Sécurité de l'information Internet et Intranet C:NT Mai 1998 Eric HERSCHKORN

Agenda Sécurité de l'information Objectif : prendre conscience et mesurer les risques liés à la sécurité du système d'information Introduction La sécurité informatique Les risques Les solutions Le chiffrement (cryptage) Démonstration Débat Agenda

Présentation C:NT SSCI (ingénierie et développement) Organisation électronique (http://www.c-nt.fr) Expertise et consulting Groupware Intégration technologie Carte à Puce Edition de la suite logicielle CAPSUL C:NT est une startup (SSII) créée en novembre 96. Le siège social est basé à Marseille et composée de 4 associés (gérant : Eric HERSCHKORN). Sa forme juridique est une SARL au capital de 50 000 francs (CA 1er exercice: ~1,8MF). C:NT passe en SA au capital de 250 000 F en fevrier 99. Les quatre axes principaux de notre activité de services sont :  Le conseil et la mise en œuvre des solutions de Groupware.  L’intégration et l'optimisation des réseaux sécurisés Intranet/Extranet,  Le développement d'applications de Workflow et de GEIDE,  L'intégration des nouvelles technologies CAPSUL, A ce jour, son effectif est de 4 ingénieurs possédants des expériences professionnelles de cinq à seize ans dans des sociétés de service comme : EDF, SOMEI, SOLERI-CIGEL ou IBM. L’équipe possède 8 ans d’expertise sur ces technologies de travail de groupe. Nos ingénieurs sont certifiés par les éditeurs Microsoft et Lotus. La clientèle chez qui nous intervenons, est composée à 50% par les comptes publics (CAF, URSSAF, CRAM, Ministères, etc... ), à 25% par le secteur industriel et 25% par le secteur banque/assurance. Eric HERSCHKORN - Patrick DUBUISSON - Daniel CORDIER - William EVEREST

Ce qui a changé ? 89/90 : Le gouvernement US autorise l'usage commercial de l’Internet 92 : Le "World Wide Web" => ouverture au monde PC => ouverture au commerce électronique !? Explosion des réseaux IP (97) Réalité industrielle (98) Réseau IP d'une société est un réseau local ex: reseau RENAR des URSSAF 5 APPLICATION SICOMOR, GDP, SNV2, TOPNOTES) Le phénomène Internet a fait prendre conscience aux décideurs des problèmes existants de la sécurité

…l’utilisation évolue Hier Aujourd’hui Publication d’information Applications métiers Fonctionnalités Publication facile Accès simplifié à l’information Contenu riche Avancée rapide des technologies Des besoins qui murissent Reconnaissance du marché Fonctionnalités Amélioration de la bande passante Administrabilité Performance des services Ex URSSAF : messagerie, interconnexion des organismes, directives ministérielles sur Internet Exemples d’applications Rapports d’activités Liste de prix, catalogues Exemples Marketing Jeux Commerce électronique Téléphonie et visio

Pourquoi se Protéger aujourd’hui ? Protéger le SI de l’entreprise pour lutter contre le piratage informatique Identifier les collaborateurs (authentification) Échanges avec vos partenaires (confidentialité) Virus (intégrité) Messagerie (pollution des boites Email ) Commerce électronique VIRUS : le 1er vecteur reste toujours la disquette dans les email : exemple "Win a Holiday" à l'ouverture va effacer l'intégralité de votre disque dur (rendu public le 8 mars par Microsoft) La malveillance

Les risques par domaine

La sécurité d'accès logique Id :< prénom Password :< xxxx La sécurité informatique d'hier : machine IBM sous SNA, Bull sous DKU ou Unix sous TCP/IP Id= prénom - password=toto

La sécurité d'accès logique La sécurité informatique d'hier : machine IBM sous SNA, Bull sous DKU ou Unix sous TCP/IP

La sécurité des email La sécurité sur la messagerie est inexistante en standard

La sécurité informatique Le phénomène "Internet" a fait ressurgir les problèmes de sécurité informatique de l’entreprise Prise de conscience de la direction DG Le responsable sécurité : RSSI La sécurité est un problème de culture et non de technologie

Maîtres mots de la sécurité Interdire tout ce qui n’est pas explicitement autorisé Réagir aux actions anormales ou hostiles Journaliser toute l’activité Éduquer les administrateurs et les utilisateurs Nommer un responsable sécurité et lui donner les pouvoirs nécessaires

Internet / Intranet / Extranet Intranet : ensemble des technologies de l’Internet appliquées au domaine privé de l’entreprise. (réseau local IP) Internet / Intranet : à la frontière entre Internet et Intranet doit exister une machine qui met en œuvre la politique de sécurité de l’entreprise Extranet : doit exister une solution qui met en œuvre l'identification des partenaires

Internet : la vision du public Commerce Serveur Web Internet POP Client Web Réseau Téléphonique ou d’Entreprise Banques Intermédiaires (tiers de confiance) Consommateurs

Intranet et Internet La vision de l’entreprise Applicatifs et Bases de données existantes Serveurs Web privés : Communication, Travail en groupe Accès à l’existant Partenaires Intranet Client Web Internet Collaborateur Serveur Web public

Les risques de l’Internet par service Messagerie (email) Virus PJ+Id Consultation de pages (http) Intru+Intégrité Groupes de discussion (News) Identification Transfert de fichiers (FTP) Virus+$ Visioconférence Authentification Vidéo à la demande $ Commerce électronique $ Ping:

Définition de l’Internet : les standards Un réseau de réseaux Unifiés par un ensemble de protocoles et de standards : TCP/IP (16.189.208.252), DNS, PPP, RAS, ... NNTP, SMTP, POP, LDAP, X500, SNMP, ... (c-nt@msn.com) HTTP/HTML, MIME, FTP, VRML, SQL, ... SSL, SET, CSET, EDI, … RSA

Solutions de Sécurité l’Internet Technologie des «firewalls» (murs pare-feu) Serveur Proxy Hébergement du serveur chez un prestataire externe Gestion de la stratégie de la sécurité (Mdp + Id) Contrôle d'accès logique : Smartcard Cryptographie Tiers de confiance Les solutions id + mdp passe en clair

Qu’est ce qu’un Serveur de proxy ? Internet Proxy Server Connexion à l’Internet Contenu caché ~50% De traffic en moins Réseau de l’Entreprise Gestion optimisée du cache Deuxième browser Premier browser

Plus de 50% de traffic en moins sur chaque brin du réseau Cache hiérarchique Internet Plus de 50% de traffic en moins sur chaque brin du réseau Paris Lyon Marseille

FIRE WALL Internet Utilisateur en accès local Utilisateur en accès distant Réseau privé Internet LAN distant Filtre les adresse IP, le contenu, les ports de communication Il n'authentifie pas l'appelant EDITEUR : CHECK POINT Filtrage de paquets en dynamique Blocks packets au niveau IP Filtrage intelligent des paquets indésirables Static Filters for co-hosted services Fonctions d’alertes E-mail et évènement NT en cas d’attaque Dropped Packets. System Events; Logs Dropped Packets Possibilité de stopper le Proxy si le disque est plein SI de l'Entreprise Agence de l'entreprise

Virtual Private Network AltaVistal Tunnel, ed. personnelle Réseau privé Internet LAN distant VPN : chiffrement + authentification entre deux sites privé en se servant d'un reseau public IP VPN est un firewall de client identifie + chiffrement des données Transpac ou le minitel et sécurisé sauf vis à vis de France Telecom (tiers de confiance implicite) AltaVista Tunnel, ed. groupe AltaVista Tunnel, ed. groupe

La carte à puce La carte se substitue à l'identifiant Le PIN code au mot de passe

La sécurité par smartcard La sécurité logique d'accès est assuré par des cartes à puce

Solutions de Cryptage Technologies Cle secrète ou symétrique (DES, 3DES, ...) Cle publique / clef privée ou asymétrique (RSA) Le chiffrage des transmissions La Signature : contrôle d'accès logique ex: Mdp + Id par Smartcard "CAPSUL®" Transaction financière : cryptographie via tiers de confiance délivrant des certificats Clef secrète = clef unique , performant en chiffrement. Ne fait pas de certification RSA = cle asymétriques, lent mais + sécurisé. Tout ce qui est signature est geré par du Hachage ex: MD5 ex: DES MD5 RSA MD5 ( CAPSUL)

Le Cryptage en France SCSSI Organisme indépendant contrôlé par l'état Fr (Décret n°98-101 du 24 février 1998) Il agrée les dépositaires candidats faisant du chiffrage de transmissions TCP : tiers de confiance délivrant des certificats et détenteur des clés privées Signature électronique par Smartcard "CAPSUL®"ne nécessite pas d'autorisation Certificat = identification + clef plublique standard X509 Atteste de la provenance de la cle: nom du propriétaire detail de la provenance date dd'expiration resumé du contenu cle publique

Cryptographie à clef symétrique B Message essage essage Message A crée un message et le chiffre avec la clef connue de lui et de B A envoi le message sur le réseau à B B reçoit le message chiffre et le dechiffre avec la clef Clef secrète = clef unique , performant en chiffrement. Ne fait pas de certification RSA = clef asymétriques, lent mais + sécurisé. Fait que du chiffrement et gestion des certificats. Tout ce qui est signature est geré par du Hachage ex: MD5 ex: DES MD5 RSA MD5 ( CAPSUL)

Cryptographie à clef Asymétrique Cle publique de A Cle privée de B Message essage essage Message RSA B crée 2 clés : 1 privée et 1 publique qu'il diffuse A crée un message et le chiffre avec la clef publique de B A envoi le message sur le réseau à B B reçoit le message chiffré et le dechiffre avec sa clef privée Si B veut répondre, il utilisera la clé publique de A Clef secrète = clef unique , performant en chiffrement. Ne fait pas de certification RSA = clef asymétriques, lent mais + sécurisé. Fait que du chiffrement et gestion des certificats. Tout ce qui est signature est geré par du Hachage ex: MD5 ex: DES MD5 RSA MD5 ( CAPSUL) CAPSUL intègre un algorithme standard de chiffrement RSA 512 bits pour la signature entre le serveur et les clients.

Positionnement Le mode de chiffrement Rapide robuste Plus Richesse La clef est unique pas de certificat Lent Moins Clef secrète = clef unique , performant en chiffrement. Ne fait pas de certification RSA = clef asymétriques, lent mais + sécurisé. Fait que du chiffrement et gestion des certificats. Tout ce qui est signature est geré par du Hachage ex: MD5 ex: DES MD5 RSA MD5 ( CAPSUL) Symetrique Asymetrique

Commerce électronique Le commerce électronique a besoin de sécurité (accès, transport, transactions) Les technologies correspondantes sont connues et disponibles, mais contrôlées par le gouvernement : Le SCSSI impose un tiers de confiance Leur déploiement sur l’Internet est en cours : SSL (Netscape), https SET,CSET (Microsoft, Netscape, IBM, Visa, Mastercard), ( signature et chiffrement ) SSL et HTTPS sont concurents

Connexion à Internet en mode paiement sécurisé Fournisseur de services INTERNET Client équipé d'un lecteur de carte Modem RTC, RNIS, câble Certificat : Information d'identification + cle publique Standard X509 Atteste la provenance de la cle : Nom du propriétaire Detail de la provenance Date d'expiration Résumé du contenu Cle publique Tiers de confiance délivrant des certificats Architecture commerce électronique

Exemple POP Serveur Privé C:NT Application planning Serveur Internet hébergé http://www.c-nt.fr Réseau Téléphonique Réseau TCP/IP POP Poste de développement Marseille Innovation Informatique mobile des ingénieurs C:NT avec lecteur de carte PCMCIA Clients et partenaires avec accès sécurisée par carte à puce

QUESTIONS / REPONSES http://c-nt.fr/sécurized