Académique Documents
Professionnel Documents
Culture Documents
(SRI)
Dr. C. M. BENTAOUZA M1 ReSys – Sécurité des Réseaux et Internet – SRI - Dr. C. M. BENTAOUZA
chahinez.bentaouza@univ-mosta.dz
https://sites.google.com/site/coursbentaouza
2
Rappel
• Ensemble des moyens mis en œuvre pour minimiser la
vulnérabilité d'un système contre des menaces
accidentelles ou intentionnelles.
• Sécurité = " Safety" = accident
• Sécurité = "Security" = malveillance
• Concepts de sécurité:
Rappel
• Risque
Perte d’accessibilité au système ou au réseau
Intrusion dans les systèmes
Interception des messages
• Menace
Non informatique: inondation
Non intentionnelle : panne et dysfonctionnement
Intentionnelle:
o Passive: espionnage, copie
o active: modification des données, logiciel
• pirates : hacker, cracker
4
Rappel
• Objectifs
L'intégrité, données non modifiées
La confidentialité, données non divulguées
La disponibilité, bon fonctionnement
La non répudiation, transaction non niée
L'authentification, accès autorisé aux
ressources
5
1. Déguisement
• Pour rentrer dans un système on essaye de piéger
des usagers et de se faire prendre pour quelqu'un
d'autre:
• Exemple:
• simulation d'interface système sur écran
• simulation de terminal à carte bancaire
7
2. Répétition ("replay")
• Espionnage d'une interface, d'une voie de
communication (téléphonique, réseau local) pour
capter des opérations Répétition de l'opération
pour obtenir une fraude.
• Exemple:
• Plusieurs fois la même opération de créditement
d'un compte bancaire.
8
3. Analyse de trafic
• On observe le trafic de messages échangés pour
en déduire des informations sur les décisions de
quelqu'un.
• Exemples:
• Bourse : augmentation des transactions sur une
place financière.
• Militaire : le début de concentration entraîne un
accroissement de trafic important.
9
• 4. Inférence
• On obtient des informations confidentielles non divulguables à partir
d'un faisceau de questions autorisées (et d'un raisonnement visant
à faire ressortir l'information).
• Exemple:
• - Soit le fichier d'un hôpital la loi informatique et liberté interdit la
divulgation d'informations personnelles (sur les maladies). mais
autorise des opérations statistiques (améliorer les connaissances
épidémiologiques)
• => pas de possibilité de sélection sur le nom, le numéro de sec,
l'adresse, ..etc. mais questions à caractère statistiques autorisées.
• Pour obtenir des informations confidentielles poser des questions à
caractère statistique comportant un faisceau de contraintes
permettant en fait de filtrer une seule personne.
• => question sur les effectifs
10