SECURITE AVEC SSL

Titre : Le protocole SSL et les certificats SSL : Fondements de la

sécurité des communications sur les réseaux
PLAN:

 I. Vue d'ensemble du protocole SSL

 1.1 Définition du protocole SSL et son évolution vers TLS (Transport Layer Security)
 1.2 Objectifs et principes de base du protocole SSL
 1.3 Fonctionnement du protocole SSL : Handshake, chiffrement des données et
authentification

 II. Rôle des certificats SSL

 2.1 Comprendre les certificats SSL et leur structure
 2.2 Autorités de certification (CA) : Rôle et hiérarchie des certificats
 2.3 Processus de génération et de validation des certificats SSL
 2.4 Certificats auto-signés vs certificats émis par une autorité de certification
Suite du plan
 III. Utilisation pratique du protocole SSL et des certificats SSL
 3.1 Sécurisation des sites Web avec SSL/TLS : HTTPS
 3.2 Configuration d'un serveur SSL : Choix des protocoles et des algorithmes
cryptographiques
 3.3 Vérification de l'authenticité des certificats SSL
 3.4 Gestion des certificats SSL : Renouvellement, révocation et réémission

 IV. Vulnérabilités et meilleures pratiques

 4.1 Vulnérabilités connues du protocole SSL et des certificats SSL
 4.2 Attaques courantes contre SSL/TLS : Man-in-the-Middle, SSL Stripping, etc.
 4.3 Meilleures pratiques pour renforcer la sécurité SSL : Utilisation de certificats
valides, configuration appropriée des protocoles et des paramètres, surveillance
continue
Introduction

 Introduction :
 Avec la prolifération des communications en ligne, la sécurité
des données est devenue une préoccupation majeure. Le
protocole SSL (Secure Sockets Layer) et les certificats SSL
jouent un rôle essentiel dans la protection des informations
sensibles transmises sur les réseaux. Dans cet exposé, nous
explorerons en détail les concepts fondamentaux du
protocole SSL et des certificats SSL, en mettant l'accent sur
leur utilisation et leur importance pour sécuriser les
communications.
Socket Secure Layer

 Vue d'ensemble du protocole SSL :

 Le protocole SSL (Secure Sockets Layer) est un protocole de sécurité qui a été
largement utilisé pour sécuriser les communications sur Internet. SSL a été
conçu pour fournir une couche de chiffrement et de sécurité entre les
applications et les protocoles de transport, tels que HTTP, SMTP et FTP.
 Le fonctionnement de SSL repose sur des techniques de chiffrement
asymétrique (ou chiffrement à clé publique) et de chiffrement symétrique (ou
chiffrement à clé secrète). Lorsqu'un client et un serveur établissent une
connexion SSL, ils effectuent une poignée de main (handshake) pour négocier
les paramètres de sécurité et établir une session sécurisée.
Vue d’ensemble :

 Pendant la poignée de main SSL, les étapes suivantes se produisent généralement :

 Le client envoie une demande de connexion sécurisée au serveur.

 Le serveur répond avec son certificat numérique, qui contient sa clé publique.
 Le client vérifie l'authenticité du certificat du serveur en vérifiant la chaîne de
confiance avec une autorité de certification (CA) de confiance.
 Le client génère une clé de session aléatoire et l'envoie chiffrée avec la clé
publique du serveur.
 Le serveur utilise sa clé privée pour déchiffrer la clé de session du client.
 À partir de ce point, le client et le serveur utilisent la clé de session pour chiffrer et
déchiffrer les données échangées pendant la session.
Vue d’ensemble
 OBJECTIFS
 1.2 Objectifs et principes de base du protocole SSL :
 Les objectifs du protocole SSL sont de garantir la confidentialité, l'intégrité
et l'authenticité des données échangées entre un client et un serveur.

 Confidentialité des données : SSL vise à assurer la confidentialité des

données échangées entre un client et un serveur. Il chiffre les informations
sensibles de manière à ce qu'elles ne puissent pas être lues par des tiers
non autorisés lors de leur transmission sur Internet.

 Intégrité des données : SSL utilise des mécanismes de hachage et de

vérification pour garantir que les données échangées entre les parties ne
sont pas modifiées ou altérées pendant leur transmission. Cela permet de
détecter toute altération des données en transit.
 Authentification des serveurs : SSL utilise des certificats numériques pour
vérifier l'identité des serveurs. Ces certificats sont émis par des autorités de
certification (CA) de confiance et permettent aux clients de s'assurer qu'ils se
connectent à un serveur légitime et non à une entité malveillante se faisant
passer pour le serveur.

 Confidentialité des données personnelles : SSL est largement utilisé pour

sécuriser les transactions en ligne, protégeant ainsi les informations sensibles
telles que les numéros de carte de crédit, les informations d'identification et
autres données personnelles. L'objectif est de prévenir toute interception ou
vol de ces informations sensibles lors de leur transmission sur Internet.
 objectifs

 Résistance aux attaques : SSL est conçu pour résister à différentes

attaques, telles que les attaques par interception, les attaques par rejeu,
les attaques de type « homme du milieu » (man-in-the-middle), etc. Il
met en œuvre des mécanismes de chiffrement et de vérification pour
protéger les communications contre ces menaces.

 En résumé, les objectifs du protocole SSL sont de sécuriser les

communications en ligne en garantissant la confidentialité, l'intégrité et
l'authenticité des données échangées entre un client et un serveur.
Type de chiffrement:

 SSL utilise un système de chiffrement asymétrique (clé publique) et

symétrique (clé de session) pour sécuriser les communications:
 Dans le contexte du protocole SSL, la clé publique est utilisée pour :

 Établir une communication sécurisée entre le client et le serveur : Lors de

l'établissement d'une connexion SSL, le serveur envoie son certificat SSL, qui
contient sa clé publique. Le client utilise cette clé publique pour chiffrer une
clé de session symétrique (voir ci-dessous) et l'envoyer en toute sécurité au
serveur.
 Authentifier l'identité du serveur : Le certificat SSL contenant la clé publique
est signé par une autorité de certification (CA) de confiance, ce qui permet
au client de vérifier l'authenticité du serveur.
 Type de chiffrement:
 Chiffrement symétrique (à clé de session) :
 Le chiffrement symétrique utilise la même clé pour le chiffrement et le déchiffrement
des données. Une fois que la connexion SSL est établie et que les clés de session sont
échangées en utilisant le chiffrement asymétrique, le protocole SSL bascule vers un
chiffrement symétrique plus rapide et plus efficace pour sécuriser les données
échangées.
 Dans le contexte du protocole SSL, une clé de session symétrique est générée et
partagée entre le client et le serveur après le processus de "handshake". Cette clé de
session est utilisée pour chiffrer et déchiffrer les données échangées entre les deux
parties pendant la durée de la connexion SSL. Le chiffrement symétrique offre une
meilleure performance que le chiffrement asymétrique pour le transfert de données
volumineuses.

 En utilisant une combinaison de chiffrement asymétrique (clé publique) et de

chiffrement symétrique (clé de session), le protocole SSL parvient à garantir la
confidentialité des données grâce au chiffrement symétrique et à établir l'authenticité
du serveur grâce à l'utilisation du chiffrement asymétrique et des certificats SSL.
FONCTIONNEMENT

 1.3 Fonctionnement du protocole SSL : Handshake, chiffrement des données et

authentification :
 Lors de l'établissement d'une connexion SSL, un processus de "handshake" est
effectué pour négocier les paramètres de sécurité, authentifier les parties et
échanger les clés de session.
 Une fois le "handshake" terminé, les données sont chiffrées à l'aide de clés de session
symétriques pour assurer la confidentialité et l'intégrité.
 L'authentification des parties est réalisée à l'aide de certificats SSL émis par une
autorité de certification (CA).
Fonctionnement du protocole SSL
 Au niveau du modèle OSI (Open Systems Interconnection), SSL/TLS est
généralement considéré comme étant situé entre la couche de session et la
couche de présentation. Cependant, il est couramment implémenté au-dessus
de la couche de transport (TCP) pour fournir une sécurité transparente aux
applications.

 En résumé, SSL/TLS est utilisé au niveau de la couche de transport pour

sécuriser la communication entre les applications. Il agit comme un protocole
intermédiaire entre la couche de transport et la couche d'application pour
fournir des fonctionnalités de chiffrement et d'authentification.
 Le modèle OSI (Open Systems Interconnection) est un modèle de référence
qui définit une architecture en couches pour les communications réseau. Il
comprend sept couches distinctes, allant de la couche physique (couche 1) à
la couche d'application (couche 7). Cependant, le protocole SSL (Secure
Sockets Layer) ou TLS (Transport Layer Security) n'est pas inclus directement
dans le modèle OSI.

 SSL/TLS est un protocole de sécurité qui fonctionne au-dessus de la couche de

transport (couche 4) dans le modèle OSI. Il est utilisé pour sécuriser les
communications en ligne en fournissant un chiffrement des données et une
authentification du serveur.
 Dans le modèle OSI, la couche de transport (couche 4) est responsable du transfert
fiable des données entre les hôtes. Les protocoles tels que TCP (Transmission Control
Protocol) et UDP (User Datagram Protocol) sont généralement utilisés à cette couche
pour assurer la livraison des données.

 SSL/TLS s'insère entre la couche de transport et la couche d'application (couche 7)

dans le modèle OSI. Il fournit une couche de sécurité supplémentaire en ajoutant des
fonctionnalités de chiffrement et d'authentification aux protocoles d'application
existants tels que HTTP, SMTP, FTP, etc.

 En résumé, bien que le protocole SSL/TLS ne soit pas explicitement inclus dans le
modèle OSI, il opère généralement au-dessus de la couche de transport (couche 4) et
en dessous de la couche d'application (couche 7) pour sécuriser les communications en
ligne.
Le role des certifcats SSL

 Rôle des certificats SSL :

 2.1 Comprendre les certificats SSL et leur structure :

 Les certificats SSL sont des fichiers électroniques qui contiennent des
informations permettant d'authentifier l'identité d'une entité en ligne, telle
qu'un site Web.
 Ils sont basés sur une structure de clés publiques et contiennent des
informations telles que le nom de domaine, la clé publique, la période de
validité, l'émetteur du certificat, etc.
Autorites de Certifications

 2.2 Autorités de certification (CA) : Rôle et hiérarchie des certificats :

 Les CA sont des entités de confiance qui émettent les certificats SSL.
 Les certificats SSL sont organisés en une hiérarchie, où les certificats
racine (root) des CA sont à la base et sont utilisés pour valider les
certificats intermédiaires et finalement les certificats des sites Web.
 2.3 Processus de génération et de validation des certificats SSL :
 Les propriétaires de sites Web génèrent des demandes de certificats
SSL, qui sont ensuite vérifiées et signées par une autorité de
certification.
 La validation peut impliquer la vérification du contrôle du domaine,
l'authentification de l'entité, la conformité aux normes de sécurité,
etc.
Obtention d’un certificat
 les protocoles SSL/TLS pour établir une communication sécurisée sur Internet. Ils jouent un rôle crucial
dans l'authentification de l'identité d'une entité en ligne, telle qu'un site Web. Voici quelques points
importants à comprendre concernant les certificats SSL :

 Authentification de l'identité : Les certificats SSL permettent de vérifier l'identité d'un site Web en
associant un certificat à un nom de domaine spécifique. Lorsqu'un navigateur tente d'accéder à un site
sécurisé par SSL, il reçoit le certificat du site et vérifie son authenticité.

 Structure des certificats : Les certificats SSL sont basés sur une structure de clés publiques. Ils contiennent
des informations telles que le nom de domaine (ou l'adresse IP) du site Web sécurisé, la clé publique du
serveur, la période de validité du certificat, l'émetteur du certificat (une autorité de certification), etc.

 Clés publiques et privées : Les certificats SSL utilisent une paire de clés cryptographiques : une clé
publique et une clé privée. La clé publique est incluse dans le certificat et est utilisée pour chiffrer les
données qui seront envoyées au serveur. La clé privée est conservée secrètement par le serveur et est
utilisée pour déchiffrer les données chiffrées avec la clé publique correspondante.
 Autorités de certification (AC) : Les certificats SSL sont émis par des autorités de
certification, également appelées Certificate Authorities (CA). Les AC sont des entités de
confiance qui vérifient l'identité des demandeurs de certificats et signent ces certificats
pour garantir leur authenticité. Les navigateurs web et les clients SSL font confiance aux AC
pour valider les certificats et établir des connexions sécurisées.

 Période de validité : Les certificats SSL ont une période de validité définie, qui peut varier
(par exemple, un an, deux ans, etc.). Après l'expiration, le certificat doit être renouvelé
pour continuer à être considéré comme valide.

 En résumé, les certificats SSL sont des fichiers électroniques contenant des informations
permettant d'authentifier l'identité d'une entité en ligne, telle qu'un site Web. Ils sont basés
sur une structure de clés publiques et sont émis par des autorités de certification de
confiance. Les certificats SSL jouent un rôle essentiel dans l'établissement de connexions
sécurisées et la protection des données lors des communications en lign
Vue d’ensemble
Exemple de differents certificats

 2.4 Certificats auto-signés vs certificats émis par une

autorité de certification :
 Les certificats auto-signés sont générés par les
propriétaires de sites Web eux-mêmes, mais ne sont pas
aussi largement reconnus ou acceptés que les certificats
émis par une CA.
 Utilisation pratique du protocole SSL et des certificats
SSL :
SIGNATURES
Securite des sites web
 3.1 Sécurisation des sites Web avec SSL/TLS : HTTPS :

 L'utilisation la plus courante du protocole SSL est pour sécuriser les sites Web
via le protocole HTTPS.
 HTTPS permet le chiffrement des données entre le navigateur du client et le
serveur Web, empêchant ainsi les attaques de type "man-in-the-middle" et
garantissant la confidentialité des données.
 3.2 Configuration d'un serveur SSL : Choix des protocoles et des algorithmes
cryptographiques :
 La configuration d'un serveur SSL implique de choisir les protocoles SSL/TLS
pris en charge et les algorithmes cryptographiques utilisés pour le chiffrement
des données.
 Les meilleures pratiques recommandent de désactiver les anciennes versions
de SSL/TLS et de privilégier les algorithmes cryptographiques robustes.
Schema 1
Schema 2
Verification du certificat

 3.3 Vérification de l'authenticité des certificats SSL :

 Les navigateurs Web vérifient automatiquement
l'authenticité des certificats SSL en vérifiant leur chaîne
de confiance jusqu'à un certificat racine de confiance.
 Les utilisateurs peuvent également vérifier manuellement
les détails du certificat pour s'assurer de sa validité et de
l'identité de l'entité émettrice
Gestion des certificats SSL

 3.4 Gestion des certificats SSL : Renouvellement, révocation et réémission :

 Les certificats SSL ont une période de validité limitée et doivent être
renouvelés avant leur expiration.
 En cas de compromission d'un certificat, il peut être révoqué pour empêcher
son utilisation malveillante, et un nouveau certificat peut être émis pour le
remplacer.
Vulneralibilites:
 4.1 Vulnérabilités connues du protocole SSL et des certificats SSL

 Les versions obsolètes de SSL/TLS, les vulnérabilités des

algorithmes cryptographiques ou des implémentations peuvent
mettre en péril la sécurité des communications.
 4.2 Attaques courantes contre SSL/TLS : Man-in-the-Middle, SSL
Stripping, etc. :
 Les attaques de type "man-in-the-middle" visent à intercepter et
modifier les communications sécurisées en exploitant des
vulnérabilités dans le protocole SSL/TLS.
 L'attaque SSL Stripping vise à forcer une connexion non sécurisée
(HTTP) même si le site Web supporte HTTPS.
La securite:
 Utilisation de certificats valides émis par des CA de confiance :
 Il est crucial d'utiliser des certificats SSL émis par des autorités de certification
(CA) de confiance. Les certificats émis par ces CA sont reconnus par les
navigateurs et les systèmes d'exploitation, ce qui garantit la confiance des
utilisateurs. Évitez d'utiliser des certificats auto-signés ou émis par des sources
non fiables, car ils peuvent être sujets à des doutes quant à leur authenticité.

 Configuration appropriée des protocoles et des paramètres SSL/TLS :

 Assurez-vous de configurer correctement les protocoles SSL/TLS sur les serveurs.
Il est recommandé de désactiver les anciennes versions de SSL/TLS (comme SSLv2
et SSLv3) en raison de leurs vulnérabilités connues. Privilégiez les versions plus
récentes de TLS, telles que TLS 1.2 ou TLS 1.3, qui offrent des améliorations de
sécurité. De plus, choisissez des algorithmes de chiffrement robustes et réputés,
tout en évitant les algorithmes obsolètes ou faibles.
Securite:
 Surveillance continue des certificats et des alertes de sécurité :
 La surveillance régulière des certificats SSL est importante pour détecter tout
problème potentiel. Suivez les dates d'expiration des certificats et assurez-
vous de les renouveler avant leur échéance. De plus, restez informé des
vulnérabilités et des correctifs de sécurité liés au protocole SSL/TLS en vous
tenant au courant des mises à jour et des avis de sécurité publiés par les
fournisseurs et les organismes de sécurité. Cela vous permettra de prendre
des mesures préventives pour renforcer la sécurité de vos communications.

 En suivant ces meilleures pratiques, vous contribuerez à renforcer la sécurité

de vos connexions SSL. L'utilisation de certificats valides émis par des CA de
confiance, la configuration appropriée des protocoles et des paramètres, ainsi
que la surveillance continue des certificats et des alertes de sécurité sont des
mesures essentielles pour garantir des communications sécurisées et prévenir
les vulnérabilités potentielles.
Conclusion
 Conclusion :
 La sécurité des réseaux est une préoccupation majeure dans
notre monde numérique, et le protocole SSL avec les
certificats SSL jouent un rôle crucial dans la protection des
communications en ligne. En comprenant les fondements du
protocole SSL et des certificats SSL, les professionnels de la
sécurité des réseaux peuvent contribuer à prévenir les
attaques et à renforcer la confiance des utilisateurs envers les
plateformes en ligne. En adoptant les meilleures pratiques, en
surveillant régulièrement les certificats et en restant informés
des vulnérabilités connues, nous pouvons assurer une
communication sécurisée et fiable sur les réseaux.