Informatique et réseau 1.1

Questions and Answers

Quelle est la première étape réalisée par le bootloader lorsqu'il est lancé par le BIOS/UEFI?

• Charger la mémoire principale. (correct)
• Charger les drivers supplémentaires.
• Initialiser le système d'exploitation.
• Afficher des options de démarrage.

Un système d'exploitation (OS) est principalement responsable de la gestion des applications utilisateur, sans interagir avec les composants matériels de l'ordinateur.

False (B)

Quel terme anglais désigne le noyau d'un système d'exploitation?

kernel

Un processus en informatique est défini comme un programme en cours d'__________ par un ordinateur.

exécution

Associez les types de rootkits suivants avec leur description :

Firmware rootkit = Remplace le microprogramme du système d'éntrée/sortie (UEFI). Bootkit = Remplace le bootloader du système d'exploitation. Kernel rootkit = Remplace une partie du noyau de l'OS. Driver rootkit = Prétend être un pilote approuvé pour communiquer avec le matériel.

Quelles sont les fonctionnalités prises en charge par Windows pour empêcher le chargement de rootkits et de bootkits pendant le processus de démarrage? (Sélectionnez toutes les réponses applicables)

Trusted Boot (A), Measured Boot (B), Secure Boot (C), Early Launch Anti-Malware (ELAM) (D)

Le Trusted Platform Module (TPM) est un logiciel qui sécurise un système par chiffrement.

False (B)

Quel est le nom de la puce utilisée par Apple qui équivaut au TPM et qui assure des fonctions de sécurité et de contrôle sur les ordinateurs Apple basés sur Intel?

T2

Dans une architecture 32 bits, les mots manipulés par le processeur ont une largeur de _____ bits, limitant la quantité de RAM adressable.

32

Quelle est la principale différence entre un client et un serveur dans un modèle client-serveur?

Le client envoie des requêtes, tandis que le serveur fournit des services. (C)

Quel est le rôle principal d'un bootloader lors du démarrage d'un ordinateur?

Charger le système d'exploitation en mémoire et lui transférer l'exécution. (D)

Un système d'exploitation est principalement responsable de la gestion des applications utilisateur mais ne se soucie pas de la gestion des ressources matérielles.

False (B)

Quel est le terme anglais pour le noyau d'un système d'exploitation?

kernel

Un logiciel qui permet au système d'exploitation d'interagir avec un périphérique est appelé un ______.

pilote

Parmi les propositions suivantes, laquelle décrit le mieux un 'bootkit'?

Un logiciel malveillant qui remplace le bootloader du système d'exploitation. (B)

Secure Boot garantit que seul un système d'exploitation Microsoft peut être démarré sur un PC.

False (B)

Qu'est-ce que le TPM (Trusted Platform Module) et quel est son rôle principal?

Standard cryptographique pour sécuriser un système par l'intégration de clés de chiffrement.

Quelle est la limite de mémoire vive (RAM) qu'une architecture 32 bits peut directement adresser?

4 Go (C)

Un ordinateur agissant comme client dans une architecture client-serveur envoie des ______ au serveur.

requêtes

Associez les termes suivants à leur description:

Bootloader = Charge le système d'exploitation Noyau = Partie fondamentale du système d'exploitation qui gère les ressources Pilote = Permet au système d'exploitation d'interagir avec un périphérique Secure Boot = Fonctionnalité de sécurité qui valide l'intégrité du bootloader

Quel est le rôle principal d'un bootloader dans un système informatique ?

Charger le système d'exploitation en mémoire et lui transférer l'exécution. (C)

Un système d'exploitation (OS) est uniquement responsable de la gestion des interfaces réseau d'un ordinateur.

False (B)

Quel terme anglais est couramment utilisé pour désigner le 'noyau' d'un système d'exploitation ?

kernel

Un programme en cours d'exécution est appelé un ______.

processus

Quel est le rôle d'un pilote (driver) dans un système informatique ?

Permettre au système d'exploitation de communiquer avec un périphérique. (B)

Secure Boot est une fonctionnalité qui empêche complètement les rootkits de s'installer sur un système.

False (B)

Associez les types de rootkits suivants avec leur cible :

Firmware rootkit = Microprogramme du système d'entrée/sortie (UEFI) Bootkit = Bootloader du système d'exploitation Kernel rootkit = Partie du noyau de l'OS Driver rootkit = Pilotes approuvés par l'OS

Quelle est la fonction principale du Trusted Platform Module (TPM) ?

Fournir des fonctionnalités cryptographiques pour sécuriser le système. (C)

Quelle est la limite de mémoire vive (RAM) qu'un système d'exploitation 32 bits peut généralement adresser ?

4 Gio

Un serveur consomme typiquement moins d'énergie qu'un ordinateur client en raison de sa conception optimisée.

False (B)

Un système d'exploitation (OS) est un ensemble de logiciels qui dirige l'utilisation des ressources d'un ordinateur.

True (A)

Quel est le nom donné à la partie fondamentale d'un système d'exploitation qui gère les ressources matérielles et logicielles d'un ordinateur et permet leur communication ?

Noyau (ou kernel)

Un __________ est un programme en cours d'exécution par un ordinateur, initié par un utilisateur ou un autre programme.

processus

Associez les types de rootkits aux éléments qu'ils remplacent :

Firmware rootkit = Microprogramme du système d'entrée/sortie Bootkit = Bootloader du système d'exploitation Kernel rootkit = Partie du noyau de l'OS Driver rootkit = Pilotes approuvés

Quelle est la fonction principale de 'Secure Boot' dans un système UEFI ?

Vérifier l'intégrité des composants de démarrage avant de les charger (D)

Un TPM (Trusted Platform Module) est un composant logiciel qui améliore la sécurité d'un ordinateur.

False (B)

Quel terme désigne l'action de pouvoir démarrer un ordinateur à partir d'un périphérique externe tel qu'une clé USB ?

"Booter" depuis une clé USB

Dans une architecture 32 bits, la quantité maximale de mémoire vive (RAM) qui peut être directement adressée est de __________.

4 Gio

Quel est le rôle d'un serveur dans un modèle client-serveur ?

Attendre les requêtes des clients et y répondre (C)

Quelle est la première étape effectuée par le bootloader lors du processus de démarrage ?

Charger la mémoire principale. (D)

Un système d'exploitation (SE) est principalement responsable de la gestion du matériel informatique et n'a pas d'influence sur l'exécution des logiciels applicatifs.

False (B)

Quel est le terme anglais pour désigner le noyau d'un système d'exploitation ?

kernel

Un processus, en informatique, est un programme en cours d'______ par un ordinateur.

exécution

Quelle est la fonction principale d'un pilote (driver) dans un système informatique ?

Permettre au système d'exploitation d'interagir avec un périphérique. (B)

Les rootkits de type 'firmware rootkits' affectent le bootloader du système d'exploitation.

False (B)

Quelle est la principale fonction de Secure Boot dans un système UEFI ?

Empêcher le chargement de systèmes d'exploitation non approuvés. (C)

Quel est le nom du module qui est un standard cryptographique pour cryptoprocesseurs, destiné à la sécurisation d'un système par intégration de clés de chiffrement dans le matériel ?

Trusted Platform Module (TPM)

Quelle est la limite de mémoire vive (RAM) qu'un système d'exploitation 32 bits peut directement adresser ?

4 Gio (B)

Associez les termes suivants à leur définition :

Client = Envoie des requêtes à un serveur. Serveur = Attend les requêtes des clients et y répond. Architecture 32 bits = Incapable de gérer plus de 4 Gio de RAM. Pilote = Permet au système d'exploitation d'interagir avec un périphérique.

Flashcards

Qu'est-ce qu'un bootloader ?

Programme qui charge le système d'exploitation en mémoire et lui transfère l'exécution.

Qu'est-ce qu'un système d'exploitation (OS) ?

Ensemble de programmes gérant les ressources d'un ordinateur et permettant aux logiciels de fonctionner.

Qu'est-ce que le noyau (kernel) ?

Partie fondamentale du système d'exploitation qui gère les ressources et permet la communication entre les composants matériels et logiciels.

Qu'est-ce qu'un processus ?

Programme en cours d'exécution par un ordinateur, démarré par un utilisateur ou un autre processus.

Qu'est-ce qu'un pilote (driver) ?

Programme permettant au système d'exploitation d'interagir avec un périphérique.

Qu'est-ce que Trusted Boot ?

Technologie qui vérifie l'intégrité de chaque composant au démarrage de l'OS.

Qu'est ce que le TPM?

Standard cryptographique pour sécuriser les cryptoprocesseurs.

Architecture et OS?

Les OS doivent être adaptés à l'architecture de l'OS

Qu'est-ce qu'un protocole client-serveur ?

Un modèle de transmission d'information où un client envoie des requêtes à un serveur qui y répond.

Qu'est-ce qu'un serveur ?

Dispositif informatique offrant des services à un ou plusieurs clients.

Qu'est-ce qu'un rootkit de démarrage ?

Logiciel malveillant qui s'exécute avant le démarrage du système, compromettant la sécurité du système.

Qu'est-ce que Secure Boot ?

Fonctionnalité de sécurité qui permet aux PC de ne charger que les bootloaders d'OS approuvés.

Qu'est-ce que Measured Boot ?

Technique de sécurité UEFI qui enregistre le processus de démarrage pour évaluer l'intégrité du PC.

Qu'est-ce que Early Launch Anti-Malware (ELAM) ?

Fonctionnalité qui teste les pilotes avant leur chargement pour empêcher les logiciels malveillants.

Qu'est-ce que le Dual Boot ?

Permet de sélectionner le système d'exploitation au démarrage, chaque OS résidant sur une partition distincte.

Quelle est la limitation de l'architecture 32 bits en termes de mémoire ?

Une architecture 32 bits ne peut gérer directement que 4 Go de RAM.

Quelle est la capacité d'adressage mémoire de l'architecture 64 bits ?

Une architecture 64 bits peut adresser théoriquement jusqu'à 16 Eio de mémoire.

Qu'est ce qu'il faut identifier en premier lors d'un processus forensique numérique?

Identifier les supports de traces.

Booter depuis une clé USB

Booter un ordinateur depuis une clé USB contenant un système d'exploitation.

Architecture 32 bits

Architecture où les mots manipulés par le processeur ont une largeur de 32 bits, limitant la RAM à 4Go.

Architecture 64 bits

Architecture permettant d'adresser plus de 4 Go de RAM, souvent notée x64.

Architecture ARM

Famille de processeurs utilisés par Apple, différente de l'architecture x86/x64.

Puce Apple T2

Puce d'Apple utilisée pour la sécurité et le contrôle dans les ordinateurs Apple basés sur Intel.

Firmware rootkits

Kits qui remplacent le microprogramme UEFI pour démarrer avant l'OS.

Qu'est-ce qu'un système de fichiers (FS) ?

Un système de fichiers est une façon de stocker et d'organiser les fichiers. Les exemples incluent NTFS, FAT32, ext4, APFS.

Study Notes

• Le document porte sur l'informatique et les réseaux.

Bootloader

• Le bootloader, parfois appelé Second-stage bootloader, est lancé par le BIOS/UEFI pour poursuivre le processus de démarrage.
• La première étape du bootloader consiste à charger la mémoire principale, essentielle au fonctionnement du processeur.
• Son rôle est ensuite de charger le système d'exploitation et de lui transférer l'exécution.
• Après cette étape, l'OS s'initialise et peut charger des drivers supplémentaires.
• Le bootloader est souvent invisible, mais peut parfois proposer des options durant quelques secondes.

Système d'exploitation

• Un système d'exploitation (SE ou OS) est un ensemble de programmes gérant l'utilisation des ressources d'un ordinateur par les logiciels applicatifs.
• Il gère les composantes de l'ordinateur, notamment le disque dur, et organise la partition.
• Les systèmes d'exploitation incluent des programmes dédiés comme les navigateurs, éditeurs de texte, jeux, etc.
• Exemples de systèmes d'exploitation : Windows, MacOS, Unix, Linux (Ubuntu, Debian, Kali, etc.), Android et iOS.
• Un système de fichiers stocke et organise les informations dans des fichiers.
• « FS » (File System) désigne l'organisation des fichiers dans un volume physique ou logique.
• Types de systèmes de fichiers incluent Windows (NTFS, FAT, FAT32), Linux (ext2, ext3, ext4), Apple (HFS, HFS+, APFS), et génériques (extFAT, zfs, btrfs).

Noyau

• Un noyau de système d'exploitation (ou kernel) est une partie fondamentale, gérant les ressources de l'ordinateur et permettant la communication entre les composants matériels et logiciels.
• Il fournit l'abstraction du matériel, notamment la mémoire, le processeur, et les échanges entre logiciels et périphériques.
• Le noyau est lui-même un logiciel central en communication avec tous les programmes.

Processus

• Un processus est un programme en cours d'exécution sur un ordinateur.
• Il peut être démarré par un utilisateur via un périphérique ou par un autre processus.
• Les applications utilisateurs consistent en ensembles de processus.
• Le bootloader lance le premier processus d'initialisation, considéré comme le parent de tous les autres processus.

Pilote

• Un pilote (de périphérique ou driver) est un programme permettant au système d'exploitation d'interagir avec un périphérique.
• Chaque périphérique a généralement son propre pilote.
• Un pilote d'imprimante traduit les ordres de l'OS dans le langage de l'imprimante.
• Sans pilote, certains périphériques comme les imprimantes ou cartes graphiques ne fonctionneraient pas.

Démarrage : les menaces

• Différents types de rootkits peuvent se charger pendant le processus de démarrage du système d'exploitation.
• Firmware rootkits : Remplacent le microprogramme de l'UEFI pour démarrer avant l'OS.
• Bootkits : Remplacent le bootloader du système d'exploitation pour charger un bootkit de démarrage avant le système.
• Kernel rootkits : Remplacent une partie du noyau de l'OS pour démarrer automatiquement.
• Driver rootkits : Se font passer pour des pilotes approuvés pour communiquer avec le matériel.

Démarrage : les contre-mesures (Exemple de Windows)

• Windows utilise quatre fonctionnalités pour empêcher le chargement des rootkits et bootkits au démarrage.
• Secure Boot : Les PCs avec UEFI et TPM peuvent être configurés pour charger seulement les bootloaders d'OS approuvés.
• Il s'agit d'un système de démarrage qui valide UEFI.
• Trusted Boot : Windows vérifie l'intégrité des composants du processus de démarrage avant de les charger (contrôle des hash).
• Early Launch Anti-Malware (ELAM) : ELAM teste tous les pilotes avant leur chargement et empêche le chargement des pilotes non approuvés.
• Measured Boot : L'UEFI enregistre le processus de démarrage, et Windows peut l'envoyer à un serveur approuvé pour évaluer l'état d'intégrité du PC.

Secure Boot et TPM

• Le Trusted Platform Module (TPM) est un standard cryptographique pour cryptoprocesseurs assurant la sécurisation d'un système via l'intégration de clés de chiffrement dans le matériel (version actuelle : TPM 2.0).
• C'est un composant matériel assurant des fonctionnalités cryptographiques indépendamment des composants réinscriptibles, ce qui rend impossible une attaque par malware.

Secure Boot Apple

• L'équivalent Apple du TPM est la puce T2, un SoC fournissant des fonctionnalités de sécurité et de contrôle aux ordinateurs Apple basés sur Intel.
• La puce T2 possède sa propre RAM et agit comme un ordinateur en soi, fonctionnant en parallèle de l'ordinateur principal et répondant à ses requêtes.

Secure Boot Windows

• Au démarrage, les PCs sans démarrage sécurisé exécutent directement le bootloader trouvé sur le disque dur, sans moyen de vérifier sa confiance.
• Les PCs équipés d'UEFI vérifient d'abord que le microprogramme est signé numériquement.
• Si Secure Boot est activé, le microprogramme examine la signature numérique du bootloader pour vérifier qu'elle n'a pas été modifiée.
• Le bootloader est chargé uniquement s'il a été signé par un certificat approuvé ou si l'utilisateur a approuvé manuellement sa signature numérique.
• Attention, l'UEFI n'est pas forcé d'avoir un secure boot.

Options d'exécutions

• Trois options sont disponibles pour exécuter des OS autres que Microsoft.
• Utiliser un OS avec un bootloader certifié, comme un chargeur de démarrage open source pour Linux.
• Configurer UEFI pour approuver un bootloader personnalisé ; tous les PCs certifiés pour Windows permettent d'ajouter une signature à la base de données UEFI pour approuver un chargeur non certifié.
• Désactiver le démarrage sécurisé, mais cela ne protège pas contre les bootkits.

Dual Boot

• Le bootloader peut pointer vers plusieurs systèmes d'exploitation (OS), chacun devant se trouver sur une partition distincte, permettant ainsi d'installer plusieurs OS sur un PC.

«Booter» depuis une clé USB

• L'UEFI scanne les disques disponibles au démarrage, permettant d'ajouter un disque contenant un OS et de booter dessus, sauf si SecureBoot bloque cette opération.
• Typiquement, une clé USB bootable contenant les fichiers nécessaires au démarrage d'un Linux peut être utilisée.
• Différents logiciels permettent de créer une clé USB bootable à partir d'une image ISO et d'installer l'OS sur la clé.
• Le chiffrement du disque est possible.
• Une fois un OS externe démarré, il utilise les ressources de l'ordinateur et accède aux disques, et si ces derniers ne sont pas chiffrés, vous avez accès à tout.

Architecture

• Historiquement, la majorité des ordinateurs personnels utilisaient des processeurs Intel de la famille x86 (parfois i386).

Architecture 32 bits

• Les processeurs possédaient une « architecture 32 bits ».
• Les mots manipulés par le processeur ont une largeur de 32 bits, permettant de représenter des nombres entiers entre 0 et 4 294 967 295.
• 4 Gio représente exactement 4 294 967 296 octets.
• Une architecture 32 bits peut directement manipuler des adresses mémoire sur une plage de 4 Gio ; les systèmes d'exploitation 32 bits sont donc incapables de gérer plus de 4 Gio de RAM.

Architecture 64 bits

• L'augmentation des capacités des cartes de mémoire vive a nécessité le développement de systèmes capables de les gérer, donnant naissance à l'architecture 64 bits (x64, x86_64, AMD64, Intel 64).
• Les processeurs 64 bits peuvent adresser 16 Eio (exbioctets ou 264 octets).
• Dès qu'il y a plus de 4 Gio de RAM sur une machine, la mémoire au-delà de ce seuil n'est directement accessible qu'en mode 64 bits.

Architecture ARM

• Les processeurs possédant une architecture ARM sont utilisés par Apple pour ses propres processeurs des séries « M » : M1, M2, M3 et M4.

Architecture et OS

• Pour pouvoir être exécuté sur un ordinateur, le système d'exploitation doit être adapté à son architecture ; il est possible de trouver des ordinateurs d'avant 2005, fonctionnant donc en 32 bits.

Clients vs serveurs

• Un protocole client–serveur désigne un mode de transmission d'informations entre plusieurs programmes ou processus.
• Le client envoie des requêtes, et le serveur attend les requêtes des clients et y répond.
• Le client désigne souvent le terminal ou la machine exécutant le logiciel client.
• Le serveur désigne l'ordinateur exécutant le logiciel serveur.
• Est appelée client aussi bien l'ordinateur depuis lequel les demandes sont envoyées que le logiciel qui contient les instructions relatives aux demandes et la personne qui opère les demandes.
• L'ordinateur client est généralement un ordinateur personnel ou un smartphone, équipé de logiciels relatifs aux différents types de demandes, comme un navigateur web.

Le serveur

• Un serveur informatique est un dispositif informatique (matériel et logiciel) qui offre des services à un ou plusieurs clients (parfois des milliers).
• Les services courants incluent l'accès aux informations du World Wide Web, le courrier électronique, le partage de périphériques, le commerce électronique, le stockage en base de données, la gestion de l'authentification et du contrôle d'accès, les jeux et la mise à disposition de logiciels applicatifs (MS Office 365, etc.).
• Les machines serveurs sont généralement dotées de capacités supérieures à celles des ordinateurs personnels en termes de puissance de calcul, d'entrées-sorties, et de connexions réseau, consommant plus d'énergie et chauffant plus.
• Les serveurs sont également beaucoup plus fiables, notamment grâce à une conception redondante (alimentation, disques, interfaces réseaux, etc.) ; la redondance est la duplication d'un ensemble pour assurer un fonctionnement sans interruption.

Mais où sont les données?

• D'un point de vue forensique, les données d'intérêt peuvent se trouver à différents endroits sur une machine.
• Il faut donc les identifier.
• C'est la base de tout processus forensique numérique : identifier les supports de traces.
• Il peut y avoir une très grande quantité de données, ce qui peut poser des défis logistiques.

Description

Ce document décrit le rôle du bootloader dans le démarrage d'un ordinateur, en chargeant le système d'exploitation. Il explique aussi comment le système d'exploitation gère les ressources et les applications de l'ordinateur, incluant la gestion du disque dur et des partitions.