Contenu tiré exclusivement des trois PDF fournis (Cisco CyberOps Associate v1.0, modules 12 à 14). Les notions sont classées dans l'ordre logique d'apprentissage : le vocabulaire du module 13 conditionne la lecture des deux autres.
Tout le reste du cours repose sur ces cinq termes. Les confondre est la première cause de perte de points.
| Terme | Définition du cours |
|---|---|
| Menace | Un danger potentiel pour un actif (données, réseau lui-même). |
| Vulnérabilité | Une faiblesse dans un système ou sa conception, qui pourrait être exploitée par une menace. |
| Surface d'attaque | L'ensemble des vulnérabilités d'un système accessibles à un attaquant : tous les points d'entrée et de sortie des données. |
| Exploit | Le mécanisme utilisé pour exploiter une vulnérabilité et compromettre le système. Distant : fonctionne sur le réseau sans accès préalable à la cible. Local : l'attaquant a déjà un accès utilisateur ou administrateur au système — mais pas nécessairement un accès physique. |
| Risque | La probabilité qu'une menace donnée exploite une vulnérabilité donnée et entraîne une conséquence indésirable. |
| Contre-mesure | Action entreprise pour protéger les actifs en atténuant une menace ou en réduisant un risque. |
| Impact | Le dommage potentiel causé à l'organisation par la menace. |
La gestion des risques équilibre le coût des protections et le gain obtenu en protégeant l'actif.
| Stratégie | Quand / comment |
|---|---|
| Acceptation | Quand le coût des mesures dépasse le coût du risque lui-même → on ne fait rien. |
| Évitement | On élimine l'activité → on perd aussi tout le bénéfice qu'elle apportait. |
| Réduction | On diminue l'exposition. C'est la stratégie la plus couramment utilisée. |
| Transfert | Le risque est transféré à un tiers consentant (typiquement une compagnie d'assurance). |
Le terme « acteur de menace » (threat actor) désigne les grey hats et les black hats.
| Type | Motivation / profil |
|---|---|
| Script kiddies | Inexpérimentés, exécutent des scripts et exploits existants ; généralement pas à but lucratif. |
| Courtiers en vulnérabilités | Grey hats : découvrent des failles et les signalent aux fournisseurs contre prix ou récompenses. |
| Hacktivistes | Grey hats : protestent contre des polémiques politiques et des idées sociales. |
| Cybercriminels | Motivés par l'argent. Économie souterraine ; achètent et vendent données personnelles et propriété intellectuelle volées. |
| Parrainés par l'État | Volent des secrets, collectent du renseignement, sabotent les réseaux de gouvernements étrangers, groupes terroristes et entreprises. |
Historique : le piratage démarre dans les années 1960 avec le phone freaking (fréquences audio pour manipuler les commutateurs téléphoniques et passer des appels gratuits) ; au milieu des années 1980 apparaît le war dialing (composer tous les numéros d'une zone pour trouver des ordinateurs et des fax).
| IOC — Indicateur de compromission | IOA — Indicateur d'attaque | |
|---|---|---|
| Porte sur | La preuve qu'une attaque a eu lieu : artefacts identifiables (fichiers malveillants, adresses IP des serveurs, noms de fichiers, modifications du système final). | La motivation et les stratégies sous-jacentes à l'attaque. |
| Posture | Plutôt rétrospective : analyser ce qui s'est passé et bâtir des défenses. | Proactive : se défendre contre une stratégie permet de prévenir de futures attaques. |
Partage des menaces : la CISA (États-Unis) automatise le partage via le système AIS (Automated Indicator Sharing) ; l'ENISA fait l'équivalent pour l'UE ; CISA et NCSA organisent chaque octobre le NCASM (mois de sensibilisation).
| Catégorie | Usage | Exemples |
|---|---|---|
| Pirates de mots de passe | Pirater / récupérer un mot de passe | John the Ripper, Ophcrack |
| Piratage sans fil | S'introduire dans un réseau sans fil | Aircrack-ng, Kismet |
| Scan et piratage réseau | Sonder hôtes/serveurs pour trouver les ports TCP/UDP ouverts | Nmap, SuperScan |
| Fabrication de paquets | Sonder et tester la robustesse d'un pare-feu | Hping, Scapy |
| Renifleurs de paquets | Capturer et analyser les paquets sur LAN/WLAN | Wireshark, Tcpdump |
| Détecteurs de rootkits | Vérification d'intégrité des fichiers et répertoires | AIDE, Netfilter |
| Fuzzers | Découvrir des vulnérabilités de sécurité | Skipfish, Wapiti |
| Outils médico-légaux (forensic) | Détecter les traces de preuves dans un système | Sleuth Kit, Helix |
| Débogueurs | Rétro-ingénierie de binaires ; analyse de malware | GDB, WinDbg |
| Systèmes d'exploitation de piratage | OS préchargés d'outils | Kali Linux, SELinux |
| Outils de chiffrement | Encoder les données, empêcher l'accès non autorisé | VeraCrypt, CipherShed |
| Exploitation des vulnérabilités | Identifier si un hôte distant est vulnérable | Metasploit, Core Impact |
| Scanners de vulnérabilités | Analyser un réseau/système : ports ouverts, vulnérabilités connues, VM, BYOD | Nipper, Secunia PSI |
| Catégorie | Description |
|---|---|
| Écoute clandestine | Capturer et écouter le trafic. Aussi appelée interception ou reniflage. |
| Modification de données | Le trafic a été capturé puis les données des paquets sont modifiées, à l'insu de l'expéditeur et du destinataire. |
| Usurpation d'adresse IP | Construire un paquet IP qui semble provenir d'une adresse valide de l'intranet. |
| Attaques par mot de passe | Obtenir les identifiants d'un compte utilisateur valide. |
| Déni de service (DoS) | Empêcher l'usage normal par les utilisateurs légitimes. |
| Homme du milieu (MiTM) | L'attaquant se positionne entre la source et la destination. |
| Clé compromise | Obtention d'une clé secrète → accès à une communication sécurisée sans que les parties le sachent. |
| Renifleur (sniffer) | Lire/capturer les échanges. Si les paquets ne sont pas chiffrés, l'attaquant voit tout leur contenu. |
Termes : carte d'interface réseau (NIC), port physique, interface. « Port » et « interface » sont souvent employés de façon interchangeable.
Tailles de réseaux : domestique → SOHO (small office/home office) → moyen/grand (multi-sites, centaines ou milliers d'hôtes) → mondial (Internet).
| LAN | WAN | |
|---|---|---|
| Étendue | Petite zone géographique | Vaste zone géographique |
| Rôle | Interconnecte les périphériques finaux dans une zone limitée | Interconnecte des LAN sur de vastes zones |
| Administration | Une seule organisation ou personne | Plusieurs prestataires de services |
| Débit | Bande passante haut débit en interne | Liaisons plus lentes entre les LAN |
Un pare-feu est un système ou groupe de systèmes qui applique une politique de contrôle d'accès entre les réseaux. Ses trois propriétés communes : il est résistant aux attaques réseau ; il est le seul point de transit entre réseau interne et externe (tout le trafic passe par lui) ; il applique la politique de contrôle d'accès.
| Type | Couches OSI | Mécanisme |
|---|---|---|
| Filtrage de paquets (sans état) | 3 et 4 | Fait partie d'un pare-feu de routeur. Sans état : simple table de consultation de politiques, aucune mémoire des connexions. |
| À état (stateful) | — | Le plus polyvalent et le plus couramment utilisé. Filtre en s'appuyant sur les informations de connexion conservées dans une table d'état. |
| Passerelle applicative (proxy) | 3, 4, 5 et 7 | La plupart des fonctions de contrôle et de filtrage sont assurées par logiciel. |
| NGFW (nouvelle génération) | — | Va au-delà du stateful : prévention intégrée des intrusions ; surveillance et contrôle des applications (bloquer les applis à risque) ; mise à niveau des voies d'accès ; techniques face aux menaces évolutives. |
Autres modes de mise en œuvre : hôte (logiciel sur un PC ou serveur) — transparent (filtre le trafic IP entre deux interfaces pontées) — hybride (combinaison de plusieurs types).
| Avantages | Inconvénients | |
|---|---|---|
| IDS | Aucun impact sur le réseau (latence, gigue) ; aucun impact en cas de défaillance du capteur ; aucun impact en cas de surcharge du capteur. | L'action de réponse ne peut pas arrêter le paquet déclencheur ; nécessite un réglage correct des réponses ; plus vulnérable aux techniques de contournement. |
| IPS | Arrête les paquets déclencheurs ; peut utiliser des techniques de normalisation de flux. | Un problème de capteur affecte le trafic ; la surcharge du capteur impacte le réseau ; un certain impact sur le réseau (latence, gigue). |
| AMP | WSA | ESA |
|---|---|---|
| Advanced Malware Protection : analyse et protection contre les malwares avant, pendant et après une attaque. | Web Security Appliance : passerelle web sécurisée ; bloque automatiquement les sites à risque et teste les sites inconnus avant d'autoriser l'accès. | Email Security Appliance : atténue les menaces par courriel ; mise à jour continue par les flux Cisco Talos ; renseignement mondial, blocage du spam, protection anti-malware avancée, contrôle des messages sortants. |
Une ACL est une série de commandes qui déterminent si un périphérique transmet ou supprime les paquets, d'après les informations de l'en-tête. Elles servent à : limiter le trafic pour améliorer les performances ; réguler le trafic ; assurer un niveau de sécurité de base ; filtrer selon le type de trafic ; filtrer les hôtes pour autoriser ou refuser l'accès aux services.
| ACL standard | ACL étendue |
|---|---|
| Autorise ou bloque le trafic d'après l'adresse IPv4 source uniquement. | Filtre selon plusieurs attributs : type de protocole, IPv4 source, IPv4 destination, ports TCP/UDP source, ports TCP/UDP destination, informations optionnelles de protocole. |
Les deux peuvent être identifiées par un numéro ou par un nom — c'est un mode d'identification, pas un troisième type.
| Service | Ce qu'il fournit exactement |
|---|---|
| SNMP | Protocole de couche application : format de message entre gestionnaires (exécutent le logiciel de gestion) et agents (nœuds surveillés). Sert à gérer les équipements, surveiller les performances, identifier et résoudre les problèmes, planifier la croissance. |
| NetFlow | Technologie Cisco IOS fournissant des statistiques sur les paquets qui traversent un routeur ou un commutateur multicouche : suivi du nombre d'octets et de paquets par flux applicatif. Envoie les statistiques à un collecteur NetFlow externe. → Des statistiques, pas le contenu. |
| Mise en miroir des ports | Le commutateur crée des copies dupliquées du trafic et les envoie vers un port où est connecté un moniteur réseau. → Le contenu intégral des paquets. |
| Syslog | Les équipements envoient leurs messages système vers des serveurs syslog. Trois fonctions : collecter les informations de journalisation ; sélectionner le type d'informations enregistrées ; spécifier la destination des messages. |
| NTP | Synchronise l'heure. Hiérarchie en strates : strate 0 = les sources temporelles faisant autorité ; strate 1 = les appareils directement connectés à ces sources ; strate 2 et inférieures = se synchronisent depuis les serveurs de strate 1. |
| Fonction | Question à laquelle elle répond | Exemple du cours |
|---|---|---|
| Authentification | Qui êtes-vous ? (prouver son identité : nom/mot de passe, questions de sécurité, cartes à puce…) | — |
| Autorisation | Qu'avez-vous le droit de faire ? (ressources accessibles, opérations permises) | « L'utilisateur student peut accéder au serveur XYZ uniquement via SSH. » |
| Comptabilité | Qu'avez-vous fait ? (ressources consultées, durée, modifications) | « L'utilisateur student a accédé au serveur XYZ via SSH pendant 15 minutes. » |
| TACACS+ | RADIUS | |
|---|---|---|
| Fonctionnalité | Sépare les trois fonctions AAA | Combine authentification et autorisation, mais sépare la comptabilité |
| Standard | Principalement pris en charge par Cisco | Norme ouverte / RFC |
| Transport | TCP | UDP |
| CHAP | Défi/réponse bidirectionnel | Échange unidirectionnel (serveur → client) |
| Confidentialité | Paquet entier chiffré | Mot de passe chiffré seulement |
| Personnalisation | Autorise les commandes du routeur par utilisateur ou par groupe | Aucune option d'autorisation des commandes |
| Comptabilité | Limitée | Extensive |
Réseau privé créé sur un réseau public (généralement Internet), au moyen de connexions virtuelles. Environnement où l'accès est strictement contrôlé pour permettre les connexions entre pairs d'une communauté d'intérêt définie. La confidentialité est assurée par le chiffrement du trafic. Il relie deux points d'extrémité en une connexion logique, établie à la couche 2 ou 3.
Un malware est un code ou logiciel conçu pour endommager, perturber, voler ou infliger toute autre action illégitime sur des données, hôtes ou réseaux. Les trois types les plus courants : virus, vers, chevaux de Troie.
| Virus | Ver | Cheval de Troie | |
|---|---|---|---|
| Propagation | S'insère (copie de lui-même) dans un autre programme ; se propage quand ce programme est exécuté. | Se réplique indépendamment en exploitant des vulnérabilités réseau. Fonctionne sans programme hôte. | Ne se réplique pas. L'utilisateur est trompé et le charge lui-même. |
| Nature | Peut être inoffensif (afficher une image) ou destructeur (modifier/supprimer des fichiers). | Programme autonome. Ralentit les réseaux en se propageant. | Semble légitime mais contient du code malveillant ; exploite les privilèges de l'utilisateur qui l'exécute. |
| Vecteurs cités | Clés USB, CD, DVD, partages réseau, courriels. | Le réseau. | Jeux en ligne. Les chevaux de Troie personnalisés sont difficiles à détecter. |
Les deux vers de référence du cours :
| Accès à distance | Permet l'accès distant non autorisé. |
| Envoi de données | Fournit à l'attaquant des données sensibles (mots de passe). |
| Destructeur | Corrompt ou supprime des fichiers. |
| Proxy | Utilise l'ordinateur de la victime comme source pour lancer des attaques et d'autres activités illégales. |
| FTP | Permet des services de transfert de fichiers non autorisés. |
| Désactivation de logiciels de sécurité | Empêche le fonctionnement des antivirus ou des pare-feu. |
| DoS | Ralentit ou interrompt l'activité du réseau. |
| Enregistreur de frappe (keylogger) | Vole des informations confidentielles en enregistrant les frappes clavier. |
| Ransomware | Bloque l'accès au système ou aux données, fréquemment par chiffrement. Vecteurs : courriels, malvertising (publicités malveillantes), et l'ingénierie sociale (faux techniciens de sécurité qui appellent au hasard et persuadent la victime de visiter un site). |
| Scareware | Utilise l'ingénierie sociale pour créer la perception d'une menace et pousser l'utilisateur à agir — action qui infecte sa machine. |
| Hameçonnage | Incite à divulguer des informations sensibles (ex. faux courriel de la banque). |
| Rootkit | Une fois installé, dissimule l'intrusion et fournit un accès privilégié à l'attaquant. |
| Spyware | Collecte des informations sur l'utilisateur et les transmet à un tiers sans consentement (surveillance système, chevaux de Troie, adware, cookies de suivi, keyloggers). |
| Adware | Affiche des publicités intempestives pour générer des revenus ; peut cibler les publicités selon les sites visités. |
Symptômes d'infection : fichiers/icônes étranges ; antivirus et pare-feu désactivés ou reconfigurés ; écran gelé, plantages ; envoi spontané d'e-mails aux contacts ; fichiers modifiés ou supprimés ; hausse de l'usage CPU/mémoire ; problèmes de connexion ; lenteur ; processus ou services inconnus ; ports TCP/UDP inconnus ouverts ; connexions vers des hôtes Internet sans intervention de l'utilisateur.
Elles exploitent des vulnérabilités connues des services d'authentification, FTP et web pour accéder aux comptes, bases de données confidentielles et informations sensibles.
C'est une attaque d'accès : elle manipule les individus pour qu'ils accomplissent des actions malveillantes ou divulguent des informations confidentielles.
| Prétexte | Prétend avoir besoin de données personnelles ou financières pour confirmer l'identité du destinataire. |
| Hameçonnage | Courriels frauduleux se faisant passer pour une source légitime et fiable. |
| Hameçonnage ciblé (spear phishing) | Attaque de phishing sur mesure, adaptée à un individu ou une organisation précis. |
| Courrier indésirable (spam) | Courriels non sollicités, souvent porteurs de liens dangereux ou de malwares. |
| Quelque chose pour quelque chose (quid pro quo) | Demande des informations personnelles en échange de quelque chose, un cadeau par exemple. |
| Appâtage (baiting) | Abandonne une clé USB infectée dans un lieu public ; la victime la trouve et l'insère. |
| Imitation (impersonation) | Se fait passer pour quelqu'un d'autre afin de gagner la confiance de la victime. |
| Tailgating | Suit de près une personne autorisée pour pénétrer dans une zone sécurisée. |
| Surf sur l'épaule (shoulder surfing) | Regarde discrètement par-dessus l'épaule pour voler un mot de passe. |
| Fouiller les poubelles (dumpster diving) | Fouille les poubelles pour trouver des documents confidentiels. |
Un DoS provoque une interruption des services réseau pour les utilisateurs, appareils ou applications. Deux types :
Le DDoS a la même intention, mais il prend plus d'ampleur car il provient de sources multiples et coordonnées.
| Composant DDoS | Définition |
|---|---|
| Zombies | Les machines compromises qui exécutent du code malveillant. |
| Bots (robots) | Le logiciel malveillant conçu pour infecter un hôte et communiquer avec un système de gestion. |
| Botnet | Le groupe de zombies infectés par un malware auto-réplicateur et contrôlés par les gestionnaires. |
| Gestionnaires (handlers) | Le serveur maître de commande et de contrôle (CnC ou C2) qui contrôle les groupes de zombies. |
| Bot master | (Description erronée dans le PDF.) L'acteur malveillant qui contrôle le botnet via les gestionnaires. |
L'attaquant cherche à trouver et exploiter une faille liée à la mémoire système sur un serveur. Exemples du cours : une vulnérabilité DoS distante dans Microsoft Windows 10 permettant d'accéder à de la mémoire hors périmètre ; et le ping de la mort — une requête d'écho dans un paquet IP dont la taille dépasse la taille maximale ; l'hôte récepteur ne sait pas la gérer et plante. On estime qu'un tiers des attaques malveillantes sont dues à des dépassements de tampon.
| Chiffrement et tunnelage | Dissimule (tunneling) ou brouille (chiffrement) les fichiers malveillants. Peut cacher les données volées dans des paquets légitimes. |
| Épuisement des ressources | Rend l'hôte cible trop occupé pour appliquer correctement ses techniques de détection. |
| Fragmentation du trafic | Divise la charge utile en paquets plus petits pour contourner la détection ; le malware est réassemblé ensuite. |
| Interprétation erronée du protocole | Les défenses gèrent mal une caractéristique de la PDU (somme de contrôle, TTL) → le pare-feu ignore des paquets qu'il devrait vérifier. |
| Substitution du trafic | Encode la charge utile dans un autre format (ex. Unicode au lieu d'ASCII) : l'IPS ne reconnaît pas les données, mais le système cible sait les lire. |
| Insertion de trafic | Insère des octets supplémentaires dans la séquence malveillante ; les règles de l'IPS ne la détectent plus. |
| Pivotement | L'attaquant a déjà compromis un hôte interne et étend son accès (ex. réutiliser le mot de passe admin sur un autre hôte). |
| Rootkits | S'intègre aux couches les plus basses de l'OS ; renvoie une version expurgée des listes de fichiers, processus et connexions → dissimule totalement l'activité de l'attaquant. |
| Proxies | Redirige le trafic via des systèmes intermédiaires pour masquer la destination finale des données volées et répartir l'exfiltration sur plusieurs destinations. |
56 questions qui testent le raisonnement, pas la récitation. Chaque réponse déclenche une explication de la bonne réponse et de chaque distracteur, suivie de la référence exacte (document, page, titre de slide) d'où elle provient. Tout est tiré exclusivement de vos trois PDF. L'ordre des questions et des propositions est retiré au sort à chaque session.
Définitions, termes techniques, listes et chiffres à connaître par cœur. Cliquez sur la carte pour la retourner. Répétition espacée simplifiée : une carte ratée est réinjectée trois cartes plus loin dans le paquet et reviendra jusqu'à ce que vous la sachiez.
Rédigez d'abord votre réponse (au brouillon ou dans la zone prévue), puis ouvrez le corrigé. Chaque question fournit un corrigé modèle rédigé, la structure attendue avec un barème indicatif, et les erreurs fréquentes.
Sélection mixte : 12 QCM tirés au sort + 2 questions développées. À la fin, un bilan par thème vous indique les chapitres à retravailler.
Séquence construite d'après les dépendances entre notions : le vocabulaire du module 13 conditionne la lecture des modules 12 et 14, et la reconnaissance doit être comprise avant les attaques d'accès et de DoS.
Cochez ce que vous savez restituer sans le support. L'état est conservé pendant la session (il repart à zéro si vous rechargez la page).