Sécurité informatique

Chapitre : 1

Concept de sécurité général

 Sécurité
• Pourquoi sécurisé ?
– Pertes des entreprises dues à une mauvaise sécurité
estimée à 16 Milliard $ en 1997
– Progression des échanges sur internet et autres réseaux
de télécommunication
– Augmentation du nombre d’ordinateur/machine/device,
augmentation de la taille des informations à stocker et
échanger

Mme K. MEKLICHE 3
 Sécurité : Causes
• Maladresse
• Inconscience et ignorance
• Mécontentement
• Malveillants + malhonnêtetés
• Incidents liés au matériel
• Incidents liés au logiciel
• Catastrophes Naturelles
• Catastrophes non naturelles

Mme K. MEKLICHE 4
 Sécurité
• « Dans le monde réel, la sécurité fait intervenir des
processus. Elle fait intervenir des technologies
préventives, mais aussi des processus de détection
et réaction, et un système complet de forensic pour
traquer et poursuivre les coupables. La sécurité
n’est pas un produit, mais un processus en lui-
même. »
– Bruce Schneier

Mme K. MEKLICHE 5
 Sécurité : Processus continue
• Audit des systèmes
• Définition d’une politique de sécurité
• Définition d’une architecture
• Implémentation
• Gestion quotidienne

Mme K. MEKLICHE 6
 Axes de sécurité
• La sécurité d’un système est un tout, mais on peut
distinguer les 3 axes suivants :
– Sécurité informatique
– Sécurité des transmissions
– Sécurité d’un réseau

Mme K. MEKLICHE 7
 La sécurité informatique : concept de
base
• Confidentialité
• Intégrité des données :
– Correcte
– Protégées des changements non voulus : malveillant ou
accidentel
• Disponibilité (Availibility)

Mme K. MEKLICHE 9
 Sécurité informatique : quelques
solutions
• Système de sauvegarde
• Onduleur/batterie
• Miroring
• Gestion rigoureuse des utilisateurs, mot de passe,
droit d’accès

Mme K. MEKLICHE 10
 Sécurité des transmissions
• Seul le destinataire doit recevoir le message.
• On doit être sûr de l’identité du destinataire.
• On doit être sûr de l’identité de l’émetteur.
• Le message reçu doit être identique au message émis.
• On veut la preuve que le destinataire a bien reçu le message.
• On veut la preuve que l’émetteur a bien émis le message.
• L’émetteur ne peut accéder à certaines ressources que s’il en
a l’autorisation

Mme K. MEKLICHE 11
 Sécurité des transmissions : Concepts
de base
• Confidentialité
• Authentification
• Intégrité
• Non-répudiation
• Contrôle d’accès

Mme K. MEKLICHE 12
 Authentification vs identification
• Identification : moyen de connaitre l’identité d’une
entité à l’aide par exemple d’un identifiant.
• Authentification : désigne le processus confirmant que
le commettant est bien celui qu’il prétend être. Il existe
plusieurs facteurs d’authentification :
– Ce qu’il sait (mot de passe, pin)
– Ce qu’il possède (carte à puce, certificat électronique,
téléphone portable…)
– Ce qu’il est (empreinte rétinienne, empreinte digitale…
biométrie)
– Ce que seul le commettant peut produire (signature)

Mme K. MEKLICHE 13
 Méthodes d’authentifications

• Type 1 : Quelque chose que vous savez !

• Type 2 : Quelque chose que vous avez !

• Type 3 : Une chose que vous êtes !

• Type 4 : Une chose que vous savez faire !

Mme K. MEKLICHE 14
 Politique de contrôle d’accès
• Le standard européen des ITSEC (Information
Technology Security Evaluation Criteria) définissent
une politique de sécurité comme étant “ l’ensemble
des lois, règles et pratiques qui régissent la façon
dont l’information sensible et les autres ressources
sont gérées, protégées et distribuées à l’intérieur
d’un système spécifique ”

Mme K. MEKLICHE 15
 Contrôle d’accès cohérent
• Une politique de sécurité cohérente doit être
construite de telle sorte qu’aucune séquence valide
d’applications de règles ne puisse amener le
système dans un état initial sûr à un état tel qu’un
objectif de sécurité soit violé

Mme K. MEKLICHE 16
 Contrôle d’accès
• MAC : mandatory access control (contrôle d’accès
obligatoire)
• DAC : discretionary access control
– Ex : chaque objet a un propriétaire de l’objet, et ce
propriétaire contrôle les permissions d’accès à un objet.
• RBAC : role based access control
• RBAC : rule based access control

Mme K. MEKLICHE 17
 Contrôle d’accès
• MAC : le contrôle d’accès obligatoire est utilisé lorsque la politique
de sécurité des systèmes d’information impose que les décisions de
protection ne doivent pas être prises pas le propriétaire des objets
concernés, et que ces décisions doivent lui être imposées par le dit
système.
• DAC : moyens de limiter l'accès aux objets basés sur l'identité des
sujets ou des groupes auxquels ils appartiennent. Les commandes
sont discrétionnaires car un sujet avec une certaine autorisation
d'accès est capable de transmettre cette permission (peut-être
indirectement) à n'importe quel autre sujet (sauf restriction du
contrôle d'accès obligatoire). » ce model permet aux utilisateurs de
partager dynamiquement des informations. Cet méthode permet un
environnement plus flexible mais augmente les risques de
divulgation d’information non authorisé.
Mme K. MEKLICHE 18
 Contrôle d’accès
• RBAC : : Role-Based Access Control (RBAC) ou, en
français, contrôle d'accès à base de rôles est un
modèle de contrôle d'accès à un système
d'information dans lequel chaque décision d'accès est
basée sur le rôle auquel l'utilisateur est attaché. Un rôle
découle généralement de la structure d'une entreprise.
• RBAC : rule based access control : ici l’accès est autorisé
ou non selon un ensemble de règles prédéfinis dans la
politique de sécurité. Ces règles pourrait être
d’interdire l’accès à tous sauf à ceux spécifié dans une
liste, et inversement (ACL)

Mme K. MEKLICHE 19
 Modèles associés aux DAC
• Modèle de Lampson
• La notion de matrice de contrôle d’accès, dédiée à la
représentation des droits d’accès (autorisations), a été
introduite par Lampson dès 1971
• La structure de ce modèle est celle d’une machine à
états où chaque état est un triplet (S,O,M) avec :
– S désignant un ensemble de sujets,
– O un ensemble d’objets et
– M une matrice de contrôle d’accès.
• Chaque cellule M(s,o) de cette matrice contient les
droits d’accès que le sujet s possède sur l’objet o.
Mme K. MEKLICHE 20
 Modèles associés aux DAC
• Modèle de Lampson
• Inconvéniants :
– Mise à jour fastidieuse
– N’exprime pas les interdictions ou obligations
directement

Mme K. MEKLICHE 21
 Modèles associés aux DAC
• Modèle HRU
• Le Modèle HRU a été introduit par M.A. Harrison, W.L. Ruzzo
et J.D. Ullman en 1976
• HRU utilise une matrice d’accès classique, la différence réside
en ce que HRU précise les commandes qui peuvent lui être
appliquées. Les seules opérations possibles sont données
dans le tableau suivant :

Enter a into M(s,o) delete a from M(s,o)

Create subject s destroy subject s
• Où a Create
est unobject
droit.O destroy object O

Mme K. MEKLICHE 22
 Modèles associés aux DAC
• Modèle Take-Grant
• Le modèle Take-Grant (A.K. Jones, R.J. Lipton, L.
Snyder, 1976.) est constitué d’un graphe dont les
noeuds sont des sujets ou des objets, et des règles
de modification de ce graphe. Le graphe est une
autre représentation de la matrice d’accès. On a un
arc entre un sujet s et un objet o lorsqu’existe un
droit d’accès a de s sur o. L’arc est alors étiqueté par
le droit a.

Mme K. MEKLICHE 23
 Modèles associés aux DAC
• Modèle Take-Grant
• La mise à jour des droits d’accès, c’est-à-dire du graphe le
représentant, s’effectue à l’aide des quatres commandes suivantes
:
– la commande create qui permet de créer un objet et d’attribuer
initialement un droit d’accès à un sujet sur cet objet ;
– la commande remove qui permet de retirer un droit d’accès d’un sujet
sur un objet ;
– la commande “ take ”, représentée par un arc étiqueté par la lettre t
entre un sujet s et un sujet (ou objet) r, indique que s peut prendre tous
les droits que r possède ;
– la commande grant qui permet à un sujet s possédant un droit d’accès a
sur o ainsi que le droit g (pour “ grant ”) sur un autre sujet r, de céder à r
le droit a sur o (que s possède sur o).

Mme K. MEKLICHE 24
 Modèles de contrôle d’accès
obligatoire
• Bell-Lapadula est un modèle de sécurité où les
permission d’accès sont définies à travers une
matrice de contrôle et d’accès et un ensemble de
niveaux de sécurité.
• Cette politique considère seulement les flux
d’informations qui se produisent quand un sujet
observe ou modifie un objet.
• Permet d’assurer la propriété de confidentialité.

Mme K. MEKLICHE 25
 Modèles de contrôle d’accès
obligatoire
• Bell-Lapadula s’appuie sur l’association de
différents niveaux aux sujets (niveaux d’habilitation)
et aux objets (niveaux de classification). Chaque
niveau n=(cl,C) est un couple caractérisé par ses
deux attributs cl et C :
– C est un compartiment défini par un ensemble de
catégories.
– cl est une classification prise dans un ensemble
totalement ordonnée, ex : {non classifié, confidentiel,
secret, top secret}

Mme K. MEKLICHE 26
 Modèles de contrôle d’accès
obligatoire
• Bell-Lapadula
• Pour un objet o, la classification c(o) est un moyen de représenter le danger
que peut constituer la divulgation de l’information contenue dans cet objet,
pour un sujet s, c’est une habilitation h(s) qui désigne la confiance qui lui est
accordée. Les niveaux constituent un treillis pour la relation d’ordre partielle
dite relation de domination notée et définie par :
– Si n=(cl;C) et n’=(cl’;C’) alors n≤n’ (noté n domine n’ ou n’ est dominé par n) si
et seulement si cl≤cl’ et c≤c’ c’est-à-dire la classification cl du niveau n est plus
petite que la classification cl’ du niveau n’, et le compartiment C du niveau n est
contenu dans le compartiment C’ du niveau n’
• La classification c(o) d’un objet o ainsi que l’habilitation h(s) d’un sujet s
sont toutes deux des niveaux. Ils peuvent donc être comparer via la relation
de domination

Mme K. MEKLICHE 27
 Modèles de contrôle d’accès
obligatoire
• Bell-Lapadula
• Les objectifs de sécurité de cette politique sont les
suivants :
– interdire toute fuite d’information d’un objet possédant
une certaine classification vers un objet possédant un
niveau de classification inférieur ;
– interdire à tout sujet possédant une certaine habilitation
d’obtenir des informations d’un objet d’un niveau de
classification supérieur à cette habilitation.

Mme K. MEKLICHE 28
 Modèles de contrôle d’accès
obligatoire

• Bell-Lapadula
• Le schéma d’autorisation associé à ces
objectifs de sécurité en découle
directement. On considère que l’on peut
distinguer vis-à-vis de la confidentialité,
parmi les différentes opérations qu’un sujet
peut effectuer sur un objet, les opérations
de lecture et d’écriture, et on introduit les
règles suivantes, incontournables même
par les propriétaires des informations :
– Propriété simple : un sujet s ne peut lire un
objet o que si son habilitation h(s) domine la
classification c(o) de l’objet : on note alors (s,
o, lire) ⟹ c(o) ≼ h(s) ;
– Propriété étoile : un sujetMme K. MEKLICHE
s ne peut lire un 29
 Modèles de contrôle d’accès
obligatoire
• Bell-Lapadula
• La propriété simple interdit de lire des informations
d’une classification supérieure à l’habilitation
• la propriété étoile empêche les flux d’information
d’une classification donnée vers une classification
inférieure, ce qui constituerait une fuite
d’information.
• i.e : read down, write up

Mme K. MEKLICHE 30
 Contrôle d’accès multi-niveau
• Labels de sécurité
• L’ensemble des labels de sécurité : LS=Niv×P(Cat)
– Exemple de label : (T,{US,EUR})
• Relation d’ordre partielle induite : dom (« domine »)
– (niv1,ens_cat1) dom (niv2,ens_cat2) ssi niv1 ≥ niv2 et
ens_cat2 ⊆ ens_cat1
– Exemple : (T,{US,EUR}) dom (S,{US})
• (LS,dom) est un treillis (dom est une relation d’ordre
partielle et il existe une borne inf et une borne sup
pour chaque couple (l1,l2) de LS)
Mme K. MEKLICHE 31
 Contrôle d’accès multi-niveau
• Exemple d’un treillis des labels de sécurité pour
NIV={C,S} et Cat={US,EUR}

Mme K. MEKLICHE 32
 Les aspects de sécurité à prendre en compte lors
de la mise en place des contrôles d’accès
• Séparation des fonctions ou des rôles (« separation of
function »)
– Aucun utilisateur ne doit avoir suffisamment de privilèges pour
abuser le système
• Séparation des tâches (« separation of duty ») :
– Si une tâche critique requiert plusieurs étapes pour être réalisée,
chacune des étapes placée chacune sous la responsabilité d’un
sujet différent
• Principe du moindre privilège
– Un utilisateur ne doit posséder plus de droits que nécessaire
• Délégation et transfert des droits
• Audit

Mme K. MEKLICHE 33
 BIBA intégrité
• La propriété simple interdit de lire des informations
d’une classification inférieur à l’habilitation
• La propriété étoile empêche le flux d’information
d’une classification donnée vers une classification
supérieur.
• i.e : read up, write down

Mme K. MEKLICHE 34
 Canal caché
• Canaux de communication supposant permettre
l’échange d’information authorisées, mais en fait
permettant la fuite d’informations sensibles ou de
donner des instructions malveillantes (à une
machine sous l’emprise de l’attaquant) sans se faire
soupçonner.

Mme K. MEKLICHE 35
 Exemple de canal caché
• Un sujet s1 de bas niveau L crée un objet bidon.obj à son niveau
• Un complice s2 (un cheval de Troie) de plus haut niveau H décide
d’augmenter le niveau de sécurité de bidon.obj ou bien de le laisser tel quel
• Après un certain intervalle de temps s1 essaie de lire bidon.obj. Le résultat
lui permet de connaître l’action du sujet de haut niveau : s’il réussit il
considère que s2 lui a fait passer le bit d’information 0, sinon 1 s’il échoue
• s1 et s2 réitèrent n fois
• s2 a pu communiquer n bits d’information a s1
• Informer un sujet qu’une opération n’est pas autorisée constitue un flux
d‘information
• Il n’est pas toujours suffisant de cacher le contenu d’objets : il faut parfois
cacher leur existence

Mme K. MEKLICHE 36
 Technologies de contrôle d’accès
• Différentes technolgies sont utilisés pour implémenter un
contrôle d’accès. Parmi elles, les suivantes :
– SSO : Single Sign-On permet à plusieurs systèmes d’utiliser un
serveur central d’authentification (AS). Permettant aux utilisateurs
de s’authentifier une fois et d’avoir l’accès à différents systèmes.
• Avantages :
– augmentation de la productivité des utilisateurs
– Augmentation de la productivité des développeurs
– Administration simplifié
• Désavantage :
– Difficile à ajuster à des applications déjà existantes
– Ordinateur de bureau sans surveillance
– Point d’attaque unique : le service d’authentification centrale est utilisé par toutes
les applications. Ce qui est une cible de choix pour une attaque de déni de services.

Mme K. MEKLICHE 37
 Technologies de contrôle d’accès
• Différentes technolgies sont utilisés pour implémenter un
contrôle d’accès. Parmi elles, les suivantes :
– Kerberos : utilise la cryptographie symétrique et offre
l’authentification mutuelle des clients et serveurs. Dans un réseau
utilisant Kerberos, on distingue plusieurs composants :
• Le client
• Le domaine : un réseau logique de Kerberos
• Le ticket : ce sont des données qui permettent d’authentifier l’identité d’un
client/serveur
• Le serveur/service
• Le service d’émission de ticket (TGS : ticket granting service)
• Le centre de distribution de clés (KDC : Key Distribution Center)
• TGT : Ticket Granting Ticket

Mme K. MEKLICHE 38
 Technologies de contrôle d’accès
– Principe de fonctionnement de Kerberos

Mme K. MEKLICHE 39
 Kerberos
• Alice aimerait accéder à une imprimante. Pour qu’elle puisse accéder à ce
service, elle doit passer par ces 5 étapes :
1. Alice contacte le KDC, qui agit comme un serveur d’authenfication, pour
s’authentifier
2. Le KDC envoie une clé de session à Alice, crypté avec la clé secrète d’alice. Le
KDC envoie aussi un TGT, qui est crypté en utilisant la clé secrète du TGS.
3. Alice déchiffre la clé de session et l’utilise pour demander la permission
d’imprimer de la part du TGS.
4. Puisqu’Alice à une clé de session valide (et donc qu’elle a prouvé son identité) le
TGS envoie à Alice une seconde clé de session C/S (client/serveur) pour utiliser
l’imprimante. Le TGS envoie un ticket de service crypté avec la clé de l’imprimante.
5. Alice se connecte à l’imprimante. L’imprimante voyant une clé C/S de session
valide, sait qu’Alice a le droit d’imprimer et qu’Alice est bel et bien authentique

Mme K. MEKLICHE 40
 Kerberos
• Avantages :
– Offre une authentification mutuelle du client et du serveur
– Atténue les attaques de rejeu grâce à l’utilisation de
timestamps
• Inconvénients :
– Le KDC garde toutes les clés des clients et des serveurs. Une
compromission du KDC compromettrait chaque clé du
domaine kerberos.
– Le KDC et TGS sont des point de défaillances.
– Une attaque par rejeu peut toujours être effectué durant la
durée de vie du ticket d’authentification.

Mme K. MEKLICHE 41
 Technologies de contrôle d’accès
• Différentes technolgies sont utilisés pour implémenter
un contrôle d’accès. Parmi elles, les suivantes :
– SESAME : Secure European System for Applications in
Multivendor Environment
• Est un système SSO permettant un environnement hétérogène.
SESAME ajoute à Kerberos de l’hétérogénéité, des fonctionnalités de
contrôles d’accès sophistiqués, l’évolutivité des systèmes à clés
publiques, une meilleure gestion »
• L’ajout le plus interessant est l’utilisation de clés publiques
(asymétrique). Alors que Kerberos stocker les clés symétriques en
texte clair.

Mme K. MEKLICHE 42
 Vérification du contrôle d’accès
• Test de pénétration : méthodologie d’un pentest
– Planification
– Reconnaissance
– Énumération
– Évaluation des failles
– Exploitation
– Notification (grâce à des rapport)
• Test de vulnérabilité/scan de vulnérabilité: scan un réseau ou système pour une
liste de vulnérabilités prédéfinis, comme une mauvaise configuration…
– Nessus
– openvas
• Audits de sécurité : l’auditeur va effectuer un ensemble de tests en référence à une
norme publiée. L’auditeur vérifie que l’organisation évaluée répond aux critères de
la norme.
• Security assessment (évaluation de la sécurité)

Mme K. MEKLICHE 43
 Cryptographie
• Cryptologie : Cela signifie la ”science du secret”. La
cryptologie se partage entre la cryptographie et la
cryptanalyse ;
• Cryptographie : étude des mécanismes destinés à
assurer - entre autres - la confidentialité des
communications ;
• Cryptanalyse : Son but est de déjouer les
protections cryptographiques mises en place.

Mme K. MEKLICHE 44
• Cryptographie : étude et conception des procédés
de chiffrement des informations ;
• Cryptanalyse : Analyse des textes chiffrés pour
retrouver des informations dissimulées, Analyse des
procédés de chiffrement afin d’en découvrir les
failles de sécurité.

Mme K. MEKLICHE 45
 Sécurité des réseaux : les risques
• Vol de mot de passe
• Vol d’information
• Trucage de l’adresse source
• Violation de l’intégrité des données
• Insertion de virus
• Blocage de service (DOS)

Mme K. MEKLICHE 46