Académique Documents
Professionnel Documents
Culture Documents
République Tunisienne
ETUDES TECHNOLOGIQUES
DE SILIANA
Ministère de l'Enseignement supérieur et
de la Recherche scientifique
Nizar.chaabani@gmail.com
http://www.academiepro.com/enseignants-104-Chaabani.Nizar.html
Chapitre I
Notions de base
de la sécurité informatique
Prévention
Prendre des mesures afin d’empêcher les biens et les actifs
d’être attaqués.
Détection
Prendre des mesures afin de détecter quand, comment, par
qui un actif ou un bien a été endommagé.
Réaction
Prendre des mesures après un incident de sécurité afin de
pouvoir restaurer les biens et les actifs, ou réduire l’impact
de l’incident.
Nizar chaabani securité informatique
Intrus (Intruder) : Définition
L’entité responsable d’une attaque de sécurité,
capable de:
Accéder à des ressources internes propres à la cible de
l’attaque de sécurité (appelée victime) de façon non
autorisée.
Manipuler/agir sur le fonctionnement interne des
machines.
Deviner/Décrypter les mots de passe utilisés pour
protéger l’accès à des comptes utilisateurs ou à des
services (type spécifique d’intrus : cracker).
Interruption
Interception
Modification
Fabrication
Nizar chaabani securité informatique
Mécanismes de sécurité
23
Cryptage
Utilisation d’algorithmes mathématiques pour transformer les
messages en une forme inintelligible.
La transformation dépend d’un algorithme et de zéro à plusieurs
clés.
Signature numérique
Ajout de données, ou transformation cryptographique irréversible, à
une unité de données afin de prouver la source et l’intégrité de
cette unité de données.
Échange d’authentification
Mécanisme assurant l’identité d’une entité à travers un échange
d’information.
Nizar chaabani securité informatique
Mécanismes de sécurité (2)
24
Notarization:
Utilisation d’une tierce partie afin d’assurer certaines propriétés
liées à un échange de données.
Horodatage (Timestamping)
Inclusion d’une date et d’un temps correct dans un message.
Mécanismes non cryptographiques:
Traffic Padding : Insertion d’un certain nombre de bits au niveau
d’un flux de données pour faire échouer les tentatives d’analyse du
trafic.
Détection d’intrusions
Implémentation de Firewalls
Nizar chaabani securité informatique
Sécurité dans les couches de protocoles
25
PGP, PEM, …
Application Application
IP IP
AH, ESP, …
Risque
Contre-mesures
Chapitre II : Cryptographie
http://www.academiepro.com/enseignants-104-Chaabani.Nizar.html
Science mathématique
permettant d’effectuer des Intégrité
Le carré de Polybe
Cryptologie par clé
Le chiffre
de Vigenère
Les méthodes symétrique à clés secrètes
ABCDEFGHIJKLMNOPQRSTUVWXYZ
DEFGHIJKLMNOPQRSTUVWXYZABC
AVE CAESAR
DYH FDHVDU
A A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
B B C D E F G H I J K L M N O P Q R S T U V W X Y Z A
C C D E F G H I J K L M N O P Q R S T U V W X Y Z A B
D D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
E E F G H I J K L M N O P Q R S T U V W X Y Z A B C D
F F G H I J K L M N O P Q R S T U V W X Y Z A B C D E
G G H I J K L M N O P Q R S T U V W X Y Z A B C D E F
H H I J K L M N O P Q R S T U V W X Y Z A B C D E F G
I I J K L M N O P Q R S T U V W X Y Z A B C D E F G H
J J K L M N O P Q R S T U V W X Y Z A B C D E F G H I
K K L M N O P Q R S T U V W X Y Z A B C D E F G H I J
L L M N O P Q R S T U V W X Y Z A B C D E F G H I J K
M M N O P Q R S T U V W X Y Z A B C D E F G H I J K L
N N O P Q R S T U V W X Y Z A B C D E F G H I J K L M
O O P Q R S T U V W X Y Z A B C D E F G H I J K L M N
P P Q R S T U V W X Y Z A B C D E F G H I J K L M N O
Q Q R S T U V W X Y Z A B C D E F G H I J K L M N O P
R R S T U V W X Y Z A B C D Clair
E F G HELLOWORLD
H I J K L M N O P Q
S S T U V W X Y Z A B C D E
Clef
F
ECSECSECSE
G H I J K L M N O P Q R
T T U V W X Y Z A B C D E F G H I J K L M N O P Q R S
Chiffré LGDPQOSTDH
U U V W X Y Z A B C D E F G H I J K L M N O P Q R S T
V V W X Y Z A B C D E F G H I J K L M N O P Q R S T U
W W X Y Z A B C D E F G H I J K L M N O P Q R S T U V
X X Y Z A B C D E F G H I J K L M N O P Q R S T U V W
Nizar chaabani
Y Y Z A B C D E F G H I J K L M N O P Q R S 47
T U V W X
securité informatique
Z Z A B C D E F G H I J K L M N O P Q R S T U V W X Y
Le chiffre de Vigenère
48
Nizar chaabani
50
securité informatique
Cryptage symétrique
51
Exigences:
Un algorithme de cryptage solide.
Une clé secrète partagée et connue entre l’émetteur et le récepteur.
Y = EK(X)
X = DK(Y)
Suppose que l’algorithme de cryptage est connu à l’avance.
Les clés sont distribuées à travers des canaux sécurisés.
Exemples :
Algorithmes : DES, IDEA, AES
Taille des clés : 56-128-192-256-… bits
On intercepte le message
FAGEMYREMPURZV_EMZR_R FMNMDAZR
Essayons différents décalages…
1: E_FDLXQDLOTQYUZDLYQZQZELMLC_YQ
2: DZECKWPCKNSPXTYCKXPYPYDKLKBZXP
3… 4… 5… 6… 7… 8… 9… 10… 11… 12…
13: TOUS_LES_CHEMINS_MENENT_A_ROME
TOUS_LES_CHEMINS_MENENT_A_ROM
E devient
FQLJRPAJRHCAE_ZJREAZAZFRDRNQE
Le
A décodage devrait être plus difficile. Peut-on
essayer tous les décodages possibles?
Il y a 27!=10 888 869 450 418 352 160 768 000 000
possibilités…
Nizar chaabani securité informatique
Exemple
55
BQPSNRSJXJNJXLDPCLDLPQBE_QRKJ
XHNKPKSJPJIKSPUNBDKIQRBKPQPB
QPZITEJQDQBTSKPELNIUNPHNKPBK
PCKSSQWKPSLXJPSNVVXSQCCKDJP
BLDWPXBPSNVVXJPGKPJKDXIPZLCE
JKPGKSPSJQJXSJXHNKSPGPLZZNIIK
DZKPGKSPGXVVKIKDJKSPBKJJIKS
Comment déchiffrer ce message?
(x)=(ax+b) mod 29
Conditions:
a, b N
0 a, b 29
a0
Nizar chaabani securité informatique
Exemple de chiffrement
58
j 9 21 21 v
e 4 11 11 l
_ 26 55 26 _
n 13 29 0 a
e 4 11 11 l
Nizar chaabani securité informatique
vl_al_kotk_edk_tamlzztplam._vl_kotk_tahicwdfzl,lam_hoiulou
Déchiffrement
59
zd_hoitcktml_lkm_oa_qtzdta_jlndom
(x)=c=(2x+3) mod 29
x=
x= (c)=
-1-1
(c)=15
2-1(c-3)
(c-3)mod
mod2929
z 25 330 11 l
d 3 0 0 a
_ 26 345 26 _
h 7 60 2 c
Nizar chaabani securité informatique
La curiosité est un vilain défaut
Pour trouver la clé
60
? ?
c=(x)=(ax+b) mod 29
Cryptogramme Equivalent Texte clair Equivalent
numérique numérique
c x
, 27 - 26
m 12 e 4
27=(a.26+b)mod29
12=(a.4+b)mod29
Nizar chaabani securité informatique
Chiffrement par
substitution
polyalphabétique
C = (AxM + B) mod29 , où
C est la matrice du message codé
M est la matrice du message clair
A est la matrice clé de multiplication
C = A x M + B
[ ?x? ] = [ ?x? ] x [ lxm ] + [ ?x? ]
63
[ lxmNizar [ lxl ] x [ lxmsecurité
] =chaabani lxm ]
] + [informatique
Matrice clé de multiplication A
Deux possibilités :
Matrice quelconque [ 3x3 ]
Matrice [ 3x3 ] représentée par un mot de 9 lettres
déterminant de A≠0
Soit A=
3 5 1
1 0 0
2 3 1
64 Nizar chaabani securité informatique
Matrice clé d’addition B
Deux possibilités :
Duplicationm fois d’une matrice [ 3x1 ] représentée
par un mot clé de 3 lettres (Vigenère)
Matrice quelconque de genre [ 3x9 ] (Vernam)
10
« KEY » 4
dupliquée 9 fois
24
SoitB = 10 10 10 10 10 10 10 10 10
4 4 4 4 4 4 4 4 4
24 24 24 24 24 24 24 24 24
65 Nizar chaabani securité informatique
La matrice du message codé
C = ( A x M + B) mod29
3 5 1 8 5 19 4 20 4 0 7 4
(
1 0 0
2 3 1
x
11 0 26 19 8 26 17 0 28
26 20 3 17 17 2 19 6 0
10 10 10 10 10 10 10 10 10
+ 4 4 4 4 4 4 4 4 4
24 24 24 24 24 24 24 24 24
)mod 29
28 16 26 18 11 9 7 8 17
= 12 9 23 8 24 8 4 11 8
12 25 27 19 18 25 7 15 0
Nizar chaabani securité informatique
66 « .MM/QJZ/_X,/SIT/LYS/JIZ/HEH/ILP/RIA »
Codage multiple
67
« IL_/FAU/T_D/ETR/UIR/E_C/ART/HAG/E.A »
« .MM/QJZ/_X,/SIT/LYS/JIZ/HEH/ILP/RIA »
C= ?
(AxM + B) mod 29
Opération utilisée pour le décodage :
C – B = AxM
-1
(A (C – B)) mod 29 = M
68 Nizar chaabani securité informatique
Matrice du cryptogramme
4 15 16 15 20 28 17 7
C=
6 23 10 8 1 23 12 3
16 25 16 18 2 17 14 22
69 Nizar chaabani securité informatique
Le chiffrement symétrique
70
Cryptanalyst
Substitution
Remplacement de chaque élément (bit, lettre, groupe de bits ou
de lettres) dans le texte clair par un autre élément.
Transposition
Réarrangement des éléments du texte clair
Chiffrement symétrique
Chiffrement par blocs de texte clair: 64 bits (DES), 128 bits (AES).
48 bits
3
2
Cryptage Décryptage
Block de 64 bits en entrée Block de 64 bits en entrée
Sous-clé Sous-clé
32 bits Li 32 bits Ri 32 bits Li+1 32 bits Ri+1
de 48 bits de 48 bits
+ +
91
Scénario: confidentialité
Texte crypté
Emetteur Récepteur
92
Texte crypté
Emetteur Récepteur
Nizar chaabani securité informatique
Cryptographie asymétrique: scénarios d’utilisation
93
L'algorithme de chiffrement
Départ :
Il est facile de fabriquer de grands nombres premiers p et q
(+- 100 chiffres)
Etant donné un nombre entier n = pq, il est très difficile de
retrouver les facteurs p et q
( 1 ) Création des clés
La clé secrète : 2 grands nombres premiers p et q
La clé publique : n = pq ; un entier e premier avec (p-1)(q-1)
Cryptage Décryptage
Texte
Texte clair Texte clair
crypté
103
Avantages
Pas besoin d’établir un canal sûr pour la transmission de la clé.
Plusieurs fonctions de sécurité: confidentialité, authentification, et non-
répudiation
Inconvénient
Généralement dix fois plus lent que le cryptage symétrique.
Problème d’implémentation sur les équipements disposants de faible
puissance de calcul (ex: cartes bancaire, stations mobiles, etc.)
Clés longues
Complexité algorithmique de la méthode (ex: réalisation des opérations modulo n)
Solution: Utilisation du cryptage asymétrique pour l’échange des
clés secrètes de session d'un algorithme symétrique à clés privées.
Principe de fonctionnement
Le Hash (résultat de la fonction de hachage) d’un message
est crypté avec la clé privée de l’émetteur.
La clé publique est utilisée pour la vérification de la
signature
Soit:
M: message à signer, H: fonction de hachage
Kpr, Kpu: paire de clés privée/publique de l’émetteur.
E / D: fonction de cryptage / Décryptage en utilisant Kpu /
Kpr.
En recevant (M, EKpr(H(M))), le récepteur vérifie si:
H(M)=DKpu(EKpr(H(M)))
Nizar chaabani securité informatique
Etre sur de l’expéditeur :
105
La signature électronique
La cryptographie à clé publique permet de s'affranchir du problème de
l'échange de la clé, facilitant le travail de l'expéditeur.
La cryptographie à clé publique peut résoudre ce problème.
Alice veut envoyer un message crypté à Bob, mais Bob veut s'assurer que ce
message provient bien d'Alice. Ils se sont mis d'accord sur un système de
cryptographie à clé publique commun, Alice possédant le couple clé
publique/clé privée (PA,SA), et Bob le couple (PB,SB). Alice veut envoyer M.
Phase d'envoi : Alice calcule SA(M), à l'aide de sa clé secrète, puis
PB(SA(M)), à l'aide de la clé publique de Bob.
Phase de réception : A l'aide de sa clé privée, Bob calcule
SB(PB(SA(M)))=SA(M). Seul lui peut effectuer ce calcul (=sécurité de
l'envoi). Puis il calcule PA(SA(M))=M. Il est alors sûr que c'est Alice qui lui a
envoyé ce message, car elle-seule a pu calculer SA(M).
1. Logiciel de
Gestionnaire de
génération de clés
clés
3. Clé publique du
2. Génération des gestionnaire ?
clés
4. réponse
6. Déchiffrement de la clé
5. Envoi clé Assurance de l’identité du
producteur
publique encryptée
7. Certificat signé par
clé secrète
Nizar chaabani securité informatique
Signature numérique: Génération
112
Clé privée
du signataire
Signature
Texte clair numérique
Fonction de Hachage Cryptage Asymétrique
Empreinte
Processus de Génération de la Signature numérique
Internet
Hachage =? Hachage
Clé privée
du signataire
Signature
Texte clair numérique
Fonction de Hachage Cryptage Asymétrique
Empreinte
Processus de Génération de la Signature numérique
119
Texte clair
Hachage
Empreinte
recalculée
Clé publique =?
de l’émetteur
Signature
numérique
Décryptage
Empreinte
reçue
Empreinte Empreinte
reçue recalculée
Nizar chaabani securité informatique
Emetteur
120
Cryptage du résultat
de hachage avec la clé
privée de l’émetteur
Transmission du message, du
résultat de hachage crypté, et
des informations relatives aux
algorithmes utilisés
Récepteur
121
Chapitre III
Anti-Virus
Proxy
Applications
Firewall
Réseau
Transport
TCP-UDP
Routeur Réseau
filtrant logique
« Dédier pour mieux
IP-ICMP
résister » R Switch Réseau
filtrant physique
protocole Applicatif
Application Application
protocole TCP, UDP
Transport Transport
protocole IP protocole IP
Réseau IP Réseau
Entête TCP
message – données d’application
Application message
Transport (TCP, UDP) segment TCP données TCP données TCP données
Client Serveur
Firewall
Réseaux protégés
Nizar chaabani securité informatique
Qu’est ce qu’un Firewall (2)
130 Réseau non digne
de confiance
Réseau avec niveau
de confiance X
ALERT!!
Firewall
Routeur
DMZ
Serveurs accessibles
depuis le réseau Internet
Nizar chaabani securité informatique
Réseau avec Niveau de confiance Y
Politique de sécurité par défaut
131
Internet
193.1.1.0/24
entrant
sortant
Action Prot Sens source Port src destination Port dst flag
Deny IP Sortant 193.1.1.0/24 * 10.1.1.1/32 *
Allow TCP Sortant 193.1.1.0/24 * * 80
Allow TCP Entant * 80 193.1.1.0/24 * ACK
Deny IP * * * * *
Règle1: Toute connexion depuis le réseau interne (193.1.1.0) vers la machine suspecte
10.1.1.1 est bloquée.
Règle2: Seulement les connexions HTTP (TCP, port 80) depuis le réseaux interne (193.1.1.0)
sont permises.
Règle3: Seulement la trafic web en réponse à une connexion déjà initiée du réseau interne
sera accepté de l’extérieur.
Règle4: La politique de sécurité par défaut.
Limitation des Firewalls à filtrage de paquets (type
stateless)
136
Connexion TCP.
Port serveur inférieur à 1024.
Port client compris entre 1024 et 16383.
Les Ports <1024 sont affectés de façons permanente.
FTP: 20,21 – Telnet: 23 – SMTP: 25 – HTTP: 80
193.1.1.1 10.1.2.3
Ceci présente une limitation pour les Firewalls de type stateless packet filtering
137 Nizar chaabani securité informatique
Solution: utilisation de Firewalls de type stateful packet filtering
Stateful Packet filtering Firewalls
138
193.1.1.1 10.1.2.3
Le Firewall se souviendra
De cette information
Cohérent avec le
paquet précédent
Pas de cohérence
avec la connexion
en cours
Avantages
Simplicité du fonctionnement.
Rapidité dans le traitement.
Transparence aux utilisateurs.
Inconvénients
Ne protège pas contre les attaques qui exploitent des vulnérabilités sur les
applications (ne bloque pas certaines commandes).
Les fichiers logs générés ne contiennent pas d’informations assez pertinentes
(seulement: @IP, ports).
Ne supporte pas des mécanismes avancés d’authentification des utilisateurs.
Une simple erreur dans la configuration des règles peut casser toute la
sécurité.
141
Usurpation d’adresse IP (IP address spoofing)
L’intrus envoi un paquet de l’externe avec une fausse @IP
(généralement égale à une @IP d’une machine interne), afin de
réussir à passer le mécanisme de filtrage.
Solution: bloquer tout paquet entrant (venant de l’interface
externe) ayant une @IP source interne.
Fragmentation de paquets (Tiny fragment attacks)
Un paquet IP est divisé en plusieurs fragments, où seul le premier
fragment contient le numéro de port.
Insuffisance d’informations pour filtrer ces paquets.
Solution: rejeter les paquets fragmentés ou les rassembler avant
vérification.
Nizar chaabani securité informatique
142
Institut
Nizar chaabani Supérieur d’Informatique
securité informatique
Attaques et intrusions
147
> Attaque
Recherche de failles dans le réseau et son exploitation
> Intrusion
Prise de contrôle d’une machine
> Différents types d’attaques :
Virus
Spoofing (IP, ARP, DNS)
DoS (Denial of Services)
Bugs
etc.
148
155
156
157
158
Approche comportementale
Détection en fonction du comportement passé de l’utilisateur
Exemple de métriques : charge CPU, volumes de données échangées, heures de
connexion, répartition statistiques des protocoles utilisés, etc.
Approche probabiliste
Représentation d’une utilisation courante d’une application ou d ’un
protocole.
Approche statistique
Quantification des paramètres liés à l’utilisateur
Utilisation processeurs, mémoire, nombre de connexions sortantes par jour,
vitesse de frappe au clavier, sites les plus visités etc.
Difficultés de mise en place
Contrôle d’intégrité
Nizar chaabani securité informatique
IDS : placement
159
Le firewall filtrant
Networ-
Un équipement spécialisé qui va alors agir sur les filtres
based IDS
du firewall. Cet équipement doit être placé en série ou en
(NIDS)
sonde à l’entrée du réseau
Cet équipement doit avoir de bonnes capacités de
traitement car il vérifie tous les flux !
Host- Sur un serveur particulier pour protéger ce serveur
based IDS Peut aussi être compliqué quand il y a beaucoup de
(HIDS) serveurs
In-line : en série
Inspecte forcément tout le trafic
Peut directement agir sur le trafic par
filtrage IDS
IDS
(retard)
Nizar chaabani securité informatique
IDS : placement
161
Routeur interne Firewall Routeur filtrant
DMZ
IDS IDS
Kill the
TCP Reset session
Tuer la session
Block
Blocking attacker
de l’intrus
Nizar chaabani securité informatique
Réponse active
167
Sonde Sonde
Sonde
5 hops 10 hops
S R TTL=15 U S E R r
TTL=8
t o o t
Un TTL petit pour TTL=15
rejeté (TTL
s’assurer que le paquet NIDS expiré)
ne parviendra pasNizar
à chaabani securité informatique
destination
Attaque d’évasion
La machine destinataire accepte des paquets que l’IDS
rejette
Exemple: Attaque par chevauchement de fragments
(fragments overlapping)
Données envoyés par l’intrus
# séquence 1 2 3 3 4 5 6
Donnée A T X T A C K
IP Security Protocol
Confidentialité