Aymeric BERNARD Stéphane BRINSTER Guillaume LECOMTE

Introduction Qualités de la sécurité dune communication Besoin de confidentialité : pas lu par un tiers Besoin dintégrité : pas de modification Besoin dauthentification : identité dun objet Besoin de non répudiation : ne pas nier ses actions De + en + dutilisateurs De + en + de communications Donc de + en + de problèmes…

Origine Spécificités Sécurisation SSFÉvolution Anciens programmes et leurs problèmes : Les r-commandes (rlogin, rcp, rsh) Les mots de passe à « usage unique » Telnet avec chiffrement Utilisation de la cryptographie dans les flux applicatifs ! IPSec (Internet Protocol Security) SSH (Secure SHell) SSL (Secure Socket Layer) Secure Socket Layer Certificats ÉvolutionAttaquePrincipe Attaque Origine Présentation Secure Shell

Spécificités Éviter la circulation en clair sur le réseau des mots de passe : risque de compromission. Renforcer l'authentification des machines : sensible à la mascarade. Sécuriser l'emploi des commandes à distance. Sécuriser le transfert de données. Sécuriser les sessions X11 Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipe Sécurisation SSFÉvolution Attaque Secure Shell Spécificités Origine

Sécurisation des échanges Algorithmes symétriques ChiffrementDéchiffrement Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipe Sécurisation SSFÉvolution Attaque Origine Secure Shell Spécificités

Sécurisation des échanges DéchiffrementChiffrement Clé privée Clé publique Clé privée Algorithmes asymétriques Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipe Sécurisation SSFÉvolution Attaque Origine Spécificités Secure Shell

Sécurisation des échanges DéchiffrementChiffrement Clé publique Clé privée Communication avec clé secrète Clé privée Clés de session Présentation Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipe Sécurisation SSFÉvolution Attaque Origine Spécificités Secure Shell

SSH en France : SSF Rappel de la législation française Introduction à SSF SSF : pourquoi ? Utilisation Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipeÉvolution Attaque Origine Spécificités Secure Shell Sécurisation SSF

Tunneling SSH Solution : tunnel sécurisé SSH ssh –L 4000:monMail:110 monMail En Local : telnet localhost 4000 Localhost:4000monMail:110 Internet telnet monMail 110 : POP3 non sécurisé !!! > Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipe Attaque Origine Spécificités Secure Shell Sécurisation SSFÉvolution

Sshmitm: mots de passe daccès SSH,détourne les sessions interactives Comment? MITM : mascarade Pourquoi? Le client accepte aveuglément la clé du serveur Le client accepte que le serveur puisse avoir changé de clé Attaque contre SSH Serveur SSHClient SSH Lhomme au milieu… Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipe Origine Spécificités Secure Shell Sécurisation SSFÉvolution Attaque

Définition SSL (Secure Socket Layer) Secure Socket Layer Certificats ÉvolutionAttaquePrincipe Protocole à négociation « » Origine Spécificités Secure Shell Sécurisation SSFÉvolution Attaque Présentation

Buts Interopérabilité Extensibilité Efficacité Secure Socket Layer Certificats ÉvolutionAttaquePrincipe SSLv2 SSLv3 SSLv1 TLSv1 Sécuriser les transactions Internet Crypter les flux Origine Spécificités Sécurisation SSFÉvolution Attaque Secure Shell Présentation

Caractéristiques Connexion privée et sûre Extrémités authentifiées Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipe Indépendant du protocole de communication Suit le modèle client/serveur Origine Spécificités Sécurisation SSFÉvolution Attaque Secure Shell

Historique 1994 : v1.0 testé en interne (Netscape) 1994 : publication SSL v : SSL v : standardisation de SSL v3.0 par IETF 1996 : TLS v1.0 Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipe Origine Spécificités Sécurisation SSFÉvolution Attaque Secure Shell

Architecture SSL est composé de: Générateurs de clés Fonctions de hachage Algorithmes de chiffrement Protocoles de négociation et de gestion de session Certificats Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipe SSL dans le modèle OSI Origine Spécificités Sécurisation SSFÉvolution Attaque Secure Shell

Fonctionnement Authentification du client permet à un utilisateur d'avoir une confirmation de l'identité du serveur. Authentification du serveur Permet dassurer que le client est bien celui qu'il prétend. Chiffrement de la session données chiffrées par l'émetteur, et déchiffrées par le destinataire Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipe Origine Spécificités Sécurisation SSFÉvolution Attaque Secure Shell

Couches protocolaires SSL Handshake SSL Change Cipher Spec SLL Alert SSL Record Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipe Origine Spécificités Sécurisation SSFÉvolution Attaque Secure Shell

Négociation Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipe Origine Spécificités Sécurisation SSFÉvolution Attaque Secure Shell

Certificats X509 Certificats Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipe Origine Spécificités Sécurisation SSFÉvolution Attaque Secure Shell

Exemple de certificat Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipe Origine Spécificités Sécurisation SSFÉvolution Attaque Secure Shell

Limites Navigateurs sans les fonctionnalités évoluées Basé sur une relation de confiance Mots de passe Une seule paire de clé Pas de vérification systématique des CRL Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipe Origine Spécificités Sécurisation SSFÉvolution Attaque Secure Shell

Évolution - TLS TLS v1.0 ~ SSL v3.1 Plus clair : RFC 2246 Plus générique (encapsulation) Conception indépendante de son utilisation Nimpose pas de méthodes de chiffrement spécifiques Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipe Origine Spécificités Sécurisation SSFÉvolution Attaque Secure Shell

Attaque contre SSL Webmitm: Relaye le trafic HTTPs, capture les accès webmail, n°de carte bleues Comment? Toujours MITM… Pourquoi? Lutilisateur peut accepter des certificats même sils ne sont signés par des autorités non reconnus et même si le navigateur le rejette Secure Socket Layer Présentation Certificats ÉvolutionAttaquePrincipe Serveur SSLClient SSL Lhomme au milieu… Origine Spécificités Sécurisation SSFÉvolution Attaque Secure Shell

Conclusion Solutions efficaces Coût minimum Simple à installer Réponses aux 4 besoins Telnet, rlogin, rcp Transaction non sécurisée SSHv2 SSLv3.1