Niveau : Difficile — Durée estimée : 110 min — 10 exercices avec corrections détaillées
Rappel des notions clés
La cybersécurité repose sur le triptyque CID : Confidentialité, Intégrité, Disponibilité. Les failles web courantes, comme l'injection SQL ou le Cross-Site Scripting (XSS), exploitent souvent un manque de validation des entrées utilisateurs. La prévention passe par l'utilisation de requêtes préparées et l'échappement des caractères spéciaux.
Le chiffrement est le garant de la confidentialité. On distingue le chiffrement symétrique (une seule clé pour chiffrer/déchiffrer, ex: AES) et asymétrique (une clé publique pour chiffrer, une clé privée pour déchiffrer, ex: RSA). Le hachage, lui, est irréversible et sert à vérifier l'intégrité (ex: stockage de mots de passe avec sel).
Une politique de sécurité (PSSI) définit les règles organisationnelles : gestion des mots de passe, mises à jour régulières, principes du moindre privilège et sensibilisation des utilisateurs. C'est le rempart humain et technique contre l'ingénierie sociale et les ransomwares.
RSA : $c = m^e \pmod n$ | Hachage : $H(message) = empreinte$ | Prévention SQLi : Requêtes préparées (Prepared Statements)
Exercices — Niveau Facile
Exercice 1 : Qu'est-ce qu'une attaque par force brute et comment s'en protéger efficacement ?
Correction :
C'est tester toutes les combinaisons possibles de mots de passe. Protection : Mots de passe longs et complexes, verrouillage du compte après X tentatives, et mise en place d'un captcha.
Exercice 2 : Explique la différence entre le chiffrement et le hachage.
Correction :
Le chiffrement est bidirectionnel (on peut retrouver le message original avec une clé). Le hachage est unidirectionnel et irréversible (on ne peut pas retrouver le message à partir de l'empreinte).
Exercice 3 : Qu'est-ce que le Phishing (Hameçonnage) ?
Correction :
Une technique d'ingénierie sociale visant à tromper l'utilisateur (souvent via email) pour l'inciter à communiquer des données sensibles ou à installer un malware.
Exercices — Niveau Moyen
Exercice 4 : Analyse cette requête : "SELECT * FROM users WHERE login = '$user' AND pass = '$pass'". Comment un attaquant peut-il se connecter sans mot de passe ?
Correction :
En utilisant une injection SQL. Si l'attaquant saisit ' OR '1'='1 dans le champ login, la requête devient : ". WHERE login = '' OR '1'='1' .", ce qui est toujours vrai et donne accès au premier compte de la base.
Exercice 5 : Pourquoi le sel (salt) est-il indispensable lors du hachage d'un mot de passe ?
Correction :
Le sel est une chaîne aléatoire ajoutée au mot de passe avant le hachage. Il empêche l'utilisation de "Rainbow Tables" (tables de hachages pré-calculés) et garantit que deux mots de passe identiques auront des hachages différents.
Exercice 6 : Quel est l'intérêt du HTTPS par rapport au HTTP ?
Correction :
HTTPS ajoute une couche de chiffrement TLS/SSL. Cela garantit la confidentialité (les données ne sont pas lisibles par un tiers), l'intégrité (les données ne sont pas modifiées) et l'authentification du serveur.
Exercices — Niveau Difficile
Exercice 7 : Chiffrement RSA. Si tu as une clé publique (n, e) et que tu veux envoyer le message "m", quelle formule mathématique utilises-tu pour obtenir le message chiffré "c" ?
Correction :
On utilise l'exponentiation modulaire : $$c = m^e \pmod n$$ . Le destinataire utilisera sa clé privée d pour calculer $$m = c^d \pmod n$$ .
Exercice 8 : Explique le fonctionnement d'une attaque XSS (Cross-Site Scripting) stockée.
Correction :
L'attaquant injecte un script malveillant (ex: JS) dans la base de données du site (via un commentaire par exemple). Chaque utilisateur qui consultera cette page exécutera le script, permettant le vol de cookies de session.
Exercice 9 : Dans le cadre d'un audit, qu'est-ce que le principe du "Moindre Privilège" ?
Correction :
C'est accorder à un utilisateur ou un processus uniquement les droits strictement nécessaires à l'accomplissement de sa tâche, et rien de plus, afin de limiter l'impact d'une éventuelle compromission.
Exercice 10 : Comment fonctionne une authentification multi-facteurs (MFA) ?
Correction :
Elle combine au moins deux facteurs parmi : ce que je sais (password), ce que je possède (smartphone/clé USB), ce que je suis (biométrie). Cela rend le vol de mot de passe insuffisant pour pénétrer le système.
Bilan et conseils
Ce qu'il faut retenir : La sécurité est une chaîne dont le maillon le plus faible est souvent l'humain. Automatise tes défenses, utilise des bibliothèques éprouvées pour le chiffrement et reste en veille permanente sur les nouvelles vulnérabilités (CVE).
Comment ORBITECH Peut T'aider
ORBITECH AI Academy met à ta disposition des outils concrets pour réviser plus efficacement et progresser à ton rythme.
- Générateur de Quiz : crée des quiz personnalisés pour tester tes connaissances et identifier tes lacunes.
- Générateur d'Exercices : crée des exercices d'entraînement adaptés à ton niveau avec corrections détaillées.
- Générateur de Résumés : transforme tes cours en fiches de révision claires et structurées.
- Générateur de Mind Maps : visualise et organise tes idées avec des cartes mentales générées automatiquement.
Tous ces outils sont disponibles sur ta plateforme ORBITECH. Connecte-toi et explore ceux qui correspondent le mieux à tes besoins !