Scurit des rseaux

W.Kammoun 2009-2010
Wafa Kammoun ISITCom 1

Plan
Introduction Objectifs de la scurit Causes de linscurit # types de menaces et # types dattaques Comment se protger?
# Mesures de Scurit

Cryptographie et Principe de cryptage:

Symtrique (Vigenre, DES,..) Asymtrique (RSA, PGP)

VPN SSL (Secure Socket Layer): HTTPS

Wafa Kammoun ISITCom 2

Introduction
La scurit d'un rseau est un niveau de garantie que l'ensemble des machines du rseau fonctionne de faon optimale et que les utilisateurs possdent uniquement les droits qui leurs ont t octroys Il peut s'agir :
d'empcher des personnes non autorises d'agir sur le systme de faon malveillante d'empcher les utilisateurs d'effectuer des oprations involontaires capables de nuire au systme de scuriser les donnes en prvoyant les pannes de garantir la non-interruption d'un service
Wafa Kammoun ISITCom 3

Causes de linscurit
Ltat actif dinscurit : la non-reconnaissance par lutilisateur des fonctionnalits du systme (ex: la dsactivation des services non ncessaire lutilisateur) Ltat passif dinscurit: la mconnaissance des moyens de scurit mis en place (ex: lorsque ladministrateur dun systme ne connat pas les dispositifs de scurit dont il dispose)

Wafa Kammoun ISITCom

But des agresseurs

Les motivations des agresseurs que l'on appelle "pirates" peuvent tre multiples :
l'attirance de l'interdit le dsir d'argent (ex: violer un systme bancaire) le besoin de renomme (impressionner des amis) l'envie de nuire (dtruire des donnes, empcher un systme de fonctionner)

Le but des agresseurs est souvent de prendre le contrle d'une machine afin de pouvoir raliser les actions qu'ils dsirent. Pour cela il existe diffrents types de moyens :
l'obtention d'informations utiles pour effectuer des attaques utiliser les failles d'un systme l'utilisation de la force pour casser un systme

Wafa Kammoun ISITCom

Objectifs de la scurit
La scurit informatique vise assurer:
Lintgrit: garantir que les donnes sont bien celles que lon croit tre; La confidentialit: consiste assurer que seules les personnes autorises aient accs aux ressources changes La disponibilit: permet de maintenir le bon fonctionnement du systme dinformation La non-rpudiation: permet de garantir quune transaction ne peut tre nie Lauthentification: consistant assurer que seules les personnes autorises aient accs aux ressources.
Wafa Kammoun ISITCom 6

Dfinitions
La confidentialit: consiste rendre linformation inintelligible dautres personnes que les seuls acteurs de la transaction Lintgrit: consiste dterminer si les donnes nont pas t altrs durant la communication La disponibilit: garantir laccs un service ou des ressources La non-rpudiation: est la garantie quaucun des correspondants ne pourra nier la transaction Lauthentification: consiste assurer lidentit dun utilisateur, c.a.d quil sagit de la personne quil prtend tre
Wafa Kammoun ISITCom 7

Les menaces

Wafa Kammoun ISITCom

Le Hacking (Attaques)
Cest lensemble des techniques visant attaquer un rseau un site ou un quipement Les attaques sont divers:
Lenvoie de bombe logiciel, chevaux de Troie La recherche de trou de scurit, dtournement didentit Les changements des droits daccs dun utilisateur dun PC Provocation des erreurs

Les buts dun Hacker:

La vrification de la scurisation dun systme La vol dinformations, terrorisme (Virus), espionnage, Jeux; pour apprendre

Les attaques et les mthodes utilises peuvent tre offensives ou passives:

Les attaques passives consistent couter une ligne de communication et interprter les donnes quils interceptent Les attaques offensives peuvent tre regrouper en :
Les attaques directes: cest le plus simple des attaques, le Hacker attaque directement sa victime partir de son ordinateur. Dans ce type dattaque, il y a possibilit de pouvoir remonter lorigine de lattaque et identifier lidentit du Hacker Les attaques indirectes (par ruban): passif, cette attaque prsente 2 avantages:
Masquer lidentit (@ IP du Hacker) Wafa Kammoun ISITCom ventuellement utiliser les ressources du PC intermdiaire 9

Wafa Kammoun ISITCom

10

Wafa Kammoun ISITCom

11

Risques Divers
Les attaques de virus ou de vers ont caus la panne de millions d'ordinateurs travers le monde. Tout systme peut tre victime de telles attaques, en particulier s'il est connect l'Internet:
Les virus, vers, chevaux de Troie ainsi que les logiciels espions et les tmoins de connexion (cookies) peuvent entraner des pertes irrmdiables de donnes. Les secrets d'affaires, les adresses de partenaires commerciaux, les numros de tlphones portables de parents et amis, la correspondance avec la caisse d'assurance-maladie ou le mdecin traitant, etc., risquent ainsi d'tre dtruits ou, pire encore, d'tre copis votre insu. Les hameonnages (phishing) peuvent entraner des achats non autoriss et facturs sur votre carte de crdit ou causer des frais de tlphone pour plusieurs centaines de Dinars. Il est souvent difficile de convaincre sa banque que les transactions effectues taient illicites. Les canulars (hoaxes) et les pourriels (spam) ne sont souvent que des incidents fcheux causant une perte de temps ( cause du tri manuel); ils peuvent parfois aussi avoir des consquences fcheuses si l'on suit leurs indications ou si l'on accepte l'offre qu'ils contiennent.
Wafa Kammoun ISITCom 12

Ver / Virus
Ver:
Programme capable de se copier vers un autre emplacement par ses propres moyens ou en employant d'autres applications. Il se multiplie rapidement.

Virus:
Un petit programme ou un lment d'un programme, dvelopps des fins nuisibles, qui s'installe secrtement sur des ordinateurs et parasite des programmes.

Les traces
Les virus infectent des applications, copient leur code dans ces programmes. Pour ne pas infecter plusieurs fois le mme fichier ils intgrent dans lapplication infecte une signature virale.
Wafa Kammoun ISITCom

13

 1. La signature. La signature est le code du virus. Comme le nombre de virus devient de plus en plus important et qu'liminer de la liste les "anciens virus" serait dangereux, le travail de comparaison entre sa liste de virus et le fichier analys devient de plus en plus lourd. C'est nanmoins la seule solution. Les virus deviennent "mutants". Pour vitez cette dtection, les virus changent de signature en modifiant leur code de programmation en mme temps que l'infection. Certains virus actuels se coupent en plusieurs morceaux pour se reconstruire la moindre occasion. Encore une difficult de plus pour les anti-virus. 2. La base de donne. Pour dtecter les nouveau virus, les logiciels anti-virus mettent jour leur base de donne rgulirement. Sans cette mise jour, l'utilisation de ces programmes est pratiquement inutile.

Sans mises jour, pas de protections !!!!

Wafa Kammoun ISITCom 14

Bombes logiques
Les bombes logiques sont programmes pour s'activer quand survient un vnement prcis. De faon gnrale, les bombes logiques visent faire le plus de dgt possible sur le systme en un minimum de temps.
Wafa Kammoun ISITCom 15

Cheval de Troie (Trojan)

Un type de logiciel malveillant, c.a.d un logiciel d'apparence lgitime, conu pour excuter des actions nuisibles l'utilisateur, un pirate informatique peut tout moment prendre distance le contrle de lordinateur; un cheval de Troie, dans un programme, tente d'utiliser les droits appartenant son environnement d'appel pour dtourner, diffuser ou dtruire des informations. Le partage des programmes introduit la problmatique des chevaux de Troie. Les chevaux de Troie servent trs frquemment introduire une porte drobe sur un ordinateur. Un cheval de Troie peut par exemple
voler des mots de passe ; copier des donnes sensibles ; excuter tout autre action nuisible; etc..

Les trojans ont t crs dans les annes 80, par un jeune hacker allemand du nom de Karl Koch
Wafa Kammoun ISITCom 16

Symptmes dinfection
Une infection par un cheval de Troie fait gnralement suite l'ouverture d'un fichier contamin contenant le cheval de Troie. Se traduit par les symptmes suivants :
activit anormale du modem, de la carte rseau ou du disque: des donnes sont charges en l'absence d'activit de la part de l'utilisateur ; des ractions curieuses de la souris ; des ouvertures impromptues de programmes ; des plantages rptition.

Se protger par un Firewall En cas dinfection (dtecter par bouffe-troyen) tlcharger un Cleaner (Ex:http://www.moosoft.com )
Wafa Kammoun ISITCom 17

Logiciel espion et publicitaire (Spyware, adware)

Ce programme collecte des informations, l'insu de l'utilisateur, sur ses habitudes en matire de navigation (surf) ou sur les paramtres du systme utilis pour les transmettre une adresse courriel prdfinie. Le type d'informations collectes dpend du genre de logiciel espion utilis, la palette allant des mots de passe aux habitudes de navigation. Les logiciels publicitaires (adware) enregistrent galement souvent les habitudes de surf de l'utilisateur et de les employer pour lui offrir des produits correspondants (ex. via des liens). Les logiciels espion et les logiciels publicitaires sont transmis le plus souvent par des programmes tlchargs. Consquences
Espionnage de donnes confidentielles (ex. des mots de passe) Mise en danger des donnes prives Publicit non solliciteWafa (gourmand en bande passante) Kammoun ISITCom 18

Phishing

Wafa Kammoun ISITCom

19

Hameonnage (Phishing)
Le mot phishing (hameonnage) se compose des mots anglais "password" (mot de passe), "harvesting" (moisson) et "fishing" (pche). Via l'hameonnage, des pirates tentent d'accder aux donnes confidentielles d'utilisateurs Internet ne se doutant de rien. Il peut s'agir ex. d'informations concernant les comptes pour des soumissionnaires de ventes aux enchres en ligne (ex. eBay) ou des donnes d'accs pour le e-banking. Les pirates font appel la bonne foi, la serviabilit de leurs victimes en leur envoyant des courriels avec des adresses d'expditeur falsifies. Ces courriels signalent ex. la victime que les informations concernant son compte et ses donnes d'accs (p. ex. nom d'utilisateur et mot de passe)
De fait, le lien n'aboutit pas sur le site du fournisseur de services (ex. la banque), mais sur un site l'identique falsifi par les pirates.

Consquences et dangers
Grce aux donnes acquises frauduleusement, l'escroc peut effectuer des transactions bancaires au nom de l'utilisateur d'Internet, la victime, ou placer des offres dans les enchres en ligne.
Wafa Kammoun ISITCom 20

Cookies
Les cookies (tmoins de connexion) sont des petits fichiers texte qui s'installent sur l'ordinateur du visiteur lorsque ce dernier consulte une page Internet, ceci dans le but de lui simplifier la tche. Un cookie est en ralit un fichier stock sur le disque dur de l'utilisateur, afin de permettre au serveur web de le reconnatre d'une page web l'autre. Les cookies sont notamment utiliss par les sites de commerce lectronique afin de conserver les prfrence de l'utilisateur (par exemple les options qu'il a coch) afin de lui viter de les re-saisir. Consquences et danger Les exploitants de sites Internet peuvent l'aide des tmoins de connexion enregistrer le comportement de la personne qui visite le site pour tablir son profil client.

Wafa Kammoun ISITCom

21

Empoisonnement du Cache DNS

est une technique permettant de leurrer les serveurs DNS afin de leur faire croire qu'ils reoivent une requte valide tandis qu'elle est frauduleuse. Une fois que le serveur DNS t empoisonn, l'information est mise dans un cache, rendant ainsi vulnrable tous les utilisateurs de ce serveur. Ce type d'attaque permet par exemple d'envoyer un utilisateur vers un faux site dont le contenu peut servir de l'hameonnage (dans le cas du DNS, on parle phishing) ou comme vecteur de virus et autres applications malveillantes.

Wafa Kammoun ISITCom

22

Dpassement de Tampon

(Buffer Overflow)
est un bogue pouvant tre exploit pour violer la politique de scurit dun systme. Cette technique est couramment utilise par les pirates informatiques.

Wafa Kammoun ISITCom

23

Keylogger matriel
Acclrateur de Rcupration USB permettant de tlcharger super rapidement tout le journal. Cet enregistreur est absolument indtectable pour le systme d'exploitation, ne requiert aucun logiciel ni pilote. un keylogger peut se procurer facilement des emails confidentiels et les rvler toute partie intresse l'extrieur prts payer Enregistrez tout le journal en quelques secondes !
Applications Observer l'usage des sites WWW, des e-mails et du chat par vos enfants ou salaris Surveiller la productivit de vos salaris Sauvegarder les copies des documents crs Et ayant de trs petites dimensions, seulement 48 mm de longueur

Wafa Kammoun ISITCom

24

Chat & messagerie instantane

Le "chat" (bavardage en ligne) dsigne un moyen de communiquer sur Internet en temps rel avec d'autres utilisateurs. Contrairement au tlphone, les discussions se font non pas en parlant mais en crivant. L'utilisateur peut s'entretenir simultanment avec tous les participants ou se retirer avec un seul dans un salon priv inaccessible aux autres. Diffrentes plates-formes de bavardage en ligne sont accessibles gratuitement sur Internet. Consquences et danger
Les services de bavardage en ligne sont utiliss en raison de leur apparent anonymat galement pour agir de manire illgale, ex. par des pdophiles la recherche de leurs semblables ou de victimes. Introduction de virus, vers et chevaux de Troie sur votre propre ordinateur. Les participants au bavardage en ligne sont rgulirement enjoints cliquer sur des liens ou entrer des commandes inconnues.
Wafa Kammoun ISITCom 25

Les tapes de scurit

Prendre des mesures de Protection Chacun est appel contribuer la scurit de son systme, sous peine de s'exposer aux risques et de constituer ainsi un danger pour les autres utilisateurs. En appliquant les mesures et les rgles de comportement prsentes, vous assurez une bonne protection de votre ordinateur
Wafa Kammoun ISITCom 26

Comment se protger?
Cryptage Pare-feu Mises jour de votre PC Logiciels anti-virus
Antispam Antispyware, ..
Wafa Kammoun ISITCom 27

Mcanismes

Scurit informatique
Protection dun site Parefeux, Anti-Virus Chiffrement, Signature lectronique

Gestion daccs par mot de passe

Login Protection dun sous-rpertoire

Chiffrement des informations

Protection de login/passwd Protection des messages SSL (https)

Signature : authentification
Thorie unifie du chiffrement cl publique : schma RSA S/MIME Gestion des certificats
Wafa Kammoun ISITCom 28

Firewall
Pare-feu ou garde-barrire, est un outil matriel (HW) ou logiciel (SW), charg de protger le rseau local du monde extrieur et de certains programmes malveillants. contrler les accs et bloquer ce qui est interdit.
autoriser les ordinateurs du rseau local se connecter lInternet. bloquer les tentatives de connexion dInternet vers les ordinateurs du rseau local
Wafa Kammoun ISITCom 29

Principe de Filtrage ralis par un Firewall

Rseau Externe Web
PortS de services non dsirables : P2P, ..

Rseau Interne,

Mail FTP
Port exploit par un Virus

DNS

Wafa Kammoun ISITCom (spoofs, )

Paquets Malforms

30

FireWall
Un Firewall vise, au niveau de la scurit, deux objectifs: 1. Contrler et protger les htes du rseau local
Contre la divulgation non autorise dinformations sensibles Contre les virus de toutes sortes Contre les attaques par Cheval de Troie

2.

Protger les serveurs Internet

contre des commandes juges dangereuses associes des services du type telnet et sendmail contre la modification ou la suppression non autorise de fichiers vitaux pour le systme
Wafa Kammoun ISITCom 31

Contd
C'est une liste ordonne de la forme: (rgle 1, action 1) (rgle 2, action 2) (rgle 3, action 3) etc. Les rgles peuvent tre: adresse destination du paquet, adresse source, port destination, port source, date, heure, etc. Les actions peuvent tre: refuser le paquet, ignorer le paquet, accepter le paquet, transmettre le paquet sur un autre rseau, modifier les enttes du paquet...

Wafa Kammoun ISITCom

32

Ex: Fonctionnement dun Firewall

Le tableau ci-dessous donne des exemples de rgles:
Rgles 1. Action Accept IP src 192.168.10.20 IP dest 194.154.192.3 Protocol tcp Port src any Port dest 25

2.

Accept

any

192.168.10.3

tcp

any

80

3.

Accept

192.168.10.0/ 24 any

any

tcp

any

80

b4

deny

any

any

any

any

Wafa Kammoun ISITCom

33

Les listes ACL

Les listes de contrle daccs sont des instructions qui expriment une liste de rgles, imposs par ladministrateur, donnant un contrle supplmentaire sur les paquets reus et transmis par le routeur.
Il ne peut y avoir quune liste daccs par protocole par interface et par sens Une ACL est identifiable par son Nr. attribu suivant le protocole et suivant le type. Type de la liste Plage Nr.

Liste daccs standard

1 99

ACL Standard:
Permet dautoriser ou dinterdire des @ spcifiques ou un ensemble d@ ou de protocoles

Liste daccs tendues

100 199

ACL tendu
Wafa Kammoun ISITCom 34

 Le routeur dtermine sil doit acheminer ou bloquer un paquet en fct de chaque instruction de condition dans lordre dans lequel les instructions ont t cres Si le paquet arrivant linterface du routeur satisfait une condition, il est autoris ou refus Si le paquet ne correspond aucune instruction dans la liste, celui-ci est rejet Le rsultat de linstruction implicite deny any Any: nimporte quelle @ (de 0.0.0.0 255.255.255.255) Host: abrviation du masque gnrique
Ex: host 172.16.33.5 quivaut 172.16.33.5 0.0.0.0
Wafa Kammoun ISITCom 35

Liste standard, tendue ?!!

Liste standard:
Router (config)# access-list numr-liste {permit |deny} source {masque-source} Ex: access-list 1 deny 172.69.0.0 0.0.255.255

Liste tendue:
Router (config)# access-list numr-liste {permit|deny} protocole source {masque-source} destination {masque-desti} {oprateur oprande}[established..]
Wafa Kammoun ISITCom 36

Architecture DMZ
L'acronyme "DMZ" signifie DeMilitarized Zone ou "zone dmilitarise" On appelle DMZ une zone qui n'est ni publique, ni interne. Ces zones ne peuvent exister que si le pare-feu possde plus de deux interfaces rseau, une pour la connexion au rseau externe et l'autre pour la connexion au rseau interne. Si un pare-feu possde trois interfaces au moins, il est possible de crer une DMZ sur la troisime interface. On y placera les serveurs qui ont besoin de sortir sur l'extrieur, mais qui ont galement besoin d'tre protgs des menaces internes. Ainsi, si des utilisateurs en interne veulent faire des oprations frauduleuses sur les serveurs (web, serveur de messagerie, serveur FTP public, etc.), ils devront franchir la barrire du pare-feu et les rgles de filtrage mises en place.
Wafa Kammoun ISITCom

Serveurs Web Mail...

Zone Dmilitarise (DMZ)

Systme FIREWALL

37

Les serveurs situs dans la DMZ sont appels bastions en raison de leur position d'avant poste dans le rseau de l'entreprise. La politique de scurit mise en oeuvre sur la DMZ est gnralement la suivante :
Traffic du rseau externe vers la DMZ autoris ; Traffic du rseau externe vers le rseau interne interdit ; Traffic du rseau interne vers la DMZ autoris ; Traffic du rseau interne vers le rseau externe autoris ; Traffic de la DMZ vers le rseau interne interdit ; Traffic de la DMZ vers le rseau externe refus.

Wafa Kammoun ISITCom

38

Cryptographie: La science du secret !!

Wafa Kammoun ISITCom

39

Problme

Wafa Kammoun ISITCom

40

La cryptographie
Le mot cryptographie est un terme gnrique dsignant l'ensemble des techniques permettant de chiffrer des messages, c'est--dire permettant de les rendre inintelligibles sans une action spcifique. Le verbe crypter est parfois utilis mais on prfre le verbe chiffrer.
La cryptologie est essentiellement base sur l'arithmtique: Il s'agit dans le cas d'un texte de transformer les lettres qui composent le message en une succession de chiffres puis ensuite de faire des calculs sur ces chiffres pour: d'une part les modifier de telle faon les rendre incomprhensibles. Le rsultat de cette modification (le message chiffr) est appel cryptogramme (en anglais ciphertext) par opposition au message initial, appel message en clair (en anglais plaintext) faire en sorte que le destinataire saura les dchiffrer
Wafa Kammoun ISITCom 41

Cryptographie
Ensemble de processus de cryptage visant protger les donnes contre les accs non autoriss Repose sur lemploi de formules mathmatiques et des algorithmes complexes afin de coder linformation Il existe 2 systmes de cryptographie:
Les systmes symtriques: la mme cl utilis pour coder et dcoder (DES: Data Encryption standard)) Les systmes asymtriques: la cl qui sert coder est diffrente de celle qui peut dchiffrer (RSA:Rivest Shamir Adelmann)
Wafa Kammoun ISITCom 42

Taille de la cl
Un des lments importants du systme cryptographique est la taille de la cl
Plus la cl est longue, plus lalgorithme est fort La taille de la cl est gnralement mesure en bits Si la cl est code sur n bits, elle peut prendre 2n valeurs Plus la cl est longue, plus le nombre de cls possibles est important, et plus ceci ncessite de la puissance et du temps de calcul (pour un malveillant) pour la trouver Il est devenu simple de casser des cls de longueur 40 bits, on prfre celles de 128 et 256 bits Casser des cls de 256 bits ncessite un temps de traitement important
Wafa Kammoun ISITCom 43

Wafa Kammoun ISITCom

44

Principe de Cryptage
Tout systme de cryptage est compos dun algorithme de codage Le Cryptage ncessite 2 fonctions essentielles:
Le message M est crypt par une fonction de cryptage E(M)=C Le cryptogramme C est dcrypt par le destinataire par une fonction de dcryptage

D(C)=D(E(M))=M
Wafa Kammoun ISITCom 45

Exemple dAlgorithmes de Cryptographie

B R On change les lettres 1 5 suivant une rgle prcise T R (ex: A D la cl est : 3) Par Transposition R E La position des caractres L L est modifie. Pour crypter un message on lcrit en F R colonne de taille fixe et on lit les colonnes A N Ex: Nombre de colonne ici 7 O M Texte crypt: TRLFAOREFMDSNZOCAZI R O ASPZTNU.. Wafa Kammoun ISITCom E P
Par substitution

I 3 A Z I A S P Z T

Q 4 N U O N M T E A

U 7 S N N C O E R B

E 2 F M D S N Z O C

S 6 E I E D C E S 46 D

Cesars Cipher
Substitution
if we encode the word SECRET using Cesars key value of 3, we offset the alphabet so that the 3rd letter down (D) begins the alphabet. So starting with: ABCDEFGHIJKLMNOPQRSTUVWXYZ and sliding everything up by 3, you get DEFGHIJKLMNOPQRSTUVWXYZABC

where D=A, E=B, F=C, and so on.. SECRET encrypted as VHFUHW.

Wafa Kammoun ISITCom 47

Chiffrement cl symtrique
Encryptage par substitution
poque romaine (Code de Csar)
Texte en clair : abcdefghijklmnopqrstuvwxyz Texte crypt : mnbvcxzasdfghjklpoiuytrewq

Exemple :
Texte en clair: bob. i meat you. alice Texte crypt: nkn. s jcmu wky. mgsbc

Difficult ?
1026 combinaisons possibles.... par l'utilisation de rgles statistiques, on trouve facilement la cl ... ... naissance il y a 500 ans du chiffrement polyalphabtique
Wafa Kammoun ISITCom 48

Chiffrement cl symtrique: DES

Data Encryption Standard (IBM 77) Principe :
dcoupe le message en clair en morceau de 64 bits auxquelles on applique une transposition cl de 64 bits (56 bits de cl+8 bits de parit impaire)

Difficult ?
concours organis par RSA Data Security 1997 : 4 mois pour casser le code DES 56 bits en brute force par des amateurs 1999 : 22 h solution pour le rendre plus sur .... Passer l'algorithme DES plusieurs fois sur le message avec chaque fois des cls diffrentes (ex 3DES) Wafa:Kammoun ISITCom 49

Limite de DES
La recherche exhaustive sur 56 bits (256) est maintenant raliste. Mars 2007 : 6:4 j, COPACOBANA (utilisation de FPGA) par luniversit de Bochum et Kiel (cot 10 000 $)

Wafa Kammoun ISITCom

50

Schma de l'algorithme :

La solution a t dans un premier temps l'adoption du triple DES: trois applications de DES la suite avec 2 cls diffrentes (d'o une cl de 112 bits)

Wafa Kammoun ISITCom

51

Table de Vigenre

Wafa Kammoun ISITCom

52

Exemple

CRYPTOGRAPH I E MATMATMATMATM O?? ? ? ?? ??? ? ??

Wafa Kammoun ISITCom

53

Scurit dun chiffrement par substitution

Force brute:
Substitution mono-alphabtique : 26!~ 288 Vigenre : 26t , pour un mot cl de taille t Permutation : t!, pour une permutation de longueur t

Analyse de frquence:
Faiblesse: la structure du texte est globalement conserv. Il est donc possible dutiliser les caractristiques linguistiques (redondances, frquences,)
Wafa Kammoun ISITCom 54

Algorithme RSA

Dvelopp par: Ron Rivest, Adi Shamir et Leonard Adleman en 1977 repose sur des fonctions mathmatique appliques sur de grands nombres Le RSA est un systme qui repose intgralement sur la difficult de factoriser de grands nombres entiers (au moins 100 chiffres actuellement).

Wafa Kammoun ISITCom

55

Protocole cl publique: RSA

Algorithme :
1) Slection de 2 grands nombres premiers p et q (de 1024 bit par ex) 2) Calculer n=pq et z=(p-1)(q-1) 3) Choisir un e (e<n) qui n'a pas de facteur commun avec z. (e et z premier entre eux) 4) Trouver un d tel que ed-1 est exactement divisible par z tel que (ed mod z =1) 5) Cl publique est : ( n,e) Cl prive est : (n,d)

Wafa Kammoun ISITCom

56

RSA, chiffrement, dchiffrement

1) Cl public est : (n,e) Cl priv est : (n,d) 2) Alice veut envoyer un nombre m Bob : c = me mod n 3) Bob reoit le message c et calcule : m = cd mod n Exemple : p = 5, q = 7 donc n = 35 et z = 24 Bob choisit e = 5 et d = 29 ALICE : (chiffrement) m = 12 me=248832 c = me mod n = 17 BOB : (dchiffrement) c = 17 cd=481968572106750915091411825223072000 m = cd mod n = 12 Cl public est : (35, 5) Cl priv est : (35, 29)
Wafa Kammoun ISITCom 57

Chiffrement asymtrique
Alice veut envoyer un document confidentiel Bob Alice doit se procurer la cl publique de Bob (auprs de Bob ou dun tiers qui la dtient) Alice chiffre le document avec la cl publique de Bob Bob dchiffre le document avec sa cl secrte dont il est le seul dtenteur Si ve russit intercepter le document, elle ne pourra le dchiffrer sans la cl secrte de Bob

Cl Publique B

1 Acteur Acteur A A 2 Acteur Acteur B B Donnes chiffres

Wafa Kammoun ISITCom

Cl Prive B

Chiffrement

Dchiffrement

1 2 Clair

3 Clair
58

Exemple dalgorithme de chiffrement asymtrique: Algorithme de Diffie Hellman

Algorithme de scurisation des changes des cls Apparition suite au problme de lchange des cls de la cryptographie symtrique (coursier malhonnte) Alice veut transmettre une cl Bob pour pouvoir changer un document confidentiel Alice chiffre une cl par une autre cl garde secrte Alice envoie la cl chiffre Bob Bob surchiffre la cl chiffre avec sa cl secrte puis la transmet Alice Alice opre alors un dchiffrement de sa partie du chiffrement de la cl et lenvoie a Bob Bob dchiffre la cl chiffre avec sa cl secrte Ils disposent ainsi tous les deux dune cl qui na aucun moment circul en clair Wafa Kammoun ISITCom 59

Algorithme de Diffie Hellman

Exemple

Wafa Kammoun ISITCom

60

Rcapitulatif
Cryptographie symtrique rpond au besoin de la confidentialit
DES, 3DES, AES, Blowfish, RC2, RC4, RC5 et DEA

Diffie-Hellman rpond au besoin de la confidentialit de lchange des clefs

Diffie Hellman Key Exchange

Algorithmes de hachage rpond au besoin de lintgrit des documents

MD4, MD5 et SHA1

Cryptographie asymtrique rpond au besoin de la confidentialit, authentification et non-rpudiation

Wafa Kammoun ISITCom RSA, ElGamal et DSA 61

Logiciel de chiffrement PGP

PGP (Pretty Good Privacy) tait considr aux USA, comme une arme et interdit l'exportation L'algorithme utilis par PGP, repose sur le RSA et le DES, permet de chiffrer des informations de manire tellement efficace. Comme toute invention "dangereuse", incontrlable et susceptible d'tre utilise contre la mre-patrie, le gouvernement amricain en a interdit l'exportation et a class PGP dans la catgorie des "armes". Le code est crit en Perl

Wafa Kammoun ISITCom

62

PGP
Cette restriction l'exportation de la cryptographie a eu diverses consquences:
Les navigateurs tels qu'Internet Explorer ont t limits (pendant longtemps) 40 bits pour tous les "trangers". Seuls les amricains pouvaient tlcharger la ver.128 bits. Si on ajoute cela que l'algorithme RSA tait brevet jusqu'en septembre 2000, il n'en a pas fallu plus aux internautes pour crer GPG (Gnu Privacy Guard), un logiciel compatible avec PGP et utilisant Diffie-Hellman la place de RSA, et hors de contrle du gouvernement amricain puisque cr en Europe.
Wafa Kammoun ISITCom 63

How PGP encryption works?

Wafa Kammoun ISITCom

64

How PGP decryption works?

Wafa Kammoun ISITCom

65

PGP
..\MM-scurit\TD\Le logiciel PGP.htm

Wafa Kammoun ISITCom

66

Wafa Kammoun ISITCom

67

Quest ce quun VPN ?

VPN,acronyme de Virtual Private Network, ou Rseau Priv Virtuel. Ce rseau est dit virtuel car il relie des rseaux "physiques" (rseaux locaux) via un rseau public, en gnral Internet, et priv car seuls les ordinateurs des rseaux locaux faisant partie du VPN peuvent accder aux donnes. Cette technique assure lauthentification en contrlant laccs, lintgrit des donnes et le chiffrage de celles-ci.
Wafa Kammoun ISITCom 68

VPN
La mise en place d'un rseau priv virtuel permet de connecter de faon scurise des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils taient sur le mme rseau local. Ce procd est utilis par de nombreuses entreprises afin de permettre leurs utilisateurs de se connecter au rseau d'entreprise hors de leur lieu de travail. On peut facilement imaginer un grand nombre d'applications possibles :
Accs au rseau local (d'entreprise) distance et de faon scurise pour les travailleurs nomades Partage de fichiers scuriss Jeu en rseau local avec des machines distantes
Wafa Kammoun ISITCom 69

Wafa Kammoun ISITCom

70

Les Protocoles
Les principaux protocoles de tunneling sont :
PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 dvelopp par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. L2F (Layer Two Forwarding) est un protocole de niveau 2 dvelopp par Cisco Systems, Northern Telecom (Nortel) et Shiva. L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalits de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP. IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des donnes chiffres pour les rseaux IP. SSL/TLS offre une trs bonne solution de tunneling. L'avantage de cette solution est d'utiliser un simple navigateur comme client VPN. SSH Initialement connu comme remplacement scuris de telnet, SSH offre la possibilit de tunneliser des connections de type TCP.
Wafa Kammoun ISITCom 71

Une entreprise Multi-site dsire de plus en plus ouvrir son rseau ses employs travaillant distance,en toute scurit.Cest lenjeu auquel rpond efficacement Wafa Kammoun ISITCom 72 une solution de type VPN

SSL : Secure Socket Layer

C'est un systme qui permet d'changer des informations entre 2 ordinateurs de faon sre. SSL assure 3 choses: Confidentialit: Il est impossible d'espionner les informations changes. Intgrit: Il est impossible de truquer les informations changes. Authentification: Il permet de s'assurer de l'identit du programme, de la personne ou de l'entreprise avec lequelle on communique. SSL est un complment TCP/IP et permet (potentiellement) de scuriser n'importe quel protocole ou programme utilisant TCP/IP. SSL a t cr et dvelopp par la socit Netscape et RSA Security. Wafa Kammoun ISITCom 73

 Certains protocoles ont t spcialement modifis pour supporter SSL:

HTTPS: c'est HTTP+SSL. Ce protocole est inclus dans pratiquement tous les navigateurs, et vous permet (par exemple) de consulter vos comptes bancaires par le web de faon scurise. FTPS est une extension de FTP (File Transfer Protocol) utilisant SSL. SSH (Secure Shell): c'est une sorte de telnet (ou rlogin) scuris. Cela permet de se connecter un ordinateur distant de faon sre et d'avoir une ligne de commande.
Wafa Kammoun ISITCom 74

Le protocole SSL:
Le protocole SSL (Secure Socket Layer) utilise la technologie de la cryptographie des cls publique/prive et l'authentification dveloppe par RSA Data Security Inc. Le fureteur Navigator's de la compagnie Netscape Communications Corporation utilise l'implantation du protocole SSL. Ce protocole effectue la gestion des cls et l'authentification du serveur avant que les informations ne soient changes.
Wafa Kammoun ISITCom 75

Le processus est le suivant :

Un utilisateur quelconque utilise le logiciel Netscape client et entre en communication avec un logiciel serveur de type commercial. Le serveur possde dj sa paire de cls publique/prive. C'est cette paire de cls qu'il utilise dans ses communication avec tous les logiciels clients. Le logiciel client, une fois reconnu par le logiciel serveur, gnre une paire de cls publique/prive. Le logiciel client demande au logiciel serveur de lui fournir sa cl publique (celle du serveur). La cl publique du client est aussitt encrypte avec la cl publique de serveur et transmise au serveur. Le serveur dcode le message avec sa cl prive serveur et authentifie la cl publique de l'utilisateur. Le serveur envoie ensuite au logiciel client une confirmation, encrypte, du bon droulement de l'opration. Toutes les informations suivantes qui seront transmises entre l'utilisateur et le serveur commercial seront dsormais encryptes. De plus, il n'y a que ce serveur qui est en mesure de communiquer avec cet utilisateur puisqu'il n'y a que ce serveur qui connat la cl publique de cet utilisateur. L'utilisateur et le serveur commercial peuvent maintenant changer toutes les donnes voulues de faon sre. Wafa Kammoun ISITCom 76