🛡️ Cybersecurite – Cours Complet

Cryptographie, securite Web (OWASP), securite reseaux, social engineering et bonnes pratiques. Maitrise les fondamentaux de la protection des systemes d'information.

Cybersecurite Niveau Intermediaire a Avance ~3h de lecture ISEP
Retour aux cours

Sommaire du Cours

  1. Introduction – Triade CIA, menaces, vulnerabilites
  2. Cryptographie – AES, RSA, hachage, signatures
  3. Securite Web – OWASP Top 10, XSS, SQLi, CSRF
  4. Securite Reseaux – Firewalls, IDS/IPS, VPN, TLS
  5. Social Engineering – Phishing, pretexting, contre-mesures
  6. Bonnes Pratiques – MFA, backups, moindre privilege

1. Introduction a la Cybersecurite

La cybersecurite protege les systemes d'information. Objectif fondamental : garantir la triade CIA (Confidentialite, Integrite, Disponibilite).

La Triade CIA

Confidentialite

Acces reserve aux autorises. Chiffrement, controle d'acces.

Integrite

Donnees non alterees. Hachage, signatures.

Disponibilite

Systemes accessibles. Redondance, backups.

Concepts Cles

Menace : Evenement pouvant causer un dommage (hacker, malware).

Vulnerabilite : Faiblesse exploitable (bug, mauvaise config).

Risque : Probabilite qu'une menace exploite une vulnerabilite x impact.

Surface d'attaque : Points d'entree exploitables (ports, API, humains).


2. Cryptographie

La cryptographie est la science du chiffrement. Deux grandes familles : symetrique (une clef) et asymetrique (paire publique/privee).

2.1 Chiffrement Symetrique (AES)

AES – Standard actuel. Clefs : 128, 192, 256 bits. Blocs de 128 bits avec 10-14 rondes. Modes : GCM (recommande), CTR, CBC. Eviter ECB !

ChaCha20 – Moderne, utilise dans TLS 1.3 et WireGuard. DES/3DES – Obsoletes (clef 56 bits).

2.2 Chiffrement Asymetrique (RSA)

RSA – Base sur la factorisation de n = p x q. Taille minimale : 2048 bits.

  1. Choisir deux grands nombres premiers p et q
  2. n = p x q, phi(n) = (p-1)(q-1)
  3. Choisir e (exposant public), calculer d = e^-1 mod phi(n)
  4. Clef publique (n,e), clef privee (n,d)
  5. Chiffrement : C = M^e mod n | Dechiffrement : M = C^d mod n

ECC (Elliptic Curve) – Alternative moderne : 256 bits ECC ~ 3072 bits RSA.

Chiffrement hybride : Clef de session AES (rapide) chiffree avec RSA (echange securise). Utilise dans TLS, PGP. Le meilleur des deux mondes !

2.3 Hachage & Signatures

Hachage : SHA-256, SHA-3, BLAKE3 (OK). MD5, SHA-1 (casses).

Signatures numeriques : Hash du message chiffre avec la clef privee. Verifie authenticite + integrite.

Certificats X.509 : Lient identite a clef publique. Chaine : Root CA, Intermediate CA, Certificat.

Exercice 1 – RSA pas a pas

Moyen

Alice utilise p=11, q=13, e=7. Bob veut chiffrer M=42.

  1. Calculer n et phi(n)
  2. Verifier e, calculer d
  3. Chiffrer : C = M^e mod n

n = 11 x 13 = 143, phi(n) = 10 x 12 = 120

pgcd(7,120)=1 donc e valide. d = 103 (car 7x103=721=1 mod 120).

C = 42^7 mod 143. 42^2=1764=48 mod 143. 42^4=16 mod 143. C = 16x48x42 mod 143 = 81.

Verification : 81^103 mod 143 = 42. Correct !


3. Securite Web – OWASP Top 10

L'OWASP publie le Top 10 des risques de securite applicative les plus critiques. Voici les attaques incontournables.

Injection (SQLi) – L'attaquant insere du code malveillant interprete par le serveur.
Broken Authentication – Faiblesses dans la gestion des sessions et de l'authentification.
Sensitive Data Exposure – Donnees sensibles non protegees (en clair, mauvais chiffrement).
Broken Access Control – Droits d'acces non verifies cote serveur (IDOR).
XSS (Cross-Site Scripting) – Injection de JavaScript cote client.
Security Misconfiguration – Debug active, ports ouverts, permissions trop larges.
CSRF – L'attaquant fait executer des actions non desirees a l'utilisateur authentifie.

Attaques Detaillees

Cross-Site Scripting (XSS)

L'attaquant injecte du JavaScript malveillant execute dans le navigateur de la victime.

Types : Reflected (URL), Stored (BDD), DOM-based (cote client).

Contre-mesures : Echappement HTML, Content-Security-Policy (CSP), HttpOnly cookies, validation des entrees.

Injection SQL (SQLi)

L'attaquant insere des fragments SQL dans les champs de saisie.

-- Injection classique : SELECT * FROM users WHERE name='admin' --' AND pass='' -- Le "--" commente la suite, bypass auth !

Defense : Requetes preparees (PreparedStatement), ORM, validation stricte, WAF.

CSRF (Cross-Site Request Forgery)

L'attaquant fait executer des actions non desirees via le navigateur de la victime authentifiee.

Defense : Jetons anti-CSRF, en-tete SameSite, verification Origin/Referer.

Exercice 2 – Identifier et corriger une vulnerabilite

Moyen

Ce code PHP est vulnerable. Identifiez les problemes et proposez une correction :

$mot = $_GET['q']; $sql = "SELECT * FROM produits WHERE nom LIKE '%$mot%'"; $result = mysqli_query($conn, $sql); while($row = mysqli_fetch_assoc($result)) { echo "
" . $row['nom'] . "
"; }

Problemes : (1) Injection SQL – $mot concatene directement. (2) XSS – $row['nom'] affiche sans echappement.

Correction : Utiliser des requetes preparees + htmlspecialchars().

$stmt = $conn->prepare("SELECT * FROM produits WHERE nom LIKE ?"); $search = "%" . $_GET['q'] . "%"; $stmt->bind_param("s", $search); $stmt->execute(); $result = $stmt->get_result(); while($row = $result->fetch_assoc()) { echo "
" . htmlspecialchars($row['nom'], ENT_QUOTES, 'UTF-8') . "
"; }

4. Securite Reseaux

La securite reseau protege l'infrastructure contre interceptions et attaques via des dispositifs de filtrage, detection et chiffrement.

Dispositifs de Securite

Firewall

Filtre le trafic entrant/sortant. Types : Packet Filtering (niveau 3/4), Stateful (maintient l'etat), Application Gateway (niveau 7), NGFW (tout-en-un + IPS).

IDS / IPS

IDS (Detection) – Alerte. IPS (Prevention) – Bloque automatiquement. Methodes : signature-based (attaques connues) vs anomaly-based (comportement anormal).

VPN (Virtual Private Network)

Tunnel chiffre a travers un reseau non securise.

  • IPsec : Niveau IP (couche 3). Modes Transport et Tunnel.
  • SSL/TLS VPN : Niveau applicatif (OpenVPN). Plus flexible.
  • WireGuard : Moderne (~4000 lignes), Curve25519, ChaCha20. Performant et auditable.

TLS 1.3 – Le Protocole qui Securise le Web

TLS (Transport Layer Security) remplace SSL. Version 1.3 (2018) : handshake simplifie, forward secrecy obligatoire, algorithmes obsoletes supprimes.

  1. ClientHello : cipher suites + clef Diffie-Hellman ephemer.
  2. ServerHello : cipher choisi + certificat + clef DH.
  3. Clef de session via ECDHE.
  4. Donnees chiffrees avec AES-GCM ou ChaCha20-Poly1305.

Perfect Forward Secrecy (PFS) : La compromission future de la clef privee ne permet pas de dechiffrer les sessions passees.

Attaque Man-in-the-Middle (MITM)

Mallory intercepte la communication entre Alice et le serveur. Sur un Wi-Fi public : Evil Twin (faux point d'acces), usurpation DNS, certificat auto-signe.

Contre-mesures : VPN, verification du certificat, HSTS, DNS over HTTPS (DoH).


5. Social Engineering

Le social engineering exploite la psychologie humaine, souvent le maillon le plus faible. L'attaquant manipule la victime pour obtenir des informations ou acces.

Types d'Attaques

TechniqueDescriptionVecteur
PhishingEmail frauduleux imitant une entite legitimeEmail, SMS, appel
Spear PhishingPhishing cible et personnaliseEmail pro
PretextingScenario credible inventeTel, email, presentiel
BaitingAppat (cle USB infectee, faux logiciel)Physique, web
TailgatingSuivre une personne autoriseePhysique

Scenario Realiste – Phishing Cible

De : support@isep-edu.com<br> Objet : Urgent – Validation compte etudiant<br> Votre compte sera suspendu dans 24h. Cliquez : isep-edu.com/verification

Indices de phishing : Domaine suspect (isep-edu.com vs isep.fr), urgence artificielle, absence de personnalisation.

Contre-Mesures Efficaces

  • Verifier l'expediteur : Examiner l'adresse email complete et le domaine
  • Ne jamais cliquer sur les liens suspects : Saisir l'URL manuellement
  • Verifier les demandes inhabituelles par un canal different
  • Formation reguliere : Simulations de phishing, sensibilisation continue
  • MFA : Limite l'impact meme si les identifiants sont voles

6. Bonnes Pratiques de Securite

Authentification Multi-Facteurs (MFA)

Combine au moins 2 des 3 facteurs :

  1. Ce que tu sais – Mot de passe, PIN
  2. Ce que tu as – Token physique, smartphone (TOTP), cle YubiKey
  3. Ce que tu es – Biometrie : empreinte, reconnaissance faciale

Recommandation : FIDO2/Passkeys > TOTP > SMS (vulnerable au SIM-swapping).

Sauvegardes – Regle 3-2-1

3 copies des donnees

2 types de supports

1 copie hors site

Moderne : 3-2-1-1-0 : +1 copie immuable (air-gapped) + 0 erreur (tester la restauration).

Principe du Moindre Privilege

Chaque utilisateur/processus ne dispose que des permissions strictement necessaires. RBAC (Role-Based Access Control), JIT (Just-in-Time), Zero Trust.

Mises a Jour & Patch Management

  • Activer les mises a jour automatiques pour les logiciels grand public
  • Surveiller les CVE (Common Vulnerabilities and Exposures)
  • Delai de correction (MTTR) : < 30 jours pour les vulnerabilites critiques
Reflexe cybersecurite STOP : Se demander si c'est normal, Time (ne pas se precipiter), Observer les details, Prevenir le service competent.

Exercice Recapitulatif – Audit PME

Scenario Global – Consultant en Cybersecurite

Difficile

Contexte : PME de 50 employes. Problemes identifies :

  1. Wi-Fi WPA2 avec mot de passe partage et ancien
  2. Site web sans HTTPS
  3. Reutilisation des mots de passe
  4. Aucune sauvegarde automatisee
  5. Pare-feu obsolete (2018, jamais mis a jour)
  6. CEO victime d'un appel "support Microsoft"

Questions : (1) Classifiez chaque probleme selon la triade CIA. (2) Proposez des solutions priorisees. (3) Quick wins (premieres 48h).

1. Analyse CIA :

#ProblemeCIAGravite
1Wi-Fi faibleC, IHaute
2Pas de HTTPSC, ICritique
3Reutilisation MDPC, IHaute
4Pas de backupsDCritique
5Firewall obseleteC, I, DMoyenne
6Vishing CEOC, I, DCritique

2. Solutions priorisees :

  1. HTTPS (immediat) : Let's Encrypt, redirection HTTP vers HTTPS, HSTS
  2. Sauvegardes (J+1) : Solution cloud automatisee, regle 3-2-1
  3. MFA (J+7) : Sur tous les comptes critiques
  4. Gestionnaire MDP (J+14) : Bitwarden, mots de passe uniques
  5. Wi-Fi (J+14) : WPA3-Enterprise avec 802.1X
  6. Formation (continu) : Sensibilisation trimestrielle, simulations phishing

3. Quick wins (48h) :

  • Activer HTTPS via Let's Encrypt (~30 min)
  • Changer le mot de passe Wi-Fi
  • Alerter tout le personnel sur la tentative de vishing
  • Auditer la machine du CEO
  • Lancer une sauvegarde complete immediate

QCM – Teste tes Connaissances

8 questions pour evaluer ta maitrise du cours. Propulse par le moteur QCM de NESTI STUDIO.