5-Protocoles Et Certificats de Sécurité

PLAN
1 INTRODUCTION
2 MENACES ET ATTAQUES INFORMATIQUE
3 SYSTÈMES ET OUTILS DE PROTECTIONS
4 ADMINISTRATION D’ACCÈS AUX DONNÉES
5 PROTOCOLES ET CERTIFICATS DE SÉCURITÉ
6 CRYPTOGRAPHIE
7 BIOMÉTRIE
© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

129
PROTOCOLES ET CERTIFICATS DE SÉCURITÉ
PROTOCOLE TCP/IP
La communication par Internet permet des échanges d’informations sous des formats
différents (textes, sons, vidéos, images) au travers d’outils spécifiques.
Toutes les communications Internet utilisent le protocole de transmission TCP/IP

(Transmission Control Protocol/Internet Protocol).
Le TCP/IP permet d'envoyer des informations d'un ordinateur à un autre au travers

d'une grande variété d'ordinateurs intermédiaires et de réseaux distincts avant
qu'elles atteignent leurs destinations.
TCP/IP
Internet

130
PROTOCOLE TCP/IP
Le fait que TCP/IP permettent aux informations de transiter par de nombreux
ordinateurs intermédiaires rend possible à une tierce-partie d'interférer avec les
communications des façons suivantes :
Ecoute clandestine
Altération de données
Usurpation d’identité

131
PROTOCOLES SÉCURISÉS
Pour faire face à ce genre de problèmes, il a été nécessaire de créer un ensemble de
mécanismes pour assurer les 4 fonctions de sécurité sur les documents et les
nouveaux modes de communication électroniques.
Ceux-ci peuvent reposer sur les protocoles sécurisés :
 Protocole SSL/TLS
 Protocole IPsec
 Protocole SSH
 Protocoles sécurisés WiFi : WEP, WPA et WPA2 WAP3
Protocoles
sécurisés Internet

132
PROTOCOLE SSL/TLS
SSL (Secure Socket Layer) est un protocole qui a été conçu par Netscape pour sécuriser
les transactions commerciales sur son navigateur Netscape Navigator 1.1 en
remplaçant HTTP par HTTPS (avec s pour secure).
 Différentes versions de SSL ont été implémentées entre 1994 et 1995 (SSLv3).
 Internet Engineering Task Force (IETF) a mis en place un groupe de travail

Transport Layer Security (TLS) pour standardiser les protocoles du type SSL
(publié en janvier 1999).
SSL/TLS
Internet

133
PROTOCOLE SSL/TLS
La sécurisation des connexions à l'aide du protocole SSL doit assurer :
Authentification : l'identité des correspondants peut être authentifiée.
Confidentialité : la connexion assure la confidentialité des données

transmises.
Intégrité : la connexion assure que les données transmises sont intègres.
Disponibilité : la connexion est fiable.

134
PROTOCOLE SSL/TLS
SSL/TLS est un protocole qui prend place entre le protocole de la couche de transport
et la couche application.
SSL peut être vu comme un canal sûr au sein de TCP/IP, où tout le trafic entre deux
applications « Peer to Peer » est échangé de manière cryptée.
APPLICATION
HTTP SSL/TLS
TRANSPORT SSL/TLS
TCP
INTERNET
IP
ACCÈS RÉSEAU

135
PROTOCOLE SSL/TLS
Principales fonctions
Authentification du serveur : permet à un utilisateur d'avoir une

confirmation de l'identité du serveur (méthodes de chiffrement à clés
publiques qu'utilise SSL).
Authentification du client : Selon les mêmes modalités que pour le serveur, il

s'agit de s'assurer que le client est bien celui qu'il prétend être.
Chiffrement des données : Toutes les données qui transitent entre

l'émetteur et le destinataire sont chiffrées par l'émetteur et déchiffrées par
le destinataire, ce qui permet de garantir la confidentialité et l’intégrité des
données.

136
PROTOCOLE SSL/TLS
Principe de fonctionnement
SSL est un protocole qui utilise différents algorithmes de cryptographie afin de

garantir la sécurité en utilisant :
Authentification avec des certificats
Sessions d'échanges des clés d'algorithmes
Cryptage
Vérification de l'intégrité des données

137
PROTOCOLE SSL/TLS
Composition
Le protocole sécurisée SSL se subdivise en quatre sous protocoles:
Le protocole SSL record définit le format qui sera

SSL Record
utilisé pour l'échange des données. Ce protocole
permet de garantir :
SSL Handshake
 La confidentialité des données transmises
SSL Change Cipher Spec  L'intégrité des données transmises
SSL Alert

138
PROTOCOLE SSL/TLS
Composition
Le protocole SSL handshake se charge des différents

SSL Record
échanges de messages entre le client et le serveur, au
moment où ils établissent la connexion comme
SSL Handshake
l’authentification, la version de protocole, l’algorithme
de cryptage, etc.
SSL Change Cipher Spec
SSL Alert

139
PROTOCOLE SSL/TLS
Composition
Il est utilisé en premier lieu par le client puis par le

SSL Record
serveur pour annoncer leurs activations de la session
pour démarrer les échanges de données d’une
SSL Handshake
manière cryptée.
SSL Alert

140
PROTOCOLE SSL/TLS
Composition
Ce protocole spécifie les messages d'erreurs que

SSL Record
peuvent s'envoyer entre clients et serveurs.
SSL Handshake
SSL Alert

141
PROTOCOLE SSL/TLS
SSL Handshake Protocol
Ce protocole permet au client et au serveur de s'authentifier mutuellement en

négociant :
 Algorithmes de chiffrement
 Algorithmes de MAC (Message Authentication Code)
 Clés symétriques qui vont servir au chiffrement
Chaque message échangé entre le client et le serveur contient trois champs :
Type Longueur Contenu
Objet du message Longueur du Données transmises

(1 octet) message (3 octets) (plus d'un octet)

142
NÉGOCIATION SSL/TLS
Une négociation SSL standard peut être réalisée à travers les phases suivantes :
1 « ClientHello » Un message de type ClientHello qui contient :

 Version de SSL/TLS du client.
« ServerHello » 2
 Valeur aléatoire utilisée pour la dérivation
des clés.
«Certificate » 3
 Liste des suites cryptographiques que
supporte le client.
« ServerKeyExchange » 4
 Nombre qui identifie la connexion
« ServerHelloDone » 5  Différentes extensions TLS supportées par
le client.
6 « ClientKeyExchange »
Client Serveur
7 « ChangeCipherSpec »
8 « Finished »
« ChangeCipherSpec » 9
« Finished » 10

143
1 « ClientHello » Un message de type ServerHello qui contient :

 Version de SSL/TLS du serveur
« ServerHello » 2
 Valeur aléatoire
«Certificate » 3  Identifiant de la session qui débute définie
par le serveur
« ServerKeyExchange » 4  Première suite cryptographique que
connaît le serveur dans la liste transmise
« ServerHelloDone » 5
par le client.
 Différentes extensions TLS supportées par
6 « ClientKeyExchange » le serveur.
Client Serveur
8 « Finished »
« Finished » 10

144
1 « ClientHello » Le serveur envoie son certificat qui contient

des informations sur sa clé publique.
« ServerHello » 2
«Certificate » 3
Client Serveur
8 « Finished »
« Finished » 10

145
1 « ClientHello » Le serveur transmet dans un message

ServerKeyExchange un paramètre d’échange
« ServerHello » 2
éphémère qu’il signe à l’aide de sa clé privée.
«Certificate » 3
Client Serveur
8 « Finished »
« Finished » 10

146
1 « ClientHello » ServerHelloDone: le serveur indique qu’il

attend une réponse du client
« ServerHello » 2
«Certificate » 3
Client Serveur
8 « Finished »
« Finished » 10

147
1 « ClientHello » Après vérification du certificat du serveur et

de la valeur précédente, le client génère de
« ServerHello » 2
son côté une valeur éphémère qui servira à
«Certificate » 3 produire les clés utilisées par la suite.
« ServerHelloDone » 5 À l’aide de ce secret partagé, le serveur et le

client génèrent quatre clés pour la session qui
Client Serveur ne sont pas échangées.
8 « Finished »
« Finished » 10

148
1 « ClientHello » Le client signale l’adoption de la suite

négociée avec le serveur.
« ServerHello » 2
«Certificate » 3
Client Serveur
8 « Finished »
« Finished » 10

149
1 « ClientHello » Les paramètres cryptographiques et de

sécurité ont été bien pris en compte. Ce
« ServerHello » 2
message est chiffré et signé avec les clés
«Certificate » 3 calculées précédemment.
Client Serveur
8 « Finished »
« Finished » 10

150
1 « ClientHello » Le serveur signale l’adoption de la suite

négociée avec le client.
« ServerHello » 2
«Certificate » 3
Client Serveur
8 « Finished »
« Finished » 10

151
1 « ClientHello » Les paramètres cryptographiques et de

sécurité ont été bien pris en compte. Ce
« ServerHello » 2
message est chiffré et signé avec les clés
«Certificate » 3 calculées précédemment.
Client Serveur
8 « Finished »
« Finished » 10

152
PROTOCOLE IPSEC
Faiblesse d’IP
Le protocole IP est le principal protocole d’interconnexion des machines

informatiques. Les spécifications d’IP étaient axées essentiellement sur la robustesse
et non sur la sécurité.
Le protocole IP est sujet à de nombreux problèmes de sécurité comme par exemple :
Ecoute des paquets : il est possible d’accéder aux paquets IP pour connaître
toutes les informations échangées entre ces deux machines.
Usurpation d’adresse : Une machine pirate peut émettre des paquets IP

ayant comme source l’adresse d’une autre machine, le paquet arrivera bien à
destination et le destinataire ne pourra pas identifier la véritable source.

153
PROTOCOLE IPSEC
IPsec (Internet Protocol Security) est une suite de protocoles qui est proposé afin
d’assurer la sécurité des communications Internet à la couche IP.
Le protocole IPsec a pour objectifs d'authentifier et de chiffrer les données :
 Le flux ne pourra être compréhensible que par le destinataire final

(confidentialité)
 La modification des données par des intermédiaires ne pourra être possible

(Intégrité).
IPsec est souvent un composant de un réseau privé virtuel (VPN).
IPsec
Internet

154
PROTOCOLE IPSEC
Le protocole IPsec opère sur la couche réseau du modèle OSI ou Internet du modèle
TCP/IP, ce qui le rend indépendant des applications.
APPLICATION
HTTP
TRANSPORT
TCP
INTERNET
IPSEC IP
IPsec ACCÈS RÉSEAU

155
PROTOCOLE IPSEC
Le protocole IPsec a pour objectifs d'authentifier et de chiffrer les données :
 Le flux ne pourra être compréhensible que par le destinataire final

(confidentialité)
 La modification des données par des intermédiaires ne pourra être possible

(Intégrité).
IPsec est souvent un composant de un réseau privé virtuel (VPN).
IPsec
Internet

156
PROTOCOLE IPSEC
Le protocole IPsec fait appel à deux mécanismes de sécurité pour le trafic IP :
Authentication Header (AH) : est conçu pour assurer l’intégrité et

AH
l’authentification des datagrammes IP sans chiffrement des données (Ajout
d’un champ supplémentaire permettant de vérifier l’authenticité des
données).
Encapsulating Security Payload (ESP) : a pour rôle premier d’assurer la

ESP
confidentialité, mais peut aussi assurer l’authenticité des données en
générant un nouveau datagramme dans lequel les données et
éventuellement l’en-tête original sont chiffrés.

157
PROTOCOLE IPSEC
L’IPsec se base sur les quatre composantes suivantes :
 Association de sécurité (Security Association, SA)

 Indice des paramètres de sécurité (Security Parameter Index, SPI)
 Base de données de l'association de sécurité (Security Association Database, SAD)
 Base de données sur les politiques de sécurité (Security Policy Database, SPD)
Un accord à sens unique (entrant ou sortant) entre deux

pairs communicants qui spécifient les protections IPsec à
SA1
fournir à leurs communications. Cela inclut les protections
SA1
de sécurité spécifiques, les algorithmes cryptographiques et
les clés secrètes à appliquer, ainsi que les types spécifiques
SA2
de trafic à protéger.

158
PROTOCOLE IPSEC

Une valeur qui, conjointement avec l'adresse de destination

et le protocole de sécurité (AH ou ESP), identifie de manière SA1
unique une seule SA.
SA2

159
PROTOCOLE IPSEC

Elle contient tous les paramètres relatifs à chaque SA et sera

consultée pour savoir comment traiter chaque paquet reçu SAD
ou à émettre.
SA1
SA2

160
PROTOCOLE IPSEC

Une base de données ordonnée qui exprime les protections

de sécurité pour les différents types et classes de trafic. Les SPD
trois classes générales de trafic sont
SA1
 Trafic à rejeter,
 Trafic autorisé sans protection IPsec SA2
 Trafic nécessitant une protection IPsec.

161
PROTOCOLE IPSEC
Modes de fonctionnement
Le protocole IPSec utilise deux modes :
 Mode transport
Dans le mode transport, ce sont uniquement les données transférées
 Mode tunnel
qui sont chiffrées et/ou authentifiées.
Le reste du paquet IP est inchangé et de ce fait le routage des paquets

n'est pas modifié.
Le mode transport est utilisé pour les communications dites hôte à

hôte.
Mode transport
Internet

162
PROTOCOLE IPSEC
Avec le mode transport, l'en-tête AH ou ESP est inséré
Le protocole IPSec utilise deux modes : après l'en-tête IP, mais avant tous les en-têtes de
 Mode transport protocole de couche transport ou tous les autres en-

têtes de protocole Ipsec.
 Mode tunnel
Authentification scope
IP AH TCP
AH Data
Header Header Header
IP ESP TCP ESP ESP

ESP Header Header Header
Data
Tail Auth
Encryption scope
ESP Authentification scope
IP AH ESP TCP ESP ESP

AH-ESP Header Header Header Header
Data
Tail Auth
ESP Encryption scope

AH Authentification scope

163
PROTOCOLE IPSEC
Le protocole IPSec utilise deux modes :
 Mode transport
En mode tunnel, c'est la totalité du paquet IP qui est chiffré et/ou
 Mode tunnel
authentifié.
Le paquet est ensuite encapsulé dans un nouveau paquet IP avec un

nouvel en-tête IP.
Le mode tunnel est utilisé pour créer des réseaux privés virtuels (VPN)
Mode tunnel
Internet

164
PROTOCOLE IPSEC
Modes de fonctionnement Le paquet IP d'origine est encapsulé dans un nouveau
Le protocole IPSec utilise deux modes : paquet IP et un en-tête IPSec (AH ou ESP) est inséré
entre l'ancien et le nouveau en-têtes.
 Mode transport
L'adresse IP d'origine est protégée par IPSec dans le
 Mode tunnel
cadre de la charge utile.
AH New IP AH IP TCP
Data
Header Header Header Header
New IP ESP IP TCP ESP ESP

ESP Header Header Header Header
Data
Tail Auth
Encryption scope
ESP Authentification scope
New IP AH ESP IP TCP ESP ESP

AH-ESP Header Header Header Header Header
Data
Tail Auth
ESP Encryption scope
AU Authentification scope

165
PROTOCOLE IPSEC
Gestion des clès et des SA
Le protocoloe IKE (Internet Key Exchange) qui se charge de la négociation et de la mise

en place des SA pour établir une communication sécurisée.
 Il inclut les clés cryptographiques utilisées pour coder les informations

d'authentification et effectuer le cryptage de la charge utile.
 IKE fonctionne en permettant aux périphériques compatibles IPSec d'échanger

des associations de sécurité (SA), de remplir leurs bases de données
d'association de sécurité (SAD).
SAD SAD
SA1
SA2

166

5-Protocoles Et Certificats de Sécurité

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

5-Protocoles Et Certificats de Sécurité

Transféré par

Droits d'auteur :

Formats disponibles

PLAN

2 MENACES ET ATTAQUES INFORMATIQUE

3 SYSTÈMES ET OUTILS DE PROTECTIONS

4 ADMINISTRATION D’ACCÈS AUX DONNÉES

5 PROTOCOLES ET CERTIFICATS DE SÉCURITÉ

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

Toutes les communications Internet utilisent le protocole de transmission TCP/IP

Le TCP/IP permet d'envoyer des informations d'un ordinateur à un autre au travers

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

Ceux-ci peuvent reposer sur les protocoles sécurisés :

 Protocoles sécurisés WiFi : WEP, WPA et WPA2 WAP3

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

 Internet Engineering Task Force (IETF) a mis en place un groupe de travail

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

Authentification : l'identité des correspondants peut être authentifiée.

Confidentialité : la connexion assure la confidentialité des données

Intégrité : la connexion assure que les données transmises sont intègres.

Disponibilité : la connexion est fiable.

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

Authentification du serveur : permet à un utilisateur d'avoir une

Authentification du client : Selon les mêmes modalités que pour le serveur, il

Chiffrement des données : Toutes les données qui transitent entre

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

SSL est un protocole qui utilise différents algorithmes de cryptographie afin de

Authentification avec des certificats

Sessions d'échanges des clés d'algorithmes

Vérification de l'intégrité des données

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

Le protocole sécurisée SSL se subdivise en quatre sous protocoles:

Le protocole SSL record définit le format qui sera

SSL Change Cipher Spec  L'intégrité des données transmises

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

Le protocole sécurisée SSL se subdivise en quatre sous protocoles:

Le protocole SSL handshake se charge des différents

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

Le protocole sécurisée SSL se subdivise en quatre sous protocoles:

Il est utilisé en premier lieu par le client puis par le

SSL Change Cipher Spec

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

Le protocole sécurisée SSL se subdivise en quatre sous protocoles:

Ce protocole spécifie les messages d'erreurs que

SSL Change Cipher Spec

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

Ce protocole permet au client et au serveur de s'authentifier mutuellement en

 Algorithmes de MAC (Message Authentication Code)

 Clés symétriques qui vont servir au chiffrement

Chaque message échangé entre le client et le serveur contient trois champs :

Type Longueur Contenu

Objet du message Longueur du Données transmises

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

1 « ClientHello » Un message de type ClientHello qui contient :

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

1 « ClientHello » Un message de type ServerHello qui contient :

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

1 « ClientHello » Le serveur envoie son certificat qui contient

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

1 « ClientHello » Le serveur transmet dans un message

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

1 « ClientHello » ServerHelloDone: le serveur indique qu’il

© C. KHAMMASSI – 3BI-EB-BIS, FSJEGJ SÉCURITÉ INFORMATIQUE

1 « ClientHello » Après vérification du certificat du serveur et