Securité Web

1
Résumé de la lecon précédente
¢ promotion d'une application web
— newsletter
— Le marketing par affiliation
— Marketing par moteur de recherche

¢ Gestion de contenu
— Syndication
¢ Analyse d'utilisation
— techniques
— indicateurs
— l'analyse du comportement de l’utilisateur

2
Plan
¢ Présentation de la sécurité Web
¢ transmission sécurisée de données

¢ Les problèmes de sécurité de l'utilisateur

¢ Les problèmes du fournisseur de services

3
1. Securite Web
¢ Le client Web attend des applications web
sécurisé
— prévenir l'accès à partir de sources non fiables
ou malveillants aux données privées
— Les fournisseurs de service n’abuser pas leurs
données
¢ En échangeant ces données avec un tiers

4
1. securité web…
¢ Nombreux risques existent pour les
fournisseurs de services comme
— prevenir l'accès des attaquants
¢ numéro de carte de crédit peut être volé
¢ Les données peuvent être consultées et modifiées

— La DISPONIBILITÉ du service peut être

réduite
¢ Peut influencer les accords et causer des
pertes financière

5
1. securité web…
¢ Nous pouvons définir la sécurité selon les
notions d'utilisateurs et de fournisseurs de
services comme
— Sécuriser l'ordinateur de l'utilisateur et les
données personnelles qui y sont stockées
— Securiser le transit des informations
— securiser le serveur et les données stockées sur
lui

6
 1. securité web…

• Sécurité Internet
• communication
• sécurité de sécurisée • sécurité de l'hôte
l’ordinateur • Disponibilité du
• Sécurité des service
données
personnelles

7
1. securité web…
¢ Les aspects de sécurité
¢ Confidentialité:
— Les moyens de communication entre un client
et un fournisseur ne peux pas être lu par un
tiers
¢ le cryptage des données peut être utilisé
¢ Intégrité:
— personne n’est capable de modifier les
information échangées

8
1. securité web…
¢ Les aspects de sécurité
¢ Non-répudiation:
— Les expéditeurs de messages ne doivent pas être en
mesure de Nier
¢ les clients qui commande des livres en ligne
¢ Authentification:
— le Procédé de vérification de l’identité d'une personne
ou objet, par exemple une application invoquant un
service au nom d'un utilisateur humain
— Generalement mis en œuvre par mécanisme de login /
password
9
1. securité web…
¢ Les aspects de sécurité
¢ Autorisation
— est utilisé pour déduire les privilèges des utilisateurs
authentifiés
¢ Disponibilité
— garantes la disponibilité des applications Web
¢ les temps d'arrêt d’un service en général implique des pertes
financières

dix
1. securité web…
¢ Les aspects de sécurité
¢ Intimité (privacy)
— L’intimité implique la gestion fiable des données

11
 2. cryptage de données
¢ Le chiffrement est une technique de base
pour permettre la sécurisation de la
Messagerie
¢ cryptage:
— Traduction des données dans un format qui est
destiné à être illisible par personne, sauf le
destinataire
— en changeant le texte original par un message
secret à l'aide fonction mathématique
¢ chiffrement à sens unique
¢ chiffrement bidirectionnel

12
2. cryptage de données…
¢décryptage:
— changer le message secret à sa forme originale

13
 2. cryptage de données…
¢ processus de chiffrement / déchiffrement:
Algorithme de cryptogramme
texte brut cryptage
message confidentiel ASD12 #
Bonjour TY
Transm
is à
l'utilisa
algorithme de teur
message confidentiel déchiffrement ASD12 #
Bonjour TY
cryptogramme 14
texte brut
 2. cryptage de données…
¢ Utilisé par Jules César
¢ César déplacé chaque lettre de ses Að D
B ðE
messages à ses généraux de trois
CðF
places dans l'alphabet Dð g
¢ Alors BURN THE BRIDGE devient EðH
FðI
¢ EXUQ OHV EUKFIG
g ðJ
HðK

15
2. cryptage de données…
¢ algorithmes cryptographiques:
¢ Repose sur les clé comme terme
secret pour le chiffrement et
déchiffrage
¢ Sans clé, il est
informatiquement impossible
de briser un algorithme
¢ Un algorithme est considéré
comme fort si une attaque de
force brute est la seule attaque
possible 16
 2. cryptage de données…
¢La cryptographie
symétrique:
¢ chiffrement bidirectionnel
¢ Utilise la même unique clé pour chiffrer et déchiffrer
un message
¢ Aussi appelé cryptographie à Clé privée
— DES et AES sont des exemples d'algorithmes de chiffrement
symétriques

17
 2. cryptage de données…
¢ La cryptographie symétrique:
Algorithme de cryptogramme
texte brut cryptage
message confidentiel ASD12 #
Bonjour TY
Transmis à
Key l'utilisateur
12345

message confidentiel ASD12 #

Bonjour TY
algorithme de cryptogramme
texte déchiffrement
brut 18
2. cryptage de données…
¢ La cryptographie asymétrique:
¢ Aussi connu sous le nom cryptographie à Clé publique
¢ usages deux clés au lieu d'un
— le Clé publique est connu par tout le
monde et peut être librement distribué
— le Clé privée est connu seulement au
destinataire du message
¢RSA est un exemple d'asymétrie
cryptographie 19
 2. cryptage de données…
¢cryptographie Asymétrique :
Algorithme de cryptogramme
texte brut cryptage
message confidentiel ASD12 #
Bonjour TY
Transmis à
Clé publique
l'utilisateu
du récepteur
r
algorithme de
message confidentiel déchiffrement ASD12 #
Bonjour TY
cryptogramme 20
texte brut La clé privée
du récepteur
2. cryptage de données…
¢ algorithmes de hachage:
¢ Le Hashage est un processus à sens
unique
— convertir un hash aux données
d'origine est difficile, voire impossible
¢ Un hachage est une « signature »
unique pour un ensemble de
données
— Cette signature, appelé hash ou digest, représente le
contenu
21
2. cryptage de données…
¢Signatures numériques:
¢Une signature numérique est
fondamentalement un moyen de
s’assurer qu'un document
électronique est authentique
— Intégrité
— non répudiation

22
2. cryptage de données…
¢Création de signatures
numériques:
¢L’expediteur crée un hash du
message
¢expéditeur crypte le message
avec sa clé privée
¢Il attache la signature numérique
avec le message
23
2. cryptage de données…
¢ lavalidation des signatures
numériques:
¢ Le Récepteur déchiffre la signature
avec la clé publique de l'expéditeur
¢ Récepteur crée le hash du message
¢ Le hash créé est comparé avec le
message déchiffré
24
 2. cryptage de données…
hachage Crypter Joindre la
Message Créer hachage signature avec
avec clé privée
(M) h(M) le message
sig (m)

Transmettre
un message +
signature

Le message Créer
est vérifié h (m)
Oui

h(M) = sig (m) signature

message +

Non signature
modifié déchiffrer
sig (m)

25
3. cryptage de données….
¢ Cryptographie assure :
• Confidentialité
• Intégrité
• Disponibilité
• Authenticité
• La non-répudiation

26
3. sécurité des données de l'utilisateur

¢ Après la transmission sécurisée de données

utilisateur veut
¢ Intimité (privacy)
— les fournisseurs conservent des données
soigneusement
— protége les données des attaquants

¢ sécurisé son bureau

27
3. sécurité des données de
l'utilisateur…
¢ Les fournisseurs de services doivent établir
des relations de confiance
— Ils peuvent spécifier pratiques de données à
l'aide des plate-forme
¢ L'utilisateur peut spécifier ses préférences
en utilisant des agents P3P(norme)
¢ Les navigateurs repectant la norme P3P
informe l'utilisateur si les politiques du
fournisseur de services sont en conflit avec
les préférences de l'utilisateur

28
3. sécurité des données de
l'utilisateur…
¢ Le phishing et le Web spoofing
¢ Le phishing est l'attaque la plus commune
pour récupérer les informations
personnelles de l'utilisateur
¢ Le Web spoofing désigne le fait de se
moquer sur le web des entreprises célèbres
— envoyez un courriel aux utilisateurs en tant
que représentant d'une certaine société bien
connue
— encourager l'utilisateur d'entrer leurs
informations personnelles
29
3. sécurité des données de
l'utilisateur…
¢ Sécurisation du poste de travail
¢ la sécurité des utilisateurs peut être à
risque par des menaces telles que virus et
vers
— l'utilisateur est responsable face à ces risques

30
3. sécurité des données de
l'utilisateur…
¢ Adware et spyware
— Un adware livre des contenus publicitaires
— Un spyware controle les activités des
utilisateurs et transfert les informations
recueillies à des systèmes distants
¢ Accès distant / backdoors
¢ fournir aux systèmes distant les possibilité
de se connecter sur la machine de
l'utilisateur
— Peut obtenir des renseignements personnels,
endommager des fichiers et la machine de
l'utilisateur 31
3. sécurité des données de l'utilisateur…

¢ Les virus
¢ Peuvent endommager des fichiers ou se
dupliquer
— distributé par e-mail ou par partage de fichiers
infectés
¢ Vers
¢ Se duplique eux-mêmes
— augmenter le traffic et la consommation de la
puissance de calcul

32
3. sécurité des données de l'utilisateur…

¢ chevaux de Troie
¢ Endommages des fichiers mais ne se
répliquent pas
¢ Apparaît comme des programmes utiles,
mais effectue d'autres fonctionnalités
— vise à voler et destruire les données ou avoir
un accès illégitime sur des ressources
informatiques

33
4. Problèmes de fournisseurs de services

¢ Le fournisseur de services veut sécurisé le

serveur des attaques
¢ attaques communes:

¢ Cross-site scripting (XSS)

¢ Les attaquants injecter un script dans les

pages créées dynamiquement et essayer de
trouver les informations de l'utilisateur
¢ SQL-injection

¢ Les attaquants injectent des commandes sql

comme entrée
34
Résumé
¢ Présentation de la sécurité Web
¢ transmission sécurisée de données

¢ Les problèmes de sécurité de l'utilisateur

¢ Les problèmes du fournisseur de services

35