Une activité importante de la cybersécurité concerne la classification de la donnée.

En effet, l'information est souvent au cœur de la stratégie d'une entreprise : que ce soit la recette secrète de Coca Cola qui est un enjeu important pour la stratégie et l'image de marque de l'Entreprise, les travaux de recherches sur le vaccin anti-covid de Pfizer qui est capital pour l'aspect financier, ou encore les données temps réel de la puissance neutronique d'un réacteur nucléaire qui a un impact sur la sûreté, il est primordial de protéger ces informations et de travailler sur les aspects de confidentialité.

Les biens essentiels

On voit donc que ces informations, qui peuvent également être des processus ou plus généralement des biens ou des ressources ont une valeur pour l'Entreprise et doivent être protégés à hauteur des enjeux. On appelle cela des Biens Essentiels ou des Actifs.

Et parmi les informations que l'on retrouve en Entreprise,, certaines se doivent d'être protégées plus que d'autres, telles que les données sensibles.

On appelle donnée sensible toute information non publique ou non déclassifiée.

On retrouve par exemple les données personnelles, les données de santé ou encore les données propriétaires comme les brevets, les secrets, les copyrights.

Les 3 formes principales de l'information

Lorsque l'on pense à la confidentialité des données, on pense généralement aux documents numériques : les notes, fichiers textes, les présentations, les normes, etc. Mais il existe deux autres types de formes qu'il est nécessaire de prendre en considération lorsqu'il s'agit de protéger la donnée : la forme orale et la forme matérielle.

La façon la plus simple de partager de l'information consiste à échanger de vive voix avec votre ou vos interlocuteurs. Que ce soit lors d'une visioconférence, par téléphone ou lors d'échanges avec vos collègues en face à face, il est important de considérer le type de données échangées et de se poser la question suivante : est-ce que ce lieu est approprié pour échanger ?

En effet, imaginez-vous parler d'informations classifiées dans le train ou dans un bar ? Il pourrait y avoir des oreilles indiscrètes. Ou bien encore parler d'informations confidentielles et hautement stratégiques lors d'une visioconférence sur Zoom (qui a subi plusieurs revers concernant la confidentialité avec la capacité des attaquants à pouvoir s'introduire dans des réunions sans y être conviés) ? Non et pourtant cela arrive tous les jours...

La dernière forme de l'information est matérielle ou physique : on y retrouve les impressions, les informations notées sur des tableaux, les notes et autres documents ou encore les post-it. N'oubliez pas que ces données sont une mine d'or pour les attaquants et qu'il suffit parfois d'aller fouiller une poubelle à la sortie de l'Entreprise pour récupérer de nombreuses données.

Le cycle de vie de la donnée

Créer la donnée

La démarche de classification consiste en quatre étapes :
• Identifier
• Classifier
• Mettre en œuvre les exigences
• Auditer

Identifier

L'identification est la base de la classification. Sans vision complète des informations traitées par l'Entreprise, vous ne pouvez pas déterminer les impacts d'une fuite de données. La première étape consiste donc à identifier les familles d'informations en fonction des processus de l'Entreprise si ils existent ou simplement en fonction de la typologie des usages (exemple : les données RH, les données industrielles, les données IT, etc.)

Cette action est à réaliser par le référent ou le sachant du domaine, ou à défaut par le manager avec l'appui du RSSI, RSP ou I2L.

Classifier

Une fois que l'on a une vision globale et précise des données traitées par l'Entreprise, il est nécessaire de réaliser une analyse de risque cybersécurité afin de déterminer le niveau de risque et les critères CIA.

Les principes d’une politique de sécurité avec la triade CIA

Une politique de sécurité repose les principes fondamentaux de la triade CIA. Découvrez la confidentialité, l’intégrité et la disponibilité.

Adr1Adrien

La classification est souvent représentée sous la forme suivante :

• C = 0 : public
• C = 1 : interne (à l'Entreprise)
• C = 2 : restreint (à une population identifiée)
• C = 3 : confidentiel

Mettre en œuvre les exigences

Il est ensuite nécessaire de mettre en œuvre l'ensemble des exigences relatives au niveau de classification identifié. Bien évidemment qu'un niveau plus élevé de confidentialité requiert un nombre d'exigences plus important avec généralement une mise en œuvre plus complexe.

Auditer

La mise en œuvre d'exigences, quel qu'elles soient nécessitent obligatoirement la réalisation d'évaluation afin de s'assurer que les règles sont comprises et respectées.

Chaque nouvelle création de familles d'information doit passer par ces étapes.

Utiliser et partager la donnée

En fonction du caractère confidentiel de la donnée utilisée, il peut être nécessaire de mettre en œuvre des techniques de protection de l'information.

Nous avons vu précédemment que l'information pouvait être sous 3 états : au repos, en transit ou en cours d'utilisation. Pour chaque état, il existe des méthodes de protection de la donnée.

Au repos

Lorsque l'information est au repos, elle est généralement stockée pour du court terme avec une utilisation possible ou pour du long terme pour des questions d'archivage.

Il est possible de stocker la donnée de manière chiffrée directement au niveau des bases données, ou bien à l'aide de conteneurs sécurisés ou encore physiquement grâce à des supports qui intègrent du chiffrement de surface.

En transit

L'information peut également être en mouvement entre le client, le serveur et la base de donnée par exemple. Pour cela, il existe des protocoles capables de créer des canaux sécurisés. On retrouve par exemple HTTPS qui intègre du TLS ou encore IPSec.

Les bases du SI - Le protocole HTTP(S) (6/6)

Découvrez à quoi correspondent HTTP et HTTPS, et comment fonctionnent les cookies et le Same Origin Policy

Adr1Adrien

En utilisation

L'information doit également être protégée lorsqu'elle est en cours d'utilisation grâce par exemple à des systèmes qui vérifient l'intégrité de la mémoire. Si on reprend l'exemple du jeune cadre dynamique qui lit un document PDF sur son PC portable, l'utilisation d'un filtre de confidentialité sur l'écran de son PC peut-être un moyen de limiter les regards indiscrets (et vous n'imaginez pas tout ce que l'on peut apprendre simplement en regardant l'écran de son voisin de voyage…)

Enfin, il existe des matériels dédiés à la surveillance tels que les DLP - Data Leak Prevention dont c'est le rôle explicite de surveiller les données qui transitent entre l'Entreprise et internet de manière à protéger contre l'exfiltration de données ou les CASB -  Cloud Access Security Broker qui permettent de contrôler les accès ou monitorer les activités.

Archiver la donnée

Une règle spécifique est applicable à l'archivage. En effet, l'archivage permet entre autre de pouvoir remonter dans le temps afin de récupérer l'historique d'une donnée, ou bien à pouvoir sécuriser une donnée importante contre la perte ou la destruction (coucou les ransomware).

Et quand il s'agit de protéger la donnée, il existe la règle du backup 3-2-1.

• Réaliser 3 copies
• Utiliser 2 supports différents
• Stocker dans 1 location distante

Pourquoi 3 copies ?

C'est très simple : la première est généralement réalisée sur le serveur concerné, la deuxième est réalisée sur un serveur de sauvegarde et la dernière est réalisée sur un serveur distant.

Pourquoi 2 supports différents ?

Pour éviter qu'on appelle le risque de mode commun ; c’est-à-dire le risque de panne générique. Imaginez que vous mettiez vos données sur 2 disques dur de marque western digital. Pas de chance cette série est défaillante et au bout de 1000 heures d'utilisation le disque tombe en panne, vous vous retrouvez alors sans aucune donnée (je précise que je n'ai jamais eu aucun soucis avec des disques western digital :D)

Pourquoi 1 localisation distante ?

Si je reprends mon exemple précédent, vos disques durs sont localisés dans votre bureau et pas de chance pour vous, il prend feu : vous perdez alors vos deux sauvegardes. Une localisation distante permet de limiter le risque.

Détruire la donnée

Chaque donnée doit avoir une date de "péremption" qui précise que la donnée n'est plus utile et peut être détruite. En fonction de la confidentialité de la donnée, différentes techniques d'effacement sécurisés peuvent être utilisées.

Par ordre d'efficacité :

• Clearing : formatage rapide de votre support. Ne supprime pas les données.
• Overwriting : réécrire sur les données existantes. Ne supprime pas entièrement les données
• Purging : effectuer plusieurs passages de réécriture des données en alternant les techniques. Ne supprime pas entièrement les données mais reste très efficace
• Degaussing : démagnétiser un disque dur. Ne fonctionne que sur les HDD et ne supprime pas entièrement les données
• Crypto Erasing : supprimer la clé de déchiffrement. Risque important d'être en capacité de déchiffrer les données un jour (vulnérabilité de l'algorithme, brute force, etc.)
• Shredding : destruction totale du support. Selon la technique employée, la donnée peut être recouvrée.

En bref

La classification de la donnée est nécessaire dans toute organisation et doit passer par l'identification des données traitées et des utilisateurs, la réalisation d'une analyse de risque basée sur les critères de disponibilité, confidentialité et intégrité, la mise en oeuvre des exigences associées et enfin par des audits réguliers.

Il est important de considérer l'ensemble des formes (numériques, orales et physiques) et des états de la donnée (au repos, en transit, en cours d'utilisation), notamment lors des déplacements à l'extérieur de l'Entreprise.

💌 Vous aimez l'article que vous avez lu ?

Pensez à vous inscrire et découvrez d'autres articles seulement visibles pour la communauté ! Et en bonus, un nouvel article chaque dimanche ! 😀

Les Entreprises du secteur industriel sont confrontées à des problématiques particulières concernant leur système d'information. Généralement, elles ont des réseaux dits "industriels" sur lesquels sont connectés des machines, des automates ou des capteurs qui peuvent émettre de l'information ou bien en recevoir.

Là ou le bas blesse, c'est qu'une attaque sur de tels systèmes peut avoir des conséquences désastreuses (telle que l'attaque subit par Colonial Pipeline en 2021).

Pour se prémunir de ce type d'attaque, il existe un moyen simple : ajouter un Air Gap mais pour autant, le risque n'est pas nul et c'est ce que nous allons découvrir aujourd'hui !

Le principe du Air Gap

Le principe du Air Gap consiste à isoler physiquement un réseau sensible pour limiter son exposition et les attaques qu'il peut subir.

Mais ce système n'est pas infaillible et présente quelques failles exploitées par les attaquants qui regorgent d'inventivité.

La société ESET qui édite des solutions antivirus a publié un livre blanc sur ce type d'attaques. A date, 17 virus ont été créés spécifiquement pour les réseaux Air Gap et ont été identifiés et documentés publiquement.

Ils permettent de réaliser de l’espionnage industriel avec comme vecteur d’attaque principal et système de transmission le support amovible.

Le profil des attaquants

Tous les acteurs font partie de la catégorie APT (Advanced Persistent Threat) avec des attaques complexes et sophistiquées.

Ces groupes sont généralement étatiques notamment au vu des capacités de ces virus qui nécessitent des moyens conséquents pour les concevoir.

Ils servent tous un but commun : l’espionnage tel que le virus Flame, avec parfois des capacités de sabotage tel que le virus Stuxnet.

L'historique des attaques

Cette timeline montre deux points importants :

1. La majorité des virus étaient actifs bien avant d’avoir été identifiés, analysés et révélés publiquement
2. Dans la plupart des cas, dès qu’ils ont été reportés publiquement, ces virus ont été abandonnés par les attaquants

Anatomie des frameworks en Air Gap

L'objectif de ces frameworks est de réussir à établir un dialogue entre un équipement situé sur un réseau isolé d'internet et un attaquant situé sur l’internet mondial.

ESET distingue deux types de frameworks :

• Les Frameworks Online qui ont pour vecteur d'attaque un intermédiaire de type Phishing ou BadUSB
• Les Frameworks Offline qui ont pour vecteur d'attaque un intermédiaire physique (une personne qui va directement sur le terrain)

Principe de fonctionnement d'un virus Air Gap

Voici les grandes étapes d'une attaque Air Gap Online :

1. Contamination d’un poste sur le réseau de l’entreprise
2. Une clé USB branchée sur le poste est infectée
3. La clé infectée est branchée sur l’équipement isolé
4. Le virus lance une commande de reconnaissance de l’équipement
5. Les informations sont copiées sur la clé infectée
6. La clé infectée est branchée sur le poste contaminé
7. Les données sont exfiltrées et envoyées par internet à l’attaquant
8. L’attaquant analyse les données et envoie une nouvelle commande sur le poste contaminé
9. La commande est stockée sur la clé
10. La clé infectée est connectée sur l’équipement et la commande stockée est exécutée
11. Le retour de la commande est stocké dans la clé
12. La clé est connectée au poste contaminé
13. Les données sont exfiltrées par internet vers l’attaquant

Les fonctionnalités principales

Parmi les fonctionnalités les plus représentées dans un virus Air Gap, on retrouve les éléments suivants :

• La persistance via l'installation sur la machine cible ou l'exécution depuis le support amovible
• L'analyse avec la récupération d'informations sur l'équipement (marque, modèle, OS, etc.)
• La reconnaissance avec l'exploration du réseau et des tests de vulnérabilités
• L'exfiltration avec le vol de données de manière secrète et cachée
• Le sabotage via l'injection ou la destruction de données
• La propagation dans le réseau Air Gap

Comment se prémunir d'une attaque Air Gap

Il est possible de mettre en oeuvre certaines protections afin de limiter les risques mais les solutions proposées reposent (comme souvent) sur l'hygiène et la discipline des personnes qui interviennent sur les équipements.

Avoir des supports amobiles dédiés

La première solution consiste à considérer chaque réseau tel qu'il est à savoir un réseau distinct. Cela signifie qu'il faut également avoir un support amovible distinct. Si vous devez transférer de l'information d'un réseau connecté à un réseau isolé ou inversement, vous devez avoir un support amovible dédié au réseau connecté et un autre dédié au réseau isolé.

Un support amovible dédié par réseau

Et vous allez me dire : comment est-ce que l'on passe l'information entre les deux supports amovibles ? C'est là qu'entre en jeu la station blanche de décontamination.

Passer par une station blanche

La station blanche permet d'éradiquer la majorité des virus grand public et donc de se prémunir des attaques de type "vers" qui se propagent de support en support.

Transférer seulement les données nécessaires à l'activité

Certaines stations blanches proposent comme fonctionnalité la possibilité de transférer des données choisies par l'utilisateur d'un support A vers un support B en réalisant au passage une analyse antivirale.

Si vous n'avez pas de station blanche à disposition, vous pouvez simplement mettre en place un PC déconnecté du réseau avec un antivirus (à jour - à la main 🤷).

Chiffrer les données

La dernière solution et de chiffrer les données à transférer à l'aide d'un certificat à clé publique / privée.

La cryptographie - le certificat (2/2)

Découvrez les cinq objectifs d’un certificat, sa création, son fonctionnement et son utilisation notamment avec le procédé TLS

Adr1Adrien

En considérant que la personne qui vous a transmis l'information est une source fiable, si celle-ci chiffre les données à l'aide d'une clé publique, vous êtes assuré de répondre aux 5 objectifs du certificat :

• L'authenticité
• La non-répudiation
• L'intégrité
• L'infalsifiablité
• La non-réutilisabilité

Et dans la mesure où seule la machine cible détient la clé privée, elle sera seule en capacité de déchiffrer les données.

En bref

Les attaques en Air Gap existent et sont dangereuses mais il existe des contremesures efficaces à condition de les mettre en oeuvre correctement.

Ces contremesures ont des objectifs multiples :

• Un support dédié qui permet d'éviter les virus de type "vers" qui se propagent de clés en clés
• Une station blanche qui permet de limiter la copie de fichiers au strict nécessaire
• Une station blanche qui réalise des analyses antivirales permet de se prémunir des attaques courantes et connues
• L'utilisation d'un système de chiffrement asymétrique qui permet de répondre aux 5 objectifs du certificat : authenticité, non-répudiation, intégrité, infalsifiablité, non-réutilisabilité

💌 Vous aimez l'article que vous avez lu ?

Pensez à vous inscrire et découvrez d'autres articles seulement visibles pour la communauté ! Et en bonus, un nouvel article chaque dimanche ! 😀

En 2023, la majorité des attaques sont de type Ransomware et c'est d'ailleurs considéré comme étant la menace principale en Entreprise avec le Phishing.

Le paysage de la menace a beaucoup évolué ces dernières années et depuis peu, on voit apparaître une industrialisation et une professionnalisation des attaquants avec notamment la mise en place de RaaS - Ransomware As A Service.

Le groupe d'attaquant Qilin

Ce groupe d'attaquant a été découvert en juillet 2022 et a déjà fait 12 victimes. Il cible des secteurs critiques comme l’éducation, la santé ou des entreprises dans l’énergie avec un ransomware nommé Agenda Ransomware écrit en Rust et en Golang.

Qilin a été infiltré par le groupe Group-IB spécialisé dans la cybersécurité et le Threat Intelligence et a pu récolter des informations sur le mode de fonctionnement de Qilin.

Le ransomware

Le ransomware en tant que tel n'a rien "d'innovant" dans la mesure où il chiffre les données de la victime comme le fait n'importe quel ransomware.

Au détail près, qu'il utilise une technique de rançon par double extorsion. En premier lieu, le malware va exfiltrer les données sensibles de la victime puis en deuxième lieu, il va chiffrer les données de la victime sur son poste.

Cela permet à l'attaquant de :

1. Demander une rançon pour déchiffrer les données
2. Demander une rançon pour ne pas divulguer les données exfiltrées

Le ransomware utilise une variante du ransomware Strain développé en Rust. Avant cela, ils utilisaient une autre variante du malware écrit en Golang adapté par système d'exploitation (Windows, Linux, etc).

Le RaaS

La particularité de Qilin, c'est que plutôt que d'utiliser le ransomware eux-mêmes sur des Entreprises, ils ont développé tout un système d'affiliation basé sur une plateforme web qu'ils mettent à disposition de groupes de malfaiteurs moyennant une commission sur les rançons obtenues.

Leur objectif est donc de promouvoir leur service et cela passe par des messages sur des forums spécialisés sur le dark-web.

Les étapes et les victimes

1. Le principal vecteur d'attaque est le spear phishing avec un lien malveillant.
2. Une fois l'accès initial obtenu, le malware réalise un déplacement latéral dans l'infrastructure à la recherche de fichiers sensibles à chiffrer sur d'autres machines connectées.
3. Durant le chiffrement des fichiers, dès lors qu'un dossier est chiffrer, un fichier texte est déposé contenant les instructions pour déchiffrer les données
4. Qilin met à disposition un système de messagerie permettant à l'attaquant de pouvoir discuter avec la victime.

A ce jour, le ransomware de Qilin a déjà fait 12 victimes.

Ce nombre provient du DLS - Data Leak Site - de Qilin, c’est-à-dire du site web qui contient les données rendues publiques suite au défaut de paiement des victimes. Cela signifie que potentiellement, il y a encore plus de victimes qui sont allées jusqu'au bout de la démarche en payant la rançon à la fois pour le déchiffrement et pour la non-divulgation des informations.

Le ransomware Qilin de l'intérieur

Lorsque le nouvel affilié se connecte sur la plateforme de Qilin, il se retrouve face à un site web contenant 6 sections : Targets, Blogs, Stuffers, News, Payments, FAQ

Section 1 : Targets

Cette section permet de générer une nouvelle attaque contre une Entreprise grâce à un Builder qui paramètre le ransomware :

• Nom de l'entreprise attaquée
• Montant de la rançon demandée
• Temps d'attente pour la rançon
• Analyse financière de l’entreprise
• Contenu de la note du Ransomware
• Liste des dossiers, fichiers et extensions à passer
• Liste des processus et services à arrêter
• Récupération des login/mot de passe des comptes
• Type de chiffrement à appliquer
• Extension des fichiers chiffrés
• etc.

Sections 2 : Blogs

Cette section permet de créer des articles de blog contenant des informations à propos des entreprises attaquées qui n'ont pas payées la rançon. Le blog permet aussi d'échanger avec la victime.

Section 3 : Stuffers

Cette section permet de gérer les droits d'accès à la plateforme d'administration.

Section 4 : News

Cette section permet normalement à Qilin d'envoyer des notes de mises à jour à leurs utilisateurs pour les tenir au courant des dernières nouveautés mais cette section était vide pour Group-IB.

Section 5 : Payments

Cette section regroupe les portefeuilles (wallets car on paye en Bitcoin) de l'attaquant avec la liste des transactions, les frais associés et la possibilité de réaliser une retrait.

Section 6 : FAQ

Enfin, que serait un produit Saas sans un bon support client ! Alors voici une FAQ mise à disposition par Qilin afin de fournir des informations sur les types d’infections, l’utilisation du malware, les cibles, etc.

Source : https://www.group-ib.com/blog/qilin-ransomware/

💌 Vous aimez l'article que vous avez lu ?

Pensez à vous inscrire et découvrez d'autres articles seulement visibles pour la communauté ! Et en bonus, un nouvel article chaque dimanche ! 😀

Qu'est-ce que la triade CIA ?

Tout d'abord, la triade CIA n'a rien à voir avec l'organisme appelé CIA - Central Intelligence Agency. 👮

La triade CIA est un modèle de sécurité créé pour aider à l'élaboration des politiques de sécurité des organisations. Elle intègre trois éléments que sont la confidentialité, l'intégrité et la disponibilité.

Ces trois éléments forment les bases fondamentales des besoins en cybersécurité.

Confidentiality > Integrity > Availability

Les trois éléments de la triade CIA

Confidentialité

La confidentialité est un concept qui vise à protéger le secret des données : c'est à dire prévenir l'accès ou minimiser l'accès à des données secrètes.

De nombreuses contremesures peuvent aider à assurer la confidentialité contre des tentatives d'accès illicites : chiffrer les données, filtrer le réseau, filtrer les accès, authentifier, classer les données, former le personnel.

La confidentialité des données comprend :

• La sensibilité ; pour déterminer qui à le droit d'en connaître
• La discrétion ; la capacité à contrôler la divulgation de manière à protéger ou limiter les dommages
• La criticité ; en cas de divulgation et vis-à-vis des risques financier, environnementaux, image de l'entreprise, etc
• La dissimulation ; pour prévenir ou cacher les données
• Le secret ; laisser les données méconnues
• La confidentialité ; conserver les données confidentielles et personnellement identifiées
• L'isolement ; stocker les données dans un emplacement avec un accès strict
• La segmentation ; conserver les données séparément du reste dans un emplacement spécifique

Intégrité

L'intégrité est un concept qui vise à protéger la fiabilité et l'exactitude des données du risque d'altération.

L'intégrité peut être vue de trois perspectives :

• Prévenir une modification d'une personne non autorisée
• Prévenir une modification non autorisée d'une personne autorisée
• Maintenir une consistance interne/externe entre les objets afin que chaque lien soit valide, consistant et vérifiable

De nombreuses contremesures peuvent aider à assurer l'intégrité contre des attaques : contrôle d'accès strict, procédure d'authentification rigoureuse, système de détection d'intrusion, chiffrement de données, hash, vérification des données d'entrée, formation appropriée.

La confidentialité et l'intégrité sont intimement liés. Sans intégrité (autrement dit, l'incapacité à pouvoir se prémunir de modifications sans permission), la confidentialité ne peut être maintenue.

Sans intégrité, la confidentialité ne peut être maintenue

L'intégrité comprend :

• La précision
• La véracité
• La validité
• La responsabilité
• La complétude
• La compréhension

Disponibilité

La disponibilité signifie autoriser dans le temps et sans interruption un accès aux données.

La disponibilité inclue généralement un système anti-DDOS et cela implique que l'infrastructure, le réseau, la communication et les systèmes d'accès soient complètement fonctionnels. Pour maintenir un système disponible, des contrôles doivent être mis en place pour assurer la redondance, le maintien des sauvegardes et la prévention de perte de données.

De nombreuses contremesures peuvent aider à assurer la disponibilité contre des attaques : systèmes redondants, contrôles d'accès, monitoring des performances et de la charge réseau, utilisation de firewalls et de routeurs, maintenir un système de test des sauvegardes.

La disponibilité dépend de l'intégrité et de la confidentialité

La disponibilité comprend :

• L'utilisabilité
• L'accessibilité
• La rapidité d'accès

En bref

La triade CIA sert de socle dans l'élaboration d'une politique de sécurité. Elle comprend les trois éléments suivants :

• La confidentialité qui vise à protéger le secret des données
• L'intégrité qui vise à protéger les données du risque d'altération
• La disponibilité qui vise à assurer la continuité d'accès aux données

HTTP pour Hypertext Transfer Protocol fonctionne au dessus du protocole TCP. On établit en premier lieu la connexion TCP puis la connexion HTTP.

Un message HTTP est composé comme ceci :

Headers\r\n
\r\n
Message Body\r\n

On termine donc une ligne HTTP avec \r (carriage return) et \n (new line).

HTTPS

Le HTTP ne protège pas les connexions par défaut. Cela signifie que tout ce qui transite en HTTP peut être intercepté et lu. Pour se prémunir de cela, il est possible d'y ajouter une couche de chiffrement avec HTTP Secure aussi appelé HTTP over SSL/TLS.

La cryptographie - le certificat (2/2)

Découvrez les cinq objectifs d’un certificat, sa création, son fonctionnement et son utilisation notamment avec le procédé TLS

Adr1Adrien

La couche TLS permet de fournir de la confidentialité, de l'intégrité et une authentification au protocole HTTP.

En d'autres termes, avec du HTTPS, un attaquant :

• Ne peut pas sniffer les données qui transitent
• Ne peut pas altérer les données qui transitent
• Ne peut pas connaître l'identité réelle du serveur, et parfois du client

Cookies

Un cookie 🍪 contient à minima les champs suivants :

• Un domaine
• Un chemin
• Une expiration

Domaine

Si le domaine est spécifié, le cookie est valide sur le domaine et l'ensemble des sous-domaines.

Si le domaine n'est pas spécifié, le navigateur valide le cookie que sur le domaine actuel et pas les sous-domaines.

Path

Le cookie est valide pour le chemin spécifié et les sous-chemins :

/example/path 
/example/path/sub/path

Expire

Si il n'est pas spécifié, le cookie expire à la fin de la session HTTP.

HTTP-Only

Lorsque le flag http-only est spécifié, cela permet de préciser au navigateur que ni le javascript, ni flash, ni java ou tout autre technologie non HTML ne peut être utilisée pour lire le cookie (cela permet notamment de se prémunir des attaques XSS).

Cookie Secure

Le flag Secure créé un cookie qui ne peut être envoyé qu'à travers une connexion HTTPS.

Same Origin Policy

C'est un point de sécurité particulièrement critique pour la sécurité des applications web.

Cette politique prévient le javascript de pouvoir créer ou supprimer des propriétés en provenance d'une origine différente.

Le navigateur utilise :

• Un protocole
• Un hostname
• Un port

Pour que du javascript puisse accéder à une ressource, le hostname, le port et le protocole doivent coïncider.

Un script javascript sur https://blog.adr1.fr:443/ peut accéder aux ressources :

• https://blog.adr1.fr:443/path
• https://blog.adr1.fr:443/path/2

Mais ne peut pas accéder aux ressources :

• https://blog.adr1.fr:80/path
• http://blog.adr1.fr:443/path
• https://google.fr:443/path

A noter que le Same Origin Policy ne s'applique qu'au code javascript actuel mais il reste possible d'inclure des ressources externes comme des tags IMG, SCRIPT, IFRAME, etc.

Étape 5 - Test

La dernière étape de cette boucle est le test. Vous venez de créer votre premier POC ou MVP et vous devez valider qu'il répond à un vrai besoin sur le terrain.

Et pour cela, vous allez avoir besoin de trois choses : un pitch, un MVCP et des interviews.

Le Pitch

Je suis déjà revenu sur le pitch à plusieurs reprises. Aussi je vous renvoie vers l'article ci-dessous pour découvrir comment créer un pitch efficace :

Comment convaincre en 3 minutes avec le Elevator Pitch ?

Le pitch est un incontournable : découvrez comment on pitch une idée ou un projet et comment susciter la curiosité et l’envie d’en savoir plus.

Adr1Adrien

Le MVCP

Le MVCP ou Minimum Viable Communication Package regroupe tout ce dont vous avez besoin pour vous créer une identité et devenir reconnaissable et identifiable.

En général, lorsque l'on souhaite créer une société, on débute - à tort - par cette phase 😜.

Le MVCP comprend les éléments suivants :

• Un nom, une marque
• Une tag line (un slogan)
• Un logo
• Un mini pitch (30 secondes - basé sur le pitch de 3 minutes)
• Un prospectus (3 phrases et une image sur un A4)
• Une affiche
• Une landing page (un site web)

Guide des types de sites web

Découvrez les différents types de sites et à quoi ils servent : qu’est-ce qu’une landing page, un site de e-commerce, un site personnel, etc.

Adr1Adrien

Là encore, ne vous focalisez pas trop sur la qualité car nous sommes en phase de test ! Vous aurez tout le loisir de faire mieux sur la prochaine itération.

Les interviews

Lorsque vous allez aller dans la rue pour questionner des clients potentiels, vous allez devoir poser des questions ouvertes et écouter.

Votre but est d'expliquer la problématique, et d'écouter comment les personnes réagissent. Et pour créer votre interview, je vous renvoie vers l'article qui parle de la méthode SPIN.

Poser les bonnes questions avec la méthode SPIN Selling

Découvrez comment mener des interviews pour valider votre projet avec la méthode SPIN Selling et mettre en lumière les véritables problématiques.

Adr1Adrien

Les questions comme "qu'est-ce que vous pensez de mon projet ?" ou "est-ce que vous seriez prêt à l'acheter ?" ne doivent pas faire partie de vos interviews car les personnes sont rarement honnêtes et veulent généralement vous faire plaisir !

Il y a toujours deux raisons pour faire quelque chose : une bonne raison et la vraie raison ! - Dale Carnegie

Ne vous concentrez pas sur la bonne raison mais par vos questions, tentez de découvrir les vraies raisons et donc les insights.

Conclusion

Peut-être que les interviews vont mettre en lumière que votre projet intéresse peu de personnes. Dans ce cas, repartez des insights que vous avez découverts lors des échanges et pivotez.

Pivoter, c'est adopter un autre angle d'attaque, c'est revoir la priorité de son projet, c'est trouver une autre voie, un autre problème qui suscite plus d'intérêt auprès du public.

Pivoter n'est pas grave et nombreux sont les projets qui l'ont fait, parfois après plusieurs années d'existence (Netflix par exemple).

Mais n'oubliez pas les trois niveaux d'expérience client :

1. La satisfaction des besoins de base - proposition de valeur centrale
2. La facilité d'utilisation - qualité du produit
3. Le plaisir et les émotions - les moments d'enchantement

Alors, prêts à vous lancer ? Dîtes-moi si une série payante pourrait vous intéresser !

Étape 4 - Prototype

Vous connaissez vos appuis et votre segment client, vous avez découvert les insights et les solutions associées, vous avez aligné la proposition de valeur avec les insights de votre segment client et enfin vous avez un magnifique BMC qui récapitule l'ensemble de votre projet.

Il est donc temps de créer un prototype pour ensuite aller le tester !

POC ou MVP

Que devez-vous faire exactement ? Commençons déjà par ce que vous ne devez pas faire : investir toutes vos économies dans votre projet dans un produit fini !

Vous avez une superbe idée et sur le papier, tout semble cohérent et viable mais sachez qu'à priori, votre premier test sera un échec.

L’échec

L’échec fait partie intégrante de notre vie : découvrez les 7 états psychologiques d’un choc et apprenez comment gérer l’échec et en tirer parti

Adr1Adrien

Alors plutôt que de vous lancez corps et âme dans un produit ou un service fini, faites un POC ou un MVP.

POC

Le POC ou Proof Of Concept est un prototype pur et simple. Il vise à tester la faisabilité technique mais il peut être utiliser pour réaliser un premier test auprès de clients potentiels.

Un POC est simple et pas cher

J'insiste mais un POC et simple et pas cher ! Si par exemple, votre idée consiste à mettre en relation des clients avec des Food Trucks en France, un bon premier test pourrait être de mettre en ligne une page web avec un formulaire de contact.

Pas besoin de développer une application mobile et un site web complets avec un module de réservation connecté à chaque Food Truck de France et de Navarre.

MVP

MVP signifie Minimum Valuable Product. Dans le monde du développement, il y a une image qui revient très régulièrement, celle de la création de la voiture.

Cette image explique simplement deux concepts :

1. Livrer vite : plutôt que de faire un produit complet qui mettra plusieurs années à être finalisé, mieux vaut livrer un produit avec moins de fonctionnalités (coucou les perfectionnistes ! Je sais que c'est dur au début mais on s'y fait ! Parole d'un perfectionniste)
2. Tester souvent : plutôt que de faire un produit complet qui ne répond pas aux besoins, mieux vaut tester le produit à chaque étape et itérer en ajustant le cap

Le MVP c'est donc le produit minimum capable de rendre le service.

Si je reprends mon idée de mise en relation d'un client avec un Food Truck. La première étape pourrait être la suivante :

• Le client remplit un formulaire sur le site web
• L'intermédiaire vérifie régulièrement les nouveaux messages avec les informations et appelle différents Food Truck pour savoir si ils sont intéressés par la demande
• Si le Food Truck accepte, l'intermédiaire se fait payer par le client et reverse l'argent (moins un pourcentage pour service rendu) au Food Truck puis communique les coordonnées du client

Ce système est probablement pas optimal mais il a le mérite d'être simple à mettre en œuvre pour tester la viabilité du marché.

Pour vous aider dans la conception de votre canal de vente, vous pouvez utiliser l'outil User Journey.

Simplifiez le parcours utilisateur avec le User Journey

Découvrez l’outil User Journey qui permet de repérer les actions superflues lors des interactions entre l’utilisateur et votre produit.

Adr1Adrien

Le DNS, c'est l'acronyme de Domain Name System ; merci et au revoir.

Plus sérieusement, le DNS est un protocole support qui permet de convertir une URL en adresse IP.

Le nom de DNS tel que blog.adr1.fr peut être décomposé comme suit :

• Le TLD - Top Level Domain
• Le Domain Part
• Le Subdomain Part
• Le Host Part

DNS Resolution Algorithm

La résolution des noms est réalisée par un resolver qui réalise les étapes suivantes :

1. Le resolver contacte un des root name servers ; ces serveurs contiennent les informations à propos du TLD
2. Le resolver demande au root name server le nom du serveur qui est capable de donner des informations sur le domaine
3. Si il existe un ou plusieurs subdomains, l'étape 2 est réalisée une nouvelle fois pour chaque subdomain
4. Enfin, le resolver demande la résolution du nom pour la partie host

L'adresse IP du root server est codée en dur dans la configuration du resolver.

Reverse DNS Resolution

Le Domaine Name System peut également réaliser l'opération inverse à savoir convertir une IP en DNS Name.

Étape 3 - Idéation

L'étape d'idéation a pour vocation d'élargir les idées de solutions. Vous allez vous concentrer sur la quantité avant la qualité (phase de divergence), regrouper les idées (phase d'émergence), puis vous recentrer sur un groupe d'idées pour en tirer la substantifique moelle (phase de convergence).

Divergence > Émergence > Convergence

Divergence

Affichez vos insights et vos idées associées sur un tableau ou un mur puis mettez un chronomètre de 20 minutes. Munissez-vous de post-its et de stylos et lâchez vous sur les idées !

Visez la quantité et restez concentré sur les insights. Encouragez les idées excentriques, ne jugez pas et rebondissez sur les idées des autres.

Après ces vingt minutes, vous devriez avoir entre 50 et 100 idées ! Place à la phase d'émergence

Émergence

Après la phase de divergence, vous devez vous astreindre à organiser vos idées et former des ensembles. Identifiez les relations et tentez d'approfondir les sujets. Enfin, nommez chaque thématique.

Vous devriez vous retrouver avec des ensembles de post-it regroupés en thèmes qui portent chacun un nom.

Convergence

Vous avez vos différents thèmes et pour chaque thème, vous avez des idées. Il est temps de conceptualiser et d'engager. Adoptez une vue d'ensemble et acceptez l'incertitude.

Et ne vous inquiétez pas car il sera toujours possible de revenir en arrière !

Pour converger, je vous conseille un outil absolument nécessaire à tout projet : le Business Model Canvas

Cadrer son projet avec le BMC - Business Model Canvas

Le Business Model Canvas - BMC est un outil pour visualiser les fondamentaux de son projet de manière globale est synthétique. Découvrez-le !

Adr1Adrien

Vous pouvez également utiliser un autre outil qui vous permettra de vous assurer que votre proposition de valeur est cohérente avec les attentes de votre segment client, j'ai nommé le Value Proposition :

Il existe différents composants qui permettent de sécuriser un réseau. Ces composants utilisent des techniques et fonctionnent sur des couches OSI différentes pour permettre le contrôle d'accès, la prévention ou la détection d'attaques.

Packet Filtering Firewalls

La fonction principale d'un firewall est le filtrage des paquets. Un administrateur peut alors filtrer les paquets selon certaines caractéristiques :

• La source IP
• La destination IP
• Le protocole
• Le port source
• Le port de destination

Le firewall va inspecter les headers des paquets et va réaliser l'une des 3 actions :

• Allow : autoriser le paquet
• Drop : abandonner le paquet sans renvoyer de message de diagnostic au client
• Deny : refuser le paquet mais notifier le client

Intrusion Detection System (IDS)

Les IDS identifient le trafic généré par les virus ou les vers. Tous comme les antivirus, les IDS détectent les trafics à risque en vérifiant les signatures. Il peut y avoir des faux positifs.

Il existe deux types d'IDS :

1. Les Network Intrusion Detection Systems (NIDS)
2. Les Host Intrusion Detection Systems (HIDS)

Ces systèmes ne bloquent pas le trafic mais ne font que loguer l'activité pour une analyse future.

NIDS - Network Intrusion Detection Systems

Les NIDS inspectent le trafic réseau en se plaçant au niveau du routeur ou dans une zone à risque tel que les DMZ.

HIDS - Host Intrusion Detection Systems

Les HIDS surveillent les logs applicatives, les changements au niveau des file-systems et les changements au niveau des configurations des OS.

Intrusion Prevention Systems (IPS)

Les IPS peuvent bloquer les requêtes malicieuses qui dépassent un seuil prédéfini.

Identifier la présence d'un firewall

Quand un firewall est en place, on peut voir apparaître le comportement suivant lorsqu'un client tente une connexion TCP :

• Le client envoie le flag SYN au serveur mais le serveur ne renvoie pas de SYN+ACK
• Le client envoie le flag SYN au serveur et ce dernier répond par un RST/ACK

Network Address Translation (NAT) et IP Masquerading

Les firewalls peuvent aussi implémenter un NAT. Les NAT et l'IP Masquerading sont deux techniques qui permettent de fournir un accès à un réseau depuis un autre réseau.

Chaque machine du réseau utilise le NAT comme porte d'accès principale à internet. Le NAT va réécrire l'adresse IP source par l'adresse IP publique afin de masquer l'IP d'origine.

C'est quelque chose qui existe dans la plupart des grandes entreprises.

Trouver les insights

La définition de insight est la suivante :

"The capacity to gain an accurate and deep understanding of someone or something."

Soit, la capacité d'acquérir une compréhension précise et profonde de quelqu'un ou de quelque chose.

Il n'existe pas vraiment d'équivalent en français donc je ne m'essayerais pas à une traduction hasardeuse mais je pense que vous avez compris le principe.

Découvrir ces insights, c'est découvrir les raisons réelles qui pousseront votre client à se tourner vers votre produit ou service.

POV

Vous pouvez vous aider de l'outil POV pour Point Of View.

_______ (L'utilisateur) a besoin de ________(besoin) afin de ______ (insight)

Cet outil vous permet de :

• Fournir un angle de vue et cadrer le problème
• Inspirer l'équipe
• Offrir une référence pour évaluer les idées concurrentes
• Éviter de développer des concepts larges qui adressent la terre entière

Faire des hypothèses

Une fois fait, vos devriez vous retrouver avec une liste réduite d'insights et vous pouvez passer au deuxième exercice qu'est le HMW pour How Might We.

HMW

Le HMW vous oblige à poser les questions "Et si " ou "Comment pourrions-nous ?". De ces questions, vous allez en tirer quelques graines qui vont vous aider à trouver des idées à partir du POV et des insights découverts.

Comment pourrions-nous _______ (idée) ?

L'objectif est de modifier les angles d'attaque :

• Amplifier le bon côté des choses
• Retirer les mauvais côtés
• Explorer les contraires
• Faire des hypothèses
• Identifier des ressources inattendues
• Faire des analogies
• Retourner le défi
• Découper l'angle d'attaque en morceaux

Identifier un problème

En général, lorsque vous commencez à vous intéresser à la création de société, c'est que vous avez déjà une idée !

Notez que Tim Brown - PDG de la société IDEO spécialisée dans le changement - précise qu'il est nécessaire de remplir trois critères pour savoir si son idée est viable :

• La désirabilité : est-ce en adéquation avec les désirs et attentes des utilisateurs/consommateurs/clients ? (secteur de l’humain et des valeurs)
• La faisabilité : est-ce réalisable par rapport au contexte ? (aspect technologique)
• La viabilité : est-ce susceptible de durer compte-tenu du modèle économique ? (domaine du business)

Vous trouverez dans l'article ci-dessous une approche pour valider la désirabilité de votre idée :

Qu’est-ce qu’une bonne idée de startup ?

Découvrez les idées reçues sur LA bonne idée, les méthodes pour trouver une bonne idée, identifier sa cible et valider votre projet

Adr1Adrien

Identifier les appuis

Une fois assuré que votre idée est lumineuse, vous devez identifier les appuis ; c'est à dire les personnes susceptibles de vous aider dans le déploiement de votre projet. Les personnes qui ont de l'intérêt et du pouvoir.

Pour cela, il existe un outil qui se nomme la matrice pouvoir / intérêt.

Identifier les appuis potentiels avec la matrice pouvoir / intérêt

Pour vendre son projet, il est nécessaire de commencer par lister les parties prenantes. Découvrez la matrice pouvoir / intérêt.

Adr1Adrien

Connaître sa cible

La troisième étape consiste à connaître votre segment client et pour cela, il existe les personas.

Le persona est un archétype qui représente un segment de personnes dont les comportements motivations et objectifs sont similaires

Il est utilisé dans le milieu du design, de l'ergonomie, du marketing, de l'informatique et des startups.

Pour cet exercice, il existe un outil : la cartographie de l'empathie.

Dans l'article suivant, nous verrons comment identifier les insights !

Le transport réseau est incertain et on ne peut pas compter dessus. il arrive souvent que certains paquets (trames) soient perdus lors de leur transfert d'une source vers une cible.

Nous allons voir comment cela fonctionne avec TCP et UDP.

TCP

TCP a été créé avec deux objectifs :

1. Garantir que les paquets sont délivrés
2. S'assurer qu'une connexion existe entre la source et la cible avant de transférer de l'information

TCP est le protocole le plus utilisé sur internet ; il est notamment présent dans les clients mails, les navigateurs ou les clients FTP.

UDP

De son côté, UDP est beaucoup plus simpliste :

1. Il ne garantit pas que les paquets sont délivrés
2. Il est connectionless, ce qui signifie qu'il est bien plus rapide que TCP

UDP est utilisé dans la VoIP et pour les services de streaming en particulier.

Ports

Les ports 0 à 1023 sont appelés les well-kown ports car ils sont utilisés par la plupart des services connus :

• SMTP : 25
• SSH : 22
• POP3 : 110
• IMAP : 143

Pour lister les ports et connexions TCP ouverts, vous pouvez utiliser ces commandes :

# Windows
> netstat -ano

# Linux
$ netstat -tunp

Three Way Handshake

Pour établir une connexion TCP, il est nécessaire de réaliser 3 étapes appelées Three Way Handshake :

1. Le client envoie un paquet TCP au serveur avec le flag SYN et une séquence aléatoire
2. Le serveur répond avec le flag SYN + ACK et une autre séquence aléatoire. Le ACK est toujours un simple incrément du SYN envoyé par le client
3. Le client complète la synchronisation en envoyant le flag ACK

Cette enchainement permet de synchroniser la séquence et le acknowledgment.

Le User Journey fait parti des outils qui peuvent vous servir à améliorer ce qu'on appelle l'UX Design, soit le design de l'expérience utilisateur. Dit autrement, l'UX Design a pour objectif de faciliter au maximum la vie de l'utilisateur lorsqu'il réalise une action définie.

Vous devez comprendre le parcours de l'utilisateur en lien avec le produit ou le service, avoir une vision d'ensemble, visualiser les informations recueuillies et repérer les actions superflues ou au contraire les actions manquantes.

Pour cela, vous pouvez utiliser le User Journey qui s’attache au parcours d'un utilisateur dans la réalisation d'une action définie, dans le cadre d'un produit ou d'un service donné.

Les 3 étapes du User Journey

Identifier les points de contact

Les points de contact concernent tous les échanges ou interactions entre l'utilisateur et le service ou produit final. Par exemple, comment le client découvre votre site web ou votre produit ?

Dans cet article, nous allons prendre comme exemple le parcours d'utilisateur qui souhaite réserver un hôtel. Ci-dessus nous avons identifié l'accueil de l'hôtel, l'email, le PC avec le navigateur web et le bouche à oreille.

Dessiner le parcours utilisateur

Dans cette phase, vous devez retranscrire toutes les étapes même minimes que le client doit réaliser avant, pendant et après le service. Si vous tenez un restaurant, quelles sont toutes les étapes que le client doit mener pour vous trouver, réserver, venir, manger et rentrer chez lui. Si vous vendez un produit sur internet, quelles sont les étapes pour que le client vous découvre, vienne sur votre site web ou votre application, réalise l'acte d'achat, reçoive le produit, vous recontacte en cas de problème, renvoie la marchandise, etc.

Soyez visuel pour que toute votre équipe puisse comprendre instantanément de quoi vous parlez.

Analyser les émotions

Sur chaque étape, ajoutez une émotion - vous êtes libre d'utiliser les émotions que vous souhaitez mais on utilise généralement ces trois là : 🙁😐🙂.

Et pour chaque émotion, décrivez pourquoi ! Quel douleur, désagrément ou ennui cela provoque-t-il ? Quelle joie ou satisfaction cela génère-t-il ?

En faisant cela, vous allez détecter des points de désagrément et des opportunités d'innovation.

Un exemple pas si anodin

Savez-vous quelle société s'est créée sur la base du parcours utilisateur présenté dans cet article ? Il a mené à la création de TripAdvisor.

Le User Journey est souvent utilisé dans le cadre du Design Thinking et notamment dans la phase de Prototype puisqu'il permet de créer un POC qui soit le plus simple et efficace possible - Si vous avez rien compris, je vous invite à lire l'article ci-dessous.

https://blog.adr1.fr/projet-de-startup-le-design-thinking/

Il peut également être utilisé par les entreprises dans le cadre de refonte d'applications web ou mobile ou même en vue de simplifier un processus particulièrement complexe !

Bref, un super outil à garder sous le coude 👍

D'ailleurs, je vous mets à disposition ci-dessous un modèle prêt à l'emploi.

Les routeurs sont des composants qui sont connectés à plusieurs réseaux différents en même temps. Ils sont capables d'envoyer les IP datagrams d'un réseau à un autre.

Le renvoi des données est basé sur des protocoles réseaux qui déterminent le meilleur chemin pour atteindre le réseau.

Le routeur inspecte l'adresse de destination de chaque paquet entrant et ensuite le renvoi à travers l'une de ses interfaces.

Pour choisir la bonne interface, le routeur recherche dans sa table de routage pour retrouver une IP-to-Interface.

La table peut contenir une adresse par défaut pour les paquets reçus d'un réseau inconnu.

Métriques de routage

Il peut arriver qu'il y ait plusieurs chemins possibles pour atteindre la destination : dans ce cas le routeur se base sur les métriques.

La métrique est sélectionnée en fonction de la bande passante utilisée et de la congestion du réseau.

# Pour afficher les routes
# Linux : 

$ ip route

# Microsoft :

> route print

# Pour ajouter des routes

> route ADD 192.168.222.0/24 10.175.34.1

Link layer devices & Protocols

Les paquets peuvent aussi être renvoyés dans la couche plus basse de TCP/IP : la Link Layer.

Les Hubs et les Switchs sont des composants réseaux qui renvoient des paquets sur le réseau local.

Ils fonctionnent grâce aux adresses MAC - Media Access Control. Tandis que les IP sont sur la couche OSI 3, les adresses MAC sont sur la couche OSI 2. L'adresse MAC est aussi connue sous le nom d'adresse physique.

Les adresses MAC sont sur 48 bits au format Hexadécimal.

Switch

Tandis que les routeurs fonctionnent avec des adresses IP, les switchs fonctionnent avec des adresses MAC. Les switchs ont plusieurs interfaces donc elles utilisent une forwarding table pour relier une ou plusieurs adresses MAC à une interface.

Cette forwarding table est appelée CAM - Content Addressable Memory.

Les routeurs ne peuvent pas utiliser l'adresse MAC de broadcast (FF:FF:FF:FF:FF:FF).

Forwarding Tables

Une table est généralement composée de :

• Une adresse MAC
• Les interfaces utilisées par les switchs pour délivrer les paquets à une adresse MAC
• Un TTL - Time To Live

La CAM Table est stockée sur la RAM du composant et est mise à jour en permanence.

Les switchs découvrent seuls les nouvelles adresses MAC en inspectant les entêtes des paquets.

Les routeurs utilisent des protocoles complexes pour mettre à jour leur table de routage.

Forwarding

Pour un renvoi de paquet :

• Le switch lit l'adresse MAC de destination
• Le switch réalise un lookup sur la CAM Table
• Le switch renvoie le paquet sur l'interface correspondante
• Si il n'y a pas d'entrée dans la CAM Table, le switch renvoie vers toutes les interfaces

ARP

Quand un hôte souhaite discuter avec un autre hôte, il a besoin de connaître son adresse IP et son adresse MAC. Mais il arrive qu'il ne connaisse pas l'adresse MAC. Pour en prendre connaissance, il passe par l'utilisation de ARP - Address Resolution Procotol.

Avec ARP, un hôte peut construire un couple IP / MAC correct.

Exemple, quand A veut envoyer des données à B et qu'il ne connaît que son adresse IP :

• A construit une requête ARP qui contient l'IP de B et FF:FF:FF:FF:FF:FF comme adresse MAC de destination (adresse de broadcast)
• Le switch va envoyer la requête à tous les hôtes
• B va répondre avec une réponse ARP en donnant à A son adresse MAC
• A va sauvegarder le couple IP/MAC dans son cache ARP avec un TTL qui sera supprimé soit lors de l'arrêt de l'hôte, soit lors de l'expiration du cache

# Linux

$ arp -a

# Microsoft

> ip neighbour

Hubs

Les hubs étaient utilisés avant les switchs avec le même objectif mais pas avec les mêmes fonctionnalités.

Le hub sert de simple répéteur sans aucune vérification. Il renvoie le signal électrique reçu sur un port sur l'ensemble des autres ports.