reconnaître que des actions isolées en apparence (un nouveau phishing, un malware inédit) peuvent appartenir à une même campagne, notamment les advanced persistent threats (APT) qui s'étalent sur des mois.
Piège d'examen : la kill chain décrit la séquence d'une attaque dans le temps, alors que la pile OSI/TCP-IP décrit où, dans l'architecture, agit chaque protocole ou contre-mesure. Les deux grilles sont complémentaires - l'une temporelle, l'autre structurelle - et l'examen attend que vous sachiez les combiner sans les confondre.
- Chaque couche a ses menaces : la pile est une carte de la surface d'attaque.
- La surface est la plus large à la couche Application.
- Hazard (non délibéré, safety) vs threat (intentionnel, security) : la clé est l'intention.
- Kill chain = séquence temporelle d'une attaque ; pile = localisation structurelle. Complémentaires.
Cas d'étude
XOS Manufacturing : parler le même langage réseau
Contexte : XOS Manufacturing modernise son atelier en interconnectant des automates industriels anciens, des serveurs métier récents et un nouveau service cloud. Les équipes proviennent d'horizons différents : certains ingénieurs décrivent les problèmes en termes OSI (couches 2 et 3), d'autres en termes TCP/IP (Internet, Network Access). Les fournisseurs livrent des documentations qui mélangent les deux vocabulaires. Un comité sécurité doit produire un schéma d'architecture commun et une analyse de risque par couche, sans se perdre dans les divergences de terminologie.
Question : Comment le professionnel de la sécurité peut-il fédérer ces points de vue et structurer l'analyse de risque ?
Voir l'analyse et la correction
La réponse passe par la maîtrise des deux modèles et de leur correspondance. Le professionnel établit une table de mapping : Application TCP/IP = OSI 7+6+5, Transport = OSI 4, Internet = OSI 3, Network Access = OSI 2+1. Cette table devient le langage pivot du comité : chaque problème signalé en termes OSI est immédiatement reformulable en TCP/IP et inversement.
Ensuite, l'analyse de risque se fait couche par couche, en utilisant la pile comme carte de la surface d'attaque. À la couche Network Access on examine l'accès physique et les switches (couche 2) ; à la couche Internet le routage et l'adressage IP (couche 3) ; au Transport les ports et la fiabilité ; à l'Application la surface la plus large et la plus exposée. On distingue aussi hazards (pannes, usure des automates anciens) et threats (attaques délibérées), car ils n'appellent pas les mêmes parades.
Le résultat est un schéma unique, lisible par tous, où chaque protocole et chaque équipement est situé à sa couche, et une analyse exhaustive parce que structurée par la pile.
À retenir : Connaître les deux modèles et leur correspondance fournit un langage commun et une grille d'analyse de risque couche par couche.
- La table de correspondance OSI/TCP-IP sert de langage pivot entre équipes.
- La pile structure une analyse de risque exhaustive, couche par couche.
- Distinguer hazards et threats oriente vers les bonnes parades.
- Situer chaque protocole et équipement à sa couche évite les angles morts.
Diagnostic par couche d'un incident réseau
Contexte : Un poste utilisateur ne parvient plus à atteindre une application web interne. L'équipe support reçoit un signalement vague : ça ne marche plus. Plutôt que de tâtonner, l'analyste applique une démarche descendante puis ascendante en s'appuyant sur la pile.
Question : Comment isoler la couche responsable de la panne de façon méthodique ?
Voir l'analyse et la correction
L'analyste teste couche par couche. Physical (1) : le câble est-il branché, la LED de lien allumée ? Data Link (2) : la station a-t-elle une adresse MAC valide, le switch apprend-il son port ? Network (3) : a-t-elle une adresse IP cohérente, le routeur et la passerelle répondent-ils au ping ? Transport (4) : le port de l'application répond-il, le three-way handshake aboutit-il ? Application (7) : le service web et le DNS répondent-ils correctement ?
En raisonnant ainsi, chaque test élimine ou incrimine une couche. Si le ping passe (couche 3 OK) mais que le port applicatif est fermé, le problème est plus haut (Transport ou Application). Si la résolution DNS échoue alors que l'IP directe fonctionne, la cause est à la couche Application. Nommer correctement la PDU concernée (packet pour un ping ICMP en couche 3, segment pour une connexion TCP en couche 4) aide à interpréter les captures.
La pile transforme un signalement flou en une séquence de tests ciblés et reproductibles.
À retenir : La pile en couches est une méthode de diagnostic : tester couche par couche isole rapidement la cause.
- Tester couche par couche isole méthodiquement la panne.
- Chaque couche a un test caractéristique : lien, MAC, ping, port, service.
- Nommer la PDU (packet, segment) aide à lire les captures.
- Un échec DNS avec IP directe fonctionnelle pointe la couche Application.
Inverser l'ordre des couches
L'examen aime tester l'ordre exact des 7 couches OSI. Mémorisez un mnémonique stable (de 7 à 1 : All People Seem To Need Delicious Pizza) et sachez compter dans les deux sens. Attention : Network est la couche 3 et Transport la couche 4, pas l'inverse.
Placer un protocole ou un équipement à la mauvaise couche
Un switch opère en couche 2 (MAC), un routeur en couche 3 (IP), un hub en couche 1. TCP et UDP sont en couche 4, IP en couche 3. TLS est souvent rattaché à la couche 6 (Presentation) dans la lecture OSI. Une question d'examen typique demande à quelle couche agit tel élément : ne vous fiez pas à l'intuition, raisonnez par fonction.
Confondre OSI et TCP/IP dans la correspondance
TCP/IP n'a pas de couche Session ni Presentation dédiées : sa couche Application recouvre les couches OSI 7, 6 et 5. Sa couche Network Access recouvre les couches OSI 2 et 1. Plaquer mécaniquement une couche TCP/IP sur une seule couche OSI en haut et en bas de pile est l'erreur la plus fréquente.
Point de contrôle — Vérification des acquis
-
Dans quel ordre, de la couche 1 vers la couche 7, se présentent les couches du modèle OSI ?
- A Physical, Data Link, Network, Transport, Session, Presentation, Application
- B Application, Presentation, Session, Transport, Network, Data Link, Physical
- C Physical, Network, Data Link, Transport, Session, Application, Presentation
- D Physical, Data Link, Transport, Network, Session, Presentation, Application
Réponse & justification
Réponse : A — Physical, Data Link, Network, Transport, Session, Presentation, Application
De 1 à 7 : Physical, Data Link, Network, Transport, Session, Presentation, Application. L'option B donne l'ordre inverse (7 vers 1). L'option C intervertit Network et Data Link. L'option D intervertit Network et Transport.
-
La couche Application du modèle TCP/IP correspond à quelles couches du modèle OSI ?
- A Application uniquement
- B Application et Presentation
- C Application, Presentation et Session
- D Application, Presentation, Session et Transport
Réponse & justification
Réponse : C — Application, Presentation et Session
La couche Application TCP/IP recouvre les couches OSI 7 (Application), 6 (Presentation) et 5 (Session) : TCP/IP ne gère pas la session de façon dédiée. Le Transport (OSI 4) est une couche TCP/IP distincte, donc l'option D est fausse. Les options A et B sont incomplètes.
-
Quelle est la PDU (Protocol Data Unit) à la couche Network du modèle OSI ?
- A Segment
- B Packet
- C Frame
- D Bits
Réponse & justification
Réponse : B — Packet
À la couche Network (3) la PDU est le packet. Le segment est la PDU de la couche Transport (4), la frame celle de la couche Data Link (2), et les bits celle de la couche Physical (1). Confondre segment et packet est un piège classique.
-
Un analyste capture du trafic et observe qu'à chaque couche descendante un nouvel en-tête est ajouté avant transmission à la couche inférieure. Comment nomme-t-on ce processus, et quel est son inverse à la réception ?
- A Fragmentation à l'émission, réassemblage à la réception
- B Encapsulation à l'émission, décapsulation à la réception
- C Routage à l'émission, commutation à la réception
- D Multiplexage à l'émission, démultiplexage à la réception
Réponse & justification
Réponse : B — Encapsulation à l'émission, décapsulation à la réception
Ajouter un en-tête à chaque couche en descendant est l'encapsulation ; retirer ces en-têtes en remontant à la réception est la décapsulation. La fragmentation découpe une unité trop grande (autre mécanisme). Routage et commutation sont des fonctions de couches précises, pas le processus décrit. Le multiplexage combine des flux, sans rapport direct ici.
-
Selon le manuel, quelle est la distinction clé entre un hazard et un threat dans un contexte réseau ?
- A Le hazard touche le matériel, le threat touche le logiciel
- B Le threat est interne, le hazard est externe
- C L'intention : le threat est une action délibérée d'un acteur, le hazard ne l'est pas
- D Le hazard est toujours plus grave que le threat
Réponse & justification
Réponse : C — L'intention : le threat est une action délibérée d'un acteur, le hazard ne l'est pas
La distinction clé est l'intention. Un threat est une action délibérée d'un acteur, menée par une attaque ; un hazard (usure, incendie, panne, erreur d'installation) n'est pas délibéré et relève de la sûreté de fonctionnement. Les autres options décrivent des critères non pertinents (matériel/logiciel, interne/externe, gravité), qui ne définissent pas la distinction.
Points essentiels à retenir
- Les modèles en couches rendent les réseaux interopérables, modulaires et plus simples à analyser.
- OSI a 7 couches (Application à Physical) ; TCP/IP en a 4 (Application, Transport, Internet, Network Access) ; leur correspondance est à connaître par cœur.
- L'encapsulation ajoute des en-têtes en descendant la pile ; les PDU se nomment data, segment, packet, frame, bits.
- La pile sert de carte de la surface d'attaque ; combinée à la cyber kill chain (séquence temporelle), elle structure l'analyse de menace.
Couche physique : médias, topologies et équipements bas niveau
Prérequis : Module M1 (modèles en couches).
La couche physique (Layer 1) est l'endroit où les bits deviennent du courant électrique, des impulsions lumineuses ou des ondes radio. C'est aussi le premier maillon de la sécurité réseau : la physique du support détermine s'il est facile ou difficile pour un attaquant d'injecter de faux signaux ou d'écouter le trafic sans se faire repérer. Maîtriser les supports, les topologies et les équipements de cette couche, c'est comprendre les menaces les plus concrètes (interception, tapping, brouillage) avant même de parler de protocoles.
On distingue deux grandes familles de médias. Les bound media (réseaux filaires, guidés) imposent un conducteur physique : cuivre (coaxial, paire torsadée) ou fibre optique. Leur topologie est inscrite dans le câblage. Les unbound media (réseaux sans fil, non guidés) utilisent le spectre électromagnétique - ondes radio, micro-ondes, infrarouge, lumière (Li-Fi). Leur portée n'est pas confinée par un câble, ce qui change radicalement le modèle de menace.
Ce module couvre les supports cuivre et fibre, le spectre électromagnétique, les phénomènes physiques (atténuation, EMI, crosstalk), les topologies (bus, ring, star, mesh, tree) et les équipements de Layer 1 (repeater, hub, amplifier, concentrator, multiplexer, modem). Le détail du Wi-Fi, du Bluetooth et du cellulaire est traité au module M8.
2.1 Supports de transmission : cuivre et fibre
Les bound media reposent sur trois familles. Le coaxial entoure un conducteur central épais d'un isolant puis d'un blindage tressé et d'une gaine. Ce blindage le rend robuste face aux interférences et plus difficile à écouter, au prix d'un rayon de courbure plus grand et d'un coût supérieur à la paire torsadée. La paire torsadée associe des paires de fils de cuivre torsadés : la torsade réduit l'electromagnetic interference (EMI) et le crosstalk (diaphonie entre paires voisines). On distingue l'UTP (unshielded twisted pair), sans blindage, peu cher et omniprésent mais plus exposé à l'écoute et aux interférences, et le STP (shielded twisted pair) dont le blindage métallique relié à la terre protège mieux le signal, au prix d'un câble plus rigide et plus cher. Les catégories (Cat5e, Cat6) fixent le débit et la qualité ; la portée Ethernet sur cuivre est limitée à environ 100 m.
La fibre optique transporte non plus du courant mais des impulsions lumineuses guidées par réflexion dans un coeur de verre ou de plastique entouré d'une gaine optique (cladding). Comme aucun signal électrique ne circule, la fibre est totalement immunisée contre l'EMI et n'émet aucun rayonnement exploitable : son tapping est extrêmement difficile et généralement détectable. La single-mode fiber (SMF) a un coeur fin qui limite les réflexions et autorise de très longues distances (jusqu'à 100 km) ; la multimode fiber (MMF), à coeur plus large, utilise des LED bon marché et sert sur des distances courtes (~2000 m), idéale en intra-bâtiment.
Enjeu sécurité : le choix du support est une décision de sécurité physique. Pour une liaison sensible entre deux bâtiments ou dans une zone à forte EMI (atelier, salle électrique), la fibre s'impose : pas de rayonnement, pas de tapping facile, immunité EMI totale. Sur cuivre, préférer le STP au UTP quand la confidentialité ou l'environnement électromagnétique l'exigent.
Piège d'examen : ne confondez pas immunité EMI et résistance au tapping - la fibre excelle sur les deux, mais l'argument décisif côté confidentialité est l'absence d'émanation électromagnétique exploitable. Et rappelez-vous que la distance maximale dépend du type de fibre (SMF longue, MMF courte), pas seulement du fait que ce soit de la fibre.
- UTP : peu cher, répandu, mais sensible à l'EMI et plus facile à écouter.
- STP et coaxial : blindage = meilleure immunité EMI et anti-écoute.
- Fibre : immunité EMI totale, aucune émanation, tapping très difficile.
- Distance : SMF jusqu'à 100 km, MMF ~2000 m, cuivre Ethernet ~100 m.
2.2 Spectre électromagnétique et médias non guidés
Les unbound media transmettent sans conducteur, en exploitant une portion du spectre électromagnétique. On parle souvent de radio frequency (RF), mais le sans-fil couvre aussi les micro-ondes, l'infrarouge et même la lumière visible (Li-Fi) ou les ondes acoustiques. Plus la fréquence augmente, plus la longueur d'onde diminue, et plus les caractéristiques de propagation changent.
Les ondes radio (du kHz au GHz) traversent les murs et portent loin : c'est la bande de l'AM/FM, du Wi-Fi et du cellulaire. Les micro-ondes (de 1 à 300 GHz) servent aux liaisons point à point et aux satellites mais exigent une ligne de vue (line of sight). L'infrarouge porte sur de courtes distances et ne traverse pas les obstacles (télécommandes, IrDA). La lumière visible permet le Li-Fi : transmettre des données par modulation lumineuse, signal confiné à la pièce et donc plus difficile à intercepter de l'extérieur. L'attribution des bandes est régulée par les États pour éviter les interférences entre usagers.
Enjeu sécurité : sur un média non guidé, le périmètre physique ne protège plus. Plus la portée est grande (radio), plus l'interception à distance est facile - une antenne directionnelle à fort gain ou un drone capte le signal sans entrer dans les locaux. L'espace RF du Wi-Fi ne peut pas être verrouillé ; la parade est de chiffrer la liaison et de surveiller le spectre (RF surveillance) pour détecter les émetteurs pirates.
Piège d'examen : ne réduisez pas le sans-fil à la radio. Le manuel rappelle explicitement que le wireless peut aussi utiliser la lumière (Li-Fi) ou les ondes acoustiques. À l'inverse, la fibre n'est pas un média non guidé : elle utilise la lumière mais reste un bound medium car la lumière est confinée dans le câble.
- Sans-fil = radio, mais aussi micro-ondes, infrarouge, lumière (Li-Fi), acoustique.
- Radio traverse les murs et porte loin ; micro-ondes et IR exigent une ligne de vue.
- Plus la portée est grande, plus l'interception à distance est aisée.
- L'espace RF n'est pas verrouillable : chiffrer + surveiller le spectre.
2.3 Topologies réseau
La topologie décrit comment les noeuds sont reliés physiquement et logiquement. Cinq formes reviennent à l'examen. La topologie bus relie tous les noeuds à une dorsale unique ; chaque noeud reçoit tout le trafic et ne traite que ce qui lui est destiné. Simple mais fragile : une coupure du câble met tout le réseau hors service, et le partage du médium impose un mécanisme d'accès (CSMA/CD pour Ethernet). La topologie ring (anneau) forme une boucle fermée où la donnée circule dans un seul sens, de voisin amont à voisin aval, régulée par un jeton (token). Elle est déterministe (temps d'attente maximal prévisible) mais un anneau simple est un single point of failure ; les variantes à double anneau (FDDI) assurent le failover.
La topologie star (étoile) relie chaque noeud à un équipement central (hub, switch ou routeur). C'est la topologie des LAN modernes : facile à déployer, ajout/retrait de noeuds aisé. Son talon d'Achille est l'équipement central, qui est un single point of failure. La topologie mesh (maillage) relie chaque noeud à plusieurs autres ; un full mesh relie tous les noeuds entre eux et offre une redondance maximale, mais coûte cher (pour N noeuds, chacun demande N-1 liens). On déploie souvent un partial mesh où seuls les noeuds critiques (coeur de réseau, firewalls, routeurs et leurs secours) sont pleinement maillés.
La topologie tree (arbre ou hybride) organise les noeuds en branches hiérarchiques : ajouter un noeud est facile et la panne d'une feuille n'affecte pas le reste, mais la chute d'un noeud de branchement fait tomber tous les noeuds dépendants, et une coupure de câble peut paralyser le réseau.
Enjeu sécurité et piège d'examen : la disponibilité dépend directement de la topologie. Sachez nommer le SPOF de chacune : le câble pour le bus, le noeud unique pour l'anneau simple, l'équipement central pour l'étoile, et le noeud de branchement pour l'arbre ; le mesh, lui, est conçu pour éliminer le SPOF par redondance. Attention aussi au piège physique/logique : Token Ring se câble en étoile physique mais fonctionne en anneau logique.
- Bus : SPOF = le câble ; ring simple : SPOF = un noeud (double anneau = failover).
- Star : SPOF = l'équipement central ; topologie des LAN modernes.
- Mesh : redondance maximale, full mesh coûteux (N-1 liens par noeud).
- Tree : la chute d'un noeud de branchement entraîne ses dépendants.
2.4 Équipements de couche physique
Plusieurs équipements opèrent purement au Layer 1 : ils manipulent le signal, jamais l'adresse ou la donnée. Le line driver conditionne les signaux internes d'un ordinateur en une tension capable de parcourir un long câble (les signaux internes s'atténuent en moins d'un demi-mètre). L'amplifier (amplificateur) augmente le signal pour étendre sa portée, mais amplifie aussi le bruit ; on l'utilise typiquement pour des signaux analogiques. Le repeater (répéteur) régénère le signal sur une seule liaison en éliminant le bruit, ce qui le distingue de l'amplificateur ; il s'emploie pour des signaux numériques. Le multiplexer combine plusieurs signaux sur un même chemin de transmission, utile quand la bande passante est limitée (du simple hub aux DWDM qui multiplexent plusieurs longueurs d'onde sur une seule fibre). Le concentrator regroupe des connexions pour transmettre un signal sur le réseau : un hub, comme un switch, est une forme de concentrateur. Le modem (modulator-demodulator) module un signal numérique en forme analogique et le démodule à l'autre bout.
Le hub mérite une attention sécurité particulière. Comme c'est un équipement de Layer 1, il ne lit aucune adresse : il répète tout signal reçu sur tous ses ports. Conséquence directe, trois problèmes cumulés. D'abord le broadcast : chaque trame part vers tous les hôtes, ce qui gaspille la bande passante. Ensuite les collisions : tous les ports partagent un même domaine de collision, donc le débit s'effondre quand le trafic monte. Enfin et surtout le sniffing : puisque chaque hôte reçoit le trafic de tous les autres, un poste en mode promiscuous peut capturer l'ensemble des communications du segment.
Enjeu sécurité : remplacer un hub par un switch (Layer 2) règle les trois problèmes. Le switch apprend les adresses MAC et ne transmet chaque trame qu'au port de destination, ce qui isole les domaines de collision et empêche un hôte d'écouter passivement le trafic des autres. C'est pour cela qu'on ne trouve plus de hub dans une infrastructure moderne sérieuse.
Piège d'examen : à quelle couche agit un repeater ? Layer 1 - il régénère le signal sans rien comprendre à la donnée. Ne le confondez pas avec un switch (Layer 2, adresses MAC) ni avec un routeur (Layer 3, adresses IP). Et n'oubliez pas que le hub est, lui aussi, un équipement de Layer 1 - c'est précisément ce qui le rend dangereux.
- Amplifier amplifie signal ET bruit (analogique) ; repeater régénère et nettoie (numérique).
- Hub = concentrateur L1 : il répète sur tous les ports, sans lire d'adresse.
- Hub = broadcast + collisions + sniffing en mode promiscuous.
- Le switch (L2) résout tout : il ne transmet qu'au port MAC de destination.
Cas d'étude
Une liaison qui tombe à chaque démarrage de l'atelier
Contexte : Une PME relie son bureau d'études à l'atelier de production par 80 m de câble UTP Cat5e qui longe l'armoire électrique et passe près des variateurs de fréquence des machines. À chaque mise en route de l'atelier le matin, la liaison réseau du bureau d'études devient instable : pertes de paquets, débordement de retransmissions, parfois coupure complète. Le câble est en bon état et bien serti.
Question : Quelle est la cause physique la plus probable et quelle est la meilleure remédiation ?
Voir l'analyse et la correction
Le symptôme est corrélé à la mise sous tension de machines de puissance : variateurs et moteurs émettent une forte electromagnetic interference (EMI). Or l'UTP n'a aucun blindage : il est précisément le support le plus vulnérable à l'EMI. Le câble est sain, donc le problème n'est pas mécanique mais électromagnétique - les perturbations corrompent les trames et déclenchent les retransmissions.
Deux remédiations sont possibles. Passer en STP (paire torsadée blindée et mise à la terre) atténuerait l'EMI et serait suffisant pour beaucoup de cas. Mais la solution robuste, surtout en environnement industriel et sur cette distance, est la fibre optique : transportant de la lumière et non du courant, elle est totalement immunisée contre l'EMI. Bonus sécurité, elle n'émet aucune émanation exploitable et résiste au tapping. Reposer le câble loin des sources de bruit aide, mais ne traite pas la cause de fond comme le fait le changement de support.
À retenir : En zone à forte EMI, l'UTP est le pire choix ; la fibre est immunisée et la STP est un compromis acceptable.
Choisir média et topologie pour relier deux bâtiments sensibles
Contexte : Un organisme déploie un nouveau site composé de deux bâtiments distants de 600 m, séparés par un parking. Le lien inter-bâtiments transporte des données confidentielles et doit rester disponible 24/7 pour les opérations. À l'intérieur de chaque bâtiment, on câble les postes de travail des étages. La direction sécurité exige trois choses : pas d'écoute possible sur le lien sensible, pas d'émanation exploitable depuis l'extérieur, et une tolérance aux pannes sur le coeur de réseau.
Question : Quels supports et quelles topologies retenir, et pourquoi ?
Voir l'analyse et la correction
Pour le lien inter-bâtiments (600 m, données confidentielles), la fibre s'impose. Le cuivre est exclu : 600 m dépasse largement la limite Ethernet de 100 m, et surtout l'UTP/STP rayonne et peut être écouté. La fibre offre l'immunité EMI totale, aucune émanation exploitable et un tapping très difficile et détectable - elle satisfait directement les deux premières exigences. À cette distance, la single-mode fiber (SMF) est le bon choix (portée jusqu'à 100 km) ; on chiffre malgré tout la liaison (defense in depth), car la sécurité physique ne dispense jamais du chiffrement.
Pour le coeur de réseau et l'exigence de tolérance aux pannes, on adopte une topologie mesh (au moins partielle) entre les équipements critiques : core switches, firewalls, routeurs et leurs secours sont reliés en redondance pour éliminer le single point of failure. À l'intérieur des étages, la topologie star avec switches est le standard des LAN modernes : déploiement simple, ajout de postes aisé. On notera que le central device reste alors un SPOF local, à compenser par des switches redondants ou des liens montants doublés vers le coeur en mesh.
En synthèse, le bon réflexe d'architecture est de raisonner par exigence : confidentialité et distance pointent vers la fibre, disponibilité pointe vers le mesh sur le coeur, simplicité d'exploitation pointe vers la star en accès. La sécurité physique du support et la redondance topologique se complètent ; aucune ne remplace le chiffrement applicatif.
À retenir : Raisonner par exigence : confidentialité+distance = fibre (SMF), disponibilité = mesh sur le coeur, simplicité = star en accès, le tout chiffré.
- Au-delà de 100 m et pour la confidentialité, la fibre bat le cuivre.
- Le mesh élimine le SPOF du coeur de réseau au prix de plus de liens.
- La star reste idéale en accès, mais son équipement central est un SPOF local.
- La sécurité physique du support ne dispense jamais du chiffrement.
Fibre vs cuivre face à l'EMI et au tapping
On retient souvent que la fibre est plus rapide ; à l'examen, l'argument décisif est ailleurs. La fibre transporte de la lumière, pas de courant : elle est totalement immunisée contre l'EMI et n'émet aucune émanation électromagnétique exploitable, ce qui rend l'écoute (tapping) très difficile et détectable. Quand l'énoncé parle d'environnement à forte interférence OU de confidentialité élevée, la bonne réponse est la fibre, pas le STP ni le coaxial.
Hub contre switch : un piège de couche et de sécurité
Le hub est un équipement de Layer 1 qui répète tout signal sur tous ses ports sans lire d'adresse : tous les hôtes voient le trafic des autres, d'où collisions, broadcast et surtout sniffing passif en mode promiscuous. Le switch est un équipement de Layer 2 qui apprend les adresses MAC et ne transmet chaque trame qu'au port concerné. Si l'énoncé cherche à empêcher l'écoute passive sur un segment, la réponse est remplacer le hub par un switch.
À quelle couche agit un repeater ?
Un repeater (et un hub) agit en Layer 1 : il régénère le signal sans rien comprendre à l'adresse ni à la donnée. Ne le confondez pas avec un switch (Layer 2, adresses MAC) ni avec un routeur (Layer 3, adresses IP). Piège bonus : amplifier et repeater ne sont pas synonymes - l'amplifier amplifie aussi le bruit (signaux analogiques), le repeater régénère un signal propre (signaux numériques).
Point de contrôle — Vérification des acquis
-
Une liaison de 600 m entre deux bâtiments doit transporter des données confidentielles sans risque d'écoute et sans émanation exploitable de l'extérieur. Quel support choisir ?
- A UTP Cat6
- B STP
- C Coaxial
- D Fibre optique single-mode
Réponse & justification
Réponse : D — Fibre optique single-mode
La fibre single-mode est correcte : 600 m dépasse la limite cuivre de 100 m, et la fibre transporte de la lumière sans émanation, immunisée à l'EMI et très difficile à écouter. UTP et STP restent du cuivre qui rayonne et est limité à ~100 m. Le coaxial est blindé mais reste électrique (émanation possible) et n'atteint pas cette portée Ethernet ; la SMF porte jusqu'à 100 km.
-
Sur un segment équipé d'un hub, un poste en mode promiscuous capture tout le trafic du segment. Quelle mesure supprime cette possibilité d'écoute passive ?
- A Remplacer le hub par un repeater
- B Remplacer le hub par un switch
- C Ajouter un amplificateur sur le lien
- D Allonger les câbles pour réduire le crosstalk
Réponse & justification
Réponse : B — Remplacer le hub par un switch
Le switch (Layer 2) apprend les adresses MAC et ne transmet chaque trame qu'au port de destination : un hôte ne voit plus le trafic des autres. Le repeater, comme le hub, agit en Layer 1 et répète sur tous les ports - aucune amélioration. L'amplificateur n'a aucun rapport avec l'isolation du trafic. Allonger les câbles dégrade la qualité et n'isole rien.
-
Dans une topologie en étoile (star), quel élément constitue le single point of failure ?
- A Chaque câble de poste pris individuellement
- B L'équipement central (hub/switch/routeur)
- C Le poste de travail le plus chargé
- D Le jeton qui circule sur la boucle
Réponse & justification
Réponse : B — L'équipement central (hub/switch/routeur)
Dans une étoile, tous les noeuds dépendent de l'équipement central ; s'il tombe, tous perdent la connectivité - c'est le SPOF. Un câble de poste isolé ne fait tomber que ce poste. Aucun poste n'est central par sa charge. Le jeton appartient à la topologie ring, pas star : c'est un distracteur.
-
Quelle affirmation distingue correctement un amplificateur d'un répéteur ?
- A L'amplificateur agit en Layer 3, le répéteur en Layer 2
- B L'amplificateur lit les adresses MAC, le répéteur les adresses IP
- C L'amplificateur amplifie signal et bruit (analogique), le répéteur régénère un signal propre (numérique)
- D L'amplificateur chiffre le signal, le répéteur le déchiffre
Réponse & justification
Réponse : C — L'amplificateur amplifie signal et bruit (analogique), le répéteur régénère un signal propre (numérique)
Les deux sont des équipements de Layer 1 qui ne lisent ni MAC ni IP. La différence réelle : l'amplificateur augmente le signal ET le bruit (usage analogique), tandis que le répéteur régénère le signal en éliminant le bruit (usage numérique). Aucun des deux ne chiffre ni n'opère en Layer 2/3.
-
Le manuel rappelle que le sans-fil (unbound media) ne se limite pas à la radio. Laquelle de ces technologies transmet des données par la lumière visible ?
- A Li-Fi
- B ADSL
- C DOCSIS
- D Token Ring
Réponse & justification
Réponse : A — Li-Fi
Li-Fi transmet les données par modulation de lumière visible, signal confiné à la pièce. ADSL est une technologie cuivre sur paire téléphonique. DOCSIS est le standard des cable modems sur coaxial. Token Ring est une technologie LAN filaire (anneau logique). Aucun de ces trois n'utilise la lumière visible comme média non guidé.
Points essentiels à retenir
- Bound media (cuivre, fibre) vs unbound media (radio, micro-ondes, IR, lumière) : la physique du support fixe le modèle de menace.
- La fibre gagne sur EMI et tapping car elle transporte de la lumière sans émanation ; SMF pour les longues distances, MMF en intra-site.
- Chaque topologie a son SPOF : câble (bus), noeud unique (ring simple), équipement central (star), noeud de branchement (tree) ; le mesh élimine le SPOF par redondance.
- Hub = équipement de Layer 1 qui répète sur tous les ports : collisions, broadcast et sniffing ; le switch (Layer 2) règle les trois.
Couche liaison : Ethernet, commutation et VLAN
Prérequis : Modules M1-M2.
La couche liaison (Layer 2 du modèle OSI) est le terrain de jeu de l'adresse physique. C'est ici que les bits livrés par la couche physique sont assemblés en trames, adressés à des cartes réseau précises grâce aux adresses MAC, et acheminés sans erreur entre équipements directement connectés. Le manuel ISC2 découpe cette couche en deux sous-couches complémentaires : la sous-couche MAC (Media Access Control), qui gère l'adresse matérielle et l'accès au média partagé, et la sous-couche LLC (Logical Link Control), qui fait l'interface avec la couche réseau et offre flow control et error control.
Ce module part de la structure de la trame Ethernet pour remonter vers les mécanismes d'accès au média (CSMA/CD filaire et CSMA/CA sans-fil), le protocole de résolution d'adresses ARP, puis les équipements de Layer 2 (bridges et switches) et la segmentation logique par VLAN. L'enjeu n'est pas seulement de comprendre comment les trames circulent, mais de saisir pourquoi cette couche est une cible privilégiée : ARP n'a aucune authentification, les tables CAM des switches sont saturables, et un VLAN mal configuré ne constitue pas une frontière de sécurité absolue.
À l'examen CISSP, la couche liaison concentre une famille d'attaques classiques (ARP poisoning, MAC flooding, VLAN hopping) dont vous devez connaître à la fois le mécanisme et la contre-mesure exacte. Le réflexe attendu : associer chaque attaque L2 à sa parade native sur le switch (DAI, port security, désactivation de DTP).
3.1 Sous-couches MAC/LLC et trame Ethernet
La couche liaison transforme les informations des couches supérieures en bits formatés pour la technologie réseau utilisée (Ethernet, token ring), et transmet des trames aux équipements physiquement connectés à l'aide d'adresses matérielles. Elle se divise en deux sous-couches. La sous-couche MAC définit l'adresse physique sur 48 bits (12 chiffres hexadécimaux) gravée dans chaque carte réseau (NIC) : les trois premiers octets identifient le fabricant (OUI attribué par l'IEEE), les trois derniers forment le numéro de série de la carte. La sous-couche LLC, au-dessus, fait l'interface avec l'adressage logique de la couche réseau (Layer 3), permet à Layer 2 de supporter plusieurs protocoles et peut assurer flow control et error correction.
La trame Ethernet (Figure 4.27) s'organise de gauche à droite : un preamble (synchronisation), l'adresse MAC de destination (octets 1 à 6), l'adresse MAC source (octets 7 à 12), le champ Ether Type / Length (octets 13-14), la charge utile (payload) de longueur variable de 46 à 1500 octets, et enfin le FCS (Frame Check Sequence, un CRC sur 4 octets) pour la détection d'erreurs. Les trois premiers champs forment l'en-tête Ethernet. Si la couche liaison détecte une erreur dans une trame via le CRC, elle demande à son pair de retransmettre cette trame.
Point de sécurité : l'adresse MAC est censée être unique et permanente, mais elle est trivialement falsifiable en logiciel (MAC spoofing / cloning). Ne traitez jamais une adresse MAC comme un facteur d'authentification fort. Le filtrage MAC ralentit un attaquant occasionnel mais ne résiste pas à un adversaire qui capture puis rejoue une adresse légitime observée sur le segment.
Piège d'examen : ne confondez pas les unités de données par couche. À Layer 2 on parle de trame (frame) ; à Layer 3 de paquet (packet) ; à Layer 4 de segment. Le Check 4.1 insiste : les segments sont créés à Layer 4, les paquets à Layer 3, les trames à Layer 2, les bits à Layer 1.
- Layer 2 = deux sous-couches : MAC (adresse physique, accès média) et LLC (interface L3, flow/error control).
- Trame Ethernet : preamble, dest MAC, src MAC, type/length, payload (46-1500 o), FCS (CRC 4 o).
- Adresse MAC sur 48 bits : 3 octets OUI fabricant + 3 octets numéro de série.
- Unités : trame (L2), paquet (L3), segment (L4). Le MAC est falsifiable : pas un facteur d'authentification.
3.2 Accès au média : CSMA/CD vs CSMA/CA
Sur un média partagé, plusieurs stations risquent de transmettre en même temps et de brouiller mutuellement leur trafic. Les réseaux doivent donc arbitrer l'accès. Le manuel distingue deux familles : les protocoles à scrutation (polling), où chaque station se voit accorder un créneau d'accès exclusif (réseau dit déterministe : la bande passante par station se dégrade de façon prévisible quand le nombre d'équipements augmente), et les protocoles à contention (contention-based), où en l'absence de scrutation les équipements se disputent la bande passante en écoutant si un autre tente de communiquer (réseau probabiliste).
CSMA/CD (Carrier Sense Multiple Access with Collision Detection) est la méthode filaire, partie de la norme IEEE 802.3. Une station écoute la porteuse avant d'émettre ; si elle ne détecte aucune transmission, elle émet. Deux stations peuvent malgré tout émettre quasi simultanément : la collision est alors détectée par les deux, qui attendent chacune un intervalle aléatoire (backoff) avant de retransmettre. La détection de collision suppose un média sur lequel l'émetteur peut écouter pendant qu'il émet, ce qui est le cas du filaire.
CSMA/CA (Carrier Sense Multiple Access with Collision Avoidance) est la méthode privilégiée en environnement sans-fil, partie de la norme IEEE 802.11. Plutôt que de détecter les collisions après coup, elle cherche à les éviter en amont : la station vérifie que le média est libre, puis envoie une trame de contrôle Request to Send (RTS) au point d'accès ; si le point d'accès accepte, il renvoie un Clear to Send (CTS) à toutes les stations du segment, réservant le canal et empêchant les autres d'émettre. En sans-fil, on ne peut pas écouter en émettant de façon fiable (problème de la station cachée), d'où le choix de l'évitement plutôt que de la détection.
Piège d'examen classique : associer la mauvaise méthode au mauvais média. Retenez : CD = filaire (802.3, on détecte la collision), CA = sans-fil (802.11, on l'évite par RTS/CTS).
- Deux familles d'arbitrage : polling (déterministe) et contention (probabiliste).
- CSMA/CD : filaire (IEEE 802.3), écoute puis détecte la collision et applique un backoff aléatoire.
- CSMA/CA : sans-fil (IEEE 802.11), évite la collision via RTS/CTS avant d'émettre.
- On détecte en filaire, on évite en sans-fil (impossibilité d'écouter en émettant de façon fiable).
3.3 ARP et résolution d'adresses (et ARP poisoning)
Le protocole le plus important de Layer 2 est ARP (Address Resolution Protocol). C'est un protocole indépendant de la technologie : d'un côté il manipule des adresses MAC, de l'autre des adresses IP, mais il n'a pas besoin de connaître les détails des autres protocoles de Layer 2. ARP assure la communication directe entre deux équipements d'un même segment LAN. Quand une station veut envoyer un paquet IP, elle doit résoudre l'adresse logique (IP) du destinataire en adresse physique (MAC), car la trame a besoin d'adresses physiques pour circuler sur le segment.
L'échange (Figure 4.28) se déroule en deux temps. D'abord une requête ARP émise en broadcast à tout le segment (adresse de destination FF:FF:FF:FF:FF:FF) : « qui a l'IP 10.10.1.15 ? ». Ensuite, seule la machine qui possède cette IP répond, en unicast, avec son adresse MAC : « 10.10.1.15 est à l'adresse MAC AA-08-00-13 ». Le demandeur met alors à jour son cache ARP local avec ce mapping IP vers MAC, pour ne pas avoir à redemander à chaque trame.
Le défaut de conception structurel : ARP n'a aucune authentification. N'importe quelle machine peut envoyer une réponse ARP non sollicitée (gratuitous ARP) ou répondre à une requête sans en être la cible légitime. L'attaque ARP poisoning (ou ARP spoofing) injecte du trafic ARP frauduleux sur le segment pour pousser une ou plusieurs machines à mettre à jour à tort leur cache ARP local. Leur trafic est alors redirigé vers la machine de l'attaquant. Cette attaque est la pierre angulaire de nombreux Man-in-the-Middle : une fois le cache empoisonné, l'attaquant intercepte (et peut modifier) tout le trafic entre les deux victimes.
Contre-mesures : Dynamic ARP Inspection (DAI) sur les switches valide les réponses ARP contre une table de liaisons IP/MAC de confiance (typiquement construite par DHCP snooping) et rejette les réponses incohérentes. On surveille aussi activement les services ARP et DHCP, et on peut figer des entrées ARP statiques pour les passerelles critiques. DAI et DHCP snooping relèvent de la cheat sheet et du CBK transverse plutôt que du texte D4, qui mentionne au niveau principe le « service monitoring (ARP, DHCP) ».
Piège d'examen : si un scénario décrit deux victimes dont le trafic transite soudain par un tiers sur le même LAN, le mot-clé est ARP poisoning / MITM, et la parade attendue est DAI (pas le chiffrement de bout en bout, qui limite l'impact mais n'empêche pas le détournement L2).
- ARP résout une IP (logique) en MAC (physique) sur le même segment LAN.
- Échange : requête broadcast (FF:FF:FF:FF:FF:FF) puis réponse unicast, puis mise à jour du cache.
- ARP n'a aucune authentification : l'empoisonnement détourne le trafic et fonde les attaques MITM.
- Parade : Dynamic ARP Inspection (DAI) + DHCP snooping, surveillance ARP/DHCP, entrées statiques.
3.4 Commutation et VLAN
Deux types d'équipements opèrent à Layer 2 : les bridges et les switches. Un bridge filtre le trafic entre segments en se fondant sur les adresses MAC et amplifie le signal pour étendre physiquement le réseau. Un simple (transparent) bridge relie deux segments de même architecture L2 (Ethernet vers Ethernet) ; un translational bridge relie des architectures L2 différentes (Ethernet vers token ring). Un bridge n'empêche pas un intrus d'intercepter le trafic du segment local, et un wireless bridge rend visible à tout connecté au LAN l'ensemble du trafic qui le traverse, ce qui est un risque majeur. Le Check 4.1 le précise : un bridge n'a typiquement que deux ports et sert à connecter des segments, là où un switch a davantage de ports.
Le switch est le coeur des LAN modernes. Un switch de Layer 2 établit un domaine de collision par port, ce qui rend les transmissions bien plus efficaces que sur un média partagé. Surtout, il apprend quels équipements sont connectés à chaque port en observant les adresses MAC sources des trames, et stocke ces associations port vers MAC dans une table CAM (Content Addressable Memory). Il commute alors chaque trame uniquement vers le port du destinataire, au lieu de l'inonder partout. Les switches offrent de nombreuses fonctions de sécurité : port blocking, port authentication, MAC filtering et VLAN. Un switch de Layer 3 combine switch et routeur et peut décider sur la base de l'adresse MAC ou IP.
Les VLAN (Virtual LAN, Figure 4.31) permettent de créer par logiciel des segments LAN distincts sur un ou plusieurs switches : les équipements d'un même VLAN communiquent comme s'ils étaient sur le même réseau L2, même physiquement dispersés. On peut configurer un VLAN par port de switch, par sous-réseau IP, par adresse MAC ou par protocole. Comme les VLAN agissent en réseaux discrets, la communication entre VLAN doit passer par des services de couche supérieure (Layer 3 / routeurs). Le trafic de broadcast est confiné au VLAN, ce qui réduit la congestion et l'efficacité des attaques L2. Le transport de plusieurs VLAN sur un même lien entre switches se fait via un trunk étiqueté 802.1Q, qui ajoute un tag VLAN à chaque trame.
Point de sécurité majeur : les VLAN ne garantissent pas la sécurité du réseau. Il existe des attaques (VLAN hopping, aussi appelées attaques 802.1Q) qui permettent à un utilisateur malveillant de voir le trafic d'autres VLAN. Le VLAN est un outil parmi d'autres pour améliorer la posture globale, pas une frontière de sécurité absolue. Le manuel liste comme menaces L2 : MAC spoofing/cloning, MAC flooding (envoi massif de trames à adresses MAC sources bidons), VLAN hopping, broadcast storms et reconnaissance par MAC sniffing. Les contre-mesures recommandées : configuration correcte des NIC, monitoring des services (ARP, DHCP), configuration correcte des VLAN et des ports de switch, et IDS/IPS de Layer 2.
Piège d'examen : MAC flooding sature délibérément la table CAM du switch. Quand la table déborde, beaucoup de switches basculent en mode fail-open et inondent toutes les trames sur tous les ports (comme un hub), ce qui permet le sniffing. La parade native est le port security (limiter le nombre d'adresses MAC apprises par port). Pour le VLAN hopping, la parade est de désactiver la négociation automatique de trunk (DTP) et de ne pas laisser de port d'accès en VLAN natif par défaut.
- Bridge : filtre par MAC, peu de ports, étend le segment ; switch : 1 domaine de collision/port, table CAM, commute par port.
- VLAN : segmentation L2 logicielle ; inter-VLAN exige du Layer 3 ; trunk 802.1Q étiquette les trames.
- MAC flooding sature la CAM (fail-open, sniffing) ; parade : port security.
- VLAN hopping (802.1Q) traverse les VLAN ; parade : désactiver DTP, durcir le VLAN natif. VLAN n'est pas une frontière absolue.
Cas d'étude
Trafic détourné sur le LAN : ARP poisoning et MITM
Contexte : Dans un open space, le poste comptable communique habituellement en direct avec le serveur de paie sur le même VLAN. L'équipe SOC remarque que la latence a augmenté et qu'un poste tiers, branché sur une prise libre, voit passer du trafic qui ne lui est pas destiné. La capture montre des réponses ARP non sollicitées affirmant que l'adresse IP de la passerelle correspond à la MAC de ce poste tiers.
Question : Quelle attaque est en cours et quelle contre-mesure Layer 2 l'aurait empêchée ?
Voir l'analyse et la correction
Les réponses ARP non sollicitées (gratuitous ARP) qui réassocient l'IP de la passerelle à la MAC de l'attaquant sont la signature d'un ARP poisoning. Les victimes mettent à jour leur cache ARP avec ce faux mapping et envoient désormais leur trafic vers le poste tiers, qui le relaie : c'est un Man-in-the-Middle de Layer 2. Comme ARP n'a aucune authentification, rien dans le protocole n'empêche cette injection.
La parade native est Dynamic ARP Inspection (DAI) sur le switch : elle valide chaque réponse ARP contre une table de liaisons IP/MAC de confiance (construite par DHCP snooping) et rejette les réponses incohérentes, tuant l'injection à la source. À compléter par la surveillance des services ARP/DHCP et, pour les passerelles critiques, des entrées ARP statiques. Le chiffrement de bout en bout (TLS) limiterait la lecture du contenu intercepté mais n'empêcherait pas le détournement L2 ni les métadonnées : ce n'est pas la bonne réponse « préventive » attendue à l'examen.
À retenir : ARP poisoning = MITM L2 par cache empoisonné ; la parade préventive est DAI + DHCP snooping, pas seulement le chiffrement.
- Une réponse ARP non sollicitée réassociant une IP critique est le marqueur d'un empoisonnement.
- Le détournement se fait au cache ARP des victimes, en amont de tout chiffrement applicatif.
- DAI + DHCP snooping bloquent l'injection à la source ; le chiffrement n'est qu'une réduction d'impact.
- Réflexe d'examen : associer l'attaque L2 à sa parade native sur le switch.
Saturation de la table CAM d'un switch
Contexte : Un attaquant connecté à un port d'accès envoie un flot continu de trames Ethernet portant des adresses MAC sources aléatoires et factices. Peu après, un analyste observe que le switch semble se comporter comme un hub : des trames destinées à d'autres postes apparaissent sur le port de l'attaquant.
Question : Quel est le nom de cette attaque et la contre-mesure native du switch ?
Voir l'analyse et la correction
C'est un MAC flooding : en injectant massivement de fausses adresses MAC sources, l'attaquant remplit la table CAM du switch (qui apprend une entrée port/MAC par adresse vue). Une fois la table saturée, le switch ne peut plus stocker les associations légitimes et bon nombre de modèles basculent en fail-open, inondant alors toutes les trames sur tous les ports comme un hub. L'attaquant peut dès lors sniffer le trafic du segment.
La contre-mesure native est le port security : on limite le nombre d'adresses MAC apprises par port (souvent une seule sur un port d'accès) et on définit une action en cas de violation (shutdown du port, restrict, protect). On complète par une configuration correcte des ports de switch et un IDS/IPS de Layer 2. Le manuel range explicitement le MAC flooding et le MAC spoofing parmi les menaces clés de Layer 2.
À retenir : MAC flooding sature la CAM et force le fail-open (sniffing) ; la parade est le port security.
ARP n'est pas authentifié
ARP fait confiance à toute réponse, même non sollicitée : c'est ce qui rend l'ARP poisoning possible. Ne supposez jamais qu'un mapping IP vers MAC est fiable par défaut. Si l'examen vous demande la cause racine d'un MITM sur un LAN, la bonne réponse touche à l'absence d'authentification d'ARP, et la parade est DAI (avec DHCP snooping), pas un simple filtrage MAC.
Un VLAN n'est pas une frontière de sécurité absolue
Il est tentant de croire qu'un VLAN isole totalement le trafic. Le manuel insiste : les VLAN ne garantissent pas la sécurité du réseau, car le VLAN hopping (attaques 802.1Q) permet de voir le trafic d'autres VLAN. Le VLAN réduit la surface d'attaque mais reste un outil parmi d'autres. Parade attendue : désactiver la négociation automatique de trunk (DTP), durcir le VLAN natif et ne pas s'appuyer sur le seul VLAN pour séparer des zones de confiance distinctes.
CSMA/CD (filaire) vs CSMA/CA (sans-fil)
Inverser ces deux méthodes est un piège fréquent. CD = Collision Detection, filaire, IEEE 802.3 : on détecte la collision puis on attend un backoff aléatoire. CA = Collision Avoidance, sans-fil, IEEE 802.11 : on évite la collision en amont via RTS/CTS. Mnémonique : en sans-fil on ne peut pas écouter de façon fiable pendant qu'on émet, donc on évite plutôt que de détecter.
Point de contrôle — Vérification des acquis
-
Dans une trame Ethernet, quel champ assure la détection d'erreurs et se situe en fin de trame ?
- A Le preamble
- B L'adresse MAC de destination
- C Le champ Ether Type / Length
- D Le FCS (CRC sur 4 octets)
Réponse & justification
Réponse : D — Le FCS (CRC sur 4 octets)
Le FCS (Frame Check Sequence), un CRC sur 4 octets, clôt la trame et permet de détecter les erreurs de transmission. Le preamble sert à la synchronisation en début de trame ; l'adresse MAC de destination adresse la trame ; le champ Ether Type / Length indique le protocole ou la longueur. Aucun de ces trois ne fait de détection d'erreurs.
-
Un administrateur déploie un réseau sans-fil 802.11. Quelle méthode d'accès au média est utilisée et comment évite-t-elle les collisions ?
- A CSMA/CD, en détectant la collision puis en appliquant un backoff
- B CSMA/CA, en réservant le canal via un échange RTS/CTS avant d'émettre
- C Polling, en accordant un créneau exclusif à chaque station
- D Token passing, en faisant circuler un jeton entre les stations
Réponse & justification
Réponse : B — CSMA/CA, en réservant le canal via un échange RTS/CTS avant d'émettre
Le sans-fil 802.11 utilise CSMA/CA, qui évite les collisions en amont : la station vérifie que le média est libre puis envoie un RTS ; le point d'accès répond par un CTS qui réserve le canal pour toutes les stations. CSMA/CD est la méthode filaire 802.3 (détection après coup) : on ne peut pas détecter une collision de façon fiable en sans-fil. Polling et token passing ne correspondent pas à 802.11.
-
Sur un LAN, le trafic entre deux postes transite soudain par une troisième machine, après l'apparition de réponses ARP non sollicitées réassociant l'IP de la passerelle. Quelle attaque et quelle parade préventive ?
- A MAC flooding ; parade : augmenter la taille de la table CAM
- B VLAN hopping ; parade : activer DTP sur tous les ports
- C ARP poisoning menant à un MITM ; parade : Dynamic ARP Inspection (DAI) avec DHCP snooping
- D Broadcast storm ; parade : activer le spanning tree
Réponse & justification
Réponse : C — ARP poisoning menant à un MITM ; parade : Dynamic ARP Inspection (DAI) avec DHCP snooping
Des réponses ARP non sollicitées qui réassocient une IP critique sont la signature d'un ARP poisoning, qui détourne le trafic vers l'attaquant (MITM de Layer 2). La parade native est Dynamic ARP Inspection (DAI), qui valide les réponses ARP contre une table de liaisons IP/MAC issue du DHCP snooping. Le MAC flooding sature la CAM (autre symptôme) ; activer DTP aggrave le risque de VLAN hopping ; le spanning tree traite les boucles, pas l'empoisonnement ARP.
-
Après qu'un attaquant a inondé un port d'accès de trames à adresses MAC sources aléatoires, le switch se met à diffuser à tous les ports le trafic destiné à d'autres postes. Quel mécanisme limite directement cette attaque ?
- A Le port security (limiter les MAC apprises par port)
- B Le NAT sur le routeur de bordure
- C Le chiffrement TLS de bout en bout
- D L'augmentation du MTU sur le trunk
Réponse & justification
Réponse : A — Le port security (limiter les MAC apprises par port)
Le comportement décrit est un MAC flooding : la table CAM saturée fait basculer le switch en fail-open (diffusion type hub), permettant le sniffing. Le port security limite le nombre d'adresses MAC apprises par port et déclenche une action en cas de violation, ce qui empêche la saturation. Le NAT agit à Layer 3 ; TLS protège le contenu mais pas la diffusion L2 ; le MTU n'a aucun rapport.
-
Une équipe affirme que mettre la comptabilité dans un VLAN dédié suffit à isoler totalement son trafic. Quelle nuance de sécurité doit être apportée ?
- A Un VLAN garantit une isolation cryptographique du trafic
- B Les VLAN ne garantissent pas la sécurité : le VLAN hopping (802.1Q) peut exposer leur trafic ; il faut désactiver DTP et durcir le VLAN natif
- C Le trafic inter-VLAN ne nécessite aucun équipement de Layer 3
- D Le broadcast d'un VLAN se propage automatiquement aux autres VLAN
Réponse & justification
Réponse : B — Les VLAN ne garantissent pas la sécurité : le VLAN hopping (802.1Q) peut exposer leur trafic ; il faut désactiver DTP et durcir le VLAN natif
Le manuel est explicite : les VLAN ne garantissent pas la sécurité du réseau, car le VLAN hopping (attaques 802.1Q) permet de voir le trafic d'autres VLAN. La parade consiste notamment à désactiver la négociation automatique de trunk (DTP) et à durcir le VLAN natif. Un VLAN n'apporte aucun chiffrement ; le trafic inter-VLAN exige bien un équipement de Layer 3 ; et le broadcast est au contraire confiné au VLAN.
Points essentiels à retenir
- Layer 2 se divise en sous-couche MAC (adresse physique, accès média) et sous-couche LLC (interface L3, flow/error control) ; la trame Ethernet va du preamble au FCS.
- CSMA/CD est filaire (802.3, détection de collision), CSMA/CA est sans-fil (802.11, évitement par RTS/CTS).
- ARP résout IP vers MAC sans aucune authentification : c'est la base de l'ARP poisoning et des MITM de Layer 2, contrés par DAI et DHCP snooping.
- Switch et VLAN segmentent le LAN, mais MAC flooding (parade : port security) et VLAN hopping (parade : désactiver DTP) rappellent qu'un VLAN n'est pas une frontière de sécurité absolue.
Couche réseau : adressage IP, routage et NAT
Prérequis : Modules M1-M3.
La couche 3 (Network Layer) déplace les données entre réseaux distincts sous forme de packets, en s'appuyant sur un adressage logique. C'est ici que vit le protocole IP, qui attribue à chaque interface une adresse logique indépendante de l'adresse physique (MAC) de la couche 2. Comprendre cette couche, c'est comprendre comment un message quitte un LAN, traverse Internet et atteint l'hôte voulu.
Ce module couvre l'ossature de l'adressage : structure de l'IPv4, classes historiques A à E, plages privées RFC1918, loopback et APIPA, puis le subnetting et le CIDR avec calculs concrets. On enchaîne sur l'IPv6, l'ICMP, les modes de transmission (unicast, multicast, broadcast, anycast), enfin le routage (static vs dynamic, IGP/EGP, RIP/OSPF/BGP) et les routeurs frontière.
La couche 3 est aussi un terrain d'attaque privilégié : reconnaissance via ICMP, IP spoofing, attaques de routage (RIP, BGP hijack). Le professionnel de sécurité doit savoir doser les contre-mesures (ACL de routeur, filtrage, configuration durcie) sans confondre commodité et contrôle de sécurité, comme le NAT le rappelle.
4.1 Adressage IPv4 : structure et classes
Une adresse IPv4 tient sur 32 bits, écrite en notation décimale pointée : quatre octets séparés par des points, chacun de 0 à 255 (par exemple 216.12.146.140). Chaque adresse se divise en deux parties : le numéro de réseau (network number), attribué par une autorité externe comme l'ICANN, et le numéro d'hôte (host), qui désigne l'interface au sein de ce réseau. La frontière entre les deux est fixée par le masque de sous-réseau.
Historiquement, cette frontière dépendait de la classe, déterminée par le premier octet. La classe A (1 à 126) réserve un octet au réseau, masque par défaut 255.0.0.0 (/8), jusqu'à 16 777 214 hôtes. La classe B (128 à 191) utilise deux octets, 255.255.0.0 (/16), 65 534 hôtes. La classe C (192 à 223) en utilise trois, 255.255.255.0 (/24), 254 hôtes. La classe D (224 à 239) est réservée au multicast et la classe E (240 à 255) au développement et aux tests.
Deux plages sortent du lot. Le bloc 127.0.0.0/8, dans la zone classe A, est réservé au loopback : 127.0.0.1 permet à une machine de se diagnostiquer elle-même, comme si elle pingait une machine distante. L'APIPA (169.254.x.x) est auto-attribuée quand le DHCP échoue et n'offre qu'une connectivité locale limitée.
Piège d'examen : les classes sont aujourd'hui obsolètes, remplacées par le CIDR. À l'examen, sachez les reconnaître (plage du premier octet, masque par défaut), mais retenez que le découpage réel se fait par préfixe /n, sans contrainte de classe.
- IPv4 = 32 bits, 4 octets de 0 à 255, partie réseau + partie hôte.
- A : 1-126 /8 ; B : 128-191 /16 ; C : 192-223 /24 ; D multicast ; E test.
- 127.0.0.0/8 = loopback ; 169.254.x.x = APIPA (échec DHCP).
- Les classes sont obsolètes : le CIDR (préfixe /n) les remplace.
4.2 Adresses privées, NAT et PAT
L'espace IPv4 de 32 bits était trop étroit pour le nombre d'appareils connectés. Pour économiser les adresses publiques, IPv4 a réservé des plages privées, réutilisables librement par n'importe quelle organisation car elles ne sont jamais routées sur Internet : 10.0.0.0 à 10.255.255.255 (A), 172.16.0.0 à 172.31.255.255 (B) et 192.168.0.0 à 192.168.255.255 (C). Ces plages constituent la RFC1918, terme à connaître même si le manuel décrit surtout le concept.
Le partage se fait grâce au routeur. Il lit l'adresse de destination : si elle tombe dans la plage privée, il filtre le paquet (le garde à l'intérieur) ; si elle est publique, il le transfère vers le WAN. La traduction entre l'adressage privé interne et une adresse publique est le NAT (Network Address Translation). Le routeur frontière expose une seule IP publique fournie par le FAI (par exemple 1.1.1.1) côté Internet et masque la topologie interne.
Quand plusieurs hôtes privés doivent partager une seule adresse publique, on utilise le PAT (Port Address Translation), aussi appelé NAT overload : le routeur distingue les sessions par le numéro de port source. C'est le mécanisme qui équipe la quasi-totalité des box domestiques. À ne pas confondre avec le loopback (127.0.0.1), purement local et jamais traduit, ni avec l'APIPA (169.254.x.x), utilisée seulement si le DHCP échoue.
Piège d'examen : le NAT masque la topologie et complique la reconnaissance, mais ce n'est PAS un contrôle de sécurité fiable. Il n'inspecte pas le contenu, ne filtre pas les couches supérieures et tombe dès qu'une session sortante est initiée depuis l'intérieur. La sécurité reste l'affaire du pare-feu et des ACL, pas du NAT.
- RFC1918 : 10/8, 172.16/12, 192.168/16, jamais routées sur Internet.
- NAT traduit privé vers public ; PAT partage une IP publique via le port.
- Loopback (127.0.0.1) et APIPA (169.254.x.x) ne sont jamais traduits.
- Le NAT n'est pas un contrôle de sécurité fiable : pas un pare-feu.
4.3 Subnetting et CIDR (calcul)
Pour faciliter l'administration et segmenter le trafic, on subdivise un réseau en sous-réseaux (subnets). Comme l'adresse seule ne distingue pas les subnets, c'est le masque de sous-réseau qui le fait : un bit du masque vaut 1 quand le bit correspondant de l'adresse sert au réseau ou au subnet, et 0 quand il sert à l'hôte. Le masque 11111111 11111111 11111111 00000000 se note 255.255.255.0, ou /24 en notation CIDR (le nombre de 1 dans le masque).
Le CIDR (Classless Inter-Domain Routing) libère le découpage des classes : on choisit la longueur du préfixe selon le besoin. Pour subnetter, on emprunte des bits à la partie hôte. Le nombre de sous-réseaux créés vaut 2 puissance le nombre de bits empruntés. Le nombre d'adresses par sous-réseau vaut 2 puissance le nombre de bits hôte restants, mais le nombre d'hôtes utilisables est ce résultat moins 2, car la première adresse identifie le réseau et la dernière est l'adresse de broadcast.
Exemple guidé : découper un 192.168.1.0/24 en /26. On emprunte 2 bits (24 vers 26), donc 2^2 = 4 sous-réseaux : .0, .64, .128, .192. Il reste 6 bits hôte, soit 2^6 = 64 adresses par subnet, dont 64 - 2 = 62 hôtes utilisables chacun. Le masque /26 s'écrit 255.255.255.192.
Retenez la formule maîtresse : hôtes utilisables = 2^(bits hôte) - 2, sous-réseaux = 2^(bits empruntés). Quelques repères utiles à l'examen : /30 = 2 hôtes (liens point à point), /29 = 6 hôtes, /28 = 14 hôtes, /25 = 126 hôtes, /23 = 510 hôtes. Pour obtenir au moins N sous-réseaux, choisissez le plus petit b tel que 2^b soit supérieur ou égal à N. Cette section est enrichie au-delà du manuel (provenance cbk), car le texte officiel reste léger sur le calcul détaillé.
- Hôtes utilisables = 2^(bits hôte) - 2 (on retire réseau + broadcast).
- Sous-réseaux = 2^(bits empruntés) à la partie hôte.
- /26 = 255.255.255.192 = 4 subnets de 62 hôtes utilisables.
- Repères : /30 = 2, /29 = 6, /28 = 14, /25 = 126, /23 = 510 hôtes.
4.4 IPv6, ICMP et modes de transmission
L'IPv6 modernise l'IPv4 et corrige plusieurs de ses faiblesses. Son champ d'adresse passe de 32 à 128 bits, soit 2^128 adresses (un nombre à 39 chiffres), ce qui rend l'épuisement théoriquement impossible. Il intègre nativement IPsec pour l'intégrité, la confidentialité et l'authentification mutuelle des partenaires, et améliore la QoS. Une adresse IPv6 s'écrit en huit groupes hexadécimaux. Important : un même réseau ne peut pas faire tourner IPv4 et IPv6 simultanément ; la transition passe par le dual stack, le tunneling ou la conversion native, via un bridge ou une gateway.
L'ICMP (Internet Control Message Protocol), le fameux ping, échange des messages de contrôle entre hôtes et passerelles. Il est la base d'outils de diagnostic comme ping et traceroute. C'est un protocole routé (routed), qui utilise l'infrastructure de routage sans y contribuer. Utile à l'administration, l'ICMP est aussi détourné pour des attaques : MITM, DoS, ping flooding, smurf (amplification par broadcast).
La couche 3 connaît quatre modes de transmission. L'unicast est du un-à-un : un seul émetteur, un seul destinataire. Le multicast est du un-à-plusieurs-d'un-groupe : l'émetteur livre à un sous-ensemble d'hôtes ayant rejoint un groupe multicast (géré par l'IGMP). Le broadcast est du un-à-tous sur le segment : chaque hôte reçoit, ce qui sert aux découvertes de service (par exemple une requête ARP) mais consomme de la bande passante et peut être exploité pour saturer un segment.
L'anycast est du un-à-un-parmi-plusieurs : plusieurs nœuds partagent la même adresse, et le message va au nœud topologiquement le plus proche (le moins de sauts) ou sur le chemin le moins chargé. Les CDN s'en servent pour rapprocher le contenu des utilisateurs. Piège d'examen : ne confondez pas multicast (groupe défini d'abonnés) et broadcast (tout le segment), ni anycast (le plus proche d'un groupe) et unicast (une cible unique fixe).
- IPv6 : 128 bits, 2^128 adresses, IPsec natif, QoS améliorée.
- ICMP (ping, traceroute) est routé ; abusé en MITM, DoS, smurf.
- Unicast = 1 à 1 ; multicast = 1 à un groupe ; broadcast = 1 à tous le segment.
- Anycast = 1 au nœud le plus proche d'un groupe (CDN).
4.5 Routage et routeurs
Le routeur est l'appareil emblématique de la couche 3. Il lit l'adresse IP de destination d'un paquet et, selon sa vue du réseau, détermine le prochain saut (next hop). S'il ne connaît pas le réseau de destination, il envoie le paquet à sa passerelle par défaut (default gateway), espérant qu'elle en sache davantage. Le routeur s'appuie sur une table de routage et, pour la sécurité de base, sur une ACL (access control list) qui autorise ou refuse adresses et ports. Un routeur ainsi placé entre le LAN et le monde extérieur est un boundary router (souvent sur la DMZ).
Il faut distinguer routage statique et dynamique. Le routage statique fige des routes à la main : simple et prévisible, mais ingérable à grande échelle. Le routage dynamique utilise des protocoles de routage qui échangent automatiquement des informations pour construire et maintenir les tables. Attention au piège : un protocole de routage (RIP, OSPF, BGP) coordonne les routeurs entre eux, tandis qu'un protocole routé (IPv4, IPv6, ICMP) est simplement transporté par l'infrastructure.
Les protocoles de routage se classent en IGP et EGP. Les IGP (Interior Gateway Protocols) opèrent à l'intérieur d'un système autonome (autonomous system, AS). On y trouve RIP (distance-vector, métrique en nombre de sauts, limité à 15 sauts, RIPv1/v2 obsolètes) et les link-state OSPF et IS-IS, qui calculent le plus court chemin (SPF) en tenant compte de la vitesse, de la congestion et de la disponibilité des liens. OSPF converge vite mais consomme du CPU et de la mémoire.
Les EGP (Exterior Gateway Protocols) relient les AS entre eux. Le principal est BGP (path-vector), l'épine dorsale d'Internet, qui annonce les réseaux d'un AS à un autre. Piège et enjeu de sécurité : BGP repose sur une configuration correcte ; des pairs mal configurés peuvent rediriger le trafic (route hijack), ouvrant la porte à la surveillance ou au DoS, comme en 2017 quand le trafic d'institutions financières fut détourné via un FAI russe. Les routeurs frontière entre AS portent donc une responsabilité de sécurité majeure.
- Routage statique = manuel ; dynamique = protocoles qui s'échangent les routes.
- Protocole de routage (RIP/OSPF/BGP) coordonne ; protocole routé (IP/ICMP) est transporté.
- IGP dans un AS : RIP (distance-vector), OSPF/IS-IS (link-state, SPF).
- EGP entre AS : BGP (path-vector) ; mal configuré = route hijack.
Cas d'étude
Un ICMP trop bavard à la frontière
Contexte : Une PME héberge ses serveurs publics derrière un boundary router sur sa DMZ. Le routeur fait du PAT pour le LAN interne en 192.168.10.0/24 et expose une seule IP publique. L'équipe sécurité constate des balayages ICMP répétés depuis l'extérieur (echo requests, traceroute) qui cartographient les hôtes vivants, suivis de paquets dont l'adresse source prétend appartenir au réseau interne.
Question : Quelles contre-mesures de couche 3 répondent le mieux à cette reconnaissance ICMP et à l'IP spoofing entrant, et pourquoi le PAT en place ne suffit-il pas ?
Voir l'analyse et la correction
La reconnaissance ICMP fournit le fingerprint du réseau : hôtes vivants, topologie, distances en sauts. La première réponse est de filtrer finement l'ICMP entrant via les ACL du routeur (limiter echo requests et messages traceroute depuis l'extérieur) plutôt que de le bloquer aveuglément, et d'ajouter de l'inspection de paquets (NGFW).
L'IP spoofing entrant se contre par un filtrage anti-spoofing : un paquet arrivant de l'interface publique mais portant une adresse source RFC1918 interne est forcément forgé et doit être rejeté (ingress filtering, esprit BCP38). Durcir et patcher le routeur, restreindre les ACL, segmenter et appliquer une logique zero trust complètent la défense en profondeur.
Le PAT, lui, ne sécurise rien : il masque la topologie et mutualise une IP publique, ce qui gêne un peu la cartographie, mais il n'inspecte pas le contenu, ne distingue pas un ICMP légitime d'un abus, et laisse passer tout ce qui correspond à une session sortante. Le confondre avec un contrôle de sécurité est une erreur classique.
À retenir : Filtrer l'ICMP par ACL, appliquer l'anti-spoofing en entrée, durcir le routeur : le NAT/PAT n'est pas un pare-feu.
Concevoir un plan d'adressage et de segmentation
Contexte : Une organisation doit segmenter son site sur le bloc privé 10.20.0.0/24. Quatre départements (RH, Finance, IT, Invités) ont besoin chacun de leur propre sous-réseau isolé, avec au maximum 50 postes par département. La sécurité exige que chaque segment soit distinct pour appliquer des ACL inter-segments et limiter la propagation latérale.
Question : Quel préfixe CIDR choisir pour obtenir au moins 4 sous-réseaux capables d'accueillir 50 hôtes, et comment se découpe le 10.20.0.0/24 ?
Voir l'analyse et la correction
Il faut au moins 4 sous-réseaux : 2 bits empruntés donnent 2^2 = 4, ce qui suffit pile. En partant d'un /24, emprunter 2 bits aboutit à un /26. Vérifions la capacité d'hôtes : un /26 laisse 6 bits hôte, soit 2^6 - 2 = 62 hôtes utilisables, ce qui couvre les 50 postes requis avec de la marge.
Le découpage du 10.20.0.0/24 en /26 donne quatre segments propres : 10.20.0.0/26 (hôtes .1 à .62), 10.20.0.64/26 (.65 à .126), 10.20.0.128/26 (.129 à .190) et 10.20.0.192/26 (.193 à .254). Chaque sous-réseau a sa propre adresse réseau et sa propre adresse de broadcast, donc on les attribue : RH, Finance, IT, Invités.
Un /25 (2 segments de 126 hôtes) ne donnerait que 2 sous-réseaux, insuffisant. Un /27 (8 segments de 30 hôtes) offrirait assez de segments mais pas assez d'hôtes par segment (30 < 50). Le /26 est le compromis correct. La segmentation permet ensuite d'isoler les Invités et d'appliquer des ACL strictes entre RH, Finance et IT.
À retenir : Choisir le préfixe par double contrainte : assez de sous-réseaux (2^bits empruntés) ET assez d'hôtes (2^bits hôte - 2).
- Dimensionner un préfixe = satisfaire à la fois le nombre de subnets et le nombre d'hôtes.
- /26 sur un /24 = 4 segments de 62 hôtes utilisables.
- La segmentation est un levier de sécurité : isolation et limitation de la propagation latérale.
- Toujours retirer 2 adresses par subnet (réseau + broadcast).
Hôtes utilisables = 2^n - 2, pas 2^n
L'erreur la plus fréquente en subnetting est d'oublier les deux adresses réservées. Sur un sous-réseau, la première adresse identifie le réseau et la dernière est l'adresse de broadcast ; aucune ne peut être attribuée à un hôte. Le nombre d'hôtes utilisables vaut donc 2^(bits hôte) - 2. Un /24 a 254 hôtes (pas 256), un /26 en a 62 (pas 64), un /30 en a 2 (pas 4). À l'examen, choisissez toujours la réponse qui retire ces deux adresses.
Le NAT n'est pas un contrôle de sécurité
Beaucoup pensent que le NAT (ou le PAT) protège le réseau interne parce qu'il masque les adresses privées. C'est une commodité d'adressage, pas une défense. Le NAT n'inspecte pas le contenu, ne filtre pas les couches supérieures et laisse passer tout ce qui correspond à une session initiée de l'intérieur. La sécurité périmétrique repose sur le pare-feu, les ACL et l'inspection (NGFW), jamais sur le seul NAT. Méfiez-vous des réponses d'examen qui présentent le NAT comme une mesure de sécurité.
Classes obsolètes face au CIDR
Les classes A à E sont un héritage historique. Le routage moderne est classless : il s'appuie sur le CIDR et les masques de longueur variable (VLSM), pas sur la classe déduite du premier octet. Connaître les plages de classes reste utile pour reconnaître loopback (127/8), APIPA (169.254/16) ou les plages privées, mais ne raisonnez jamais le dimensionnement d'un réseau réel en termes de classe. Les protocoles classful (comme RIPv1) sont obsolètes précisément parce qu'ils ignorent les masques de sous-réseau.
Point de contrôle — Vérification des acquis
-
Combien d'adresses d'hôtes utilisables un sous-réseau /26 fournit-il ?
- A 64
- B 62
- C 30
- D 126
Réponse & justification
Réponse : B — 62
Un /26 laisse 6 bits hôte (32 - 26). Les adresses totales valent 2^6 = 64, mais on retire l'adresse réseau et l'adresse de broadcast : 64 - 2 = 62. 64 ignore les deux réservées ; 30 correspond à un /27 ; 126 correspond à un /25.
-
Vous devez créer au moins 6 sous-réseaux à partir d'un réseau /24. Quel masque CIDR minimal convient ?
- A /25
- B /26
- C /27
- D /28
Réponse & justification
Réponse : C — /27
Sous-réseaux = 2^(bits empruntés). Il faut le plus petit b tel que 2^b soit supérieur ou égal à 6 : 2^2 = 4 (insuffisant), 2^3 = 8 (suffisant). On emprunte donc 3 bits, de /24 à /27. /25 = 2 subnets, /26 = 4 subnets (insuffisants) ; /28 (8 bits hôte restants devient 4) donnerait 16 subnets, plus que nécessaire donc pas le masque minimal.
-
Une machine ne parvient pas à joindre un serveur DHCP et s'auto-attribue 169.254.13.7. Que signale cette adresse ?
- A Une adresse de loopback pour l'auto-diagnostic
- B Une adresse publique routable sur Internet
- C Une adresse APIPA, attribuée car le DHCP a échoué
- D Une adresse multicast de classe D
Réponse & justification
Réponse : C — Une adresse APIPA, attribuée car le DHCP a échoué
169.254.x.x est la plage APIPA, auto-attribuée quand le DHCP est indisponible, offrant une connectivité locale limitée. Le loopback est 127.0.0.1 ; 169.254 n'est pas routable publiquement ; le multicast (classe D) commence à 224.
-
Quelle paire associe correctement un protocole de routage à sa catégorie ?
- A BGP est un IGP utilisé à l'intérieur d'un AS
- B OSPF est un EGP utilisé entre AS
- C BGP est un EGP utilisé entre AS ; OSPF est un IGP interne à un AS
- D RIP est un EGP path-vector
Réponse & justification
Réponse : C — BGP est un EGP utilisé entre AS ; OSPF est un IGP interne à un AS
BGP (path-vector) est l'EGP qui relie les AS et constitue l'épine dorsale d'Internet ; OSPF (link-state) est un IGP qui route à l'intérieur d'un AS. RIP est un IGP distance-vector, pas un EGP. Les autres options inversent les catégories.
-
Un émetteur veut atteindre le nœud topologiquement le plus proche parmi un groupe de serveurs partageant la même adresse (cas typique d'un CDN). De quel mode de transmission s'agit-il ?
- A Broadcast
- B Multicast
- C Unicast
- D Anycast
Réponse & justification
Réponse : D — Anycast
L'anycast est du un-à-un-parmi-plusieurs : plusieurs nœuds partagent l'adresse et le trafic va au plus proche (moins de sauts ou chemin le moins chargé), usage classique des CDN. Le broadcast vise tout le segment, le multicast un groupe d'abonnés, l'unicast une cible unique fixe.
-
Le routeur frontière d'une entreprise reçoit, sur son interface publique, des paquets dont l'adresse source est 10.0.0.5. Quelle est la réaction de sécurité appropriée ?
- A Les accepter : 10.0.0.5 est une adresse publique légitime
- B Les rejeter : une source RFC1918 arrivant de l'extérieur est forgée (IP spoofing)
- C Les router vers le DHCP pour réattribution
- D Activer le NAT, qui bloquera automatiquement ces paquets
Réponse & justification
Réponse : B — Les rejeter : une source RFC1918 arrivant de l'extérieur est forgée (IP spoofing)
10.0.0.0/8 est une plage privée RFC1918 non routable sur Internet ; un paquet entrant depuis l'extérieur avec cette source est nécessairement spoofé et doit être filtré (ingress anti-spoofing via ACL). Ce n'est pas une adresse publique ; le DHCP n'a rien à voir ; le NAT n'inspecte pas et ne bloque pas ces paquets de lui-même.
Points essentiels à retenir
- IPv4 = 32 bits ; la classe (premier octet) et le masque par défaut sont à reconnaître, mais le CIDR (/n) gouverne le découpage réel.
- Hôtes utilisables = 2^(bits hôte) - 2 ; sous-réseaux = 2^(bits empruntés) : la double contrainte dimensionne tout plan d'adressage.
- RFC1918 (10/8, 172.16/12, 192.168/16) + NAT/PAT économisent les adresses publiques, mais le NAT n'est PAS un pare-feu.
- IPv6 (128 bits, IPsec natif) et les 4 modes unicast/multicast/broadcast/anycast complètent la couche 3 ; l'ICMP diagnostique mais s'abuse.
- Routage : statique vs dynamique, IGP (RIP, OSPF) dans un AS vs EGP (BGP) entre AS ; le boundary router et les ACL portent la sécurité de couche 3.
Couche transport et filtrage : TCP/UDP, ports et firewalls
Prérequis : Modules M1-M4.
La couche transport (Layer 4) est le point de bascule du réseau : c'est là que se décide la fiabilité des échanges et que se concentre une grande partie du contrôle de sécurité. Deux protocoles dominent : TCP, orienté connexion et fiable, et UDP, sans connexion et rapide. Comprendre leurs différences conditionne le choix d'un protocole, l'analyse d'une attaque et la lecture d'une règle de firewall.
C'est aussi à ce niveau que vivent les ports et les sockets, qui aiguillent le trafic vers le bon service, et que se positionnent les firewalls. Ces derniers ont évolué du simple packet filter sans état jusqu'au next-generation firewall (NGFW) qui intègre proxy, IPS et identité. Autour d'eux gravitent les architectures de filtrage (bastion host, screened subnet) et les systèmes de détection et de prévention d'intrusion (IDS/IPS).
Ce module relie ces briques : on part du three-way handshake TCP, on passe par la cartographie des ports, puis on monte en abstraction vers les firewalls et l'IDS/IPS, pour finir sur le placement de ces équipements dans une architecture défendable en profondeur (defense in depth).
5.1 TCP vs UDP et three-way handshake
TCP (Transmission Control Protocol) est un protocole orienté connexion qui garantit la livraison fiable et ordonnée des données. Il numérote les segments, ce qui permet au récepteur de demander la retransmission d'un segment manquant ou corrompu, et il gère le contrôle de flux. Cette fiabilité a un coût : l'établissement de connexion, les accusés de réception et la fermeture ajoutent de l'overhead, surtout quand des pertes imposent des retransmissions.
La connexion TCP s'ouvre par un three-way handshake. L'initiateur envoie un paquet avec le drapeau SYN à 1 (état SYN-SENT). Le serveur alloue des ressources et répond par un SYN-ACK (état SYN-RECEIVED). L'initiateur renvoie un ACK : la connexion est ESTABLISHED des deux côtés. La fermeture, gracieuse, utilise FIN puis ACK de part et d'autre (états FIN-WAIT, CLOSE-WAIT, LAST-ACK, CLOSED). Les principaux drapeaux à connaître sont SYN, ACK, FIN, RST (réinitialisation brutale), PSH et URG.
UDP (User Datagram Protocol) est sans connexion : l'émetteur envoie, sans attendre d'accusé de réception. Il n'y a ni handshake, ni état, ni retransmission native. Cela offre le débit maximal et un overhead minimal, idéal pour la voix, la vidéo, le DNS ou les CDN où une perte occasionnelle est tolérable. Revers de la médaille : l'absence d'état rend UDP commode pour les attaques, car routeurs et firewalls n'ont pas de connexion à observer et à suivre.
Piège d'examen : ne confondez pas "fiable" et "sécurisé". TCP est fiable (livraison garantie) mais ni TCP ni UDP ne chiffrent par eux-mêmes ; la confidentialité vient de TLS au-dessus. Et retenez que le handshake en trois temps est précisément ce qu'exploite le SYN flood.
- TCP = fiable et ordonné, au prix d'un overhead (handshake, ACK, fermeture).
- UDP = rapide et sans état, sans garantie de livraison ni retransmission native.
- Handshake : SYN -> SYN-ACK -> ACK ; fermeture gracieuse : FIN + ACK.
- Fiable n'est pas chiffré : la confidentialité vient de TLS au-dessus.
5.2 Ports, sockets et protocoles assignés
Un port est un identifiant numérique sur 16 bits qui désigne le service logiciel visé sur un hôte. TCP comme UDP utilisent des ports pour aiguiller le trafic : un navigateur HTTPS dirige ses données vers le port 443. La combinaison adresse IP + numéro de port forme un socket, c'est-à-dire l'extrémité unique d'une communication. C'est le socket, pas seulement l'IP, qui permet à une machine de tenir plusieurs conversations simultanées.
L'IANA classe les ports en trois plages. Les well-known ports (0 à 1023) correspondent aux protocoles du coeur de TCP/IP (DNS 53, SMTP 25, HTTP 80, HTTPS 443). Les registered ports (1024 à 49151) sont souvent associés à des applications propriétaires de vendeurs (RADIUS 1812, MS SQL Server 1433/1434, Docker 2375/2376). Les dynamic ou private ports (49152 à 65535) sont attribués à la volée pour la durée d'une session côté client, puis libérés.
À connaître par coeur : 20/21 FTP, 22 SSH, 23 Telnet, 25 et 587 SMTP, 53 DNS, 69 TFTP, 80 HTTP, 161/162 SNMP, 389/636 LDAP/LDAPS, 443 HTTPS, 1433/1434 MS SQL, 3389 RDP. Plusieurs services proposent un port chiffré et un port en clair (FTP/SFTP, HTTP/HTTPS, Telnet/SSH, LDAP/LDAPS) : en cas de doute, on déploie toujours la version la plus sécurisée du protocole.
Piège d'examen : les numéros de port assignés sont une convention, pas une loi. Un administrateur peut remapper un service sur un autre port, ce qui sert parfois à obscurcir un usage. La sécurité ne doit donc jamais reposer sur le seul numéro de port (security through obscurity) ; un firewall qui ne filtre que par port se fait contourner par un service déplacé.
- Socket = adresse IP + numéro de port ; permet plusieurs sessions par hôte.
- Trois plages : well-known (0-1023), registered (1024-49151), dynamic (49152-65535).
- Mémoriser les ports usuels : 21, 22, 23, 25, 53, 80, 443, 3389...
- Privilégier la version chiffrée (SSH > Telnet, HTTPS > HTTP, SFTP > FTP).
5.3 Firewalls : du packet filter au NGFW
Un firewall applique une politique en filtrant le trafic selon un jeu de règles, avec idéalement une posture default deny (tout ce qui n'est pas explicitement autorisé est rejeté). Le packet filter, la forme historique, est sans état : il décide paquet par paquet en regardant l'adresse IP, le port, le protocole et les drapeaux TCP, au Layer 3/4. Rapide et simple, mais aveugle au contexte : il ne sait pas si un paquet appartient à une connexion légitime déjà établie.
Le stateful inspection corrige cela en maintenant une table d'états des connexions. Il autorise le trafic retour d'une session qu'il a vue s'ouvrir et bloque les paquets qui ne correspondent à aucun état attendu, ce qui le rend bien plus résistant aux paquets forgés. Il opère toujours principalement au Layer 3/4. Au-dessus, les proxies travaillent au niveau session ou application : le circuit-level proxy crée un conduit TCP/UDP (Layer 5) sans inspecter le contenu, tandis que l'application proxy relaie le trafic par application (Layer 7) et analyse le payload, repérant par exemple des buffer overflows, au prix d'un overhead plus élevé. Un proxy masque aussi l'hôte interne derrière sa propre adresse.
Le next-generation firewall (NGFW) consolide ces capacités dans un seul cadre : stateful inspection, services de proxy, prévention d'intrusion (IPS) et intégration étroite avec l'IAM pour n'autoriser que les utilisateurs habilités. Il filtre du Layer 3 (plages IP) au Layer 7 (API et applications), là où le firewall traditionnel se cantonnait au Layer 4. Le WAF (Web Application Firewall) est, lui, spécialisé Layer 7 web : il protège les applications web contre SQL injection, XSS et abus applicatifs.
Piège d'examen : NGFW et WAF ne sont pas interchangeables. Le NGFW est un firewall généraliste multicouche pour le trafic réseau ; le WAF est dédié au trafic HTTP/HTTPS d'une application web. Et retenez la distinction packet filter (sans état) vs stateful (suit l'état des connexions), classique en QCM.
- Packet filter = sans état (L3/4) ; stateful = suit l'état des connexions (L3/4).
- Proxy : circuit-level (L5, conduit) vs application (L7, inspecte le payload).
- NGFW = stateful + IPS + proxy + identité, du L3 au L7.
- WAF = spécialisé Layer 7 web (SQLi, XSS), distinct du NGFW.
5.4 IDS/IPS et architectures de filtrage
Un IDS (Intrusion Detection System) observe le trafic ou l'activité d'un hôte pour détecter des comportements suspects, puis alerte. Il est passif et placé hors bande (out-of-band) : il reçoit une copie du trafic, typiquement via un TAP ou un port miroir, et n'est pas sur le chemin des paquets. Conséquence : il ne ralentit pas le réseau, mais il ne peut pas, à lui seul, stopper une attaque. Un IPS (Intrusion Prevention System) fait le même travail de détection mais en ligne (inline), sur le chemin du trafic, ce qui lui permet de bloquer ou de modifier les paquets malveillants. Formule à retenir : l'IDS détecte et alerte, l'IPS détecte et bloque.
La portée se décline en deux familles. Le NIDS/NIPS surveille un segment réseau via un capteur ; le HIDS/HIPS est un agent installé sur un hôte, qui voit aussi les évènements locaux (intégrité de fichiers, journaux). On les combine souvent : NIDS pour la vue d'ensemble, HIDS pour le détail sur les actifs sensibles.
Deux méthodes de détection coexistent. La détection par signature compare le trafic à une base de motifs d'attaques connus : précise sur le connu, mais aveugle au nouveau (faux négatifs sur les 0-day). La détection par anomalie (comportementale) établit d'abord une baseline du trafic normal puis signale les écarts : capable de repérer l'inconnu, mais sujette aux faux positifs si la baseline est mal calibrée. Tout alerte, faux positif comme vrai positif, exige une analyse humaine.
Côté architecture, le filtrage s'organise en zones. Le bastion host est un serveur fortement durci, exposé et seul autorisé à dialoguer avec l'extérieur (jump box). Le dual-homed host possède deux interfaces sans routage direct entre elles. Le screened host place un firewall devant un bastion. Le screened subnet (DMZ entre deux firewalls) isole les serveurs exposés (mail, web) du réseau interne. Piège d'examen : on place le NIPS en ligne aux points de passage (gateway, frontière de DMZ) et le NIDS en écoute sur les segments à surveiller ; confondre passif/actif ou détecter/bloquer est l'erreur la plus fréquente.
- IDS = passif, hors bande, détecte et alerte ; IPS = actif, en ligne, détecte et bloque.
- NIDS/NIPS = segment réseau ; HIDS/HIPS = agent sur l'hôte.
- Signature = précise mais faux négatifs ; anomaly = détecte l'inconnu mais faux positifs.
- Architectures : bastion host, dual-homed, screened host, screened subnet (DMZ).
Cas d'étude
Le SYN flood qui sature un serveur web
Contexte : Un serveur web public devient injoignable aux heures de pointe. Les journaux montrent un afflux massif de paquets SYN provenant d'adresses sources variées, sans que l'ACK final n'arrive jamais. La table de connexions du serveur se remplit de demi-connexions et finit par refuser tout nouveau client légitime.
Question : Quelle attaque est en cours, quel mécanisme exploite-t-elle, et quelles parades opposer ?
Voir l'analyse et la correction
Le motif (flot de SYN sans ACK final, demi-connexions accumulées) est la signature d'un SYN flood, une attaque par déni de service qui abuse du three-way handshake. À chaque SYN reçu, le serveur alloue des ressources et passe en SYN-RECEIVED en attendant l'ACK ; en multipliant les SYN qui ne seront jamais complétés, l'attaquant épuise la table d'états et bloque les connexions légitimes.
Les parades combinent plusieurs couches. Les SYN cookies évitent d'allouer des ressources avant la réception de l'ACK valide. Un stateful firewall ou un service de TCP intercept absorbe et valide les handshakes avant de les relayer au serveur. Un NGFW ou un service anti-DoS en amont applique du rate limiting et des listes de blocage d'IP/URL. Le durcissement de la pile TCP (réduction du timeout SYN-RECEIVED, augmentation du backlog) complète le dispositif. On note que ni le seul packet filter sans état ni le seul IDS passif ne suffisent : le premier ne suit pas l'état des handshakes, le second alerte mais ne bloque pas.
À retenir : Le SYN flood exploite le handshake TCP ; la défense efficace est active et stateful (SYN cookies, TCP intercept, NGFW), pas un simple filtre ou un IDS passif.
Choisir et placer firewall et IDS/IPS pour une architecture à zones
Contexte : Une PME héberge un site web et un serveur de messagerie accessibles depuis Internet, ainsi qu'un réseau interne contenant une base de données SQL sensible et les postes des employés. La direction veut une architecture défendable en profondeur : exposer le minimum, segmenter, détecter et pouvoir bloquer les attaques.
Question : Comment structurer le filtrage et où placer firewalls, proxies et IDS/IPS ?
Voir l'analyse et la correction
La réponse de référence est un screened subnet. On crée une DMZ entre deux firewalls (ou deux interfaces d'un NGFW) : le firewall externe filtre le trafic Internet vers la DMZ, le firewall interne sépare la DMZ du réseau interne. Les serveurs web et mail vivent en DMZ, durcis comme des bastion hosts ; jamais la base SQL, qui reste en zone interne et n'est joignable que par les serveurs DMZ qui en ont strictement besoin, sur le seul port nécessaire (1433/1434), selon une posture default deny.
Un NGFW au gateway apporte stateful inspection, IPS intégré et filtrage L7 ; on ajoute un WAF devant le serveur web pour contrer SQL injection et XSS (rôle que le NGFW ne couvre pas en propre). On positionne un NIPS en ligne aux points de passage critiques (entrée de DMZ, frontière DMZ vers interne) pour bloquer, et un NIDS en écoute hors bande sur les segments internes pour détecter sans gêner le trafic. Des HIDS sur le serveur de base de données renforcent la surveillance de l'actif le plus sensible. Le tout repose sur least privilege et segmentation : chaque flux autorisé est explicite, chaque zone est cloisonnée, et l'on dispose à la fois de la détection (IDS) et de la capacité de blocage (IPS).
À retenir : Screened subnet (DMZ entre deux firewalls) pour les serveurs exposés, NGFW + WAF au gateway, NIPS en ligne aux points de passage et NIDS/HIDS pour la détection : exposer le minimum et appliquer default deny.
- Les serveurs exposés vont en DMZ (screened subnet), jamais les données sensibles.
- NGFW pour le trafic réseau multicouche ; WAF spécifiquement devant l'application web.
- NIPS en ligne pour bloquer aux points de passage ; NIDS hors bande pour détecter.
- HIDS sur l'actif le plus critique pour une visibilité locale fine.
- Tout flux est explicite (default deny) et limité au port strictement nécessaire.
IDS détecte, IPS bloque
Un IDS est passif et hors bande : il alerte mais n'arrête rien. Seul un IPS, placé en ligne (inline), peut bloquer une attaque. Une question qui demande de stopper du trafic en temps réel appelle un IPS, pas un IDS.
Packet filter sans état vs stateful inspection
Le packet filter décide paquet par paquet, sans mémoire des connexions ; il se fait tromper par des paquets forgés hors session. Le stateful inspection suit l'état des connexions dans une table et n'autorise le retour que d'une session vue s'ouvrir. "Suivre l'état des connexions" pointe toujours vers le stateful.
NGFW vs WAF, et signature vs anomaly
Le NGFW est un firewall réseau multicouche (L3-L7) intégrant IPS et proxy ; le WAF est spécifiquement Layer 7 web (SQLi, XSS). Pour protéger une application web, c'est le WAF. Côté détection : la signature rate l'inconnu (faux négatifs sur 0-day), l'anomaly génère des faux positifs si la baseline est mauvaise.
Point de contrôle — Vérification des acquis
-
Une application de streaming vidéo privilégie le débit et tolère une perte occasionnelle de paquets. Quel protocole de transport est le plus adapté, et pourquoi ?
- A TCP, car il garantit la livraison ordonnée de chaque paquet
- B UDP, car il est sans connexion, sans overhead de handshake ni de retransmission
- C TCP, car il chiffre les données par défaut
- D UDP, car il garantit la retransmission des paquets perdus
Réponse & justification
Réponse : B — UDP, car il est sans connexion, sans overhead de handshake ni de retransmission
UDP est sans connexion et minimise l'overhead, idéal pour le streaming où la rapidité prime sur la fiabilité. A décrit TCP (utile mais coûteux ici). C est faux : aucun des deux ne chiffre par lui-même. D est faux : UDP n'offre pas de retransmission native.
-
Dans quel ordre se déroule l'ouverture d'une connexion TCP ?
- A ACK, SYN, SYN-ACK
- B SYN, ACK, FIN
- C SYN, SYN-ACK, ACK
- D FIN, ACK, SYN
Réponse & justification
Réponse : C — SYN, SYN-ACK, ACK
Le three-way handshake est SYN (client) -> SYN-ACK (serveur) -> ACK (client). A et D mélangent l'ordre ou des drapeaux de fermeture. B introduit FIN, qui sert à la fermeture, pas à l'ouverture.
-
Un service est associé au port 3389. De quel service s'agit-il et dans quelle plage se situe ce port ?
- A SSH, plage well-known
- B RDP, plage registered
- C HTTPS, plage dynamic
- D DNS, plage well-known
Réponse & justification
Réponse : B — RDP, plage registered
Le port 3389 est celui du RDP (Remote Desktop Protocol) ; 3389 est compris entre 1024 et 49151, donc dans la plage registered. SSH est 22, HTTPS 443, DNS 53 (ces deux derniers sont well-known, 0-1023).
-
Une organisation veut un firewall qui autorise le trafic retour uniquement pour les sessions qu'il a vu s'ouvrir, en rejetant les paquets forgés hors connexion. Quel type convient ?
- A Packet filter sans état
- B Stateful inspection
- C Circuit-level proxy
- D WAF
Réponse & justification
Réponse : B — Stateful inspection
Le stateful inspection maintient une table d'états et n'autorise le retour que de sessions légitimes : c'est exactement le besoin. Le packet filter sans état n'a pas cette mémoire. Le circuit-level proxy crée un conduit mais n'est pas la réponse au suivi d'état décrit. Le WAF protège les applis web (L7), hors sujet ici.
-
Une équipe doit protéger une application web exposée contre les injections SQL et le XSS. Quel équipement est le plus pertinent ?
- A Un packet filter au Layer 3
- B Un IDS passif hors bande
- C Un WAF (Web Application Firewall) au Layer 7
- D Un circuit-level proxy
Réponse & justification
Réponse : C — Un WAF (Web Application Firewall) au Layer 7
Le WAF est spécialisé Layer 7 web et conçu pour bloquer SQLi et XSS. Le packet filter (L3) ne voit pas le contenu applicatif. L'IDS détecte mais ne bloque pas. Le circuit-level proxy n'inspecte pas le payload. Attention : un NGFW est généraliste, mais pour la protection applicative web fine, le WAF est la réponse attendue.
-
Quelle affirmation décrit correctement la différence entre un IDS et un IPS ?
- A L'IDS est en ligne et bloque, l'IPS est passif et alerte
- B L'IDS est passif et hors bande (détecte et alerte), l'IPS est en ligne (détecte et bloque)
- C Les deux sont passifs ; seule la base de signatures diffère
- D L'IPS ne fonctionne qu'avec la détection par signature, l'IDS qu'avec l'anomaly
Réponse & justification
Réponse : B — L'IDS est passif et hors bande (détecte et alerte), l'IPS est en ligne (détecte et bloque)
L'IDS est passif, hors bande, et se contente d'alerter ; l'IPS est en ligne sur le chemin du trafic et peut bloquer. A inverse les rôles. C est faux : l'IPS est actif. D est faux : signature et anomaly s'appliquent aux deux.
Points essentiels à retenir
- TCP = orienté connexion et fiable (handshake SYN/SYN-ACK/ACK) ; UDP = sans connexion, rapide, sans garantie.
- Socket = IP + port ; plages well-known (0-1023), registered (1024-49151), dynamic (49152-65535) ; mémoriser les ports usuels.
- Firewalls par couche : packet filter et stateful (L3/4), proxy circuit-level (L5) et application (L7), NGFW (L3-L7), WAF (L7 web).
- IDS = passif, détecte et alerte ; IPS = en ligne, détecte et bloque ; signature (faux négatifs) vs anomaly (faux positifs).
- Architecture défendable : screened subnet/DMZ, bastion hosts, NGFW + WAF, NIPS en ligne et NIDS/HIDS pour détecter, le tout en default deny.
Couches session, présentation, application et services réseau
Prérequis : Modules M1-M4.
Ce module couvre les trois couches hautes du modèle OSI (session, présentation, application) puis les services réseau qui font tourner Internet au quotidien : DNS, DHCP, et les protocoles applicatifs courants. C'est ici, près de l'utilisateur, que se concentre la plus grande surface d'attaque : la couche application est la cible numéro un des attaquants, jour après jour.
Un point d'examen revient sans cesse : beaucoup de protocoles historiques (legacy) - FTP, Telnet, finger, SNMP v1/v2 - ont été conçus sans aucun objectif de sécurité. Ils transmettent identifiants et données en clair (clear-text) et n'offrent pas d'authentification forte. Savoir lequel remplacer par quel équivalent sécurisé (FTPS/SFTP, SSH, SNMPv3, LDAPS) est un réflexe attendu.
Enfin, la résolution de noms (DNS) et l'attribution dynamique d'adresses (DHCP) sont des services d'infrastructure indispensables mais vulnérables. DNSSEC apporte intégrité et authenticité aux réponses DNS, sans pour autant chiffrer le trafic. Comprendre cette nuance et les attaques associées (cache poisoning, spoofing, hijacking, rogue DHCP, DHCP starvation) est central pour le Domaine 4.
6.1 Couche session : RPC et modes de dialogue
La couche session (Layer 5) établit, maintient et ferme les dialogues entre deux nœuds. C'est elle qui, lorsqu'une connexion vers un système distant est perdue, tente de la rétablir. Le dialogue peut suivre trois modes : simplex (transmission dans un seul sens, comme un capteur qui n'émet que), half-duplex (les deux sens mais pas en même temps, comme une radio talkie-walkie) et full-duplex (les deux sens simultanément, comme un appel téléphonique). Connaître ces trois modes et savoir les illustrer est un classique d'examen.
Un mécanisme emblématique de cette couche est le Remote Procedure Call (RPC). Le RPC permet d'exécuter du code sur un hôte distant : le client RPC envoie une requête (le calling code) à une procédure appelée (called procedure) résidant sur un autre hôte. Le RPC se comporte comme un service de courtage (brokering service) qui fournit une authentification de base et un moyen de demander l'exécution d'un travail à distance. Bien implémenté, il n'est pas un risque ; mal configuré ou peu robuste, il devient une porte d'entrée significative.
Point de sécurité crucial : la norme ISO 7498-2 précise qu'aucun service de sécurité n'est fourni à la couche session. Il faut donc traiter les vulnérabilités en appliquant des services de sécurité au-dessus ou en dessous (par exemple TLS, qui établit une session mais fournit du chiffrement et déborde du modèle OSI). Les attaques ciblant cette couche incluent le session hijack, le man-in-the-middle (MITM), le man-in-the-browser (MITB) et les tentatives de downgrade SSH. Les contre-mesures : remplacer les protocoles d'authentification par mot de passe faibles (PAP), migrer vers une gestion d'identité forte, utiliser une PKI et surveiller activement avec IDS/IPS/SIEM.
- La couche session établit, maintient et ferme les dialogues; elle tente de rétablir une connexion perdue.
- Trois modes : simplex, half-duplex, full-duplex.
- RPC = courtage exécutant du code sur un hôte distant; risqué si mal configuré.
- ISO 7498-2 : aucun service de sécurité natif en L5, à compléter par TLS/PKI au-dessus ou en dessous.
6.2 Couche présentation : encodage, formats, chiffrement
La couche présentation (Layer 6) prend l'information formatée par l'émetteur et la reformate pour qu'elle soit comprise par le récepteur. Ce reformatage porte sur trois services : l'encodage des caractères, le chiffrement et la compression. C'est la couche responsable du formatage de l'information - une question d'examen récurrente (la bonne réponse à 'quelle couche formate l'information ?' est la présentation, pas l'application).
Le service de traduction (translation service) gère les jeux d'encodage standard : ASCII, EBCDIC (hérité des mainframes IBM) et Unicode (UTF-8 domine désormais le Web). Quand deux plateformes utilisent des encodages différents, un gateway opère la conversion : c'est le seul équipement qui fonctionne véritablement à la couche présentation. Le gateway peut aussi convertir IPv4 vers IPv6 ou assurer compression et chiffrement. L'exemple classique : un gateway ASCII vers EBCDIC reliant un poste moderne à un mainframe.
Le chiffrement et la compression sont ici des services de Layer 6, même s'ils peuvent être gérés par d'autres couches (le modèle OSI est un guide, pas une spécification stricte). SSL/TLS et S/MIME sont souvent cités comme protocoles de chiffrement de cette couche. Côté menaces, les attaques à L6 visent surtout la confidentialité et l'intégrité : exfiltration de données chiffrées avec les propres capacités de chiffrement du système, downgrade du chiffrement vers un algorithme cassable, injections SQL et cross-site scripting. Les contre-mesures incluent l'inspection profonde du trafic applicatif, le WAF et la migration vers une architecture zero trust.
- L6 reformate l'information : encodage, chiffrement, compression.
- C'est la couche du formatage de l'information (piège: ce n'est pas l'application).
- ASCII / EBCDIC / Unicode; le gateway convertit entre encodages et est le seul équipement vraiment L6.
- Chiffrement (SSL/TLS, S/MIME) et compression sont des services L6, le modèle OSI restant un guide.
6.3 Couche application et protocoles legacy
La couche application (Layer 7) est la plus proche de l'utilisateur et offre la plus grande surface d'attaque de tout le modèle. Attention au piège : les applications que l'utilisateur lance (navigateur, suite bureautique, Teams, Zoom) ne résident pas à cette couche; elles consomment les services de Layer 7. Parmi les protocoles emblématiques : HTTP/HTTPS (qui utilisent TCP, pas UDP, et où HTTPS ajoute TLS), FTP (transfert de fichiers), SMTP (envoi de courrier), SNMP (gestion d'infrastructure), Telnet (terminal distant) et LDAP (services d'annuaire).
Le point d'examen central de cette leçon : les protocoles legacy. Les protocoles d'origine d'Internet n'ont jamais été conçus avec la sécurité comme objectif premier. FTP, Telnet et la commande finger transmettent identifiants et données en clear-text, n'offrent pas d'authentification forte et sont sujets à la manipulation des paquets. Telnet expose une session de terminal en clair (à remplacer par SSH); FTP expose login et fichiers (à remplacer par SFTP ou FTPS). SNMP v1 et v2 utilisent des community strings transmises en clair, facilement interceptables par brute-force ou sniffing - seul SNMPv3 ajoute le chiffrement. LDAP fonctionne par défaut en clair sur le port TCP 389; sa version 3 peut utiliser TLS (LDAPS) pour chiffrer.
LDAP mérite une attention particulière : héritier du standard X.500, il organise les entrées en arbre hiérarchique avec les concepts de Distinguished Name (DN, identifiant unique), Relative Distinguished Name (RDN, premier composant du DN), Common Name (CN), Domain Component (DC) et Organizational Unit (OU). Les annuaires sont des cibles de choix car ils concentrent l'information sur utilisateurs et ressources et s'intègrent étroitement aux outils IAM. Les menaces de Layer 7 sont nombreuses : injection SQL, abus de SNMP, floods HTTP/DDoS, cross-site scripting, LDAP injection, et attaques sur la résolution de noms et d'adresses (rogue DHCP, DNS poisoning). Contre-mesures : MFA, inspection profonde, WAF, blocage des sites/bots suspects et migration vers des protocoles sécurisés.
- L7 = plus grande surface d'attaque; les apps utilisateur consomment L7 sans y résider.
- FTP, Telnet, finger : clear-text, pas d'authentification forte (→ SFTP/FTPS, SSH).
- SNMP v1/v2 = community strings en clair; seul SNMPv3 chiffre.
- LDAP en clair sur TCP 389; LDAPS (v3 + TLS) pour chiffrer. DN/RDN/CN/DC/OU.
6.4 DNS : espace de noms, résolution et enregistrements
Le Domain Name System (DNS) résout les Fully Qualified Domain Names (FQDN) en adresses IP, parce que les humains retiennent mal les longues suites de chiffres. Inventé par Mockapetris, Postel et Su, le DNS repose sur un espace de noms hiérarchique : tout en haut la racine (root), représentée par le point administratif final d'un FQDN, qui gère les Top-Level Domains (TLD : .com, .org, .gov, .edu...). Les TLD pointent vers les domaines de second niveau (second-level domains comme isc2.org), puis viennent les sous-domaines de troisième ou quatrième niveau (www.isc2.org, mail.isc2.org). Chaque niveau doit être résoluble en une adresse IP unique.
La résolution suit un parcours précis. Le client consulte d'abord son cache DNS local, puis son fichier HOSTS local. S'il ne trouve pas, il envoie une requête à son serveur DNS local : c'est une requête récursive (recursive), où le résolveur prend en charge tout le travail et renvoie la réponse finale au client. Pour obtenir cette réponse, le résolveur enchaîne lui-même des requêtes itératives (iterative) en interrogeant successivement les serveurs racine, puis TLD, puis les serveurs faisant autorité (authoritative) jusqu'à trouver l'enregistrement. Distinguer récursif (le résolveur fait tout pour le client) et itératif (le résolveur saute de serveur en serveur) est un point d'examen.
Différents services exigent différents types d'enregistrements (record types). Les plus utilisés : A (résout un FQDN en adresse IPv4), AAAA (en IPv6), MX (identifie le relais de messagerie d'un domaine), CNAME (crée un alias de nom), NS (délègue une zone à un serveur de noms), PTR (résolution inverse adresse vers nom, le reverse lookup), TXT (texte libre, souvent pour SPF/DKIM/DMARC), SOA (Start of Authority) et SRV (localise le port et l'hôte d'un service comme LDAP ou SIP). Le DNS s'organise en zones : un ensemble cohérent d'enregistrements administré comme une unité, délégué par un enregistrement NS.
- Hiérarchie : root → TLD → domaine 2e niveau → sous-domaines; chaque niveau résoluble en IP unique.
- Récursif = le résolveur rend la réponse finale; itératif = le résolveur interroge root/TLD/autorité.
- Types clés : A (IPv4), AAAA (IPv6), MX (mail), CNAME (alias), NS (délégation), PTR (reverse), TXT, SOA.
- Les enregistrements sont regroupés en zones, déléguées par NS.
6.5 DNSSEC, DHCP et attaques associées
La spécification DNS d'origine n'a jamais intégré la sécurité : ni authentification, ni non-répudiation, ni mécanisme garantissant que les transferts de zone n'ont pas été manipulés. L'IETF a donc publié DNSSEC (DNS Security Extensions), qui automatise le processus de trust anchor pour valider les nombreux systèmes DNS de la hiérarchie d'un résolveur. DNSSEC signe les enregistrements (RRset) avec des signatures RRSIG, et chaque niveau de la chaîne (racine, TLD, domaine) signe la clé du niveau enfant via des enregistrements DS, formant une chaîne de confiance ancrée à la racine. Le résolveur valide les signatures : si elles sont absentes ou invalides, la réponse est rejetée. Point d'examen majeur : DNSSEC garantit l'intégrité et l'authenticité des réponses DNS, mais PAS la confidentialité - le trafic DNS reste en clair.
Le DHCP (Dynamic Host Configuration Protocol) attribue dynamiquement des adresses IP depuis un pool préconfiguré. Son échange suit le cycle DORA en quatre temps : Discover (le client diffuse une requête en broadcast), Offer (le serveur propose une adresse), Request (le client demande à accepter cette adresse) et Acknowledge (le serveur confirme). Si aucun serveur ne répond dans le délai imparti, le client s'auto-attribue une adresse APIPA dans la plage 169.254.x.x. DHCPv6 fait l'équivalent pour IPv6.
Ces services d'infrastructure sont la cible d'attaques caractéristiques. Côté DNS : le cache poisoning injecte une fausse réponse dans le cache d'un résolveur pour rediriger les victimes vers une IP malveillante; le DNS spoofing falsifie les réponses; le DNS hijacking détourne la configuration ou le domaine lui-même. DNSSEC contre ces falsifications en rejetant toute réponse dont la signature est invalide. Côté DHCP : un rogue DHCP server (serveur pirate) distribue de fausses configurations (passerelle, DNS contrôlés par l'attaquant) pour réaliser un MITM; la DHCP starvation épuise le pool d'adresses en demandant massivement des baux, provoquant un déni de service et facilitant l'installation du serveur pirate. Contre-mesures : DNSSEC, DHCP snooping et port security sur les commutateurs, surveillance des serveurs DHCP rogues.
- DNSSEC = chaîne de confiance (DS + RRSIG, ancrée à la racine) : intégrité et authenticité, PAS confidentialité.
- DHCP = cycle DORA; sans réponse, auto-attribution APIPA 169.254.x.x.
- Attaques DNS : cache poisoning, spoofing, hijacking (contre-mesure : DNSSEC).
- Attaques DHCP : rogue server (MITM) et starvation (DoS); contre-mesures : DHCP snooping, port security.
Cas d'étude
Une réponse DNS qui détourne le trafic bancaire
Contexte : Les clients d'une banque régionale signalent qu'ils atterrissent sur une page de connexion subtilement différente, qui collecte leurs identifiants. L'équipe sécurité constate que le résolveur DNS récursif interne renvoie, pour le domaine de la banque, une adresse IP contrôlée par un attaquant. La page légitime, elle, est intacte sur les serveurs faisant autorité. Le résolveur n'utilise pas DNSSEC et son cache n'est pas protégé.
Question : Quelle attaque est en cours et quelle contre-mesure aurait empêché que le résolveur accepte la fausse réponse ?
Voir l'analyse et la correction
Il s'agit d'un cache poisoning (variante de DNS spoofing) : l'attaquant a injecté une fausse réponse, associant le FQDN de la banque à son IP malveillante, dans le cache du résolveur récursif. Tant que l'entrée empoisonnée reste en cache, chaque client est redirigé vers le serveur pirate, où ses identifiants sont volés - un cas typique de phishing par détournement de résolution de noms.
La contre-mesure déterminante est DNSSEC. Avec DNSSEC, les enregistrements de la banque sont signés (RRSIG) et la chaîne de confiance remonte jusqu'à la racine via les enregistrements DS. Le résolveur valide la signature de toute réponse : une fausse réponse injectée par l'attaquant ne porte pas de signature valide pour la zone de la banque, donc le résolveur la rejette. La confidentialité n'est pas en jeu ici - le problème est l'authenticité de la réponse, exactement ce que DNSSEC protège. En complément : purger et verrouiller le cache, restreindre la récursion aux clients internes, et surveiller les écarts entre cache et serveurs autoritatifs.
À retenir : Le cache poisoning attaque l'authenticité des réponses DNS; DNSSEC la restaure en signant les enregistrements, sans pour autant chiffrer le trafic.
- Une entrée DNS empoisonnée redirige silencieusement tous les clients tant qu'elle reste en cache.
- DNSSEC fait rejeter les réponses non signées ou mal signées : c'est la parade directe.
- DNSSEC traite l'intégrité et l'authenticité, jamais la confidentialité.
- Compléter par récursion restreinte, verrouillage du cache et surveillance des écarts.
Audit d'un parc qui pilote ses équipements en SNMPv1
Contexte : Un audit révèle qu'un parc de routeurs et commutateurs est administré via SNMP v1 avec la community string par défaut « public ». Les sauvegardes de configuration transitent encore par FTP, et les administrateurs ouvrent des sessions Telnet pour la maintenance.
Question : Quels sont les risques et quel plan de migration vers des protocoles sécurisés proposez-vous ?
Voir l'analyse et la correction
Les trois protocoles sont des legacy non sécurisés. SNMP v1 transmet la community string en clear-text : un attaquant qui la sniffe ou la devine (« public » est le défaut) peut lire et modifier la configuration des équipements à distance - le rapport ISC2 rappelle que c'est un risque réaliste mais facilement mitigé. FTP expose login et fichiers de configuration en clair. Telnet expose la session de terminal et les identifiants administrateurs en clair, exploitables par un simple sniffing du segment.
Le plan de migration remplace chaque protocole par son équivalent chiffré et authentifié : SNMP v1/v2 vers SNMPv3 (chiffrement des community strings et authentification); FTP vers SFTP ou FTPS pour les sauvegardes; Telnet vers SSH pour la maintenance. En accompagnement : changer immédiatement les community strings par défaut, restreindre l'accès SNMP par ACL aux seules stations de gestion, segmenter le réseau d'administration et appliquer le principe de least privilege aux outils de gestion (le SolarWinds 2020 a montré le danger d'un outil de gestion sur-privilégié).
À retenir : Migrer FTP→SFTP/FTPS, Telnet→SSH, SNMPv1/v2→SNMPv3 supprime la transmission d'identifiants en clair, première faiblesse des protocoles legacy.
DNSSEC ne chiffre pas le trafic
Piège classique : croire que DNSSEC apporte la confidentialité. DNSSEC garantit uniquement l'intégrité et l'authenticité des réponses (signatures RRSIG, chaîne de confiance via DS). Le trafic DNS reste en clair et observable. Pour chiffrer les requêtes DNS, il faut DoH (DNS over HTTPS) ou DoT (DNS over TLS), pas DNSSEC.
Couche qui formate l'information : présentation, pas application
À la question « quelle couche est responsable du formatage de l'information ? », la réponse est la couche présentation (Layer 6), responsable de l'encodage, de la compression et du chiffrement. L'application (Layer 7) est la couche la plus proche de l'utilisateur, mais ce n'est pas elle qui formate les données. Ne pas confondre « plus proche de l'utilisateur » (application) et « formatage » (présentation).
FTP et Telnet en clair, SNMP v1/v2 community strings
Les protocoles legacy transmettent les identifiants en clear-text. FTP et Telnet n'offrent ni chiffrement ni authentification forte (remplacer par SFTP/FTPS et SSH). SNMP v1 et v2 utilisent des community strings transmises en clair, devinables par brute-force - seul SNMPv3 ajoute le chiffrement. Toute réponse d'examen recommandant FTP/Telnet/SNMPv1 « pour la sécurité » est fausse.
Point de contrôle — Vérification des acquis
-
Un utilisateur perd sa connexion à un système distant et la connexion réseau est automatiquement rétablie. Quelle couche OSI en est responsable ?
- A Application
- B Présentation
- C Réseau
- D Session
Réponse & justification
Réponse : D — Session
La couche session (Layer 5) établit, maintient et ferme les dialogues entre nœuds, et tente de rétablir une connexion perdue. L'application est la plus proche de l'utilisateur mais ne gère pas le dialogue; la présentation formate les données; le réseau route les paquets.
-
Quelle couche OSI est responsable du formatage de l'information, incluant compression, chiffrement et conversion d'encodage ?
- A Application
- B Présentation
- C Session
- D Transport
Réponse & justification
Réponse : B — Présentation
La couche présentation (Layer 6) gère l'encodage (ASCII/EBCDIC/Unicode), la compression et le chiffrement. Le piège est de répondre Application parce qu'elle est proche de l'utilisateur; mais c'est la présentation qui formate. Session gère le dialogue, transport la livraison de bout en bout.
-
Une organisation veut empêcher qu'un résolveur accepte une fausse réponse DNS injectée par un attaquant. Quelle mesure répond directement à ce besoin ?
- A Chiffrer toutes les requêtes DNS avec DNSSEC pour la confidentialité
- B Déployer DNSSEC pour valider les signatures RRSIG des réponses
- C Migrer le DHCP vers DHCPv6
- D Remplacer Telnet par SSH sur les serveurs DNS
Réponse & justification
Réponse : B — Déployer DNSSEC pour valider les signatures RRSIG des réponses
DNSSEC valide les signatures RRSIG via une chaîne de confiance ancrée à la racine : une réponse forgée sans signature valide est rejetée, ce qui contre le cache poisoning. L'option A est fausse car DNSSEC n'apporte pas la confidentialité (le trafic reste en clair). DHCPv6 et SSH ne traitent pas la falsification des réponses DNS.
-
Dans le cycle DHCP, quel est l'ordre correct des quatre messages échangés ?
- A Offer, Discover, Acknowledge, Request
- B Discover, Offer, Request, Acknowledge
- C Request, Discover, Offer, Acknowledge
- D Discover, Request, Offer, Acknowledge
Réponse & justification
Réponse : B — Discover, Offer, Request, Acknowledge
Le cycle DORA suit l'ordre Discover (le client diffuse), Offer (le serveur propose une adresse), Request (le client demande à l'accepter), Acknowledge (le serveur confirme). Les autres ordres ne respectent pas cette séquence; mémoriser DORA.
-
Un administrateur doit choisir un enregistrement DNS pour effectuer une résolution inverse, c'est-à-dire d'une adresse IP vers un nom d'hôte. Lequel ?
- A MX
- B CNAME
- C PTR
- D AAAA
Réponse & justification
Réponse : C — PTR
Le PTR (Pointer Record) résout une adresse IP vers un nom d'hôte : c'est le reverse lookup. MX identifie le relais de messagerie, CNAME crée un alias de nom, AAAA résout un FQDN vers une adresse IPv6 (résolution directe, pas inverse).
Points essentiels à retenir
- Couche session : établit/maintient/ferme les dialogues (simplex, half/full-duplex, RPC); aucune sécurité native (ISO 7498-2).
- Couche présentation : formate l'information (ASCII/EBCDIC/Unicode, compression, chiffrement); le gateway est le seul équipement vraiment L6.
- Protocoles legacy (FTP, Telnet, finger, SNMP v1/v2) transmettent en clear-text : migrer vers SFTP/FTPS, SSH, SNMPv3, LDAPS.
- DNS : hiérarchie root→TLD→domaine→sous-domaine; résolution récursive vs itérative; types A/AAAA/MX/CNAME/NS/PTR/TXT.
- DNSSEC = intégrité et authenticité (RRSIG, chaîne de confiance), PAS confidentialité; DHCP suit DORA; attention au cache poisoning, rogue DHCP et starvation.
Protocoles de communication sécurisés et cryptographie réseau
Prérequis : Modules M1-M6 (couches et services).
Une grande partie de l'infrastructure Internet repose sur des protocoles conçus à une époque où la confiance était implicite et l'écoute clandestine peu redoutée. Telnet, FTP, HTTP, SNMPv1/v2 ou les services UNIX historiques (rlogin, rsh, rcp) transmettent identifiants et données en cleartext, ce qui en fait des cibles triviales pour l'eavesdropping, le man-in-the-middle et le rejeu. La réponse de l'ingénierie de sécurité a été de superposer la cryptographie : soit en remplaçant le protocole (Telnet vers SSH), soit en le tunnelisant dans une couche chiffrée (HTTP devient HTTPS via TLS).
Ce module dresse le panorama des couples clear-text/chiffré, puis détaille les deux piliers du chiffrement réseau de l'examen : TLS/SSL au-dessus de TCP (couche session/présentation) et IPsec sous IP (couche réseau). Tu y verras le handshake TLS et la forward secrecy, l'opposition AH/ESP et transport/tunnel d'IPsec, ainsi que la gestion de clés (IKE/SA, Diffie-Hellman).
Le module se referme sur SSH pour l'administration, S/MIME et l'anti-spoofing email (SPF, DKIM, DMARC), SNMPv3, SRTP, et enfin Kerberos comme protocole d'authentification réseau à base de tickets. L'objectif d'examen est de savoir choisir le bon mécanisme selon le besoin (confidentialité, intégrité, authentification, périmètre host-to-host ou site-to-site).
7.1 Protocoles sécurisés vs non sécurisés : panorama
Les protocoles historiques d'Internet authentifient et transmettent en clair par conception. Telnet envoie chaque caractère écho entre les hôtes et se limite à une authentification username/password sans chiffrement ; une fois des identifiants de bas niveau capturés, l'escalade de privilèges est triviale car le démon telnetd tourne souvent en privilèges système. Les services UNIX rlogin, rsh et rcp reposent sur une confiance mutuelle host/IP non vérifiée et transmettent sans chiffrement : ils sont sujets à l'interception et doivent être remplacés par SSHv2.
L'approche moderne consiste à substituer un équivalent chiffré au protocole en clair, généralement sur un autre port. Quelques couples à mémoriser : HTTP (80) devient HTTPS via TLS (443) ; FTP (20/21) devient FTPS (TLS) ou SFTP (transfert sur SSH, 22) ; Telnet (23) devient SSH (22) ; SMTP (25) se sécurise via STARTTLS ou la soumission authentifiée (587) ; SNMPv1/v2 (161/162) devient SNMPv3 ; LDAP (389) devient LDAPS via TLS (636).
Le choix de la couche compte. TLS se greffe au-dessus de TCP et protège une application donnée (un flux HTTPS protège tout son contenu) ; IPsec opère sous IP et protège tout le trafic entre deux points sans modifier les applications. Le réflexe d'examen : un protocole en clair n'est jamais corrigé par un simple mot de passe ; il faut soit le remplacer, soit l'encapsuler dans un canal cryptographique (TLS, SSH, IPsec).
- Telnet, rlogin, rsh, rcp : cleartext, à remplacer par SSHv2.
- Mémoriser les couples et ports : 80/443, 23/22, 21/22(SFTP), 389/636.
- TLS protège une application ; IPsec protège tout le trafic IP.
7.2 TLS/SSL et le handshake
Transport Layer Security (TLS) est le successeur de Secure Sockets Layer (SSL), désormais obsolète et interdit (SSLv2/SSLv3 vulnérables, ex : POODLE). TLS établit une session puis fournit chiffrement et intégrité ; il ne s'inscrit proprement ni dans le modèle OSI ni dans TCP/IP et agit comme un protocole transversal au-dessus de TCP. HTTPS, par exemple, transporte HTTP dans un tunnel TLS sur le port 443.
Le handshake négocie tout ce dont les deux parties ont besoin. Le client envoie un ClientHello (versions supportées, suites de chiffrement, valeur aléatoire) ; le serveur répond par un ServerHello (suite choisie, aléatoire), présente son certificat X.509 (authentification du serveur via la PKI) et les paramètres d'échange de clés. Les deux parties réalisent ensuite un échange de clés, puis chacune envoie un message Finished ; le trafic applicatif passe alors dans un canal chiffré par une clé de session symétrique.
La forward secrecy (PFS) est un point d'examen clé : en utilisant un échange Diffie-Hellman éphémère (ECDHE/DHE), la clé de session ne dérive jamais directement de la clé privée du certificat. Ainsi, la compromission ultérieure de cette clé privée ne permet pas de déchiffrer les sessions passées capturées. TLS 1.3 impose des suites à forward secrecy, supprime les algorithmes faibles et réduit le handshake à 1 RTT (contre 2 RTT en TLS 1.2). Piège : SSL est mort, parler de SSL aujourd'hui désigne TLS ; et le certificat authentifie le serveur, pas le client (sauf TLS mutuel).
- Ordre : ClientHello, ServerHello, certificat, échange de clés, Finished.
- Le certificat X.509 authentifie le serveur via la PKI.
- Forward secrecy = DH éphémère ; TLS 1.3 l'impose et chiffre dès 1 RTT.
- SSL est obsolète ; n'utiliser que TLS 1.2+.
7.3 IPsec : AH, ESP, transport vs tunnel
Internet Protocol Security (IPsec) est une suite de protocoles qui sécurise IP en fournissant authentification et chiffrement. IPsec standard n'authentifie que les hôtes entre eux ; pour authentifier des utilisateurs, on combine IPsec avec L2TP. IPsec offre deux protocoles de protection. L'Authentication Header (AH) prouve l'identité de l'origine et garantit l'intégrité grâce à un hash négocié, et inclut un numéro de séquence par paquet pour contrer le rejeu : AH assure authenticité et intégrité mais PAS la confidentialité. L'Encapsulating Security Payload (ESP) chiffre le paquet et en garantit l'intégrité ; il comporte un header (SA + séquence), un payload chiffré (avec IV si besoin), un trailer (padding) et un champ d'authentification optionnel.
IPsec opère selon deux modes. En mode transport, seul le payload IP est protégé et l'en-tête IP d'origine est conservé : c'est l'usage end-to-end (host-to-host), typiquement client vers serveur. En mode tunnel, le payload ET l'en-tête IP d'origine sont protégés, puis l'ensemble devient le payload d'un nouveau paquet doté d'un nouvel en-tête IP : c'est l'usage entre réseaux (gateway-to-gateway), typiquement les VPN firewall-à-firewall.
Cette différence est critique face au NAT. IPsec interprète tout changement d'adresse dans les en-têtes comme une attaque ; le mode tunnel survit au NAT car la source d'origine reste protégée à l'intérieur, alors que le mode transport ferait rejeter le paquet comme altéré. NAT-Traversal (NAT-T) résout cela en encapsulant IPsec dans UDP port 4500. Les clés sont gérées par Internet Key Exchange (IKE), bâti sur ISAKMP, reposant sur Diffie-Hellman (entre routeurs) ou des certificats à clé publique (VPN utilisateur). Chaque Security Association (SA) définit algorithmes, choix AH/ESP et sens ; une SA étant unidirectionnelle, une communication bidirectionnelle exige deux SA.
- AH = intégrité + authentification ; ESP = chiffrement + intégrité.
- Transport conserve l'en-tête IP (host-to-host) ; tunnel ajoute un nouvel en-tête (gateway).
- IKE/ISAKMP négocie les clés ; chaque SA est unidirectionnelle (2 SA pour bidirectionnel).
- NAT casse IPsec transport ; le tunnel + NAT-T (UDP 4500) résout.
7.4 SSH, S/MIME, SNMPv3, SRTP et sécurité email
Secure Shell (SSHv2) est le standard d'administration distante : il remplace Telnet, rlogin, rsh et rcp en offrant authentification forte (clés publiques ou mot de passe), confidentialité et intégrité sur le port 22. Il sert aussi de transport à SFTP et de tunnel pour rediriger d'autres protocoles. Piège d'examen : se méfier des tentatives de downgrade SSH (forcer une version ou des algorithmes faibles) et privilégier l'authentification par clés.
Côté email, S/MIME assure la signature (intégrité + non-répudiation) et le chiffrement des messages via des certificats X.509 par utilisateur. Trois mécanismes anti-spoofing complètent la défense au niveau DNS : SPF (Sender Policy Framework) publie les serveurs autorisés à émettre pour un domaine ; DKIM (DomainKeys Identified Mail) signe cryptographiquement le message pour prouver son authenticité et son intégrité ; DMARC s'appuie sur SPF et DKIM pour définir la politique (rejeter, mettre en quarantaine) et le reporting. SPF, DKIM et DMARC ne figurent pas dans le manuel D4 (DKIM/S/MIME apparaissent dans la cheat sheet) et relèvent ici de la provenance cheat/cbk.
SNMP gère l'infrastructure réseau via un manager et des agents. SNMPv1/v2 transmettent les community strings (mots de passe) en cleartext et sont vulnérables au brute-force ; SNMPv3 corrige en ajoutant authentification et chiffrement : c'est la seule version à déployer. Enfin, SRTP (Secure Real-time Transport Protocol) sécurise la voix et la vidéo (VoIP) en chiffrant et authentifiant les flux RTP, là où RTP seul est en clair. SRTP est un complément d'examen non détaillé dans le manuel (provenance cbk).
- SSHv2 (22) remplace Telnet/rlogin/rsh/rcp ; préférer l'auth par clés.
- S/MIME signe/chiffre les mails ; SPF+DKIM+DMARC contrent le spoofing (cheat/cbk).
- SNMPv3 seul ajoute auth et chiffrement ; v1/v2 = community strings en clair.
- SRTP chiffre la VoIP là où RTP est en clair (cbk).
7.5 Kerberos : authentification réseau
Kerberos est un protocole d'authentification réseau à base de tickets qui permet à un client et à un service de se prouver mutuellement leur identité sans transmettre de mot de passe sur le réseau. Il s'appuie sur un tiers de confiance, le Key Distribution Center (KDC), composé de l'Authentication Server (AS) et du Ticket Granting Server (TGS). Kerberos repose sur de la cryptographie symétrique et offre une authentification mutuelle, ce qui contre l'usurpation de serveur.
Le flux comporte deux temps. D'abord le client s'authentifie auprès de l'AS et reçoit un Ticket Granting Ticket (TGT) chiffré. Ensuite, pour accéder à un service, il présente le TGT au TGS qui lui délivre un ticket de service ; le client présente enfin ce ticket au service cible, qui le valide. L'intérêt majeur est le single sign-on : un seul login initial donne accès à de multiples services via les tickets, et le mot de passe ne circule jamais en clair.
La faiblesse d'examen la plus importante est la sensibilité au décalage d'horloge. Les tickets contiennent des horodatages pour limiter leur durée de vie et contrer le rejeu (replay) ; si les horloges du client, du KDC et du service divergent au-delà de la tolérance (typiquement 5 minutes), l'authentification échoue, d'où la dépendance critique à une synchronisation NTP fiable. Autre point sensible : le KDC est un single point of failure et une cible de grande valeur, car sa compromission expose l'ensemble du domaine d'authentification.
- KDC = AS + TGS ; le mot de passe ne transite jamais en clair.
- Flux : login vers AS (TGT) puis TGT vers TGS (ticket de service) puis service.
- Kerberos offre SSO et authentification mutuelle (cryptographie symétrique).
- Sensible au décalage d'horloge (NTP) ; horodatages contre le rejeu.
Cas d'étude
Sécuriser un transfert de fichiers entre filiales
Contexte : Deux filiales échangent quotidiennement des fichiers entre leurs réseaux internes via FTP en clair, à travers Internet. La DSI veut chiffrer ces échanges sans réécrire les applications métier, et veut que tout le trafic entre les deux sites soit protégé, pas seulement le FTP.
Question : Quelle solution privilégier : SFTP applicatif, FTPS, ou un VPN IPsec en mode tunnel entre les passerelles ?
Voir l'analyse et la correction
SFTP et FTPS protégeraient le seul flux FTP et imposeraient de reconfigurer les applications, ce que la DSI veut éviter. Comme l'exigence est de protéger tout le trafic entre les deux réseaux de façon transparente pour les applications, un VPN IPsec en mode tunnel entre les passerelles (firewall-à-firewall) est le bon choix : il opère sous IP, encapsule chaque paquet d'origine dans un nouvel en-tête IP et chiffre l'ensemble via ESP.
Le mode tunnel est aussi le seul compatible avec le NAT pratiqué sur les liens Internet : l'en-tête d'origine reste protégé à l'intérieur, et NAT-T (UDP 4500) permet la traversée. IKE négocie les clés (Diffie-Hellman entre routeurs) et établit les Security Associations, une par sens.
À retenir : Pour protéger tout le trafic entre deux sites de façon transparente : IPsec mode tunnel (ESP) + NAT-T, pas un protocole applicatif.
Mettre fin à l'usurpation du domaine email
Contexte : Une entreprise constate que des attaquants envoient des emails de phishing en usurpant son nom de domaine d'expéditeur. Les clients reçoivent de faux messages prétendument signés par la société. La RSSI veut empêcher l'usurpation, prouver l'authenticité des mails légitimes et définir ce que les serveurs destinataires doivent faire des faux.
Question : Quelle combinaison de mécanismes répond à ces trois besoins, et lequel relève du chiffrement de bout en bout du contenu ?
Voir l'analyse et la correction
Trois mécanismes DNS se complètent. SPF publie la liste des serveurs autorisés à émettre pour le domaine, ce qui permet aux destinataires de rejeter un émetteur non listé. DKIM ajoute une signature cryptographique vérifiable via une clé publique en DNS, prouvant l'authenticité et l'intégrité du message. DMARC s'appuie sur SPF et DKIM pour publier une politique (rejeter ou mettre en quarantaine les échecs) et recevoir des rapports, ce qui ferme le dispositif anti-spoofing.
Aucun de ces trois ne chiffre le contenu : ils luttent contre l'usurpation au niveau du domaine. Pour la confidentialité de bout en bout et la signature individuelle du contenu, il faut S/MIME (certificats X.509 par utilisateur). SPF/DKIM/DMARC ne sont pas couverts par le manuel D4 (provenance cheat/cbk) mais constituent une réponse d'examen attendue à l'anti-spoofing email.
À retenir : Anti-spoofing = SPF + DKIM + DMARC (niveau domaine) ; confidentialité du contenu = S/MIME (niveau message).
- SPF, DKIM et DMARC luttent contre l'usurpation, ils ne chiffrent pas le contenu.
- DMARC nécessite SPF et/ou DKIM pour appliquer une politique.
- S/MIME apporte la confidentialité et la signature du message lui-même.
- Distinguer protection du domaine (DNS) et protection du message (certificats).
AH ne chiffre pas
AH (Authentication Header) assure l'authentification de l'origine et l'intégrité, mais PAS la confidentialité : il ne chiffre rien. Pour chiffrer, il faut ESP (Encapsulating Security Payload). Une question proposant AH pour de la confidentialité est un piège.
Transport vs tunnel : host-to-host vs gateway
Le mode transport conserve l'en-tête IP d'origine et protège seulement le payload : usage host-to-host (end-to-end). Le mode tunnel encapsule le paquet entier dans un nouvel en-tête IP : usage gateway-to-gateway (VPN site-à-site). Confondre les deux fait échouer le choix d'architecture et la compatibilité NAT.
SSL est obsolète, parler de TLS
SSL (toutes versions, SSLv2/SSLv3) est obsolète et vulnérable ; il ne doit plus être utilisé. Dans l'usage courant, dire SSL désigne en réalité TLS. La bonne réponse d'examen pour sécuriser le transport est TLS 1.2 au minimum, idéalement TLS 1.3 avec forward secrecy.
Kerberos et le décalage d'horloge
Kerberos utilise des horodatages dans ses tickets pour contrer le rejeu (replay) ; il est donc très sensible au décalage d'horloge. Si les horloges divergent au-delà de la tolérance (souvent 5 minutes), l'authentification échoue. Une panne d'authentification Kerberos évoque d'abord un problème de synchronisation NTP.
Point de contrôle — Vérification des acquis
-
Une organisation a besoin d'intégrité et d'authentification de l'origine pour ses paquets IP, mais la confidentialité est assurée ailleurs. Quel protocole IPsec suffit ?
- A ESP, car il chiffre les paquets
- B AH, car il assure authenticité et intégrité sans chiffrement
- C IKE, car il négocie les clés
- D L2TP, car il authentifie les utilisateurs
Réponse & justification
Réponse : B — AH, car il assure authenticité et intégrité sans chiffrement
AH fournit authentification de l'origine et intégrité, sans confidentialité, ce qui correspond exactement au besoin. ESP est superflu ici car il chiffre. IKE n'est qu'un protocole d'échange de clés, et L2TP sert à authentifier les utilisateurs, pas à protéger l'intégrité des paquets.
-
Deux passerelles relient deux réseaux via un VPN à travers Internet avec NAT. Quel mode IPsec est requis ?
- A Mode transport, car il conserve l'en-tête IP d'origine
- B Mode tunnel, car il encapsule le paquet entier dans un nouvel en-tête IP
- C Mode transport avec AH seulement
- D Aucun mode, IPsec est incompatible avec le NAT
Réponse & justification
Réponse : B — Mode tunnel, car il encapsule le paquet entier dans un nouvel en-tête IP
Le mode tunnel encapsule le paquet d'origine entier dans un nouvel en-tête IP, ce qui convient au site-à-site et survit au NAT (avec NAT-T, UDP 4500). Le mode transport ferait rejeter le paquet comme altéré après NAT. AH aggrave même le problème car il protège l'en-tête. IPsec n'est pas incompatible : NAT-T résout la traversée.
-
Quel élément du handshake TLS assure la forward secrecy ?
- A La présentation du certificat X.509 du serveur
- B Un échange Diffie-Hellman éphémère (ECDHE/DHE)
- C Le chiffrement RSA de la clé de session avec la clé publique du serveur
- D Le message Finished
Réponse & justification
Réponse : B — Un échange Diffie-Hellman éphémère (ECDHE/DHE)
La forward secrecy vient d'un échange Diffie-Hellman éphémère : la clé de session ne dérive pas de la clé privée du certificat, donc une compromission ultérieure de cette clé ne déchiffre pas les sessions passées. Le certificat sert à authentifier le serveur. Le chiffrement RSA de la clé de session est justement le mécanisme SANS forward secrecy. Finished ne fait que clore la négociation.
-
Une équipe utilise SNMPv1 pour superviser ses routeurs. Quelle est la principale faiblesse et le correctif ?
- A Les community strings circulent en clair ; migrer vers SNMPv3
- B Le port 161 est obsolète ; changer de port
- C SNMP ne fonctionne qu'en IPv4 ; passer à IPv6
- D SNMP est un protocole TCP ; passer en UDP
Réponse & justification
Réponse : A — Les community strings circulent en clair ; migrer vers SNMPv3
SNMPv1/v2 transmettent les community strings (mots de passe) en cleartext, exposées à l'interception et au brute-force ; SNMPv3 ajoute authentification et chiffrement, c'est le correctif. Le port n'est pas le problème, et les histoires d'IPv6 ou de TCP/UDP sont des distracteurs sans rapport avec la faiblesse de sécurité.
-
Les utilisateurs ne peuvent plus s'authentifier via Kerberos après une panne du serveur de temps. Quelle est la cause la plus probable ?
- A Le certificat TLS du KDC a expiré
- B Le décalage d'horloge dépasse la tolérance et invalide les tickets
- C Le port 22 est bloqué
- D Les community strings ont changé
Réponse & justification
Réponse : B — Le décalage d'horloge dépasse la tolérance et invalide les tickets
Kerberos horodate ses tickets pour contrer le rejeu ; une dérive d'horloge au-delà de la tolérance (souvent 5 min) suite à la panne NTP invalide les tickets et bloque l'authentification. Kerberos n'utilise pas de certificat TLS pour son flux de tickets, le port 22 concerne SSH, et les community strings relèvent de SNMP.
-
Une entreprise veut empêcher l'usurpation de son domaine d'expéditeur ET prouver cryptographiquement l'authenticité de ses mails. Quels mécanismes choisir ?
- A S/MIME seul, car il chiffre le contenu
- B SPF pour les émetteurs autorisés et DKIM pour la signature, cadrés par DMARC
- C IPsec en mode tunnel sur le port 25
- D SNMPv3 pour authentifier les serveurs de messagerie
Réponse & justification
Réponse : B — SPF pour les émetteurs autorisés et DKIM pour la signature, cadrés par DMARC
SPF liste les serveurs autorisés, DKIM signe cryptographiquement le message (authenticité et intégrité), et DMARC applique une politique sur ces deux résultats : c'est la réponse anti-spoofing complète. S/MIME chiffre/signe le contenu mais ne traite pas l'usurpation au niveau domaine. IPsec protège le transport réseau, pas l'authenticité de l'expéditeur, et SNMPv3 supervise des équipements, pas des mails.
Points essentiels à retenir
- Un protocole en clair se corrige en le remplaçant (SSH) ou en l'encapsulant (TLS, IPsec), jamais par un simple mot de passe.
- TLS sécurise une application au-dessus de TCP ; IPsec sécurise tout le trafic sous IP.
- AH = intégrité/authentification ; ESP = chiffrement ; transport = host-to-host ; tunnel = gateway-to-gateway.
- SSL est mort : viser TLS 1.2+ avec forward secrecy (DH éphémère) ; SNMPv3 et SSHv2 sont les versions sûres.
- Kerberos offre SSO et authentification mutuelle par tickets, mais dépend d'une synchronisation d'horloge fiable.
Réseaux sans-fil et mobiles
Prérequis : Modules M2 (couche physique) et M7 (protocoles sécurisés).
Le sans-fil supprime le câble mais pas le risque : il le déplace. Dès qu'un signal radio se propage dans l'air, n'importe qui à portée peut l'écouter (eavesdropping passif), le brouiller (jamming, une forme de DoS) ou se faire passer pour un point d'accès légitime. Le manuel ISC2 le résume : ces technologies présentent des risques additionnels de monitoring et d'interférence, mais leur demande reste forte pour la mobilité et les zones où une infrastructure filaire est difficile à déployer.
Ce module couvre d'abord le Wi-Fi (IEEE 802.11x) et son durcissement progressif, de WEP (cassé) à WPA3 (recommandé), puis l'authentification d'entreprise via 802.1X et EAP. Il élargit ensuite le panorama aux autres technologies sans-fil (Bluetooth, RFID, NFC, Zigbee, cellulaire 4G/5G, satellite, Li-Fi), chacune avec sa portée et son profil de menace. Il se clôt sur les attaques sans-fil emblématiques (evil twin, rogue AP, deauth, KRACK, war driving, bluejacking/bluesnarfing) et leurs contre-mesures.
Note de provenance : le manuel D4 traite en détail les technologies sans-fil (Wi-Fi, Bluetooth/WPAN, Zigbee, cellulaire, satellite, Li-Fi) et l'authentification 802.1X/EAP, mais il est très léger sur la famille WEP/WPA/WPA2/WPA3 et sur les noms d'attaques. Ces éléments, standards de l'examen, sont ajoutés ici en provenance cheat/cbk et signalés comme tels.
8.1 Wi-Fi 802.11 et sa sécurisation (WEP à WPA3)
Le Wi-Fi repose sur la famille de normes IEEE 802.11x. Un réseau Wi-Fi associe des clients à un wireless access point (WAP), lui-même généralement raccordé au réseau filaire. Le WAP diffuse un identifiant de réseau, le SSID. Un WAP unique forme un Basic Service Set (BSS) ; plusieurs WAP partageant le même SSID forment un Extended Service Set (ESS) qui permet le roaming. Le Wi-Fi opère sur deux bandes principales : 2,4 GHz (longue portée, plus encombrée) et 5 GHz (débit supérieur, portée plus courte). Les versions ont évolué (802.11n, 802.11ac, puis 802.11ax/Wi-Fi 6), la rétrocompatibilité permettant à un vieux poste de se connecter à un routeur récent, mais le débit maximal exige des deux côtés la même génération.
La sécurité du Wi-Fi est une frise d'échecs et de corrections. WEP (1999) utilise RC4 avec un IV de 24 bits trop court et une clé statique : il est cassé depuis longtemps, une clé se retrouve en minutes. WPA (2003) fut une rustine de transition introduisant TKIP (toujours sur RC4, avec clé par paquet) : déprécié. WPA2 (2004) impose AES en mode CCMP, le vrai saut qualitatif, mais reste vulnérable à l'attaque KRACK sur le four-way handshake. WPA3 (2018) remplace l'échange PSK par SAE (Simultaneous Authentication of Equals, dit Dragonfly), qui apporte la forward secrecy et résiste aux attaques par dictionnaire hors ligne.
Deux pièges récurrents. D'abord WPS (Wi-Fi Protected Setup) : ce mécanisme de configuration par code PIN est vulnérable au brute force et doit être désactivé, indépendamment du protocole WPA choisi. Ensuite la distinction de mode : le suffixe -Personal (PSK) partage une seule passphrase pour tout le monde, tandis que -Enterprise délègue l'authentification à un serveur RADIUS via 802.1X (voir leçon suivante), offrant des identités individuelles et la révocation. Cacher le SSID ou filtrer les adresses MAC ne sont pas des contrôles de sécurité fiables : ils se contournent trivialement par sniffing.
- Hiérarchie de sécurité : WEP (cassé) < WPA/TKIP (déprécié) < WPA2/AES-CCMP < WPA3/SAE (recommandé).
- WPA3 SAE apporte la forward secrecy et bloque les attaques par dictionnaire hors ligne.
- Désactiver WPS ; masquage SSID et filtrage MAC ne sont pas des contrôles fiables.
8.2 Authentification sans-fil : 802.1X et EAP
IEEE 802.1X est un cadre de contrôle d'accès basé sur le port. Il met en scène trois rôles : le supplicant (le client qui veut se connecter), l'authenticator (le WAP ou le switch, qui contrôle le port d'accès) et le serveur d'authentification (typiquement un serveur RADIUS, qui détient l'annuaire d'identités). Tant que l'authentification n'a pas réussi, l'authenticator garde le port fermé à tout trafic, à l'exception des messages d'authentification eux-mêmes. C'est la grande différence avec le mode PSK : chaque utilisateur a une identité propre, vérifiée centralement, révocable individuellement.
Le dialogue d'authentification utilise EAP (Extensible Authentication Protocol). EAP n'est pas une méthode unique mais une enveloppe extensible : le supplicant et le serveur négocient une méthode concrète. Sur le segment sans-fil, EAP est encapsulé dans EAPOL (EAP over LAN) entre supplicant et authenticator ; l'authenticator relaie ensuite vers le serveur dans des paquets RADIUS. Le manuel souligne qu'EAP emploie un chiffrement plus fort pour protéger les identifiants pendant leur échange, soit avec une clé pré-partagée (EAP-PSK), soit avec TLS (EAP-TLS) pour une protection plus robuste, soit via PEAP qui laisse l'organisation choisir le type d'authentification par certificat adapté à son architecture.
Les variantes diffèrent par la force et le coût de déploiement. EAP-TLS exige des certificats côté client ET côté serveur (authentification mutuelle) : c'est la plus robuste, mais elle impose une PKI. PEAP établit un tunnel TLS authentifié seulement côté serveur, à l'intérieur duquel on présente des identifiants plus simples : déploiement plus léger, très répandu. EAP-PSK repose sur une clé pré-partagée : simple, mais la sécurité s'effondre si la clé fuite. Piège d'examen : 802.1X est le cadre, EAP la méthode, RADIUS le transport vers le serveur ; WPA2-Enterprise et WPA3-Enterprise s'appuient sur ce trio.
- 802.1X = cadre, EAP = méthode, RADIUS = transport ; le port reste bloqué avant succès.
- EAP-TLS (certificats mutuels) > PEAP (tunnel TLS serveur) > EAP-PSK (clé partagée).
- WPA2/WPA3-Enterprise reposent sur ce trio et fournissent des identités individuelles.
8.3 Autres technologies sans-fil
Au-delà du Wi-Fi, l'examen attend une carte mentale des autres technologies sans-fil, classées par portée croissante. Au plus court, NFC (Near Field Communication, 13,56 MHz, moins de 10 cm) sert au paiement sans contact, au badge et à l'amorçage d'appairage. La RFID (étiquettes passives sans batterie ou actives avec batterie, de quelques centimètres à plusieurs mètres) équipe l'inventaire et le contrôle d'accès physique. Bluetooth (IEEE 802.15, WPAN) vise le remplacement des câbles entre périphériques proches : le manuel cite une portée maximale de 100 m, mais la classe 2 usuelle plafonne vers 10 m, avec un débit suffisant pour l'audio haute fidélité ; l'appairage établit la confiance entre deux appareils.
Zigbee (couche réseau au-dessus d'IEEE 802.15.4) cible les objets connectés à très basse consommation, sur topologies mesh, tree ou star. Le manuel insiste sur sa gestion de clés : les appareils arrivent avec une clé symétrique 128 bits préinstallée que Zigbee peut mettre à jour, le but étant d'éviter de transmettre la clé en clair sur le canal de données. Mais il avertit que beaucoup de produits domotiques sont restés avec la seule clé d'usine, jamais renouvelée, et que cette clé est parfois devenue publique : comme dans tout chiffrement symétrique, si la clé fuite, toute la sécurité tombe.
Pour la longue portée, le cellulaire (générations 1G à 5G, standardisé par le 3GPP) couvre des cellules de l'ordre du kilomètre via des stations de base ; la 5G NR vise des débits jusqu'à 20 Gbps et l'IoT massif, en interopérant avec la 4G LTE là où la couverture manque. Le satellite fournit le haut débit aux zones isolées, au prix d'une latence et d'un taux de perte plus élevés, sensibles à la météo et à la ligne de vue. Enfin Li-Fi transmet par lumière visible : très haut débit local, confiné à la pièce et insensible aux interférences RF, mais bloqué par tout obstacle opaque.
- Portée croissante : NFC < RFID < Bluetooth < Zigbee < Wi-Fi < cellulaire < satellite.
- Zigbee : clé d'usine 128 bits souvent jamais renouvelée, risque majeur si elle fuite.
- Li-Fi confine le signal à la pièce (pas de RF) ; le satellite couvre les zones isolées avec forte latence.
8.4 Attaques sans-fil et contre-mesures
Parce que le média est partagé et ouvert, le sans-fil concentre une famille d'attaques propres. La reconnaissance commence souvent par le war driving : parcourir une zone pour cartographier les réseaux Wi-Fi accessibles et leur niveau de protection. Vient ensuite le rogue AP, point d'accès non autorisé branché sur le réseau de l'entreprise par un employé ou un attaquant, qui ouvre une porte dérobée contournant le périmètre. Sa cousine, l'evil twin, est un faux WAP qui imite le SSID légitime pour piéger les clients : l'attaquant intercale alors un man-in-the-middle et capture les identifiants.
Plusieurs attaques exploitent les trames de gestion 802.11, historiquement non authentifiées. L'attaque de deauthentication (deauth) envoie des trames de dissociation forgées pour éjecter les clients ; elle sert de DoS, mais aussi d'amorce : on déconnecte la victime pour la pousser à se reconnecter sur un evil twin, ou pour capturer le four-way handshake en vue d'un crack hors ligne. KRACK (Key Reinstallation Attack) vise précisément ce handshake WPA2 en forçant la réinstallation d'une clé déjà utilisée, ce qui permet de rejouer et déchiffrer du trafic. Le jamming, lui, sature la bande RF : c'est un DoS pur par interférence, que le manuel range parmi les risques intrinsèques du sans-fil.
Côté Bluetooth, le bluejacking envoie des messages non sollicités à un appareil à portée (gênant mais bénin), tandis que le bluesnarfing exfiltre des données (contacts, fichiers) via une faille d'appairage : bien plus grave. Le RFID skimming lit à la dérobée une étiquette ou une carte sans contact pour cloner ses données. Les contre-mesures se superposent en defense in depth : chiffrement fort (WPA3, AES-CCMP) et authentification d'entreprise (802.1X/EAP-TLS) ; détection des rogue/evil twin par un WIPS (Wireless Intrusion Prevention System) qui repère les SSID dupliqués et les bursts de deauth ; gestion des trames protégées (PMF/802.11w) contre les deauth ; appairage Bluetooth en mode sécurisé et désactivation quand inutilisé ; blindage ou désactivation du sans-fil de l'IoT ; et politiques interdisant tout WAP non géré.
- Evil twin = SSID imité + MITM ; souvent précédé d'une deauth pour forcer la reconnexion.
- KRACK casse le four-way handshake WPA2 par réinstallation de clé ; jamming = DoS RF pur.
- Contre-mesures : WPA3/802.1X, WIPS pour rogue/evil twin, PMF contre deauth, appairage Bluetooth sécurisé.
Cas d'étude
Durcir le Wi-Fi d'un siège d'entreprise
Contexte : Une PME a déployé un réseau Wi-Fi unique en WPA2-PSK : la même passphrase est partagée par 400 employés, imprimée sur une affiche en salle de pause et inchangée depuis trois ans. Le SSID est masqué et un filtrage MAC est en place, ce que la direction présente comme suffisant. Un audit révèle qu'un ancien salarié peut toujours se connecter, qu'un WAP grand public a été branché sous un bureau, et qu'une analyse a capté un second SSID identique au légitime émis depuis le parking.
Question : Quelle architecture cible recommander, et pourquoi le masquage du SSID et le filtrage MAC ne corrigent-ils pas le problème ?
Voir l'analyse et la correction
Le coeur du problème est l'absence d'identité individuelle. En WPA2-PSK, une seule clé partagée signifie qu'on ne peut ni révoquer un départ (l'ex-salarié garde la clé) ni tracer qui fait quoi ; une passphrase affichée et figée est, de fait, publique. Le masquage du SSID et le filtrage MAC ne sont pas des contrôles d'authentification : un SSID caché reste visible dès qu'un client s'y associe (sniffing), et une adresse MAC se cloan trivialement après écoute. Le WAP branché sous le bureau est un rogue AP qui crée une porte dérobée contournant le pare-feu. Le SSID dupliqué émis du parking est un evil twin destiné à hameçonner les identifiants via un man-in-the-middle.
La cible est WPA3-Enterprise (ou au minimum WPA2-Enterprise) avec 802.1X et un serveur RADIUS, en EAP-TLS si une PKI existe, sinon PEAP. Chaque employé s'authentifie avec une identité propre, révocable au départ ; WPA3 ajoute SAE pour résister aux attaques par dictionnaire. En complément : désactiver WPS, activer les protected management frames (PMF/802.11w) contre les deauth, déployer un WIPS pour détecter rogue AP et evil twin, et interdire par politique tout WAP non géré.
À retenir : WPA3/WPA2-Enterprise + 802.1X donne des identités individuelles et révocables ; SSID caché et filtrage MAC ne sont pas des contrôles de sécurité.
- Le mode Enterprise (802.1X) remplace une clé partagée par des identités individuelles révocables.
- Masquer le SSID et filtrer les MAC se contournent par sniffing : ce ne sont pas des contrôles d'authentification.
- Un evil twin et un rogue AP appellent un WIPS et une politique stricte sur les WAP.
La clé d'usine Zigbee de la domotique
Contexte : Un fournisseur déploie chez ses clients des capteurs Zigbee (IEEE 802.15.4) pour piloter éclairage et serrures. Pour simplifier l'installation, tous les capteurs conservent la clé symétrique 128 bits préinstallée en usine, sans jamais déclencher la mise à jour de clé prévue par Zigbee. Un chercheur publie que cette clé d'usine, identique sur toute la gamme, circule désormais sur des forums.
Question : Quel principe de cryptographie symétrique est violé, et que fallait-il faire ?
Voir l'analyse et la correction
Zigbee chiffre le trafic des objets basse consommation avec une clé symétrique 128 bits. La clé d'usine n'est qu'un point de départ (fallback) destiné à éviter de transmettre la clé en clair sur le canal de données lors de l'amorçage ; le protocole prévoit ensuite de la remplacer par une clé propre au déploiement. En conservant la clé d'usine partagée par toute la gamme, le fournisseur fait reposer toute la sécurité sur un secret qui n'en est plus un. Le principe violé est fondamental : dans tout schéma symétrique, si la clé est exposée, toute la sécurité est annulée, ici pour l'ensemble du parc d'un coup.
La contre-mesure attendue était de déclencher la rotation de clé après l'appairage initial pour donner à chaque déploiement une clé unique, idéalement provisionnée hors bande. À défaut, un attaquant à portée peut déchiffrer le trafic et, sur des serrures connectées, potentiellement les commander. Le cas illustre que la robustesse d'un algorithme (AES 128 bits) ne vaut rien sans une gestion de clés correcte.
À retenir : Une clé symétrique partagée et non renouvelée annule la sécurité de tout le parc : la gestion de clés prime sur la force de l'algorithme.
WPS est un raccourci dangereux
Activer WPA2 ou WPA3 ne sert à rien si WPS reste actif : le code PIN à 8 chiffres de Wi-Fi Protected Setup est vulnérable au brute force et révèle la passphrase. WPS doit être désactivé indépendamment du protocole de chiffrement choisi.
WPA2-PSK n'est pas WPA2-Enterprise
Le piège classique confond le mode Personal (PSK : une seule passphrase partagée, aucune identité ni révocation individuelle) et le mode Enterprise (802.1X + RADIUS : identités propres, révocables). Une question sur la traçabilité ou la révocation pointe toujours vers Enterprise, pas vers une passphrase partagée.
WPA3 SAE contre le dictionnaire hors ligne
Avec WPA2-PSK, capturer le four-way handshake permet une attaque par dictionnaire hors ligne sur la passphrase. WPA3 remplace cet échange par SAE (Dragonfly), qui rend la capture inexploitable hors ligne et apporte la forward secrecy. Si la question parle d'attaque par dictionnaire sur le handshake, la réponse est WPA3/SAE.
Un appareil connecté peut devenir un AP pirate
Un poste, un téléphone ou une imprimante déjà connectés au réseau peuvent activer un partage de connexion ou un mode point d'accès et se transformer en rogue AP qui contourne le périmètre. La menace ne vient pas que d'un boîtier branché par un attaquant : tout équipement sans-fil mal configuré crée une porte dérobée.
Point de contrôle — Vérification des acquis
-
Une équipe sécurité veut le meilleur protocole Wi-Fi contre les attaques par dictionnaire hors ligne sur le handshake. Lequel choisir ?
- A WEP avec une clé longue
- B WPA avec TKIP
- C WPA2-PSK avec une passphrase complexe
- D WPA3 avec SAE
Réponse & justification
Réponse : D — WPA3 avec SAE
WPA3 utilise SAE (Dragonfly), qui rend la capture du handshake inexploitable hors ligne et apporte la forward secrecy. WEP (RC4) est cassé ; WPA/TKIP est déprécié ; WPA2-PSK, même avec une bonne passphrase, reste exposé à la capture du four-way handshake suivie d'un crack hors ligne.
-
Dans une authentification 802.1X, quel composant détient l'annuaire d'identités et valide les identifiants ?
- A Le supplicant
- B L'authenticator (le WAP)
- C Le serveur d'authentification (RADIUS)
- D Le client DHCP
Réponse & justification
Réponse : C — Le serveur d'authentification (RADIUS)
Le serveur d'authentification, typiquement un serveur RADIUS, détient l'annuaire et valide les identifiants. Le supplicant est le client qui demande l'accès ; l'authenticator (WAP/switch) ne fait que contrôler le port et relayer l'EAP vers le serveur ; le DHCP n'intervient pas dans l'authentification.
-
Un attaquant émet un faux WAP avec le même SSID que le réseau d'entreprise, puis envoie des trames de deauthentication aux clients. Quelle attaque est en cours ?
- A War driving
- B Evil twin (avec deauth pour forcer la reconnexion)
- C RFID skimming
- D Bluejacking
Réponse & justification
Réponse : B — Evil twin (avec deauth pour forcer la reconnexion)
C'est un evil twin : un faux WAP imite le SSID légitime, et la deauth force les victimes à se reconnecter sur lui pour permettre un man-in-the-middle. Le war driving n'est que de la cartographie ; le RFID skimming vise les étiquettes sans contact ; le bluejacking envoie des messages Bluetooth non sollicités.
-
Des capteurs Zigbee gardent leur clé d'usine 128 bits, identique sur toute la gamme et désormais publique. Quel principe est violé ?
- A Une clé asymétrique trop courte
- B En cryptographie symétrique, l'exposition de la clé annule toute la sécurité
- C Le chiffrement par flux est interdit en IoT
- D La clé doit être plus longue que 128 bits
Réponse & justification
Réponse : B — En cryptographie symétrique, l'exposition de la clé annule toute la sécurité
Zigbee chiffre en symétrique : si la clé fuite, toute la sécurité tombe, ici pour tout le parc. La clé d'usine n'est qu'un fallback à remplacer après l'amorçage. Il ne s'agit pas d'asymétrie, le problème n'est pas la longueur (128 bits suffit), et le chiffrement par flux n'est pas en cause.
-
Une politique exige des identités individuelles et la révocation immédiate au départ d'un employé sur le Wi-Fi. Quelle configuration répond à ce besoin ?
- A WPA2-PSK avec rotation mensuelle de la passphrase
- B Masquage du SSID et filtrage MAC
- C WPA2/WPA3-Enterprise avec 802.1X et RADIUS
- D WPS activé pour faciliter l'enrôlement
Réponse & justification
Réponse : C — WPA2/WPA3-Enterprise avec 802.1X et RADIUS
Seul le mode Enterprise (802.1X + RADIUS) fournit des identités individuelles révocables au cas par cas. Une passphrase partagée, même tournée, ne trace ni ne révoque un seul utilisateur ; SSID caché et filtrage MAC ne sont pas des contrôles d'authentification ; WPS est une vulnérabilité à désactiver.
Points essentiels à retenir
- Hiérarchie Wi-Fi : WEP cassé < WPA/TKIP déprécié < WPA2/AES-CCMP < WPA3/SAE recommandé.
- 802.1X = cadre, EAP = méthode, RADIUS = transport ; le mode Enterprise donne des identités individuelles révocables.
- Classer les technologies sans-fil par portée : NFC < RFID < Bluetooth < Zigbee < Wi-Fi < cellulaire < satellite.
- Evil twin, rogue AP, deauth, KRACK et jamming visent le média ouvert ; réponse : WPA3/802.1X, WIPS, PMF.
- En symétrique (Zigbee), une clé exposée ou non renouvelée annule toute la sécurité : la gestion de clés prime.
Architecture réseau sécurisée : segmentation, Zero Trust, SDN et cloud
Prérequis : Modules M4-M5 (réseau et filtrage).
Concevoir un réseau sûr, ce n'est pas empiler des firewalls : c'est décider où placer les frontières de confiance et comment les contrôler. Ce module relie quatre courants qui transforment l'architecture réseau moderne : la segmentation classique (zones de confiance, DMZ / screened subnet), la micro-segmentation qui pousse le contrôle jusqu'au flux individuel, la programmabilité du réseau (SDN, SD-WAN, NFV) et le déplacement des contrôles vers le cloud et le edge (NACL, security groups, VPC, CDN).
Le fil rouge est l'évolution du modèle de confiance. Les piles OSI et TCP/IP ont grandi dans un monde de périmètres : une fois passé le portail, l'utilisateur héritait d'une large visibilité (modèle trust-but-verify, typique du SSO). Ce module montre pourquoi ce modèle ne suffit plus et comment Zero Trust (NIST SP 800-207) inverse l'hypothèse : on ne fait jamais confiance par défaut, on vérifie chaque requête.
À l'examen CISSP, ces sujets se présentent en mise en situation : choisir un placement de service, limiter le lateral movement, distinguer un contrôle stateful d'un contrôle stateless, ou reconnaître qu'une technologie « software-defined » introduit un control plane à protéger en priorité.
9.1 Segmentation, DMZ et micro-segmentation
Segmenter un réseau, c'est le découper en zones de confiance séparées par des contrôles (le plus souvent des firewalls), de sorte qu'une compromission dans une zone ne se propage pas librement. La segmentation classique distingue au minimum trois zones : la zone publique (internet), une zone semi-confiance exposée et une zone interne de confiance. C'est la logique de Trust, but Verify illustrée par le perimeter network : chaque franchissement de frontière exige authentification et autorisation.
La DMZ (demilitarized zone), aussi appelée screened subnet, est cette zone tampon où l'on place les services qui doivent être joignables depuis l'extérieur : serveur web, serveur de messagerie, bastion (jump box), edge servers. L'idée est de ne jamais exposer directement le réseau interne : un attaquant qui compromet un service en DMZ ne doit pas trouver de chemin direct vers la base de données. On encadre la DMZ par deux jeux de règles (vers l'extérieur, vers l'intérieur), souvent matérialisés par deux firewalls ou un firewall à trois pattes.
La micro-segmentation pousse cette logique à l'extrême : au lieu de quelques grandes zones, on isole des charges de travail individuelles (voire des flux applicatifs), avec un point de contrôle à presque chaque connexion (next-generation firewalls). Son bénéfice de sécurité majeur est de limiter drastiquement le lateral movement : même à l'intérieur du périmètre, rien ne communique sans règle explicite. C'est une brique fréquente des réseaux Zero Trust.
Piège d'examen : « DMZ » et « screened subnet » désignent la même chose ; et la micro-segmentation n'est PAS synonyme de Zero Trust (elle en est un composant possible, jamais suffisant à elle seule). Placer une base de données en DMZ est l'erreur type à reconnaître.
- DMZ = screened subnet : zone tampon pour services joignables de l'extérieur.
- Jamais de données sensibles directement en DMZ.
- La micro-segmentation limite le lateral movement, sans être à elle seule du Zero Trust.
9.2 Défense en profondeur réseau et contrôles cloud
La défense en profondeur (defense in depth) applique des contrôles à chaque couche plutôt que de tout miser sur un périmètre unique : segmentation, firewalls, IDS/IPS, chiffrement du data-in-transit, RBAC sur les équipements et la console de supervision, MFA pour les actions privilégiées, audit continu des appels privilégiés. Aucun contrôle n'est parfait, donc on les superpose pour que la défaillance de l'un soit rattrapée par un autre.
Dans le cloud IaaS, ces contrôles changent de forme. Le VPC (Virtual Private Cloud) est la brique d'isolation : une section logiquement isolée où le client maîtrise plages d'IP, subnets, tables de routage et passerelles. La règle d'or : toute défaillance de l'isolation du VPC est susceptible de provoquer une brèche. Attention aussi aux services managés du fournisseur, souvent situés hors du VPC client et parfois joignables depuis internet par défaut (ex. un bucket de stockage objet).
Deux mécanismes de filtrage cloud se complètent et s'opposent au sens de l'examen. Le security group s'applique au niveau de l'instance (la VM) avec des règles stateful : la réponse à un trafic autorisé est implicitement permise. La NACL (Network Access Control List) s'applique au niveau du subnet avec des règles stateless : entrée et sortie sont évaluées séparément, et chaque sens doit être autorisé explicitement. Une NACL peut allow ou deny ; un security group, classiquement, n'exprime que des allow.
La NFV (Network Functions Virtualization) complète le tableau : les fonctions réseau (firewall, routeur, équilibreur de charge) deviennent des logiciels exécutés sur du matériel banalisé. C'est ce qui rend la défense en profondeur élastique et programmable dans le cloud. Piège d'examen : confondre stateful (security group, instance) et stateless (NACL, subnet) est l'erreur classique.
- Security group = stateful, niveau instance ; NACL = stateless, niveau subnet (allow ET deny).
- Le VPC isole le tenant ; une défaillance d'isolation entraîne une brèche.
- Les services managés peuvent vivre hors VPC et être exposés par défaut.
9.3 SDN et SD-WAN
Le SDN (Software-Defined Networking) sépare la décision de l'acheminement. Il s'organise en trois plans. Le plan application porte les besoins réseau des applications métier, exprimés via des API dites northbound interfaces (NBI), souvent propriétaires. Le plan control est le cerveau : un contrôleur centralisé programme les flux et dialogue avec les équipements via les southbound interfaces (SBI), dont OpenFlow fut le protocole pionnier. Le plan data (ou forwarding plane) regroupe switches, routeurs et autres équipements, physiques ou virtuels, qui se contentent d'acheminer le trafic selon les décisions reçues.
La terminologie des flux est piégeuse car elle a deux usages. Au sens SDN, north-south désigne le mouvement vers le haut ou le bas de la pile de plans (NBI/SBI), tandis que east-west désigne les échanges au sein d'un même plan (par exemple le control plane qui parle aux hyperviseurs et au stockage). Au sens sécurité plus large, on parle de trafic north-south pour ce qui entre et sort de l'organisation, et de trafic east-west pour le trafic interne entre charges de travail. Les deux lectures sont valides ; il faut identifier laquelle la question mobilise.
Le SD-WAN (Software-Defined WAN) étend le SDN à l'interconnexion de sites distants via internet, typiquement dans une logique de migration cloud. Il remplace les architectures WAN historiques, peut être hébergé chez un ou plusieurs fournisseurs cloud, et apporte micro-segmentation des types de trafic (broadband, MPLS, internes vs externes), réduction de l'empreinte matérielle on-premises et administration centralisée.
Enjeu de sécurité décisif : en centralisant l'intelligence dans le control plane, le SDN crée un point de contrôle unique - donc un point de défaillance et une cible de choix. Si le contrôleur est compromis, l'attaquant programme tout le réseau. Piège d'examen : « software-defined » ne se limite pas au réseau (il existe une sécurité software-defined) ; et le bénéfice du SDN n'efface pas le risque de concentration sur le control plane.
- SDN = 3 plans : application (NBI), control (cerveau), data (forwarding, SBI/OpenFlow).
- north-south = entre plans ou entrée/sortie ; east-west = intra-plan ou trafic interne.
- Le control plane centralisé est un point de défaillance et une cible prioritaire.
9.4 CDN et edge computing
Un CDN (Content Distribution Network ou Content Delivery Network) est un vaste système distribué de serveurs déployés dans de multiples data centers à travers internet, dont le but est de servir du contenu aux utilisateurs avec une haute disponibilité et de hautes performances. Le contenu typique est de la vidéo en streaming ou du multimédia, mais les médias d'information s'en servent aussi pour pousser le travail de correspondants vers un serveur d'origine, puis le diffuser à la demande.
Un CDN comporte deux composants majeurs. Le serveur d'origine héberge le contenu source (pages web, médias riches, audio, vidéo). Les serveurs edge reçoivent ce contenu par push et le redistribuent aux utilisateurs finals. L'astuce est géographique : en plaçant des edge servers au plus près des régions à forte densité d'utilisateurs, on réduit la latence et la distance parcourue. Le contenu est mis en cache de proximité sur l'edge, ce qui évite de solliciter l'origine à chaque requête.
L'edge computing généralise cette idée au-delà de la simple diffusion : les serveurs edge offrent de la capacité de calcul au plus près de la bordure de l'organisation. Leurs cas d'usage incluent l'acquisition et la réduction de données issues de grands parcs de capteurs, ou le contrôle et la gestion de flottes IoT diverses et dispersées.
Intérêt sécurité : la dispersion et la capacité distribuée d'un CDN aident à absorber les pics de trafic et à atténuer les attaques DDoS volumétriques, puisque la charge est répartie sur de nombreux points de présence plutôt que concentrée sur l'origine. Les CDN évoluent d'ailleurs vers des services spécialisés de sécurité et d'optimisation. Piège d'examen : ne pas confondre le serveur d'origine (source unique) avec les edge servers (copies de cache réparties) ; et garder que le bénéfice DDoS vient de la répartition, pas d'un chiffrement.
- CDN = serveur d'origine (source) + serveurs edge (cache réparti).
- La proximité réduit latence et distance, et améliore la disponibilité.
- La répartition aide à absorber les pics et atténuer les DDoS volumétriques.
9.5 Trust-but-Verify vs Zero Trust (NIST 800-207)
Le modèle historique trust-but-verify part d'une hypothèse implicite : une fois un sujet authentifié et autorisé à franchir une frontière (token avec une time-to-live), on lui fait confiance tant que son jeton n'a pas expiré. Ce modèle se voit typiquement avec le SSO : un Single Sign On dépose l'utilisateur sur le LAN/WAN, d'où il a une visibilité large, sinon un accès, sur une grande partie des systèmes. C'est pratique, mais la fenêtre de confiance reste ouverte et large.
Zero Trust inverse l'hypothèse : aucun accès n'est implicite, ni à l'intérieur ni à l'extérieur du périmètre. Le principe se résume par never trust, always verify. Chaque action ou requête d'un sujet doit être authentifiée et autorisée, et la fenêtre de confiance (la time-to-live du jeton) devient quasi nulle. Les réseaux Zero Trust sont souvent micro-segmentés, avec des next-generation firewalls à presque chaque point de connexion.
Le NIST a formalisé l'approche dans la SP 800-207 (Zero Trust Architectures, ZTA), qui en donne une vue logique. Trois composants structurent le plan de contrôle. Le Policy Engine (PE) prend la décision d'accès en évaluant la politique et les signaux disponibles. Le Policy Administrator (PA) exécute cette décision en établissant ou coupant la session. Le Policy Enforcement Point (PEP) est le point d'application placé sur le chemin entre le sujet et la ressource : il laisse passer ou bloque chaque requête. Aucune connexion sujet-ressource ne contourne le PEP.
Le NIST insiste : Zero Trust dépasse la technique réseau. Ce n'est pas qu'une affaire de câbles, routeurs, firewalls ou même de micro-segmentation ; il faut combiner des approches stratégiques, tactiques, opérationnelles et technologiques. Pièges d'examen : une DMZ n'est pas du Zero Trust (c'est du périmètre trust-but-verify) ; la micro-segmentation est nécessaire mais pas suffisante ; et Zero Trust contrôle par requête, pas par session de longue durée.
- Trust-but-verify fait confiance après franchissement ; Zero Trust ne fait jamais confiance par défaut.
- ZTA NIST 800-207 : PE décide, PA exécute, PEP applique sur chaque requête.
- Une DMZ n'est pas du Zero Trust ; la micro-segmentation est nécessaire mais pas suffisante.
Cas d'étude
Placement d'un service exposé
Contexte : Une équipe doit publier une nouvelle application web vers internet. L'application consulte une base de données contenant des informations clients sensibles. Sous pression de délai, un administrateur propose de placer à la fois le serveur web et le serveur de base de données dans la DMZ, derrière le firewall de bordure, pour « simplifier les règles ».
Question : Pourquoi cette proposition est-elle dangereuse, et quel placement recommander ?
Voir l'analyse et la correction
La DMZ est conçue pour accueillir les services qui doivent être joignables depuis l'extérieur, en acceptant qu'ils soient les plus exposés. Y placer la base de données revient à exposer directement la donnée sensible : un attaquant qui compromet n'importe quel service de la DMZ atteindrait la base sans franchir de frontière interne. C'est précisément l'erreur de layout que la segmentation cherche à éviter.
Le placement correct sépare les rôles : le serveur web va en DMZ (screened subnet), la base de données reste dans un segment interne de confiance, et seul le serveur web est autorisé à l'interroger via une règle précise (port et protocole dédiés). On applique le least privilege au niveau réseau et, idéalement, une micro-segmentation pour que la compromission du web ne donne pas un accès libre au reste de l'interne. Le lateral movement est ainsi borné.
À retenir : Les données sensibles ne vont jamais en DMZ : on expose le frontal, on isole le back-end, on n'ouvre que le flux strictement nécessaire.
XOS Manufacturing : du périmètre vers Zero Trust
Contexte : XOS Manufacturing est un industriel mondial dont la production dépend de systèmes ICS (Industrial Control Systems). Le nouveau directeur de la sécurité, Hiroshi, doit élaborer un plan de segmentation réseau couvrant l'ensemble des sites, avec une seule équipe IT et des techniciens itinérants. Le conseil a validé le besoin de segmenter pour protéger le réseau ICS et empêcher un attaquant de pivoter, tout en permettant l'administration à distance des différents réseaux.
Question : Comment combiner segmentation, micro-segmentation, SD-WAN et principes Zero Trust pour ce contexte multi-sites avec ICS ?
Voir l'analyse et la correction
Première couche : isoler strictement le réseau ICS du réseau bureautique par des zones de confiance distinctes et des firewalls. L'ICS est critique et fragile ; il ne doit jamais être joignable directement depuis internet ni depuis le réseau corporate sans contrôle. Une DMZ industrielle (zone tampon) sert de relais pour les rares flux légitimes vers/depuis l'extérieur.
Deuxième couche : micro-segmenter à l'intérieur des sites pour borner le lateral movement. Si un poste corporate est compromis, l'attaquant ne doit pas pivoter vers les automates. Chaque flux inter-segment passe par une règle explicite, idéalement via des next-generation firewalls.
Troisième couche : relier les sites mondiaux par un SD-WAN cloud-hosted, qui offre administration centralisée (utile avec une seule équipe IT), micro-segmentation des types de trafic et résilience. L'accès des techniciens itinérants s'appuie sur des principes Zero Trust : authentification et autorisation par requête (PE/PA/PEP), MFA, et fenêtre de confiance courte, plutôt qu'un SSO ouvrant tout le WAN. On évite ainsi le piège trust-but-verify où un accès distant unique exposerait l'ensemble du réseau.
À retenir : Une architecture moderne empile les contrôles : segmentation forte de l'ICS, micro-segmentation contre le pivot, SD-WAN pour relier et gérer, Zero Trust pour l'accès distant.
- L'ICS s'isole en priorité : jamais joignable directement, relais par DMZ industrielle.
- La micro-segmentation borne le pivot interne ; chaque flux exige une règle explicite.
- Le SD-WAN cloud-hosted réduit l'empreinte matérielle et centralise la gestion.
- Le Zero Trust remplace le SSO « tout ou rien » par un contrôle par requête.
Une DMZ n'est pas du Zero Trust
La DMZ relève du modèle de périmètre trust-but-verify : une fois la frontière franchie, la confiance est largement accordée. Zero Trust ne fait jamais confiance par défaut et contrôle chaque requête. Avoir une DMZ ne signifie donc pas « être en Zero Trust ».
Micro-segmentation nécessaire, pas suffisante
La micro-segmentation limite le lateral movement et est une brique fréquente du Zero Trust, mais le NIST rappelle que la ZTA dépasse le réseau : il faut aussi des approches stratégiques, d'identité et opérationnelles. Micro-segmenter seul ne fait pas un Zero Trust.
SDN : control plane compromis = tout le réseau
Le SDN sépare le control plane du data plane et centralise la décision dans un contrôleur. Cette centralisation est un atout de gestion mais un point de défaillance : si le control plane est compromis, l'attaquant programme l'ensemble du réseau. Protéger le contrôleur est prioritaire.
Security group vs NACL : stateful vs stateless
Le security group agit au niveau de l'instance et est stateful (la réponse au trafic autorisé passe implicitement). La NACL agit au niveau du subnet et est stateless (entrée et sortie évaluées séparément, et elle peut faire allow ou deny). Inverser ces propriétés est l'erreur classique.
Point de contrôle — Vérification des acquis
-
Une équipe veut exposer un serveur web vers internet tout en protégeant une base de données contenant des données clients sensibles. Quel placement respecte les bonnes pratiques de segmentation ?
- A Web et base de données tous deux en DMZ pour simplifier les règles
- B Web en DMZ, base de données dans un segment interne, flux unique autorisé du web vers la base
- C Base de données en DMZ et web dans le segment interne
- D Web et base de données dans le même segment interne, exposés via NAT
Réponse & justification
Réponse : B — Web en DMZ, base de données dans un segment interne, flux unique autorisé du web vers la base
On expose le frontal (web) en DMZ et on isole la donnée sensible en interne, en n'ouvrant que le flux strictement nécessaire (least privilege réseau). A et C exposent la base de données, ce qui annule la segmentation. D expose directement le segment interne.
-
Dans une architecture cloud IaaS, vous devez bloquer explicitement une plage d'IP au niveau d'un subnet entier, avec des règles évaluées séparément en entrée et en sortie. Quel contrôle utilisez-vous ?
- A Un security group (stateful, niveau instance)
- B Une NACL (stateless, niveau subnet)
- C Le VPC peering
- D Une règle de Policy Engine
Réponse & justification
Réponse : B — Une NACL (stateless, niveau subnet)
La NACL agit au niveau du subnet, est stateless (entrée/sortie séparées) et peut faire deny - c'est exactement ce qui est demandé. Le security group est stateful, au niveau instance et n'exprime classiquement que des allow. Le peering relie des VPC ; le Policy Engine relève du Zero Trust.
-
Dans une architecture SDN, par quelle interface le contrôleur (control plane) programme-t-il les switches et routeurs du data plane ?
- A Les northbound interfaces (NBI)
- B Les southbound interfaces (SBI), p. ex. OpenFlow
- C Les API du plan application
- D Le flux east-west uniquement
Réponse & justification
Réponse : B — Les southbound interfaces (SBI), p. ex. OpenFlow
Le control plane dialogue avec les équipements du data plane via les southbound interfaces, dont OpenFlow fut le protocole pionnier. Les NBI relient applications et control plane (vers le haut). L'east-west est un mouvement intra-plan, pas l'interface de programmation des équipements.
-
Pourquoi un CDN aide-t-il à atténuer une attaque DDoS volumétrique ?
- A Il chiffre tout le trafic de bout en bout
- B Il répartit la charge sur de nombreux serveurs edge plutôt que sur l'origine
- C Il remplace le serveur d'origine par un firewall
- D Il bloque le trafic east-west interne
Réponse & justification
Réponse : B — Il répartit la charge sur de nombreux serveurs edge plutôt que sur l'origine
La dispersion géographique et la capacité distribuée des serveurs edge permettent d'absorber les pics, le trafic étant réparti sur de nombreux points de présence plutôt que concentré sur l'origine. Le chiffrement (A) ne traite pas le volume. C et D décrivent des rôles inexistants du CDN.
-
Dans la ZTA NIST 800-207, quel composant se trouve sur le chemin entre le sujet et la ressource et applique concrètement la décision pour chaque requête ?
- A Le Policy Engine (PE)
- B Le Policy Administrator (PA)
- C Le Policy Enforcement Point (PEP)
- D Le contrôleur SDN
Réponse & justification
Réponse : C — Le Policy Enforcement Point (PEP)
Le PEP est le point d'application placé sur le chemin sujet-ressource : il laisse passer ou bloque chaque requête. Le PE prend la décision et le PA l'exécute (établir/couper la session), mais ce sont des fonctions du plan de contrôle, pas le point d'application sur le flux. Le contrôleur SDN relève d'une autre architecture.
-
Un responsable affirme : « Nous avons déployé la micro-segmentation, donc nous sommes en Zero Trust. » Quelle est la meilleure réponse ?
- A C'est exact : micro-segmentation et Zero Trust sont synonymes
- B La micro-segmentation est une brique nécessaire mais pas suffisante ; le NIST rappelle que la ZTA dépasse le réseau
- C Le Zero Trust exige d'abord une DMZ, donc l'affirmation est fausse
- D Le Zero Trust ne concerne que le trafic north-south externe
Réponse & justification
Réponse : B — La micro-segmentation est une brique nécessaire mais pas suffisante ; le NIST rappelle que la ZTA dépasse le réseau
La micro-segmentation limite le lateral movement et est fréquente en Zero Trust, mais le NIST insiste : la ZTA combine identité, stratégie et opérations, pas seulement du réseau. A est faux (pas synonymes). C est faux (une DMZ relève du périmètre trust-but-verify). D réduit indûment le périmètre du Zero Trust.
Points essentiels à retenir
- Segmenter, c'est placer des frontières de confiance : DMZ / screened subnet pour l'exposé, segments internes pour le sensible, jamais l'inverse.
- Dans le cloud, security group = stateful niveau instance, NACL = stateless niveau subnet (allow ET deny) ; le VPC isole le tenant.
- SDN sépare control plane et data plane (NBI vers le haut, SBI/OpenFlow vers le bas) ; le contrôleur centralisé est la cible à protéger en priorité.
- Le CDN sert le contenu via serveur d'origine + serveurs edge en cache de proximité, ce qui réduit la latence et aide à atténuer les DDoS.
- Zero Trust (NIST 800-207) renverse trust-but-verify : never trust, always verify, contrôle par requête via PE (décide), PA (exécute), PEP (applique).
Accès distant, convergence et attaques réseau
Prérequis : Modules M5 et M9.
Ce module rassemble les briques qui étendent le réseau au-delà de son périmètre physique et qui le rendent vulnérable. On commence par l'accès distant : VPN remote-access (un poste nomade vers une gateway) contre VPN site-to-site (gateway à gateway), IPsec VPN contre SSL/TLS VPN, et le piège du split tunneling. On enchaîne avec les services AAA réseau (RADIUS, TACACS+, Diameter) et le Network Access Control (NAC), qui vérifie la posture d'un terminal avant de l'admettre.
Vient ensuite la convergence : la voix et la vidéo circulent désormais sur IP. On étudie VoIP, la signalisation SIP, le média RTP/SRTP, le passage par la passerelle PSTN et les enjeux de QoS. On aborde aussi les réseaux convergés et de stockage (iSCSI, FCoE, MPLS), la connectivité tiers et la sécurité des endpoints fondée sur un Root of Trust (RoT) matériel.
Le module se termine par une taxonomie consolidée des attaques réseau (DoS/DDoS, amplification, MITM, session hijacking, spoofing, ARP/DNS poisoning, replay) et leurs contre-mesures, afin que vous reliiez chaque menace à un service de sécurité (confidentialité, intégrité, disponibilité) et à un contrôle concret.
10.1 VPN : accès distant vs site-to-site
Un VPN établit une connexion point-to-point qui prolonge un réseau privé à travers un réseau public, le plus souvent via un tunnel chiffré. Un tunnel est l'encapsulation d'un protocole dans un autre. Deux topologies dominent. Le VPN remote-access relie un poste nomade (avec un client VPN) à une gateway de l'organisation : l'utilisateur retrouve l'accès aux ressources internes comme s'il était au bureau. Le VPN site-to-site relie deux gateways (gateway-to-gateway), par exemple deux sites ou un partenaire, pour transporter le trafic inter-sites sur Internet sans liaison dédiée coûteuse.
Deux familles de protocoles s'opposent à l'examen. L'IPsec VPN opère en couche 3 : il chiffre les paquets IP via AH/ESP, négocie les clés avec IKE et fonctionne en tunnel mode (paquet entier protégé, typique du site-to-site et du remote-access) ou en transport mode (seule la charge utile). Il porte tout protocole IP mais exige un client. Le SSL/TLS VPN s'appuie sur TLS et la PKI pour générer une clé de session ; il est accessible via un navigateur, donc léger à déployer et compatible avec la quasi-totalité des réseaux qui laissent sortir le HTTP. Note historique : SSL est obsolète et insécurisé, remplacé par TLS. PPTP (legacy, GRE) et L2TP (qui ne chiffre pas et s'appuie sur IPsec) complètent le paysage des tunnels.
Le split tunneling laisse le poste distant envoyer une partie de son trafic dans le tunnel (vers l'entreprise) et le reste directement vers Internet. C'est pratique et économe en bande passante, mais cela crée un pont potentiel entre Internet et le réseau interne, contournant les contrôles périmétriques. La contre-mesure classique est le full tunneling (tout le trafic passe par la gateway et ses contrôles).
Piège d'examen : ne confondez pas le type de VPN (qui se connecte à qui : remote-access ou site-to-site) avec le protocole (comment on sécurise : IPsec ou TLS). Les deux questions sont orthogonales. Et rappelez-vous que le SSL/TLS VPN est plus simple à déployer côté client, tandis que l'IPsec VPN est plus universel pour le trafic non web.
- Remote-access = un poste vers une gateway ; site-to-site = gateway à gateway.
- IPsec (couche 3, tout protocole IP, client requis) vs SSL/TLS VPN (navigateur, déploiement léger).
- Split tunneling = gain de bande passante mais pont vers le réseau interne ; préférer full tunneling.
- Type de VPN et protocole sont deux choix indépendants.
10.2 AAA réseau et NAC : RADIUS, TACACS+, Diameter
Les services AAA (authentication, authorization, accounting) centralisent le contrôle d'accès réseau. RADIUS (Remote Authentication Dial-In User Service) utilise UDP (ports 1812/1813), ne chiffre que le mot de passe dans le paquet et combine authentication et authorization dans un même échange. C'est un standard ouvert très répandu pour l'accès réseau et le sans-fil. Son successeur, Diameter, repose sur un transport fiable (TCP ou SCTP), apporte une meilleure sécurité et davantage d'extensibilité ; on le rencontre surtout dans les réseaux mobiles (IMS, 4G/5G).
TACACS+ (Cisco) utilise TCP (port 49), chiffre l'intégralité du payload et sépare les trois A (authentication, authorization, accounting). Cette séparation permet un contrôle fin commande par commande, idéal pour l'administration d'équipements réseau. Mnémonique d'examen : TACACS+ = TCP, chiffre Tout, sépare l'AAA ; RADIUS = UDP, chiffre seulement le mot de passe, combine authn et authz.
Le Network Access Control (NAC) ne crée pas la politique, il l'applique. Il donne la visibilité sur qui et quoi se connecte (employés, BYOD, IoT, invités) et vérifie la posture du terminal avant admission : niveau de patch, antivirus actif, règles de pare-feu, intégrité. Un poste non conforme est isolé dans un réseau de quarantaine, éventuellement remédié, puis admis. Le 802.1X est un protocole de Port-based NAC à trois rôles : le supplicant (le terminal), l'authenticator (commutateur ou point d'accès) et le serveur d'authentification (souvent RADIUS). Le NAC peut être agent (logiciel installé, posture riche) ou agentless (scan réseau, plus léger mais moins profond).
Provenance : RADIUS n'apparaît dans le manuel D4 que comme port (1812) ; TACACS+ et Diameter sont quasi absents du manuel et proviennent ici de la cheat sheet et du CBK transverse. Piège : RADIUS combine authn et authz et ne chiffre que le mot de passe ; ne lui attribuez pas la séparation AAA ni le chiffrement complet, qui sont des marqueurs de TACACS+.
- RADIUS : UDP, chiffre le mot de passe seul, combine authn et authz.
- TACACS+ : TCP, chiffre tout, sépare les trois A (contrôle par commande).
- Diameter : successeur de RADIUS sur transport fiable, réseaux mobiles.
- NAC vérifie la posture, isole en quarantaine ; 802.1X = supplicant/authenticator/serveur ; agent ou agentless.
10.3 Convergence voix/vidéo : VoIP, SIP, QoS
La VoIP (Voice over IP) transporte la voix sur des réseaux IP : la voix est numérisée, compressée par un codec, découpée en paquets, transmise puis reconstituée à l'arrivée. Elle est la fondation des communications unifiées (web et visioconférence) et a été absorbée par les plateformes de collaboration multimédia (Zoom, Teams, Skype). Comparée au POTS (plain old telephone system, circuit-switched analogique), la VoIP offre chiffrement, enregistrement et conférence, mais elle hérite de tous les risques du monde IP.
Deux plans coexistent. La signalisation établit, modifie et termine l'appel : c'est le rôle de SIP (Session Initiation Protocol, RFC 2543 puis successeurs), qui permet à tout équipement compatible de dialoguer avec un autre. SIP supporte l'authentification digest (historiquement par hash MD5) et le chiffrement, notamment via TLS, ainsi que des extensions de confidentialité (chiffrement, masquage du caller ID). Le média (la voix elle-même) voyage dans RTP ; sa variante sécurisée SRTP ajoute chiffrement et authentification du flux audio. Une passerelle (gateway) raccorde le monde IP au PSTN pour joindre les téléphones analogiques, et de nombreuses juridictions imposent des services E911 et de géolocalisation.
La qualité de service (QoS) est critique : la voix tolère mal la latence, la gigue (jitter) et la perte de paquets. On la priorise (marquage DiffServ, file d'attente) et on isole souvent la voix dans un VLAN dédié. Côté sécurité, les menaces incluent l'eavesdropping (interception de RTP non chiffré), le SPIT (Spam over Internet Telephony), le toll fraud, le détournement de signalisation SIP, et les DoS qui dégradent les appels.
Piège d'examen : SIP signale, RTP/SRTP portent le média - ne les confondez pas. Et retenez que la VoIP n'efface pas les risques : elle hérite de ceux d'IP (spoofing, DoS, sniffing) tout en ajoutant les siens (SPIT, toll fraud). Le bon réflexe est SRTP pour le média et SIP sur TLS pour la signalisation.
- SIP = signalisation (établit/termine) ; RTP/SRTP = média (SRTP chiffre et authentifie).
- La passerelle relie VoIP et PSTN ; POTS est analogique circuit-switched.
- QoS critique : prioriser la voix, VLAN voix dédié, limiter latence/gigue/perte.
- Risques : eavesdropping, SPIT, toll fraud, plus tous les risques IP hérités.
10.4 Réseaux convergés et de stockage
La convergence consiste à faire circuler sur une même infrastructure IP des trafics historiquement séparés (données, voix, stockage). iSCSI (Internet Small Computer Systems Interface) fait passer des commandes SCSI sur des réseaux IP, évitant un câblage de stockage dédié. Idéalement iSCSI fonctionne sur un réseau dédié, car les transferts de masse entrent en contention avec les transactions sensibles au temps. Il supporte plusieurs schémas d'authentification : les anciennes implémentations utilisent CHAP, mais Kerberos ou SRP (Secure Remote Password) sont préférables.
FCoE (Fibre Channel over Ethernet) encapsule le Fibre Channel dans des trames Ethernet pour simplifier l'environnement de centre de données. Correctement mis en oeuvre, FCoE reproduit le comportement d'un réseau de stockage Fibre Channel tout en mutualisant l'infrastructure Ethernet. MPLS (Multiprotocol Label Switching) opère entre les couches 2 et 3 : il commute selon une étiquette (label) plutôt que par recherche d'adresse à chaque saut, améliorant la performance et permettant l'ingénierie de trafic, la priorisation de service et la résilience (par exemple MPLS Fast Reroute). Le routeur de bord (MPLS Edge Node) appose ou retire l'étiquette, les LSR (Label Switching Router) commutent à l'intérieur du domaine.
La connectivité tiers exige des pratiques de gestion : politique d'onboarding/monitoring/offboarding, inventaire des relations et évaluation des risques, monitoring et audit conformes aux contrats. À la fin de l'accès, vérifiez que l'IAM reflète le retrait des privilèges, que les interconnexions physiques et logiques sont supprimées et que le matériel est récupéré.
Enfin, la sécurité des endpoints s'appuie sur un Root of Trust (RoT) : un composant matériel immuable (trust anchor), souvent une puce TPM, qui garantit l'authenticité et l'intégrité de l'amorçage (BIOS, composants système). L'immuabilité est difficile à atteindre en logiciel, d'où l'ancrage matériel. La gestion d'endpoint moderne couvre identité, configuration, vérification de santé, gestion à distance et géolocalisation. Piège : iSCSI et FCoE sont des protocoles convergés/stockage, pas des VPN ; et MPLS améliore la performance et la QoS mais n'est pas un mécanisme de chiffrement.
- iSCSI = SCSI sur IP (réseau dédié, CHAP/Kerberos/SRP) ; FCoE = Fibre Channel encapsulé dans Ethernet.
- MPLS commute par label entre couches 2 et 3 : performance, QoS, ingénierie de trafic (pas du chiffrement).
- Connectivité tiers : onboarding/offboarding, inventaire, audit, retrait IAM à la fin.
- RoT matériel (TPM) garantit un démarrage authentique et intègre ; base de la sécurité endpoint.
10.5 Attaques réseau et contre-mesures
Les attaques réseau se rangent par service de sécurité touché. Les attaques de disponibilité visent à interrompre le service. Le DoS sature une cible depuis une source ; le DDoS le fait depuis un botnet distribué (la prolifération de l'IoT a rendu les DDoS volumétriques sans fil spectaculaires). On distingue le DDoS volumétrique (sature la bande passante) du DDoS applicatif (épuise les ressources serveur avec peu de trafic). L'amplification/réflexion exploite des services qui répondent plus gros que la requête : Smurf envoie un echo ICMP à l'adresse de broadcast avec l'IP de la victime usurpée, provoquant une avalanche de réponses ; DNS et NTP servent aussi de réflecteurs. Contre-mesures : rate limiting, scrubbing/anti-DDoS, filtrage en amont (CDN/ISP), fermeture des résolveurs ouverts, anti-spoofing d'entrée (BCP38).
Les attaques de confidentialité et d'intégrité interceptent ou altèrent le trafic. Le MITM (man-in-the-middle) place l'attaquant entre deux parties ; il résulte souvent d'un ARP poisoning/spoofing (injection d'associations IP-MAC fausses) ou d'un DNS poisoning. Contre-mesure : chiffrement bout en bout (TLS), authentification mutuelle, HSTS, et au niveau commutateur Dynamic ARP Inspection (DAI) et DHCP snooping. Le session hijacking vole un jeton ou un cookie de session établie ; on s'en protège par des jetons aléatoires, des cookies Secure/HttpOnly, l'expiration et la re-authentification. Le spoofing usurpe une identité (IP, ARP, DNS, MAC) ; DNSSEC protège l'intégrité DNS, le filtrage anti-usurpation d'entrée limite l'IP spoofing. Le replay rejoue des paquets légitimes capturés ; on le contre par des nonces, de l'horodatage, des numéros de séquence et l'anti-replay d'IPsec.
Piège d'examen classique : la question demande quel attaquant se fait passer pour un système intermédiaire. La réponse précise est souvent l'ARP spoofing (le mécanisme), qui crée une situation de MITM (le terme général). Sachez aussi qu'un teardrop est un DoS par fragments non réassemblables, et que le route poisoning n'est pas une attaque mais un mécanisme de RIP. Le bon réflexe : relier chaque attaque au service (C/I/A) et à sa contre-mesure dédiée plutôt que de mémoriser des noms isolés.
- Disponibilité : DoS/DDoS (volumétrique vs applicatif), amplification ; contrer par rate limiting, scrubbing, anti-spoofing.
- Confidentialité/intégrité : MITM via ARP/DNS poisoning ; contrer par TLS, DAI, DHCP snooping, DNSSEC.
- Session hijacking : jetons aléatoires, cookies Secure, expiration, re-authentification.
- Replay : nonces, horodatage, numéros de séquence, anti-replay IPsec.
Cas d'étude
Protéger les communications du projet de drone Waxbill
Contexte : Une organisation pilote (inspirée de MLZ Systems et du projet de drone de surveillance Waxbill) coordonne un projet sensible avec plusieurs partenaires répartis. Le comité de pilotage demande des garanties sur la sécurité du réseau et du trafic : segmentation par zones de confiance avec next-generation firewalls aux frontières, VLAN au sein de chaque zone, IDS/IPS sur les systèmes critiques, et chiffrement de tout le trafic. L'équipe indique utiliser IPsec en tunnel mode et transport mode pour protéger à la fois le trafic interne et les connexions VPN, et sauvegarder les schémas chiffrés vers le cloud via des VPN sécurisés. Le comité s'inquiète plus précisément de l'interception des canaux de communication (e-mail, messagerie instantanée, visioconférence) entre les partenaires contributeurs et du protection du trafic des tiers.
Question : Quelle architecture d'accès et de protection du trafic recommandez-vous pour relier les partenaires tiers et sécuriser la voix/vidéo, en justifiant les choix tunnel mode contre transport mode et le contrôle des endpoints distants ?
Voir l'analyse et la correction
Pour relier des partenaires distincts, un VPN site-to-site IPsec en tunnel mode est adapté : il protège le paquet IP entier entre les gateways des deux organisations et masque la topologie interne. Pour les techniciens nomades, un VPN remote-access (IPsec ou SSL/TLS VPN) avec full tunneling évite le pont du split tunneling. Le transport mode convient pour protéger le trafic de bout en bout entre deux hôtes à l'intérieur d'une zone de confiance, là où on ne veut pas réencapsuler tout le paquet.
Le trafic voix/vidéo doit être chiffré au niveau média (SRTP) et signalisation (SIP sur TLS), priorisé par QoS et isolé dans un VLAN voix. La messagerie et l'e-mail s'appuient sur le chiffrement et le MFA, conformément à la réponse du scénario. Côté tiers, on applique une politique d'onboarding/offboarding, un inventaire des relations et un audit ; à la fin de l'accès, l'IAM doit refléter le retrait des privilèges. Enfin, l'admission des endpoints distants passe par un NAC qui vérifie la posture (patch, AV, intégrité) et, idéalement, par un RoT matériel garantissant l'intégrité d'amorçage des terminaux critiques.
À retenir : Combinez site-to-site (tunnel mode) pour les liens inter-organisations et remote-access (full tunneling) pour les nomades, sécurisez la voix par SRTP + SIP/TLS, et contrôlez les tiers et endpoints par politique, NAC et RoT.
Stratégie d'accès distant sécurisé : VPN + MFA + NAC
Contexte : Inspiré de l'activité d'accès distant : un industriel doit ouvrir l'accès à des employés et à des techniciens itinérants dans le monde entier. Quatre faiblesses sont identifiées : politiques faibles, manque de visibilité (comment savoir que l'entité distante est bien qui elle prétend être, et que la session n'a pas été hijackée ?), diversité des terminaux (chacun avec ses failles), et réutilisation de mots de passe entre usage domestique et professionnel. La direction veut empêcher les attaques tout en laissant passer les connexions légitimes.
Question : Comment construire une stratégie d'accès distant qui répond simultanément aux quatre faiblesses ?
Voir l'analyse et la correction
La visibilité et l'authentification reposent sur un VPN (chiffrement du transit, anti-hijacking) couplé au MFA : le mot de passe seul ne suffit pas, ce qui neutralise aussi la réutilisation de mots de passe entre maison et travail. La gestion de session (qui se connecte, quand, d'où) avec expiration et re-authentification limite le session hijacking après établissement.
La diversité des terminaux est traitée par le NAC : onboarding et vérification à chaque reconnexion, contrôle de posture (patch, AV, pare-feu, chiffrement complet du disque), isolement en quarantaine des non-conformes. On y ajoute des politiques d'accès conditionnel (restreindre selon le réseau, l'heure, la géolocalisation) et la révocation des permissions dès qu'un terminal quitte le périmètre. Côté télétravail, full device encryption et formation à l'usage du VPN complètent le dispositif. L'ensemble illustre la defense in depth : aucun contrôle isolé ne suffit, c'est l'empilement VPN + MFA + NAC + politique qui ferme les quatre brèches.
À retenir : Un accès distant sûr empile VPN (transit), MFA (identité), NAC (posture et conformité) et politique d'accès conditionnel - defense in depth plutôt qu'un contrôle unique.
- Le VPN protège le transit mais n'authentifie pas l'utilisateur : ajoutez le MFA.
- Le NAC ferme la brèche de la diversité des terminaux par contrôle de posture et quarantaine.
- La gestion de session (expiration, re-authentification) contre le session hijacking.
- Aucun contrôle isolé ne suffit : empiler VPN + MFA + NAC + politique = defense in depth.
RADIUS n'est pas TACACS+
Erreur fréquente : attribuer à RADIUS la séparation des trois A ou le chiffrement complet. RADIUS = UDP, chiffre seulement le mot de passe, combine authn et authz. TACACS+ = TCP, chiffre tout le payload, sépare authentication/authorization/accounting (contrôle commande par commande).
Split tunneling = risque
Le split tunneling économise de la bande passante mais laisse le poste distant accéder simultanément à Internet et au réseau interne, créant un pont qui contourne les contrôles périmétriques. En contexte d'examen, le choix sûr est le full tunneling : tout le trafic remonte par la gateway et ses contrôles.
La VoIP hérite des risques IP
Passer la voix sur IP ne supprime pas les risques : la VoIP hérite des menaces IP (spoofing, DoS, sniffing/eavesdropping) et y ajoute les siennes (SPIT, toll fraud, détournement SIP). Sécurisez le média par SRTP et la signalisation par SIP sur TLS. SIP signale, RTP/SRTP portent le média - ne les confondez pas.
DDoS volumétrique vs applicatif
Distinguez le DDoS volumétrique, qui sature la bande passante par un déluge de trafic (souvent via amplification/réflexion comme Smurf, DNS, NTP), du DDoS applicatif, qui épuise les ressources serveur avec peu de trafic ciblé sur la couche 7. Les contre-mesures diffèrent : filtrage en amont/scrubbing pour le volumétrique, limites de débit et durcissement applicatif pour le couche 7.
Point de contrôle — Vérification des acquis
-
Une entreprise relie son siège et une filiale par un tunnel chiffré permanent entre les deux pare-feux, sans logiciel sur les postes. De quel type de VPN s'agit-il ?
- A VPN remote-access (client vers gateway)
- B VPN site-to-site (gateway à gateway)
- C Split tunneling sur le poste client
- D SSL/TLS VPN via navigateur
Réponse & justification
Réponse : B — VPN site-to-site (gateway à gateway)
C'est un VPN site-to-site : le tunnel relie deux gateways (les pare-feux), sans client sur les postes. Le remote-access relie un poste nomade à une gateway. Le split tunneling est un mode de routage, pas un type de VPN. Le SSL/TLS VPN via navigateur cible des utilisateurs distants, pas une liaison inter-sites permanente.
-
Un administrateur veut un contrôle d'accès AAA qui chiffre l'intégralité du paquet et sépare authentication, authorization et accounting pour autoriser les commandes une à une sur les routeurs. Quel protocole choisir ?
- A RADIUS
- B TACACS+
- C Diameter
- D 802.1X
Réponse & justification
Réponse : B — TACACS+
TACACS+ utilise TCP, chiffre tout le payload et sépare les trois A, ce qui permet l'autorisation fine par commande, idéale pour l'administration d'équipements. RADIUS (UDP) ne chiffre que le mot de passe et combine authn/authz. Diameter est le successeur de RADIUS mais ne fournit pas ce contrôle par commande typique de TACACS+. 802.1X est un protocole de PNAC, pas un protocole AAA serveur.
-
Dans un appel VoIP, quel protocole établit et termine la session, et lequel transporte la voix chiffrée et authentifiée ?
- A SIP établit la session ; SRTP transporte le média
- B RTP établit la session ; SIP transporte le média
- C TLS établit la session ; RTP transporte le média
- D SRTP établit la session ; SIP transporte le média
Réponse & justification
Réponse : A — SIP établit la session ; SRTP transporte le média
SIP est le protocole de signalisation (établit, modifie, termine l'appel) ; SRTP est la variante sécurisée de RTP qui chiffre et authentifie le flux média. RTP transporte le média mais sans sécurité native. TLS peut protéger la signalisation SIP mais n'établit pas la session VoIP elle-même.
-
Quelle affirmation sur MPLS est correcte ?
- A MPLS chiffre le trafic de bout en bout comme un VPN
- B MPLS commute selon une étiquette pour améliorer performance et QoS
- C MPLS est un protocole de stockage encapsulant SCSI
- D MPLS authentifie les terminaux via CHAP
Réponse & justification
Réponse : B — MPLS commute selon une étiquette pour améliorer performance et QoS
MPLS opère entre les couches 2 et 3 et commute selon une étiquette plutôt que par recherche d'adresse à chaque saut, ce qui améliore la performance, la QoS et permet l'ingénierie de trafic. Il ne chiffre pas le trafic (ce n'est pas un VPN). C'est iSCSI qui encapsule SCSI sur IP, et CHAP est un schéma d'authentification (notamment d'iSCSI), pas une fonction de MPLS.
-
Un attaquant injecte de fausses associations IP-MAC sur le LAN pour intercepter le trafic entre deux hôtes. Quelle contre-mesure au niveau du commutateur est la plus adaptée ?
- A Rate limiting du trafic entrant
- B Dynamic ARP Inspection (DAI) avec DHCP snooping
- C Fermeture des résolveurs DNS ouverts
- D Numéros de séquence anti-replay
Réponse & justification
Réponse : B — Dynamic ARP Inspection (DAI) avec DHCP snooping
L'attaque décrite est un ARP poisoning/spoofing menant à un MITM. Dynamic ARP Inspection, appuyée sur DHCP snooping, valide les associations IP-MAC sur le commutateur et bloque les paquets ARP falsifiés. Le rate limiting vise les DoS. Fermer les résolveurs ouverts contre l'amplification DNS. Les numéros de séquence anti-replay contrent le replay, pas l'empoisonnement ARP.
-
Un service en ligne tombe alors que les compteurs montrent un trafic réseau modeste mais des threads serveur saturés par des requêtes applicatives coûteuses. De quel type d'attaque s'agit-il le plus probablement ?
- A DDoS volumétrique par amplification
- B DDoS applicatif (couche 7)
- C Session hijacking
- D Replay de paquets
Réponse & justification
Réponse : B — DDoS applicatif (couche 7)
Peu de trafic mais des ressources serveur épuisées caractérisent un DDoS applicatif (couche 7), qui cible des requêtes coûteuses. Le DDoS volumétrique saturerait au contraire la bande passante. Le session hijacking vole une session, il n'épuise pas les ressources. Le replay rejoue des paquets, sans provoquer cette saturation applicative.
Points essentiels à retenir
- Type de VPN (remote-access vs site-to-site) et protocole (IPsec vs SSL/TLS) sont deux choix indépendants ; le split tunneling est un risque.
- RADIUS = UDP, mot de passe chiffré, AAA combiné ; TACACS+ = TCP, tout chiffré, AAA séparé ; le NAC applique la posture (802.1X, agent/agentless).
- VoIP : SIP signale, RTP/SRTP portent le média ; la voix exige QoS et hérite des risques IP.
- iSCSI, FCoE et MPLS sont des protocoles convergés/stockage ; MPLS améliore la QoS mais ne chiffre pas ; les endpoints s'ancrent dans un RoT matériel.
- Relier chaque attaque réseau (DoS/DDoS, MITM, hijacking, spoofing, replay) à un service de sécurité touché et à une contre-mesure dédiée.
Synthèse du domaine
La sécurité des communications et des réseaux protège la confidentiality, l'integrity et l'availability de l'information pendant qu'elle transite. Les modèles OSI 7 couches et TCP/IP sont les outils de référence : ils ne sont pas que théoriques, ils se matérialisent dans le matériel, les firmwares, les logiciels et les services virtualisés qui font fonctionner Internet. Maîtriser les deux facilite toute analyse de sécurité, car produits et services empruntent leur terminologie aux deux piles.
Chaque couche apporte ses protocoles et ses risques. Les protocoles historiques (FTP, Telnet, finger) manquaient d'authentification et de chiffrement ; beaucoup ont été remplacés par des versions robustes (SFTP, SSH, HTTPS, SNMPv3), mais les protocoles legacy continuent de fragiliser les environnements mal configurés. Les équipements de sécurité (firewalls, IDS/IPS, proxies, NAC) et les protocoles sécurisés (TLS, IPsec, Kerberos) doivent être choisis et placés selon la couche visée et le risque à traiter.
Les architectures évoluent : la segmentation et la defense in depth cèdent la place à la micro-segmentation et au Zero Trust (ne jamais faire confiance, toujours vérifier), pendant que le SDN, le SD-WAN et les CDN déplacent l'intelligence du matériel vers le logiciel et le cloud. Les réseaux sans-fil, l'accès distant et les communications temps réel (VoIP) ajoutent des surfaces d'attaque spécifiques qui exigent des contrôles dédiés. Le professionnel doit savoir expliquer les compromis performance/sécurité pour qu'une décision de risque éclairée soit prise.
Glossaire (Terms & Definitions)
Les termes-clés du Domaine 4, à maîtriser en anglais pour l'examen.
| Terme | Définition |
|---|---|
| OSI 7-Layer Model | Modèle de référence ISO en 7 couches (physique à application) décrivant l'interconnexion des systèmes. |
| TCP/IP Model | Pile IETF à 4 couches (Network Access, Internet, Transport, Application) qui fait fonctionner Internet. |
| Encapsulation | Ajout d'en-têtes à chaque couche descendante ; la donnée devient segment, packet, frame puis bits. |
| PDU (Protocol Data Unit) | Unité de données propre à une couche (segment en L4, packet en L3, frame en L2). |
| Bound Network | Réseau dont les nœuds sont reliés en couche 1 par câbles, fils ou fibre (filaire). |
| Unbound Network | Réseau sans-fil utilisant ondes radio, lumière (Li-Fi) ou acoustique. |
| MAC (Media Access Control) | Adresse matérielle 48 bits identifiant une interface sur un segment LAN. |
| ARP | Protocole de couche liaison résolvant une adresse IP en adresse MAC sur le même LAN ; non authentifié. |
| CSMA/CD vs CSMA/CA | Méthodes d'accès au média : détection de collision (Ethernet filaire) vs évitement (sans-fil). |
| VLAN | Segmentation logique d'un switch en domaines de diffusion séparés ; trunk 802.1Q entre switches. |
| Subnetting / CIDR | Découpage d'un réseau IP en sous-réseaux en empruntant des bits ; hôtes utilisables = 2^n - 2. |
| NAT / PAT | Translation d'adresses (et de ports) entre adresses privées et publiques ; n'est pas un contrôle de sécurité fiable. |
| ICMP | Protocole de couche réseau pour le diagnostic et les messages d'erreur (ping, traceroute) ; abusé dans Smurf et le tunneling. |
| Routing (IGP/EGP) | Acheminement des packets ; IGP à l'intérieur d'un AS (RIP, OSPF), EGP entre AS (BGP). |
| Three-Way Handshake | Établissement d'une connexion TCP en trois temps : SYN, SYN-ACK, ACK. |
| Stateful Inspection | Firewall qui suit l'état des connexions pour décider du filtrage, contrairement au simple packet filter. |
| NGFW | Next-generation firewall combinant inspection applicative (L7), IPS et contrôle des applications. |
| WAF | Web Application Firewall filtrant le trafic HTTP/S en couche 7 pour protéger les applications web. |
| IDS / IPS | Détection d'intrusion (passif, hors bande) vs prévention (en ligne, bloque) ; signature ou anomalie. |
| DNS | Service de résolution des noms de domaine en adresses IP via une hiérarchie root/TLD/domaine. |
| DNSSEC | Extensions signant les réponses DNS (chaîne de confiance) pour l'intégrité/authenticité ; pas la confidentialité. |
| TLS | Protocole de chiffrement en transit (web et autres) ; TLS 1.3 impose la forward secrecy. |
| IPsec (AH / ESP) | Suite de sécurisation IP ; AH = intégrité/authenticité, ESP = chiffrement ; modes transport et tunnel. |
| Kerberos | Protocole d'authentification réseau à base de tickets via un KDC ; sensible au décalage d'horloge. |
| WPA2 / WPA3 | Standards de chiffrement Wi-Fi ; WPA2 utilise AES-CCMP, WPA3 ajoute SAE contre les attaques par dictionnaire. |
| 802.1X / EAP | Contrôle d'accès basé sur les ports avec authentification (supplicant, authenticator, serveur RADIUS). |
| VPN | Tunnel chiffré sur un réseau public ; remote-access (client-gateway) ou site-to-site (gateway-gateway). |
| RADIUS vs TACACS+ | Protocoles AAA ; RADIUS (UDP, chiffre le mot de passe) vs TACACS+ (TCP, chiffre tout, sépare AAA). |
| NAC | Network Access Control : vérifie la posture et la conformité d'un équipement avant de l'admettre. |
| Zero Trust (NIST 800-207) | Modèle sans confiance implicite ; chaque requête est authentifiée et autorisée (PE, PA, PEP). |
| Microsegmentation | Cloisonnement fin du réseau (souvent en Zero Trust) limitant fortement le lateral movement. |
| SDN | Software-Defined Networking : sépare les plans control et data pour piloter le réseau par logiciel. |
| CDN | Content Distribution Network : serveurs edge rapprochés des utilisateurs ; cache et atténuation DDoS. |
| VoIP / SIP | Voix sur IP ; SIP gère la signalisation, RTP/SRTP le média ; hérite des risques IP (eavesdropping, SPIT). |
| MITM | Man-in-the-middle : interception/relais d'une communication entre deux parties qui se croient directes. |
| Root of Trust (RoT) | Composant matériel immuable servant d'ancre de confiance pour démarrer dans un état sûr. |
Points essentiels du domaine
Ce qu'il faut absolument retenir
- La sécurité réseau protège la CIA de l'information en transit à travers les couches OSI et TCP/IP.
- Les modèles OSI (7 couches) et TCP/IP sont la carte de la surface d'attaque : situer protocoles, équipements et menaces à la bonne couche.
- Les protocoles fondamentaux (TCP/IP, DNS, DHCP) doivent être sécurisés ; les protocoles legacy en clair (FTP, Telnet) restent un risque majeur.
- Les équipements de sécurité (firewalls, IDS/IPS) filtrent et détectent ; IDS détecte, IPS bloque.
- Les protocoles de transmission sécurisés (TLS, IPsec, VPN) protègent les données en transit ; AH assure intégrité/authenticité, ESP ajoute la confidentialité.
- Les réseaux sans-fil posent des défis spécifiques : chiffrer (WPA2/WPA3) et contrôler l'accès (802.1X/EAP, détection des rogue AP).
- Internet expose à des risques majeurs (malware, phishing, DoS/DDoS) que des contrôles en couches doivent atténuer.
- La VoIP et le temps réel exigent des contrôles dédiés (SRTP, anti-eavesdropping, QoS).
- La segmentation et la micro-segmentation limitent le lateral movement ; le Zero Trust (NIST 800-207) suppose la brèche et vérifie chaque requête.
- Le SDN sépare les plans control et data et virtualise le réseau (NFV) ; un control plane compromis met tout le réseau en péril.
- Le NAC impose la conformité (posture) avant connexion et offre la visibilité nécessaire à la réponse à incident.