1. Crypto et sécurité de l’information
Chap 1: Introduction à la sécurité et cryptographie
Rhouma Rhouma
https://sites.google.com/site/rhoouma
Ecole superieure d’Economie Numerique
2ème Mastère Web Intelligence
1 / 31
2. Plan
1 Services et Mécanismes de sécurité
2 Attaques de sécurité
3 Cryptographie et Cryptanalyse
4 Protocole d’attaque cryptographique general
2 / 31
3. Services et Mécanismes de sécurité
Plan
1 Services et Mécanismes de sécurité
2 Attaques de sécurité
3 Cryptographie et Cryptanalyse
4 Protocole d’attaque cryptographique general
3 / 31
4. Services et Mécanismes de sécurité
Objectifs de la sécurité: CIA
Autres: Authenticité, la responsabilité
4 / 31
5. Services et Mécanismes de sécurité
Attaques, services et Mécanismes
Attaque: Toute action qui compromet la sécurité de l’information
Mécanisme de sécurité: Un mécanisme qui est conçu pour
détecter, prévenir, ou se remettre d’une attaque de sécurité.
Service de sécurité: Un service qui améliore la sécurité des
systèmes de traitement de données et les transferts d’information.
Un service de sécurité fait usage d’un ou plusieurs mécanismes
de sécurité
5 / 31
6. Services et Mécanismes de sécurité
Services de Sécurité
Confidentialité: Pour protéger contre toute écoute
Authentification: Pour savoir qui a crée et envoyé le message ?
Intégrité: Être sur que la donnée ou msg n’a pas été altéré
Non-Répudiation : ne pas nier une transaction
Contrôle d’accès: pour empêcher l’utilisation abusive des
ressources
Disponibilité (permanence): contre le DoS et les virus
6 / 31
8. Services et Mécanismes de sécurité
Méthodes de défenses
Chiffrement de données
Contrôle d’accès software : limiter l’accès aux bases de données,
protéger chaque utilisateur des autres utilsateurs
Contrôle d’accès hardware: ex Cartes à puce
Politiques de sécurité: changer fréquemment les mots de passes
Utiliser les Firewalls, les systèmes de détection d’intrusion, les
anti-virus
utiliser les réseaux VLAN pour cacher les différents parties des
réseaux
pour accès distant utiliser les VPN : Virtual Private Network
8 / 31
9. Attaques de sécurité
Plan
1 Services et Mécanismes de sécurité
2 Attaques de sécurité
3 Cryptographie et Cryptanalyse
4 Protocole d’attaque cryptographique general
9 / 31
11. Attaques de sécurité
Attaques de sécurité
Interruption: Ceci est une attaque sur la disponibilité
Interception: Ceci est une attaque sur la confidentialité
Modification: Ceci est une attaque sur l’intégrité
Fabrication: Ceci est une attaque sur l’authenticité
11 / 31
12. Attaques de sécurité
Attaques Passives et Actives
Les attaques passives:
Une attaque passive tente
d’apprendre ou d’utiliser
l’information du système,
mais n’affecte pas les
ressources du système
Relativement difficile à
détecter, mais plus facile à
prévenir
Les attaques actives
Une attaque active tente de
modifier les ressources du
système ou d’affecter leur
fonctionnement
Relativement difficile à
éviter, mais plus facile à
détecter
12 / 31
20. Cryptographie et Cryptanalyse
Plan
1 Services et Mécanismes de sécurité
2 Attaques de sécurité
3 Cryptographie et Cryptanalyse
4 Protocole d’attaque cryptographique general
20 / 31
21. Cryptographie et Cryptanalyse
Types de classification
On peut classifier les alg de cryptage selon :
Le nb de clés utilisés :
Une seul clé cryptosystème à clé privée (symétrique)
2 clés ou cryptosystème à clé publique (asymétrique)
type d’opération utilisée:
substitution
transposition
produit des deux
la façon dont le plaintext est traité
block
stream (flux)
21 / 31
22. Cryptographie et Cryptanalyse
Cryptage symétrique
Aussi connu comme cryptage conventionnel ou cryptage à clé
secrète.
c’était le seul type de cryptage jusqu’à invention du cryptage
asymétrique ds les années 70.
reste comme même le cryptage le plus répandu des deux
22 / 31
23. Cryptographie et Cryptanalyse
Terminologie basique
Plaintext: le message original
Ciphertext: le message chiffré
chiffrement ou cryptage : le processus de conversion du plaintext
vers le ciphertext
déchiffrement ou décryptage: le processus de conversion du
ciphertext vers le plaintext
cryptographie: l’étude des méthodes de cryptage (science des
messages secrets)
cryptanalyse : l’étude des techniques pour casser les algorithmes
de chiffrement
Cryptologie: la cryptographie et la cryptanalyse
23 / 31
26. Cryptographie et Cryptanalyse
Cryptanalyse
Son objectif est de retrouver la clé secrète pas simplement le
plaintext
brute force attack (attaque à force brute):
essayer toutes les combinaisons (sur une ciphertext pour le
déchiffrer) de la clé jusqu’à trouver la bonne
En moyenne, il faut essayer au moins la moitié des clés disponibles
pour arriver à casser un cryptosystème.
cryptanalytic attack: plus intelligente, exploite une connaissance
sur l’algorithme et la manière dont le plaintext est traité.
26 / 31
27. Protocole d’attaque cryptographique general
Plan
1 Services et Mécanismes de sécurité
2 Attaques de sécurité
3 Cryptographie et Cryptanalyse
4 Protocole d’attaque cryptographique general
27 / 31
28. Protocole d’attaque cryptographique general
Collecte d’informations: faiblesses théoriques
Observation ou action:Étape "on-line" connecté à la cible.
Ciphertext-only attack(COA)
28 / 31
29. Protocole d’attaque cryptographique general
Collecte d’informations: faiblesses théoriques
Observation ou action:Étape "on-line" connecté à la cible.
Ciphertext-only attack(COA)
Known-plaintext attack(KPA)
28 / 31
30. Protocole d’attaque cryptographique general
Collecte d’informations: faiblesses théoriques
Observation ou action:Étape "on-line" connecté à la cible.
Ciphertext-only attack(COA)
Known-plaintext attack(KPA)
Chosen-plaintext attack(CPA)
28 / 31
31. Protocole d’attaque cryptographique general
Collecte d’informations: faiblesses théoriques
Observation ou action:Étape "on-line" connecté à la cible.
Ciphertext-only attack(COA)
Known-plaintext attack(KPA)
Chosen-plaintext attack(CPA)
Chosen-ciphertext attack(CCA)
28 / 31
32. Protocole d’attaque cryptographique general
Collecte d’informations: faiblesses physiques
Attaques par canal auxiliaire: Side Channel Attack
Mesure du temps de cryptage/décryptage: étude du temps mis
pour effectuer certaines opérations
Fuites électromagnétiques: émet des rayonnements qui varient
selon les opérations effectuées
Analyse du Comportement du processeur lors du calcul: bruit
acoustique
Analyse de la consommation d’énergie: Une consommation accrue
indique un calcul important et peut donner des renseignements sur
la clé
29 / 31
33. Protocole d’attaque cryptographique general
Analyse, déduction et exploitation
Étape "off-line" : Analyse & Déduction
Attaque à force brute: essayer toutes les clés possibles pour
retrouver un texte en clair à partir du cryptogramme
Attaque statistique: Estimer la fréquence d’apparition des lettres
dans un texte
Attaque algébrique: trouver des représentations équivalentes du
cryptosystème, exploiter des linéarités existantes.
Cryptanalyse linéaire : approximation linéaire de l’algorithme de
chiffrement, augmenter le nombre de couples pour améliorer
l’approximation.
Cryptanalyse différentielle: étudier la manière dont les différences
entre les entrées affectent les différences de leurs sorties pour
découvrir des vulnérabilités.
30 / 31
34. Protocole d’attaque cryptographique general
Analyse, déduction et exploitation
Étape "off-line" : Analyse & Déduction
Attaque à force brute: essayer toutes les clés possibles pour
retrouver un texte en clair à partir du cryptogramme
Attaque statistique: Estimer la fréquence d’apparition des lettres
dans un texte
Attaque algébrique: trouver des représentations équivalentes du
cryptosystème, exploiter des linéarités existantes.
Cryptanalyse linéaire : approximation linéaire de l’algorithme de
chiffrement, augmenter le nombre de couples pour améliorer
l’approximation.
Cryptanalyse différentielle: étudier la manière dont les différences
entre les entrées affectent les différences de leurs sorties pour
découvrir des vulnérabilités.
Exploitation: Estimation de la clé et Déchiffrement de tous les
cryptogrammes.
30 / 31