Cours 5 - acces distance

À quelle fonction du NIST appartient la gestion des accès à distance ?

À la fonction “Protect”, dans les catégories Identity Management & Access Control et Data Security.

Quels types de mesures sont typiquement liées à l’accès à distance ?

MFA, durcissement SSH, VPN sécurisés, segmentation, contrôle strict des identités.

Dans les sous-catégories “Data Security”, quel est l’objectif général ?

Protéger la confidentialité, l’intégrité et la disponibilité des données au repos et en transit.

À quoi sert la cryptographie dans l’accès à distance ?

À garantir confidentialité, intégrité, authenticité et non-répudiation durant les accès distants (SSH, VPN…).

Que montre la démonstration d’encryption symétrique (page 10) ?

– Le même mot de passe doit être connu des deux parties.

– Les données sont chiffrées et déchiffrées avec une seule clé partagée.

Pourquoi peut-on publier librement une clé publique (page 11) ?

Parce qu’elle ne permet pas de déchiffrer les messages : seule la clé privée le peut.

À quoi sert un hash cryptographique (page 12) ?

Vérifier l’intégrité : un simple changement modifie totalement la valeur du hash.

Que garantit une signature numérique (page 13) ?

– Origine authentique du message

– Intégrité du contenu

Quel problème résolvent les certificats digitaux (page 14) ?

Ils permettent de prouver l’identité du détenteur de la clé publique via un tiers de confiance (CA).

Quelles protections utilise-t-on pour les données “au repos” ?

– Confidentialité : chiffrement

– Intégrité : signature ou hash

Quelles protections utilise-t-on pour les données “en transit” ?

– Chiffrement (symétrique ou asymétrique)

– Signature / HMAC

– Certificats

Pourquoi combine-t-on souvent asymétrique + symétrique ?

– Asymétrique → échange sécurisé d’une clé

– Symétrique → chiffrement rapide pour le reste de la session

Quels services SSH offre-t-il (page 19) ?

– Shell distant

– Exécution de commandes

– Transfert de fichiers (scp/sftp)

Pourquoi configurer un 2FA pour SSH (page 20) ?

Pour réduire fortement les risques de compromission d’un mot de passe.

Pourquoi vérifier la clé publique du serveur (page 21) ?

Pour éviter les attaques Man-in-the-Middle.

Avantage de l’accès SSH par clé publique (page 26) ?

Pas de mot de passe transmis → quasi impossible à brute-forcer.

Pourquoi importe-t-on la clé publique du client de manière sécurisée (page 25) ?

Pour être certain qu’elle provient bien du bon utilisateur.

Que montre la démonstration page 31 ?

Une attaque par force brute est trivialement possible lorsque :

– l’authentification par mot de passe est activée

– il n’y a pas de 2FA

Que fait Fail2ban (pages 32–34) ?

– Analyse les logs

– Repère les tentatives ratées

– Bannit automatiquement les IP suspectes

Que montre l’exemple réel page 36 ?

Plus de 7000 échecs et 898 IP bannies → brute-force très répandu.

Quelle était la vision historique de l’accès distant (page 38) ?

– Travail sur site

– Réseau interne considéré comme “sûr”

– Périmètre = frontière de sécurité

Pourquoi utilise-t-on un VPN (page 39) ?

– Confidentiel

– Intégrité

– Protection contre man-in-the-middle

Quel concept clé utilise WireGuard (page 41) ?

Le Cryptokey Routing :

– Clé publique = identification du pair

– AllowedIPs = ACL + règles de routage

Que représente wg0.conf (pages 42–43) ?

La configuration réseau d’un pair (serveur ou client) dans le VPN.

Quel risque de sécurité est mentionné page 49 ?

– Faux sentiment de sécurité : un poste télétravail compromis compromet tout le VPN.

Pourquoi la configuration “serveur relayeur” est-elle dangereuse (page 48) ?

Elle permet de faire transiter du trafic non prévu → risque de pivoting.

Que critique le Zero Trust par rapport aux VPN ?

– Ne plus considérer l’intérieur du réseau comme “sûr”

– Minimiser la confiance accordée aux machines clientes

Quel principe important définit le Zero Trust ?

“Never trust, always verify.”