Aller au contenu
TAAF-OPS --:-- UTC

TP 2 - Scan de Vulnérabilités & Reconnaissance

2h Intermédiaire

Auteur : Thibaut Fontaine — Kodetis Institution : Université de La Réunion Durée estimée : 2h


  1. Objectifs et Contexte
  2. Reconnaissance réseau avec Nmap
  3. Scan de vulnérabilités web avec Nikto
  4. Cartographie de la surface d’attaque
  5. Corrélation avec le SIEM
  6. Questions de validation

📡 Poste SOC · La Réunion — Acte 3, Prouver : vous sondez votre propre réseau avant l’adversaire. Poste avancé : Dumont d’Urville (Terre Adélie).

🎯 Objectif métier — cartographier la surface d’attaque d’une base TAAF et vérifier que le SIEM voit le scan passer.

Toute attaque commence par de la reconnaissance — le jour J, un acteur étatique sondait déjà depuis l’extérieur (recon SIGINT, 14:23Z, #12). Scanner votre propre infra avant lui, c’est voir ce qu’il voit. Et au passage, vérifier que le SIEM monté à l’Acte 2 lève bien la main quand un scan passe.

Dans le cadre de l’audit de sécurité commandé par le RSSI des TAAF, vous devez maintenant cartographier la surface d’attaque de l’infrastructure. Avant de pouvoir tester les défenses, il faut connaître précisément les services exposés et leurs vulnérabilités potentielles.

À l’issue de ce TP, vous serez capable de :

  • Réaliser une reconnaissance réseau avec Nmap (scan de ports, détection de services, OS fingerprinting)
  • Scanner les vulnérabilités web d’une application avec Nikto
  • Produire une cartographie de la surface d’attaque
  • Vérifier que le SOC Grafana-natif (Falco, Sigma→LogQL) détecte vos scans
graph LR
 AUDIT["TAAF-AUDIT-001
IP_AUDIT
Nmap, Nikto"] subgraph "Cibles" MONITOR["TAAF-MONITORING-001
IP_VM2
NextCloud · PostgreSQL · Grafana"] SOC["TAAF-SOC-01
IP_SOC
SOC Grafana-natif (Wazuh bonus)"] end AUDIT -->|"Scans"|MONITOR AUDIT -->|"Scans"|SOC MONITOR -.->|"Falco → Loki → détection"|SOC

Fenêtre de terminal
vagrant ssh audit
Fenêtre de terminal
# Ping sweep pour découvrir les hôtes actifs
nmap -sn réseau privé commun
# Résultat attendu : les VMs actives (monitoring, soc, audit)
Fenêtre de terminal
# Scan rapide des 1000 ports les plus courants
nmap -sV IP_VM2
# Scan complet de tous les ports (65535)
nmap -sV -p- IP_VM2
# Scan de plusieurs hôtes (SI observé + SOC)
nmap -sV IP_VM2 IP_SOC
Fenêtre de terminal
# Scan agressif avec détection d'OS et scripts
sudo nmap -A IP_VM2
# Scripts NSE spécifiques pour la détection de vulnérabilités
sudo nmap --script vuln IP_VM2
Fenêtre de terminal
# Export en XML (pour traitement automatisé)
nmap -sV -oX ~/nmap-monitoring.xml IP_VM2
# Export en format greppable
nmap -sV -oG ~/nmap-monitoring.gnmap IP_VM2
# Export dans tous les formats
nmap -sV -oA ~/nmap-full-scan réseau privé commun

Livrable : Tableau récapitulatif de tous les ports ouverts et services détectés sur chaque VM.


Nikto est un scanner de vulnérabilités web qui vérifie les configurations dangereuses, les fichiers exposés et les vulnérabilités connues.

Fenêtre de terminal
# Scan de NextCloud
nikto -h http://IP_VM2:8081
# Scan avec export
nikto -h http://IP_VM2:8081 -o ~/nikto-nextcloud.html -Format html
Fenêtre de terminal
# Scan de Grafana
nikto -h http://IP_VM2:3000
# Scan de Prometheus
nikto -h http://IP_VM2:9090

Nikto identifie plusieurs catégories de problèmes :

  • Headers de sécurité manquants (X-Frame-Options, Content-Security-Policy, etc.)
  • Fichiers et répertoires exposés (/admin, /.env, /backup, etc.)
  • Versions logicielles vulnérables
  • Configurations dangereuses (directory listing, méthodes HTTP non sécurisées)

Livrable : Liste des 5 findings Nikto les plus critiques sur Nextcloud avec la remédiation proposée pour chacun.


À partir des résultats des scans Nmap et Nikto, produisez une cartographie complète de la surface d’attaque :

Remplissez le tableau suivant pour chaque VM :

VMPortServiceVersionVulnérabilités identifiéesRisque
TAAF-MONITORING-00122SSHOpenSSH x.x
TAAF-MONITORING-0018081HTTPNextCloud x.x

Créez un diagramme Mermaid représentant les vecteurs d’attaque identifiés :

graph TB
 ATTACKER["Attaquant"]

 subgraph "Surface d'attaque TAAF-MONITORING-001"
 SSH10["SSH :22"]
 HTTP10["HTTP :8081
NextCloud"] PG10["PostgreSQL :5432"] end ATTACKER --> SSH10 ATTACKER --> HTTP10 ATTACKER --> PG10 style SSH10 fill:#f9f,stroke:#333 style HTTP10 fill:#f96,stroke:#333 style PG10 fill:#ff9,stroke:#333

Livrable : Cartographie complète au format Mermaid + matrice de la surface d’attaque.


C’est la partie innovante de ce TP : vérifier que vos scans ont été détectés par le SOC Grafana-natif monté à l’Acte 2.

Connectez-vous au SOC Grafana-natif (http://IP_SOC:3000), onglet Explore (datasource Loki), et recherchez les traces de vos scans :

  • Événements Falco déclenchés par les connexions entrantes (scan de ports, SSH)
  • Détections Suricata / Zeek correspondant au trafic de scan
  • Vos règles Sigma → LogQL qui ciblent la reconnaissance réseau
# Exemple : événements réseau autour de l'IP du poste d'audit
{job="falco"} |= "IP_AUDIT"

Vérifiez aussi dans le Grafana de la VM monitoring (http://IP_VM2:3000) :

  • Dashboard “Falco Security Alerts”
  • Filtrer sur les événements récents correspondant à vos scans
Scan effectuéDétecté par le SOC (Loki) ?Détecté par Falco ?Commentaire
Nmap SYN scan??
Nmap version scan??
Nikto web scan??
Nmap OS detection??

Livrable : Tableau de corrélation scans vs détection SOC avec captures d’écran des alertes Grafana/Loki.


  1. [Facile] Combien de ports ouverts avez-vous trouvé sur TAAF-MONITORING-001 ?
  2. [Facile] Quelle commande Nmap permet de détecter la version des services ?
  3. [Moyen] Quelle est la différence entre un scan -sS (SYN) et un scan -sT (TCP connect) ?
  4. [Moyen] Nikto a identifié des headers de sécurité manquants. Lesquels et pourquoi sont-ils importants ?
  5. [Moyen] Votre scan Nmap a-t-il été détecté par le SOC (Falco/Loki) ? Si non, quelle règle ajouteriez-vous ?
  6. [Avancé] Comment un attaquant pourrait-il effectuer un scan Nmap plus discret pour éviter la détection ?
  7. [Avancé] Proposez une règle Sigma (compilée en LogQL) pour détecter les scans Nikto sur NextCloud.
  8. [Expert] Dans le contexte TAAF (bande passante satellite limitée), comment adapteriez-vous votre stratégie de scan ?
  9. [Expert] Comment automatiseriez-vous la cartographie de la surface d’attaque pour qu’elle se mette à jour automatiquement ?
  10. [Expert] Comparez les résultats de Grype (TP1) et Nikto (TP2) sur Nextcloud. Quelles vulnérabilités se recoupent ?