Vous êtes sur la page 1sur 10

Chapitre 3

Les services de la sécurité

1
Définition
• Services de sécurité: services qui assurent la sécurité des
systèmes d’informations et la sécurité des transferts de
données. Ils s’opposent aux attaques de sécurité et font
utiliser un ou plusieurs mécanismes de sécurité &
protocoles de sécurité.
• Attaques de sécurité: Actions qui entraînent la
compromission de la sécurité de l’information possédée
par une organisation.
• Mécanismes de sécurité/protocoles de sécurité:
techniques conçus pour atteindre les services de sécurité
et donc prévenir, détecter ou récupérer (cycle de la
sécurité) suite à une attaque de sécurité.

2
Les services de sécurité
• La norme X.800 regroupe les services de sécurité
en cinq catégories:
– Authentification
– Confidentialité
– Intégrité
– Non répudiation
– Disponibilité

3
Les services de sécurité – Authentification
■ Le service d’authentification assure :
■ Le receveur que le message émane de la source qui prétend avoir
envoyé ce message.
■ L’authenticité des entités participantes: chacune des entités est
celle qui prétende l’être (assuré généralement au début d’une
connexion).
■ La non perturbation de la connexion par une tierce partie qui se
fait passer pour une entité légitime (émission ou réception non
autorisée).
■ Le service d’authentification protège contre les attaques de
répudiation.
■ Techniques utilisées : signature numérique (applications web), one
factor authentication, two factor authentication, three factor
authentication.
4
Les Services de sécurité – Confidentialité

• Préserver le secret de l’information.


• Seulement les entités autorisés sont capable de voir les données.
• Protection des données transmises contre les attaques passives.
• protection des flux de données échangées contre l’analyse/l’écoute.
• Préservation du secret des données non seulement stockés mais aussi
au cours de leur transmissions.
• Quant l’authentification est correctement assurée, elle permet l’accès à
l’information aux seuls utilisateurs autorisés.
• Authentification permet d’assurer la confidentialité des données
stockées
• Authentification ne permet pas la confidentialité des données
transmises.
• Techniques utilisées : chiffrement (cryptage)
5
Les Services de sécurité – Confidentialité

– Plusieurs niveaux de confidentialité :

• Protection de toutes les données échangées tout


au long d’une connexion.
• Protection de quelques champs des données
échangées.
• Protection de l’information (source, destination)
qui peut être tirer à partir de l’observation des flux
de données échangées.

6
Les Services de sécurité – Intégrité

▪ Assurer la conformité de l’information.


▪ Permet aux utilisateurs d’avoir la certitude que
l’information est correcte et qu’elle n a pas été modifier.
▪ Le service d’intégrité protège les systèmes contre les
attaques de modification.
▪ Détecter si les données stockées ont été modifiées.
▪ Détecter si les données depuis la source vers la
destination ont été modifiées.
▪ Technique utilisée : hachage ( MD5, SHA1, SHA2)
7
Les Services de sécurité – Non répudiation
■ Empêche l’émetteur ou le recepteur de nier avoir transmis ou
reçu un message.
■ Lorsqu’un message est envoyé, la destination peut prouver que le
message est envoyé effectivement par la source prétendue.
■ Lorsqu’un message est reçu, l’émetteur peut prouver que le
message est reçu effectivement par la destination prétendue.
■ La non-répudiation est le fait de s'assurer qu'un contrat,
notamment un contrat signé via internet, ne peut être remis
en cause par l'une des parties.
■ Protège contre les attaques de répudiation.
■ Techniques utilisées: signature numérique et la certification.

8
Les services de sécurité : La disponibilité
■ L'objectif de la disponibilité est de garantir l'accès à un service ou à
des ressources.

■ X.800 et RFC 2828 définissent la disponibilité comme étant la


propriété d’un système ou d’une ressource du système accessible et
utilisable suite à la demande d’une entité autorisée.
■ Technique utilisée : Tunelling/gestion des exceptions

■ Le service de sécurité disponibilité permet de:


■ Protéger un système pour assurer sa disponibilité.
■ Veiller à ce que l’information puisse être utilisable.
■ Garantir aux utilisateur d’avoir accès aux systèmes

9
Services de sécurité vis-à-vis des attaques
Confidentialité Intégrité disponibilité Authentification Non repudiation
attaques
Attaques X
passives

Modification X

Déni de X
services

répudiation X X