# TP Freak *Par question de temps, nous ne pourrons aborder que la faille FREAK et non LogJam. Néanmoins, comme vous l’aurez compris en cours, les principes sont les mêmes, mais surviennent à des moments différents. Une fois qu’une des failles est comprise, il suffit de comprendre quand intervient l’autre.* ## Partie 0 - Configuration de l’environnement (2 minutes) Pour cela, lancez vdn, sur le réseau secure, et clonez le [dépôt](https://codefirst.iut.uca.fr/git/corentin.lemaire/FreakTP). Vous y trouverez un fichier **httpd.conf** (ex 2) et une image docker appelée **openssl-image** (pour l’exercice 3). ## Partie 1 - Étude des failles (10 minutes) ### Exercice 1 Quelles sont les versions vulnérables de *OpenSSL* et *httpd* aux failles FREAK et LogJam ? Trouver des serveurs d’archives contenant toutes les versions de ces outils, on ne vous demande pas de les télécharger ### Exercice 2 Dans le **httpd.conf** donné dans l’archive de ce TP, qu'est-ce qui fait qu’un serveur ayant cette configuration soit vulnérable ? ## Partie 2 - Pratique (18 minutes) ### Exercice 3 Installez (dans un docker sur vdn pour ne pas casser votre OpenSSL !) une version de OpenSSL vulnérable (de préférence pas trop vieille). Dans cette version, quelles sont les suites de chiffrement vulnérables ? **Commandes utiles :** ```bash docker load -i openssl-image docker run -it –name (nom conteneur) openssl-image bash openssl ciphers ``` ## Autres Durant la création de ce TP, j'écoutais : | [**Bon anniversaire les petits indiens**](https://www.youtube.com/watch?v=yK25b9KHyZM) - *Buffalo - (2012)* |