Vous êtes sur la page 1sur 52

Dr.

Omar Nouali,
Directeur de Recherche,
CERIST, Division Sécurité Informatique,
Rue des Frères Aissiou, Ben-Aknoun, Alger, Algérie.
Fax: 021 91 21 26 Tél: 021 91 62 11
E-mail: onouali@cerist.dz

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 1


PLAN

 Généralités
Problèmes potentiels, Services, Mécanismes et Solutions de sécurité

 Chiffrement Classique
 Chiffrement Symétrique
 Chiffrement Asymétrique
 Cryptanalyse
 Certification numérique

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 2


Introduction
 Informatique ?
 Ordinateur ?
 Réseau ?
 Système d’information ?
 Sécurité Informatique ?
Ensemble de moyens mis en œuvre pour éviter ou minimiser:
- les défaillances naturelles dues à l’environnement
- ou au défaut du système d’information
- et les attaques malveillantes intentionnelles

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 3


Innovations
 Internet:
– Messagerie électronique
– Web: télé-enseignement, télé-médecine, Commerce électronique..
– Technologie mobile: se connecter à partir de la voiture …
– Internet of things
 Technologies évoluent rapidement en capacité
– La fibre optique et noire
– La technologie du mobile
– Les réseaux
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 4
Sécurité Informatique
 Challenge à l’échelle mondiale.

 Sécurité = minimiser les vulnérabilités d’un système

Une vulnérabilité est toute faiblesse qui pourrait être


exploitée pour violer un système ou les informations
qu’il contient.

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 5


Problèmes Potentiels
 Menaces
Ensemble des actions de l’environnement pouvant entraîner
des catastrophes financières, ce sont des résultantes
d’actions et d’opérations du fait d’autrui

– Menaces relevant de problèmes non spécifiques à


l’informatique
– Menaces accidentelles
– Menaces intentionnelles
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 6
Menaces accidentelles
Pannes et erreurs non intentionnelles

Action exécutée par ERREUR

 Envoi de messages par erreurs

Problème: annuler ou récupérer les messages

 Utilisation commerciale:
publicité, invitation,…

 etc…
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 7
Menaces intentionnelles
Action malveillante exécutée pour violer la sécurité

 Deux types d’attaques:

– Attaques passives

– Attaques actives

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 8


Menaces intentionnelles
Attaques passives

- Menace contre la confidentialité de l’information :


une information sensible parvient à une personne autre que son destinataire légitime.

- Difficile à détecter

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 9


Menaces intentionnelles
Attaques actives

-Menace contre l’intégrité de l’information :


Destruction, modification, fabrication, interruption ou interception de données.

L’information reçue est interprétée comme provenant d’une personne autre que son
véritable auteur.
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 10
Menaces intentionnelles
Failles de sécurité
Une faille de sécurité est un comportement non prévu par une
application qui peut permettre de compromettre le système.
 Failles distantes (les plus dangereuses):
– exploitables à distance (via un accès distant)
– sans interaction de l'utilisateur.
 Failles locales (les plus exploitées):
– exploitables seulement par l'interaction de l'utilisateur,
– Exemple (faille sur le navigateur Web): lors de la consultation d'un site WEB, exécuter
automatiquement un code malicieux et l'infection s'installe alors.

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 11


Menaces intentionnelles
Exemples d’attaques (actives)

 Envoi de messages anonymes:Harcèlement, Spam, …

 Altération des données: modification du contenu

 Accès non autorisés :


– Faille dans le système: (exp: Netscape)
– Craquage & sniffing des mots de passe
Ex: Cracker4.1, Esniff.c, TCPDump, …

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 12


Menaces intentionnelles
 Gestion et choix du mot de passe
– ne soit pas un mot du dictionnaire, ni un nom propre, ni une date associée à un
évènement personnel.
– Soit une séquence incompréhensible de chiffres et de lettres.

 Exemple:
– partir d’un nom commun ou propre, remplacez certaines lettres par des chiffres
et des caractères spéciaux : « @ » pour la lettre « a » et « ! » pour la lettre « i ».
– « chaque jour à 8 heures je bois un café » ---> mot de passe = cj@8hjbuc

 Pour les nouvelles générations des (OS), un mot de passe doit avoir au moins 3 des 4
caractéristiques suivantes : minuscule, majuscule, chiffre, caractère spécial.

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 13


Menaces intentionnelles
Exemples d’attaques (actives)

Usurpation d ’identité (émetteur ou du récepteur)


Destruction du message
Retardement de la transmission
Répétition du message: Bombardement (e-mail, TCP-SYN,…)
Répudiation: émetteur nie avoir envoyé

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 14


Menaces intentionnelles
Exemples d’attaques (actives)
Malwares :
– Logiciels malveillants développés dans le but de nuire à un système
informatique.
– sont spécialement conçus pour détruire les fichiers, ralentir le système
d’exploitation, voler les données personnelles et pirater d’autres ordinateurs
depuis l’ordinateur sur lequel ils sont installés.
Virus / cheval de Troie / vers (worm) / Spywares (mouchards) / SPAM
(pourriel) / backdoor (porte dérobée, prendre contrôle sur un système) /
adwares (affiche de la publicité dans l'attente de l'achat du logiciel) / Rogues
(scareware, génère des fausses alertes pour inciter à installer des logiciels de sécurité ou à
acheter une version complète du programme)
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 15
Menaces intentionnelles
QQ Règles de bonne conduite
Règle de base: la méfiance et la prévention

 avoir de bonnes habitudes de navigation (bannir certaines catégories de site WEB) ;


 bannir certaines sources & téléchargements : P2P, … ;.
 se méfier des fichiers à ouvrir;
 utiliser un antivirus et un antispyware et les tenir à jour.
 ne pas surfer avec les droits « administrateur » ;
 utiliser un compte limité pour les tâches courantes ;
 maintenir son système et ses logiciels constamment à jour pour éviter les failles ;
 être un utilisateur averti : se tenir informer des derniers virus et dernières méthodes
d'infection pour ne pas tomber dans les pièges.
 Etc.
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 16
Méthodolgie
pour sécuriser une entreprise

 Analyse des Menaces

 Mise en place indispensable


d ’une Politique de sécurité

 Mécanismes de sécurité

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 17


Méthodolgie
pour sécuriser une entreprise
 Elle doit donc s’appuyer sur un réseau humain : les
responsables informatiques, les chefs de services, les
administrateurs de machines, autre ... ?
 Définir un consensus de règles applicables, acceptées et
appliquées: implication et appui de la Direction
 Elle doit être sans cesse remise en cause. La solution doit
évoluer au même rythme que les risques. Aucun acquis
définitif en la matière.
 Il faut se donner les moyens correspondants aux objectifs
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 18
Méthodolgie
Comment sécuriser?
 Organiser la sécurité
 Former et sensibiliser le personnel
 Sécuriser les locaux et le matériel

 Sécuriser le réseau
 Sécuriser l’Information:
Intégrité, Confidentialité et Disponibilité
 Sécuriser les communications

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 19


Méthodolgie
Sécuriser le réseau?

FIREWALLS

 Passerelle entre deux réseaux

 Filtrage:
– Niveau RESEAU (paquet)
– Niveau Application (Proxy)

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 20


Méthodolgie
Sécuriser le réseau?
 Déployer une connexion VPN pour assurer la connectivité des
utilisateurs à accès distant sur la base des technologies de sécurité IP
(IPSec), du protocole SSL (Secure Sockets Layer) et du protocole
Secure Shell (SSH).
 Segmenter le réseau. Chaque segment de réseau en contact avec
l'extérieur devra uniquement permettre à un trafic spécifique d'être
routé vers des hôtes bien définis, via les seuls ports nécessaires.
Déplacez les serveurs accessibles par l'extranet vers un segment de
réseau physiquement séparé.
 Déployer un système de détection d’intrusions, pour surveiller le trafic
réseau ou analyser les fichiers logs d’un système et recevoir des
alertes en présence d’activités anormales.
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 21
Méthodolgie
Sécuriser les communications?

Exemple: Sécuriser un service : la messagerie ?

Deux aspects:

 Sécuriser la communication (message)

 Sécuriser le site (accès au système)

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 22


Méthodolgie
Sécuriser les communications?

 Cryptographie: Crypter les données sensibles avant de les transmettre


les rend indéchiffrable sauf par celui qui possède la clé de
déchriffrement. Utilisée comme un moyen de protection de la vie
(privée, publique ou professionnelle). Utilisez une clé de 128 bits au
minimum (1024 bits pour RSA). Exemples de logiciels : PGP

 Stéganographie: Camoufler un contenu dans un autre de nature


différente et inattendue (cacher un texte dans une image ou un fichier
MP3). Peut être utilisé conjointement à la cryptographie. Peut être un
moyen de protection de la vie (privée, publique ou professionnelle).

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 23


Système sécurisé?
Etapes:

 Définirles services
 Connaître les # menaces
 Evaluer le coût

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 24


SERVICES
 Modèle de sécurité standard – CIA
– Confidentialité,
– Intégrité
– et Authentification

 Confidentialité
Assurer que l’information ne soit divulguée ou révélée qu’aux
personnes autorisées
– Utiliser un algorithme de chiffrement
– Empêcher l'accès aux infos pour ceux qui ne sont pas autorisés

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 25


SERVICES
 Authentification
– Utiliser un algorithme d'authentification
– Prouver qu’on connait un secret S (ex : un mot de passe).
– Seuls les utilisateurs autorisés peuvent avoir accès aux
informations
 Intégrité
Assurer que l’information ne soit ni créée, ni altérée, ni détruite
de manière non autorisée
– Les informations ne devraient être modifiées d’aucune manière
les rendant incomplètes ou incorrectes
– Vérifier que les infos transmises n'ont pas subie d'altérations

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 26


SERVICES
 Non répudiation
– Utiliser la signature
– Empêcher un utilisateur de nier d’avoir réalisé une transaction
 Contrôle d ’accès
Assurer que les ressources ne soient pas utilisées par des
personnes non autorisées ou de manières non autorisées.
 Disponibilité:
– L’accès autorisé aux ressources et informations du
système doit être toujours possible
– Les acteurs de la communication accèdent aux données dans
de bonnes conditions.
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 27
Protection des données
se définit par:
 La disponibilité
– Offrir à l'utilisateur un système qui lui permette de continuer ses travaux en
tout temps.
– Peut être interrompue à la suite d'un sinistre tel que la panne, la rupture
physique du réseau, l'erreur, la malveillance, etc.
 L'intégrité
– Garantir la qualité de l'information dans le temps.
– Peut être détériorée suite à des erreurs telles que saisie d'information
erronée voire illicite, destruction partielle ou totale de l'information, etc.
 La confidentialité
– Se prémunir contre l'accès illicite à l'information par des personnes non
autorisées.
– Peut être piratée, détournée, etc.
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 28
MECANISMES
Mécanismes de Sécurité sont conçus pour détecter, prévenir
et lutter contre les attaques de sécurité.
 Prévention
– Ex: Usage de mécanismes de contrôle d’accès

 Détection
– Ex: IDS, antivirus

 Recouvrement
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 29
MECANISMES de défense
 Protection physique : isoler complètement le système…
 Chiffrement : la confidentialité
 Signature numérique: l'intégrité, l'origine des données.
 Notarisation : utilisation d’un tiers de confiance pour
assurer certains services de sécurité.
 Contrôle d’accès : vérifie les droits d’accès.
 Authentification : Authentifier un acteur
– Ce qu'il sait. (ex. : mot de passe, la date anniversaire …)
– Ce qu'il a. (ex. : une carte à puce…)
– Ce qu'il est. (biométrie: empreinte digitale, oculaire ou vocale)
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 30
MECANISMES de défense
 Antivirus : protéger contre les logiciels néfastes.
 Le pare-feu : contrôle les communications.
 Détection d'intrusion : repère les activités anormales ou suspectes
sur un réseau surveillé.
 Journalisation ("logs") : Enregistrement des activités
 Analyse des vulnérabilité ("security audit") : identification des
points de vulnérabilité du système.
 Horodatage : marquage sécurisé des instants significatifs .
 Certification : preuve d'un fait, d'un droit accordé.
 Distribution de clefs : distribution sécurisée des
clefs entre les entités concernées.
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 31
CRYPTOGRAPHIE
Outil excellent et nécessaire!!!
 Buts:
– Au début:
Assurer la protection des communications (confidentialité)
S’assurer que l’information ne peut être lue que par les
personnes autorisées

Solution dans le monde réel :


– Utilisation d’enveloppes scellées
– Verrouillage avec clés
– Mesures de Sécurité physique
– Utilisation de l’encre invisible, etc.
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 32
CRYPTOGRAPHIE
Cryptographie = assurer la confidentialité

Chiffrement Déchiffrement

Chiffrement (cryptage) = Transformation d'un texte


pour en cacher le sens

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 33


CRYPTOGRAPHIE
 Buts:

– Aujourd’hui:
Assurer : Confidentialité + Authentification

Signature Numérique Contrôler l’accès


(chaines TV, disque partagé…)

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 34


CRYPTOGRAPHIE
 Fondements:
– Complexité Algorithmique
– Théorie de l’information (de Shanon)

 Utilise:
– Informatique
– Arithmétique

 Problèmes:
– Légaux
– Pratiques

 Etat actuel: En plein développement !!!!

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 35


CRYPTOGRAPHIE
QQ Applications
 Communications sûres & secrètes (chiffrer les messages
 Identification & Authentification
– carte de crédit (numéro secret)
– accès à une ressource
 Partager un secret (distribuer la confiance)
 E-commerce(banque en ligne, billet d’avion, hotel, paiement électronique,… )
 PKI (identification à grande échelle)
 Accès à distance
 Email sécurisé
 Etc.
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 36
CRYPTOGRAPHIE
Historique
Les débuts de la cryptographie
 2000 avant J.C. : en Egypte,
Hiéroglyphes : écrire de façon obscure sur les pierres funéraires.

 450 avant J.C. : en Grèce,


Scytale (transposition):
un bâton ----> un ruban en cuir contenant
le message à chiffrer ----> enrouler
le ruban autour du baton en spires

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 37


CRYPTOGRAPHIE
Historique
Les débuts de la cryptographie
 50 avant J.C : Jules César utilise un chiffre de substitution très simple
pour transmettre des messages militaires. Chaque lettre du message
est remplacée par la lettre venant 3 places après elle dans l’alphabet.

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 38


CRYPTOGRAPHIE
Historique
Les débuts de la cryptographie
9ème siècle après J.C. : le savant arabe Abu Yusuf Al-Kindi présente
une technique appelée « analyse des fréquences », permettant de casser
tout chiffre de substitution.

Il remarque: dans une langue chaque lettre n’a pas la même fréquence
d’apparition, et que d’un texte à l’autre on retrouve sensiblement les
mêmes fréquences.

En étudiant ainsi les occurrences des lettres du message chiffré on peut


donc le décrypter.

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 39


CRYPTOGRAPHIE
Historique
Les débuts de la cryptographie
 1460 : Léon Battista Alberti invente le principe de chiffrement
polyalphabétique (plusieurs alphabets).

C’est un chiffre de substitution où chaque lettre ne sera pas codée par


une même autre lettre.

permet d’échapper à l’analyse des fréquences.

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 40


CRYPTOGRAPHIE
Historique
Les débuts de la cryptographie
 1585 : Blaise de Vigenère
carré de Vigenère.

Clé SUP I N FOSUP I N FOSUP I N FOSUP I N F


clair l a t o u r a i n e e s t u n e b e l l e r e g i o n
codé D U I WHWO A H T M F Y I F Y QM Y Q S J Y V Q B S
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 41
CRYPTOGRAPHIE
Historique
Les débuts de la cryptographie
1800 : Cylindre de Thomas Jefferson
- une série de disques pivotant autour d’un axe, et sur
lesquels sont inscrits des alphabets désordonnés.

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 42


CRYPTOGRAPHIE
Historique
Les débuts de la cryptographie
 1918 : Machine ENIGMA
de Arthur Scherbius
chiffrement par substitution.

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 43


CRYPTOGRAPHIE
Historique
Les débuts de la cryptographie
Standards:
 1976 :
- un protocole afin de s’échanger secrètement une clé de
chiffrement. Whitfield Diffie et Martin Hellman.

- algorithme de chiffrement à clé secrète D.E.S., Data Encryption


Standard. Un des chiffres les plus utilisés au monde.

 1977 : algorithme R.S.A.,


conçu par Ron Rivest, Adi Shamir et Leonard Adleman.
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 44
CRYPTOGRAPHIE
Historique
Les débuts de la cryptographie
Standards:

 1991 : logiciel PGP (Pretty Good Privacy) mis au point par Phil
Zimmermann. Il s’agit d’un freeware destiné principalement aux
particuliers afin qu’ils cryptent leur emails.

 2000 : algorithme A.E.S., Advanced Encryption Standard, mis au


point par Joan Daemen et Vincent Rijmen, et destiné à remplacer
l’algorithme D.E.S.

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 45


CRYPTOGRAPHIE
Définitions/Terminologie

Kryptos (cacher) + graphien (écrire)

Science qui utilise les mathématiques pour


sécuriser les données contre les menaces intentionnelles.

{principes, moyens et méthodes de transformation des données}


Buts :
– Masquer le contenu,
– Empêcher la modification ou l’utilisation illégale.

16 mars 2016
Un cryptographe
Sécurité InformatiqueDr. Omar Nouali, CERIST. 46
CRYPTOGRAPHIE
Définitions/Terminologie
 Chiffre : système de cryptage où l’on remplace chaque lettre du
message d’origine par une autre (ou par un symbole).

 Code : système de cryptage où l’on remplace chaque mot du message


d’origine par un symbole ou ensemble de symboles.

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 47


CRYPTOGRAPHIE
Définitions/Terminologie
 Chiffrement (Encryption): processus de transformation
– Utiliser un algorithme et une clef.
Transformer un message afin qu'il ne soit lisible qu'à l'aide d'une clef.

Un cryptogramme

 Déchiffrement (Decryption): processus de reconstitution


– Utiliser un algorithme et une clef.

 Décrypter: Parvenir à déchiffrer sans clef

 Le déchiffrement est effectué par le destinataire du message, tandis


que le décryptement l’est par un « ennemi » l’ayant intercepté.
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 48
CRYPTOGRAPHIE
Définitions/Terminologie
 Cryptanalyse:
Art d’analyser un message chiffré afin de le décoder
{Raisonnement analytique + outils maths. + découvertes de redondances …}

 Cryptologie: (Cryptologue)
Cryptographie + Cryptanalyse

 Stéganographie:
– Art de dissimulation
– Ex: dissimuler du texte dans un fichier contenant du (texte, image…)

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 49


CRYPTOGRAPHIE
Définitions/Terminologie
 Algorithme cryptographique
– Restreint: secret
– Moderne: fonction (sens unique, réversibilité secrète)

 Clé : paramètre (nombre, mot, phrase…) qui permet, connaissant un


algorithme de chiffrement, de chiffrer un message.

Exemple : si on chiffre un message en remplaçant chaque lettre par la


lettre venant 3 places après elle dans l’alphabet, l’algorithme est le
« décalage » et la clé le nombre « 3 ».

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 50


CRYPTOGRAPHIE
Définitions/Terminologie
 Cryptosystème
Algorithme + {clès}
k1 k2

M E C D M

Taille(C)>=taille(M),
Taille(C)<taille(M) : Chiffrement + Compression)
Chiffrement # Compression.
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 51
CRYPTOGRAPHIE

Classique Moderne

Substitution Transposition

Conventionnelle à Clé Publique


ou Symétrique ou Asymétrique
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 52