Quiz: Sécurité contre Force Brute et XSS — 20 Fragen

Detaillierte Fragen und Antworten

1. Quelle description correspond le mieux à une attaque par force brute ?

Exploiter une faille de script dans le navigateur de la victime
Modifier directement la base de données d’un service en ligne
Tester successivement des combinaisons de mots de passe ou de clés jusqu’à trouver la bonne
Intercepter une session déjà authentifiée pour voler un cookie

Tester successivement des combinaisons de mots de passe ou de clés jusqu’à trouver la bonne

Erklärung

Une attaque par force brute consiste à essayer une à une des combinaisons possibles jusqu’à réussir l’authentification. Les autres propositions décrivent d’autres attaques, comme le vol de session ou le XSS.

2. De quoi dépend principalement le temps nécessaire pour réussir une attaque par force brute ?

Du style graphique de l’interface de connexion
Du type de navigateur utilisé par l’utilisateur
Du nombre de pages publiques du site visé
Du nombre de possibilités à tester et de la vitesse de test de l’attaquant

Du nombre de possibilités à tester et de la vitesse de test de l’attaquant

Erklärung

Le temps d’attaque dépend surtout de la taille de l’espace de recherche et de la rapidité des essais. Plus il y a de combinaisons, plus l’attaque prend de temps.

3. Quelle mesure est une défense de base contre la force brute lors de l’authentification ?

Afficher le mot de passe en clair pour faciliter la saisie
Autoriser des essais illimités pour éviter les faux positifs
Bloquer temporairement un compte après un nombre limité d’échecs
Supprimer toute vérification d’identité après trois erreurs

Bloquer temporairement un compte après un nombre limité d’échecs

Erklärung

Le blocage temporaire après plusieurs échecs est la défense mentionnée comme première ligne de protection. Les autres choix augmenteraient au contraire le risque d’attaque.

4. Quel effet produit l’authentification à facteurs multiples face à une simple attaque par devinette de mot de passe ?

Elle réduit l’efficacité d’un mot de passe seul
Elle empêche toute tentative de connexion depuis un réseau local
Elle transforme le mot de passe en clé publique
Elle supprime le besoin de vérifier l’identité

Elle réduit l’efficacité d’un mot de passe seul

Erklärung

L’ajout d’un facteur supplémentaire rend insuffisant le seul fait de découvrir un mot de passe. Les autres propositions ne décrivent pas le rôle du MFA.

5. Quel outil est décrit comme une suite destinée à évaluer la sécurité Wi‑Fi et à mener des attaques via de faux points d’accès et l’injection de paquets ?

John the Ripper
Aircrack-ng
Un pare-feu applicatif
Un antivirus grand public

Aircrack-ng

Erklärung

Aircrack-ng est présenté comme une suite d’outils liée au Wi‑Fi, aux faux points d’accès et à l’injection de paquets. John the Ripper est plutôt un outil de récupération de mots de passe.

6. Pourquoi l’accélération CPU+GPU est-elle utile dans une attaque par force brute ?

Elle évite d’avoir à tester des combinaisons
Elle chiffre automatiquement les mots de passe trouvés
Elle permet de traiter plusieurs tâches simultanément et d’accélérer les essais
Elle bloque les mécanismes de détection réseau

Elle permet de traiter plusieurs tâches simultanément et d’accélérer les essais

Erklärung

L’usage conjoint du processeur et du GPU augmente la capacité de calcul et accélère les essais. Il ne supprime pas le test des combinaisons, il le rend plus rapide.

7. Dans l’étude sur les attaques SSH massives, quelle infrastructure a fourni des machines dont les logs ont été analysés ?

Une base de données commerciale
Un honeypot public
Un réseau social
CloudLab

CloudLab

Erklärung

Les chercheurs ont analysé des logs SSH issus de machines CloudLab. L’étude précise qu’elle n’utilise pas de honeypot.

8. Quel volume d’échecs d’authentification SSH l’étude rapporte-t-elle sur la période observée ?

38 millions
3,5 millions
381 millions
381 mille

381 millions

Erklärung

L’étude rapporte 381 millions d’échecs d’authentification SSH. Le chiffre de 3,5 millions correspond à un pic quotidien, pas au total observé.

9. Quel mécanisme réseau peut bloquer des adresses IP suspectes après plusieurs tentatives échouées ?

Un pare-feu
Un éditeur de texte
Un navigateur privé
Un client de messagerie

Un pare-feu

Erklärung

Le pare-feu est cité comme capable de bloquer des adresses IP suspectes après des échecs répétés. Les autres options ne remplissent pas ce rôle de protection réseau.

10. Quelle pratique fait partie des bonnes mesures de prévention contre la force brute ?

Utiliser des clés SSH à la place des mots de passe quand c’est possible
Supprimer la surveillance des tentatives anormales
Augmenter le nombre d’essais autorisés sans contrôle
Rendre les mots de passe plus courts pour les mémoriser

Utiliser des clés SSH à la place des mots de passe quand c’est possible

Erklärung

L’usage de clés SSH est présenté comme préférable aux mots de passe pour réduire le risque de force brute. Les autres choix affaiblissent la sécurité.

11. Quel impact une attaque par force brute peut-elle avoir sur les systèmes visés ?

L’amélioration de la disponibilité du service
La création automatique de correctifs
La suppression des besoins de sauvegarde
L’accès à des systèmes critiques

L’accès à des systèmes critiques

Erklärung

Une force brute réussie peut donner accès à des systèmes critiques. Elle peut au contraire causer des dommages, pas améliorer la disponibilité.

12. Quel type de coût correspond aux pertes liées à l’indisponibilité du service après une attaque par force brute ?

Des coûts matériels uniquement
Des coûts de conception
Des gains opérationnels
Des coûts indirects

Des coûts indirects

Erklärung

Les coûts indirects regroupent notamment les pertes de chiffre d’affaires dues à l’indisponibilité et les dépenses de crise. Les coûts matériels relèvent plutôt des coûts directs.

13. Que fait une attaque XSS ?

Elle surcharge un serveur avec des requêtes jusqu’à le faire tomber
Elle remplace une adresse IP par une autre dans un paquet réseau
Elle injecte du code malveillant dans une page web pour l’exécuter dans le navigateur d’une victime
Elle chiffre tous les fichiers d’un ordinateur local

Elle injecte du code malveillant dans une page web pour l’exécuter dans le navigateur d’une victime

Erklärung

Le XSS consiste à injecter du code malveillant dans une page web afin qu’il soit exécuté côté client. Ce n’est ni une attaque par saturation, ni du chiffrement de fichiers.

14. À quel moment le code XSS s’exécute-t-il généralement ?

Avant toute génération de page par le serveur
Uniquement lors de la création de la base de données
Après suppression automatique de la page
Lors du rendu et de l’interprétation côté client

Lors du rendu et de l’interprétation côté client

Erklärung

Le script s’exécute dans le navigateur au moment du rendu, après génération de la page. Le serveur prépare le contenu, mais l’exécution a lieu côté client.

15. Quel type de XSS renvoie immédiatement le script injecté dans la réponse au navigateur ?

Le XSS stocké
Le XSS DOM-based
Le XSS chiffré
Le XSS réfléchi

Le XSS réfléchi

Erklärung

Le XSS réfléchi provient de la requête et est renvoyé immédiatement sans stockage durable. Le XSS stocké, lui, est enregistré avant exécution.

16. Quelle vulnérabilité est typiquement exploitée par le XSS DOM-based ?

Le routage réseau entre deux serveurs
La compression des images du site
Le traitement JavaScript côté navigateur dans le DOM
Le chiffrement asymétrique mal configuré

Le traitement JavaScript côté navigateur dans le DOM

Erklärung

Le XSS DOM-based naît du traitement JavaScript côté navigateur dans le DOM. Il ne dépend pas d’un stockage préalable du script sur le serveur.

17. Quel type de vulnérabilité a touché TweetDeck en juin 2014 ?

Une injection SQL
Un déni de service distribué
Un XSS stocké
Une fuite de mot de passe par hachage faible

Un XSS stocké

Erklärung

L’incident TweetDeck était une vulnérabilité XSS stockée. Le script était enregistré puis exécuté lors de l’affichage du contenu.

18. Quel a été l’effet du script malveillant dans l’incident TweetDeck ?

Il a supprimé les messages privés de tous les utilisateurs
Il a bloqué durablement l’accès au réseau Wi‑Fi
Il a modifié les mots de passe des administrateurs
Il a forcé les comptes visualisant le tweet à le retweeter automatiquement

Il a forcé les comptes visualisant le tweet à le retweeter automatiquement

Erklärung

Le script déclenchait un retweet automatique chez les comptes qui consultaient le tweet, provoquant une propagation rapide. Les autres effets ne correspondent pas à l’incident décrit.

19. Quelle mesure est la première défense recommandée contre le XSS lors de l’affichage des données ?

L’augmentation du débit réseau
La désactivation de tous les cookies
Le stockage en clair de toutes les entrées
L’encodage systématique en sortie

L’encodage systématique en sortie

Erklärung

La prévention commence par transformer les données avant affichage pour empêcher leur interprétation comme du code. L’encodage en sortie est donc central.

20. Quelle pratique fait partie des bonnes méthodes de prévention XSS côté développement ?

Faire confiance uniquement aux protections du navigateur
Éviter toute gestion de vulnérabilités
Réaliser des revues de code régulières et intégrer des tests de sécurité
Autoriser l’injection de données dans les contextes sensibles

Réaliser des revues de code régulières et intégrer des tests de sécurité

Erklärung

Les politiques de développement sécurisé incluent des revues de code et des tests de sécurité pour détecter les failles avant exploitation. Les protections du navigateur seules ne suffisent pas.

Mit Karteikarten lernen

Merke dir die Antworten mit 20 Karteikarten zu Sécurité contre Force Brute et XSS.

Attaque par force brute — principe ?

Test successif de toutes les combinaisons possibles.

Défense contre force brute — méthode ?

Blocage après plusieurs échecs pour un même compte.

Outils de force brute — exemples ?

Aircrack-ng, John the Ripper.

Karteikarten ansehen →

Lernzettel studieren

Lies den vollständigen Lernzettel zu Sécurité contre Force Brute et XSS.

Lernzettel ansehen →

Similar courses

Introduction à l'Intelligence Artificielle Symbolique

Intelligence Artificielle

Introduction aux documents et sécurité en construction

Bases de données

Introduction à l'Informatique et IA

Introduction aux marchés publics et réglementations du bâtiment

Bases de données

Gestion des imprimantes Windows et PDF

Introduction aux bases de données relationnelles

Bases de données

Erstelle deine eigenen Quizze

Importiere deinen Kurs und die KI erstellt in 30 Sekunden Quizze mit Korrekturen.

Quiz-Generator