Cryptographie: Science mathématique permettant d’effectuer des opérations sur un texte intelligible afin d’assurer une ou plusieurs propriétés de la sécurité de l’information .
La cryptographie permet de satisfaire les besoins en sécuritéLe crypto-système symétrique souffre d’un problème de distribution de clés, pour cela son utilisation doit être combinée avec le crypto-système asymétriqueLes crypto-systèmes asymétriques souffrent d’une vulnérabilité dite : Man In The Middle AttackSolution : Certificats électroniques
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
Rapport de Projet de Fin d'Etudes.
Pour l’obtention du diplôme de Licence appliquée en Réseaux de l’Informatique Spécialité : Technologies de l’Informatique et de Télécommunication
Intitulé : Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Système et Réseau
Réalisé par : Alaadine Tlich & Nabil Kherfani
Au sein de : Hexabyte
Cryptographie: Science mathématique permettant d’effectuer des opérations sur un texte intelligible afin d’assurer une ou plusieurs propriétés de la sécurité de l’information .
La cryptographie permet de satisfaire les besoins en sécuritéLe crypto-système symétrique souffre d’un problème de distribution de clés, pour cela son utilisation doit être combinée avec le crypto-système asymétriqueLes crypto-systèmes asymétriques souffrent d’une vulnérabilité dite : Man In The Middle AttackSolution : Certificats électroniques
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
Rapport de Projet de Fin d'Etudes.
Pour l’obtention du diplôme de Licence appliquée en Réseaux de l’Informatique Spécialité : Technologies de l’Informatique et de Télécommunication
Intitulé : Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Système et Réseau
Réalisé par : Alaadine Tlich & Nabil Kherfani
Au sein de : Hexabyte
Giantsnet est un groupe composé de jeunes étudiants professionnels, on est là pour vous , des tutoriels dans tout les domaines Administration des Systèmes & Réseaux ( Virtualisation, Supervision .. ), Sécurité, Linux, CISCO, Microsoft ... et pleins d'autres choses . Notre but c'est de partager l'information avec vous, vous avez qu’à nous suivre pour découvrir.
Facebook :https://www.facebook.com/souhaib.es
Page : https://www.facebook.com/GNetworksTv
Groupe : https://www.facebook.com/groups/Giants.Networks
Twitter : https://www.twitter.com/GNetworksTv
YouTube : https://www.youtube.com/user/GNetworksTv
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
Set up of a security test plan for residential gateways
Abstract: This work, done within the company "Sagemcom" is part of the project for obtaining Computer and Network Engineer Telecommunication National Graduation. The objective of this project is the establishment of a security testing solution for residential terminals. These terminals are the heart of any particular or professional network. Aware that the bridges are highly exposed to risks related to computer security, a test plan will cover possible scenarios and touch all functionality of the gateway (network access, WiFi, UPnP, VoIP, IHM). These tests will eventually be launched on a wide range of Sagemcom products to validate the proposed test environment.
Key Word: Gateway, Security, hacking, pentesting, vulnerability
La présentation utilisée lors d'un atelier relatant des notions de base de réseaux informatiques (Modèles OSI et TCP/IP, Adresses IP et MAC, Hub, Switch).
Giantsnet est un groupe composé de jeunes étudiants professionnels, on est là pour vous , des tutoriels dans tout les domaines Administration des Systèmes & Réseaux ( Virtualisation, Supervision .. ), Sécurité, Linux, CISCO, Microsoft ... et pleins d'autres choses . Notre but c'est de partager l'information avec vous, vous avez qu’à nous suivre pour découvrir.
Facebook :https://www.facebook.com/souhaib.es
Page : https://www.facebook.com/GNetworksTv
Groupe : https://www.facebook.com/groups/Giants.Networks
Twitter : https://www.twitter.com/GNetworksTv
YouTube : https://www.youtube.com/user/GNetworksTv
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
Set up of a security test plan for residential gateways
Abstract: This work, done within the company "Sagemcom" is part of the project for obtaining Computer and Network Engineer Telecommunication National Graduation. The objective of this project is the establishment of a security testing solution for residential terminals. These terminals are the heart of any particular or professional network. Aware that the bridges are highly exposed to risks related to computer security, a test plan will cover possible scenarios and touch all functionality of the gateway (network access, WiFi, UPnP, VoIP, IHM). These tests will eventually be launched on a wide range of Sagemcom products to validate the proposed test environment.
Key Word: Gateway, Security, hacking, pentesting, vulnerability
La présentation utilisée lors d'un atelier relatant des notions de base de réseaux informatiques (Modèles OSI et TCP/IP, Adresses IP et MAC, Hub, Switch).
Internet : Comprendre les opportunités et les dangers des réseaux cachésMaxime ALAY-EDDINE
Cyberwatch - cybersecurity training
Formation en sécurité informatique délivrée par CYBERWATCH SAS
Module de sensibilisation
Internet : Comprendre les opportunités et les dangers des réseaux cachés
Protégez les données de vos utilisateurs avec la cryptographie - CNIL & CNRSFrenchTechCentral
Outils de cryptographie, uses cases, bonne pratiques... les experts de la CNIL et du CNRS s'associent à l'occasion d'un webinar consacré à la cryptographie.
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?Jean-Philippe Simonnet
webmaster, chef de projets, développeurs, intégrateurs, administrateur réseau… Nous avons tous entre les mains des mots de passe de nos collègues, amis, responsables, voire de nos sociétés, certains de nos clients.
Pourtant combien d’entre nous ont une clause de confidentialité dans leurs contrats ? À l’heure de la tentation sécuritaire, de l’envie de légiférer des politiciens sur les droits et les devoirs des internautes, de la peur de ne pas savoir gérer nos identités numériques, que penser de ces mots de passe qui nous sont confiés du fait de notre compétence professionnelle ? Serons-nous, un jour, comme les médecins, avocats obligés de prêter serment ? Pourrons-nous invoquer la protection de nos sources, comme les journalistes, pour les données qui nous sont confiées ?
Fonctionnement détaillé (et simple à comprendre je l'espère) de Bitcoin.
Retrouvez la vidéo ici : https://youtu.be/M7ov5BqYO-8
Si vous voulez faire une donation (en BTC), voici une adresse : 3EfwTwUQnBq7g5AKaHGGKJUMnfP6doShon
Digitalisation de la société : quid de la cybersécurité ? | LIEGE CREATIVE, 0...LIEGE CREATIVE
Dans un contexte de digitalisation accrue de la société, la sécurité informatique se pose en enjeu transversal. Le primat du numérique entraine naturellement des menaces en termes de cybersécurité. Les attaques qui paralysent des systèmes, entrainant de graves conséquences techniques, humaines et économiques, sont de plus en plus légion.
Après avoir passé en revue les grands principes de la sécurité (CIA), nos deux intervenants brosseront un portrait de la menace actuelle (Qui ? Pourquoi ? Comment ?) et ouvriront la discussion vers les méthodes les plus pertinentes de protection.
Un cas d’étude liant sécurité et respect de la vie privée appliqué aux « smart meters » sera également partagé.
Description du protocole SSL/TLS. Présentation du protocole et de ses terminologies. Découverte de divers méchanismes de chiffrement. Ensuite le document abordera la notion de certificat: les différents types de certificats, leur génération et installation. Enfin un bref aperçu sur les diffrérences qui existent entre le TLS et le SSL
Rétro-ingénierie de protocole crypto: Un "starter pack"Maxime Leblanc
Dans cette présentation, vous apprendrez les bases de l'analyse de protocole cryptographique, et quelques pistes pouvant aider à détecter une faille au sein de ces protocoles. Aucune connaissance crypto n'est nécessaire a priori (il ne s'agit pas ici de briser des protocoles éprouvés, mais de voir comment leur mauvaise utilisation peut les rendre inefficaces). On fera par le fait même un survol des outils utiles pour la rétro-ingénierie réseau, comme "Wireshark". La présentation sera basée sur un exemple réel d'un protocole VoIP brisé et corrigé récemment.
Notions de sécurité à l'usage des développeurs (Soat, 6 nov. 2014)Noël Bardelot
L’objectif de la soirée est de donner, ou re-donner, un socle de connaissances en matière de sécurité. Nous commencerons par des éléments de culture générale, en parlant de cryptographie et de cryptanalyse pour inscrire la soirée dans un contexte historique plus large.
Puis nous aborderons une à une chacune des fonctions cryptographiques élémentaires, qu’il est indispensable de comprendre pour s’approprier les outils et les techniques de sécurité que l’on utilise tous les jours. Nous verrons ensuite quelques exemples d’outils et méthodes correspondants aux situations les plus courantes dans un projet informatique. Et dans une dernière partie nous parlerons des sources de risque, des éléments à prendre
en compte lorsque l’on réfléchit à des problématiques de sécurité.
Durée :
1h30 avec questions
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2Alice and Bob
1. Vers la fin du mot de passe ? 2. L'authentification forte : le b.a.ba 3. L'authentification forte garantit les connexions au système d'information 4. Bénéfices business : Point d'entrée de la transformation digitale Témoignage : Directrice Générale de ChamberSign 5. Exemples de mécanismes d'authentification forte 6. Choisir sa solution d'authentification forte 7. Le Cloud et le BYOD accélèrent le demande pour les solutions d'authentification forte 8. Les Experts Comptables utilisent l'authentification forte par certificat sur leur site web 9. Wikipédia adopte l'authentification par certificat en mode SaaS 10. Authentification forte et BYOD 11. Le certificat installé sur le terminal : une solution élégante 12.Gérer simplement les certificats électroniques en SaaS
Pourquoi migrer ses certificats symantec vers une autre autorité de certifica...
La cryptographie asymétrique enfin expliquée simplement
1. La cryptographie asymétrique
expliquée simplement
26/06/2014 www.aliceandbob.fr 1
Remerciements:
Je tiens à remercier
chaudement Caroline D. ,
Dominique M. , Erwann A ,
Rémi B. et Rémi P. qui m’ont
introduit aux joies d’Alice &
Bob et appris avec une infinie
patiente tout ce que je sais sur
la cryptographie asymétrique.
2. La confiance
• Nous avons depuis longtemps établi des règles de
confiance:
– Signatures manuscrites
– Face à face et poignée de main
– Sceau ou Tampon
– Présence d’un Tiers tel qu’un Notaire ou un témoin
– Lettre cachetée
– Etc..
• Dans le domaine du numérique nous devons
établir de nouvelles règles. C’est ce que permet la
cryptographie asymétrique.
26/06/2014 www.aliceandbob.fr 2
3. La cryptographie asymétrique
• Cryptographie Asymétrique récente – 1975
• Initialement des solutions techniques (PKI)
• Aujourd’hui des solutions business de
« sécurisation des identités et des échanges numériques »
– Lettres recommandées électroniques
– Passeport électronique
– Signature électronique de documents
– Authentification d’un utilisateur sur un site web, etc.
– Protection des donnés saisies sur un site web
– Coffre-fort électronique
– Certificats pour sites web
– Etc…
326/06/2014 www.aliceandbob.fr
4. Tendances
• Challenges de la Cryptographie Asymétrique
– Parler usages et solutions
– Parler le langage des utilisateurs
– Besoin d’éducation du marché et des utilisateurs
• Marché en pleine expansion (~$10M+
aujourd’hui)
• Nous ne sommes qu’au début
• Maintenant des solutions SaaS / Cloud
426/06/2014 www.aliceandbob.fr
8. Fonctionnement de la
cryptographie asymétrique
Note Importante : Cette partie est par
nature complexe est peut être rapidement
survolée. Elle n’est pas essentielle à la
compréhension du reste de la présentation
26/06/2014 www.aliceandbob.fr 8
10. 10
Algorithme à clé symétrique
Message Chiffré
C= F(M,K)
C = message chiffré
F = fonction de chiffrement
M = message clair
K = clé de chiffrement
Chiffrement Déchiffrement
Mallory
???
Salut Bob
Alice
Salut Bob
Alice
SFEFFF85
Ȉ&(-FF5
Clé Symétrique, secret
partagé par Bob et Alice
26/06/2014 www.aliceandbob.fr
11. 11
Clé symétrique : une réponse partielle
�
Authentification Confidentialité Intégrité
Non
répudiation
26/06/2014 www.aliceandbob.fr
12. 12
Avantages et inconvénients des algorithmes
à clé symétrique
• Avantages
– Rapide
– Simple à implémenter
– Efficace
• Inconvénients
– Une clé différente par paire
d’utilisateurs
1. La grande problématique : la gestion des clés (autant d’utilisateurs
que de clés à échanger)
2. Comment Alice et Bob prennent-ils connaissance de la clé sans que
personne d’autre n’y ait accès ?
3. La clé doit suivre un chemin différent du message
26/06/2014 www.aliceandbob.fr
13. 13
La cryptographie à clé asymétrique
• Chaque utilisateur a une paire de clés
– la clé dite publique sert à chiffrer, et est connue de tous
– la clé privée sert à déchiffrer et n’est connue que de son
porteur
26/06/2014 www.aliceandbob.fr
14. 14
La cryptographie à clé asymétrique
Message Chiffré
C= F(M,KBobPu)
C = message chiffré
F = fonction de chiffrement
M = message clair
KBobPu = clé publique
Chiffrement Déchiffrement
Mallory
???
Salut Bob
Alice
Salut Bob
Alice
ERFRET43
TSDDd%%
1) Alice utilise la clé publique
de Bob pour chiffrer son
message,
2) Bob utilise sa clé privée
pour le déchiffrer
M= F(C,KBobPr)
C = message chiffré
F = fonction de chiffrement
M = message clair
KBobPr = clé privée
privée
publique privée
publique
Seul Bob peut lire le message d’Alice car lui seul possède la clé privée
26/06/2014 www.aliceandbob.fr
15. 15
Problème : le temps de calcul
• Le chiffrement / déchiffrement par clés asymétriques
est très gourmand en temps de calcul
• Le temps de chiffrement de messages de grande
taille serait inacceptable
• Le temps de chiffrement est multiplié par le nombre
de destinataires
• La solution : combiner clé symétrique et asymétrique
26/06/2014 www.aliceandbob.fr
16. 16
Une solution combinée
• Générer une clé symétrique dite clé de session
(utilisée une seule fois)
• Chiffrer le message avec la clé de session
• Chiffrer la clé de session avec la clé publique du
destinataire
26/06/2014 www.aliceandbob.fr
17. 17
Chiffrement combinant clé publique
et clé symétrique
Salut Bob
Alice
Fgergteg&»’
(çu’»uà
message chiffré
Salut Bob
Alice
Clé privée
de Bob
Clé publique
de Bob
Clé de session
chiffrée
45gggdFFé »’
Chiffrement
Chiffrement Déchiffrement
Déchiffrement
Clé de session
publique
publique
privée
privée
Clé de session
La clé symétrique de session est échangée en utilisant la clé privée de Bob.
La clé symétrique de session est utilisée pour échanger le message chiffré.26/06/2014 www.aliceandbob.fr
18. Chiffrement, signature, authentification
• Pour envoyer un message chiffré à Bob:
– Alice doit connaitre la clé publique de Bob afin de chiffrer le
message avec cette clé.
– Seul Bob pourra alors déchiffrer ce message.
• Pour signer un document ou un message:
– Alice envoie un message chiffrer avec sa clé privée à Bob. Si
Bob peut le déchiffrer, c’est qu’il provient bien d’Alice. On dit
que le message ou le document est signé par Alice.
• Pour authentifier une personne ou une machine:
– Bob envoie un message en clair à Alice et lui demande de le
signer et de lui renvoyer.
– Si le message est signé par Alice, c’est que l’interlocuteur qui se
présente est bien Alice.
26/06/2014 www.aliceandbob.fr 18
19. Exemple d’usage: Chiffrer et Signer des
emails directement dans Outlook
26/06/2014 www.aliceandbob.fr 19
20. 20
Problèmes relatifs à la signature
• Cette approche est inefficace:
– Temps de calcul
– La taille du message est doublée : le clair + le chiffré
• Solution : les fonctions de condensat (ou hash)
– Utiliser une fonction univoque et injective compressant un
message d’une longueur quelconque en un code de petite
dimension
– Ces fonctions sont appelées Message Digest (empreinte de
message)
26/06/2014 www.aliceandbob.fr
21. 21
Caractéristique du Message Digest
(ou Hash)
• Le Message Digest (MD) se caractérise par
– Un résultat compact: il réduit un message à 16/20 caractères
– Il est univoque: difficile de déduire le message originel du résultat
– Un résultat unique: probabilité nulle de trouver 2 messages donnant le
même résultat
• Le MD est similaire à une empreinte digitale
– L’empreinte est moins « encombrante » que la personne physique
– Une personne n’a qu’une empreinte
– Il n’y a pas 2 personnes ayant les mêmes empreintes
– Difficile de reconstituer la personne physique à partir de son
empreinte
26/06/2014 www.aliceandbob.fr
22. 22
Signature électronique et Message
Digest
Salut Bob
Alice
Salut Bob
Alice
Signature
Signature
Signe avec sa clé
privée
Message Digest
456789
?
=
Vérifie la
signature avec
la clé publique
d’Alice
Vérification
signature
456789
Salut Bob
Alice
Message Digest
456789
privée privée
privée
publique publique
publique
On envoie le message en clair et le message digest
signé. On compare les 2 à l’arrivée.26/06/2014 www.aliceandbob.fr
23. 23
Clé symétrique : La réponse
�
Authentification Confidentialité Intégrité
Non
répudiation
26/06/2014 www.aliceandbob.fr
25. Gestion du cycle de vie du certificat
• Si par exemple vous délivrez un des certificats
électroniques à vos employés il faut:
– Créer un certificat quand l’employé rejoint
l’organisation
– Révoquer le certificat quand l’utilisateur quitte
l’entreprise
– Si une clé privée est perdue, la recouvrir
– Etc.
26/06/2014 www.aliceandbob.fr 25
26. Public Key Infrastructure*
• Un serveur matériel sur lequel est installé un
serveur logiciel pour gérer le cycle de vie du
logiciel
• Un serveur cryptographique pour créer les
certificats (Hardware Security Module)
• Une Politique de Certification pour définir les
engagements et les règles relatives aux certificats
• Des moyens humains pour les mettre en œuvre
* En français on dit aussi parfois Infrastructure à Clé Publique ou encore Infrastructure de Gestion de Clé
26/06/2014 www.aliceandbob.fr 26
27. Racine de l’Autorité de Certification
• Les certificats émis le sont sous une racine.
• Cette racine peut être reconnue dans les outils de
signature, les navigateurs Internet, etc.
• Pour des raisons d’organisation, une racine « mère »
peut faire confiance à une autre racine « fille » dite
racine intermédiaire.
• Si un certificat est émis par une racine intermédiaire,
la racine « mère » fait
aussi confiance à ce certificat.
On parle de transitivité de la confiance.
26/06/2014 www.aliceandbob.fr 27
28. Les acteurs
• Les utilisateurs de certificats
• L’Autorité d’Enregistrement (AE)
– Reçoit les demandent de certificats, effectue les
vérifications, transmet le tout à l’AC. Joue le même rôle
que votre mairie quand vous effectuez une demande de
carte d’identité.
• L’Autorité de Certification (AC)
– Valide les demandes et approuve la création des
certificats. Joue le même rôle que l’état dans le cas de la
carte d’identité.
• La Politique de Certification
– Définit les règles, les processus, les engagements, les
responsabilités de chacun. Doit être signée par tous.
26/06/2014 www.aliceandbob.fr 28
29. 29
Émission des Certificats
1. Demande un certificat
2. Authentifie le
demandeur
3. Approuve la requête
4. Délivre le certificat
Demandeur du
certificat
Autorité
d’Enregistrement
Autorité de
Certification
26/06/2014 www.aliceandbob.fr
30. PKI Interne
• La Politique de Certification est un document
interne.
• Les Autorités d’Enregistrement et de
Certification sont des services internes à une
organisation.
• Les utilisateurs de certificats sont internes à
l’organisation.
26/06/2014 www.aliceandbob.fr 30
31. PKI Externe
• La Politique de Certification est un document
officiel Externe publié officiellement.
• Les Autorités d’Enregistrement et de
Certification sont des organisation Externes à
votre organisation.
• Les utilisateurs de certificats peuvent faire partie
de différents organisations.
• Les Autorités d’Enregistrement et de Certification
sont auditées et disposent de reconnaissances
officielles. On les appelle Tiers de Confiance.
26/06/2014 www.aliceandbob.fr 31
32. Tiers de Confiance
• DigiCert est par exemple une Autorité de Certification
reconnue dans les Navigateurs Internet tels que IE, Chrome,
Safari, Opera, etc.
• DigiCert a signé des accords avec les éditeurs de
navigateurs Internet et s’engage à suivre une Politique de
Certification très stricte définie dans le cadre du CABForum.
• DigiCert est audité par Ernst and Young pour vérifier que
l’organisation respecte bien les règles relatives aux
certificats SSL
• Les Editeurs de Navigateurs font confiance à DigiCert pour
délivrer des certificats de confiance. La racine de certificats
DigiCert est incluse dans les Navigateurs Internet.
26/06/2014 www.aliceandbob.fr 32
33. PKI en SaaS
• Mettre en place une PKI requiert des ressources
humaines et matérielles et de l’expertise. Ce n’est
souvent pas le cœur de métier des organisations.
• Des organisations telles que DigiCert vous propose
aujourd’hui des PKI en mode SaaS. Vous disposez d’une
Interface sécurisée vous permettant de gérer vos
certificats. Vous payez au certificat par an.
• Ces certificats sont reconnus sous la racine DigiCert et
donc en dehors de votre organisation pour des clients,
partenaires, fournisseurs par exemple.
26/06/2014 www.aliceandbob.fr 33
34. Racine auto-signée ?
• Si vous gérez votre propre PKI vous aurez des
certificats sous votre propre racine.
• Cette racine ne sera pas reconnue par les
navigateurs Internet ou les outils de signature tels
qu’Adobe Acrobat ou Microsoft Word par
exemple.
• On dit que votre racine est auto-signée et non
publique.
• Vos certificats ne seront pas reconnus par vos
partenaires, clients et fournisseurs.
26/06/2014 www.aliceandbob.fr 34
35. En conclusion
• La cryptographie asymétrique permet :
–Le chiffrement
–La signature
–L’authentification
26/06/2014 www.aliceandbob.fr 35
36. Merci !
Voir toutes nos présentations et documents sur Slideshare:
• L’avènement de la signature électronique : en 2014
• La cryptographie et la PKI enfin expliquées simplement
• Comment bien choisir ses certificats SSL
• L’authentification forte ou vers la fin du mot de passe
• Pourquoi migrer ses certificats de Symantec vers une autre Autorité de Certification
• Accroitre la confiance dans les personnes et les machines qui se connectent à votre
réseau d’entreprise
• Les solutions SaaS permettent l’avènement des usages des certificats électroniques
• La vérité sur HeartBleed
• La NSA et les Autorités de Certification : Mythe ou réalité ?
contact@aliceandbob.fr
26/06/2014 www.AliceAndBob.fr 36