SlideShare une entreprise Scribd logo
1  sur  55
PRINCIPES DE SÉCURITÉ
Authentification
Alice est sûre de parler avec Bob et pas Mallory
Confidentialité
La conversation privée d’Alice et Bob n’est pas lue par
Facebook
Intégrité
Les messages reçus par Alice sont bien ceux écrits
par Bob
Disponibilité
Alice doit toujours pouvoir joindre Bob
Non-répudiation
Bob ne peut pas dire « Mais non, j’ai jamais écrit ça
! »
SÉCURITÉ.
JE PASSE EN PREMIER
Serge Karamazov
PRINCIPES DE SÉCURITÉ
Alice Bob
Mallory
Man in the middle
01
• Introduction & Bref historique
• Principe de Kerckhoffs
• Chiffre de César
• Chiffre de Vigenère
• Chiffre de Vernam
ALICE ET BOB VOYAGENT
DANS LE TEMPS
INTRODUCTION
Ils sont nés en 1978 mais on peut également les
situer à l’Antiquité ou lorsqu’on évoque la 2nde
guerre mondiale
Ils ont utilisé ICQ, MSN, Caramail, AOL, BlackBerry
Aujourd’hui : WhatsApp, Facebook Messenger,
Snapchat…
Ils se sentent plus en sécurité sur Telegram, Olvid,
Wire, Skred
Ils ont migré sur Signal avant tout le monde
Dans le futur ils utilisent la cryptographie
quantique et post-quantique
Principalement militaire
400 av JC - Grèce antique
Guerre du Péloponnèse
50 av JC - Empire Romain
Guerre des Gaules
IXe - Philosophe / mathématiciens Arabes
Début cryptanalyse
XVe – Occident
Cryptanalyste au sein des cours européennes
XIXe et XXe – Conflits en Europe
Sécurité des communication télégraphiques et radio
BREF HISTORIQUE
Scytale grecque
Enigma
PRINCIPE DE KERCKHOFFS
1883 – Auguste Kerkhoffs – Cryptologue
militaire néerlandais
« La sécurité d’un système ne doit reposer que sur la
clé »
Tous les autres paramètres doivent être supposés
connus
Maxime de Shannon
« L’adversaire connait le système »
LA SÉCURITÉ NE REPOSE PAS SUR LE
SECRET DE L’IMPLÉMENTATION MAIS
SUR LA ROBUSTESSE DES ALGOS DE
CHIFFREMENT.
CHIFFRE DE CÉSAR
Décalage alphabétique /
ROT13
JE SAIS CHIFFRER PAR DECALAGE
MH VDLV FKLIIUHU SDU GHFDODJH
Attaque par force brute
Rapide : clé 25 possibilités
Analyse fréquentielle
CHIFFRE DE CÉSAR
CHIFFRE DE VIGENÈRE (XVIE)
Intérêt
2 caractères identiques ne donnent pas forcément la
même lettre chiffrée
message : Je sais chiffrer avec Vigenere!
clé déroulée : ba teau bateauba teau bateauba
-------------------------------
résultat : Ke leim dhbjflfr tzew Wizinyse!
La clé est un mot
CHIFFRE DE VIGENÈRE (XVIE)
Attaque par analyse fréquentielle impossible
Recherche de séquences
Analyse fréquentielle de chaque séquence
Indice de coïncidence
CHIFFRE DE VERNAM
(DIT « MASQUE JETABLE »)
Théoriquement incassable
Utilisé pour la « hotline Moscow-Washington »
La clé est de la même
taille que le message
CHIFFRE DE VERNAM (DIT « MASQUE JETABLE »)
Incassable
N’importe quel texte peut être obtenu à partir du message chiffré
Il existe une clé pour n’importe quel texte
Difficilement utilisable en pratique
Clé trop longue
CeNestPasMonMessageSecretAh
BVKDGNSKPDPAYCCPPSSIJCZGBVX
PHXRCVAKJZLIFJLLXAOGSYGGUVQ
CeNestPasCeluiLaNonPlusAhah
RLKVUOPKBLZVRNDDXGSYWAXKNVX
PHXRCVAKJZLIFJLLXAOGSYGGUVQ
MonMessageEstTresSecretAhah
DTKFYDIKDVHQMQUHFIKEBUNGNVJ
PHXRCVAKJZLIFJLLXAOGSYGGUVQ
TERMINOLOGIE
02
• Hashage
• Somme de contrôle
• Fonction de hashage
• Chiffrement symétrique
BOB EN A MARRE DE SE
FAIRE SPOILER PAR ALICE
Fonction dite « à sens
unique »
Très rapide
Impossible de retrouver le
message original
Empreinte numérique
Permet de faire des
comparaisons
Vérification intégrité
Checksum
Stockage mot de passe
HASHAGE Intégrité
Formule de Luhn (collisions
importantes)
Numéro de sécurité sociale
Numéros de carte bancaire
SIRET
SOMME DE CONTRÔLE Intégrité
Une fonction de hashage
parfaite ne comporte aucune
collision
Impossible si le texte original
est plus grand que la taille du
hash
Exemples :
md5
SHA-1 / SHA-2
Bcrypt
Argon2
FONCTION DE HASHAGE
SÉCURISÉE CRYPTOLOGIQUEMENT
FONCTION DE HASHAGE
UTILISATION ET LIMITES
FONCTION DE HASHAGE
SEL ET POIVRE
Contrer l’attaque par dictionnaire / Rainbow tables
Sel : chaine aléatoire par utilisateur
Poivre : Chaine aléatoire commune
Itérations
Risque
Déni de service
Time based user enumeration
md5(md5($pass).md5($salt)) ou md5($salt.$pass.$salt)
Calculer le hash même si l’utilisateur n’existe pas
Partage d’une clé secrète
La clé secrète permet de
chiffrer et déchiffrer
Perfs ++
CHIFFREMENT SYMÉTRIQUE Confidentialité
AES (2^128 clés)
Très utilisé
Chiffrement disques et fichiers (BitLocker)
Gestionnaire de mot de passe
Messagerie (WhatsApp, Signal…)
Blowfish
DES (2^56 clés)
Obsolète
Triple DES
Trop lent
Enigma (Turing)
CHIFFREMENT SYMÉTRIQUE
USAGE
Physiquement
Réglages Enigma
Valise diplomatique
CHIFFREMENT SYMÉTRIQUE
ECHANGES DES CLÉS
03
• Echange de clés - Diffie-Helman
ALICE ET BOB ENTRETIENNENT
UNE RELATION À DISTANCE
ECHANGE DE CLÉS - DIFFIE-HELMAN
ECHANGE DE CLÉS - DIFFIE-HELMAN
ECHANGE DE CLÉS - DIFFIE-HELMAN
04
• Alice et Bob arrivent avec RSA
• Chiffrement asymétrique
ALICE ET BOB ONT 3 PAPAS
ALICE ET BOB ARRIVENT AVEC RSA
RON RIVEST, ADI SHAMIR, LEONARD ADLEMAN
1978 – Publication des recherches
1976 – Diffie / Hellman publient des résultats
théoriques
1970 – Découverte en secret par le GCHQ
(Government Communications Headquarters)
CLÉ PUBLIQUE / CLÉ PRIVÉE
Chacun garde sa clé secrète
Partage d’une clé publique
personnelle
Perfs - -
CHIFFREMENT ASYMÉTRIQUE Confidentialité
CHIFFREMENT ASYMÉTRIQUE
Chiffrement
Seul Bob peut déchiffrer le message chiffré avec sa clé publique
Confidentialité
Hello ! Jx(q%2A Hello !
Bob Bob
Bob
CHIFFREMENT ASYMÉTRIQUE
Signature
Seul Alice peut avoir écrit un message chiffré avec sa clé privée
Confidentialité
Intégrité
Hello ! Jx(q%2A Hello !
Alice Alice
Alice
05
• Client - Serveur
Application avec TLS/SSL
BOB IS A BOT
CLIENT - SERVEUR
APPLICATION AVEC TLS/SSL
Bot génère un couple clé privé / clé publique
Bot
CLIENT - SERVEUR
APPLICATION AVEC TLS/SSL
Bot génère un CSR (Certificate Signature Request)
Bot
CLIENT - SERVEUR
APPLICATION AVEC TLS/SSL
Bot génère un couple clé privé / clé publique
Bot
CLIENT - SERVEUR
APPLICATION AVEC TLS/SSL
Alice récupère le certificat et la clé publique du serveur
Bot
Alice
https://bob.fr
CLIENT - SERVEUR
APPLICATION AVEC TLS/SSL
Alice vérifie l’authenticité du certificat via la liste d’Autorités du navigateur
Alice
CLIENT - SERVEUR
APPLICATION AVEC TLS/SSL
Alice génère une clé de chiffrement symétrique
Elle chiffre cette clé à l’aide de la clé publique de Bot
Alice Bot
CLIENT - SERVEUR
APPLICATION AVEC TLS/SSL
Alice et Bot partagent un canal sécurisé par un chiffrement symétrique
Alice Bot
06
• Top 10 – OWASP
• Choix des composants tiers
• Choix des algos de chiffrement /
hashage
ALICE ET BOB SONT DES
BONS DÉVELOPPEURS
TOP 10 - OWASP
CHOIX DES COMPOSANTS TIERS
Vulnérabilités connues dans les dépendances
Outils automatisés
Détecter
Mettre à jour
CHOIX DES ALGOS DE CHIFFREMENT / HASHAGE
CHOIX DES ALGOS DE CHIFFREMENT / HASHAGE
THÉORIE / PRATIQUE
Dans son édition du 6 septembre 2013, le journal The Guardian(1) affirmait que la NSA(2) était
capable de déchiffrer la plupart des données chiffrées circulant sur Internet. De nombreuses
sources ont cependant indiqué que la NSA n'avait pas mathématiquement cassé les
chiffrements mais s'appuierait sur des faiblesses d'implémentation des protocoles de
sécurité.
(1) https://fr.wikipedia.org/wiki/The_Guardian
(2) https://fr.wikipedia.org/wiki/NSA
07
• Injection SQL
• Cas concret
ALICE ET BOB NE SAVENT JAMAIS
SUR QUOI ILS VONT TOMBER
TOP 10 – OWASP
INJECTION SQL
Input non vérifiée :
TOP 10 – OWASP
INJECTION SQL
CAS CONCRET
VÉRIFICATION DES ENTRÉES
CAS CONCRET
VÉRIFICATION DES ENTRÉES
CAS CONCRET
VÉRIFICATION DES ENTRÉES
08
• Problème de l’échange de clés
• Se prémunir de la menace d’un
calculateur quantique
CRYPTOGRAPHIE QUANTIQUE
CRYPTOGRAPHIE QUANTIQUE
PROBLÈME DE L’ÉCHANGE DE CLÉS
Distribution quantique de clés
Ensemble de protocoles permettant de distribuer une clé de chiffrement en assurant la
sécurité de la transmission grâce aux lois de la physique quantique
Garantie que l’espionnage sera toujours détecté
Utilisation d’un algorithme de chiffrement symétrique classique
BB84 - Protocole développé en 1984
E91 – Protocole développé en 1991
Mis en pratique en 2004 – Transaction financière
2007 – Transmission des résultats des élections nationale à Genève
CRYPTOGRAPHIE POST-QUANTIQUE
SE PRÉMUNIR DE LA MENACE D’UN CALCULATEUR QUANTIQUE
Pas de menace concrète actuelle
Grande inconnue
Les algorithme classique sont extrêmement vulnérables
Cassés très facilement
Complexité réduite
Straight to
the point
www.spikeelabs.fr

Contenu connexe

Plus de SpikeeLabs

Plus de SpikeeLabs (8)

Industrialisation du processus de livraison et pratiques DevOps avec Kubernet...
Industrialisation du processus de livraison et pratiques DevOps avec Kubernet...Industrialisation du processus de livraison et pratiques DevOps avec Kubernet...
Industrialisation du processus de livraison et pratiques DevOps avec Kubernet...
 
BreizhCamp 2022
BreizhCamp 2022BreizhCamp 2022
BreizhCamp 2022
 
Méthodologie de tests et qualité
Méthodologie de tests et qualitéMéthodologie de tests et qualité
Méthodologie de tests et qualité
 
Salesforce : les pouvoirs d’un empire
Salesforce : les pouvoirs d’un empireSalesforce : les pouvoirs d’un empire
Salesforce : les pouvoirs d’un empire
 
Windows ou Linux : il faut choisir... ou pas !
Windows ou Linux : il faut choisir... ou pas !Windows ou Linux : il faut choisir... ou pas !
Windows ou Linux : il faut choisir... ou pas !
 
Kit de survie en Production
Kit de survie en ProductionKit de survie en Production
Kit de survie en Production
 
Déploiement Kubernetes
Déploiement KubernetesDéploiement Kubernetes
Déploiement Kubernetes
 
Le design d'API avec Mulesoft
Le design d'API avec MulesoftLe design d'API avec Mulesoft
Le design d'API avec Mulesoft
 

9 choses que vous ignorez sur Alice et Bob

  • 1.
  • 2. PRINCIPES DE SÉCURITÉ Authentification Alice est sûre de parler avec Bob et pas Mallory Confidentialité La conversation privée d’Alice et Bob n’est pas lue par Facebook Intégrité Les messages reçus par Alice sont bien ceux écrits par Bob Disponibilité Alice doit toujours pouvoir joindre Bob Non-répudiation Bob ne peut pas dire « Mais non, j’ai jamais écrit ça ! » SÉCURITÉ. JE PASSE EN PREMIER Serge Karamazov
  • 3. PRINCIPES DE SÉCURITÉ Alice Bob Mallory Man in the middle
  • 4. 01 • Introduction & Bref historique • Principe de Kerckhoffs • Chiffre de César • Chiffre de Vigenère • Chiffre de Vernam ALICE ET BOB VOYAGENT DANS LE TEMPS
  • 5. INTRODUCTION Ils sont nés en 1978 mais on peut également les situer à l’Antiquité ou lorsqu’on évoque la 2nde guerre mondiale Ils ont utilisé ICQ, MSN, Caramail, AOL, BlackBerry Aujourd’hui : WhatsApp, Facebook Messenger, Snapchat… Ils se sentent plus en sécurité sur Telegram, Olvid, Wire, Skred Ils ont migré sur Signal avant tout le monde Dans le futur ils utilisent la cryptographie quantique et post-quantique
  • 6. Principalement militaire 400 av JC - Grèce antique Guerre du Péloponnèse 50 av JC - Empire Romain Guerre des Gaules IXe - Philosophe / mathématiciens Arabes Début cryptanalyse XVe – Occident Cryptanalyste au sein des cours européennes XIXe et XXe – Conflits en Europe Sécurité des communication télégraphiques et radio BREF HISTORIQUE Scytale grecque Enigma
  • 7. PRINCIPE DE KERCKHOFFS 1883 – Auguste Kerkhoffs – Cryptologue militaire néerlandais « La sécurité d’un système ne doit reposer que sur la clé » Tous les autres paramètres doivent être supposés connus Maxime de Shannon « L’adversaire connait le système » LA SÉCURITÉ NE REPOSE PAS SUR LE SECRET DE L’IMPLÉMENTATION MAIS SUR LA ROBUSTESSE DES ALGOS DE CHIFFREMENT.
  • 8. CHIFFRE DE CÉSAR Décalage alphabétique / ROT13 JE SAIS CHIFFRER PAR DECALAGE MH VDLV FKLIIUHU SDU GHFDODJH
  • 9. Attaque par force brute Rapide : clé 25 possibilités Analyse fréquentielle CHIFFRE DE CÉSAR
  • 10. CHIFFRE DE VIGENÈRE (XVIE) Intérêt 2 caractères identiques ne donnent pas forcément la même lettre chiffrée message : Je sais chiffrer avec Vigenere! clé déroulée : ba teau bateauba teau bateauba ------------------------------- résultat : Ke leim dhbjflfr tzew Wizinyse! La clé est un mot
  • 11. CHIFFRE DE VIGENÈRE (XVIE) Attaque par analyse fréquentielle impossible Recherche de séquences Analyse fréquentielle de chaque séquence Indice de coïncidence
  • 12. CHIFFRE DE VERNAM (DIT « MASQUE JETABLE ») Théoriquement incassable Utilisé pour la « hotline Moscow-Washington » La clé est de la même taille que le message
  • 13. CHIFFRE DE VERNAM (DIT « MASQUE JETABLE ») Incassable N’importe quel texte peut être obtenu à partir du message chiffré Il existe une clé pour n’importe quel texte Difficilement utilisable en pratique Clé trop longue CeNestPasMonMessageSecretAh BVKDGNSKPDPAYCCPPSSIJCZGBVX PHXRCVAKJZLIFJLLXAOGSYGGUVQ CeNestPasCeluiLaNonPlusAhah RLKVUOPKBLZVRNDDXGSYWAXKNVX PHXRCVAKJZLIFJLLXAOGSYGGUVQ MonMessageEstTresSecretAhah DTKFYDIKDVHQMQUHFIKEBUNGNVJ PHXRCVAKJZLIFJLLXAOGSYGGUVQ
  • 15. 02 • Hashage • Somme de contrôle • Fonction de hashage • Chiffrement symétrique BOB EN A MARRE DE SE FAIRE SPOILER PAR ALICE
  • 16. Fonction dite « à sens unique » Très rapide Impossible de retrouver le message original Empreinte numérique Permet de faire des comparaisons Vérification intégrité Checksum Stockage mot de passe HASHAGE Intégrité
  • 17. Formule de Luhn (collisions importantes) Numéro de sécurité sociale Numéros de carte bancaire SIRET SOMME DE CONTRÔLE Intégrité
  • 18. Une fonction de hashage parfaite ne comporte aucune collision Impossible si le texte original est plus grand que la taille du hash Exemples : md5 SHA-1 / SHA-2 Bcrypt Argon2 FONCTION DE HASHAGE SÉCURISÉE CRYPTOLOGIQUEMENT
  • 20. FONCTION DE HASHAGE SEL ET POIVRE Contrer l’attaque par dictionnaire / Rainbow tables Sel : chaine aléatoire par utilisateur Poivre : Chaine aléatoire commune Itérations Risque Déni de service Time based user enumeration md5(md5($pass).md5($salt)) ou md5($salt.$pass.$salt) Calculer le hash même si l’utilisateur n’existe pas
  • 21. Partage d’une clé secrète La clé secrète permet de chiffrer et déchiffrer Perfs ++ CHIFFREMENT SYMÉTRIQUE Confidentialité
  • 22. AES (2^128 clés) Très utilisé Chiffrement disques et fichiers (BitLocker) Gestionnaire de mot de passe Messagerie (WhatsApp, Signal…) Blowfish DES (2^56 clés) Obsolète Triple DES Trop lent Enigma (Turing) CHIFFREMENT SYMÉTRIQUE USAGE
  • 24. 03 • Echange de clés - Diffie-Helman ALICE ET BOB ENTRETIENNENT UNE RELATION À DISTANCE
  • 25. ECHANGE DE CLÉS - DIFFIE-HELMAN
  • 26. ECHANGE DE CLÉS - DIFFIE-HELMAN
  • 27. ECHANGE DE CLÉS - DIFFIE-HELMAN
  • 28. 04 • Alice et Bob arrivent avec RSA • Chiffrement asymétrique ALICE ET BOB ONT 3 PAPAS
  • 29. ALICE ET BOB ARRIVENT AVEC RSA RON RIVEST, ADI SHAMIR, LEONARD ADLEMAN 1978 – Publication des recherches 1976 – Diffie / Hellman publient des résultats théoriques 1970 – Découverte en secret par le GCHQ (Government Communications Headquarters) CLÉ PUBLIQUE / CLÉ PRIVÉE
  • 30. Chacun garde sa clé secrète Partage d’une clé publique personnelle Perfs - - CHIFFREMENT ASYMÉTRIQUE Confidentialité
  • 31. CHIFFREMENT ASYMÉTRIQUE Chiffrement Seul Bob peut déchiffrer le message chiffré avec sa clé publique Confidentialité Hello ! Jx(q%2A Hello ! Bob Bob Bob
  • 32. CHIFFREMENT ASYMÉTRIQUE Signature Seul Alice peut avoir écrit un message chiffré avec sa clé privée Confidentialité Intégrité Hello ! Jx(q%2A Hello ! Alice Alice Alice
  • 33. 05 • Client - Serveur Application avec TLS/SSL BOB IS A BOT
  • 34. CLIENT - SERVEUR APPLICATION AVEC TLS/SSL Bot génère un couple clé privé / clé publique Bot
  • 35. CLIENT - SERVEUR APPLICATION AVEC TLS/SSL Bot génère un CSR (Certificate Signature Request) Bot
  • 36. CLIENT - SERVEUR APPLICATION AVEC TLS/SSL Bot génère un couple clé privé / clé publique Bot
  • 37. CLIENT - SERVEUR APPLICATION AVEC TLS/SSL Alice récupère le certificat et la clé publique du serveur Bot Alice https://bob.fr
  • 38. CLIENT - SERVEUR APPLICATION AVEC TLS/SSL Alice vérifie l’authenticité du certificat via la liste d’Autorités du navigateur Alice
  • 39. CLIENT - SERVEUR APPLICATION AVEC TLS/SSL Alice génère une clé de chiffrement symétrique Elle chiffre cette clé à l’aide de la clé publique de Bot Alice Bot
  • 40. CLIENT - SERVEUR APPLICATION AVEC TLS/SSL Alice et Bot partagent un canal sécurisé par un chiffrement symétrique Alice Bot
  • 41. 06 • Top 10 – OWASP • Choix des composants tiers • Choix des algos de chiffrement / hashage ALICE ET BOB SONT DES BONS DÉVELOPPEURS
  • 42. TOP 10 - OWASP
  • 43. CHOIX DES COMPOSANTS TIERS Vulnérabilités connues dans les dépendances Outils automatisés Détecter Mettre à jour
  • 44. CHOIX DES ALGOS DE CHIFFREMENT / HASHAGE
  • 45. CHOIX DES ALGOS DE CHIFFREMENT / HASHAGE THÉORIE / PRATIQUE Dans son édition du 6 septembre 2013, le journal The Guardian(1) affirmait que la NSA(2) était capable de déchiffrer la plupart des données chiffrées circulant sur Internet. De nombreuses sources ont cependant indiqué que la NSA n'avait pas mathématiquement cassé les chiffrements mais s'appuierait sur des faiblesses d'implémentation des protocoles de sécurité. (1) https://fr.wikipedia.org/wiki/The_Guardian (2) https://fr.wikipedia.org/wiki/NSA
  • 46. 07 • Injection SQL • Cas concret ALICE ET BOB NE SAVENT JAMAIS SUR QUOI ILS VONT TOMBER
  • 47. TOP 10 – OWASP INJECTION SQL Input non vérifiée :
  • 48. TOP 10 – OWASP INJECTION SQL
  • 52. 08 • Problème de l’échange de clés • Se prémunir de la menace d’un calculateur quantique CRYPTOGRAPHIE QUANTIQUE
  • 53. CRYPTOGRAPHIE QUANTIQUE PROBLÈME DE L’ÉCHANGE DE CLÉS Distribution quantique de clés Ensemble de protocoles permettant de distribuer une clé de chiffrement en assurant la sécurité de la transmission grâce aux lois de la physique quantique Garantie que l’espionnage sera toujours détecté Utilisation d’un algorithme de chiffrement symétrique classique BB84 - Protocole développé en 1984 E91 – Protocole développé en 1991 Mis en pratique en 2004 – Transaction financière 2007 – Transmission des résultats des élections nationale à Genève
  • 54. CRYPTOGRAPHIE POST-QUANTIQUE SE PRÉMUNIR DE LA MENACE D’UN CALCULATEUR QUANTIQUE Pas de menace concrète actuelle Grande inconnue Les algorithme classique sont extrêmement vulnérables Cassés très facilement Complexité réduite