Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
VOLET 2
1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AGENDA VOLET II
Module N°1 : Protection et
cloisonnement des réseaux
Menace des couches basses – Menaces sur les
équipemen...
TRAVAIL PERSONNEL
Sécurité informatique et réseaux - 4eme édition Ghernaouti
Lecture des chapitres suivants
Chapitre 6 Séc...
OBJECTIFS
MENACE DES COUCHES BASSES – BONNES PRATIQUES
PROTECTION LOGIQUE DU RÉSEAU- VLAN – FIREWALLS - DIODES
PROTECTION ...
OBJECTIFS
Protection périmètrique :
Les infrastructures de sécurité périmètrique protègent le système d’information des
me...
MENACES DES COUCHES BASSES
Physique
Écoute des émissions électromagnétiques des câbles
Connexion directe au réseau
Déni de...
MENACES SUR LES ÉQUIPEMENTS
Concentrateurs, commutateurs, routeurs
Offrent des outils de gestion, souvent accessibles par ...
BONNES PRATIQUES
Ségrégation des réseaux
Séparation des réseaux ayant des fonctions différentes (réseau des
guichets autom...
BONNES PRATIQUES
Activer la fonction Port Security sur les commutateurs
Fonction Port-Security (sur les Cisco) : limite le...
VLAN : VIRTUAL LAN
10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VLAN – VIRTUAL LAN
Contexte
De nouveaux besoins : visio conf, e-learning, la voix sur IP
De nouvelles exigences : sécurité...
VLAN – VIRTUAL LAN
Concept
Une nouvelle manière d’exploiter la technique de commutation pour donner plus de
flexibilité au...
VLAN – VIRTUAL LAN
Les VLAN (Virtual LAN)
Consiste à scinder une infrastructure réseau unique en différents tronçons
« log...
VLAN – VIRTUAL LAN
VLAN de niveau physique ou de niveau 1
VLAN 1
VLAN 2
VLAN 3
14 PRONETIS©2016 - Philippe Prestigiacomo -...
VLAN – VIRTUAL LAN
VLAN de niveau 2, ou VLAN de niveau MAC (Trame)
VLAN 1
VLAN 2
VLAN 3
15 PRONETIS©2016 - Philippe Presti...
VLAN – VIRTUAL LAN
16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Configurat...
VLAN – VIRTUAL LAN
Comment définir les zones
Dépendances fonctionnelles existantes – (Niveau 4 et
les autres niveaux de 3 ...
VLAN – VIRTUAL LAN
18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Principe d...
VLAN – VIRTUAL LAN
19 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Segmentati...
ROUTEUR FILTRANT
20 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
ROUTEUR
Hors périmètre du routeur :
• Pas de protection contre les attaques au niveau réseau
• Pas de protection au niveau...
ROUTEUR
Réseau A Réseau B
22 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Les...
ROUTEUR
Filtrage du trafic
La possibilité de filtrer les paquets est généralement incluse dans le
logiciel des routeurs
Tr...
ROUTEUR
Fonctionnement des ACLs (ACCESS CONTROL LIST)
2 ACLs doivent être posées sur chaque interface
Format des ACLs (exe...
DMZ
AUTHENTIFICATION : RÉSEAU
N° ACL Action IP Src Port Src IP Dest Port Dest Optional
102 Permit 144.19.74.201 / 255.255....
FIREWALLS (OU PARE-FEU)
26 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIREWALLS
Définition
Terme générique pour désigner, le logiciel ou le hardware appliquant
la politique de sécurité réseau
...
FIREWALLS
Les composantes d’un Firewall
Logiciel sur un système d’exploitation propriétaire ou standard (en général du
Lin...
FIREWALLS
• Hors périmètre du firewall : Pratiquement pas de protection au niveau applicatif
Exemple : n’offre pas de prot...
FIREWALLS
30 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIREWALLS
Filtrage IP à état - SPI - Statefull packet inspection
Ensemble de contrôles sur les entêtes des paquets pour s’...
FIREWALLS
Application Level Filtering – ou – proxy applicatif
Vérification de la cohérence et du contenu des données au ni...
FIREWALLS
3333 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIREWALLS
Fonctions complémentaires
Anti-Spoofing : Détection de l’usurpation d’adresse
NDIS : sonde de détection et de pr...
FIREWALLS
Inconvénients d’un routeur filtrant
Traçabilité : pas de fonction avancée pour logger les informations.
Administ...
ARCHITECTURES TYPES DE FIREWALLS
DMZ (demilitarized zone) :
En termes militaires, zone où les activités militaires sont in...
37 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRIVEE
FIREWALLS : NETASQ
3838 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIREWALLS
39 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CAS DES FIREWALLS INDUSTRIEL
Marché en forte croissance
Des constructeurs industriels d’automates -
SCHNEIDER
Des construc...
CAS DES FIREWALLS INDUSTRIEL
Eagle20 : filtrage du traffic – firewall réseau
http://www.hirschmann.com/en/Hirschmann_Produ...
DIODES RÉSEAUX
42 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
DIODES RÉSEAUX
Une diode réseau est un système qui permet d’interconnecter 2 réseaux, en
autorisant le transfert de donnée...
DIODES RÉSEAUX
Partie matérielle de la diode : la liaison Ethernet optique
unidirectionnelle qui relie 2 serveurs est gara...
DIODES RÉSEAUX
Les caractéristiques optiques et électroniques intrinsèques du
matériel assurent qu’aucune donnée ne peut ê...
DIODES RÉSEAUX
Exemple : Un réseau très sensible peut avoir besoin
d'informations publiques pour son utilisation. Par exem...
PROTECTION DE LA COUCHE APPLICATIVE
PROXY - PARE-FEU APPLICATIF
47 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utili...
PROTECTION DE LA COUCHE APPLICATIVE
Inspectent les paquets au plus profond (couche 7) en tenant
compte de la sémantique de...
PROXIES
Définition d’un serveur Proxy
Propriétés générales
Coupure protocolaire entre le client et le serveur destination
...
PROXIES
Familles de proxies
Proxies applicatifs (Proxy HTTP, Proxy SMTP…)
Proxies dédiés à un ou plusieurs protocoles au d...
PROXIES
Proxies
Client Proxy Serveur
51 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction r...
PROXY WEB
Principes de Fonctionnement
Proxy applicatif effectue
Translation de N°port et @IP
Filtrage basé sur le sens du ...
PROXY WEB
Proxy - Contrôle d’accès
Authentification :
Synchronisation avec l’annuaire d’entreprise pour les utilisateurs e...
PROXY WEB
Proxy - Filtrage de contenu
Filtrage des URLs permet de
Bloquer certaines URLs ou certaines catégories d’URLs (l...
PROXY WEB
Proxy - Filtrage de contenu
Filtrage des requêtes utilisateurs (exemple : Get-Only)
Filtrage des codes mobiles
E...
PROXY SMTP (MAILS)
Proxy – Filtrage Anti-Spam
Préambule
En 2007 Radicati Group estime à 75% le volume de spam par rapport ...
PROXY SMTP (MAILS)
Proxy – Filtrage Anti-Spam
Calcul coût du spam avec
Vade Retro Technology
http://www.vade-retro.com/fr/...
PROXY SMTP (MAILS)
Proxy – Filtrage Anti-Spam
Action technique - Méthodes de filtrage
Listes noires mises à jour en temps ...
PROXY SMTP (MAILS)
Proxy – Filtrage Anti-Spam : Méthodes de filtrage (suite)
Filtre sur empreinte
Centralisation de tous l...
PROXY SMTP (MAILS)
Proxy – Filtrage Anti-Spam : Analyse de l’en-tête SMTP (suite)
6060 PRONETIS©2016 - Philippe Prestigiac...
PROXY SMTP (MAILS)
Proxy – Filtrage Anti-Spam : Méthodes de filtrage (suite)
61 PRONETIS©2016 - Philippe Prestigiacomo - D...
PROXY SMTP (MAILS)
Une alternative efficace
6262 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de repro...
WAF – WEB APPLICATION FIREWALL – REVERSE PROXY
WAF – ou - Reverse Proxy (ou Proxy de relais inverse)
Caractéristiques
Prin...
WAF – WEB APPLICATION FIREWALL – REVERSE PROXY
Utilisation d’un WAF: Protection contre les attaques
externes
- Filtrage le...
WAF – WEB APPLICATION FIREWALL – REVERSE PROXY
6565
Blocage des attaques applicatives externes
PRONETIS©2016 - Philippe Pr...
PRODUITS DU MARCHÉ
66 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRODUITS DU MARCHÉ
Les principaux acteurs du marché Firewall
Palo Alto Networks
Checkpoint Software Technologies
Cisco Sys...
PRODUITS DU MARCHÉ
Proxy Applicatif
SG Blue Coat
CISCO Cache Engine (intégration aux
routeurs CISCO),
CacheQube, Dynacache...
PRODUITS DU MARCHÉ
Proxy Web
69 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
...
PAUSE-RÉFLEXION
Avez-vous des questions ?
70 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduct...
RÉSUMÉ DU MODULE
71 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Bonnes
prati...
OBJECTIFS
ORIGINE DU BESOIN ET DÉFINITION – TERMINOLOGIE - CONCEPTS DE BASE
SÉCURISATION DES DONNÉES ET PKI (PUBLIC KEY IN...
OBJECTIFS
Patrimoine informationnel de l’entreprise :
La perte, la divulgation ou l’altération de l’information peuvent co...
NOTIONS DE CRYPTOLOGIE
74 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
NOTIONS DE CRYPTOLOGIE
Origine, problématique et terminologie
75 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisa...
ORIGINE DU BESOIN ET DÉFINITION
La cryptographie assure quatre fonctions essentielles :
Confidentialité : Protection de l’...
ORIGINE DU BESOIN ET DÉFINITION
Pour répondre à ces besoins, différentes techniques
de cryptographie
Le chiffrement et le ...
ORIGINE ET PROBLÉMATIQUE
Historique
Atbash cipher (500 – 600 B.C.), Scytale spartiate (150 av. J.C.),
Chiffre de César (10...
ORIGINE ET PROBLÉMATIQUE
Problématique
Techniques de chiffrement en constante évolution en fonction des
progrès en mathéma...
TERMINOLOGIE
Cryptographie
Désigne l'ensemble des techniques de chiffrement d'informations
Cryptologie
Science du chiffrem...
TERMINOLOGIE
81 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
? ! ?
•L’algorit...
TERMINOLOGIE
Application « interactive »
Application dépendante des informations échangées entre le client et le serveur e...
NOTIONS DE CRYPTOLOGIE
Les concepts de base
83 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reprodu...
LES CONCEPTS DE BASE
84 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Informat...
LES CONCEPTS DE BASE
Chiffrement symétrique
Principe
Notion de symétrie car on utilise la même clé pour chiffrer et
déchif...
LES CONCEPTS DE BASE
86 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
•La même...
LES CONCEPTS DE BASE
Les algorithmes symétriques
• 2 variantes de chiffrement symétrique
– Chiffrement symétrique par flux...
LES CONCEPTS DE BASE
88 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Exemples...
LES CONCEPTS DE BASE
Avantage
Le chiffrement symétrique permet de chiffrer de grandes quantités de
données avec des perfor...
LES CONCEPTS DE BASE
Chiffrement Asymétrique (chiffrement à clé publique)
Principe
Il utilise une clé différente en émissi...
LES CONCEPTS DE BASE
91 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés 91
• Un ...
LES CONCEPTS DE BASE
Avantages
Confidentialité : Permettre à tous de chiffrer des messages avec la clé publique
d'une pers...
LES CONCEPTS DE BASE
Combinaison des deux chiffrements
Principe
Garder les avantages des 2 systèmes (symétrique et asymétr...
LES CONCEPTS DE BASE
La combinaison des 2 principes Asymétrique et Symétrique résout :
- le problème de performance : le n...
LES CONCEPTS DE BASE
95 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés 95
Mécan...
LES CONCEPTS DE BASE
Algorithmes Asymétriques
RSA (1977) : Ron Rivest, Adi Shamir, Len Adelman
Algorithme à clé publique l...
LES CONCEPTS DE BASE
Algorithmes Asymétriques
DH Diffie-Hellman (1976)
Utilisé pour la mise en accord de clé de chiffremen...
LES CONCEPTS DE BASE
Analogie pour l’explication du secret partagé de « Diffie-Hellman »
Alice et Bernard désirent s’échan...
LES CONCEPTS DE BASE
Analogie
Les deux pots de peinture sont alors échangés
Alice Bernard
99 PRONETIS©2016 - Philippe Pres...
LES CONCEPTS DE BASE
Analogie
Il n’est pas possible de connaître les couleurs ajoutées
Chacun ajoute à nouveau la même tei...
LES CONCEPTS DE BASE
Analogie
Alice et Bernard obtiennent la même couleur alors que les quantités
ajoutées de vert et d’or...
LES CONCEPTS DE BASE
Calcul d’intégrité d’un message : Hachage
Principe
Utilisé pour contrôler l’intégrité de l’informatio...
LES CONCEPTS DE BASE
Fonctionnement (suite)
Très faible probabilité pour un condensé de correspondre à deux messages
En pr...
LES CONCEPTS DE BASE
Illustration de l’utilisation
104 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de...
LES CONCEPTS DE BASE
Algorithmes de Hashing
MD5 (Message Digest 5) par Ron Rivest 92
Condensé de 128 Bits
Algorithme décon...
LES CONCEPTS DE BASE
MD5:
ad88955aae07d7b60c9d0d022cda0a34
SHA -1:
eb17e6600074f371a4b40d72d35e95e0d896ee1d
SHA-256:
7d0e8...
LES CONCEPTS DE BASE
Signature électronique
Principe
Aspect fondamentale dans l’authentification de l’origine d’une transa...
LES CONCEPTS DE BASE
108 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Clé Kpu...
COMMENT CHOISIR UNE TAILLE DE CLÉ ?
http://www.keylength.com/fr/5/
109 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'u...
SÉCURISATION DES DONNÉES ET
PKI (PUBLIC KEY
INFRASTRUCTURE)
110 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisat...
SÉCURISATION DES DONNÉES ET PKI
Problématique de la distribution des clés publiques
111 PRONETIS©2016 - Philippe Prestigia...
PROBLÉMATIQUE DE DE LA DISTRIBUTION DES
CLÉS PUBLIQUES
Les mécanismes décrits précédemment permettent la constitution d’un...
PROBLÉMATIQUE DE DE LA DISTRIBUTION DES
CLÉS PUBLIQUES
La PKI ou infrastructure à clés publiques a pour but de résoudre le...
COMPOSANTES D’UNE PKI
114 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
COMPOSANTES D’UNE PKI
Définition de l’IETF
L’Infrastructure à clé publique de la PKI (Public Key
Infrastructure) désigne l...
COMPOSANTES D’UNE PKI
Principales fonctions de la PKI :
Enregistrement de demandes et de vérification des critères pour
l’...
COMPOSANTES D’UNE PKI
Autorité de Certification (Certification Authority : CA)
Principe de fonctionnement
Pour publier une...
INFRASTRUCTURE PKI
118 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Demande d...
COMPOSANTES D’UNE PKI
119 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
AC : A...
COMPOSANTES D’UNE PKI
AC racineAC racine
AC
subordonnée
AC
subordonnée
AC
subordonnée
AC
subordonnée
AC
subordonnée
AC
sub...
COMPOSANTES D’UNE PKI
Usages d’une PKI :
Navigateur en SSL (https)
Messagerie électronique (S/MIME)
Carte à puce pour ouve...
CERTIFICAT ÉLECTRONIQUE
122 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CERTIFICAT ÉLECTRONIQUE
Le propriétaire du certificat peut être une être humain ou une machine.
- Exemple de certificat ma...
CERTIFICAT ÉLECTRONIQUE X509
Identité du sujet
Identité de
l’émetteur
Valeur de la clé
publique du
sujet
Durée de validité...
CERTIFICAT ÉLECTRONIQUE
La classe d’un certificat se caractérise en fonction des points suivants
- Vérification d’identité...
CERTIFICATS ÉLECTRONIQUES
Certificats dans Internet Explorer
3 grandes catégories
Certificats racines
Certificats interméd...
CERTIFICATS ÉLECTRONIQUES
Exemple de
certificat serveur
127 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ...
CERTIFICATS ÉLECTRONIQUES
Exemple de certificat serveur
128 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ...
CERTIFICATS ÉLECTRONIQUES
Exemple de certificat serveur
129 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ...
LA CHAÎNE COMPLÈTE
Chiffrement
asymétrique
Clé privée de Bob
( émetteur)
empreinte
empreinte
déchiffrement
asymétrique
ALI...
LA CHAÎNE COMPLÈTE
ALICE
BOB
Exemple du chiffrement d’un message
Clé publique de Bob
(destinataire)
Chiffrement
asymétriqu...
CYCLE DE VIE DU CERTIFICAT
Création :
Révocation :
- Perte du support de la clé privée
- Compromission de la clé privée
- ...
RÉSUMÉ DU MODULE
133 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Origine
Bes...
MESSAGERIE SÉCURISÉE S/MIME
VPN - VIRTUAL PRIVATE NETWORK - FAMILLES DE VPN
STANDARDS SSL ET IPSEC - SSL VERSUS IPSEC
PROD...
ILLUSTRATION AVEC UN CLIENT DE MESSAGERIE MICROSOFT OUTLOOK 2013
ENVOI ET RÉCEPTION DE MAILS SIGNÉS ET CHIFFRÉS
MESSAGERIE...
S/MIME
136
La technologie S/MIME
(Secure Mime), créée en
1995, permet d’envoyer et
recevoir des courriers
électroniques si...
ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007 :
CONFIGURATION
137 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation...
ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007
138
Envoi d’un mail signé et chiffré
PRONETIS©2016 - Philippe Prestigiacomo - Dro...
ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007
139
Réception d’un mail signé
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'u...
ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007
140
Réception d’un mail signé et chiffré
Le message n’est pas stocké en clair dan...
ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007
141
Réception d’un mail signé et chiffré
PRONETIS©2016 - Philippe Prestigiacomo -...
VPN (VIRTUAL PRIVATE NETWORK)
VPN CHIFFRÉ ET TECHNIQUES DE
TUNNELING
142 PRONETIS©2016 - Philippe Prestigiacomo - Droits d...
FAMILLES DE VPN
Virtual Private Network
Liaison sécurisée entre deux réseaux
Les informations sont envoyées à travers un t...
LA CHAÎNE DE LIAISON SÉCURISÉE
Site distant : agence, fournisseur
Transport sécurisé
• IPSec
• SSL
Réseau IP
Protection du...
FAMILLES DE VPN
SSL Extranet
Application-aware
IPSec VPN
CPE-based
Virtual Router
IPSec / MPLS / BGP
Circuit VPN
ATM / FR
...
STANDARDS SSLV3 ET IPSEC
146 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES STANDARDS SSL ET IPSEC
Les standards
SSL (Secure Sockets Layer)
Se situe au-dessus de la couche TCP
Exemple de protoco...
LES STANDARDS : SSL
Objectif de SSL
Authentification du serveur, Confidentialité, Intégrité des données et
optionnellement...
LES STANDARDS : SSL
Utilisation de SSL
SSL est largement utilisé dans les transaction e-business à travers Internet
SSL es...
LES STANDARDS : SSL
1 : c > s : envoi de la requête ClientHello
Contenant la version SSL supportée, liste des méthodes de ...
LES STANDARDS : SSL
Remarque : Traces effectuées avec « SSLDump »
Affichage des informations les plus importantes
Version ...
LES STANDARDS : SSL
Le pre-master-secret (C1)
Chiffrement effectif des
informations échangées
À partir de la requête N°7 j...
LES STANDARDS : SSL
Algorithmes supportés par SSL V3
DES, Triple-DES
MD5
RC2 et RC4
RSA Chiffrement
RSA Echange de clé. Un...
LES STANDARDS : SSL
Points de contrôles
Est-ce que la version du protocole SSL est vulnérable ?
Quel est le niveau de sécu...
LES STANDARDS : IPSEC
Objectifs de IPSec
Confidentialité, Intégrité
Garantir la provenance des données (Authentification d...
LES STANDARDS : IPSEC
156 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
VPN LA...
LES STANDARDS : IPSEC
Présentation
Comme SSL, IPSec a un mécanisme de mise en accord sur un secret
partagé et une gestion ...
LES STANDARDS : IPSEC
AH : Authentification Header
Objectif
Assure l’intégrité et l’authentification des paquets IP
Assure...
LES STANDARDS : IPSEC
ESP : Encapsulating Security Payload
Objectif
Assure l’intégrité et la confidentialité des données d...
LES STANDARDS : IPSEC
SA (Security Association)
Contient l’ensemble des paramètres de sécurité pour effectuer une communic...
LES STANDARDS : IPSEC
Les phases IKE
Phase 1 « IKE » : La 1er phase établit un canal sécurisé pour la négociation des
para...
LES STANDARDS : IPSEC
IPSec supporte deux modes d’encapsulation
Mode Transport
Mode Tunnel
162 PRONETIS©2016 - Philippe Pr...
LES STANDARDS : IPSEC
163 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Mode T...
LES STANDARDS : IPSEC
164 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Mode T...
SSL VERSUS IPSEC
165 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
SSL VS IPSEC
Les deux solutions offrent l’authentification, la confidentialité et l’intégrité des
données
IPSec
Opère au n...
SSL VS IPSEC
SSL Vs IPSec
IPSec fournit des mécanismes de sécurité au niveau réseau (3), donc pour
les protocoles basés su...
SSL VS IPSEC
OuiNonDe n’importe quel poste (web kiosk etc.)
OuiNonQuel que soit le réseau (FW, NAT,…)
OuiNonPas de logicie...
SSL VS IPSEC : APPLIANCE SSL
169
Barracuda SSL-VPN 280 : 3 k€ HT Invest. - 1 k€ HT Maintenance (AV/MAJ.SOFT/HARD)
PRONETIS...
SSL VS IPSEC : APPLIANCE SSL
170
Mode de fonctionnement - Synoptique
PRONETIS©2016 - Philippe Prestigiacomo - Droits d'uti...
VPN
Architecture VPN
Positionnement du VPN
Le décodage des flux IPsec/SSL doit se faire avant ou après l’application des
r...
VPN SSL
DMZ Entreprise
SSL VPN
Réseau Interne
• Web Applications, Web mail
• Client/Server
• Emulation client HTML (FTP, p...
PRODUITS DU MARCHÉ
173 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PRODUITS DU MARCHÉ
Les principaux acteurs du marché VPN SSL/IPSec
Netscreen
Juniper
Cisco
Checkpoint
CITRIX
Nortel
Avantai...
PAUSE-RÉFLEXION
Avez-vous des questions ?
175 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduc...
RÉSUMÉ DU MODULE
176 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Famille de
...
OBJECTIFS
GESTION DES ACCÈS AUX RESSOURCES – DIFFÉRENTS TYPES DE CONTRÔLE
D’ACCÈS
MODES D’AUTHENTIFICATION - LES DIFFÉRENT...
OBJECTIFS
178 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
OBJECTIFS
L'objectif principal de l’authentification est d’authentifier les
utilisateurs ou les équipements de manière fia...
CONTRÔLE D’ACCÈS
Le contrôle d’accès recouvre :
L’identification : l’entité indique qui elle est (= son identité, ex : je ...
DIFFÉRENTS TYPES DE CONTRÔLES D’ACCÈS
Un modèle de contrôle d’accès décrit la façon dont une entité (ou
sujet) peut accéde...
DIFFÉRENTS TYPES DE CONTRÔLES D’ACCÈS
Mandatory Access Control (MAC)
Basé sur un système de labels (plus strict car l’OS p...
DIFFÉRENTS TYPES DE CONTRÔLES D’ACCÈS
Role Based Access Control (RBAC)
Aussi appelé nondiscretionary access control
Utilis...
LA LOGIQUE GÉNÉRALE DE GESTION DES ACCÈS
184
Arrivée d’une personne
Ressources
humaines
Système
d’information
Services
gén...
PRÉSENTATION : LA GESTION DES PROCESSUS
185
Nouvel
utilisateur
Demandes d’accès en ligne
Création de la fiche personne par...
MODES D’AUTHENTIFICATION
186 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
LES DIFFÉRENTS TYPES D’AUTHENTIFICATION
Il existe différentes classes d’authentification :
Je connais
Je possède
Je suis
1...
LES DIFFÉRENTS TYPES D’AUTHENTIFICATION
« Ce que je connais »
Mode classique le plus répandu et le plus simple (login/pwd)...
LES DIFFÉRENTS TYPES D’AUTHENTIFICATION
« Ce que je possède »
Principe
Intervention d’un objet physique :
Carte à puce, Cl...
LES DIFFÉRENTS TYPES D’AUTHENTIFICATION
« Ce que je suis »
Principe
Domaine de la biométrie
Mesure des caractéristiques ph...
AUTHENTIFICATION PERSONNELLE
191 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
CHOIX DU MOT DE PASSE
192 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
http:/...
AUTHENTIFICATION PERSONNELLE
Authentification personnelle : nom d'utilisateur, numéro ID
L'authentification personnelle re...
AUTHENTIFICATION NON-REJOUABLE OTP
(OTP : ONE TIME PASSWORD)
194 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisa...
OTP : ONE TIME PASSWORD
Objectif de l’OTP
Authentification à 2 facteurs - « ce que je sais et ce que je
possède ».
« One T...
OTP : ONE TIME PASSWORD
L’OTP généré est toujours différent et donc non rejouable
Basé sur le temps
OTP généré est calculé...
Authentification de l’individu :
Permettre une identification formelle de l’individu
Lier l’identité physique à l’identité...
OTP : ONE TIME PASSWORD
198 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
PAUSE-RÉFLEXION
Avez-vous des questions ?
199 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduc...
RÉSUMÉ DU MODULE
200 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
Modes
d’aut...
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Sécurite operationnelle des Systèmes d'Information Volet-2
Upcoming SlideShare
Loading in …5
×

Sécurite operationnelle des Systèmes d'Information Volet-2

600 views

Published on

Sécurite opérationnelle des Systèmes d'Information Volet-2

Published in: Education
  • Be the first to comment

  • Be the first to like this

Sécurite operationnelle des Systèmes d'Information Volet-2

  1. 1. VOLET 2 1 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  2. 2. AGENDA VOLET II Module N°1 : Protection et cloisonnement des réseaux Menace des couches basses – Menaces sur les équipements - Bonnes pratiques Protection logique du réseau- VLAN – Firewalls - Diodes Protection de la couche applicative - Proxy – Web Applicatif Firewall (WAF) Module N°2 : Protection des applications, données et cryptologie Origine du besoin et définition – Terminologie - Concepts de base Sécurisation des données et PKI (Public Key Infrastructure) Problématique de la distribution des clés publiques - Composantes d’une PKI Certificat électronique & Cycle de vie Module N°3 : Protection des communications : messagerie et réseau Messagerie sécurisée S/MIME VPN - Virtual Private Network - Familles de VPN Standards SSL et IPSec - SSL versus IPSec Module N°4 : Authentification utilisateurs – réseaux – applications Gestion des accès aux ressources Modèles DAC/MAC/ORBAC Modes d’authentification Authentification non-rejouable 2 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Module N°5 : Sélectionner des produits de sécurité Référentiels Critères d’évaluation de sécurité Processus d’évaluation des produits Exemples Pour aller plus loin Livre Magazine Articles - Web
  3. 3. TRAVAIL PERSONNEL Sécurité informatique et réseaux - 4eme édition Ghernaouti Lecture des chapitres suivants Chapitre 6 Sécurité des infrastructures télécoms : 6.1 à 6.5 Chapitre 8 Systèmes Pare-feu et Détection d’intrusion : 8.1 à 8.3 Chapitre 5 Chiffrement :5.1 à 5.4 Chapitre 9 Application : 9.1, 9.2, 9.4 Chapitre 4 Politique de sécurité : 4.8 3 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  4. 4. OBJECTIFS MENACE DES COUCHES BASSES – BONNES PRATIQUES PROTECTION LOGIQUE DU RÉSEAU- VLAN – FIREWALLS - DIODES PROTECTION DE LA COUCHE APPLICATIVE - PROXY – PARE-FEU APPLICATIF ILLUSTRATION – ARCHITECTURE SÉCURISÉE LES PRODUITS DU MARCHÉ RÉSUMÉ DU MODULE MODULE N°1 : PROTECTION ET CLOISONNEMENT DES RÉSEAUX 4 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  5. 5. OBJECTIFS Protection périmètrique : Les infrastructures de sécurité périmètrique protègent le système d’information des menaces extérieures. Cela se traduit par un contrôle d’accès au réseau et un cloisonnement des flux d’information. Notion de responsabilité Distinction des zones de responsabilités de l’entreprise - Où commence et où s’arrête la part de responsabilité de l’entreprise ? - Délimitation de son système d’information Un périmètre logique et non physique Joint-venture, GIE, structures à 50/50, sous-traitants, infrastructures infogérées, etc. 5 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  6. 6. MENACES DES COUCHES BASSES Physique Écoute des émissions électromagnétiques des câbles Connexion directe au réseau Déni de service Liaison Usurpation de paquets ARP et envoie de fausses adresses MAC Écrasement d’entrées dans le cache ARP Surcharge ou tromperie des commutateurs Réseau Obtention d’une adresse IP via DHCP Usurpation d’adresse IP Écoute sur les routeurs Déni de service visant un routeur Usurpation du protocole de routage pour insérer de mauvaises routes dans les routeurs alentours Usurpation des messages de diagnostic ICMP 6 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  7. 7. MENACES SUR LES ÉQUIPEMENTS Concentrateurs, commutateurs, routeurs Offrent des outils de gestion, souvent accessibles par le réseau, qui peuvent être détournés Tous exécutent des firmwares ou d’autres logiciels plus sophistiqués qui peuvent présenter des vulnérabilités Ils peuvent être bidouillés ou volés en cas d’accès physique Leurs configurations par défaut sont connues des attaquants 7 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  8. 8. BONNES PRATIQUES Ségrégation des réseaux Séparation des réseaux ayant des fonctions différentes (réseau des guichets automatiques séparé du réseau bureautique) Séparation des réseaux de différents niveaux de sensibilité Sécurité des différents des réseaux périphériques Mettre en place des pare-feux aux endroits stratégiques Internet, prestataires, agences…. Mise à jour des firmwares Changement des mots de passe par défaut Activer les fonctions de traçabilité 8 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  9. 9. BONNES PRATIQUES Activer la fonction Port Security sur les commutateurs Fonction Port-Security (sur les Cisco) : limite les effets de l’ARP spoofing, et des attaques sur le service DHCP (plusieurs MAC sur un port Ethernet) Restriction du nombre d’adresse MAC autorisé par port Configuration de comportement dynamique Envoi automatique d’une trap SNMP 99 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  10. 10. VLAN : VIRTUAL LAN 10 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  11. 11. VLAN – VIRTUAL LAN Contexte De nouveaux besoins : visio conf, e-learning, la voix sur IP De nouvelles exigences : sécurité, mobilité des utilisateurs, performance Des contraintes existantes : Sous-réseaux liés aux switchs Utilisateurs regroupés géographiquement mais avec des liens fonctionnels différents Plan d’adressage difficile à mettre en œuvre dans la cadre de la mobilité des postes Congestions des réseaux locaux (ex : tempête de broadcast) Finalités Permettre une configuration et une administration plus facile des grands réseaux Permettre la mobilité des utilisateurs Limiter les domaines de broadcast Effectuer de la QoS (Qualité de Service) Garantir la sécurité 11 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  12. 12. VLAN – VIRTUAL LAN Concept Une nouvelle manière d’exploiter la technique de commutation pour donner plus de flexibilité aux réseaux locaux. Un VLAN est un domaine de broadcast dans lequel l’adresse de diffusion atteint toujours les stations appartenant au VLAN. Les communications à l’intérieur du VLAN sont sécurisées (cloisonnées) et celles entre deux VLAN distincts sont contrôlées. 12 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  13. 13. VLAN – VIRTUAL LAN Les VLAN (Virtual LAN) Consiste à scinder une infrastructure réseau unique en différents tronçons « logiques » correspondant à un domaine de broadcast Plusieurs types de VLAN ont été définis suivant les regroupements des stations du système (voir Cours Réseaux 3A) 13 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  14. 14. VLAN – VIRTUAL LAN VLAN de niveau physique ou de niveau 1 VLAN 1 VLAN 2 VLAN 3 14 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  15. 15. VLAN – VIRTUAL LAN VLAN de niveau 2, ou VLAN de niveau MAC (Trame) VLAN 1 VLAN 2 VLAN 3 15 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  16. 16. VLAN – VIRTUAL LAN 16 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Configuration typique d’un réseau industriel présentant une surface d’attaque maximale
  17. 17. VLAN – VIRTUAL LAN Comment définir les zones Dépendances fonctionnelles existantes – (Niveau 4 et les autres niveaux de 3 à 0 du modèle ISA – cf. Volet I) Ruptures technologiques entre équipements – dans le cas d’utilisation de protocoles réseaux différents – liaison d’interconnexion par des passerelles Séparation des API de sureté – place les API de pilotage et les API de sûreté dans des zones distinctes 17 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Se référer à la norme IEC 62443
  18. 18. VLAN – VIRTUAL LAN 18 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Principe des degrés de criticité avec des règles de filtrage de flux réseaux
  19. 19. VLAN – VIRTUAL LAN 19 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Segmentation des réseaux en fonction de leur criticité
  20. 20. ROUTEUR FILTRANT 20 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  21. 21. ROUTEUR Hors périmètre du routeur : • Pas de protection contre les attaques au niveau réseau • Pas de protection au niveau applicatif 21 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  22. 22. ROUTEUR Réseau A Réseau B 22 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Les paquets sont vérifiés dans la couche réseau. Utile en première ligne de défense. Modèle de décision simple (rejet ou acceptation) basé sur l’en-tête IP
  23. 23. ROUTEUR Filtrage du trafic La possibilité de filtrer les paquets est généralement incluse dans le logiciel des routeurs Travaille sur la base de toute combinaison des informations suivantes : Adresse source Adresse destination Port source Port destination (qui définit à quel service vous voulez vous connecter) Le sens d'établissement de la communication Les règles « filtres » sont appliquées de haut en bas Les spécifiques doivent être placées vers le haut de la liste Les règles génériques vers la fin ( « deny all » ) 23 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  24. 24. ROUTEUR Fonctionnement des ACLs (ACCESS CONTROL LIST) 2 ACLs doivent être posées sur chaque interface Format des ACLs (exemple sur un routeur CISCO) Positionnement des ACLs Requiered keyword N°ACL Action Protocol Src dest Optional Access-list 102 Permit TCP Any eq 21 144.19.74.0 0.0.0.255 gt 1023 Established 24 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  25. 25. DMZ AUTHENTIFICATION : RÉSEAU N° ACL Action IP Src Port Src IP Dest Port Dest Optional 102 Permit 144.19.74.201 / 255.255.255.255 Gt 1023 Any Eq 25 Established 102 Permit 144.19.74.201 / 255.255.255.255 Eq 25 Any Gt 1023 102 Deny Any Any Any Any S’il n’y avait pas le Flag « Established » , les machines extérieures pourraient générer du trafic entrant vers n'importe quel autre port. Pour résoudre ce problème nous avons besoin d'une information sur la direction (Established), en autorisant les appels entrants uniquement sur le port 25 pour les connexions déjà établies. Sécurité Externe Client Client Client Client Client Reseau Interne Relais SMTP 144.19.74.201 102 25 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  26. 26. FIREWALLS (OU PARE-FEU) 26 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  27. 27. FIREWALLS Définition Terme générique pour désigner, le logiciel ou le hardware appliquant la politique de sécurité réseau Principe Opère dans les couches TCP/IP Point de passage obligatoire (Check point) Tout le trafic entrée/sortie transite par le firewall Point de concentration sur lequel, le firewall focalise et applique la politique de sécurité Cloisonnement entre plusieurs réseaux : En général, public ou privée Pour isoler des serveurs (services), DMZ Traçabilité de l’activité réseau Ergonomie et console d’administration 27 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  28. 28. FIREWALLS Les composantes d’un Firewall Logiciel sur un système d’exploitation propriétaire ou standard (en général du Linux Free BSD) Hardware dédié « Appliance » Évolution des technologies de Firewalling 1ère génération: les routeurs filtrants, 2ème génération: les passerelles applicatives proxy, ou Socks 3ème génération: éléments filtrant l’état des connexions par paquets, « stateful inspection », Stratégie et orientation actuelles des constructeurs le « tout en un » : les firewalls cumulent régulièrement de nouvelles fonctionnalités (détection d’intrusion, proxy, authentification…) Le Mode « Appliance » est souvent proposé 28 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  29. 29. FIREWALLS • Hors périmètre du firewall : Pratiquement pas de protection au niveau applicatif Exemple : n’offre pas de protection contre les virus contenus dans un fichier transféré par FTP ou attaché à un mail au format MIME, ou bien des codes mobiles malicieux en HTTP/S 29 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  30. 30. FIREWALLS 30 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  31. 31. FIREWALLS Filtrage IP à état - SPI - Statefull packet inspection Ensemble de contrôles sur les entêtes des paquets pour s’assurer que les protocoles de niveau Réseau (IP) et Transport (TCP, UDP, ICMP, …) sont bien respectés par les paquets inspectés. L’en-tête du paquet reçu L’information sur l’état de la connexion (ouverture, fermeture) La fragmentation IP et les Offset Type d’application au dessus de la couche transport (UDP, TCP) Interface par laquelle est traité le datagramme IP Date et heure de l’arrivée/départ du datagramme IP Vérification de l'état de la communication Vérification de la cohérence de la communication (bits SYN/SYN-ACK/ACK) Vérification de la fragmentation : analyse des datagrammes fragmentés Validation des numéros de séquences TCP Elimination des paquets « Out-Of-State » Protection contre les dénis de services réseaux Limitations : protège uniquement contre les attaques de niveau « réseau ». 3131 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  32. 32. FIREWALLS Application Level Filtering – ou – proxy applicatif Vérification de la cohérence et du contenu des données au niveau protocolaire. Analyse Sémantique et/ou Syntaxique des protocoles standards Principe de fonctionnement Cette technique consiste à analyser les paquets circulant sur un réseau dans le but de « décoder » le protocole applicatif utilisé : Contrôle de conformité de la communication aux standards (on parle ici de RFC) du protocole applicatif Contrôle de l’utilisation faite du protocole Avantages du contrôle de la conformité du protocole : Technique proactive, elle permet de bloquer des attaques non connues simplement car elles dérogent aux RFC ou aux règles. Elle ne nécessite pas le maintien d’une base de signatures d’attaques. Limitations : Technique efficace seulement sur les protocoles analysés (difficulté d’analyser tous les protocoles). Elle ne permet pas de détecter attaques qui respectent le protocole. 3232 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  33. 33. FIREWALLS 3333 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  34. 34. FIREWALLS Fonctions complémentaires Anti-Spoofing : Détection de l’usurpation d’adresse NDIS : sonde de détection et de prévention d’intrusions VPN chiffré (compliant VPN IPSec et/ou VPN SSL) Authentification des utilisateurs (sur un annuaire externe LDAP / AD) Antivirus Anti spam 3434 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  35. 35. FIREWALLS Inconvénients d’un routeur filtrant Traçabilité : pas de fonction avancée pour logger les informations. Administration complexe et pas de mécanisme d’alerte Inconvénients d’un logiciel firewall installé sur un serveur Coût d’exploitation Compétences requises en Windows ou Unix Gestion des sauvegardes Nécessite le durcissement de l’OS Failles de sécurité connues Avantage du Firewall « Appliance » Système d’exploitation déjà durci et limité au stricte minimum en sortie usine Nécessite peu de maintenance Upgrade des versions OS Pas de sauvegarde complète, uniquement les fichiers de configuration (kOctects) 35 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  36. 36. ARCHITECTURES TYPES DE FIREWALLS DMZ (demilitarized zone) : En termes militaires, zone où les activités militaires sont interdites (cf. Corée) réseau tampon situé entre le réseau protégé (interne) et le réseau non protégé (Internet) 36 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  37. 37. 37 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés PRIVEE
  38. 38. FIREWALLS : NETASQ 3838 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  39. 39. FIREWALLS 39 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  40. 40. CAS DES FIREWALLS INDUSTRIEL Marché en forte croissance Des constructeurs industriels d’automates - SCHNEIDER Des constructeurs informatiques spécifiques au monde industriels – HISCHMANN Des constructeurs et éditeurs classiques - THALES 40 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  41. 41. CAS DES FIREWALLS INDUSTRIEL Eagle20 : filtrage du traffic – firewall réseau http://www.hirschmann.com/en/Hirschmann_Produkte/Industrial_Ethernet/security- firewall/index.phtml Tofina : firewall applicatif http://iom.invensys.com/fr/pages/Triconex_Tofino_Firewall.aspx 41 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Degree of protection: IP20 Operating temperatures: -40°C to +70°C
  42. 42. DIODES RÉSEAUX 42 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  43. 43. DIODES RÉSEAUX Une diode réseau est un système qui permet d’interconnecter 2 réseaux, en autorisant le transfert de données dans un seul sens. Ce type de système est généralement employé pour relier un réseau nécessitant un niveau de sécurité élevé, appelé « réseau haut » à un réseau de confiance moindre (par exemple (Internet), le « réseau bas » . Seul la remontée d’informations du réseau bas vers le haut est autorisée, afin de garantir la confidentialité du réseau haut. 43 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Diode de données garantissant l’unidirectionnalité des flux d’information
  44. 44. DIODES RÉSEAUX Partie matérielle de la diode : la liaison Ethernet optique unidirectionnelle qui relie 2 serveurs est garantie par l’utilisation d’une seule fibre optique reliée du côté « bas » à un port émetteur optique (TX), du côté « haut » à un port récepteur (RX). 44 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  45. 45. DIODES RÉSEAUX Les caractéristiques optiques et électroniques intrinsèques du matériel assurent qu’aucune donnée ne peut être transmise du haut vers le bas, il n’existe donc pas de canal caché possible. Cette propriété matérielle distingue fondamentalement la diode réseau d’un pare-feu classique : Même s’il est possible de configurer un pare-feu pour bâtir une liaison unidirectionnelle entre deux réseaux, on ne pourra jamais assurer qu’une vulnérabilité logicielle ou un canal caché ne puisse pas un jour permettre de transférer des données dans l’autre sens. 45 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  46. 46. DIODES RÉSEAUX Exemple : Un réseau très sensible peut avoir besoin d'informations publiques pour son utilisation. Par exemple, un réseau de contrôle aérien aura besoin d'informations météo pour fonctionner. Si ces informations sont disponibles sur internet, il faut pouvoir les récupérer tout en protégeant les informations du contrôle aérien d'un accès non contrôlé depuis l'internet. https://www.thalesgroup.com/sites/default/files/asset/document/eli ps_sd_leaflet_fr_10042013.pdf 46 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  47. 47. PROTECTION DE LA COUCHE APPLICATIVE PROXY - PARE-FEU APPLICATIF 47 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  48. 48. PROTECTION DE LA COUCHE APPLICATIVE Inspectent les paquets au plus profond (couche 7) en tenant compte de la sémantique de l’application Ex: peuvent distinguer un GET d’un PUT dans une requête HTTP Problème Performance amoindrie Ce sont les seuls pare-feux qui prennent en charge les menaces actuelles (80% des attaques au niveau applicatif) 48 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  49. 49. PROXIES Définition d’un serveur Proxy Propriétés générales Coupure protocolaire entre le client et le serveur destination Relais des requêtes du client vers le serveur destination Fonctionne au-dessus de la couche IP Différentes utilisations Performances réseaux Fonctions de sécurité Définition des rôles d’un serveur Proxy Contrôle d’accès Disponibilité & Performance Traçabilité 49 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  50. 50. PROXIES Familles de proxies Proxies applicatifs (Proxy HTTP, Proxy SMTP…) Proxies dédiés à un ou plusieurs protocoles au dessus de TCP/UDP Proxies génériques (proxies forwarding ou Proxies de niveau circuit) 50 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  51. 51. PROXIES Proxies Client Proxy Serveur 51 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Les paquets sont vérifiés dans la couche Application (L7), Application/Content filtering. Par exemple les commandes FTP « put » peuvent être interdites, certaines requêtes Web peuvent être interdites en fonction de l’URL demandée
  52. 52. PROXY WEB Principes de Fonctionnement Proxy applicatif effectue Translation de N°port et @IP Filtrage basé sur le sens du flux, N°port, @IP Analyse sémantique et syntaxique du protocole au niveau applicatif Exemple : proxy HTTP 5252 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Proxy Internet Réseau LAN Web server utilisateur requêterequête page page
  53. 53. PROXY WEB Proxy - Contrôle d’accès Authentification : Synchronisation avec l’annuaire d’entreprise pour les utilisateurs et les groupes Utilisant la méthode « X authenticated-user: » dans le header HTTP Utilisant le script de Login…. Définition des droits d’accès : Personnes autorisées, Heures permises et sites autorisés pour des groupes d’utilisateurs Type de navigateur Internet autorisé….. Sur la base d’un annuaire avec des login de connexion Annuaire Interne ou externe Utilisation des enregistrements (logs) Permet d’analyser les URLs demandées, et d’identifier les internautes 53 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  54. 54. PROXY WEB Proxy - Filtrage de contenu Filtrage des URLs permet de Bloquer certaines URLs ou certaines catégories d’URLs (listes noires) Autoriser certaines URLs (listes blanches) Obligatoire pour certaines organisations : Ecoles, Bibliothèques, etc. Sur la base des listes statiques ou dynamiques d’URL Listes blanches et listes noires Base de données incluant des millions de sites par catégorie (porn, politique, jeux, piratage, …) et mises à jour quotidiennement Critères de filtrage par groupe ou profil : Utilisateurs et groupes d’utilisateurs Stations de travail (hostname ou adresse IP) Sous-réseau en fonction des plages d’adresses IP ou VLAN Heures des accès 54 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  55. 55. PROXY WEB Proxy - Filtrage de contenu Filtrage des requêtes utilisateurs (exemple : Get-Only) Filtrage des codes mobiles Elimination des scripts malveillants, activeX, cookies, Java, JavaScript, Blocage des publicités Blocage des virus Blocage des tentatives d’exploitation des failles de sécurité HTML et HTTP 55 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  56. 56. PROXY SMTP (MAILS) Proxy – Filtrage Anti-Spam Préambule En 2007 Radicati Group estime à 75% le volume de spam par rapport au trafic email global Ouverture de la plate-forme nationale de signalement www.signal-spam.fr le 10 mai 2007 Comment lutter contre le SPAM : Pas de solution miracle à ce jour ! Action juridique (manque d’efficacité) : déposer plainte auprès de la CNIL en cas de collecte illégale d’informations personnelles des organismes de défense des consommateurs pour dénoncer des publicités mensongères. de la justice « Depuis le12 juillet 2002, la loi statue en faveur de l’opt-in : l’accord préalable et explicite de l’utilisateur pour l’utilisation de son email à des fins d’envois commerciaux. La collecte par opt-out (accord implicite) devient illégale au même titre que le spam. Le recours doit se faire auprès de l’autorité compétente » Action de sensibilisation interne des utilisateurs (travail de fond) sur le « bon » usage de la messagerie 56 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  57. 57. PROXY SMTP (MAILS) Proxy – Filtrage Anti-Spam Calcul coût du spam avec Vade Retro Technology http://www.vade-retro.com/fr/cout_spam.asp Pour le Gartner Group, une entreprise perd 1300 $ par an et par employé. 5757 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  58. 58. PROXY SMTP (MAILS) Proxy – Filtrage Anti-Spam Action technique - Méthodes de filtrage Listes noires mises à jour en temps réel (RBL) Vérification l’adresse IP du serveur de messagerie expéditeur, en la comparant aux adresses de diverses listes noires, en vue de s’assurer que le serveur en question ne fasse pas partie des serveurs relais ouverts utilisés par les spammeurs. www.mail-abuse.com Normalement, tout serveur de messagerie sécurisé devrait refuser l'envoi (le transit – relais ouvert) de messages électroniques d'expéditeurs externes à son domaine Recherche de DNS Détermine si le serveur de messagerie expéditeur est légal et s’il a un nom d’hôte valide. Cette technique simple permet d’éliminer le spam envoyé par des serveurs de messagerie non enregistrés en tant qu’hôte qualifié au niveau d’aucun serveur de noms de domaines (DNS). 58 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  59. 59. PROXY SMTP (MAILS) Proxy – Filtrage Anti-Spam : Méthodes de filtrage (suite) Filtre sur empreinte Centralisation de tous les spam et calcul des empreintes par hachage. Pour tout nouveau message, l’empreinte est calculée puis comparée à la base existante. Filtre sémantique Analyse lexicale Analyse heuristique Analyse statistique (ou filtrage de Bayes) Reconnaissance optique de caractères De nombreux messages de spam sont reçus sous forme d’image et non de texte. La technique OCR (reconnaissance optique de caractères) est capable de lire le texte, même s’il apparaît sous forme d’image graphique. 59 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  60. 60. PROXY SMTP (MAILS) Proxy – Filtrage Anti-Spam : Analyse de l’en-tête SMTP (suite) 6060 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Return-Path: <inteactiv.credltlyonais@security.fr> Received: from mwinf0504.wanadoo.fr (mwinf0504.wanadoo.fr) by mwinb0505 (SMTP Server) with LMTP; Wed, 08 Mar 2012 03:32:56 +0100 X-Sieve: Server Sieve 2.2 Received: from me-wanadoo.net (localhost [127.0.0.1]) by mwinf0504.wanadoo.fr (SMTP Server) with ESMTP id A2B6874005E1 for <wfr400009ee3445071e7c8cb76e@back05-mail01-03.me-wanadoo.net>; Wed, 8 Mar 2012 03:32:56 +0100 (CET) Received: from -1213298912 (unknown [218.24.193.197]) by mwinf0504.wanadoo.fr (SMTP Server) with SMTP id 65F1074005E0 for <bob.leponge@wanadoo.fr>; Wed, 8 Mar 2012 03:32:52 +0100 (CET) X-ME-UUID: 20120308023253417.65F1074005E0@mwinf0504.wanadoo.fr Received: from security.fr (-1217000416 [-1216293296]) by quintanaroo.com (Qmailv1) with ESMTP id AF2AF35AF4 for <bob.leponge@wanadoo.fr>; Wed, 08 Mar 2012 06:32:51 -0800 Date: Wed, 08 Mar 2012 06:32:51 -0800 From: Security_credltllyonais <inteactiv.credltlyonais@security.fr> X-Mailer: The Bat! (v2.00.2) Personal X-Priority: 3 Message-ID: <3509647370.20120308063251@security.fr> To: Bruno <bob.leponge@wanadoo.fr> Subject: Le Credit Lyonnais.Nouveau systeme de securite de notre banque est en regime de test. MIME-Version: 1.0 Les différents relais de transit Ordinateur émetteur Date et heure Serveur messagerie qui a reçu le mail
  61. 61. PROXY SMTP (MAILS) Proxy – Filtrage Anti-Spam : Méthodes de filtrage (suite) 61 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  62. 62. PROXY SMTP (MAILS) Une alternative efficace 6262 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  63. 63. WAF – WEB APPLICATION FIREWALL – REVERSE PROXY WAF – ou - Reverse Proxy (ou Proxy de relais inverse) Caractéristiques Principalement dédiés aux protocoles HTTP et HTTPS Protègent les sites web contre les attaques en provenance de l’Internet. Proposent d’assurer les fonctions d’accélération SSL (via un processeur spécialisé) déchargeant ainsi le serveur Web de cette tâche et permettant de réaliser l’analyse applicative sur le flux HTTPS Se réfère au processus où le serveur Proxy apparaît aux utilisateurs comme un serveur Web. Le reverse proxy est situé côté serveur destination La requête client est relayée à un autre serveur voir un autre Proxy serveur Permet de protéger le serveur contre les attaques applicatives 6363 Blocage des attaques applicatives externes (failles XSS, injections SQL, malwares etc...) PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Reverse Proxy Internet Réseau Web server Internaute requêterequête page page
  64. 64. WAF – WEB APPLICATION FIREWALL – REVERSE PROXY Utilisation d’un WAF: Protection contre les attaques externes - Filtrage les requêtes au niveau applicatif - Identification des attaques grâce à la base de signatures d’attaques et aux règles de filtrage (SQL injection, XSS, Directory Traversal, Déni de service) 6464 Blocage des attaques applicatives externes PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  65. 65. WAF – WEB APPLICATION FIREWALL – REVERSE PROXY 6565 Blocage des attaques applicatives externes PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  66. 66. PRODUITS DU MARCHÉ 66 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  67. 67. PRODUITS DU MARCHÉ Les principaux acteurs du marché Firewall Palo Alto Networks Checkpoint Software Technologies Cisco Systems StormShield (ancien Netasq) Fortinet (Fortigate) Juniper Networks CyberGuard SonicWall (Dell) WatchGuard Technologies UTM (Unified Threat Management) Fortinet Sophos, Dell (SonicWall) Watchguard Check Point 6767 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  68. 68. PRODUITS DU MARCHÉ Proxy Applicatif SG Blue Coat CISCO Cache Engine (intégration aux routeurs CISCO), CacheQube, Dynacache (InfoLibria), ISA Serveur (Microsoft) NetCache (NetAppliance), « I-Planet Web Proxy Server » (SUN) SafeWeb, Border Manager (Novell) Squid (Open source), Trafic Edge (Inktomi), WinGate Pro IPCop Add-on Advanced Proxy Module « Proxy » de Apache Proxy Content filtering -Anti-SPAM Olfeo WebSense Mimesweeper SurfinGate (Finjan) eSafe (Aladdin) AntiSpam (Aladdin) Mfiltro (Netasq) IPCop Add-on URL Filtering Barracuda Networks Smartfilter (Secure Computing) 6868 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés WAF – Produits spécialisés DENY ALL BEEWARE F5 Diodes – Firewall industriels THALES SCHNEIDER HIRSCHMANN INVENSYS
  69. 69. PRODUITS DU MARCHÉ Proxy Web 69 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés WAF
  70. 70. PAUSE-RÉFLEXION Avez-vous des questions ? 70 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  71. 71. RÉSUMÉ DU MODULE 71 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Bonnes pratiques Cloisonnement VLANs Firewall (pare-feu) Diode Proxy Web/Mails WAF Routeur filtrant Illustration Architecture sécurisée
  72. 72. OBJECTIFS ORIGINE DU BESOIN ET DÉFINITION – TERMINOLOGIE - CONCEPTS DE BASE SÉCURISATION DES DONNÉES ET PKI (PUBLIC KEY INFRASTRUCTURE) PROBLÉMATIQUE DE LA DISTRIBUTION DES CLÉS PUBLIQUES - COMPOSANTES D’UNE PKI CERTIFICAT ÉLECTRONIQUE & CYCLE DE VIE RÉSUMÉ DU MODULE MODULE N°2 : PROTECTION DES APPLICATIONS, DONNÉES ET CRYPTOLOGIE 72 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  73. 73. OBJECTIFS Patrimoine informationnel de l’entreprise : La perte, la divulgation ou l’altération de l’information peuvent constituer un grave préjudice à l’entreprise en terme de compétitivité, d’image de marque et donc in fine de pertes financières voire la survie de l’entreprise elle-même. La mise en œuvre d’une politique de sécurité au niveau de l’information se traduit par une protection des applications sensibles et de leurs données « stratégiques ». La mesure de protection des données est principalement une mesure de chiffrement et de restriction des accès. 73 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  74. 74. NOTIONS DE CRYPTOLOGIE 74 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  75. 75. NOTIONS DE CRYPTOLOGIE Origine, problématique et terminologie 75 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  76. 76. ORIGINE DU BESOIN ET DÉFINITION La cryptographie assure quatre fonctions essentielles : Confidentialité : Protection de l’information d’une divulgation non autorisée (messages, fichiers, données brutes, réseau…) Intégrité : Protection contre la modification non autorisé de l’information (messages, fichiers, programmes,..) Authentification : Le destinataire d’un message doit connaître avec certitude son émetteur (ressources, utilisateurs, accès, réseau………. ) Non répudiation : Offre la garantie qu’une entité ne pourra pas nier être impliquée dans une transaction (imputabilité des transactions) 76 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  77. 77. ORIGINE DU BESOIN ET DÉFINITION Pour répondre à ces besoins, différentes techniques de cryptographie Le chiffrement et le déchiffrement de données par des techniques (algorithmes) à clé symétrique et asymétrique pour assurer la confidentialité et l’authentification implicite. La technique de création de condensés des informations obtenues par des opérations de hachage pour l’intégrité La signature des messages échangés afin de permettre l’authentification de leurs émetteurs et la non répudiation. 77 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  78. 78. ORIGINE ET PROBLÉMATIQUE Historique Atbash cipher (500 – 600 B.C.), Scytale spartiate (150 av. J.C.), Chiffre de César (100 av. J.C.), Enigma (1929) A été un enjeu de pouvoir Usage contrôlé réservé à l’état (militaires, services de renseignements, diplomates) La cryptographie a été libérée en France en 1999 (choix de protection des activités commerciales et de la vie privée et reconnaissance que les activités malveillantes en tiraient déjà parti) 78 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  79. 79. ORIGINE ET PROBLÉMATIQUE Problématique Techniques de chiffrement en constante évolution en fonction des progrès en mathématiques, en logique et en physique. La cryptographie est un domaine où les standards peuvent tomber aussi rapidement qu'ils naissent ( contre exemple DES 1970 ) Le chiffrement de nos jours Le chiffrement des données est « omniprésent » Sur votre ordinateur, sur Internet, Carte bancaire, Carte Vitale, GSM, la télévision payante … 79 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  80. 80. TERMINOLOGIE Cryptographie Désigne l'ensemble des techniques de chiffrement d'informations Cryptologie Science du chiffrement. La Cryptanalyse / Décryptage En opposition avec la cryptographie. Regroupe l'ensemble des techniques visant à décrypter les messages chiffrés sans légitimité. Déjouer les mécanismes mis en place dans le cadre de la cryptographie Chiffrement/Déchiffrement Action de retrouver les informations en clair à partir de données chiffrées Action légitime en opposition avec le décryptage 80 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  81. 81. TERMINOLOGIE 81 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés ? ! ? •L’algorithme de cryptographie est une fonction mathématique qui est associée avec une clé. •Une clé est un mot, un nombre ou une suite de caractères alphanumériques •L’utilisation de clés différentes entraine un résultat de chiffrement différent Message en Clair Message chiffré Cryptogramme Clé de chiffrement Clé de déchiffrement Message en Clair Algorithme de Chiffrement Algorithme de Déchiffrement Cryptanalyse : Déchiffrement illégitime ?!?
  82. 82. TERMINOLOGIE Application « interactive » Application dépendante des informations échangées entre le client et le serveur et en générale ayant une contrainte temporelle (ou de temps de réponse) Exemple : Application Web (Browsing), Visio Conférence Application « non interactive » Application fonctionnant en mode différée (ou de façon asynchrone) Exemple : envoi de Mails, transfert de fichier (FTP) 82 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  83. 83. NOTIONS DE CRYPTOLOGIE Les concepts de base 83 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  84. 84. LES CONCEPTS DE BASE 84 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Information Secret Défense (Régie par la loi) Information Confidentielle (Secret ou discrétion professionnelle) Information sensible SURETE SECURITE COMSEC TRANSEC Cryptologie Stéganographie Sécurisation contre les perturbations • Pannes • Dégradation • Bruit de fond Sécurisation contre les malveillances Sécurisation de la transmission Les données et la transmission sont dissimulées Sécurisation de la communication on sait que les données sont chiffrées
  85. 85. LES CONCEPTS DE BASE Chiffrement symétrique Principe Notion de symétrie car on utilise la même clé pour chiffrer et déchiffrer le message Notion fondamentale du canal sécurisé pour l'échange de la clé afin de communiquer en toute sécurité via en environnement à risque Le chiffrement consiste à appliquer au message un algorithme dont le paramètre est la clé de chiffrement, appelé aussi chiffrement à clé secrète (ou encore clé de session). C’est le moyen le plus répandu, le plus ancien et le plus simple à mettre en œuvre. 85 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  86. 86. LES CONCEPTS DE BASE 86 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés •La même clé (Ks : Clé secrète) permet de chiffrer et déchiffrer •Les algorithmes à chiffrement symétrique sont fiables et rapides •Exemple : Algorithme DES, AES, … •Problème : Avoir un canal sécurisé pour distribuer la clé Ks Clé Ks pour chiffrement Clé Ks pour déchiffrement
  87. 87. LES CONCEPTS DE BASE Les algorithmes symétriques • 2 variantes de chiffrement symétrique – Chiffrement symétrique par flux (Stream Cipher) – Chiffrement symétrique par bloc (Block cipher) • Chiffrement symétrique par flux (Stream Cipher) : RC4 (Rivest Code 4) – Traitement d’un Byte à un instant donné – Key stream Ks, Message M, Résultat du chiffrement C C[i] = Ks[i] Xor M[i] M[i] = Ks[i] Xor C[i] • Chiffrement symétrique par bloque (Block cipher) : DES, AES, RC2 – Traitement d’un bloque de bytes à un instant donné (8, 16 bytes) – Matrice de données avec un clé pour sélectionner les colonnes C[i] = E(K,M[i]) M[i] = D(K,C[i]) (Modèle de base ECB) 87 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  88. 88. LES CONCEPTS DE BASE 88 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Exemples DES (Data Encryption standard) conçu par IBM/NSA en 1970 IBM a conçu LUCIFER (128 bits), revue par la NSA pour donner le DES (56bits) En 97, une attaque a été menée en trouvant la clé de chiffrement en moins de 24 heures -> Apparition du 3DES 3DES : Robustesse effective de la clé est de 112 bits et non de 168 bits (3 x 56) IDEA 128 bits crée par la société Mediacrypt – brevet expiré en 2012 SKIPJACK : conçu par NSA en 1980 et resté secret jusqu’en 1998 – non fiable ou intégrant une backdoor. AES (Advanced Encryption standard) – Préconisation actuelle – AES-CBC 128 bits Adopté par le NIST (National Institute of Standards and Technology) Tailles de clé : 128, 192, 256, 512 Bits
  89. 89. LES CONCEPTS DE BASE Avantage Le chiffrement symétrique permet de chiffrer de grandes quantités de données avec des performances élevées. Inconvénients Partage de la même clé entre l’émetteur et le destinataire du message. Toute la sécurité repose sur la clé symétrique La sécurité est fragilisée par le problème de distribution des clés via un « canal non sécurisé » La gestion, la garantie de confidentialité et d'intégrité des clés secrètes engendrent alors des difficultés en termes de ressources et d'organisation : Un même utilisateur communique avec des groupes différents qui, n'ayant pas accès aux mêmes types d'information, ne doivent pas partager le même secret. Ceci conduit à utiliser un grand nombre de clés : Nombre de Clés = (n-1)n/2 avec n = nombre d’utilisateurs 89 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  90. 90. LES CONCEPTS DE BASE Chiffrement Asymétrique (chiffrement à clé publique) Principe Il utilise une clé différente en émission et en réception (une partie privée qui est secrète et une partie publique, dont la confidentialité n'est pas nécessaire). Ce couple de clés est appelé «bi-clé ». Les deux clés utilisées sont crypto graphiquement indissociables de telle sorte que tout message chiffré avec l’une des clés ne peut être déchiffré que par l’autre clé. Reposent sur le problèmes mathématique de la factorisation en grands nombres premiers Il est parfaitement possible de trouver les facteurs premiers d'un nombre à 50 chiffres. Il ne s'agit que d'une question de temps Valable tant qu’aucune découverte mathématique ne serait faite. 90 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  91. 91. LES CONCEPTS DE BASE 91 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés 91 • Un interlocuteur communique sa clé publique et garde sa clé Privée • Pour une communication à deux, on a 2 couples de clés (Kpu, Kpr) • une clé publique permet de chiffrer, Une clé privée sert à déchiffrer Clé Kpu de chiffrement Clé Kpr de déchiffrement Clé Kpu de chiffrement Clé Kpr de déchiffrement
  92. 92. LES CONCEPTS DE BASE Avantages Confidentialité : Permettre à tous de chiffrer des messages avec la clé publique d'une personne. Mais seule la clé privée sera en mesure de lire les messages. Authentification et Non répudiation : en chiffrant un message avec sa clé privée, une personne prouve la provenance du message puisque seule sa clé privée est en mesure de générer un message déchiffrable par sa clé publique connue de tous. Le chiffrement asymétrique simplifie donc la gestion des clés puisque la clé publique peut être distribuée à tout le monde. n « bi-clé » pour n utilisateurs (évolution linéaire) Au moins trois types de bi-clés pour des besoins de sécurité différents : bi-clés de signature permettant de garantir l'intégrité et l'authentification l'origine d'un message bi-clés de chiffrement utilisés pour chiffrer directement des messages bi-clés d'échange de clé destinés à protéger un échange de clé de session (elle-même utilisée pour chiffrer un message) Inconvénient Processus lent car nécessite de nombreux calculs 1000 fois plus lent que le chiffrement symétrique 92 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  93. 93. LES CONCEPTS DE BASE Combinaison des deux chiffrements Principe Garder les avantages des 2 systèmes (symétrique et asymétrique) Consiste à protéger les clés symétriques par un chiffrement asymétrique Fonctionnement L’émetteur chiffre son message avec une clé symétrique dite clé de session Les clés de session sont de 56, 128, 256, 512 bits. L’émetteur chiffre cette clé de session avec la clé publique du destinataire. Les clés publiques sont de 1024 bits ou 2048 bits. (ANSSI préconise une taille > 1024 bits) L’émetteur émet à la fois le message chiffré et la clé de session chiffrée. Le destinataire déchiffre la clé de session en utilisant sa clé privée. Le destinataire déchiffre ensuite le message avec cette clé de session. 93 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Logiciel de cryptologie hybride : PGP, GnuPG, ACID Crytofiler
  94. 94. LES CONCEPTS DE BASE La combinaison des 2 principes Asymétrique et Symétrique résout : - le problème de performance : le nombre de bits chiffrés avec l’algorithme asymétrique est faible comparé à la longueur du message chiffré avec l’algorithme symétrique - Plus besoin d’un canal sécurisé pour l’échange des clés de session (ou clés secrètes) - Réduit la complexité de la gestion des clés (réduction du nombre globale de clés) Alice Bob 94 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  95. 95. LES CONCEPTS DE BASE 95 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés 95 Mécanisme : Mixage du chiffrement symétrique et asymétrique en considérant les avantages de chacun Clé Kpu de chiffrement Clé Kpr de déchiffrement Clé Ks pour chiffrement Clé Ks pour déchiffrement Génération d’une clé secrète (Clé de session Transissions de Ks Transissions sécurisé
  96. 96. LES CONCEPTS DE BASE Algorithmes Asymétriques RSA (1977) : Ron Rivest, Adi Shamir, Len Adelman Algorithme à clé publique le plus utilisé. Repose sur la quasi impossibilité à inverser une fonction puissance et est ainsi considéré comme sûr quand la clé est suffisamment longue RC4 et RSA sont presque toujours associés (RC4 pour le chiffrement des messages, RSA pour le chiffrement des clés AES). RSA permet l’utilisation de clé de 512, 768, 1024 ou 2048 bits Préconisation actuelle : RSA avec une clé >= 2048 bits De gauche à droite : Adi Shamir, Ronald Rivest, Leonard Adleman 96 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  97. 97. LES CONCEPTS DE BASE Algorithmes Asymétriques DH Diffie-Hellman (1976) Utilisé pour la mise en accord de clé de chiffrement Utilisé pour l’échange de clé à travers une liaison non sécurisée uniquement Permet de chiffrer mais pas de signer. Il doit donc être associé à un autre algorithme DSS (Digital Signature Standard) Withfield Diffie Martin Hellman 97 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  98. 98. LES CONCEPTS DE BASE Analogie pour l’explication du secret partagé de « Diffie-Hellman » Alice et Bernard désirent s’échanger une clé de session. Ils conviennent entre eux d’utiliser une certaine quantité de bleu pour communiquer Chacun ajoute une quantité d’une autre couleur dans son pot. La quantité et la couleur choisies par chacun ne sont connues de personne Alice Bernard 98 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  99. 99. LES CONCEPTS DE BASE Analogie Les deux pots de peinture sont alors échangés Alice Bernard 99 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  100. 100. LES CONCEPTS DE BASE Analogie Il n’est pas possible de connaître les couleurs ajoutées Chacun ajoute à nouveau la même teinte et la même quantité que la fois précédente Alice Bernard 100 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  101. 101. LES CONCEPTS DE BASE Analogie Alice et Bernard obtiennent la même couleur alors que les quantités ajoutées de vert et d’orange par chacun n’ont jamais été communiquées. Alice Bernard 101 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  102. 102. LES CONCEPTS DE BASE Calcul d’intégrité d’un message : Hachage Principe Utilisé pour contrôler l’intégrité de l’information, en envoyant cette information accompagnée de son condensé, ce dernier étant éventuellement chiffré. Ne garantie pas la provenance du message Fonction appelée également fonction de condensation Fonctionnement Permet d'obtenir un « nombre caractéristique » sous forme d’une suite de caractères de taille fixe correspondant à partir d’un message de taille variable. Chaque message doit donner qu'un seul résultat appelé un condensé du message Fonction à sens unique (On Way Function). Il est impossible de retrouver le message original à partir du condensé. C’est l'empreinte digitale du message 102 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés À un texte est associé un et un seul condensé Fonction à sens unique : impossibilité de retrouver le texte à partir d’un condensé
  103. 103. LES CONCEPTS DE BASE Fonctionnement (suite) Très faible probabilité pour un condensé de correspondre à deux messages En pratique, il faut que le condensé ait une taille minimum de 128 bits Probabilité de collision : Calcul de la résistance aux collisions : la ½ de la taille du condensé Condensé de 128 bits -> 264 opérations pour générer une collision Illustration d’un condensé résultat d’un opération de hachage 103 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  104. 104. LES CONCEPTS DE BASE Illustration de l’utilisation 104 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  105. 105. LES CONCEPTS DE BASE Algorithmes de Hashing MD5 (Message Digest 5) par Ron Rivest 92 Condensé de 128 Bits Algorithme déconseillé – faiblesses démontrées et prouvées depuis 2008 SHA-1 (Secure Hash Algorithm) - plus supporté en 2016 dans les certificats Condensé de 160 Bits Algorithme déconseillé – faiblesses démontrées et prouvées depuis 2010 SHA-256 bits et SHA-512 bits recommandés aujourd’hui pour éviter les collisions 105 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  106. 106. LES CONCEPTS DE BASE MD5: ad88955aae07d7b60c9d0d022cda0a34 SHA -1: eb17e6600074f371a4b40d72d35e95e0d896ee1d SHA-256: 7d0e8e1c4b5b6ba516322f603710eba7da73323fbfa4dac3e0ed4291b98737c4 SHA-512: a9261cc227b3d0ed2129d64841d59b3e82721dcb0a912c54a529c4835f281dfcf 8706a93d2d5a2047a97403701368cabca2b2a76637c634b9c9905b98f6a3c78 WHIRPOOL: 33db4434493fc116d1d1a0c602502e343f05010cdc2a1e3527d80eacd0531e339 6f2fe824883c525332f41abab77bc92c4af8407af5482f5a1b8465fbd6a439f 106 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  107. 107. LES CONCEPTS DE BASE Signature électronique Principe Aspect fondamentale dans l’authentification de l’origine d’une transaction ainsi que dans sa garantie de « non répudiation ». Elle s’obtient en associant une opération de hachage et un opération de chiffrement asymétrique avec la clé privée de l’émetteur Comme un condensé représente l'empreinte digitale d'un message, il suffit de chiffrer ce condensé à l'aide d'un algorithme à clés asymétriques. Si le condensé de l’émetteur ne peut pas être déchiffré à l'aide de sa clé publique, il ne provient pas de la même personne. Si le message a été modifié, les condensés après comparaison ne correspondent pas. 107 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Permet d’assurer l’intégrité du message Permet d’authentifier l’expéditeur Permet d’assurer la non-répudiation
  108. 108. LES CONCEPTS DE BASE 108 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Clé Kpu de chiffrement Clé Kpr de déchiffrement Vérification authenticité par le destinataire Transissions Scellement du message de l’expéditeur Sceau Permet d’assurer l’intégrité du message Permet d’authentifier l’expéditeur Permet d’assurer la non-répudiation
  109. 109. COMMENT CHOISIR UNE TAILLE DE CLÉ ? http://www.keylength.com/fr/5/ 109 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  110. 110. SÉCURISATION DES DONNÉES ET PKI (PUBLIC KEY INFRASTRUCTURE) 110 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  111. 111. SÉCURISATION DES DONNÉES ET PKI Problématique de la distribution des clés publiques 111 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  112. 112. PROBLÉMATIQUE DE DE LA DISTRIBUTION DES CLÉS PUBLIQUES Les mécanismes décrits précédemment permettent la constitution d’un réseau où les personnes peuvent communiquer de façon sûr grâce au chiffrement des messages Or, comment l’émetteur peut-être sûr que la clé publique qu’il utilise appartient bien au destinataire ? Si une personne malintentionnée a pu modifier l’annuaire (contenant l’ensemble des clés publiques) et mettre sa propre clé publique à la place du destinataire « Bob », alors cette personne peut déchiffrer les messages à destination de « Bob » ou envoyer des messages chiffrés et/ou signés en se faisant passé pour lui. D’où la nécessité d’avoir un composant supplémentaire qui garantisse que la clé est bien celle du propriétaire annoncé. 112 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  113. 113. PROBLÉMATIQUE DE DE LA DISTRIBUTION DES CLÉS PUBLIQUES La PKI ou infrastructure à clés publiques a pour but de résoudre le problème de la distribution des clés publiques. La PKI fournit des certificats garantissant le lien entre une identité et un clé publique. 113 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  114. 114. COMPOSANTES D’UNE PKI 114 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  115. 115. COMPOSANTES D’UNE PKI Définition de l’IETF L’Infrastructure à clé publique de la PKI (Public Key Infrastructure) désigne l’ensemble des moyens et des ressources nécessaires à la gestion du cycle de vie et à l’exploitation des certificats Une PKI regroupe ainsi les composants techniques, les ressources, l’organisation et les politiques de sécurité permettant l’usage de la cryptographie à clé publique dans un contexte défini 115 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  116. 116. COMPOSANTES D’UNE PKI Principales fonctions de la PKI : Enregistrement de demandes et de vérification des critères pour l’attribution des certificats (Autorité d’enregistrement) Génération d’une demande de signature de certificat (Autorité d’enregistrement) Création de certificats (fabrication des bi-clés) (Autorité de certification) Certification des certificats entraînant la publication des clés publiques Renouvellement des certificats (Autorité de certification) Révocation sur date de péremption, perte, vol ou compromission de clés (Autorité de certification) Stockage et archivage des certificats pour assurer la sécurité et la pérennité (Autorité de dépôt) – Annuaire LDAP en général 116 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  117. 117. COMPOSANTES D’UNE PKI Autorité de Certification (Certification Authority : CA) Principe de fonctionnement Pour publier une clé publique, il faut effectuer une demande à une autorité de certification (ou par l’intermédiaire d’une autorité d’enregistrement) qui fournit après vérification de l ’identité du demandeur un certificat numérique à ce dernier Ce certificat délivré authentifie la clé publique du demandeur Dans le certificat se trouve la signature de l’autorité de certification L’autorité de certification qui effectue cette signature se porte garante de l’exactitude de l’association entre la clé publique et le nom de son possesseur. Hiérarchie et organisation L’autorité de certification ne peut pas vérifier la légitimité de toutes les demandes. C’est le rôle des autorités d’enregistrement qui vérifient et valident les demandes avant de les transmettre à l’autorité de certification 117 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Autorité de certification : VeriSign, Certplus, Click&Trust, ChamberSign, Thawte, Entrust.net, Certinomis
  118. 118. INFRASTRUCTURE PKI 118 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Demande de certificat Demande de certificat Expiration du certificat Expiration du certificat AuthentificationAuthentification Génération du certificat Génération du certificat Révocation du certificat Révocation du certificat Suspension du certificat Suspension du certificat Levée de la suspension Levée de la suspension Exploitation du certificat Exploitation du certificat Remise au demandeur Remise au demandeur RenouvellementRenouvellement
  119. 119. COMPOSANTES D’UNE PKI 119 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés AC : Autorité de certification = Préfecture AE: Autorité d’enregistrement = Marie End entity : propriétaire du certificat Certificat = Carte d’identité
  120. 120. COMPOSANTES D’UNE PKI AC racineAC racine AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée AC subordonnée Chaîne de certification La hiérarchie d’une PKI 120 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  121. 121. COMPOSANTES D’UNE PKI Usages d’une PKI : Navigateur en SSL (https) Messagerie électronique (S/MIME) Carte à puce pour ouverture de session ou authentification SSL Connexion réseau sécurisée (VPN) 121 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  122. 122. CERTIFICAT ÉLECTRONIQUE 122 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  123. 123. CERTIFICAT ÉLECTRONIQUE Le propriétaire du certificat peut être une être humain ou une machine. - Exemple de certificat machine : serveur SSL, serveur VPN IPSec … - Exemple de certificat personne : utilisation de la messagerie S/MIME 123 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Le certificat électronique Des informations relatives à l’utilisateur : Nom, prénom, département, adresse email… Sa clef publique La durée de validité du certificat Les usages du certificat Le tout est signé par l’Autorité de Certification de la PKI Il existe un « typage » des certificats électroniques, par fonction (keyusage) Permet de distinguer, schématiquement, les certificats: d’authentification de chiffrement de signature
  124. 124. CERTIFICAT ÉLECTRONIQUE X509 Identité du sujet Identité de l’émetteur Valeur de la clé publique du sujet Durée de validité Signature numérique de l’Autorité de Certification (AC) Chemin pour la CRL Chemin pour la récupération du certificat AC Sujet: Cyril Voisin Émetteur: Issuing CA Valide à partir de: 17/01/2014 Valide jusqu’au: 17/01/2017 CDP:URL=http://pronetis.fr/crl/CA. crl AIA:URL=http://pronetis.fr/ca.crt Clé publique du sujet: RSA 1024.. Politique d’application: Client Authentication, SmartCard Logon... Numéro de série: 78F862… …… Signature: F976AD… La signature numérique garantie l’intégrité des données (idem pour une CRL) 124 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  125. 125. CERTIFICAT ÉLECTRONIQUE La classe d’un certificat se caractérise en fonction des points suivants - Vérification d’identité - Protection de la clé privée de l’autorité de certification - Protection de la clé privée du demandeur Classe 1 : certificat gratuit ou de test. Seule l’adresse e-mail est vérifiée Classe 2 : les informations concernant le titulaire et son entreprise sont contrôlées par l’autorité de certification sur la base de pièces justificatives Classe 3 : par rapport au certificat de classe 2, un contrôle supplémentaire de l’identité du titulaire est effectué physiquement entre le titulaire et un agent de l’autorité de certification. Le stockage obligatoire de la clé privée doit se faire sur un support sécurisé (Token USB, carte à puce) 125 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  126. 126. CERTIFICATS ÉLECTRONIQUES Certificats dans Internet Explorer 3 grandes catégories Certificats racines Certificats intermédiaires Certificats personnels 126 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  127. 127. CERTIFICATS ÉLECTRONIQUES Exemple de certificat serveur 127 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  128. 128. CERTIFICATS ÉLECTRONIQUES Exemple de certificat serveur 128 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  129. 129. CERTIFICATS ÉLECTRONIQUES Exemple de certificat serveur 129 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  130. 130. LA CHAÎNE COMPLÈTE Chiffrement asymétrique Clé privée de Bob ( émetteur) empreinte empreinte déchiffrement asymétrique ALICE BOB Exemple de la signature d’un message Certificat de BobService de publication Clé publique de Bob 130 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  131. 131. LA CHAÎNE COMPLÈTE ALICE BOB Exemple du chiffrement d’un message Clé publique de Bob (destinataire) Chiffrement asymétrique Clé privée de Bob (destinataire) déchiffrement asymétrique Certificat de Bob Service de publication 131 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  132. 132. CYCLE DE VIE DU CERTIFICAT Création : Révocation : - Perte du support de la clé privée - Compromission de la clé privée - Changement des informations contenues dans le certificat (changement de ville, de fonction, etc…) La révocation est la seule manière de dégager sa responsabilité en cas de signature frauduleuse. Suspension La suspension est une révocation temporaire. Un utilisateur a perdu son certificat mais qu’il pense pouvoir retrouver. Renouvellement A la fin de la période de validité, l’utilisateur peut demander le renouvellement de son certificat. 132 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  133. 133. RÉSUMÉ DU MODULE 133 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Origine Besoin Définition Terminologie Composante d’une PKI Certificats et cycle de vie Concepts de base : Signature, Condensé, symétrique, asymétrique PKI & distribution des clés
  134. 134. MESSAGERIE SÉCURISÉE S/MIME VPN - VIRTUAL PRIVATE NETWORK - FAMILLES DE VPN STANDARDS SSL ET IPSEC - SSL VERSUS IPSEC PRODUITS DU MARCHÉ MODULE N°3 : PROTECTION DES COMMUNICATIONS RÉSEAU 134 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  135. 135. ILLUSTRATION AVEC UN CLIENT DE MESSAGERIE MICROSOFT OUTLOOK 2013 ENVOI ET RÉCEPTION DE MAILS SIGNÉS ET CHIFFRÉS MESSAGERIE SÉCURISÉE S/MIME 135 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  136. 136. S/MIME 136 La technologie S/MIME (Secure Mime), créée en 1995, permet d’envoyer et recevoir des courriers électroniques signés et/ou chiffrés. Elle est implémentée dans la plupart des agents de messagerie (Microsoft Outlook, Lotus Notes, Thunderbird, MacOS Mail, etc.). PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  137. 137. ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007 : CONFIGURATION 137 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  138. 138. ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007 138 Envoi d’un mail signé et chiffré PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  139. 139. ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007 139 Réception d’un mail signé PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  140. 140. ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007 140 Réception d’un mail signé et chiffré Le message n’est pas stocké en clair dans le fichier « .pst ». Il n’est pas affiché automatiquement dans l’écran de visualisation PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  141. 141. ILLUSTRATION AVEC LE CLIENT OUTLOOK 2007 141 Réception d’un mail signé et chiffré PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  142. 142. VPN (VIRTUAL PRIVATE NETWORK) VPN CHIFFRÉ ET TECHNIQUES DE TUNNELING 142 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  143. 143. FAMILLES DE VPN Virtual Private Network Liaison sécurisée entre deux réseaux Les informations sont envoyées à travers un tunnel chiffré Protocoles largement déployés : IPSec, SSL, SSH Extension d’un réseau privé à travers un réseau public (ex : Internet) : Site-to-site VPN : interconnexion de deux réseaux privés de type LAN (ex : siege et son agence) Remote access VPN : connexion pour les utilisateurs nomades 143 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Site-to-site VPN
  144. 144. LA CHAÎNE DE LIAISON SÉCURISÉE Site distant : agence, fournisseur Transport sécurisé • IPSec • SSL Réseau IP Protection du poste de travail • Authentification • Sécurisation • Connexion Périmètre de défense • Firewall • Concentrateur VPN Accès • Authentication • Autorisation • Détection d’intrusion MPLS Internet RTC/RNIS DSL/Câble GPRS/3G RTC/RNIS DSL/Câble GPRS/3G MPLS Internet MPLS Internet 144 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  145. 145. FAMILLES DE VPN SSL Extranet Application-aware IPSec VPN CPE-based Virtual Router IPSec / MPLS / BGP Circuit VPN ATM / FR Ethernet VPN Optical / MPLS Network-based VPNs Layer 4-7 Layer 3 Layer 2 Accès distant aux applications et Extranets pour les partenaires Liaisons site à site et Accès distant au réseau Outsourced Network-to-network and SP Managed Employee remote network access Layer 4-7 Layer 3 Layer 2 Accès distant aux applications et Extranets pour les partenaires Liaisons site à site et Accès distant au réseau Outsourced Network-to-network and SP Managed Employee remote network access 145 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  146. 146. STANDARDS SSLV3 ET IPSEC 146 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  147. 147. LES STANDARDS SSL ET IPSEC Les standards SSL (Secure Sockets Layer) Se situe au-dessus de la couche TCP Exemple de protocoles utilisant SSL : HTTPS, SFTP, LDAPS IPSec (IP Security) Se substitue à la couche 3 de IPV4 en dessous des couches UDP, TCP 147 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  148. 148. LES STANDARDS : SSL Objectif de SSL Authentification du serveur, Confidentialité, Intégrité des données et optionnellement authentification du client Principe SSL Utilise une combinaison de chiffrement à clé publique (asymétrique) et à clé secrète (symétrique). Une session SSL débute toujours avec un échange de messages appelé « accord SSL» ou « SSL handshake » Cet échange a lieu afin de faciliter les actions suivantes : Authentification du serveur par le client en utilisant des techniques de clés publiques Sélection des algorithmes de cryptographie supportés par les deux parties Mise en accord sur une clé de session pour le chiffrement des données Authentification du client par le serveur (optionnel) Etablissement d’une connexion SSL chiffrée. 148 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  149. 149. LES STANDARDS : SSL Utilisation de SSL SSL est largement utilisé dans les transaction e-business à travers Internet SSL est une solution intégrée par les navigateurs principaux du marché : Mozilla, Netscape Navigator, Microsoft Internet Explorer… Par les serveurs utilisant SSL : Websphere (IBM), Entreprise Server (Netscape), Internet Information Server (Microsoft), JAVA Web Server (Sunsoft) Open SSL est une version gratuite www.openssl.org 149 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  150. 150. LES STANDARDS : SSL 1 : c > s : envoi de la requête ClientHello Contenant la version SSL supportée, liste des méthodes de chiffrement proposée au serveur ainsi qu’une Valeur aléatoire R1 qui sera utilisée dans la génération d’une clé de session 2 : s > c : réponse avec 3 messages - ServerHello : sélection d’une méthode de chiffrement et d’une valeur aléatoire R2 - Certificate : contenant la clé publique du serveur - ServerHelloDone : indicateur de fin de la négociation côté serveur 3 : c > s : envoi de 3 réponses - ClientKeyExchange contient une clé C1 générée aléatoirement et chiffrée avec clé publique du serveur. La clé de session sera dérivée à partir des valeurs R1, R2 et de C1. - ChangeCipherSpec : spécifie que tous les messages envoyés après seront chiffrés avec la méthode de chiffrement négociée mutuellement - Finished : contient une valeur de retour validant la fin de la bonne négociation de la méthode de chiffrement 4 à (n-1) : La connexion est prête à échanger les données applicatives n : c > s : close_notify indiquant la fin de la communication. 150 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  151. 151. LES STANDARDS : SSL Remarque : Traces effectuées avec « SSLDump » Affichage des informations les plus importantes Version supportée Les listes des méthodes supportées 1. Algo d’échange de clés 2. Algo d’authentification 3. Algo de chiffrement 4. Algo de signature Méthodes de compression supportées Paramètres retenus par le serveur RSA, DES CBC et SHA-1 151 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  152. 152. LES STANDARDS : SSL Le pre-master-secret (C1) Chiffrement effectif des informations échangées À partir de la requête N°7 jusqu’à La fin de la session 152 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  153. 153. LES STANDARDS : SSL Algorithmes supportés par SSL V3 DES, Triple-DES MD5 RC2 et RC4 RSA Chiffrement RSA Echange de clé. Un algorithme d’échange de clé pour SSL basé sur RSA. DHE : Diffie Hellman Ephemeral SHA-1, SKIPJACK KEA. Key Exchange Algorithm, (utilisé pour l’échange de clé par les USA) Etc… SSL utilise généralement RSA pour l’échange de clé ainsi que RC4 pour chiffrer les sessions. Application de SSL HTTPS RFC2818 (port 443) HTTPS utilise le « hostname » comme intégrité de référence conjugué avec le certificat du serveur. 153 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  154. 154. LES STANDARDS : SSL Points de contrôles Est-ce que la version du protocole SSL est vulnérable ? Quel est le niveau de sécurité du chiffrement proposé par votre serveur SSL ? (type d’algorithme et taille des clés de chiffrement) Est-ce que le certificat du serveur est valide ? L’implémentation du protocole SSL est-il vulnérable aux failles connues (ex : Heartbleed) TEST : https://www.ssllabs.com/ssltest/ Préconisations : Protocoles : Utiliser TLS 1.2 (SSL V3, TLS 1.0, TLS 1.1 sont vulnérables) Algorithmes à retenir : AES-GCM, SHA-2, SHA-512 Algorithmes à proscrire : MD5, 3DES Algorithmes à éviter : RC4, SHA-1 Tailles de clés à utiliser : AES-128 bits, RSA-2048 bits 154 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  155. 155. LES STANDARDS : IPSEC Objectifs de IPSec Confidentialité, Intégrité Garantir la provenance des données (Authentification d’origine) Contrôle d’accès (ACLs), Anti-Rejeu Masquage des topologies réseaux (en utilisant le mode Tunnel) Caractéristiques IPSec Substitue de la couche IP v4 Inclus dans la spécification IP v6 Interopérabilité : Méthode standard. IPSec n’impose ni algorithmes de chiffrement, ni procédures d’authentification particulières 2 Modes d’encapsulation : Mode Transport et Mode Tunnel 155 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  156. 156. LES STANDARDS : IPSEC 156 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés VPN LAN To LAN VPN NOMADE CONCENTRATEUR VPN
  157. 157. LES STANDARDS : IPSEC Présentation Comme SSL, IPSec a un mécanisme de mise en accord sur un secret partagé et une gestion de clés fournis par IKE, ainsi qu’une protection des données fournie par AH et ESP. La SA (Security Association) est le liant technique entre les fonctions IKE et AH/ESP. A la différence de SSL, l’échange, la gestion de clés et les fonctions de protection du trafic sont complètement séparés « Briques techniques » de IPSec AH (Authentication Header) RFC2402 ESP(Encapsulating Security Payload) RFC2406 IKE (Internet Key Exchange) RFC2409 157 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  158. 158. LES STANDARDS : IPSEC AH : Authentification Header Objectif Assure l’intégrité et l’authentification des paquets IP Assure une protection contre le « rejeu » (optionnel) Fonctionnement Signe numériquement le paquet sortant (entête et données du corps) grâce à une fonction de hachage HMAC Un code MAC (Message Authentication Code) est généré à chaque datagramme transmis, qui sera contrôlé par le destinataire. HMAC-MD5 ou HMAC-SHA sont le plus souvent utilisés dans le calcul de la MAC 158 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  159. 159. LES STANDARDS : IPSEC ESP : Encapsulating Security Payload Objectif Assure l’intégrité et la confidentialité des données dans le message original l’origine du paquet Assure l’authentification (optionnel) Assure une protection contre le « rejeu » (optionnel) Fonctionnement Combine une fonction de hachage (HMAC-MD5 ou HMAC-SHA-1) et un chiffrement type Triple-DES, AES… 159 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  160. 160. LES STANDARDS : IPSEC SA (Security Association) Contient l’ensemble des paramètres de sécurité pour effectuer une communication sécurisée. IKE (Internet Key Exchange) IKE engendre automatiquement les clés et gère automatiquement leur renouvellement, tout en utilisant un mécanisme de rafraîchissement de clé IKE régit l’échange de clés, en s’assurant qu’elles sont délivrées de façon sûre. Cet échange est basé sur le protocole Diffie-Hellman et s’assure que l’identité des deux parties est connue. Soit au travers de mots de passe appelés secrets pré partagés (pre-shared key) Soit à l’aide de certificats X509 V3. 160 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  161. 161. LES STANDARDS : IPSEC Les phases IKE Phase 1 « IKE » : La 1er phase établit un canal sécurisé pour la négociation des paramètres de sécurité afin d’établir la future communication. 1 : Choix de l’algorithme de chiffrement, la fonction de hachage, la méthode d’authentification, ainsi que les paramètres de codage propres à Diffie-Hellman 2 : Les deux parties calculent ensuite le secret partagé et les clés de session destinées à protéger les échanges IKE suivants. (Diffie-Hellman) 3 : Dans un troisième temps a lieu l’identification mutuelle selon le mode d’authentification retenu. (Soit avec un certificat ou une pre-shared key) Phase 2 “Quick Mode” : Négociation des SA générales : La 2nd phase construit les SA nécessaires pour la suite de la communication sécurisée Définition des SA générales 161 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  162. 162. LES STANDARDS : IPSEC IPSec supporte deux modes d’encapsulation Mode Transport Mode Tunnel 162 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  163. 163. LES STANDARDS : IPSEC 163 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Mode Transport • Chiffre seulement le corps de chaque datagramme • Assure une protection des couches supérieures • Entête IP reste intacte • Pas de changement au niveau du routage • Utilisable que par les équipements terminaux (postes clients, serveurs).
  164. 164. LES STANDARDS : IPSEC 164 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Mode Tunnel • Chiffre à la fois l’entête IP et le corps du datagramme • Encapsule le tout dans un nouveau paquet avec une « pseudo-entête » IP de remplacement. • Permet une protection de l’entête originale du datagramme • Cache la topologie (ou les adresses IP) des équipements terminaux • Utilisable par les équipements réseau (routeurs, firewall…). Exemple : Un tunnel reliant 2 réseaux en adresses 192.168.1.0/24 à un réseau 192.168.2.0/24 à travers Internet, permettra à un utilisateur en 192.168.1.100 d’accéder à une ressource en 192.168.2.200
  165. 165. SSL VERSUS IPSEC 165 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  166. 166. SSL VS IPSEC Les deux solutions offrent l’authentification, la confidentialité et l’intégrité des données IPSec Opère au niveau 3 pour créer un tunnel sécurisé Le paquet IP original est chiffré et transporté dans un autre paquet IP Nécessite un client IPSec sur le poste Le réseau doit supporter IPSec Sécurité forte SSL Opère au niveau 4 Les données applicatives sont chiffrées dans le paquet IP Supporté par la totalité des navigateurs Les applications doivent supporter SSL Sécurité forte 166 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  167. 167. SSL VS IPSEC SSL Vs IPSec IPSec fournit des mécanismes de sécurité au niveau réseau (3), donc pour les protocoles basés sur UDP ou bien TCP. IPSec peut poser des problèmes pour traverser des équipements intermédiaires (Proxies, Firewall) Nécessité d’avoir un client IPSec sur le poste client IPSec permet de faire passer tous les flux IP contrairement à SSL Les protocoles applicatifs utilisant SSL fournissent plus de flexibilité et sont plus faciles à mettre en œuvre. Indépendance du poste de travail. Notion de client léger (Thin Client) 167 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  168. 168. SSL VS IPSEC OuiNonDe n’importe quel poste (web kiosk etc.) OuiNonQuel que soit le réseau (FW, NAT,…) OuiNonPas de logiciel client OuiNonContrôle d’accès par application NonOuiLe PC distant fonctionne comme au bureau NonOuiSupporte toutes les applications IP NonOuiLiaison site à site NonOuiTéléphonie IP SSL VPNIPSec VPNAPPLICATIONS OuiNonDe n’importe quel poste (web kiosk etc.) OuiNonQuel que soit le réseau (FW, NAT,…) OuiNonPas de logiciel client OuiNonContrôle d’accès par application NonOuiLe PC distant fonctionne comme au bureau NonOuiSupporte toutes les applications IP NonOuiLiaison site à site NonOuiTéléphonie IP SSL VPNIPSec VPNAPPLICATIONS 168 *Le mieux est d’utiliser des technologies d’environnement déporté (CITRIX, TSE) pour les PC devant fonctionner comme au bureau PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  169. 169. SSL VS IPSEC : APPLIANCE SSL 169 Barracuda SSL-VPN 280 : 3 k€ HT Invest. - 1 k€ HT Maintenance (AV/MAJ.SOFT/HARD) PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  170. 170. SSL VS IPSEC : APPLIANCE SSL 170 Mode de fonctionnement - Synoptique PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  171. 171. VPN Architecture VPN Positionnement du VPN Le décodage des flux IPsec/SSL doit se faire avant ou après l’application des règles de firewall ? Avant: La passerelle de sécurité devient un élément sensible aux attaques directes. Après: Comment le firewall peut connaître certaines infos, comme le port du destinataire ou le type du datagramme ? IPSec et la translation d’adresse IP La mise en œuvre du NAT par des éléments intermédiaires (Firewall, routeur) sur un flux Ipsec pose des difficultés Solution : draft IPsec-NAT-traversal implémenté par certains éditeurs 171 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  172. 172. VPN SSL DMZ Entreprise SSL VPN Réseau Interne • Web Applications, Web mail • Client/Server • Emulation client HTML (FTP, partage de fichiers voisinage réseau) • Emulation du client via applet Java ou ActivX (SSH, Telnet, TSE, VNC,TSE/RDP, CITRIX) • Tunneling HTTPS (toute application IP, TCP ou UDP) Authentification LDAP/RADIUS/NTLM • Annuaire externe LDAP, NT, Radius, • Windows Active Directory • Certificats électroniques X509 (sur carte à puce, clé USB) • OTP (Calculatrice token, usb) Firewall 172 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  173. 173. PRODUITS DU MARCHÉ 173 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  174. 174. PRODUITS DU MARCHÉ Les principaux acteurs du marché VPN SSL/IPSec Netscreen Juniper Cisco Checkpoint CITRIX Nortel Avantail F5 Networks Thales Baracuda Networks Zyxel, SonicWall (TPE, PME) 174 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  175. 175. PAUSE-RÉFLEXION Avez-vous des questions ? 175 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  176. 176. RÉSUMÉ DU MODULE 176 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Famille de VPN VPN SSL Messagerie sécurisée S/MIME SSL Versus IPSec VPN IPSEC Illustration Architecture VPN
  177. 177. OBJECTIFS GESTION DES ACCÈS AUX RESSOURCES – DIFFÉRENTS TYPES DE CONTRÔLE D’ACCÈS MODES D’AUTHENTIFICATION - LES DIFFÉRENTS TYPES D’AUTHENTIFICATION AUTHENTIFICATION NON-REJOUABLE OTP - ILLUSTRATION OTP GEMALTO– ARCHITECTURE AUTHENTIFICATION RÉSEAU - 802.1X QUARANTAINE RÉSEAU - TECHNOLOGIE DAC ET NAC AUTHENTIFICATION SSO - EXEMPLE - SOLUTIONS SSO DU MARCHÉ RÉSUMÉ DU MODULE AUTHENTIFICATION UTILISATEURS – RÉSEAUX - APPLICATIONS 177 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  178. 178. OBJECTIFS 178 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  179. 179. OBJECTIFS L'objectif principal de l’authentification est d’authentifier les utilisateurs ou les équipements de manière fiable. Le mécanisme d’authentification est en général associé à la gestion des autorisations. La gestion des autorisations détermine quels sont les droits d’accès de chacun Dans ce chapitre, nous ne traitons pas de la gestion des autorisations. 179 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  180. 180. CONTRÔLE D’ACCÈS Le contrôle d’accès recouvre : L’identification : l’entité indique qui elle est (= son identité, ex : je suis Cyril) L’authentification : vérification / validation de l’identité d’une entité (ex : l’utilisateur est bien Cyril) L’autorisation : vérification / validation qu’une entité a la permission d’accéder à une ressource (ex : Cyril a la permission d’accéder à cette ressource) 180 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés « Qui peut accéder à quoi ? », autrement dit : quels utilisateurs (ou quelles catégories d’utilisateurs) peuvent accéder à quelles informations (ou quelles catégories d’information) ? « Qui peut décider de qui peut accéder à quoi ? », autrement dit : quels interlocuteurs particuliers peuvent prendre la responsabilité de décider si telle catégorie d’utilisateurs peut être autorisée à accéder à telle catégorie d’informations ?
  181. 181. DIFFÉRENTS TYPES DE CONTRÔLES D’ACCÈS Un modèle de contrôle d’accès décrit la façon dont une entité (ou sujet) peut accéder à une ressource (ou objet) Discretionary Access Control (DAC) Le contrôle d’accès est à la discrétion du propriétaire de la ressource Par défaut, le propriétaire est le créateur de l’objet La propriété peut être transférée ou attribuée différemment Mis en œuvre sous forme de permissions (ACL) Le système compare le jeton de sécurité de l’utilisateur (permissions et droits) avec l’ACL de la ressource 181 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  182. 182. DIFFÉRENTS TYPES DE CONTRÔLES D’ACCÈS Mandatory Access Control (MAC) Basé sur un système de labels (plus strict car l’OS prend la décision finale qui peut être contraire au souhait du propriétaire) Les utilisateurs se voient attribuer un niveau d’accréditation (ex: secret, confidentiel) Les données sont classées selon les mêmes niveaux (et cette classification accompagne les données) En complément des niveaux d’accréditation des catégories peuvent être mentionnées pour respecter le principe du besoin de savoir (ce n’est pas parce que j’ai l’accréditation Confidentiel que je dois avoir accès à tous les projets confidentiels) Le système compare le niveau d’accréditation et les catégories de l’utilisateur avec le label de sécurité 182 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  183. 183. DIFFÉRENTS TYPES DE CONTRÔLES D’ACCÈS Role Based Access Control (RBAC) Aussi appelé nondiscretionary access control Utilise un référentiel centralisé Différence entre rôle et groupe : Quand on appartient à un groupe, on a les droits du groupe plus les siens Les rôles permettent un contrôle resserré : quand on a les droits d’un rôle, on n’a rien de plus Pratique quand il y a de nombreux mouvements dans l’entreprise 183 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  184. 184. LA LOGIQUE GÉNÉRALE DE GESTION DES ACCÈS 184 Arrivée d’une personne Ressources humaines Système d’information Services généraux Téléphonie Création du dossier RH Comptes informatiques 1. Création automatique 2. Création manuelle par l’informatique PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  185. 185. PRÉSENTATION : LA GESTION DES PROCESSUS 185 Nouvel utilisateur Demandes d’accès en ligne Création de la fiche personne par le service RH Approbation et validation par le responsable Création des comptes informatiques Les utilisateurs disposent de leurs comptes et de leurs ressources de travail (ordinateur, badges, etc) Approbation et validation par un second acteur (si nécessaire) PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  186. 186. MODES D’AUTHENTIFICATION 186 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  187. 187. LES DIFFÉRENTS TYPES D’AUTHENTIFICATION Il existe différentes classes d’authentification : Je connais Je possède Je suis 187 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  188. 188. LES DIFFÉRENTS TYPES D’AUTHENTIFICATION « Ce que je connais » Mode classique le plus répandu et le plus simple (login/pwd) Principe Secret correspondant à une donnée de l’utilisateur Le serveur et l’utilisateur doivent connaître le secret tous les deux Avantages Simple et économique Inconvénients Protéger la transmission du mot de passe au serveur Facile à découvrir par des attaques à base de dictionnaires ou par force brute Facilement communicable à une tierce partie Facilement volable (regard indiscret sur le clavier) Facilement oubliable 188 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  189. 189. LES DIFFÉRENTS TYPES D’AUTHENTIFICATION « Ce que je possède » Principe Intervention d’un objet physique : Carte à puce, Clé USB, Calculette, Carte magnétique On parle d’authentification à deux facteurs (le support + le secret) Avantages Utilisation de mot de passe plus long car il est stocké sur le support Inconvénient Pertes ou vols des supports : révocation, délai de remplacement Cout d'acquisition et de gestion des supports 189 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  190. 190. LES DIFFÉRENTS TYPES D’AUTHENTIFICATION « Ce que je suis » Principe Domaine de la biométrie Mesure des caractéristiques physiques d’un individu Contrôles physiques et comportementales reconnus à ce jour Empreintes digitales ,reconnaissance de la main, l’iris, reconnaissance faciale, La dynamique de frappe au clavier, la reconnaissance vocale, dynamique du tracé des signatures Avantages Difficilement volable Difficilement oubliable Inconvénients Coût de la mise en œuvre Problème du faux rejet et de la fausse acceptation Détermination des seuils d’acceptation Problème légaux Les prises de positions de la CNIL et de ses homologues 190 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  191. 191. AUTHENTIFICATION PERSONNELLE 191 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  192. 192. CHOIX DU MOT DE PASSE 192 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés http://www.undernews.fr/nos-services/tester-la-force-de-votre-mot-de-passe https://pwdtest.bee-secure.lu/ https://www.microsoft.com/en-gb/security/pc-security/password-checker.aspx
  193. 193. AUTHENTIFICATION PERSONNELLE Authentification personnelle : nom d'utilisateur, numéro ID L'authentification personnelle repose généralement sur le « Login » et « password » Login est représenté par un adresse email, un matricule, nom L'authentification de l'utilisateur ne repose plus que sur la sécurité du mot de passe Les entreprises mettent en place des règles imposant : Longueur minimale : 10 caractères La complexité des mots de passe à utiliser : alphanum. , Min-Maj, carac. spéciaux Un renouvellement : expiration de mot de passe tous les 30 jours Un blocage temporaire des comptes utilisateurs en cas d’échecs répétés d’authentification ou d’inactivité du compte : 5 échecs – 15 minutes Historique des mots de passe précédents : 6 mots de passe mémorisés 193 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  194. 194. AUTHENTIFICATION NON-REJOUABLE OTP (OTP : ONE TIME PASSWORD) 194 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  195. 195. OTP : ONE TIME PASSWORD Objectif de l’OTP Authentification à 2 facteurs - « ce que je sais et ce que je possède ». « One Time Password » – OTP – mot de passe non rejouable Utile pour les usages suivants Ressources internes sensibles devant être partagées avec le monde extérieur Nomadisme et télétravail Télémaintenance par des sociétés externes (infogérance) 195 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  196. 196. OTP : ONE TIME PASSWORD L’OTP généré est toujours différent et donc non rejouable Basé sur le temps OTP généré est calculé à partir de l’heure courante. L’unité de temps pour calculer l’OTP doit être suffisamment longue pour minimiser les problèmes de synchronisation entre l’objet utilisé pour générer un OTP et le serveur. Basé sur un compteur Ce compteur, utilisé en entrée de l’algorithme cryptographique, est incrémenté chaque fois qu’un mot de passe est généré, ce qui aboutit à un OTP différent à chaque fois. Basé sur le temps et un compteur Mélange des deux techniques précédentes. 196 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  197. 197. Authentification de l’individu : Permettre une identification formelle de l’individu Lier l’identité physique à l’identité logique Principe basé sur 2 facteurs indépendants L’utilisateur dispose d’un code identifiant (code pin) L’utilisateur possédera un support physique le Token Les produits commercialisés : Active Card, Aladdin, RSA SecurID, S/Key, OPIE (One-time Passwords In Everything), Gemalto OTP : ONE TIME PASSWORD 197 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  198. 198. OTP : ONE TIME PASSWORD 198 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  199. 199. PAUSE-RÉFLEXION Avez-vous des questions ? 199 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
  200. 200. RÉSUMÉ DU MODULE 200 PRONETIS©2016 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés Modes d’authentification Authentification Autorisation Modèles d’autorisation DAC/MAC/RBAC Authentification OTP

×