SlideShare une entreprise Scribd logo
1  sur  211
Télécharger pour lire hors ligne
VOLET 2
1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AGENDA VOLET II
Module N°1 : Protection et
cloisonnement des réseaux
Menace des couches basses – Menaces sur les
équipements - Bonnes pratiques
Protection logique du réseau- VLAN – Firewalls -
Diodes
Protection de la couche applicative - Proxy –
Web Applicatif Firewall (WAF)
Module N°2 : Protection des applications,
données et cryptologie
Origine du besoin et définition – Terminologie -
Concepts de base
Sécurisation des données et PKI (Public Key
Infrastructure)
Problématique de la distribution des clés publiques -
Composantes d’une PKI
Certificat électronique & Cycle de vie
Module N°3 : Protection des
communications : messagerie et réseau
Messagerie sécurisée S/MIME
VPN - Virtual Private Network - Familles de VPN
Standards SSL et IPSec - SSL versus IPSec
Module N°4 : Authentification utilisateurs –
réseaux – applications
Gestion des accès aux ressources
Modèles DAC/MAC/ORBAC
Modes d’authentification
Authentification non-rejouable
2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Module N°5 : Sélectionner des produits
de sécurité
Référentiels
Critères d’évaluation de sécurité
Processus d’évaluation des produits
Exemples
Pour aller plus loin
Livre
Magazine
Articles - Web
TRAVAIL PERSONNEL
Sécurité informatique et réseaux - 4eme édition Ghernaouti
Lecture des chapitres suivants
Chapitre 6 Sécurité des infrastructures télécoms : 6.1 à 6.5
Chapitre 8 Systèmes Pare-feu et Détection d’intrusion : 8.1 à 8.3
Chapitre 5 Chiffrement :5.1 à 5.4
Chapitre 9 Application : 9.1, 9.2, 9.4
Chapitre 4 Politique de sécurité : 4.8
3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
OBJECTIFS
MENACE DES COUCHES BASSES – BONNES PRATIQUES
PROTECTION LOGIQUE DU RÉSEAU- VLAN – FIREWALLS - DIODES
PROTECTION DE LA COUCHE APPLICATIVE - PROXY – PARE-FEU APPLICATIF
ILLUSTRATION – ARCHITECTURE SÉCURISÉE
LES PRODUITS DU MARCHÉ
RÉSUMÉ DU MODULE
MODULE N°1 : PROTECTION ET
CLOISONNEMENT DES RÉSEAUX
4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
OBJECTIFS
Protection périmètrique :
Les infrastructures de sécurité périmètrique protègent le système d’information des
menaces extérieures. Cela se traduit par un contrôle d’accès au réseau et un
cloisonnement des flux d’information.
Notion de responsabilité
Distinction des zones de responsabilités de l’entreprise
- Où commence et où s’arrête la part de responsabilité de l’entreprise ?
- Délimitation de son système d’information
Un périmètre logique et non physique
Joint-venture, GIE, structures à 50/50, sous-traitants, infrastructures infogérées, etc.
5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MENACES DES COUCHES BASSES
Physique
Écoute des émissions électromagnétiques des câbles
Connexion directe au réseau
Déni de service
Liaison
Usurpation de paquets ARP et envoie de fausses adresses MAC
Écrasement d’entrées dans le cache ARP
Surcharge ou tromperie des commutateurs
Réseau
Obtention d’une adresse IP via DHCP
Usurpation d’adresse IP
Écoute sur les routeurs
Déni de service visant un routeur
Usurpation du protocole de routage pour insérer de mauvaises routes dans les routeurs alentours
Usurpation des messages de diagnostic ICMP
6 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MENACES SUR LES ÉQUIPEMENTS
Concentrateurs, commutateurs, routeurs
Offrent des outils de gestion, souvent accessibles par le
réseau, qui peuvent être détournés
Tous exécutent des firmwares ou d’autres logiciels plus
sophistiqués qui peuvent présenter des vulnérabilités
Ils peuvent être bidouillés ou volés en cas d’accès physique
Leurs configurations par défaut sont connues des attaquants
7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
BONNES PRATIQUES
Ségrégation des réseaux
Séparation des réseaux ayant des fonctions différentes (réseau des
guichets automatiques séparé du réseau bureautique)
Séparation des réseaux de différents niveaux de sensibilité
Sécurité des différents des réseaux périphériques
Mettre en place des pare-feux aux endroits stratégiques
Internet, prestataires, agences….
Mise à jour des firmwares
Changement des mots de passe par défaut
Activer les fonctions de traçabilité
8 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
BONNES PRATIQUES
Activer la fonction Port Security sur les commutateurs
Fonction Port-Security (sur les Cisco) : limite les effets de l’ARP spoofing, et des
attaques sur le service DHCP (plusieurs MAC sur un port Ethernet)
Restriction du nombre d’adresse MAC autorisé par port
Configuration de comportement dynamique
Envoi automatique d’une trap SNMP
99 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VLAN : VIRTUAL LAN
10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VLAN – VIRTUAL LAN
Contexte
De nouveaux besoins : visio conf, e-learning, la voix sur IP
De nouvelles exigences : sécurité, mobilité des utilisateurs, performance
Des contraintes existantes :
Sous-réseaux liés aux switchs
Utilisateurs regroupés géographiquement mais avec des liens fonctionnels différents
Plan d’adressage difficile à mettre en œuvre dans la cadre de la mobilité des postes
Congestions des réseaux locaux (ex : tempête de broadcast)
Finalités
Permettre une configuration et une administration plus facile des grands réseaux
Permettre la mobilité des utilisateurs
Limiter les domaines de broadcast
Effectuer de la QoS (Qualité de Service)
Garantir la sécurité
11 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VLAN – VIRTUAL LAN
Concept
Une nouvelle manière d’exploiter la technique de commutation pour donner plus de
flexibilité aux réseaux locaux.
Un VLAN est un domaine de broadcast dans lequel l’adresse de diffusion atteint
toujours les stations appartenant au VLAN.
Les communications à l’intérieur du VLAN sont sécurisées (cloisonnées) et celles entre
deux VLAN distincts sont contrôlées.
12 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VLAN – VIRTUAL LAN
Les VLAN (Virtual LAN)
Consiste à scinder une infrastructure réseau unique en différents tronçons
« logiques » correspondant à un domaine de broadcast
Plusieurs types de VLAN ont été définis suivant les regroupements des stations
du système (voir Cours Réseaux 3A)
13 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VLAN – VIRTUAL LAN
VLAN de niveau physique ou de niveau 1
VLAN 1
VLAN 2
VLAN 3
14 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VLAN – VIRTUAL LAN
VLAN de niveau 2, ou VLAN de niveau MAC (Trame)
VLAN 1
VLAN 2
VLAN 3
15 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VLAN – VIRTUAL LAN
16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Configuration typique d’un réseau industriel présentant une surface d’attaque maximale
VLAN – VIRTUAL LAN
Comment définir les zones
Dépendances fonctionnelles existantes – (Niveau 4 et
les autres niveaux de 3 à 0 du modèle ISA – cf. Volet I)
Ruptures technologiques entre équipements – dans le
cas d’utilisation de protocoles réseaux différents –
liaison d’interconnexion par des passerelles
Séparation des API de sureté – place les API de
pilotage et les API de sûreté dans des zones distinctes
17 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Se référer à la norme IEC 62443
VLAN – VIRTUAL LAN
18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Principe des
degrés de
criticité avec des
règles de filtrage
de flux réseaux
VLAN – VIRTUAL LAN
19 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Segmentation
des réseaux en
fonction de leur
criticité
ROUTEUR FILTRANT
20 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ROUTEUR
Hors périmètre du routeur :
• Pas de protection contre les attaques au niveau réseau
• Pas de protection au niveau applicatif
21 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ROUTEUR
Réseau A Réseau B
22 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Les paquets sont vérifiés dans la couche réseau.
Utile en première ligne de défense.
Modèle de décision simple (rejet ou acceptation) basé sur l’en-tête IP
ROUTEUR
Filtrage du trafic
La possibilité de filtrer les paquets est généralement incluse dans le
logiciel des routeurs
Travaille sur la base de toute combinaison des informations suivantes :
Adresse source
Adresse destination
Port source
Port destination (qui définit à quel service vous voulez vous connecter)
Le sens d'établissement de la communication
Les règles « filtres » sont appliquées de haut en bas
Les spécifiques doivent être placées vers le haut de la liste
Les règles génériques vers la fin ( « deny all » )
23 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ROUTEUR
Fonctionnement des ACLs (ACCESS CONTROL LIST)
2 ACLs doivent être posées sur chaque interface
Format des ACLs (exemple sur un routeur CISCO)
Positionnement des ACLs
Requiered keyword N°ACL Action Protocol Src dest Optional
Access-list 102 Permit TCP Any eq 21 144.19.74.0 0.0.0.255 gt 1023 Established
24 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DMZ
AUTHENTIFICATION : RÉSEAU
N° ACL Action IP Src Port Src IP Dest Port Dest Optional
102 Permit 144.19.74.201 / 255.255.255.255 Gt 1023 Any Eq 25 Established
102 Permit 144.19.74.201 / 255.255.255.255 Eq 25 Any Gt 1023
102 Deny Any Any Any Any
S’il n’y avait pas le Flag « Established » , les machines extérieures pourraient générer du trafic
entrant vers n'importe quel autre port. Pour résoudre ce problème nous avons besoin d'une
information sur la direction (Established), en autorisant les appels entrants uniquement sur le port 25
pour les connexions déjà établies.
Sécurité
Externe
Client
Client
Client
Client
Client
Reseau Interne
Relais SMTP
144.19.74.201
102
25 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIREWALLS (OU PARE-FEU)
26 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIREWALLS
Définition
Terme générique pour désigner, le logiciel ou le hardware appliquant
la politique de sécurité réseau
Principe
Opère dans les couches TCP/IP
Point de passage obligatoire (Check point)
Tout le trafic entrée/sortie transite par le firewall
Point de concentration sur lequel, le firewall focalise et applique la politique
de sécurité
Cloisonnement entre plusieurs réseaux :
En général, public ou privée
Pour isoler des serveurs (services), DMZ
Traçabilité de l’activité réseau
Ergonomie et console d’administration
27 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIREWALLS
Les composantes d’un Firewall
Logiciel sur un système d’exploitation propriétaire ou standard (en général du
Linux Free BSD)
Hardware dédié « Appliance »
Évolution des technologies de Firewalling
1ère génération: les routeurs filtrants,
2ème génération: les passerelles applicatives proxy, ou Socks
3ème génération: éléments filtrant l’état des connexions par paquets, « stateful
inspection »,
Stratégie et orientation actuelles des constructeurs
le « tout en un » : les firewalls cumulent régulièrement de nouvelles
fonctionnalités (détection d’intrusion, proxy, authentification…)
Le Mode « Appliance » est souvent proposé
28 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIREWALLS
• Hors périmètre du firewall : Pratiquement pas de protection au niveau applicatif
Exemple : n’offre pas de protection contre les virus contenus dans un fichier transféré par FTP ou
attaché à un mail au format MIME, ou bien des codes mobiles malicieux en HTTP/S
29 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIREWALLS
30 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIREWALLS
Filtrage IP à état - SPI - Statefull packet inspection
Ensemble de contrôles sur les entêtes des paquets pour s’assurer que les protocoles
de niveau Réseau (IP) et Transport (TCP, UDP, ICMP, …) sont bien respectés par les
paquets inspectés.
L’en-tête du paquet reçu
L’information sur l’état de la connexion (ouverture, fermeture)
La fragmentation IP et les Offset
Type d’application au dessus de la couche transport (UDP, TCP)
Interface par laquelle est traité le datagramme IP
Date et heure de l’arrivée/départ du datagramme IP
Vérification de l'état de la communication
Vérification de la cohérence de la communication (bits SYN/SYN-ACK/ACK)
Vérification de la fragmentation : analyse des datagrammes fragmentés
Validation des numéros de séquences TCP
Elimination des paquets « Out-Of-State »
Protection contre les dénis de services réseaux
Limitations : protège uniquement contre les attaques de niveau « réseau ».
3131 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIREWALLS
Application Level Filtering – ou – proxy applicatif
Vérification de la cohérence et du contenu des données au niveau protocolaire.
Analyse Sémantique et/ou Syntaxique des protocoles standards
Principe de fonctionnement
Cette technique consiste à analyser les paquets circulant sur un réseau dans le but de «
décoder » le protocole applicatif utilisé :
Contrôle de conformité de la communication aux standards (on parle ici de RFC) du protocole applicatif
Contrôle de l’utilisation faite du protocole
Avantages du contrôle de la conformité du protocole :
Technique proactive, elle permet de bloquer des attaques non connues simplement car elles
dérogent aux RFC ou aux règles. Elle ne nécessite pas le maintien d’une base de signatures
d’attaques.
Limitations :
Technique efficace seulement sur les protocoles analysés (difficulté d’analyser tous les
protocoles). Elle ne permet pas de détecter attaques qui respectent le protocole.
3232 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIREWALLS
3333 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIREWALLS
Fonctions complémentaires
Anti-Spoofing : Détection de l’usurpation d’adresse
NDIS : sonde de détection et de prévention d’intrusions
VPN chiffré (compliant VPN IPSec et/ou VPN SSL)
Authentification des utilisateurs (sur un annuaire externe LDAP / AD)
Antivirus
Anti spam
3434 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIREWALLS
Inconvénients d’un routeur filtrant
Traçabilité : pas de fonction avancée pour logger les informations.
Administration complexe et pas de mécanisme d’alerte
Inconvénients d’un logiciel firewall installé sur un serveur
Coût d’exploitation
Compétences requises en Windows ou Unix
Gestion des sauvegardes
Nécessite le durcissement de l’OS
Failles de sécurité connues
Avantage du Firewall « Appliance »
Système d’exploitation déjà durci et limité au stricte minimum en sortie usine
Nécessite peu de maintenance
Upgrade des versions OS
Pas de sauvegarde complète, uniquement les fichiers de configuration (kOctects)
35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ARCHITECTURES TYPES DE FIREWALLS
DMZ (demilitarized zone) :
En termes militaires, zone où les activités militaires sont interdites (cf. Corée)
réseau tampon situé entre le réseau protégé (interne) et le réseau non protégé (Internet)
36 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
37 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRIVEE
FIREWALLS : NETASQ
3838 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIREWALLS
39 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CAS DES FIREWALLS INDUSTRIEL
Marché en forte croissance
Des constructeurs industriels d’automates -
SCHNEIDER
Des constructeurs informatiques spécifiques au monde
industriels – HISCHMANN
Des constructeurs et éditeurs classiques - THALES
40 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CAS DES FIREWALLS INDUSTRIEL
Eagle20 : filtrage du traffic – firewall réseau
http://www.hirschmann.com/en/Hirschmann_Produkte/Industrial_Ethernet/security-
firewall/index.phtml
Tofina : firewall applicatif
http://iom.invensys.com/fr/pages/Triconex_Tofino_Firewall.aspx
41 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Degree of protection: IP20
Operating temperatures: -40°C to +70°C
DIODES RÉSEAUX
42 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DIODES RÉSEAUX
Une diode réseau est un système qui permet d’interconnecter 2 réseaux, en
autorisant le transfert de données dans un seul sens. Ce type de système est
généralement employé pour relier un réseau nécessitant un niveau de sécurité
élevé, appelé « réseau haut » à un réseau de confiance moindre (par exemple
(Internet), le « réseau bas » . Seul la remontée d’informations du réseau bas
vers le haut est autorisée, afin de garantir la confidentialité du réseau haut.
43 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Diode de données garantissant l’unidirectionnalité
des flux d’information
DIODES RÉSEAUX
Partie matérielle de la diode : la liaison Ethernet optique
unidirectionnelle qui relie 2 serveurs est garantie par l’utilisation
d’une seule fibre optique reliée du côté « bas » à un port
émetteur optique (TX), du côté « haut » à un port récepteur (RX).
44 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DIODES RÉSEAUX
Les caractéristiques optiques et électroniques intrinsèques du
matériel assurent qu’aucune donnée ne peut être transmise du
haut vers le bas, il n’existe donc pas de canal caché possible.
Cette propriété matérielle distingue fondamentalement la diode
réseau d’un pare-feu classique : Même s’il est possible de
configurer un pare-feu pour bâtir une liaison unidirectionnelle
entre deux réseaux, on ne pourra jamais assurer qu’une
vulnérabilité logicielle ou un canal caché ne puisse pas un jour
permettre de transférer des données dans l’autre sens.
45 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DIODES RÉSEAUX
Exemple : Un réseau très sensible peut avoir besoin
d'informations publiques pour son utilisation. Par exemple, un
réseau de contrôle aérien aura besoin d'informations météo pour
fonctionner. Si ces informations sont disponibles sur internet, il
faut pouvoir les récupérer tout en protégeant les informations du
contrôle aérien d'un accès non contrôlé depuis l'internet.
https://www.thalesgroup.com/sites/default/files/asset/document/eli
ps_sd_leaflet_fr_10042013.pdf
46 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROTECTION DE LA COUCHE APPLICATIVE
PROXY - PARE-FEU APPLICATIF
47 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROTECTION DE LA COUCHE APPLICATIVE
Inspectent les paquets au plus profond (couche 7) en tenant
compte de la sémantique de l’application
Ex: peuvent distinguer un GET d’un PUT dans une requête HTTP
Problème
Performance amoindrie
Ce sont les seuls pare-feux qui prennent en charge les menaces
actuelles (80% des attaques au niveau applicatif)
48 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROXIES
Définition d’un serveur Proxy
Propriétés générales
Coupure protocolaire entre le client et le serveur destination
Relais des requêtes du client vers le serveur destination
Fonctionne au-dessus de la couche IP
Différentes utilisations
Performances réseaux
Fonctions de sécurité
Définition des rôles d’un serveur Proxy
Contrôle d’accès
Disponibilité & Performance
Traçabilité
49 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROXIES
Familles de proxies
Proxies applicatifs (Proxy HTTP, Proxy SMTP…)
Proxies dédiés à un ou plusieurs protocoles au dessus de TCP/UDP
Proxies génériques (proxies forwarding ou Proxies de niveau circuit)
50 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROXIES
Proxies
Client Proxy Serveur
51 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Les paquets sont vérifiés dans la couche Application (L7),
Application/Content filtering.
Par exemple les commandes FTP « put » peuvent être interdites, certaines
requêtes Web peuvent être interdites en fonction de l’URL demandée
PROXY WEB
Principes de Fonctionnement
Proxy applicatif effectue
Translation de N°port et @IP
Filtrage basé sur le sens du flux, N°port, @IP
Analyse sémantique et syntaxique du protocole au niveau applicatif
Exemple : proxy HTTP
5252 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Proxy
Internet
Réseau
LAN
Web
server
utilisateur
requêterequête
page page
PROXY WEB
Proxy - Contrôle d’accès
Authentification :
Synchronisation avec l’annuaire d’entreprise pour les utilisateurs et les groupes
Utilisant la méthode « X authenticated-user: » dans le header HTTP
Utilisant le script de Login….
Définition des droits d’accès :
Personnes autorisées,
Heures permises et sites autorisés pour des groupes d’utilisateurs
Type de navigateur Internet autorisé…..
Sur la base d’un annuaire avec des login de connexion
Annuaire Interne ou externe
Utilisation des enregistrements (logs)
Permet d’analyser les URLs demandées, et d’identifier les internautes
53 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROXY WEB
Proxy - Filtrage de contenu
Filtrage des URLs permet de
Bloquer certaines URLs ou certaines catégories d’URLs (listes noires)
Autoriser certaines URLs (listes blanches)
Obligatoire pour certaines organisations : Ecoles, Bibliothèques, etc.
Sur la base des listes statiques ou dynamiques d’URL
Listes blanches et listes noires
Base de données incluant des millions de sites par catégorie (porn, politique, jeux, piratage, …)
et mises à jour quotidiennement
Critères de filtrage par groupe ou profil :
Utilisateurs et groupes d’utilisateurs
Stations de travail (hostname ou adresse IP)
Sous-réseau en fonction des plages d’adresses IP ou VLAN
Heures des accès
54 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROXY WEB
Proxy - Filtrage de contenu
Filtrage des requêtes utilisateurs (exemple : Get-Only)
Filtrage des codes mobiles
Elimination des scripts malveillants, activeX, cookies, Java, JavaScript,
Blocage des publicités
Blocage des virus
Blocage des tentatives d’exploitation des failles de sécurité HTML et HTTP
55 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROXY SMTP (MAILS)
Proxy – Filtrage Anti-Spam
Préambule
En 2007 Radicati Group estime à 75% le volume de spam par rapport au trafic email global
Ouverture de la plate-forme nationale de signalement www.signal-spam.fr le 10 mai 2007
Comment lutter contre le SPAM : Pas de solution miracle à ce jour !
Action juridique (manque d’efficacité) : déposer plainte auprès
de la CNIL en cas de collecte illégale d’informations personnelles
des organismes de défense des consommateurs pour dénoncer des publicités mensongères.
de la justice
« Depuis le12 juillet 2002, la loi statue en faveur de l’opt-in : l’accord préalable et explicite de l’utilisateur
pour l’utilisation de son email à des fins d’envois commerciaux. La collecte par opt-out (accord
implicite) devient illégale au même titre que le spam. Le recours doit se faire auprès de l’autorité
compétente »
Action de sensibilisation interne des utilisateurs (travail de fond) sur le « bon » usage de la
messagerie
56 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROXY SMTP (MAILS)
Proxy – Filtrage Anti-Spam
Calcul coût du spam avec
Vade Retro Technology
http://www.vade-retro.com/fr/cout_spam.asp
Pour le Gartner Group,
une entreprise perd 1300 $
par an et par employé.
5757 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROXY SMTP (MAILS)
Proxy – Filtrage Anti-Spam
Action technique - Méthodes de filtrage
Listes noires mises à jour en temps réel (RBL)
Vérification l’adresse IP du serveur de messagerie expéditeur, en la
comparant aux adresses de diverses listes noires, en vue de s’assurer que le
serveur en question ne fasse pas partie des serveurs relais ouverts utilisés par
les spammeurs. www.mail-abuse.com
Normalement, tout serveur de messagerie sécurisé devrait refuser l'envoi (le
transit – relais ouvert) de messages électroniques d'expéditeurs externes à son
domaine
Recherche de DNS
Détermine si le serveur de messagerie expéditeur est légal et s’il a un nom
d’hôte valide. Cette technique simple permet d’éliminer le spam envoyé par
des serveurs de messagerie non enregistrés en tant qu’hôte qualifié au niveau
d’aucun serveur de noms de domaines (DNS).
58 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROXY SMTP (MAILS)
Proxy – Filtrage Anti-Spam : Méthodes de filtrage (suite)
Filtre sur empreinte
Centralisation de tous les spam et calcul des empreintes par hachage. Pour
tout nouveau message, l’empreinte est calculée puis comparée à la base
existante.
Filtre sémantique
Analyse lexicale
Analyse heuristique
Analyse statistique (ou filtrage de Bayes)
Reconnaissance optique de caractères
De nombreux messages de spam sont reçus sous forme d’image et non de
texte. La technique OCR (reconnaissance optique de caractères) est capable
de lire le texte, même s’il apparaît sous forme d’image graphique.
59 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROXY SMTP (MAILS)
Proxy – Filtrage Anti-Spam : Analyse de l’en-tête SMTP (suite)
6060 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Return-Path: <inteactiv.credltlyonais@security.fr>
Received: from mwinf0504.wanadoo.fr (mwinf0504.wanadoo.fr)
by mwinb0505 (SMTP Server) with LMTP; Wed, 08 Mar 2012 03:32:56 +0100
X-Sieve: Server Sieve 2.2
Received: from me-wanadoo.net (localhost [127.0.0.1])
by mwinf0504.wanadoo.fr (SMTP Server) with ESMTP id A2B6874005E1
for <wfr400009ee3445071e7c8cb76e@back05-mail01-03.me-wanadoo.net>; Wed, 8 Mar 2012
03:32:56 +0100 (CET)
Received: from -1213298912 (unknown [218.24.193.197])
by mwinf0504.wanadoo.fr (SMTP Server) with SMTP id 65F1074005E0
for <bob.leponge@wanadoo.fr>; Wed, 8 Mar 2012 03:32:52 +0100 (CET)
X-ME-UUID: 20120308023253417.65F1074005E0@mwinf0504.wanadoo.fr
Received: from security.fr (-1217000416 [-1216293296])
by quintanaroo.com (Qmailv1) with ESMTP id AF2AF35AF4
for <bob.leponge@wanadoo.fr>; Wed, 08 Mar 2012 06:32:51 -0800
Date: Wed, 08 Mar 2012 06:32:51 -0800
From: Security_credltllyonais <inteactiv.credltlyonais@security.fr>
X-Mailer: The Bat! (v2.00.2) Personal
X-Priority: 3
Message-ID: <3509647370.20120308063251@security.fr>
To: Bruno <bob.leponge@wanadoo.fr>
Subject: Le Credit Lyonnais.Nouveau systeme de securite de notre banque est en regime de test.
MIME-Version: 1.0
Les
différents
relais de
transit
Ordinateur
émetteur
Date et heure
Serveur
messagerie
qui a reçu le
mail
PROXY SMTP (MAILS)
Proxy – Filtrage Anti-Spam : Méthodes de filtrage (suite)
61 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROXY SMTP (MAILS)
Une alternative efficace
6262 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
WAF – WEB APPLICATION FIREWALL – REVERSE PROXY
WAF – ou - Reverse Proxy (ou Proxy de relais inverse)
Caractéristiques
Principalement dédiés aux protocoles HTTP et HTTPS
Protègent les sites web contre les attaques en provenance de l’Internet.
Proposent d’assurer les fonctions d’accélération SSL (via un processeur spécialisé) déchargeant ainsi le
serveur Web de cette tâche et permettant de réaliser l’analyse applicative sur le flux HTTPS
Se réfère au processus où le serveur Proxy apparaît aux utilisateurs comme un serveur Web.
Le reverse proxy est situé côté serveur destination
La requête client est relayée à un autre serveur voir un autre Proxy serveur
Permet de protéger le serveur contre les attaques applicatives
6363
Blocage des attaques applicatives externes (failles XSS, injections SQL, malwares etc...)
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Reverse
Proxy
Internet
Réseau
Web
server
Internaute
requêterequête
page page
WAF – WEB APPLICATION FIREWALL – REVERSE PROXY
Utilisation d’un WAF: Protection contre les attaques
externes
- Filtrage les requêtes au niveau applicatif
- Identification des attaques grâce à la base de signatures
d’attaques et aux règles de filtrage (SQL injection, XSS,
Directory Traversal, Déni de service)
6464
Blocage des attaques applicatives externes
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
WAF – WEB APPLICATION FIREWALL – REVERSE PROXY
6565
Blocage des attaques applicatives externes
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRODUITS DU MARCHÉ
66 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRODUITS DU MARCHÉ
Les principaux acteurs du marché Firewall
Palo Alto Networks
Checkpoint Software Technologies
Cisco Systems
StormShield (ancien Netasq)
Fortinet (Fortigate)
Juniper Networks
CyberGuard
SonicWall (Dell)
WatchGuard Technologies
UTM (Unified Threat Management)
Fortinet
Sophos,
Dell (SonicWall)
Watchguard
Check Point
6767 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRODUITS DU MARCHÉ
Proxy Applicatif
SG Blue Coat
CISCO Cache Engine (intégration aux
routeurs CISCO),
CacheQube, Dynacache (InfoLibria),
ISA Serveur (Microsoft)
NetCache (NetAppliance), « I-Planet Web
Proxy Server » (SUN)
SafeWeb, Border Manager (Novell)
Squid (Open source),
Trafic Edge (Inktomi),
WinGate Pro
IPCop Add-on Advanced Proxy
Module « Proxy » de Apache
Proxy Content filtering -Anti-SPAM
Olfeo
WebSense
Mimesweeper
SurfinGate (Finjan)
eSafe (Aladdin)
AntiSpam (Aladdin)
Mfiltro (Netasq)
IPCop Add-on URL Filtering
Barracuda Networks
Smartfilter (Secure Computing)
6868 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
WAF – Produits spécialisés
DENY ALL
BEEWARE
F5
Diodes – Firewall industriels
THALES
SCHNEIDER
HIRSCHMANN
INVENSYS
PRODUITS DU MARCHÉ
Proxy Web
69 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
WAF
PAUSE-RÉFLEXION
Avez-vous des questions ?
70 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
71 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Bonnes
pratiques
Cloisonnement
VLANs
Firewall
(pare-feu)
Diode
Proxy
Web/Mails
WAF
Routeur filtrant
Illustration
Architecture
sécurisée
OBJECTIFS
ORIGINE DU BESOIN ET DÉFINITION – TERMINOLOGIE - CONCEPTS DE BASE
SÉCURISATION DES DONNÉES ET PKI (PUBLIC KEY INFRASTRUCTURE)
PROBLÉMATIQUE DE LA DISTRIBUTION DES CLÉS PUBLIQUES -
COMPOSANTES D’UNE PKI
CERTIFICAT ÉLECTRONIQUE & CYCLE DE VIE
RÉSUMÉ DU MODULE
MODULE N°2 : PROTECTION DES
APPLICATIONS, DONNÉES ET CRYPTOLOGIE
72 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
OBJECTIFS
Patrimoine informationnel de l’entreprise :
La perte, la divulgation ou l’altération de l’information peuvent constituer un grave
préjudice à l’entreprise en terme de compétitivité, d’image de marque et donc in
fine de pertes financières voire la survie de l’entreprise elle-même.
La mise en œuvre d’une politique de sécurité au niveau de l’information se traduit
par une protection des applications sensibles et de leurs données
« stratégiques ». La mesure de protection des données est principalement une
mesure de chiffrement et de restriction des accès.
73 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
NOTIONS DE CRYPTOLOGIE
74 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
NOTIONS DE CRYPTOLOGIE
Origine, problématique et terminologie
75 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ORIGINE DU BESOIN ET DÉFINITION
La cryptographie assure quatre fonctions essentielles :
Confidentialité : Protection de l’information d’une divulgation
non autorisée (messages, fichiers, données brutes, réseau…)
Intégrité : Protection contre la modification non autorisé de
l’information (messages, fichiers, programmes,..)
Authentification : Le destinataire d’un message doit connaître
avec certitude son émetteur (ressources, utilisateurs, accès,
réseau………. )
Non répudiation : Offre la garantie qu’une entité ne pourra pas
nier être impliquée dans une transaction (imputabilité des
transactions)
76 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ORIGINE DU BESOIN ET DÉFINITION
Pour répondre à ces besoins, différentes techniques
de cryptographie
Le chiffrement et le déchiffrement de données par des
techniques (algorithmes) à clé symétrique et asymétrique pour
assurer la confidentialité et l’authentification implicite.
La technique de création de condensés des informations
obtenues par des opérations de hachage pour l’intégrité
La signature des messages échangés afin de permettre
l’authentification de leurs émetteurs et la non répudiation.
77 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ORIGINE ET PROBLÉMATIQUE
Historique
Atbash cipher (500 – 600 B.C.), Scytale spartiate (150 av. J.C.),
Chiffre de César (100 av. J.C.), Enigma (1929)
A été un enjeu de pouvoir
Usage contrôlé réservé à l’état (militaires, services de renseignements,
diplomates)
La cryptographie a été libérée en France en 1999 (choix de protection des
activités commerciales et de la vie privée et reconnaissance que les activités
malveillantes en tiraient déjà parti)
78 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ORIGINE ET PROBLÉMATIQUE
Problématique
Techniques de chiffrement en constante évolution en fonction des
progrès en mathématiques, en logique et en physique.
La cryptographie est un domaine où les standards peuvent tomber
aussi rapidement qu'ils naissent ( contre exemple DES 1970 )
Le chiffrement de nos jours
Le chiffrement des données est « omniprésent »
Sur votre ordinateur, sur Internet, Carte bancaire, Carte Vitale, GSM,
la télévision payante …
79 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
TERMINOLOGIE
Cryptographie
Désigne l'ensemble des techniques de chiffrement d'informations
Cryptologie
Science du chiffrement.
La Cryptanalyse / Décryptage
En opposition avec la cryptographie. Regroupe l'ensemble des techniques
visant à décrypter les messages chiffrés sans légitimité.
Déjouer les mécanismes mis en place dans le cadre de la cryptographie
Chiffrement/Déchiffrement
Action de retrouver les informations en clair à partir de données chiffrées
Action légitime en opposition avec le décryptage
80 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
TERMINOLOGIE
81 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
? ! ?
•L’algorithme de cryptographie est une fonction mathématique qui est associée avec une clé.
•Une clé est un mot, un nombre ou une suite de caractères alphanumériques
•L’utilisation de clés différentes entraine un résultat de chiffrement différent
Message en Clair
Message chiffré
Cryptogramme
Clé de chiffrement Clé de déchiffrement
Message en Clair
Algorithme
de
Chiffrement
Algorithme de
Déchiffrement
Cryptanalyse :
Déchiffrement
illégitime
?!?
TERMINOLOGIE
Application « interactive »
Application dépendante des informations échangées entre le client et le serveur et
en générale ayant une contrainte temporelle (ou de temps de réponse)
Exemple : Application Web (Browsing), Visio Conférence
Application « non interactive »
Application fonctionnant en mode différée (ou de façon asynchrone)
Exemple : envoi de Mails, transfert de fichier (FTP)
82 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
NOTIONS DE CRYPTOLOGIE
Les concepts de base
83 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES CONCEPTS DE BASE
84 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Information Secret Défense
(Régie par la loi)
Information Confidentielle
(Secret ou discrétion professionnelle)
Information sensible
SURETE SECURITE
COMSEC TRANSEC
Cryptologie Stéganographie
Sécurisation contre
les perturbations
• Pannes
• Dégradation
• Bruit de fond
Sécurisation contre les
malveillances
Sécurisation de la transmission
Les données et la transmission sont
dissimulées
Sécurisation de la communication
on sait que les données sont
chiffrées
LES CONCEPTS DE BASE
Chiffrement symétrique
Principe
Notion de symétrie car on utilise la même clé pour chiffrer et
déchiffrer le message
Notion fondamentale du canal sécurisé pour l'échange de la clé
afin de communiquer en toute sécurité via en environnement à risque
Le chiffrement consiste à appliquer au message un algorithme dont le
paramètre est la clé de chiffrement, appelé aussi chiffrement à clé
secrète (ou encore clé de session).
C’est le moyen le plus répandu, le plus ancien et le plus simple à mettre
en œuvre.
85 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES CONCEPTS DE BASE
86 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
•La même clé (Ks : Clé secrète) permet de chiffrer et déchiffrer
•Les algorithmes à chiffrement symétrique sont fiables et rapides
•Exemple : Algorithme DES, AES, …
•Problème : Avoir un canal sécurisé pour distribuer la clé Ks
Clé Ks pour
chiffrement
Clé Ks pour
déchiffrement
LES CONCEPTS DE BASE
Les algorithmes symétriques
• 2 variantes de chiffrement symétrique
– Chiffrement symétrique par flux (Stream Cipher)
– Chiffrement symétrique par bloc (Block cipher)
• Chiffrement symétrique par flux (Stream Cipher) : RC4 (Rivest Code 4)
– Traitement d’un Byte à un instant donné
– Key stream Ks, Message M, Résultat du chiffrement C
C[i] = Ks[i] Xor M[i] M[i] = Ks[i] Xor C[i]
• Chiffrement symétrique par bloque (Block cipher) : DES, AES, RC2
– Traitement d’un bloque de bytes à un instant donné (8, 16 bytes)
– Matrice de données avec un clé pour sélectionner les colonnes
C[i] = E(K,M[i]) M[i] = D(K,C[i]) (Modèle de base ECB)
87 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES CONCEPTS DE BASE
88 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Exemples
DES (Data Encryption standard) conçu par IBM/NSA en 1970
IBM a conçu LUCIFER (128 bits), revue par la NSA pour donner le DES (56bits)
En 97, une attaque a été menée en trouvant la clé de chiffrement en moins de 24
heures -> Apparition du 3DES
3DES : Robustesse effective de la clé est de 112 bits et non de 168 bits (3 x 56)
IDEA 128 bits crée par la société Mediacrypt – brevet expiré en 2012
SKIPJACK : conçu par NSA en 1980 et resté secret jusqu’en 1998 – non fiable ou
intégrant une backdoor.
AES (Advanced Encryption standard) – Préconisation actuelle – AES-CBC 128 bits
Adopté par le NIST (National Institute of Standards and Technology)
Tailles de clé : 128, 192, 256, 512 Bits
LES CONCEPTS DE BASE
Avantage
Le chiffrement symétrique permet de chiffrer de grandes quantités de
données avec des performances élevées.
Inconvénients
Partage de la même clé entre l’émetteur et le destinataire du message.
Toute la sécurité repose sur la clé symétrique
La sécurité est fragilisée par le problème de distribution des clés via un «
canal non sécurisé »
La gestion, la garantie de confidentialité et d'intégrité des clés secrètes
engendrent alors des difficultés en termes de ressources et d'organisation :
Un même utilisateur communique avec des groupes différents qui, n'ayant
pas accès aux mêmes types d'information, ne doivent pas partager le
même secret.
Ceci conduit à utiliser un grand nombre de clés :
Nombre de Clés = (n-1)n/2 avec n = nombre d’utilisateurs
89 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES CONCEPTS DE BASE
Chiffrement Asymétrique (chiffrement à clé publique)
Principe
Il utilise une clé différente en émission et en réception (une partie privée qui est
secrète et une partie publique, dont la confidentialité n'est pas nécessaire).
Ce couple de clés est appelé «bi-clé ». Les deux clés utilisées sont crypto
graphiquement indissociables de telle sorte que tout message chiffré avec l’une
des clés ne peut être déchiffré que par l’autre clé.
Reposent sur le problèmes mathématique de la factorisation en grands nombres
premiers
Il est parfaitement possible de trouver les facteurs premiers d'un nombre à 50
chiffres. Il ne s'agit que d'une question de temps
Valable tant qu’aucune découverte mathématique ne serait faite.
90 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES CONCEPTS DE BASE
91 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés 91
• Un interlocuteur communique sa clé publique et garde sa clé Privée
• Pour une communication à deux, on a 2 couples de clés (Kpu, Kpr)
• une clé publique permet de chiffrer, Une clé privée sert à déchiffrer
Clé Kpu de
chiffrement
Clé Kpr de
déchiffrement
Clé Kpu de
chiffrement
Clé Kpr de
déchiffrement
LES CONCEPTS DE BASE
Avantages
Confidentialité : Permettre à tous de chiffrer des messages avec la clé publique
d'une personne. Mais seule la clé privée sera en mesure de lire les messages.
Authentification et Non répudiation : en chiffrant un message avec sa clé privée,
une personne prouve la provenance du message puisque seule sa clé privée est
en mesure de générer un message déchiffrable par sa clé publique connue de
tous.
Le chiffrement asymétrique simplifie donc la gestion des clés puisque la clé
publique peut être distribuée à tout le monde.
n « bi-clé » pour n utilisateurs (évolution linéaire)
Au moins trois types de bi-clés pour des besoins de sécurité différents :
bi-clés de signature permettant de garantir l'intégrité et l'authentification l'origine d'un
message
bi-clés de chiffrement utilisés pour chiffrer directement des messages
bi-clés d'échange de clé destinés à protéger un échange de clé de session (elle-même
utilisée pour chiffrer un message)
Inconvénient
Processus lent car nécessite de nombreux calculs
1000 fois plus lent que le chiffrement symétrique
92 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES CONCEPTS DE BASE
Combinaison des deux chiffrements
Principe
Garder les avantages des 2 systèmes (symétrique et asymétrique)
Consiste à protéger les clés symétriques par un chiffrement asymétrique
Fonctionnement
L’émetteur chiffre son message avec une clé symétrique dite clé de session
Les clés de session sont de 56, 128, 256, 512 bits.
L’émetteur chiffre cette clé de session avec la clé publique du destinataire. Les clés
publiques sont de 1024 bits ou 2048 bits. (ANSSI préconise une taille > 1024 bits)
L’émetteur émet à la fois le message chiffré et la clé de session chiffrée.
Le destinataire déchiffre la clé de session en utilisant sa clé privée.
Le destinataire déchiffre ensuite le message avec cette clé de session.
93 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Logiciel de cryptologie hybride : PGP, GnuPG, ACID Crytofiler
LES CONCEPTS DE BASE
La combinaison des 2 principes Asymétrique et Symétrique résout :
- le problème de performance : le nombre de bits chiffrés avec l’algorithme asymétrique est faible comparé
à la longueur du message chiffré avec l’algorithme symétrique
- Plus besoin d’un canal sécurisé pour l’échange des clés de session (ou clés secrètes)
- Réduit la complexité de la gestion des clés (réduction du nombre globale de clés)
Alice Bob
94 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES CONCEPTS DE BASE
95 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés 95
Mécanisme : Mixage du chiffrement symétrique et asymétrique en
considérant les avantages de chacun
Clé Kpu
de chiffrement
Clé Kpr
de déchiffrement
Clé Ks pour
chiffrement
Clé Ks pour déchiffrement
Génération d’une clé
secrète (Clé de session
Transissions de Ks
Transissions sécurisé
LES CONCEPTS DE BASE
Algorithmes Asymétriques
RSA (1977) : Ron Rivest, Adi Shamir, Len Adelman
Algorithme à clé publique le plus utilisé.
Repose sur la quasi impossibilité à inverser une fonction puissance et est ainsi
considéré comme sûr quand la clé est suffisamment longue
RC4 et RSA sont presque toujours associés (RC4 pour le chiffrement des
messages, RSA pour le chiffrement des clés AES).
RSA permet l’utilisation de clé de 512, 768, 1024 ou 2048 bits
Préconisation actuelle : RSA avec une clé >= 2048 bits
De gauche à droite : Adi Shamir, Ronald Rivest,
Leonard Adleman
96 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES CONCEPTS DE BASE
Algorithmes Asymétriques
DH Diffie-Hellman (1976)
Utilisé pour la mise en accord de clé de chiffrement
Utilisé pour l’échange de clé à travers une liaison non sécurisée uniquement
Permet de chiffrer mais pas de signer. Il doit donc être associé à un autre
algorithme DSS (Digital Signature Standard)
Withfield Diffie Martin Hellman
97 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES CONCEPTS DE BASE
Analogie pour l’explication du secret partagé de « Diffie-Hellman »
Alice et Bernard désirent s’échanger une clé de session.
Ils conviennent entre eux d’utiliser une certaine quantité de bleu pour
communiquer
Chacun ajoute une quantité d’une autre couleur dans son pot.
La quantité et la couleur choisies par chacun ne sont connues de
personne
Alice Bernard
98 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES CONCEPTS DE BASE
Analogie
Les deux pots de peinture sont alors échangés
Alice Bernard
99 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES CONCEPTS DE BASE
Analogie
Il n’est pas possible de connaître les couleurs ajoutées
Chacun ajoute à nouveau la même teinte et la même quantité que la
fois précédente
Alice Bernard
100 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES CONCEPTS DE BASE
Analogie
Alice et Bernard obtiennent la même couleur alors que les quantités
ajoutées de vert et d’orange par chacun n’ont jamais été
communiquées.
Alice Bernard
101 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES CONCEPTS DE BASE
Calcul d’intégrité d’un message : Hachage
Principe
Utilisé pour contrôler l’intégrité de l’information, en envoyant cette information
accompagnée de son condensé, ce dernier étant éventuellement chiffré.
Ne garantie pas la provenance du message
Fonction appelée également fonction de condensation
Fonctionnement
Permet d'obtenir un « nombre caractéristique » sous forme d’une suite de
caractères de taille fixe correspondant à partir d’un message de taille variable.
Chaque message doit donner qu'un seul résultat appelé un condensé du message
Fonction à sens unique (On Way Function).
Il est impossible de retrouver le message original à partir du condensé. C’est
l'empreinte digitale du message
102 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
À un texte est associé un et un seul condensé
Fonction à sens unique : impossibilité de retrouver le texte à partir d’un
condensé
LES CONCEPTS DE BASE
Fonctionnement (suite)
Très faible probabilité pour un condensé de correspondre à deux messages
En pratique, il faut que le condensé ait une taille minimum de 128 bits
Probabilité de collision :
Calcul de la résistance aux collisions : la ½ de la taille du condensé
Condensé de 128 bits -> 264 opérations pour générer une collision
Illustration d’un condensé résultat d’un opération de hachage
103 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES CONCEPTS DE BASE
Illustration de l’utilisation
104 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES CONCEPTS DE BASE
Algorithmes de Hashing
MD5 (Message Digest 5) par Ron Rivest 92
Condensé de 128 Bits
Algorithme déconseillé – faiblesses démontrées et prouvées depuis 2008
SHA-1 (Secure Hash Algorithm) - plus supporté en 2016 dans les certificats
Condensé de 160 Bits
Algorithme déconseillé – faiblesses démontrées et prouvées depuis 2010
SHA-256 bits et SHA-512 bits recommandés aujourd’hui pour éviter
les collisions
105 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES CONCEPTS DE BASE
MD5:
ad88955aae07d7b60c9d0d022cda0a34
SHA -1:
eb17e6600074f371a4b40d72d35e95e0d896ee1d
SHA-256:
7d0e8e1c4b5b6ba516322f603710eba7da73323fbfa4dac3e0ed4291b98737c4
SHA-512:
a9261cc227b3d0ed2129d64841d59b3e82721dcb0a912c54a529c4835f281dfcf
8706a93d2d5a2047a97403701368cabca2b2a76637c634b9c9905b98f6a3c78
WHIRPOOL:
33db4434493fc116d1d1a0c602502e343f05010cdc2a1e3527d80eacd0531e339
6f2fe824883c525332f41abab77bc92c4af8407af5482f5a1b8465fbd6a439f
106 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES CONCEPTS DE BASE
Signature électronique
Principe
Aspect fondamentale dans l’authentification de l’origine d’une transaction ainsi que
dans sa garantie de « non répudiation ».
Elle s’obtient en associant une opération de hachage et un opération de chiffrement
asymétrique avec la clé privée de l’émetteur
Comme un condensé représente l'empreinte digitale d'un message, il suffit de
chiffrer ce condensé à l'aide d'un algorithme à clés asymétriques.
Si le condensé de l’émetteur ne peut pas être déchiffré à l'aide de sa clé publique, il ne
provient pas de la même personne.
Si le message a été modifié, les condensés après comparaison ne correspondent pas.
107 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Permet d’assurer l’intégrité du message
Permet d’authentifier l’expéditeur
Permet d’assurer la non-répudiation
LES CONCEPTS DE BASE
108 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Clé Kpu
de chiffrement
Clé Kpr
de déchiffrement
Vérification authenticité par
le destinataire
Transissions
Scellement
du message de
l’expéditeur
Sceau
Permet d’assurer l’intégrité du message
Permet d’authentifier l’expéditeur
Permet d’assurer la non-répudiation
COMMENT CHOISIR UNE TAILLE DE CLÉ ?
http://www.keylength.com/fr/5/
109 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SÉCURISATION DES DONNÉES ET
PKI (PUBLIC KEY
INFRASTRUCTURE)
110 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SÉCURISATION DES DONNÉES ET PKI
Problématique de la distribution des clés publiques
111 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROBLÉMATIQUE DE DE LA DISTRIBUTION DES
CLÉS PUBLIQUES
Les mécanismes décrits précédemment permettent la constitution d’un réseau où
les personnes peuvent communiquer de façon sûr grâce au chiffrement des
messages
Or, comment l’émetteur peut-être sûr que la clé publique qu’il utilise appartient
bien au destinataire ?
Si une personne malintentionnée a pu modifier l’annuaire (contenant l’ensemble
des clés publiques) et mettre sa propre clé publique à la place du destinataire «
Bob », alors cette personne peut déchiffrer les messages à destination de « Bob »
ou envoyer des messages chiffrés et/ou signés en se faisant passé pour lui.
D’où la nécessité d’avoir un composant supplémentaire qui garantisse que la clé
est bien celle du propriétaire annoncé.
112 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PROBLÉMATIQUE DE DE LA DISTRIBUTION DES
CLÉS PUBLIQUES
La PKI ou infrastructure à clés publiques a pour but de résoudre le
problème de la distribution des clés publiques.
La PKI fournit des certificats garantissant le lien entre une identité et un
clé publique.
113 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
COMPOSANTES D’UNE PKI
114 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
COMPOSANTES D’UNE PKI
Définition de l’IETF
L’Infrastructure à clé publique de la PKI (Public Key
Infrastructure) désigne l’ensemble des moyens et
des ressources nécessaires à la gestion du cycle
de vie et à l’exploitation des certificats
Une PKI regroupe ainsi les composants
techniques, les ressources, l’organisation et les
politiques de sécurité permettant l’usage de la
cryptographie à clé publique dans un contexte
défini
115 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
COMPOSANTES D’UNE PKI
Principales fonctions de la PKI :
Enregistrement de demandes et de vérification des critères pour
l’attribution des certificats (Autorité d’enregistrement)
Génération d’une demande de signature de certificat (Autorité
d’enregistrement)
Création de certificats (fabrication des bi-clés) (Autorité de certification)
Certification des certificats entraînant la publication des clés publiques
Renouvellement des certificats (Autorité de certification)
Révocation sur date de péremption, perte, vol ou compromission de clés
(Autorité de certification)
Stockage et archivage des certificats pour assurer la sécurité et la
pérennité (Autorité de dépôt) – Annuaire LDAP en général
116 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
COMPOSANTES D’UNE PKI
Autorité de Certification (Certification Authority : CA)
Principe de fonctionnement
Pour publier une clé publique, il faut effectuer une demande à une autorité de certification (ou
par l’intermédiaire d’une autorité d’enregistrement) qui fournit après vérification de l ’identité du
demandeur un certificat numérique à ce dernier
Ce certificat délivré authentifie la clé publique du demandeur
Dans le certificat se trouve la signature de l’autorité de certification
L’autorité de certification qui effectue cette signature se porte garante de l’exactitude de
l’association entre la clé publique et le nom de son possesseur.
Hiérarchie et organisation
L’autorité de certification ne peut pas vérifier la légitimité de toutes les demandes.
C’est le rôle des autorités d’enregistrement qui vérifient et valident les demandes avant de les
transmettre à l’autorité de certification
117 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Autorité de certification : VeriSign, Certplus, Click&Trust,
ChamberSign, Thawte, Entrust.net, Certinomis
INFRASTRUCTURE PKI
118 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Demande de
certificat
Demande de
certificat
Expiration du
certificat
Expiration du
certificat
AuthentificationAuthentification
Génération du
certificat
Génération du
certificat
Révocation du
certificat
Révocation du
certificat
Suspension du
certificat
Suspension du
certificat
Levée de la
suspension
Levée de la
suspension
Exploitation du
certificat
Exploitation du
certificat
Remise au
demandeur
Remise au
demandeur
RenouvellementRenouvellement
COMPOSANTES D’UNE PKI
119 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AC : Autorité de certification = Préfecture
AE: Autorité d’enregistrement = Marie
End entity : propriétaire du certificat
Certificat = Carte d’identité
COMPOSANTES D’UNE PKI
AC racineAC racine
AC
subordonnée
AC
subordonnée
AC
subordonnée
AC
subordonnée
AC
subordonnée
AC
subordonnée
AC
subordonnée
AC
subordonnée
AC
subordonnée
AC
subordonnée
Chaîne de certification
La hiérarchie d’une PKI
120 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
COMPOSANTES D’UNE PKI
Usages d’une PKI :
Navigateur en SSL (https)
Messagerie électronique (S/MIME)
Carte à puce pour ouverture de session ou authentification SSL
Connexion réseau sécurisée (VPN)
121 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CERTIFICAT ÉLECTRONIQUE
122 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CERTIFICAT ÉLECTRONIQUE
Le propriétaire du certificat peut être une être humain ou une machine.
- Exemple de certificat machine : serveur SSL, serveur VPN IPSec …
- Exemple de certificat personne : utilisation de la messagerie S/MIME
123 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Le certificat électronique
Des informations relatives à l’utilisateur : Nom, prénom, département, adresse email…
Sa clef publique
La durée de validité du certificat
Les usages du certificat
Le tout est signé par l’Autorité de Certification de la PKI
Il existe un « typage » des certificats électroniques, par fonction
(keyusage)
Permet de distinguer, schématiquement, les certificats:
d’authentification
de chiffrement
de signature
CERTIFICAT ÉLECTRONIQUE X509
Identité du sujet
Identité de
l’émetteur
Valeur de la clé
publique du
sujet
Durée de validité
Signature
numérique de
l’Autorité de
Certification (AC)
Chemin pour la CRL
Chemin pour la
récupération du
certificat AC
Sujet: Cyril Voisin
Émetteur: Issuing CA
Valide à partir de: 17/01/2014
Valide jusqu’au: 17/01/2017
CDP:URL=http://pronetis.fr/crl/CA.
crl
AIA:URL=http://pronetis.fr/ca.crt
Clé publique du sujet: RSA 1024..
Politique d’application: Client
Authentication, SmartCard Logon...
Numéro de série: 78F862…
……
Signature: F976AD…
La signature numérique garantie l’intégrité des données
(idem pour une CRL)
124 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CERTIFICAT ÉLECTRONIQUE
La classe d’un certificat se caractérise en fonction des points suivants
- Vérification d’identité
- Protection de la clé privée de l’autorité de certification
- Protection de la clé privée du demandeur
Classe 1 : certificat gratuit ou de test. Seule l’adresse e-mail est vérifiée
Classe 2 : les informations concernant le titulaire et son entreprise sont contrôlées par l’autorité
de certification sur la base de pièces justificatives
Classe 3 : par rapport au certificat de classe 2, un contrôle supplémentaire de l’identité du
titulaire est effectué physiquement entre le titulaire et un agent de l’autorité de certification. Le
stockage obligatoire de la clé privée doit se faire sur un support sécurisé (Token USB, carte à
puce)
125 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CERTIFICATS ÉLECTRONIQUES
Certificats dans Internet Explorer
3 grandes catégories
Certificats racines
Certificats intermédiaires
Certificats personnels
126 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CERTIFICATS ÉLECTRONIQUES
Exemple de
certificat serveur
127 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CERTIFICATS ÉLECTRONIQUES
Exemple de certificat serveur
128 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CERTIFICATS ÉLECTRONIQUES
Exemple de certificat serveur
129 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LA CHAÎNE COMPLÈTE
Chiffrement
asymétrique
Clé privée de Bob
( émetteur)
empreinte
empreinte
déchiffrement
asymétrique
ALICE
BOB
Exemple de la signature d’un message
Certificat
de
BobService de
publication
Clé publique de Bob
130 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LA CHAÎNE COMPLÈTE
ALICE
BOB
Exemple du chiffrement d’un message
Clé publique de Bob
(destinataire)
Chiffrement
asymétrique
Clé privée de Bob
(destinataire)
déchiffrement
asymétrique
Certificat
de
Bob
Service de
publication
131 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CYCLE DE VIE DU CERTIFICAT
Création :
Révocation :
- Perte du support de la clé privée
- Compromission de la clé privée
- Changement des informations contenues dans le certificat (changement de ville, de
fonction, etc…)
La révocation est la seule manière de dégager sa responsabilité en cas de signature
frauduleuse.
Suspension
La suspension est une révocation temporaire. Un utilisateur a perdu son certificat mais
qu’il pense pouvoir retrouver.
Renouvellement
A la fin de la période de validité, l’utilisateur peut demander le renouvellement de son
certificat.
132 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
133 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Origine
Besoin
Définition
Terminologie
Composante
d’une PKI
Certificats et
cycle de vie
Concepts de base :
Signature,
Condensé,
symétrique,
asymétrique
PKI &
distribution des
clés
MESSAGERIE SÉCURISÉE S/MIME
VPN - VIRTUAL PRIVATE NETWORK - FAMILLES DE VPN
STANDARDS SSL ET IPSEC - SSL VERSUS IPSEC
PRODUITS DU MARCHÉ
MODULE N°3 : PROTECTION DES
COMMUNICATIONS RÉSEAU
134 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ILLUSTRATION AVEC UN CLIENT DE MESSAGERIE MICROSOFT OUTLOOK 2013
ENVOI ET RÉCEPTION DE MAILS SIGNÉS ET CHIFFRÉS
MESSAGERIE SÉCURISÉE S/MIME
135 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
S/MIME
136
La technologie S/MIME
(Secure Mime), créée en
1995, permet d’envoyer et
recevoir des courriers
électroniques signés et/ou
chiffrés.
Elle est implémentée dans la
plupart des agents de
messagerie
(Microsoft Outlook, Lotus
Notes, Thunderbird, MacOS
Mail, etc.).
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007 :
CONFIGURATION
137 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007
138
Envoi d’un mail signé et chiffré
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007
139
Réception d’un mail signé
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007
140
Réception d’un mail signé et chiffré
Le message n’est pas stocké en clair dans le fichier
« .pst ». Il n’est pas affiché automatiquement
dans l’écran de visualisation
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007
141
Réception d’un mail signé et chiffré
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VPN (VIRTUAL PRIVATE NETWORK)
VPN CHIFFRÉ ET TECHNIQUES DE
TUNNELING
142 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FAMILLES DE VPN
Virtual Private Network
Liaison sécurisée entre deux réseaux
Les informations sont envoyées à travers un tunnel chiffré
Protocoles largement déployés : IPSec, SSL, SSH
Extension d’un réseau privé à travers un réseau public (ex : Internet) :
Site-to-site VPN : interconnexion de deux réseaux privés de type LAN
(ex : siege et son agence)
Remote access VPN : connexion pour les utilisateurs nomades
143 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Site-to-site VPN
LA CHAÎNE DE LIAISON SÉCURISÉE
Site distant : agence, fournisseur
Transport sécurisé
• IPSec
• SSL
Réseau IP
Protection du poste
de travail
• Authentification
• Sécurisation
• Connexion
Périmètre de défense
• Firewall
• Concentrateur VPN
Accès
• Authentication
• Autorisation
• Détection d’intrusion
MPLS
Internet
RTC/RNIS
DSL/Câble
GPRS/3G
RTC/RNIS
DSL/Câble
GPRS/3G
MPLS
Internet
MPLS
Internet
144 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FAMILLES DE VPN
SSL Extranet
Application-aware
IPSec VPN
CPE-based
Virtual Router
IPSec / MPLS / BGP
Circuit VPN
ATM / FR
Ethernet VPN
Optical / MPLS
Network-based
VPNs
Layer 4-7 Layer 3 Layer 2
Accès distant
aux applications
et
Extranets pour
les partenaires
Liaisons site à
site
et
Accès distant au
réseau
Outsourced Network-to-network
and
SP Managed Employee remote network access
Layer 4-7 Layer 3 Layer 2
Accès distant
aux applications
et
Extranets pour
les partenaires
Liaisons site à
site
et
Accès distant au
réseau
Outsourced Network-to-network
and
SP Managed Employee remote network access
145 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
STANDARDS SSLV3 ET IPSEC
146 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES STANDARDS SSL ET IPSEC
Les standards
SSL (Secure Sockets Layer)
Se situe au-dessus de la couche TCP
Exemple de protocoles utilisant SSL : HTTPS, SFTP, LDAPS
IPSec (IP Security)
Se substitue à la couche 3 de IPV4 en dessous des couches UDP, TCP
147 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES STANDARDS : SSL
Objectif de SSL
Authentification du serveur, Confidentialité, Intégrité des données et
optionnellement authentification du client
Principe SSL
Utilise une combinaison de chiffrement à clé publique (asymétrique) et à clé
secrète (symétrique).
Une session SSL débute toujours avec un échange de messages appelé «
accord SSL» ou « SSL handshake »
Cet échange a lieu afin de faciliter les actions suivantes :
Authentification du serveur par le client en utilisant des techniques de clés publiques
Sélection des algorithmes de cryptographie supportés par les deux parties
Mise en accord sur une clé de session pour le chiffrement des données
Authentification du client par le serveur (optionnel)
Etablissement d’une connexion SSL chiffrée.
148 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES STANDARDS : SSL
Utilisation de SSL
SSL est largement utilisé dans les transaction e-business à travers Internet
SSL est une solution intégrée
par les navigateurs principaux du marché :
Mozilla, Netscape Navigator, Microsoft Internet Explorer…
Par les serveurs utilisant SSL :
Websphere (IBM), Entreprise Server (Netscape), Internet Information Server
(Microsoft), JAVA Web Server (Sunsoft)
Open SSL est une version gratuite
www.openssl.org
149 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES STANDARDS : SSL
1 : c > s : envoi de la requête ClientHello
Contenant la version SSL supportée, liste des méthodes de chiffrement
proposée au serveur ainsi qu’une Valeur aléatoire R1 qui sera
utilisée dans la génération d’une clé de session
2 : s > c : réponse avec 3 messages
- ServerHello : sélection d’une méthode de chiffrement et
d’une valeur aléatoire R2
- Certificate : contenant la clé publique du serveur
- ServerHelloDone : indicateur de fin de la négociation côté serveur
3 : c > s : envoi de 3 réponses
- ClientKeyExchange contient une clé C1 générée aléatoirement et
chiffrée avec clé publique du serveur. La clé de session sera dérivée à
partir des valeurs R1, R2 et de C1.
- ChangeCipherSpec : spécifie que tous les messages envoyés après
seront chiffrés avec la méthode de chiffrement négociée mutuellement
- Finished : contient une valeur de retour validant la fin de la bonne
négociation de la méthode de chiffrement
4 à (n-1) : La connexion est prête à échanger les données applicatives
n : c > s : close_notify indiquant la fin de la communication.
150 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES STANDARDS : SSL
Remarque : Traces effectuées avec « SSLDump »
Affichage des informations les plus importantes
Version supportée
Les listes des méthodes supportées
1. Algo d’échange de clés
2. Algo d’authentification
3. Algo de chiffrement
4. Algo de signature
Méthodes de compression supportées
Paramètres retenus par le serveur
RSA, DES CBC et SHA-1
151 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES STANDARDS : SSL
Le pre-master-secret (C1)
Chiffrement effectif des
informations échangées
À partir de la requête N°7 jusqu’à
La fin de la session
152 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES STANDARDS : SSL
Algorithmes supportés par SSL V3
DES, Triple-DES
MD5
RC2 et RC4
RSA Chiffrement
RSA Echange de clé. Un algorithme d’échange de clé pour SSL basé sur RSA.
DHE : Diffie Hellman Ephemeral
SHA-1, SKIPJACK
KEA. Key Exchange Algorithm, (utilisé pour l’échange de clé par les USA)
Etc…
SSL utilise généralement RSA pour l’échange de clé ainsi que RC4 pour
chiffrer les sessions.
Application de SSL
HTTPS RFC2818 (port 443)
HTTPS utilise le « hostname » comme intégrité de référence conjugué avec le
certificat du serveur.
153 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES STANDARDS : SSL
Points de contrôles
Est-ce que la version du protocole SSL est vulnérable ?
Quel est le niveau de sécurité du chiffrement proposé par votre serveur SSL ? (type
d’algorithme et taille des clés de chiffrement)
Est-ce que le certificat du serveur est valide ?
L’implémentation du protocole SSL est-il vulnérable aux failles connues (ex : Heartbleed)
TEST : https://www.ssllabs.com/ssltest/
Préconisations :
Protocoles : Utiliser TLS 1.2 (SSL V3, TLS 1.0, TLS 1.1 sont vulnérables)
Algorithmes à retenir : AES-GCM, SHA-2, SHA-512
Algorithmes à proscrire : MD5, 3DES
Algorithmes à éviter : RC4, SHA-1
Tailles de clés à utiliser : AES-128 bits, RSA-2048 bits
154 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES STANDARDS : IPSEC
Objectifs de IPSec
Confidentialité, Intégrité
Garantir la provenance des données (Authentification d’origine)
Contrôle d’accès (ACLs), Anti-Rejeu
Masquage des topologies réseaux (en utilisant le mode Tunnel)
Caractéristiques IPSec
Substitue de la couche IP v4
Inclus dans la spécification IP v6
Interopérabilité : Méthode standard. IPSec n’impose ni algorithmes de
chiffrement, ni procédures d’authentification particulières
2 Modes d’encapsulation : Mode Transport et Mode Tunnel
155 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES STANDARDS : IPSEC
156 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VPN LAN To LAN
VPN NOMADE
CONCENTRATEUR VPN
LES STANDARDS : IPSEC
Présentation
Comme SSL, IPSec a un mécanisme de mise en accord sur un secret
partagé et une gestion de clés fournis par IKE, ainsi qu’une protection des
données fournie par AH et ESP.
La SA (Security Association) est le liant technique entre les fonctions IKE
et AH/ESP.
A la différence de SSL, l’échange, la gestion de clés et les fonctions de
protection du trafic sont complètement séparés
« Briques techniques » de IPSec
AH (Authentication Header) RFC2402
ESP(Encapsulating Security Payload) RFC2406
IKE (Internet Key Exchange) RFC2409
157 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES STANDARDS : IPSEC
AH : Authentification Header
Objectif
Assure l’intégrité et l’authentification des paquets IP
Assure une protection contre le « rejeu » (optionnel)
Fonctionnement
Signe numériquement le paquet sortant (entête et données du corps) grâce à une
fonction de hachage HMAC
Un code MAC (Message Authentication Code) est généré à chaque datagramme
transmis, qui sera contrôlé par le destinataire.
HMAC-MD5 ou HMAC-SHA sont le plus souvent utilisés dans le calcul de la MAC
158 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES STANDARDS : IPSEC
ESP : Encapsulating Security Payload
Objectif
Assure l’intégrité et la confidentialité des données dans le message
original l’origine du paquet
Assure l’authentification (optionnel)
Assure une protection contre le « rejeu » (optionnel)
Fonctionnement
Combine une fonction de hachage (HMAC-MD5 ou HMAC-SHA-1) et un
chiffrement type Triple-DES, AES…
159 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES STANDARDS : IPSEC
SA (Security Association)
Contient l’ensemble des paramètres de sécurité pour effectuer une communication
sécurisée.
IKE (Internet Key Exchange)
IKE engendre automatiquement les clés et gère automatiquement leur renouvellement,
tout en utilisant un mécanisme de rafraîchissement de clé
IKE régit l’échange de clés, en s’assurant qu’elles sont délivrées de façon sûre. Cet
échange est basé sur le protocole Diffie-Hellman et s’assure que l’identité des deux
parties est connue.
Soit au travers de mots de passe appelés secrets pré partagés (pre-shared key)
Soit à l’aide de certificats X509 V3.
160 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES STANDARDS : IPSEC
Les phases IKE
Phase 1 « IKE » : La 1er phase établit un canal sécurisé pour la négociation des
paramètres de sécurité afin d’établir la future communication.
1 : Choix de l’algorithme de chiffrement, la fonction de hachage, la méthode d’authentification,
ainsi que les paramètres de codage propres à Diffie-Hellman
2 : Les deux parties calculent ensuite le secret partagé et les clés de session destinées à
protéger les échanges IKE suivants. (Diffie-Hellman)
3 : Dans un troisième temps a lieu l’identification mutuelle selon le mode d’authentification retenu.
(Soit avec un certificat ou une pre-shared key)
Phase 2 “Quick Mode” : Négociation des SA générales : La 2nd phase construit les SA
nécessaires pour la suite de la communication sécurisée
Définition des SA générales
161 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES STANDARDS : IPSEC
IPSec supporte deux modes d’encapsulation
Mode Transport
Mode Tunnel
162 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES STANDARDS : IPSEC
163 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Mode Transport
• Chiffre seulement le corps de chaque
datagramme
• Assure une protection des couches
supérieures
• Entête IP reste intacte
• Pas de changement au niveau du
routage
• Utilisable que par les équipements
terminaux (postes clients, serveurs).
LES STANDARDS : IPSEC
164 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Mode Tunnel
• Chiffre à la fois l’entête IP et le corps
du datagramme
• Encapsule le tout dans un nouveau
paquet avec une « pseudo-entête »
IP de remplacement.
• Permet une protection de l’entête
originale du datagramme
• Cache la topologie (ou les adresses
IP) des équipements terminaux
• Utilisable par les équipements réseau
(routeurs, firewall…).
Exemple : Un tunnel reliant 2 réseaux en adresses 192.168.1.0/24 à un réseau
192.168.2.0/24 à travers Internet, permettra à un utilisateur en 192.168.1.100
d’accéder à une ressource en 192.168.2.200
SSL VERSUS IPSEC
165 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SSL VS IPSEC
Les deux solutions offrent l’authentification, la confidentialité et l’intégrité des
données
IPSec
Opère au niveau 3
pour créer un
tunnel sécurisé
Le paquet IP
original est chiffré
et transporté dans
un autre paquet IP
Nécessite un
client IPSec sur le
poste
Le réseau doit
supporter IPSec
Sécurité forte
SSL
Opère au niveau 4
Les données
applicatives sont
chiffrées dans le
paquet IP
Supporté par la
totalité des
navigateurs
Les applications
doivent supporter
SSL
Sécurité forte
166 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SSL VS IPSEC
SSL Vs IPSec
IPSec fournit des mécanismes de sécurité au niveau réseau (3), donc pour
les protocoles basés sur UDP ou bien TCP.
IPSec peut poser des problèmes pour traverser des équipements
intermédiaires (Proxies, Firewall)
Nécessité d’avoir un client IPSec sur le poste client
IPSec permet de faire passer tous les flux IP contrairement à SSL
Les protocoles applicatifs utilisant SSL fournissent plus de flexibilité et sont
plus faciles à mettre en œuvre.
Indépendance du poste de travail. Notion de client léger (Thin Client)
167 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SSL VS IPSEC
OuiNonDe n’importe quel poste (web kiosk etc.)
OuiNonQuel que soit le réseau (FW, NAT,…)
OuiNonPas de logiciel client
OuiNonContrôle d’accès par application
NonOuiLe PC distant fonctionne comme au bureau
NonOuiSupporte toutes les applications IP
NonOuiLiaison site à site
NonOuiTéléphonie IP
SSL VPNIPSec VPNAPPLICATIONS
OuiNonDe n’importe quel poste (web kiosk etc.)
OuiNonQuel que soit le réseau (FW, NAT,…)
OuiNonPas de logiciel client
OuiNonContrôle d’accès par application
NonOuiLe PC distant fonctionne comme au bureau
NonOuiSupporte toutes les applications IP
NonOuiLiaison site à site
NonOuiTéléphonie IP
SSL VPNIPSec VPNAPPLICATIONS
168
*Le mieux est d’utiliser des technologies d’environnement déporté (CITRIX, TSE) pour les PC
devant fonctionner comme au bureau
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SSL VS IPSEC : APPLIANCE SSL
169
Barracuda SSL-VPN 280 : 3 k€ HT Invest. - 1 k€ HT Maintenance (AV/MAJ.SOFT/HARD)
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SSL VS IPSEC : APPLIANCE SSL
170
Mode de fonctionnement - Synoptique
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VPN
Architecture VPN
Positionnement du VPN
Le décodage des flux IPsec/SSL doit se faire avant ou après l’application des
règles de firewall ?
Avant: La passerelle de sécurité devient un élément sensible aux attaques directes.
Après: Comment le firewall peut connaître certaines infos, comme le port du destinataire ou
le type du datagramme ?
IPSec et la translation d’adresse IP
La mise en œuvre du NAT par des éléments intermédiaires (Firewall, routeur) sur
un flux Ipsec pose des difficultés
Solution : draft IPsec-NAT-traversal implémenté par certains éditeurs
171 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VPN SSL
DMZ Entreprise
SSL VPN
Réseau Interne
• Web Applications, Web mail
• Client/Server
• Emulation client HTML (FTP, partage de
fichiers voisinage réseau)
• Emulation du client via applet Java ou
ActivX (SSH, Telnet, TSE, VNC,TSE/RDP,
CITRIX)
• Tunneling HTTPS (toute application IP, TCP
ou UDP)
Authentification
LDAP/RADIUS/NTLM
• Annuaire externe LDAP, NT, Radius,
• Windows Active Directory
• Certificats électroniques X509 (sur carte à puce, clé USB)
• OTP (Calculatrice token, usb)
Firewall
172 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRODUITS DU MARCHÉ
173 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRODUITS DU MARCHÉ
Les principaux acteurs du marché VPN SSL/IPSec
Netscreen
Juniper
Cisco
Checkpoint
CITRIX
Nortel
Avantail
F5 Networks
Thales
Baracuda Networks
Zyxel, SonicWall (TPE, PME)
174 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PAUSE-RÉFLEXION
Avez-vous des questions ?
175 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
176 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Famille de
VPN
VPN SSL
Messagerie
sécurisée
S/MIME
SSL Versus
IPSec
VPN IPSEC
Illustration
Architecture
VPN
OBJECTIFS
GESTION DES ACCÈS AUX RESSOURCES – DIFFÉRENTS TYPES DE CONTRÔLE
D’ACCÈS
MODES D’AUTHENTIFICATION - LES DIFFÉRENTS TYPES D’AUTHENTIFICATION
AUTHENTIFICATION NON-REJOUABLE OTP - ILLUSTRATION OTP GEMALTO–
ARCHITECTURE
AUTHENTIFICATION RÉSEAU - 802.1X
QUARANTAINE RÉSEAU - TECHNOLOGIE DAC ET NAC
AUTHENTIFICATION SSO - EXEMPLE - SOLUTIONS SSO DU MARCHÉ
RÉSUMÉ DU MODULE
AUTHENTIFICATION UTILISATEURS – RÉSEAUX
- APPLICATIONS
177 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
OBJECTIFS
178 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
OBJECTIFS
L'objectif principal de l’authentification est d’authentifier les
utilisateurs ou les équipements de manière fiable.
Le mécanisme d’authentification est en général associé à la gestion des
autorisations.
La gestion des autorisations détermine quels sont les droits d’accès de chacun
Dans ce chapitre, nous ne traitons pas de la gestion des autorisations.
179 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CONTRÔLE D’ACCÈS
Le contrôle d’accès recouvre :
L’identification : l’entité indique qui elle est (= son identité, ex : je suis Cyril)
L’authentification : vérification / validation de l’identité d’une entité (ex :
l’utilisateur est bien Cyril)
L’autorisation : vérification / validation qu’une entité a la permission d’accéder à
une ressource (ex : Cyril a la permission d’accéder à cette ressource)
180 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
« Qui peut accéder à quoi ? », autrement dit : quels utilisateurs (ou quelles
catégories d’utilisateurs) peuvent accéder à quelles informations (ou quelles catégories d’information) ?
« Qui peut décider de qui peut accéder à quoi ? »,
autrement dit : quels interlocuteurs particuliers peuvent prendre la responsabilité de décider si telle catégorie
d’utilisateurs peut être autorisée à accéder à telle catégorie d’informations ?
DIFFÉRENTS TYPES DE CONTRÔLES D’ACCÈS
Un modèle de contrôle d’accès décrit la façon dont une entité (ou
sujet) peut accéder à une ressource (ou objet)
Discretionary Access Control (DAC)
Le contrôle d’accès est à la discrétion du propriétaire de la ressource
Par défaut, le propriétaire est le créateur de l’objet
La propriété peut être transférée ou attribuée différemment
Mis en œuvre sous forme de permissions (ACL)
Le système compare le jeton de sécurité de l’utilisateur (permissions et droits)
avec l’ACL de la ressource
181 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DIFFÉRENTS TYPES DE CONTRÔLES D’ACCÈS
Mandatory Access Control (MAC)
Basé sur un système de labels (plus strict car l’OS prend la décision finale qui
peut être contraire au souhait du propriétaire)
Les utilisateurs se voient attribuer un niveau d’accréditation (ex: secret,
confidentiel)
Les données sont classées selon les mêmes niveaux (et cette classification
accompagne les données)
En complément des niveaux d’accréditation des catégories peuvent être
mentionnées pour respecter le principe du besoin de savoir (ce n’est pas parce
que j’ai l’accréditation Confidentiel que je dois avoir accès à tous les projets
confidentiels)
Le système compare le niveau d’accréditation et les catégories de l’utilisateur
avec le label de sécurité
182 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DIFFÉRENTS TYPES DE CONTRÔLES D’ACCÈS
Role Based Access Control (RBAC)
Aussi appelé nondiscretionary access control
Utilise un référentiel centralisé
Différence entre rôle et groupe :
Quand on appartient à un groupe, on a les droits du groupe plus les siens
Les rôles permettent un contrôle resserré : quand on a les droits d’un rôle, on n’a rien de plus
Pratique quand il y a de nombreux mouvements dans l’entreprise
183 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LA LOGIQUE GÉNÉRALE DE GESTION DES ACCÈS
184
Arrivée d’une personne
Ressources
humaines
Système
d’information
Services
généraux
Téléphonie
Création du dossier RH
Comptes informatiques
1. Création automatique
2. Création manuelle par
l’informatique
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRÉSENTATION : LA GESTION DES PROCESSUS
185
Nouvel
utilisateur
Demandes d’accès en ligne
Création de la fiche personne par le service RH
Approbation et validation
par le responsable
Création des
comptes
informatiques
Les utilisateurs disposent de
leurs comptes et de leurs
ressources de travail
(ordinateur, badges, etc)
Approbation et validation par un
second acteur (si nécessaire)
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
MODES D’AUTHENTIFICATION
186 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES DIFFÉRENTS TYPES D’AUTHENTIFICATION
Il existe différentes classes d’authentification :
Je connais
Je possède
Je suis
187 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES DIFFÉRENTS TYPES D’AUTHENTIFICATION
« Ce que je connais »
Mode classique le plus répandu et le plus simple (login/pwd)
Principe
Secret correspondant à une donnée de l’utilisateur
Le serveur et l’utilisateur doivent connaître le secret tous les deux
Avantages
Simple et économique
Inconvénients
Protéger la transmission du mot de passe au serveur
Facile à découvrir par des attaques à base de dictionnaires ou par
force brute
Facilement communicable à une tierce partie
Facilement volable (regard indiscret sur le clavier)
Facilement oubliable
188 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES DIFFÉRENTS TYPES D’AUTHENTIFICATION
« Ce que je possède »
Principe
Intervention d’un objet physique :
Carte à puce, Clé USB, Calculette, Carte magnétique
On parle d’authentification à deux facteurs (le support + le secret)
Avantages
Utilisation de mot de passe plus long car il est stocké sur le support
Inconvénient
Pertes ou vols des supports : révocation, délai de remplacement
Cout d'acquisition et de gestion des supports
189 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES DIFFÉRENTS TYPES D’AUTHENTIFICATION
« Ce que je suis »
Principe
Domaine de la biométrie
Mesure des caractéristiques physiques d’un individu
Contrôles physiques et comportementales reconnus à ce jour
Empreintes digitales ,reconnaissance de la main, l’iris, reconnaissance faciale,
La dynamique de frappe au clavier, la reconnaissance vocale, dynamique du tracé des
signatures
Avantages
Difficilement volable
Difficilement oubliable
Inconvénients
Coût de la mise en œuvre
Problème du faux rejet et de la fausse acceptation
Détermination des seuils d’acceptation
Problème légaux
Les prises de positions de la CNIL et de ses homologues
190 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUTHENTIFICATION PERSONNELLE
191 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CHOIX DU MOT DE PASSE
192 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
http://www.undernews.fr/nos-services/tester-la-force-de-votre-mot-de-passe
https://pwdtest.bee-secure.lu/
https://www.microsoft.com/en-gb/security/pc-security/password-checker.aspx
AUTHENTIFICATION PERSONNELLE
Authentification personnelle : nom d'utilisateur, numéro ID
L'authentification personnelle repose généralement sur le « Login » et
« password »
Login est représenté par un adresse email, un matricule, nom
L'authentification de l'utilisateur ne repose plus que sur la sécurité du mot de passe
Les entreprises mettent en place des règles imposant :
Longueur minimale : 10 caractères
La complexité des mots de passe à utiliser : alphanum. , Min-Maj, carac. spéciaux
Un renouvellement : expiration de mot de passe tous les 30 jours
Un blocage temporaire des comptes utilisateurs en cas d’échecs répétés
d’authentification ou d’inactivité du compte : 5 échecs – 15 minutes
Historique des mots de passe précédents : 6 mots de passe mémorisés
193 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AUTHENTIFICATION NON-REJOUABLE OTP
(OTP : ONE TIME PASSWORD)
194 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
OTP : ONE TIME PASSWORD
Objectif de l’OTP
Authentification à 2 facteurs - « ce que je sais et ce que je
possède ».
« One Time Password » – OTP – mot de passe non rejouable
Utile pour les usages suivants
Ressources internes sensibles devant être partagées avec le
monde extérieur
Nomadisme et télétravail
Télémaintenance par des sociétés externes (infogérance)
195 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
OTP : ONE TIME PASSWORD
L’OTP généré est toujours différent et donc non rejouable
Basé sur le temps
OTP généré est calculé à partir de l’heure courante. L’unité de temps pour calculer l’OTP doit
être suffisamment longue pour minimiser les problèmes de synchronisation entre l’objet
utilisé pour générer un OTP et le serveur.
Basé sur un compteur
Ce compteur, utilisé en entrée de l’algorithme cryptographique, est incrémenté chaque fois
qu’un mot de passe est généré, ce qui aboutit à un OTP différent à chaque fois.
Basé sur le temps et un compteur
Mélange des deux techniques précédentes.
196 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Authentification de l’individu :
Permettre une identification formelle de l’individu
Lier l’identité physique à l’identité logique
Principe basé sur 2 facteurs indépendants
L’utilisateur dispose d’un code identifiant (code pin)
L’utilisateur possédera un support physique le Token
Les produits commercialisés : Active Card, Aladdin, RSA SecurID,
S/Key, OPIE (One-time Passwords In Everything), Gemalto
OTP : ONE TIME PASSWORD
197 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
OTP : ONE TIME PASSWORD
198 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PAUSE-RÉFLEXION
Avez-vous des questions ?
199 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
RÉSUMÉ DU MODULE
200 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Modes
d’authentification
Authentification
Autorisation
Modèles
d’autorisation
DAC/MAC/RBAC
Authentification
OTP
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2

Contenu connexe

Tendances

La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
Saber Ferjani
 

Tendances (20)

ETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITEETUDE DE LA CYBERSECURITE
ETUDE DE LA CYBERSECURITE
 
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptxINITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
INITIATION A LA SÉCURITÉ INFORMATIQUE.pptx
 
Ch_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdfCh_1 - Généralités sur la sécurité informatique.pdf
Ch_1 - Généralités sur la sécurité informatique.pdf
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Cours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts ClésCours CyberSécurité - Concepts Clés
Cours CyberSécurité - Concepts Clés
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2Gouvernance de la sécurite des Systèmes d'Information Volet-2
Gouvernance de la sécurite des Systèmes d'Information Volet-2
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Audit
AuditAudit
Audit
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Mehari
MehariMehari
Mehari
 
Ssi
SsiSsi
Ssi
 

Similaire à Sécurite operationnelle des Systèmes d'Information Volet-2

SESEN_Atilgan_fr_20150511
SESEN_Atilgan_fr_20150511SESEN_Atilgan_fr_20150511
SESEN_Atilgan_fr_20150511
Atilgan Sesen
 
Jex formation-l-essentiel-de-la-commutation-junos-juniper
Jex formation-l-essentiel-de-la-commutation-junos-juniperJex formation-l-essentiel-de-la-commutation-junos-juniper
Jex formation-l-essentiel-de-la-commutation-junos-juniper
CERTyou Formation
 
Jspx formation-junos-service-provider-switching-juniper
Jspx formation-junos-service-provider-switching-juniperJspx formation-junos-service-provider-switching-juniper
Jspx formation-junos-service-provider-switching-juniper
CERTyou Formation
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011
infcom
 
Cjfv formation-configurer-les-solutions-de-securite-juniper-networks-firewall...
Cjfv formation-configurer-les-solutions-de-securite-juniper-networks-firewall...Cjfv formation-configurer-les-solutions-de-securite-juniper-networks-firewall...
Cjfv formation-configurer-les-solutions-de-securite-juniper-networks-firewall...
CERTyou Formation
 

Similaire à Sécurite operationnelle des Systèmes d'Information Volet-2 (20)

SESEN_Atilgan_fr_20150511
SESEN_Atilgan_fr_20150511SESEN_Atilgan_fr_20150511
SESEN_Atilgan_fr_20150511
 
Jex formation-l-essentiel-de-la-commutation-junos-juniper
Jex formation-l-essentiel-de-la-commutation-junos-juniperJex formation-l-essentiel-de-la-commutation-junos-juniper
Jex formation-l-essentiel-de-la-commutation-junos-juniper
 
Portail_captif_alcasar.pptx
Portail_captif_alcasar.pptxPortail_captif_alcasar.pptx
Portail_captif_alcasar.pptx
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall Endian
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall Endian
 
VPN (3).pptx
VPN (3).pptxVPN (3).pptx
VPN (3).pptx
 
F5 ltm administering big ip v11
F5 ltm administering big ip v11F5 ltm administering big ip v11
F5 ltm administering big ip v11
 
Jspx formation-junos-service-provider-switching-juniper
Jspx formation-junos-service-provider-switching-juniperJspx formation-junos-service-provider-switching-juniper
Jspx formation-junos-service-provider-switching-juniper
 
Administration reseau
Administration reseauAdministration reseau
Administration reseau
 
firewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptxfirewall firewall firewall firewall .pptx
firewall firewall firewall firewall .pptx
 
C5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-natC5 Réseaux : vlsm-classe-nat
C5 Réseaux : vlsm-classe-nat
 
Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011Cours admin-secure-4 avril-2011
Cours admin-secure-4 avril-2011
 
sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes
 
Cri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radiusCri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radius
 
Ingénieur Réseaux Sécurité
Ingénieur Réseaux SécuritéIngénieur Réseaux Sécurité
Ingénieur Réseaux Sécurité
 
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011
 
Sca n instructorppt_chapter1_finalfr
Sca n instructorppt_chapter1_finalfrSca n instructorppt_chapter1_finalfr
Sca n instructorppt_chapter1_finalfr
 
Cdt juin2011 21
Cdt juin2011 21Cdt juin2011 21
Cdt juin2011 21
 
9 presentation ssi-kettani_septi
9 presentation ssi-kettani_septi9 presentation ssi-kettani_septi
9 presentation ssi-kettani_septi
 
Cjfv formation-configurer-les-solutions-de-securite-juniper-networks-firewall...
Cjfv formation-configurer-les-solutions-de-securite-juniper-networks-firewall...Cjfv formation-configurer-les-solutions-de-securite-juniper-networks-firewall...
Cjfv formation-configurer-les-solutions-de-securite-juniper-networks-firewall...
 

Plus de PRONETIS

Plus de PRONETIS (17)

Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3Gouvernance de la sécurité des Systèmes d'Information Volet-3
Gouvernance de la sécurité des Systèmes d'Information Volet-3
 
C8 Réseaux : Couche applicative
C8 Réseaux : Couche applicativeC8 Réseaux : Couche applicative
C8 Réseaux : Couche applicative
 
C7 Réseaux : couche transport
C7 Réseaux : couche transportC7 Réseaux : couche transport
C7 Réseaux : couche transport
 
C6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routageC6 Réseaux : Introduction au routage
C6 Réseaux : Introduction au routage
 
C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauC4 Réseaux : Couche reseau
C4 Réseaux : Couche reseau
 
C3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifiC3 Réseaux : sous-couche reseau - ethernet wifi
C3 Réseaux : sous-couche reseau - ethernet wifi
 
C2 Réseaux : medias - equipements
C2 Réseaux : medias - equipementsC2 Réseaux : medias - equipements
C2 Réseaux : medias - equipements
 
C1 Réseaux : introduction et concepts
C1 Réseaux : introduction et conceptsC1 Réseaux : introduction et concepts
C1 Réseaux : introduction et concepts
 
Sécurité des systèmes d’information industriels
Sécurité des systèmes d’information industrielsSécurité des systèmes d’information industriels
Sécurité des systèmes d’information industriels
 
Demonstration injection de code
Demonstration injection de codeDemonstration injection de code
Demonstration injection de code
 
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014Etude de cas de securite  wifi vpn ssl camera ip video surveillance 2014
Etude de cas de securite wifi vpn ssl camera ip video surveillance 2014
 
Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013Tuto wifi vpn ssl camera ip video surveillance 2013
Tuto wifi vpn ssl camera ip video surveillance 2013
 
Sécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils NomadeSécurisation d'accès à un CRM pour appareils Nomade
Sécurisation d'accès à un CRM pour appareils Nomade
 
Sonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_bSonic wall mobile_connect_for_ios_user_guide-rev_b
Sonic wall mobile_connect_for_ios_user_guide-rev_b
 
Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2Authentification Réseau 802.1X PEAP-MSCHAP-V2
Authentification Réseau 802.1X PEAP-MSCHAP-V2
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
 
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
Tutoriel de configuration d'une architecture Sonicwall TZ-100 et Caméra IP DC...
 

Dernier

Dernier (12)

Webinaire Technologia | DAX : nouvelles fonctions
Webinaire Technologia | DAX : nouvelles fonctionsWebinaire Technologia | DAX : nouvelles fonctions
Webinaire Technologia | DAX : nouvelles fonctions
 
rapport de stage gros oeuvre_compressed.pdf
rapport de stage gros oeuvre_compressed.pdfrapport de stage gros oeuvre_compressed.pdf
rapport de stage gros oeuvre_compressed.pdf
 
Quitter la nuit. pptx
Quitter        la             nuit.   pptxQuitter        la             nuit.   pptx
Quitter la nuit. pptx
 
Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...
Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...
Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...
 
PowerPoint-de-Soutenance-de-TFE-infirmier.pdf
PowerPoint-de-Soutenance-de-TFE-infirmier.pdfPowerPoint-de-Soutenance-de-TFE-infirmier.pdf
PowerPoint-de-Soutenance-de-TFE-infirmier.pdf
 
Nathanaëlle Herbelin.pptx Peintre française
Nathanaëlle Herbelin.pptx Peintre françaiseNathanaëlle Herbelin.pptx Peintre française
Nathanaëlle Herbelin.pptx Peintre française
 
PLANNING HEBDO ET CR LYCEE COUDON 21 MAI2024
PLANNING HEBDO ET CR LYCEE COUDON 21 MAI2024PLANNING HEBDO ET CR LYCEE COUDON 21 MAI2024
PLANNING HEBDO ET CR LYCEE COUDON 21 MAI2024
 
Un petit coin etwinning- Au fil des cultures urbaines
Un petit coin  etwinning- Au fil des cultures urbainesUn petit coin  etwinning- Au fil des cultures urbaines
Un petit coin etwinning- Au fil des cultures urbaines
 
Bonnes pratiques biomédicales en établissement de soins : Guide
Bonnes pratiques biomédicales en établissement de soins  : GuideBonnes pratiques biomédicales en établissement de soins  : Guide
Bonnes pratiques biomédicales en établissement de soins : Guide
 
Cours-Sur-l'-IP-Multiprotocol-Label-SwitchingMPLS
Cours-Sur-l'-IP-Multiprotocol-Label-SwitchingMPLSCours-Sur-l'-IP-Multiprotocol-Label-SwitchingMPLS
Cours-Sur-l'-IP-Multiprotocol-Label-SwitchingMPLS
 
Quitter la nuit. pptx
Quitter          la        nuit.    pptxQuitter          la        nuit.    pptx
Quitter la nuit. pptx
 
Les débuts de la collection "Le livre de poche"
Les débuts de la collection "Le livre de poche"Les débuts de la collection "Le livre de poche"
Les débuts de la collection "Le livre de poche"
 

Sécurite operationnelle des Systèmes d'Information Volet-2

  • 1. VOLET 2 1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 2. AGENDA VOLET II Module N°1 : Protection et cloisonnement des réseaux Menace des couches basses – Menaces sur les équipements - Bonnes pratiques Protection logique du réseau- VLAN – Firewalls - Diodes Protection de la couche applicative - Proxy – Web Applicatif Firewall (WAF) Module N°2 : Protection des applications, données et cryptologie Origine du besoin et définition – Terminologie - Concepts de base Sécurisation des données et PKI (Public Key Infrastructure) Problématique de la distribution des clés publiques - Composantes d’une PKI Certificat électronique & Cycle de vie Module N°3 : Protection des communications : messagerie et réseau Messagerie sécurisée S/MIME VPN - Virtual Private Network - Familles de VPN Standards SSL et IPSec - SSL versus IPSec Module N°4 : Authentification utilisateurs – réseaux – applications Gestion des accès aux ressources Modèles DAC/MAC/ORBAC Modes d’authentification Authentification non-rejouable 2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Module N°5 : Sélectionner des produits de sécurité Référentiels Critères d’évaluation de sécurité Processus d’évaluation des produits Exemples Pour aller plus loin Livre Magazine Articles - Web
  • 3. TRAVAIL PERSONNEL Sécurité informatique et réseaux - 4eme édition Ghernaouti Lecture des chapitres suivants Chapitre 6 Sécurité des infrastructures télécoms : 6.1 à 6.5 Chapitre 8 Systèmes Pare-feu et Détection d’intrusion : 8.1 à 8.3 Chapitre 5 Chiffrement :5.1 à 5.4 Chapitre 9 Application : 9.1, 9.2, 9.4 Chapitre 4 Politique de sécurité : 4.8 3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 4. OBJECTIFS MENACE DES COUCHES BASSES – BONNES PRATIQUES PROTECTION LOGIQUE DU RÉSEAU- VLAN – FIREWALLS - DIODES PROTECTION DE LA COUCHE APPLICATIVE - PROXY – PARE-FEU APPLICATIF ILLUSTRATION – ARCHITECTURE SÉCURISÉE LES PRODUITS DU MARCHÉ RÉSUMÉ DU MODULE MODULE N°1 : PROTECTION ET CLOISONNEMENT DES RÉSEAUX 4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 5. OBJECTIFS Protection périmètrique : Les infrastructures de sécurité périmètrique protègent le système d’information des menaces extérieures. Cela se traduit par un contrôle d’accès au réseau et un cloisonnement des flux d’information. Notion de responsabilité Distinction des zones de responsabilités de l’entreprise - Où commence et où s’arrête la part de responsabilité de l’entreprise ? - Délimitation de son système d’information Un périmètre logique et non physique Joint-venture, GIE, structures à 50/50, sous-traitants, infrastructures infogérées, etc. 5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 6. MENACES DES COUCHES BASSES Physique Écoute des émissions électromagnétiques des câbles Connexion directe au réseau Déni de service Liaison Usurpation de paquets ARP et envoie de fausses adresses MAC Écrasement d’entrées dans le cache ARP Surcharge ou tromperie des commutateurs Réseau Obtention d’une adresse IP via DHCP Usurpation d’adresse IP Écoute sur les routeurs Déni de service visant un routeur Usurpation du protocole de routage pour insérer de mauvaises routes dans les routeurs alentours Usurpation des messages de diagnostic ICMP 6 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 7. MENACES SUR LES ÉQUIPEMENTS Concentrateurs, commutateurs, routeurs Offrent des outils de gestion, souvent accessibles par le réseau, qui peuvent être détournés Tous exécutent des firmwares ou d’autres logiciels plus sophistiqués qui peuvent présenter des vulnérabilités Ils peuvent être bidouillés ou volés en cas d’accès physique Leurs configurations par défaut sont connues des attaquants 7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 8. BONNES PRATIQUES Ségrégation des réseaux Séparation des réseaux ayant des fonctions différentes (réseau des guichets automatiques séparé du réseau bureautique) Séparation des réseaux de différents niveaux de sensibilité Sécurité des différents des réseaux périphériques Mettre en place des pare-feux aux endroits stratégiques Internet, prestataires, agences…. Mise à jour des firmwares Changement des mots de passe par défaut Activer les fonctions de traçabilité 8 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 9. BONNES PRATIQUES Activer la fonction Port Security sur les commutateurs Fonction Port-Security (sur les Cisco) : limite les effets de l’ARP spoofing, et des attaques sur le service DHCP (plusieurs MAC sur un port Ethernet) Restriction du nombre d’adresse MAC autorisé par port Configuration de comportement dynamique Envoi automatique d’une trap SNMP 99 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 10. VLAN : VIRTUAL LAN 10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 11. VLAN – VIRTUAL LAN Contexte De nouveaux besoins : visio conf, e-learning, la voix sur IP De nouvelles exigences : sécurité, mobilité des utilisateurs, performance Des contraintes existantes : Sous-réseaux liés aux switchs Utilisateurs regroupés géographiquement mais avec des liens fonctionnels différents Plan d’adressage difficile à mettre en œuvre dans la cadre de la mobilité des postes Congestions des réseaux locaux (ex : tempête de broadcast) Finalités Permettre une configuration et une administration plus facile des grands réseaux Permettre la mobilité des utilisateurs Limiter les domaines de broadcast Effectuer de la QoS (Qualité de Service) Garantir la sécurité 11 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 12. VLAN – VIRTUAL LAN Concept Une nouvelle manière d’exploiter la technique de commutation pour donner plus de flexibilité aux réseaux locaux. Un VLAN est un domaine de broadcast dans lequel l’adresse de diffusion atteint toujours les stations appartenant au VLAN. Les communications à l’intérieur du VLAN sont sécurisées (cloisonnées) et celles entre deux VLAN distincts sont contrôlées. 12 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 13. VLAN – VIRTUAL LAN Les VLAN (Virtual LAN) Consiste à scinder une infrastructure réseau unique en différents tronçons « logiques » correspondant à un domaine de broadcast Plusieurs types de VLAN ont été définis suivant les regroupements des stations du système (voir Cours Réseaux 3A) 13 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 14. VLAN – VIRTUAL LAN VLAN de niveau physique ou de niveau 1 VLAN 1 VLAN 2 VLAN 3 14 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 15. VLAN – VIRTUAL LAN VLAN de niveau 2, ou VLAN de niveau MAC (Trame) VLAN 1 VLAN 2 VLAN 3 15 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 16. VLAN – VIRTUAL LAN 16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Configuration typique d’un réseau industriel présentant une surface d’attaque maximale
  • 17. VLAN – VIRTUAL LAN Comment définir les zones Dépendances fonctionnelles existantes – (Niveau 4 et les autres niveaux de 3 à 0 du modèle ISA – cf. Volet I) Ruptures technologiques entre équipements – dans le cas d’utilisation de protocoles réseaux différents – liaison d’interconnexion par des passerelles Séparation des API de sureté – place les API de pilotage et les API de sûreté dans des zones distinctes 17 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Se référer à la norme IEC 62443
  • 18. VLAN – VIRTUAL LAN 18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Principe des degrés de criticité avec des règles de filtrage de flux réseaux
  • 19. VLAN – VIRTUAL LAN 19 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Segmentation des réseaux en fonction de leur criticité
  • 20. ROUTEUR FILTRANT 20 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 21. ROUTEUR Hors périmètre du routeur : • Pas de protection contre les attaques au niveau réseau • Pas de protection au niveau applicatif 21 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 22. ROUTEUR Réseau A Réseau B 22 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Les paquets sont vérifiés dans la couche réseau. Utile en première ligne de défense. Modèle de décision simple (rejet ou acceptation) basé sur l’en-tête IP
  • 23. ROUTEUR Filtrage du trafic La possibilité de filtrer les paquets est généralement incluse dans le logiciel des routeurs Travaille sur la base de toute combinaison des informations suivantes : Adresse source Adresse destination Port source Port destination (qui définit à quel service vous voulez vous connecter) Le sens d'établissement de la communication Les règles « filtres » sont appliquées de haut en bas Les spécifiques doivent être placées vers le haut de la liste Les règles génériques vers la fin ( « deny all » ) 23 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 24. ROUTEUR Fonctionnement des ACLs (ACCESS CONTROL LIST) 2 ACLs doivent être posées sur chaque interface Format des ACLs (exemple sur un routeur CISCO) Positionnement des ACLs Requiered keyword N°ACL Action Protocol Src dest Optional Access-list 102 Permit TCP Any eq 21 144.19.74.0 0.0.0.255 gt 1023 Established 24 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 25. DMZ AUTHENTIFICATION : RÉSEAU N° ACL Action IP Src Port Src IP Dest Port Dest Optional 102 Permit 144.19.74.201 / 255.255.255.255 Gt 1023 Any Eq 25 Established 102 Permit 144.19.74.201 / 255.255.255.255 Eq 25 Any Gt 1023 102 Deny Any Any Any Any S’il n’y avait pas le Flag « Established » , les machines extérieures pourraient générer du trafic entrant vers n'importe quel autre port. Pour résoudre ce problème nous avons besoin d'une information sur la direction (Established), en autorisant les appels entrants uniquement sur le port 25 pour les connexions déjà établies. Sécurité Externe Client Client Client Client Client Reseau Interne Relais SMTP 144.19.74.201 102 25 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 26. FIREWALLS (OU PARE-FEU) 26 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 27. FIREWALLS Définition Terme générique pour désigner, le logiciel ou le hardware appliquant la politique de sécurité réseau Principe Opère dans les couches TCP/IP Point de passage obligatoire (Check point) Tout le trafic entrée/sortie transite par le firewall Point de concentration sur lequel, le firewall focalise et applique la politique de sécurité Cloisonnement entre plusieurs réseaux : En général, public ou privée Pour isoler des serveurs (services), DMZ Traçabilité de l’activité réseau Ergonomie et console d’administration 27 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 28. FIREWALLS Les composantes d’un Firewall Logiciel sur un système d’exploitation propriétaire ou standard (en général du Linux Free BSD) Hardware dédié « Appliance » Évolution des technologies de Firewalling 1ère génération: les routeurs filtrants, 2ème génération: les passerelles applicatives proxy, ou Socks 3ème génération: éléments filtrant l’état des connexions par paquets, « stateful inspection », Stratégie et orientation actuelles des constructeurs le « tout en un » : les firewalls cumulent régulièrement de nouvelles fonctionnalités (détection d’intrusion, proxy, authentification…) Le Mode « Appliance » est souvent proposé 28 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 29. FIREWALLS • Hors périmètre du firewall : Pratiquement pas de protection au niveau applicatif Exemple : n’offre pas de protection contre les virus contenus dans un fichier transféré par FTP ou attaché à un mail au format MIME, ou bien des codes mobiles malicieux en HTTP/S 29 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 30. FIREWALLS 30 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 31. FIREWALLS Filtrage IP à état - SPI - Statefull packet inspection Ensemble de contrôles sur les entêtes des paquets pour s’assurer que les protocoles de niveau Réseau (IP) et Transport (TCP, UDP, ICMP, …) sont bien respectés par les paquets inspectés. L’en-tête du paquet reçu L’information sur l’état de la connexion (ouverture, fermeture) La fragmentation IP et les Offset Type d’application au dessus de la couche transport (UDP, TCP) Interface par laquelle est traité le datagramme IP Date et heure de l’arrivée/départ du datagramme IP Vérification de l'état de la communication Vérification de la cohérence de la communication (bits SYN/SYN-ACK/ACK) Vérification de la fragmentation : analyse des datagrammes fragmentés Validation des numéros de séquences TCP Elimination des paquets « Out-Of-State » Protection contre les dénis de services réseaux Limitations : protège uniquement contre les attaques de niveau « réseau ». 3131 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 32. FIREWALLS Application Level Filtering – ou – proxy applicatif Vérification de la cohérence et du contenu des données au niveau protocolaire. Analyse Sémantique et/ou Syntaxique des protocoles standards Principe de fonctionnement Cette technique consiste à analyser les paquets circulant sur un réseau dans le but de « décoder » le protocole applicatif utilisé : Contrôle de conformité de la communication aux standards (on parle ici de RFC) du protocole applicatif Contrôle de l’utilisation faite du protocole Avantages du contrôle de la conformité du protocole : Technique proactive, elle permet de bloquer des attaques non connues simplement car elles dérogent aux RFC ou aux règles. Elle ne nécessite pas le maintien d’une base de signatures d’attaques. Limitations : Technique efficace seulement sur les protocoles analysés (difficulté d’analyser tous les protocoles). Elle ne permet pas de détecter attaques qui respectent le protocole. 3232 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 33. FIREWALLS 3333 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 34. FIREWALLS Fonctions complémentaires Anti-Spoofing : Détection de l’usurpation d’adresse NDIS : sonde de détection et de prévention d’intrusions VPN chiffré (compliant VPN IPSec et/ou VPN SSL) Authentification des utilisateurs (sur un annuaire externe LDAP / AD) Antivirus Anti spam 3434 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 35. FIREWALLS Inconvénients d’un routeur filtrant Traçabilité : pas de fonction avancée pour logger les informations. Administration complexe et pas de mécanisme d’alerte Inconvénients d’un logiciel firewall installé sur un serveur Coût d’exploitation Compétences requises en Windows ou Unix Gestion des sauvegardes Nécessite le durcissement de l’OS Failles de sécurité connues Avantage du Firewall « Appliance » Système d’exploitation déjà durci et limité au stricte minimum en sortie usine Nécessite peu de maintenance Upgrade des versions OS Pas de sauvegarde complète, uniquement les fichiers de configuration (kOctects) 35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 36. ARCHITECTURES TYPES DE FIREWALLS DMZ (demilitarized zone) : En termes militaires, zone où les activités militaires sont interdites (cf. Corée) réseau tampon situé entre le réseau protégé (interne) et le réseau non protégé (Internet) 36 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 37. 37 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés PRIVEE
  • 38. FIREWALLS : NETASQ 3838 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 39. FIREWALLS 39 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 40. CAS DES FIREWALLS INDUSTRIEL Marché en forte croissance Des constructeurs industriels d’automates - SCHNEIDER Des constructeurs informatiques spécifiques au monde industriels – HISCHMANN Des constructeurs et éditeurs classiques - THALES 40 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 41. CAS DES FIREWALLS INDUSTRIEL Eagle20 : filtrage du traffic – firewall réseau http://www.hirschmann.com/en/Hirschmann_Produkte/Industrial_Ethernet/security- firewall/index.phtml Tofina : firewall applicatif http://iom.invensys.com/fr/pages/Triconex_Tofino_Firewall.aspx 41 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Degree of protection: IP20 Operating temperatures: -40°C to +70°C
  • 42. DIODES RÉSEAUX 42 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 43. DIODES RÉSEAUX Une diode réseau est un système qui permet d’interconnecter 2 réseaux, en autorisant le transfert de données dans un seul sens. Ce type de système est généralement employé pour relier un réseau nécessitant un niveau de sécurité élevé, appelé « réseau haut » à un réseau de confiance moindre (par exemple (Internet), le « réseau bas » . Seul la remontée d’informations du réseau bas vers le haut est autorisée, afin de garantir la confidentialité du réseau haut. 43 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Diode de données garantissant l’unidirectionnalité des flux d’information
  • 44. DIODES RÉSEAUX Partie matérielle de la diode : la liaison Ethernet optique unidirectionnelle qui relie 2 serveurs est garantie par l’utilisation d’une seule fibre optique reliée du côté « bas » à un port émetteur optique (TX), du côté « haut » à un port récepteur (RX). 44 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 45. DIODES RÉSEAUX Les caractéristiques optiques et électroniques intrinsèques du matériel assurent qu’aucune donnée ne peut être transmise du haut vers le bas, il n’existe donc pas de canal caché possible. Cette propriété matérielle distingue fondamentalement la diode réseau d’un pare-feu classique : Même s’il est possible de configurer un pare-feu pour bâtir une liaison unidirectionnelle entre deux réseaux, on ne pourra jamais assurer qu’une vulnérabilité logicielle ou un canal caché ne puisse pas un jour permettre de transférer des données dans l’autre sens. 45 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 46. DIODES RÉSEAUX Exemple : Un réseau très sensible peut avoir besoin d'informations publiques pour son utilisation. Par exemple, un réseau de contrôle aérien aura besoin d'informations météo pour fonctionner. Si ces informations sont disponibles sur internet, il faut pouvoir les récupérer tout en protégeant les informations du contrôle aérien d'un accès non contrôlé depuis l'internet. https://www.thalesgroup.com/sites/default/files/asset/document/eli ps_sd_leaflet_fr_10042013.pdf 46 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 47. PROTECTION DE LA COUCHE APPLICATIVE PROXY - PARE-FEU APPLICATIF 47 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 48. PROTECTION DE LA COUCHE APPLICATIVE Inspectent les paquets au plus profond (couche 7) en tenant compte de la sémantique de l’application Ex: peuvent distinguer un GET d’un PUT dans une requête HTTP Problème Performance amoindrie Ce sont les seuls pare-feux qui prennent en charge les menaces actuelles (80% des attaques au niveau applicatif) 48 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 49. PROXIES Définition d’un serveur Proxy Propriétés générales Coupure protocolaire entre le client et le serveur destination Relais des requêtes du client vers le serveur destination Fonctionne au-dessus de la couche IP Différentes utilisations Performances réseaux Fonctions de sécurité Définition des rôles d’un serveur Proxy Contrôle d’accès Disponibilité & Performance Traçabilité 49 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 50. PROXIES Familles de proxies Proxies applicatifs (Proxy HTTP, Proxy SMTP…) Proxies dédiés à un ou plusieurs protocoles au dessus de TCP/UDP Proxies génériques (proxies forwarding ou Proxies de niveau circuit) 50 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 51. PROXIES Proxies Client Proxy Serveur 51 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Les paquets sont vérifiés dans la couche Application (L7), Application/Content filtering. Par exemple les commandes FTP « put » peuvent être interdites, certaines requêtes Web peuvent être interdites en fonction de l’URL demandée
  • 52. PROXY WEB Principes de Fonctionnement Proxy applicatif effectue Translation de N°port et @IP Filtrage basé sur le sens du flux, N°port, @IP Analyse sémantique et syntaxique du protocole au niveau applicatif Exemple : proxy HTTP 5252 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Proxy Internet Réseau LAN Web server utilisateur requêterequête page page
  • 53. PROXY WEB Proxy - Contrôle d’accès Authentification : Synchronisation avec l’annuaire d’entreprise pour les utilisateurs et les groupes Utilisant la méthode « X authenticated-user: » dans le header HTTP Utilisant le script de Login…. Définition des droits d’accès : Personnes autorisées, Heures permises et sites autorisés pour des groupes d’utilisateurs Type de navigateur Internet autorisé….. Sur la base d’un annuaire avec des login de connexion Annuaire Interne ou externe Utilisation des enregistrements (logs) Permet d’analyser les URLs demandées, et d’identifier les internautes 53 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 54. PROXY WEB Proxy - Filtrage de contenu Filtrage des URLs permet de Bloquer certaines URLs ou certaines catégories d’URLs (listes noires) Autoriser certaines URLs (listes blanches) Obligatoire pour certaines organisations : Ecoles, Bibliothèques, etc. Sur la base des listes statiques ou dynamiques d’URL Listes blanches et listes noires Base de données incluant des millions de sites par catégorie (porn, politique, jeux, piratage, …) et mises à jour quotidiennement Critères de filtrage par groupe ou profil : Utilisateurs et groupes d’utilisateurs Stations de travail (hostname ou adresse IP) Sous-réseau en fonction des plages d’adresses IP ou VLAN Heures des accès 54 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 55. PROXY WEB Proxy - Filtrage de contenu Filtrage des requêtes utilisateurs (exemple : Get-Only) Filtrage des codes mobiles Elimination des scripts malveillants, activeX, cookies, Java, JavaScript, Blocage des publicités Blocage des virus Blocage des tentatives d’exploitation des failles de sécurité HTML et HTTP 55 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 56. PROXY SMTP (MAILS) Proxy – Filtrage Anti-Spam Préambule En 2007 Radicati Group estime à 75% le volume de spam par rapport au trafic email global Ouverture de la plate-forme nationale de signalement www.signal-spam.fr le 10 mai 2007 Comment lutter contre le SPAM : Pas de solution miracle à ce jour ! Action juridique (manque d’efficacité) : déposer plainte auprès de la CNIL en cas de collecte illégale d’informations personnelles des organismes de défense des consommateurs pour dénoncer des publicités mensongères. de la justice « Depuis le12 juillet 2002, la loi statue en faveur de l’opt-in : l’accord préalable et explicite de l’utilisateur pour l’utilisation de son email à des fins d’envois commerciaux. La collecte par opt-out (accord implicite) devient illégale au même titre que le spam. Le recours doit se faire auprès de l’autorité compétente » Action de sensibilisation interne des utilisateurs (travail de fond) sur le « bon » usage de la messagerie 56 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 57. PROXY SMTP (MAILS) Proxy – Filtrage Anti-Spam Calcul coût du spam avec Vade Retro Technology http://www.vade-retro.com/fr/cout_spam.asp Pour le Gartner Group, une entreprise perd 1300 $ par an et par employé. 5757 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 58. PROXY SMTP (MAILS) Proxy – Filtrage Anti-Spam Action technique - Méthodes de filtrage Listes noires mises à jour en temps réel (RBL) Vérification l’adresse IP du serveur de messagerie expéditeur, en la comparant aux adresses de diverses listes noires, en vue de s’assurer que le serveur en question ne fasse pas partie des serveurs relais ouverts utilisés par les spammeurs. www.mail-abuse.com Normalement, tout serveur de messagerie sécurisé devrait refuser l'envoi (le transit – relais ouvert) de messages électroniques d'expéditeurs externes à son domaine Recherche de DNS Détermine si le serveur de messagerie expéditeur est légal et s’il a un nom d’hôte valide. Cette technique simple permet d’éliminer le spam envoyé par des serveurs de messagerie non enregistrés en tant qu’hôte qualifié au niveau d’aucun serveur de noms de domaines (DNS). 58 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 59. PROXY SMTP (MAILS) Proxy – Filtrage Anti-Spam : Méthodes de filtrage (suite) Filtre sur empreinte Centralisation de tous les spam et calcul des empreintes par hachage. Pour tout nouveau message, l’empreinte est calculée puis comparée à la base existante. Filtre sémantique Analyse lexicale Analyse heuristique Analyse statistique (ou filtrage de Bayes) Reconnaissance optique de caractères De nombreux messages de spam sont reçus sous forme d’image et non de texte. La technique OCR (reconnaissance optique de caractères) est capable de lire le texte, même s’il apparaît sous forme d’image graphique. 59 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 60. PROXY SMTP (MAILS) Proxy – Filtrage Anti-Spam : Analyse de l’en-tête SMTP (suite) 6060 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Return-Path: <inteactiv.credltlyonais@security.fr> Received: from mwinf0504.wanadoo.fr (mwinf0504.wanadoo.fr) by mwinb0505 (SMTP Server) with LMTP; Wed, 08 Mar 2012 03:32:56 +0100 X-Sieve: Server Sieve 2.2 Received: from me-wanadoo.net (localhost [127.0.0.1]) by mwinf0504.wanadoo.fr (SMTP Server) with ESMTP id A2B6874005E1 for <wfr400009ee3445071e7c8cb76e@back05-mail01-03.me-wanadoo.net>; Wed, 8 Mar 2012 03:32:56 +0100 (CET) Received: from -1213298912 (unknown [218.24.193.197]) by mwinf0504.wanadoo.fr (SMTP Server) with SMTP id 65F1074005E0 for <bob.leponge@wanadoo.fr>; Wed, 8 Mar 2012 03:32:52 +0100 (CET) X-ME-UUID: 20120308023253417.65F1074005E0@mwinf0504.wanadoo.fr Received: from security.fr (-1217000416 [-1216293296]) by quintanaroo.com (Qmailv1) with ESMTP id AF2AF35AF4 for <bob.leponge@wanadoo.fr>; Wed, 08 Mar 2012 06:32:51 -0800 Date: Wed, 08 Mar 2012 06:32:51 -0800 From: Security_credltllyonais <inteactiv.credltlyonais@security.fr> X-Mailer: The Bat! (v2.00.2) Personal X-Priority: 3 Message-ID: <3509647370.20120308063251@security.fr> To: Bruno <bob.leponge@wanadoo.fr> Subject: Le Credit Lyonnais.Nouveau systeme de securite de notre banque est en regime de test. MIME-Version: 1.0 Les différents relais de transit Ordinateur émetteur Date et heure Serveur messagerie qui a reçu le mail
  • 61. PROXY SMTP (MAILS) Proxy – Filtrage Anti-Spam : Méthodes de filtrage (suite) 61 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 62. PROXY SMTP (MAILS) Une alternative efficace 6262 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 63. WAF – WEB APPLICATION FIREWALL – REVERSE PROXY WAF – ou - Reverse Proxy (ou Proxy de relais inverse) Caractéristiques Principalement dédiés aux protocoles HTTP et HTTPS Protègent les sites web contre les attaques en provenance de l’Internet. Proposent d’assurer les fonctions d’accélération SSL (via un processeur spécialisé) déchargeant ainsi le serveur Web de cette tâche et permettant de réaliser l’analyse applicative sur le flux HTTPS Se réfère au processus où le serveur Proxy apparaît aux utilisateurs comme un serveur Web. Le reverse proxy est situé côté serveur destination La requête client est relayée à un autre serveur voir un autre Proxy serveur Permet de protéger le serveur contre les attaques applicatives 6363 Blocage des attaques applicatives externes (failles XSS, injections SQL, malwares etc...) PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Reverse Proxy Internet Réseau Web server Internaute requêterequête page page
  • 64. WAF – WEB APPLICATION FIREWALL – REVERSE PROXY Utilisation d’un WAF: Protection contre les attaques externes - Filtrage les requêtes au niveau applicatif - Identification des attaques grâce à la base de signatures d’attaques et aux règles de filtrage (SQL injection, XSS, Directory Traversal, Déni de service) 6464 Blocage des attaques applicatives externes PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 65. WAF – WEB APPLICATION FIREWALL – REVERSE PROXY 6565 Blocage des attaques applicatives externes PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 66. PRODUITS DU MARCHÉ 66 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 67. PRODUITS DU MARCHÉ Les principaux acteurs du marché Firewall Palo Alto Networks Checkpoint Software Technologies Cisco Systems StormShield (ancien Netasq) Fortinet (Fortigate) Juniper Networks CyberGuard SonicWall (Dell) WatchGuard Technologies UTM (Unified Threat Management) Fortinet Sophos, Dell (SonicWall) Watchguard Check Point 6767 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 68. PRODUITS DU MARCHÉ Proxy Applicatif SG Blue Coat CISCO Cache Engine (intégration aux routeurs CISCO), CacheQube, Dynacache (InfoLibria), ISA Serveur (Microsoft) NetCache (NetAppliance), « I-Planet Web Proxy Server » (SUN) SafeWeb, Border Manager (Novell) Squid (Open source), Trafic Edge (Inktomi), WinGate Pro IPCop Add-on Advanced Proxy Module « Proxy » de Apache Proxy Content filtering -Anti-SPAM Olfeo WebSense Mimesweeper SurfinGate (Finjan) eSafe (Aladdin) AntiSpam (Aladdin) Mfiltro (Netasq) IPCop Add-on URL Filtering Barracuda Networks Smartfilter (Secure Computing) 6868 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés WAF – Produits spécialisés DENY ALL BEEWARE F5 Diodes – Firewall industriels THALES SCHNEIDER HIRSCHMANN INVENSYS
  • 69. PRODUITS DU MARCHÉ Proxy Web 69 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés WAF
  • 70. PAUSE-RÉFLEXION Avez-vous des questions ? 70 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 71. RÉSUMÉ DU MODULE 71 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Bonnes pratiques Cloisonnement VLANs Firewall (pare-feu) Diode Proxy Web/Mails WAF Routeur filtrant Illustration Architecture sécurisée
  • 72. OBJECTIFS ORIGINE DU BESOIN ET DÉFINITION – TERMINOLOGIE - CONCEPTS DE BASE SÉCURISATION DES DONNÉES ET PKI (PUBLIC KEY INFRASTRUCTURE) PROBLÉMATIQUE DE LA DISTRIBUTION DES CLÉS PUBLIQUES - COMPOSANTES D’UNE PKI CERTIFICAT ÉLECTRONIQUE & CYCLE DE VIE RÉSUMÉ DU MODULE MODULE N°2 : PROTECTION DES APPLICATIONS, DONNÉES ET CRYPTOLOGIE 72 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 73. OBJECTIFS Patrimoine informationnel de l’entreprise : La perte, la divulgation ou l’altération de l’information peuvent constituer un grave préjudice à l’entreprise en terme de compétitivité, d’image de marque et donc in fine de pertes financières voire la survie de l’entreprise elle-même. La mise en œuvre d’une politique de sécurité au niveau de l’information se traduit par une protection des applications sensibles et de leurs données « stratégiques ». La mesure de protection des données est principalement une mesure de chiffrement et de restriction des accès. 73 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 74. NOTIONS DE CRYPTOLOGIE 74 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 75. NOTIONS DE CRYPTOLOGIE Origine, problématique et terminologie 75 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 76. ORIGINE DU BESOIN ET DÉFINITION La cryptographie assure quatre fonctions essentielles : Confidentialité : Protection de l’information d’une divulgation non autorisée (messages, fichiers, données brutes, réseau…) Intégrité : Protection contre la modification non autorisé de l’information (messages, fichiers, programmes,..) Authentification : Le destinataire d’un message doit connaître avec certitude son émetteur (ressources, utilisateurs, accès, réseau………. ) Non répudiation : Offre la garantie qu’une entité ne pourra pas nier être impliquée dans une transaction (imputabilité des transactions) 76 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 77. ORIGINE DU BESOIN ET DÉFINITION Pour répondre à ces besoins, différentes techniques de cryptographie Le chiffrement et le déchiffrement de données par des techniques (algorithmes) à clé symétrique et asymétrique pour assurer la confidentialité et l’authentification implicite. La technique de création de condensés des informations obtenues par des opérations de hachage pour l’intégrité La signature des messages échangés afin de permettre l’authentification de leurs émetteurs et la non répudiation. 77 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 78. ORIGINE ET PROBLÉMATIQUE Historique Atbash cipher (500 – 600 B.C.), Scytale spartiate (150 av. J.C.), Chiffre de César (100 av. J.C.), Enigma (1929) A été un enjeu de pouvoir Usage contrôlé réservé à l’état (militaires, services de renseignements, diplomates) La cryptographie a été libérée en France en 1999 (choix de protection des activités commerciales et de la vie privée et reconnaissance que les activités malveillantes en tiraient déjà parti) 78 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 79. ORIGINE ET PROBLÉMATIQUE Problématique Techniques de chiffrement en constante évolution en fonction des progrès en mathématiques, en logique et en physique. La cryptographie est un domaine où les standards peuvent tomber aussi rapidement qu'ils naissent ( contre exemple DES 1970 ) Le chiffrement de nos jours Le chiffrement des données est « omniprésent » Sur votre ordinateur, sur Internet, Carte bancaire, Carte Vitale, GSM, la télévision payante … 79 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 80. TERMINOLOGIE Cryptographie Désigne l'ensemble des techniques de chiffrement d'informations Cryptologie Science du chiffrement. La Cryptanalyse / Décryptage En opposition avec la cryptographie. Regroupe l'ensemble des techniques visant à décrypter les messages chiffrés sans légitimité. Déjouer les mécanismes mis en place dans le cadre de la cryptographie Chiffrement/Déchiffrement Action de retrouver les informations en clair à partir de données chiffrées Action légitime en opposition avec le décryptage 80 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 81. TERMINOLOGIE 81 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés ? ! ? •L’algorithme de cryptographie est une fonction mathématique qui est associée avec une clé. •Une clé est un mot, un nombre ou une suite de caractères alphanumériques •L’utilisation de clés différentes entraine un résultat de chiffrement différent Message en Clair Message chiffré Cryptogramme Clé de chiffrement Clé de déchiffrement Message en Clair Algorithme de Chiffrement Algorithme de Déchiffrement Cryptanalyse : Déchiffrement illégitime ?!?
  • 82. TERMINOLOGIE Application « interactive » Application dépendante des informations échangées entre le client et le serveur et en générale ayant une contrainte temporelle (ou de temps de réponse) Exemple : Application Web (Browsing), Visio Conférence Application « non interactive » Application fonctionnant en mode différée (ou de façon asynchrone) Exemple : envoi de Mails, transfert de fichier (FTP) 82 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 83. NOTIONS DE CRYPTOLOGIE Les concepts de base 83 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 84. LES CONCEPTS DE BASE 84 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Information Secret Défense (Régie par la loi) Information Confidentielle (Secret ou discrétion professionnelle) Information sensible SURETE SECURITE COMSEC TRANSEC Cryptologie Stéganographie Sécurisation contre les perturbations • Pannes • Dégradation • Bruit de fond Sécurisation contre les malveillances Sécurisation de la transmission Les données et la transmission sont dissimulées Sécurisation de la communication on sait que les données sont chiffrées
  • 85. LES CONCEPTS DE BASE Chiffrement symétrique Principe Notion de symétrie car on utilise la même clé pour chiffrer et déchiffrer le message Notion fondamentale du canal sécurisé pour l'échange de la clé afin de communiquer en toute sécurité via en environnement à risque Le chiffrement consiste à appliquer au message un algorithme dont le paramètre est la clé de chiffrement, appelé aussi chiffrement à clé secrète (ou encore clé de session). C’est le moyen le plus répandu, le plus ancien et le plus simple à mettre en œuvre. 85 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 86. LES CONCEPTS DE BASE 86 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés •La même clé (Ks : Clé secrète) permet de chiffrer et déchiffrer •Les algorithmes à chiffrement symétrique sont fiables et rapides •Exemple : Algorithme DES, AES, … •Problème : Avoir un canal sécurisé pour distribuer la clé Ks Clé Ks pour chiffrement Clé Ks pour déchiffrement
  • 87. LES CONCEPTS DE BASE Les algorithmes symétriques • 2 variantes de chiffrement symétrique – Chiffrement symétrique par flux (Stream Cipher) – Chiffrement symétrique par bloc (Block cipher) • Chiffrement symétrique par flux (Stream Cipher) : RC4 (Rivest Code 4) – Traitement d’un Byte à un instant donné – Key stream Ks, Message M, Résultat du chiffrement C C[i] = Ks[i] Xor M[i] M[i] = Ks[i] Xor C[i] • Chiffrement symétrique par bloque (Block cipher) : DES, AES, RC2 – Traitement d’un bloque de bytes à un instant donné (8, 16 bytes) – Matrice de données avec un clé pour sélectionner les colonnes C[i] = E(K,M[i]) M[i] = D(K,C[i]) (Modèle de base ECB) 87 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 88. LES CONCEPTS DE BASE 88 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Exemples DES (Data Encryption standard) conçu par IBM/NSA en 1970 IBM a conçu LUCIFER (128 bits), revue par la NSA pour donner le DES (56bits) En 97, une attaque a été menée en trouvant la clé de chiffrement en moins de 24 heures -> Apparition du 3DES 3DES : Robustesse effective de la clé est de 112 bits et non de 168 bits (3 x 56) IDEA 128 bits crée par la société Mediacrypt – brevet expiré en 2012 SKIPJACK : conçu par NSA en 1980 et resté secret jusqu’en 1998 – non fiable ou intégrant une backdoor. AES (Advanced Encryption standard) – Préconisation actuelle – AES-CBC 128 bits Adopté par le NIST (National Institute of Standards and Technology) Tailles de clé : 128, 192, 256, 512 Bits
  • 89. LES CONCEPTS DE BASE Avantage Le chiffrement symétrique permet de chiffrer de grandes quantités de données avec des performances élevées. Inconvénients Partage de la même clé entre l’émetteur et le destinataire du message. Toute la sécurité repose sur la clé symétrique La sécurité est fragilisée par le problème de distribution des clés via un « canal non sécurisé » La gestion, la garantie de confidentialité et d'intégrité des clés secrètes engendrent alors des difficultés en termes de ressources et d'organisation : Un même utilisateur communique avec des groupes différents qui, n'ayant pas accès aux mêmes types d'information, ne doivent pas partager le même secret. Ceci conduit à utiliser un grand nombre de clés : Nombre de Clés = (n-1)n/2 avec n = nombre d’utilisateurs 89 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 90. LES CONCEPTS DE BASE Chiffrement Asymétrique (chiffrement à clé publique) Principe Il utilise une clé différente en émission et en réception (une partie privée qui est secrète et une partie publique, dont la confidentialité n'est pas nécessaire). Ce couple de clés est appelé «bi-clé ». Les deux clés utilisées sont crypto graphiquement indissociables de telle sorte que tout message chiffré avec l’une des clés ne peut être déchiffré que par l’autre clé. Reposent sur le problèmes mathématique de la factorisation en grands nombres premiers Il est parfaitement possible de trouver les facteurs premiers d'un nombre à 50 chiffres. Il ne s'agit que d'une question de temps Valable tant qu’aucune découverte mathématique ne serait faite. 90 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 91. LES CONCEPTS DE BASE 91 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés 91 • Un interlocuteur communique sa clé publique et garde sa clé Privée • Pour une communication à deux, on a 2 couples de clés (Kpu, Kpr) • une clé publique permet de chiffrer, Une clé privée sert à déchiffrer Clé Kpu de chiffrement Clé Kpr de déchiffrement Clé Kpu de chiffrement Clé Kpr de déchiffrement
  • 92. LES CONCEPTS DE BASE Avantages Confidentialité : Permettre à tous de chiffrer des messages avec la clé publique d'une personne. Mais seule la clé privée sera en mesure de lire les messages. Authentification et Non répudiation : en chiffrant un message avec sa clé privée, une personne prouve la provenance du message puisque seule sa clé privée est en mesure de générer un message déchiffrable par sa clé publique connue de tous. Le chiffrement asymétrique simplifie donc la gestion des clés puisque la clé publique peut être distribuée à tout le monde. n « bi-clé » pour n utilisateurs (évolution linéaire) Au moins trois types de bi-clés pour des besoins de sécurité différents : bi-clés de signature permettant de garantir l'intégrité et l'authentification l'origine d'un message bi-clés de chiffrement utilisés pour chiffrer directement des messages bi-clés d'échange de clé destinés à protéger un échange de clé de session (elle-même utilisée pour chiffrer un message) Inconvénient Processus lent car nécessite de nombreux calculs 1000 fois plus lent que le chiffrement symétrique 92 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 93. LES CONCEPTS DE BASE Combinaison des deux chiffrements Principe Garder les avantages des 2 systèmes (symétrique et asymétrique) Consiste à protéger les clés symétriques par un chiffrement asymétrique Fonctionnement L’émetteur chiffre son message avec une clé symétrique dite clé de session Les clés de session sont de 56, 128, 256, 512 bits. L’émetteur chiffre cette clé de session avec la clé publique du destinataire. Les clés publiques sont de 1024 bits ou 2048 bits. (ANSSI préconise une taille > 1024 bits) L’émetteur émet à la fois le message chiffré et la clé de session chiffrée. Le destinataire déchiffre la clé de session en utilisant sa clé privée. Le destinataire déchiffre ensuite le message avec cette clé de session. 93 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Logiciel de cryptologie hybride : PGP, GnuPG, ACID Crytofiler
  • 94. LES CONCEPTS DE BASE La combinaison des 2 principes Asymétrique et Symétrique résout : - le problème de performance : le nombre de bits chiffrés avec l’algorithme asymétrique est faible comparé à la longueur du message chiffré avec l’algorithme symétrique - Plus besoin d’un canal sécurisé pour l’échange des clés de session (ou clés secrètes) - Réduit la complexité de la gestion des clés (réduction du nombre globale de clés) Alice Bob 94 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 95. LES CONCEPTS DE BASE 95 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés 95 Mécanisme : Mixage du chiffrement symétrique et asymétrique en considérant les avantages de chacun Clé Kpu de chiffrement Clé Kpr de déchiffrement Clé Ks pour chiffrement Clé Ks pour déchiffrement Génération d’une clé secrète (Clé de session Transissions de Ks Transissions sécurisé
  • 96. LES CONCEPTS DE BASE Algorithmes Asymétriques RSA (1977) : Ron Rivest, Adi Shamir, Len Adelman Algorithme à clé publique le plus utilisé. Repose sur la quasi impossibilité à inverser une fonction puissance et est ainsi considéré comme sûr quand la clé est suffisamment longue RC4 et RSA sont presque toujours associés (RC4 pour le chiffrement des messages, RSA pour le chiffrement des clés AES). RSA permet l’utilisation de clé de 512, 768, 1024 ou 2048 bits Préconisation actuelle : RSA avec une clé >= 2048 bits De gauche à droite : Adi Shamir, Ronald Rivest, Leonard Adleman 96 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 97. LES CONCEPTS DE BASE Algorithmes Asymétriques DH Diffie-Hellman (1976) Utilisé pour la mise en accord de clé de chiffrement Utilisé pour l’échange de clé à travers une liaison non sécurisée uniquement Permet de chiffrer mais pas de signer. Il doit donc être associé à un autre algorithme DSS (Digital Signature Standard) Withfield Diffie Martin Hellman 97 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 98. LES CONCEPTS DE BASE Analogie pour l’explication du secret partagé de « Diffie-Hellman » Alice et Bernard désirent s’échanger une clé de session. Ils conviennent entre eux d’utiliser une certaine quantité de bleu pour communiquer Chacun ajoute une quantité d’une autre couleur dans son pot. La quantité et la couleur choisies par chacun ne sont connues de personne Alice Bernard 98 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 99. LES CONCEPTS DE BASE Analogie Les deux pots de peinture sont alors échangés Alice Bernard 99 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 100. LES CONCEPTS DE BASE Analogie Il n’est pas possible de connaître les couleurs ajoutées Chacun ajoute à nouveau la même teinte et la même quantité que la fois précédente Alice Bernard 100 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 101. LES CONCEPTS DE BASE Analogie Alice et Bernard obtiennent la même couleur alors que les quantités ajoutées de vert et d’orange par chacun n’ont jamais été communiquées. Alice Bernard 101 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 102. LES CONCEPTS DE BASE Calcul d’intégrité d’un message : Hachage Principe Utilisé pour contrôler l’intégrité de l’information, en envoyant cette information accompagnée de son condensé, ce dernier étant éventuellement chiffré. Ne garantie pas la provenance du message Fonction appelée également fonction de condensation Fonctionnement Permet d'obtenir un « nombre caractéristique » sous forme d’une suite de caractères de taille fixe correspondant à partir d’un message de taille variable. Chaque message doit donner qu'un seul résultat appelé un condensé du message Fonction à sens unique (On Way Function). Il est impossible de retrouver le message original à partir du condensé. C’est l'empreinte digitale du message 102 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés À un texte est associé un et un seul condensé Fonction à sens unique : impossibilité de retrouver le texte à partir d’un condensé
  • 103. LES CONCEPTS DE BASE Fonctionnement (suite) Très faible probabilité pour un condensé de correspondre à deux messages En pratique, il faut que le condensé ait une taille minimum de 128 bits Probabilité de collision : Calcul de la résistance aux collisions : la ½ de la taille du condensé Condensé de 128 bits -> 264 opérations pour générer une collision Illustration d’un condensé résultat d’un opération de hachage 103 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 104. LES CONCEPTS DE BASE Illustration de l’utilisation 104 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 105. LES CONCEPTS DE BASE Algorithmes de Hashing MD5 (Message Digest 5) par Ron Rivest 92 Condensé de 128 Bits Algorithme déconseillé – faiblesses démontrées et prouvées depuis 2008 SHA-1 (Secure Hash Algorithm) - plus supporté en 2016 dans les certificats Condensé de 160 Bits Algorithme déconseillé – faiblesses démontrées et prouvées depuis 2010 SHA-256 bits et SHA-512 bits recommandés aujourd’hui pour éviter les collisions 105 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 106. LES CONCEPTS DE BASE MD5: ad88955aae07d7b60c9d0d022cda0a34 SHA -1: eb17e6600074f371a4b40d72d35e95e0d896ee1d SHA-256: 7d0e8e1c4b5b6ba516322f603710eba7da73323fbfa4dac3e0ed4291b98737c4 SHA-512: a9261cc227b3d0ed2129d64841d59b3e82721dcb0a912c54a529c4835f281dfcf 8706a93d2d5a2047a97403701368cabca2b2a76637c634b9c9905b98f6a3c78 WHIRPOOL: 33db4434493fc116d1d1a0c602502e343f05010cdc2a1e3527d80eacd0531e339 6f2fe824883c525332f41abab77bc92c4af8407af5482f5a1b8465fbd6a439f 106 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 107. LES CONCEPTS DE BASE Signature électronique Principe Aspect fondamentale dans l’authentification de l’origine d’une transaction ainsi que dans sa garantie de « non répudiation ». Elle s’obtient en associant une opération de hachage et un opération de chiffrement asymétrique avec la clé privée de l’émetteur Comme un condensé représente l'empreinte digitale d'un message, il suffit de chiffrer ce condensé à l'aide d'un algorithme à clés asymétriques. Si le condensé de l’émetteur ne peut pas être déchiffré à l'aide de sa clé publique, il ne provient pas de la même personne. Si le message a été modifié, les condensés après comparaison ne correspondent pas. 107 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Permet d’assurer l’intégrité du message Permet d’authentifier l’expéditeur Permet d’assurer la non-répudiation
  • 108. LES CONCEPTS DE BASE 108 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Clé Kpu de chiffrement Clé Kpr de déchiffrement Vérification authenticité par le destinataire Transissions Scellement du message de l’expéditeur Sceau Permet d’assurer l’intégrité du message Permet d’authentifier l’expéditeur Permet d’assurer la non-répudiation
  • 109. COMMENT CHOISIR UNE TAILLE DE CLÉ ? http://www.keylength.com/fr/5/ 109 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 110. SÉCURISATION DES DONNÉES ET PKI (PUBLIC KEY INFRASTRUCTURE) 110 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 111. SÉCURISATION DES DONNÉES ET PKI Problématique de la distribution des clés publiques 111 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 112. PROBLÉMATIQUE DE DE LA DISTRIBUTION DES CLÉS PUBLIQUES Les mécanismes décrits précédemment permettent la constitution d’un réseau où les personnes peuvent communiquer de façon sûr grâce au chiffrement des messages Or, comment l’émetteur peut-être sûr que la clé publique qu’il utilise appartient bien au destinataire ? Si une personne malintentionnée a pu modifier l’annuaire (contenant l’ensemble des clés publiques) et mettre sa propre clé publique à la place du destinataire « Bob », alors cette personne peut déchiffrer les messages à destination de « Bob » ou envoyer des messages chiffrés et/ou signés en se faisant passé pour lui. D’où la nécessité d’avoir un composant supplémentaire qui garantisse que la clé est bien celle du propriétaire annoncé. 112 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 113. PROBLÉMATIQUE DE DE LA DISTRIBUTION DES CLÉS PUBLIQUES La PKI ou infrastructure à clés publiques a pour but de résoudre le problème de la distribution des clés publiques. La PKI fournit des certificats garantissant le lien entre une identité et un clé publique. 113 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 114. COMPOSANTES D’UNE PKI 114 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 115. COMPOSANTES D’UNE PKI Définition de l’IETF L’Infrastructure à clé publique de la PKI (Public Key Infrastructure) désigne l’ensemble des moyens et des ressources nécessaires à la gestion du cycle de vie et à l’exploitation des certificats Une PKI regroupe ainsi les composants techniques, les ressources, l’organisation et les politiques de sécurité permettant l’usage de la cryptographie à clé publique dans un contexte défini 115 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 116. COMPOSANTES D’UNE PKI Principales fonctions de la PKI : Enregistrement de demandes et de vérification des critères pour l’attribution des certificats (Autorité d’enregistrement) Génération d’une demande de signature de certificat (Autorité d’enregistrement) Création de certificats (fabrication des bi-clés) (Autorité de certification) Certification des certificats entraînant la publication des clés publiques Renouvellement des certificats (Autorité de certification) Révocation sur date de péremption, perte, vol ou compromission de clés (Autorité de certification) Stockage et archivage des certificats pour assurer la sécurité et la pérennité (Autorité de dépôt) – Annuaire LDAP en général 116 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 117. COMPOSANTES D’UNE PKI Autorité de Certification (Certification Authority : CA) Principe de fonctionnement Pour publier une clé publique, il faut effectuer une demande à une autorité de certification (ou par l’intermédiaire d’une autorité d’enregistrement) qui fournit après vérification de l ’identité du demandeur un certificat numérique à ce dernier Ce certificat délivré authentifie la clé publique du demandeur Dans le certificat se trouve la signature de l’autorité de certification L’autorité de certification qui effectue cette signature se porte garante de l’exactitude de l’association entre la clé publique et le nom de son possesseur. Hiérarchie et organisation L’autorité de certification ne peut pas vérifier la légitimité de toutes les demandes. C’est le rôle des autorités d’enregistrement qui vérifient et valident les demandes avant de les transmettre à l’autorité de certification 117 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Autorité de certification : VeriSign, Certplus, Click&Trust, ChamberSign, Thawte, Entrust.net, Certinomis
  • 118. INFRASTRUCTURE PKI 118 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Demande de certificat Demande de certificat Expiration du certificat Expiration du certificat AuthentificationAuthentification Génération du certificat Génération du certificat Révocation du certificat Révocation du certificat Suspension du certificat Suspension du certificat Levée de la suspension Levée de la suspension Exploitation du certificat Exploitation du certificat Remise au demandeur Remise au demandeur RenouvellementRenouvellement
  • 119. COMPOSANTES D’UNE PKI 119 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés AC : Autorité de certification = Préfecture AE: Autorité d’enregistrement = Marie End entity : propriétaire du certificat Certificat = Carte d’identité
  • 120. COMPOSANTES D’UNE PKI AC racineAC racine AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée Chaîne de certification La hiérarchie d’une PKI 120 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 121. COMPOSANTES D’UNE PKI Usages d’une PKI : Navigateur en SSL (https) Messagerie électronique (S/MIME) Carte à puce pour ouverture de session ou authentification SSL Connexion réseau sécurisée (VPN) 121 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 122. CERTIFICAT ÉLECTRONIQUE 122 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 123. CERTIFICAT ÉLECTRONIQUE Le propriétaire du certificat peut être une être humain ou une machine. - Exemple de certificat machine : serveur SSL, serveur VPN IPSec … - Exemple de certificat personne : utilisation de la messagerie S/MIME 123 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Le certificat électronique Des informations relatives à l’utilisateur : Nom, prénom, département, adresse email… Sa clef publique La durée de validité du certificat Les usages du certificat Le tout est signé par l’Autorité de Certification de la PKI Il existe un « typage » des certificats électroniques, par fonction (keyusage) Permet de distinguer, schématiquement, les certificats: d’authentification de chiffrement de signature
  • 124. CERTIFICAT ÉLECTRONIQUE X509 Identité du sujet Identité de l’émetteur Valeur de la clé publique du sujet Durée de validité Signature numérique de l’Autorité de Certification (AC) Chemin pour la CRL Chemin pour la récupération du certificat AC Sujet: Cyril Voisin Émetteur: Issuing CA Valide à partir de: 17/01/2014 Valide jusqu’au: 17/01/2017 CDP:URL=http://pronetis.fr/crl/CA. crl AIA:URL=http://pronetis.fr/ca.crt Clé publique du sujet: RSA 1024.. Politique d’application: Client Authentication, SmartCard Logon... Numéro de série: 78F862… …… Signature: F976AD… La signature numérique garantie l’intégrité des données (idem pour une CRL) 124 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 125. CERTIFICAT ÉLECTRONIQUE La classe d’un certificat se caractérise en fonction des points suivants - Vérification d’identité - Protection de la clé privée de l’autorité de certification - Protection de la clé privée du demandeur Classe 1 : certificat gratuit ou de test. Seule l’adresse e-mail est vérifiée Classe 2 : les informations concernant le titulaire et son entreprise sont contrôlées par l’autorité de certification sur la base de pièces justificatives Classe 3 : par rapport au certificat de classe 2, un contrôle supplémentaire de l’identité du titulaire est effectué physiquement entre le titulaire et un agent de l’autorité de certification. Le stockage obligatoire de la clé privée doit se faire sur un support sécurisé (Token USB, carte à puce) 125 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 126. CERTIFICATS ÉLECTRONIQUES Certificats dans Internet Explorer 3 grandes catégories Certificats racines Certificats intermédiaires Certificats personnels 126 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 127. CERTIFICATS ÉLECTRONIQUES Exemple de certificat serveur 127 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 128. CERTIFICATS ÉLECTRONIQUES Exemple de certificat serveur 128 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 129. CERTIFICATS ÉLECTRONIQUES Exemple de certificat serveur 129 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 130. LA CHAÎNE COMPLÈTE Chiffrement asymétrique Clé privée de Bob ( émetteur) empreinte empreinte déchiffrement asymétrique ALICE BOB Exemple de la signature d’un message Certificat de BobService de publication Clé publique de Bob 130 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 131. LA CHAÎNE COMPLÈTE ALICE BOB Exemple du chiffrement d’un message Clé publique de Bob (destinataire) Chiffrement asymétrique Clé privée de Bob (destinataire) déchiffrement asymétrique Certificat de Bob Service de publication 131 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 132. CYCLE DE VIE DU CERTIFICAT Création : Révocation : - Perte du support de la clé privée - Compromission de la clé privée - Changement des informations contenues dans le certificat (changement de ville, de fonction, etc…) La révocation est la seule manière de dégager sa responsabilité en cas de signature frauduleuse. Suspension La suspension est une révocation temporaire. Un utilisateur a perdu son certificat mais qu’il pense pouvoir retrouver. Renouvellement A la fin de la période de validité, l’utilisateur peut demander le renouvellement de son certificat. 132 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 133. RÉSUMÉ DU MODULE 133 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Origine Besoin Définition Terminologie Composante d’une PKI Certificats et cycle de vie Concepts de base : Signature, Condensé, symétrique, asymétrique PKI & distribution des clés
  • 134. MESSAGERIE SÉCURISÉE S/MIME VPN - VIRTUAL PRIVATE NETWORK - FAMILLES DE VPN STANDARDS SSL ET IPSEC - SSL VERSUS IPSEC PRODUITS DU MARCHÉ MODULE N°3 : PROTECTION DES COMMUNICATIONS RÉSEAU 134 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 135. ILLUSTRATION AVEC UN CLIENT DE MESSAGERIE MICROSOFT OUTLOOK 2013 ENVOI ET RÉCEPTION DE MAILS SIGNÉS ET CHIFFRÉS MESSAGERIE SÉCURISÉE S/MIME 135 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 136. S/MIME 136 La technologie S/MIME (Secure Mime), créée en 1995, permet d’envoyer et recevoir des courriers électroniques signés et/ou chiffrés. Elle est implémentée dans la plupart des agents de messagerie (Microsoft Outlook, Lotus Notes, Thunderbird, MacOS Mail, etc.). PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 137. ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007 : CONFIGURATION 137 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 138. ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007 138 Envoi d’un mail signé et chiffré PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 139. ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007 139 Réception d’un mail signé PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 140. ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007 140 Réception d’un mail signé et chiffré Le message n’est pas stocké en clair dans le fichier « .pst ». Il n’est pas affiché automatiquement dans l’écran de visualisation PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 141. ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007 141 Réception d’un mail signé et chiffré PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 142. VPN (VIRTUAL PRIVATE NETWORK) VPN CHIFFRÉ ET TECHNIQUES DE TUNNELING 142 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 143. FAMILLES DE VPN Virtual Private Network Liaison sécurisée entre deux réseaux Les informations sont envoyées à travers un tunnel chiffré Protocoles largement déployés : IPSec, SSL, SSH Extension d’un réseau privé à travers un réseau public (ex : Internet) : Site-to-site VPN : interconnexion de deux réseaux privés de type LAN (ex : siege et son agence) Remote access VPN : connexion pour les utilisateurs nomades 143 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Site-to-site VPN
  • 144. LA CHAÎNE DE LIAISON SÉCURISÉE Site distant : agence, fournisseur Transport sécurisé • IPSec • SSL Réseau IP Protection du poste de travail • Authentification • Sécurisation • Connexion Périmètre de défense • Firewall • Concentrateur VPN Accès • Authentication • Autorisation • Détection d’intrusion MPLS Internet RTC/RNIS DSL/Câble GPRS/3G RTC/RNIS DSL/Câble GPRS/3G MPLS Internet MPLS Internet 144 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 145. FAMILLES DE VPN SSL Extranet Application-aware IPSec VPN CPE-based Virtual Router IPSec / MPLS / BGP Circuit VPN ATM / FR Ethernet VPN Optical / MPLS Network-based VPNs Layer 4-7 Layer 3 Layer 2 Accès distant aux applications et Extranets pour les partenaires Liaisons site à site et Accès distant au réseau Outsourced Network-to-network and SP Managed Employee remote network access Layer 4-7 Layer 3 Layer 2 Accès distant aux applications et Extranets pour les partenaires Liaisons site à site et Accès distant au réseau Outsourced Network-to-network and SP Managed Employee remote network access 145 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 146. STANDARDS SSLV3 ET IPSEC 146 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 147. LES STANDARDS SSL ET IPSEC Les standards SSL (Secure Sockets Layer) Se situe au-dessus de la couche TCP Exemple de protocoles utilisant SSL : HTTPS, SFTP, LDAPS IPSec (IP Security) Se substitue à la couche 3 de IPV4 en dessous des couches UDP, TCP 147 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 148. LES STANDARDS : SSL Objectif de SSL Authentification du serveur, Confidentialité, Intégrité des données et optionnellement authentification du client Principe SSL Utilise une combinaison de chiffrement à clé publique (asymétrique) et à clé secrète (symétrique). Une session SSL débute toujours avec un échange de messages appelé « accord SSL» ou « SSL handshake » Cet échange a lieu afin de faciliter les actions suivantes : Authentification du serveur par le client en utilisant des techniques de clés publiques Sélection des algorithmes de cryptographie supportés par les deux parties Mise en accord sur une clé de session pour le chiffrement des données Authentification du client par le serveur (optionnel) Etablissement d’une connexion SSL chiffrée. 148 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 149. LES STANDARDS : SSL Utilisation de SSL SSL est largement utilisé dans les transaction e-business à travers Internet SSL est une solution intégrée par les navigateurs principaux du marché : Mozilla, Netscape Navigator, Microsoft Internet Explorer… Par les serveurs utilisant SSL : Websphere (IBM), Entreprise Server (Netscape), Internet Information Server (Microsoft), JAVA Web Server (Sunsoft) Open SSL est une version gratuite www.openssl.org 149 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 150. LES STANDARDS : SSL 1 : c > s : envoi de la requête ClientHello Contenant la version SSL supportée, liste des méthodes de chiffrement proposée au serveur ainsi qu’une Valeur aléatoire R1 qui sera utilisée dans la génération d’une clé de session 2 : s > c : réponse avec 3 messages - ServerHello : sélection d’une méthode de chiffrement et d’une valeur aléatoire R2 - Certificate : contenant la clé publique du serveur - ServerHelloDone : indicateur de fin de la négociation côté serveur 3 : c > s : envoi de 3 réponses - ClientKeyExchange contient une clé C1 générée aléatoirement et chiffrée avec clé publique du serveur. La clé de session sera dérivée à partir des valeurs R1, R2 et de C1. - ChangeCipherSpec : spécifie que tous les messages envoyés après seront chiffrés avec la méthode de chiffrement négociée mutuellement - Finished : contient une valeur de retour validant la fin de la bonne négociation de la méthode de chiffrement 4 à (n-1) : La connexion est prête à échanger les données applicatives n : c > s : close_notify indiquant la fin de la communication. 150 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 151. LES STANDARDS : SSL Remarque : Traces effectuées avec « SSLDump » Affichage des informations les plus importantes Version supportée Les listes des méthodes supportées 1. Algo d’échange de clés 2. Algo d’authentification 3. Algo de chiffrement 4. Algo de signature Méthodes de compression supportées Paramètres retenus par le serveur RSA, DES CBC et SHA-1 151 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 152. LES STANDARDS : SSL Le pre-master-secret (C1) Chiffrement effectif des informations échangées À partir de la requête N°7 jusqu’à La fin de la session 152 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 153. LES STANDARDS : SSL Algorithmes supportés par SSL V3 DES, Triple-DES MD5 RC2 et RC4 RSA Chiffrement RSA Echange de clé. Un algorithme d’échange de clé pour SSL basé sur RSA. DHE : Diffie Hellman Ephemeral SHA-1, SKIPJACK KEA. Key Exchange Algorithm, (utilisé pour l’échange de clé par les USA) Etc… SSL utilise généralement RSA pour l’échange de clé ainsi que RC4 pour chiffrer les sessions. Application de SSL HTTPS RFC2818 (port 443) HTTPS utilise le « hostname » comme intégrité de référence conjugué avec le certificat du serveur. 153 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 154. LES STANDARDS : SSL Points de contrôles Est-ce que la version du protocole SSL est vulnérable ? Quel est le niveau de sécurité du chiffrement proposé par votre serveur SSL ? (type d’algorithme et taille des clés de chiffrement) Est-ce que le certificat du serveur est valide ? L’implémentation du protocole SSL est-il vulnérable aux failles connues (ex : Heartbleed) TEST : https://www.ssllabs.com/ssltest/ Préconisations : Protocoles : Utiliser TLS 1.2 (SSL V3, TLS 1.0, TLS 1.1 sont vulnérables) Algorithmes à retenir : AES-GCM, SHA-2, SHA-512 Algorithmes à proscrire : MD5, 3DES Algorithmes à éviter : RC4, SHA-1 Tailles de clés à utiliser : AES-128 bits, RSA-2048 bits 154 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 155. LES STANDARDS : IPSEC Objectifs de IPSec Confidentialité, Intégrité Garantir la provenance des données (Authentification d’origine) Contrôle d’accès (ACLs), Anti-Rejeu Masquage des topologies réseaux (en utilisant le mode Tunnel) Caractéristiques IPSec Substitue de la couche IP v4 Inclus dans la spécification IP v6 Interopérabilité : Méthode standard. IPSec n’impose ni algorithmes de chiffrement, ni procédures d’authentification particulières 2 Modes d’encapsulation : Mode Transport et Mode Tunnel 155 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 156. LES STANDARDS : IPSEC 156 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés VPN LAN To LAN VPN NOMADE CONCENTRATEUR VPN
  • 157. LES STANDARDS : IPSEC Présentation Comme SSL, IPSec a un mécanisme de mise en accord sur un secret partagé et une gestion de clés fournis par IKE, ainsi qu’une protection des données fournie par AH et ESP. La SA (Security Association) est le liant technique entre les fonctions IKE et AH/ESP. A la différence de SSL, l’échange, la gestion de clés et les fonctions de protection du trafic sont complètement séparés « Briques techniques » de IPSec AH (Authentication Header) RFC2402 ESP(Encapsulating Security Payload) RFC2406 IKE (Internet Key Exchange) RFC2409 157 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 158. LES STANDARDS : IPSEC AH : Authentification Header Objectif Assure l’intégrité et l’authentification des paquets IP Assure une protection contre le « rejeu » (optionnel) Fonctionnement Signe numériquement le paquet sortant (entête et données du corps) grâce à une fonction de hachage HMAC Un code MAC (Message Authentication Code) est généré à chaque datagramme transmis, qui sera contrôlé par le destinataire. HMAC-MD5 ou HMAC-SHA sont le plus souvent utilisés dans le calcul de la MAC 158 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 159. LES STANDARDS : IPSEC ESP : Encapsulating Security Payload Objectif Assure l’intégrité et la confidentialité des données dans le message original l’origine du paquet Assure l’authentification (optionnel) Assure une protection contre le « rejeu » (optionnel) Fonctionnement Combine une fonction de hachage (HMAC-MD5 ou HMAC-SHA-1) et un chiffrement type Triple-DES, AES… 159 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 160. LES STANDARDS : IPSEC SA (Security Association) Contient l’ensemble des paramètres de sécurité pour effectuer une communication sécurisée. IKE (Internet Key Exchange) IKE engendre automatiquement les clés et gère automatiquement leur renouvellement, tout en utilisant un mécanisme de rafraîchissement de clé IKE régit l’échange de clés, en s’assurant qu’elles sont délivrées de façon sûre. Cet échange est basé sur le protocole Diffie-Hellman et s’assure que l’identité des deux parties est connue. Soit au travers de mots de passe appelés secrets pré partagés (pre-shared key) Soit à l’aide de certificats X509 V3. 160 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 161. LES STANDARDS : IPSEC Les phases IKE Phase 1 « IKE » : La 1er phase établit un canal sécurisé pour la négociation des paramètres de sécurité afin d’établir la future communication. 1 : Choix de l’algorithme de chiffrement, la fonction de hachage, la méthode d’authentification, ainsi que les paramètres de codage propres à Diffie-Hellman 2 : Les deux parties calculent ensuite le secret partagé et les clés de session destinées à protéger les échanges IKE suivants. (Diffie-Hellman) 3 : Dans un troisième temps a lieu l’identification mutuelle selon le mode d’authentification retenu. (Soit avec un certificat ou une pre-shared key) Phase 2 “Quick Mode” : Négociation des SA générales : La 2nd phase construit les SA nécessaires pour la suite de la communication sécurisée Définition des SA générales 161 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 162. LES STANDARDS : IPSEC IPSec supporte deux modes d’encapsulation Mode Transport Mode Tunnel 162 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 163. LES STANDARDS : IPSEC 163 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Mode Transport • Chiffre seulement le corps de chaque datagramme • Assure une protection des couches supérieures • Entête IP reste intacte • Pas de changement au niveau du routage • Utilisable que par les équipements terminaux (postes clients, serveurs).
  • 164. LES STANDARDS : IPSEC 164 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Mode Tunnel • Chiffre à la fois l’entête IP et le corps du datagramme • Encapsule le tout dans un nouveau paquet avec une « pseudo-entête » IP de remplacement. • Permet une protection de l’entête originale du datagramme • Cache la topologie (ou les adresses IP) des équipements terminaux • Utilisable par les équipements réseau (routeurs, firewall…). Exemple : Un tunnel reliant 2 réseaux en adresses 192.168.1.0/24 à un réseau 192.168.2.0/24 à travers Internet, permettra à un utilisateur en 192.168.1.100 d’accéder à une ressource en 192.168.2.200
  • 165. SSL VERSUS IPSEC 165 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 166. SSL VS IPSEC Les deux solutions offrent l’authentification, la confidentialité et l’intégrité des données IPSec Opère au niveau 3 pour créer un tunnel sécurisé Le paquet IP original est chiffré et transporté dans un autre paquet IP Nécessite un client IPSec sur le poste Le réseau doit supporter IPSec Sécurité forte SSL Opère au niveau 4 Les données applicatives sont chiffrées dans le paquet IP Supporté par la totalité des navigateurs Les applications doivent supporter SSL Sécurité forte 166 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 167. SSL VS IPSEC SSL Vs IPSec IPSec fournit des mécanismes de sécurité au niveau réseau (3), donc pour les protocoles basés sur UDP ou bien TCP. IPSec peut poser des problèmes pour traverser des équipements intermédiaires (Proxies, Firewall) Nécessité d’avoir un client IPSec sur le poste client IPSec permet de faire passer tous les flux IP contrairement à SSL Les protocoles applicatifs utilisant SSL fournissent plus de flexibilité et sont plus faciles à mettre en œuvre. Indépendance du poste de travail. Notion de client léger (Thin Client) 167 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 168. SSL VS IPSEC OuiNonDe n’importe quel poste (web kiosk etc.) OuiNonQuel que soit le réseau (FW, NAT,…) OuiNonPas de logiciel client OuiNonContrôle d’accès par application NonOuiLe PC distant fonctionne comme au bureau NonOuiSupporte toutes les applications IP NonOuiLiaison site à site NonOuiTéléphonie IP SSL VPNIPSec VPNAPPLICATIONS OuiNonDe n’importe quel poste (web kiosk etc.) OuiNonQuel que soit le réseau (FW, NAT,…) OuiNonPas de logiciel client OuiNonContrôle d’accès par application NonOuiLe PC distant fonctionne comme au bureau NonOuiSupporte toutes les applications IP NonOuiLiaison site à site NonOuiTéléphonie IP SSL VPNIPSec VPNAPPLICATIONS 168 *Le mieux est d’utiliser des technologies d’environnement déporté (CITRIX, TSE) pour les PC devant fonctionner comme au bureau PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 169. SSL VS IPSEC : APPLIANCE SSL 169 Barracuda SSL-VPN 280 : 3 k€ HT Invest. - 1 k€ HT Maintenance (AV/MAJ.SOFT/HARD) PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 170. SSL VS IPSEC : APPLIANCE SSL 170 Mode de fonctionnement - Synoptique PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 171. VPN Architecture VPN Positionnement du VPN Le décodage des flux IPsec/SSL doit se faire avant ou après l’application des règles de firewall ? Avant: La passerelle de sécurité devient un élément sensible aux attaques directes. Après: Comment le firewall peut connaître certaines infos, comme le port du destinataire ou le type du datagramme ? IPSec et la translation d’adresse IP La mise en œuvre du NAT par des éléments intermédiaires (Firewall, routeur) sur un flux Ipsec pose des difficultés Solution : draft IPsec-NAT-traversal implémenté par certains éditeurs 171 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 172. VPN SSL DMZ Entreprise SSL VPN Réseau Interne • Web Applications, Web mail • Client/Server • Emulation client HTML (FTP, partage de fichiers voisinage réseau) • Emulation du client via applet Java ou ActivX (SSH, Telnet, TSE, VNC,TSE/RDP, CITRIX) • Tunneling HTTPS (toute application IP, TCP ou UDP) Authentification LDAP/RADIUS/NTLM • Annuaire externe LDAP, NT, Radius, • Windows Active Directory • Certificats électroniques X509 (sur carte à puce, clé USB) • OTP (Calculatrice token, usb) Firewall 172 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 173. PRODUITS DU MARCHÉ 173 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 174. PRODUITS DU MARCHÉ Les principaux acteurs du marché VPN SSL/IPSec Netscreen Juniper Cisco Checkpoint CITRIX Nortel Avantail F5 Networks Thales Baracuda Networks Zyxel, SonicWall (TPE, PME) 174 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 175. PAUSE-RÉFLEXION Avez-vous des questions ? 175 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 176. RÉSUMÉ DU MODULE 176 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Famille de VPN VPN SSL Messagerie sécurisée S/MIME SSL Versus IPSec VPN IPSEC Illustration Architecture VPN
  • 177. OBJECTIFS GESTION DES ACCÈS AUX RESSOURCES – DIFFÉRENTS TYPES DE CONTRÔLE D’ACCÈS MODES D’AUTHENTIFICATION - LES DIFFÉRENTS TYPES D’AUTHENTIFICATION AUTHENTIFICATION NON-REJOUABLE OTP - ILLUSTRATION OTP GEMALTO– ARCHITECTURE AUTHENTIFICATION RÉSEAU - 802.1X QUARANTAINE RÉSEAU - TECHNOLOGIE DAC ET NAC AUTHENTIFICATION SSO - EXEMPLE - SOLUTIONS SSO DU MARCHÉ RÉSUMÉ DU MODULE AUTHENTIFICATION UTILISATEURS – RÉSEAUX - APPLICATIONS 177 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 178. OBJECTIFS 178 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 179. OBJECTIFS L'objectif principal de l’authentification est d’authentifier les utilisateurs ou les équipements de manière fiable. Le mécanisme d’authentification est en général associé à la gestion des autorisations. La gestion des autorisations détermine quels sont les droits d’accès de chacun Dans ce chapitre, nous ne traitons pas de la gestion des autorisations. 179 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 180. CONTRÔLE D’ACCÈS Le contrôle d’accès recouvre : L’identification : l’entité indique qui elle est (= son identité, ex : je suis Cyril) L’authentification : vérification / validation de l’identité d’une entité (ex : l’utilisateur est bien Cyril) L’autorisation : vérification / validation qu’une entité a la permission d’accéder à une ressource (ex : Cyril a la permission d’accéder à cette ressource) 180 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés « Qui peut accéder à quoi ? », autrement dit : quels utilisateurs (ou quelles catégories d’utilisateurs) peuvent accéder à quelles informations (ou quelles catégories d’information) ? « Qui peut décider de qui peut accéder à quoi ? », autrement dit : quels interlocuteurs particuliers peuvent prendre la responsabilité de décider si telle catégorie d’utilisateurs peut être autorisée à accéder à telle catégorie d’informations ?
  • 181. DIFFÉRENTS TYPES DE CONTRÔLES D’ACCÈS Un modèle de contrôle d’accès décrit la façon dont une entité (ou sujet) peut accéder à une ressource (ou objet) Discretionary Access Control (DAC) Le contrôle d’accès est à la discrétion du propriétaire de la ressource Par défaut, le propriétaire est le créateur de l’objet La propriété peut être transférée ou attribuée différemment Mis en œuvre sous forme de permissions (ACL) Le système compare le jeton de sécurité de l’utilisateur (permissions et droits) avec l’ACL de la ressource 181 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 182. DIFFÉRENTS TYPES DE CONTRÔLES D’ACCÈS Mandatory Access Control (MAC) Basé sur un système de labels (plus strict car l’OS prend la décision finale qui peut être contraire au souhait du propriétaire) Les utilisateurs se voient attribuer un niveau d’accréditation (ex: secret, confidentiel) Les données sont classées selon les mêmes niveaux (et cette classification accompagne les données) En complément des niveaux d’accréditation des catégories peuvent être mentionnées pour respecter le principe du besoin de savoir (ce n’est pas parce que j’ai l’accréditation Confidentiel que je dois avoir accès à tous les projets confidentiels) Le système compare le niveau d’accréditation et les catégories de l’utilisateur avec le label de sécurité 182 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 183. DIFFÉRENTS TYPES DE CONTRÔLES D’ACCÈS Role Based Access Control (RBAC) Aussi appelé nondiscretionary access control Utilise un référentiel centralisé Différence entre rôle et groupe : Quand on appartient à un groupe, on a les droits du groupe plus les siens Les rôles permettent un contrôle resserré : quand on a les droits d’un rôle, on n’a rien de plus Pratique quand il y a de nombreux mouvements dans l’entreprise 183 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 184. LA LOGIQUE GÉNÉRALE DE GESTION DES ACCÈS 184 Arrivée d’une personne Ressources humaines Système d’information Services généraux Téléphonie Création du dossier RH Comptes informatiques 1. Création automatique 2. Création manuelle par l’informatique PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 185. PRÉSENTATION : LA GESTION DES PROCESSUS 185 Nouvel utilisateur Demandes d’accès en ligne Création de la fiche personne par le service RH Approbation et validation par le responsable Création des comptes informatiques Les utilisateurs disposent de leurs comptes et de leurs ressources de travail (ordinateur, badges, etc) Approbation et validation par un second acteur (si nécessaire) PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 186. MODES D’AUTHENTIFICATION 186 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 187. LES DIFFÉRENTS TYPES D’AUTHENTIFICATION Il existe différentes classes d’authentification : Je connais Je possède Je suis 187 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 188. LES DIFFÉRENTS TYPES D’AUTHENTIFICATION « Ce que je connais » Mode classique le plus répandu et le plus simple (login/pwd) Principe Secret correspondant à une donnée de l’utilisateur Le serveur et l’utilisateur doivent connaître le secret tous les deux Avantages Simple et économique Inconvénients Protéger la transmission du mot de passe au serveur Facile à découvrir par des attaques à base de dictionnaires ou par force brute Facilement communicable à une tierce partie Facilement volable (regard indiscret sur le clavier) Facilement oubliable 188 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 189. LES DIFFÉRENTS TYPES D’AUTHENTIFICATION « Ce que je possède » Principe Intervention d’un objet physique : Carte à puce, Clé USB, Calculette, Carte magnétique On parle d’authentification à deux facteurs (le support + le secret) Avantages Utilisation de mot de passe plus long car il est stocké sur le support Inconvénient Pertes ou vols des supports : révocation, délai de remplacement Cout d'acquisition et de gestion des supports 189 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 190. LES DIFFÉRENTS TYPES D’AUTHENTIFICATION « Ce que je suis » Principe Domaine de la biométrie Mesure des caractéristiques physiques d’un individu Contrôles physiques et comportementales reconnus à ce jour Empreintes digitales ,reconnaissance de la main, l’iris, reconnaissance faciale, La dynamique de frappe au clavier, la reconnaissance vocale, dynamique du tracé des signatures Avantages Difficilement volable Difficilement oubliable Inconvénients Coût de la mise en œuvre Problème du faux rejet et de la fausse acceptation Détermination des seuils d’acceptation Problème légaux Les prises de positions de la CNIL et de ses homologues 190 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 191. AUTHENTIFICATION PERSONNELLE 191 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 192. CHOIX DU MOT DE PASSE 192 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés http://www.undernews.fr/nos-services/tester-la-force-de-votre-mot-de-passe https://pwdtest.bee-secure.lu/ https://www.microsoft.com/en-gb/security/pc-security/password-checker.aspx
  • 193. AUTHENTIFICATION PERSONNELLE Authentification personnelle : nom d'utilisateur, numéro ID L'authentification personnelle repose généralement sur le « Login » et « password » Login est représenté par un adresse email, un matricule, nom L'authentification de l'utilisateur ne repose plus que sur la sécurité du mot de passe Les entreprises mettent en place des règles imposant : Longueur minimale : 10 caractères La complexité des mots de passe à utiliser : alphanum. , Min-Maj, carac. spéciaux Un renouvellement : expiration de mot de passe tous les 30 jours Un blocage temporaire des comptes utilisateurs en cas d’échecs répétés d’authentification ou d’inactivité du compte : 5 échecs – 15 minutes Historique des mots de passe précédents : 6 mots de passe mémorisés 193 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 194. AUTHENTIFICATION NON-REJOUABLE OTP (OTP : ONE TIME PASSWORD) 194 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 195. OTP : ONE TIME PASSWORD Objectif de l’OTP Authentification à 2 facteurs - « ce que je sais et ce que je possède ». « One Time Password » – OTP – mot de passe non rejouable Utile pour les usages suivants Ressources internes sensibles devant être partagées avec le monde extérieur Nomadisme et télétravail Télémaintenance par des sociétés externes (infogérance) 195 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 196. OTP : ONE TIME PASSWORD L’OTP généré est toujours différent et donc non rejouable Basé sur le temps OTP généré est calculé à partir de l’heure courante. L’unité de temps pour calculer l’OTP doit être suffisamment longue pour minimiser les problèmes de synchronisation entre l’objet utilisé pour générer un OTP et le serveur. Basé sur un compteur Ce compteur, utilisé en entrée de l’algorithme cryptographique, est incrémenté chaque fois qu’un mot de passe est généré, ce qui aboutit à un OTP différent à chaque fois. Basé sur le temps et un compteur Mélange des deux techniques précédentes. 196 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 197. Authentification de l’individu : Permettre une identification formelle de l’individu Lier l’identité physique à l’identité logique Principe basé sur 2 facteurs indépendants L’utilisateur dispose d’un code identifiant (code pin) L’utilisateur possédera un support physique le Token Les produits commercialisés : Active Card, Aladdin, RSA SecurID, S/Key, OPIE (One-time Passwords In Everything), Gemalto OTP : ONE TIME PASSWORD 197 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 198. OTP : ONE TIME PASSWORD 198 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 199. PAUSE-RÉFLEXION Avez-vous des questions ? 199 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  • 200. RÉSUMÉ DU MODULE 200 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Modes d’authentification Authentification Autorisation Modèles d’autorisation DAC/MAC/RBAC Authentification OTP