La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

But du séminaire Informer sur les risques liés à l’échange d’information sécurisée sur Internet.

Présentations similaires


Présentation au sujet: "But du séminaire Informer sur les risques liés à l’échange d’information sécurisée sur Internet."— Transcription de la présentation:

1

2 But du séminaire Informer sur les risques liés à l’échange d’information sécurisée sur Internet

3 Patrick Anthamatten Directeur administratif Ingénieur Informaticien EPFZ Jean-Marc Jutzet Directeur technique

4 Agenda Présentation de cdi Les bases de la communication sur Internet
La sécurisation de la communication Transfert de données commerciales sur Internet Analyse des risques potentiels Sécurité de votre infrastructure informatique Questions

5 cdi Société fondée en 1994 Composée de 13 personnes
Développeurs d’applications logicielles Spécialistes réseaux et sécurité Internet Graphiste

6 Activités Développement d’applications sur mesure
Conseil en sécurité Internet et gestion d’infrastructure Plus d’informations sous

7 Activités : Sécurité Internet
: Solution intégrée de sécurité Internet Sécurisation de l’accès à l’Internet Configuration des Firewalls Etablissement de VPN (succursales et clients) Accès distant au réseau de l’entreprise Contrôle : du contenu des s (Virus, spam) l’accès au Web Gestion centralisée des antivirus pour les postes de travail

8 Activités : Sécurité Internet
Sites Web commerçants Encryption SSL Paiement sécurisé

9 Clients Technologies Internet et infrastructure
Développement applicatif et gestion de projet Alexandre SA Office du Livre Fribourg Groupe Fiduciaire Mazars Hubert Etter & Fils SA Dupont Polymer Powders Groupe Charmettes SA Birgma Services SA Payot SA Bibliothèque Cantonale et Universitaire Fribourg (www.fr.ch/bcuf) Office du Livre Fribourg (www.olf.ch) Naville SA (www.naville.ch) Philip Morris International Union Postale Universelle (ONU) Diamed AG (www.diamed.ch) Librairies La Fontaine (www.lelivre.ch) Laboratoires MCL (www.mcl.ch) Laboratoires Risch (www.lmz-risch.ch) ICM (www.icm-magicall.ch)

10 Les bases de la communication par Internet
TCP/IP pour Transmission Control Protocol / Internet Protocol IP est la couche réseau qui gère la communication à bas niveau. TCP sert de protocole de transport de données. L’adresse IP sert à identifier des machines (ex ) Un nom logique est associé aux adresses IP (ex. DNS est une base de données distribuée servant à transformer le nom logique en adresse IP

11 Les bases de la communication par Internet
Les principaux protocoles de communication utilisés sur Internet sont : HTTP et HTTPS (Web), DNS (Domain Name Service), SMTP, POP3, IMAP4 ( ) SSH, Telnet, NTP, etc.

12 La sécurisation de la communication par Internet
Méthodes de cryptage de la communication Signature numérique Infrastructure PKI (Public Key Infrastructure) Réseaux privés virtuels (VPN) SSL Certificats numériques

13 Les buts de la signature électronique
Authentification du signataire Intégrité du document signé (empêche la falsification) Acceptation de transaction (conséquences légales) Quittance (garantie de livraison du document) Efficacité du processus

14 Comment fonctionne la signature électronique
Création d’une signature numérique Message To Verifier Hash Result Digital Signature Hash Function Message Signing Function Private Key Only Private Key Holder Can Sign

15 Comment fonctionne la signature électronique
Vérification d’un message signé numériquement Hash Result Message Hash Function From Signer Valid Y/N? Digital Signature Verify Function Public Key Anyone Can Verify

16 Comment fonctionne la signature électronique
Exemple

17 Transfert de données commerciales par Internet
La certification en Suisse

18 Transfert de données commerciales par Internet
Les principaux types de transfert de données commerciales: Les achats sur Internet Les échanges de messages ( ) Les accès sécurisés (VPN)

19 Transfert de données commerciales par Internet
Les achats sur Internet: l’acheteur Le vendeur (marchant), l’organisme de paiement

20 Transfert de données commerciales par Internet
La sécurisation des achats L’identification du marchant L’autorité de certification L’infrastructure PKI (cryptage, authentification)

21 Méthodes de paiement sur Internet
Paiement par carte de crédit C’est le mode de paiement le plus courant sur Internet. L’acheteur fournit au commerçant en plus de son numéro de carte de crédit, la date d’expiration de celle-ci, et éventuellement le numéro au dos de la carte CVV2/CVC2. Le commerçant transmet ces données afin de vérifier si le montant chargé est accepté. Si tel est le cas, la banque émettrice de la carte de crédit va transférer l’argent sur le compte du commerçant. Visa et Mastercard ont depuis mis au point un système de paiement, basé sur la technologie « 3-D Secure », qui assure l’authentification du porteur et la non-répudiation. En fait après inscription auprès d’un service de sécurisation, le porteur de la carte utilise soit un mot de passe (pour Visa), soit un code (pour Mastercard) pour se faire authentifier lors de chaque transaction. Ces systèmes ne sont valables que pour les détenteurs de cartes Visa et Mastercard.

22 Méthodes de paiement sur Internet
Paiement par carte de débit ou de retrait Les cartes de débit permettent de déduire directement une dépense de son compte de chèque ou d’épargne. Elles nécessitent l’introduction d’un code PIN et l’adhésion par le client aux services bancaires en ligne de son institution financière. En fait le client effectue directement le paiement depuis son compte sur le site sécurisé de la banque. Pour le commerçant le gros avantage est qu’il n’y a pas de commission à payer comme avec les cartes de crédit et il n’y a pas risque de répudiation. Ce système n’est cependant pas encore très répandu mais est appelé à se développer.

23 Méthodes de paiement sur Internet
Solutions de paiement par un intermédiaire Les solutions de paiement par un intermédiaire offrent en plus de la facilité à gérer les questions de paiement pour le commerçant, un moyen sûr qui répond aux critères de sécurité. L’intermédiaire ou prestataire de services de paiement (PSP) se place entre le commerçant, le client et les organismes financiers, et il se charge de vérifier en temps réel la validité de la carte de crédit, d’autoriser la transaction, et dans certains cas de procéder à l’encaissement. Le commerçant doit adhérer aux services proposés par l’intermédiaire. Lors d’un achat, l’internaute est envoyé par le commerçant sur le site de l’intermédiaire, et ce dernier effectue la demande d’autorisation à la banque de l’acheteur, qui est communiquée à l’acheteur et au commerçant

24 Transfert de données commerciales par Internet
Le protocole SSL Secure Sockets Layer, ou SSL, est le plus répendu des moyens de cryptage pour les transactions commerciales sur Internet. SSL est en général disponible en 40-bit et 128-bit, en fonction de la longueur de la clé de session "session key" générée à chaque transaction cyptée. Plus la clé est longue, plus ce sera difficile de casser le code. Par exemple, une clé 128-bit SSL des milliard de fois plus forte que la clé à 40-bit standard. SSL intégré à pratiquement tous les navigateurs Internet actuels. Le gouvernement américain a adopté en 2001 un nouveau système de cryptage: “Advanced Encryption Standard”, ou AES, qui est plus performant et fiable que l’ancien protocole “ Data Encryption Standard”, ou DES (56 bits), qui pouvait être craqué en quelques heures. AEF fonctionne avec des clés à 128-bit, 192-bit, et 256-bit. Il faudrait plus de 149 milliard d’années pour craquer un clé AES!

25 Transfert de données commerciales par Internet
Accès distant aux données de l’entreprise Tunnels (VPN) IPSec (nécessite un logiciel client) SSL (un navigateur web suffit)

26 Analyse des risques potentiels
La sécurité d’un système est égale à la sécurité de son maillon le plus faible!

27 Analyse des risques potentiels
Les principaux risques liés à l’utilisation de systèmes de communication par Internet sont: Protection insuffisante de l’infrastructure de l’utilisateur (virus, key loggers, logiciels espions, vol de clé privée, etc.) Fraude de type phishing qui permettent de s’approprier des informations importantes (no de cartes de crédit, mots de passe, etc.)

28 Analyse des risques potentiels
Usurpation d’identité Fraude Espionnage Utilisation abusive de votre clé privée Falsification de certificats racine etc…

29 Sécurité de votre infrastructure informatique
Sécurité physique Sauvegarde des données Mise en place d’un pare-feu Internet (firewall) Sécurité de la messagerie Anti-virus Sécurité Web (filtrage du contenu) Mise en place des correctifs systèmes (patchs)

30 Configuration du navigateur Internet et certificats SSL

31

32

33

34 Vérification de l’authenticité d’un site sécurisé

35

36

37 Envoi de message signé numériquement

38

39

40

41 Alerte de sécurité lors de l’ouverture d’un site
dont le certificat SSL ne peut être vérifié


Télécharger ppt "But du séminaire Informer sur les risques liés à l’échange d’information sécurisée sur Internet."

Présentations similaires


Annonces Google