De la Sécurité Informatique à l’Identité Numérique 2.0 Devoir de mémoire d’Eric Herschkorn & Patrick Barrabé de 1998 à 2008

De la Sécurité Informatique à l’Identité Numérique 2.0 Devoir de mémoire d’Eric Herschkorn & Patrick Barrabé D’avant hier à 1998 De 1998 à 2008 Après 2008

D’avant hier à 1998

De 1998 à 2008

Après 2008

La Sécurité de l'information Internet et Intranet Mai 1998 Prendre conscience et mesurer les risques liés à la sécurité du système d'information Introduction La sécurité informatique Les risques Les solutions Le chiffrement (cryptage) Démonstration / Débat

Prendre conscience et mesurer les risques liés à la sécurité du système d'information

Introduction

La sécurité informatique

Les risques

Les solutions

Le chiffrement (cryptage)

Démonstration / Débat

Ce qui a changé en 1998 ? 89/90 : Le gouvernement US autorise l'usage commercial de l’Internet 92 : Le "World Wide Web" => ouverture au monde PC => ouverture au commerce électronique !? Explosion des réseaux IP (97) Réalité industrielle (98) Le phénomène Internet a fait prendre conscience aux décideurs des problèmes existants de la sécurité 1998

89/90 : Le gouvernement US autorise l'usage commercial de l’Internet

92 : Le "World Wide Web" => ouverture au monde PC => ouverture au commerce électronique !?

Explosion des réseaux IP (97)

Réalité industrielle (98)

…l’utilisation évolue Publication d’information 1968 1998 Applications métiers Fonctionnalités Amélioration de la bande passante Administrabilité Performance des services Fonctionnalités Publication facile Accès simplifié à l’information Contenu riche Exemples Marketing Jeux Commerce électronique Téléphonie et visio Exemples d’applications Rapports d’activités Liste de prix, catalogues 1998 Avancée rapide des technologies Des besoins qui murissent Reconnaissance du marché

Fonctionnalités

Amélioration de la bande passante

Administrabilité

Performance des services

Fonctionnalités

Publication facile

Accès simplifié à l’information

Contenu riche

Exemples

Marketing

Jeux

Commerce électronique

Téléphonie et visio

Exemples d’applications

Rapports d’activités

Liste de prix, catalogues

Pourquoi se Protéger en 1998 ? Protéger le SI de l’entreprise pour lutter contre le piratage informatique Identifier les collaborateurs (authentification) Échanges avec vos partenaires (confidentialité) Virus (intégrité) Messagerie (pollution des boites Email ) Commerce électronique 1998

Protéger le SI de l’entreprise pour lutter contre le piratage informatique

Identifier les collaborateurs (authentification)

Échanges avec vos partenaires (confidentialité)

Virus (intégrité)

Messagerie (pollution des boites Email )

Commerce électronique

Les risques par domaine 50% des risques viennent de l’intérieur des entreprises 1998

50% des risques viennent de l’intérieur des entreprises

La sécurité d'accès logique Id : mon prénom Password : toto 1988

Id : mon prénom Password : toto

La sécurité d'accès logique 1998

La sécurité des messagerie (email) 1998

La sécurité des messagerie en ligne (hotmail) Et Microsoft inventa le compte Passport Ma 1ere adresses de messagerie Microsoft : [email_address] 1998

Et Microsoft inventa le compte Passport

Ma 1ere adresses de messagerie Microsoft : [email_address]

La sécurité informatique Le phénomène "Internet" a fait ressurgir les problèmes de sécurité informatique de l’entreprise Prise de conscience de la direction DG Le responsable sécurité : RSSI La sécurité est un problème de culture et non de technologie 1998

Le phénomène "Internet" a fait ressurgir les problèmes de sécurité informatique de l’entreprise

Prise de conscience de la direction DG

Le responsable sécurité : RSSI

La sécurité est un problème de culture et non de technologie

Maîtres mots de la sécurité Interdire tout ce qui n’est pas explicitement autorisé Réagir aux actions anormales ou hostiles Journaliser toute l’activité Éduquer les administrateurs et les utilisateurs Nommer un responsable sécurité et lui donner les pouvoirs nécessaires 1998

Interdire tout ce qui n’est pas explicitement autorisé

Réagir aux actions anormales ou hostiles

Journaliser toute l’activité

Éduquer les administrateurs et les utilisateurs

Nommer un responsable sécurité et lui donner les pouvoirs nécessaires

Internet / Intranet / Extranet Intranet : ensemble des technologies de l’Internet appliquées au domaine privé de l’entreprise. (réseau local IP) Internet / Intranet : à la frontière entre Internet et Intranet doit exister une machine qui met en œuvre la politique de sécurité de l’entreprise Extranet : doit exister une solution qui met en œuvre l'identification des partenaires 1998

Intranet : ensemble des technologies de l’Internet appliquées au domaine privé de l’entreprise. (réseau local IP)

Internet / Intranet : à la frontière entre Internet et Intranet doit exister une machine qui met en œuvre la politique de sécurité de l’entreprise

Extranet : doit exister une solution qui met en œuvre l'identification des partenaires

Internet : la vision du public Serveur Web Banques Intermédiaires (tiers de confiance) Client Web Commerce Consommateurs POP 1998 Réseau Téléphonique ou d’Entreprise Internet

Intranet et Internet : La vision de l’entreprise Serveurs Web privés : Communication, Travail en groupe Client Web Collaborateur Intranet Internet Applicatifs et Bases de données existantes Serveur Web public Partenaires Accès à l’existant 1998

Les risques de l’Internet par service Messagerie (email) Virus PJ+Id Consultation de pages (http) Intru+Intégrité Groupes de discussion (News) Identification Transfert de fichiers (FTP) Virus+$ Visioconférence Authentification Vidéo à la demande $ Commerce électronique $ 1998

Messagerie (email) Virus PJ+Id

Consultation de pages (http) Intru+Intégrité

Groupes de discussion (News) Identification

Transfert de fichiers (FTP) Virus+$

Visioconférence Authentification

Vidéo à la demande $

Commerce électronique $

Définition de l’Internet : les standards Un réseau de réseaux Unifiés par un ensemble de protocoles et de standards TCP/IP (16.189.208.252), DNS, PPP, RAS, ... NNTP, SMTP, POP, LDAP, X500, SNMP, ... HTTP/HTML, MIME, FTP, VRML, SQL, ... SSL, SET, CSET, EDI, … RSA 1998

Un réseau de réseaux

Unifiés par un ensemble de protocoles et de standards

TCP/IP (16.189.208.252), DNS, PPP, RAS, ...

NNTP, SMTP, POP, LDAP, X500, SNMP, ...

HTTP/HTML, MIME, FTP, VRML, SQL, ...

SSL, SET, CSET, EDI, …

RSA

Solutions de Sécurité l’Internet Technologie des «firewalls» (murs pare-feu) Serveur Proxy Hébergement du serveur chez un prestataire externe Gestion de la stratégie de la sécurité ( Mdp + Id ) Contrôle d'accès logique : Smartcard Cryptographie Tiers de confiance 1998

Technologie des «firewalls» (murs pare-feu)

Serveur Proxy

Hébergement du serveur chez un prestataire externe

Gestion de la stratégie de la sécurité ( Mdp + Id )

Contrôle d'accès logique : Smartcard

Cryptographie

Tiers de confiance

Qu’est ce qu’un Serveur de proxy ? Proxy Server Réseau de l’Entreprise ~50% De traffic en moins Connexion à l’Internet Premier browser Contenu caché Gestion optimisée du cache 1998 Deuxième browser Internet

Cache hiérarchique Paris Lyon Marseille 1998 Internet

FIRE WALL Internet Agence de l'entreprise Réseau privé LAN distant Utilisateur en accès distant SI de l'Entreprise Utilisateur en accès local 1998

Virtual Private Network Internet AltaVista Tunnel, ed. groupe Réseau privé LAN distant AltaVistal Tunnel, ed. personnelle AltaVista Tunnel, ed. groupe 1998

La carte à puce Une solution d’identification sur le système d’information La carte se substitue à l'identifiant Le PIN code au mot de passe 1998 Single Sign-on et log-on unique pour authentifier chaque utilisateur

Une solution d’identification sur le système d’information

La carte se substitue à l'identifiant

Le PIN code au mot de passe

La sécurité d’accès logique par Smartcard 1998

Solutions de Cryptage Technologies Clef secrète ou symétrique (DES, 3DES, ...) Clef publique / clef privée ou asymétrique (RSA) Le chiffrage des transmissions La Signature : contrôle d'accès logique ex: Mdp + Id par Smartcard "CAPSUL®« Transaction financière cryptographie via tiers de confiance délivrant des certificats 1998

Technologies

Clef secrète ou symétrique (DES, 3DES, ...)

Clef publique / clef privée ou asymétrique (RSA)

Le chiffrage des transmissions

La Signature : contrôle d'accès logique ex: Mdp + Id par Smartcard "CAPSUL®«

Transaction financière

cryptographie via tiers de confiance délivrant des certificats

Le Cryptage en France en 1998 SCSSI Organisme indépendant contrôlé par l'état Fr (Décret n°98-101 du 24 février 1998) Il agrée les dépositaires candidats faisant du chiffrage de transmissions TCP : tiers de confiance délivrant des certificats et détenteur des clés privées Signature électronique par Smartcard ne nécessite pas d'autorisation 1998

SCSSI

Organisme indépendant contrôlé par l'état Fr (Décret n°98-101 du 24 février 1998)

Il agrée les dépositaires candidats faisant du chiffrage de transmissions

TCP : tiers de confiance délivrant des certificats et détenteur des clés privées

Signature électronique par Smartcard

ne nécessite pas d'autorisation

Cryptographie à clef symétrique A A crée un message et le chiffre avec la clef connue de lui et de B A envoi le message sur le réseau à B B reçoit le message chiffre et le déchiffre avec la clef Message   Message B 1998

A crée un message et le chiffre avec la clef connue de lui et de B

A envoi le message sur le réseau à B

B reçoit le message chiffre et le déchiffre avec la clef

Cryptographie à clef Asymétrique Cle publique de A B crée 2 clés : 1 privée et 1 publique qu'il diffuse A crée un message et le chiffre avec la clef publique de B A envoi le message sur le réseau à B B reçoit le message chiffré et le déchiffre avec sa clef privée Si B veut répondre, il utilisera la clé publique de A Message   Message Cle privée de B RSA 1998

B crée 2 clés : 1 privée et 1 publique qu'il diffuse

A crée un message et le chiffre avec la clef publique de B

A envoi le message sur le réseau à B

B reçoit le message chiffré et le déchiffre avec sa clef privée

Si B veut répondre, il utilisera la clé publique de A

Positionnement des mode de chiffrement Asymetrique Symetrique Richesse Moins Plus La clef est unique pas de certificat Rapide Lent robuste 1998

Commerce électronique Le commerce électronique a besoin de sécurité (accès, transport, transactions) Les technologies correspondantes sont connues et disponibles, mais contrôlées par le gouvernement Le SCSSI impose un tiers de confiance Leur déploiement sur l’Internet est en cours SSL (Netscape), https SET,CSET (Microsoft, Netscape, IBM, Visa, Mastercard) ( signature et chiffrement ) 1998

Le commerce électronique a besoin de sécurité

(accès, transport, transactions)

Les technologies correspondantes sont connues et disponibles, mais contrôlées par le gouvernement

Le SCSSI impose un tiers de confiance

Leur déploiement sur l’Internet est en cours

SSL (Netscape), https

SET,CSET (Microsoft, Netscape, IBM, Visa, Mastercard)

( signature et chiffrement )

Connexion à Internet en mode paiement sécurisé Modem RTC, RNIS, câble Client équipé d'un lecteur de carte INTERNET Tiers de confiance délivrant des certificats Fournisseur de services Architecture commerce électronique en 1998 1998

1998 / 2008 What’s new

Bienvenue dans l’économie numérique! « L’Entreprise 2.0 désigne l’usage de plateformes collaboratives et sociales au sein d’une entreprise ou de plusieurs entreprises et ses partenaires et clients » (Collaborative Attitude par Fred Cavazza) « Donner de la vitesse aux Entreprises 2.0 qui possèdent de la valeur sur un modèle de PRM» (Run your Network par Eric Herschkorn) Le véritable patrimoine est informationnel et identitaire (marques, usages, compétences) le nouvel axe stratégique de la sécurité en entreprise

« L’Entreprise 2.0 désigne l’usage de plateformes collaboratives et sociales au sein d’une entreprise ou de plusieurs entreprises et ses partenaires et clients » (Collaborative Attitude par Fred Cavazza)

« Donner de la vitesse aux Entreprises 2.0 qui possèdent de la valeur sur un modèle de PRM» (Run your Network par Eric Herschkorn)

S’inscrire, pour avoir une identité numérique !

Identité: 2.0 ? La part de l’entreprise Personnelle Professionnelle Publique Privée ID contrôle fonction - rôle statut liberté

Viralité 2.0 et NetRep: maîtrise de son identité numérique Source Viadéo Celle de l’entreprise Celle des dirigeants Celle des salariés

Un risque pour la maîtrise de l’identité! Des services et des usages 2.0 Chat on line Gestion de Contact Courrier électronique Courrier mensuel (newsletter) Applications Portabilité des services multi réseaux

Des services et des usages 2.0

Chat on line

Gestion de Contact

Courrier électronique

Courrier mensuel (newsletter)

Applications

Portabilité des services multi réseaux

Identité numérique & NetRep De nouvelles failles de sécurité informatique ? Qu’est-ce que la sécurité dans ce nouvel environnement d’usages?

De nouvelles failles de sécurité informatique ?

Qu’est-ce que la sécurité dans ce nouvel environnement d’usages?

Identité numérique & NetRep Une simple réponse dans un blog ! avec usurpation d’identité Mais vous n’avez jamais répondu !!! Quelle confiance dans ce nouvel environnement d’usages?

Une simple réponse dans un blog ! avec usurpation d’identité

Mais vous n’avez jamais répondu !!!

Quelle confiance dans ce nouvel environnement d’usages?

Besoin d’identité, mais pour quelles sites ? B2B B2C Business Loisirs RSP Media Alumni Rencontres Cadran Magic RSP 2.0 by Sparinc –mars 2008

Googlez l’identité des auteurs sur le web Eric HERSCHKORN Patrick BARRABE What else ?

Eric HERSCHKORN Patrick BARRABE

What else ?