Devoir 1

1. Les techniques de défenses matérielles.

Pare-feu pour prévenir des intrusions

Il s'agit d'un système de sécurité réseau détectant et bloquant les cyber-attaques en
intervenant au niveau applicatif (détection de logiciels malveillants) et au niveau
matériel en appliquant des règles de sécurité au port ou protocole de communication
par lequel passent vos flux numériques.

Le pare-feu permet donc d’appliquer une politique d’accès à une machine ou un

réseau. Le but dans sa mise en place est de pouvoir contrôler tout ce qui entre dans
le réseau dans le but de limiter les attaques extérieures. Il contient un ensemble
d’instructions qui permettent :
1. D’accepter la connexion (allow) ;
2. De refuser la connexion (deny) ;
3. De rejeter la connexion sans aucun avertissement (drop)
Malheureusement, les pare-feu ont leurs limites car ils n’offrent pas aux utilisateurs
une sécurité absolue. En effet, ils n’offrent une protection que lorsque les
communications extérieures passent uniquement par leurs intermédiaires. Dans le
cas contraire, les attaques peuvent entrer dans le réseau.

Proxy
Intermédiaire entre votre navigateur web et Internet, un serveur proxy permet de
sécuriser l'accès à vos données en cachant certaines informations dans le cas
des proxys anonymes (adresse IP, système d'exploitation, pages web par
lesquelles vous êtes passé lors de votre navigation...). Comme un pare-feu, il
renforce la sécurité en détectant les logiciels malveillants et en interdisant aux
ordinateurs extérieurs de se connecter au vôtre. Le proxy permet également
d'appliquer des règles de filtrage en fonction de la politique de sécurité informatique.
À l'inverse, un proxy peut aussi servir à contourner les filtrages. Supposons le cas
d'un pays qui bloque l'accès à certains sites considérés comme « subversifs », mais
qui effectue ce filtrage uniquement en se basant sur l'adresse du site que l'on
souhaite visiter. Dans ce cas, en utilisant un proxy comme intermédiaire (situé dans
un autre pays donc non affecté par le filtrage), on peut s'affranchir du filtrage (sauf
bien sûr si l'adresse du proxy est elle-même interdite).
Le principe fonctionne également dans l'autre sens. Supposons qu'un site web
n'accepte que les internautes d'un certain pays (exemple concret : un site de
campagne présidentielle américain qui n'accepte que les connexions venant des
États-Unis). Dans ce cas, en passant par un proxy situé aux États-Unis, un
internaute français pourra visiter le site.

NAT
Un des avantages du NAT est de protéger les machines du réseau privé d'attaques
directes puisqu’elles ne sont en fait pas accessibles de l'extérieur. De plus dans la
majorité des cas, les requêtes de connexion ne peuvent provenir que de ces
machines privées. Cela permet également de se prémunir contre un monitoring du
trafic qui viserait à scruter les communications entre 2 machines particulières, un
serveur sur Internet par exemple et une machine du réseau privé. Comme cette
dernière n'est plus identifiable, l'opération devient impossible à moins de remonter au
niveau applicatif (d'où l'utilité d'utiliser une protection/chiffrement à ce niveau
également).
DMZ
Lorsque certaines machines du réseau interne ont besoin d'être accessibles de
l'extérieur (serveur web, un serveur de messagerie, un serveur FTP public, etc.), il
est souvent nécessaire de créer une nouvelle interface vers un réseau à part,
accessible aussi bien du réseau interne que de l'extérieur, sans pour autant risquer
de compromettre la sécurité de l'entreprise. On parle ainsi de « zone démilitarisé »
(notée DMZ pour DeMilitarized Zone) pour désigner cette zone isolée hébergeant
des applications mises à disposition du public. La DMZ fait ainsi office de « zone
tampon » entre le réseau à protéger et le réseau hostile.
Les serveurs situés dans la DMZ sont appelés « bastions » en raison de leur
position d'avant-poste dans le réseau.

Il est plus rentable de réaliser une DMZ via un seul pare-feu performant (par exemple
un routeur incluant un pare-feu) avec trois connections réseaux séparées : une pour
Internet, une pour le réseau local et une troisième pour la zone démilitarisée. En ce
qui concerne les DMZ protégées, toutes les connexions sont surveillées par le
même pare-feu indépendamment les unes des autres, ce qui peut entraîner un point
unique de défaillance dans le réseau (de l’anglais Single point of Failure). Par
ailleurs, le pare-feu doit, dans une telle architecture, être capable gérer tant le trafic
provenant d’Internet que les accès qui viennent du réseau local.

VPN
Le réseau privé virtuel (VPN, Virtual Private Network) est un élément essentiel dans
les architectures modernes de sécurité. Un VPN est constitué d’un ensemble de LAN
privés reliés à travers Internet par un « tunnel » sécurisé dans lequel les données
sont cryptées. Les postes distants faisant partie du même VPN communiquent de
manière sécurisée comme s’ils étaient dans le même espace privé, mais celui-ci est
virtuel car il ne correspond pas à une réalité physique. Cette solution permet d’utiliser
les ressources de connexion de l’Internet plutôt que de mettre en œuvre, comme par
le passé, une liaison spécialisée privée entre deux sites qui peut être très coûteuse si
les sites sont fortement éloignés. La principale contrainte du VPN est de sécuriser les
transmissions, par nature exposées sur les réseaux publics Internet.
Quelques-uns des atouts des protocoles VPN incluent la confidentialité pour les
utilisateurs, l’authentification des expéditeurs et l’intégrité des messages pour les
transferts de données. Cela se fait par le remplacement ou la modification de votre
mode de connexion et d’autres informations d’identification pour que les autres ne
puissent pas vous suivre et ne puissent pas non plus accéder à votre connexion ou à
un appareil. Le VPN fournit une sécurité en fonction du système. Des systèmes
simples utilisent des protocoles de tunneling de base, les systèmes les plus avancés
peuvent également utiliser le cryptage et d’autres protocoles destinés à améliorer la
sécurité. L’avantage supplémentaire du cryptage, c’est que même si votre connexion
est piratée et vos informations captées, personne ne sera capable de les
comprendre.
Les trois protocoles les plus courants sont OpenVPN, PPTP et L2TP. OpenVPN est
un protocole open source qui crée des connexions PTP sécurisées avec un cryptage
de type SSL / TSL. PPTP qui est le protocole le plus couramment utilisé, la création
d’un tunnel de réseau privé pour envoyer et recevoir des informations. L2TP est un
protocole multi-niveaux semblable à PPTP par l’ajout d’un protocole de sécurité
améliorée qui est utilisée pour crypter les données lorsqu’elles transitent via le tunnel
de connexion.
2. Les techniques de défenses logicielles

Le cryptage
Ce cryptage a 3 objectifs principaux :
1. Assurer la confidentialité et l’intégrité des données et des communications
2. Assurer la disponibilité des web services et des flux de l’entreprise
3. Pratiquer une évolution permanente et soutenue des clés de cryptage.
D’autre part, chaque message est protégé en confidentialité et en intégrité et qu’il
contient les informations nécessaires pour identifier sa provenance, sa destination
ainsi que le protocole à l’origine de son émission. Bien qu’importants pour assurer la
sécurité des applications de la société, ces protocoles ne sont malheureusement pas
toujours respectés.

Il est important de noter que les algorithmes de chiffrements et de déchiffrements

doivent être diffusés à tous. Si par exemple, le destinataire n'a pas la bonne méthode
de déchiffrement, alors le message ne pourra pas être déchiffré par le destinateur du
message. Retenons également qu'il n'existe pas des millions d'algorithmes de
chiffrement, il n'en existe que quelques algorithmes qui sont réutilisés pour différent
besoin.

Le hash
Un fichier hash permet de vérifier la taille et le caractère identique d'un fichier envoyé
via un réseau informatique. En effet, lorsqu'un fichier transfère via un réseau, il est
découpé en plusieurs morceaux, puis recollé une fois arrivé à destination.
Les fonctions de hachage ont plusieurs objectifs.
Elles servent à rendre plus rapide l'identification des données : le calcul d'empreinte
d'une donnée représente un temps négligeable au regard d'une comparaison
complète (plus longue à réaliser).
Elles permettent de stocker un espace virtuel très grand, mais peu rempli, de
données dans un espace physique forcément limité où l'accès aux données est
direct, comme s'il s'agissait d'un tableau. En ce sens, le hachage s'oppose aux listes
chaînées et aux arbres de recherche.
Une fonction de hachage doit par ailleurs éviter autant que possible
les collisions (états dans lesquels des données différentes ont une empreinte
identique) : dans le cas des tables de hachage, ou de traitements automatisés, les
collisions empêchent la différenciation des données ou, au mieux, ralentissent le
processus.
La signature
Une signature, ou signature numérique, est un protocole montrant l'authenticité d'un
message.
À partir du hash d'un message donné, le processus de signature génère d'abord une
signature numérique liée à l'entité qui effectue la signature, en utilisant la clé privée
de l'entité.

L'émetteur du message génère sa paire de clés (publique, privée). Il diffuse sa clé

publique te maintient sa clé privée secrète. Pour signer un document l'émetteur
commence par calculer le code hashage du document puis signe ce code de
hashage avec sa clé privée. Le résultat de cette dernière opération (chiffrement avec
clé privée dans le cas de RSA) est la signature digitale qui accompagnera le
document. Quand le récepteur reçoit le message et la signature digitale, il recalcule
le code de hashage, déchiffre la signature avec la clé publique de l'émetteur et
compare les deux codes de hshages. Si les deux codes sont similaires alors la
signature est valide.
L'émetteur ne pourra pas nier dans le futur avoir émis le message puisque y a que lui
qui peut générer la signature digitale avec sa clé privée secrète.

Le certificat
Les certificats électroniques respectent des standards spécifiant leur contenu de
façon rigoureuse. Les deux formats les plus utilisés aujourd'hui sont :

 X.509, défini dans la RFC 5280;

 OpenPGP, défini dans la RFC 4880
Imaginons que vous voulez appeler votre banque. Vous allez donc cherchez dans
l’annuaire. Vous trouvez le numéro de téléphone, vous le composez et vous êtes
donc en ligne avec votre banquier.
Maintenant, imaginons que votre annuaire ait été piraté (oui, avec un annuaire papier
cela semble peu plausible, mais en informatique malheureusement ça arrive ). Si
votre annuaire a été piraté et que le numéro de votre banque ait été remplacé par le
numéro du pirate. Si vous composez ce numéro, vous serez en ligne avec ce pirate
qui pourra alors vous extorquer des informations confidentielles. A moins de
reconnaître sa voix, vous n’avez aucune autre possibilité de savoir si vous êtes au
téléphone avec votre banquier ou avec un pirate !

Voici les grandes étapes de l’utilisation du certificat lors de la connexion en https (et
donc de l’utilisation d’un certificat SSL). (C’est vraiment en gros pour que ça reste simple à
comprendre)

Etape 1 : Connexion au site

Etape 2 : Récupération du certificat

Etape 3 : Vérification du certificat

Etape 4 : Contrôle de la validité du certificat

Etape 5 : Utilisation de la clé publique contenu dans le certificat

Etape 6 et suivantes : La connexion est établie, les échanges sont cryptés.

Nous venons donc de voir le mécanisme représenté de façon simplifié, mais cela
permet de comprendre un peu mieux comment est utilisé le certificat lors des
connexions en https (avec son certificat ssl) :