Académique Documents
Professionnel Documents
Culture Documents
Connexion à Internet
Scénarios d'attaque
Sécurisation des applications Internet
Bibliographie
Gérard-Michel Cochard
cochard@u-picardie.fr
La sécurité sur Internet
La connexion à Internet
2) Les cookies
Le protocole HTTP ne reconnaît pas deux chargements consécutifs de la même page : ces deux
chargements sont considérés comme totalement indépendants.
Si l'on veut garder entre deux chargements consécutifs (ou plus) des valeurs de variables, on peut
cependant utiliser la technique des cookies.
Les cookies sont des informations qui sont écrites sur le poste client, sur le disque dur et donc
mémorisées en vue d'une utilisation ultérieure lors d'une connexion future dans un fichier texte.
Attention ! chaque navigateur a son emplacement pour le fichier relatif aux cookies ; si vous
changez de navigateur, vous risquez des incohérences relativement aux cookies stockés.
Répertoires des cookies
Netscape Navigator :
Netscape Communicator :
L'écriture et la lecture dans ce fichier peut être effectuée notamment par un petit programme
JavaScript. La structure d'un cookie est la suivante :
● nom (du cookie) est une variable et valeur est sa valeur instantanée
● expires=date exprime la date d’expiration du cookie ; par défaut, le cookie expire à la fin de
la session.
● domain est le nom du domaine du serveur qui a posé le cookie
● path définit quelles sont les pages qui peuvent accéder au cookie à partir du serveur
précédent.
● secure définit si le cookie est transmis de façon sécurisée ou non.
Un serveur peut enregistrer votre parcours dans vos différentes requêtes : fichier d’audit
On peut donc ainsi connaître quels sont vos goûts lors de plusieurs connexions
(enregistrement de votre adresse).
Parades : Utilisation d’un proxy, d’un firewall, d’un site d’anonymisation Mais l’administrateur de ces
sites peuvent aussi vous espionner…
Les pages du Web consultées sont référencées sur le poste client : fichiers cache
Netscape Navigator :
Netscape Communicator :
Le DENI DE SERVICE
LE RENSEIGNEMENT
L'UTILISATION DE RESSOURCES
Exemples d'attaques
Parade : chiffrement
3)Usurpation
- Attaque TCP
Modification de la route suivie par les paquets pour les envoyer vers une
destination connue du fraudeur
UDP (User Datagram Protocol) est l’un des deux protocoles de la couche
transport (TCP est l’autre) TCP nécessite l’établissement d’une connexion
préalable (une procédure d’identification a donc lieu) UDP ne nécessite
pas l’établissement d’une connexion préalable (pas de procédure
d’identification) ; on peut alors envoyer n’importe quoi connaissant
l’adresse du destinataire et effectuer ainsi une intrusion par le
protocole UDP (protocole à éviter pour sites sensibles).
La messagerie électronique
Problèmes principaux :
S/MIME
Secure Multipurpose Internet Mail Extensions MIME propose une structuration plus
sophistiquée des messages.
S/MIME propose des services d’authentification par signature (RSA, DSS) et de
confidentialité par chiffrement (RSA, DES, RC2)
PGP
Des machines connectées gèrent la correspondance entre les adresses URL et les adresses IP :
serveurs de nom Organisation hiérarchique suivant les domaines, sous-domaines, ….
Chaque serveur DNS connaît l’adresse IP de son père.
Applications Web
Analogue à SSL
Encore peu utilisé
Services d’authentification
- Kerberos
Utilisation d’un serveur central auprès duquel clients et serveurs doivent être
enregistrés ;
Stockage des caractéristiques dans une base de données : Identification, Mot de
passe, Droits d’accès
Partage d’une clé secrète avec chaque utilisateur
Délivrance d’un ticket de validité
- Service X.509
IPSec
La version actuelle IPv4 du protocole IP n’est pas sécurisée. La version future IPv6 le
sera. En attendant, IPSec propose, en compatibilité avec IPv4 et IPv6, une version
sécurisée
Un paquet IPv4 possède la structure suivante : une en-tête et un corps (qui comprend
l’en tête TCP et les données). Avec IPSec, on le transforme en un autre paquet avec
une nouvelle en-tête IP et une en-tête IPSec qui protège l’ancien paquet (tunnel).
Bibliographie