Sécurite operationnelle des Systèmes d'Information Volet-2

VOLET 2
1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

AGENDA VOLET II
Module N°1 : Protection et
cloisonnement des réseaux
Menace des couches basses – Menaces sur les
équipements - Bonnes pratiques
Protection logique du réseau- VLAN – Firewalls -
Diodes
Protection de la couche applicative - Proxy –
Web Applicatif Firewall (WAF)
Module N°2 : Protection des applications,
données et cryptologie
Origine du besoin et définition – Terminologie -
Concepts de base
Sécurisation des données et PKI (Public Key
Infrastructure)
Problématique de la distribution des clés publiques -
Composantes d’une PKI
Certificat électronique & Cycle de vie
Module N°3 : Protection des
communications : messagerie et réseau
Messagerie sécurisée S/MIME
VPN - Virtual Private Network - Familles de VPN
Standards SSL et IPSec - SSL versus IPSec
Module N°4 : Authentification utilisateurs –
réseaux – applications
Gestion des accès aux ressources
Modèles DAC/MAC/ORBAC
Modes d’authentification
Authentification non-rejouable
Module N°5 : Sélectionner des produits
de sécurité
Référentiels
Critères d’évaluation de sécurité
Processus d’évaluation des produits
Exemples
Pour aller plus loin
Livre
Magazine
Articles - Web

TRAVAIL PERSONNEL
Sécurité informatique et réseaux - 4eme édition Ghernaouti
Lecture des chapitres suivants
Chapitre 6 Sécurité des infrastructures télécoms : 6.1 à 6.5
Chapitre 8 Systèmes Pare-feu et Détection d’intrusion : 8.1 à 8.3
Chapitre 5 Chiffrement :5.1 à 5.4
Chapitre 9 Application : 9.1, 9.2, 9.4
Chapitre 4 Politique de sécurité : 4.8

OBJECTIFS
MENACE DES COUCHES BASSES – BONNES PRATIQUES
PROTECTION LOGIQUE DU RÉSEAU- VLAN – FIREWALLS - DIODES
PROTECTION DE LA COUCHE APPLICATIVE - PROXY – PARE-FEU APPLICATIF
ILLUSTRATION – ARCHITECTURE SÉCURISÉE
LES PRODUITS DU MARCHÉ
RÉSUMÉ DU MODULE
MODULE N°1 : PROTECTION ET
CLOISONNEMENT DES RÉSEAUX

OBJECTIFS
Protection périmètrique :
Les infrastructures de sécurité périmètrique protègent le système d’information des
menaces extérieures. Cela se traduit par un contrôle d’accès au réseau et un
cloisonnement des flux d’information.
Notion de responsabilité
Distinction des zones de responsabilités de l’entreprise
- Où commence et où s’arrête la part de responsabilité de l’entreprise ?
- Délimitation de son système d’information
Un périmètre logique et non physique
Joint-venture, GIE, structures à 50/50, sous-traitants, infrastructures infogérées, etc.

MENACES DES COUCHES BASSES
Physique
Écoute des émissions électromagnétiques des câbles
Connexion directe au réseau
Déni de service
Liaison
Usurpation de paquets ARP et envoie de fausses adresses MAC
Écrasement d’entrées dans le cache ARP
Surcharge ou tromperie des commutateurs
Réseau
Obtention d’une adresse IP via DHCP
Usurpation d’adresse IP
Écoute sur les routeurs
Déni de service visant un routeur
Usurpation du protocole de routage pour insérer de mauvaises routes dans les routeurs alentours
Usurpation des messages de diagnostic ICMP

MENACES SUR LES ÉQUIPEMENTS
Concentrateurs, commutateurs, routeurs
Offrent des outils de gestion, souvent accessibles par le
réseau, qui peuvent être détournés
Tous exécutent des firmwares ou d’autres logiciels plus
sophistiqués qui peuvent présenter des vulnérabilités
Ils peuvent être bidouillés ou volés en cas d’accès physique
Leurs configurations par défaut sont connues des attaquants

BONNES PRATIQUES
Ségrégation des réseaux
Séparation des réseaux ayant des fonctions différentes (réseau des
guichets automatiques séparé du réseau bureautique)
Séparation des réseaux de différents niveaux de sensibilité
Sécurité des différents des réseaux périphériques
Mettre en place des pare-feux aux endroits stratégiques
Internet, prestataires, agences….
Mise à jour des firmwares
Changement des mots de passe par défaut
Activer les fonctions de traçabilité

BONNES PRATIQUES
Activer la fonction Port Security sur les commutateurs
Fonction Port-Security (sur les Cisco) : limite les effets de l’ARP spoofing, et des
attaques sur le service DHCP (plusieurs MAC sur un port Ethernet)
Restriction du nombre d’adresse MAC autorisé par port
Configuration de comportement dynamique
Envoi automatique d’une trap SNMP

VLAN : VIRTUAL LAN

VLAN – VIRTUAL LAN
Contexte
De nouveaux besoins : visio conf, e-learning, la voix sur IP
De nouvelles exigences : sécurité, mobilité des utilisateurs, performance
Des contraintes existantes :
Sous-réseaux liés aux switchs
Utilisateurs regroupés géographiquement mais avec des liens fonctionnels différents
Plan d’adressage difficile à mettre en œuvre dans la cadre de la mobilité des postes
Congestions des réseaux locaux (ex : tempête de broadcast)
Finalités
Permettre une configuration et une administration plus facile des grands réseaux
Permettre la mobilité des utilisateurs
Limiter les domaines de broadcast
Effectuer de la QoS (Qualité de Service)
Garantir la sécurité

Concept
Une nouvelle manière d’exploiter la technique de commutation pour donner plus de
flexibilité aux réseaux locaux.
Un VLAN est un domaine de broadcast dans lequel l’adresse de diffusion atteint
toujours les stations appartenant au VLAN.
Les communications à l’intérieur du VLAN sont sécurisées (cloisonnées) et celles entre
deux VLAN distincts sont contrôlées.

Les VLAN (Virtual LAN)
Consiste à scinder une infrastructure réseau unique en différents tronçons
« logiques » correspondant à un domaine de broadcast
Plusieurs types de VLAN ont été définis suivant les regroupements des stations
du système (voir Cours Réseaux 3A)

VLAN de niveau physique ou de niveau 1
VLAN 1
VLAN 2
VLAN 3

VLAN de niveau 2, ou VLAN de niveau MAC (Trame)
VLAN 1
VLAN 2
VLAN 3

Configuration typique d’un réseau industriel présentant une surface d’attaque maximale

Comment définir les zones
Dépendances fonctionnelles existantes – (Niveau 4 et
les autres niveaux de 3 à 0 du modèle ISA – cf. Volet I)
Ruptures technologiques entre équipements – dans le
cas d’utilisation de protocoles réseaux différents –
liaison d’interconnexion par des passerelles
Séparation des API de sureté – place les API de
pilotage et les API de sûreté dans des zones distinctes
Se référer à la norme IEC 62443

Principe des
degrés de
criticité avec des
règles de filtrage
de flux réseaux

Segmentation
des réseaux en
fonction de leur
criticité

ROUTEUR FILTRANT

ROUTEUR
Hors périmètre du routeur :
• Pas de protection contre les attaques au niveau réseau
• Pas de protection au niveau applicatif

ROUTEUR
Réseau A Réseau B
Les paquets sont vérifiés dans la couche réseau.
Utile en première ligne de défense.
Modèle de décision simple (rejet ou acceptation) basé sur l’en-tête IP

ROUTEUR
Filtrage du trafic
La possibilité de filtrer les paquets est généralement incluse dans le
logiciel des routeurs
Travaille sur la base de toute combinaison des informations suivantes :
Adresse source
Adresse destination
Port source
Port destination (qui définit à quel service vous voulez vous connecter)
Le sens d'établissement de la communication
Les règles « filtres » sont appliquées de haut en bas
Les spécifiques doivent être placées vers le haut de la liste
Les règles génériques vers la fin ( « deny all » )

ROUTEUR
Fonctionnement des ACLs (ACCESS CONTROL LIST)
2 ACLs doivent être posées sur chaque interface
Format des ACLs (exemple sur un routeur CISCO)
Positionnement des ACLs
Requiered keyword N°ACL Action Protocol Src dest Optional
Access-list 102 Permit TCP Any eq 21 144.19.74.0 0.0.0.255 gt 1023 Established

DMZ
AUTHENTIFICATION : RÉSEAU
N° ACL Action IP Src Port Src IP Dest Port Dest Optional
102 Permit 144.19.74.201 / 255.255.255.255 Gt 1023 Any Eq 25 Established
102 Permit 144.19.74.201 / 255.255.255.255 Eq 25 Any Gt 1023
102 Deny Any Any Any Any
S’il n’y avait pas le Flag « Established » , les machines extérieures pourraient générer du trafic
entrant vers n'importe quel autre port. Pour résoudre ce problème nous avons besoin d'une
information sur la direction (Established), en autorisant les appels entrants uniquement sur le port 25
pour les connexions déjà établies.
Sécurité
Externe
Client
Client
Client
Client
Client
Reseau Interne
Relais SMTP
144.19.74.201
102

FIREWALLS (OU PARE-FEU)

FIREWALLS
Définition
Terme générique pour désigner, le logiciel ou le hardware appliquant
la politique de sécurité réseau
Principe
Opère dans les couches TCP/IP
Point de passage obligatoire (Check point)
Tout le trafic entrée/sortie transite par le firewall
Point de concentration sur lequel, le firewall focalise et applique la politique
de sécurité
Cloisonnement entre plusieurs réseaux :
En général, public ou privée
Pour isoler des serveurs (services), DMZ
Traçabilité de l’activité réseau
Ergonomie et console d’administration

FIREWALLS
Les composantes d’un Firewall
Logiciel sur un système d’exploitation propriétaire ou standard (en général du
Linux Free BSD)
Hardware dédié « Appliance »
Évolution des technologies de Firewalling
1ère génération: les routeurs filtrants,
2ème génération: les passerelles applicatives proxy, ou Socks
3ème génération: éléments filtrant l’état des connexions par paquets, « stateful
inspection »,
Stratégie et orientation actuelles des constructeurs
le « tout en un » : les firewalls cumulent régulièrement de nouvelles
fonctionnalités (détection d’intrusion, proxy, authentification…)
Le Mode « Appliance » est souvent proposé

FIREWALLS
• Hors périmètre du firewall : Pratiquement pas de protection au niveau applicatif
Exemple : n’offre pas de protection contre les virus contenus dans un fichier transféré par FTP ou
attaché à un mail au format MIME, ou bien des codes mobiles malicieux en HTTP/S

FIREWALLS

FIREWALLS
Filtrage IP à état - SPI - Statefull packet inspection
Ensemble de contrôles sur les entêtes des paquets pour s’assurer que les protocoles
de niveau Réseau (IP) et Transport (TCP, UDP, ICMP, …) sont bien respectés par les
paquets inspectés.
L’en-tête du paquet reçu
L’information sur l’état de la connexion (ouverture, fermeture)
La fragmentation IP et les Offset
Type d’application au dessus de la couche transport (UDP, TCP)
Interface par laquelle est traité le datagramme IP
Date et heure de l’arrivée/départ du datagramme IP
Vérification de l'état de la communication
Vérification de la cohérence de la communication (bits SYN/SYN-ACK/ACK)
Vérification de la fragmentation : analyse des datagrammes fragmentés
Validation des numéros de séquences TCP
Elimination des paquets « Out-Of-State »
Protection contre les dénis de services réseaux
Limitations : protège uniquement contre les attaques de niveau « réseau ».

FIREWALLS
Application Level Filtering – ou – proxy applicatif
Vérification de la cohérence et du contenu des données au niveau protocolaire.
Analyse Sémantique et/ou Syntaxique des protocoles standards
Principe de fonctionnement
Cette technique consiste à analyser les paquets circulant sur un réseau dans le but de «
décoder » le protocole applicatif utilisé :
Contrôle de conformité de la communication aux standards (on parle ici de RFC) du protocole applicatif
Contrôle de l’utilisation faite du protocole
Avantages du contrôle de la conformité du protocole :
Technique proactive, elle permet de bloquer des attaques non connues simplement car elles
dérogent aux RFC ou aux règles. Elle ne nécessite pas le maintien d’une base de signatures
d’attaques.
Limitations :
Technique efficace seulement sur les protocoles analysés (difficulté d’analyser tous les
protocoles). Elle ne permet pas de détecter attaques qui respectent le protocole.

FIREWALLS

FIREWALLS
Fonctions complémentaires
Anti-Spoofing : Détection de l’usurpation d’adresse
NDIS : sonde de détection et de prévention d’intrusions
VPN chiffré (compliant VPN IPSec et/ou VPN SSL)
Authentification des utilisateurs (sur un annuaire externe LDAP / AD)
Antivirus
Anti spam

FIREWALLS
Inconvénients d’un routeur filtrant
Traçabilité : pas de fonction avancée pour logger les informations.
Administration complexe et pas de mécanisme d’alerte
Inconvénients d’un logiciel firewall installé sur un serveur
Coût d’exploitation
Compétences requises en Windows ou Unix
Gestion des sauvegardes
Nécessite le durcissement de l’OS
Failles de sécurité connues
Avantage du Firewall « Appliance »
Système d’exploitation déjà durci et limité au stricte minimum en sortie usine
Nécessite peu de maintenance
Upgrade des versions OS
Pas de sauvegarde complète, uniquement les fichiers de configuration (kOctects)

ARCHITECTURES TYPES DE FIREWALLS
DMZ (demilitarized zone) :
En termes militaires, zone où les activités militaires sont interdites (cf. Corée)
réseau tampon situé entre le réseau protégé (interne) et le réseau non protégé (Internet)

PRIVEE

FIREWALLS : NETASQ

FIREWALLS

CAS DES FIREWALLS INDUSTRIEL
Marché en forte croissance
Des constructeurs industriels d’automates -
SCHNEIDER
Des constructeurs informatiques spécifiques au monde
industriels – HISCHMANN
Des constructeurs et éditeurs classiques - THALES

CAS DES FIREWALLS INDUSTRIEL
Eagle20 : filtrage du traffic – firewall réseau
http://www.hirschmann.com/en/Hirschmann_Produkte/Industrial_Ethernet/security-
firewall/index.phtml
Tofina : firewall applicatif
http://iom.invensys.com/fr/pages/Triconex_Tofino_Firewall.aspx
Degree of protection: IP20
Operating temperatures: -40°C to +70°C

DIODES RÉSEAUX

DIODES RÉSEAUX
Une diode réseau est un système qui permet d’interconnecter 2 réseaux, en
autorisant le transfert de données dans un seul sens. Ce type de système est
généralement employé pour relier un réseau nécessitant un niveau de sécurité
élevé, appelé « réseau haut » à un réseau de confiance moindre (par exemple
(Internet), le « réseau bas » . Seul la remontée d’informations du réseau bas
vers le haut est autorisée, afin de garantir la confidentialité du réseau haut.
Diode de données garantissant l’unidirectionnalité
des flux d’information

DIODES RÉSEAUX
Partie matérielle de la diode : la liaison Ethernet optique
unidirectionnelle qui relie 2 serveurs est garantie par l’utilisation
d’une seule fibre optique reliée du côté « bas » à un port
émetteur optique (TX), du côté « haut » à un port récepteur (RX).

DIODES RÉSEAUX
Les caractéristiques optiques et électroniques intrinsèques du
matériel assurent qu’aucune donnée ne peut être transmise du
haut vers le bas, il n’existe donc pas de canal caché possible.
Cette propriété matérielle distingue fondamentalement la diode
réseau d’un pare-feu classique : Même s’il est possible de
configurer un pare-feu pour bâtir une liaison unidirectionnelle
entre deux réseaux, on ne pourra jamais assurer qu’une
vulnérabilité logicielle ou un canal caché ne puisse pas un jour
permettre de transférer des données dans l’autre sens.

DIODES RÉSEAUX
Exemple : Un réseau très sensible peut avoir besoin
d'informations publiques pour son utilisation. Par exemple, un
réseau de contrôle aérien aura besoin d'informations météo pour
fonctionner. Si ces informations sont disponibles sur internet, il
faut pouvoir les récupérer tout en protégeant les informations du
contrôle aérien d'un accès non contrôlé depuis l'internet.
https://www.thalesgroup.com/sites/default/files/asset/document/eli
ps_sd_leaflet_fr_10042013.pdf

PROTECTION DE LA COUCHE APPLICATIVE
PROXY - PARE-FEU APPLICATIF

PROTECTION DE LA COUCHE APPLICATIVE
Inspectent les paquets au plus profond (couche 7) en tenant
compte de la sémantique de l’application
Ex: peuvent distinguer un GET d’un PUT dans une requête HTTP
Problème
Performance amoindrie
Ce sont les seuls pare-feux qui prennent en charge les menaces
actuelles (80% des attaques au niveau applicatif)

PROXIES
Définition d’un serveur Proxy
Propriétés générales
Coupure protocolaire entre le client et le serveur destination
Relais des requêtes du client vers le serveur destination
Fonctionne au-dessus de la couche IP
Différentes utilisations
Performances réseaux
Fonctions de sécurité
Définition des rôles d’un serveur Proxy
Contrôle d’accès
Disponibilité & Performance
Traçabilité

PROXIES
Familles de proxies
Proxies applicatifs (Proxy HTTP, Proxy SMTP…)
Proxies dédiés à un ou plusieurs protocoles au dessus de TCP/UDP
Proxies génériques (proxies forwarding ou Proxies de niveau circuit)

PROXIES
Proxies
Client Proxy Serveur
Les paquets sont vérifiés dans la couche Application (L7),
Application/Content filtering.
Par exemple les commandes FTP « put » peuvent être interdites, certaines
requêtes Web peuvent être interdites en fonction de l’URL demandée

PROXY WEB
Principes de Fonctionnement
Proxy applicatif effectue
Translation de N°port et @IP
Filtrage basé sur le sens du flux, N°port, @IP
Analyse sémantique et syntaxique du protocole au niveau applicatif
Exemple : proxy HTTP
Proxy
Internet
Réseau
LAN
Web
server
utilisateur
requêterequête
page page

PROXY WEB
Proxy - Contrôle d’accès
Authentification :
Synchronisation avec l’annuaire d’entreprise pour les utilisateurs et les groupes
Utilisant la méthode « X authenticated-user: » dans le header HTTP
Utilisant le script de Login….
Définition des droits d’accès :
Personnes autorisées,
Heures permises et sites autorisés pour des groupes d’utilisateurs
Type de navigateur Internet autorisé…..
Sur la base d’un annuaire avec des login de connexion
Annuaire Interne ou externe
Utilisation des enregistrements (logs)
Permet d’analyser les URLs demandées, et d’identifier les internautes

PROXY WEB
Proxy - Filtrage de contenu
Filtrage des URLs permet de
Bloquer certaines URLs ou certaines catégories d’URLs (listes noires)
Autoriser certaines URLs (listes blanches)
Obligatoire pour certaines organisations : Ecoles, Bibliothèques, etc.
Sur la base des listes statiques ou dynamiques d’URL
Listes blanches et listes noires
Base de données incluant des millions de sites par catégorie (porn, politique, jeux, piratage, …)
et mises à jour quotidiennement
Critères de filtrage par groupe ou profil :
Utilisateurs et groupes d’utilisateurs
Stations de travail (hostname ou adresse IP)
Sous-réseau en fonction des plages d’adresses IP ou VLAN
Heures des accès

PROXY WEB
Proxy - Filtrage de contenu
Filtrage des requêtes utilisateurs (exemple : Get-Only)
Filtrage des codes mobiles
Elimination des scripts malveillants, activeX, cookies, Java, JavaScript,
Blocage des publicités
Blocage des virus
Blocage des tentatives d’exploitation des failles de sécurité HTML et HTTP

PROXY SMTP (MAILS)
Proxy – Filtrage Anti-Spam
Préambule
En 2007 Radicati Group estime à 75% le volume de spam par rapport au trafic email global
Ouverture de la plate-forme nationale de signalement www.signal-spam.fr le 10 mai 2007
Comment lutter contre le SPAM : Pas de solution miracle à ce jour !
Action juridique (manque d’efficacité) : déposer plainte auprès
de la CNIL en cas de collecte illégale d’informations personnelles
des organismes de défense des consommateurs pour dénoncer des publicités mensongères.
de la justice
« Depuis le12 juillet 2002, la loi statue en faveur de l’opt-in : l’accord préalable et explicite de l’utilisateur
pour l’utilisation de son email à des fins d’envois commerciaux. La collecte par opt-out (accord
implicite) devient illégale au même titre que le spam. Le recours doit se faire auprès de l’autorité
compétente »
Action de sensibilisation interne des utilisateurs (travail de fond) sur le « bon » usage de la
messagerie

PROXY SMTP (MAILS)
Calcul coût du spam avec
Vade Retro Technology
http://www.vade-retro.com/fr/cout_spam.asp
Pour le Gartner Group,
une entreprise perd 1300 $
par an et par employé.

PROXY SMTP (MAILS)
Action technique - Méthodes de filtrage
Listes noires mises à jour en temps réel (RBL)
Vérification l’adresse IP du serveur de messagerie expéditeur, en la
comparant aux adresses de diverses listes noires, en vue de s’assurer que le
serveur en question ne fasse pas partie des serveurs relais ouverts utilisés par
les spammeurs. www.mail-abuse.com
Normalement, tout serveur de messagerie sécurisé devrait refuser l'envoi (le
transit – relais ouvert) de messages électroniques d'expéditeurs externes à son
domaine
Recherche de DNS
Détermine si le serveur de messagerie expéditeur est légal et s’il a un nom
d’hôte valide. Cette technique simple permet d’éliminer le spam envoyé par
des serveurs de messagerie non enregistrés en tant qu’hôte qualifié au niveau
d’aucun serveur de noms de domaines (DNS).

PROXY SMTP (MAILS)
Proxy – Filtrage Anti-Spam : Méthodes de filtrage (suite)
Filtre sur empreinte
Centralisation de tous les spam et calcul des empreintes par hachage. Pour
tout nouveau message, l’empreinte est calculée puis comparée à la base
existante.
Filtre sémantique
Analyse lexicale
Analyse heuristique
Analyse statistique (ou filtrage de Bayes)
Reconnaissance optique de caractères
De nombreux messages de spam sont reçus sous forme d’image et non de
texte. La technique OCR (reconnaissance optique de caractères) est capable
de lire le texte, même s’il apparaît sous forme d’image graphique.

PROXY SMTP (MAILS)
Proxy – Filtrage Anti-Spam : Analyse de l’en-tête SMTP (suite)
Return-Path: <inteactiv.credltlyonais@security.fr>
Received: from mwinf0504.wanadoo.fr (mwinf0504.wanadoo.fr)
by mwinb0505 (SMTP Server) with LMTP; Wed, 08 Mar 2012 03:32:56 +0100
X-Sieve: Server Sieve 2.2
Received: from me-wanadoo.net (localhost [127.0.0.1])
by mwinf0504.wanadoo.fr (SMTP Server) with ESMTP id A2B6874005E1
for <wfr400009ee3445071e7c8cb76e@back05-mail01-03.me-wanadoo.net>; Wed, 8 Mar 2012
03:32:56 +0100 (CET)
Received: from -1213298912 (unknown [218.24.193.197])
by mwinf0504.wanadoo.fr (SMTP Server) with SMTP id 65F1074005E0
for <bob.leponge@wanadoo.fr>; Wed, 8 Mar 2012 03:32:52 +0100 (CET)
X-ME-UUID: 20120308023253417.65F1074005E0@mwinf0504.wanadoo.fr
Received: from security.fr (-1217000416 [-1216293296])
by quintanaroo.com (Qmailv1) with ESMTP id AF2AF35AF4
for <bob.leponge@wanadoo.fr>; Wed, 08 Mar 2012 06:32:51 -0800
Date: Wed, 08 Mar 2012 06:32:51 -0800
From: Security_credltllyonais <inteactiv.credltlyonais@security.fr>
X-Mailer: The Bat! (v2.00.2) Personal
X-Priority: 3
Message-ID: <3509647370.20120308063251@security.fr>
To: Bruno <bob.leponge@wanadoo.fr>
Subject: Le Credit Lyonnais.Nouveau systeme de securite de notre banque est en regime de test.
MIME-Version: 1.0
Les
différents
relais de
transit
Ordinateur
émetteur
Date et heure
Serveur
messagerie
qui a reçu le
mail

PROXY SMTP (MAILS)
Proxy – Filtrage Anti-Spam : Méthodes de filtrage (suite)

PROXY SMTP (MAILS)
Une alternative efficace

WAF – WEB APPLICATION FIREWALL – REVERSE PROXY
WAF – ou - Reverse Proxy (ou Proxy de relais inverse)
Caractéristiques
Principalement dédiés aux protocoles HTTP et HTTPS
Protègent les sites web contre les attaques en provenance de l’Internet.
Proposent d’assurer les fonctions d’accélération SSL (via un processeur spécialisé) déchargeant ainsi le
serveur Web de cette tâche et permettant de réaliser l’analyse applicative sur le flux HTTPS
Se réfère au processus où le serveur Proxy apparaît aux utilisateurs comme un serveur Web.
Le reverse proxy est situé côté serveur destination
La requête client est relayée à un autre serveur voir un autre Proxy serveur
Permet de protéger le serveur contre les attaques applicatives
6363
Blocage des attaques applicatives externes (failles XSS, injections SQL, malwares etc...)
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Reverse
Proxy
Internet
Réseau
Web
server
Internaute
requêterequête
page page

Utilisation d’un WAF: Protection contre les attaques
externes
- Filtrage les requêtes au niveau applicatif
- Identification des attaques grâce à la base de signatures
d’attaques et aux règles de filtrage (SQL injection, XSS,
Directory Traversal, Déni de service)
6464
Blocage des attaques applicatives externes

6565
Blocage des attaques applicatives externes

PRODUITS DU MARCHÉ

PRODUITS DU MARCHÉ
Les principaux acteurs du marché Firewall
Palo Alto Networks
Checkpoint Software Technologies
Cisco Systems
StormShield (ancien Netasq)
Fortinet (Fortigate)
Juniper Networks
CyberGuard
SonicWall (Dell)
WatchGuard Technologies
UTM (Unified Threat Management)
Fortinet
Sophos,
Dell (SonicWall)
Watchguard
Check Point

PRODUITS DU MARCHÉ
Proxy Applicatif
SG Blue Coat
CISCO Cache Engine (intégration aux
routeurs CISCO),
CacheQube, Dynacache (InfoLibria),
ISA Serveur (Microsoft)
NetCache (NetAppliance), « I-Planet Web
Proxy Server » (SUN)
SafeWeb, Border Manager (Novell)
Squid (Open source),
Trafic Edge (Inktomi),
WinGate Pro
IPCop Add-on Advanced Proxy
Module « Proxy » de Apache
Proxy Content filtering -Anti-SPAM
Olfeo
WebSense
Mimesweeper
SurfinGate (Finjan)
eSafe (Aladdin)
AntiSpam (Aladdin)
Mfiltro (Netasq)
IPCop Add-on URL Filtering
Barracuda Networks
Smartfilter (Secure Computing)
WAF – Produits spécialisés
DENY ALL
BEEWARE
F5
Diodes – Firewall industriels
THALES
SCHNEIDER
HIRSCHMANN
INVENSYS

PRODUITS DU MARCHÉ
Proxy Web
WAF

PAUSE-RÉFLEXION
Avez-vous des questions ?

RÉSUMÉ DU MODULE
Bonnes
pratiques
Cloisonnement
VLANs
Firewall
(pare-feu)
Diode
Proxy
Web/Mails
WAF
Routeur filtrant
Illustration
Architecture
sécurisée

OBJECTIFS
ORIGINE DU BESOIN ET DÉFINITION – TERMINOLOGIE - CONCEPTS DE BASE
SÉCURISATION DES DONNÉES ET PKI (PUBLIC KEY INFRASTRUCTURE)
PROBLÉMATIQUE DE LA DISTRIBUTION DES CLÉS PUBLIQUES -
COMPOSANTES D’UNE PKI
CERTIFICAT ÉLECTRONIQUE & CYCLE DE VIE
RÉSUMÉ DU MODULE
MODULE N°2 : PROTECTION DES
APPLICATIONS, DONNÉES ET CRYPTOLOGIE

OBJECTIFS
Patrimoine informationnel de l’entreprise :
La perte, la divulgation ou l’altération de l’information peuvent constituer un grave
préjudice à l’entreprise en terme de compétitivité, d’image de marque et donc in
fine de pertes financières voire la survie de l’entreprise elle-même.
La mise en œuvre d’une politique de sécurité au niveau de l’information se traduit
par une protection des applications sensibles et de leurs données
« stratégiques ». La mesure de protection des données est principalement une
mesure de chiffrement et de restriction des accès.

NOTIONS DE CRYPTOLOGIE

Origine, problématique et terminologie

ORIGINE DU BESOIN ET DÉFINITION
La cryptographie assure quatre fonctions essentielles :
Confidentialité : Protection de l’information d’une divulgation
non autorisée (messages, fichiers, données brutes, réseau…)
Intégrité : Protection contre la modification non autorisé de
l’information (messages, fichiers, programmes,..)
Authentification : Le destinataire d’un message doit connaître
avec certitude son émetteur (ressources, utilisateurs, accès,
réseau………. )
Non répudiation : Offre la garantie qu’une entité ne pourra pas
nier être impliquée dans une transaction (imputabilité des
transactions)

ORIGINE DU BESOIN ET DÉFINITION
Pour répondre à ces besoins, différentes techniques
de cryptographie
Le chiffrement et le déchiffrement de données par des
techniques (algorithmes) à clé symétrique et asymétrique pour
assurer la confidentialité et l’authentification implicite.
La technique de création de condensés des informations
obtenues par des opérations de hachage pour l’intégrité
La signature des messages échangés afin de permettre
l’authentification de leurs émetteurs et la non répudiation.

ORIGINE ET PROBLÉMATIQUE
Historique
Atbash cipher (500 – 600 B.C.), Scytale spartiate (150 av. J.C.),
Chiffre de César (100 av. J.C.), Enigma (1929)
A été un enjeu de pouvoir
Usage contrôlé réservé à l’état (militaires, services de renseignements,
diplomates)
La cryptographie a été libérée en France en 1999 (choix de protection des
activités commerciales et de la vie privée et reconnaissance que les activités
malveillantes en tiraient déjà parti)

ORIGINE ET PROBLÉMATIQUE
Problématique
Techniques de chiffrement en constante évolution en fonction des
progrès en mathématiques, en logique et en physique.
La cryptographie est un domaine où les standards peuvent tomber
aussi rapidement qu'ils naissent ( contre exemple DES 1970 )
Le chiffrement de nos jours
Le chiffrement des données est « omniprésent »
Sur votre ordinateur, sur Internet, Carte bancaire, Carte Vitale, GSM,
la télévision payante …

TERMINOLOGIE
Cryptographie
Désigne l'ensemble des techniques de chiffrement d'informations
Cryptologie
Science du chiffrement.
La Cryptanalyse / Décryptage
En opposition avec la cryptographie. Regroupe l'ensemble des techniques
visant à décrypter les messages chiffrés sans légitimité.
Déjouer les mécanismes mis en place dans le cadre de la cryptographie
Chiffrement/Déchiffrement
Action de retrouver les informations en clair à partir de données chiffrées
Action légitime en opposition avec le décryptage

TERMINOLOGIE
? ! ?
•L’algorithme de cryptographie est une fonction mathématique qui est associée avec une clé.
•Une clé est un mot, un nombre ou une suite de caractères alphanumériques
•L’utilisation de clés différentes entraine un résultat de chiffrement différent
Message en Clair
Message chiffré
Cryptogramme
Clé de chiffrement Clé de déchiffrement
Message en Clair
Algorithme
de
Chiffrement
Algorithme de
Déchiffrement
Cryptanalyse :
Déchiffrement
illégitime
?!?

TERMINOLOGIE
Application « interactive »
Application dépendante des informations échangées entre le client et le serveur et
en générale ayant une contrainte temporelle (ou de temps de réponse)
Exemple : Application Web (Browsing), Visio Conférence
Application « non interactive »
Application fonctionnant en mode différée (ou de façon asynchrone)
Exemple : envoi de Mails, transfert de fichier (FTP)

Les concepts de base

LES CONCEPTS DE BASE
Information Secret Défense
(Régie par la loi)
Information Confidentielle
(Secret ou discrétion professionnelle)
Information sensible
SURETE SECURITE
COMSEC TRANSEC
Cryptologie Stéganographie
Sécurisation contre
les perturbations
• Pannes
• Dégradation
• Bruit de fond
Sécurisation contre les
malveillances
Sécurisation de la transmission
Les données et la transmission sont
dissimulées
Sécurisation de la communication
on sait que les données sont
chiffrées

Chiffrement symétrique
Principe
Notion de symétrie car on utilise la même clé pour chiffrer et
déchiffrer le message
Notion fondamentale du canal sécurisé pour l'échange de la clé
afin de communiquer en toute sécurité via en environnement à risque
Le chiffrement consiste à appliquer au message un algorithme dont le
paramètre est la clé de chiffrement, appelé aussi chiffrement à clé
secrète (ou encore clé de session).
C’est le moyen le plus répandu, le plus ancien et le plus simple à mettre
en œuvre.

•La même clé (Ks : Clé secrète) permet de chiffrer et déchiffrer
•Les algorithmes à chiffrement symétrique sont fiables et rapides
•Exemple : Algorithme DES, AES, …
•Problème : Avoir un canal sécurisé pour distribuer la clé Ks
Clé Ks pour
chiffrement
Clé Ks pour
déchiffrement

Les algorithmes symétriques
• 2 variantes de chiffrement symétrique
– Chiffrement symétrique par flux (Stream Cipher)
– Chiffrement symétrique par bloc (Block cipher)
• Chiffrement symétrique par flux (Stream Cipher) : RC4 (Rivest Code 4)
– Traitement d’un Byte à un instant donné
– Key stream Ks, Message M, Résultat du chiffrement C
C[i] = Ks[i] Xor M[i] M[i] = Ks[i] Xor C[i]
• Chiffrement symétrique par bloque (Block cipher) : DES, AES, RC2
– Traitement d’un bloque de bytes à un instant donné (8, 16 bytes)
– Matrice de données avec un clé pour sélectionner les colonnes
C[i] = E(K,M[i]) M[i] = D(K,C[i]) (Modèle de base ECB)

Exemples
DES (Data Encryption standard) conçu par IBM/NSA en 1970
IBM a conçu LUCIFER (128 bits), revue par la NSA pour donner le DES (56bits)
En 97, une attaque a été menée en trouvant la clé de chiffrement en moins de 24
heures -> Apparition du 3DES
3DES : Robustesse effective de la clé est de 112 bits et non de 168 bits (3 x 56)
IDEA 128 bits crée par la société Mediacrypt – brevet expiré en 2012
SKIPJACK : conçu par NSA en 1980 et resté secret jusqu’en 1998 – non fiable ou
intégrant une backdoor.
AES (Advanced Encryption standard) – Préconisation actuelle – AES-CBC 128 bits
Adopté par le NIST (National Institute of Standards and Technology)
Tailles de clé : 128, 192, 256, 512 Bits

Avantage
Le chiffrement symétrique permet de chiffrer de grandes quantités de
données avec des performances élevées.
Inconvénients
Partage de la même clé entre l’émetteur et le destinataire du message.
Toute la sécurité repose sur la clé symétrique
La sécurité est fragilisée par le problème de distribution des clés via un «
canal non sécurisé »
La gestion, la garantie de confidentialité et d'intégrité des clés secrètes
engendrent alors des difficultés en termes de ressources et d'organisation :
Un même utilisateur communique avec des groupes différents qui, n'ayant
pas accès aux mêmes types d'information, ne doivent pas partager le
même secret.
Ceci conduit à utiliser un grand nombre de clés :
Nombre de Clés = (n-1)n/2 avec n = nombre d’utilisateurs

Chiffrement Asymétrique (chiffrement à clé publique)
Principe
Il utilise une clé différente en émission et en réception (une partie privée qui est
secrète et une partie publique, dont la confidentialité n'est pas nécessaire).
Ce couple de clés est appelé «bi-clé ». Les deux clés utilisées sont crypto
graphiquement indissociables de telle sorte que tout message chiffré avec l’une
des clés ne peut être déchiffré que par l’autre clé.
Reposent sur le problèmes mathématique de la factorisation en grands nombres
premiers
Il est parfaitement possible de trouver les facteurs premiers d'un nombre à 50
chiffres. Il ne s'agit que d'une question de temps
Valable tant qu’aucune découverte mathématique ne serait faite.

91 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés 91
• Un interlocuteur communique sa clé publique et garde sa clé Privée
• Pour une communication à deux, on a 2 couples de clés (Kpu, Kpr)
• une clé publique permet de chiffrer, Une clé privée sert à déchiffrer
Clé Kpu de
chiffrement
Clé Kpr de
déchiffrement
Clé Kpu de
chiffrement
Clé Kpr de
déchiffrement

Avantages
Confidentialité : Permettre à tous de chiffrer des messages avec la clé publique
d'une personne. Mais seule la clé privée sera en mesure de lire les messages.
Authentification et Non répudiation : en chiffrant un message avec sa clé privée,
une personne prouve la provenance du message puisque seule sa clé privée est
en mesure de générer un message déchiffrable par sa clé publique connue de
tous.
Le chiffrement asymétrique simplifie donc la gestion des clés puisque la clé
publique peut être distribuée à tout le monde.
n « bi-clé » pour n utilisateurs (évolution linéaire)
Au moins trois types de bi-clés pour des besoins de sécurité différents :
bi-clés de signature permettant de garantir l'intégrité et l'authentification l'origine d'un
message
bi-clés de chiffrement utilisés pour chiffrer directement des messages
bi-clés d'échange de clé destinés à protéger un échange de clé de session (elle-même
utilisée pour chiffrer un message)
Inconvénient
Processus lent car nécessite de nombreux calculs
1000 fois plus lent que le chiffrement symétrique

Combinaison des deux chiffrements
Principe
Garder les avantages des 2 systèmes (symétrique et asymétrique)
Consiste à protéger les clés symétriques par un chiffrement asymétrique
Fonctionnement
L’émetteur chiffre son message avec une clé symétrique dite clé de session
Les clés de session sont de 56, 128, 256, 512 bits.
L’émetteur chiffre cette clé de session avec la clé publique du destinataire. Les clés
publiques sont de 1024 bits ou 2048 bits. (ANSSI préconise une taille > 1024 bits)
L’émetteur émet à la fois le message chiffré et la clé de session chiffrée.
Le destinataire déchiffre la clé de session en utilisant sa clé privée.
Le destinataire déchiffre ensuite le message avec cette clé de session.
Logiciel de cryptologie hybride : PGP, GnuPG, ACID Crytofiler

La combinaison des 2 principes Asymétrique et Symétrique résout :
- le problème de performance : le nombre de bits chiffrés avec l’algorithme asymétrique est faible comparé
à la longueur du message chiffré avec l’algorithme symétrique
- Plus besoin d’un canal sécurisé pour l’échange des clés de session (ou clés secrètes)
- Réduit la complexité de la gestion des clés (réduction du nombre globale de clés)
Alice Bob

95 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés 95
Mécanisme : Mixage du chiffrement symétrique et asymétrique en
considérant les avantages de chacun
Clé Kpu
de chiffrement
Clé Kpr
de déchiffrement
Clé Ks pour
chiffrement
Clé Ks pour déchiffrement
Génération d’une clé
secrète (Clé de session
Transissions de Ks
Transissions sécurisé

Algorithmes Asymétriques
RSA (1977) : Ron Rivest, Adi Shamir, Len Adelman
Algorithme à clé publique le plus utilisé.
Repose sur la quasi impossibilité à inverser une fonction puissance et est ainsi
considéré comme sûr quand la clé est suffisamment longue
RC4 et RSA sont presque toujours associés (RC4 pour le chiffrement des
messages, RSA pour le chiffrement des clés AES).
RSA permet l’utilisation de clé de 512, 768, 1024 ou 2048 bits
Préconisation actuelle : RSA avec une clé >= 2048 bits
De gauche à droite : Adi Shamir, Ronald Rivest,
Leonard Adleman

Algorithmes Asymétriques
DH Diffie-Hellman (1976)
Utilisé pour la mise en accord de clé de chiffrement
Utilisé pour l’échange de clé à travers une liaison non sécurisée uniquement
Permet de chiffrer mais pas de signer. Il doit donc être associé à un autre
algorithme DSS (Digital Signature Standard)
Withfield Diffie Martin Hellman

Analogie pour l’explication du secret partagé de « Diffie-Hellman »
Alice et Bernard désirent s’échanger une clé de session.
Ils conviennent entre eux d’utiliser une certaine quantité de bleu pour
communiquer
Chacun ajoute une quantité d’une autre couleur dans son pot.
La quantité et la couleur choisies par chacun ne sont connues de
personne
Alice Bernard

Analogie
Les deux pots de peinture sont alors échangés
Alice Bernard

Analogie
Il n’est pas possible de connaître les couleurs ajoutées
Chacun ajoute à nouveau la même teinte et la même quantité que la
fois précédente
Alice Bernard

Analogie
Alice et Bernard obtiennent la même couleur alors que les quantités
ajoutées de vert et d’orange par chacun n’ont jamais été
communiquées.
Alice Bernard

Calcul d’intégrité d’un message : Hachage
Principe
Utilisé pour contrôler l’intégrité de l’information, en envoyant cette information
accompagnée de son condensé, ce dernier étant éventuellement chiffré.
Ne garantie pas la provenance du message
Fonction appelée également fonction de condensation
Fonctionnement
Permet d'obtenir un « nombre caractéristique » sous forme d’une suite de
caractères de taille fixe correspondant à partir d’un message de taille variable.
Chaque message doit donner qu'un seul résultat appelé un condensé du message
Fonction à sens unique (On Way Function).
Il est impossible de retrouver le message original à partir du condensé. C’est
l'empreinte digitale du message
À un texte est associé un et un seul condensé
Fonction à sens unique : impossibilité de retrouver le texte à partir d’un
condensé

Fonctionnement (suite)
Très faible probabilité pour un condensé de correspondre à deux messages
En pratique, il faut que le condensé ait une taille minimum de 128 bits
Probabilité de collision :
Calcul de la résistance aux collisions : la ½ de la taille du condensé
Condensé de 128 bits -> 264 opérations pour générer une collision
Illustration d’un condensé résultat d’un opération de hachage

Illustration de l’utilisation

Algorithmes de Hashing
MD5 (Message Digest 5) par Ron Rivest 92
Condensé de 128 Bits
Algorithme déconseillé – faiblesses démontrées et prouvées depuis 2008
SHA-1 (Secure Hash Algorithm) - plus supporté en 2016 dans les certificats
Condensé de 160 Bits
Algorithme déconseillé – faiblesses démontrées et prouvées depuis 2010
SHA-256 bits et SHA-512 bits recommandés aujourd’hui pour éviter
les collisions

MD5:
ad88955aae07d7b60c9d0d022cda0a34
SHA -1:
eb17e6600074f371a4b40d72d35e95e0d896ee1d
SHA-256:
7d0e8e1c4b5b6ba516322f603710eba7da73323fbfa4dac3e0ed4291b98737c4
SHA-512:
a9261cc227b3d0ed2129d64841d59b3e82721dcb0a912c54a529c4835f281dfcf
8706a93d2d5a2047a97403701368cabca2b2a76637c634b9c9905b98f6a3c78
WHIRPOOL:
33db4434493fc116d1d1a0c602502e343f05010cdc2a1e3527d80eacd0531e339
6f2fe824883c525332f41abab77bc92c4af8407af5482f5a1b8465fbd6a439f

Signature électronique
Principe
Aspect fondamentale dans l’authentification de l’origine d’une transaction ainsi que
dans sa garantie de « non répudiation ».
Elle s’obtient en associant une opération de hachage et un opération de chiffrement
asymétrique avec la clé privée de l’émetteur
Comme un condensé représente l'empreinte digitale d'un message, il suffit de
chiffrer ce condensé à l'aide d'un algorithme à clés asymétriques.
Si le condensé de l’émetteur ne peut pas être déchiffré à l'aide de sa clé publique, il ne
provient pas de la même personne.
Si le message a été modifié, les condensés après comparaison ne correspondent pas.
Permet d’assurer l’intégrité du message
Permet d’authentifier l’expéditeur
Permet d’assurer la non-répudiation

Clé Kpu
de chiffrement
Clé Kpr
de déchiffrement
Vérification authenticité par
le destinataire
Transissions
Scellement
du message de
l’expéditeur
Sceau
Permet d’assurer l’intégrité du message
Permet d’authentifier l’expéditeur
Permet d’assurer la non-répudiation

COMMENT CHOISIR UNE TAILLE DE CLÉ ?
http://www.keylength.com/fr/5/

SÉCURISATION DES DONNÉES ET
PKI (PUBLIC KEY
INFRASTRUCTURE)

SÉCURISATION DES DONNÉES ET PKI
Problématique de la distribution des clés publiques

PROBLÉMATIQUE DE DE LA DISTRIBUTION DES
CLÉS PUBLIQUES
Les mécanismes décrits précédemment permettent la constitution d’un réseau où
les personnes peuvent communiquer de façon sûr grâce au chiffrement des
messages
Or, comment l’émetteur peut-être sûr que la clé publique qu’il utilise appartient
bien au destinataire ?
Si une personne malintentionnée a pu modifier l’annuaire (contenant l’ensemble
des clés publiques) et mettre sa propre clé publique à la place du destinataire «
Bob », alors cette personne peut déchiffrer les messages à destination de « Bob »
ou envoyer des messages chiffrés et/ou signés en se faisant passé pour lui.
D’où la nécessité d’avoir un composant supplémentaire qui garantisse que la clé
est bien celle du propriétaire annoncé.

PROBLÉMATIQUE DE DE LA DISTRIBUTION DES
CLÉS PUBLIQUES
La PKI ou infrastructure à clés publiques a pour but de résoudre le
problème de la distribution des clés publiques.
La PKI fournit des certificats garantissant le lien entre une identité et un
clé publique.

Définition de l’IETF
L’Infrastructure à clé publique de la PKI (Public Key
Infrastructure) désigne l’ensemble des moyens et
des ressources nécessaires à la gestion du cycle
de vie et à l’exploitation des certificats
Une PKI regroupe ainsi les composants
techniques, les ressources, l’organisation et les
politiques de sécurité permettant l’usage de la
cryptographie à clé publique dans un contexte
défini

Principales fonctions de la PKI :
Enregistrement de demandes et de vérification des critères pour
l’attribution des certificats (Autorité d’enregistrement)
Génération d’une demande de signature de certificat (Autorité
d’enregistrement)
Création de certificats (fabrication des bi-clés) (Autorité de certification)
Certification des certificats entraînant la publication des clés publiques
Renouvellement des certificats (Autorité de certification)
Révocation sur date de péremption, perte, vol ou compromission de clés
(Autorité de certification)
Stockage et archivage des certificats pour assurer la sécurité et la
pérennité (Autorité de dépôt) – Annuaire LDAP en général

Autorité de Certification (Certification Authority : CA)
Principe de fonctionnement
Pour publier une clé publique, il faut effectuer une demande à une autorité de certification (ou
par l’intermédiaire d’une autorité d’enregistrement) qui fournit après vérification de l ’identité du
demandeur un certificat numérique à ce dernier
Ce certificat délivré authentifie la clé publique du demandeur
Dans le certificat se trouve la signature de l’autorité de certification
L’autorité de certification qui effectue cette signature se porte garante de l’exactitude de
l’association entre la clé publique et le nom de son possesseur.
Hiérarchie et organisation
L’autorité de certification ne peut pas vérifier la légitimité de toutes les demandes.
C’est le rôle des autorités d’enregistrement qui vérifient et valident les demandes avant de les
transmettre à l’autorité de certification
Autorité de certification : VeriSign, Certplus, Click&Trust,
ChamberSign, Thawte, Entrust.net, Certinomis

INFRASTRUCTURE PKI
Demande de
certificat
Demande de
certificat
Expiration du
certificat
Expiration du
certificat
AuthentificationAuthentification
Génération du
certificat
Génération du
certificat
Révocation du
certificat
Révocation du
certificat
Suspension du
certificat
Suspension du
certificat
Levée de la
suspension
Levée de la
suspension
Exploitation du
certificat
Exploitation du
certificat
Remise au
demandeur
Remise au
demandeur
RenouvellementRenouvellement

AC : Autorité de certification = Préfecture
AE: Autorité d’enregistrement = Marie
End entity : propriétaire du certificat
Certificat = Carte d’identité

AC racineAC racine
AC
subordonnée
AC
subordonnée
AC
subordonnée
AC
subordonnée
AC
subordonnée
AC
subordonnée
AC
subordonnée
AC
subordonnée
AC
subordonnée
AC
subordonnée
Chaîne de certification
La hiérarchie d’une PKI

Usages d’une PKI :
Navigateur en SSL (https)
Messagerie électronique (S/MIME)
Carte à puce pour ouverture de session ou authentification SSL
Connexion réseau sécurisée (VPN)

CERTIFICAT ÉLECTRONIQUE

Le propriétaire du certificat peut être une être humain ou une machine.
- Exemple de certificat machine : serveur SSL, serveur VPN IPSec …
- Exemple de certificat personne : utilisation de la messagerie S/MIME
Le certificat électronique
Des informations relatives à l’utilisateur : Nom, prénom, département, adresse email…
Sa clef publique
La durée de validité du certificat
Les usages du certificat
Le tout est signé par l’Autorité de Certification de la PKI
Il existe un « typage » des certificats électroniques, par fonction
(keyusage)
Permet de distinguer, schématiquement, les certificats:
d’authentification
de chiffrement
de signature

CERTIFICAT ÉLECTRONIQUE X509
Identité du sujet
Identité de
l’émetteur
Valeur de la clé
publique du
sujet
Durée de validité
Signature
numérique de
l’Autorité de
Certification (AC)
Chemin pour la CRL
Chemin pour la
récupération du
certificat AC
Sujet: Cyril Voisin
Émetteur: Issuing CA
Valide à partir de: 17/01/2014
Valide jusqu’au: 17/01/2017
CDP:URL=http://pronetis.fr/crl/CA.
crl
AIA:URL=http://pronetis.fr/ca.crt
Clé publique du sujet: RSA 1024..
Politique d’application: Client
Authentication, SmartCard Logon...
Numéro de série: 78F862…
……
Signature: F976AD…
La signature numérique garantie l’intégrité des données
(idem pour une CRL)

La classe d’un certificat se caractérise en fonction des points suivants
- Vérification d’identité
- Protection de la clé privée de l’autorité de certification
- Protection de la clé privée du demandeur
Classe 1 : certificat gratuit ou de test. Seule l’adresse e-mail est vérifiée
Classe 2 : les informations concernant le titulaire et son entreprise sont contrôlées par l’autorité
de certification sur la base de pièces justificatives
Classe 3 : par rapport au certificat de classe 2, un contrôle supplémentaire de l’identité du
titulaire est effectué physiquement entre le titulaire et un agent de l’autorité de certification. Le
stockage obligatoire de la clé privée doit se faire sur un support sécurisé (Token USB, carte à
puce)

CERTIFICATS ÉLECTRONIQUES
Certificats dans Internet Explorer
3 grandes catégories
Certificats racines
Certificats intermédiaires
Certificats personnels

Exemple de
certificat serveur

Exemple de certificat serveur

LA CHAÎNE COMPLÈTE
Chiffrement
asymétrique
Clé privée de Bob
( émetteur)
empreinte
empreinte
déchiffrement
asymétrique
ALICE
BOB
Exemple de la signature d’un message
Certificat
de
BobService de
publication
Clé publique de Bob

LA CHAÎNE COMPLÈTE
ALICE
BOB
Exemple du chiffrement d’un message
Clé publique de Bob
(destinataire)
Chiffrement
asymétrique
Clé privée de Bob
(destinataire)
déchiffrement
asymétrique
Certificat
de
Bob
Service de
publication

CYCLE DE VIE DU CERTIFICAT
Création :
Révocation :
- Perte du support de la clé privée
- Compromission de la clé privée
- Changement des informations contenues dans le certificat (changement de ville, de
fonction, etc…)
La révocation est la seule manière de dégager sa responsabilité en cas de signature
frauduleuse.
Suspension
La suspension est une révocation temporaire. Un utilisateur a perdu son certificat mais
qu’il pense pouvoir retrouver.
Renouvellement
A la fin de la période de validité, l’utilisateur peut demander le renouvellement de son
certificat.

RÉSUMÉ DU MODULE
Origine
Besoin
Définition
Terminologie
Composante
d’une PKI
Certificats et
cycle de vie
Concepts de base :
Signature,
Condensé,
symétrique,
asymétrique
PKI &
distribution des
clés

MESSAGERIE SÉCURISÉE S/MIME
VPN - VIRTUAL PRIVATE NETWORK - FAMILLES DE VPN
STANDARDS SSL ET IPSEC - SSL VERSUS IPSEC
PRODUITS DU MARCHÉ
MODULE N°3 : PROTECTION DES
COMMUNICATIONS RÉSEAU

ILLUSTRATION AVEC UN CLIENT DE MESSAGERIE MICROSOFT OUTLOOK 2013
ENVOI ET RÉCEPTION DE MAILS SIGNÉS ET CHIFFRÉS
MESSAGERIE SÉCURISÉE S/MIME

S/MIME
136
La technologie S/MIME
(Secure Mime), créée en
1995, permet d’envoyer et
recevoir des courriers
électroniques signés et/ou
chiffrés.
Elle est implémentée dans la
plupart des agents de
messagerie
(Microsoft Outlook, Lotus
Notes, Thunderbird, MacOS
Mail, etc.).

ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007 :
CONFIGURATION

ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007
138
Envoi d’un mail signé et chiffré

139
Réception d’un mail signé

140
Réception d’un mail signé et chiffré
Le message n’est pas stocké en clair dans le fichier
« .pst ». Il n’est pas affiché automatiquement
dans l’écran de visualisation

141
Réception d’un mail signé et chiffré

VPN (VIRTUAL PRIVATE NETWORK)
VPN CHIFFRÉ ET TECHNIQUES DE
TUNNELING

FAMILLES DE VPN
Virtual Private Network
Liaison sécurisée entre deux réseaux
Les informations sont envoyées à travers un tunnel chiffré
Protocoles largement déployés : IPSec, SSL, SSH
Extension d’un réseau privé à travers un réseau public (ex : Internet) :
Site-to-site VPN : interconnexion de deux réseaux privés de type LAN
(ex : siege et son agence)
Remote access VPN : connexion pour les utilisateurs nomades
Site-to-site VPN

LA CHAÎNE DE LIAISON SÉCURISÉE
Site distant : agence, fournisseur
Transport sécurisé
• IPSec
• SSL
Réseau IP
Protection du poste
de travail
• Authentification
• Sécurisation
• Connexion
Périmètre de défense
• Firewall
• Concentrateur VPN
Accès
• Authentication
• Autorisation
• Détection d’intrusion
MPLS
Internet
RTC/RNIS
DSL/Câble
GPRS/3G
RTC/RNIS
DSL/Câble
GPRS/3G
MPLS
Internet
MPLS
Internet

FAMILLES DE VPN
SSL Extranet
Application-aware
IPSec VPN
CPE-based
Virtual Router
IPSec / MPLS / BGP
Circuit VPN
ATM / FR
Ethernet VPN
Optical / MPLS
Network-based
VPNs
Layer 4-7 Layer 3 Layer 2
Accès distant
aux applications
et
Extranets pour
les partenaires
Liaisons site à
site
et
Accès distant au
réseau
Outsourced Network-to-network
and
SP Managed Employee remote network access
Layer 4-7 Layer 3 Layer 2
Accès distant
aux applications
et
Extranets pour
les partenaires
Liaisons site à
site
et
Accès distant au
réseau
Outsourced Network-to-network
and
SP Managed Employee remote network access

STANDARDS SSLV3 ET IPSEC

LES STANDARDS SSL ET IPSEC
Les standards
SSL (Secure Sockets Layer)
Se situe au-dessus de la couche TCP
Exemple de protocoles utilisant SSL : HTTPS, SFTP, LDAPS
IPSec (IP Security)
Se substitue à la couche 3 de IPV4 en dessous des couches UDP, TCP

LES STANDARDS : SSL
Objectif de SSL
Authentification du serveur, Confidentialité, Intégrité des données et
optionnellement authentification du client
Principe SSL
Utilise une combinaison de chiffrement à clé publique (asymétrique) et à clé
secrète (symétrique).
Une session SSL débute toujours avec un échange de messages appelé «
accord SSL» ou « SSL handshake »
Cet échange a lieu afin de faciliter les actions suivantes :
Authentification du serveur par le client en utilisant des techniques de clés publiques
Sélection des algorithmes de cryptographie supportés par les deux parties
Mise en accord sur une clé de session pour le chiffrement des données
Authentification du client par le serveur (optionnel)
Etablissement d’une connexion SSL chiffrée.

LES STANDARDS : SSL
Utilisation de SSL
SSL est largement utilisé dans les transaction e-business à travers Internet
SSL est une solution intégrée
par les navigateurs principaux du marché :
Mozilla, Netscape Navigator, Microsoft Internet Explorer…
Par les serveurs utilisant SSL :
Websphere (IBM), Entreprise Server (Netscape), Internet Information Server
(Microsoft), JAVA Web Server (Sunsoft)
Open SSL est une version gratuite
www.openssl.org

LES STANDARDS : SSL
1 : c > s : envoi de la requête ClientHello
Contenant la version SSL supportée, liste des méthodes de chiffrement
proposée au serveur ainsi qu’une Valeur aléatoire R1 qui sera
utilisée dans la génération d’une clé de session
2 : s > c : réponse avec 3 messages
- ServerHello : sélection d’une méthode de chiffrement et
d’une valeur aléatoire R2
- Certificate : contenant la clé publique du serveur
- ServerHelloDone : indicateur de fin de la négociation côté serveur
3 : c > s : envoi de 3 réponses
- ClientKeyExchange contient une clé C1 générée aléatoirement et
chiffrée avec clé publique du serveur. La clé de session sera dérivée à
partir des valeurs R1, R2 et de C1.
- ChangeCipherSpec : spécifie que tous les messages envoyés après
seront chiffrés avec la méthode de chiffrement négociée mutuellement
- Finished : contient une valeur de retour validant la fin de la bonne
négociation de la méthode de chiffrement
4 à (n-1) : La connexion est prête à échanger les données applicatives
n : c > s : close_notify indiquant la fin de la communication.

LES STANDARDS : SSL
Remarque : Traces effectuées avec « SSLDump »
Affichage des informations les plus importantes
Version supportée
Les listes des méthodes supportées
1. Algo d’échange de clés
2. Algo d’authentification
3. Algo de chiffrement
4. Algo de signature
Méthodes de compression supportées
Paramètres retenus par le serveur
RSA, DES CBC et SHA-1

LES STANDARDS : SSL
Le pre-master-secret (C1)
Chiffrement effectif des
informations échangées
À partir de la requête N°7 jusqu’à
La fin de la session

LES STANDARDS : SSL
Algorithmes supportés par SSL V3
DES, Triple-DES
MD5
RC2 et RC4
RSA Chiffrement
RSA Echange de clé. Un algorithme d’échange de clé pour SSL basé sur RSA.
DHE : Diffie Hellman Ephemeral
SHA-1, SKIPJACK
KEA. Key Exchange Algorithm, (utilisé pour l’échange de clé par les USA)
Etc…
SSL utilise généralement RSA pour l’échange de clé ainsi que RC4 pour
chiffrer les sessions.
Application de SSL
HTTPS RFC2818 (port 443)
HTTPS utilise le « hostname » comme intégrité de référence conjugué avec le
certificat du serveur.

LES STANDARDS : SSL
Points de contrôles
Est-ce que la version du protocole SSL est vulnérable ?
Quel est le niveau de sécurité du chiffrement proposé par votre serveur SSL ? (type
d’algorithme et taille des clés de chiffrement)
Est-ce que le certificat du serveur est valide ?
L’implémentation du protocole SSL est-il vulnérable aux failles connues (ex : Heartbleed)
TEST : https://www.ssllabs.com/ssltest/
Préconisations :
Protocoles : Utiliser TLS 1.2 (SSL V3, TLS 1.0, TLS 1.1 sont vulnérables)
Algorithmes à retenir : AES-GCM, SHA-2, SHA-512
Algorithmes à proscrire : MD5, 3DES
Algorithmes à éviter : RC4, SHA-1
Tailles de clés à utiliser : AES-128 bits, RSA-2048 bits

LES STANDARDS : IPSEC
Objectifs de IPSec
Confidentialité, Intégrité
Garantir la provenance des données (Authentification d’origine)
Contrôle d’accès (ACLs), Anti-Rejeu
Masquage des topologies réseaux (en utilisant le mode Tunnel)
Caractéristiques IPSec
Substitue de la couche IP v4
Inclus dans la spécification IP v6
Interopérabilité : Méthode standard. IPSec n’impose ni algorithmes de
chiffrement, ni procédures d’authentification particulières
2 Modes d’encapsulation : Mode Transport et Mode Tunnel

VPN LAN To LAN
VPN NOMADE
CONCENTRATEUR VPN

Présentation
Comme SSL, IPSec a un mécanisme de mise en accord sur un secret
partagé et une gestion de clés fournis par IKE, ainsi qu’une protection des
données fournie par AH et ESP.
La SA (Security Association) est le liant technique entre les fonctions IKE
et AH/ESP.
A la différence de SSL, l’échange, la gestion de clés et les fonctions de
protection du trafic sont complètement séparés
« Briques techniques » de IPSec
AH (Authentication Header) RFC2402
ESP(Encapsulating Security Payload) RFC2406
IKE (Internet Key Exchange) RFC2409

AH : Authentification Header
Objectif
Assure l’intégrité et l’authentification des paquets IP
Assure une protection contre le « rejeu » (optionnel)
Fonctionnement
Signe numériquement le paquet sortant (entête et données du corps) grâce à une
fonction de hachage HMAC
Un code MAC (Message Authentication Code) est généré à chaque datagramme
transmis, qui sera contrôlé par le destinataire.
HMAC-MD5 ou HMAC-SHA sont le plus souvent utilisés dans le calcul de la MAC

ESP : Encapsulating Security Payload
Objectif
Assure l’intégrité et la confidentialité des données dans le message
original l’origine du paquet
Assure l’authentification (optionnel)
Assure une protection contre le « rejeu » (optionnel)
Fonctionnement
Combine une fonction de hachage (HMAC-MD5 ou HMAC-SHA-1) et un
chiffrement type Triple-DES, AES…

SA (Security Association)
Contient l’ensemble des paramètres de sécurité pour effectuer une communication
sécurisée.
IKE (Internet Key Exchange)
IKE engendre automatiquement les clés et gère automatiquement leur renouvellement,
tout en utilisant un mécanisme de rafraîchissement de clé
IKE régit l’échange de clés, en s’assurant qu’elles sont délivrées de façon sûre. Cet
échange est basé sur le protocole Diffie-Hellman et s’assure que l’identité des deux
parties est connue.
Soit au travers de mots de passe appelés secrets pré partagés (pre-shared key)
Soit à l’aide de certificats X509 V3.

Les phases IKE
Phase 1 « IKE » : La 1er phase établit un canal sécurisé pour la négociation des
paramètres de sécurité afin d’établir la future communication.
1 : Choix de l’algorithme de chiffrement, la fonction de hachage, la méthode d’authentification,
ainsi que les paramètres de codage propres à Diffie-Hellman
2 : Les deux parties calculent ensuite le secret partagé et les clés de session destinées à
protéger les échanges IKE suivants. (Diffie-Hellman)
3 : Dans un troisième temps a lieu l’identification mutuelle selon le mode d’authentification retenu.
(Soit avec un certificat ou une pre-shared key)
Phase 2 “Quick Mode” : Négociation des SA générales : La 2nd phase construit les SA
nécessaires pour la suite de la communication sécurisée
Définition des SA générales

IPSec supporte deux modes d’encapsulation
Mode Transport
Mode Tunnel

Mode Transport
• Chiffre seulement le corps de chaque
datagramme
• Assure une protection des couches
supérieures
• Entête IP reste intacte
• Pas de changement au niveau du
routage
• Utilisable que par les équipements
terminaux (postes clients, serveurs).

Mode Tunnel
• Chiffre à la fois l’entête IP et le corps
du datagramme
• Encapsule le tout dans un nouveau
paquet avec une « pseudo-entête »
IP de remplacement.
• Permet une protection de l’entête
originale du datagramme
• Cache la topologie (ou les adresses
IP) des équipements terminaux
• Utilisable par les équipements réseau
(routeurs, firewall…).
Exemple : Un tunnel reliant 2 réseaux en adresses 192.168.1.0/24 à un réseau
192.168.2.0/24 à travers Internet, permettra à un utilisateur en 192.168.1.100
d’accéder à une ressource en 192.168.2.200

SSL VERSUS IPSEC

SSL VS IPSEC
Les deux solutions offrent l’authentification, la confidentialité et l’intégrité des
données
IPSec
Opère au niveau 3
pour créer un
tunnel sécurisé
Le paquet IP
original est chiffré
et transporté dans
un autre paquet IP
Nécessite un
client IPSec sur le
poste
Le réseau doit
supporter IPSec
Sécurité forte
SSL
Opère au niveau 4
Les données
applicatives sont
chiffrées dans le
paquet IP
Supporté par la
totalité des
navigateurs
Les applications
doivent supporter
SSL
Sécurité forte

SSL VS IPSEC
SSL Vs IPSec
IPSec fournit des mécanismes de sécurité au niveau réseau (3), donc pour
les protocoles basés sur UDP ou bien TCP.
IPSec peut poser des problèmes pour traverser des équipements
intermédiaires (Proxies, Firewall)
Nécessité d’avoir un client IPSec sur le poste client
IPSec permet de faire passer tous les flux IP contrairement à SSL
Les protocoles applicatifs utilisant SSL fournissent plus de flexibilité et sont
plus faciles à mettre en œuvre.
Indépendance du poste de travail. Notion de client léger (Thin Client)

SSL VS IPSEC
OuiNonDe n’importe quel poste (web kiosk etc.)
OuiNonQuel que soit le réseau (FW, NAT,…)
OuiNonPas de logiciel client
OuiNonContrôle d’accès par application
NonOuiLe PC distant fonctionne comme au bureau
NonOuiSupporte toutes les applications IP
NonOuiLiaison site à site
NonOuiTéléphonie IP
SSL VPNIPSec VPNAPPLICATIONS
OuiNonDe n’importe quel poste (web kiosk etc.)
OuiNonQuel que soit le réseau (FW, NAT,…)
OuiNonPas de logiciel client
OuiNonContrôle d’accès par application
NonOuiLe PC distant fonctionne comme au bureau
NonOuiSupporte toutes les applications IP
NonOuiLiaison site à site
NonOuiTéléphonie IP
SSL VPNIPSec VPNAPPLICATIONS
168
*Le mieux est d’utiliser des technologies d’environnement déporté (CITRIX, TSE) pour les PC
devant fonctionner comme au bureau

SSL VS IPSEC : APPLIANCE SSL
169
Barracuda SSL-VPN 280 : 3 k€ HT Invest. - 1 k€ HT Maintenance (AV/MAJ.SOFT/HARD)

SSL VS IPSEC : APPLIANCE SSL
170
Mode de fonctionnement - Synoptique

VPN
Architecture VPN
Positionnement du VPN
Le décodage des flux IPsec/SSL doit se faire avant ou après l’application des
règles de firewall ?
Avant: La passerelle de sécurité devient un élément sensible aux attaques directes.
Après: Comment le firewall peut connaître certaines infos, comme le port du destinataire ou
le type du datagramme ?
IPSec et la translation d’adresse IP
La mise en œuvre du NAT par des éléments intermédiaires (Firewall, routeur) sur
un flux Ipsec pose des difficultés
Solution : draft IPsec-NAT-traversal implémenté par certains éditeurs

VPN SSL
DMZ Entreprise
SSL VPN
Réseau Interne
• Web Applications, Web mail
• Client/Server
• Emulation client HTML (FTP, partage de
fichiers voisinage réseau)
• Emulation du client via applet Java ou
ActivX (SSH, Telnet, TSE, VNC,TSE/RDP,
CITRIX)
• Tunneling HTTPS (toute application IP, TCP
ou UDP)
Authentification
LDAP/RADIUS/NTLM
• Annuaire externe LDAP, NT, Radius,
• Windows Active Directory
• Certificats électroniques X509 (sur carte à puce, clé USB)
• OTP (Calculatrice token, usb)
Firewall

PRODUITS DU MARCHÉ

PRODUITS DU MARCHÉ
Les principaux acteurs du marché VPN SSL/IPSec
Netscreen
Juniper
Cisco
Checkpoint
CITRIX
Nortel
Avantail
F5 Networks
Thales
Baracuda Networks
Zyxel, SonicWall (TPE, PME)

PAUSE-RÉFLEXION

RÉSUMÉ DU MODULE
Famille de
VPN
VPN SSL
Messagerie
sécurisée
S/MIME
SSL Versus
IPSec
VPN IPSEC
Illustration
Architecture
VPN

OBJECTIFS
GESTION DES ACCÈS AUX RESSOURCES – DIFFÉRENTS TYPES DE CONTRÔLE
D’ACCÈS
MODES D’AUTHENTIFICATION - LES DIFFÉRENTS TYPES D’AUTHENTIFICATION
AUTHENTIFICATION NON-REJOUABLE OTP - ILLUSTRATION OTP GEMALTO–
ARCHITECTURE
AUTHENTIFICATION RÉSEAU - 802.1X
QUARANTAINE RÉSEAU - TECHNOLOGIE DAC ET NAC
AUTHENTIFICATION SSO - EXEMPLE - SOLUTIONS SSO DU MARCHÉ
RÉSUMÉ DU MODULE
AUTHENTIFICATION UTILISATEURS – RÉSEAUX
- APPLICATIONS

OBJECTIFS

OBJECTIFS
L'objectif principal de l’authentification est d’authentifier les
utilisateurs ou les équipements de manière fiable.
Le mécanisme d’authentification est en général associé à la gestion des
autorisations.
La gestion des autorisations détermine quels sont les droits d’accès de chacun
Dans ce chapitre, nous ne traitons pas de la gestion des autorisations.

CONTRÔLE D’ACCÈS
Le contrôle d’accès recouvre :
L’identification : l’entité indique qui elle est (= son identité, ex : je suis Cyril)
L’authentification : vérification / validation de l’identité d’une entité (ex :
l’utilisateur est bien Cyril)
L’autorisation : vérification / validation qu’une entité a la permission d’accéder à
une ressource (ex : Cyril a la permission d’accéder à cette ressource)
« Qui peut accéder à quoi ? », autrement dit : quels utilisateurs (ou quelles
catégories d’utilisateurs) peuvent accéder à quelles informations (ou quelles catégories d’information) ?
« Qui peut décider de qui peut accéder à quoi ? »,
autrement dit : quels interlocuteurs particuliers peuvent prendre la responsabilité de décider si telle catégorie
d’utilisateurs peut être autorisée à accéder à telle catégorie d’informations ?

DIFFÉRENTS TYPES DE CONTRÔLES D’ACCÈS
Un modèle de contrôle d’accès décrit la façon dont une entité (ou
sujet) peut accéder à une ressource (ou objet)
Discretionary Access Control (DAC)
Le contrôle d’accès est à la discrétion du propriétaire de la ressource
Par défaut, le propriétaire est le créateur de l’objet
La propriété peut être transférée ou attribuée différemment
Mis en œuvre sous forme de permissions (ACL)
Le système compare le jeton de sécurité de l’utilisateur (permissions et droits)
avec l’ACL de la ressource

Mandatory Access Control (MAC)
Basé sur un système de labels (plus strict car l’OS prend la décision finale qui
peut être contraire au souhait du propriétaire)
Les utilisateurs se voient attribuer un niveau d’accréditation (ex: secret,
confidentiel)
Les données sont classées selon les mêmes niveaux (et cette classification
accompagne les données)
En complément des niveaux d’accréditation des catégories peuvent être
mentionnées pour respecter le principe du besoin de savoir (ce n’est pas parce
que j’ai l’accréditation Confidentiel que je dois avoir accès à tous les projets
confidentiels)
Le système compare le niveau d’accréditation et les catégories de l’utilisateur
avec le label de sécurité

Role Based Access Control (RBAC)
Aussi appelé nondiscretionary access control
Utilise un référentiel centralisé
Différence entre rôle et groupe :
Quand on appartient à un groupe, on a les droits du groupe plus les siens
Les rôles permettent un contrôle resserré : quand on a les droits d’un rôle, on n’a rien de plus
Pratique quand il y a de nombreux mouvements dans l’entreprise

LA LOGIQUE GÉNÉRALE DE GESTION DES ACCÈS
184
Arrivée d’une personne
Ressources
humaines
Système
d’information
Services
généraux
Téléphonie
Création du dossier RH
Comptes informatiques
1. Création automatique
2. Création manuelle par
l’informatique

PRÉSENTATION : LA GESTION DES PROCESSUS
185
Nouvel
utilisateur
Demandes d’accès en ligne
Création de la fiche personne par le service RH
Approbation et validation
par le responsable
Création des
comptes
informatiques
Les utilisateurs disposent de
leurs comptes et de leurs
ressources de travail
(ordinateur, badges, etc)
Approbation et validation par un
second acteur (si nécessaire)

MODES D’AUTHENTIFICATION

LES DIFFÉRENTS TYPES D’AUTHENTIFICATION
Il existe différentes classes d’authentification :
Je connais
Je possède
Je suis

« Ce que je connais »
Mode classique le plus répandu et le plus simple (login/pwd)
Principe
Secret correspondant à une donnée de l’utilisateur
Le serveur et l’utilisateur doivent connaître le secret tous les deux
Avantages
Simple et économique
Inconvénients
Protéger la transmission du mot de passe au serveur
Facile à découvrir par des attaques à base de dictionnaires ou par
force brute
Facilement communicable à une tierce partie
Facilement volable (regard indiscret sur le clavier)
Facilement oubliable

« Ce que je possède »
Principe
Intervention d’un objet physique :
Carte à puce, Clé USB, Calculette, Carte magnétique
On parle d’authentification à deux facteurs (le support + le secret)
Avantages
Utilisation de mot de passe plus long car il est stocké sur le support
Inconvénient
Pertes ou vols des supports : révocation, délai de remplacement
Cout d'acquisition et de gestion des supports

« Ce que je suis »
Principe
Domaine de la biométrie
Mesure des caractéristiques physiques d’un individu
Contrôles physiques et comportementales reconnus à ce jour
Empreintes digitales ,reconnaissance de la main, l’iris, reconnaissance faciale,
La dynamique de frappe au clavier, la reconnaissance vocale, dynamique du tracé des
signatures
Avantages
Difficilement volable
Difficilement oubliable
Inconvénients
Coût de la mise en œuvre
Problème du faux rejet et de la fausse acceptation
Détermination des seuils d’acceptation
Problème légaux
Les prises de positions de la CNIL et de ses homologues

AUTHENTIFICATION PERSONNELLE

CHOIX DU MOT DE PASSE
http://www.undernews.fr/nos-services/tester-la-force-de-votre-mot-de-passe
https://pwdtest.bee-secure.lu/
https://www.microsoft.com/en-gb/security/pc-security/password-checker.aspx

AUTHENTIFICATION PERSONNELLE
Authentification personnelle : nom d'utilisateur, numéro ID
L'authentification personnelle repose généralement sur le « Login » et
« password »
Login est représenté par un adresse email, un matricule, nom
L'authentification de l'utilisateur ne repose plus que sur la sécurité du mot de passe
Les entreprises mettent en place des règles imposant :
Longueur minimale : 10 caractères
La complexité des mots de passe à utiliser : alphanum. , Min-Maj, carac. spéciaux
Un renouvellement : expiration de mot de passe tous les 30 jours
Un blocage temporaire des comptes utilisateurs en cas d’échecs répétés
d’authentification ou d’inactivité du compte : 5 échecs – 15 minutes
Historique des mots de passe précédents : 6 mots de passe mémorisés

AUTHENTIFICATION NON-REJOUABLE OTP
(OTP : ONE TIME PASSWORD)

OTP : ONE TIME PASSWORD
Objectif de l’OTP
Authentification à 2 facteurs - « ce que je sais et ce que je
possède ».
« One Time Password » – OTP – mot de passe non rejouable
Utile pour les usages suivants
Ressources internes sensibles devant être partagées avec le
monde extérieur
Nomadisme et télétravail
Télémaintenance par des sociétés externes (infogérance)

L’OTP généré est toujours différent et donc non rejouable
Basé sur le temps
OTP généré est calculé à partir de l’heure courante. L’unité de temps pour calculer l’OTP doit
être suffisamment longue pour minimiser les problèmes de synchronisation entre l’objet
utilisé pour générer un OTP et le serveur.
Basé sur un compteur
Ce compteur, utilisé en entrée de l’algorithme cryptographique, est incrémenté chaque fois
qu’un mot de passe est généré, ce qui aboutit à un OTP différent à chaque fois.
Basé sur le temps et un compteur
Mélange des deux techniques précédentes.

Authentification de l’individu :
Permettre une identification formelle de l’individu
Lier l’identité physique à l’identité logique
Principe basé sur 2 facteurs indépendants
L’utilisateur dispose d’un code identifiant (code pin)
L’utilisateur possédera un support physique le Token
Les produits commercialisés : Active Card, Aladdin, RSA SecurID,
S/Key, OPIE (One-time Passwords In Everything), Gemalto

PAUSE-RÉFLEXION

RÉSUMÉ DU MODULE
Modes
d’authentification
Authentification
Autorisation
Modèles
d’autorisation
DAC/MAC/RBAC
Authentification
OTP

Sécurite operationnelle des Systèmes d'Information Volet-2

Sécurite operationnelle des Systèmes d'Information Volet-2

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Sécurite operationnelle des Systèmes d'Information Volet-2

Similaire à Sécurite operationnelle des Systèmes d'Information Volet-2 (20)

Plus de PRONETIS

Plus de PRONETIS (17)

Dernier

Dernier (18)

Sécurite operationnelle des Systèmes d'Information Volet-2