SooPHA Masterclass × CybersécuritéJ3 — Réseau & Technique
MODE : TECHNIQUE🇬🇦 Gabon 2026
// Jour 3 — Session 01

LES FONDATIONS
TECHNIQUES

Réseau · Protocoles · Outils

🌐 Modèle OSI🔌 TCP/UDP/Ports 🔬 Wireshark🛰️ Nmap
root@gaboctf:~$ // Comprendre le réseau, c'est comprendre le terrain de bataille
← → POUR NAVIGUER  |  ESPACE POUR AVANCER
// 01 · Warm-up

Recap J2 + question du jour

✅ ACQUIS J2
  • Phishing, Smishing, Vishing, Spear Phishing
  • Anatomie d'un email frauduleux — les 6 red flags
  • Pretexting et mise en scène de l'attaque
  • Démo live : construction d'un phishing
  • Mots de passe — robustesse & bonnes pratiques
❓ QUESTION DU JOUR
"Quand vous envoyez un WhatsApp, par où passe-t-il exactement avant d'arriver chez votre ami ?"
$ traceroute google.com
// Chaque ligne = un routeur traversé
// On répond à ça aujourd'hui
// 02 · Les bases

C'est quoi un réseau informatique ?

DÉFINITION
"Un ensemble d'appareils interconnectés qui échangent des données selon des règles communes appelées protocoles."
  • Téléphone, PC, routeur, serveur = des nœuds du réseau
  • Chaque appareil a une adresse IP — adresse postale numérique
  • Les données voyagent en paquets découpés et réassemblés
  • Sécurité = contrôler qui envoie quoi, à qui, comment
💡 ANALOGIE — LA POSTE
Chaque paquet a une adresse source et destination. Il passe par des bureaux de tri (routeurs). Un attaquant peut intercepter le courrier — c'est le sniffing réseau.
🌍 TYPES DE RÉSEAUX
LAN — réseau local
WAN — réseau étendu (Internet)
WiFi — sans fil (vulnérable)
VPN — tunnel chiffré
⚠️ WiFi public non sécurisé = n'importe qui peut intercepter votre trafic HTTP.
// 03 · Modèle OSI

Le modèle OSI — 7 couches

7ApplicationCe que voit l'utilisateurHTTP · DNS · SMTP · FTP
6PrésentationChiffrement · FormatSSL/TLS · JPEG · JSON
5SessionGestion des sessionsNetBIOS · RPC · SQL
4TransportFiabilité · PortsTCP · UDP
3RéseauRoutage · Adresses IPIP · ICMP · BGP
2LiaisonAdresses MAC · TramesEthernet · WiFi · ARP
1PhysiqueSignal · Câbles · OndesRJ45 · Fibre · Radio
POURQUOI C'EST IMPORTANT
Chaque attaque cible une couche précise. Le modèle OSI te permet d'identifier où est le problème et quelle défense appliquer.
Couche 7 — SQL Injection, XSS, phishing
Couche 4 — DDoS TCP/UDP flood, port scan
Couche 3 — IP Spoofing, Man-in-the-Middle
Couche 2 — ARP Spoofing, MAC flooding
Mnémotechnique (7→1) :
"Please Do Not Throw Sausage Pizza Away"
// 04 · Protocoles Transport

TCP vs UDP — deux façons de communiquer

📦
TCP
FIABLE · ORDONNÉ · CONTRÔLÉ
  • Établit une connexion avant d'envoyer (handshake 3 étapes)
  • Garantit la livraison — renvoi si paquet perdu
  • Paquets reçus dans l'ordre
  • Plus lent mais fiable — pour données critiques
Utilisé par : HTTP/S, SSH, FTP, email
Analogie : appel téléphonique — vous attendez que ça décroche
🚀
UDP
RAPIDE · NON FIABLE · LÉGER
  • Pas de connexion préalable — envoie et oublie
  • Aucune garantie de livraison ni d'ordre
  • Très rapide — moins d'overhead
  • Idéal quand la vitesse prime sur la fiabilité
Utilisé par : streaming, DNS, VoIP, gaming
Analogie : flyers dans la rue — certains arrivent, d'autres non
🔴 Attaque DDoS par UDP flood — envoyer des millions de paquets UDP vers une cible pour la saturer. Pas de connexion = difficile à bloquer.
// 05 · IP & Ports

Adresses IP & Ports

🌐 L'ADRESSE IP
  • Identifiant unique de chaque appareil sur le réseau
  • IPv4 : 4 nombres 0-255 → 192.168.1.42
  • IP privée (192.168.x / 10.x) vs IP publique (Internet)
  • Votre téléphone a une IP privée → traduite en publique par le routeur (NAT)
$ ip a # Linux
$ ipconfig # Windows
$ ipconfig getifaddr en0 # macOS
🔌 LES PORTS
  • Un port = une porte d'entrée spécifique (0 à 65 535)
  • Analogie : l'IP = l'immeuble, le port = l'appartement
  • Ports 0-1023 = ports bien connus (standards)
  • Un port ouvert = service actif = surface d'attaque
21 FTP ⚠ 22 SSH ✓ 80 HTTP ⚠ 443 HTTPS ✓ 3306 MySQL ⚠ 3389 RDP ⚠
💡 Nmap scanne les ports ouverts — c'est la première chose que fait un attaquant comme un défenseur.
// 06 · Les Ports à Connaître

Les ports incontournables

21FTP Transfert fichiers non chiffré — mot de passe visible en clair ⚠ DANGER
22SSH Connexion distante chiffrée — remplace Telnet, toujours préférer ✓ SÛR
23Telnet Connexion distante non chiffrée — totalement obsolète ⚠ BANNIR
25SMTP Envoi d'emails — souvent mal configuré, source de spoofing ⚠ VÉRIFIER
80HTTP Web non chiffré — tout est lisible sur le réseau WiFi ⚠ DANGER
443HTTPS Web chiffré TLS — standard obligatoire pour tout site moderne ✓ SÛR
3306MySQL Base de données — ne jamais exposer sur Internet ⚠ LOCAL ONLY
3389RDP Bureau à distance Windows — cible #1 des ransomwares si exposé ⚠ CIBLE #1
💡 Règle d'or : tout port ouvert = risque potentiel. Fermez tout ce que vous n'utilisez pas.
// 07 · HTTP vs HTTPS

HTTP vs HTTPS — La différence qui sauve

🔓
HTTP — PORT 80
  • Données transmises en clair sur le réseau
  • N'importe qui sur le WiFi peut lire vos données
  • Mot de passe de formulaire visible dans Wireshark
  • Pas d'authentification du serveur — MITM possible
→ Sur WiFi public, quiconque voit vos logins HTTP
🔒
HTTPS — PORT 443
  • Données chiffrées via TLS — illisibles sans la clé
  • Le certificat SSL prouve l'identité du site
  • Même intercepté, le contenu est du charabia
  • Protège contre les attaques Man-in-the-Middle
💡 Vérifiez toujours le 🔒 avant de vous connecter à un site
root@gaboctf:~$ // Démo Wireshark : HTTP → mot de passe lisible · HTTPS → données chiffrées
// 08 · Outil #1

🔬 Wireshark — L'oreille sur le réseau

C'EST QUOI ?
  • Analyseur de trafic réseau — capture tous les paquets en transit
  • Open source, outil de référence des admins réseau et pentesters
  • Peut lire et sauvegarder des fichiers .pcap
  • Suit des flux TCP complets — voir une conversation entière
⚡ CE QU'ON PEUT CAPTURER
Mots de passe sur HTTP
Cookies de session non sécurisés
Requêtes DNS — quels sites sont visités
Trafic anormal — scan, brute force, exfiltration
FILTRES ESSENTIELS
# Tout le trafic HTTP
http

# Filtrer par adresse IP
ip.addr == 192.168.1.10

# Uniquement les formulaires (logins)
http.request.method == "POST"

# Trafic DNS — sites visités
dns

# Suivre une conversation complète
Clic droit → Follow → TCP Stream
// 08b · Démo Wireshark

🔴 DÉMO — Capturer un mot de passe HTTP

CE QUE VOUS ALLEZ VOIR — EN TEMPS RÉEL
// ÉTAPES
01
Ouvrir Wireshark → sélectionner l'interface réseau (en0/wlan0)
02
Cliquer ▶ pour démarrer la capture de paquets
03
Naviguer sur un site HTTP → soumettre un formulaire de login
04
Filtrer : http.request.method == "POST"
05
Clic droit → Follow → TCP Stream → mot de passe visible
// CE QUI APPARAÎT
POST /login HTTP/1.1
Host: mabobank.ga

username=admin
&password=SuperSecret123

// ← Lisible par n'importe qui
// sur le même réseau WiFi
⚠️ Sur un réseau HTTP, tout le monde peut voir ça.
💡 Contre-test : même opération sur HTTPS → Wireshark ne voit que du charabia chiffré.
// 09 · Outil #2

🛰️ Nmap — Le radar du hacker

C'EST QUOI ?
  • Scanner de ports et services réseau — outil de référence depuis 1997
  • Découvre quels appareils sont actifs sur un réseau
  • Identifie ports ouverts, services, OS des machines
  • Première étape de toute reconnaissance offensive ou défensive
⚖️ Légal sur votre propre réseau. Scanner sans autorisation = infraction pénale.
COMMANDES ESSENTIELLES
# Scan simple d'une IP
$ nmap 192.168.1.1

# Scanner tout le réseau (/24 = 254 machines)
$ nmap 192.168.1.0/24

# Détection OS + versions des services
$ nmap -A 192.168.1.1

# Ports spécifiques seulement
$ nmap -p 80,443,22,3306 192.168.1.1

# Scan discret (SYN scan)
$ nmap -sS 192.168.1.1
// 09b · Labo Nmap

⚡ Labo — Scannez votre réseau

EXERCICE PRATIQUE — 20 MINUTES
Vous êtes sur le même WiFi. Cartographiez-le.
01
Trouvez votre IP et sous-réseau : ip a
02
Scannez le réseau : nmap 192.168.X.0/24
03
Listez les appareils actifs et leurs ports ouverts
04
Identifiez le serveur du formateur — IP ? ports ?
05
Bonus : nmap -A [IP] — quel OS tourne ?
// RÉSULTAT ATTENDU
Host: 192.168.1.15 (formateur)
PORT STATE SERVICE
22/tcp open ssh
8000/tcp open http CTFd
8080/tcp open http Python
5001/tcp open http Flask SQLi
OS: macOS 14.x

// Vous venez de cartographier le réseau
💡 Un attaquant fait ça en premier. Un défenseur doit voir son réseau avant l'attaquant.
// 10 · Défense réseau

Se défendre sur le réseau

🛡️ LE FIREWALL — COMMENT ÇA MARCHE
Un firewall analyse chaque paquet et applique des règles : autoriser ou bloquer selon l'IP, le port, le protocole, la direction.
  • Bloque les ports inutiles → réduit la surface d'attaque
  • Peut bloquer par pays, IP, protocole ou comportement
  • Logiciel : iptables, ufw (Ubuntu), Windows Defender
  • Matériel : Cisco, Fortinet, Palo Alto (entreprises)
# Bloquer MySQL (port 3306)
$ sudo ufw deny 3306
# Autoriser SSH uniquement
$ sudo ufw allow 22
# Voir les règles actives
$ sudo ufw status verbose
✅ 5 BONNES PRATIQUES RÉSEAU
1. Fermer tous les ports inutiles
Chaque port ouvert = risque. Principe du moindre privilège.
2. HTTPS partout, HTTP nulle part
Aucun formulaire de login sur HTTP.
3. VPN sur WiFi public
Chiffre tout le trafic, même sur réseau non sécurisé.
4. Patcher régulièrement les services
80% des attaques exploitent des failles non patchées.
5. Logger et surveiller le trafic
SIEM, IDS/IPS — détecter l'anomalie avant la catastrophe.
// 11 · Atelier Live — Wireshark

🔬 Atelier — Analyse de paquets réseau en live

⚡ MISSIONS — 20 MINUTES
01
Ouvrez Wireshark → sélectionnez l'interface WiFi (wlan0 ou en0)
Cliquez sur le nom de l'interface → capture démarre
02
Observez le trafic en direct — combien de protocoles voyez-vous ?
ARP · DNS · TCP · UDP · HTTP · TLS
03
Filtrez le trafic DNS : dns
→ Quels sites vos collègues visitent-ils en ce moment ?
04
Filtrez par IP du formateur : ip.addr == [IP_FORMATEUR]
→ Quel trafic génère le serveur CTF ?
05
Démo formateur — HTTP en clair :
http.request.method == "POST"
→ Clic droit → Follow → TCP Stream → voir le mot de passe
// CE QUE VOUS DEVEZ TROUVER
# Trafic DNS — sites visités
dns
→ Quels domaines sont résolus ?

# Qui parle à qui sur le réseau ?
Statistics → Conversations
→ Liste des IPs actives

# Trafic HTTP (non chiffré)
http
→ Contenu lisible en clair

# Identifier les requêtes ARP
arp
→ Qui cherche qui sur le réseau local ?

# Exporter une capture
File → Export → capture.pcap
💡 Question clé : sur ce réseau WiFi partagé, que pourrait récupérer un attaquant passif sans rien faire d'illégal ?
// 12 · Atelier Live — Nmap

🛰️ Atelier — Scanner toutes les machines de la classe

⚡ MISSIONS — 25 MINUTES
01
Trouvez votre IP et votre sous-réseau :
ip a → notez l'IP (ex: 192.168.1.X)
02
Scannez TOUTES les machines de la classe :
nmap 192.168.X.0/24
03
Comptez les machines actives — combien de postes sur le réseau ?
Comparez avec le nombre d'étudiants
04
Scan approfondi sur une IP :
nmap -A [IP_CIBLE]
OS · Services · Versions · Vulnérabilités potentielles
05
Identifiez les machines vulnérables :
nmap --script vuln [IP_CIBLE]
→ Ports dangereux ouverts ? Services non patchés ?
⚖️ Rappel : Ceci est autorisé uniquement sur CE réseau de formation. Ne jamais reproduire hors cadre.
// RÉSULTAT ATTENDU — GRILLE D'ANALYSE
Nmap scan report for 192.168.1.X
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.9
23/tcp open telnet ← DANGER
80/tcp open http Apache 2.4.1
3306/tcp open mysql ← EXPOSÉ
3389/tcp open rdp ← CIBLE #1
OS: Linux 5.15 / Windows 10

# Chaque port rouge = surface d'attaque
📋 TABLEAU DE BORD CLASSE
?
Machines
actives
?
Ports
dangereux
?
Services
exposés
💡 Question clé : si un attaquant était sur ce réseau à votre place, quelle machine attaquerait-il en premier, et par quel port ?
🎯 Bonus : trouvez le serveur du formateur.
Quels ports tourne-t-il ? Devinez leur usage.
// 13 · Teaser J4

⚔️ Demain — Le CTF vous attend

CTF GABON 2026 — 6 CHALLENGES — 100 POINTS
🌐
Web · 10pts
Code source caché
🔐
Crypto · 15pts
Message ROT13
🖼️
Stéga · 15pts
exiftool · métadonnées
🕵️
OSINT · 20pts
Qui se cache en ligne ?
📡
Forensics · 20pts
Wireshark · capture .pcap
💀
SQLi · 20pts BOSS
Injection SQL · porte finale
"Tout ce que vous avez appris en 3 jours sera utile demain. Wireshark, OSINT, logique, curiosité, patience. Bonne chance."
// Récap J3 · Preview J4

J3 — Ce qu'on a vu

✅ ACQUIS AUJOURD'HUI
  • Réseau — IP, paquets, routeurs, LAN/WAN/WiFi
  • Modèle OSI — 7 couches et leurs attaques associées
  • TCP vs UDP — fiabilité vs vitesse, usages et risques
  • Ports courants — lesquels fermer, lesquels garder
  • HTTP vs HTTPS — pourquoi c'est critique
  • Wireshark — capturer et analyser le trafic réseau
  • Nmap — scanner et cartographier un réseau
  • Firewall et 5 bonnes pratiques de défense
⚔️ DEMAIN — J4 · CTF
  • Jour de compétition — 100% pratique
  • 6 challenges sur plateforme CTFd — 100 pts
  • Web · Crypto · Stéga · OSINT · Forensics · SQLi
  • Classement en temps réel au vidéoprojecteur
  • Travaillez en équipe — partagez vos découvertes
🔬 Wireshark 🛰️ Nmap 🧠 OSINT 🖼️ exiftool
💡 Reposez-vous bien ce soir — demain le chrono tourne.
SooPHA Masterclass × Cybersécurité — Gabon 2026
01 / 17