Chapitre 01- Partie 01

Cryptographie
et
sécurité informatique

salima.sabri@univ-bejaia.dz
Concepts généraux sur la sécurité
informatique
INTRODUCTION
La sécurité de l’information était assurée par des moyens physiques ou administratifs :
 classeurs fermés par un cadenas
 Examen systématique des candidats au cours de leur recrutement.

Assurer des mesures de sécurité des réseaux pour protéger les données durant leur
transmission:
 transporter des données entre un terminal utilisateur et un ordinateur,
 et entre ordinateurs.

Quelles sont les questions à se poser ?

 Quelles sont les menaces sur

 Systèmes informatiques: le coût des incidents ?

 Leur contenu et la sphère privée des utilisateurs concernés
par ce contenu ?

 Quel degré de confiance envers des utilisateurs interne ?

 Qu’est-ce que les clients et les utilisateurs espèrent de la
sécurité ?
 Quel sera l’impact sur l’utilisateur si
 la sécurité est insuffisante, ou tellement forte qu’elle
devient contraignante ?
Quels sont les mécanismes de défense à déployer pour

 Protéger l’information,
 Les systèmes qui la traitent,
 Et les réseaux qui la transportent ?
Politiques de sécurités
 Définition

Une politique de sécurité vise à définir les moyens de protection à mettre

en œuvre suite à l’étude des risques et avant de mettre en place des
mécanismes de protection

Veiller à ce que les ressources d’un système d’information

puissent être utilisées tel qu’une organisation ou qu’un
utilisateur l’ait décidé, sans interférences.
Vulnérabilité

Vulnérabilité = faille dans les procédures de sécurité,

les contrôles administratifs, les contrôles internes d’un
système, qui pourrait être exploitée pour obtenir un accès
non autorisé:
• au système Informatiques
• à un de ses services
• à des informations
permettre de porter atteinte à la confidentialité, à
l’intégrité et à la disponibilité du SI
Intimité- privacy-

La RFC 2828 -REQUEST FOR COMMENT -définit

Le droit d'une entité (normalement une personne), agissant en son

propre nom, de déterminer le degré auquel elle interagira avec son
environnement, y compris le degré auquel l'entité est disposée à
partager des informations sur elle-même avec d'autres.
L’audit
 Notion d'audit

Un audit de sécurité consiste à s'appuyer sur un tiers de

confiance (généralement une société spécialisée en sécurité
informatique) afin de valider les moyens de protection mis en
œuvre, au regard de la politique de sécurité.

L'objectif de l'audit est ainsi de vérifier que chaque

règle de la politique de sécurité est correctement
appliquée et que l'ensemble des dispositions prises
forme un tout cohérent.
 Formes de cybercriminalité

3) Modifier le contenu d’un espace numérique pour y déposer ou diffuser

des contenus illicites
Évolution de l’informatique et des problèmes de sécurité
 Evolution de l’informatique et problèmes de sécurité
19e siècle: Algèbre booléenne (Boole, 1847), Mécanographie
 Evolution de l’informatique et problèmes de sécurité
19e siècle: Algèbre booléenne (Boole, 1847), Mécanographie

1980/1990: Micro-ordinateurs, Serveurs, BDDR, Systèmes experts …

Disponibilité, pannes
 Evolution de l’informatique et problèmes de sécurité
19e siècle: Algèbre booléenne (Boole, 1847), Mécanographie

1980/1990: Micro-ordinateurs, Serveurs, BDDR, Systèmes experts …

Disponibilité, pannes

1990/2000: Internet, Commerce électronique, Systèmes informatisés,

bugs, Virus, Spams, Vers, …
 Virus

Un virus est un segment de programme qui, lorsqu’il s’exécute, se reproduit en

s’adjoignant à un autre programme. Ensuite se propager à d’autres ordinateurs
à l’aide du programme légitime sur lequel il s’est greffé.

Exemple: cheval de Troie.

Exemple PsybOt, découvert en 2009, est considéré comme étant le seul

virus informatique ayant la capacité d’infecter les routeurs et
modems haut-débit.
 Ver

Un programme autonome qui se reproduit et se propage à l’insu des utilisateurs.

Contrairement aux virus, un ver n’a pas besoin d’un logiciel hôte pour se dupliquer.

Exemples  espionner l’ordinateur dans lequel il réside

 détruire des données sur l’ordinateur infecté ;
 envoyer de multiples requêtes vers un serveur internet dans le but de le saturer.

Le ver Blaster -2003- avait pour but de lancer une attaque par déni de
service sur le serveur de mises à jour de Microsoft.
Porte dérobée
Une porte dérobée (ou backdoor en anglais) est un moyen de contourner les mécanismes de
contrôle d’accès. Il s’agit d’une faille du système de sécurité due à une faute de conception
accidentelle ou intentionnelle. C’est donc une fonctionnalité inconnue de l’utilisateur légitime qui
donne un accès secret au logiciel.

Exemple
Une porte dérobée a été découverte dans le SGBD interbase de Borland au début des années 2000:

 Il suffisait d’entrer le nom d’utilisateur “ politically ” et le mot de passe “ correct ”

pour se connecter à la base de données avec les droits d’administrateur.

 Cheval de troie

C’est un programme caché dans un autre qui exécute des commandes.

But : donner accès à la machine sur laquelle il est installé en ouvrant un

port de communication

=> voler des mot de passe

=> Copier des données
=> Exécuter des actions nuisibles
Spyware
Logiciel analysant le comportement d’un utilisateur

Exemple
 Autres exemples
Spamming message non sollicités

Programme escros Phishing Ransomware

 Autres exemples
Spamming message non sollicités

Programme escros Phishing Ransomware

programme
Mail bombing Rootkit parasite

fausse alerte, rumeur Hoax Blacklistage

Les cookies
 Evolution de l’informatique et problèmes de sécurité
19e siècle: Algèbre booléenne (Boole, 1847), Mécanographie

1980/1990: Micro-ordinateurs, Serveurs, BDDR, Systèmes experts …

Disponibilité, pannes
1990/2000: Commerce électronique, Systèmes informatisés, Internet
bugs, Virus, Spams, Vers, …

2000/2019: Applications distribuées, Cloud, E-commerce,

réseaux sociaux, logiciel libre …
DDOS, Botnets, ransomwares, …
Univers numérique - E-commerce

criminalité et manoeuvres
politiques se déroulent de plus en
Les affaires se traitent plus en ligne …
de plus en plus en ligne …
… donc de plus en plus d’argent et
de pouvoir passent par Internet

car elles suivent Toujours

argent et pouvoir

doit être sécurisé tout comme le monde physique

Univers numérique - E-commerce

Arnaques bancaires: comment procèdent les escros

• Vendeurs malhonnêtes
• Logiciels espions
• Mails trompeurs
Autres risques
Autres risques
 Evolution de l’informatique et problèmes de sécurité
19e siècle: Algèbre booléenne (Boole, 1847), Mécanographie

1980/1990: Micro-ordinateurs, Serveurs, BDDR, Systèmes experts …

Disponibilité, pannes
1990/2000: Commerce électronique, Systèmes informatisés, Internet
bugs, Virus, Spams, Vers, …

2000/2019: Applications distribuées, Cloud, E-commerce,

réseaux sociaux, logiciel libre …
DDOS, Botnets, ransomwares, …
o Au début: bons bots.
ex : google bot, game bot etc.
o Plus tard, personnes malveillantes ont
Botnets
crée des bots malveillants:
o Distributed Denial of Service (DDoS) attacks
o Envois de Spams
o Phishing (fake websites)
o Addware (Trojan horse)
o Spyware (keylogging, information harvesting)
o Storing pirated materials

o Des bots malveillants ont été créés:

o SDBot/Agobot/Phatbot

Un botnet est un groupe d'ordinateurs ou de dispositifs sous le contrôle

d'un attaquant, utilisé pour mener des activités malveillantes contre une
victime ciblée.
Mécanisme de Detection
• Host Based

• Intrusion Detection Systems (IDS)

• Anomaly Detection

• IRC Nicknames

• HoneyPot and HoneyNet

 Evolution de l’informatique et problèmes de sécurité
19e siècle: Algèbre booléenne (Boole, 1847), Mécanographie

1980/1990: Micro-ordinateurs, Serveurs, BDDR, Systèmes experts …

Disponibilité, pannes
1990/2000: Commerce électronique, Systèmes informatisés, Internet
bugs, Virus, Spams, Vers, …
2000/2019: Applications distribuées, Cloud, E-commerce,
réseaux sociaux, logiciel libre …
DDOS, Botnets, ransomwares, …

2019/AUJOURDUIT : Cognitive computing , l'informatique quantique, etc

beaucoup de problèmes
Démarche pour sécuriser
Analyse de la
Analyse de risques Politique de sécurité
situation

Mesures de sécurité

Implémentation
 identifier le contexte du
système à sécuriser validation
 Démarche pour sécuriser
Analyse de la
Analyse de risques Politique de sécurité
situation

Mesures de sécurité

Implémentation
Risque = Menace x Vulnérabilité x Actif
validation
Démarche pour sécuriser
Analyse de la
Analyse de risques Politique de sécurité
situation

Mesures de sécurité

• décrire de quelle manière le Implémentation

risque global sera diminué

validation
Démarche pour sécuriser
Analyse de la
Analyse de risques Politique de sécurité
situation

Mesures de sécurité
Mesures techniques
Implémentation
FireWall, Antivirus, IDS, ..

validation

Mesures organisationnelles

procédure de secours, nomination responsable sécurité, …

 Démarche pour sécuriser
Analyse de la
Analyse de risques Politique de sécurité
situation

Mesures de sécurité

• Installation et implémentation des Implémentation

différentes mesures
validation
Démarche pour sécuriser
Analyse de la
Analyse de risques Politique de sécurité
situation

Mesures de sécurité

Implémentation

• Exemples
Audits, scans de vulnérabilité, tests
validation

d’intrusion, etc…)
Piliers de sécurité
 Confidentialité Intégrité

Traçabilité Authentification

Sécurité informatique

Non-
Disponibilité
répudiation
 Confidentialité

– Est-ce qu’un autre nous écoute –

Elle consiste à assurer que seules les personnes

autorisées aient accès aux ressources échangées.
 Confidentialité Intégrité

Traçabilité Authentification

Sécurité informatique

Non-
Disponibilité
répudiation
 Intégrité

– Le contenu est il intact ?

c'est-à-dire garantir que les données sont bien

celles que l'on croit être.
 Confidentialité Intégrité

Traçabilité Authentification

Sécurité informatique

Non-
Disponibilité
répudiation
 Authentification

– Est-ce bien lui ? –

Elle consiste à assurer que seules les personnes

autorisées aient accès aux ressources.
 Force brute

La RFC 2828 -REQUEST FOR COMMENT -définit

Une technique de cryptanalyse ou un autre type de méthode

d'attaque impliquant une procédure exhaustive qui essaie toutes
les possibilités, une par une.
 Confidentialité Intégrité

Traçabilité Authentification

Sécurité informatique

Non-
Disponibilité
répudiation
 Non-
répudiation – Utilisateur de mauvaise foi -

Elle permet de garantir qu'une transaction

ne peut être niée.
 Confidentialité Intégrité

Traçabilité Authentification

Sécurité informatique

Non-
Disponibilité
répudiation
Accessibilité : Nous voulons des systèmes qui fonctionnent comme ils se doivent. Les
données produites doivent être accessibles aux utilisateurs légitimes.

Nous ne voulons pas dire la fiabilité et la

conformité des programmes ici. Plutôt,
qu’arrive-t-il en cas de panne de courant
pendant l’exécution d’une requête?
Disponibilité

Elle permet de maintenir le bon fonctionnement

du système d'information.
 Confidentialité Intégrité

Traçabilité Authentification

Sécurité informatique

Non-
Disponibilité
répudiation
Traçabilité

Elle garantie que les accès et tentatives d’accès aux éléments

considérés sont tracés et que ces traces sont conservées et exploitables
Classes d’attaques
 classes
d’attaques
Définition

Une attaque est une exploitation d’une faille d’un système informatique
a des fins non connues. Son but ultime est de trouver un algorithme de
déchiffrement des messages. Le plus souvent on essaye de reconstituer
la clef secrète de déchiffrement.
Attaque de l’homme du milieu

L’adversaire fait intrusion sur le canal de communication entre deux nœuds terminaux du
réseau :
Injecte des faux messages et
Intercepte l’information transmise.
Il peut être utile de distinguer deux catégories d’attaques : les attaques passives et les attaques
actives.

2 classes

Attaques passives Attaques actives

Ecouter sans modifier les données ou
le fonctionnement du réseau :
• l’analyse de trafic
• écoute des conversations
téléphonique (ou courriers
électroniques ou fichiers
transférés)
 2 classes

Attaques passives Attaques actives

- Modifier le flot de données

- Création d’un flot frauduleux
- S’introduire dans des équipements
réseau
- Perturber le fonctionnement de
réseau.
 2 classes

Attaques passives Attaques actives

mascarade
rejeu
modification
déni de service
Les risques
 Les
risques
Définition

Un risque est une prévision de perte exprimée comme la probabilité

qu'une menace particulière exploite une vulnérabilité particulière avec un
résultat nuisible particulier
 Risques
Risques accidentels matériels dysfonctionnement logiciel de base

Risques d’erreur o de saisie, de transmission

o d’exploitation
o de conception et de réalisation

Risques de o Fraude, Vol et sabotage

malveillance o Indiscrétion (espionnage industriel ou commercial..),

Accès physique coupure d’électricité, vol du disque dur, écoute du trafic, …

Interception de la Vol de session, usurpation d’identité, …

communication

Dénis de service Rendre indisponible un service ( TCP/IP , serveurs)

Les menaces
 Les
menaces
Définition

Une menace est une « Violation potentielle de la sécurité » ISO-7498-2

 Deux catégories

Les menaces Les menaces

accidentelles intentionnelles

Dommage non intentionnel envers le « SI » Elle est le fait d’un acte délibéré

 Espionnage
 bugs logiciels,
 Vol
 pannes matérielles,
 Perturbation : Affaiblir le S.I.
 Catastrophe naturelle : Incendies, Foudre, Inondations, etc...
 Sabotage : Mise hors service du S.I.
 erreur d’exploitation et défaillances "incontrôlables".
 Fraude physique (récupération de bandes, listings, ...)
 Accès illégitimes (usurpation d’identité)
 Deux catégories

Les menaces
Les menaces
accidentelles intentionnelles

Active Passive
 Les menaces intentionnelles

Active Passive

 Écoute,
 Lecture de fichiers.
 Les menaces intentionnelles

Active Passive

• Interruption = problème lié à la disponibilité des données

 Les menaces intentionnelles

Active Passive

• Interruption = problème lié à la disponibilité des données

• Interception = problème lié à la confidentialité des données
 Les menaces intentionnelles

Active Passive

• Interruption = problème lié à la disponibilité des données

• Interception = problème lié à la confidentialité des données
• Modification = problème lié à l’intégrité des données
 Les menaces intentionnelles

Active Passive

• Interruption = problème lié à la disponibilité des données

• Interception = problème lié à la confidentialité des données
• Modification = problème lié à l’intégrité des données
• Fabrication = problème lié à l’authenticité des données
 Les menaces intentionnelles

Active Passive

• Interruption = problème lié à la disponibilité des données

• Interception = problème lié à la confidentialité des données
• Modification = problème lié à l’intégrité des données
• Fabrication = problème lié à l’authenticité des données
Protection et outils de préventions
 Protections

Formation des utilisateurs

Poste de travail
l’utilisation des données d’accès (mots de passe)
Antivirus
Authentification et cryptage
Pare-feu (firewall) , filtrage et proxies
Détection d’intrusion
Communications et applications sécurisées
VPNs
Préventions

 Ne pas le noter
 Ne pas le divulguer
 Le changer régulièrement

=>