La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

But du séminaire Informer sur les risques liés à léchange dinformation sécurisée sur Internet.

Présentations similaires


Présentation au sujet: "But du séminaire Informer sur les risques liés à léchange dinformation sécurisée sur Internet."— Transcription de la présentation:

1

2 But du séminaire Informer sur les risques liés à léchange dinformation sécurisée sur Internet

3 Patrick Anthamatten Directeur administratif Ingénieur Informaticien EPFZ Jean-Marc Jutzet Directeur technique Ingénieur Informaticien EPFZ

4 Agenda Présentation de cdi Les bases de la communication sur Internet La sécurisation de la communication Transfert de données commerciales sur Internet Analyse des risques potentiels Sécurité de votre infrastructure informatique Questions

5 cdi Société fondée en 1994 Composée de 13 personnes Développeurs dapplications logicielles Spécialistes réseaux et sécurité Internet Graphiste

6 Activités Développement dapplications sur mesure Conseil en sécurité Internet et gestion dinfrastructure Plus dinformations sous

7 Activités : Sécurité Internet : Solution intégrée de sécurité Internet Sécurisation de laccès à lInternet Configuration des Firewalls Etablissement de VPN (succursales et clients) Accès distant au réseau de lentreprise Contrôle : du contenu des s (Virus, spam) laccès au Web Gestion centralisée des antivirus pour les postes de travail

8 Activités : Sécurité Internet Encryption SSL Paiement sécurisé Sites Web commerçants

9 Clients - Alexandre SA - Office du Livre Fribourg - Groupe Fiduciaire Mazars - Hubert Etter & Fils SA - Dupont Polymer Powders - Groupe Charmettes SA - Birgma Services SA - Payot SA - Bibliothèque Cantonale et Universitaire Fribourg (www.fr.ch/bcuf)www.fr.ch/bcuf - Office du Livre Fribourg (www.olf.ch)www.olf.ch - Naville SA (www.naville.ch)www.naville.ch - Philip Morris International - Union Postale Universelle (ONU) - Diamed AG (www.diamed.ch)www.diamed.ch - Librairies La Fontaine (www.lelivre.ch)www.lelivre.ch - Laboratoires MCL (www.mcl.ch)www.mcl.ch - Laboratoires Risch (www.lmz-risch.ch)www.lmz-risch.ch - ICM (www.icm-magicall.ch)www.icm-magicall.ch Technologies Internet et infrastructure Développement applicatif et gestion de projet

10 Les bases de la communication par Internet TCP/IP pour Transmission Control Protocol / Internet Protocol IP est la couche r é seau qui g è re la communication à bas niveau. TCP sert de protocole de transport de donn é es. L adresse IP sert à identifier des machines (ex ) Un nom logique est associ é aux adresses IP (ex. DNS est une base de donn é es distribu é e servant à transformer le nom logique en adresse IP

11 Les bases de la communication par Internet Les principaux protocoles de communication utilis é s sur Internet sont : HTTP et HTTPS (Web), DNS (Domain Name Service), SMTP, POP3, IMAP4 ( ) SSH, Telnet, NTP, etc.

12 - Méthodes de cryptage de la communication - Signature numérique - Infrastructure PKI (Public Key Infrastructure) - Réseaux privés virtuels (VPN) - SSL - Certificats numériques La sécurisation de la communication par Internet

13 - Authentification du signataire - Intégrité du document signé (empêche la falsification) - Acceptation de transaction (conséquences légales) - Quittance (garantie de livraison du document) - Efficacité du processus Les buts de la signature électronique

14 Cr é ation d une signature num é rique Comment fonctionne la signature électronique Message Hash Function Hash Result Signing Function Private Key Digital Signature Message To Verifier Only Private Key Holder Can Sign

15 V é rification d un message sign é num é riquement Comment fonctionne la signature électronique Hash Result Verify Function Public Key Digital Signature Message From Signer Anyone Can Verify Hash Function Valid Y/N?

16 Exemple Comment fonctionne la signature électronique

17 La certification en Suisse Transfert de données commerciales par Internet

18 Les principaux types de transfert de donn é es commerciales: Transfert de données commerciales par Internet Les achats sur Internet Les é changes de messages ( ) Les acc è s s é curis é s (VPN)

19 Les achats sur Internet: Transfert de données commerciales par Internet l acheteur Le vendeur (marchant), l organisme de paiement

20 La s é curisation des achats Transfert de données commerciales par Internet L identification du marchant L autorit é de certification L infrastructure PKI (cryptage, authentification)

21 Paiement par carte de cr é dit Méthodes de paiement sur Internet C est le mode de paiement le plus courant sur Internet. L acheteur fournit au commer ç ant en plus de son num é ro de carte de cr é dit, la date d expiration de celle-ci, et é ventuellement le num é ro au dos de la carte CVV2/CVC2. Le commer ç ant transmet ces donn é es afin de v é rifier si le montant charg é est accept é. Si tel est le cas, la banque é mettrice de la carte de cr é dit va transf é rer l argent sur le compte du commer ç ant. Visa et Mastercard ont depuis mis au point un syst è me de paiement, bas é sur la technologie « 3-D Secure », qui assure l authentification du porteur et la non-r é pudiation. En fait apr è s inscription aupr è s d un service de s é curisation, le porteur de la carte utilise soit un mot de passe (pour Visa), soit un code (pour Mastercard) pour se faire authentifier lors de chaque transaction. Ces syst è mes ne sont valables que pour les d é tenteurs de cartes Visa et Mastercard.

22 Paiement par carte de d é bit ou de retrait Méthodes de paiement sur Internet Les cartes de d é bit permettent de d é duire directement une d é pense de son compte de ch è que ou d é pargne. Elles n é cessitent l introduction d un code PIN et l adh é sion par le client aux services bancaires en ligne de son institution financi è re. En fait le client effectue directement le paiement depuis son compte sur le site s é curis é de la banque. Pour le commer ç ant le gros avantage est qu il n y a pas de commission à payer comme avec les cartes de cr é dit et il n y a pas risque de r é pudiation. Ce syst è me n est cependant pas encore tr è s r é pandu mais est appel é à se d é velopper.

23 Solutions de paiement par un interm é diaire Méthodes de paiement sur Internet Les solutions de paiement par un interm é diaire offrent en plus de la facilit é à g é rer les questions de paiement pour le commer ç ant, un moyen s û r qui r é pond aux crit è res de s é curit é. L interm é diaire ou prestataire de services de paiement (PSP) se place entre le commer ç ant, le client et les organismes financiers, et il se charge de v é rifier en temps r é el la validit é de la carte de cr é dit, d autoriser la transaction, et dans certains cas de proc é der à l encaissement. Le commer ç ant doit adh é rer aux services propos é s par l interm é diaire. Lors d un achat, l internaute est envoy é par le commer ç ant sur le site de l interm é diaire, et ce dernier effectue la demande d autorisation à la banque de l acheteur, qui est communiqu é e à l acheteur et au commer ç ant

24 Le protocole SSL Transfert de données commerciales par Internet Secure Sockets Layer, ou SSL, est le plus r é pendu des moyens de cryptage pour les transactions commerciales sur Internet. SSL est en g é n é ral disponible en 40-bit et 128-bit, en fonction de la longueur de la cl é de session "session key" g é n é r é e à chaque transaction cypt é e. Plus la cl é est longue, plus ce sera difficile de casser le code. Par exemple, une cl é 128-bit SSL des milliard de fois plus forte que la cl é à 40-bit standard. SSL int é gr é à pratiquement tous les navigateurs Internet actuels. Le gouvernement am é ricain a adopt é en 2001 un nouveau syst è me de cryptage: Advanced Encryption Standard, ou AES, qui est plus performant et fiable que l ancien protocole Data Encryption Standard, ou DES (56 bits), qui pouvait être craqu é en quelques heures. AEF fonctionne avec des cl é s à 128-bit, 192-bit, et 256-bit. Il faudrait plus de 149 milliard d ann é es pour craquer un cl é AES!

25 Acc è s distant aux donn é es de l entreprise Transfert de données commerciales par Internet Tunnels (VPN) -IPSec (n é cessite un logiciel client) -SSL (un navigateur web suffit)

26 La s é curit é d un syst è me est é gale à la s é curit é de son maillon le plus faible! Analyse des risques potentiels

27 Les principaux risques li é s à l utilisation de syst è mes de communication par Internet sont: Protection insuffisante de l infrastructure de l utilisateur (virus, key loggers, logiciels espions, vol de cl é priv é e, etc.) Fraude de type phishing qui permettent de s approprier des informations importantes (no de cartes de cr é dit, mots de passe, etc.)

28 Analyse des risques potentiels Usurpation d identit é Fraude Espionnage Utilisation abusive de votre cl é priv é e Falsification de certificats racine etc …

29 Sécurité de votre infrastructure informatique 1.S é curit é physique 2.Sauvegarde des donn é es 3.Mise en place d un pare-feu Internet (firewall) 4.S é curit é de la messagerie 5.Anti-virus 6.S é curit é Web (filtrage du contenu) 7.Mise en place des correctifs syst è mes (patchs)

30 Configuration du navigateur Internet et certificats SSL

31

32

33

34 Vérification de lauthenticité dun site sécurisé

35

36

37 Envoi de message signé numériquement

38

39

40

41 Alerte de s é curit é lors de l ouverture d un site dont le certificat SSL ne peut être v é rifi é


Télécharger ppt "But du séminaire Informer sur les risques liés à léchange dinformation sécurisée sur Internet."

Présentations similaires


Annonces Google