Académique Documents
Professionnel Documents
Culture Documents
Solution
System sauvegarde, mirroring, batterie, gestion des mots de passe des utilisateurs….
Authentification
L’ensemble des lois, règles et pratiques qui régissent la façon dont l’information sensible et les autres
ressources sont gérées
On ne peut pas amener le système dans un état initial sûr à un état tel qu’un objectif de sécurité soit
violé
Contrôle d’accès
(S, O, M) cellule M (s, o) contient les droits d’accès que le sujet s possède sur l’objet o.
– S désignant un ensemble de sujets – O un ensemble d’objets et – M une matrice de contrôle d’accès.
Inconvénients :
• Modèle Take-Grant
Un graphe dont les nœuds sont des sujets ou des objets, et des règles de modification de ce graphe.
– create qui permet de créer un objet et d’attribuer initialement un droit d’accès à un sujet sur cet objet ;
– remove qui permet de retirer un droit d’accès d’un sujet sur un objet ;
– take représentée par un arc étiqueté par la lettre t entre un sujet s et un sujet (ou objet) r, indique que s peut
prendre tous les droits que r possède ;
– grant un sujet s possédant un droit d’accès a sur o et le droit g, s céder à r (autre sujet) le droit a sur o
C ensemble de catégories.
cl une classification prise dans un ensemble totalement ordonnée, ex : {non classifié, confidentiel ….}
Lire h(s) >= k(o) et les catégories de O inclus dans les catégories de S
Ecrire h(s) >= k(o) et les catégories de S inclus dans les catégories de O
Les aspects de sécurité à prendre en compte lors de la mise en place des contrôles d’accès
Canal caché
Supposant permettre l’échange d’information autorisées, mais en fait permettant la fuite d’informations
sensibles ou de donner des instructions sans se faire soupçonner.
Technologies de contrôle d’accès
– SSO : Single Sign-On permet à plusieurs systèmes d’utiliser un serveur central d’authentification (AS).
Permettant aux utilisateursde s’authentifier une fois et d’avoir l’accès à différents systèmes.
• Avantages :
– Administration simplifié
• Désavantage :
– Kerberos : utilise la cryptographie symétrique et offre l’authentification mutuelle des clients et serveurs.
Dans un réseau utilisant Kerberos, on distingue plusieurs composants :
• Le client • Le domaine • Le ticket • Le serveur • Le service d’émission de ticket (TGS : ticket granting service)
• Le centre de distribution de clés (KDC : Key Distribution Center) • TGT : Ticket Granting Ticket
• Avantages :
• Inconvénients :
– Le KDC garde toutes les clés des clients et des serveurs. Une compromission du KDC compromettrait chaque
clé du domaine kerberos.
– Une attaque par rejeu peut toujours être effectué durant ladurée de vie du ticket d’authentification.
– SESAME : Secure European System for Applications in Multivendor Environment
• L’ajout le plus interessant est l’utilisation de clés publiques (asymétrique). Alors que Kerberos stocker les clés
symétriques en texte clair.
– Planification – Reconnaissance – Énumération – Évaluation des failles – Exploitation – Notification (grâce à des rapport)
• Test de vulnérabilité
Scan un réseau ou système pour une liste de vulnérabilités prédéfinis, comme une mauvaise configuration...
– Nessus – openvas
• Audits de sécurité : l’auditeur va effectuer un ensemble de tests en référence à une norme publiée.
L’auditeur vérifie que l’organisation évaluée répond aux critères de la norme.
Risques
==================================================================================
==================================================================================
Les attaques
DoS : Déni de services : attaque destinée à empêcher l’utilisation d’une machine ou d’un service.
Type de DoS :
DDoS : Distributed Denial of Services est similaire au DoS. L’attaque utilise plusieurs machines contre
une seule organisation
MITM : Man In The Middle : Lorsqu’un pirate, se place au milieu d’une communication il peut
écouter ou modifier celle-ci.
IP Spoofing : est une attaque où l’attaquant se fait passer pour quelqu’un d’autre (en spoofant
l’adresse IP de l’hôte émetteur)
DNS spoofing/poisoning : errer les serveurs DNS afin de leur faire croire qu'ils reçoivent une réponse
valide à une requête qu'ils effectuent, alors qu'elle est frauduleuse
Social engineering : l’art de manipuler les gens à effectuer des actions ou à divulguer des
informations confidentielles.
TCP Hijacking : est une technique consistant à intercepter une session TCP initiée entre deux
machines afin de la détourner
L’attaque Smurf : est une attaque par rebond où l’attaquant prend l’identité de sa cible et envoie un
paquet ICMP echo.
Backdoor : raccourci dans le système permettant à un utilisateur de passer outre (bypasser) les vérifications de
sécurité
Bot ou Zombie : un ordinateur contrôlé à l’insu de son utilisateur par un pirate informatique.
Scan de ports : est une technique permettant de chercher les ports ouverts sur une machine ou un réseau.
Phishing : faire croire à la victime qu'elle s'adresse à un tiers de confiance afin de lui soutirer des
renseignements personnels
• Malware : (malicious software) est un nom générique pour tout logiciel qui attaque une application ou
système
• Types de malware
– Exploits zero-day sont des codes malicieux où il n’existe pas de patch distribué par les constructeurs.
– Virus : un virus est un malware qui ne se diffuse pas automatiquement, ils ont besoins d’un hôte
– Vers : qui se propage indépendamment de tout hôte. Les vers peuvent causer des dommages de deux
manières différentes : le code malicieux qu’ils transportent, la perte de disponibilité du réseau
– Spyware : les spywares sont des programmes qui monitorent l’activité de l’utilisateur et répondent en
lançant des pop-ups, collectent des informations sur les utilisateurs ou interceptent des données personnelles
– Cheval de troie (trojan) : un malware qui effectue deux fonctions : une bénigne (ex : jeu), une maligne
– Rootkit : le rootkit est un malware qui remplace des portions du kernels et/ou système d’exploitation
– Bombe logique : est un programme malicieux qui est lancé lorsqu’une condition logique devient vrai
• Antivirus :
– Permet de se prémunir, détecter et supprimer les virus et de manières plus larges les malwares
– Différentes méthodes d’authentification :
– Plusieurs types d’IPS : permet de prévenir les intrusions en bloquant les intrusions
• Anti-spam : est un système permettant de filtrer les mails considérés comme spam.
• Hacker : spécialiste dans la maîtrise de la sécurité informatique et donc des moyens de déjouer cette sécurité
• Black hat et white hat: les black hat sont des hackers qui s’emploie à utiliser leurs connaissances dans un
cadre illégal. Les whitehat sont des personnes effectuant des tests d'intrusions en accord avec leurs clients afin
de qualifier le niveau de sécurité de systèmes.
• Grey hat : est un hacker qui exploite une vulnérabilité afin de porter à l’attention du propriétaire
• Outsider : des attaquants sans accès privilégié autorisé au système cherchent à obtenir un accès non
autorisé.
• Insider : lancé par un utilisateur interne qui peut avoir l’autorisation d’utiliser le système qu’il attaque.
L’attaque peut être intentionnelle ou accidentelle.
• Hacktivist : agissant afin de défendre une cause, ils n'hésitent pas à transgresser la loi pour attaquer des
organisations afin de les paralyser ou d'obtenir des informations.
• Script kiddie : sans grande compétence, ceux-ci piratent surtout par désir de se faire remarquer, en utilisant
programmes codés par d'autres.
Périphérique réseau
Reçoit les bits et ne fait que les renvoyer directement sans en comprendre les protocoles au-dessus.
Ponts couche 2
Les tap permettent de mettre sur écoute le trafic réseau et voir tous les flux dans un réseau.
Routeurs couche 3
Routeurs filtrants
Pare-feu :
Une connectée à un réseau de confiance et l’autre à un réseau non sûr (ex : inte
DMZ
Sont des systèmes conçus pour attirer les attaquants. But de faire croire à un attaquant qu’il peut prendre le
contrôle d’une
Honeypot à faible interaction : but est de recueillir un maximum d’informations tout en limitant les
risques en offrant un minimum de privilèges aux attaquants.
Honeypot à forte interaction : il repose sur le principe de l’accès à de véritables services sur une
machine du réseau plus ou moins sécurisée.
VPN : Virtual Private Network sécurise les données envoyées à travers un réseau non sûr
Protocoles de tunnelisation :
– Ipsec (couche 3)
– SSL et TLS : pour protéger les données HTTP, HTTPs utilise le port 443.
– Real-time Transport Protocol est le protocole basé sur UDP/IP qui permet de transporter la voix sur IP.
– SRTP (Secure RTP) : peut être utilisé pour fournir une sécurité au VoIP, incluant confidentialité (en utilisant
utilisant AES), intégrité et authentification des message (HMAC-SHA-1).
– Cryptologie
Une science mathématique qui permet d’étudier les principes, méthodes liées à la sécurité de l’information
sous toutes ses formes, elle comporte deux branches : la cryptographie et la cryptanalyse.
– Cryptographie
– Les clés symétriques : Clés utilisées pour le chiffrement ainsi que pour le déchiffrement
– Les clés asymétriques: Une clé différente est utilisée pour le chiffrement et pour le déchiffrement
• Cryptanalyse :
– Attaque sur texte chiffré seulement : à partir d'un ou plusieurs textes chiffrés
– Attaque sur texte clair connu : à partir d'un ou plusieurs textes chiffrés, connaissant le texte en clair
correspondant
– Attaque sur texte clair choisi : choisir des textes en clair à chiffrer
– Attaque sur texte chiffré choisi : choisir des textes chiffrés pour lesquels il connaîtra le texte en clair
correspondant
Crypto-système (CS)
ACL
L'ACL standard filtre uniquement sur les adresses IP sources. Elle est de la forme:
L'ACL étendue filtre sur les adresses source et destination, sur le protocole et le numéro de port.
access-list num {deny|permit} protocole source masque-source [operateur [port]] destination masque-
destination [operateur [port]] [established][log]
operateur : eq : égal, neq : différent, gt : plus grand que, lt : moins grand que
M1 00 00 00 10 le bite qui change on le met 0 et les autres bits à 1, les bits de la partie réseaux a 0
00000000.00000000.00000000.11111110
Web port 80
DNS port 53
Email port 25
access-list 100 permit tcp any eq 25 host 200.1.1.12 established (apes connexion)
Ftp port 21 et 20
Par décalage
On peut trouver 26 clés (k) et comme le nombre 0 ne décale rien donc il reste que 25 clés
Chiffrement linéaire
Z=26 (alphabet)
--- si a et z ne sont pas premier entre eux donc le clé n’est pas valide
Exemple
45 mod 26 =19
----Pour savoir le nombre des chiffres premiers avec Z Q(Z) ( le nombre de clés a)
Z=26 26 / 2 = 13 / 13 = 1
Exemple 2 Z=60 60 / 2 = 30 / 2 = 15 / 3 = 5 / 5 = 1
26=x
1003=x
11 = 26 - 15*1 = y - ( x – 38y ) = 39 y – x
4 = 15 – 11*1 = x – 38 y - ( 39 y – x ) = 2x – 77y
Donc 7x donne 1003-¹ = 7 mod 26 -270 y donne 26-¹ = -270 mod 1003 = 733 mod 1003
Chiffrement de Vigenère
Choisir mot de M taille + diviser le text en blocs de M taille + faire addition et modulo Z
On a 26 puis(M) le nombre de clés possibles , exemple M=5 donc 26⁵ clés possibles
Exemple
A Y M E N | T I G U I a : 0 …… z :25
0 24 12 4 13 | 19 8 6 20 8
U S T H B | U S T H B
20 18 19 7 1 | 20 18 19 7 1
20 42(16) 5 11 14 13 0 25 1 9
V Q F L O N A Z B J
42mod26=16
Chiffrement de Hill
Pour chiffrement Exemple de M=2 text =(ayment) donc bloc 1=ay bloc 2 = me bloc 3 = nt
𝐴1 𝐴2
on utilise K | | on divise le text on M blocs pour chaque blocs ( x₁,x₂ )*k
𝐵1 𝐵2
Déchiffrement = ( x₁,x₂ )*k-¹ avec k* k-¹= matrice inversible sur 26 ( tous les composantes sont nul sauf la
diagonal=1)
1 2 3 4 5
π= | | usthb devient btush ( ‘b’ en position 5 devient en position 1…. )
5 3 1 2 4
Cryptographie symétrique
2-1 CBC
2-2 OFB
2-3 CFB
Un bits a la fois (1 bit text claire XOR 1 bit clé ) taille clé = taille text clair (elle est rapide et facile)
DES (fonction chiffrement = fonction dechiff) rapide facile use small cle
IDEA international
Cryptographie asymétrique
Sécurité repose sur le choix des nombre premiers et la taille de l’exposant secrète et le choix de générateur
1. User 1 Choisir un nombre premier N, et deux nombres aléatoires ‘α ′et ‘a’ les deux inférieur à ‘N’
2. β=α 𝑎 mod n , clé public (β, α, N) clé prive ‘a’
Chiffrement
User 2 : Texte chiffré on envoi y1= α 𝑥 mod N , y2= β𝑥 *m1 mod N , y3= β𝑥 *m2 mod N , ….. (m est texte
clair car on le devise le text on bloc sa valeur < n )
User 1 Déchiffrement x1=y1𝑛−1−𝑎 après déchiffrer les messages x2= y2*x1 mod n, x3= y3*x1 mod n,……
msg chiffrés plus long que text clair
Hachage
Entre chaine de taille quelconque => résultat de taille fixe comprise 128 bits et 512 bits
H(M)=h
Etant donné M il est difficile de trouver (M’) tel que H(M’)= H(M)
Facile à implémenter
MD5
128 bits, utilise 4 variables ( A, B ,C, D ) de 32 bits, la fonction de compression a 4 étapes (en utilisant XOR ET
OU NOTATION)
SHA
160bits 5 modes de 32bits Based on MD4 , appliquer les operations élémentaires sur 32bits comme MD5
SHA-1
Au lieu de traiter chaque bloc quatre fois SHA-1 emploi une récurrence linéaire pour étirer les 16 mots d’un
bloc d’un message pour obtenir les 80 mots dont elle a besoin
Ses problemes 1- taille du résultat + 2- l’attaquant peut trouver des collisions a partir d’un certain nombre
d’operation
Ses caractéristiques
but est d’authentifier l’identité de l’auteur d’un message et donne en générale une preuve de l’intégrité du msg
L’arbitre n’existe pas, rapide par rapport protocole 1 , tt le monde a la clé publique peut voir le msg,
- A calcule le condensat de son document et le signe à l’aide de sa clé privée puis envoi le
document et le condensat à b
Signature RSA
Ensemble de composants physiques de procédures humaines et de logiciel en vue de gérer le cycle de vie des
certificats électronique
Les composants
Autorité d’enregistrement AE ou RA créer les certificats et effectue les vérifications d’usage sur l’identité d’un
user final
Autorité de déport stocke les certificas numérique ainsi les listes de révocation
Autorité de séquestre Key Escrow (optionnel) stocke de façon sécurisée les clés de chiff crée par l’autorité 2
pour pouvoir les restaurer
Moi je envoi à RA mon identité il va vérifier qui c’est moi est créé un certificat il l’envoi a CA qui va signe cette
dernière et l’envoi à moi
Quand je veux acheter en ligne, j’utilise mon certificat pour dire que c’est moi, puis la boutique elle vérifie la
validité la boutique va accepter mon achat
Certificats de signature utilisé pour signer des documents ou s’authentifier sur un site web
Certificat de chiffrements