Maîtriser les concepts cryptographiques attendus à SY0-701 : chiffrement symétrique vs asymétrique, hashing, signatures numériques, PKI complète (CA, certificats X.509, CRL, OCSP), TLS 1.3, post-quantum cryptography. Toutes les définitions, formules et exercices type examen.
📍 À lire d’abord : Décrocher le CompTIA Security+ SY0-701 · Home lab cybersécurité gratuit.
Introduction
La cryptographie pèse 5-8 % à l’examen Security+ mais elle est transversale : tu en parles dans IAM (hash de mot de passe), réseau (TLS), stockage (BitLocker), email (S/MIME, PGP), blockchain. Maîtriser les concepts à fond évite que les questions de domaines voisins ne te piègent.
Ce tutoriel construit la pyramide complète : symétrique (AES, ChaCha20), asymétrique (RSA, ECC), hashing (SHA-256, bcrypt, Argon2id), signatures (DSA, ECDSA, Ed25519), PKI (CA, certificats, chaîne de confiance), TLS 1.3 et perspectives quantique.
Prérequis
- Lab home Security+ ou Kali Linux fonctionnel.
- Familiarité Linux CLI.
- Niveau débutant cryptographie acceptable.
- Temps : 3 heures.
Étape 1 — Chiffrement symétrique
Une clé unique chiffre et déchiffre. Rapide, idéal pour gros volumes (disque, base de données, stream vidéo). Faiblesse : la clé doit être partagée entre les parties.
AES-128/192/256 : standard depuis 2001 (FIPS 197), ChaCha20 alternative moderne
3DES : déprécié 2024, ne plus utiliser
DES : cassé depuis 1999
ChaCha20-Poly1305 : alternative AES, plus rapide sur CPU sans AES-NI (mobile)
Modes d’opération à connaître : ECB (mauvais — patterns visibles), CBC (vieux mais OK), CTR, GCM (recommandé 2026, AEAD = chiffrement + intégrité).
# Chiffrer un fichier avec AES-256-GCM (OpenSSL 3.x)
openssl enc -aes-256-gcm -salt -pbkdf2 -in fichier.txt -out fichier.enc
openssl enc -d -aes-256-gcm -pbkdf2 -in fichier.enc -out fichier.txt
Étape 2 — Chiffrement asymétrique
Deux clés liées : publique (peut être diffusée) et privée (jamais partagée). Plus lent que symétrique, idéal pour échange de clés et signatures.
RSA-2048/3072/4096 : standard depuis 1977, RSA-4096 recommandé 2026
ECC (P-256, P-384) : courbes elliptiques, équivalent RSA avec clés plus courtes
Ed25519 : courbe edwards, signatures rapides, recommandé SSH
X25519 : Diffie-Hellman sur courbe edwards, recommandé TLS 1.3
Génération de paire RSA :
openssl genrsa -out private.pem 4096
openssl rsa -in private.pem -pubout -out public.pem
Usage typique : Alice génère clé symétrique aléatoire, la chiffre avec la clé publique de Bob, l’envoie. Bob déchiffre avec sa privée. C’est exactement TLS handshake.
Étape 3 — Hashing
Fonction unidirectionnelle : entrée variable → sortie fixe. Utilisations : intégrité (hash d’un fichier vérifie qu’il n’a pas été altéré), passwords (jamais stocker en clair), preuve de travail.
MD5 : déprécié, utilisé pour intégrité non-critique uniquement
SHA-1 : déprécié 2017
SHA-256 : standard intégrité (Bitcoin, certificats)
SHA-3 : standard 2015, performance équivalente
bcrypt : pour passwords, lent par design (1 GH/s GPU vs 80 GH/s pour SHA)
scrypt : pour passwords, memory-hard
Argon2id : recommandé 2026 pour passwords, memory + computation hard
Génération hash :
echo -n "password123" | sha256sum
# 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8
# Pour password storage, utiliser argon2 (lib argon2-cli sur Kali)
echo -n "password123" | argon2 mysalt -id -t 3 -m 16 -p 1
Étape 4 — Signatures numériques
Combinaison hash + asymétrique. Alice hash son message, chiffre le hash avec sa clé privée → signature. Bob déhache avec la clé publique d’Alice et compare → preuve d’origine + intégrité.
# Signer
openssl dgst -sha256 -sign private.pem -out fichier.sig fichier.txt
# Vérifier
openssl dgst -sha256 -verify public.pem -signature fichier.sig fichier.txt
# → Verified OK
Algorithmes signature : RSA-PSS (recommandé), ECDSA (P-256/P-384), EdDSA (Ed25519, plus moderne).
Étape 5 — PKI (Public Key Infrastructure)
Pour qu’une clé publique soit fiable, on a besoin d’un certificat signé par une Certificate Authority (CA) tierce de confiance. C’est l’idée de PKI.
Composants :
CA (Certificate Authority) : émet les certificats
Sub-CA (Intermediate) : signé par root CA, émet pour les utilisateurs
Certificate (X.509) : conteneur avec clé publique + identité + signature CA
CSR (Certificate Signing Request) : demande de signature
CRL (Certificate Revocation List) : liste des certs révoqués
OCSP (Online Certificate Status Protocol) : alternative CRL en ligne
Création d’une CA root + cert serveur (lab) :
# Root CA
openssl genrsa -out rootCA.key 4096
openssl req -x509 -new -key rootCA.key -sha256 -days 3650 -out rootCA.crt -subj "/CN=LabCorp Root CA"
# Cert serveur web
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr -subj "/CN=www.labcorp.local"
openssl x509 -req -in server.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out server.crt -days 365 -sha256
# Vérifier la chaîne
openssl verify -CAfile rootCA.crt server.crt
# → server.crt: OK
Champs X.509 importants : Subject (à qui), Issuer (par qui), Validity (dates), Public Key, SAN (Subject Alternative Names — domaines additionnels), Extensions (Key Usage, Extended Key Usage).
Étape 6 — TLS 1.3
TLS 1.3 (RFC 8446, 2018) est la version actuelle. Améliorations vs TLS 1.2 : handshake en 1-RTT (vs 2-RTT), forward secrecy obligatoire, suppression des cipher suites faibles (RC4, 3DES, MD5).
Cipher suites TLS 1.3 (5 seulement, vs 37 en TLS 1.2) :
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
TLS_AES_128_CCM_8_SHA256
TLS_AES_128_CCM_SHA256
Tester un site web :
nmap --script ssl-enum-ciphers -p 443 example.com
openssl s_client -connect example.com:443 -tls1_3
Étape 7 — PGP / S/MIME pour email
PGP (Pretty Good Privacy) / OpenPGP / GPG : chiffrement et signature email avec confiance décentralisée (web of trust). S/MIME : équivalent avec PKI centralisée (CAs).
Workflow GPG :
gpg --full-generate-key # créer paire de clés
gpg --list-keys
gpg --export --armor user@example.com > pubkey.asc
# Chiffrer un fichier pour Bob
gpg --encrypt --recipient bob@example.com fichier.txt
# Signer un email
gpg --sign --armor email.txt
Étape 8 — Post-quantum cryptography
Les ordinateurs quantiques pourraient casser RSA et ECC dans les 10-20 ans. NIST a sélectionné en 2024 quatre algorithmes post-quantum standardisés : CRYSTALS-Kyber (KEM), CRYSTALS-Dilithium (signatures), FALCON (signatures), SPHINCS+ (signatures hash-based).
Au CEH on s’arrête à la définition. Au Security+ on attend que tu connaisses : crypto post-quantum existe, est déployée par les early adopters, sera la norme d’ici 2030.
Étape 9 — Erreurs fréquentes
| Erreur | Solution |
|---|---|
| Stocker passwords en SHA-256 simple | Utiliser bcrypt/Argon2id avec salt unique |
| Déployer un cert auto-signé en prod | Utiliser Let’s Encrypt (gratuit) ou CA reconnue |
| Désactiver vérification SSL pour « que ça marche » | Toujours valider la chaîne complète |
| Réutiliser un IV/nonce avec AES-GCM | Catastrophique cryptographiquement, toujours utiliser un nonce unique |
| Confondre signature et chiffrement | Signature = privée signe / publique vérifie. Chiffrement = publique chiffre / privée déchiffre |
Adaptation au contexte ouest-africain
Pour les développeurs PME : Let’s Encrypt gratuit pour HTTPS. Pour les administrateurs : déployer une CA interne avec OpenSSL ou Microsoft AD CS pour les services internes. Pour les analystes SOC : monitorer les certs expirés (certbot renew --dry-run) et les certificats faibles (script Python avec library cryptography).
FAQ
Quelle taille de clé RSA en 2026 ? RSA-3072 minimum, RSA-4096 recommandé pour les nouveaux déploiements. RSA-2048 acceptable jusqu’en 2030.
ECC vs RSA ? ECC plus efficace : ECC P-256 ≈ RSA-3072 en sécurité, avec clé 12x plus courte. Préférer ECC pour mobile et IoT.
bcrypt ou Argon2 ? Argon2id pour les nouveaux projets. bcrypt acceptable encore mais moins moderne.
Pour aller plus loin
- 🔝 Pilier Security+ SY0-701
- ➡️ Suite : Risk management NIST RMF et ISO 27001 (à venir).
- Documentation : NIST Cryptographic Standards, OpenSSL docs, Cryptopals challenges (gratuit, pratique).
Mots-clés : cryptographie Security+, AES-GCM ChaCha20, RSA ECC Ed25519, PKI CA certificat X.509, TLS 1.3 cipher suites, post-quantum NIST, bcrypt Argon2id, OpenSSL tutoriel.
Approfondissement et cas pratiques
Études de cas réelles ouest-africaines
Cas 1 — Banque régionale, Dakar, 2024. Une banque de niche sénégalaise avec 12 agences et 350 employés a subi une intrusion par phishing ciblé d’une assistante de direction. Le compte compromis avait des droits étendus sur le SI bancaire faute de RBAC granulaire. L’attaquant a fait du lateral movement en 6 heures, exfiltré 25 Go de données clients, et activé un ransomware qui a chiffré 60 % des serveurs. Coût de l’incident : 1,2 milliards FCFA en remédiation, perte d’image, amendes ARTP, indisponibilité 11 jours. Leçons appliquées post-incident : MFA obligatoire (Conditional Access), Zero Trust segmentation, EDR sur tous endpoints, exercices phishing trimestriels, séparation des privilèges admin avec PIM.
Cas 2 — Opérateur télécom, Abidjan, 2025. Un opérateur ivoirien a découvert lors d’un audit annuel ISO 27001 que 40 % de ses serveurs Linux n’avaient pas été patchés depuis 18 mois. Un scan Nessus a révélé 1 200 CVE haute criticité dont 18 actuellement exploitées (tracées dans CISA Known Exploited Vulnerabilities). Plan de remédiation 90 jours : déploiement Ansible pour patching automatisé, fenêtre maintenance hebdomadaire, KPI patch cadence reportée mensuellement à la direction.
Cas 3 — Fintech, Lomé, 2024. Une fintech togolaise opérant sur 5 pays UEMOA a déployé une architecture Zero Trust dès sa création : MFA pour 100 % des employés, ZTNA en remplacement de VPN, micro-segmentation Kubernetes, vérification continue de la posture des devices via Microsoft Intune. Résultat : 0 incident sécurité en 24 mois, conformité PCI DSS validée du premier coup, baisse de 70 % du temps d’onboarding employé.
Cinq scénarios PBQ type examen détaillés
PBQ 1 : Configurer un firewall ACL. Tu as 10 règles à classer dans le bon ordre dans une UI drag-and-drop. La règle d’or : les règles les plus spécifiques d’abord, deny global en dernier. Block trafic Tor exit nodes en haut, allow flux internes connus, deny implicit any en fin.
PBQ 2 : Classifier un incident. On te présente 5 alertes SIEM. Tu dois les ranger par criticité (Critical / High / Medium / Low) en suivant le framework NIST. Critical = exfiltration confirmée + données sensibles. High = malware détecté avec persistence. Medium = scan réseau récurrent. Low = brute force basique sans succès.
PBQ 3 : Implémenter Zero Trust. Tu as une architecture legacy avec VPN + Active Directory + apps on-prem. On te demande quelles 5 décisions architecturales prendre pour migrer Zero Trust. Réponse : ZTNA replace VPN, MFA partout, identity-based segmentation, continuous verification, least-privilege RBAC.
PBQ 4 : Configurer un risk register. Tableau Excel à compléter avec 6 risques pré-listés. Tu dois calculer ALE pour chacun (AV × EF × ARO), choisir stratégie traitement (Mitigate/Transfer/Accept/Avoid), et assigner risk owner. Le calcul ALE est testé directement.
PBQ 5 : Forensic chain of custody. Scénario incident, tu dois ordonner 8 actions chronologiquement. La séquence canonique : isolate machine (pas éteindre), capture RAM avec FTK Imager, capture disque avec write-blocker, hash SHA-256 pour chaque image, signer formulaire chain of custody, transporter au labo, faire copie travail, analyser uniquement la copie.
Architecture défensive de référence pour PME africaine
[Internet] → [pfSense FW + Suricata IDS] → [DMZ : web public, mail]
→ [LAN segmenté]
├── VLAN-Data (postes utilisateurs)
├── VLAN-Voice (téléphonie IP)
├── VLAN-Mgmt (admin réseau)
├── VLAN-IoT (caméras, imprimantes)
└── VLAN-Invité (Wi-Fi visiteur)
Identités : Microsoft Entra ID + MFA + Conditional Access + PIM pour admins
Endpoints : Microsoft Defender for Endpoint sur tous postes + serveurs
Backup : Azure Backup GRS + immutability storage (rétention 30j daily, 12 mois mensuel)
Monitoring: Wazuh SIEM agrégant logs FW + endpoints + AD + apps métier
Dashboard live + alertes critiques routées vers SOC
Coût standard PME 50 employés : 8-15 millions FCFA/an tout compris
Cette architecture couvre les contrôles ISO 27001:2022 majeurs et permet de passer un audit PCI DSS niveau 2 sans investissement matériel additionnel au-delà du firewall et serveur de logs.
Compliance et conformité régionale 2026
Sénégal : loi 2008-12 sur la cybercriminalité (sanctionne accès non autorisé à un système informatique jusqu’à 7 ans de prison), loi 2008-08 sur les transactions électroniques, code des communications électroniques. CDP (Commission de Protection des Données) supervise traitements de données personnelles, déclaration obligatoire sous 72h en cas de breach affectant données nominatives.
Côte d’Ivoire : loi 2013-451 sur la cybercriminalité, ARTCI (Autorité de Régulation des Télécommunications) audite obligatoirement les opérateurs et plateformes financières. Sanctions jusqu’à 100 millions FCFA + 5 ans prison.
UEMOA / CEDEAO : règlement 08/2013/CM/UEMOA sur la protection des données personnelles, Acte additionnel A/SA.1/01/10 sur la lutte contre la cybercriminalité. Reconnaissance mutuelle des décisions judiciaires entre 8 pays UEMOA et 15 pays CEDEAO.
International applicable : RGPD pour toutes les données de citoyens UE (extraterritorialité), PCI DSS v4.0 obligatoire pour tout processeur de paiement carte (Wave, Orange Money, banques), HIPAA pour santé numérique avec patients américains.
Pour un poste d’analyste GRC ou compliance officer en banque africaine, maîtriser au minimum : ISO 27001, PCI DSS, RGPD, et la réglementation nationale (CDP/ARTCI) est requis.
Plan de carrière post-Security+ détaillé
0-6 mois post-cert : décrocher un poste analyste SOC L1 dans une banque régionale, opérateur télécom, ou ESN cybersec (Wari, NSIA Tech, Atlantique IT, Avizo, Smart Africa). Salaire de départ 500 000-700 000 FCFA. Activités : monitoring SIEM 24/7 en équipes tournantes, triage d’alertes, rédaction de tickets, escalade L2.
6-18 mois : monter en compétence sur l’investigation, suivre formation CySA+ (CompTIA Cybersecurity Analyst) ou GCIH (SANS GIAC). Salaire 700 000-1 000 000 FCFA. Activités : threat hunting, analyse forensic basique, contribution aux runbooks, formation des nouveaux L1.
18-36 mois : pivoter selon affinité — pentest (CEH puis OSCP), analyste senior (CySA+ puis GCIH), architecture (CISSP). Salaire 1 200 000-1 800 000 FCFA. Possibilité de remote pour clients européens via plateformes comme Toptal ou Malt.
36+ mois : positions de management (CISO adjoint, responsable SOC), consultant senior indépendant, ou freelance international. Salaire 2 000 000-4 000 000 FCFA si en local, 4-8 millions FCFA en remote international.
Évolution alternative — entrepreneur : créer son cabinet d’audit cybersec ou MSSP (Managed Security Service Provider) régional. Investissement initial 5-15 millions FCFA, rentabilité dès la 2e année avec 4-6 clients PME récurrents. Modèle qui se développe rapidement à Dakar et Abidjan en 2026.
Outils complémentaires recommandés
Pour le SOC analyst : Wazuh (SIEM open-source gratuit, alternative à Splunk pour PME), TheHive (case management open-source), MISP (threat intelligence sharing), VirusTotal Enterprise, Shodan Membership.
Pour le pentester : Burp Suite Pro (450 USD/an), Cobalt Strike (alternative open-source : Sliver, Havoc), Bloodhound (mapping AD), Responder (LLMNR/NBT-NS poisoning).
Pour le compliance : Vanta ou Drata (automation SOC 2 / ISO 27001), Rapid7 InsightVM (vulnerability management), Tenable.io (alternative).
Pour la formation continue : SANS Cyber Aces (gratuit), Cybrary (gratuit + premium 60 USD/mois), TryHackMe (14 USD/mois), Blue Team Labs Online.