Académique Documents
Professionnel Documents
Culture Documents
Securite Informatique Et Reseaux PDF
Securite Informatique Et Reseaux PDF
Solange Ghernaouti
Scurit informatique
et rseaux
4e dition
First_pages_Guernaouti.fm Page II Mercredi, 26. juin 2013 3:22 15
Illustration de couverture :
WavebreakmediaMicro-Fotolia.com
Avant-propos IX
Solutions 17
III
Livre_ghernaouti_compo_BVTDM.fm Page IV Mercredi, 26. juin 2013 3:28 15
Solutions 51
Solutions 88
IV
Livre_ghernaouti_compo_BVTDM.fm Page V Mercredi, 26. juin 2013 3:28 15
Solutions 134
Chapitre 5 La scurit par le chiffrement 139
5.1 Principes gnraux 139
5.1.1 Vocabulaire 139
5.1.2 Algorithmes et cls de chiffrement 140
5.2 Principaux systmes cryptographiques 141
5.2.1 Systme de chiffrement symtrique 141
5.2.2 Systme de chiffrement asymtrique 143
5.2.3 Quelques considrations sur la cryptanalyse 145
5.2.4 Cryptographie quantique 147
5.2.5 Principaux algorithmes et techniques 149
5.3 Services offerts par la mise en uvre du chiffrement 151
5.3.1 Optimisation du chiffrement par une cl de session 151
Dunod La photocopie non autorise est un dlit.
V
Livre_ghernaouti_compo_BVTDM.fm Page VI Mercredi, 26. juin 2013 3:28 15
Exercices 164
Solutions 165
Solutions 204
VI
Livre_ghernaouti_compo_BVTDM.fm Page VII Mercredi, 26. juin 2013 3:28 15
Solutions 235
Solutions 257
VII
Livre_ghernaouti_compo_BVTDM.fm Page VIII Mercredi, 26. juin 2013 3:28 15
Solutions 289
Solutions 319
Glossaire 327
Bibliographie 347
Index 349
VIII
Avant-Propos.fm Page IX Mercredi, 3. juillet 2013 9:57 09
AVANT-PROPOS
Ce livre offre une synthse des problmatiques et des lments de solution lis
la scurit informatique, qui inclut la scurit des systmes dinformation, des
rseaux de tlcommunication, la scurit de linformation et la cyberscurit. Par
une approche transversale, intgrative et pragmatique, il traite la fois des aspects de
gestion des risques informatiques, de gouvernance, de conformit rglementaire, de
gestion stratgique et oprationnelle de la scurit. Il prsente les technologies qui
permettent de raliser des services et des fonctions de scurit dans une approche
dingnierie de la scurit et dintelligence juridique.
En traitant des diffrentes expressions de la criminalit informatique, il donne les
cls ncessaires la comprhension des menaces dorigine criminelle et des princi-
pales questions souleves par la lutte contre la cybercriminalit.
Le chapitre 1 introduit les principes fondamentaux et les domaines dapplica-
tion de la scurit informatique qui doivent tre apprhends de manire syst-
mique. Il constitue la base ncessaire la comprhension globale des diffrents
aspects et dimensions de la scurit.
Le chapitre 2 dfinit la notion de crime informatique et de cybercrime, il met
en avant les vulnrabilits inhrentes au monde numrique et aux environnements
Internet ainsi que leur exploitation des fins malveillantes. Il identifie les diff-
rentes pistes de prvention et de lutte contre la cybercriminalit.
Le chapitre 3 traite des aspects de matrise des risques informatiques, de
gestion stratgique et de gouvernance de la scurit informatique et des tl-
communications. Les dimensions politiques, juridique et socio-conomique
dans lesquelles sinscrit la scurit informatique sont identifies pour insister sur
la ncessit de doter les individus, les organisations et les tats, de moyens suffi-
Dunod La photocopie non autorise est un dlit.
IX
Avant-Propos.fm Page X Mercredi, 3. juillet 2013 9:57 09
Avant-propos
X
Avant-Propos.fm Page XI Jeudi, 4. juillet 2013 12:34 12
Avant-propos
Solange GHERNAOUTI
www.scarg.org
Dunod La photocopie non autorise est un dlit.
XI
Avant-Propos.fm Page XII Mercredi, 3. juillet 2013 9:57 09
Chap1.fm Page 1 Mardi, 25. juin 2013 2:22 14
PRINCIPES DE SCURIT
1
1.1 Objectifs de scurit et fonctions associes
PLAN
informatique.
Comprendre les champs dapplication, les diffrents aspects et la dimension
interdisciplinaire de la scurit informatique et de la cyberscurit.
Aborder la notion darchitecture de scurit.
1
Chap1.fm Page 2 Mardi, 25. juin 2013 2:22 14
1.1.1 Disponibilit
La disponibilit dune ressource est relative la priode de temps pendant laquelle
le service offert est oprationnel. Le volume potentiel de travail susceptible dtre
pris en charge durant la priode de disponibilit dun service, dtermine la capacit
dune ressource tre utilise (serveur ou rseau par exemple).
Accessibilit Prennit
Disponibilit
Critres
C it
Condenalit
de
scurit
Intgrit
Exactude Qualit
Non-Rpudiaon Authencit
Vracit Imputabilit
P
Preuve
Il ne suffit pas quune ressource soit disponible, elle doit pouvoir tre utilisable
avec des temps de rponse acceptables. Sa disponibilit est indissociable de sa capa-
cit tre accessible par lensemble des ayants droit (notion daccessibilit).
La disponibilit des services, systmes et donnes est obtenue par un dimension-
nement appropri et une certaine redondance des infrastructures ainsi que par une
gestion oprationnelle et une maintenance efficaces des infrastructures, ressources
et services.
Un service nominal doit tre assur avec le minimum dinterruption, il doit
respecter les clauses de lengagement de service tablies sur des indicateurs ddis
la mesure de la continuit de service1.
Des pertes de donnes, donc une indisponibilit de celles-ci, peuvent tre
possibles si les procdures denregistrement et les supports de mmorisation ne sont
pas grs correctement. Ceci constitue un risque majeur pour les utilisateurs. Leur
2
Chap1.fm Page 3 Mardi, 25. juin 2013 2:22 14
1.1.2 Intgrit
Le critre dintgrit des ressources physiques et logiques (quipements, donnes,
traitements, transactions, services) est relatif au fait quelles nont pas t dtruites
(altration totale) ou modifies (altration partielle) linsu de leurs propritaires
tant de manire intentionnelle quaccidentelle. Une fonction de scurit applique
une ressource pour contribuer prserver son intgrit, permettra de la protger plus
ou moins efficacement contre une menace de corruption ou de destruction.
En effet, il convient de se prmunir contre laltration des donnes en ayant la
certitude quelles nont pas t modifies lors de leur stockage, de leur traitement
ou de leur transfert. Les critres de disponibilit et dintgrit sont satisfaire par
des mesures appropries afin de pouvoir atteindre un certain niveau de confiance
dans les contenus et le fonctionnement des infrastructures informatiques et tl-
coms.
Si en tlcommunication, lintgrit des donnes relve essentiellement de
problmatiques lies au transfert de donnes, elle dpend galement des aspects
purement informatiques de traitement de linformation (logiciels dapplication,
systmes dexploitation, environnements dexcution, procdures de sauvegarde, de
reprise et de restauration des donnes).
En principe, lors de leur transfert, les donnes ne sont pas altres par les proto-
coles de communication qui les vhiculent en les encapsulant.
Dunod La photocopie non autorise est un dlit.
Des contrles dintgrit1 peuvent tre effectus pour sassurer que les donnes
nont pas t modifies lors de leur transfert par des attaques informatiques qui les
interceptent et les transforment (notion dcoutes actives). En revanche ils seront de
peu dutilit pour dtecter des coutes passives qui portent atteintes non lintgrit
des donnes mais leur confidentialit.
1. Voir chapitre 5.
3
Chap1.fm Page 4 Mardi, 25. juin 2013 2:22 14
1.1.3 Confidentialit
La confidentialit est le maintien du secret des informations (Le Petit Robert).
Transpose dans le contexte de linformatique et des rseaux, la notion de confiden-
tialit peut tre vue comme la protection des donnes contre une divulgation non
autorise .
Il existe deux types dactions complmentaires permettant dassurer la confidenti-
alit des donnes :
limiter et contrler leur accs afin que seules les personnes habilites les lire ou
les modifier puissent le faire ;
les rendre inintelligibles en les chiffrant de telle sorte que les personnes qui ne
sont pas autorises les dchiffrer ne puissent les utiliser.
4
Chap1.fm Page 5 Mardi, 25. juin 2013 2:22 14
1.1.5 Non-rpudiation
La non-rpudiation est le fait de ne pouvoir nier ou rejeter quun vnement
(action, transaction) a eu lieu. ce critre de scurit peuvent tre associes les
notions dimputabilit, de traabilit ou encore parfois dauditabilit.
Limputabilit se dfinit par lattribution dune action (un vnement) une
Dunod La photocopie non autorise est un dlit.
entit dtermine (ressource, personne). Elle peut tre ralise par un ensemble de
mesures garantissant lenregistrement fiable dinformations pertinentes par rapport
une entit et un vnement.
5
Chap1.fm Page 6 Mardi, 25. juin 2013 2:22 14
leur ralisation et leur imputation. Elle permet, par exemple, de retrouver ladresse
IP dun systme partir duquel des donnes ont t envoyes.
Lauditabilit se dfinit par la capacit dun systme garantir la prsence
dinformations ncessaires une analyse ultrieure dun vnement (courant ou
exceptionnel) effectue dans le cadre de procdures de contrle spcifiques et
daudit. Cet audit peut tre mis en uvre pour diagnostiquer ou vrifier ltat de la
scurit dun systme ou encore pour dterminer sil y a eu ou non violation de la
politique de scurit1 et, ventuellement quelles sont les ressources compromises.
Cest galement la fonction destine dceler et examiner les vnements suscep-
tibles de constituer une menace pour la scurit dun environnement.
Afin de garder la trace des vnements, on recourt des solutions informatiques
qui permettent de les enregistrer (de les journaliser), la manire dun journal de
bord, dans des fichiers (log).
Les cots lis la journalisation et la capacit mmoire des journaux ntant pas
infinie, ladministrateur systme ou le responsable scurit ont tout intrt identi-
fier les vnements pertinents et la dure de rtention des informations contenues
dans ces journaux qui pourront faire lobjet danalyse ultrieure lors de la survenue
dincidents, de procdures daudit ou dactions en justice. La dure de rtention des
donnes peut tre fixe par des rglementations sectorielles ou par la loi, comme
cest le cas par exemple pour les fournisseurs daccs et de services Internet, qui
doivent garder toutes les donnes de connexion des internautes. Cela permet lors
denqutes policires, didentifier partir des adresses IP, les internautes souponns
davoir enfreint la loi.
6
Chap1.fm Page 7 Mardi, 25. juin 2013 2:22 14
Sans vouloir tre exhaustif, nous retiendrons que la scurit physique repose
essentiellement sur :
la protection des sources nergtiques et de la climatisation (alimentation lec-
trique, refroidissement, etc.) ;
la protection de lenvironnement (mesures ad hoc notamment pour faire face aux
risques dincendie, dinondation ou encore de tremblement de terre pour
respecter les contraintes lies la temprature, lhumidit, etc.) ;
des mesures de gestion et de contrle des accs physiques aux locaux, quipe-
ments et infrastructures (avec entre autres la traabilit des entres et une gestion
rigoureuse des cls daccs aux locaux) ;
lusage dquipements qui possdent un bon degr de sret de fonctionnement et
de fiabilit ;
la redondance physique des infrastructures et sources nergtiques ;
le marquage des matriels pour notamment contribuer dissuader le vol de mat-
Dunod La photocopie non autorise est un dlit.
7
Chap1.fm Page 8 Mardi, 25. juin 2013 2:22 14
8
Chap1.fm Page 9 Mardi, 25. juin 2013 2:22 14
9
Chap1.fm Page 10 Mardi, 25. juin 2013 2:22 14
La scurit des tlcommunications est peu diffrente de celle que lon doit mettre
en uvre pour protger les systmes. Bien que vulnrables, les rseaux de tl-
communication ne le sont pas plus que les systmes dextrmit ou que les
personnes qui les conoivent, les grent ou les utilisent.
10
Chap1.fm Page 11 Mercredi, 3. juillet 2013 9:59 09
systmes et des logiciels informatiques) et raliser (obtenir) des services. Mme sil
donne accs des mondes dits virtuels, le cyberespace, est bien rel. Il est rapide-
ment devenu une extension de notre espace naturel et est le reflet de notre socit
avec ses ralits politique, conomique, sociale et culturelle.
La cyberscurit est un sous-ensemble de la scurit informatique et des rseaux
appliqus aux cyberespace et tout environnement informatique connect lInter-
net. Elle peut tre mise en dfaut par des cyberattaques informatiques. Du fait de
lusage extensif de lInternet, de nouvelles menaces sont apparues gnrant des
risques additionnels dont les impacts, de niveaux dimportance variables, peuvent
affecter les individus, les organisations ou les tats.
11
Chap1.fm Page 12 Mardi, 25. juin 2013 2:22 14
12
Chap1.fm Page 13 Mardi, 25. juin 2013 2:22 14
Le droit dans le domaine du numrique peut devenir un atout stratgique pour les
organisations qui le matrisent.
13
Chap1.fm Page 14 Mardi, 25. juin 2013 2:22 14
14
Chap1.fm Page 15 Mardi, 25. juin 2013 2:22 14
Une dmarche dassurance des actifs, de gestion des risques, comme le respect
des procdures, la formation, le comportement thique des utilisateurs ou la
conformit rglementaire sont autant de points identifier dans un cadre
darchitecture de scurit. Ainsi, les critres de la scurit pourront tre raliss
judicieusement par le biais de mesures et de procdures complmentaires.
En outre, disposer dun cadre architectural permet de disposer dun rfrentiel de
scurit qui facilite la ralisation oprationnelle de la scurit ainsi que son valua-
tion lors daudit. Cette approche permet galement de pouvoir identifier les critres
Dunod La photocopie non autorise est un dlit.
minima de scurit pour chacun des lments ainsi que leurs interactions et les ven-
tuelles incompatibilits des diffrents niveaux de scurit qui pourraient en dcouler.
La conception dun systme dinformation scuris passe par la dfinition dune
structure conceptuelle quest larchitecture de scurit. Celle-ci est fondamentale
pour autoriser une approche systmique intgrant une prise en compte complte de
lensemble des problmes de scurit du systme dinformation et de lorganisation
afin de rpondre de manire cohrente et globale sa stratgie scuritaire.
15
Chap1.fm Page 16 Mardi, 25. juin 2013 2:22 14
Rsum
Obtenir un niveau de scurit informatique suffisant pour prvenir les risques
technologique et informationnel est primordial tant pour les individus que pour
les organisations ou les tats qui utilisent ou fournissent des services via les
technologies du numrique.
Il est important de pouvoir identifier les valeurs protger et les risques correc-
tement afin de dterminer les exigences de scurit et les moyens de les satis-
faire. Ceci implique une approche globale, pluridisciplinaire et systmique de la
scurit.
La scurit informatique doit permettre de rpondre aux besoins de disponibilit,
dintgrit et de confidentialit de certaines ressources.
Les tlcommunications (infrastructures et services) rpondent une problma-
tique de scurit peu diffrente de celle des ressources informatiques dont la
rsolution rpond aux mmes impratifs techniques, organisationnels, manag-
riaux juridiques et humains. Protger les informations lors de leur transfert ne
suffit pas car ces dernires sont tout aussi vulnrables, sinon plus, lorsquelles
sont manipules, traites et mmorises.
La scurit informatique dans le contexte de lInternet et du cyberespace est le
plus souvent dnomme cyberscurit .
La scurit informatique sera effective dans la mesure o lon sait mettre en
place des mesures de protection homognes et complmentaires des ressources
informatiques et de tlcommunication, mais aussi de lenvironnement qui les
hberge. Toutefois, outre des mesures de scurit proactives de protection des
valeurs, il est ncessaire de prvoir des mesures ractives pour pallier la surve-
nue dincidents non sollicits quils soient dorigine criminelle ou quils relvent
derreurs ou de catastrophes naturelles.
Aux aspects purement techniques de la scurit, il faut associer la mise en uvre
efficace de procdures dexploitation et de gestion. Par ailleurs, le personnel de
lorganisation doit tre form aux mesures de scurit et doit sengager les
respecter. Ainsi, la scurit informatique fait galement appel lintgrit des
personnes qui conoivent, grent, utilisent les infrastructures informatiques et
une gestion approprie des ressources humaines.
Exercices
1.1 Faites un tableau rcapitulatif identifiant les capacits des systmes, les
critres de scurit et les types de mesures de scurit permettant de les satisfaire.
1.2 Quels sont les objectifs de la scurit informatique ?
1.3 Expliquez la notion darchitecture de scurit. quels besoins correspond-
elle ? Expliquez de quelle manire les diffrentes dimensions qui la composent sont
complmentaires.
16
Chap1.fm Page 17 Mardi, 25. juin 2013 2:22 14
Exercices
Solutions
1.1 Du point de vue de la scurit informatique, les systmes doivent offrir les
caractristiques suivantes (tableau 1.1) :
Capacit dun systme pouvoir tre utilis cela correspond la disponibi-
lit des ressources et des services, fonction de leur dimensionnement correct et
dune certaine redondance des ressources, mais galement des procdures de
sauvegarde, de reprise et dexploitation adaptes aux besoins de fonctionnement.
Capacit dun systme excuter les actions et rendre les services que lon
attend de lui dans des conditions de performance et dutilisation adaptes
cela traduit un besoin de continuit, de durabilit, de fiabilit, de convivialit et de
sret de fonctionnement.
Capacit dun systme ne permettre laccs aux donnes quaux personnes
et processus autoriss pour offrir confidentialit et intgrit des donnes.
Dunod La photocopie non autorise est un dlit.
Elles sont assures par des processus de contrle daccs, derreur, de cohrence
et par des mcanismes de chiffrement.
Capacit dun systme prouver que des actions, transactions ont bien eu
lieu des fins de traabilit, de preuve, dimputabilt, de contrle, daudit ou de
non-rpudiation dactions ou dvnements.
Ces diverses capacits permettent des services de qualit dans des conditions dter-
mines et peuvent tre apprhendes comme des critres de scurit ou des comp-
tences de scurit. Leur ralisation passe par la mise en uvre de mesures
spcifiques de scurit contribuant btir la confiance que peut avoir un utilisateur
envers son environnement informatique.
17