Documente Academic
Documente Profesional
Documente Cultură
Objectifs du cours
Présenter les concepts, les aspects techniques et les méthodes
permettant de garantir l’échange sécurisé de l’information sur une
plateforme de communication.
Communications Sécurisées
Plan du cours :
1. Introduction à la sécurité
2. La cryptographie
3. Panorama des protocoles de sécurité
4. Les infrastructures à clés publiques
5. La sécurité Web
6. Conclusion et perspectives
Communications Sécurisées Yassine KHLIFI, 2012 2/33
1
Chapitre I
Introduction à la sécurité
Yassine KHLIFI
Mastère Pro., ISSAT Mateur A.U. 2012-2013
2
Pourquoi la sécurité ? (2/2)
Un Système d’Information (SI)
Ensemble des données et des ressources matérielles et
logicielles de l'entreprise permettant de les stocker ou de
les faire circuler.
Une intrusion à un SI peut causer des dégâts divers
(perte de confiance des clients, vol des données
confidentielles, pertes financières suite à des
transactions erronées) et peut même menacer son
existence sur le marché.
SI représente un patrimoine essentiel de l’entreprise
Nécessité de protection du SI (Sécurité du SI).
Communications Sécurisées Yassine KHLIFI, 2012 5/33
Intégrité Disponibilité
Les trois principes fondamentaux de la sécurité !
Communications Sécurisées Yassine KHLIFI, 2012 6/45
3
Le cycle de la sécurité
Prévention
Prendre des mesures afin d’empêcher les biens et les
actifs d’être attaqués.
En d’autres termes, empêcher quelqu’un de violer la
politique de sécurité.
Détection
Prendre des mesures afin de détecter quand, comment,
par qui un actif ou un bien a été endommagé.
Détecter les activités qui sont en violation avec la
politique de sécurité.
Réaction
Prendre des mesures afin de pouvoir restaurer les biens
et les actifs après un incident de sécurité.
Communications Sécurisées Yassine KHLIFI, 2012 7/33
4
Autres définitions …
La protection : est le processus d’anticipation qui vise à
créer un environnement aussi sécurisé que possible.
La détection : est le processus réactif par lequel on
détermine les activités inappropriées et on alerte les
personnes responsables.
La réaction : est le processus de réponse à un incident de
sécurité.
L’identification : est le moyen utilisé pour identifier un
utilisateur.
L’authentification : est le processus de validation de
l’identité d’un utilisateur.
Communications Sécurisées Yassine KHLIFI, 2012 9/45
5
Services, mécanismes et attaques.
Définis au niveau des recommandations de l’ITU-T (X.800,
Security architecture for OSI.)
Attaques de sécurité: Actions qui entraînent la
compromission de la sécurité de l’information possédée par une
organisation (destruction, vol des informations, prise de
contrôle du système).
Mécanismes de sécurité: mécanismes conçus pour détecter,
empêcher ou récupérer suite à une attaque de sécurité.
Services de sécurité: services qui assurent la sécurité des
systèmes d’information et la sécurité des transferts de données.
Ils s’opposent aux attaques de sécurité et font utiliser un ou
plusieurs mécanismes de sécurité.
Communications Sécurisées Yassine KHLIFI, 2012 11/33
6
Les services de sécurité – Authentification
Le service d’authentification assure :
Le receveur (destinataire) que le message émane de la source qui
prétend avoir envoyé ce message.
L’authenticité des entités participantes: chacune des entités est
celle qui prétende l’être (assuré généralement au début d’une
connexion).
La non perturbation de la connexion par une tierce partie qui se
fait passer pour une entité légitime (émission ou réception non
autorisée).
Techniques utilisées : Cryptage, signature numérique,
secret (mots de passes, PIN).
7
Les Services de sécurité – Confidentialité
Protection des données transmises contre les attaques passives,
et protection des flux de données contre l’analyse.
Préservation du secret des données transmises. Seulement les
entités communicantes sont capable d’observer les données.
Plusieurs niveaux de confidentialité :
Protection de tous les données échangées tout au long d’une
connexion.
Protection des données contenues au niveau d’un seul bloc de
donnée.
Protection de quelques champs des données échangées (pour une
connexion ou un seul bloc de donnée).
Protection de l’information (source, destination, etc.) qui peut être
tirer à partir de l’observation des flux de données échangés.
8
Les Services de sécurité – Non répudiation
Empêche l’émetteur ou le receveur de nier avoir transmis ou
reçu un message.
Lorsqu’un message est envoyé, la destination peut prouver que le
message est envoyé effectivement par la source prétendue.
Lorsqu’un message est reçu, l’émetteur peut prouver que le
message est reçu effectivement par la destination prétendue.
Techniques utilisées: signature électronique (asymétrique),
notarization.
Non répudiation
Authentification
Intégrité
9
Mécanismes de sécurité
Notarization:
Utilisation d’une tierce partie de confiance afin d’assurer
certaines propriétés liées à un échange de données.
Horodatage (Timestamping)
Inclusion d’une date et d’un temps correct dans un message.
Mécanismes non cryptographiques:
Traffic Padding (insertion d’un certain nombre de bits au niveau
d’un flux de données pour faire échouer les tentatives d’analyse du
trafic)
Détection d’intrusions
Implémentation de Firewalls
Communications Sécurisées Yassine KHLIFI, 2012 19/33
10
Attaques de sécurité – Attaques passives
Difficiles à détecter puisqu’elles n’entraînent aucune
altération de données.
Interception/Ecoute: l’intrus est capable d’interpréter les
données et d’extraire l’information (ex: email contenant des
informations confidentielles, communication téléphonique)à partir
du trafic échangé.
Analyse du trafic: même en présence de mécanismes de cryptage
des données transmises, l’intrus peut extraire des informations
utiles sur la communication en observant l’identité des utilisateurs,
l’emplacement des machines en communication, la fréquence et la
longueur des messages échangés, etc. (Nature de l’échange!)
Détection difficile, prévention plutôt que détection !
Communications Sécurisées Yassine KHLIFI, 2012 21/33
11
Attaques de sécurité – Attaques actives (2/2)
Points de contrôle
12
Domaine de sécurité
Domaine de confiance
13
Connexion de domaines de confiance
Source Destination
Technique de Technique de
protection protection
Domaine de non
Domaine de confiance confiance Domaine de confiance
A B
Principe
Les données sont véhiculées du client vers le serveur à
travers un « tunnel » crypté.
Communications Sécurisées Yassine KHLIFI, 2012 28/45
14
Modèle pour la sécurité du réseau (1/2)
Message sécurisé
Message sécurisé
Transformation d’échange Transformation
Message
Message
Information Information
secrète Intrus secrète
15
Sécurité dans les couches de protocoles (1/2)
Besoin de la sécurité dans plus d’une couche (routage,
transport et application)
Les couches supérieures sont plus dépendantes aux
applications et indépendantes aux technologies.
La sécurité de bout en bout est plus simple à fournir dans
les couches supérieures.
Les mécanismes de sécurité dans les couches supérieures
sont généralement implémentés sur des logiciels.
Les mécanismes de sécurité dans les couches inférieures
sont généralement implémentés sur du matériel.
PGP, PEM, …
Application Application
IP IP
AH, ESP, …
16
Le Filtrage et la Détection d’intrusions
Pare-feu (Firewall)
Représente une barrière entre un réseau privée et un réseau publique.
Fait passer uniquement le trafic permis par la politique de sécurité.
Hypothèse: Le Firewall est exempt de vulnérabilité. Lui et le système
sur lequel est installé sont de confiance.
Système de Détection d’Intrusions
Détecte les signes de violation de la politique de sécurité en vigueur.
Utilise principalement une composante de détection permettant de
détecter les signes d’intrusions, et une composante de réponse qui
génère des réactions basées sur les résultats de détection.
Analyse: On-line, Off-line (analyse différée des fichiers logs enregistrés)
Réponse: Passive (alarmes), active (refuser l’accès)
Architecture: centralisée, distribuée
Type: applicatif, réseau.
Communications Sécurisées Yassine KHLIFI, 2012 33/33
Questions ?
17