CyberOps Associate v1.0 — Système d'étude Module 12 · Infrastructure de sécurité réseau — Module 13 · Les attaquants et leurs outils — Module 14 · Menaces et attaques courantes

Fiche de synthèse

Contenu tiré exclusivement des trois PDF fournis (Cisco CyberOps Associate v1.0, modules 12 à 14). Les notions sont classées dans l'ordre logique d'apprentissage : le vocabulaire du module 13 conditionne la lecture des deux autres.

⚠ Erreurs de traduction automatique dans vos PDF — corrigées ici Les supports ont été traduits par machine. Les erreurs suivantes sont rectifiées dans cette fiche, mais vous les retrouverez telles quelles dans vos slides :
  • « BLÊME » = WAN (Wide Area Network) — traduction erronée de « WAN ».
  • « RAYON » = RADIUS.
  • « Procuration » = Proxy (dans les chevaux de Troie et les méthodes d'évasion).
  • « Comptabilisation de la propriété intellectuelle » = IP accounting (comptabilisation IP à des fins de facturation), dans NetFlow.
  • « ver rouge » = ver Code Red.
  • Erreur de contenu, la plus grave : dans le tableau des composants DDoS, la ligne « maître du robot » (bot master) porte la description du cheval de Troie FTP (« permet les services de transfert de fichiers non autorisés »). C'est un copier-coller fautif. Le bot master est en réalité l'acteur malveillant qui contrôle le botnet via les gestionnaires (C&C).
  • Module 12, slide de résumé : « Cisco Email Security Appliance (WSA) » — lire ESA.
🔍 Angles morts de vos sources — aucune question ne portera dessus Une grande partie du cours passait par des vidéos, animations et activités Packet Tracer dont seul le titre subsiste dans le PDF. Il n'y a donc aucune matière dans vos documents sur : les niveaux de sévérité Syslog (0–7), les masques génériques et la syntaxe de configuration des ACL, les versions de SNMP (v1 / v2c / v3), la configuration concrète d'un ZPF, les protocoles VPN (IPsec, SSL/TLS), et le détail des composants du ver montré en animation. Si votre examen couvre ces points, ils constituent vos angles morts : il faudra une autre source.

1. Le vocabulaire fondateur Module 13 · fondamental

Tout le reste du cours repose sur ces cinq termes. Les confondre est la première cause de perte de points.

TermeDéfinition du cours
MenaceUn danger potentiel pour un actif (données, réseau lui-même).
VulnérabilitéUne faiblesse dans un système ou sa conception, qui pourrait être exploitée par une menace.
Surface d'attaqueL'ensemble des vulnérabilités d'un système accessibles à un attaquant : tous les points d'entrée et de sortie des données.
ExploitLe mécanisme utilisé pour exploiter une vulnérabilité et compromettre le système. Distant : fonctionne sur le réseau sans accès préalable à la cible. Local : l'attaquant a déjà un accès utilisateur ou administrateur au système — mais pas nécessairement un accès physique.
RisqueLa probabilité qu'une menace donnée exploite une vulnérabilité donnée et entraîne une conséquence indésirable.
Contre-mesureAction entreprise pour protéger les actifs en atténuant une menace ou en réduisant un risque.
ImpactLe dommage potentiel causé à l'organisation par la menace.
Piège classique Vulnérabilité ≠ menace ≠ risque. Un logiciel non corrigé est une vulnérabilité ; le pirate qui pourrait l'attaquer est la menace ; la probabilité que cela arrive avec des conséquences est le risque. Et l'outil qui s'en sert est l'exploit.

Les quatre stratégies de gestion du risque

La gestion des risques équilibre le coût des protections et le gain obtenu en protégeant l'actif.

StratégieQuand / comment
AcceptationQuand le coût des mesures dépasse le coût du risque lui-même → on ne fait rien.
ÉvitementOn élimine l'activité → on perd aussi tout le bénéfice qu'elle apportait.
RéductionOn diminue l'exposition. C'est la stratégie la plus couramment utilisée.
TransfertLe risque est transféré à un tiers consentant (typiquement une compagnie d'assurance).
À retenir absolument La réduction est la stratégie la plus courante. L'acceptation se justifie uniquement par un calcul coût/bénéfice défavorable, pas par de la négligence.

2. Qui attaque, et avec quoi Module 13 · fondamental

Chapeaux : une question d'éthique, pas de compétence

Le terme « acteur de menace » (threat actor) désigne les grey hats et les black hats.

Types d'acteurs de menace

TypeMotivation / profil
Script kiddiesInexpérimentés, exécutent des scripts et exploits existants ; généralement pas à but lucratif.
Courtiers en vulnérabilitésGrey hats : découvrent des failles et les signalent aux fournisseurs contre prix ou récompenses.
HacktivistesGrey hats : protestent contre des polémiques politiques et des idées sociales.
CybercriminelsMotivés par l'argent. Économie souterraine ; achètent et vendent données personnelles et propriété intellectuelle volées.
Parrainés par l'ÉtatVolent des secrets, collectent du renseignement, sabotent les réseaux de gouvernements étrangers, groupes terroristes et entreprises.

Historique : le piratage démarre dans les années 1960 avec le phone freaking (fréquences audio pour manipuler les commutateurs téléphoniques et passer des appels gratuits) ; au milieu des années 1980 apparaît le war dialing (composer tous les numéros d'une zone pour trouver des ordinateurs et des fax).

IOC vs IOA — la distinction qui tombe souvent

IOC — Indicateur de compromissionIOA — Indicateur d'attaque
Porte surLa preuve qu'une attaque a eu lieu : artefacts identifiables (fichiers malveillants, adresses IP des serveurs, noms de fichiers, modifications du système final).La motivation et les stratégies sous-jacentes à l'attaque.
PosturePlutôt rétrospective : analyser ce qui s'est passé et bâtir des défenses.Proactive : se défendre contre une stratégie permet de prévenir de futures attaques.

Partage des menaces : la CISA (États-Unis) automatise le partage via le système AIS (Automated Indicator Sharing) ; l'ENISA fait l'équivalent pour l'UE ; CISA et NCSA organisent chaque octobre le NCASM (mois de sensibilisation).

Catégories d'outils (avec les exemples cités)

CatégorieUsageExemples
Pirates de mots de passePirater / récupérer un mot de passeJohn the Ripper, Ophcrack
Piratage sans filS'introduire dans un réseau sans filAircrack-ng, Kismet
Scan et piratage réseauSonder hôtes/serveurs pour trouver les ports TCP/UDP ouvertsNmap, SuperScan
Fabrication de paquetsSonder et tester la robustesse d'un pare-feuHping, Scapy
Renifleurs de paquetsCapturer et analyser les paquets sur LAN/WLANWireshark, Tcpdump
Détecteurs de rootkitsVérification d'intégrité des fichiers et répertoiresAIDE, Netfilter
FuzzersDécouvrir des vulnérabilités de sécuritéSkipfish, Wapiti
Outils médico-légaux (forensic)Détecter les traces de preuves dans un systèmeSleuth Kit, Helix
DébogueursRétro-ingénierie de binaires ; analyse de malwareGDB, WinDbg
Systèmes d'exploitation de piratageOS préchargés d'outilsKali Linux, SELinux
Outils de chiffrementEncoder les données, empêcher l'accès non autoriséVeraCrypt, CipherShed
Exploitation des vulnérabilitésIdentifier si un hôte distant est vulnérableMetasploit, Core Impact
Scanners de vulnérabilitésAnalyser un réseau/système : ports ouverts, vulnérabilités connues, VM, BYODNipper, Secunia PSI
Piège classique Ne confondez pas trois catégories très proches : Nmap sonde les ports (scan réseau) — Wireshark capture le trafic (renifleur, il ne sonde rien) — Scapy/Hping fabriquent des paquets pour tester un pare-feu. Retenez aussi que la plupart de ces outils sont UNIX/Linux : le cours en fait un prérequis du métier.

Les 8 catégories d'attaques (module 13)

CatégorieDescription
Écoute clandestineCapturer et écouter le trafic. Aussi appelée interception ou reniflage.
Modification de donnéesLe trafic a été capturé puis les données des paquets sont modifiées, à l'insu de l'expéditeur et du destinataire.
Usurpation d'adresse IPConstruire un paquet IP qui semble provenir d'une adresse valide de l'intranet.
Attaques par mot de passeObtenir les identifiants d'un compte utilisateur valide.
Déni de service (DoS)Empêcher l'usage normal par les utilisateurs légitimes.
Homme du milieu (MiTM)L'attaquant se positionne entre la source et la destination.
Clé compromiseObtention d'une clé secrète → accès à une communication sécurisée sans que les parties le sachent.
Renifleur (sniffer)Lire/capturer les échanges. Si les paquets ne sont pas chiffrés, l'attaquant voit tout leur contenu.

3. Topologies et architectures Module 12 · fondamental

Termes : carte d'interface réseau (NIC), port physique, interface. « Port » et « interface » sont souvent employés de façon interchangeable.

Tailles de réseaux : domestique → SOHO (small office/home office) → moyen/grand (multi-sites, centaines ou milliers d'hôtes) → mondial (Internet).

LANWAN
ÉtenduePetite zone géographiqueVaste zone géographique
RôleInterconnecte les périphériques finaux dans une zone limitéeInterconnecte des LAN sur de vastes zones
AdministrationUne seule organisation ou personnePlusieurs prestataires de services
DébitBande passante haut débit en interneLiaisons plus lentes entre les LAN

Le modèle hiérarchique à trois couches

À retenir absolument Dans les réseaux d'entreprise plus petits, on fusionne cœur + distribution en une seule couche : c'est le noyau effondré (collapsed core), à deux niveaux, qui réduit les coûts et la complexité. La couche d'accès subsiste toujours.

Les trois architectures de sécurité (modèles de pare-feu)


4. Les pare-feu Module 12 · intermédiaire

Un pare-feu est un système ou groupe de systèmes qui applique une politique de contrôle d'accès entre les réseaux. Ses trois propriétés communes : il est résistant aux attaques réseau ; il est le seul point de transit entre réseau interne et externe (tout le trafic passe par lui) ; il applique la politique de contrôle d'accès.

Avantages

  • Empêchent l'exposition des hôtes, ressources et applications sensibles aux utilisateurs non fiables.
  • Assainissent le flux du protocole → empêchent l'exploitation de ses failles.
  • Bloquent les données malveillantes venant des serveurs et des clients.
  • Réduisent la complexité de la gestion de la sécurité.

Limites

  • Mal configuré, il peut devenir un point de défaillance unique.
  • Les données de nombreuses applications ne peuvent pas le traverser de façon sécurisée.
  • Les utilisateurs peuvent chercher à le contourner → exposition du réseau.
  • Les performances du réseau peuvent ralentir.
  • Du trafic non autorisé peut être tunnelisé ou dissimulé en trafic légitime.

Les quatre types principaux (dans l'ordre croissant de profondeur d'inspection)

TypeCouches OSIMécanisme
Filtrage de paquets (sans état)3 et 4Fait partie d'un pare-feu de routeur. Sans état : simple table de consultation de politiques, aucune mémoire des connexions.
À état (stateful)Le plus polyvalent et le plus couramment utilisé. Filtre en s'appuyant sur les informations de connexion conservées dans une table d'état.
Passerelle applicative (proxy)3, 4, 5 et 7La plupart des fonctions de contrôle et de filtrage sont assurées par logiciel.
NGFW (nouvelle génération)Va au-delà du stateful : prévention intégrée des intrusions ; surveillance et contrôle des applications (bloquer les applis à risque) ; mise à niveau des voies d'accès ; techniques face aux menaces évolutives.

Autres modes de mise en œuvre : hôte (logiciel sur un PC ou serveur) — transparent (filtre le trafic IP entre deux interfaces pontées) — hybride (combinaison de plusieurs types).

Piège classique « Sans état » et « à état » décrivent le mécanisme ; « hôte », « transparent », « hybride » décrivent le mode de déploiement. Une question qui vous demande pourquoi le trafic de retour d'une session initiée en interne est autorisé sans règle explicite attend table d'état — pas « proxy », pas « transparent ».

5. IDS et IPS Module 12 · intermédiaire

AvantagesInconvénients
IDSAucun impact sur le réseau (latence, gigue) ; aucun impact en cas de défaillance du capteur ; aucun impact en cas de surcharge du capteur.L'action de réponse ne peut pas arrêter le paquet déclencheur ; nécessite un réglage correct des réponses ; plus vulnérable aux techniques de contournement.
IPSArrête les paquets déclencheurs ; peut utiliser des techniques de normalisation de flux.Un problème de capteur affecte le trafic ; la surcharge du capteur impacte le réseau ; un certain impact sur le réseau (latence, gigue).
À retenir absolument L'opposition tient en une phrase : l'IDS observe une copie du trafic (donc il ne peut pas arrêter le paquet qui l'a déclenché, mais il ne ralentit ni ne coupe rien) ; l'IPS est en ligne (donc il bloque, mais il introduit de la latence et devient un maillon critique). Les deux se complètent ; le choix dépend des objectifs fixés dans la politique de sécurité réseau de l'organisation.

Les deux types d'IPS

Appliances spécialisées Cisco

AMPWSAESA
Advanced Malware Protection : analyse et protection contre les malwares avant, pendant et après une attaque.Web Security Appliance : passerelle web sécurisée ; bloque automatiquement les sites à risque et teste les sites inconnus avant d'autoriser l'accès.Email Security Appliance : atténue les menaces par courriel ; mise à jour continue par les flux Cisco Talos ; renseignement mondial, blocage du spam, protection anti-malware avancée, contrôle des messages sortants.

6. Les services de sécurité Module 12 · avancé

ACL — listes de contrôle d'accès

Une ACL est une série de commandes qui déterminent si un périphérique transmet ou supprime les paquets, d'après les informations de l'en-tête. Elles servent à : limiter le trafic pour améliorer les performances ; réguler le trafic ; assurer un niveau de sécurité de base ; filtrer selon le type de trafic ; filtrer les hôtes pour autoriser ou refuser l'accès aux services.

ACL standardACL étendue
Autorise ou bloque le trafic d'après l'adresse IPv4 source uniquement.Filtre selon plusieurs attributs : type de protocole, IPv4 source, IPv4 destination, ports TCP/UDP source, ports TCP/UDP destination, informations optionnelles de protocole.

Les deux peuvent être identifiées par un numéro ou par un nom — c'est un mode d'identification, pas un troisième type.

Supervision et journalisation — ne pas confondre

ServiceCe qu'il fournit exactement
SNMPProtocole de couche application : format de message entre gestionnaires (exécutent le logiciel de gestion) et agents (nœuds surveillés). Sert à gérer les équipements, surveiller les performances, identifier et résoudre les problèmes, planifier la croissance.
NetFlowTechnologie Cisco IOS fournissant des statistiques sur les paquets qui traversent un routeur ou un commutateur multicouche : suivi du nombre d'octets et de paquets par flux applicatif. Envoie les statistiques à un collecteur NetFlow externe. → Des statistiques, pas le contenu.
Mise en miroir des portsLe commutateur crée des copies dupliquées du trafic et les envoie vers un port où est connecté un moniteur réseau. → Le contenu intégral des paquets.
SyslogLes équipements envoient leurs messages système vers des serveurs syslog. Trois fonctions : collecter les informations de journalisation ; sélectionner le type d'informations enregistrées ; spécifier la destination des messages.
NTPSynchronise l'heure. Hiérarchie en strates : strate 0 = les sources temporelles faisant autorité ; strate 1 = les appareils directement connectés à ces sources ; strate 2 et inférieures = se synchronisent depuis les serveurs de strate 1.
Piège classique Deux confusions fréquentes. (1) NetFlow ≠ port mirroring : NetFlow donne des statistiques de flux, la mise en miroir donne les paquets eux-mêmes (c'est elle qu'il faut pour Wireshark). (2) Strate 0 ≠ strate 1 : l'horloge atomique est la strate 0 ; le serveur qui y est branché est en strate 1.

AAA

FonctionQuestion à laquelle elle répondExemple du cours
AuthentificationQui êtes-vous ? (prouver son identité : nom/mot de passe, questions de sécurité, cartes à puce…)
AutorisationQu'avez-vous le droit de faire ? (ressources accessibles, opérations permises)« L'utilisateur student peut accéder au serveur XYZ uniquement via SSH. »
ComptabilitéQu'avez-vous fait ? (ressources consultées, durée, modifications)« L'utilisateur student a accédé au serveur XYZ via SSH pendant 15 minutes. »

TACACS+ vs RADIUS — le tableau le plus « examinable » du cours

TACACS+RADIUS
FonctionnalitéSépare les trois fonctions AAACombine authentification et autorisation, mais sépare la comptabilité
StandardPrincipalement pris en charge par CiscoNorme ouverte / RFC
TransportTCPUDP
CHAPDéfi/réponse bidirectionnelÉchange unidirectionnel (serveur → client)
ConfidentialitéPaquet entier chiffréMot de passe chiffré seulement
PersonnalisationAutorise les commandes du routeur par utilisateur ou par groupeAucune option d'autorisation des commandes
ComptabilitéLimitéeExtensive
À retenir absolument Un moyen mnémotechnique : TACACS+ = T comme TCP, et c'est le protocole Cisco qui sépare tout et chiffre tout. RADIUS fait l'inverse sur chaque ligne — sauf la comptabilité, où c'est RADIUS qui est le plus extensif. C'est la seule ligne « à contre-courant », et c'est exactement celle qu'on teste.

VPN

Réseau privé créé sur un réseau public (généralement Internet), au moyen de connexions virtuelles. Environnement où l'accès est strictement contrôlé pour permettre les connexions entre pairs d'une communauté d'intérêt définie. La confidentialité est assurée par le chiffrement du trafic. Il relie deux points d'extrémité en une connexion logique, établie à la couche 2 ou 3.


7. Les logiciels malveillants Module 14 · fondamental

Un malware est un code ou logiciel conçu pour endommager, perturber, voler ou infliger toute autre action illégitime sur des données, hôtes ou réseaux. Les trois types les plus courants : virus, vers, chevaux de Troie.

VirusVerCheval de Troie
PropagationS'insère (copie de lui-même) dans un autre programme ; se propage quand ce programme est exécuté.Se réplique indépendamment en exploitant des vulnérabilités réseau. Fonctionne sans programme hôte.Ne se réplique pas. L'utilisateur est trompé et le charge lui-même.
NaturePeut être inoffensif (afficher une image) ou destructeur (modifier/supprimer des fichiers).Programme autonome. Ralentit les réseaux en se propageant.Semble légitime mais contient du code malveillant ; exploite les privilèges de l'utilisateur qui l'exécute.
Vecteurs citésClés USB, CD, DVD, partages réseau, courriels.Le réseau.Jeux en ligne. Les chevaux de Troie personnalisés sont difficiles à détecter.
À retenir absolument Les trois composants d'un ver : (1) activation de la vulnérabilité — il s'installe via un mécanisme d'exploitation (pièce jointe, exécutable, cheval de Troie) ; (2) mécanisme de propagation — il se réplique et repère de nouvelles cibles ; (3) charge utile (payload) — le code malveillant qui agit : le plus souvent créer une porte dérobée ou lancer un DoS.

Les deux vers de référence du cours :

Les 8 classifications de chevaux de Troie

Accès à distancePermet l'accès distant non autorisé.
Envoi de donnéesFournit à l'attaquant des données sensibles (mots de passe).
DestructeurCorrompt ou supprime des fichiers.
ProxyUtilise l'ordinateur de la victime comme source pour lancer des attaques et d'autres activités illégales.
FTPPermet des services de transfert de fichiers non autorisés.
Désactivation de logiciels de sécuritéEmpêche le fonctionnement des antivirus ou des pare-feu.
DoSRalentit ou interrompt l'activité du réseau.
Enregistreur de frappe (keylogger)Vole des informations confidentielles en enregistrant les frappes clavier.

Autres malwares

RansomwareBloque l'accès au système ou aux données, fréquemment par chiffrement. Vecteurs : courriels, malvertising (publicités malveillantes), et l'ingénierie sociale (faux techniciens de sécurité qui appellent au hasard et persuadent la victime de visiter un site).
ScarewareUtilise l'ingénierie sociale pour créer la perception d'une menace et pousser l'utilisateur à agir — action qui infecte sa machine.
HameçonnageIncite à divulguer des informations sensibles (ex. faux courriel de la banque).
RootkitUne fois installé, dissimule l'intrusion et fournit un accès privilégié à l'attaquant.
SpywareCollecte des informations sur l'utilisateur et les transmet à un tiers sans consentement (surveillance système, chevaux de Troie, adware, cookies de suivi, keyloggers).
AdwareAffiche des publicités intempestives pour générer des revenus ; peut cibler les publicités selon les sites visités.

Symptômes d'infection : fichiers/icônes étranges ; antivirus et pare-feu désactivés ou reconfigurés ; écran gelé, plantages ; envoi spontané d'e-mails aux contacts ; fichiers modifiés ou supprimés ; hausse de l'usage CPU/mémoire ; problèmes de connexion ; lenteur ; processus ou services inconnus ; ports TCP/UDP inconnus ouverts ; connexions vers des hôtes Internet sans intervention de l'utilisateur.


8. Les attaques réseau Module 14 · intermédiaire

À retenir absolument Le malware n'est qu'un moyen de livrer une charge utile. Les attaques réseau se rangent en trois catégories : reconnaissance, accès, déni de service. Et l'ordre compte : la reconnaissance précède les attaques d'accès et de DoS.

Reconnaissance — la séquence, dans l'ordre

  1. Requête d'information sur la cible — recherche Google, site web de l'organisation, whois.
  2. Balayage ping (ping sweep) du réseau cible — quelles adresses IP sont actives.
  3. Analyse des ports des adresses actives — quels ports/services sont disponibles. (Nmap, SuperScan, Angry IP Scanner, NetScanTools)
  4. Scanners de vulnérabilités — interroger les ports pour déterminer le type et la version de l'application et de l'OS. (Nipper, Secunia PSI, Core Impact, Nessus, SAINT, OpenVAS)
  5. Outils d'exploitation — identifier les services vulnérables exploitables. (Metasploit, Core Impact, Sqlmap, Social Engineer Toolkit, Netsparker)

Attaques d'accès

Elles exploitent des vulnérabilités connues des services d'authentification, FTP et web pour accéder aux comptes, bases de données confidentielles et informations sensibles.

Ingénierie sociale — les 10 techniques

C'est une attaque d'accès : elle manipule les individus pour qu'ils accomplissent des actions malveillantes ou divulguent des informations confidentielles.

PrétextePrétend avoir besoin de données personnelles ou financières pour confirmer l'identité du destinataire.
HameçonnageCourriels frauduleux se faisant passer pour une source légitime et fiable.
Hameçonnage ciblé (spear phishing)Attaque de phishing sur mesure, adaptée à un individu ou une organisation précis.
Courrier indésirable (spam)Courriels non sollicités, souvent porteurs de liens dangereux ou de malwares.
Quelque chose pour quelque chose (quid pro quo)Demande des informations personnelles en échange de quelque chose, un cadeau par exemple.
Appâtage (baiting)Abandonne une clé USB infectée dans un lieu public ; la victime la trouve et l'insère.
Imitation (impersonation)Se fait passer pour quelqu'un d'autre afin de gagner la confiance de la victime.
TailgatingSuit de près une personne autorisée pour pénétrer dans une zone sécurisée.
Surf sur l'épaule (shoulder surfing)Regarde discrètement par-dessus l'épaule pour voler un mot de passe.
Fouiller les poubelles (dumpster diving)Fouille les poubelles pour trouver des documents confidentiels.
À retenir absolument « La cybersécurité est aussi forte que son maillon le plus faible » — et ce maillon, c'est le personnel. La mesure la plus efficace est donc de former le personnel et créer une « culture de la sécurité ». Outil cité : le SET (Social Engineer Toolkit), conçu pour que les hackers éthiques testent leurs propres réseaux.

9. DoS, dépassement de tampon et évasion Module 14 · avancé

DoS et DDoS

Un DoS provoque une interruption des services réseau pour les utilisateurs, appareils ou applications. Deux types :

Le DDoS a la même intention, mais il prend plus d'ampleur car il provient de sources multiples et coordonnées.

Composant DDoSDéfinition
ZombiesLes machines compromises qui exécutent du code malveillant.
Bots (robots)Le logiciel malveillant conçu pour infecter un hôte et communiquer avec un système de gestion.
BotnetLe groupe de zombies infectés par un malware auto-réplicateur et contrôlés par les gestionnaires.
Gestionnaires (handlers)Le serveur maître de commande et de contrôle (CnC ou C2) qui contrôle les groupes de zombies.
Bot master(Description erronée dans le PDF.) L'acteur malveillant qui contrôle le botnet via les gestionnaires.
Piège classique Bot ≠ zombie. Dans ce cours, le bot est le logiciel malveillant ; le zombie est la machine compromise. Le botnet est le groupe de zombies. Exemple cité : Mirai, qui ciblait les appareils IoT laissés avec leurs identifiants de connexion par défaut, et servit à une attaque DDoS.

Dépassement de tampon

L'attaquant cherche à trouver et exploiter une faille liée à la mémoire système sur un serveur. Exemples du cours : une vulnérabilité DoS distante dans Microsoft Windows 10 permettant d'accéder à de la mémoire hors périmètre ; et le ping de la mort — une requête d'écho dans un paquet IP dont la taille dépasse la taille maximale ; l'hôte récepteur ne sait pas la gérer et plante. On estime qu'un tiers des attaques malveillantes sont dues à des dépassements de tampon.

Les 9 méthodes d'évasion

Chiffrement et tunnelageDissimule (tunneling) ou brouille (chiffrement) les fichiers malveillants. Peut cacher les données volées dans des paquets légitimes.
Épuisement des ressourcesRend l'hôte cible trop occupé pour appliquer correctement ses techniques de détection.
Fragmentation du traficDivise la charge utile en paquets plus petits pour contourner la détection ; le malware est réassemblé ensuite.
Interprétation erronée du protocoleLes défenses gèrent mal une caractéristique de la PDU (somme de contrôle, TTL) → le pare-feu ignore des paquets qu'il devrait vérifier.
Substitution du traficEncode la charge utile dans un autre format (ex. Unicode au lieu d'ASCII) : l'IPS ne reconnaît pas les données, mais le système cible sait les lire.
Insertion de traficInsère des octets supplémentaires dans la séquence malveillante ; les règles de l'IPS ne la détectent plus.
PivotementL'attaquant a déjà compromis un hôte interne et étend son accès (ex. réutiliser le mot de passe admin sur un autre hôte).
RootkitsS'intègre aux couches les plus basses de l'OS ; renvoie une version expurgée des listes de fichiers, processus et connexions → dissimule totalement l'activité de l'attaquant.
ProxiesRedirige le trafic via des systèmes intermédiaires pour masquer la destination finale des données volées et répartir l'exfiltration sur plusieurs destinations.
Piège classique Trois méthodes se ressemblent et sont régulièrement confondues : la fragmentation découpe la charge — la substitution ré-encode la charge (Unicode/ASCII) — l'insertion ajoute des octets parasites. Découper / ré-encoder / ajouter.