Dans ce labo, vous continuerez de tourmenter votre prof. Votre tùche sera toutefois plus difficile. Le prof se méfie maintenant. Il sait que vos talents de hacker progressent de semaine en semaine. Il surveille le trafic sur son serveur par crainte de se faire à nouveau pirater.
Vous ĂȘtes prĂȘts? Allons-y! Suivez les Ă©tapes et notez toutes vos manipulations. La remise se fait sur Moodle. Nâoubliez de garder une copie de votre travail et de noter les commandes que vous utilisez. Il y aura des manipulations semblables Ă effectuer Ă lâexamen pratique 1 et vous n'aurez pas droit Ă Internet.
Vous avez déjà votre porte dérobée pour accéder au serveur du prof, soit un accÚs SSH. Toutefois cet accÚs n'est pas bien sécurisé. Si quelqu'un met la main sur votre mot de passe, il pourra alors vous dérober votre porte dérobée!
Votre premiÚre mission consiste donc à sécuriser votre accÚs SSH. Pour se faire, vous utiliserez la cryptographie asymétrique en générant une clé privée et une clé publique.
Entrez la commande suivante dans le terminal de votre machine virtuelle Ubuntu:
ssh-keygenVous pouvez accepter toutes les valeurs par dĂ©faut en tapant plusieurs fois la touche ENTRĂE.
Une paire de clés publique et privée se trouve dans le dossier
.ssh de votre répertoire utilisateur.
Si vous listez les fichiers dans ce répertoire, vous verrez un
fichier avec lâextension .pub (clĂ© publique) et un
fichier sans extension (clé privée).
Caution
Vous ne devez jamais partager votre clé privée avec qui que ce soit.
Utilisez ensuite la commande ssh-copy-id avec les
bons arguments pour installer votre clé publique sur
serveurprof.com.
Quelle commande avez-vous utilisée pour installer la clé publique sur le serveur?
Si l'opĂ©ration a rĂ©ussi, vous nâaurez plus besoin dâun mot de passe pour vous connecter au serveur. Câest votre clĂ© privĂ©e qui vous authentifiera.
Connectez-vous Ă nouveau au serveur du prof en SSH. Si tout a bien fonctionnĂ©, vous ne devriez pas avoir besoin dâentrer le mot de passe. Si vous devez entrer un mot de passe, revoyez l'Ă©tape prĂ©cĂ©dente ou demandez de l'aide!
Sur serveurprof.com, vous trouverez le fichier
authorized_keys dans le dossier caché
.ssh. Ce fichier contient les clés publiques des
systÚmes autorisés à se connecter à votre compte. Vous pourriez par
exemple utiliser différents ordinateurs pour vous connecter à votre
compte sur le serveur et chaque ordinateur possĂšde sa propre paire
de clés.
Collez ici le contenu du fichier
authorized_keys. Il devrait contenir la clé publique
que vous avez générée avec la commande ssh-keygen.
Bien! Maintenant que vous ĂȘtes connectĂ© au serveur du prof, regardez ce qui se trouve dans votre rĂ©pertoire utilisateur.
Une image JPEG? Câest peut-ĂȘtre une photo de la vie privĂ©e du prof quâil tient Ă garder secrĂšte. Malheureusement nous avons besoin dâune interface graphique pour visualiser la photo.
Vous pourriez tĂ©lĂ©charger la photo Ă lâaide de la commande
scp mais le prof se méfie et il a mis en place un
systĂšme de dĂ©tection qui lâalertera si vous tentez d'exfiltrer la
photo du systĂšme.
Pour masquer vos traces et brouiller les pistes, vous devrez chiffrer la photo grĂące Ă la cryptographie symĂ©trique. Et pour vous assurer que la photo nâest pas altĂ©rĂ©e ou corrompue dans le transfert, vous devrez aussi produire une signature de celle-ci (hachage).
Commencez par produire un hachage du fichier de la photo Ă lâaide
de lâalgorithme SHA-256. La signature doit ĂȘtre enregistrĂ©e dans un
fichier nommĂ© checksum.txt. Vous devriez ĂȘtre capable
de faire ces deux opĂ©rations (hachage et enregistrement) Ă lâaide
dâune seule commande en utilisant la commande sha256sum
et lâopĂ©rateur de redirection >.
Quelle commande avez-vous utilisĂ© pour gĂ©nĂ©rer la signature de la photo et lâenregistrer dans le fichier SHA256SUM?
Vous allez maintenant créer une archive TAR nommée
photo.tar.gz contenant lâimage et le fichier de
signature. Vous devez utiliser l'utilitaire tar et
lâarchive doit ĂȘtre compressĂ©e avec lâalgorithme gzip.
Quelle commande avez-vous utilisĂ© pour crĂ©er lâarchive TAR?
Finalement, vous utiliserez lâutilitaire de chiffrement GNU
Privacy Guard (gpg) pour chiffrer le fichier TAR de
façon symétrique avec un mot de passe. Le fichier chiffré doit se
nommer photo.tar.gz.gpg.
Warning
Attention de ne pas utiliser le chiffrement asymétrique!
Quelle commande avez-vous utilisé pour le chiffrement?
Bingo! Si tout sâest bien dĂ©roulĂ©, vous avez rĂ©ussi Ă crĂ©er un fichier chiffrĂ© contenant lâarchive TAR de la photo du prof et la signature du fichier.
Ouvrez un nouvel onglet et utilisez maintenant scp
pour transférer le fichier vers votre machine virtuelle Ubuntu.
Utilisez à nouveau GNU Privacy Guard, cette fois pour déchiffrer le fichier.
Quelle commande avez-vous utilisé pour le déchiffrement?
DĂ©compressez lâarchive TAR avec l'utilitaire tar.
Quelle commande avez-vous utilisé pour décompresser l'archive?
VĂ©rifiez la signature du fichier de la photo Ă lâaide de la
commande sha256sum utilisée précédemment. Assurez-vous
que la signature correspond Ă celle inscrite dans le fichier
checksum.txt.
Si la signature est la mĂȘme, cela confirme que la photo n'a pas Ă©tĂ© altĂ©rĂ©e dans le transfert et a conservĂ© son intĂ©gritĂ©.
Ouvrez maintenant le fichier JPEG pour consulter la photo. Tiens donc⊠Il sâagit bel et bien dâune photo de famille mais cet homme nâest pas votre prof et ces enfants sont bien trop beaux pour ĂȘtre les siens⊠Tout cela est louche!
Faites une recherche dâimages inversĂ©e avec Google Images pour voir si cette photo est utilisĂ©e ailleurs sur le web.
Combien de rĂ©sultats obtenez-vous en faisant une recherche dâimages inversĂ©e?
Ah! Cette photo provient dâune banque dâimages. Alors en quoi cela peut-il bien ĂȘtre confidentiel? Votre prof a peut-ĂȘtre utilisĂ© un outil de stĂ©ganographie afin de dissimuler un message secret dans lâimageâŠ
Installez lâutilitaire steghide et cherchez un
fichier texte cachĂ© dans lâimage. Le contenu n'est pas
protégé par un mot de passe.
Quelle commande avez-vous utilisé pour extraire le fichier caché?
Le fichier texte contient un URL secret. Copiez-le dans la barre dâadresse de votre navigateur.
Ăcrivez le code secret dans le quiz Moodle pour complĂ©ter le labo. N'oubliez pas non plus de complĂ©ter le questionnaire.
FĂ©licitations, vous avez Ă nouveau rĂ©ussi votre mission avec brio. Votre prof devra redoubler dâeffort pour mieux se protĂ©ger!