Sécurité SE et des logiciels

Question 1

Quelles sont les méthodes d’authentification des usagers ?

Answer 1

Par quelque chose qu’il :

- connaît
- possède
- est
- fait

Question 2

Avec quoi identifie t’on quelque chose qu’il connaît ?

Answer 2

mot de passe
phrase de passe
informations personnelles (nom, date de naissance ...)

Question 3

Avec quoi identifie t’on quelque chose qu’il possède?

Answer 3

carte magnétique
dongle
carte à puce
dispositif "Secure ID"
dispositif ou carte RFID

Question 4

Avec quoi identifie t’on quelque chose qu’il est?

Answer 4

biométrie statique (empreintes digitales, géométrie de la main, rétine de l’oeil, iris de l’oeil, caractéristique du visage)

Question 5

Avec quoi identifie t’on quelque chose qu’il fait?

Answer 5

Biométrie dynamique (signature, voix. rythme au clavier, géolocalisation)

Question 6

Quel est le principal porblème de la biométrie statique ?

Answer 6

Si elle est compromise, il est impossible de la changer

Question 7

Quelles sont les critères de l’objet pour l’authentifiacation par possession d’un objet ?

Answer 7

1) Doit être vraiment unique
2) Devrait être indépendant d’une base de données
3) Doit être difficile/coûteux à reproduire

Question 8

Quels sont les problèmes de gestion des objets utilisé pour l’authentifiacation par possession d’un objet ?

Answer 8

1) L’émission
2) Le contrôle de possession
3) La perte ou le vol
4) La récupération
5) Le coût
6) Possibilité de falsification

Question 9

Quelles sont les faiblesses de l’authentifiacation par possession d’un objet ?

Answer 9

1) Le coût
2) La possibilité de falsification
3) La perteou le vol

Question 10

Quelle la précision des empreintes digitale pour l’authentifiacation par biométrie statique ?

Answer 10

Bonne précision : utilisation policière antérieur
Limitée : il est possible de créer une fausse empreinte permettant de passer cette sécurité au bout de 17 tentatives en moyenne

Question 11

Quelle la précision de l’empreinte de la main pour l’authentifiacation par biométrie statique ?

Answer 11

assez précise

Question 12

Quelle la précision de la rétine de l’oeil pour l’authentifiacation par biométrie statique ?

Answer 12

La plus précise des méthodes

Question 13

Quelle la précision de l’iris de l’oeil pour l’authentifiacation par biométrie statique ?

Answer 13

très précise (266 caractéristiques => 10^78 combinaisons)

Question 14

Quelle la précision des caractéristiques du visage pour l’authentifiacation par biométrie statique ?

Answer 14

Pas très précis : le taux de précision reste à améliorer

Question 15

Pourquoi ne pas utiliser l’authentification biométrique statique de la rétine de l’oeil ?

Answer 15

Elle requiert l’utilisation d’un laser => réticence des usagers

Question 16

Sous quelle forme est la décision pour l’authentification par biométrie dynamique ?

Answer 16

La décision est sous forme de probabilité (décision floue)

Question 17

Quelles caractéristiques sont annalysées pour l’authentification par signature ?

Answer 17

Tient compte de la dynamique du geste et pas seulement de l’apparence de la signature

Question 18

Quelle est la méthode la moins précise pour l’authentification par biométrie dynamique ?

Answer 18

La voix

Question 19

Quelles sont les inconvenients de l’utilisation de la voix pour l’authentification par biométrie dynamique ?

Answer 19

Elle est sensible à l’état de santé de la personne (laryngite) et la contrefaçon est facile

Question 20

Quel sont les avantage de l’utilisation du rythme au clavier pour l’authentification par biométrie dynamique ?

Answer 20

Complètement transparant pour l’usager

Surveillance continuelle tant que le clavier est utilisée

Question 21

Quel est l’inconvénient de l’utilisation au rythme aau clavier pour l’authentification par biométrie dynamique ?

Answer 21

Non applicable si une interface graphique d’usager est utilisée

Question 22

Quelles sont les étapes de changement de mot de passe ?

Answer 22

1) l’usager saisi le nouveau mot de passe
2) L’application hash le mot de passe de l’utilisateur (extraction unidirectionnelle), peut ajouter du salt au besoin
3) Le hash est conservé en base de données

Question 23

Quelles sont les étape de l’indentification par mot de passe ?

Answer 23

1) L’usager saisi son mot de passe
2) Son mot de passe est haché par l’application
3) Le hash est comparé au hash présent dans la base de données

Question 24

Quelles sont les techniques de base pour l’attaque sur les mots de passes (4) ?

Answer 24

1) Capturer et lire le fichier des mots de passe
2) Deviner le mot de passe
3) Capturer le mot de passe
4) Demander à l’usager

Question 25

Quelles sont les vulnérabilités de mots de passe (5) ?

Answer 25

1) Mots de passe probables (courts ou mot du dictionnaire)
2) Mots de passe en lien avec l’usager (inforamtion personnelle, familiale…)
3) Mots de passe de faible entropie
4) Mauvaises protection des fichiers de mots de passe
5) Pas d’authentification du système

Question 26

Quelles sont les étapes d’une attaque par dicionnaire ?

Answer 26

1) Construire une liste de mots de passe possible (w1, w2, …, wt)
2) Pour chaque wj, calculer hj = H(wj) et stocker dans une table T les paires (hj, wj), trier par hj
3) Voler une base de données de mots de passe hachés hi=H(pi)
4) Chercher le mot de passe pi correspondant à l’utilisateur ui avec hash hi en cherchant si hi existe dans la table T. S’il existe, le mot de passe est wj

Question 27

Quelle mesure contre les attaques par dictionnaire ?

Answer 27

Ajout de salt à haute entropie au mot de passe avant de le hash

Question 28

Comment se déroule une attaque sur les mots de passe en devinant le mot de passe en online ?

Answer 28

Pour un utilisateur connu U, essayer un ou plusieurs mots de passe séquentiellement (U, Pi). Le serveur indique si le mot de passe est correct ou incorrect

Question 29

Comment se défendre face à une attaque sur les mots de passe en devinant le mot de passe en online ?

Answer 29

1) Permettre un nombre limité d’essais
2) CAPTCHA
3) Ajouter un délai après chaque essai mauvais

Question 30

Comment se défendre d’une attaque sur les mots de passe en devinant le mot de passe en offline ?

Answer 30

1) Hash itératif : hacher le mot de passe d fois avant de le stocker. Si d = 1000, on limite la vitesse de l’attaque par un facteur de 1000
2) Fonction Hash spécialisée
3) Salt

Question 31

Quel est le problème de l’envoie du lien de récupération du mot de passe par mail ?

Answer 31

La communication par courriel n’est pas chiffrée

Question 32

Quel est le problème avec les questions secrètes pour récupérer le mot de passe ?

Answer 32

Basse entropie pour les questions et souvent les réponses

Question 33

Qu’est qu’un gestionnaire de mots de passe ?

Answer 33

Un logiciel pour stocker des mots de passe

Question 34

Quels sont les avantages d’un gestionnaire de mots de passe ?

Answer 34

La sécurité : les mots sont générés automatiquement avec plus d’entropie
La convivialité : auto-remplissage des champs de mot de passe

Question 35

Quels sont les désavantages d’un gestionnaire de mots de passe ?

Answer 35

Difficulté de synchronisation entre plusieurs PC
Comment définir un bon mdp maître ?
Point de défaillance unique

Question 36

Quelles sont les mécanismes de protection des mots de passe (contremesures) ?

Answer 36

1) Algorithme unidirectionnel
2) Choix du mot de passe
3) Politique de gestion de mdp

Question 37

Comment appliquer la contremesure “Alogrithme unidirectionnel”?

Answer 37

1) Introduire une variation aléatoire pour permettre plus d’une variation (salt)
2) Utilisation de fonction de hachage cryptogrtaphique

Question 38

Comment appliquer la contremesure “Choix du mot de passe” (indice : comment faire un bon mdp) ?

Answer 38

1) Utiliser plus que 26 caractères : majuscules, minuscules, chiffres et symboles spéciaux
2) Utiliser un mdp suffisamment long (phrase de passe)
3) Éviter des mots de passe qui sont des mots du dictionnaire

Question 39

Comment appliquer la contremesure “Politique de gestion de mdp”?

Answer 39

1) Expiration des mdp
2) Mdp à usage unique
3) Contrôles des mécanismes de mise à zéro

Question 40

Quel est le principe d’une authntification à deux facteurs?

Answer 40

Combiner au moins deux facteurs d’authentifiaction. Chaque facteur a besoin d’une attaque différente

Question 41

Quelles sont les 3 méthodes d’authentification à deux facteurs ?

Answer 41

1) simple
2) threshold
3) OTP

Question 42

Quel est le principe de la méthode simple ?

Answer 42

mot de passe + biométrie ou jeton + …

Tous les facteurs sont vérifiés localement par serveur d’authentification

Question 43

Quel est le principe de la méthode threshold?

Answer 43

N de M facteurs d’identifications doivent être correct

Question 44

Quel est le principe de la méthode OTP?

Answer 44

mdp + mdp à usage unique (One-Time Passsword)

2 méthodes sont possibles : locale et remote

Question 45

Comment se déroule OTP en local ?

Answer 45

1) Enrengistrement de l’appareil : on génère un secret S à partir de l’ID et d’une clé maître K (S = h(K,ID) )
2) OTP est généré localement par le dispositif : OTP = h(S, timestamp)
3) L’usager envoie son OTP par Internet au serveur d’authentification
4) Le serveur vérfie le OTP : identifie l’ID à partir du nom de l’usager, puis calcule S, puis h(S, timestamp) et le compare à l’OTP reçu

Question 46

Quel dispositif est généralement utilisé pout OTP en remote ?

Answer 46

Un téléphone cellulaire

Question 47

Comment se déroule OTP à distance ?

Answer 47

1) L’usage se connecte en indiquant usager et mdp
2) Le serveur calcle un OTP de manière aléatoire
3) Le serveur obtient le no de téléphone de l’usager sur la BD
4) Le serveur envoie OTP au téléphone par un autre canal (sms)
4) Usager entre OTP et l’envoie au serveur par internet

Question 48

Quel est l’avantage de OTP à distance ?

Answer 48

Force l’attaquant à intercepter deux canaux indépendants

Question 49

Quel est le désavantage de OTP à distance ?

Answer 49

Force l’usager à être sur deux canaux

Question 50

Quelles sont les différences entre les signaux et les facteurs d’identification ?

Answer 50

1) Les signaux sont envoyés sans la participation de l’utilisateur contrairement aux facteurs
2) Les signaux peuvent augmenter l’assurance d’une authentifiction, mais ne peuvent pas être utilisés comme facteur indépendant

Question 51

Donner des exemples de signaux d’authentification

Answer 51

Adresse IP
Cookies
Géolocalisation
Caractéristiques du matériel ou logiciel

Question 52

Quelles sont les problématiques (type d’attaque) pour l’authentification dans les réseaux ?

Answer 52

1) Interception de la session d’authentification
2) Supplantation du système
3) “Replay attacks”
4) Session hi-jacking
5) Chess-master attack

Question 53

Comment se déroule le système de “challenge response” ?

Answer 53

1) Le système émet un “challenge”
2) L’utilisateur répond au challenge avec une réponse que seul quelqu’un connaissant l’information d’authentification peut calculer
3) Le système vérifie que la réponse est bonne

Question 54

Quel est le principe du système de “challenge response” ?

Answer 54

La possesion d’une information I authentifie l’utilisateur au système. Au lieu de dévoiler I, le système va challenger l’utilisateur dont la solution va faire intervenir I

Question 55

Quel est l’avantage du système de “challenge response” ?

Answer 55

Protège contre les intercpetions

Question 56

Quels sont les inconvénients du système de “challenge response” ?

Answer 56

1) Le système doit connaître I
2) Vulnérable à l’attaque de supplantation
3) Vulnérable à l’attaque de replay

Question 57

Qu’est ce qu’une preuve à connaissance nulle ?

Answer 57

Il s’agit de protocoles permettant à un démonstrateur P de prouver à un vérificateur V qu’il connaît quelque chose ou est capable de réaliser une tâche sans que V n’apprenne rien d’autre que ce fait

Question 58

Sur quoi se base la sécurité par preuve à connaissance nulle ?

Answer 58

Elle est basée sur des problèmes calculatoire difficiles : Coloriage ou isomorphisme de graphe

Question 59

Quel est le principe de la sécurité par preuve à connaissance nulle ?

Answer 59

Soit I l’information permettant la vérification. Le vérificateur va challenger la personne voulant s’identifier en posant un problème qui ne peut être résolu que par quelqu’un qui connaît I

Question 60

Quels sont les avantages de la sécurité par preuve à connaissance nulle ?

Answer 60

Résout le problème de supplantation du système de “challenge response”

Question 61

Quels sont les désavantages de la sécurité par preuve à connaissance nulle ?

Answer 61

Vulnérable au session hi-jacking et attaque chess-master

Requiert une capacité de calcul chez l’utilisateur

Question 62

Quel est le principe de l’autehntification unique ?

Answer 62

On veut que l’utilisateur s’authentifie une fois seulement pour tous les systèmes

Question 63

Quels sont les avantages de l’autehntification unique ?

Answer 63

1) La convivialité
2) La centralisation de la gestion des utilisateurs et des accès
3) L’efficacité

Question 64

Quelles sont les solutions qui existent pour l’autehntification unique ?

Answer 64

1) Kerberos

2) “Domain trusts”

Question 65

Sur quoi se base Kerberos pour l’autehntification unique ?

Answer 65

1) Des tickets émis par le serveur d’authentification
2) Les tickets ont une durée limitée dans le temps
3) L’acces et l’utilisation des tickets sont limités

Question 66

Sur quoi se base “Domain trusts” pour l’autehntification unique ?

Answer 66

1) Sur une relation de confiance entre serveurs/domaines. Cette relation est établis par les administrateurs de systèmes, elle n’est pas nécessairement bi-directionnelle, elle est statique et non-dynamique
2) Sur la transitivité de la relation de confiance

Question 67

Quelles sont les types de restrictions des accès (6) ?

Answer 67

1) Aucune
2) Isolation
3) Partage de tout ou rien
4) Partage par système centralisé de contrôle d’accès
5) Partage par capabilités
6) Imposition de limites à l’usage

Question 68

Quelle est la caractéristique recherchée par les restrictions d’accès ?

Answer 68

La granularité

Question 69

Qu’est ce que la granularité ?

Answer 69

Un contrôle au niveau du bit, de l’octer, du mot, de l’élément, du champ, de la fiche

Question 70

Donner des exemples d’objets généraux dans le modèle d’accès discrétionnaire

Answer 70

Mémoire
Fichier
Programme
Répertoire…

Question 71

Donner des exemples de sujets dans le modèle d’accès discrétionnaire

Answer 71

Processus
Utilisateurs
Groupe d’utilisateur …

Question 72

Donner des exemples de mode d’accès dans le modèle d’accès discrétionnaire

Answer 72

Lecture
Écriture
Exécution …

Question 73

À quoi sert la matrice de contrôle d’accès dans le modèle d’accès discrétionnaire ?

Answer 73

À établir quel mode d’accès les sujets ont sur quels objets

Question 74

Quels sont les objectis du modèle d’accès discrétionnaire ?

Answer 74

1) Vérifier tous les accès
2) Utiliser le principe du privilège minimum
3) Vérifier l’usage approprié et acceptable

Question 75

Quel est le problème du contrôle d’accès ?

Answer 75

Traduire des spécifications abstraites en propriétés vérifiables de bas niveau

Question 76

Comment vérifier le contrôle d’accès ?

Answer 76

1) Vérification bas niveau faite par les mécanismes internes du SE
2) Vérification de la traduction par méthodes formelles

Question 77

À quelle question le contrôle d’accès souhaite répondre ?

Answer 77

Est-ce que le sujet S voulant accéder à l’objet O en mode M en a la permission et est-ce vraiment le sujet S ?

Question 78

Quelles sont les types d’accès sur BD relationnelle ?

Answer 78

Select
Update
Insert

Question 79

Quelles sont les types de sujets sur BD relationnelle ?

Answer 79

Usager BD
Usager OS
Groupe OS

Question 80

Quels sont les principes de la gestion des accès AGLP ?

Answer 80

On n’attribue pas de permissions aux groupes globaux ni aux utilisteurs
On n’ajoute pas d’utilisateurs dans les groupes locaux
Séparation des responsabilités

Question 81

Quels sont les objets protégés ?

Answer 81

Mémoire
Dispositifs E/S
Programmes et procédures partagés
Ressources réseaux
Données partagées

Question 82

Quelles sont les méthodes de protection dans les systèmes d’exploitation ?

Answer 82

Séparation pysique
Séparation temporelle
Séparation logique
Séparation cryptographique

Question 83

Quelles sont les problèmes de protection de la mémoire

Answer 83

1) Éviter que certaines parties de la mémoire soient accédées
2) Il est difficile pour le OS de savoir ce qui est mémoire légitime en run-time

Question 84

Quelles sont les mesures de protections de la mémoire ?

Answer 84

1) Registre “frontière”
2) Registres de base et de limite
3) Mémoire avec etiquettes (tags)
4) Segmentation
5) Pagination
6) Pagination + Segmentation