Professional Documents
Culture Documents
Omar Nouali,
Directeur de Recherche,
CERIST, Division Sécurité Informatique,
Rue des Frères Aissiou, Ben-Aknoun, Alger, Algérie.
Fax: 021 91 21 26 Tél: 021 91 62 11
E-mail: onouali@cerist.dz
Généralités
Problèmes potentiels, Services, Mécanismes et Solutions de sécurité
Chiffrement Classique
Chiffrement Symétrique
Chiffrement Asymétrique
Cryptanalyse
Certification numérique
Utilisation commerciale:
publicité, invitation,…
etc…
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 7
Menaces intentionnelles
Action malveillante exécutée pour violer la sécurité
– Attaques passives
– Attaques actives
- Difficile à détecter
L’information reçue est interprétée comme provenant d’une personne autre que son
véritable auteur.
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 10
Menaces intentionnelles
Failles de sécurité
Une faille de sécurité est un comportement non prévu par une
application qui peut permettre de compromettre le système.
Failles distantes (les plus dangereuses):
– exploitables à distance (via un accès distant)
– sans interaction de l'utilisateur.
Failles locales (les plus exploitées):
– exploitables seulement par l'interaction de l'utilisateur,
– Exemple (faille sur le navigateur Web): lors de la consultation d'un site WEB, exécuter
automatiquement un code malicieux et l'infection s'installe alors.
Exemple:
– partir d’un nom commun ou propre, remplacez certaines lettres par des chiffres
et des caractères spéciaux : « @ » pour la lettre « a » et « ! » pour la lettre « i ».
– « chaque jour à 8 heures je bois un café » ---> mot de passe = cj@8hjbuc
Pour les nouvelles générations des (OS), un mot de passe doit avoir au moins 3 des 4
caractéristiques suivantes : minuscule, majuscule, chiffre, caractère spécial.
Mécanismes de sécurité
Sécuriser le réseau
Sécuriser l’Information:
Intégrité, Confidentialité et Disponibilité
Sécuriser les communications
FIREWALLS
Filtrage:
– Niveau RESEAU (paquet)
– Niveau Application (Proxy)
Deux aspects:
Définirles services
Connaître les # menaces
Evaluer le coût
Confidentialité
Assurer que l’information ne soit divulguée ou révélée qu’aux
personnes autorisées
– Utiliser un algorithme de chiffrement
– Empêcher l'accès aux infos pour ceux qui ne sont pas autorisés
Détection
– Ex: IDS, antivirus
Recouvrement
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 29
MECANISMES de défense
Protection physique : isoler complètement le système…
Chiffrement : la confidentialité
Signature numérique: l'intégrité, l'origine des données.
Notarisation : utilisation d’un tiers de confiance pour
assurer certains services de sécurité.
Contrôle d’accès : vérifie les droits d’accès.
Authentification : Authentifier un acteur
– Ce qu'il sait. (ex. : mot de passe, la date anniversaire …)
– Ce qu'il a. (ex. : une carte à puce…)
– Ce qu'il est. (biométrie: empreinte digitale, oculaire ou vocale)
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 30
MECANISMES de défense
Antivirus : protéger contre les logiciels néfastes.
Le pare-feu : contrôle les communications.
Détection d'intrusion : repère les activités anormales ou suspectes
sur un réseau surveillé.
Journalisation ("logs") : Enregistrement des activités
Analyse des vulnérabilité ("security audit") : identification des
points de vulnérabilité du système.
Horodatage : marquage sécurisé des instants significatifs .
Certification : preuve d'un fait, d'un droit accordé.
Distribution de clefs : distribution sécurisée des
clefs entre les entités concernées.
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 31
CRYPTOGRAPHIE
Outil excellent et nécessaire!!!
Buts:
– Au début:
Assurer la protection des communications (confidentialité)
S’assurer que l’information ne peut être lue que par les
personnes autorisées
Chiffrement Déchiffrement
– Aujourd’hui:
Assurer : Confidentialité + Authentification
Utilise:
– Informatique
– Arithmétique
Problèmes:
– Légaux
– Pratiques
Il remarque: dans une langue chaque lettre n’a pas la même fréquence
d’apparition, et que d’un texte à l’autre on retrouve sensiblement les
mêmes fréquences.
1991 : logiciel PGP (Pretty Good Privacy) mis au point par Phil
Zimmermann. Il s’agit d’un freeware destiné principalement aux
particuliers afin qu’ils cryptent leur emails.
16 mars 2016
Un cryptographe
Sécurité InformatiqueDr. Omar Nouali, CERIST. 46
CRYPTOGRAPHIE
Définitions/Terminologie
Chiffre : système de cryptage où l’on remplace chaque lettre du
message d’origine par une autre (ou par un symbole).
Un cryptogramme
Cryptologie: (Cryptologue)
Cryptographie + Cryptanalyse
Stéganographie:
– Art de dissimulation
– Ex: dissimuler du texte dans un fichier contenant du (texte, image…)
M E C D M
Taille(C)>=taille(M),
Taille(C)<taille(M) : Chiffrement + Compression)
Chiffrement # Compression.
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 51
CRYPTOGRAPHIE
Classique Moderne
Substitution Transposition