Sécurité Réseaux Présenté par: SAOUDI Lalia Module 2013/2014 Ministère de l'enseignement supérieur et de la recherche scientifique Université de M'sila Faculté des Mathématiques et de l’Informatique Département d’informatique Spécialité:Master Réseaux Module Sécurité Réseaux Présenté par: SAOUDI Lalia 2013/2014

Plan du cours Rappel: Cryptographie Chap1 :Sécurité :principes de sécurité , Services de sécurité, Domaines d’application de la sécurité Chap2 : vulnérabilité Informatique Chap3: attaques Informatique Chap4 : stratégie de sécurité : évaluation de risque Chap5 : les firewalls et les ACLs Chap6 : les Systèmes de détection d’intrusion Chap7 : les protocoles de sécurité: SSL, SSH , IPSec,WEP,WPA Chap8: LES VPN Chap9 : sécurité des applications et des contenus 1 of 40

INTRODUCTION

Cryptographie Crypto à clé symétrique Crypto à clé publique Rappel Cryptographie Crypto à clé symétrique Crypto à clé publique Crypto hybride Les fonctions de hachage Signature numérique 2 of 40

Le chiffrement symétrique Introduction Le chiffrement symétrique K K M --- ----- --M Algo de chiffrement Algo de déchiffrement La clé de chiffrement est la même que la clé de déchiffrement C D 3 3 of of 40

Caractéristiques de chiffrement symétrique Introduction Caractéristiques de chiffrement symétrique Avantages Systèmes rapides Clé relativement courtes(128-256 bits) Inconvénient Gestion des clés difficile Point faible: échange d’un secret 4 of 40

Cryptage Asymétrique 5 of 40

Chiffrement Symétrique ou asymétrique Cryptage Asymétrique Chiffrement Symétrique ou asymétrique K = K0, on parle de chiffrement symétrique: Alice et Bob doivent échanger la clef K; Il y a autant de clefs que de correspondants pour Bob. (n clefs) Le chiffrement symétrique est rapide. K ≠ K0, on parle de chiffrement asymétrique: K est la clef publique de Bob; K0 est la clef secrète de Bob; La clef K est commune a tous les correspondants de Bob; (1 clef) Une autorité de confiance certifie l'association (K; Bob); On parle d'infrastructure a clef publique (PKI); Le chiffrement asymétrique est très lent. 6 of 40

Chiffrement hybride Le chiffrement hybride d'un message M se déroule en deux étapes. Dans un premier temps, l'émetteur choisit une clé symétrique K aléatoire. Il utilise ensuite cette clé K pour chiffrer (symétriquement) le message M. Puis il chiffre (asymétriquement) la clé K avec la clé publique du destinataire. Il envoie à son destinataire les chiffrés de M et de K. Le destinataire déchiffre d'abord la clé K, puis l'utilise pour retrouver M. A retenir Le chiffrement asymétrique est avantageux lorsque le nombre potentiels d'interlocuteurs de chaque entité est grand.  7 of 40

Fonctions de hachage Une fonction de hachage est une fonction qui fait subir une succession de traitements a une donnée quelconque fournie en entrée pour en produire une ≪ empreinte ≫ servant a identifier la donnée initiale sans que l'opération inverse de décryptage soit possible. Le résultat de cette fonction est par ailleurs aussi appelé somme de contrôle, empreinte, résumé de message, condensé F:{0, 1}* {0, 1}n : Toute entrée sera transformée en une chaîne de n bits. 8 of 40

Signature numérique: La signature électronique est l'équivalent informatique de la signature manuscrite. Son objectif est d'associer une donnée à un message, appelée signature. Cette donnée doit garantir l'intégrité du message et authentifier le signataire. Elle doit également assurer la non-répudiabilité du message : le signataire ne doit pas pouvoir nier avoir signé le message 9 of 40

Signature numérique: 10 of 40

Signature numérique: Alice veut envoyer un message crypté à Bob, mais Bob veut s'assurer que ce message provient bien d'Alice. Ici on va appeler Pa la clé publique d'Alice, Sa sa clé privée. Pb et Sb pour Bob. Et M le message à envoyer par Alice. Phase d'envoi : Alice calcule SA(M), à l'aide de sa clé secrète, puis PB(SA(M)), a l'aide de la clé publique de Bob. Phase de réception : A l'aide de sa clé privée, Bob calcule SB(PB(SA(M)))=SA(M). Seul lui peut effectuer ce calcul (=sécurité de l'envoi). Puis il calcule PA(SA(M))=M. Il est alors sûr que c'est Alice qui lui a envoyé ce message, car elle-seule a pu calculer SA(M). 11 of 40

Introduction à la sécurité informatique

Introduction la sécurité informatique est classé en deux catégories : ceux qui concernent la sécurité de l’ordinateur proprement dit, serveur ou poste de travail. ceux qui découlent de l’essor des réseaux: La sécurité réseau définit alors les moyens mis en œuvre pour protéger les données durant leur transmission 12 of 40

Rapport de sécurité 2009 En 2009, Symantec a bloqué en moyenne 100 attaques potentielles par seconde. La France se classe au 13ème rang des pays les plus concernés par les activités malveillantes, les Etats Unis restent numéro 1. 13 of 40

Rapport de sécurité Autres constats de l'ISTR : (Internet Security Threat Report) Les programmes malveillants prolifèrent. En 2009, Symantec a identifié plus de 240 millions de nouveaux programmes malveillants distincts, soit une augmentation de 100 % par rapport à 2008. Principales menaces: Le virus Sality.AE, le cheval de Troie Brisv et le ver SillyFDC ont été les menaces les plus bloquées par les logiciels de sécurité Symantec en 2009. L'usurpation d'identité continue de progresser. 60 % des vols de données exposant des identités ont été causées par un piratage informatique. 75 % des sociétés interrogées ont été victimes de cyber-attaques en 2009. Une nouvelle année marquée par la prolifération des spams. En 2009, les spams ont représenté 88 % de tout le courrier électronique observé par Symantec, Sur les 107 milliards de spams envoyés en moyenne chaque jour dans le monde, 85 % provenaient de botnets. Les 10 principaux réseaux de bots, parmi lesquels Cutwail, Rustock et Mega-D, contrôlent aujourd'hui au moins 5 millions d'ordinateurs infectés. 14 of 40

Rapport de sécurité Rapport Symantec 2011 5,5 milliards d'attaques bloquées en 2011  ce qui représente une augmentation de 81 % par rapport à 2010. le spam est une activité qui est quelque peu délaissée au profit d'attaques utilisant les réseaux sociaux. De même, les attaques fomentées à l'encontre des plateformes mobiles sont plus importantes , le rapport note une recrudescence des vulnérabilités sur les mobiles à hauteur de 93 % (principalement via les applications). 15 of 40

Rapport de sécurité KSN 2013 Top 20 des pays dont les ressources hébergent les programmes malveillants 83% des sites Internet utilisés pour la diffusion de programmes malveillants sont répartis entre 10 pays. Au cours du dernier trimestre,  16 of 40

Rapport de sécurité KSN 2013 Pays dont les internautes ont été le plus exposés au risque d'infection via Internet pays % Arménie 53,92% Russie 52,93% Kazakhstan 52,82% Tadjikistan 52,52% Azerbaïdjan 52,38% Viet Nam 47,01% Moldavie 44,80% Biélorussie 44,68% Ukraine 43,89% Kirghizstan 42,28% pays % Géorgie 39,83% Ouzbékistan 39,04% Sri Lanka 36,33% Grèce 35,75% Inde 35,47% Thaïlande 34,97% Autriche 34,85% Turquie 34,74% Libye 34,40% Algérie 34,10% 17 of 40

Rapport de sécurité KSN 2013 Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d'infection locale pays % 11 Laos 12 Maldives 13 Djibouti 14 Irak 15 Mauritanie 16 Yémen 17 Indonésie 18 Égypte 19 Tunisie pays % 1 Viet Nam 2 Bangladesh 3 Népal 4 Mongolie 5 Afghanistan 6 Soudan 7 Algérie 8 Inde 9 Pakistan 10 Cambodge 18 of 40

Rapport de sécurité KSN 2013  le Top 10 des pays les plus sûrs en matière d'infection locale : pays % 1 Japon 2 Danemark 3 Finlande 4 Suède 5 République tchèque 6 Martinique 7 Norvège 8 Irlande 9 Pays-Bas 10 Slovénie 19 of 40

Définitions Vulnérabilité faiblesse / faille : faute accidentelle ou intentionnelle introduite dans spécification, conception ou configuration du système Attaque Action malveillante qui tente d’exploiter une faiblesse dans le système et de violer un ou plusieurs besoins de sécurité Intrusion Prise de contrôle partielle ou totale d’un système distant. Menace Violation potentielle d’une propriété de sécurité Risque La probabilité qu'une menace exploitera une vulnérabilité du système. Couple (menace, vulnérabilité) 20 of 40

Définitions Mécanismes de Sécurité : un mécanisme qui est conçu pour détecter, prévenir et lutter contre une attaque de sécurité (Chiffrement ,Signature , Notarisation, Contrôle d’accès…..) Service de Sécurité : un service qui augmente la sécurité des traitements et des échanges de données d’un système. Un service de sécurité utilise un ou plusieurs mécanismes de sécurité. 21 of 40

c'est quoi alors la sécurité d'un système ? La sécurité d'un système (informatique ou d'information) est un ensemble de moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour réduire la vulnérabilité d’un système contre les menaces accidentels ou intentionnels afin d’assurer les services de sécurité 22 of 40

Différentes catégories de problèmes de sécurité Erreur humaine : Une destruction de fichiers importants par mégarde Problème logiciel : Un système d'exploitation, un logiciel qui plante et corrompt des données importantes Problème matériel : un crash de disque, un incendie, une inondation Piratage : Le vol, détournement ou destruction de données par des personnes malveillantes 23 of 40

Sécurité au sens du courrier Services de sécurité Sécurité au sens du courrier 24 of 40

Sécurité Informatique Services de sécurité Sécurité Informatique 25 of 40

Services de sécurité Disponibilité 1- disponibilité: Pour un utilisateur, la disponibilité d’une ressource est la probabilité de pouvoir mener correctement à terme une session de travail. La disponibilité d’une ressource est indissociable de son accessibilité: il ne suffit pas qu’elle soit disponible, elle doit être utilisable avec des temps de réponse acceptables. 26 of 40

Services de sécurité III.2 Intégrité Le critère d’intégrité est relatif au fait que des ressources, données, traitements, transactions ou services n’ont pas été modifiés, altérés ou détruits tant de façon intentionnelle qu’accidentelle 27 of 40

Services de sécurité III.3 Confidentialité La confidentialité est le maintien du secret des informations, la confidentialité peut être vue comme la «protection des données contre une divulgation non autorisée». Il existe deux actions permettant d’assurer la confidentialité des données: – limiter leur accès par un mécanisme de contrôle - Confidentialité : entre un émetteur et un récepteur. Nécessite l’encryptage de la donnée par l’émetteur et son décryptage par le récepteur 28 of 40

Services de sécurité III.4 Identification et authentification Identifier l’auteur présumé d’un tableau signé est une chose, s’assurer que le tableau est authentique en est une autre. Il en est de même en informatique où des procédures d’identification et d’authentification peuvent être mises en œuvre pour contribuer à réaliser des procédures de contrôle d’accès et des mesures de sécurité . 29 of 40

Services de sécurité III.5 Non-répudiation La non-répudiation est le fait de ne pouvoir nier ou rejeter qu’un événement (action, transaction) a eu lieu. À ce critère de sécurité sont associées les notions d’imputabilité, de traçabilité et éventuellement d’auditabilité. L’imputabilité se définit par l’attribution d’une action (un événement) à une entité déterminée (ressource, personne). L’imputabilité est liée à la notion de responsabilité. Elle peut être réalisée par un ensemble de mesures garantissant l’enregistrement fiable d’informations pertinentes par rapport à une entité et à un événement. 30 of 40

Domaines d’application de la sécurité Sécurité physique et environnementale Sécurité de l’exploitation Sécurité logique et applicative Sécurité des infrastructures de télécommunications 31 of 40

Sécurité physique et environnementale maitrise des systèmes et de l’environnement : Protection des sources énergétiques et de climatisation Protection de l’environnement : inondation ou encore tremblement de terre…. Contrôles des accès physique aux locaux, équipement et infrastructures: traçabilité et une gestion rigoureuse des clés d’accès aux locaux Redondance physique des infrastructures et sources énergétiques . Le marquage des matériels Le plan de maintenance préventive et corrective des équipements 32 of 40

Sécurité de l’exploitation Gestion du parc informatique. Gestion des configurations et des mises à jour Gestion des incidents Plan de sauvegarde Plan de test 33 of 40

Sécurité logique et applicative réalisation de mécanismes de sécurité par des logiciels contribuant au bon fonctionnement des programmes et des services offerts Mise en œuvre adéquate de la cryptographie, de procédures de contrôle d'accès logique, d'authentication, de détection de logiciels malveillants, de détection d'intrusions et d'incidents Mise en œuvre de procédures de sauvegarde et de restitution des informations sensibles sur des supports ables spécialement protégés et conservés dans des lieux sécurisés Sécurité applicative: développement pertinent de solutions logicielles, ainsi que leur intégration. 34 of 40

Sécurité des infrastructures de télécommunications Offrir une connectivité fiable de bout en bout  réalisation d’une infrastructure réseau sécurisée au niveau des accès au réseau et du transport de l’information 35 of 40

Appréhender la sécurité de manière globale et stratégique définition d'une politique de sécurité motivation et formation du personnel mise en place de mesures proactives et réactives optimisation de l'usage des technologies de l'information et des télécommunications ainsi que de celui des solutions de sécurité 36 of 40

Appréhender la sécurité de manière globale et stratégique L'utilisation d'outils de sécurité ne se substitue pas à une gestion cohérente des problématiques de sécurité  identifier clairement et réévaluer les besoins de sécurité Gestion rigoureuse de tous les aspects : ressources humaines, systèmes informatiques, réseaux, locaux Complémentarité des axes managérial, technique et juridique Levier essentiel dans le développement des entreprises : réduire le risque d'indisponibilité de l'outil informatique par une gestion correcte des ressources 37 of 40

Importance de l'aspect juridique Mise en cause de la responsabilité des acteurs principaux lors d'une fraude mettant en cause les ressources informatiques de l'entreprise. Respect du droit des technologies du numérique et conformité juridique de leur système d'information 38 of 40

Architecture de sécurité Nature transversale de la sécurité : prendre en compte l'ensemble des dimensions organisationnelle, juridique, humaine et technologique de la sécurité Identifier ses différentes facettes et composantes pour les développer de façon cohérente et complémentaire Faciliter l'intégration de mesures, procédures et outils de sécurité Différents points à identifier : assurances évaluation des risques respect des procédures formation comportement éthique conformité réglementaire 39 of 40

Architecture de sécurité 40 of 40