Académique Documents
Professionnel Documents
Culture Documents
Cryptographie
et
sécurité informatique
salima.sabri@univ-bejaia.dz
Concepts généraux sur la sécurité
informatique
INTRODUCTION
La sécurité de l’information était assurée par des moyens physiques ou administratifs :
classeurs fermés par un cadenas
Examen systématique des candidats au cours de leur recrutement.
Assurer des mesures de sécurité des réseaux pour protéger les données durant leur
transmission:
transporter des données entre un terminal utilisateur et un ordinateur,
et entre ordinateurs.
Protéger l’information,
Les systèmes qui la traitent,
Et les réseaux qui la transportent ?
Politiques de sécurités
Définition
Le ver Blaster -2003- avait pour but de lancer une attaque par déni de
service sur le serveur de mises à jour de Microsoft.
Porte dérobée
Une porte dérobée (ou backdoor en anglais) est un moyen de contourner les mécanismes de
contrôle d’accès. Il s’agit d’une faille du système de sécurité due à une faute de conception
accidentelle ou intentionnelle. C’est donc une fonctionnalité inconnue de l’utilisateur légitime qui
donne un accès secret au logiciel.
Exemple
Une porte dérobée a été découverte dans le SGBD interbase de Borland au début des années 2000:
Exemple
Autres exemples
Spamming message non sollicités
Les cookies
Evolution de l’informatique et problèmes de sécurité
19e siècle: Algèbre booléenne (Boole, 1847), Mécanographie
criminalité et manoeuvres
politiques se déroulent de plus en
Les affaires se traitent plus en ligne …
de plus en plus en ligne …
… donc de plus en plus d’argent et
de pouvoir passent par Internet
• Anomaly Detection
• IRC Nicknames
Mesures de sécurité
Implémentation
identifier le contexte du
système à sécuriser validation
Démarche pour sécuriser
Analyse de la
Analyse de risques Politique de sécurité
situation
Mesures de sécurité
Implémentation
Risque = Menace x Vulnérabilité x Actif
validation
Démarche pour sécuriser
Analyse de la
Analyse de risques Politique de sécurité
situation
Mesures de sécurité
Mesures de sécurité
Mesures techniques
Implémentation
FireWall, Antivirus, IDS, ..
validation
Mesures organisationnelles
Mesures de sécurité
différentes mesures
validation
Démarche pour sécuriser
Analyse de la
Analyse de risques Politique de sécurité
situation
Mesures de sécurité
Implémentation
• Exemples
Audits, scans de vulnérabilité, tests
validation
d’intrusion, etc…)
Piliers de sécurité
Confidentialité Intégrité
Traçabilité Authentification
Sécurité informatique
Non-
Disponibilité
répudiation
Confidentialité
Traçabilité Authentification
Sécurité informatique
Non-
Disponibilité
répudiation
Intégrité
Traçabilité Authentification
Sécurité informatique
Non-
Disponibilité
répudiation
Authentification
Traçabilité Authentification
Sécurité informatique
Non-
Disponibilité
répudiation
Non-
répudiation – Utilisateur de mauvaise foi -
Traçabilité Authentification
Sécurité informatique
Non-
Disponibilité
répudiation
Accessibilité : Nous voulons des systèmes qui fonctionnent comme ils se doivent. Les
données produites doivent être accessibles aux utilisateurs légitimes.
Traçabilité Authentification
Sécurité informatique
Non-
Disponibilité
répudiation
Traçabilité
Une attaque est une exploitation d’une faille d’un système informatique
a des fins non connues. Son but ultime est de trouver un algorithme de
déchiffrement des messages. Le plus souvent on essaye de reconstituer
la clef secrète de déchiffrement.
Attaque de l’homme du milieu
L’adversaire fait intrusion sur le canal de communication entre deux nœuds terminaux du
réseau :
Injecte des faux messages et
Intercepte l’information transmise.
Il peut être utile de distinguer deux catégories d’attaques : les attaques passives et les attaques
actives.
2 classes
mascarade
rejeu
modification
déni de service
Les risques
Les
risques
Définition
Dommage non intentionnel envers le « SI » Elle est le fait d’un acte délibéré
Espionnage
bugs logiciels,
Vol
pannes matérielles,
Perturbation : Affaiblir le S.I.
Catastrophe naturelle : Incendies, Foudre, Inondations, etc...
Sabotage : Mise hors service du S.I.
erreur d’exploitation et défaillances "incontrôlables".
Fraude physique (récupération de bandes, listings, ...)
Accès illégitimes (usurpation d’identité)
Deux catégories
Les menaces
Les menaces
accidentelles intentionnelles
Active Passive
Les menaces intentionnelles
Active Passive
Écoute,
Lecture de fichiers.
Les menaces intentionnelles
Active Passive
Active Passive
Active Passive
Active Passive
Active Passive
Ne pas le noter
Ne pas le divulguer
Le changer régulièrement
=>