Réseaux & Protocoles

OSI L1
Transmission des bits bruts sur un support physique. Câbles (cuivre, fibre optique), ondes radio (Wi-Fi, Bluetooth). Définit tensions, fréquences, connecteurs.

Équipements : hubs, répéteurs, câbles, cartes réseau physiques. Le hub diffuse les signaux à tous les ports sans intelligence — remplacé par le switch.

OSI L2
Transmission fiable entre deux nœuds directement connectés. Protocoles : Ethernet (IEEE 802.3), Wi-Fi (IEEE 802.11). Unité : trame. Gère le contrôle d'accès au médium (MAC) et la détection d'erreurs (CRC).

Équipements : switches (commutateurs L2), qui apprennent les adresses MAC et envoient les trames uniquement au bon port.

OSI L3
Routage des paquets entre réseaux différents. Protocole principal : IP (Internet Protocol). Chaque paquet IP contient une adresse source et destination. Les routeurs consultent leur table de routage pour déterminer le prochain saut (next hop).

Autres protocoles L3 : ICMP (ping, traceroute), OSPF, BGP (routage inter-domaine sur Internet).

OSI L4
Communication de bout en bout entre processus. Multiplexage via les ports (0–65535). TCP et UDP. Ports bien connus : 80 (HTTP), 443 (HTTPS), 22 (SSH), 53 (DNS), 25 (SMTP).

Three-way handshake TCP :
Client → SYN → Serveur
Serveur → SYN-ACK → Client
Client → ACK → Serveur
Connexion établie.

OSI L5-7
Session (L5) : gestion des sessions de communication (ouverture, maintien, fermeture). Ex : NetBIOS, RPC.

Présentation (L6) : encodage, compression, chiffrement des données. Ex : SSL/TLS opère en partie ici, JSON/XML, ASCII/UTF-8.

Application (L7) : interface avec les applications utilisateur. Protocoles : HTTP/S, DNS, SMTP, FTP, SSH, DHCP, SNMP.

Réseau
Mécanisme permettant à plusieurs machines d'un réseau privé (192.168.x.x, 10.x.x.x) de partager une seule adresse IP publique. Le routeur maintient une table de translation associant (IP privée, port source) ↔ (IP publique, port mappé).

Contournement de l'épuisement des adresses IPv4. Inconvénient : casse le principe end-to-end d'IP. IPv6 rend le NAT théoriquement inutile.

UDP/53 · TCP/53
Système de résolution de noms : traduit example.com en adresse IP. Fonctionne de façon hiérarchique : résolveur local → serveurs racine (13 dans le monde) → serveurs TLD (.com, .fr) → serveurs autoritaires.

Types d'enregistrements : A (IPv4), AAAA (IPv6), MX (mail), CNAME (alias), TXT (SPF, DKIM…), NS (name server).

Risques : DNS spoofing, DNS cache poisoning, DNS over HTTPS (DoH) pour chiffrer les requêtes.

TCP/80 · TCP/443
HTTP (HyperText Transfer Protocol) : protocole texte requête/réponse. Méthodes : GET, POST, PUT, DELETE, HEAD, OPTIONS. Codes de statut : 200 OK, 301 Redirect, 403 Forbidden, 404 Not Found, 500 Server Error.

HTTPS = HTTP + TLS. TLS (Transport Layer Security) chiffre le canal et authentifie le serveur via un certificat X.509 signé par une CA. Versions actives : TLS 1.2 et TLS 1.3 (le plus sécurisé).

Sécurité
Protocole de chiffrement de la couche transport. Remplace SSL (déprécié). TLS 1.3 simplifie le handshake : 1 seul aller-retour (1-RTT) contre 2 en TLS 1.2.

Handshake TLS 1.3 :
1. Client Hello (versions, ciphers, clé publique DH)
2. Server Hello + Certificate + Finished
3. Client Finished
4. Données chiffrées

Chiffrement : AES-GCM ou ChaCha20-Poly1305. Échange de clés : ECDHE (courbes elliptiques, Perfect Forward Secrecy).

TCP/22
Protocole d'accès distant sécurisé, remplace Telnet (non chiffré). Chiffre la session et authentifie le serveur et l'utilisateur.

Authentification : par mot de passe (déconseillé) ou par paire de clés (recommandé). La clé publique est déposée sur le serveur (~/.ssh/authorized_keys), la clé privée reste sur le client.

Usages avancés : port forwarding local/distant, tunnels SOCKS, X11 forwarding, SFTP (transfert de fichiers).

Infrastructure
DHCP (Dynamic Host Configuration Protocol, UDP/67-68) : attribue automatiquement une IP, masque de sous-réseau, passerelle et serveurs DNS à un nouvel hôte sur le réseau. Séquence DORA : Discover → Offer → Request → Acknowledge.

ARP (Address Resolution Protocol) : résout une adresse IP en adresse MAC sur un réseau local. "Qui a l'IP 192.168.1.1 ? Donne-moi ton MAC." Vulnérable à l'ARP spoofing.

Diagnostic
Internet Control Message Protocol : protocole de contrôle d'IP, pas de données utilisateur. Utilisé pour diagnostics et erreurs réseau.

ping : envoie un Echo Request, attend un Echo Reply. Mesure RTT (round-trip time) et détecte la perte de paquets.

traceroute : envoie des paquets avec TTL croissant (1, 2, 3…). Chaque routeur décrémente le TTL ; à 0, il renvoie un Time Exceeded ICMP. Permet de cartographier le chemin d'un paquet sur Internet.

Reconnaissance
La reconnaissance réseau commence par un scan de ports pour identifier les services exposés. Nmap est l'outil de référence.

Types de scans : TCP Connect (-sT, three-way handshake complet), SYN Stealth (-sS, envoie SYN mais ne complète pas), UDP (-sU, plus lent), OS detection (-O), service version (-sV).

Un port peut être : open (service actif), closed (aucun service), filtered (firewall bloque la réponse).

Attaque L2
L'ARP est sans authentification : n'importe qui peut envoyer une réponse ARP forgée. L'attaquant empoisonne le cache ARP des victimes pour que leur trafic passe par lui.

Déroulement : l'attaquant dit à la victime "l'IP de la gateway, c'est mon MAC" et à la gateway "l'IP de la victime, c'est mon MAC". Il se retrouve en position MITM, peut lire et modifier le trafic non chiffré.

Défense : ARP dynamique avec surveillance (DAI sur les switches), chiffrement TLS bout-en-bout.

Attaque L7
Attaque consistant à injecter de faux enregistrements DNS pour rediriger une victime vers un serveur malveillant.

Cache poisoning (Kaminsky, 2008) : exploite le fait que les résolveurs DNS acceptaient des réponses non sollicitées si le transaction ID correspondait — envoi massif de fausses réponses pour "gagner la course" contre le vrai serveur.

Défense : DNSSEC (signe cryptographiquement les enregistrements DNS), DNS over HTTPS (DoH), DNS over TLS (DoT).

Cryptanalyse réseau
BEAST (2011) : exploitait un problème dans le mode CBC de TLS 1.0. Résolu par TLS 1.1+.

POODLE (2014) : forçage du downgrade vers SSL 3.0 puis exploitation d'un padding oracle. SSL 3.0 désormais désactivé partout.

CRIME / BREACH : fuites d'informations via la compression TLS/HTTP. Résolu en désactivant la compression.

SSL Stripping : l'attaquant MITM intercepte la requête HTTP initiale avant que la victime ne passe en HTTPS. Défense : HSTS (HTTP Strict Transport Security).

Défense
Firewall : filtre le trafic réseau selon des règles (IP, port, protocole). Stateful = connaît l'état des connexions TCP. Appliance ou logiciel (iptables, nftables sous Linux).

IDS (Intrusion Detection System) : détecte les comportements anormaux ou signatures d'attaques connues, sans bloquer. Ex : Snort, Suricata en mode détection.

IPS (Intrusion Prevention System) : même chose mais avec blocage actif en temps réel. Suricata en mode inline.

Confidentialité
Un VPN (Virtual Private Network) crée un tunnel chiffré entre deux points sur un réseau non sécurisé.

Protocoles : OpenVPN (TLS, fiable), WireGuard (moderne, rapide, code minimaliste ~4000 lignes), IPSec (standard entreprise), L2TP/IPSec.

WireGuard utilise Curve25519 (ECDH), ChaCha20-Poly1305 (chiffrement), BLAKE2 (hash). Beaucoup plus simple qu'OpenVPN à auditer.

Tor : onion routing — 3 nœuds chiffrés successifs. Anonymat, pas VPN.