24/04/2022

Le chiffrement RSA
Le système RSA est un moyen puissant de chiffrer des données personnelles. Aujourd'hui, il
nous entoure sans même que nous le sachions. Il est dans nos cartes bancaires, nos
transactions, nos messageries, nos logiciels..
Le système de chiffrement RSA a été inventé par trois mathématiciens : Ron Rivest, Adi Shamir
et Len Adleman, en 1977 (On retrouve le sigle RSA dans les noms des inventeurs).

L’arithmétique pour RSA

Pour un entier n, sachant qu’il est le produit de deux nombres premiers, il est difficile de
retrouver les facteurs p et q tels que n = pq.
Le principe du chiffrement RSA, chiffrement à clé publique, repose sur cette difficulté.
Le petit théorème de Fermat

1
 24/04/2022

Inverse modulo n
Soit , on dit que est un inverse de a modulo n si

Factorisations des entiers

si je vous demande combien font 5 × 7= 35
Si je vous demande de factoriser 35= 5 × 7
Si je vous demande de factoriser 1591? vous aller devoir faire plusieurs tentatives

si je vous avais directement demandé de calculer 37 × 43 cela ne pose pas de problème.

Pour des entiers de plusieurs centaines de chiffres le problème de factorisation ne
peut être résolu en un temps raisonnable, même pour un ordinateur

C’est ce problème asymétrique qui est à la base de la cryptographie RSA

2
 24/04/2022

Pour crypter un message on commence par le transformer en un –ou plusieurs– nombres. Les
processus de chiffrement et déchiffrement font appel à plusieurs notions :
On choisit deux nombres premiers p et q que l’on garde secrets et on pose n = p × q. Le principe
étant que même connaissant n il est très difficile de retrouver p et q (qui sont des nombres ayant
des centaines de chiffres).

La clé secrète et la clé publique se calculent à l’aide de l’algorithme d’Euclide et des
coefficients de Bézout.
Les calculs de cryptage se feront modulo n

Le déchiffrement fonctionne grâce à une variante du petit théorème de Fermat.

les systèmes asymétriques utilisent deux clés. Une pour chiffrer et une autre pour déchiffrer.
On appelle clé publique la clé servant à chiffrer et clé privée la clé servant à déchiffrer.
•La clé publique est visible par tout le monde dans une espèce d'annuaire qui
associe à chaque personne sa clé publique.

•La clé privée n'est visible et connue que par son propriétaire. Il ne faut en aucun
cas que quelqu'un d'autre que le propriétaire entre en possession de celle-ci.

Calcul de la clé publique et de la clé privée

Choix de deux nombres premiers
Alice effectue, une fois pour toute, les opérations suivantes (en secret) :
elle choisit deux nombres premiers distincts p et q (dans la pratique ce sont de très
grand nombres, jusqu’à des centaines de chiffres)
Elle calcule n = p × q
Elle calcule f(n) = (p - 1) × (q - 1).
Exemple 1
p = 5 et q = 17
n = p × q = 85
f(n) = (p - 1) × (q - 1)=64.
Exemple 2
p = 101 et q = 103

n = p × q = 10 403

f(n) = (p - 1) × (q - 1)= 10 200 .

3
 24/04/2022

Choix d’un exposant

Alice continue :
elle choisit un exposant e tel que pgcd(e,f(n)) = 1
elle calcule l’inverse d de e module f(n) : d × e ≡ 1 (mod f(n)). Ce calcul se fait par
l’algorithme d’Euclide étendu
Exemple
Alice choisit par exemple e = 5 et on a bien pgcd(e,f(n)) = pgcd(5,64) = 1,
Alice applique l’algorithme d’Euclide étendu pour calculer les coefficients de
Bézout correspondant à pgcd(e,f(n)) =1.

5 × 13 + 64 × (-1) = 1

5 × 13 ≡ 1 (mod 64) et l’inverse de e modulo f(n) est d = 13

Exemple
Alice choisit par exemple e = 7 et on a bien pgcd(e, f(n)) = pgcd(7,10 200) = 1,
L’algorithme d’Euclide étendu pour pgcd(e, f(n) = 1 donne 7 × (-1457) + 10 200 × 1 = 1.
Mais -1457 ≡ 8743(mod f(n) ), donc pour d = 8743 on a d × e ≡ 1 (mod f(n) ).
Clé publique
La clé publique d’Alice est constituée des deux nombres : n et e

Alice communique sa clé publique au monde entier

Exemple 1. n = 85 et e = 5
Exemple 2. n = 10 403 et e = 7
Clé privée
Alice garde pour elle sa clé privée : d

Alice détruit en secret p, q et f(n) qui ne sont plus utiles. Elle conserve secrètement sa clé privée.
Exemple 1. d = 13
Exemple 2. d = 8743

4
 24/04/2022

Chiffrement du message
Bob veut envoyer un message secret à Alice. Il se débrouille pour que son message soit un
entier (quitte à découper son texte en bloc et à transformer chaque bloc en un entier).

Message

Exemple 1. Bob veut envoyer le message m = 10

Exemple 2. Bob veut envoyer le message m = 1234
Message chiffré
Bob récupère la clé publique d’Alice : n et e avec laquelle il calcule, à l’aide de l’algorithme
d’exponentiation rapide, le message chiffré :

Il transmet ce message x à Alice

Exemple 1. m = 10, n = 85 et e = 5

Le message chiffré est donc x = 40.

Exemple 2. m = 1234, n = 10 403 et e = 7 donc

On utilise l’ordinateur pour obtenir que x = 10 378.

Déchiffrement du message
Alice reçoit le message x chiffré par Bob, elle le décrypte à l’aide de sa clé privée d, par
l’opération :

Exemple 1. c = 40, d = 13, n = 85 donc

on note que 13 = 8 + 4 + 1, donc

5
 24/04/2022

Exemple 2. c = 10 378, d = 8743, n = 10 403.

On calcule par ordinateur

exactement le message original de Bob m = 1234.

Clés d’Alice :
•publique : n, e
•privée : d

Un système pare-feu (firewall)

6
 24/04/2022

Un système pare-feu (firewall)

Définition
Le pare-feu, un firewall est un logiciel ou un matériel dont la principale fonction est d'assurer
la sécurité d'un réseau. Dit autrement, le firewall se présente comme une barrière de sécurité
ou un mur empêchant certaines informations de sortir d'un réseau informatique.

C’est un élément de sécurité d’un réseau composé de matériels et de logiciel et qui peut être :
un ordinateur
un routeur

un matériel propriétaire

Il comporte au minimum les interfaces réseau suivante :
une interface pour le réseau à protéger (réseau interne) ;

une interface pour le réseau externe.

Un système pare-feu (firewall)

Les différents types de firewall
Les firewalls bridge: Ils agissent comme de vrais câbles réseau avec la fonction de filtrage en
plus, d’où leur appellation de firewall.

Les firewalls matériels: Ils se trouvent souvent sur des routeurs achetés dans le commerce
par de grands constructeurs comme Cisco ou Nortel

 Les firewalls logiciels: Présents à la fois dans les serveurs et les routeurs

Catégories:

Firewall traditionnel

Firewall dernière génération

7
 24/04/2022

Un système pare-feu (firewall)

Firewall traditionnel
Objectif d’un firewall traditionnel
Contrôler : Gérer les connexions sortantes à partir du réseau local
Sécuriser : Protéger le réseau interne des intrusions venant de l’extérieur.
Surveiller : tracer le trafic entre le réseau local et internet.
Journalisation des événements
Un système pare-feu contient un ensemble de règles prédéfinies permettant

d’autoriser la connexion (allow) ;

de bloquer la connexion (deny) ;

de rejeter la demande de connexion sans avertir l’émetteur (drop).

Un système pare-feu (firewall)

Les règles prédéfinies d’un Firewall dépendent essentiellement de la politique de sécurité à
adopter :

Politique restrictive : Elle consiste à spécifier les actions qui sont autorisées. Tout ce qui
n’est pas explicitement autorisé est alors interdit.
 Politique permissive : À l’opposé de la restrictive, elle décrit les actions interdites. Tout
ce qui n’est pas explicitement interdit est alors autorisé.
Politique combinatoire : Contrairement aux deux premières, une politique combinatoire
consiste à définir aussi bien les actions autorisées que celles interdites.
Trois méthodes de filtrage

 filtrage simple de paquets (Stateless).

filtrage dynamique (Stateful)

 filtrage applicatif

8
 24/04/2022

Un système pare-feu (firewall)

Filtrage simple de paquet
opère au niveau de la couche réseau du modèle OSI

analyse les entêtes de chaque paquet de données échangé entre une machine du réseau
interne et une machine extérieure.
•I adresse IP de la machine émettrice/réceptrice ;
•type de paquet (TCP, UDP, ICMP) ;
• numéro de port (le service ou l’application réseau).
examine chaque paquet indépendamment des autres et le compare à une liste de règles
préconçues.
Exemple de règles :

Un système pare-feu (firewall)

limites :
Ne permet pas l’authentification des utilisateurs ni le filtrage des applications

Ce type de filtrage ne résiste pas à certaines attaques :IP Spoofing, DoS

fait le suivi des paquets sortants dont il a autorisé la transmission et n’autorise que le
retour des paquets de réponse correspondants.
inspecte les données des couches 3 et 4,
•conserve la trace des sessions dans des tables d’état interne

•vérifie que chaque paquet est bien la suite d’un précédent paquet / la réponse
a un paquet dans l’autre sens.
•prend alors ses décisions en fonction des états de connexions, et peut réagir
dans le cas de situations protocolaires anormales.
Ne protège pas contre l’exploitation des failles applicatives, liées aux vulnérabilités des
applications.

Non prise en compte des protocoles supérieures à la couche transport (telnet, FTP, ...)

9
 24/04/2022

Un système pare-feu (firewall)

Firewall traditionnel : filtrage applicatif(proxy serveur )

opère au niveau de la couche application (couche 7 du modèle OSI)

gère toutes les connexions au nom des machines de réseau local.
•Si une machine locale a un logiciel qui désire accéder à l’Internet alors celui-ci devra
être configuré pour communiquer avec le coupe-feu à la place. Le coupe-feu établira
alors la connexion.
•Vu de l’extérieur, seul le firewall est visible.
•Une attaque doit s’en prendre au proxy. Une machine est plus facile à protéger que
plusieurs.
maintient un journal des évènements très détaillée

limites : Chaque paquet est finement analysé : ralentissement des communication

Un système pare-feu (firewall)

Limites des Firewalls traditionnels
Installer un firewall n’est bien évidemment pas signe de sécurité absolue.
Les firewalls traditionnels ne protègent que des communications passant à travers eux.
Ainsi, les accès au réseau extérieur non réalisés au travers le firewall sont des failles de
sécurité (cas des connexions effectuées à l’aide d’un modem).
Les firewalls traditionnels vérifient juste les paquets en entrée ( ne permet pas de vérifier
ce qui se passe au sein du réseau à protéger)

Les firewalls traditionnels ne peuvent pas inspecter les traffics chiffrés.

La mise en place d’un tel firewall doit donc se faire en accord avec une véritable politique
de sécurité

10
 24/04/2022

Un système pare-feu (firewall)

Firewall dernière génération
Les NGFW (Next Generation Firewall) sont des dispositifs de sécurité(applicatif ou matériel)
qui assurent toutes les fonctionnalités des firewalls traditionnels. Mais ils incluent aussi des
technologies qui n’étaient pas disponibles dans les produits de pare-feu antérieurs.
Propriétés :
•Système de prévention des intrusions (IPS)
•Inspection approfondie des paquets
•Contrôle des demandes des applications
•Intégration de l’annuaire (privilèges et autorisations des utilisateurs)
•Inspection du trafic chiffré

Un système pare-feu (firewall)

Zone Dé-Militarisé(DMZ)
un sous-réseau séparé du réseau local et isolé de celui-ci et d’Internet (ou d’un autre réseau)
par un pare-feu. Ce sous-réseau contient les machines susceptibles d’être accédées depuis
Internet

Propriétés :
 Comporte des machines du réseau interne qui ont besoin d’être accessibles de l’extérieur
(Serveurs : Web, Mail, FTP public) que de l’intérieur.
Possède un niveau de sécurité intermédiaire,
On ne peut y stocker des données critiques de l’entreprise.
les connexions à partir de la DMZ ne sont autorisées que vers l’extérieur

11
 24/04/2022

Un système pare-feu (firewall)

Zone Dé-Militarisé(DMZ)

Un système pare-feu (firewall)

Zone Dé-Militarisé(DMZ)

12
 24/04/2022

Un système pare-feu (firewall)

Zone Dé-Militarisé(DMZ)
La politique de sécurité mise en œuvre sur la DMZ est généralement la suivante :

Trafic du réseau externe vers la DMZ autorisé ;

Trafic du réseau externe vers le réseau interne interdit ;

Trafic du réseau interne vers la DMZ autorisé ;
Trafic du réseau interne vers le réseau externe autorisé ;

Trafic de la DMZ vers le réseau interne interdit ;

Trafic de la DMZ vers le réseau externe autorisé.

Système de détection d’intrusion(IDS)

Définition
Mécanisme écoutant le trafic réseau de manière furtive afin de repérer des activités
anormales ou suspectes et permettant ainsi d’avoir une action de prévention sur les risques
d’intrusion

Il existe trois grandes familles distinctes d’IDS :

Les N-IDS (Network Intrusion Detection System), ils assurent la sécurité au niveau du
réseau.
Les H-IDS (Host Intrusion Detection System), ils assurent la sécurité au niveau des
hôtes.

IDS Hybrides : NIDS + HIDS

13
 24/04/2022

Système de détection d’intrusion(IDS)

N-IDS
Un N-IDS nécessite un matériel dédié capable de contrôler les paquets circulant sur un ou
plusieurs lien(s) réseau dans le but de découvrir si un acte anormal a eu lieu.

place les interfaces réseau du système dédié en mode promiscuité

analyse de manière passive les flux en transit sur le réseau et détecter les intrusions
en temps réel.
écoute donc tout le trafic réseau, puis l’analyse et génère des alertes si des paquets
semblent dangereux.

Système de détection d’intrusion(IDS)

Intervention d’ un N-IDS
Les principales méthodes utilisées pour signaler et bloquer les intrusions sur les N-IDS sont
les suivantes :

Reconfiguration d’équipement tierces ( Firewall . . . ) : Ordre envoyé par N-IDS pour une
reconfiguration immédiate dans le but de bloquer un intrus.
Envoi d’un e-mail à un ou plusieurs utilisateurs : Pour notifier une intrusion sérieuse.

Journalisation (log) de l’attaque : détails de l’alerte dans une BD ( @IP de l’intrus et de la

cible, protocole utilisé, . . . )
Sauvegarde des paquets suspicieux : Sauvegarde de l’ensemble des paquets réseaux
(raw packets) capturés et/ou seul(s) les paquets qui ont déclenchés une alerte

Démarrage d’une application extérieur : Lancement d’un programme extérieur pour

exécuter une action spécifique (envoi d’un message sms, émission d’une alerte auditive) .
Notification visuelle de l’alerte : Affichage de l’alerte dans une ou plusieurs console(s)
de management

14
 24/04/2022

Système de détection d’intrusion(IDS)

Exemple de système de détection d’intrusion

Snort : système de détection d’intrusion libre.

Snort est capable d’effectuer en temps réel des analyses de trafic et de logger les paquets
sur un réseau IP.
Il peut effectuer des analyses de protocole,
recherche/correspondance de contenu
peut être utilisé pour détecter une grande variété d’attaques ,

Snort n’est pas infaillible (Faux positif : Détection erronée et Faux négatif : Non
détection d’un paquet malicieux )et demande une mise à jour régulière.

Système de prévention d’intrusion(IDS)

Positionnement du NIDS/NIPS au sein du réseau

15
 24/04/2022

Le RAID (Redundant Array of Inexpensives Disks) :

RAID: ensemble de techniques de virtualisation du stockage permettant de répartir des
données sur plusieurs disques durs afin d’améliorer soit les performances, soit la sécurité ou
la tolérance aux pannes de l’ensemble du ou des systèmes.

Types de systèmes RAID : logiciel, pseudo-matériel et Matériel.

deux catégories : les RAID standards et les RAID combinés.

IPSec (Internet Protocole Security)

IPSec (Internet Protocole Security) : Protocole de la couche 3 du modèle OSI qui permet
d’assurer des communications privés et protégées au niveau de la couche réseaux.
Caractéristiques :
les données sont chiffrées et protégées ;
les deux extrémités sont authentifiées ;
I Deux protocoles de sécurité sont utilisés : AH (Authentication header) et ESP
(encapsulation security playload)
permet d’empêcher les attaques de type MITM

les modes d’IPSec

Mode transport : ne modifie pas l’entête initial, il se met entre l’entête du protocole IP
et l’entête du protocole transport

 Mode Tunnel : remplace les entêtes du protocole IP et encapsule la totalité du

paquet IP

16
 24/04/2022

IPS vc IDS
un Système de Prévention/Protection contre les intrusions
La principale différence entre un IDS et un IPS :
l’IDS est traditionnellement positionné (seulement en écoute) comme un sniffer sur
le réseau.

IPS a la possibilité de bloquer immédiatement les intrusions et ce quel que soit le type
de protocole de transport utilisé et sans reconfiguration d’un équipement tierce.

IPS est constitué en natif d’une technique de filtrage de paquets et de moyens de blocage :

drop connection,
drop offending packets,
block intruder, . . .

exemple d’IPS : Hogwash, Snort-inline, ISS(proventia), McAfee(Intrushield, entercept),

etc.

IPSec (Internet Protocole Security)

17
 24/04/2022

Réseau privé virtuel (VPN)

Qu'est-ce qu'un vpn?
Un réseau privé virtuel (VPN) est un service qui permet d'accéder au Web de manière
sécurisée et privée en acheminant la connexion via un serveur et cache les actions en ligne.
C'est un canal entre une machine et un serveur VPN.

Comment fonctionne un VPN?

Réseau privé virtuel (VPN)

Pourquoi utiliser un VPN?

Le VPN va se charger de la transmission de vos données via :

l’authentification des interlocuteurs de deux réseaux locaux ;
le chiffrement de données (via des protocoles de cryptage comme OpenVPN,
IPSec ou PPTP), les rendant inutilisables par un autre tier en dehors de vous-même
et de votre fournisseur de VPN.
vous pouvez rester 100 % anonyme lorsque vous surfez sur Internet et ne
laissez aucune trace sur les sites que vous visitez.

18
 24/04/2022

Réseau privé virtuel (VPN)

Comment se connecter à un VPN ?
La première solution consiste à installer un logiciel sur votre ordinateur. A partir de ce
« client », vous aurez la possibilité de choisir le serveur (et sa localisation) qui répond le
mieux à vos besoins. Certains VPN proposent même les serveurs qu’ils considèrent le
plus pertinent en se basant sur vos précédentes connexions ;

Dernière option (mais pas forcément la plus courante), un boitier à installer directement
sur votre routeur (qui fonctionnera un peu comme un boitier VPN serveur). C’est une bonne
alternative si vous avez besoin de protéger plusieurs appareils connectés à partir du même
réseau Wifi

Couche de sockets sécurisés(SSL)

SSL signifie Secure Sockets Layer (couche de sockets sécurisés). C’est un protocole utilisé pour
crypter et authentifier les données envoyées entre une application (comme le navigateur) et
un serveur web

Ceci conduit à un site Web plus sûr pour vous et les visiteurs de votre site
Web.

SSL est étroitement lié à un autre acronyme – TLS. TLS, abréviation de Transport Layer
Security, est le successeur et la version la plus récente du protocole SSL original.

Quels sont les avantages de l’utilisation de SSL/TLS ?

le cryptage des données
Authentification: une connexion SSL/TLS en bon état de fonctionnement garantit
que les données sont envoyées et reçues par le bon serveur,
l’intégrité des données

19
 24/04/2022

Couche de sockets sécurisés(SSL)

20