Ahmed Youssef youssef@ucad.

sn
1

INTRODUCTION

La continuit de lactivit de lentreprise appelle celle de son

systme dinformation. Cette continuit ne peut tre assure que par la mise en place de moyens de protection apportant un niveau de scurit adapt aux enjeux spcifiques de lentreprise.

La scurit des rseaux est devenue lun des lments cls

de la continuit des SI de lentreprise.

INTRODUCTION
Comme toute composante critique, le rseau doit faire lobjet dune politique de scurit tenant compte de tous les besoins daccs au rseau dentreprise: o accs distants o change des mails o commerce lectronique o interconnexion des tierces parties o etc..
3

LA SCURIT INFORMATIQUE VISE GNRALEMENT CINQ PRINCIPAUX OBJECTIFS : L'intgrit c'est--dire garantir que les donnes sont bien celles que l'on croit tre.
La

confidentialit, consistant assurer que seules les

personnes autorises aient accs aux ressources changes .

La disponibilit, les services (ordinateurs, rseaux, priphriques, applications) et les informations (donnes, fichiers) doivent tre accessibles aux personnes autorises quand elles en ont besoin.

La non rpudiation, permettant de garantir qu'une transaction

ne peut tre nie.

L'authentification, consistant assurer que seules les

4

personnes autorises aient accs aux ressources.

PROBLMES DE SCURIT
Problmes dus des failles notamment dans les protocoles de communication

Toute information circulant sur Internet peut tre capture et enregistre et/ou modifie Problme de confidentialit et dintgrit
Toute personne peut falsifier son adresse IP (spoofing) ce qui engendre une fausse identification

Problme dauthentification
Aucune preuve nest fournie par Internet quant la participation dans

un change lectronique
Problme dabsence de traabilit
5

LES DIFFERENTS ASPECTS DE LA SECURITE

la scurit doit tre aborde dans un contexte global et notamment

prendre en compte les aspects suivants : La scurit physique, soit la scurit au niveau des infrastructures matrielles : salles scurises, lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels

La scurit personnelle :la sensibilisation des utilisateurs aux problmes de scurit

LES DIFFERENTS ASPECTS DE LA SECURITE

La scurit logique: c'est--dire la scurit au niveau des donnes,

notamment les donnes de l'entreprise, les applications ou encore les systmes d'exploitation. La scurit des communications: technologies rseau, serveurs de l'entreprise, rseaux d'accs, etc.

La scurit procdurale: sert de tampon entre les commandes juridiques et les livraisons technique

LES CAUSES DE LINSECURITE

On distingue gnralement deux types d'inscurits : l'tat actif d'inscurit, c'est--dire la non connaissance par
l'utilisateur des fonctionnalits du systme, dont certaines pouvant lui tre nuisibles (par exemple le fait de ne pas dsactiver des services rseaux non ncessaires l'utilisateur) l'tat passif d'inscurit, c'est--dire la mconnaissance des

moyens de scurit mis en place, par exemple lorsque l'administrateur (ou l'utilisateur) d'un systme ne connat pas les
dispositifs de scurit dont il dispose
8

LES MENACES :
La menace est dfinie comme tant une violation potentielle de la scurit. Nous distinguerons les types de menace suivants :Nous

distinguerons les types de menace suivants : La menace accidentelle : menace d'un dommage non intentionnel envers le SI. Cette menace peut dcouler d'une
catastrophe naturelle (incendie, inondation, tremblement de terre,...), d'une erreur dans l'exploitation du SI (manipulation, saisie, ...) ou de pannes qu'elles soient matrielles ou de logicielles.
9

LES MENACES :
La menace intentionnelle ou dlibre : par opposition la prcdente, elle est le fait d'un acte volontaire.
La menace active : menace de modification non autorise et dlibre de l'tat du systme. Si elle venait se concrtiser le SI, ou ses informations, subiraient un dommage ou une altration bien relle.

La menace passive : menace de divulgation non autorise des informations, sans que l'tat du systme soit
modifi. Une coute de ligne ou une lecture de fichier sont des exemples de menaces passives.
10

LES VULNRABILITS :
Les vulnrabilits : ce sont les failles de scurit dans un ou plusieurs systmes. Une vulnrabilit peut se dfinir comme une
faiblesse ou une faille dans les procdures de scurit, les contrles administratifs, les contrles internes d'un systme, qui pourrait tre exploite pour obtenir un accs non autoris un SI, un de ses services ou des informations

Tout systme vu dans sa globalit prsente des vulnrabilits, qui peuvent tre exploitables ou non.

11

LES RISQUES :

Un risque est un danger, un inconvnient plus ou moins probable auquel on est expos dans un systme d'information. Il est

gnralement admis que le risque est une fonction de la menace, des vulnrabilits et des contre-mesures (ensemble de mesures adoptes pour contrer les menaces et les failles).

12

LES ATTAQUES:
Les attaques (exploits):elles reprsentent les moyens d'exploiter une vulnrabilit. Les informations ou les systmes dinformations dune entreprise

peuvent subir des dommages de plusieurs faons : certains intentionnels (malveillants), dautres par accident. Ces vnements seront appels des attaques .
Il existe quatre catgories principales dattaque : Laccs; La modification;

Le dni de service; La rpudiation.

13

LA POLITIQUE DE SCURIT
La politique de scurit est lexpression de ces objectifs. Elle indique lensemble des mesures prendre, des structures dfinir et lorganisation mettre en place afin :

dempcher (ou tout au moins freiner) la dtrioration,

lutilisation anormale ou la pntration des systmes et rseaux ;

de dtecter toute atteinte, malveillante ou non, lintgrit, la disponibilit et la confidentialit des informations ;

dintervenir afin den limiter les consquences et, le cas chant, poursuivre lauteur du dlit.
14

LA POLITIQUE DE SCURIT
il est ncessaire de dfinir dans un premier temps une politique de scurit, dont la mise en uvre se fait selon les quatre tapes suivantes :

Identifier les besoins en terme de scurit, les risques informatiques pesant sur l'entreprise et leurs ventuelles
consquences ; Elaborer des rgles et des procdures mettre en uvre dans les diffrents services de l'organisation pour les risques identifis ;
15

LA POLITIQUE DE SCURIT

Surveiller et dtecter les vulnrabilits du systme d'information et

se tenir inform des failles sur les applications et matriels utiliss ; Dfinir les actions entreprendre et les personnes contacter en cas de dtection d'une menace ;

16

LUTILISATION DE LA CRYPTOLOGIE NOUS GARANTIS:

L'intgrit.

chiffrement
La

confidentialit. identification/signature

La non rpudiation. empreinte digitale

L'authentification. hachage/signature
17

Domaines dapplication de la cryptographie:

o o o

Internet:
Sites bancaires

Sites de vente en ligne etc.

18

Domaines dapplication de la cryptographie:

Carte puce : carte de paiement

19

Domaines dapplication de la cryptographie:

Carte puce : carte vital

20

Domaines dapplication de la cryptographie:

Vote

lectronique

Machines voter

Vote en ligne

21

DOMAINES DAPPLICATION DE LA CRYPTOGRAPHIE:

RFID (Radio-Frequency IDentification)

22

DOMAINES DAPPLICATION DE LA CRYPTOGRAPHIE:

Module

de Scurit HSM

Le module HSM est un appareil infalsifiable qui offrant les fonctions cryptographiques ncessaires la
scurisation des transactions sur les rseaux financiers.

23

DOMAINES DAPPLICATION DE LA CRYPTOGRAPHIE:

Tlcommunications

GSM Wifi

24

DOMAINES DAPPLICATION DE LA CRYPTOGRAPHIE:

Routeur Cisco IPSEC, VPN, AAA, PKI

PIX Firewall IPSEC, VPN, AAA

25

LA CRYPTOLOGIE

26

CRYPTOLOGIE
Du grec Kruptos = cacher et logos = science Science qui se divise en deux familles : Cryptographie : produire des messages secrets Cryptanalyse : percer les messages secrets L'origine de la cryptographie remonte 4000 avant J.C en Egypte pharaonique. Longtemps rserve aux communications militaires et diplomatiques mais depuis sest largement vulgarise. . .
27

CRYPTOLOGIE

Tous les algorithmes et protocoles invents avant les annes 70, ont t compltement casses.
On se rfre cette priode en parlant de priode de la cryptographie classique ou artisane (art des codes secrets): 4000 ans

avant J.C jusqu'en 1975/76.

Dans les annes 70, considres comme le dbut de l'poque

moderne, la cryptographie, devenue la science des codes secrets, s'est dveloppe dans le monde civil surtout avec la prolifration des

systmes de communication et de nouveaux services des annes 1990/2000: Internet, Commerce lectronique.
28

CRYPTOLOGIE
Cette nouvelle cryptographie est dite moderne par ce que entre autres:

toutes ses branches ont connues une modlisation mathmatique plus cohrente
elle a produit des outils (algorithmes, protocoles,...) qui restent encore robustes malgr le dveloppement des techniques de cryptanalyse elle prend en charge presque totalement tous les besoins de scurit dans un schmas de communication

son application dans le monde civil a permis le dveloppement de nouveaux mtiers ou services: commerce lectronique, e-banking, consultation de donnes personnelles sur internet,...

PRINCIPE DE FONCTIONNEMENT DE LA CRYPTOGRAPHIE

30

Dfinitions utiles Message clair : Le message originel que Mr Ndiaye veut

envoyer Mme Anne sans que personne dautre que Anne ne puisse le lire

Cl. Donnes (Nombre trs grand) utilis par un

algorithme de cryptage pour chiffrer et dchiffrer des donnes

Chiffrer : transformer un message clair en un message

cod qui nest pas comprhensible sans avoir la cl de dchiffrement.

Dchiffrer

: retrouver le message original AVEC la cl de

31

dchiffrement.

Dfinitions utiles
Dcrypter :

retrouver le message original SANS la cl de dchiffrement.

Algorithme de cryptage. Algorithme: une procdure bien dfinie

qui: d'abord prend en entre une valeur, une donne ( lment ou partie d'un ensemble) ensuite excute une suite finie de rgles ou d'oprations (de calculs,...) enfin donne un rsultat.

NB Il arrive qu'on considre une fonction (application)

mathmatique comme un algorithme.

Protocole : Description de lensemble du systme : algorithmes de cryptage et

dcryptage, choix et utilisation des cls...

32

Dfinitions utiles

Information lment de connaissance: texte, son, image, vido,...

Traiter/manipuler

une

information:

lire,

crire/modifier,

effacer une information

Canal: moyen de transmission permettant de convoyer une

information entre deux partenaires d'une communication; par

exemple ligne tlphonique, fibre optique, moyen de communication sans fils,...

33

Dfinitions utiles
Dans ltude des codes secrets (cryptographie) on considre le scenario de communication suivant:

Entits: quelqu'un (= personne ) ou quelque chose (= machine,...) capable

d'envoyer, de recevoir ou de traiter/manipuler une information. Dans la pratique,

c'est l'un des partenaires d'une communication. Par exemple Alice, Bob et Charlie sont des entits.
34

Dfinitions utiles
Espion/adversaire/ennemie/attaquant: entit malveillante cherchant a
agir illgalement sur un canal de communication dans le but de nuire: violer la confidentialit des donnes, intercepter et modifier les donnes, usurper l'identit d'une entit lgitime, etc. Canal non sr: canal dans lequel un espion peut raliser avec succs ses forfaits

35

Exemples des cryptosystmes

36

Exemples des cryptosystmes

Considrons lalgorithme qui dplace chaque lettres de K positions vers la droite dans l'ordre alphabtique puis inverser l'ordre des lettres.
REMARQUE: dans cet exemple, les fonctions de chiffrement et de dchiffrement sont paramtres. Le paramtre K est appel cl. Ainsi, on

peut rendre publique l'algorithme

et quand deux entits veulent

communiquer, ils choisissent leur cl k qui restera secrte.

L'ensemble des valeurs possibles du paramtre k est appel espace des cls.

37

Exemples des cryptosystmes

En cryptographie, pour les systmes de chiffrement on utilise que des algorithmes qui fonctionnent avec des cls.

Dj, depuis la fin du 19eme sicle, Kerckoffs avait nonc, un principe fondamental en cryptographie (dans son article sur la cryptographie militaire) qui
rendait fondamental le rle de la cl.

D'ailleurs, en cryptographie acadmique, on suppose toujours que l'algorithme

est connu de tous. Cela permet aux spcialistes de le tester afin de mettre en vidence ses faiblesses et de l'amliorer en consquence ou lui trouver un successeur (=Cryptanalyse).
38

Exemples des cryptosystmes

39

Exemples des cryptosystmes

40

Exemples des cryptosystmes

41

CRYPTOGRAPHIE

SYMETRIQUE

ASYMETRIQUE

HYBRIDE
42

CRYPTOGRAPHIE SYMTRIQUE : PRINCIPES

43

LES PROTOCOLES SYMTRIQUE

D.E.S. (Data Encryption Standard)

Histoire

: cre par IBM. Standard du NIST (National Institute of

Standards and Technology) depuis 1976 : norme FIPS 46-3

Bloc Cl

: codage par blocs de 64bits

: 64 bits avec 8 bits de parit donc 56 bits effectifs

Spcificits : plusieurs applications augmentent la sret

44

LES PROTOCOLES SYMTRIQUE

I.D.E.A (International Data Encryption Algorithm)

Histoire : dvelopp par Lai et Massey en 1992 Bloc : codage par blocs de 64bits Cl : cl de 128 bits Spcificits : utilise trois structures diffrentes pour une gnralisation des diagrammes de Feistel

45

LES PROTOCOLES SYMTRIQUE

A.ES (Advanced Encryption Standard)

Histoire : cre par J. Daemen et V. Rijmen. Remplace D.E.S. comme standard du NIST depuis 2000

Bloc : codage par blocs de 64bits Cl : cl de 128, 192 ou 256 bits Spcificits : rsistance toutes les attaques connues ; trs grande rapidit pour le cryptage et dcryptage ; utilise des mthodes de

substitution-permutation.
46

Cryptographie Symtrique

Principe

la mme cl sert chiffrer et dchiffrer le message.

Avantage

: Chiffrement et dchiffrement du message rapide.

Inconvnient :

on est oblig de donner la cl au destinataire du message cod .

Risque dinterception de la cl !
47

Cryptographie Symetrique

UN EXEMPLE : LES CODES CSAR

Principe : dcalage de lalphabet. Exemple : le code Avocat (A vaut K)

Lors du chiffrement, on dcale chaque lettre du message de 10 lettres dans lordre alphabtique. Opration inverse lors du dchiffrement.
A B C D E F G H I J K L M N O P Q R S
K L M N O P Q R S T U V W X Y Z A B C

Exemple : chiffrement et dchiffrement de : Le message

Le message
chiffrement

Vo wocckqo

dchiffrement

Le message

48

CRYPTOGRAPHIE ASYMTRIQUE : PRINCIPES

49

LES PROTOCOLES ASYMTRIQUE

R.S.A (Rivest Shamir Adleman)

Histoire : Publi en 1977 par Ron Rivest, Adi Shamir et Leonard Adleman. Le premier systme cl publique solide avoir t invent

Cl : cl de 128, 192 , 256, 512, 1024, 2048 bits Spcificits : le RSA est fond sur la difficult de factoriser des grands nombres.

50

LES PROTOCOLES ASYMTRIQUE

Taher Elgamal

Histoire : Publi en 1985 par Taher Elgamal Cl : cl de 128, 192 , 256, 512, 1024, bits
Spcificits : la scurit du cryptosystme Elgamal repose, comme le protocole de Diffie et Hellman, sur la difficult de calculer le logarithme discret.

51

CRYPTOGRAPHIE HYBRIDE

La cryptographie hybride fait appel aux deux grandes familles de systmes cryptographiques : la cryptographie asymtrique et la cryptographie symtrique La cryptographie asymtrique est intrinsquement lente de par les calculs complexes qui y sont associs alors que la cryptographie symtrique brille par sa rapidit. Toutefois, cette dernire souffre d'une grave lacune, on doit transmettre les cls de manire scurise (sur un canal authentifi)

52

CRYPTOGRAPHIE HYBRIDE : PRINCIPES

53

LES PROTOCOLES HYBRIDE

Pretty Good Privacy (ou PGP)

Histoire : Publi en 1991 par Philip Zimmermann Cl : cl de 128, 192 , 256, 512, 1024, bits Spcificits : la scurit repose sur la rapidit des
cryptosystmes symtriques et la rsistance des cryptosystmes asymtriques

54

FONCTIONS DE BASE EN CRYPTOLOGIE

Fonction sens unique Une fonction f est sens unique sil est facile de calculer f(x) partir de x, mais sil est difficile, tant donn g = f(x) pour un lment x alatoire,
de trouver un x tel que : f(x) = g Une fonction sens unique f est dite trappe si, laide dun secret, appele la trappe, il est possible de calculer aisment un antcdent

(appel pr-image) de tout lment dans limage de f. Une fonction de hachage : est une fonction crant une empreinte appele le hach ou digeste du message de taille fixe (typiquement,
128, 160 ou 256 bits) dun message de taille arbitraire.
55

FONCTIONS DE HACHAGE LES PLUS UTILISES

MD5 (Message Digest 5) Dvelopp par Rivest en 1991, MD5 produit une empreinte de 128 bits (64 octets) partir d'un texte de taille arbitraire. MD5
manipule le texte d'entre par blocs de 512 bits. Les fonctions MD 1 MD 4 existent mais MD 5 est la plus courante. Cest en fait une extension de MD 4. Elle est dans le

domaine public et est documente dans la RFC 1321.

56

FONCTIONS DE HACHAGE LES PLUS UTILISES

SHA (Secure Hash Algorithm) SHA est la fonction de hachage utilise par SHS (Secure Hash Standard), la norme du gouvernement Amricain pour le
hachage. SHA-1 est une amlioration de SHA publie en 1994. SHA-1 produit une empreinte de 160 bits partir d'un message de longueur maximale 264 bits. Tout comme MD5, SHA-1

travaille sur des blocs de 512bits.

57

FONCTIONS DE HACHAGE LES PLUS UTILISES

RIPE-MD Dveloppe dans le cadre du projet RIPE (RACE Integrity Primitives Evaluation) de la communaut Europenne, RIPE-MD
fournit une empreinte de 128 bits. RIPEMD-160 est une version renforce de RIPE-MD qui fournit une empreinte de 160 bits.

58

SIGNATURE NUMRIQUE

Signature numrique La norme [ISO 7498-2] dfinit la signature numrique comme des "donnes ajoutes une unit de donnes, ou transformation
cryptographique d'une unit de donnes, permettant un destinataire de prouver la source et l'intgrit de l'unit de donnes et protgeant contre la contrefaon (par le destinataire,

par exemple)". La mention "protgeant contre la contrefaon" implique que seul l'expditeur doit tre capable de gnrer la signature.

SIGNATURE NUMRIQUE

Ex. Signature numrique dun message Crer une signature numrique (metteur)
Message envoyer Condens Signature numrique
Jrf843kjfgf*$&Hdif*7oUsd*&@:<CHD FHSD(**

Py75c%bn&*)9|fDe^bDFaq#xzjFr@g5= &nmdFg$5knvMdrkvegMs

Chiffrement asymtrique Fonction de hashage (SHA, MD5)

Cl prive

SIGNATURE NUMRIQUE Vrifier une signature numrique (destinataire)

Py75c%bn&*)9|fDe^bD Faq#xzjFr@g5=&nmdFg $5knvMdrkvegMs

Jrf843kjfgf*$&Hdif*7oUsd*&@: <CHDFHSD(**

Dchiffrement asymtrique

Condens

Signature numrique

Cl publique envoye avec le message

? == ?

Message reu

Mme fonction de hashage

Py75c%bn&*)9|fDe^bD Faq#xzjFr@g5=&nmdFg $5knvMdrkvegMs