Support fait par les stagiaires Expert sécurité digitale 5 (ESD) de l'école ASTON sur le thème de la Public Key Infrastructure

1. Infrastructure PKI

2. Sommaire
 Présentation & Objectif
 Avantages & Inconvénients
 Fonctionnement
 Certificat X509
 Service & Sensibilisation
 Infrastructure PKI (BEST PRACTICE Windows)
 DEMO - EFS
 Conclusion

3. Présentation & Objectif
Une infrastructure PKI consiste à générer et délivrer des certificats sur
l’ensemble d’un Système d’Information.
Une infrastructure à clé publique (PKI) est un moyen de garantir :
 Confidentialité (chiffrement / cryptage)
 Authentification
 Intégrité
 Non répudiation

4. Avantages
 Centralise la gestion des certificats
 Permet la délégation de la délivrance et de la révocation des certificats en
fonction des besoins organisationnels (par service, succursales ou pays en
fonction de l'organisation de l'entreprise et du SI)
 Gestion des clés par un tiers de confiance reconnu par toutes les machines
du SI
 Facilite la mise en place de nouveaux services nécessitant des certificats
 Permet de renforcer la sécurité du SI par l'utilisation de moyens sécurisés
(DNSSEC, EFS, HTTPS, SMTPS, POPS, la signature des scripts et
exécutables...)

5. Inconvénients
 La PKI devient le cœur de la sécurité du SI, et ainsi un système très
critique. La compromission d'une machine ou du certificat racine de
l'infrastructure entraîne la compromission totale du SI.
 Une fois mis en place l'infrastructure à clés publiques devient
indispensable au fonctionnent du SI, il faut donc s'assurer de sa haute
disponibilité.
 Processus organisationnels à mettre en place pour la délivrance et la
révocation des certificats.

6. Fonctionnement de l’infrastructure à
clés publiques
Une Infrastructure PKI repose sur un système hybride de chiffrement
avec une fonction de hachage.
 Chiffrement symétrique
(RC4, DES, IDEA, AES, etc…)
 Chiffrement asymétrique
(RSA)
 Fonction de hachage
(MD5, SHA, etc…)

7. Fonctionnement de l’infrastructure à
clés publiques
Une PKI se compose :
 Autorité de certification racine : L'AC racine est le plus haut niveau
d’une hiérarchie d’une AC.
 Autorité de certification Intermédiaire: Elle a pour but de protéger
l ’AC Racine en ajoutant un niveau de sécurité.
 Autorité de certification Émettrice: Son rôle est de délivrer et
d’approuver les demandes de certificat.

8. Certificat X509
 Version :Version du certificat X509
 Numéro de série : Numéro de série du certificat
 Clé publique : clé publique du certificat
 Emetteur : L’autorité de certification qui a émis le certificat
 Validité : la date début et fin de validité du certificat
 Signature : Signature de l’autorité de certification
 Objet :Type de certificat

9. Service & Sensibilisation
Attaques
 Man in the Middle
 ARP Poisoning
 Usurpation d’identité
 Vol de données
 Exécution de programmes et
scripts non signés
Défenses
 IPSec, DNSSEC
 VPN - SSL
 Authentification par carte à puce
 Signature numérique
 Messagerie sécurisée
(SMTPS,IMAPS,POPS)
 Chiffrement des données (EFS-
BitLocker)

10. Service & Sensibilisation
Pour synthétiser une infrastructure à clés publiques
permet de:
 Renforce la sécurité du SI
 Réduit la surface d’attaque
 Facilite la gestion de la sécurité
 Incontournable pour l’obtention de certifications liées à la
sécurité de son SI (PCI, ISO 2700x...), ainsi que pour
respecter certaines obligations légales concernant la
protection des données (CNIL, lois européennes…)

11. Infrastructure PKI
Infrastructure 2 couches Infrastructure 3 couches

12. DEMO – Demande d’un certificat - EFS

13. CONCLUSION