Projet 6 : Audit de sécurité d'un serveur Linux

Document de Mission -- Audit de Sécurité Serveur Linux

Entreprise : TertiaNova
Responsable SI (RSI) : Marcel Dublog

---

1. Contexte

TertiaNova dispose d'un serveur Linux hébergé en interne, utilisé depuis plusieurs années pour divers besoins de l'entreprise.
Jusqu'à présent, aucune révision de sécurité approfondie n'a été effectuée depuis sa mise en production.

En 2025, M. Marcel Dublog, RSI de TertiaNova, mandate un auditeur en sécurité indépendant (vous) pour évaluer l'état des configurations de sécurité de ce serveur, détecter les vulnérabilités et proposer des recommandations de remédiation.

Pour éviter toute perturbation de la production, vous intervenez sur une copie virtuelle du serveur.
Cet ordinateur virtuel reprend la quasi-totalité de la configuration et des services présents en production, mais sans aucune indication préalable de ces services.

---

2. Objectifs de la mission

Vous êtes chargé de :

1. Mener un audit de sécurité « en boîte noire » (Black Box)

• Découvrir, par vos propres investigations, les différents services et composants installés (aucune liste ne vous est fournie).
• Identifier les vulnérabilités existantes dans la configuration du serveur Linux.

2. Classer les vulnérabilités trouvées selon :

• 4 catégories :
  • Démarrage
  • Système
  • Services
  • Réseau
• 2 niveaux de criticité :
  • WARNING : (AVERTISSEMENT) vulnérabilité moins urgente.
  • CRITICAL : (CRITIQUE) vulnérabilité grave, nécessitant une intervention rapide.

3. Rédiger un rapport d'environ 50 pages, comprenant :

• Un résumé exécutif pour M. Dublog et la direction.
• Un inventaire détaillé des vulnérabilités identifiées et leurs impacts.
• Des recommandations de remédiation (actions correctives à mener, priorisées selon l'urgence).

---

3. Ressources et Modalités pratiques

• Vous recevez une image virtuelle (VM) du serveur :
  • Le système d'exploitation est un Linux Debian.
  • Aucun identifiant d'accès ne vous est fourni.
    Vous devrez découvrir les accès de chaque utilisateur par vous-même.
• Mode d'audit :
  • Approche dite « Black Box » : vous ne savez pas a priori quels processus ou services sont actifs.
  • Vous êtes autorisé à réaliser tous types d'investigations non destructives pour recenser et analyser la configuration.
• Périmètre :
  • L'audit concerne exclusivement l'ordinateur virtuel du serveur Linux.
  • Les autres équipements de TertiaNova (postes utilisateurs, pare-feu réseau, etc.) ne sont pas inclus dans cette mission.
  • Vous devez respecter la confidentialité : aucune divulgation des informations hors du rapport destiné à TertiaNova !
    Votre rapport est un document classé CONFIDENTIEL et n'est en aucun cas destiné aux techniciens de l'entreprise. Le RSI décidera lui-même la transmission des éléments du rapport qu'il jugera opportuns à ses techniciens.

---

4. Méthodologie Recommandée

1. Phase de Découverte

• Analyser le système d'exploitation (répertoires, logs, versions, état des mises à jour).
• Identifier les ports ouverts, les processus en écoute et les services associés (web, SSH, autres...).
• Vérifier la configuration de démarrage (GRUB, partitions, permissions, etc.).

2. Phase d'Évaluation

• Tester la robustesse des mots de passe et des mécanismes d'authentification.
• Vérifier la configuration réseau.
• Analyser la configuration des services détectés (versions, failles connues, sécurisation).

3. Classification et Criticité

• À chaque vulnérabilité ou anomalie relevée, assigner :
  • Une catégorie : Démarrage, Système, Services, Réseau.
  • Un niveau de gravité : WARNING ou CRITICAL.

4. Propositions de Correctifs

• Pour chaque vulnérabilité, proposer une action corrective (mise à jour, reconfiguration, désactivation de service inutile, etc.).
• Hiérarchiser vos recommandations : de la correction la plus urgente (CRITICAL) à la moins critique (WARNING).

5. Rédaction du Rapport

• Synthétiser toutes les découvertes (résultat des scans, tests, configuration auditée).
• Proposer un plan de remédiation clair, priorisé, et explicite sur le gain en sécurité.

---

5. Livrable attendu

Un Rapport Final d'Audit (généralement autour de 50 pages)

• Introduction : présentation du contexte, portée de l'audit, méthodes employées.
• Récapitulatif des failles et anomalies, classées par catégorie et niveau de criticité.
  • Résultats de commandes ou de scans (captures de logs, extraits de configuration, sorties d'outils tels que nmap, lynis, etc.).
  • Guides pratiques de mise en place si nécessaire (par ex. comment mettre à jour la distribution, comment configurer iptables, etc.).

---

6. Structure du Rapport Final d'Audit

Dans l'ordre d'enchaînement des pages :

Une page de garde composée d'un titre et mentionnant les champs suivants :

• le titre "Rapport d'audit"
• le nom de l'auditeur
• la date de l'audit
• la date de rédaction du rapport
• le(s) destinataire(s) du rapport
• le commanditaire du rapport
• le contexte de mission rapidement résumé
• la mention "CONFIDENTIEL" en rouge

Une seconde/troisième page présentant un bilan rapide de la situation indiquant :

• le nombre total de recommandations
• le nombre de recommandations CRITICAL
• le nombre de recommandations WARNING
• Un tableau à 4 colonnes présentant toutes les vulnérabilités découvertes par ordre d'urgence
  • [CODE] : le code de chaque vulnérabilité pour chaque catégorie (DEM.1,SYS.1,SER.1,RES.1
  • [VULNERABILITE] : La définition rapide de la vulnérabilité associée au cod
  • [STATUT] : Le statut (CRIT. WARN.). Rouge pour CRIT. Orange pour WARN.
  • [PAGE] : Le numéro de la page dans le rapport où se trouve la démonstration
• Une conclusion rapide sur l'état de la situation

exemple pour le tableau :
DEM.1 | Permissions /boot permissives | CRIT. | 15

Une table des matières, structurant votre rapport, sous ce schéma :

• Bilan rapide, tableaux de codes d'erreur avec index (les pages 2 et 3 précédemment explicitées)
• Un Avant-Propos (juste après la table des matières)
• Un résumé des recommandations pour les 4 catégories ainsi qu'une présentation du référentiel méthodologique d'audit employé (basé sur les recommandations de l'ANSSI a minima, bien que vous soyez incité à vous intéresser également aux autres référentiels dans le monde : NIST etc... )
• Les Recommandations pour le Démarrage
  • BIOS (cette sous-catégorie présente les différentes vulnérabilités ayant attrait au BIOS..)
  • partitionnement
  • grub,
  • systèmes de fichiers
  • démarrage des services
  • etc...
• Les Recommandations Système
  • ressources,
  • systèmes d'exploitation
  • etc...
• Les Recommandations Services
  • Services installés,
  • configurations des services etc..
• Les Recommandations Réseau
  • ports,
  • pare-feu,
  • ssh etc...

Chaque sous-catégorie dans les Recommandations présente les différentes vulnérabilités ayant attrait à la notion spécifiée (BIOS, partitionnement, grub etc...).
Les captures d'écran et résultats de commande exécutées sur la machine virtuelle doivent y être méticuleusement présentées et explicitées à chaque fois.

---

7. Indications de réussite et conseils

J'identifie environ 34 vulnérabilités critiques et 12 avertissements.
Certaines vulnérabilités étant laissées à une certaine part d'appréciation (entre CRITICAL et WARNING), il ne doit néanmoins subsister qu'un écart relativement faible entre votre travail et ces valeurs indicatives dans votre rapport.

Un grand nombre d'outils automatisés d'audit existent sur Linux.
Plusieurs d'entre eux fournissent des versions de base (gratuites) qui peuvent vous apporter beaucoup d'éléments importants. Néanmoins ces derniers ne constituent qu'une base non exhaustive. Vous devrez investiguer par vous-même pour débusquer les vulnérabilités les plus complexes.

Certains outils de hacking sont particulièrement utiles à votre mission, mais vous poseront des défis techniques d'installation d'une grande complexité pour pouvoir les exploiter sur cet audit.
Vous devrez faire preuve d'ingéniosité pour les déployer.

---