Cours Partie1

download Cours Partie1

of 103

Transcript of Cours Partie1

  • 7/31/2019 Cours Partie1

    1/103

    Master spcialis QL : Scurit des Rseaux 116/07/12

    Scurit des RseauxMaster spcialis qualit du logiciel

    Scurit des RseauxMaster spcialis qualit du logiciel

  • 7/31/2019 Cours Partie1

    2/103

    Master spcialis QL : Scurit des Rseaux 216/07/12

    Sommaire du cours

    I. Introduction et problmatique

    II. Concepts fondamentaux de la scurit

    III. Scurit des rseaux

    IV. Conclusion

  • 7/31/2019 Cours Partie1

    3/103

    Master spcialis QL : Scurit des Rseaux 316/07/12

    Sommaire dtaill

    I. Introduction et problmatique

    1. Pourquoi scuriser?

    2. O et quoi scuriser?

    3. Comment scuriser?

    4. Politique de scurit

    II. Concepts fondamentaux de la scurit

    1. Services de scurit

    2. Technologies cryptographiques de base

    3. Autres Technologies de la scurit

    III. Scurit des rseaux :

    1.Terminologie

    2. Classification des attaques rseau

    3. Principales attaques rseau

    4. Phases dune attaque externe structure typique

    5. Solutions et outils pour la scurit rseau

    6. Scurit du e-paiement

    IV. Conclusion

  • 7/31/2019 Cours Partie1

    4/103

    Master spcialis QL : Scurit des Rseaux 416/07/12

    I. Introduction et problmatique

    1. Pourquoi scuriser?

    2. O et quoi scuriser?

    3. Comment scuriser?

    4. Politique de scurit :

  • 7/31/2019 Cours Partie1

    5/103Master spcialis QL : Scurit des Rseaux 5

    16/07/12

    I.1. Pourquoi scuriser ?

    Les SI sont de plus en plus considrs comme les centres nvralgiquesdes organismes;

    Parfois, le SI est au cur de l'activit de l'organisme;

    Les SI sont de plus en plus connects Internet;

    Il existe diffrentes motivations pour attaquer un SI, dont : Bnfices financiers (vol d'argent, vol de n de carte de crdit, espionnage

    industriel, nuisance l'image de marque profitant aux concurrents, ..);

    Satisfaction personnelle (plaisir/jeu, fiert maladive, concurrence entreHackers, etc);

    Vengeance (salari licenci et/ou sous estim, ...)

    Convictions politiques et/ou idologiques (partisans d'un parti,terroristes, ...);

    Espionnage d'tat.

  • 7/31/2019 Cours Partie1

    6/103Master spcialis QL : Scurit des Rseaux 6

    16/07/12

    Suivre les tendances: la scurit est la mode ! Le march de la scurit est en pleine croissance (~36% annuellement);

    Les statistiques montrent que le nombre d'attaques (dclares) est 10 foisplus qu'il y a 3 ans et quelles touchent mme les grandes socits desNTIC;

    Toutes les attaques exploitent des faiblesses de scurit au niveau du SIet du rseau sous-jacent;

    Les pertes dues une attaque peuvent tre trs grandes (daprs unetude faite en lan 2000, ces pertes, rien quen termes de temps perdu,

    slveraient 1600 milliards de dollars, lchelle mondiale!).Enfin, la cybercriminalit nest pas encore bien cerne par les services de

    lordre, ce qui rend le recours la justice peu fructueux.

    I.1. Pourquoi scuriser ?

  • 7/31/2019 Cours Partie1

    7/103

    Master spcialis QL : Scurit des Rseaux 716/07/12

    Les Besoins en termes de scurit se situent plusieurs niveaux:

    Scurit des quipements (physique);

    Scurit des rseaux;

    Scurit des applications et des systmes d'exploitation (logicielle);Scurit des donnes (BD).

    I.2. O et quoi scuriser ?

    Il faut donc utiliser des outils et des lments de scurit

    distincts pour assurer la scurit chaque niveau, en vue descuriser globalement tout le SI.

  • 7/31/2019 Cours Partie1

    8/103

    Master spcialis QL : Scurit des Rseaux 816/07/12

    Cycle de la scurit:

    I.3. Comment scuriser ?

    Scurisation

    Surveillance AmliorationsPolitique de

    scurit

    Audit

  • 7/31/2019 Cours Partie1

    9/103

    Master spcialis QL : Scurit des Rseaux 916/07/12

    I.4. Politique de scurit

    Elle doit tre la base, le point de dpart de tout projet de scurit;

    L'implication des hauts responsables dans l'laboration d'une PS est plus

    que souhaitable; elle est indispensable pour la russite du projet;

    Une PS est une structure autour de laquelle un organisme construit tous les

    aspects de scurisation de son SI;

    Elle doit dfinir les rgles reprsentant les accs acceptables aux

    ressources du SI;

  • 7/31/2019 Cours Partie1

    10/103

    Master spcialis QL : Scurit des Rseaux 1016/07/12

    I.4. Politique de scurit :

    Il est recommand qu'elle traite d'abord les points suivants:Diagnostic de l'existant:

    Recensement des ressources protger;

    Identification de l'infrastructure Rseau;

    Inventaire des outils de scurit existants; Aspects organisationnels.

    Analyse des risques :

    Estimation des vulnrabilits;

    Identification des menaces ventuelles;

    Estimation des pertes directes et indirectes pouvant tre causes parchaque menace;

    Dfinition des priorits concernant les ressources protger.

  • 7/31/2019 Cours Partie1

    11/103

    Master spcialis QL : Scurit des Rseaux 1116/07/12

    I.4. Politique de scurit :

    Dfinition des rles: Existence ou non d'un RSSI;

    Externalisation ou non de la scurit (si oui: totale ou partielle);

    Hirarchie de la scurit:

    Par exemple: - RSSI DSI DG- RSSI DG

    - RSSI Direction mtier

    Chanage des responsabilits au sein de l'quipe Scurit;

    Rle (en termes de scurit) de l'utilisateur final (salari, client oufournisseur).

    Importance de la sensibilisation la culture de la scurit !

  • 7/31/2019 Cours Partie1

    12/103

    Master spcialis QL : Scurit des Rseaux 1216/07/12

    I.4. Politique de scurit :

    Estimation du cot/ budget de la scurit: Le cot de dmarrage doit tre raisonnable par rapport aux pertes

    possibles moyen terme;

    Le budget annuel de la scurit (parfois difficile sparer du budgetinformatique) doit tre infrieur aux pertes probables pendant un an;

    Choix du degr de la scurit (en termes OSI: classe de scurit);

    Choix fonctionnels et techniques, aprs:

    Comparaison (technique et financire) entre diffrents outils et technologiesdisponibles sur le march;

    Formation ventuelle du personnel (du DG l'utilisateur final); Sollicitation ventuelle de prestataires de service externes.

  • 7/31/2019 Cours Partie1

    13/103

    Master spcialis QL : Scurit des Rseaux 1316/07/12

    I.4. Politique de scurit :

    Elle doit offrir -en rponse aux points prcits- une sorte de plan directeurde scurit qui contient le dtail des procdures suivantes:

    Procdures de protection, dont:

    Procdures de Login et d'accs au rseau;

    Mcanismes de contrle et de neutralisation des virus; Procdures de sauvegarde;

    Procdures d'accs aux fichiers et aux rpertoires;

    Procdures de configuration et de mise jour des outils installs et descorrectifs correspondants.

  • 7/31/2019 Cours Partie1

    14/103

    Master spcialis QL : Scurit des Rseaux 1416/07/12

    I.4. Politique de scurit :

    Procdures de dtection, dont: Mcanismes de surveillance des serveurs (donnes, messagerie, Web,

    etc.) ;

    Mcanismes de surveillance des activits rseaux;

    Procdures de 'lecture' et d'analyse des activits journalires (Exps:rapports de certains outils, messages d'alertes, tableaux de bord, etc).

    Procdures de raction (juste aprs la dtection de l'incident), dont:

    Procdures de raction une attaque par pirate (diffrents scnarios);

    Procdures de raction une attaque virale;

    Procdures de raction des incidents de force majeure.

  • 7/31/2019 Cours Partie1

    15/103

    Master spcialis QL : Scurit des Rseaux 1516/07/12

    I.4. Politique de scurit :

    Procdures de redressement (raction court et moyen terme), dont: Plan de gestion de crise ;

    Contrats d'assurances;

    Contrats de maintenance;

    Procdures judiciaires.

    Importance de la politique de scurit !

  • 7/31/2019 Cours Partie1

    16/103

    Master spcialis QL : Scurit des Rseaux 1616/07/12

    II. Concepts fondamentaux de la scurit

    Sommaire

    1. Services de scurit :

    2. Technologies cryptographiques de base:

    3. Autres Technologies de la scurit

  • 7/31/2019 Cours Partie1

    17/103

    Master spcialis QL : Scurit des Rseaux 1716/07/12

    II.1. Services de scurit :

    Ce sont des services qui contribuent la scurit des S.I, en loccurrence, lascurit des communications au sein de ce systme. Selon lanorme OSI 7498-2, ils sont comme suit :

    Authentification

    service qui assure une entit que l'entit avec laquelle elle communique

    est bien celle qu'elle prtend reprsenter et vice-versa. Intgrit

    Des donnes : service qui permet de dtecter les altrations partielles ouintgrales des donnes entre metteur et rcepteur.

    Des flux : service qui permet de prouver qu'un change de donnes estunique (non rejou une deuxime fois).

  • 7/31/2019 Cours Partie1

    18/103

    Master spcialis QL : Scurit des Rseaux 1816/07/12

    II.1. Services de scurit :

    Confidentialit Des donnes : service qui assure la protection des donnes contre toute

    divulgation des tiers non autoriss.

    Des flux : service qui permet de protger lexistence de communicationsentre deux entits et la frquence de ces communications.

    Non-rpudiation : A lorigine : elle fournit au rcepteur une preuve empchant lmetteur de

    contester lenvoi dun message effectivement reu.

    A la remise : elle fournit lmetteur une preuve empchant le rcepteurde contester la rception dun message effectivement remis.

    Contrle daccs :

    service qui permet de protger les ressources daccs non autoriss viales systmes de communication.

  • 7/31/2019 Cours Partie1

    19/103

    Master spcialis QL : Scurit des Rseaux 1916/07/12

    II.2. Technologies cryptographiques de base

    Cryptographie : discipline incluant les principes, moyens et mthodes de

    transformation des donnes, dans le but de cacher leur contenu, dempcherque leur modification passe inaperue et/ou dempcher leur utilisation nonautorise.

    Les technologies cryptographiques reprsentent les mcanismes de scuritles plus utiliss dans les outils et les protocoles scuritaires afin de raliser

    certains services de scurit.

    Mthodes de cryptage :

    Dfinitions :

    Cryptage: opration qui consiste appliquer un algorithme mathmatique,

    gnralement paramtr par une cl, des donnes numriques en clair(intelligibles) pour les transformer en des donnes chiffres (inintelligibles).

    Dcryptage: opration inverse du cryptage. En gnral, il ncessite aussi unecl pour rendre aux donnes chiffres leur forme initiale.

  • 7/31/2019 Cours Partie1

    20/103

    Master spcialis QL : Scurit des Rseaux 2016/07/12

    II.2. Technologies cryptographiques de base

    Mthodes de cryptage : Classification :

    Cryptage asymtrique :

    Il se base sur un algorithme mathmatique qui utilise une paire de clsdiffrentes, une prive que seul son propritaire a besoin de connatre et

    lautre publique (Exp : RSA, DSS). Lorsque lune est utilise pour lecryptage, lautre permet le dcryptage.

    Une proprit de base pour ce type de cryptage est quil est pratiquementimpossible de dterminer la cl prive partir de la cl publique.

    Ceci est un

    messageen clair

    Cryptage

    Cl publiquede Bob

    Cl privede Bob

    DcryptageCeci est un

    message

    en clair

    Message crypt

  • 7/31/2019 Cours Partie1

    21/103

    Master spcialis QL : Scurit des Rseaux 2116/07/12

    II.2. Technologies cryptographiques de base

    Mthodes de cryptage :

    Classification :

    Cryptage symtrique :

    Ce type de cryptage est la forme la plus classique des systmescryptographiques. Il permet lmetteur et au rcepteur dutiliser la mme

    cl secrte pour le cryptage et le dcryptage (exps : DES, IDEA, AES).

    Il est gnralement simple, performant et sr, mais condition quelchange de la cl secrte soit lui-mme scuris.

    Ceci est unmessageen clair

    Cryptage

    Cl Cl

    DcryptageCeci est un

    messageen clair

    Message crypt

  • 7/31/2019 Cours Partie1

    22/103

    Master spcialis QL : Scurit des Rseaux 2216/07/12

    II.2. Technologies cryptographiques de base

    Mthodes de cryptage :

    Qualit dun algorithme de cryptage :

    Elle dpend de plusieurs facteurs:

    Le type de cryptage (symtrique, asymtrique,) ;

    La taille de la cl de cryptage (plus la taille est grande plus il est difficile decasser lalgorithme) ;

    La simplicit de mise en oeuvre (logicielle ou matrielle);

    La taille des messages crypts par rapport leur taille originale .

  • 7/31/2019 Cours Partie1

    23/103

    Master spcialis QL : Scurit des Rseaux 2316/07/12

    II.2. Technologies cryptographiques de base

    Mthodes de cryptage :

    Utilisations :

    Les algorithmes symtriques sont utiliss dans le cryptage de massevisant la confidentialit des donnes (messages, fichiers, ) et ce, pourleur efficacit par rapport aux algorithmes asymtriques (pour une taille decls identique).

    Les algorithmes cls publiques sont utiliss dans les protocoles descurit pour assurer lauthentification et scuriser galement leschanges des cls secrtes des algorithmes symtriques.

    Gestion de cls :

    Tout algorithme cryptographique fonctionnant avec des cls (secrtes oupubliques) a besoin en amont de mcanismes permettant de crer,distribuer, changer, maintenir, invalider, mettre jour, ces cls.

  • 7/31/2019 Cours Partie1

    24/103

    Master spcialis QL : Scurit des Rseaux 2416/07/12

    II.2. Technologies cryptographiques de base

    Fonctions de hachage :

    Dfinition :

    Cest une transformation mathmatique qui accepte comme entre unmessage de taille variable et retourne des messages de taille fixe(gnralement petite).

    Utilisation :

    La transforme dun message par une fonction de hachage (souventappele un hash ou un message digest) est utilise pour assurer sonintgrit et aussi dans le calcul de la signature lectronique.

    Les fonctions les plus utilises sont SHA-1 et MD5.

  • 7/31/2019 Cours Partie1

    25/103

    Master spcialis QL : Scurit des Rseaux 2516/07/12

    II.2. Technologies cryptographiques de base

    Fonctions de hachage :

    Caractristiques :

    Lutilisation de ce type de fonctions dans la cryptographie requiert quellesaient les proprits suivantes :

    tant donn un message quelconque, sa transforme doit tre facilement

    calculable,

    La fonction doit tre sans collisions (i.e quil est pratiquement infaisable detrouver deux messages diffrents auxquels correspond la mmetransforme); cette proprit fait quune petite modification dun messageimplique une grande modification de la transforme.

    La fonction doit tre sens unique (i.e quil est pratiquement infaisable delinverser).

  • 7/31/2019 Cours Partie1

    26/103

    Master spcialis QL : Scurit des Rseaux 2616/07/12

    II.2. Technologies cryptographiques de base

    Signature lectronique :

    Rle /utilisation :

    Il est similaire celui jou classiquement par la signature manuscrite, savoir, assurer le rcepteur dun document lectronique de lidentit deson metteur (authentification) et de lauthenticit dudit document

    (intgrit). Principe :

    Message

    Hachage

    Clpublique Cl prive

    d'Alice

    CryptageMessage

    Signature

    lectronique

    Signature

    lectronique

  • 7/31/2019 Cours Partie1

    27/103

    Master spcialis QL : Scurit des Rseaux 2716/07/12

    II.2. Technologies cryptographiques de base

    Signature lectronique : Principe :

    En gnral, signer lectroniquement un document consiste :

    Appliquer une fonction de hachage au contenu de ce document ;

    Crypter, ensuite, par un algorithme asymtrique, le hash du document par la clprive du signataire ;

    Apposer, enfin, - ce document- le rsultat qui nest autre que la signaturelectronique dudit document.

  • 7/31/2019 Cours Partie1

    28/103

    Master spcialis QL : Scurit des Rseaux 2816/07/12

    II.2. Technologies cryptographiques de base

    Signature lectronique : Vrification :

    La vrification de la validit de la signature dAlice appose unmessage m soit, m + SA(m), consiste :

    recalculer le hash de m soit, H(m) ;

    dcrypter par la cl publique dAlice de la signature appose m soit,{SA(m)}PKA ;

    comparer le rsultat de ce dcryptage H(m).

    Si le message na pas t altr en cours de route et quil a teffectivement sign par Alice, les deux valeurs devront tre gales,car :

    {SA(m)} PKA ={{H(m)}SKA} PKA = H(m).

  • 7/31/2019 Cours Partie1

    29/103

    Master spcialis QL : Scurit des Rseaux 2916/07/12

    II.2. Technologies cryptographiques de base

    Signature lectronique : Problmatique :

    La conclusion que le message est bien sign par Alice est trop htive,pour la simple raison quil se peut que PKA ne soit pas rellement sa

    cl publique mais dune autre entit qui veut tre prise pour Alice. Le vrificateur de la signature doit avoir la certitude que PKA est bien

    la cl publique de A. Il lui faut un mcanisme permettant daffirmerquune cl publique correspond ou non une entit.

    Si la confidentialit dune cl publique nest pas requise

    (au contraire, il faut la publier), son intgrit et sonauthenticit sont prserver.

  • 7/31/2019 Cours Partie1

    30/103

    Master spcialis QL : Scurit des Rseaux 3016/07/12

    II.2. Technologies cryptographiques de base

    Certificat :

    Rle/ utilisation :

    Un certificat de cl publique est un ensemble de donnes numriques

    dont le rle est de lier une cl publique son propritaire. Ce rle ne

    peut tre rempli que si :

    le certificat est sign par une tierce partie considre de confiance

    par le vrificateur du certificat et qui par le biais de cette signature

    affirme quelle est convaincue de lauthenticit de la cl publique

    quelle a certifie. Le vrificateur connat de manire sre la cl publique de la tierce

    partie afin de pouvoir vrifier sa signature appose au certificat.

  • 7/31/2019 Cours Partie1

    31/103

    Master spcialis QL : Scurit des Rseaux 3116/07/12

    II.2. Technologies cryptographiques de base

    Certificat :

    Problmatique :

    Si le vrificateur na pas pu obtenir directement la cl publique de la

    tierce partie, il doit vrifier son authenticit, elle aussi, grce un

    autre certificat (de cette cl) sign par une autre tierce partie deconfiance, et ainsi de suite. On dit, dans ce cas, quil procde la

    validation dun chemin de certification.

    Pour que ce chemin aboutit, il faut au moins que parmi ces

    tierces parties, il y en a une dont le vrificateur connat, demanire sre, la cl publique et ce, sans biais de certificat.

    i i

  • 7/31/2019 Cours Partie1

    32/103

    Master spcialis QL : Scurit des Rseaux 3216/07/12

    II.2. Technologies cryptographiques de base

    Certificat :

    Description :

    En gnral, un certificat contient les informations suivantes :

    Identifiant de lmetteur du certificat (la tierce partie de confiance

    qui a sign le certificat) ;

    Identifiant et/ou autre information de lentit qui possde la cl

    publique certifier (sujet du certificat) ;

    La cl publique objet de certification ;

    Autres informations (exp : date dexpiration).

    Signature de lmetteur du certificat.

    II 2 T h l i hi d b

  • 7/31/2019 Cours Partie1

    33/103

    Master spcialis QL : Scurit des Rseaux 3316/07/12

    II.2. Technologies cryptographiques de base

    Certificat :

    Autorits de certification :

    Les tierces parties de confiance, ou ce quon appelle les autorits de

    certification ou les CAs, ont donc pour rle dmettre des certificats qui

    permettent des entits communicantes de sauthentifier en prouvantlauthenticit de leurs cls publiques et donc de leur signature.

    Une CA est gnralement un organisme, publique ou priv, qui jouit dune

    notorit au sein dune communaut (qui peut tre restreinte ou large) de

    telle sorte quelle croit lauthenticit des certificats mis par cette CA.

    II 2 T h l i t hi d b

  • 7/31/2019 Cours Partie1

    34/103

    Master spcialis QL : Scurit des Rseaux 3416/07/12

    II.2. Technologies cryptographiques de base

    Certificat :

    Types de certificat :

    Il existe deux types de certificats :

    Le certificat didentit o la partie rserve linformation concernant le

    propritaire de la cl publique permet de lidentifier. Il est possible d'incluredans ce type les certificats qui gardent lanonymat de lentit certifie tout

    en la distinguant des autres entits.

    Le certificat dautorisation ou d'attributs o on ne sintresse pas

    lidentit de lentit certifie mais un certain nombre de ses attributs

    (tranche dge, profession, possession dune licence spciale, etc.) Ces

    informations permettent de savoir si le propritaire de la cl publique

    possde le droit un produit, service ou tout autre privilge.

  • 7/31/2019 Cours Partie1

    35/103

    II 2 T h l i t hi d b

  • 7/31/2019 Cours Partie1

    36/103

    Master spcialis QL : Scurit des Rseaux 3616/07/12

    II.2. Technologies cryptographiques de base

    Les formats X. 509

    Key usage

    Basic constraints

    Alternative names

    Certification policies

    Policy mappings

    Policy constraints

    Name constraints

    Key identifiers

    Private extensions

    . . . . .

    X.509 version (v1, v2, v3)

    Certificate serial number

    Signature algorithm

    Validity

    Issuer name

    Subject name

    Public key of subject

    Issuer unique identifier

    Subject unique identifier

    Extensions

    Issuer signature

    X.509 v1

    X.509 v2

    X.509 v3

    II 2 Technologies cryptographiques de base

  • 7/31/2019 Cours Partie1

    37/103

    Master spcialis QL : Scurit des Rseaux 3716/07/12

    II.2. Technologies cryptographiques de base

    Certificat :

    Formats de certificat :

    Le Format PGP :

    Cest le le plus populaire des formats, il est celui adopt par le logiciel

    cryptographique PGP. Ce certificat contient les informations suivantes: Le n de version PGP

    La cl publique avec lalgorithme de cryptage

    Des informations sur le propritaire de la cl (nom, surnom, adresse e-mail,)

    La signature du propritaire de la cl ou auto-signature

    La priode de validit

    Lalgorithme de cryptage symtrique prfr

    ventuellement, Autres signatures ( pour plus dassurance).

    II 2 Technologies cryptographiques de base

  • 7/31/2019 Cours Partie1

    38/103

    Master spcialis QL : Scurit des Rseaux 3816/07/12

    II.2. Technologies cryptographiques de base

    Infrastructures de cls publiques ou PKI :

    Dfinition :

    Une dfinition simple serait : un ensemble dentits communiquant par le

    biais de protocoles et offrant des services pour la gestion et la distribution

    des cls publiques par le biais des certificats . Une PKI est gnralement compose de plusieurs CAs afin de permettre

    l'utilisation des certificats dans un contexte large o une seule CA ne peut

    assurer elle seule la gestion et la distribution de tous les certificats.

    II 2 Technologies cryptographiques de base

  • 7/31/2019 Cours Partie1

    39/103

    Master spcialis QL : Scurit des Rseaux 3916/07/12

    II.2. Technologies cryptographiques de base

    Infrastructures de cls publiques ou PKI :

    Rle :

    Fournir les mcanismes ncessaires tablir des relations de confiance

    entre ses utilisateurs et leur offrir des services de scurit tels que la

    confidentialit, lintgrit, lauthentification et la non-rpudiation et ce,

    essentiellement par le biais des certificats de cls publiques.

    Parmi les contextes o une PKI est trs utile si ce n'est ncessaire, on

    trouve celui du commerce lectronique et le cas dune grande entreprise

    possdant plusieurs applications qui ncessitent des services

    d'authentification ou d'autorisation.

  • 7/31/2019 Cours Partie1

    40/103

    II 2 Technologies cryptographiques de base

  • 7/31/2019 Cours Partie1

    41/103

    Master spcialis QL : Scurit des Rseaux 4116/07/12

    II.2. Technologies cryptographiques de base

    Horodatage :

    But :

    Prolonger la dure de vie d'une preuve signe au-del de la dure de vie

    de la signature (ou certificat) en apportant la preuve d'antriorit ;

    viter le renvoi une date ultrieure dun message par une entit qui a puse le procurer (par exemple, entit = source).

    Principe :

    Complter la signature lectronique dun document par la date de

    signature signature lectronique de la date ou contremarque detemps (Time Stamping).

    II 2 Technologies cryptographiques de base

  • 7/31/2019 Cours Partie1

    42/103

    Master spcialis QL : Scurit des Rseaux 4216/07/12

    II.2. Technologies cryptographiques de base

    Horodatage :

    Fonctionnement :

    La preuve de date peut tre tablie par une convention entre les parties

    La preuve de date peut tre tablie par un tiers spcialis dans ce service

    (exps : Certeurope ,Certplus, etc.) qui ajoute une contremarque de tempslors de la signature du document.

    Si les certificats sont utiliss (ce qui est souvent le cas), il faut prolonger la

    dure de conservation de listes de certificats rvoqus.

  • 7/31/2019 Cours Partie1

    43/103

    II 3 Autres Technologies de la scurit

  • 7/31/2019 Cours Partie1

    44/103

    Master spcialis QL : Scurit des Rseaux 4416/07/12

    II. 3. Autres Technologies de la scurit

    Mcanismes de Contrle daccs :

    Liste de contrle daccs (ACL) :

    Consiste en une liste des oprations que les diffrents utilisateurs peuvent

    effectuer sur chaque objet.

    A chaque donne correspond une liste dcrivant les droits des diffrentsutilisateurs (droit de consultation, modification, excution, ...).

    Cette liste est parcourue lors de chaque tentative d'accs, et sa

    consultation permet de dcider ou non de la validit de laccs demand.

  • 7/31/2019 Cours Partie1

    45/103

    II. 3. Autres Technologies de la scurit

  • 7/31/2019 Cours Partie1

    46/103

    Master spcialis QL : Scurit des Rseaux 4616/07/12

    II. 3. Autres Technologies de la scurit

    Bourrage de trafic :

    But :

    Cette technique vise protger un canal de communication contrel'analyse de trafic (confidentialit de flux) et, en second lieu, contrel'coute de la ligne.

    Principe : Maintenir un dbit de transmission (sur une ligne ou entre 2 entits)

    constant, quel que soit le dbit rel de la communication proprement dite.

    Fonctionnement :

    Le dbit de transmission est complt par lmission de paquets dedonnes alatoires et gnralement cryptes (pour masquer le fait queces donnes supplmentaires sont factices).

  • 7/31/2019 Cours Partie1

    47/103

    II. 3. Autres Technologies de la scurit

  • 7/31/2019 Cours Partie1

    48/103

    Master spcialis QL : Scurit des Rseaux 4816/07/12

    g

    Contrle de routage :

    Fonctionnement : La slection du chemin de routage peut se faire dedeux manires :

    En spcifiant explicitement les chemins autoriss (ventuellement pourchaque type de donnes) ;

    En spcifiant, au contraire, les chemins non autoriss (et donc considrscomme risqus).

    Variante :

    But : Protger un sous rseau daccs via Internet

    Principe : Ne pas annoncer (faire connatre) le sous-rseau : ladresse IPdu sous-rseau sera inconnue dans les tables de routage nationales etinternationales.

    III. Scurit des rseaux

  • 7/31/2019 Cours Partie1

    49/103

    Master spcialis QL : Scurit des Rseaux 4916/07/12

    SommaireSommaire

    1. Terminologie :

    2. Classification des attaques rseau :

    3. Principales attaques rseau:4. Phases dune attaque externe structure typique :

    5. Solutions et outils pour la scurit rseau:

    6. Scurit du e-paiement:

    III. Scurit des rseaux

  • 7/31/2019 Cours Partie1

    50/103

    Master spcialis QL : Scurit des Rseaux 5016/07/12

    La scurit rseau est au cur de la scurit des SI surtout que sice maillon est cass, les portes sont gnralement grandes

    ouvertes pour casser les autres maillons de la scurit.

    "Connatre son ennemi" : avant de scuriser un rseau, il faut

    connatre les types de dangers et dattaques dont il peut tre la

    cible.

    "Connatre ses richesses" : avant de scuriser un rseau, il faut

    savoir ce que lon veut protger et surtout ce qui mrite de ltre.

    III.1. Terminologie

  • 7/31/2019 Cours Partie1

    51/103

    Master spcialis QL : Scurit des Rseaux 5116/07/12

    Attaque :

    Une attaque est une action malveillante visant tenter de contournerles mesures de scurit dun systme dinformation

    Une attaque est un ensemble dun ou plusieurs vnements quipeuvent avoir une ou plusieurs consquences en termes de scurit.

    Elle peut tre passive (contre uniquement la confidentialit) ou active(contre lintgrit, lauthentification, la non-rpudiation et/ou lecontrle daccs)

    Mesures de scurit :

    Les mesures de scurit sont les actions menes par un organismeen vue dassurer les services de scurit et ce, pour protger le SIcontre les attaques de scurit, dtecter (si cest possible, en tempsrel) ses attaques et enfin ragir en consquence.

    g

    III.1. Terminologie

  • 7/31/2019 Cours Partie1

    52/103

    Master spcialis QL : Scurit des Rseaux 5216/07/12

    Menace :

    Une menace est une violation potentielle de la scurit (accident,erreur, malveillance).

    Deux types de menaces peuvent tre distingus : la menaceaccidentelle et la menace intentionnelle .

    Vulnrabilit : Elle peut tre due :

    une faiblesse ou une faille dans les protocoles, la topologie, lesmcanismes de scurit dun rseau, etc. ;

    labsence dune politique de scurit (ou son inefficacit) ; labsence de formation et de sensibilisation des utilisateurs du

    rseau.

    III.1. Terminologie

  • 7/31/2019 Cours Partie1

    53/103

    Master spcialis QL : Scurit des Rseaux 5316/07/12

    Risque :

    Le risque peut se dfinir comme tant la probabilit quune menace

    particulire puisse exploiter une vulnrabilit donne.

    Virus

    Un virus est un programme cach dans un autre qui peut sexcuter etse reproduire en infectant dautres programmes ou dautres

    ordinateurs.

    Les dgts causs peuvent aller du simple message qui saffiche

    lcran au formatage des disques durs de toutes les machines dunrseau.

  • 7/31/2019 Cours Partie1

    54/103

    III.2. Classification des attaques rseau

  • 7/31/2019 Cours Partie1

    55/103

    Master spcialis QL : Scurit des Rseaux 5516/07/12

    Les attaques rseau peuvent tre classes selon plusieurs critres dont :

    La nature de lattaquant :

    Attaques structures ou dexpert :

    En gnral, ces attaquants sont trs motivs et techniquement

    comptents ;

    Ils crent leur propres outils ou en perfectionnent ceux dautrui ;

    Ces attaques ont toujours un but prcis (vol dinfo et/ou argent, causer

    des dommages,) ;

    Si le but est de nuire, les dommages sont souvent trs srieuses et

    peuvent aller jusqu anantir tout le SI.

    III.2.Classification des attaques rseau

  • 7/31/2019 Cours Partie1

    56/103

    Master spcialis QL : Scurit des Rseaux 5616/07/12

    La nature de lattaquant :

    Attaques non structures ou de novices :

    Ces attaquants sont gnralement sans relles mauvaises intentions,

    mais peuvent causer de vrais dommages ;

    Ils utilisent les outils dvelopps par dautres attaquants (procurs viaInternet) ;

    Les sites Web sont les cibles prfres de ces attaquants (moins

    scuriss, attaque vite connue, etc);

    III.2. Classification des attaques rseau

  • 7/31/2019 Cours Partie1

    57/103

    Master spcialis QL : Scurit des Rseaux 5716/07/12

    La localit de lattaquant :

    Attaques externes (e.g, partir dInternet) :

    Ces attaques peuvent provenir de nimporte quelle personne

    connecte Internet pourvue que la cible le soit aussi ;

    Elles bnficient parfois de complicit de lintrieur, dans ce cas, elles

    deviennent plus dangereuses.

    Attaques internes :

    Les statistiques disent quelles sont les plus frquentes : 80% (de

    celles dtectes et dclares) selon Studies and Survey, dc 2000;

    Elles sont gnralement plus dangereuses car leur auteur ont plus

    dinformations sur le rseau attaqu;

  • 7/31/2019 Cours Partie1

    58/103

    III.2. Classification des attaques rseau

  • 7/31/2019 Cours Partie1

    59/103

    Master spcialis QL : Scurit des Rseaux 5916/07/12

    Les faiblesses exploites par lattaquant :

    Les faiblesses des protocoles rseau (e.g :TCP/IP);

    Les faiblesses des systmes dexploitation;

    Les faiblesses des mcanismes dauthentification ;

    Les bugs connus de certains logiciels ;

    Les backdoors ;

    Les faiblesses dans les configurations des serveurs (Web, mail,

    DNS, etc.). Les faiblesses humaines: Social Engineering

    III.2. Classification des attaques rseau

  • 7/31/2019 Cours Partie1

    60/103

    Master spcialis QL : Scurit des Rseaux 6016/07/12

    Le(s) but(s) de lattaquant :

    coute du rseau ( confidentialit) attaque passive;

    Disfonctionnement du rseau et de ces machines: DOS & Virus;

    Accs au rseau : Mascarade & Virus.

    III.3. Principales attaques rseau

  • 7/31/2019 Cours Partie1

    61/103

    Master spcialis QL : Scurit des Rseaux 6116/07/12

    coute (sniffing) :

    Dni de service (DOS) :

    Mascarade (Spoofing) :

    Virus/vers/ Chevaux de Troie :

    III.3. Principales attaques rseau

  • 7/31/2019 Cours Partie1

    62/103

    Master spcialis QL : Scurit des Rseaux 6216/07/12

    coute (sniffing) :

    But : Interception de mots de passe qui transitent en clair sur le rseau,

    Espionnage concernant les pages web visites, les sessions ftp en cours,les mails en envoi ou rception, etc.

    Principe :

    En utilisant un outil adquat (dit sniffer), il est possible dintercepter toutesles trames qui arrivent une carte mme si elles ne lui sont pasdestines.

    Condition :

    Le rseau doit utiliser le broadcasting (exp, Ethernet) : toutes les trames

    transitant sur le rseau arrivent toutes les cartes rseau des machinesconnectes. Normalement, seules les trames destines une machinesont lues (par sa carte rseau), les autres sont ignores.

    III.3. Principales attaques rseau

  • 7/31/2019 Cours Partie1

    63/103

    Master spcialis QL : Scurit des Rseaux 6316/07/12

    Dni de service (DOS) :

    But :

    gnrer des arrts de service et donc empcher le bon fonctionnementdun systme (diminution de la bande passante du rseau, dconnexionde la machine cible ou son plantage, ).

    Principe : En gnral, il consiste en lenvoi en trs grand nombre de messages

    autoriss en vue de saturer une machine ou un quipement rseau et ce,en exploitant les faiblesses de larchitecture ou dun protocole du rseau.

    Actuellement, ce sont les attaques les plus utilises sur les gros serveurs

    Web (Yahoo, eBay). Il existe deux catgories pour ce type dattaque : Attaque Dos mono-source

    et attaque Dos multi-sources (DDoS).

  • 7/31/2019 Cours Partie1

    64/103

    III.3. Principales attaques rseau

  • 7/31/2019 Cours Partie1

    65/103

    Master spcialis QL : Scurit des Rseaux 6516/07/12

    Dni de service (DOS) :

    Variante TCP-SYN flooding :

    Principe :

    Envoi en grand nombre de paquets TCP SYN avec des adressesalatoires (IP spoofing) ou partir de plusieurs machines (DDoS) pour

    simuler des demandes de connexion TCP au serveur cibl ; Le serveur renvoie des SYN ACK et maintient les connexions ouvertes

    en attente de paquets ACK qui ne viendront jamais ce qui peutprovoquer le blocage du serveur

    Condition:

    dbit denvoi < timeout de demi-connexion

    III.3. Principales attaques rseau

  • 7/31/2019 Cours Partie1

    66/103

    Master spcialis QL : Scurit des Rseaux 6616/07/12

    Dni de service (DOS) :

    Tear Drop :

    Principe :

    Exploitation dun bug dans le rassemblage des fragments IP:

    Envoi du 1er paquet IP dune fragmentation ;

    Envoi dun 2me paquet dont le bit de dcalage et la longueurimpliquent quil est inclus dans le 1er paquet et ainsi de suite ;

    Face cette exception le systme peut se bloquer.

    Condition :

    Il faut que le systme ne sache pas grer cette exception(exp :Win95/NT).

  • 7/31/2019 Cours Partie1

    67/103

    III.3. Principales attaques rseau

  • 7/31/2019 Cours Partie1

    68/103

    Master spcialis QL : Scurit des Rseaux 6816/07/12

    Dni de service (DOS) :

    Dbordement de tampon (Buffer overflow) :

    Principe:

    Exploitation dune faille du protocole IP :

    Envoi la machine cible des donnes dune taille trs trs grandece qui va entraner leur fragmentation en plusieurs paquets;

    Dbordement des variables internes lors du rassemblement ;

    Suite ce dbordement, plusieurs cas se prsentent : la machine sebloque, redmarre ou ce qui est plus grave, crit sur le code en

    mmoire. On peut ainsi modifier directement le code des programmesde la machine

    III.3. Principales attaques rseau

  • 7/31/2019 Cours Partie1

    69/103

    Master spcialis QL : Scurit des Rseaux 6916/07/12

    Dni de service (DOS) :

    Variante: Ping de la mort (Ping of Death) :

    Principe :

    Envoi dune requte ping du protocole ICMP. Envoyer un paquet ICMP(en gnral, ping) d'une taille suprieure la longueur maximale une

    machine. Lors de son envoi, le ping of death est fragment en paquets plus

    petits. La machine qui reoit ces paquets doit alors les reconstruirent.

    Certains systmes ne grent pas cette fragmentation, et se bloquent,

    ou crashent compltement.

    III.3. Principales attaques rseau

  • 7/31/2019 Cours Partie1

    70/103

    Master spcialis QL : Scurit des Rseaux 7016/07/12

    Dni de service (DOS) :

    Dbordement de messages (Spams) :

    But :

    Engorger les rseaux suite leur propagation massive et saturationdes botes aux lettres

    Principe:

    Envoi par mail de messages large chelle (En gnral, sans aucuneaction nuisible sur la machine cible)

    Ils propagent la dsinformation (exemples : fausse nouvelle

    concernant un nouveau virus, une possibilit de gain norme, unedemande daide).

    III.3. Principales attaques rseau

  • 7/31/2019 Cours Partie1

    71/103

    Master spcialis QL : Scurit des Rseaux 7116/07/12

    Mascarade (Spoofing ) :

    But :

    Ouverture de connexions non autorises avec les serveurs cibles,cela se fait gnralement par construction de paquets IP avec unefausse adresse source, pour ventuellement, raliser dautres buts,

    comme par exemple: effectuer dautres attaques DoS ou de crationde backdoors.

    Condition :

    Il faut quune machine cliente soit autorise se connecter en root ou

    avec des privilges sur le serveur cible.

  • 7/31/2019 Cours Partie1

    72/103

  • 7/31/2019 Cours Partie1

    73/103

  • 7/31/2019 Cours Partie1

    74/103

    III.3. Principales attaques rseau

  • 7/31/2019 Cours Partie1

    75/103

    Master spcialis QL : Scurit des Rseaux 7516/07/12

    Virus/ Vers/ Chevaux de Troie :

    Chevaux de Troie ou troyens :

    Programmes cachs qui crent des failles dans un systme ( parexemple, ils crent une backdoor sur la machine au profit du crateurdu troyen). Ils peuvent aussi voler des mots de passe, communiquer

    des donnes leur crateur, excuter des actions nuisibles, etc.

    Bombes logiques :

    Programmes dont le dclenchement seffectue un momentdtermin, en exploitant la date du systme, ou suite un vnement

    dclencheur.

    III.4. Phases dune attaque typique

  • 7/31/2019 Cours Partie1

    76/103

    Master spcialis QL : Scurit des Rseaux 7616/07/12

    Phase 1: Dfinition du but de lattaque

    tablissement vis :

    Pour les attaques structures, la cible est connue davance, parexemple, le concurrent du mandataire de lattaque, le gouvernementdun tat ennemi, une banque (pour vol dargent), lex-socit de

    lattaquant, etc.

    Objectif raliser :

    Accs au systme (donnes, ressources) pour avoir ou augmenterdes privilges;

    Dni de service, pour causer des pertes financires ou nuire limagede marque.

  • 7/31/2019 Cours Partie1

    77/103

  • 7/31/2019 Cours Partie1

    78/103

    III.4. Phases dune attaque typique

  • 7/31/2019 Cours Partie1

    79/103

    Master spcialis QL : Scurit des Rseaux 7916/07/12

    Phase 2: Reconnaissance avant lattaque

    Outils utiliss:

    Outils habituels dadministration rseau: commandes netstat,traceroute, etc.

    Outils pour cartographier un rseau :Nessus, Nmap, etc.

    Outils de scan : Rat, Satan, Strobe, etc.

    Autres techniques:

    Craquage de mots de passe : mthode exhaustive ou avecdictionnaires;

    Utilisation de la pile TCP/IP pour deviner lOS, etc.

  • 7/31/2019 Cours Partie1

    80/103

    III.4. Phases dune attaque typique

  • 7/31/2019 Cours Partie1

    81/103

    Master spcialis QL : Scurit des Rseaux 8116/07/12

    Phase 4 : Aprs lattaque

    Si Gain daccs russi:

    Augmenter les privilges (par exemple, Compte Root,);

    Compromettre dautres quipements du rseau attaqu voire dautresrseaux partenaires (effet domino);

    Laisser des backdoors pour des futurs attaques;

    Si possible, ne pas laisser de traces ou de preuves compromettantes.

    Si Dni de service achev :

    Diffuser la nouvelle de lattaque dans les sites Web en amplifiantlimpact de lattaque.

  • 7/31/2019 Cours Partie1

    82/103

  • 7/31/2019 Cours Partie1

    83/103

  • 7/31/2019 Cours Partie1

    84/103

  • 7/31/2019 Cours Partie1

    85/103

    III.5.1. Scurit active ou de protection

  • 7/31/2019 Cours Partie1

    86/103

    Master spcialis QL : Scurit des Rseaux 8616/07/12

    La segmentation :

    Principe :

    Filtrage niv 1 et 2

    But :

    Rduire les domaines de collision;

    Rduire les domaines de diffusion.

    Types :

    Physique

    Logique : Vlan

  • 7/31/2019 Cours Partie1

    87/103

    III.5.1. Scurit active ou de protection

  • 7/31/2019 Cours Partie1

    88/103

    Master spcialis QL : Scurit des Rseaux 8816/07/12

    Segmentation Logique : VLan

    Principe : Un rseau local virtuel est un rseau logique de niveau 2;

    Il exploite la technique de la commutation ;

    Il permet de connecter un groupe logique de stations de travail, mme si cesdernires ne sont pas gographiquement proches les unes des autres.

    Rles :

    Regrouper/isoler des groupes dutilisateurs qui ont besoin daccder ou dutiliser lesmmes ressources tout en permettant leur mobilit (sans changement dadresse);

    Limiter la propagation du trafic au seul VLAN concern : un flux originaire d'un VLANdonn n'est transmis qu'aux ports qui appartiennent ce mme VLAN. Chacun des

    VLANs constitue ainsi un domaine de diffusion propre.

    Apporter ainsi un premier niveau de scurit.

  • 7/31/2019 Cours Partie1

    89/103

  • 7/31/2019 Cours Partie1

    90/103

  • 7/31/2019 Cours Partie1

    91/103

  • 7/31/2019 Cours Partie1

    92/103

  • 7/31/2019 Cours Partie1

    93/103

  • 7/31/2019 Cours Partie1

    94/103

    III.5.1. Scurit active ou de protection

  • 7/31/2019 Cours Partie1

    95/103

    Master spcialis QL : Scurit des Rseaux 9516/07/12

    Le filtrage IP:

    Fonctionnement (suite):

    Politique de filtrage:

    Les types de paquets autoriss sont lists dans une liste exhaustive,les paquets dont le type est dans la liste passent, les autres sont

    arrts;

    Les types de paquets interdits sont lists dans une liste exhaustive, lespaquets dont le type nest pas dans la liste passent, les autres sontarrts;

    Un ensemble de rgles de filtrage qui dterminent les paquetsautoriss et ceux interdits.

  • 7/31/2019 Cours Partie1

    96/103

  • 7/31/2019 Cours Partie1

    97/103

  • 7/31/2019 Cours Partie1

    98/103

    III.5.1. Scurit active ou de protection

    L l li tif

  • 7/31/2019 Cours Partie1

    99/103

    Master spcialis QL : Scurit des Rseaux 9916/07/12

    Le relayage applicatif :

    Avantages et inconvnients :

    Permet danalyser le flux applicatif et fournit donc une plus grandefinesse dans le contrle

    Outre le filtrage, il permet de faire de la traabilit.

    Le niveau de scurit offert, pour une application donne, est lev.

    Il est uniquement logiciel et ses performances sont relativementmdiocres.

    Il faut gnralement avoir pour chaque service ou application rseauun programme spcifique (proxy)

    III.5.1. Scurit active ou de protection

    Le relayage applicatif:

  • 7/31/2019 Cours Partie1

    100/103

    Master spcialis QL : Scurit des Rseaux 10016/07/12

    Le relayage applicatif:

    Utilisations (1) :

    III.5.1. Scurit active ou de protection

    Le relayage applicatif:

  • 7/31/2019 Cours Partie1

    101/103

    Master spcialis QL : Scurit des Rseaux 10116/07/12

    Le relayage applicatif:

    Utilisations (2) :

  • 7/31/2019 Cours Partie1

    102/103

  • 7/31/2019 Cours Partie1

    103/103