Fondamentaux
Systèmes Linux et Windows
Un attaquant exploite rarement une faille dans le vide : il cherche des utilisateurs, des droits, des services, des secrets, des journaux faibles et des chemins de persistance.
Ce qu'est un système d'exploitation
Un système d'exploitation fait le lien entre le matériel, les applications et les utilisateurs. Il gère notamment :
- les processus
- la mémoire
- les fichiers
- les utilisateurs
- le réseau
- les périphériques
- les journaux
- les services
En cybersécurité, ces éléments servent à comprendre ce qui s'exécute, avec quels droits, depuis où, et avec quelles traces.
Linux
Linux est très présent côté serveurs, cloud, conteneurs, équipements réseau et postes techniques. Il est aussi utilisé par de nombreux outils de sécurité.
Points à connaître
- utilisateurs et groupes dans
/etc/passwdet/etc/group - permissions
rwx, propriétaire, groupe et bits spéciaux - services
systemd - processus, sockets et tâches cron
- journaux dans
/var/loget viajournalctl - configuration dans
/etc - scripts et automatisation Bash
id
ps aux
ss -tulpn
sudo journalctl -xe
Windows
Windows est dominant dans beaucoup d'environnements d'entreprise. Il est souvent lié à Active Directory, aux partages réseau, aux stratégies de groupe et aux postes utilisateurs.
Points à connaître
- comptes locaux et domaine
- groupes privilégiés
- services Windows
- registre
- observateur d'événements
- PowerShell et tâches planifiées
- partages SMB
- politiques de sécurité locales et domaine
Get-LocalUser
Get-LocalGroupMember Administrators
Get-Process
Get-Service
Points communs utiles
Même si Linux et Windows sont différents, les réflexes d'analyse se ressemblent :
| Question | Où regarder |
|---|---|
| Qui est connecté | Comptes, sessions, authentification |
| Qu'est-ce qui tourne | Processus et services |
| Qu'est-ce qui écoute | Ports et sockets |
| Qu'est-ce qui démarre seul | Services, tâches planifiées, scripts |
| Quelles traces existent | Journaux système et applicatifs |
| Quels droits sont accordés | Groupes, permissions, privilèges |
Réflexe sécurité
Cherche toujours les privilèges excessifs, les services inutiles, les secrets en clair, les logiciels obsolètes et les journaux absents. Ce sont des causes récurrentes d'incidents.
À retenir
Avant de durcir ou d'investiguer un système, commence par inventorier : utilisateurs, droits, services, ports, tâches automatiques, versions et journaux.