Leçon 6 / 6
Leçon 06 · Partie 2 — En pratique

Sécurité réseau

Pourquoi sécuriser un réseau ?

Internet est un réseau ouvert. Par défaut, les données qui circulent peuvent être lues par n'importe qui sur le chemin : ton fournisseur d'accès, un routeur intermédiaire, quelqu'un sur le même Wi-Fi public que toi.

La sécurité réseau sert à protéger la confidentialité (personne ne lit tes données), l'intégrité (personne ne les modifie en transit), et la disponibilité (le service reste accessible).

⚠️

Sur un Wi-Fi public non sécurisé (café, aéroport), quelqu'un peut intercepter tout ce que tu envoies en clair. Mot de passe HTTP, formulaire non chiffré — tout est lisible. C'est pour ça que HTTPS et les VPN existent.

HTTPS — le cadenas dans la barre d'adresse

HTTPS = HTTP + TLS (Transport Layer Security). TLS est le protocole qui chiffre la communication entre ton navigateur et le serveur.

Quand tu vois le cadenas dans la barre d'adresse, ça signifie que la connexion est chiffrée. Personne sur le chemin ne peut lire ce que tu échanges avec le serveur. 

// HTTP vs HTTPS — différence fondamentale

HTTP  (port 80)  :
Navigateur ──── "mon-mot-de-passe" ────→ Serveur
               // lisible par tout le monde sur le trajet

HTTPS (port 443) :
Navigateur ──── "x7F#qR92..." (chiffré) ──→ Serveur
               // illisible sans la clé privée du serveur

Comment TLS chiffre les données

TLS utilise un système de clés :

  • Le serveur possède une clé privée (secrète) et un certificat public
  • Lors de la connexion, les deux parties s'accordent sur une clé de session
  • Tout l'échange est chiffré avec cette clé temporaire
// TLS simplifié

Navigateur  ──→  Serveur : "Voici mes algos supportés"
Serveur     ──→  Nav.    : "Voici mon certificat (clé publique)"
Navigateur  : vérifie le certificat (autorité de confiance ?)
Navigateur  ──→  Serveur : "Clé de session établie"
// Toute la suite est chiffrée
🔒

Un certificat TLS est signé par une autorité de certification (CA) de confiance. Ton navigateur vérifie cette signature. Si le certificat est expiré ou invalide, tu vois un avertissement "Connexion non sécurisée". Ne passe jamais outre pour un site sensible.

VPN — le tunnel chiffré

Un VPN (Virtual Private Network) crée un tunnel chiffré entre ton appareil et un serveur VPN. Tout ton trafic passe à l'intérieur de ce tunnel.

C'est comme construire une route souterraine privée dans les rues publiques. De l'extérieur, on voit que tu utilises la route, mais pas ce que tu transportes, ni vers où tu vas vraiment. 

// VPN — tunnel chiffré

Sans VPN :
Toi ──── trafic visible ────→ FAI ──→ Internet ──→ Destination

Avec VPN :
Toi ──── [tunnel chiffré] ────→ Serveur VPN ──→ Destination
         // FAI voit : connexion chiffrée vers VPN. Rien d'autre.

Usages légitimes d'un VPN :

  • Se connecter au réseau interne d'une entreprise depuis chez soi
  • Protéger ses données sur un Wi-Fi public
  • Accéder à des ressources géo-restreintes
  • Masquer son trafic à son fournisseur d'accès internet

Le pare-feu — déjà vu, mais essentiel

On a vu les ports en leçon 04. Le pare-feu est le premier rempart : il filtre le trafic entrant et sortant selon des règles. 

// Règles de firewall typiques

// Sur un serveur web :
AUTORISER TCP entrant port 80    // HTTP
AUTORISER TCP entrant port 443   // HTTPS
AUTORISER TCP entrant port 22    // SSH depuis IPs autorisées seulement
BLOQUER   tout le reste entrant
AUTORISER tout le trafic sortant   // le serveur peut contacter internet

Bonnes pratiques réseau

Quelques règles simples qui font une grande différence :

🔒

Toujours HTTPS

N'envoie jamais de mot de passe ou de données sensibles sur HTTP. Vérifie le cadenas avant de te connecter.

Essentiel
📶

Wi-Fi public = méfiance

Sur un Wi-Fi public, utilise un VPN ou limite-toi aux sites HTTPS. Évite tout ce qui est sensible (banque, email).

Bon réflexe
🧱

Firewall actif

Sur un serveur ou un PC, garde le firewall activé. N'ouvre que les ports strictement nécessaires.

Serveurs
🔑

Mots de passe forts

Un mot de passe faible sur SSH ou un admin web, c'est la porte ouverte. Utilise des clés SSH plutôt que des mots de passe.

Admin
🔄

Mises à jour

Les failles réseau sont corrigées dans les mises à jour. Un système non mis à jour est une cible facile.

Régulier
👁️

Surveiller les accès

Logs SSH, logs firewall, monitoring réseau — savoir qui se connecte et quand permet de détecter les intrusions.

Avancé
🌐

DNS sur HTTPS (DoH) : ta résolution DNS peut aussi être espionnée. Des navigateurs modernes proposent le "DNS over HTTPS" — la requête DNS est elle-même chiffrée. Firefox et Chrome le supportent dans leurs paramètres.

// À retenir
  • HTTPS = HTTP + TLS. Chiffre tout l'échange. Le cadenas = ok.
  • TLS : certificat du serveur + clé de session temporaire. Illisible en transit.
  • VPN = tunnel chiffré. Masque le trafic au FAI et sur les Wi-Fi publics.
  • Firewall : ouvre uniquement les ports nécessaires. Bloque tout le reste.
  • Sur Wi-Fi public → HTTPS obligatoire, VPN recommandé.
  • Mettre à jour, surveiller les logs, utiliser des clés SSH : bases de l'hygiène réseau.