ObjectifCyber

Chapitre 3 — OSI, Protocoles & Infrastructure Réseau

Comprendre le modèle OSI et les protocoles clés est fondamental pour situer les contrôles de sécurité. Ce module couvre le modèle OSI, les protocoles critiques, la segmentation et les équipements réseau.

Mémorisez ! Mnémotechnique OSI (de bas en haut) : "Physique, Données, Réseau, Transport, Session, Présentation, Application" = "Please Do Not Throw Sausage Pizza Away". Les contrôles de sécurité sont souvent définis par la couche OSI où ils opèrent.
CoucheNomProtocoles/ÉquipementsAttaques / Contrôles
7ApplicationHTTP, HTTPS, DNS, FTP, SMTP, SSHXSS, SQLi, phishing → WAF, filtrage URL
6PrésentationTLS/SSL, chiffrement, encodageDowngrade SSL → forcer TLS 1.3
5SessionNetBIOS, RPC, socketsHijacking de session → tokens sécurisés
4TransportTCP, UDP, portsSYN flood → SYN cookies, rate limiting
3RéseauIP, ICMP, IPsec, routeursIP spoofing, routage malveillant → ACL, RPF
2LiaisonEthernet, ARP, MAC, switchesARP spoofing, MAC flooding → Dynamic ARP Inspection
1PhysiqueCâbles, hubs, signauxÉcoute passive, coupure → sécurité physique

PortProtocoleSécurisé ?Alternative sécurisée
21FTPNon (clair)SFTP (22) ou FTPS (990)
22SSHOui
23TelnetNon (clair)SSH (22)
25SMTPNon seulSMTPS (587/465 + TLS)
53DNSPartiellementDNS over TLS (853), DNS over HTTPS (443)
80HTTPNonHTTPS (443)
110/143POP3/IMAPNonPOP3S (995), IMAPS (993)
443HTTPS/TLSOui
445SMBVulnérable (v1)SMBv3 avec chiffrement
3389RDPRisqué si exposéRDP via VPN + MFA
Astuce Examen

Mémorisez les ports dangereux : 21 (FTP), 23 (Telnet), 80 (HTTP), 445 (SMB v1), 3389 (RDP exposé). Ces protocoles transmettent en clair ou ont des vulnérabilités connues. Leur remplacement par des alternatives chiffrées est une priorité.

La segmentation divise le réseau en zones plus petites pour limiter la propagation des attaques (mouvement latéral).

Mémorisez ! Les hubs ne doivent jamais être utilisés — tout le trafic est visible par tous les appareils connectés. Un attaquant peut écouter passivement toutes les communications. Les switches modernes limitent cela (chaque port = domaine de collision séparé).

1. Un pare-feu Next-Generation (NGFW) qui inspecte le contenu HTTP et bloque les requêtes SQLi opère principalement à quelle couche OSI ?

L'inspection du contenu HTTP et la détection de SQLi nécessite d'analyser le payload applicatif — c'est la couche 7 (Application). Un pare-feu stateful basique opère à la couche 4 (ports TCP/UDP). Le NGFW monte jusqu'à la couche 7.

2. Un administrateur veut remplacer l'utilisation de Telnet pour l'administration des serveurs. Quelle est la meilleure alternative ?

SSH (port 22) est le remplaçant direct de Telnet (port 23). Telnet transmet tout en clair (y compris les mots de passe). SSH chiffre toute la session avec des algorithmes modernes (AES, chacha20).

3. Une DMZ est conçue pour :

La DMZ crée un zone tampon : les serveurs publics (web, email, DNS) sont accessibles depuis internet mais isolés du réseau interne. Si un serveur DMZ est compromis, l'attaquant ne peut pas atteindre directement le réseau interne.

4. L'ARP spoofing est une attaque opérant à quelle couche OSI ?

ARP (Address Resolution Protocol) opère à la couche 2. L'ARP spoofing empoisonne les caches ARP pour rediriger le trafic vers l'attaquant (attaque on-path/man-in-the-middle). Contre-mesure : Dynamic ARP Inspection (DAI) sur les switches.

5. Quelle est la principale menace de sécurité liée à l'utilisation d'un hub réseau ?

Un hub diffuse chaque paquet à tous ses ports (couche 1). N'importe quel appareil connecté peut capturer tout le trafic du réseau en mode promiscuous. Les switches modernes isolent le trafic par port — beaucoup plus sûr.

6. La micro-segmentation est principalement utilisée pour :

La micro-segmentation isole chaque workload (VM, conteneur, application) avec ses propres règles de pare-feu. Si un workload est compromis, l'attaquant ne peut pas facilement se déplacer vers les workloads adjacents.

7. Quel protocole remplace DNS standard pour sécuriser les requêtes DNS ?

DoT (DNS over TLS, port 853) et DoH (DNS over HTTPS, port 443) chiffrent les requêtes DNS pour empêcher l'interception et la manipulation. DNSSEC signe les réponses mais ne chiffre pas les requêtes.

8. Un "air gap" est :

Un air gap = aucune connexion physique ou logique à internet ou autres réseaux. Utilisé pour les systèmes ultra-sensibles (SCADA nucléaire, systèmes militaires classifiés). Les attaques contre les air-gaps utilisent des vecteurs physiques (USB Stuxnet, émissions RF).

9. SMBv1 est particulièrement dangereux car :

EternalBlue (exploit NSA fuitée) cible SMBv1 et a été utilisé dans WannaCry, NotPetya, et d'autres attaques massives. SMBv1 doit être désactivé. SMBv3 avec chiffrement est la version sécurisée recommandée.

10. Un administrateur configure les switches pour que les serveurs web, les serveurs de base de données et les postes administrateur soient sur des réseaux logiquement séparés même s'ils partagent le même matériel physique. Quelle technologie utilise-t-il ?

Les VLANs permettent la segmentation logique sur un switch physique. Les appareils dans des VLANs différents ne peuvent pas communiquer directement — il faut passer par un routeur/pare-feu inter-VLAN, créant un point de contrôle supplémentaire.