EVALUATION M2 RS – Sécurité Réseau
Les documents sont autorisés (notamment cours, TD, TP). Les réponses « copier/coller » ne seront par défaut pas rétribuées : il est demandé de justifier chaque réponse (à quelques exceptions près). De préférence, répondre aux questions dans l'ordre. NB : Il est recommandé aux étudiants de bien lire les consignes du Contrôle Ecrit. Q1) Analyse de cas, et gestion de crise SSI : [4 pts] Une nouvelle variante de Conficker a fait son apparition, la E, mise au point par une autre équipe. Elle comporte les fonctions de la variante D, sauf les points suivants : – elle se connecte à une dizaine d'URL, et une trentaine d'IP, pour mises à jour et commandes, – elle ne cible pas certains Windows : la version 8, et Windows RT. Par contre, elle a les fonctions supplémentaires suivantes : – au moins une faille de sécurité exploitable à distance (l'analyse est en cours), même sous NT4 . Si une machine a tous les correctifs Microsoft, le code d'exploitation ne marche pas. – une fonction de furtivité de processus, avec un pilote non signé, – des fichiers infectieux zippés avec mots de passe ont été repérés en pièce jointe de courriels. Le client fait appel à vous, car il a ouvert une cellule de crise SSI. Dressez un plan d'action, réactif (durant la crise), et curatif (moyen terme). Soyez prévenant pour les impacts métiers potentiels. Q2) Connexion inconnue [1pt] Quid d'une machine où l'on voit un port TCP ouvert (par scan réseau externe à la machine), mais aucun processus associé à ce port n'est visible sur la machine elle-même, avec netstat ? Q3) Script AD [1,5pt] Quid d'utiliser un script lancé en admin du domaine, sur un Win 2000 SP4 ? Que pourriez-vous dire du niveau de sécurité global de l'AD ? Q4) Veille SSI [1pt] Citez un rapport récent, concernant l'Europe, et montrant par voie statistique que la première façon d'infecter des machines se fait via un site légitime compromis, sans action volontaire de l'utilisateur. Q5) Règles de filtrage [1,5pts] Devrait-on autoriser un trafic sortant vers Internet, vers le port TCP 25, depuis toute machine interne du LAN ? Pourquoi ? Q6) Evaluation de la menace [1,5pts] Que répondre à "La machine est sécurisée" alors que l'accès physique à la machine n'est pas protégé ? Trouvez une règle publiquement connue pour appuyer votre réponse.
EFREI M2 RS 2012 - PV
page 1 /2
CE Sécurité SI
Q7) Signalement réseau [1,5pt] Soit un parc d'entreprise avec Internet Explorer 8, sous Windows Vista 64 bits. Divers BHO sont installés sur les machines. Les équipes antivirus remontent des infections en série de postes de travail. Comme tous les correctifs de sécurité Microsoft sont installés, l'entreprise croit en un 0day. Ceci n'est en fait pas confirmé ensuite. Proposez une piste d'explication, et de solution. Q8) Conseil [1pt] Sur un système vraiment sensible, proposez une solution de durcissement sur un principe opposé à celui de l'antivirus, jugé insuffisant ici. Quelles sont les contraintes métier ? Q9) Affirmation sécurité [2pts] Sous un Windows 7 SP1 32 bits, vous listez les processus avec le Gestionnaire des tâches et Process Explorer. Vous ne voyez aucun processus suspect à priori. Peut-on alors affirmer que la machine est saine ? Pourquoi (soyez précis au niveau de l'affichage des processus) ? Peut-on faire une contre vérification des processus tournant en mémoire (et comment ?) ? Q10) Architecture [1pt] Ring 0 et ring 3 : quel est le celui le plus respectueux des bonnes pratiques de sécurité pour un « fiber » (« lightweight thread ») applicatif ? Q11) Fonctionnement opérationnel [1pt] Expliquez synthétiquement le lien entre application vulnérable à dépassement de tampon, code d'exploitation, charge active, et registre EIP (pointant sur la prochaine instruction devant être exécutée par le CPU) Q12) Culture générale, mais nécessaire en sécurité : [3pts] Quel est le lien entre NTLM et Active Directory ? Quel est le lien entre LDAP et Active Directory ? Quelle est la commande Windows permettant de lister les ports TCP ouverts et les applications ayant instancié ces ports ? Quelle est la commande Linux permettant de chercher un port TCP ouvert (ex : 3128), et l'application l'ayant instancié ?
Bonne chance à tous ! Et souvenez-vous : le retour d'investissement sécurité est très difficilement calculable. Pourtant, quand les budgets sécurité sont coupés, le prochain gros incident de sécurité se transforme souvent en catastrophe...
EFREI M2 RS 2012 - PV
page 2 /2
CE Sécurité SI
