Copie de Cours SI Généralités

Dr.
Omar Nouali,
Directeur de Recherche,
CERIST, Division Sécurité Informatique,
Rue des Frères Aissiou, Ben-Aknoun, Alger, Algérie.
Fax: 021 91 21 26 Tél: 021 91 62 11
E-mail: onouali@cerist.dz
16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 1

PLAN
 Généralités
Problèmes potentiels, Services, Mécanismes et Solutions de sécurité
 Chiffrement Classique
 Chiffrement Symétrique
 Chiffrement Asymétrique
 Cryptanalyse
 Certification numérique

Introduction
 Informatique ?
 Ordinateur ?
 Réseau ?
 Système d’information ?
 Sécurité Informatique ?
Ensemble de moyens mis en œuvre pour éviter ou minimiser:
- les défaillances naturelles dues à l’environnement
- ou au défaut du système d’information
- et les attaques malveillantes intentionnelles

Innovations
 Internet:
– Messagerie électronique
– Web: télé-enseignement, télé-médecine, Commerce électronique..
– Technologie mobile: se connecter à partir de la voiture …
– Internet of things
 Technologies évoluent rapidement en capacité
– La fibre optique et noire
– La technologie du mobile
– Les réseaux
Sécurité Informatique
 Challenge à l’échelle mondiale.
 Sécurité = minimiser les vulnérabilités d’un système
Une vulnérabilité est toute faiblesse qui pourrait être

exploitée pour violer un système ou les informations
qu’il contient.

Problèmes Potentiels
 Menaces
Ensemble des actions de l’environnement pouvant entraîner
des catastrophes financières, ce sont des résultantes
d’actions et d’opérations du fait d’autrui
– Menaces relevant de problèmes non spécifiques à

l’informatique
– Menaces accidentelles
– Menaces intentionnelles
Menaces accidentelles
Pannes et erreurs non intentionnelles
Action exécutée par ERREUR
 Envoi de messages par erreurs
Problème: annuler ou récupérer les messages
 Utilisation commerciale:
publicité, invitation,…
 etc…
Menaces intentionnelles
Action malveillante exécutée pour violer la sécurité
 Deux types d’attaques:
– Attaques passives
– Attaques actives

Attaques passives
- Menace contre la confidentialité de l’information :

une information sensible parvient à une personne autre que son destinataire légitime.
- Difficile à détecter

Attaques actives
-Menace contre l’intégrité de l’information :

Destruction, modification, fabrication, interruption ou interception de données.
L’information reçue est interprétée comme provenant d’une personne autre que son
véritable auteur.
Failles de sécurité
Une faille de sécurité est un comportement non prévu par une
application qui peut permettre de compromettre le système.
 Failles distantes (les plus dangereuses):
– exploitables à distance (via un accès distant)
– sans interaction de l'utilisateur.
 Failles locales (les plus exploitées):
– exploitables seulement par l'interaction de l'utilisateur,
– Exemple (faille sur le navigateur Web): lors de la consultation d'un site WEB, exécuter
automatiquement un code malicieux et l'infection s'installe alors.

Exemples d’attaques (actives)
 Envoi de messages anonymes:Harcèlement, Spam, …
 Altération des données: modification du contenu
 Accès non autorisés :

– Faille dans le système: (exp: Netscape)
– Craquage & sniffing des mots de passe
Ex: Cracker4.1, Esniff.c, TCPDump, …

 Gestion et choix du mot de passe
– ne soit pas un mot du dictionnaire, ni un nom propre, ni une date associée à un
évènement personnel.
– Soit une séquence incompréhensible de chiffres et de lettres.
 Exemple:
– partir d’un nom commun ou propre, remplacez certaines lettres par des chiffres
et des caractères spéciaux : « @ » pour la lettre « a » et « ! » pour la lettre « i ».
– « chaque jour à 8 heures je bois un café » ---> mot de passe = cj@8hjbuc
 Pour les nouvelles générations des (OS), un mot de passe doit avoir au moins 3 des 4
caractéristiques suivantes : minuscule, majuscule, chiffre, caractère spécial.

Usurpation d ’identité (émetteur ou du récepteur)

Destruction du message
Retardement de la transmission
Répétition du message: Bombardement (e-mail, TCP-SYN,…)
Répudiation: émetteur nie avoir envoyé

Malwares :
– Logiciels malveillants développés dans le but de nuire à un système
informatique.
– sont spécialement conçus pour détruire les fichiers, ralentir le système
d’exploitation, voler les données personnelles et pirater d’autres ordinateurs
depuis l’ordinateur sur lequel ils sont installés.
Virus / cheval de Troie / vers (worm) / Spywares (mouchards) / SPAM
(pourriel) / backdoor (porte dérobée, prendre contrôle sur un système) /
adwares (affiche de la publicité dans l'attente de l'achat du logiciel) / Rogues
(scareware, génère des fausses alertes pour inciter à installer des logiciels de sécurité ou à
acheter une version complète du programme)
QQ Règles de bonne conduite
Règle de base: la méfiance et la prévention
 avoir de bonnes habitudes de navigation (bannir certaines catégories de site WEB) ;

 bannir certaines sources & téléchargements : P2P, … ;.
 se méfier des fichiers à ouvrir;
 utiliser un antivirus et un antispyware et les tenir à jour.
 ne pas surfer avec les droits « administrateur » ;
 utiliser un compte limité pour les tâches courantes ;
 maintenir son système et ses logiciels constamment à jour pour éviter les failles ;
 être un utilisateur averti : se tenir informer des derniers virus et dernières méthodes
d'infection pour ne pas tomber dans les pièges.
 Etc.
Méthodolgie
pour sécuriser une entreprise
 Analyse des Menaces
 Mise en place indispensable

d ’une Politique de sécurité
 Mécanismes de sécurité

Méthodolgie
pour sécuriser une entreprise
 Elle doit donc s’appuyer sur un réseau humain : les
responsables informatiques, les chefs de services, les
administrateurs de machines, autre ... ?
 Définir un consensus de règles applicables, acceptées et
appliquées: implication et appui de la Direction
 Elle doit être sans cesse remise en cause. La solution doit
évoluer au même rythme que les risques. Aucun acquis
définitif en la matière.
 Il faut se donner les moyens correspondants aux objectifs
Méthodolgie
Comment sécuriser?
 Organiser la sécurité
 Former et sensibiliser le personnel
 Sécuriser les locaux et le matériel
 Sécuriser le réseau
 Sécuriser l’Information:
Intégrité, Confidentialité et Disponibilité
 Sécuriser les communications

Méthodolgie
Sécuriser le réseau?
FIREWALLS
 Passerelle entre deux réseaux
 Filtrage:
– Niveau RESEAU (paquet)
– Niveau Application (Proxy)

Méthodolgie
Sécuriser le réseau?
 Déployer une connexion VPN pour assurer la connectivité des
utilisateurs à accès distant sur la base des technologies de sécurité IP
(IPSec), du protocole SSL (Secure Sockets Layer) et du protocole
Secure Shell (SSH).
 Segmenter le réseau. Chaque segment de réseau en contact avec
l'extérieur devra uniquement permettre à un trafic spécifique d'être
routé vers des hôtes bien définis, via les seuls ports nécessaires.
Déplacez les serveurs accessibles par l'extranet vers un segment de
réseau physiquement séparé.
 Déployer un système de détection d’intrusions, pour surveiller le trafic
réseau ou analyser les fichiers logs d’un système et recevoir des
alertes en présence d’activités anormales.
Méthodolgie
Sécuriser les communications?
Exemple: Sécuriser un service : la messagerie ?
Deux aspects:
 Sécuriser la communication (message)
 Sécuriser le site (accès au système)

Méthodolgie
Sécuriser les communications?
 Cryptographie: Crypter les données sensibles avant de les transmettre

les rend indéchiffrable sauf par celui qui possède la clé de
déchriffrement. Utilisée comme un moyen de protection de la vie
(privée, publique ou professionnelle). Utilisez une clé de 128 bits au
minimum (1024 bits pour RSA). Exemples de logiciels : PGP
 Stéganographie: Camoufler un contenu dans un autre de nature

différente et inattendue (cacher un texte dans une image ou un fichier
MP3). Peut être utilisé conjointement à la cryptographie. Peut être un
moyen de protection de la vie (privée, publique ou professionnelle).

Système sécurisé?
Etapes:
 Définirles services
 Connaître les # menaces
 Evaluer le coût

SERVICES
 Modèle de sécurité standard – CIA
– Confidentialité,
– Intégrité
– et Authentification
 Confidentialité
Assurer que l’information ne soit divulguée ou révélée qu’aux
personnes autorisées
– Utiliser un algorithme de chiffrement
– Empêcher l'accès aux infos pour ceux qui ne sont pas autorisés

SERVICES
 Authentification
– Utiliser un algorithme d'authentification
– Prouver qu’on connait un secret S (ex : un mot de passe).
– Seuls les utilisateurs autorisés peuvent avoir accès aux
informations
 Intégrité
Assurer que l’information ne soit ni créée, ni altérée, ni détruite
de manière non autorisée
– Les informations ne devraient être modifiées d’aucune manière
les rendant incomplètes ou incorrectes
– Vérifier que les infos transmises n'ont pas subie d'altérations

SERVICES
 Non répudiation
– Utiliser la signature
– Empêcher un utilisateur de nier d’avoir réalisé une transaction
 Contrôle d ’accès
Assurer que les ressources ne soient pas utilisées par des
personnes non autorisées ou de manières non autorisées.
 Disponibilité:
– L’accès autorisé aux ressources et informations du
système doit être toujours possible
– Les acteurs de la communication accèdent aux données dans
de bonnes conditions.
Protection des données
se définit par:
 La disponibilité
– Offrir à l'utilisateur un système qui lui permette de continuer ses travaux en
tout temps.
– Peut être interrompue à la suite d'un sinistre tel que la panne, la rupture
physique du réseau, l'erreur, la malveillance, etc.
 L'intégrité
– Garantir la qualité de l'information dans le temps.
– Peut être détériorée suite à des erreurs telles que saisie d'information
erronée voire illicite, destruction partielle ou totale de l'information, etc.
 La confidentialité
– Se prémunir contre l'accès illicite à l'information par des personnes non
autorisées.
– Peut être piratée, détournée, etc.
MECANISMES
Mécanismes de Sécurité sont conçus pour détecter, prévenir
et lutter contre les attaques de sécurité.
 Prévention
– Ex: Usage de mécanismes de contrôle d’accès
 Détection
– Ex: IDS, antivirus
 Recouvrement
MECANISMES de défense
 Protection physique : isoler complètement le système…
 Chiffrement : la confidentialité
 Signature numérique: l'intégrité, l'origine des données.
 Notarisation : utilisation d’un tiers de confiance pour
assurer certains services de sécurité.
 Contrôle d’accès : vérifie les droits d’accès.
 Authentification : Authentifier un acteur
– Ce qu'il sait. (ex. : mot de passe, la date anniversaire …)
– Ce qu'il a. (ex. : une carte à puce…)
– Ce qu'il est. (biométrie: empreinte digitale, oculaire ou vocale)
MECANISMES de défense
 Antivirus : protéger contre les logiciels néfastes.
 Le pare-feu : contrôle les communications.
 Détection d'intrusion : repère les activités anormales ou suspectes
sur un réseau surveillé.
 Journalisation ("logs") : Enregistrement des activités
 Analyse des vulnérabilité ("security audit") : identification des
points de vulnérabilité du système.
 Horodatage : marquage sécurisé des instants significatifs .
 Certification : preuve d'un fait, d'un droit accordé.
 Distribution de clefs : distribution sécurisée des
clefs entre les entités concernées.
CRYPTOGRAPHIE
Outil excellent et nécessaire!!!
 Buts:
– Au début:
Assurer la protection des communications (confidentialité)
S’assurer que l’information ne peut être lue que par les
personnes autorisées
Solution dans le monde réel :

– Utilisation d’enveloppes scellées
– Verrouillage avec clés
– Mesures de Sécurité physique
– Utilisation de l’encre invisible, etc.
CRYPTOGRAPHIE
Cryptographie = assurer la confidentialité
Chiffrement Déchiffrement
Chiffrement (cryptage) = Transformation d'un texte

pour en cacher le sens

CRYPTOGRAPHIE
 Buts:
– Aujourd’hui:
Assurer : Confidentialité + Authentification
Signature Numérique Contrôler l’accès

(chaines TV, disque partagé…)

CRYPTOGRAPHIE
 Fondements:
– Complexité Algorithmique
– Théorie de l’information (de Shanon)
 Utilise:
– Informatique
– Arithmétique
 Problèmes:
– Légaux
– Pratiques
 Etat actuel: En plein développement !!!!

CRYPTOGRAPHIE
QQ Applications
 Communications sûres & secrètes (chiffrer les messages
 Identification & Authentification
– carte de crédit (numéro secret)
– accès à une ressource
 Partager un secret (distribuer la confiance)
 E-commerce(banque en ligne, billet d’avion, hotel, paiement électronique,… )
 PKI (identification à grande échelle)
 Accès à distance
 Email sécurisé
 Etc.
CRYPTOGRAPHIE
Historique
Les débuts de la cryptographie
 2000 avant J.C. : en Egypte,
Hiéroglyphes : écrire de façon obscure sur les pierres funéraires.
 450 avant J.C. : en Grèce,

Scytale (transposition):
un bâton ----> un ruban en cuir contenant
le message à chiffrer ----> enrouler
le ruban autour du baton en spires

CRYPTOGRAPHIE
Historique
 50 avant J.C : Jules César utilise un chiffre de substitution très simple
pour transmettre des messages militaires. Chaque lettre du message
est remplacée par la lettre venant 3 places après elle dans l’alphabet.

CRYPTOGRAPHIE
Historique
9ème siècle après J.C. : le savant arabe Abu Yusuf Al-Kindi présente
une technique appelée « analyse des fréquences », permettant de casser
tout chiffre de substitution.
Il remarque: dans une langue chaque lettre n’a pas la même fréquence
d’apparition, et que d’un texte à l’autre on retrouve sensiblement les
mêmes fréquences.
En étudiant ainsi les occurrences des lettres du message chiffré on peut

donc le décrypter.

CRYPTOGRAPHIE
Historique
 1460 : Léon Battista Alberti invente le principe de chiffrement
polyalphabétique (plusieurs alphabets).
C’est un chiffre de substitution où chaque lettre ne sera pas codée par

une même autre lettre.
permet d’échapper à l’analyse des fréquences.

CRYPTOGRAPHIE
Historique
 1585 : Blaise de Vigenère
carré de Vigenère.
Clé SUP I N FOSUP I N FOSUP I N FOSUP I N F

clair l a t o u r a i n e e s t u n e b e l l e r e g i o n
codé D U I WHWO A H T M F Y I F Y QM Y Q S J Y V Q B S
CRYPTOGRAPHIE
Historique
1800 : Cylindre de Thomas Jefferson
- une série de disques pivotant autour d’un axe, et sur
lesquels sont inscrits des alphabets désordonnés.

CRYPTOGRAPHIE
Historique
 1918 : Machine ENIGMA
de Arthur Scherbius
chiffrement par substitution.

CRYPTOGRAPHIE
Historique
Standards:
 1976 :
- un protocole afin de s’échanger secrètement une clé de
chiffrement. Whitfield Diffie et Martin Hellman.
- algorithme de chiffrement à clé secrète D.E.S., Data Encryption

Standard. Un des chiffres les plus utilisés au monde.
 1977 : algorithme R.S.A.,

conçu par Ron Rivest, Adi Shamir et Leonard Adleman.
CRYPTOGRAPHIE
Historique
Standards:
 1991 : logiciel PGP (Pretty Good Privacy) mis au point par Phil
Zimmermann. Il s’agit d’un freeware destiné principalement aux
particuliers afin qu’ils cryptent leur emails.
 2000 : algorithme A.E.S., Advanced Encryption Standard, mis au

point par Joan Daemen et Vincent Rijmen, et destiné à remplacer
l’algorithme D.E.S.

CRYPTOGRAPHIE
Définitions/Terminologie
Kryptos (cacher) + graphien (écrire)
Science qui utilise les mathématiques pour

sécuriser les données contre les menaces intentionnelles.
{principes, moyens et méthodes de transformation des données}

Buts :
– Masquer le contenu,
– Empêcher la modification ou l’utilisation illégale.
16 mars 2016
Un cryptographe
Sécurité InformatiqueDr. Omar Nouali, CERIST. 46
CRYPTOGRAPHIE
 Chiffre : système de cryptage où l’on remplace chaque lettre du
message d’origine par une autre (ou par un symbole).
 Code : système de cryptage où l’on remplace chaque mot du message

d’origine par un symbole ou ensemble de symboles.

CRYPTOGRAPHIE
 Chiffrement (Encryption): processus de transformation
– Utiliser un algorithme et une clef.
Transformer un message afin qu'il ne soit lisible qu'à l'aide d'une clef.
Un cryptogramme
 Déchiffrement (Decryption): processus de reconstitution

– Utiliser un algorithme et une clef.
 Décrypter: Parvenir à déchiffrer sans clef
 Le déchiffrement est effectué par le destinataire du message, tandis

que le décryptement l’est par un « ennemi » l’ayant intercepté.
CRYPTOGRAPHIE
 Cryptanalyse:
Art d’analyser un message chiffré afin de le décoder
{Raisonnement analytique + outils maths. + découvertes de redondances …}
 Cryptologie: (Cryptologue)
Cryptographie + Cryptanalyse
 Stéganographie:
– Art de dissimulation
– Ex: dissimuler du texte dans un fichier contenant du (texte, image…)

CRYPTOGRAPHIE
 Algorithme cryptographique
– Restreint: secret
– Moderne: fonction (sens unique, réversibilité secrète)
 Clé : paramètre (nombre, mot, phrase…) qui permet, connaissant un

algorithme de chiffrement, de chiffrer un message.
Exemple : si on chiffre un message en remplaçant chaque lettre par la

lettre venant 3 places après elle dans l’alphabet, l’algorithme est le
« décalage » et la clé le nombre « 3 ».

CRYPTOGRAPHIE
 Cryptosystème
Algorithme + {clès}
k1 k2
M E C D M
Taille(C)>=taille(M),
Taille(C)<taille(M) : Chiffrement + Compression)
Chiffrement # Compression.
CRYPTOGRAPHIE
Classique Moderne
Substitution Transposition
Conventionnelle à Clé Publique

ou Symétrique ou Asymétrique

Copie de Cours SI Généralités

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Copie de Cours SI Généralités

Uploaded by

Copyright:

Available Formats

Dr.

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 1

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 2

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 3

 Sécurité = minimiser les vulnérabilités d’un système

Une vulnérabilité est toute faiblesse qui pourrait être

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 5

– Menaces relevant de problèmes non spécifiques à

Action exécutée par ERREUR

 Envoi de messages par erreurs

Problème: annuler ou récupérer les messages

 Deux types d’attaques:

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 8

- Menace contre la confidentialité de l’information :

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 9

-Menace contre l’intégrité de l’information :

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 11

 Envoi de messages anonymes:Harcèlement, Spam, …

 Altération des données: modification du contenu

 Accès non autorisés :

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 12

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 13

Usurpation d ’identité (émetteur ou du récepteur)

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 14

 avoir de bonnes habitudes de navigation (bannir certaines catégories de site WEB) ;

 Analyse des Menaces

 Mise en place indispensable

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 17

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 19

 Passerelle entre deux réseaux

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 20

Exemple: Sécuriser un service : la messagerie ?

 Sécuriser la communication (message)

 Sécuriser le site (accès au système)

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 22

 Cryptographie: Crypter les données sensibles avant de les transmettre

 Stéganographie: Camoufler un contenu dans un autre de nature

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 23

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 24

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 25

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 26

Solution dans le monde réel :

Chiffrement (cryptage) = Transformation d'un texte

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 33

Signature Numérique Contrôler l’accès

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 34

 Etat actuel: En plein développement !!!!

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 35

 450 avant J.C. : en Grèce,

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 37

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 38

En étudiant ainsi les occurrences des lettres du message chiffré on peut

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 39

C’est un chiffre de substitution où chaque lettre ne sera pas codée par

permet d’échapper à l’analyse des fréquences.

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 40

Clé SUP I N FOSUP I N FOSUP I N FOSUP I N F

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 42

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 43

- algorithme de chiffrement à clé secrète D.E.S., Data Encryption

 1977 : algorithme R.S.A.,

 2000 : algorithme A.E.S., Advanced Encryption Standard, mis au

16 mars 2016 Sécurité Informatique Dr. Omar Nouali, CERIST. 45

Kryptos (cacher) + graphien (écrire)