Sécurité Informatique

Rachid Elazouzi
L3 INFO
CERI, Avignon Université

2014-2015 Rachid Elazouzi M2 – UCE – Cryptographie

 Plan du cours
• Théorie
– Cryptographie 3h
– Sécurité asymétrique 9h
• Chiffrement et déchiffrement
• Fonction de hachage
• Cryptographie à clé publique/privée
– Signature et certificats
• Etudes des protocoles SSL, TLS et HTTPS
 Plan du cours
• Pratique
– Exercices 3h
– Implémentation de l’algorithme RSA 6h
– Création des certificats et signature par
l’autorité de certification 3h
– Réseaux et Serveur Apache sécurisé (SSL
HTTPS, ARPSpoof) 4.5h
 Introduction

Rachid Elazouzi Sécurité Informatique

 Introduction
• Les systèmes informatiques en réseau sont de
plus en plus complexes
• Difficile de vérifier qu’un système fait bien ce
qu’on lui demande, impossible de vérifier qu’il
ne fait pas ce qu’on ne lui demande pas.
• Le but des mesures de sécurité est de garantir
– La confidentialité,
– L’intégrité et
– La disponibilité des données
(confidentialité, intégrité, disponibilité: CIA)
 Problématique de la détection d’intrusion

• De nouvelles attaques exploitent les vulnérabilités des

systèmes et des réseaux
– Attaques contre la disponibilité, mais aussi contre la
confidentialité et l’intégrité
– Attaques externes et attaques internes

• De plus en plus, utilisation d’attaques coordonnées

– Exemple 1 : attaque contre les sites de plusieurs serveurs
américains en Février 2000
• Corruption de plusieurs sites relais
• Puis attaques coordonnées par ces sites relais (Smurfing)
– Exemple : Mitnick attack
 Un peu d’histoire
• Le plus médiatisé pirates : 3
livres et un film
(Cybertraque)
• Il a commencé par pirater les
réseaux téléphoniques
• Tsutomu Shimomura
Kiven Mitnick
 Exemple d’attaque coordonnée :
Mitnick attack
• Flooding + Spoofing

Hôte I (Attaquant)
Sy n(X )
Sy n(X
... n(X )
Sy

Sy
n
(A
)
Ok
(V
Ack(V,Com(A)) )
Hôte A (inondé) Hôte V (Victime)
ne peut envoyer
de reset ?? Reset !!
 Exemple d’attaque coordonnée : Mitnick
attack

• Spoofing

Hôte I (Attaquant)

Sy
⇨ L’attaque échoue

n
(A
)
Ack(V,Com(A))
Hôte A Hôte V (Victime)
?? Reset !!
 L'IP Spoofing
• Trouver la machine de confiance (son adresse IP)
qu'accepte le service du serveur cible.
• Mettre hors service cette machine de confiance
• Prédire les numéros de séquence TCP du serveur
cible.
• Lancer l'attaque. Elle va consister à créer une
connexion TCP sur le serveur cible.
– envoyer un paquet TCP avec le flag PSH
(permettant de remonter directement à
l'application les données du paquet) pour
envoyer une commande au service (par
exemple echo ++ >> /.rhosts).
 Liaison de confiance
hosts.equiv et .rhosts
• Le fichier /etc/hosts.equiv autorise les
utilisateurs à se connecter sur sur notre
machine (par exemple avec rlogin ou rsh) sans
demande de mot de passe.
• La syntaxe du fichier .rhosts
– monsite.1 toto
– monsite.2
L’utilisateur toto a le droit de se connecter au
compte à partir du site monsite.1
 HTTPS
How deos HTTPS works?
• Prerequisites
– Cryptography and signature
• Any message encrypted with public key
can only be decrypted with private key.
• Anyone with access to my public key can
verify that a message (signature) could
only have been created by me or
someone with access to my private key
 HTTPS

Give me youtube.com

Here’s my certificate containing my public key.

It was signed by Google CA
My Browser
Youtube
I trust Google CA
I have created a new secret key and encrypted it
with your public key

We are the only two machines on

the entire Internet who kow this
new secret key
From now on let’s encrypt all our
communication with this key
Source youtube plateform
 Sécurité Asymétrique
• C’est quoi la Sécurité Assymétrique?
• C’est C’est quoi la clé privée et la clé publique
• Comment un certificat a été signé?
• C’est quoi une autorité de certfication?
• C’est quoi une certificat auto-signé?