Cours - Securité - Chapitre 1

Transféré par

Lynda MOKRANI
54 vues39 pages

Titre original

Cours_Securité- chapitre 1

Copyright

© © All Rights Reserved

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Signaler ce document

Droits d'auteur :

© All Rights Reserved
Signaler comme contenu inapproprié
54 vues39 pages

Cours - Securité - Chapitre 1

Titre original :

Cours_Securité- chapitre 1

Transféré par

Lynda MOKRANI

Droits d'auteur :

© All Rights Reserved
Signaler comme contenu inapproprié
sur 39

Mme S.

BELATTAF épouse BENSAID


UMMTO

2019-2020
Module : Sécurité Informatique
q
Coefficient : 3 Crédit : 5
Programme
 Chapitre 1:

Introduction à la Sécurité Informatique : Principes de


sécurité, cybercriminalité et politique de sécurité.
 Chapitre
p 2:
Cryptographie Classique
 Chapitre 3 :

Cryptographie Moderne : Algorithmes de Chiffrement


symétrique
y q et asymétrique
y q
 Chapitre 4:

Infrastructure à clé p
publique
q ((PKI)) 2

S. Belattaf 2019/2020 – UMMTO


Principes et notions de la sécurité informatique

Cybercriminalité
PLAN DU CHAPITRE
 Principes et notions de la Sécurité Informatique
 Sécurité informatique (définition)
 Objectifs de sécurité
 Domaines d’application de la sécurité
 Architecture de Sécurité.
 Politique de Sécurité.
 P i i l étapes
Principales ét d’une
d’ démarche
dé h Sécurité
Sé ité

 Cybercriminalité
 Crime informatique et cybercrime
 Définitions de base
 Attaques informatiques
 Codes malveillants
 Spamming 4

S. Belattaf 2019/2020 – UMMTO


Principes et notions de la Sécurité
Informatique

S. Belattaf 2019/2020 – UMMTO


SÉCURITÉ INFORMATIQUE

 Définition :

La sécurité informatique c’est l’ensemble des moyens


mis en œuvre pour réduire la vulnérabilité d’un
système contre les menaces accidentelles ou
intentionnelles
intentionnelles.

6
OBJECTIFS DE SÉCURITÉ

 Disponibilité
 Intégrité
 Co de t a té
Confidentialité
 Authentification
 N répudiation
Non é di ti

S. Belattaf 2019/2020 – UMMTO


OBJECTIFS DE SÉCURITÉ
La Disponibilité : est la propriété qui permet de garantir
l’accès aux ressources.
 Exemples de ressources : serveur,
serveur réseau,
réseau donnée …
 Il ne suffit pas qu’une ressource soit disponible, elle doit
être utilisable avec des temps de réponse acceptables.
 Un service doit être assuré avec un minimum
d’interruption.
p
 continuité de service.

 La disponibilité est obtenue, par exemple, par une certaine


redondance ou duplication des ressources.
8

S. Belattaf 2019/2020 – UMMTO


OBJECTIFS DE SÉCURITÉ

 Intégrité : est lié au fait que des ressources ou services n’ont


pas été altérés
lté é (dét
(détruits
it ou modifiés)
difié ) ttantt d
de ffaçon
intentionnelle qu’accidentelle.
 Il est indispensable de se protéger contre la modification des
données lors de leur stockage, de leur traitement ou de leur
transfert.
 En télécommunication, le contrôle d’intégrité consiste à
vérifier q
que les données n’ont p pas été modifiées tant de façon
intentionnelle (attaques informatiques) qu’accidentelle
durant la transmission.
9

S. Belattaf 2019/2020 – UMMTO


OBJECTIFS DE SÉCURITÉ

 Confidentialité : c’est la propriété qui garantit que les


informations transmises ne sont compréhensibles
p que p
q par les
entités autorisées.
 Deux actions complémentaires permettent d’assurer la
confidentialité des données:
 limiter et contrôler l’accès aux données afin que seules les
personnes autorisées puissent les lire.
 transformer
f l données
les d é par des d techniques
h i d chiffrement
de hiff pour
qu’elles deviennent inintelligibles aux personnes qui n’ont pas les
moyens de les déchiffrer.
 Le chiffrement
h d données
des d ( cryptographie)
(ou h ) contribue
b à en
assurer la confidentialité des données et à en augmenter la
sécurité des données lors de leur transmission ou de leur 10
stockage.
S. Belattaf 2019/2020 – UMMTO
OBJECTIFS DE SÉCURITÉ

 Authentification : c’est la propriété qui consiste à vérifier


l’identité d’une entité avant de lui donner l’accès à une
ressource.
 LL’entité
entité devra prouver son identité :
Exemples : mot de passe, empreinte biométrique
 Tous les mécanismes de contrôle d’accès logique aux
ressources informatiques nécessitent de gérer l’identification
et l’ authentification (pas d’accès anonyme aux ressources)
 E
Exemple l :
Je m’appelle Alicia→ identification.
Mon mot de passe est : 12345 → authentification 11

S. Belattaf 2019/2020 – UMMTO


OBJECTIFS DE SÉCURITÉ

 Non répudiation : est le fait de ne pouvoir nier qu’ un


é è
évènement
t (action,
( ti transaction)
t ti ) a eu lieu.
li

 Par exemple,
l la
l non répudiation
é di i permet d’avoird’ i une
preuve comme quoi un utilisateur a envoyé (ou reçu)
un message particulier.
particulier Ainsi,
Ainsi ll’utilisateur
utilisateur ne peut nier
cet envoi (ou réception).

12

S. Belattaf 2019/2020 – UMMTO


DOMAINES D’APPLICATIONS DE LA SÉCURITÉ

 Il y’a plusieurs aspects de la sécurité informatique selon


le domaine d’application. Parmi ces domaines, nous
citons:
 Sécurité physique et environnementale;
 Sécurité de l’exploitation;
 Sécurité logique ;
 Sécurité des infrastructures de télécommunications.
télécommunications

13

S. Belattaf 2019/2020 – UMMTO


DOMAINES D’APPLICATIONS DE LA SÉCURITÉ

 La Sécu té p
Sécurité physique
ys que et eenvironnementale
v o e e ta e :
concerne tous les aspects liés à la maitrise des systèmes et
de l’environnement dans lesquels ils se situent.
 La sécurité repose essentiellement sur:
 la protection des sources énergétiques (alimentation
él t i
électrique, etc.);
t )
 la protection de l’environnement (mesures pour faire
face aux risques d d’incendie,
incendie, dd’inondation,
inondation, tremblement
de terre, etc.);
 contrôle d’accès physique aux locaux, équipements et
i f t t
infrastructures.
 le marquage des matériels pour dissuader le vol
 …etc…
etc 14
DOMAINES D’APPLICATIONS DE LA SÉCURITÉ

La Sécurité de ll’exploitation


exploitation : concerne tout ce qui est lié
au bon fonctionnement des systèmes informatiques.
La maintenance doit être p préventive et régulière
g
(réparation et remplacement des matériels défectueux)
 Les points critiques de la sécurité de l’exploitation sont :
 plan de sauvegarde;
 plan de tests;
 gestion du parc informatique;
 gestion des configurations et des mises à jour;
 Etc.

15
DOMAINES D’APPLICATIONS DE LA SÉCURITÉ
La sécurité logique : élaboration de solutions de sécurité par
des logiciels contribuant au bon fonctionnement des
applications, des services et à la protection des données.
 La sécurité logique repose sur :
 la cryptographie pour assurer intégrité et confidentialité.
 des p
procédures
océdu es d d’authentification
aut e t cat o et de co
contrôle
t ôedd’accès
accès logique,
og que,
 des antivirus et des procédures de détection d’intrusions,
 etc

 Afin de déterminer le degré de protection nécessaire aux


informations manipulées, une classification des données est à
réaliser afin de qualifier leur degré de sensibilité (normale,
confidentielle, etc.).
16
DOMAINES D’APPLICATIONS DE LA SÉCURITÉ
 Sécurité des infrastructures de télécommunications :
consiste à offrir à l’utilisateur
l’ l finall une connectivitéé fiable
bl et de
d
qualité de bout en bout (end to end security).

 Ceci implique l’élaboration d’une infrastructure réseau


sécurisée au niveau des accès au réseau et de ll’acheminement
acheminement
de l’information (gestion des adresses , sécurité du routage et
des transmissions…))

17
ARCHITECTURE DE SÉCURITÉ
É É

 L’architecture de sécurité correspond à l’ensemble des


dimensions organisationnelle, juridique, humaine et
technologique
g q de la sécurité informatique
q àp prendre en
considération pour une appréhension complète de la
sécurité d’une organisation.

 La conception d’un système d’information distribué et


sécurisé passe impérativement par la définition préalable
d’une structure conceptuelle qu’ est la l’architecture de
sécurité.

18
LES DIFFÉRENTES DIMENSIONS D’UNE
ARCHITECTURE DE SÉCURITÉ
Dimension humaine Dimension technique

Ethique
q Sensibilisation Sécurité matérielle Sécurité logique
gq
Formation Dissuasion Sécurité environnementale Sécurité physique
Compétence Surveillance Sécurité des télécoms
Etc. Sécurité de l’exploitation

Dimension juridique et Dimension politique, organisationnelle


réglementaire et économique

Normes Législation Responsabilité Contrôle


Procédures Contrats Organisation Optimisation
Conformité Licence logiciel Stratégie Maitrise des coûts
Etc. Gouvernance Assurance
E
Etc. 19
POLITIQUE DE SÉCURITÉ

La politique de sécurité établit les principes


fondamentaux de la sécurité qui permettent de protéger
le système d d’information
information. Cette protection est assurée
par exemple par :
 des règles et des procédures

 des outils : chiffrement, firewalls;

 des contrats : clauses et obligations;

 l’enregistrement, l’authentifications, l’identification

 Le dépôt de marques , de brevets,


brevets et la protection des
droits d’auteur.
20

S. Belattaf 2019/2020 – UMMTO


PRINCIPALES ÉTAPES D’UNE DÉMARCHE
SÉCURITÉ

 Analyse de l’existant, évaluation des valeurs, des besoins, des


menaces et des vulnérabilités.
 Evaluation des risques et classification des ressources.
ressources
 Identification des contraintes financière, technique, humaine
et juridique.
 Défi i i d
Définition des objectifs
bj if d de sécurité.
é ié
 Définition d’une politique de sécurité.
 Identification et réalisation des mesures (outils et
procédures) de sécurité.
 Gestion opérationnelle de la sécurité (suivi, maintenance,
exploitation).
exploitation)
 Évaluation et optimisation de la politique et des mesures de
sécurité.
 V ill technologique
Veille t chn l iq de d la sécurité.
séc rité 21

S. Belattaf 2019/2020 – UMMTO


Cybercriminalité

22

S. Belattaf 2019/2020 – UMMTO


CRIME INFORMATIQUE ET CYBERCRIME
 Le Cyberespace
y p est un “ensemble de données numérisées
constituant un univers d’information et un milieu de
communication, lié à l’interconnexion mondiale des
ordinateurs” (Petit Robert).
 Un crime informatiqueq ((computer
p related crime)) est un
délit pour lequel un système informatique est l’objet du
délit et/ou le moyen de l’accomplir. C’est un crime lié
aux technologie du numérique.
 Le cybercrime (cybercrime) est une aspect du crime
i f
informatique
ti quii fait
f it appell aux technologies
t h l i internet
i t t
pour sa réalisation. Cela concerne tous les délits
accomplis dans le cyberespace.
cyberespace 23

S. Belattaf 2019/2020 – UMMTO


DÉFINITIONS DE BASE

 La menace représente le type d'action susceptible de


nuire
i dans
d l' b l
l'absolu.
 La vulnérabilité (faille)représente le niveau d'exposition
face à la menace dans un contexte particulier (faiblesse
d’un système informatique)
 La contre-mesure est ll'ensemble
ensemble des actions mises en
œuvre en prévention de la menace.
 Les contre-mesures à mettre en œuvre ne sont pas p
uniquement des solutions techniques mais également des
mesures de formation et de sensibilisation à l'intention des
utilisateurs
utilisateurs. 24

S. Belattaf 2019/2020 – UMMTO


LES ATTAQUES INFORMATIQUES
 Tout ordinateur connecté à un réseau informatique est
potentiellement vulnérable à une attaque.
 Une
U attaque
tt estt l'l'exploitation
l it ti d'une
d' faille
f ill d'un
d' système

informatique (système d'exploitation, logiciel ou bien
même de l'utilisateur)
l utilisateur) à des fins non connues par
l'exploitant du système.
QQuel est l’intérêt de p pirater ?
 Curiosité
 Concurrence commerciale ou pour l’argent
 Se montrer intelligent et se distinguer des autres
 Ça fait plaisir de causer le mal aux autres
25
 Analyser les vulnérabilités pour les corriger
S. Belattaf 2019/2020 – UMMTO
ATTAQUES INFORMATIQUES VIA INTERNET (1)
Etapes de réalisation d’une attaque :

Phase de collecte d’informations


1 Recherche de vulnérabilités

Malveillant Cibl
Cible

Savoir faire et
exploitation des
i f
informations
ti 2
recueillies et des
failles Intrusion Problèmes
sécuritaires
Bibliothèque d’attaques:
- Usurpation d’identité. 3
- leurres 4
- Failles
F ill technologiques,
h l i de
d
conception, de
configuration, etc. Extra filtration
26
ATTAQUES INFORMATIQUES VIA INTERNET (2)

 LLa première
iè phase
h d la
de l réalisation
é li ti d’une
d’ attaque
tt estt liées
lié à la
l
collecte d’informations sur la cible et à la recherche de
vulnérabilités du système cible.
 Le malveillant s’emploie à connaître et à exploiter les failles
de sécurité connues mais non encore réparées et à utiliser les
outils d attaques existants (sur internet) ou en créer (phase 2)
d’attaques
pour accéder au système cible et exécuter son action
malveillante (phase 3).
 L phase
La h filt ti (phase
d’ t filtration
d’extra h 4) a pour buts
b t principaux
i i
de faire en sorte que l’attaque ne puisse être détectée et que
l’attaquant ne laisse pas de trace pouvant servir à son
identification. Pour cela, il tente de rester anonyme, il peut
alors utiliser des alias (pseudonymes), usurper l’identité
numériqueq d’utilisateurs ou encore brouiller les p pistes en 27
passant par plusieurs systèmes intermédiaires (relais).
LES SCÉNARIOS D’ATTAQUES

A
M
I B

 Routeur dans un réseau filaire


 Point d’accès dans un réseau mobile
 Machine intermédiaire dans un réseau mobile ad hoc

Attaquant Potentiel 28

S. Belattaf 2019/2020 – UMMTO


LES SCÉNARIOS D’ATTAQUES

Scénarios d’attaques

Attaque passive Attaque active

Interception
Fabrication
Modification
Interruption
p

29

S. Belattaf 2019/2020 – UMMTO


L’INTERCEPTION

M
A I B
M

30

S. Belattaf 2019/2020 – UMMTO


LES SCÉNARIOS D’ATTAQUES

Scénarios d’attaques

Attaque passive Attaque active

Interception
Fabrication
Modification
Interruption
p

31

S. Belattaf 2019/2020 – UMMTO


LA FABRICATION

A I B
M

32

S. Belattaf 2019/2020 – UMMTO


LA MODIFICATION

M1
A I B
M2

33

S. Belattaf 2019/2020 – UMMTO


L’INTERRUPTION

M
A I B

34

S. Belattaf 2019/2020 – UMMTO


LES CODES MALVEILLANTS

 PProgramme malveillant
l ill t capable
bl d’infecter
d’i f t un autre t en le l
modifiant de façon à ce qu’il puisse à son tour se reproduire
 Virus informatique
q
 Programme malveillant caché dans un autre qui donne accès
à la machine victime sur laquelle il est exécuté et sur laquelle
il exécute des commandes à distance
 Cheval de Troie (Trojans)
 Programme
g malveillant dupliqué
p q sur p plusieurs machines
dont le déclenchement s’effectue à un moment déterminé
pour attaquer une machine victime.
 Bombes logiques
 Programme malveillant qui collecte des informations de la
machine sur laquelle il est exécuté et de les envoyer 35
 Espiogiciels (Spaywares)
S. Belattaf 2019/2020 – UMMTO
LE SSPAMMING
MM NG

On propose une offre ARNAQUE


PUB
Confiance (SCAM)
L’objectif ce n’est On demande
pas d’attaquer ll’argent
argent

Surcharger le
serveur

HOAX
Le message est diffusé
par les utilisateurs
eux-mêmes

Sensibiliser les
utilisateurs afin qu’ils
diffusent le messageg 36

S. Belattaf 2019/2020 – UMMTO


LES HOAX
Je vous envoie
J i ce truc parce que c'est trop surprenant, mon vœu s'est
réalisé !! J'espère que ça te fera plaisir : 20min après avoir fait ça,
mon vœu s'est produit. La personne qui me l'a envoyé m'a dit que son
vœu avait it fonctionné
f ti é 15 min
i après è avoir
i lu
l le
l message. Le
L hasard
h d
n'existe pas ! Essaie-le pour voir ! Fais un vœu avant que le comptage
ne soit fini !! Commence à descendre après avoir formé ton vœu : 10
… 9 … 8…8 7 … 6 … 5 … 4 … 3 … 2 … 1. 1 Fais un vœu ! Envoie cet
email à 10 personnes avant une heure. Si tu fais, ton vœu se
réalisera. Si tu ne le fais pas, le contraire de ton vœu va se produire!
Bonne chance.
chance Condition d d'utilisation
utilisation le renvoyer au plus grand
nombre de personnes.

37

S. Belattaf 2019/2020 – UMMTO


LES ARNAQUES
Excusez-moii pour cette intrusion,
i i j suis
je i CORINNE BURIERE d’origine d’ i i
française et cela fait deux 2 jours que J’ai contacté une association qui
s’occupe des enfants démunis et pas de réponse. Mais j'ai pu me mettre en
contact
t t avec vous cecii grâce
â à lal volonté
l té de
d DIEU.
DIEU Cela
C l fait
f it quelques
l mois
i que
j’ai été atteint d'un cancer en phase terminale détectée trop tard et selon les
dires de mon médecin, je n’ai plus assez de temps à vivre. En ce moment je
suis hospitalisée dans un hôpital à Londres.
Londres JJ’ai
ai toujours privilégié le service de
ma nation au détriment de ma propre santé et voilà aujourd’hui cela me
rattrape, mais je suis fière d’avoir pu aider des gens autour de moi et je pense
pouvoir continuer à le faire à travers vous.
vous JJ'ai
ai Perdu mon mari et mes deux
enfants dans un crash d'avion qui s'était produit à New York. J’aimerais que
vous soyez le bénéficiaire de toute ma fortune qui est d'une somme exactement
chiffrée à 1.500.000 euros que vous utiliserai pour aider les enfants pauvres
et déshérités vu que mes jours sont comptés. Aussi, ce matin j’ai reçu un
message de ma banque me disant que l’État aimerait récupérer mes fonds
après
p ma mort vu q que jje n'ai p
pas d'héritier(e).
( ) Veuillez m’aider en acceptant
p 38
mon offre. Répondez-moi vite. Que le Seigneur vous garde.

S. Belattaf 2019/2020 – UMMTO


BIBLIOGRAPHIE
[1] Solange Ghernaouti, « Cours et exercices Sécurité
informatique et réseaux, Cours avec plus de 100
exercices corrigés ».
» [Référence biblio : Res 260]
[2] Solange Ghernaouti-Hélie, « Sécurité informatique et
réseaux », Eyrolles 3ème edition.
» Edition Eyrolles, edition
[3] Mawloud OMAR, Notes de cours du module sécurité
informatique,
q , 3eme année licence informatique,
q ,
Université de Bejaia, 2014.

39

S. Belattaf 2019/2020 – UMMTO

Centres d'intérêt liés

Vous aimerez peut-être aussi