Cours1 Intro Securite

Sécuriser un système d’information
Introduction à l’authentification
Sébastien Gambs
sgambs@irisa.fr
14 septembre 2015
Sébastien Gambs Introduction à la sécurité : cours 1 1

Introduction

Triade des propriétés fondamentales de la sécurité

Besoins fondamentaux de la sécurité
I Confidentialité : protéger le contenu d’un message ou de

données contre un espion qui écouterait les communications.
I Authentification : être capable de vérifier l’origine d’un
message et son intégrité.
I Disponibilité : assurer la disponibilité d’un service/système
même contre un adversaire qui essayerait de l’attaquer afin de
le faire crasher.
I Protection de la vie privée : permettre à un individu de limiter
les traces numériques de ses actions et d’avoir un meilleur
contrôle sur ses données personnelles.

Menaces, attaques et intrusion
Menace : violation d’une ou plusieurs propriétés de sécurité.
I Acte volontaire : écoute de trafic, usurpation d’identité, . . .
I Accident : panne électrique, rayon cosmique, bug, . . .
I Sécurité vs sûreté.
Attaque : tentative volontaire de violer une ou plusieurs propriétés
de sécurité.
I Ecoute de trafic, divulgation de données.
I Modification, destruction de données ou de messages.
I Déni de service, temporisation.
I Mascarade d’utilisateur ou d’adresse.
I Rejeu, déni de réception ou d’émission.
Intrusion : violation effective de la politique de sécurité.
I Fait suite à une ou plusieurs attaques réussies.

Schéma d’une attaque par OWASP
OWASP (Open Web Application Security Project) : communauté

en ligne travaillant sur la sécurité des applications web.

Vulnéralibilités
Pourquoi les intrusions sont-elles possibles?
I Défaut de sécurisation.
I Faille dans la sécurisation : vulnérabilité.
I Ingénierie sociale.
Types possibles de vulnérabilités :
I Logicielles ou matérielles.
I Concernent la spécification, l’architecture, le codage, . . .
I Concernent l’utilisation (configuration, administration,
déploiement, . . . ).
I Liées à l’utilisateur (mot de passe faible, non-respect des
bonnes pratiques, . . . )
Exemples :
I Faille dans un protocole ou algorithme cryptographique.
I Mauvaise implémentation d’un algorithme cryptographique.
I Mot de passe par défaut ou mot de passe faible.
I Dépassement de tampon, injection SQL, directory traversal.

Base de vulnérabilités OVSDB

Exemples d’attaques contre les serveurs
I Attaques web : injection SQL, XSS ou directory traversal.

I Mais aussi : mauvaise configuration, mauvaise gestion de
l’authentification, mauvaise restriction des URL, . . .
I Des classiques toujours utilisés : buffer overflow, format string
attacks, shellcode, . . .
I Objectifs possibles : simples “défacements”, usurpation
d’identité, vol de données, prise de contrôle de l’application,
...
I Escalade de privilèges : installation de portes dérobées, rebond
sur d’autres systèmes, . . .

Exemples d’attaques contre les clients
I Caractéristiques du “poste client” :
I Hétérogénéité : ordinateur personnel (usage personnel vs.
professionnel), smartphone, tablettes, . . .
I Sous le contrôle de l’utilisateur, mobilité.
I Souvent source de vulnérabilités importantes
I Mêmes techniques contre applications “sensibles” :
navigateurs et leurs extensions, clients de messagerie et PDF,
I Installation de logiciels malveillants (malware) :
I Virus, vers, spyware, keylogger, cheval de troie, . . .
I Différents modes d’infection : pièces jointes de courriel,
consultation de sites web malveillants ou compromis, échanges
de support amovible, . . .
I Différentes actions malveillantes : vol de données, ransomware,
mise-à-jour, co-infection, participation à des botnets.
I Auto-protection : camouflage, désactivation anti-virus,
chiffrement, métamorphisme, . . .
I Escalade de privilèges : rootkit, porte dérobée, . . .
I Contamination des “voisins” : prolifération automatique.
Autres exemples d’attaques
Contre les réseaux :

I Attaques réseau (aussi VoIP) : écoute, usurpation d’identité
(spoofing).
I Wifi (mais aussi Bluetooth) : écoute du trafic non chiffré,
inscription à un point d’accès “ouvert”, cassage clés (WEP,
WPA).
Mais aussi . . .
I Déni de service : DOS, DDOS (à tous les niveaux).
I Contre l’utilisateur : pourriel (spam), hameçonnage (fishing),
canular (hoax) ou arnaque.
I Cryptanalyse.

Exemple de menace : botnet
I Définition : ensemble de machines “robots” (bot) sous le
contrôle d’un ou plusieurs maı̂tres (bot master).
I Peut être utilisé pour mener des attaques distribud́es et

coordonnées comme des DDOS.
I Difficultés : réseau flexible, passe à l’échelle, résilient aux
tentatives de coupure, rend difficile l’identification de
l’attaquant.
Politiques et mécanismes de sécurité
Politique de sécurité :
I Définition de ce qui est, et de ce qui n’est pas, autorisé.
I Peut être spécifiée formellement.
I Souvent spécifiée “en français” (problème de l’ambiguité).
I Composition des politiques de sécurité.
I Politiques implicites.
Mécanisme de sécurité :
I Méthode, outil ou procédure permettant de mettre en oeuvre
une politique de sécurité.
I Technique ou non-technique.
I Logiciel, matériel ou “physique”.
I Exemples : contrôle d’accès, authentification par carte à puce,
anti-virus, procédure d’attribution (et de changement) de mot
de passe, serrure, . . .
Typologie des mécanismes de sécurité
Prévention :
I Objectif : faire échouer les attaques.
I Renforcer la qualité du logiciel (méthodes formelles, analyse
statique, . . . ).
I Authentification et contrôle d’accès (ou de flux).
I Chiffrement, signature cryptographique.
Détection :
I Objectif : détecter l’occurrence des attaques ou des intrusions.
I Journalisation et audit.
I Détection d’intrusion.
I Supervision de sécurité.
I Contrôle d’intégrité.
Recouvrement :
I Anti-virus.
I Détection d’intrusion + sauvegarde.

Démarche générique
Phase 1 : analyse de risques
I Identifier les ressources à protéger.
I Identifier les menaces qui pèsent sur ces ressources.
I Evaluer la vraisemblance de ces menaces.
Phase 2 : définition de la politique de sécurité

I Qui est autorisé à utiliser la ressource et comment?
I Qui est autorisé à accorder des droits sur la ressource?
I Qui possède les privilèges de l’administrateur?
Phase 3 : mise en oeuvre de la politique de sécurité

I Choix de l’ensemble des mécanismes de sécurité permettant
de protéger les ressources de la manière la plus efficace et
pour un coût acceptable.
Limite intrinsèque : aucune sécurité n’est parfaite (un attaquant
disposant de suffisamment de moyens et de ressources pourra
toujours éventuellement briser la sécurité).
Modèle de sécurité Unix ou Windows
Contrôle d’accès fondé sur l’identité (IBAC) :

I Authentification.
I Access control list ou droits rwx.
I Politiques fermées : si une action n’est pas permise, alors elle
est par défaut interdite.
I Assure la confidentialité et l’intégrité.
I Simplification des droits par l’utilisation de groupes.
Modèle d’administration : contrôle d’accès discrétionnaire ou DAC
(le propriétaire du fichier décide des droits).

Autres types de modèles de sécurité
Non fondés sur l’identité :

I Fondé sur les rôles (RBAC).
I Fondé sur les organisations (OrBAC).
Non discrétionnaires :
I Mandatory Access Control (MAC), contrôle d’accès
obligatoire.
I Politique défini par le responsable du système, pas par les
propriétaires des objets.
Non fermées :
I Utilisant des interdictions (ou des concepts plus avancés) en
plus des permissions.

Pare-feu (firewall)
I Contrôle d’accès réseau (principe de moindre privilège).
I Logiciel (intégré à l’OS) ou matériel dédié + (éventuellement)
routeur
I Filtre les paquets (ou les connexions) suivant des règles
dépendant de :
I la source (IP, port TCP/UDP),
I la destination (IP, port TCP/UDP),
I les protocoles utilisés, les options,
I les données (couches applicatives), . . .
I S’appuie en général sur des zones : Internet, Intranet, DMZ,
...
I Différents cas d’utilisation :
I Matériel ou serveur dédié.
I Filtrage des connexions entrantes (serveur).
I Filtrage des connexions sortantes : pare-feu personnels.
I Limites : chiffrement des données, complexité des protocoles,
attaques sur les protocoles applicatifs (attaques web).
Illustration pare-feu

Anti-virus
I Identifier, neutraliser et éliminer les logiciels malveillants :

I Virus : réplication de code et propagation en infectant des
programmes initialement “sains”.
I Vers : réplication et propagation via le réseau.
I Chevaux de troie : porte dérobée, dropper, keylogger.
I Autres : adware, scareware.
I Données analysées : mémoire, disque dur, échanges avec le
réseau.
I Méthodes de détection :
I Comparaison à une base de signatures virales.
I Solution simple et historique.
I Limites : nécessite de fréquentes mises à jour, peu robuste au
polymorphisme, combat perdu d’avance?
I Heuristique.
I Exécution en “bac-à-sable”.
I Analyse comportementale.

Systèmes de détection d’intrusion
Approches par scénarios ou signatures d’attaque :
I Modèles d’attaque (bases de signature = symptômes
d’attaques dans les activités observées).
I Alerte si présence de symptômes.
Approche comportementale :
I Modèles des comportements légaux.
I Alerte si activité observée hors des comportements normaux.

Sources possibles de données
1. Données capturées sur le réseau.

I Avantages : couverture large, aucun impact sur le système,
sondes dédiées, format standard de données de facto, réaction
automatique possible.
I Inconvénients : réseaux switchés, montée en débit des réseaux,
chiffrement.
2. Données produites par le système d’exploitation.
I Avantages : informations précises liées aux utilisateurs,
granularité fine.
I Inconvénients : impact sur les performances de l’hôte,
quantité d’information importante, structure des données
complexe, information très bas niveau.

Aspects organisationnels et facteurs humains
I Les vulnérabilités ne sont pas seulement une question
d’implémentation!
I Elles sont souvent liées à l’utilisateur, l’administrateur ou la
personne ayant réalisée le déploiement.
I Sécurité trop souvent perçue comme une perte de
productivité.
I Gain lié à la sécurité difficile à percevoir (sauf après
intrusion!).
I Responsabilité de la sécurité (liée à la hiérarchie).
I Formation, sensibilisation, exercice, . . .
I Définition d’une politique de sécurité! Connaissance fine des
processus.
I La sécurité ne doit pas empêcher la réalisation des tâches
premières de l’organisation!
I Confiance dans les membres de l’organisation (insider attacks).
I Ingénierie sociale, espionnage, “intelligence économique”.
Traces numériques
I Dans la Société de l’Information, chaque personne laisse

constamment des traces numériques qui peuvent être reliées à
son identité.
I Danger : collecte des traces numériques par une entité
non-autorisée pour utilisation à des fins malveillantes.
I Exemple : lorsque vous consultez une page web, il est possible

de relier l’adresse IP de votre ordinateur à cette page
⇒ permet d’associer le sujet de cette page à votre identité
mais aussi d’inférer votre localisation
⇒ bris de vie privée!!!

Retrouver un fugitif grâce à son intérêt pour WoW

Protection de la vie privée
I But principal de la protection de la vie privée : permettre à un

individu de minimiser et contrôler les traces numériques qu’il
sème.
I Un des principaux défis de la “Société de l’information”.
I Exemples :
I Adresse IP ⇒ localisation, identifiant, contenu.
I Historique de requêtes ⇒ centre d’intérêts.
I Connaissance du réseau social ⇒ inférences sur opinions
politiques, religion, hobbies, . . .
I Consommation électrique ⇒ activités à la maison
I Danger : utilisation de ces informations à des fins frauduleuses.
I Exemples : spam ciblé, usurpation d’identité, profilage,
discrimination.

Sécurité contre respect de la vie privée?

Plan prévisionnel du cours (1/3)
CM :
1. Sécuriser un système d’information et introduction à
l’authentification - Sébastien (lundi 14 septembre)
2. Bases de cryptographie pour la sécurité - Pierre-Alain (lundi
21 septembre)
3. Chiffrement symétrique - Pierre-Alain (lundi 28 septembre)
4. Codes d’authentification de messages et protocoles
d’authentification - Sébastien (lundi 12 octobre)
5. Authentification dans les réseaux sans-fil (WEP, WPA, WPA2,
RFID et rseaux de capteurs) - Sébastien (lundi 19 octobre)
6-7. Chiffrement asymétrique et signatures ´lectroniques -
Pierre-Alain (lundi 2 et 9 novembre)
8. Introduction à la protection de la vie privée - Sébastien (lundi
16 novembre)

TD :
1.-2. Chiffrement symétrique - Patrick (jeudi 24 septembre et 1
octobre)
3. Kerberos - Julien (jeudi 15 octobre)
4. Etude de la sécurité de protocoles d’authentification - Julien
(jeudi 22 octobre)
5.-6. Chiffrement asymétrique - Patrick (jeudi 5 et 12 novembre)
7. Protection de la vie privée - Julien (jeudi 19 novembre)

TP :
1.-2. OpenSSL - Patrick (mercredi 23 et 30 septembre)
3.-4. Wireshark / IPSec - Julien (mercredi 7 et 14 octobre)
5. SSH - Patrick (mercredi 21 octobre)
6. “Hacking” (partie1) - Julien (mercredi 4 novembre)
7. “Hacking” (partie 2) - Julien (mercredi 18 novembre)
8. Implémentation RSA - Patrick (mercredi 25 novembre)
9. Protection de la vie privée - Sébastien (mercredi 2 dcembre)

Introduction à l’authentification

Authentification
Authentification : vérification de l’identité d’une entité (personne

ou ordinateur) afin d’autoriser l’accès à certaines ressources.
Preuve d’identité possible par :

I ce que l’on sait (mot de passe et identifiant personnel),
I ce que l’on possède (certificat numérique, carte à puce, jeton),
I ce que l’on est (empreinte digitale, iris ou voix).
Authentification possible par un ou plusieurs de ces éléments.

Exemple : jeton cryptographique (ici SecurID)
(Extrait d’une démo des laboratoires RSA sur SecurID)

Exemples de systèmes où l’authentification est nécessaire
I Accès à mon compte informatique depuis un poste de

l’université.
I Accès à distance à mon serveur de courriel depuis Internet.
I Connexion à un réseau sans-fil en accès libre.
I Accès physique à une zone d’accès restreint.
I Authenticité de mon abonnement de transport mensuel.
I Accès d’un médecin au dossier d’un de ses patients.
I ...

Formes d’authentification
I Authentification simple : se base sur la vérification d’un seul
élément.
I Exemple : login et mot de passe.
I Authentification forte : combinaison de la vérification de deux
facteurs ou plus.
I L’authentification est considérée comme réussie seulement si
toutes les vérifications individuelles des éléments sont validées.
I Exemple : jeton de sécurité + scan de l’iris.
I Authentification unique (Single-Sign-On ou SSO en anglais) :
on s’authentifie une fois pour toute et ensuite on peut accéder
à plusieurs applications ou services situés sur des serveurs
différents. Exemple : Liberty Alliance, OpenID.
I Améliore la facilité d’utilisation mais . . .
I un seul point d’entrée à attaquer qui s’il est briser permet
d’accéder à toutes les ressources.
Lien entre identification et authentification
I Identification : connaissance de l’identité d’une entité.

I Afin de déterminer l’identité, le vérificateur compare
l’information recue à celle de toutes les autres entités
⇒ en général l’identité est unique
I Remarque : attention à ne pas confondre authentification et
identification.
I Pour prouver l’authenticité d’un utilisateur, il n’est pas
nécessaire de l’identifier.
I Exemple : un utilisateur pourrait s’authentifier sans déclarer
son identité en prouvant qu’il appartient à un groupe ou qu’il
dispose d’une accréditation anonyme.

Triade des besoins fondamentaux de la sécurité

Triade des besoins fondamentaux de la sécurité (suite)
1. Confidentialité : protéger le contenu d’un message contre un

espion qui écouterait les communications.
I Obtenu en général en utilisant un cryptosystème sécuritaire.
2. Authentification : être capable de vérifier l’origine d’un
message ainsi qu’éventuellement son intégrité.
I Typiquement obtenu aussi par des techniques
cryptographiques (comme celles dont on va discuter dans le
cours d’aujourd’hui).
3. Disponibilité : assurer la disponibilité d’un service/système
même contre un adversaire qui essayerait de l’attaquer afin de
le faire se crasher.
I Peut être prévenu en détectant une attaque ou en mettant en
place des répétitions du serveur qui fourni le service.

Attaques possibles sur la sécurité d’un protocole (1/2)
1. Espionnage : l’adversaire capture les informations envoyées par

le protocole.
2. Modification : l’adversaire altère l’information transmise par le
protocole.
3. Rejeu : l’adversaire rejoue un message capturé plus tard dans
le même protocole ou dans un autre contexte.
4. Réflection : forme spécifique d’attaque par rejeu où
l’adversaire renvoie simplement un défi qui lui était destiné.
I Possible si plusieurs sessions du même protocole peuvent
fonctionner en parallèle.
5. Déni de service : l’adversaire empêche les participants de
communiquer ou de compléter le protocole.

Attaques possibles sur la sécurité d’un protocole (2/2)
6. Typage : l’adversaire remplace un champ du message par une

autre valeur (en général chiffré).
7. Cryptanalyse : l’adversaire profite d’une faiblesse
cryptographique du protocole pour attaquer une de ses
propriétés de sécurité.
8. Manipulation de certificat : l’adversaire choisit ou modifie le
certificat utilisé afin de pouvoir s’authentifier.
9. Interactions de protocole : l’adversaire exploite le fait que la
même clé soit utilisé dans plusieurs types de protocole pour
attaquer leur sécurité.

Contrôle d’accès par mot de passe
I Au coeur de la sécurité de nombreux systèmes et parfois le

seul mécanisme de protection.
I L’humain est souvent le maillon faible dans la chaı̂ne.
Points importants pour la sécurité des mots de passe :

I Comment sont-ils choisis?
I Comment sont-ils transmis entre l’utilisateur et le vérificateur?
I Comment sont-ils stockés/protégés par l’utilisateur?
I Comment sont-ils stockés/protégés par le vérificateur?
Longueur des mots de passe
I Le nombre de NIPs possible pour une carte bancaire est de

l’ordre de 104 = 10 000 possibilités cependant . . .
I il est nécessaire de posséder la carte valide correspondante et
seul 3 essais sont autorisés.
I Les mots de passe sous UNIX sont quelques milliards de fois
plus nombreux (252 possibilités).
I Si un mot de passe est trop long ou trop aléatoire, il ne
pourra pas être facilement mémorisé et sera donc inutilisable
en pratique.
I Selon certaines études, il est difficile pour un humain de
retenir plus de 12 caractères.
I Interrogation fondamentale : qu’est ce qu’un bon mot de
passe?
I Un mot de passe facile à mémoriser mais difficile à deviner?

Illustration : mot de passe facile à deviner
(Extrait de Roger’s information security blog)

Difficulté de deviner un mot de passe
I Au-delà du nombre de mots de passe possibles, il est

important de s’intéresser à comment ils sont choisis.
I Un mot de passe long peut être facile à deviner (si par
exemple il s’agit d’un mot du dictionnaire).
I Alternative raisonnable : retenir une phrase de passe plutôt
qu’un mot et prendre quelques lettres de cette phrase.
I Exemple : “cette phrase est difficile à deviner si on ne la
connaı̂t pas” devient “cpedadsonlcp”.
Comment rendre les mots de passe plus sûrs :
I Changer régulièrement de mots de passe.
I Utiliser un système qui vérifie un candidat et détecte s’il est
potentiellement facile à deviner.
I Vérifier si un nouveau mot de passe est suffisamment différent
de l’ancien.
Attaques possibles contre un système bancaire
I Après 3 essais infructueux de NIP, un compte bancaire est
bloqué mais cela ne protège pas contre toutes les attaques.
I Attaque par falsification de carte : supposons par exemple
qu’Ève est capable de produire des fausses cartes bancaires
qui correspondent à des noms réels de clients.
I Après avoir essayer quelques milliers de cartes en moyenne,
Ève va pourvoir retirer de l’argent dans un compte qui ne lui
appartient pas.
I Attaque par masquarade : puisque le guichet ne s’authentifie
pas, il est possible d’installer des faux guichets qui vont voler
l’information et le mot de passe d’une carte bancaire.
I Attaque par déni de service : quelqu’un pourrait vouloir voler
et utiliser la carte bancaire d’une personne dans un guichet
simplement pour lui faire du tort en causant un déni de
service par le blocage du compte.
Risque lié au stockage de mots de passes en clair
I Supposons que les paires mots de passe/logins d’utilisateurs

soient stockées en clair sur un serveur ou un post-it sur le
bureau de l’administrateur.
I La sécurité du serveur se base sur le fait que ce serveur est
suffisamment bien protégé ou que le bureau de
l’administrateur est inaccessible.
I Risque : écroulement total du système si un adversaire réussi à
accéder à cette base ou lire le post-it.
I Peut-on éviter de stocker le mot de passe en clair tout en
permettant l’authentification?

Stockage sécurisé des mots de passe
I Si possible, il faut éviter de stocker des mots de passe “bruts”

dans un fichier afin de se prémunir contre une éventuelle
attaque sur le serveur ou même un administrateur trop
curieux.
I Solution : pour chaque utilisateur, on stocke la paire
(loginu , f (passwordu )) où f est une fonction à sens unique qui
est facile à évaluer mais difficile à inverser.
I Ainsi le système peut vérifier facilement un mot de passe qui
lui est présenté mais le vol du fichier ne permet pas de
retrouver le mot de passe.
I En pratique, f est construite soit à partir d’une fonction de
hachage, soit à partir d’une fonction de chiffrement.

Craquage de mots de passe
I Si un adversaire arrive à mettre la main sur un fichier

contenant les paires (loginu , f (passwordu )), il peut essayer de
craquer certains de ces mots de passe.
I Exemple : l’adversaire peut générer des mots de passe de
manière répétitive jusqu’à trouver une collision en faisant une
fouille exhaustive ou une attaque par dictionnaire.
I Salage : ajouter une chaı̂ne de bits aléatoires appelé sel à la
fin du mot de passe avant d’appliquer la fonction à sens
unique afin de rendre plus coûteux la tâche d’un adversaire
qui voudrait calculer les valeurs possibles à l’avance.
I Renforcement de clé : utiliser une fonction très lente à évaluer
tel qu’une fonction de hachage utilisé avec salage qui est
répété de nombreuses fois (au moins 1000).
I Exemple : PBKDF2 utilisé sous WPA et WPA2.

CAPTCHA
I CAPTCHA (pour Completely Automated Public Turing test

to tell Computers and Humans Apart en anglais) : forme de
test de Turing permettant de différencier de manière
automatisée un humain d’un ordinateur.
I Se base sur des problèmes qui sont considérés faciles à
résoudre pour un humain mais difficiles pour un ordinateur.
I Utilisé pour éviter la création automatique d’adresse de

courriel par un bot mais aussi pour limiter le nombre d’essais
qu’un ordinateur peut essayer une combinaison login/mot
passe si à chaque fois il doit résoudre un CAPTCHA.

Mot de passe à usage unique
I Mot de passe à usage unique : mot de passe qui est valide

pour une seule session ou transaction.
I Avantage principal : permet déviter les attaques par rejeu.
I Utilisé par exemple pour les transactions bancaires.
I Exemple:
(Extrait du site web de Entrust)

Ingénierie sociale
I Même si les mots de passe sont stockées de façon sécurisées, il
est toujours possible d’attaquer l’humain par ingénierie sociale.
I Attaque par hameçonnage (phishing en anglais): un pirate se
fait passer pour un tiers parti de confiance afin de soutirer de
l’information confidentielle.
I Mécanismes de protection : informer l’utilisateur des risques

existants, authentification forte combinant un système de
mots de passe avec de la biométrie ou de la sécurité matérielle.
En résumé : quelques conseils sur les mots de passe
I Aider/forcer l’utilisateur à choisir un “bon” mot de passe du

point de vue sécurité mais néanmoins facile à mémoriser (par
exemple les phrases de passe).
I Informer les utilisateurs des risques de l’ingénierie sociale.
I Avoir un système de vérification automatique de mot de passe
qui écarte d’emblée ceux qui sont trop faciles à deviner.
I Utiliser un système de stockage sécurisé des mots de passe.

C’est la fin !
Merci pour votre attention.

Questions?

Cours1 Intro Securite

Transféré par

Droits d'auteur :

Formats disponibles

Cours1 Intro Securite

Transféré par

Informations du document

Description originale:

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Cours1 Intro Securite

Transféré par

Droits d'auteur :

Formats disponibles

Sécuriser un système d’information

Sébastien Gambs Introduction à la sécurité : cours 1 1

Sébastien Gambs Introduction à la sécurité : cours 1 2

Sébastien Gambs Introduction à la sécurité : cours 1 3

I Confidentialité : protéger le contenu d’un message ou de

Sébastien Gambs Introduction à la sécurité : cours 1 4

Sébastien Gambs Introduction à la sécurité : cours 1 5

OWASP (Open Web Application Security Project) : communauté

Sébastien Gambs Introduction à la sécurité : cours 1 6

Sébastien Gambs Introduction à la sécurité : cours 1 7

Sébastien Gambs Introduction à la sécurité : cours 1 8

I Attaques web : injection SQL, XSS ou directory traversal.

Sébastien Gambs Introduction à la sécurité : cours 1 9

Contre les réseaux :

Sébastien Gambs Introduction à la sécurité : cours 1 11

I Peut être utilisé pour mener des attaques distribud́es et

Sébastien Gambs Introduction à la sécurité : cours 1 14

Phase 2 : définition de la politique de sécurité

Phase 3 : mise en oeuvre de la politique de sécurité

Contrôle d’accès fondé sur l’identité (IBAC) :

Sébastien Gambs Introduction à la sécurité : cours 1 16

Non fondés sur l’identité :

Sébastien Gambs Introduction à la sécurité : cours 1 17

Sébastien Gambs Introduction à la sécurité : cours 1 19

I Identifier, neutraliser et éliminer les logiciels malveillants :

Sébastien Gambs Introduction à la sécurité : cours 1 20

Sébastien Gambs Introduction à la sécurité : cours 1 21

1. Données capturées sur le réseau.

Sébastien Gambs Introduction à la sécurité : cours 1 22

I Dans la Société de l’Information, chaque personne laisse

I Exemple : lorsque vous consultez une page web, il est possible

Sébastien Gambs Introduction à la sécurité : cours 1 24

Sébastien Gambs Introduction à la sécurité : cours 1 25

I But principal de la protection de la vie privée : permettre à un

Sébastien Gambs Introduction à la sécurité : cours 1 26

Sébastien Gambs Introduction à la sécurité : cours 1 27

Sébastien Gambs Introduction à la sécurité : cours 1 28

Sébastien Gambs Introduction à la sécurité : cours 1 29

Sébastien Gambs Introduction à la sécurité : cours 1 30

Sébastien Gambs Introduction à la sécurité : cours 1 31

Authentification : vérification de l’identité d’une entité (personne

Preuve d’identité possible par :

Authentification possible par un ou plusieurs de ces éléments.

Sébastien Gambs Introduction à la sécurité : cours 1 32

(Extrait d’une démo des laboratoires RSA sur SecurID)

Sébastien Gambs Introduction à la sécurité : cours 1 33

I Accès à mon compte informatique depuis un poste de

Sébastien Gambs Introduction à la sécurité : cours 1 34

I Identification : connaissance de l’identité d’une entité.

Sébastien Gambs Introduction à la sécurité : cours 1 36

Sébastien Gambs Introduction à la sécurité : cours 1 37

1. Confidentialité : protéger le contenu d’un message contre un

Sébastien Gambs Introduction à la sécurité : cours 1 38

1. Espionnage : l’adversaire capture les informations envoyées par

Sébastien Gambs Introduction à la sécurité : cours 1 39

6. Typage : l’adversaire remplace un champ du message par une

Sébastien Gambs Introduction à la sécurité : cours 1 40

I Au coeur de la sécurité de nombreux systèmes et parfois le