Mémoire Pour l`obtention du diplôme Niveau II à l`ESSEC
Transcription
Mémoire Pour l`obtention du diplôme Niveau II à l`ESSEC
ESSEC MANAGEMENT EDUCATION NOM & Prénom: DA VEIGA António Date:20 avril 2005 Directeur de Mémoire: KRIEF Serge SPÉCIALITÉ: Management des Systèmes d'Information MÉMOIRE POUR L'OBTENTION DU DIPLOME HOMOLOGUE NIVEAU II Titre: RESPONSABLE EN GESTION (SECURISATION DES DONNEES SENSIBLES, CONTENUES DANS LE DISQUE DUR DES POSTES NOMADES, D'UNE FLOTTE D'ENTREPRISE) ACCORD DU COMITÉ PÉDAGOGIQUE Nom: Date: Signature: ACCORD DU DIRECTEUR DE MÉMOIRE Nom: KRIEF Serge Date: Signature: Soutenance a l'ENST le 20 avril 2005. Page 2/162 REMERCIEMENTS Un travail de cette envergure ne peut pas aboutir sans la collaboration directe ou indirecte de personnes externes au projet. En ce qui me concerne j'ai eu la chance de trouver le réconfort, le soutien et la motivation auprès de tout ceux que de près ou de loin ont participé a cette aventure. C'est pour cela et avec la plus grande sincérité que je veux dire merci à tous ceux qui ont contribué au bon déroulement de cet ouvrage. Je ne peux m'empêcher de remercier particulièrement tout le corps enseignant de l'ESSEC et de l'ENST. Je veux aussi remercier Catherine Pelhate pour les conseils, toujours si avisés, qu'elle m'a donné. Je voudrai également remercier mon ami Didier Gimel, P.D.G. de la société Strat Value, pour son soutien et sa disponibilité. Merci aussi à Eric Filatre pour ses conseils. Un remerciement sincère aussi à Dominique Briolat, Responsable Pédagogique et enseignant à L'ESSEC pour ses encouragements ainsi que pour la confiance qu'il m'a accordé. Merci à Serge Krief, mon Directeur de Mémoire, pour sa disponibilité, sa sympathie et la confiance qu'il m'a témoigné. Enfin, simplement merci à mes enfants et mon épouse, de m'encourager et de me soutenir inconditionnellement dans ma démarche. Merci Angelo, merci Sonia et merci Candida, sans vous, je ne serais pas en train d'écrire ces lignes aujourd'hui, sans aucun doute! Page 3/162 TABLE DES MATIERES REMERCIEMENTS....................................................................................3 PLAN DU DOCUMENT..............................................................................8 MOTS-CLE ...................................................................................................8 INTRODUCTION ........................................................................................9 PROBLEMATIQUE ..................................................................................11 CHAPITRE 1-ÉTAT DE L’ART..............................................................12 1.1 PRATIQUES ACTUELLES ....................................................................12 1.2 RETOUR D’EXPERIENCE ....................................................................12 1.3 NOUVELLES TECHNOLOGIES.............................................................14 CHAPITRE 2-AUTHENTIFICATION ...................................................17 2.1 AUTHENTIFICATION .........................................................................17 2.2 AUTHENTIFICATION DES UTILISATEURS ...........................................17 2.2.1 2.2.2 Authentification locale .............................................................18 Authentification réseau.............................................................19 2.3 AUTHENTIFICATION FORTE ..............................................................20 2.4 METHODES D'AUTHENTIFICATION....................................................21 2.4.1 2.4.2 2.4.3 2.5 PRINCIPAUX PROTOCOLES D'AUTHENTIFICATION .............................27 2.5.1 2.5.2 2.5.3 2.5.4 2.5.5 2.5.6 2.5.7 2.5.8 2.6 Mots de passe ...........................................................................21 Certificats à clé publique..........................................................22 Biométrie ..................................................................................24 Protocole PAP ..........................................................................28 Protocole CHAP .......................................................................28 Protocole SPAP ........................................................................28 Protocole MS-CHAP................................................................29 Protocole MS-CHAP v2...........................................................29 VPN ..........................................................................................29 PPP ...........................................................................................30 Protocole EAP ..........................................................................30 CONTROLE D'ACCES AUX RESSOURCES .............................................30 CHAPITRE 3-CRYPTOGRAPHIE .........................................................33 3.1 CRYPTOGRAPHIE ..............................................................................33 3.2 INTRODUCTION A LA CRYPTOGRAPHIE .............................................34 Page 4/162 3.3 CHIFFREMENT ..................................................................................36 3.3.1 3.3.2 3.3.3 3.4 Chiffrement à clé secrète ..........................................................36 Chiffrement a clé publique P.K.C. (Public Key Cryptosystem) 38 L’authentification de documents ..............................................41 CRYPTOGRAPHIE HYBRIDE ...............................................................43 3.4.1 P.G.P. Pretty Good Privacy ......................................................43 3.5 LE SCELLEMENT ...............................................................................45 3.6 LA CRYPTOGRAPHIE QUANTIQUE .....................................................46 CHAPITRE 4-ORGANISATION ET PROCEDURES..........................48 4.1 INTRODUCTION ................................................................................48 4.2 OUTILS DE CRYPTAGE .....................................................................48 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.3 SECURYTY BOX ...............................................................................55 4.3.1 4.4 Utilisation de Security BOX.....................................................57 CRYPTAGE DES DONNES SUR DISQUE DUR ........................................58 4.4.1 4.4.2 4.4.3 4.4.4 4.5 E. F. S. ......................................................................................49 P.G.P.........................................................................................50 Cryptage des données avec P.G.P. ...........................................52 Décryptage des données avec P.G.P. .......................................53 Intégration de P.G.P. à la messagerie .......................................54 Crypter un dossier avec E.F.S. .................................................60 Décrypter les dossier avec EFS ................................................62 Avantages .................................................................................63 Inconvénients............................................................................63 LES VIRUS "VIRUS, VERS ET CHEVAUX DE TROIE" ..........................64 4.5.1 Les différentes familles de virus ..............................................65 4.5.2 L'Antivirus................................................................................67 4.5.3 Le Pare-feu ...............................................................................67 4.5.4 Viguard.....................................................................................69 CHAPITRE 5-SAUVEGARDES DES DONNEES .................................72 5.1 SAUVEGARDES DES DONNEES ..........................................................72 5.1.1 5.1.2 Idem..........................................................................................72 Second Copy.............................................................................73 5.2 OUTILS PERTINENTS .........................................................................78 5.3 AVANTAGES .....................................................................................78 CONCLUSION...........................................................................................80 RECOMMANDATIONS...........................................................................81 Page 5/162 L'ERREUR HUMAINE ...................................................................................81 PROTECTION PHYSIQUE DE VOTRE ORDINATEUR. .......................................81 PROTECTION LOGIQUE .......................................................................83 LES MOTS DE PASSE ...................................................................................83 LES SAUVEGARDES ....................................................................................83 L'ANTIVIRUS ..............................................................................................84 GESTION DES DONNEES.......................................................................84 BIBLIOGRAPHIE .....................................................................................85 WEBOGRAPHIE.......................................................................................86 GLOSSAIRE...............................................................................................87 Page 6/162 Table des Figures Figure 1-Exemple d'infrastructures ...................................................................11 Figure 2-Schéma simplifié d'un réseau V.P.N. .................................................13 Figure 3-Illustration I.B.G.................................................................................15 Figure 4-A) Ouverture session ..........................................................................18 Figure 5-B) Ouverture de session......................................................................19 Figure 6-Authentification réseau.......................................................................19 Figure 7-Mécanisme d'authentification forte ....................................................22 Figure 8-Lecteur de cartes à puce......................................................................23 Figure 9-Carte à puce ........................................................................................23 Figure 10-Exemple d'un certificat .....................................................................24 Figure 11-Acquisition caractéristiques biométriques........................................25 Figure 12-Authentification biométrique............................................................25 Figure 13-Gestion d'utilisateurs et groupes locaux ...........................................31 Figure 14-Schéma simplifié de l'architecture d'un serveur de fichiers..............32 Figure 15-Cryptogramme ..................................................................................35 Figure 16-Chiffrement à clé privée ...................................................................36 Figure 17-Schéma représentant l'algorithme D.E.S. .........................................38 Figure 18-Schéma fonctionnel simplifié, d'une P.K..........................................39 Figure 19-Chiffrement à clé publique ...............................................................41 Figure 20-Mode de fonctionnement de P.G.P...................................................44 Figure 21-Scellement ........................................................................................45 Figure 22-Filtre rectiligne "cryptographie quantique" ......................................47 Figure 23-Choix du client messagerie sous P.G.P. ...........................................51 Figure 24-Saisie de phrase secrète sous P.G.P..................................................52 Figure 25-Exemple Clé publique copiée dans un document .txt.......................52 Figure 26-Barre d'outils P.G.P.Tools ................................................................53 Figure 27-Utilisation des composants de PGP à partir du menu contextuel .....53 Figure 28-Barre d'outils P.G.P.Tools ................................................................54 Figure 29-Intégration P.G.P aux clients messagerie .........................................54 Figure 30-Intégration de PGP au client de messagerie .....................................54 Figure 32-Structure d'un Disque Dur partitionné ..............................................59 Figure 33-Création d'un nouveau dossier..........................................................59 Figure 34-Renommer le dossier "données".......................................................60 Figure 35-Tableau récapitulatif des principales causes de perte des données ..65 Figure 36-Évolution des revenus des produits et services ................................68 Figure 37-Positionnement des principaux acteurs de la sécurité ......................69 Figure 38-Tableau des fonctionnalités du Pack Sécurité ViGUARD ...............71 Figure 39-Paramétrage Idem .............................................................................73 Figure 40-Tableau récapitulatif des prix des licences Idem ..............................73 Figure 41-Tableau récapitulatif des prix des licences Second Copy .................78 Figure 42-Câble antivol portable.......................................................................82 Page 7/162 PLAN DU DOCUMENT Ce document débute par une Introduction suive de l’exposition de la Problématique. Le premier chapitre est consacré à l'état de l'art de la sécurité informatique en ce qui concerne les moyens et techniques mis en œuvre de nos jours pour la protection des données des postes nomades. Dans le deuxième chapitre j'aborderai l'authentification et le contrôle d'accès aux données. Je présenterai quelques notions de cryptographie et scellement dans le troisième chapitre. Le quatrième chapitre sera consacré à l'organisation et aux procédures de chiffrement. Puis, nous examinerons la problématique des attaques de type virus, vers ou chevaux de Troie. Le cinquième et dernier chapitre sera dédié aux sauvegardes. Je terminerai avec une rubrique dédiée à la conclusion suivie des recommandations. MOTS-CLE: Authentification, contrôle d'accès, cryptographie, chiffrement, virus et sauvegardes. Page 8/162 INTRODUCTION Les Systèmes d'Information (S. I.), reposent essentiellement sur un ensemble de machines reliées entre elles par des équipements intermédiaires (réseau). Elles produisent, stockent, modifient, et transmettent de l'information entre elles. Ces machines peuvent être de plusieurs types: des serveurs extrêmement sophistiqués, des ordinateurs personnels "PC"1, fixes ou portables ainsi que d'autres périphériques comme les Assistants Personnels, "PDA"2 par exemple. L'objectif est de donner à ces équipements la possibilité de communiquer entre eux et ainsi échanger toute sorte d’informations. Autrement dit, les dossiers qu'hier étaient empilés dans des armoires, ou bien, consciencieusement rangés dans des coffres-forts, peuvent se trouver en circulation dans la maille des réseaux de l'entreprise ou même au-delà, grâce à la capacité phénoménale des nouvelles technologies comme l'Internet. Se basant sur le proverbe "Le savoir, c'est le pouvoir!", il n’est pas difficile de deviner qu'une partie des utilisateurs du S.I. est particulièrement gourmande en termes d'obtention et possession de cette matière première. Cette information peut se révéler primordiale, voire stratégique, pour le présent et l'avenir de la Société qui la possède. Une bonne gestion et surtout, une bonne politique de protection d’un si précieux sésame, s'imposent. Dans un S.I., il y a deux éléments à prendre en compte, en ce qui concerne la sécurité: - Les utilisateurs (humains), ou les processus qui agissent à leur place. - Les objets utilisés dans le système. L'objectif de la sécurisation d'un S.I. consiste en la mise en œuvre de mécanismes et de processus qui permettent d'assurer trois points élémentaires: - La confidentialité des données. - L'intégrité des données. - La disponibilité des services. 1 -Personnal Computer -Portable Digital Assistant 2 Page 9/162 On appelle "base informatique de confiance", l'ensemble de mécanismes de sécurité mis en œuvre pour assurer les trois propriétés décrites précédemment, qui peuvent être partagés en trois sous-ensembles: - La sécurité logicielle. - La sécurité matérielle. - La sécurité organisationnelle. De la même façon la sécurité logicielle et la sécurité matérielle seront regroupées dans un ensemble appelé Sécurité Interne ou Sécurité Logique, la sécurité organisationnelle peut être aussi appelée Sécurité externe. La sécurité externe a pour objectif la sécurisation des accès physiques au S.I... Ces accès seront décomposés en trois parties: - La sécurité physique des installations. - La sécurité concernant le personnel. - La sécurité procédurale. Ces deux aspects de la sécurité des systèmes d'information ne peuvent être dissociés, car une mesure prise au niveau interne peut compromettre très sérieusement l'équilibre des mesures prises au niveau externe et vice-versa. Ce document a pour objectif de traiter essentiellement l'information dite "sensible", classée confidentielle contenue dans les Disques Durs des postes nomades. Je considère que les postes fixes stockent et traitent l'information au niveau des Serveurs dédiés à cet effet, (sécurité interne). Page 10/162 PROBLEMATIQUE De manière à mettre en évidence la problématique de la sécurité des informations contenues dans les Disques Durs des postes nomades, prenons comme exemple, un organisme ou une entreprise qui souhaitent sécuriser son S.I. Dans un premier temps il est indispensable de sécuriser le coté physique (vigile, portes et contrôle d'accès…). L'étape suivante doit privilégier la sécurité des matériaux qui produisent, traitent et stockent les données. Les serveurs (des fichiers, des sauvegardes…) pièces maîtresses d'un S.I., seront à leur tour placés au centre de la politique de sécurisation (Figure 1). Station de travail Stations de travail Serveur de messagerie Stations de travail Figure 1-Exemple d'infrastructures Cette démarche de sécurisation d'un S.I. permet de garantir la sécurité des données qui circulent à l'intérieur de l'enceinte de notre société. A contrario les périphériques "portables" plus particulièrement, les ordinateurs portables, deviennent extrêmement vulnérables, une fois le périmètre de sécurité décrit précédemment, franchi. Nous venons de mettre en évidence une grave défaillance de sécurité appelée "base informatique de confiance" dans le cas, où des mesures particulières de sécurité ne sont pas mises en œuvre. Page 11/162 1 CHAPITRE 1-ÉTAT DE L’ART 1.1 PRATIQUES ACTUELLES Le recours à des périphériques mobiles pour se connecter à partir de l'extérieur de l'entreprise à son système d'information, est devenu une pratique quotidienne. Les ordinateurs portables en particulier, ainsi que les assistants numériques de poche (P.A.D.), les téléphones dits "intelligents" ouvrent toutes les portes d'accès aux S.I. des entreprises avec une facilité extraordinaire. Selon le Gartner Group le nombre des périphériques mobiles (téléphones portables exclus) équipés de fonctionnalités sans fil, dépassera 1,5 milliard dès 2005. Le chiffre d'affaires concernant les périphériques mobiles, est estimé à 52 milliards de dollars sur l'année 2004. Dans un passé pas très lointain, le S.I. était enfermé et cloisonné dans l'enceinte de l'entreprise, la politique de sécurité mise en place était précisément basée sur l'aspect de la maîtrise de cet environnement. Malheureusement pour le responsable de la sécurité, et heureusement pour les entreprises et l'utilisateur nomades, le S.I. s'est ouvert vers l'extérieur et il est sorti de ce cloisonnement à une vitesse extraordinaire. Si nous tenons compte de cette étude réalisée par la société Gartner la course à la mobilité ne fait que commencer. 1.2 RETOUR D’EXPERIENCE Compte tenu, que la croissance de la mobilité ne peut pas être arrêtée sous couvert de sécurité, le développement et la mise en place d'outils et de processus de protection des données se sont accentués ces dernières années. La mise en place de Réseaux Privés Virtuelles (V.P.N.) associés à des méthodes d'authentification forte va permettre à la D.S.I. de mettre à disposition des dirigeants, des cadres supérieurs, des équipes nomades, et des ingénieurs en mission, entre autres, un accès au S.I., très souvent vital pour le bon déroulement de leurs missions. L’association du V.P.N. et de l’authentification forte va permettre à la DSI et aux responsables de la sécurité en particulier de s'assurer de l'identité de la personne qui se connecte au S.I. et que la transmission des données entre le poste nomade et le S.I. ne sera pas interceptée et ainsi garantir l'intégrité et la confidentialité des données. Une question importante reste dans l'air tout de même. Et les données embarquées, sont-elles protégées? Page 12/162 L'authentification et le chiffrement des communications constituent la base d'un périmètre de sécurité indispensable au bon déroulement de la "synchronisation" des données avec le S.I., mais il n'est pas suffisant d'avoir la garantie qu'il s'agit bien de "M. Dupont" qui se connecte au S.I., et que le canal qu'il utilise est sécurisé. Il est également indispensable d'assurer l'intégrité des données échangées avec le S.I.. Et pour cela il est nécessaire de sécuriser les périphériques nomades, en amont, à travers le chiffrement des données embarquées. Il convient de ne pas négliger l'aspect "domestique" du périphérique nomade car en réalité le cadre supérieur ou le commercial, entre autres, s'approprient facilement de l'ordinateur portable qui est mis à leur disposition dans le cadre de leurs différentes missions. L'installation d'applications "douteuses" non validées par le responsable de la sécurité doit être simplement proscrite. La politique de sécurité, d'intégrité et de confidentialité pourrait être dramatiquement compromise. Figure 2-Schéma simplifié d'un réseau V.P.N. La gestion locale des informations doit être réduite au maximum. Internet peut être utilisé comme un outil de travail extrêmement intéressant, cependant, son utilisation a fin de se connecter à l'entreprise comporte des risques extrêmement élevés. Les entreprises conscientes de ce risque utilisent des connexions de type V.P.N.. Le problème réside dans le fait que l'entité connectée via un "tunnel" de type V.P.N. reste aussi connectée sur Internet, et de ce fait les risques d'intrusion sont bien réels. Il me semble essentiel, d'équiper les périphériques nomades de systèmes de détection d'intrusion, de pare-feu personnel ainsi que d'un antivirus. Page 13/162 Une fois le périphérique nomade sécurisé dans sa globalité, l'entreprise peut, alors, envisager l'ouverture de son S.I.. Les informations alors échangées doivent être extrêmement réduites, les risques de perte d'information restent toujours très élevés, le disque dur d'un ordinateur est essentiellement constitué de pièces mécaniques très fragiles, susceptibles de tomber en panne au moment où l'ont s'y attend le moins. L'utilisation de techniques de type Client Léger3 peuvent désormais répondre à ce souci de diminution de données embarquées, car la simple visualisation des données suffit aux besoins d'une grande partie des utilisateurs nomades. Cette pratique permet de diminuer la quantité de données sensibles stockées dans le disque dur du poste nomade, celui-ci ne pourra pas être utilisé afin de corrompre les bases de données de l'entreprise. Voir schéma fonctionnel de clients léger en annexe 4. 1.3 NOUVELLES TECHNOLOGIES La maturité des solutions de cryptage, ainsi que les produits destinés à établir les connexions des postes nomades vers les S.I. des entreprises, me laissent penser que la protection des données sensibles des postes nomades ne constitue plus un problème en soi. La conjugaison des différents produits du marché actuel (antivirus, pare-feu personnel, outils de cryptographie…) nous permet de créer un environnement de confiance acceptable. Néanmoins, I. B. G. (International Biometric Group) nous démontre en s'appuyant sur une étude de marché pour la période des années 2000-2005, que la biométrie peut apporter une nouvelle dimension en ce qui concerne le contrôle d'accès aux systèmes d'information (ordinateur / réseau), sans exclure toute la composante du commerce électronique. Prévision de la croissance du chiffre d'affaires de la Biométrie pour la période 1999/2005: 3 -Une session de type client léger/serveur est un modèle à partir du quel le déploiement, la gestion, le support et l’exécution des applications s’effectuent à 100% sur le serveur. Ce dernier utilise un système d’exploitation multi-utilisateurs ainsi qu’une méthode de distribution de la présentation de l’interface d’une application vers un poste client. Page 14/162 Figure 3-Illustration I.B.G. L’utilisateur est de plus en plus réceptif à l’utilisation de la biométrie, il n’y a plus de méfiance à son égard et la demande est en forte augmentation. D'autre part la D. S. I., ou le responsable de la sécurité ne s'y opposent pas non plus à la mise en place d'un système qui leur permet de réduire drastiquement la complexité des contrôles d'accès aux S.I.. 2005 sera donc "l'année Biométrie"… Page 15/162 Voici une liste non exhaustive des différentes applications pouvant utiliser la biométrie pour contrôler un accès (physique ou logique), aux applications, matériels, locaux etc.… - Contrôle d'accès aux locaux. - Site sensible (service de recherche, site nucléaire). - Systèmes d'informations. - Lancement du système d'exploitation. - Accès au réseau. - Commerce électronique. - Transaction (financière "banques", données entre les entreprises). - Signature de document (lot de fabrication de médicaments). - Tous les logiciels utilisant un mot de passe. - Équipements de communication -Terminaux d'accès à Internet. - Téléphones portables. - Machines et équipements divers. - Coffre fort avec serrure électronique. - Distributeur automatique de billets. - Casier sensible (club de tir, police). - Cantine d'entreprise (pour éviter l'utilisation d'un badge par une personne extérieure). - Casier de piscine (plus d'objet à porter sur soi). -Contrôle des adhérents dans un club, carte de fidélité. - Contrôle des temps de présence. - Voiture (anti-démarrage). - État / Administration. - Fichier judiciaire. - Titres d'identité (carte nationale d'identité, passeport, permis de conduire, titre de séjour). - Services sociaux (sécurisation des règlements). - Services municipaux (sécurisation des accès aux écoles, contrôle de l'utilisation des services périscolaires). - Système de vote électronique. Page 16/162 2 CHAPITRE 2-AUTHENTIFICATION 2.1 AUTHENTIFICATION Organe fondamental pour le fonctionnement et le développement des entreprises, le Système d’Information (S.I.) à l’image d’un coffre-fort, requière une gestion ainsi qu'un contrôle d’accès très particuliers et quotidiens. Le développement commercial des entreprises, les besoins spécifiques du marketing, le e-commerce, la messagerie et autres techniques de communication réclament une ouverture des SI à un grand nombre d’utilisateurs, internes et externes aux entreprises, y accédant depuis des postes fixes ou nomades, avec des outils multiples et variés et à partir d’environnements de plus en plus hétérogènes. Cette ouverture accentuée, impose une vigilance accrue, des accès liés aux utilisateurs et/ou aux processus informatiques. Avec le déploiement des techniques de communication, comme l'Internet et la Messagerie, ainsi que l'expansion plus qu'évidente du e-commerce, l’identification, l’authentification et les droits associés ne peuvent plus rester figés dans le temps ni dans l’espace. D’après le Garther Dataquest, le développement des systèmes de management du contrôle d’identité et d'accès aux Systèmes d’Information, a enregistré une croissance de près de 12% en 2003. Il est nécessaire de centraliser les données relatives aux authentifications et les droits associés, dans le but de réduire les coûts liés à la gestion et à la facilité de mise à jour de ceux-ci. Ce qui explique le surcroît et l’engouement des entreprises dans la mise en place d’outils dédiés. Intimement liés, l’Identification et l’Authentification constituent deux aspects complètement indépendants, malgré leur complémentarité. Il convient de rappeler que l’identité d’un individu est constituée par l’ensemble des données, de fait et de droit, permettant d’individualiser quelqu’un, parmi d'autres. De ce fait: - L’identification consiste en la vérification de l’identité. - L’authentification consiste à prouver son identité. 2.2 AUTHENTIFICATION DES UTILISATEURS Page 17/162 L'authentification de l'utilisateur vis-à-vis d'un ordinateur, d'un réseau ou d'un accès distant4 complète le processus d'identification, car l'authentification permet de démontrer une identité déclarée, et de la stocker, dans une base de données destinée à cet effet. 2.2.1 Authentification locale En prenant Windows 2000 comme exemple de Système d'Exploitation (OS5 Operating System), l'utilisateur ouvre une session locale dans une station de travail au moyen des informations d'identification stockées dans le gestionnaire de compte S.A.M., (Security Accounts Manager) il s'agit de la base de données des comptes de sécurité locaux. N'importe quelle station de travail ou n'importe quel serveur membre, peut stocker les comptes d'utilisateurs locaux, ceux-ci ne peuvent l'utiliser que pour l'accès local à l'ordinateur. Figure 4-A) Ouverture session 4 -Le Service d'accès distant (RAS, Remote Access Service) Windows NT/2000 permet de relier les utilisateurs distants ou mobiles aux réseaux d'entreprise à l'aide d'un modem. 5 -Programme assurant la gestion de l'ordinateur et de ses composants. Exemples: Linux, Windows, Unix, MacOS ou encore BeOS. Page 18/162 Figure 5-B) Ouverture de session 2.2.2 Authentification réseau Dans un serveur, un processus de contrôle valide l'identité et après authentification, donne l'accès aux données, aux applications, aux bases de données, aux fichiers ou à Internet, parmi un ensemble très large d'applications et processus que comporte un SI. Dans le cas contraire, si l'individu ou le processus n'est pas en mesure de prouver l'identité déclarée, l'accès au SI, lui est refusé. Exemple de fenêtre de connexion à un serveur de fichiers: Figure 6-Authentification réseau Page 19/162 L'authentification peut se faire de différentes manières, et notamment par la vérification des points suivants: - "Ce que je sais", un mot de passe par exemple. - "Ce que je sais faire", une signature manuscrite sur écran tactile/digital. - "Ce que je suis", une caractéristique physique comme une empreinte digitale. - "Ce que je possède", une carte à puce par exemple. Le choix d'une technique au détriment d'une autre s'effectue selon quatre critères: - Le niveau de sécurité. - Le coût de la solution retenue. - La complexité de déploiement et d’administration. - L'acceptabilité de la solution retenue par les utilisateurs. Exemple de besoins d'authentifications spécifiques: - L'expéditeur d'un email. - L’authentification d'un utilisateur qui se connecte à distance. - L’authentification d'un administrateur au système. - L’authentification d'un client (e-commerce). - Payement en ligne… 2.3 AUTHENTIFICATION FORTE La combinaison de plusieurs de ces méthodes (aussi appelées, facteurs d'authentification) permet de renforcer le processus d'authentification, nous parlerons alors d'authentification forte. Page 20/162 2.4 2.4.1 METHODES D'AUTHENTIFICATION Mots de passe Parmi toutes, le mot de passe est la technique la plus utilisée de nos jours, néanmoins, d'autres techniques peuvent être mises en place et utilisées pour une authentification plus "robuste" dite Authentification Forte. En ce qui concerne les mots de passe nous pouvons distinguer deux catégories: - Les mots de passe statiques. - Les mots de passe dynamiques. Les mots de passe statiques, comme leur nom l'indique, restent identiques pour plusieurs connexions sur un même compte. On rencontre ce type de mot de passe, sous des environnements Windows NT/2000 ou Unix. Cette technique d'authentification est la plus couramment utilisée dans les entreprises, par contre elle reste la plus vulnérable de toutes, car il n'est pas difficile de jeter un petit regard sur l'épaule de celui qui s'authentifie et facilement deviner son mot de passe à la saisie, sur le clavier. La restriction de ce type d'authentification, du point de vue des entreprises, serait une solution pour palier ce genre de vulnérabilités. Des solutions sont apparues pour palier cette faiblesse "relative" à l'usage du mot de passe statique. Par exemple, la combinaison de deux facteurs ("ce que je possède" et "ce que je sais") afin d'obtenir une authentification Forte. Les mots de passe sont obtenus par des générateurs de mots de passe dynamiques, (token6 code) activés à l'aide d'un code d'identification personnel ou PIN7 (Personal Identification Number). Ce mécanisme d'authentification forte, rend la capture du mot de passe en cours, inutile, compte tenue, que le Code PIN est personnel et confidentiel et que le Token Code est généré d'une façon aléatoire et d'une durée de vie de 60 secondes en général. 6 -Petit appareil destiné à générer des codes. Jeton en Français. 7 -Personal Identification Number. Identifiant d'un utilisateur sur un système multi utilisateur, et plus généralement, identifiant de quelqu'un dans un système quelconque. NIP en Français. Page 21/162 Figure 7-Mécanisme d'authentification forte 2.4.2 Certificats à clé publique Les certificats à clés publiques PKI8 (Public Key Infrastructure) constituent, derrière le mot de passe, l'une des techniques d'authentification les plus utilisées à ce jour, certes, loin derrière les mots de passe, mais il est certain que ce moyen d'authentification trouve de plus en plus d'adeptes. Basé sur une technologie de cryptographie asymétrique, il fait intervenir deux éléments qui sont mathématiquement liés entre eux : - La clé privée. - La clé publique. Nous aurons l'occasion de regarder plus en détail la technologie PKI dans le deuxième chapitre. Une fois les stations de travail équipées d'un lecteur de carte à puces, la personne qui souhaite se connecter, décline son identité et la prouve, via un certificat stocké dans la carte à puces. Le certificat est délivré par un tiers de confiance, et il est constitué par l'ensemble des informations relatives à la personne qui les possède. 8 -Ensemble de techniques, organisations, procédures et pratiques qui définissent l'implémentation et l'exploitation de certificat numériques basés sur la cryptographie à clés publiques Page 22/162 Principaux constructeurs de lecteurs de cartes à puce: Constructeur American Express Bull Compaq Modèle GCR435 SmarTLP3 Serial reader Interface USB Serial Serial Gemplus Gemplus Gemplus Hewlett Packard Litronic Schlumberger Schlumberger Schlumberger SCM Microsystems SCM Microsystems SCM Microsystems SCM Microsystems Systemneeds Omnikey AG Omnikey AG Omnikey AG GCR410P GPR400 GemPC430 ProtectTools 220P Reflex 20 Reflex 72 Reflex Lite SCR111 Serial PCMCIA USB Serial Serial PCMCIA Serial Serial Serial SCR200 Serial SCR120 PCMCIA SCR300 USB External 2010 2020 4000 Serial Serial USB PCMCIA Figure 8-Lecteur de cartes à puce Le prix moyen d'un lecteur est de 50 € l'unité. Principaux constructeurs de cartes à puce: Gemplus Gemplus Infineon Schlumberger Schlumberger Schlumberger GemSAFE 4k GemSAFE 8k SICRYPT v2 Cryptoflex 4k Cryptoflex 8k Cyberflex Access 16k Figure 9-Carte à puce Le prix moyen d'une carte à puce est de 10 € l'unité. Page 23/162 Exemple d'un certificat, en l'occurrence, délivré par la société VeriSing. Figure 10-Exemple d'un certificat 2.4.3 Biométrie La biométrie est définie comme étant la science permettant l'identification d'individus à partir de leurs caractéristiques physiologiques ou comportementales. Les techniques biométriques sont classées en trois catégories: 1 - Les techniques fondées sur l'analyse de traces biologiques (ADN, sang, salive,…). 2 - Les techniques fondées sur l'analyse comportementale (dynamique du tracé de signature, frappe sur un clavier d'ordinateur,….). 3 - Les techniques fondées sur l'analyse morphologique (empreintes digitales, forme de la main, traits du visage, iris,...). Les caractéristiques doivent être universelles, autrement dit, exister chez tous les individus, elles doivent être uniques de façon à permettre l'identification d'un individu par rapport à un autre, elles doivent être Page 24/162 permanentes et facilement collectables, en vue d’un enregistrement sur une base de données, pour une comparaison future. Enregistrement d'un utilisateur: Acquisition Extrait de la caracteristique Création fiche utilisateur Stockage Figure 11-Acquisition caractéristiques biométriques Authentification de l'utilisateur: Acquisition Extrait de la caracteristique Recherche dans la base de données comparaison fiche utilisateur Figure 12-Authentification biométrique Déroulement des différents processus d'authentification biométrique en annexe1. Page 25/162 L'implémentation d'un outil qui rende l'authentification unique, à l'ouverture de chaque session, permet d'éviter aux utilisateurs de retenir un nombre important de mots de passe. Le Single Sign On9 (S.S.O.) par exemple. A noter, que la mise en place d'un S.S.O. ne contribue en aucun cas, à la robustesse du processus de contrôle d'accès au SI, il s'agit simplement d'un point d'entrée unique. Si pour une raison quelconque, cette identification unique venait à céder, les conséquences pourraient être catastrophiques pour la sécurité du S.I.. Pour pallier cette contrainte il est souhaitable de coupler le contrôle d'accès des utilisateurs au S.I., via un serveur S.S.O., à une méthode d'authentification Forte. Tableau récapitulatif des vulnérabilités des techniques d'authentification les plus utilisées: Clé Badge Code Empreinte Copie Vol Oubli Perte + + + + + + + 9 -Solution logicielle basée sur un annuaire, qui permet aux utilisateurs d'un réseau d'entreprise d'accéder, en toute transparence, à l'ensemble des ressources autorisées. Page 26/162 Tableau non exhaustif des avantages et des inconvénients des techniques d'authentification les plus utilisées: Avantages Inconvénients Mot de passe statique - peu coûteux - facile à mettre en oeuvre - facile à utiliser Mot de passe statique stocké dans une carte magnétique activée par code PIN - robustesse du mot de passe (possibilité de choisir un mot de passe aléatoire et comprenant des caractères spéciaux) - pas de nécessité de mémoriser le mot de passe - vol du mot de passe en regardant par dessus l'épaule - oubli du mot de passe - peu robuste (facilement devinable ou "craquable") - partageable, et trop souvent partagé - mot de passe re-jouable par une personne malveillante - vol, perte ou oubli de la carte - carte partageable - durée de vie du mot de passe souvent trop longue : nécessité de renouveler régulièrement l'enregistrement dans la carte - mot de passe re-jouable Mot de passe dynamique généré par un outil logiciel - robustesse du mot de passe (mot de passe souvent aléatoire et comprenant des caractères spéciaux) - confort d'utilisation pour l'utilisateur (absence de mémorisation du mot de passe) - peu de confort d'utilisation (nécessité d'utiliser un logiciel à chaque nouvelle connexion) - protection de l'utilisation du logiciel par une personne non autorisée Mot de passe dynamique généré par un outil matériel - confort d'utilisation pour l'utilisateur (absence de mémorisation du mot de passe) - robustesse du mot de passe (usage unique) - vol, perte ou oubli du générateur de mot de passe - le générateur peut se désynchroniser avec le serveur qui contrôle la vérification du mot de passe Certificat X.509 dans le navigateur de l'ordinateur - multi usage - robustesse de la méthode d'authentification - confort d'utilisation pour l'utilisateur - vol ou utilisation frauduleuse de l'ordinateur et copie de la clé privée associée au certificat Certificat X.509 dans un token USB - multi usage - robustesse de la méthode d'authentification - attitude similaire à la possession de clés (maison, voiture) - vol, perte ou oubli du token 2.5 PRINCIPAUX PROTOCOLES D'AUTHENTIFICATION Page 27/162 2.5.1 Protocole PAP Le protocole P.A.P. (Password Authentication Protocol) utilise des mots de passe en texte brut (protocole d'authentification peu sophistiqué). Le protocole PAP est généralement utilisé, lorsque la connexion et le serveur ne peuvent négocier aucun moyen de validation plus sûr. 2.5.2 Protocole CHAP Le protocole CHAP (Challenge Handshake Authentication Protocol) négocie une forme sécurisée d'authentification cryptée à l'aide de Message Digest 510 (MD5), un modèle de hachage normalisé. Le hachage est une méthode de transformation des données (par exemple un mot de passe) en un résultat unique qui ne peut plus retrouver sa forme d'origine. Le protocole CHAP utilise un système de question/réponse avec hachage MD5 unidirectionnel de la réponse. Vous pouvez ainsi, démontrer au serveur, que vous connaissez le mot de passe sans envoyer réellement celui-ci sur le réseau. A l'occasion d'une connexion distante, l'accès distant de Windows 2000 peut négocier une authentification en texte brut, si l'autre produit ne prend pas en charge l'authentification cryptée. Toutefois, si la connexion est configurée pour exiger l'authentification cryptée, et que le serveur authentifiant, n'est configuré que pour l'authentification en texte brut, la connexion sera stoppée. 2.5.3 Protocole SPAP Grâce au protocole S.P.A.P. (Shiva Password Authentification Protocol), les clients Shiva11, peuvent appeler des ordinateurs qui exécutent Windows 2000 Server, tandis que les clients Windows 2000 peuvent appeler les serveurs Shiva. Si un serveur requiert l'utilisation du protocole SPAP, vous ne pouvez pas exiger le cryptage des données. 10 -Fonction définie dans la RFC 1321. Il s'agit d'un hachage unidirectionnel, permettant d'identifier un message, car deux messages produiront deux hachages différents, et il est impossible de retrouver le message à partir de son hachage. 11 -Shiva Gold est un logiciel d'administration d'espaces multimédia, salles de jeux, cybercafés. Page 28/162 2.5.4 Protocole MS-CHAP Le protocole MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) a été créé par Microsoft avec l'objectif, d’authentifier les stations de travail Windows distantes, en fournissant les mêmes fonctionnalités des réseaux locaux tout en intégrant les algorithmes de cryptage et de hachage utilisés sur les réseaux Windows. Ce protocole utilise un système de question/réponse avec cryptage unidirectionnel de la réponse. Son paquet de réponse, possède un format spécialement conçu pour les produits réseau Windows NT / 2000, ainsi que Windows 95 et les versions ultérieures. Le protocole, MS-CHAP n'exige pas l'utilisation de mots de passe cryptés. L'administrateur du système, peut définir les règles de modification des mots de passe et des nouvelles tentatives d’authentification, pour les utilisateurs qui se connectent au serveur. Il existe une version du protocole MS-CHAP spécialement conçue pour la connexion à un serveur exécutant Windows 95. Vous devez utiliser cette version si vous vous connectez à un serveur exécutant Windows 95. 2.5.5 Protocole MS-CHAP v2 MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2) est un protocole d'authentification mutuelle, le client et le serveur prouvent leur identité. Ce qui signifie que, si le serveur auquel nous nous sommes connectés, ne prouve pas son identité, la connexion est arrêtée. Cette fonction nous permet de configurer la connexion, de façon à assurer une connexion au serveur spécifié. Ce nouveau protocole offre des clés de cryptage initial des données, plus robustes, ainsi que différentes clés de cryptage pour l'envoi et la réception. Pour réduire le risque d'appropriation des mots de passe au cours d'échanges MS-CHAP, MS-CHAP v2 abandonne la prise en charge de la modification des mots de passe MS-CHAP et ne transmet pas de mot de passe codé. 2.5.6 VPN Pour les connexions V.P.N. (Virtual Private Network), Windows 2000 Server propose le protocole MS-CHAP v2 plutôt que l'ancien protocole MSCHAP. Les clients Windows mis à jour, acceptent le protocole MS-CHAP v2 lorsque celui-ci leur est proposé. Les connexions d'accès à distance ne sont pas affectées. Page 29/162 Les connexions V.P.N. et les connexions d'accès à distance Windows 2000 peuvent utiliser le protocole MS-CHAP v2. Les ordinateurs Windows NT 4.0 et Windows 98 ne peuvent utiliser que l'authentification MS-CHAP v2 pour les connexions VPN. 2.5.7 PPP Le P.P.P. (Point-to-Point Protocol) utilise une méthode de transmission de "packets12" en liens série points à points. Il s'agit de la méthode la plus populaire pour les connexions à Internet, en utilisant une ligne téléphonique régulière, car il permet l'utilisation d'autres protocoles tels que "IPX", "TCP/IP" et "Netbeui" sur une connexion téléphonique standard. 2.5.8 Protocole EAP Le protocole E.A.P. (Extensible Authentication Protocol) est une extension du protocole P.P.P. (Point-to-Point Protocol). Le protocole EAP a été développé pour répondre à la demande croissante d’authentification des utilisateurs d'accès distant, employant d'autres périphériques de sécurité. Grâce au protocole EAP, il est possible d'ajouter la prise en charge de plusieurs modèles d'authentification, notamment les cartes à jeton, les mots de passe à usage unique et l'authentification par clé publique, utilisant des cartes à puce, des certificats, etc… 2.6 CONTROLE D'ACCES AUX RESSOURCES Dans le cadre d'un réseau d'entreprise, la mise à disposition des salariés et des collaborateurs, d'un local de "stockage" et du partage de données, semble tout à fait normal et naturel. Toutefois, la maîtrise de ces espaces, reste indispensable, car un espace collaboratif non maîtrisé, constitue un point de faiblesse au coeur du S.I., et un point d'entrée et de sortie d'information, non maîtrisé. Dans les cas de Windows 2000 cette maîtrise peut être matérialisée à travers la gestion des utilisateurs, dans les groupes locaux et globaux. 12 -Terme commun pour désigner une unité standard de donnée expédiée à travers le réseau. Page 30/162 Figure 13-Gestion d'utilisateurs et groupes locaux En mettant en place des répertoires personnels et confidentiels (au niveau d'un serveur de fichiers) à la disposition des utilisateurs nous allons les inciter à sauvegarder leurs données "sensibles". En ayant une bonne politique de sauvegardes, l'utilisateur se sentira protégé. Avec la mise en place de quotas d'utilisation d'espace disque sur les serveurs, l'utilisateur se sentira "obligé" de sauvegarder vraiment le strict nécessaire et indispensable. Attention, tout de même, à ne pas "donner" des quotas trop petits, car le manque de place peut avoir un effet inverse, et le stockage des donnes "sensibles" se faire un peu partout, sauf à l'emplacement désiré. Je détaillerai cette problématique au cours du. Chapitre 5 sous le thème des sauvegardes des données. Page 31/162 Schéma simplifié de l'architecture d'un serveur de fichiers: Figure 14-Schéma simplifié de l'architecture d'un serveur de fichiers Page 32/162 3 CHAPITRE 3-CRYPTOGRAPHIE 3.1 CRYPTOGRAPHIE Depuis la nuit des temps, la transmission d'informations sensibles et confidentielles, a employé des techniques de protection et de sécurisation performantes. Le chiffre dit de "Jules César", 40 ACN en témoigne. Il s'agissait de la méthode que Jules César utilisa pour transmettre ses ordres à ses commandants sur le front de bataille. Le principe utilisé, était extrêmement simple, il s'agissait de remplacer une lettre par la lettre suivante dans l'ordre de l'alphabet. Exemple de message codé: Message d'origine = BONJOUR Message codé = CPOKPVS La technique de Jules César, dont la force résidait, dans le fait que, personne d'autre ne connaissait son utilisation, cette technique est à l'origine de nombreux systèmes cryptographiques plus complexes et plus sophistiqués. Plus récemment, en particulier depuis la Seconde Guerre Mondiale, sous un climat de Guerre Froide le développement des techniques cryptographiques a gagné une nouvelle ampleur. Les besoins militaires, ainsi que les applications civiles du chiffrement (banques, télécommunications, informatique, cartes bancaires...) se transforment en une puissante courroie de transmission du développement et d’amélioration des techniques cryptographiques. Parallèlement, un nouveau type de cryptographie, qui va révolutionner et apporter une sécurité "théorique" bien supérieure, est inventé. Les grandes puissances militaires, économiques et politiques, se sont engagées dans le développement de nouvelles formes cryptographiques, en premier lieu, les codages alphabétiques et numériques simples, et ensuite des techniques cryptographiques plus musclées, et ce, grâce à l'outil mathématique. Le développement des S.I., a provoqué une explosion dans le développement cryptologie, véritable science régissant le codage de l'information, passant d'une ère plus au moins artisanale et confidentielle, à une nouvelle ère, celle des systèmes de très hautes technologies nécessitant une puissance de calcul phénoménale. Puis, l'arrivée des nouvelles technologies de communication, comme l'Internet, a imposé une nécessité Page 33/162 absolue de protéger les données échangées au quotidien dans la "toile", avec le souci du respect de la vie privée d'autrui et de l'individu. Voici une petite enquête menée par le site www.blocus-zone.com à la fin du mois de novembre 2003. Pas exhaustive, très simpliste même, mais assez démonstrative de l'utilisation du cryptage des données, en milieu extra professionnel: Le cryptage de données C'est quoi çà ? 7% Je le fais de temps en temps. 29 % Je crypte régulièrement. 28 % Je n'ai pas le temps de crypter. 27 % Comment on crypte des données ? 7% Source: http://www.blocus-zone.com 3.2 INTRODUCTION A LA CRYPTOGRAPHIE Le cryptage ou "encryptage, chiffrage, chiffrement, encryptions" se traduit par la transformation des données, de manière à ce que, seuls ceux qui ont la clé de décryptage, puissent les exploiter. L'objectif premier est, bien sûr, d'améliorer la protection et la confidentialité de notre vie privée, en empêchant l'exploitation et les regards extérieurs indiscrets, en empêchant, ou du moins,en retardant au maximum, la prise de connaissance des informations qui nous sont strictement personnelles et confidentielles, et ce, même si ces données circulent librement dans les réseaux de l'information. Dés lors qu'on transpose cette réalité au monde du commerce, l'objectif, est de rendre les informations confidentielles, dites "sensibles", comme la comptabilité, les données des ressources humaines, les projets en cours ou à venir, etc…le cryptage des données devient une pratique capitale pour le maintien et la survie de la société. Imaginons un seul instant, que la formule d'un "précieux" parfum venait à tomber dans les mains d’une entreprise concurrente. Catastrophique, n'est ce pas? Le cryptage trouve aussi sa place, dans le cadre de la sécurité des communications circulant sur un réseau non sécurisé. Exemple: Sonia désire envoyer un message à Angelo tout en voulant être sûre qu'Angelo sera le seul à pouvoir le lire. Sonia va crypter le message avec une clé de cryptage. Une fois ce message crypté elle l'envoie, à Angelo, qui le décryptera avec sa clé de décryptage et pourra donc, lire le message tout à Page 34/162 fait normalement. La question qui émane rapidement est de savoir comment Angelo connaît la clé de décryptage du message envoyé par Sonia? Est-ce Sonia qui lui a donné? Certainement, mais comment être sur que seul Angelo la connaît? Regardons ensemble les mécanismes qui permettent de répondre à ces Techniques de Cryptographie. La cryptologie, est la science qui régit la cryptographie, et elle est essentiellement basée sur l'arithmétique. Ainsi si nous prenons comme exemple un texte, son cryptage, consiste à transformer les lettres qui le composent (le message), en une succession de chiffres sous forme de bits13, pour permettre le fonctionnement binaire des ordinateurs, et ensuite, faire des calculs sur ces chiffres, pour deux raisons: - Pour modifier le message et le rendre incompréhensible. Le résultat de cette action est appelé cryptogramme (le message chiffré). - Faire en sorte que le destinataire puisse le déchiffrer en utilisant les outils préétablis dans le protocole de communication, qui peuvent être joints aux données. Le fait de coder un message, de façon à le rendre secret, s'appelle le chiffrement. La méthode inverse, consistant à retrouver le message original, est appelée, le déchiffrement. Canal de communication Figure 15-Cryptogramme Le chiffrement, est fait à l'aide de la clef de chiffrement, le déchiffrement, l’est, avec une clef de déchiffrement. 13 -Unité binaire de quantité d'information qui peut représenter deux valeurs distinctes, 0 ou 1. Page 35/162 Nous distinguons généralement, deux types de clés: 1 - Les clés symétriques: Des clés identiques sont utilisées, à la fois, pour le chiffrement et pour le déchiffrement. Il s'agit du chiffrement symétrique ou de chiffrement à clé secrète (Cryptographie à clé privée). 2 - Les clés asymétriques: Des clés différentes sont utilisées, pour le chiffrement et le déchiffrement. Il s'agit du chiffrement asymétrique (Cryptographie à clé publique). La cryptographie quantique, système de sécurisation basé sur la polarisation des photons, est apparue dans les années soixante-dix. Technique complètement différente des crypto-systèmes à clé, compte tenu, qu'elle fonctionne sur des propriétés physiques intrinsèques au système. 3.3 3.3.1 CHIFFREMENT Chiffrement à clé secrète Le chiffrement à clé symétrique, aussi appelé chiffrement à clé privée ou chiffrement à clé secrète, est basé sur l'utilisation de la même clé pour le chiffrement et le déchiffrement. Pour que Sonia puisse envoyer un message chiffré à Angelo, et que celui-ci puisse le déchiffrer et, le lire par la suite, un échange de clé privée doit être effectué auparavant. Cet échange comporte des risques, non négligeables, d'interception de la clé privée. Cette clé peut être utilisée pour l'échange de plusieurs messages et dans ce cas, le facteur confiance en l'utilisateur devient un élément capital de l'intégrité des échanges. Ou bien, la clé de chiffrement, peut être modifiée à chaque échange. Si cette deuxième solution est retenue, il reste le problème de la gestion des clés; car le nombre total de clés augmente beaucoup plus rapidement que celui des protagonistes. Figure 16-Chiffrement à clé privée Page 36/162 Les travaux de Gilbert Vernam et Joseph Marlogne dans les années 20, mettent au point la méthode du masque jetable (one time pad), basée sur une clé privée générée aléatoirement, et utilisée une seule fois puis, détruite. Pour la petite histoire, à noter que les communications entre la Maison Blanche et le Kremlin étaient cryptées, par une clé privée, selon la méthode du "masque jetable". La valise diplomatique était le moyen d'échange des clés, jouant ainsi le rôle de canal sécurisé. L’intérêt d’un tel système de chiffrement, est sérieusement remis en cause par Claude Shannon (années 80) en démontrant, que, pour être totalement sûr, les systèmes à clé privée, doivent utiliser les clés d’une longueur au moins, égale à celle du message à chiffrer, et bien sur, un tel système de chiffrement impose l'existence d'un canal sécurisé pour l’échange de la clé, ce qui dégrade sérieusement les communications et les échanges réseau. Le D.E.S. (Data Encryption Standard) peut être cité, comme exemple de chiffrement à clé secrète. 3.3.1.1 D.E.S. (Data Encryption Standard) Le N.B.S. (National Bureau of Standards) a lancé un appel dans le Federal Register (début des années 70) pour la création d’un algorithme de cryptage répondant à critères très particuliers, à savoir : 1 - Ayant un haut niveau de sécurité lié à une clé. 2 - Compréhensible. 3 - Indépendant de la confidentialité de l’algorithme. 4 - Adaptable et économique. 5 - Efficace et exportable. Quatre ans plus tard, I.B.M. propose une solution baptisée Lucifer. Avec le concours de la N.S.A.14, Lucifer est modifié, pour donner naissance à D.E.S.. Standard de Cryptage de Données (Data Encryption Standard) le 23 novembre 1976. En 1978 le DES est finalement approuvé par le N.B.S. et depuis, utilisé pour la cryptographie et l’authentification de données. Il a été jugé extrêmement difficile à percer, à tel point, qu'il finit par être adopté par le Ministère de la Défense des Etats-Unis qui le contrôlé par la suite. Les chercheurs d’I.B.M. ont pensé et développé D.E.S. dans le but de répondre à la demande des banques en matière de chiffrement des données. I.B.M. a donc créé, des processeurs dédiés implantés directement en machine, capables de crypter et de décrypter rapidement des données avec cet 14 -National Security Agency. Page 37/162 algorithme. D.E.S. a été étudié intensivement depuis, et il est devenu l’algorithme le mieux connu et le plus utilisé dans le monde, à ce jour. Nonobstant la robustesse de D.E.S. une grande partie des entreprises, préfère utiliser le "triple-D.E.S.". Le "triple-D.E.S." n’est plus, ni moins, que l’algorithme D.E.S. appliqué trois fois, avec trois clés privées différentes. Schéma représentant l'algorithme D.E.S.: Figure 17-Schéma représentant l'algorithme D.E.S. Sources: http://bobbyseb.free.fr/ 3.3.2 Chiffrement a clé publique P.K.C. (Public Key Cryptosystem) Moins performant que le D.E.S., certes, le P.K.C. (Public Key Cryptosystem) élimine le problème de l’échange des clés, compte tenu de l'utilisation à la fois d'une clé de chiffrage publique, transmise sans cryptage, et d'une clé de déchiffrage privé, qui n’est accessible qu’au destinataire du message. Ce procédé, permet de résoudre le problème de confidentialité de la transmission, tout en authentifiant l’émetteur du message. Page 38/162 Il est possible d'affirmer qu'il s'agit d’une signature électronique, qui va permettre la réalisation de transactions commerciales, sur un réseau publique comme Internet. L'authentification mise en œuvre par les cartes bancaires à puce, est basée sur ce principe, l'individu possédant une carte de ce type est authentifié par le couple: - Carte à puce. - Code secret. Schéma fonctionnel, simplifié, d'une infrastructure PKI: Service de publication certificats Autorité de Certification Autorité d'Enregistrement Autorité de séquestre Autorité(s) de Validation Serveur de licences demandes certificats retirer les certificats renouveler révoquer recouvrement de clés Vérification de validité des certificats et des signatures Utilisateur s internes Internet Intranet Clients Figure 18-Schéma fonctionnel simplifié, d'une P.K. Page 39/162 Serveurs applicatifs Whitfield Diffie et Martin Hellman, chercheurs à l’Université de Stanford, introduisent en 1976, le concept de clé publique, dans le monde de la cryptologie. Partant du principe que seul le destinataire du message à déchiffrer doit posséder la clé de déchiffrement, le chiffrement du message par l'expéditeur peut être exécuté par une clé connue de tout le monde, (la clé publique) à condition, que la clé publique, ne permette pas de réduire la valeur de la clé secrète. De ce fait, pouvoir déchiffrer un message, apporte la preuve que le destinataire est en possession de la clé privée. Nous parlons alors, de Cryptographie asymétrique. Leurs travaux ralentissent, car les difficultés des deux chercheurs à proposer un véritable crypto système à clé publique, sont évidentes. Pendant ce temps, le M.I.T. (Massachusetts Institute of Technology) reprend l’idée. Diffie et Hellman publient en 1978 un procédé de chiffrement, mettant en œuvre leurs idées de base. Un premier constat: - La clé publique autorise le transport des clés conventionnelles sans avoir recours à l’existence d’un canal sécurisé pour l'échange des clés. - Un système de chiffrement peut être utilisé comme mode d’authentification. En fait, si nous reculons un peu dans l'Histoire, nous trouvons un mécanisme similaire développé dans les années 50 par l’Armée de l’Air américaine, qui consistait à identifier les appareils "amis" par leur capacité à déchiffrer un message choisi au hasard et inclus dans le signal radar. Page 40/162 Figure 19-Chiffrement à clé publique 3.3.2.1 Le système R.S.A. En 1978, naît R.S.A., algorithme à clé publique de Ron Rivest, Adi Shamir et Leonard Adelman. À l’aube de l’an 2000, il servait encore, à protéger les codes nucléaires des Armées Américaine et Soviétique. Le brevet de cet algorithme est propriété de la Société américaine R.S.A. Data Security, qui fait maintenant partie de Security Dynamics et Public Key Parteners, P.K.P. à Sunnyvale, Californie, Etats-Unis, qui possèdent les droits sur les algorithmes à clé publique en général. R.S.A. est un algorithme à clé publique qui sert aussi bien à la cryptographie de documents, qu’à leur authentification. S'agissant d'un algorithme à clé publique et étant très sûr, R.S.A. s'est imposé comme standard, dans le domaine de la cryptographie. 3.3.3 L’authentification de documents Authentifier un document, c’est être certain de l’identité de l’auteur du document en question. Cette authentification se fait en général sur un document papier et elle peut se révéler indispensable, dans le cadre d'un litige sur un contrat commercial, par exemple. L’authentification se fait toujours sur un contrat papier, par une signature manuscrite et reconnue par un tiers de confiance, un notaire en général. Dans le cadre de Page 41/162 l’authentification d’un document informatique, il est complètement impossible d'y apposer une signature manuscrite. La solution passe par l'apposition d'une signature "digitale". Comment? En cryptant avec notre clé privée nos noms, prénom et fonction ou statut au sein de l'entreprise. Ainsi pour vérifier que Sonia est bien l'auteur du document envoyé à Angelo, il suffit d'utiliser la clé publique de Sonia, pour le décryptage du document en question. Si le décryptage fonctionne, il est donc possible d'affirmer que la signature a été créée avec la clé privée de Sonia. Page 42/162 Tableau récapitulatif de la gestion des clés avec R.S.A.: Pour ... un document nous utilisons à la clé publique Envoyer crypté quelqu’un Envoyer une signature cryptée à la clé privée quelqu’un Décrypter un document la clé privée Décrypter une signature la clé publique 3.4 3.4.1 de qui ? du destinataire de l’expéditeur du destinataire de l’expéditeur CRYPTOGRAPHIE HYBRIDE P.G.P. Pretty Good Privacy P.G.P. est un crypto-système hybride, autrement dit ce crypto-système combine des fonctionnalités de la cryptographie de clé publique et de la cryptographie conventionnelle. De nos jours, la convergence entre la facilité d’utilisation du chiffrement asymétrique et la vitesse du chiffrement symétrique font de P.G.P; un crypto-système extrêmement performant et d'un niveau de sécurité absolument convenable. Le chiffrement se fait en deux étapes distinctes: 1 - La première, consiste en la création d'une clé secrète I.D.E.A.15 (International Data Encryption Algorithm) de manière aléatoire, et ensuite, l'utilisation de cette même clé pour le chiffrement des données. 2 - La deuxième étape, chiffre la clé secrète I.D.E.A. créée précédemment au moyen de la clé R.S.A. publique du destinataire de notre message. Le processus inverse est mis en œuvre pour déchiffrer le message reçu par notre destinataire. 1 - A l'aide de sa clé privée R.S.A., le destinataire déchiffre la clé secrète I.D.E.A.. 2 - Le destinataire déchiffre les données à l'aide de la clé secrète I.D.E.A. qu'il vient d'obtenir. 15 -Algorithme de chiffrement développé par X. Lai et J. Massey en Suisse au début des années 1990. Page 43/162 P.G.P. utilise une fonction de hachage lors de son mécanisme de chiffrement qui permet d'alléger considérablement le taux d'occupation d'espace disque, le temps de transfert par modem et l'occupation des réseaux L.A.N.16 et W.A.N.17. Ce mode de fonctionnement permet par ailleurs, de réduire l'exploitation par les cryptanalystes des modèles trouvés dans le texte en clair, compte tenue que la fonction de hachage réduit ces modèles dans le texte en clair, améliorant ainsi la résistance à la cryptanalyse. Figure 20-Mode de fonctionnement de P.G.P. 16 -Réseau local "Local Area Network", dont les câbles ne font pas plus que quelques centaines de mètres de long, rencontré par exemple dans les entreprises. 17 -Réseau de grande taille Wide Area Network, parfois mondial. Page 44/162 3.5 LE SCELLEMENT L'implémentation de systèmes à clé publique a permis de mettre en place des mécanismes de signature digitale. Il est alors possible de garantir, pas simplement l'intégrité des données, mais aussi son auteur. Toutefois le coût très élevé de ces algorithmes de chiffrement, rend la solution quasi prohibitive. Des mesures de contournement sont utilisées, notamment à travers l'utilisation de la fonction de scellement. Les fonctions de scellement, sont utilisées pour la vérification des informations sensibles. Exemple de fonctionnement de la fonction de scellement: Figure 21-Scellement Comparaison des forces des algorithmes: Degré de sécurité * Type Idea De type militaire Blowfish De type militaire Implémentation Vitesse 128 bit Secret partagé Rapide 256 to 448 bit Secret Très rapide partagé DES Bas 40 to 56 bit Secret partagé Rapide RSA De type militaire 2048 bit Clé publique Très lent MD5 Elevé 128 bit Message Digest Lent SHA Elevé 160 bit Message Digest Lent * dépend de la longueur de la clé, évaluée en fonction de la longueur maximale de la clé Page 45/162 3.6 LA CRYPTOGRAPHIE QUANTIQUE Existe-il un crypto-système sûr? Oui! Il existe! Comme nous l'avons déjà vu, l'échange des communications dites secrètes entre la Maison Blanche et le Kremlin sont considérés sûrs, en revanche les moyens employés sont démesurés, notamment le canal utilisé pour le transport des clés, en l'occurrence la fameuse valise diplomatique. Même si ce canal n'est pas totalement inviolable, il est convenu que les moyens mis en œuvre son considérés sûrs. Ce mécanisme de chiffrement emploi des clés aussi longues que le message ce qui pose d'énormes problèmes de transmission, de ce fait nous conviendrons que la mécanique employée est quasiment impossible à mettre en place dans le cadre de l'échange des communications "sensibles" de nos entreprises. Le jeudi, 03/06/2004, des tests effectués, dans le cadre du projet Qnet18, entre B.B.N. Technologies Cambridge, Massachusetts et l'Université de Harvard, aux Etats-Unis, laissent espérer que la cryptographie quantique pourra à court terme résoudre cette problématique. Pour le moment, et en tenant compte de l'annonce de juin2004, les chercheurs sont sur la bonne voie, sachant que Qnet, (réseau constitué de plus de deux machines) a utilisé avec succès la cryptographie quantique dans les échanges de données entre les deux institutions. Cette fois, les théorèmes mathématiques et les algorithmes ne seront plus à la base de la sécurité des données, à contrario, les lois fondamentales de la physique seront les grandes ouvrières de ce vaste chantier. La mécanique mise en route par la cryptographie quantique, est basée sur le fait que les photons prennent en charge le transport des clés "quantiques". En sachant que chaque photon peut être polarisé, c'est-à-dire, que nous pouvons imposer une direction à son champ électrique il devient possible de mettre en place un filtre polarisant, suivi d'un détecteur de photons qui nous permettrait d'établir une communication binaire entre deux machines. Voir polarisation des photons en annexe 2. 18 -Abréviation de "Quantum Net" nom du réseau qui teste la cryptographie quantique. Page 46/162 Figure 22-Filtre rectiligne "cryptographie quantique" Malgré son allure futuriste, cette nouvelle forme de cryptographie ne rencontre plus que quelques obstacles à son implémentation. D'une part, le coût très élevé des machines qui l'implémentent, et d'autre part, la portée relativement courte des échanges possibles (50 Km). Ce qui nous laisse croire que cette technologie est destinée (dans un premier temps) à des organismes gouvernementaux et éventuellement, a des organismes bancaires. Page 47/162 4 CHAPITRE 4-ORGANISATION ET PROCEDURES 4.1 INTRODUCTION Une grande majorité des ordinateurs installés dans les entreprises, sont des ordinateurs portables, au premier trimestre 2004 le marché des ordinateurs portables professionnels enregistre une croissance de 45% par rapport à la même période de l'année précédente. Une large "palette" de la population utilisatrice de ces machines utilise leur capacité de stockage (de plus en plus importante) pour le transport, le stock et la sauvegarde d’une quantité non négligeable de données. Malheureusement, les escrocs le savent. Dans les gares, dans les aéroports ou dans nos locaux de travail, les disparitions de ces équipements sont très fréquentes, et bien évidemment les données disparaissent aussi. L'objectif de ce Mémoire, et en particulier de ce chapitre, est de mettre en évidence la nécessité de crypter les données dites sensibles, contenues dans les disques durs de ces équipements. Je vais donc mettre en pratique la procédure de cryptage des données et vous expliquer les choix des outils retenus pour cette opération. Je vous parlerai des avantages et des inconvénients du cryptage des données, et, en fin de chapitre, je ferai une légère incursion dans le monde des Virus, Vers et Chevaux de Troie. 4.2 OUTILS DE CRYPTAGE La liste des produits cryptologiques est vaste (détail en annexe 5) en ce qui me concerne j'ai choisi trois produits bien précis. Les critères de choix ont été les suivants: - Simplicité d'utilisation. - Valeur d'investissement (prix à l'achat). - Qualité du produit. Je tiens à souligner qu'il s'agit d'une appréciation strictement personnelle, et cela ne doit pas mettre en cause la qualité de l'ensemble des produits du marché. A titre d'exemple et si je tiens compte de l'interview donné par Samuel Barbaud, le R.S.S.I.19 de la maison Cartier au Journal du Net le 19 19 -Responsable de la Sécurité du Système d'Information Page 48/162 décembre 2002, le cryptage intégral des disques durs de leurs PC portables se fait avec la solution d'Ultimaco Safeguard. Voici un tableau des produits retenus: Produit E. F .S. Système de Fichiers Cryptés P. G. P. Pretty Good Privacy Security Box 4.2.1 Entreprise MCROSOFT Logiciel libre développé par les utilisateurs regroupés autour du groupe de travail OpenPGP20 MSI 21 Méthodes et Solutions Informatiques E. F. S. J'ai une préférence particulière pour E.F.S. Système de Fichiers Crypté (Encrypting File System) pour le cryptage des données. E. F. S. est fourni en standard dans les Systèmes d'Exploitation de Microsoft, Windows 2000 et ultérieurs. La question est: pourquoi E. F. S.? Trois raisons sont essentiellement, à la base de ce choix: - Économiques: Le système E.F.S. est fourni en standard dans les O. S. Microsoft, donc pas d'effort financier à fournir. - Pour la simplicité d'utilisation du système: Aucun effort "administratif" de la part de l'utilisateur pour crypter ou décrypter les données qu'il manipule. - Pour sa compatibilité avec l’O. S. Microsoft. Compatible avec Windows 2000 et versions ultérieures. Une seule exigence: que le disque dur soit formaté22 au format N.T.F.S.23. 20 -Le standard OpenPGP est libre et développé par tous les utilisateurs autour du groupe de travail OpenPGP de l'IETF (Internet Engineering Task Force. 21 -MSI, éditeur spécialisé dans la sécurisation des données. 22 -Opération visant à effacer les données d'un support de stockage et le préparer à recevoir de nouvelles données. 23 -En Anglais: New Technology File System. Technologie d'archivage de l'emplacement des fichiers propre à Windows NT. Page 49/162 L'hégémonie de Microsoft sur les marchés des logiciels qui équipent les ordinateurs "clients" ne laisse pas trop de marge de choix. Mieux vaut assurer une compatibilité et une évolutivité au départ, que de passer une partie du temps à appliquer des "rustines" de correction. Part de marché de Microsoft sur l’O. S. Parts de marché des systèmes d'exploitation sur postes clients en 2002 Microsoft Windows 93,80% MacOS 2,90% Linux 2,80% Autres 0,50% 4.2.2 P.G.P. P.G.P., Pretty Good Privacy est probablement un des logiciels les plus connus dans le domaine de la protection des données, il est très souvent utilisé pour protéger le courrier électronique. P.G.P. est un logiciel de cryptage gratuit, il est proposé en libre téléchargement sur de nombreux sites. P.G.P. est disponible pour les platesformes Windows ainsi que pour, BeOS, Linux et MacOS. 4.2.2.1 Installation PGP Dès son l'installation, PGP vous demande des renseignements suivants : vos Nom et E-Mail, par la suite, il vous demandera de choisir les composants à installer, et cela, en fonction du client de messagerie que vous utilisez. En ce qui me concerne, j'installe les deux produits présents dans ma configuration, cette opération ne pose pas de problèmes de compatibilité, car vous pouvez changer à tout moment de client de messagerie sans se soucier de la compatibilité. 23 -Découper (logiquement) un disque dur en plusieurs sous unités gérées comme autant de disques plus petits. Page 50/162 Figure 23-Choix du client messagerie sous P.G.P. L'installation suit son cours, et vous propose de lancer P.G.P.Keys.. Une fois lancée, P.G.P.Keys va créer une nouvelle paire de clefs, la clef privée et la clef publique. Si l'assistant de création ne se lance pas, cliquez sur l'icône de la barre d'outils "Générer une nouvelle paire de clés". Il suffit de suivre les instructions, pour poursuivre l'installation. Pour générer votre clé privée, P.G.P.Keys vous demande de saisir une phrase "secrète", cette phrase servira à générer votre clé privée. Une barre indicatrice permet de mesurer la complexité de la phrase secrète. Il convient d'y introduire des caractères spéciaux, accentués, des chiffres etc. vous devez mémoriser impérativement cette phrase, elle vous sera indispensable pour vous servir de P.G.P.. Dans mon cas, et à titre de test, j'ai saisi la phrase suivante: Je-M'appelle-Antonio! Page 51/162 Figure 24-Saisie de phrase secrète sous P.G.P. Au cours de l'installation P.G.P., vous propose de sauvegarder les deux clés créées sous deux fichiers, secring.skr (pour la clé privée) et pubring.pkr (pour la clé publique).Il convient de les sauvegarder sur un "media" sûr, car elles vous seront d'une utilité élémentaire pour la récupération des données, dans le cas d'une panne du système. Toutefois, et cela, dans un souci de sécurité, il est primordial de garder ces fichiers en lieu sûr, car si quelqu'un les récupère, il pourra facilement déchiffrer vos documents. L'installation P.G.P.est désormais terminée. Voici en exemple de clé publique: Figure 25-Exemple Clé publique copiée dans un document .txt 4.2.3 Cryptage des données avec P.G.P. Le cryptage des données se fait à partir de la barre d'outils P.G.P.Tools une fois lancée, cette barre vous donne la possibilité de chiffrer vos données, les signer seulement, ou bien de les chiffrer et de les signer. Page 52/162 Figure 26-Barre d'outils P.G.P. Tools En cliquant sur le 2éme bouton vous lancez le processus de cryptage simple des donnés, PGP vous demande alors d'indiquer le chemin du fichier que vous voulez chiffrer et signer. Dans mon cas, il se trouve dans le dossier de test situé dans: D:\donnes\test_PGP.txt. Une fois le chemin spécifié, une nouvelle fenêtre vous permettant de sélectionner la clé publique du destinataire s'ouvrira, et à ce moment, vous aurez la possibilité de sélectionner une ou plusieurs clés (destinataires) et de choisir le type de chiffrement. Une méthode plus rapide et simple existe pourtant, en cliquant sur le document avec le bouton droit de la souris un menu contextuel s'ouvre. Un onglet PGP vous permet d'utiliser directement P.G.P. sur le document. Figure 27-Utilisation des composants de PGP à partir du menu contextuel 4.2.4 Décryptage des données avec P.G.P. Pour décrypter un fichier et cela à partir de P.G.P.Tools, cliquez sur le cinquième bouton "Décrypter & Vérifier" et indiquez l'endroit où se trouve le fichier à déchiffrer. Un nouveau message P.G.P. vous demandera où il doit stocker le document en cours de décryptage, vous lui spécifiez un chemin valide et le processus de décryptage se termine naturellement. Page 53/162 Figure 28-Barre d'outils P.G.P.Tools 4.2.5 Intégration de P.G.P. à la messagerie Une des principales vocations de P.G.P. est de s'intégrer naturellement à tout client de messagerie et ainsi proposer la sécurisation des messages échangés sur Internet à travers le courrier électronique. Cette intégration est donc automatique lors de l'installation de P.G.P. si vous avez sélectionné les clients de messagerie. Figure 29-Intégration P.G.P aux clients messagerie Une icône apparaîtra dans la barre d'outils de votre client de messagerie, ce qui vous permet d'utiliser rapidement les fonctionnalités des outils de PGP. Figure 30-Intégration de PGP au client de messagerie Il s'intègre facilement dans les nouveaux messages, ainsi après avoir rédigé votre message comme d'habitude, avant de l'envoyer vous pouvez cliquer Page 54/162 sur le bouton "Chiffrer & Signer", un cadenas et un cachet s'affichent à côté des champs A et Cc. Il ne vous reste plus qu'à cliquer sur envoyer et P.G.P. s'ouvre pour chiffrer votre mail de la même façon que décrite précédemment. Une fois cette manipulation terminée, votre mail est codé et incompréhensible pour les personnes qui veulent le lire sans déchiffrement préalable. En résumé, P.G.P. est un logiciel de cryptage très puissant, gratuit et d’utilisation simple. 4.3 SECURYTY BOX Security BOX est un logiciel cryptographique considéré par son éditeur comme le "coffre fort" personnel, en ce qui concerne le cryptage des données. Dans le cadre professionnel l'offre Security BOX Business Solutions de la société M. S. I comporte une suite logicielle de sécurisation des postes de travail qui va du simple cryptage des donnés à la connexion V.P.N.. Voici les détails de l’offre: Chiffrement de fichiers et répertoires, signature électronique, effacement irréversible Confidentialité, authentification et non Security BOX Mail répudiation des e-mails Protection des échanges via réseaux publics Security BOX VPN ou privés Security BOX Manager Administration des utilisateurs Security BOX Security BOX File Le module, Security BOX Safe Extension, permet le partage de fichiers sensibles sur un serveur, à destination de plusieurs collaborateurs, dans le cadre du travail collaboratif. Page 55/162 Voici les détails de l’offre: - Permet de chiffrer des fichiers vers plusieurs correspondants, simultanément. - Signature électronique. Security BOX Sign - Donne la possibilité d'ouvrir à chaque fois le fichier avant de le signer. - Implémente le protocole L2TP et l'algorithme AES 256 bits y est maintenant actif. Il permet Security BOX VPN une renégociation automatique des tunnels, avant leur expiration évitant ainsi de remonter un tunnel à chaque expiration. Security BOX File Ces offres, sous forme de PACKS, essentiellement portées par le réseau de partenaires de Finmatica-MSI (CapSynergy, Axipe Integralis, Nexus, Arche, Ipelium, VolProtect, etc.) permettront aux P.M.E. et P.M.I. de bénéficier de solutions de sécurité flexibles, d’un service associé pour le déploiement et d’une assistance leur garantissant un service complet pendant un an, les libérant ainsi de toute problématique structurelle et/ou humaine. PACK 10 PACK 25 PACK 50 1 an de maintenance évolutive niveau Emeraude. 1 journée d’assistance technique pour déployer la solution. 1 Security BOX® Manager V5. Entreprise 1 an de maintenance évolutive niveau Emeraude. 1 journée d’assistance technique pour déployer la solution. 1 Security BOX® Manager V5. Entreprise 1 an de maintenance évolutive niveau Emeraude; 1 journée d’assistance technique pour déployer la solution. Entreprise Je n'ai pas d’informations officielles sur les tarifs pratiqués par M.S.I. malgré cela d’après mes dernières recherches le prix de "départ" (PACK Entreprise 10) démarrerait aux alentours de 2 930€. Dans sa version Freeware24, Security BOX peut se révéler très utile pour un usage privé. La protection des données est assurée à travers le cryptage de celles-ci. De plus, son utilisation permet de compresser les données, il est très utile dans le cadre du transfert des fichiers ou de données à travers les réseaux, ou par mail. 24 -Par le terme "freeware" (appelé également "graticiel" ou "gratuiciel" en français) est désigné un logiciel gratuit d'utilisation sous certaines restrictions et conditions (propres à chaque freeware et définies par ses auteurs). Page 56/162 4.3.1 Utilisation de Security BOX 4.3.1.1 Cryptage des données avec Security BOX. Le glisser/déposer, drag & drop,25 vous permet de crypter un fichier en faisant un glisser/déposer sur l'icône de Security BOX Freeware. Le "clic droit" de la souris vous permet d’utiliser les fonctions "crypter", qui crypte le fichier sélectionné et "crypter vers". Celle-ci vous permet de crypter n'importe quel type de fichier préalablement sélectionné. 1 - Vers une disquette : Sauvegarde du fichier chiffré directement sur la disquette. 2 - Vers destinataire de message: Insertion automatique du fichier chiffré (pièce jointe) dans un nouveau message. 3 - Vers disque ou répertoire: Sauvegarde du fichier chiffré dans un autre disque ou répertoire. 4 - Vers bureau: Crypte directement le fichier sur le bureau 5 - Vers mes documents: Crypte la sélection dans le dossier "mes documents" 25 -Action par laquelle l'utilisateur sélectionne avec le pointeur de la souris un objet à l'écran, le déplace jusqu'à une autre position en maintenant le bouton de la souris appuyé, puis le lâche. Page 57/162 A chaque fois, une fenêtre apparaît et vous demande si vous êtes certain de vouloir crypter ce fichier. En cliquant sur 'oui', une autre fenêtre s'ouvre et vous demande d'entrer le mot de passe. A la confirmation de ce dernier, le cryptage et la compression s'effectuent immédiatement. Le fichier crypté est désormais reconnaissable par l'icône Security BOX® Freeware. 4.3.1.2 Décryptage des données avec Security BOX. Le clic droit de la souris vous permet de décrypter un fichier crypté de deux manières: 1 - Ouvrir: Décrypte le fichier sélectionné et lance l'application qui y est associée. 2 - Décrypter: décrypte uniquement le fichier sélectionné. Une fenêtre apparaît alors et vous demande si vous voulez déchiffrer. En cliquant sur 'oui', le fichier se décrypte et se décompresse automatiquement. En somme, Security BOX est simple d’utilisation et d’une rapidité de traitement très intéressante, il permet de concilier cryptage avec compression, ce qui facilite l’envoi des pièces jointes cryptées sur Internet (messagerie électronique). 4.4 CRYPTAGE DES DONNES SUR DISQUE DUR Compte tenu de la grande capacité des disques durs qui équipent les ordinateurs portables, et pour simplifier les interventions à caractère Page 58/162 technique sur les machines, il est recommandé de partitionner26 les disques durs. Créer deux partitions, est l'idéal. Une première, pour héberger l'installation du Système d'Exploitation et tous les logiciels bureautiques, métier, etc…Une deuxième abriterait le "stockage" des données proprement dites. Exemple de structure d'un Disque Dur de 20 Go. Figure 31-Structure d'un Disque Dur partitionné Le fait de pouvoir compter avec une partition dédiée aux données simplifie l'utilisation pour l'utilisateur final. En ce qui concerne le cryptage des données, je préconise la création d'un nouveau dossier. Il convient de lui donner un nom assez simple, explicite et en même temps pas trop attrayant par exemple, "données". Les noms du genre "top secret" ou "confidentiel" sont à proscrire. Figure 32-Création d'un nouveau dossier 26 -"Découper" un disque dur en plusieurs sous unités gérées comme autant de disques plus petits. Page 59/162 Figure 33-Renommer le dossier "données" 4.4.1 Crypter un dossier avec E.F.S. Une fois le dossier crée et convenablement renommé, cliquez avec le bouton droit de la souris sur le dossier à crypter et choisissez Propriétés. Dans l'onglet Général, cliquez sur Avancé… Activez la case à cocher Crypter le contenu pour sécuriser les données et cliquez sur OK. Page 60/162 Dans la boîte de dialogue Propriétés, cliquez sur Appliquer. Confirmer les modifications des attributs et appliquez-les au dossier en question et tous les sous-dossiers et fichiers. Page 61/162 Une fenêtre de l'état d'avancement de l'application des attributs doit apparaître. Une fois les attributs correctement appliqués vous constaterez que le nom du dossier change de couleur, ça permet d'identifier plus facilement les dossiers ou les fichiers cryptés. Désormais, nous disposons d'un dossier capable d'abriter les données sensibles. J'attire votre attention sur le fait que le paramétrage décrit, a été fait sous un environnement de test Windows XP. Sous Windows 2000 on obtient des fenêtres légèrement différentes, toutefois, la procédure reste strictement identique 4.4.2 Décrypter les dossier avec EFS Pour décrypter un dossier, il suffit de suivre exactement la même procedure, en désactivant la case à cocher "Crypter le contenu pour securiser les données". Page 62/162 4.4.3 Avantages Hormis le fait d'obtenir une sorte de coffre-fort qui n'est accessible que par l'utilisateur authentifié auprès de la machine, le fait de crypter les données sur le disque dur, constitue un élément majeur vers l'intégrité et la confidentialité des données embarquées. 4.4.3.1 Récupération des données E.F.S. permet la création et la mise en place d'agents de récupération de données susceptibles de décrypter les dossiers et les fichiers lorsque le créateur original n'est pas en mesure de le faire. 4.4.3.2 Partage des fichiers cryptés La possibilité de partager des fichiers cryptés reste une fonctionnalité très intéressante, cependant, le paramétrage et l'échange de clefs restent assez complexes. 4.4.3.3 Cryptage des fichiers temporaires En temps normal, les fichiers temporaires ne sont pas cryptés, ce qui constitue un point faible en ce qui concerne la sécurité des données. Avec le Système de Fichiers Cryptés la question ne se pose pas compte tenu, que même les fichiers temporaires seront cryptés. 4.4.4 Inconvénients Protéger sa vie privée ainsi que les données professionnelles ne doit pas être considéré comme une corvée. Mais le cryptage est très souvent assimilé à une perte de temps, j'entends par là, temps nécessaire au cryptage des Page 63/162 fichiers qui se calcule en général en quelques secondes. Il s'agit là d'une idée reçue, car une fois le dossier marqué pour le"Crypter le contenu pour securiser les données" aucun effort administratif de la part de l'utilisateur n'est necessaire. Autrement dit, un simple cliquer-deposer, suffit à crypter et à décrypter un fichier, donc pas de perte de temps, pas d'inconvenients, tout simplement. 4.5 LES VIRUS "VIRUS, VERS ET CHEVAUX DE TROIE" En Médecine, le virus est défini comme un agent microscopique, parfois pathogène, pouvant infecter une cellule. Fred Cohen a utilisé ce terme dans sa thèse publiée en 1985, dans le cadre de ses travaux et expériences de sécurité informatique à l'Université du Sud de la Californie, il décrit les Virus comme étant "des programmes informatiques capables d'infecter d'autres programmes en les modifiant afin d'y intégrer une copie d’euxmêmes, qui auraient pu légèrement évoluer". La similitude avec son "frère biologique" est évidente, la capacité de reproduction et d’infection de l’environnement qu’il utilise, généralement à l'insu des utilisateurs, ainsi que les fonctions destructrices justifient ce rapprochement. Cependant, un virus ne pourra pas se propager dans un environnement informatique sans l’aide de l’utilisateur. Autrement dit, un programme infecté doit être exécuté, pour que le virus soit activé. Il y a d'autres programmes dangereux que l'on confond très souvent avec les virus, je pense très exactement aux Vers27, Chevaux de Troie28 et Bombes Logiques29. A la différence des virus, ces programmes ne possèdent pas la capacité de se multiplier sur le système infecté. Mais certains d’entre eux, sont parfois paramétrés pour accomplir automatiquement des opérations potentiellement dangereuses. 27 -Programmes capables de se répliquer à travers les terminaux connectés à un réseau, et d’exécuter un certain nombre d'actions susceptibles de porter atteinte à l’intégrité des systèmes d’exploitation. 28 -Programme qui, introduit dans une séquence d'instructions normales, prend l'apparence d'un programme valide. Mais il contient en réalité une fonction illicite cachée, grâce à laquelle les mécanismes de sécurité du système informatique sont contournés, ce qui permet la pénétration par effraction dans des fichiers pour les consulter, les modifier ou les détruire. 29 Sont appelés bombes logiques les dispositifs programmés dont le déclenchement s`effectue à un moment déterminé en exploitant la date du système, le lancement d`une commande, ou n`importe quel appel au système. Page 64/162 De ce fait, la simple visualisation automatique d'un e-mail dans une machine non protégée par un anti virus, peut déclencher l’ouverture du programme malveillant. Voici un tableau récapitulatif des principales causes de perte de données: Figure 34-Tableau récapitulatif des principales causes de perte des données Source: On Track30 4.5.1 Les différentes familles de virus 4.5.1.1 Virus Système Appelés virus de boot, ou de zone de démarrage, les Virus Système infectent la zone de Boot31 (amorce) d'un disque dur ou d'une disquette. L’objectif de ce type de Virus est de modifier le contenu de la zone de Boot par son propre code, et bien entendu, être exécuté en priorité, au moment du démarrage de la machine infectée. La suite n’est pas difficile à deviner, le Virus déplace le code original de la zone d'amorçage vers une autre partie du disque dur, et contamine par la suite toutes les disquettes ou supports amovibles insérés dans l'ordinateur. Michel Angelo, reste le plus célèbre des Virus Système, il est apparu en 1992 à la date anniversaire de l'artiste homonyme de la Renaissance. 4.5.1.2 Virus de Programmes Aussi appelés Virus de fichier ou encore Virus parasites, ils infectent essentiellement les fichiers exécutables et les fichiers system. La 30 31 On Track-société spécialisée dans la récupération des données sur disque dur. Zone de démarrage d'un disque ou d'une disquette. Page 65/162 modification de l’ordre des opérations à l’exécution des fichiers infectés, leur permet de se placer en premier au moment de l’exécution de ceux-ci, et ainsi s’activer au lancement du fichier infecté. 4.5.1.3 Virus Polymorphes Les virus polymorphes ont la capacité de modifier leur propre code au moment de la "reproduction", et ils peuvent par la même occasion, modifier l'ordre d'exécution de ses instructions, en rajouter ou la supprimer. Cette particularité les rend plus difficilement détectables par l'antivirus, compte tenu que chaque copie est différente de la précédente. Étant donné que la majorité des antivirus se référent à une base de signatures de virus, les versions ainsi obtenues ne figurent pas dans ces bases, d’où, la difficulté à détecter les postes infectés. 4.5.1.4 Virus Furtifs Ce type de Virus tente de se camoufler en se faisant passer pour un fichier sain et ainsi déjouer la surveillance des Antivirus et des utilisateurs. 4.5.1.5 Virus Multiforme Il s'agit de Virus utilisant à la fois la technique des Virus Polymorphes et la technique des Virus Furtifs 4.5.1.6 Macros Virus Visant particulièrement les produits Microsoft, les Macros Virus vont se loger auprès des macro-commandes utilisées par les applications dans le but d'automatiser un certain nombre de tâches, comme la sauvegarde d'un fichier, par exemple. 4.5.1.7 Virus Scripts Ces virus utilisent les différents langages de scripts qui permettent de contrôler l'environnement d'un logiciel. Les plus courants sont: Javascript de Sun Microsystems et VB (Visual Basic) Script de Microsoft. Dérivé du VBA. Internet et la messagerie constituent le principal facteur de propagation. Page 66/162 4.5.2 L'Antivirus Le développement des attaques de type virus sont quotidiennes et permanentes, ne pas avoir d'antivirus et à moindre échelle ne pas faire ses mises à jour, au moins une fois par semaine, se révèle une pratique insouciante. 4.5.3 Le Pare-feu Le pare-feu32 Firewall, associé à un antivirus, protège les machines contre toute tentative d'intrusion : d'un Cheval de Troie et autres SpyWares33. Il est donc recommandé d'installer un Pare-feu dans le but de garantir la confidentialité et l’intégrité du contenu du disque dur. Marché des solutions antivirus et de détection d'intrusion: Voici à titre d'exemple, les parts de marché des éditeurs de solutions d'antivirus et de détection d'intrusion dans le monde: Parts de marché des éditeurs de solutions d'antivirus dans le monde en 2001 Symantec 32,4% Network Associates 26,4% Trend Micro 14,2% Computer Associates 4,9% Sophos 2,5% Sybari Software 1,8% Panda Software 1,7% F-Secure 1,3% 32 -Barrière permettant d'isoler un ordinateur d'un réseau sans le débrancher complètement du réseau 33 -Logiciel qui transmet des informations généralement à des annonceurs publicitaires sur l'utilisateur ou sur ses habitudes sans son autorisation. Page 67/162 Parts de marché des éditeurs de systèmes de détection d'intrusion dans le monde: Parts de marché des éditeurs de systèmes de détection d'intrusion dans le monde en 2002 I.S.S. Cisco Symantec Enterasys Autres 22% 18% 13% 7% 40% Par ailleurs l'I.D.C. a dressé un bilan et des perspectives pour la période de 2001 à 2007. Voici le revenus enregistrés en 2002 s'élèvent à 753,1 millions d'euros. Répartition de ces revenus par catégories: Solutions logicielles 39,2 % Solutions appliances 10,4 % Services professionnels 50,4 % autour de la sécurité Source I.D.C. Figure 35-Évolution des revenus des produits et services Source I.D.C. Page 68/162 Figure 36-Positionnement des principaux acteurs de la sécurité Source I.D.C. AV-Comparatives a réalisé des tests sur les principaux logiciels antivirus du marché actuel (voir annexe 6). 4.5.4 Viguard Il n'est pas mon intention de promouvoir un produit en particulier, bien au contraire, je me limite simplement à mettre en évidence les intérêts d'une solution par rapport à une autre. De ce fait, il me semble opportun de regarder de plus près la solution proposée par l'éditeur TEGAM International34. De par son architecture et son mode de fonctionnement la 34 -TEGAM International est éditeur du Pack Sécurité VIGUARD, logiciel de protection antivirale. Page 69/162 solution antivirale (VIGUARD) offre une protection antivirus basée sur une certification des éléments sains à l'installation du produit, contrairement aux antivirus conventionnels, qui fonctionnent sur la base des mises à jour des bases de signatures spécifiques à chaque virus. Autrement dit Viguard scrute toute activité suspecte et arrête les actions à comportement viral, sans avoir à connaître au préalable la définition du virus concerné. Dans le cadre des solutions mobiles (ordinateurs portables), souvent en déplacement, l'abstraction de la notion de mise à jour me semble extrêmement intéressante. Les avantages: 1 - Pas de base de signatures, donc pas de mises à jour de signatures à effectuer. 2 - Pas d’interruption de la protection jusqu’au moment où arrive la nouvelle mise à jour. Voici un tableau des fonctionnalités du Pack Sécurité ViGUARD version 10: Les versions Fonctionnalités Perso Pro Réseau 1. Protection permanente contre les virus connus et inconnus (virus de Boot, d'exécutables, de macros, vers), les scripts et les chevaux de Troie, sans mises à jour de signatures. X X X 2. Protection contre la modification d'exécutables, sauf par les programmes certifiés. X X X 3. Algorithme de certification RSA Data Security MD5. X X X 4. NetTrap : Filtrage paramétrable téléchargements et de pièces jointes. X X X 5. Analyse des fichiers compressés. X X X 6. Rapport détaillé sur chaque alerte. X X X 7. Protection contre les ouvertures de ports non autorisées. X X X Page 70/162 des 8. Possibilité d'exclure des répertoires de la vérification. X X X 9. Protection contre l'ajout de module au démarrage du système. X X X 10. ViStartup : gestion des modules de démarrage du système. X X 11. ViRepair : réparation automatique des fichiers importants. X X 12. AntiSpy : audit des programmes se connectant à Internet et analyse des Paquets. X X 13. FileWall : Limitation d'accès / exécution / modification / suppression de fichiers à certains programmes et/ou utilisateurs. Interdiction d'installation de logiciels non autorisés. Interdiction d'exécution de fichiers provenant de disquettes ou CD. X X 14. Vérifications automatiques programmables. X X 15. Protection de la configuration par mot de passe. X X 16. Console d'administration centralisée: déploiement, paramétrage, gestion des alertes et de la quarantaine. X 17. Remontée des alertes vers le serveur, y compris pour les postes nomades, lors de la reconnexion au réseau. X 18. Niveau de sécurité personnalisable par groupes d'utilisateurs. X 19. Génération et stockage de disquettes de secours sur le serveur. X 20. Base de certifications centralisée sur le serveur. X Figure 37-Tableau des fonctionnalités du Pack Sécurité ViGUARD Source: www.viguard.com Page 71/162 5 CHAPITRE 5-SAUVEGARDES DES DONNEES 5.1 SAUVEGARDES DES DONNEES Partant du principe que les sauvegardes des données se font dans le cadre d'un environnement client serveur, autrement dit que la sauvegarde des données d'un ordinateur portable se fait à travers un réseau local (au minimum) vers un serveur de fichiers destiné à cet effet. J'ai cherché dans le monde des éditeurs une solution capable de procéder à une sauvegarde automatique, fiable et transparente pour l'utilisateur. Beaucoup de solutions se présentent après une courte recherche sur la "toile" du net, cependant suite à une analyse de ces différentes solutions j'ai sélectionné deux logiciels de sauvegarde automatique. Critères de sélection: 1 - Facilité de mise en œuvre (installation et paramétrage). 2 - Pérennité de la solution. 3 - Prix. Je vais donc vous présenter les deux outils que j'ai sélectionnés pour la synchronisation des données avec le serveur de fichier, à savoir Idem et Second Copy Mise en place d'outils de sauvegarde automatique sur serveur des fichiers 5.1.1 Idem La fonction d'Idem est de synchroniser des fichiers Windows ou Macintosh sur les serveurs Windows NT/2000/XP. Idem automatise la synchronisation en comparant les dossiers et sous-dossier et synchronise à intervalles réguliers le dossier source avec le dossier de sauvegardes. Très facile à paramétrer il exécute des sauvegardes de façon automatique ce qui facilite la tâche de l'utilisateur. Principales caractéristiques (données éditeur) en annexe 7. Capture d'écran paramétrage Idem: Sources: http://peccatte.karefil.com/Software/Idem/idemhelpeng.htm Page 72/162 Figure 38-Paramétrage Idem Prix annoncé sur le site de l'éditeur le 23 janvier 2005. Pack 5 licences 450 € Pack 10 licences 800 € Figure 39-Tableau récapitulatif des prix des licences Idem 5.1.2 Second Copy D'une manière générale Second copy présente les mêmes caractéristique qu'Idem. Cependant je le considère plus complet, car il permet un paramétrage plus précis et complet que le logiciel que nous venons de voir. 5.1.2.1 Paramétrage de Second Copy Une fois installé, il suffira de lancer l'interface de configuration à partir de la petite icône qui se trouve sur la barre des tâches Page 73/162 Voici la fenêtre de départ: Le mode de fonctionnement de Second Copy est basé sur des profils. Pour créer un profil dans la fenêtre principale, cliquez sur File puis New Profile…et la fenêtre de paramétrage du profil, proprement dit, apparaît comme dans la capture d'écran suivant. A ce stade, nous allons procéder à une configuration personnalisée. Pour cela nous sélectionnons la case à cocher Custom setup et nous cliquons sur Next>. Nous voilà dans la fenêtre qui nous permet de sélectionner le dossier source, plus précisément le dossier à sauvegarder. Page 74/162 Dans mon cas précis, et dans le but de créer une sauvegarde du travail de rédaction de mon Mémoire, dans le dossier Mes documents, j'ai crée un sous-dossier destiné à recevoir l'ensemble des données concernant le Mémoire, et je l'ai nommé ESSEC. Le dossier ESSEC devient donc mon dossier source. Pour simplifier la recherche j'ai cliqué sur Browser je parcours l'arborescence et je retrouve mon dossier sur la partition D:\ de mon disque dur. Je sélectionne donc le dossier ESSEC et je clique sur OK. Le dossier source spécifié, je clique sur Next>. La fenêtre suivante me permet de préciser si je souhaite synchroniser l'ensemble des dossiers et fichiers, ou bien, un fichier ou un dossier précis. Je souhaite synchroniser l'ensemble du contenu du dossier ESSEC je sélectionne donc All files and folders et je clique Next>. Page 75/162 A ce stade je dois spécifier le "media" de destination, dans mon exemple, je vais stocker le dossier de sauvegarde dans une autre machine qui fait office de serveur. Cette machine s'appelle Ro et le dossier de destination je vais l'appeler ESSEC pour une question de cohérence entre le contenant et le contenu. La phase suivante est destinée à paramétrer un ensemble de paramètres, comme la fréquence des sauvegardes, la sélection des options de sauvegarde au démarrage et/ou l'arrêt de l'ordinateur si nécessaire. En ce qui me concerne, je choisi de sauvegarder les données au démarrage et à l'arrêt du PC. En temps normal de travail je choisi une fréquence de synchronisation de deux heures. Page 76/162 Je clique sur Next> et une nouvelle fenêtre me permet de choisir le type de sauvegarde. Différentes possibilités s'offrent à notre profil de synchronisation, de la copie simple à la synchronisation des modifications apportées aux fichiers en passant par la compression des données, pour ma part une copie simple me semble suffisante. Je sélectionne la fonction qui m'intéresse, je clique sur Next> et le paramétrage est terminé. Mon utilitaire de sauvegardes est désormais opérationnel. Dans cet exemple j'ai paramétré la sauvegarde d'un dossier "source" sur un ordinateur portable vers un dossier "cible" stocké sur un serveur ou, plus précisément sur un ordinateur faisant office de serveur, cependant rien Page 77/162 n'empêche de créer une sauvegarde sur la même machine, sur le même disque dur ou sur un media différent. 5.1.2.2 Prix des licences Second Copy Voici un tableau récapitulatif des prix des licences proposés par l'éditeur. Prix annoncé sur le site de l'éditeur au 23 janvier 2005 en Dollars US. Nombre de licences Prix en dollars US %réduction/nombre de licences 1 $29.95 5 $119.95 20% 25 $539.95 28% 50 $899.95 40% 100 $1,199.95 60% 250 $1,799.9 76% Figure 40-Tableau récapitulatif des prix des licences Second Copy Sources: www.centered.com 5.2 OUTILS PERTINENTS Il est évident que la recherche et le développement de nouvelles solutions ne s'arrête pas et il n'est pas impossible qu'à l'heure ou j'écris ces lignes la solution "miracle" vienne d'être découverte, en attendant, des solutions très intéressantes existent déjà et je pense particulièrement à Norton Ghost 9.0, entre autres, solution de sauvegarde et de restauration de PC éditée par la société Symantec. 5.3 AVANTAGES Sauvegarder des centaines d'heures de travail ou des données d'une importance stratégique ou financière, susceptibles de mettre en cause la survie de votre entreprise ne peut avoir que des avantages. Certes sauvegarde rime avec perte de temps mais si votre ordinateur portable venait à disparaître? Comment peut-on calculer la perte de temps? Pour finir, je soulève deux questions qui peuvent résumer l'importance de procéder à des sauvegardes des données Quelle est la valeur que représentent, pour vous ou pour votre société, les données contenues dans le disque dur? Page 78/162 Face à un incident majeur avons-nous la possibilité de récupérer les données? Et dans quels délais? Page 79/162 CONCLUSION Arrivé au terme de ce Mémoire, les technologies de l'information ne cessent de croître. De ce fait des nouveaux produits font éruption sur le marché de la technologie. Bien évidemment ces produits n'ont pas été abordés tout au long de mon travail je pense particulièrement à la technologie "BlackBerry®" qui fait le bonheur des cadres supérieurs de nos sociétés. Le travail de recherche que j'ai entrepris m'a permis d'évoluer sur un domaine où l'information est multiple et de toute sorte. J'ai donc appris à récolter le maximum d'information sur un sujet donné puis élaborer une synthèse en faisant en sorte de garder l'information plus pertinente. Je retiens de ce travail le fait que l'information aussi simple soit-elle renferme une valeur inestimable avec plus ou moins d'importance selon les domaines aux quels elle appartient. Il est primordial de ne pas négliger ni sous-estimer le stockage et la sauvegarde d'un si précieux enseignement. L'analyse des logiciels et des protocoles cités tout au long de ce Mémoire, ainsi que la recherche de leurs valeurs marchandes applicable aux projets informatiques, m'a permis de me plonger dans le monde de la valeur pécuniaire de la donnée. J'ai compris ainsi la volonté de mettre en place des solutions de sauvegarde comme "PC Backup" de HP dirigé par Julien LEGUEVAQUES. Je regrette simplement l'éloignement de mon employeur vis-à-vis de ce projet et par conséquence mon impossibilité de le conclure avec la mise en place et la gestion d'un projet de sécurisation des données sensibles en milieu professionnel. Je voudrai terminer avec cette citation d'Henri Poincaré35 qui m'a inspiré tout au long de ce parcours. "Le monde et la science ont leurs données propres, qui se touchent et ne se pénètrent pas. L'une, nous montre quel but nous devons viser, l'autre, le but étant donné, nous donne les moyens de l'attendre." 35 -Mathématicien français Né à Nancy en 1854 Page 80/162 RECOMMANDATIONS Dans ce chapitre j'aborderai quelques recommandations, le but étant de : 1 - Prendre conscience des proportions catastrophiques d'un certain nombre de pratiques répétitives vis-à-vis de l'utilisation des Systèmes Informatiques au quotidien. 2 - Éveiller un esprit de responsabilité. 3 - Laisser quelques éléments de réflexion, pouvant vous orienter vers une utilisation et gestion "sans stress" de votre outil informatique. Je ne prétends pas avoir la solution miracle pour la résolution de tous les incidents, le simple fait d'y prendre conscience, constitue déjà une bonne base de départ pour leur minimisation. L'ERREUR HUMAINE Selon Ontrack Data Recovery, société spécialisée dans la récupération de données, l'erreur et la négligence humaines sont des facteurs importants et sous-estimés dans les pertes de données informatiques. Les statistiques internes d'Ontrack, indiquent notamment que l'erreur humaine serait la cause de 26% des cas de perte de données. Mais ils précisent que dans la perception de ces clients, ce facteur est évalué comme étant à l'origine de seulement 11% des incidents. Ontrack révèle aussi que les pertes résultantes des attaques de virus informatiques sont également sous-estimées par ces clients. Ontrack estime à 4% les cas de pertes de données résultants des attaques de virus tandis que les sociétés l'estiment à 2% seulement. PROTECTION PHYSIQUE DE VOTRE ORDINATEUR. Sur votre lieu de travail n'oubliez pas d'attacher votre ordinateur portable. Il existe des câbles antivol de facile emploi. La mesure et plutôt dissuasive. 70% des vols d'ordinateurs ont lieu en interne (Gartner Group). Page 81/162 Figure 41-Câble antivol portable En cas d'absence prolongée, le plus sûr est de ranger votre ordinateur portable dans une armoire fermée à clé. En déplacement et en voyage soyez discret et vigilant, dans les gares et les aéroports quelques secondes suffisent pour que votre matériel disparaisse. Durant les 6 premiers mois de l'année 2004, des voyageurs pressés ont oublié 62.000 GSM, 2.900 ordinateurs portables et 1.300 assistants personnels dans les taxis de Londres. (B.B.C., août 2004). Page 82/162 6 PROTECTION LOGIQUE LES MOTS DE PASSE Pour accroître la protection de votre ordinateur, vous devez activer le mot de passe Bios36.A chaque démarrage, ce mot de passe vous sera alors demandé, il s'agit donc du seul moyen d'accéder au système d'exploitation. N'oubliez pas de créer un "bon" mot de passe de session. Ce mot de passe constitue la clé d'ouverture de votre système d'exploitation ainsi que l'accès à vos dossiers et vos fichiers. Un "bon" mot de passe doit être constitué d'au moins 8 caractères avec un mélange de lettres, chiffres et caractères spécieux. Ce mot doit être complexe et facile à retenir, une technique simple consiste en l'utilisation des premières lettres d'une phrase, exemple: Phrase: Angelo est né en 95! Mot de passe: @ene95! Ne l'écrivez jamais et ne le divulguez pas. Des études récentes montrent que 21% des personnes utilisent leur prénom ou celui de leur conjoint comme mot de passe, 15% utilisent leur date de naissance ou d'anniversaire et 15% utilisent les noms de leurs animaux... 33% des personnes utilisent leurs assistants personnels, pour y stocker leurs mots de passe et codes d'accès, 25% y enregistrent des données professionnelles sensibles, 25% des données relatives à leurs comptes bancaires. (PointSec's Survey). LES SAUVEGARDES Sauvegarder ses données en lieu sûr est primordial. Gardez à l'esprit que les matériaux qui constituent votre ordinateur ainsi que les logiciels ne sont pas infaillibles. Si vous avez la possibilité, sauvegardez vos données sur les serveurs bureautiques mis à votre disposition. En général les serveurs sont euxmêmes sauvegardés régulièrement. A défaut de mieux, sauvegardez vos données sur des medias du type Iomega ou CD, si vous avez un graveur de CD's à votre disposition. 36 -Basic Input Output System. Partie du système d'exploitation s'occupant exclusivement des entrées-sorties et de l'interface avec le hardware, dans un PC. Page 83/162 L'ANTIVIRUS L'antivirus doit être actif en permanence. Ne le désactivez pas, sous aucun prétexte. Vérifiez que les mises à jour de votre antivirus se font régulièrement, au moins une fois par semaine. Le vol d'ordinateurs portables est le second délit informatique après l'envoi de virus. (Étude CSI/FBI, Computer Security Institute/Fédéral Bureau of Investigation, sur le crime et la sécurité informatique 2003) GESTION DES DONNEES Classifier une information, nous indique sa valeur pour l'entreprise, et ainsi adapter les moyens de protection équivalents à sa "valeur". Les données doivent être classifiées sous trois critères: 1 - A usage confidentiel. 2 - A usage interne. 3 - A usage publique. Attribuez une classification dès la création d'un document et traitez-le selon sa classification. Page 84/162 BIBLIOGRAPHIE Julien LEGUEVAQUES Thèse fin Cursus MSI à l’ESSEC - Paris PC Backup. Microsoft® Press 2000 Windows 2000 server Microsoft® (Kit de Formation) Matthew Danda Microsoft® Press 2001 La Sécurité sur le Web Michel Laffitte Revue Banques Edition 2003 Sécurité des Systèmes d’Information et Maîtrise des Risques David Harley, Robert Slade et Urs E. Gattiker Campus Press® 2002 Virus Arman Danesh, Ali Mehrassa et Felix Lau, Campus Press® 2001 Sécurité PC Antivirus et Firewalls Paul Oldfield Sophos Les Virus Informatiques Démystifiés Page 85/162 WEBOGRAPHIE Club de la Sécurité des Systèmes d’Information www.clusif.asso.fr Serveur Thématique sur la Sécurité des Systèmes d’Information www.ssi.gouv.fr solutions.journaldunet.com Éditeur d’Idem peccatte.karefil.com/software/Idem/idemhelpfre.htm Éditeur Second Copy www.centered.com Éditeur Security Box www.securitybox.net/fr/product/sbox_freeware.html www.microsoft.com/france Groupe de conseil et d'étude sur les marchés des technologies de l'information.www.idc.com Page 86/162 7 GLOSSAIRE A5 Algorithme cryptographique secret utilisé dans les téléphones cellulaires européens. AES Standard de chiffrement avancé (Advanced Encryption Standard) Standard approuvé par le N.I.S.T., en général valable pour les 20 ou 30 prochaines années. AKEP Protocole d’échange de clé d’authentification (Authentication Key Exchange Protocol) Transport de clé basé sur du chiffrement symétrique permettant à deux parties d’échanger une clé privée partagée, sûr contre des adversaires passifs. Algorithme de chiffrement (encryption) Ensemble de règles mathématiques (logiques) utilisées pour le chiffrement et le déchiffrement. Algorithme symétrique (Symetric algorithm) Algorithmes conventionnels, à clé secrète, ou à clé unique; les clés de chiffrement et de déchiffrement sont identiques ou peuvent être facilement calculées l’une à partir de l’autre. Deux sous catégories existent – par bloc ou par flux. Algorithme de hachage (hash) Ensemble de règles mathématiques (logiques) utilisées dans le processus de création d’empreinte de message et la génération de clés / de signatures. ANSI Institut National de Standards Américain (American National Standards Institute) Développe des standards via divers “comités de standardisation accrédités”. Page 87/162 API Interface de programmation applicative (Application Programming).Fournit le moyen de tirer parti des fonctions du logiciel, en permettant à des produits logiciels différents d’interagir. Authentification Confirmer une identité. Autorisation Transmettre une approbation officielle, un pouvoir légal ou un droit d’accès à une entité. CA Autorité de Certification (Certificate Authority) Tiers de confiance (T.T.P.) qui crée des certificats composés d’assertions sur divers attributs, et les associe à une entité et/ ou leurs clés publiques. Canal sûr (Secure channel) Moyen de communication entre deux entités de telle façon qu’un adversaire ne puisse pas changer l’ordre, supprimer, insérer ou lire de l’information (exemples: SSL, IPsec, chuchoter dans l’oreille de quelqu’un). CAPI Crypto API l’A.P.I. de crypto de Microsoft pour les systèmes et les applications basés sur Windows. CERT Équipe d’intervention d’urgence en informatique (Computer Emergency Response Team). Bureau qui encourage la prise de conscience en matière de sécurité. C.E.R.T. fournit une assistance technique 24 heures sur 24 sur les incidents en sécurité d’ordinateurs et de réseaux. Le C.E.R.T. est situé au Software Engineering Institute dans l’université Carnegie Mellon University à Pittsburgh, PA. Certificat d’autorisation Document électronique qui prouve les droits d’accès et les privilèges de quelqu’un, et qui prouve aussi qu’il est bien ce qu’il prétend être. Page 88/162 Certificat numérique Document électronique rattaché à une clé publique par un tiers de confiance, qui fournit la preuve que la clé publique appartient à un propriétaire légitime et n’a pas été compromise. CHAP Protocole d’authentification par challenge (Challenge Authentication Protocol) Mécanisme d’authentification par mot de passe à double sens, basé sur une session. Chiffrement (Encryption) Processus consistant à déguiser un message de façon à cacher sa substance. Clés asymétriques. Paire de clés séparées mais unifiées, composée d’une clé publique et d’une clé privée. Chaque clé est à sens unique, ce qui signifie que la clé utilisée pour chiffrer des informations ne peut pas être utilisée pour déchiffrer les mêmes données. Clé privée (Private key)Composant gardé “secret” d’une paire de clés asymétriques, souvent appelé “clé de déchiffrement”. Clé publique (Public key) Composant disponible publiquement d’une paire de clés asymétriques, souvent appelé “clé de chiffrement”. Clé secrète (Secret key)“Clé privée” d’un algorithme à clé publique (ou asymétrique), ou bien “clé de session” dans les algorithmes symétriques. Clé de session (Session key) Clé secrète (symétrique) utilisée pour chiffrer chaque jeu de données dans un système de transaction. Une clé de session différente est utilisée pour chaque session de communication. Page 89/162 Cookie Fichier ou information quelconque qui est envoyé par le serveur web au client (votre browser) et qui sert à vous identifier et peut enregistrer des informations personnelles comme votre identité et votre mot de passe, votre adresse e- mail, votre numéro de carte de crédit, et d’autres informations. CRL Liste de révocation de certificat liste (Certificate Revocation List)en ligne, à jour, de certificats qui ont été émis précédemment et ne sont plus valides. Cryptanalyse L’art ou la science de transformer des textes chiffrés en données claires sans connaissance initiale de la clé utilisée lors du chiffrement. Cryptographie L’art et la science de création de messages qui sont privés, signés, non modifiés et/ ou non répudiés. Cryptosystème Système composé d’algorithmes cryptographiques, de tous les textes clairs possibles, de tous les textes chiffrés et de toutes les clés. Intégrité des données (Data integrity) une méthode assurant que l’information n’a pas été altérée par des moyens inconnus ou non autorisés. Déchiffrement Le processus transformant le texte chiffré en texte clair. DES Standard de chiffrement de données (Data Encryption Standard) Chiffre par blocs de 64 bits. Diffie- Hellman Premier algorithme à clé publique, inventé en 1976. Il utilise les logarithmes discrets sur un corps fini. Page 90/162 DSA (Digital Signature Algorithm) Algorithme de signature à clé publique proposé par le NIST pour être utilisé dans DSS. DSS Standard de signature numérique (Digital Signature Standard)Standard (FIPS) proposé par le NIST pour les signatures numériques en utilisant DSA. Filtre (Filter) Fonction, ensemble de fonctions ou combinaison de fonctions qui applique un certain nombre de transformations à son espace d’entrée, produisant en sortie un ensemble contenant seulement les éléments en entrée qui respectent certains critères. FIPS Standard de traitement de données fédéral (Federal Information Processing Standard) Standard gouvernemental américain publié par le NIST. Fonction de hachage (Hash function) Fonction de hachage à sens unique – une fonction qui produit un résumé (une empreinte) d’un message qui ne peut pas être inversé pour reproduire l’original. HTTP (HyperText Transfer Protocol) [Protocole Transfert d’hypertexte] Protocole commun utilisé pour transférer des documents entre serveurs ou d’un serveur à un client. IDEA Standard international de chiffrement de données (International Data Encryption Standard) Chiffre symétrique par blocs de 64 bits utilisant des clés de 128 bits, basé sur des opérations de mélange dans divers groupes algébriques. Considéré comme l’un des algorithmes les plus forts. Intégrité (Integrity) Assurance que les données n’ont pas été modifiées (par des personnes non autorisées) pendant le stockage ou la transmission. Page 91/162 IPSec Couche TCP/ IP de chiffrement en cours d’examen par l’IETF. ISO Organisation de standardisation internationale (International Organization for Standardization) Responsable d’une large gamme de standards, comme le modèle OSI et les relations internationales avec l’ANSI sur le X. 509. Kerberos Protocole d’authentification basé sur un tiers de confiance, développé au MIT. LDAP Protocole léger d’accès à répertoire (Lightweight Directory Access Protocol) Simple protocole qui supporte des opérations d’accès et de recherche dans des répertoires contenant des renseignements comme des noms, des numéros de téléphones, et des adresses, entre des systèmes qui seraient sinon incompatibles sur tout Internet. NAT Traducteur d’adresse réseau (Network Address Translator) RFC 1631, un routeur connectant deux réseaux ensemble; l’un désigné comme l’intérieur est adressé soit avec une adresse privée soit avec une adresse obsolète qui doit être convertie en adresse légale avant que les paquets soient envoyés à l’autre réseau (désigné comme l’extérieur). Non- répudiation Empêche le reniement d’actions ou de messages anciens. PAP Protocole d’authentification par mot de passe (Password Authentication Protocol) Protocole d’authentification qui permet à des “pairs” PPP de s’identifier l’un l’autre, n’empêche pas l’accès non autorisé mais identifie juste l’autre bout. Pare-Feu (Firewall) Ensemble de matériels et de logiciels qui protège le périmètre du réseau public / privé contre certaines attaques pour atteindre un bon degré de sécurité. Page 92/162 Password Mot de passe. Séquence de caractères ou mot qu’un sujet donne à un système pour authentification, validation ou vérification. PGP Assez bonne confidentialité (Pretty Good Privacy) Application et protocole (RFC 1991) pour le courrier électronique sécurisé et le chiffrement de fichiers développé par Phil R. Zimmermann. Diffusé gratuitement à l’origine, le code source a toujours été disponible et inspecté. PGP utilise divers algorithmes comme IDEA, RSA, DSA, MD5, SHA- 1 pour le chiffrement, l’authentification, l’intégrité des messages et la gestion de clés. PGP est basé sur le modèle de la “toile d’araignée de confiance” et est utilisé dans le monde entier. PKI Infrastructure à clé publique (Public Key Infrastructure) Système de certificats largement disponible et accessible pour obtenir la clé publique d’une entité, avec une bonne probabilité que vous ayez la “bonne” clé et qu’elle n’ait pas été révoquée. Revocation Désaveu d’un certificat ou d’une autorisation. RSA Abrégé de RSA Data Security, Inc.; ou bien ses principaux responsables – Ron Rivest, Adi Shamir et Len Aldeman; ou bien l’algorithme qu’ils ont inventé. L’algorithme RSA est utilisé pour la cryptographie à clé publique et est basé sur le fait qu’il est facile de multiplier deux grands nombres premiers mais difficile de factoriser le produit. Signature numérique (Digital signature)Identification électronique d’une personne ou chose créée par un algorithme à clé publique. Destiné à vérifier l’intégrité des données et l’identité de l’émetteur. SSO Engagement simple (Single sign- on) Une seule connexion (log- on) permet d’accéder à toutes les ressources du réseau. Page 93/162 SSL Couche de sockets sûres (Secure Socket Layer)Développé par Netscape pour fournir sécurité et confidentialité sur Internet. Supporte l’authentification du serveur et du client et assure la sécurité et l’intégrité du canal de transmission. Opère au niveau de la couche de transport et imite la “bibliothèque des sockets”, permettant d’être indépendant de l’application. Chiffre complètement le canal de communication et ne supporte pas les signatures numériques au niveau du message. Triple DES Configuration de chiffrement dans lequel l’algorithme DES est utilisé trois fois de suite avec trois clés différentes. VPN Réseau privé virtuel (Virtual Private Network) Etend des réseaux privés de l’utilisateur final à la passerelle de son choix, tel l’intranet de son entreprise, via un réseau public (Internet). Page 94/162 ESSEC MANAGEMENT EDUCATION NOM & Prénom: DA VEIGA António Date: 20 avril 2005 Directeur de Mémoire: KRIEF Serge SPÉCIALITÉ: Management des Systèmes d'Information MÉMOIRE POUR L'OBTENTION DU DIPLOME HOMOLOGUE NIVEAU II Titre: RESPONSABLE EN GESTION (SECURISATION DES DONNEES SENSIBLES, CONTENUES DANS LE DISQUE DUR DES POSTES NOMADES, D'UNE FLOTTE D'ENTREPRISE) ANNEXES ACCORD DU COMITÉ PÉDAGOGIQUE Nom: Date: Signature: ACCORD DU DIRECTEUR DE MÉMOIRE Nom: KRIEF Serge Date: Signature: Page 95/162 Page 96/162 Index des annexes ANNEXE 1 ................................................................................................101 7.1 DIFFERENTES PHASES D'AUTHENTIFICATION BIOMETRIQUE A TRAVERS L'ANALYSE DE LA MORPHOLOGIE HUMAINE .............................................101 ANNEXE 2 ................................................................................................102 7.2 CRYPTOGRAPHIE QUANTIQUE POLARISATION DES PHOTONS ..........102 ANNEXE 3 ................................................................................................103 7.3 CRYPTO API 2.0.............................................................................103 ANNEXE 4 ................................................................................................104 7.4 1. EXEMPLE D'UNE ARCHITECTURE DE TYPE CLIENT LEGER ................104 ANNEXE 5.........................................................................................105 7.5 LEGISLATION FRANÇAISE ...............................................................105 7.6 CRYPTOLOGIE ................................................................................106 7.7 LISTE DES PRODUITS CRYPTOLOGIQUES LIBRES D'UTILISATION ......110 7.8 LISTE DES ENTREPRISES : ...............................................................111 7.8.1 3COM .....................................................................................111 7.8.2 ACE TIMING..........................................................................112 7.8.3 ALCATEL ...............................................................................112 7.8.4 AQL ........................................................................................113 7.8.5 ARKOON ................................................................................113 7.8.6 AVID TECHNOLOGY............................................................113 7.8.7 BALTIMORE TECHNOLOGIES............................................114 7.8.8 BIODATA GmbH....................................................................114 7.8.9 BROKAT.................................................................................114 7.8.10 BULL ..................................................................................116 7.8.11 CANDLE France ................................................................118 Page 97/162 7.8.12 CHECK POINT Software...................................................119 7.8.13 CISCO Systems...................................................................119 7.8.14 CITRIX................................................................................120 7.8.15 COMPAQ Computer ..........................................................120 7.8.16 CONTROL DATA ...............................................................121 7.8.17 CORNUT INFORMATIQUE..............................................121 7.8.18 CRYPTOGRAM ..................................................................121 7.8.19 DATA FELLOWS ...............................................................121 7.8.20 DECROS.............................................................................121 7.8.21 E-SECUWEB ......................................................................122 7.8.22 EDELWEB S.A. ..................................................................122 7.8.23 ENFOTEC, Inc ...................................................................122 7.8.24 ENTRUST ...........................................................................122 7.8.25 ERACOM TECHNOLOGIES Australia Pty Ltd.................123 7.8.26 ERCOM ..............................................................................124 7.8.27 EXTENDED SYSTEMS FRANCE ......................................124 7.8.28 FREE SOFTWARE FOUNDATION Chapter France ........125 7.8.29 GEMPLUS..........................................................................125 7.8.30 GRETACODER DATA SYSTEMS AG................................125 7.8.31 GUARDWARE SYSTEMS...................................................126 7.8.32 HEWLETT-PACKARD France ..........................................126 7.8.33 IBM France ........................................................................126 7.8.34 INTERNET SECURITY System ..........................................134 7.8.35 ISTRI...................................................................................134 7.8.36 ITS SOLUTIONS ................................................................134 7.8.37 MATRAnet ..........................................................................135 Page 98/162 7.8.38 METHODES ET SOLUTIONS INFORMATIQUES MSI ...135 7.8.39 MICROSOFT FRANCE......................................................135 7.8.40 NEOL SA ............................................................................140 7.8.41 NETASQ .............................................................................140 7.8.42 NETSCREEN TECHNOLOGIES .......................................141 7.8.43 NETWORK ASSOCIATES France .....................................142 7.8.44 NEUROCOM......................................................................143 7.8.45 NORMAN ASA....................................................................143 7.8.46 NORTEL NETWORKS .......................................................143 7.8.47 NOVINK .............................................................................145 7.8.48 ODS NETWORKS...............................................................145 7.8.49 ORACLE.............................................................................145 7.8.50 PHILIPS Gand Electronique..............................................145 7.8.51 PREVIEW SYSTEMS..........................................................146 7.8.52 RACAL Security and Payments ..........................................146 7.8.53 RACAL-AIRTECH Ltd........................................................146 7.8.54 RAINBOW TECHNOLOGIES............................................146 7.8.55 REDCREEK COMMUNICATIONS EMCA .......................147 7.8.56 SAGEM...............................................................................147 7.8.57 SCHLUMBERGER-CP8 ....................................................147 7.8.58 SHIVA S.A. .........................................................................148 7.8.59 SISTECH ............................................................................149 7.8.60 STERLING COMMERCE...................................................149 7.8.61 SYMANTEC France ...........................................................149 7.8.62 THEISSEN SECURITY SYSTEMS AG ...............................150 7.8.63 THOMSON - CSF DETEXIS..............................................151 Page 99/162 2. 7.8.64 THOMSON - CSF...............................................................151 7.8.65 UNISYS France ..................................................................152 7.8.66 UTIMACO Software France ..............................................152 7.8.67 VPNet Technologies Inc. ....................................................153 ANNEXE 6.........................................................................................154 7.9 3. TESTS SUR LES PRINCIPAUX LOGICIELS ANTIVIRUS .........................154 ANNEXE 7.........................................................................................161 7.10 PRINCIPALES CARACTERISTIQUES IDEM (DONNEES EDITEUR):........161 Page 100/162 ANNEXE 1 7.1 DIFFERENTES PHASES D'AUTHENTIFICATION BIOMETRIQUE A TRAVERS L'ANALYSE DE LA MORPHOLOGIE HUMAINE Traits du visage: Empreintes digitales: Dessin du réseau veineux de l'œil: La voix: Source: http://biometrie.online.fr/ Page 101/162 ANNEXE 2 7.2 CRYPTOGRAPHIE QUANTIQUE POLARISATION DES PHOTONS La polarisation des photons est mesurée par un angle qui varie de 0° à 180°. Dans le protocole que nous décrivons, dû aux canadiens CH. Bennett et G.Brassard, la polarisation peut prendre 4 valeurs : 0°, 45°, 90°, 135°. Pour les photons polarisés de 0° à 90°, on parle de polarisation rectiligne, pour ceux polarisés de 45° à 135°, de polarisation diagonale: Polarisation: 0° 45° 90° Page 102/162 135° ANNEXE 3 7.3 CRYPTO API 2.0 L'interface de programmation d'application (A.P.I.) de Microsoft Cryptographie (Crypto API) fournit aux développeurs les fonctions essentielles de cryptographie et de certificat. Crypto A.P.I.1.0 prend en charge les opérations sur des clés publiques et symétriques, telles que la génération de clé, la gestion de clé, l'échange de clé, le cryptage, le décryptage, le hachage, les signatures digitales et la vérification de signatures. Crypto A.P.I.2.0 inclut cette fonctionnalité cryptographique essentielle ainsi qu'une fonctionnalité basée sur les certificats. Les développeurs peuvent utiliser les certificats avec ces opérations sur les clés et effectuer les encapsulations et le codage nécessaires à l'application des certificats dans leurs applications. Crypto A.P.I.2.0 utilise un modèle fournisseur de service dans lequel la cryptographie est fournie par des fournisseurs de service cryptographique (C.S.P.). Ce modèle autorise les développeurs à adapter facilement leurs applications aux technologies de cryptographie et aux politiques d'exportation gouvernementales en constante évolution. Page 103/162 ANNEXE 4 7.4 EXEMPLE D'UNE ARCHITECTURE DE TYPE CLIENT LEGER Source:http://www.mb2i.fr/Introduction-a-la-notion-de-Client-Leger.html Page 104/162 1. ANNEXE 5 7.5 LEGISLATION FRANÇAISE Article 28 de la loi sur la réglementation des télécommunications 90-1170 du 29 12 90, modifiée par la loi 91-648 du 11 juillet 1991, modifiée par la loi 96-659 du 26 juillet 1996 Décret n°98-101 du 24 février 1998 définissant les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie, NOR : PRMX9802599D, J.O. du 25 Février 1998 page 2911, modifié par le décret n°2002-688 du 2 mai 2002, NOR : PRMX0100130D, JO du 3 Mai 2002 page 8055 Décret n°99-199 du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d'autorisation, NOR : PRMX9903476D, J.O. Numéro 66 du 19 Mars 1999 page 4050 Décret n°99-200 du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalité préalable, NOR : PRMX9903477D, J.O. Numéro 66 du 19 Mars 1999 page 4051 Arrêté du 17 mars 1999 définissant la forme et le contenu du dossier concernant les déclarations ou demandes d'autorisation relatives aux moyens et prestations de cryptologie, NOR : PRMX9903475A, J.O. Numéro 66 du 19 Mars 1999 page 4052 Arrêté du 13 mars 1998 définissant le modèle de notification préalable par le fournisseur de l'identité des intermédiaires utilisés pour la fourniture de moyens ou prestations de cryptologie soumis à autorisation, NOR : PRMX9802732A, J.O. du 15 Mars 1998 page 3888 Décret n°98-102 du 24 février 1998 définissant les conditions dans lesquelles sont agréés les organismes gérant pour le compte d'autrui des conventions secrètes de cryptologie en application de l'article 28 de la loi n°90-1170 du 29 décembre 1990 sur la réglementation des télécommunications, NOR : PRMX9802602D, J.O. du 25 Février 1998 page 2915 Arrêté du 13 mars 1998 définissant les dispositions particulières qui peuvent être prévues dans les autorisations de fourniture d'un moyen ou d'une prestation de cryptologie, NOR : PRMX9802730A, J.O. du 15 Mars 1998 page 3888 Page 105/162 Arrêté du 13 mars 1998 fixant la forme et le contenu du dossier de demande d'agrément des organismes gérant pour le compte d'autrui des conventions secrètes, NOR : PRMX9802731A, J.O. du 15 Mars 1998 page 3888 Arrêté du 13 mars 1998 fixant la liste des organismes agréés pouvant recevoir dépôt des conventions secrètes, NOR : PRMX9802733A, J.O. du 15 Mars 1998 page 3891 Arrêté du 13 mars 1998 fixant le tarif forfaitaire pour la mise en œuvre des conventions secrètes au profit des autorités mentionnées au quatrième alinéa du II de l'article 28 de la loi n°90-1170 du 29 décembre 1990 sur la réglementation des télécommunications, NOR : PRMX9802734A, J.O. du 15 Mars 1998 page 3891 7.6 CRYPTOLOGIE La fourniture, l'utilisation, l'importation et l'exportation de la cryptologie sont réglementées en France. Les fonctions cryptologiques autres que la confidentialité sont soumises à déclaration simplifiée auprès de la DCSSI. La confidentialité est soumise soit au régime de la déclaration, soit au régime de l'autorisation. La DCSSI enregistre les déclarations et instruit les demandes d'autorisation des moyens et prestations de cryptologie conformément à la législation française et communautaire. En France, les prestations de cryptologie sont soumises à un cadre législatif ; les tableaux de synthèse suivants vous en donneront le détail. Les déclarations et demandes d'autorisation doivent faire l'objet d'un dossier déposé auprès du Direction Centrale de la Sécurité des Systèmes d'Information. Page 106/162 Tableaux de synthèse: Réglementation française en matière de fourniture, d'utilisation et d'importation de moyens de cryptologie en France. FOURNITURE IMPORTATION * LIBRE LIBRE DÉCLARATION SIMPLIFIÉE DÉCLARATION LIBRE ** DÉCLARATION LIBRE ** LIBRE AUTORISATION AUTORISATION Clé de chiffrement AUTORISÉE AUTORISATION strictement supérieure **** à 128 bits AUTORISATION Authentification Signature Intégrité Clé de chiffrement inférieure ou égale à 40 bits Clé de chiffrement strictement supérieure à 40 bits et inférieure ou égale à 128 bits Clé de chiffrement strictement supérieure à 128 bits gérée par un tiers de confiance UTILISATION LIBRE LIBRE *** * Uniquement des pays extérieurs à l'Union européenne. ** Soumise à DÉCLARATION seulement si le fournisseur ou l'importateur ne l'a pas déjà déclaré et si le moyen de cryptologie n'est pas exclusivement destiné à usage personnel. *** Un tiers de confiance est une organisation agréée par la DCSSI pour gérer les clés de chiffrement des utilisateurs. Ce tiers de confiance doit remettre les clés aux autorités judiciaires et de sécurité sur requête de leur part. **** A condition que lesdits matériels ou logiciels aient fait l'objet d'une autorisation de fourniture en vue d'une utilisation générale. Sinon, une demande d'autorisation d'utilisation personnelle doit être adressée à la DCSSI. Moyens pouvant être exemptés de contrôle quelle que soit la longueur de clé sous certaines conditions: Page 107/162 Cartes à puce personnalisées, équipements de réception de télévision de type grand public, moyens matériels ou logiciels spécialement conçus pour assurer la protection des logiciels contre la copie ou l'utilisation illicite, moyens de cryptologie utilisés dans les transactions bancaires, radiotéléphones portatifs ou mobiles destinés à l'usage civil, stations de base de radiocommunications cellulaires civiles, moyens de cryptologie accompagnant les personnalités étrangères sur invitation officielle de l'État. Page 108/162 Réglementation française en matière de contrôle à l'exportation des moyens de cryptologie TRANSFERTS INTRA COMMUNAU-TAIRES Matériel ou logiciel de cryptologie (produit grand public) remplissant toutes les conditions suivantes (article 10 du Décret 2001-1192 du 13/12/2001) : couramment à la disposition du public, vente effectuée en magasin, par correspondance, par transaction électronique, par téléphone dont la fonctionnalité cryptographique ne peut pas être modifiée facilement par l'utilisateur qui est conçu pour être installé, par l'utilisateur sans assistance ultérieure importante de la part du fournisseur. Matériel ou logiciel de cryptologie remplissant une des conditions suivantes (sauf quelques exceptions importantes **): Clé symétrique de longueur supérieure à 56 bits Clé asymétrique de longueur supérieure à 512 bits (RSA, DH,Ö) ou supérieure à 112 bits (DH sur courbe elliptique,Ö) Moyens de cryptanalyse EXPORT 7 DESTINATIONS * AUTRES DESTINATIONS PAS DE LICENCE D'EXPORTATION DÉCLARATION À LA D.C.S.S.I. PAS DE LICENCE D'EXPORTATION DÉCLARATION À LA D.C.S.S.I LICENCE GÉNÉRALE COMMUNAU TAIRE DÉCLARATI ON (C.S.S.I.). LICENCE D'EXPORTATION INDIVIDUELLE OU GLOBALE AUTORISATION (D.C.S.S.I). LICENCE D'EXPORTATION INDIVIDUELLE OU GLOBALE AUTORISATION (C.S.S.I.). * - Australie, Canada, Japon, Nouvelle Zélande, Norvège, Suisse, Etats-Unis d'Amérique; ** - moyens pouvant être exemptés de contrôle quelle que soit la longueur de clé mais sous certaines conditions: cartes à puce personnalisées,équipements de réception de télévision de type grand public, moyens matériels ou logiciels spécialement conçus pour assurer la protection des logiciels contre la copie ou l'utilisation illicite, moyens de cryptologie utilisés dans les transactions bancaires, radiotéléphones portatifs ou mobiles destinés à l'usage civil, moyens accompagnant leur utilisateur pour son utilisation personnelle. - moyens contrôlés quelle que soit la longueur de clé : produits utilisant des techniques cryptographiques pour générer un code d'"étalement de spectre" ou de saut de fréquences. 7.7 LISTE DES PRODUITS CRYPTOLOGIQUES LIBRES D'UTILISATION Selon le décret n°99-200 du 17 mars 1999, l'utilisation et l'importation de produits de chiffrement utilisant des clés de longueur inférieure ou égale à 128 bits sont libres à condition d'avoir été déclarées. Seuls figurent sur cette liste les produits pour lesquels le fournisseur a formellement donné son accord à une telle publication. Le fait qu'un produit ne soit pas référencé dans cette liste ne signifie pas que le produit n'est pas autorisé. Le référencement dans la liste ne constitue en rien une indication sur la qualité du produit ni une recommandation de la part de la DCSSI. 7.8 LISTE DES ENTREPRISES : • 3COM • ACE TIMING • ALCATEL • AQL • ARKOON • AVID TECHNOLOGY Inc • BALTIMORE TECHNOLOGIES • BIODATA GmbH • BROKAT • BULL • CANDLE France • CHECK POINT Software • CISCO Systems • CITRIX • COMPAQ Computer • CONTROL DATA • CORNUT INFORMATIQUE • CRYPTOGRAM • DATA FELLOWS • DECROS • E-SECUWEB • EDELWEB S.A. ENFOTEC, Inc • ENTRUST 7.8.1 • ERACOM TECHNOLOGIES Australia Pty Ltd • ERCOM • EXTENDED SYSTEMS FRANCE • FREE SOFTWARE FOUNDATION Chapter France • GEMPLUS • GRETACODER DATA SYSTEMS AG • GUARDWARE SYSTEMS • HEWLETT-PACKARD France • IBM France • INTERNET SECURITY System • ISTRI • ITS SOLUTIONS • MATRAnet • METHODES ET SOLUTIONS INFORMATIQUES MSI • MICROSOFT FRANCE • NEOL SA • NETASQ • NETSCREEN TECHNOLOGIES • NETWORK ASSOCIATES France • NEUROCOM NORMAN ASA • NORTEL • NETWORKS • NOVINK • ODS NETWORKS • ORACLE • PHILIPS Gand Electronique • PREVIEW SYSTEMS • RACAL Security and Payments • RACAL-AIRTECH Ltd • RAINBOW TECHNOLOGIES • REDCREEK COMMUNICATIONS EMCA • SAGEM • SCHLUMBERGERCP8 • SHIVA S.A. • SISTECH • STERLING COMMERCE • SYMANTEC France • THEISSEN SECURITY SYSTEMS AG • THOMSON - CSF DETEXIS • THOMSON - CSF • UNISYS France • UTIMACO Software France • VPNet Technologies Inc. 3COM Les Conquérants, 1, avenue de l'Atlantique, BP 965 Les Ulis, 91976 Courtaboeuf Cedex, France http://www.3com.fr/ Page 111/162 Produit Catégorie Etherlink 10/100 PCI Network Interface Card Carte de chiffrement Routeurs dédiés à la commutation de tunnels VPN de Routeur la famille PathBuilder sous EOS v11.1 et au-delà Routeurs de la famile OfficeConnect NETBuilder sous Routeur EOS v11.1 et au-delà Routeurs de la famille NETBuilder II sous EOS v11.1 Routeur et au-delà Routeurs de la famille SuperStack II NETBuilder sous Routeur EOS v11.1 et au-delà 7.8.2 ACE TIMING 17 rue Noyer, 35000 RENNES, France http://www.acetiming.com/fr/ Produit Catégorie SIS (Système d'Interconnexion Authentification + Chiffrement IP + Sécurisé) Contrôle d'accès + Firewall 7.8.3 ALCATEL Le Colisée B, 12 avenue de l'Arche, 92419 Courbevoie Cedex, France http://www.alcatel.fr/ Produit Catégorie Alcatel 7132 Secure VPN Gateway version 3.x. Tunnel chiffrant VPN Alcatel 7133 Secure VPN Gateway version 3.x. Tunnel chiffrant VPN Alcatel 7134 Secure VPN Gateway version 3.x. Tunnel chiffrant VPN Alcatel 7137 Secure VPN Gateway version 3.x. Tunnel chiffrant VPN Alcatel Secure VPN Client version 3.x. Tunnel chiffrant VPN Page 112/162 7.8.4 AQL Rue de la chataigneraie, BP 127, 35513 Cesson-Sévigné Cedex, France http://www.aql.fr/ Produit Catégorie Vickey v1.0 Chiffrement de fichiers 7.8.5 ARKOON 13 A avenue Victor Hugo, 69160 Lyon Tassin, France http://www.arkoon.fr/ Produit Catégorie SSL 3DES Gestion des clés, Administration sécurisée IPSEC 3DES Tunnel chifrant VPN, Firewall, Gestion des clés Arkoon purple Yelow, green, blue, Tunnel chiffrant VPN, Firewall Arkoon Titanium 50, 200, 500, Tunnel chiffrant VPN, Firewall 2000, 5000 7.8.6 AVID TECHNOLOGY Inc Avid Technology Park, One Park West, Tewksbury, Massachusetts 01876, Etats-Unis http://www.avid.com/ Produit Catégorie AvidProNet Review & Approval Services Logiciel de chiffrement (incluant Upload/Download Manager) MediaManager Select 1.0 Logiciel de chiffrement Avid Unity MediaNetwork 3.1 Logiciel de chiffrement Page 113/162 7.8.7 BALTIMORE TECHNOLOGIES 68, rue du faubourg Saint-Honoré, 75008 Paris, http://www.baltimore.com/ Produit Catégorie Baltimore C/SSL TM v2.1 Bibliothèque cryptographique Baltimore Crypto Systems Toolkit Bibliothèque cryptographique v.6.0 TM v7 Baltimore J/Crypto v4.0 Bibliothèque cryptographique Baltimore J/SSL TM v2.0 Bibliothèque cryptographique Baltimore Secure Messaging Toolkit, Bibliothèque cryptographique v2.0 Baltimore W/Secure TM SDK v1.1 Bibliothèque cryptographique Baltimore Enterprise Crypto System Gestion de clés ECS Desktop v2.2 Baltimore Enterprise Crypto System Gestion de clés ECS Server v2.2 Baltimore PKI-Plus TM 2.0 Gestion de clés Unicert 3.0 Gestion de clés Baltimore HSP4000/Assure v2.2 Processeur cryptographique 7.8.8 BIODATA GmbH Burg Lichtenfels, 35104 Lichtenfels, Allemagne http://www.biodata.de/ Produit Babylon 3.0 7.8.9 Catégorie Chiffrement de liens RNIS BROKAT Industriestr. 3, 70565 Stuttgart, Allemagne http://www.brokat.com/de/ Produit Catégorie Page 114/162 France X-Presso Security Package 1.3 Banque à domicile Page 115/162 7.8.10 BULL 68 route de Versailles, BP 434, 78434 Louveciennes, France http://www.bull.fr/ Produit Catégorie Netwall Bull Administration sécurisée Option de Netwall Bull Remote Control 1.0 et 1.1 Administration sécurisée Module CSF Bibliothèque cryptographique Toolkit Cryptographique Bibliothèque cryptographique Trustway Software Framework Bibliothèque cryptographique BNC Cartes Bancaires BNC-C et BNC-E (Boîte Noire Carte et Boîte Noire Edition Cartes Bancaires Securware BNE C, v1, v2, v3, v4 et v5 Chiffrement IP Logiciel SECUR'ACCESS Contrôle d'accès applications GCOS7 ISM Access Master avec confidentialité Contrôle d'accès réseau ISM Access Master de base Contrôle d'accès réseau ISM Access Master v3 Contrôle d'accès réseau Bullwark NT version 1.30 Contrôle d'accès MAC'ER (Swift Authenticator) Contrôle d'intégrité réseau Swift BNT (Boîte Noire Transactionnelle) internationale DAB/GAB BNT avec TSM-R ou BNT rapide DAB/GAB Page 116/162 Carte Swift DAB/GAB ECB (Equipement Cryptographique bancaire) DAB/GAB ESM DAB/GAB ETEBAC5 et carte TSM-R DAB/GAB Lecteur SCR 1024 bits - Module de Sécurité SMC-SM DAB/GAB MSCB DAB/GAB SCP (Secure Card reading Pinpad) DAB/GAB SRC (Serveur Référentiel Code) DAB/GAB System Control Device DAB/GAB Logiciel DCE, GCOS-DCE, PC-DCE Distribution de services applicatifs Logiciel S/Prog algo DES Logiciel de chiffrement pour DPS 7000 MainWay version V3U3 128 bits Logiciel de communication MainWay version V3U3 56 bits Logiciel de communication Authentic 2 Logiciel de sécurité PC DCC Matériel chiffrement réseau ethernet Securware-CE ou BN-CE Processeur cryptographique BNR 5000 Réseaux X25 BNR et BNR type 2 Réseaux X25 Produit de Sécurité ISS "MOTUS" Serveur de sécurité BullSoft Proxy Serveur Serveur proxy Operating System AIX Système d'exploitation AccessMaster Secure Remote Access/VPN Tunnel chiffrant VPN Page 117/162 7.8.11 CANDLE France 13, avenue de la porte d'Italie, 75013 Paris, France http://www.candle.com/ Produit MQ Secure v1.1 Catégorie Logiciel de communication Page 118/162 7.8.12 CHECK POINT Software 3, quai de Dion Bouton, 92806 Puteaux Cedex, France http://www.checkpoint.com/ Produit Catégorie VPN-1 RemoteLink DES Chiffrement IP VPN-1 Pro, VPN-1 Net VPN-1 GX, VPN-1 Chiffrement IP SmallOffice VPN-1 SecuRemote Chiffrement IP VPN-1 SecureClient Chiffrement IP VPN Client pour Macintosh Chiffrement IP VSX Chiffrement IP VPN-1 Accelerator Card III Chiffrement IP Firewall VPN-1 Version 5 next generation Chiffrement IP Firewall-1 VPN 3DES v4 et VPN-1 Appliance Firewall 3DES Firewall VPN-1 Version 5 next generation Firewall Firewall-1 VPN DES versions 3 et 4 Firewall VSX Firewall VPN-1 Certificate Manager Gestion de clés 7.8.13 CISCO Systems 11 rue Camille Desmoulins, 92782 Issy-Les-Moulineaux Cedex 9, France http://www.cisco.com/fr/ Produit Catégorie IOS 56 bits Tunnel chiffrant VPN IOS Triple DES Tunnel chiffrant VPN IOS 56 & 128 bits Tunnel chiffrant VPN Page 119/162 Cisco PIX & IOS 3-DES Tunnel chiffrant VPN Cisco VPN 3000 Série Tunnel chiffrant VPN Cisco VPN 5000 Série Tunnel chiffrant VPN Cisco Secure Unix Server Authentification Cisco Aironet 340 Série Chiffrement IP Cisco Aironet 350 Série Chiffrement IP 7.8.14 CITRIX 7, place de la Défense, 92974 La Défense 4 Cedex, France http://www.citrix.com/ Produit Catégorie Secure ICA Services Environnement distribué 7.8.15 COMPAQ Computer 5 allée Gustave Eiffel, 92442 Issy-Les-Moulineaux, http://www.compaq.fr/ Produit Catégorie Lecteur d'empreintes digitales Authentification TaskSmart série C Cache Internet Altavista Tunnel 98 (56 bits) Chiffrement IP Carte de supervision Insight Lights out Chiffrement SSL iD2 Certificate manager v2.x.y et v3.x.y Gestion de clés Compaq Insight Manager Logiciel d'administration Apache Web Server for TRU64 Unix Serveur Web Apache Web Server on Open VMS Serveur Web DECForms Web connectors 40 bits Serveur Web Task Smart Server W2200 Serveur Web Page 120/162 France 7.8.16 CONTROL DATA Le capitole, 55, avenue des Champs Pierreux, 92012 Nanterre Cedex France Produit Catégorie IntraStore 2000 Messagerie Rialto IMAPSP Service Providers 2000 Messagerie 7.8.17 CORNUT INFORMATIQUE 24, rue de la télématique, BP 702, 42950 Saint-Etienne Cedex 9, France http://www.cornut.fr/ Produit Catégorie CI-Link v3.2.2. Bases de données 7.8.18 CRYPTOGRAM 24, rue de la digue, 78470 Saint-Rémy Les Cheveuses, France Produit Catégorie CryptoGram Folder Professional Edition Chiffrement de fichiers v1.40 CryptoGram Folder Smart Edition v1.40 Chiffrement de fichiers 7.8.19 DATA FELLOWS 12 avenue de l'Arche, Faubourg de l'Arche, 92400 Courbevoie, France Produit Catégorie F-SECURE Management Framework v3.0 Administration sécurisée F-Secure VPN+ version 4.0 Chiffrement IP F-Secure SSH Chiffrement SSH F-Secure FileCrypto version 4.0 Chiffrement de fichiers 7.8.20 DECROS JS Baara 40, 370 01 Ceske Budejovice, http://www.decros.com/ Page 121/162 Czech Republic Produit Catégorie Protect 95/98 et Protect NT (128 bits) Chiffrement de fichiers Protect 95/98 et Protect NT (version Wincros II Chiffrement de fichiers 160 bits) Protect 95/98 et Protect NT triple DES 40 bits Logiciel de chiffrement de fichiers PC 7.8.21 E-SECUWEB 34 avenue Foch, BP 1023, 76061 Le Havre Cedex, France http://www.esecuweb.com/ Produit Catégorie Crypto Inside - Version 1.0 Chiffrement de fichiers Crypto Inside for JAVA™ - Chiffrement de fichiers Version 1.0 7.8.22 EDELWEB S.A. 33 avenue du Maine, 75755 Paris Cedex 15, France http://www.edelweb.fr/ Produit Catégorie Edelsafe version F-1.0 Sécurisation messagerie 7.8.23 ENFOTEC, Inc Les Tilleuls, Chemin de Vermillère, 84160 Cadenet, http://www.enfotec.net/ Produit Catégorie Enfotec 200 Security appliance Tunnel chiffrant VPN, Firewall Enfotec CSA Tunnel chiffrant VPN, Firewall 7.8.24 ENTRUST 90 avenue des Champs Elysées, 75008 Paris, France Produit Entrust Security Toolkit Catégorie for Bibliothèque cryptographique Page 122/162 France Visual Basic v6 Entrust Session Toolkit v6 Bibliothèque cryptographique Entrust IPSEC Negociator Toolkit Bibliothèque cryptographique v6 Entrust File Toolkit v6 Bibliothèque cryptographique Entrust Security Manager Bibliothèque cryptographique Administration Toolkit v6 Entrust Security JAVA v6 Toolkit for Bibliothèque cryptographique Entrust M Validator Chiffrement échanges WAP Entrust M Register Chiffrement échanges WAP Entrust Web Plug-in v6 Chiffrement/Signature échanges Internet Entrust TruePass v6 Chiffrement/Signature échanges Internet Entrust Security Management v6 Gestion de clés Entrust Authority Server for VPN v6 Enrollment Gestion de clés Entrust Authority Enrollment Gestion de clés Server for Smartcards v5 Entrust File Plug-in v6 Logiciel de chiffrement de fichiers PC Entrust Client Logiciel de sécurité PC Entrust Timestamp v5 Logiciel d'horodatage Entrust E-Mail Plug-in v6 Sécurisation messagerie 7.8.25 ERACOM TECHNOLOGIES Australia Pty Ltd 28, Greg Chappell Drive, 4220 Burleigh Heads QLD 4220, Australie Produit Protectserver orange (CSA 8000) Catégorie Processeur cryptographique Page 123/162 7.8.26 ERCOM Immeuble Nungesser, 13 avenue Morane Saulnier, 78140 Velizy, France http://www.ercom.fr/ Produit Catégorie SmartPass /128 Chiffrement IP SmartPass /56 Chiffrement IP 7.8.27 EXTENDED SYSTEMS FRANCE 54 route de Sartrouville, 78230 Le http://www.extendedsystems.fr/ESIfr/default.htm Produit Catégorie XTNDConnect Server 2.4 56/128 Messagerie + Transfert de fichiers bits Page 124/162 Pecq 7.8.28 FREE SOFTWARE FOUNDATION Chapter France 8 rue de Valois, 75001 Paris http://france.fsfeurope.org/ Produit Catégorie OpenSSL suivantes version 0.9.6d et Chiffrement SSH OpenSSL suivantes version 0.9.6d et Chiffrement SSL OpenSSL suivantes version 0.9.6d et Chiffrement SSL/SSH GnuPG version 1.0.7 et suivantes Chiffrement échanges Internet GnuPG version 1.0.7 et suivantes Chiffrement/Signature échanges Internet GnuPG version 1.0.7 et suivantes Chiffrement/Chiffrement de fichiers GnuPG version 1.0.7 et suivantes Chiffrement/Logiciel de chiffrement 7.8.29 GEMPLUS Parc d'activités de Gemenos, BP 100, 13881 Gemenos Cedex, France http://www.gemplus.fr/french/index.html Produit Catégorie carte SETCOS 4.4 et outils Carte à mémoire associés 7.8.30 GRETACODER DATA SYSTEMS AG Althardstr. 150, 8105 Regensdorf, Suisse Produit Gretacoder 522/524/526/605 Catégorie Matériel chiffrement X25 Page 125/162 7.8.31 GUARDWARE SYSTEMS 1089 Budapest Ulloï utc 102, Budapest, Hongrie Produit Catégorie System Guard et Access Guard Authentification System Guard et Access Guard Contrôle d'accès System Guard et Access Guard Contrôle d'accès réseau 7.8.32 HEWLETT-PACKARD France PA du Bois Briard, 2 avenue du Lac, 91040 Evry Cedex, France http://welcome.hp.com/country/fr/fr/welcome.htm Produit Catégorie HP VirtualVault 4.0 serveur Web sécurisé Serveur d'accès Internet (avec HP Speedcard) HP VirtualVault système UNIX sécurisé Système d'exploitation (avec HP Speedcard) 7.8.33 IBM France Tour Descartes Département 2009, 92066 Paris La Défense 5 Cedex http://www.ibm.com/fr/ Produit Catégorie 5622 - 212 Distrib.Console Access Facility Administration sécurisée IBM Web based system manager security Administration sécurisée for AIX Lotus Organizer Agenda DSSeries Directory Server for AIX 4.3 Annuaire électronique CBT Crypto Based Transaction Banque à domicile 5655 - 120 ICSF/MVS Bibliothèque Cryptographique 5765 - 418 bibliothèque DES pour AIX v4 Bibliothèque Page 126/162 Cryptographique 82F5484 carte personnelle de sécurité (DES Carte à mémoire limité) 4758 Coprocesseur crypto CDMF Carte de chiffrement PC 4758 Coprocesseur cryptographique DES Carte de sécurisation PC IBM 4758 Coprocesseur cryptographique, Carte de sécurisation PC dispositif 4800 pour AS/400 5639 - B82 et 5639 - B83 ARTour Mobile Chiffrement IP (radio) Clients 5765 - C17 ARTour Gateway for AIX Chiffrement IP (radio) 5647 - A01 OS/390 IP Security CDMF Chiffrement IP IBM Cryptographic Access Provider 56 bits Chiffrement IP ou IBM 5769-AC2 IBM Secure Wireless Gateway 56 bits v5.1 Chiffrement IP IPSec pour IBM AIX v4.3 Chiffrement IP 5769-CE2 ou IBM Encryption 56 bits AS/400 Client Chiffrement SSL/SSH 5769-CE3 ou IBM AS/400 Encryption triple DES 168 bits Client Chiffrement SSL/SSH IBM AS/400 Client Encryption 56 bits ou Chiffrement SSL/SSH IBM 5769-CE2 IBM Component Broker v3 Chiffrement SSL/SSH IBM Host On Demand v4 (128 bits) Chiffrement SSL/SSH IBM Host On Demand v4 TDES 168 Chiffrement SSL/SSH IBM Java ORB Chiffrement SSL/SSH IBM System SSL for OS/390 (40/56 bits) Chiffrement SSL/SSH "Domino Go Webserver 4.6.1 et 5.0 et Chiffrement SSL HTTP Server 40b for AIX, OS/2 Warp, WinNT, Solaris, HPUX" Page 127/162 5620 - AYV Transarc DE Light Chiffrement SSL 5639 - D42 eNetwork Host On Demand Chiffrement SSL 5639 - E44 ou 5639 - E45 eNetwork Chiffrement SSL Personnal Communications v4.3 5639 - F34 Component Broker v1 Chiffrement SSL 5648 - B40 et 5648 - B63 eNetwork Host Chiffrement SSL On Demand 5649 - NCE et 5769 - NCE et 5649 - NCF Chiffrement SSL Internet Con.Secure Server for AS/400 5697 - C58 Domino Go Webserver 4.6.1 for Chiffrement SSL OS/390 5697 - D43 Domino Go Webserver 5.0 for Chiffrement SSL OS/390 IBM HTTP Server 40b 5769 - AC1 Crypto Access Provider 40b Chiffrement SSL 5799 - A83 Contact Fusion v1 Chiffrement SSL IBM CICS Transaction Gateway v3 ou Chiffrement SSL 5639 - F52 ou 5648 - B43 ou 5765 - C09 5648-B43 ou Gateway v3 IBM CICS Transaction Client/Serveur IBM TX Series 4.3 Client/Serveur 5697 - A16 Net Commerce for AIX et Win Commerce électronique NT 5697 - C60 Commerce Point Gateway for Commerce électronique OS/390 5697 - C61 Registry for SET for OS/390 Commerce électronique 5697 - C62 Commerce Point eTill Commerce électronique 5697 - C80 Commerce Point Wallet Commerce électronique IBM Consumer Wallet v2r1, IBM Commerce électronique Websphere Payment Manager v2r1, IBM Page 128/162 Websphere Payment Gateway v2r1 IBM Websphere Payment Gateway v2r1 Commerce électronique SSL 168 bits IBM Websphere Payment Manager v2r1 Commerce électronique SSL 168 bits 5765 - 473 NetSP Secured Network Contrôle d'accès réseau Gateway 8235 Serveur d'accès réseau local via RTC Contrôle d'accès réseau "7975 Clavier chiffrant pou IBM 4731, DAB/GAB 4738 et 4739" 42F0093 Carte personnelle de sécurité 4346 Dispositif 4783/4789 cryptographique DAB/GAB pour DAB/GAB 4347 Clavier chiffrant pour 478x 4656 Dispositif 4731/4738/4739 DAB/GAB cryptographique pour DAB/GAB 4702 Serveur bancaire DAB/GAB 4737 Service dialogue DAB/GAB 4738 et 4739 Guichets automatiques de DAB/GAB banque 4754 - 001 Unité interface sécurité 4755 Adaptateur ETEBAC5 - NMT 900 4756 Dispositif 4731/4738/4739 DAB/GAB cryptographique DAB/GAB cryptographique pour DAB/GAB 4778 Clavier d'identification personnelle DAB/GAB 4781 Distributeur automatique de billets DAB/GAB 4782 Guichet automatique de banque DAB/GAB 4783 Distributeur automatique de billets DAB/GAB Page 129/162 4784 Distributeur automatique de billets DAB/GAB 4785 Guichet automatique de banque DAB/GAB 4787 Guichet automatique de banque DAB/GAB 4789 Distributeur automatique de billets DAB/GAB 5668 - 871 PBM Network Monitor DAB/GAB 5756 - 228 Enhanced Network Monitor DAB/GAB 5937 Services dialogue IBM 4737 en kit DAB/GAB 7221 Clavier chiffrant pour imprimante DAB/GAB IBM 4725 7223 et 7224 Claviers pour imprimante DAB/GAB IBM 4725 8Q0742 Dispositif cryptographique pour DAB/GAB IBM 3174 SDCS Secure Distribution Control System Distribution de logiciels 5639 - D53 DCE for Win NT Environnement distribué Gradient DCE client for Windows 95/NT Environnement distribué IBM DCE Runtimes Services for Windows Environnement distribué 95/NT (56 bits) IBM DCE for AIX v3.1 (56 bits) Environnement distribué IBM DCE for AS/400 (56 bits) Environnement distribué IBM DCE for NT v2.2 (56 bits) Environnement distribué IBM DCE for OS/2 (56 bits) Environnement distribué IBM DCE for Solaris v3.1 (56 bits) Environnement distribué IBM Host Publisher v2 Environnement distribué IBM Network Station Manager v2R1ou Environnement distribué IBM 5648-C07 Transarc DCE client for Windows 95/NT Environnement distribué Page 130/162 5647 - A01 Version 2 Communications Firewall Server for OS/390 56 bits 5649 - FW1 et 5769 - FW1 et 5649 - FW2 Firewall Firewall for AS/400 5697 - F06 Firewall 3.3 DES Firewall 5765 - C16 Firewall v3 CDMF Firewall 5765 - C16 Firewall v3 DES Firewall 5765 - C16 Firewall v3.1/3.2 DES Firewall 5648 - B28 Vault Registry Gestion de clés 5776 - ETX Commerce Server /400 Gestion de clés 5696 - 902 DSMIT for AIX v4 Gestion distribués de systèmes 5765 -533 Services sécurité DCE 2.1 Gestion distribués de systèmes 5756 - 030 AIX v3.2 Logiciel (non PC) d'authentification 5765 - 268 Asynchronous terminal Server Logiciel Accelerator 6000 sur Ethernet (non PC) d'authentification 5765 - 268 + 0464 AIX Asynch. Terminal Logiciel Server Accelerator/6000 d'authentification/chiffrement (non PC) 5740 - XY5 Programmed crypto Facility Logiciel de chiffrement (non PC) 5648 - A52 ou IBM Secure Crypto and Logiciel Certificates services toolkit (40/56 bits) chiffrement/certification de 5997 - C19 FTP Software pour eNetwork Logiciel de communication Com. Suite IBM Communication Server for OS/390 (56 Logiciel de communication bits) 5716 - CR1 Logiciel crypto AS/400 RISC Logiciel de sécurité (non PC) Page 131/162 5763 - CR1 Logiciel crypto AS/400 Logiciel de sécurité (non PC) 5769 - CR1 Logiciel crypto AS/400 RISC Logiciel de sécurité (non PC) 5769 - DC1 DCE Base Services for AS/400 Logiciel de sécurité (non PC) 5622 - 967 DSS for OS/2 Warp Logiciel de sécurité PC 5639 - E46 DCE Runtime Services for Logiciel de sécurité PC Win95/NT CDMF Transarc DCE Client Pack for Win 95/NT CDMF Lotus Notes /domino 4.6 et 4.6.1 Editions Messagerie françaises Lotus Notes R3 V4.11 et V.51 incluant Messagerie Domino Lotus Notes/Domino R5 Messagerie Lotus Notes/Domino R5.01 (version 40 bits Messagerie SSL 56 bits) Lotus QuickPlace version 1 (40 bits) Messagerie 5648 - B08 et 5648 - B10 et 5648 C05 Navigateur Internet 0801 - 0811 Processeur crypto CDMF pou Processeur Cryptographique PC OS/2 0802 Processeur Cryptographique DES Processeur Cryptographique pour S/390 0803 0806 0807 0809 0810 0812 0813 Processeur Cryptographique Dispositifs optionnels pour S/390 2628 Processeur crypto AS/400 (DES Processeur Cryptographique limité) 4753 - 014 Processeur sécurité réseau Processeur Cryptographique FC 2620 Processeur cryptographique pour Processeur Cryptographique AS/400 IBM 4758 ou IBM PCI Cryptographic Processeur Cryptographique Coprocessor Triple DES 112 bits Page 132/162 Processeur cryptographique pour S/390 Processeur Cryptographique avec chiffrement triple DES dispositif logiciel ICSF de l'IBM OS/390 Processeur cryptographique Routeurs IBM 2210 MRS version 40 bits Routeurs Routeurs IBM 2212 AIS version 40 bits Routeurs Routeurs IBM 2216 MAS version 40 bits Routeurs Routeurs IBM 2210 mrs 2212 ais 2216 mas Routeur (40 bits) Routeurs IBM 2210-MRS, 2212-AIS, 2216- Routeur MAS et NetU option tripleDES 5697 - 181 Internet Connection Secure Serveur Web Server for AIX 5697 - 186 Internet Connection Secure Serveur Web Server for OS/2 Warp 5697 - 188 Internet Connection Secure Serveur Web Webexp. IBM HTTP Server 133 (56 bits) Serveur Web IBM Http Server Edition triple DES 3x56 Serveur Web bits IBM On-Demand server v2.0 56 bits Serveur Web IBM SecureWay Directory v3 Serveur Web IBM Websphere AS 2.02 (56 bits) Serveur Web IBM Websphere AS SE/AE/EE v3 Serveur Web System SSL for OS/390 Serveur Web 5765 - 626 Internet Connection Secured Serveur d'accès Internet Network Gateway 5639 - F25 CS/NT v6 ou IBM Serveur de communication Communication Server for Windows NT version 6 + CS/AIIX v5 + CS/OS2 v6 Page 133/162 Corepoint Web Collaboration (40/56 bits) Serveur web IBM Site Analyzer Serveur web IBM 5639-E53 IBM Suite for Windows NT Suite crypto (56 bits) IBM 5648-B88 ou IBM Business Suite for Suite crypto Windows NT (56 bits) IBM SecureWay Synchronisation (56 bits) Suite crypto 5786 - ENT E3/CMW for AIX Système d'exploitation Lotus 1.2.3 Tableur IBM IP Security for AIX (56 bits) Tunnel chiffrant VPN 7.8.34 INTERNET SECURITY System Le Métropole, 84, avenue du Général Leclerc, 92100 Boulogne, France Produit Catégorie RealSecure v3.1 Détection d'intrusion SafeSuite Decisions v2.0 Détection d'intrusion System Scanner v4.0 Détection d'intrusion 7.8.35 ISTRI http://www.istri.com/ Produit Catégorie Serveur Waplite version sécuriséev1.10 Chiffrement échanges WAP 7.8.36 ITS SOLUTIONS 20 place Napoléon 1er, Tour Neptune, 92086 Paris La Défense France Produit Catégorie SCUA Security vx.xxi rxx Chiffrement de fichiers SCUA V3 Logiciel de sécurité PC SCUA v4 Logiciel de sécurité Page 134/162 7.8.37 MATRAnet 18, rue Grange Dame Rose, BP 262, 78147 Velizy Cedex http://www.matranet.com/ Produit Catégorie M>Tunnel Chiffrement IP M>Tunnel Tunnel chiffrant VPN 7.8.38 METHODES ET SOLUTIONS INFORMATIQUES MSI 7 rue Jean Mermoz, 78000 Versailles, France Produit Catégorie Security Box SHL Chiffrement échanges Internet Security Box 2.6 Chiffrement de fichiers Security Box 2.5 Logiciel de chiffrement de fichiers PC Security Box Home Logiciel de chiffrement de fichiers PC Security Box Work Logiciel de chiffrement de fichiers PC Security Box freeware Logiciel de chiffrement de fichiers PC Security Box Mail Service Messagerie 7.8.39 MICROSOFT FRANCE 18 avenue du Québec, ZAC de Coutaboeuf, 91140 Villebon sur Yvette, France http://www.microsoft.com/france/ Produit Catégorie Windows XP Annuaire électronique Windows 2000 Annuaire électronique Windows NT 3.5, Windows NT 4.0 Annuaire électronique Windows CE .NET4.x, Windows Annuaire électronique CE 3.0 Microsoft Money 2003 et versions Banque à domicile précédentes Page 135/162 SQL serveur 2000 et versions Base de données précédentes Dotnet Framework Bibliothèque cryptographique Microsoft CryptoAPI Bibliothèque cryptographique Microsoft CAPICOM Bibliothèque cryptographique Internet security and Acceleration Cache Internet Server 2000 et versions précédentes Windows Smart Card Carte de chiffrement Exchange 2000 Chiffrement échanges Internet Exchange 5.0 Chiffrement échanges Internet Outlook 97 Chiffrement échanges Internet Outlook 98 Chiffrement échanges Internet Outlook XP (2002) Chiffrement échanges Internet Mobile Information Server 2002 Chiffrement échanges Internet Office 2000 Chiffrement de fichiers Office XP Chiffrement de fichiers Office 97 Chiffrement de fichiers Biztalk Server 2002 et versions Commerce électronique précédentes Commerce Server 2002 et versions Commerce électronique précédentes Internet Information Server 6.0 et Commerce électronique versions précédentes Windows NT 3.5, Windows NT 4.0 Commerce électronique Windows XP Commerce électronique Windows 2000 Commerce électronique Windows Millenium, Windows 98, Commerce électronique Page 136/162 Windows 95 Windows CE .NET4.x, Windows Commerce électronique CE 3.0 XBox Console de jeux Internet security and Acceleration Firewall Server 2000 et versions précédentes Project 2002 précédentes et versions Gestion de projet sécurisée Exchange 5.0 Gestion de clés Exchange 5.5 Gestion de clés Exchange 2000 Gestion de clés obile Information Server 2002 Gestion de clés Windows CE .Net 4.x, Windows Gestion de politiques de sécurité CE 3.0 Windows Millenium, Windows 98, Gestion de politiques de sécurité Windows 95 Windows NT 3.5, Windows NT 4.0 Gestion de politiques de sécurité Windows XP Gestion de politiques de sécurité Windows 2000 Gestion de politiques de sécurité Outlook 97, Outlook 98, Outlook Logiciel de chiffrement 2000, Outlook XP (2002) Mobile Information Server 2002 Logiciel de chiffrement Exchange 5.5 Logiciel de chiffrement Exchange 2000 Logiciel de chiffrement Office XP Logiciel de chiffrement de fichiers PC Office 2000 Logiciel de chiffrement de fichiers PC Page 137/162 Office 97 Logiciel de chiffrement de fichiers PC Dotnet Framework Logiciel de développement Clavier/souris Wireless Desktop for Bluetooth Optical Matériel sans fil Office 97 Messagerie Office 2000 Messagerie Office XP Messagerie Exchange 5.0 Messagerie Exchange 5.5 Messagerie Exchange 2000 Messagerie Outlook 97 Messagerie Outlook 98 Messagerie Outlook 2000 Messagerie Outlook XP (2002) Messagerie Internet Explorer 4.0, 5.0, 5.01, 5.5, Messagerie 6.0 Outlook Express 4.0, 5.0, 5.05, 5.5, Messagerie 6.0 Mobile Information Server 2002 Messagerie Internet Explorer 4.0, 5.0, 5.01, 5.5, Navigateur Internet 6.0 Outlook Express 4.0, 5.0, 5.01, 5.5, Navigateur Internet 6.0 Host Integration Server 2000 et Passerelle SNA versions précédentes (SNA Server) Mobile Information Server 2002 Sécurisation messagerie Page 138/162 Exchange 5.0 Sécurisation messagerie Exchange 5.5 Sécurisation messagerie Exchange 2000 Sécurisation messagerie Internet Security and Acceleration Serveur proxy Server 2000 et versions précédentes Internet Information Server 6.0 et Serveur Web versions précédentes Windows XP Serveur Web, Portail Internet Windows 2000 Serveur Web, Portail Internet Windows Millenium, Windows 98, Serveur Web, Portail Internet Windows 95 Windows CE .Net 4.x, Windows Serveur Web, Portail Internet CE 3.0 Sharepoint Portal Server 2003 et Serveur Web, Portail Internet versions précédentes Content Management Server 2002 Serveur Web Office 97 Signature électronique Windows XP Système d'exploitation Windows 2000 Système d'exploitation Windows Millenium, Windows 98, Système d'exploitation Windows 95 Windows CE .Net 4.x, Windows Système d'exploitation CE 3.0 Windows NT 3.5, Windows NT 4.0 Pocket PC précédentes 2002 Système d'exploitation et versions Système d'exploitation Pocket PC Phone Edition Système d'exploitation Smartphone Windows Système d'exploitation Page 139/162 Windows Smart Card Système d'exploitation Office 97 Tableur Office XP Tableur Office 2000 Tableur Pocket PC Phone Edition Téléphonie Pocket PC 2002 et précédentes Téléphonie Smartphone Windows Téléphonie Windows CE .Net 4.x, Windows Tunnel chiffrant VPN CE 3.0 Windows XP Tunnel chiffrant VPN Windows 2000 Tunnel chiffrant VPN Windows Millenium, Windows 98, Tunnel chiffrant VPN Windows 95 Windows NT 3.5, Windows NT 4.0 Tunnel chiffrant VPN 7.8.40 NEOL SA 4 rue Nationale, BP 11, 67801 Bisheim Cedex http://www.neol.fr Produit Wibu key Catégorie Chiffrement de fichiers 7.8.41 NETASQ 3 rue Archimède, 59650 Villeneuve d'Ascq, France http://www.netasq.com/ Produit Catégorie F50 Firewall F100 Firewall F100C Firewall F500 Firewall Page 140/162 V100 VPN Box Tunnel chiffrant VPN 7.8.42 NETSCREEN TECHNOLOGIES 120 rue Jean Jaurès, 92300 Levallois Perret http://www.netscreen.com/ Produit Catégorie Boîtier NS-5XP Chiffrement IP Boîtier NS-5XT Chiffrement IP Boîtier NS 25 Chiffrement IP Boîtier NS 50 Chiffrement IP Boîtier NS 204 Chiffrement IP Boîtier NS 208 Chiffrement IP Boîtier NS 5200 Chiffrement IP Boîtier NS 5400 Chiffrement IP Screen OS 4.0 Chiffrement IP Boîtier NS-5XP Firewall Boîtier NS-5XT Firewall Boîtier NS 25 Firewall Boîtier NS 50 Firewall Boîtier NS 204 Firewall Boîtier NS 208 Firewall Boîtier NS 5200 Firewall Boîtier NS 5400 Firewall Screen OS 4.0 Firewall Boîtier NS-5XP Tunnel chiffrant VPN Boîtier NS-5XT Tunnel chiffrant VPN Page 141/162 Boîtier NS 25 Tunnel chiffrant VPN Boîtier NS 50 Tunnel chiffrant VPN Boîtier NS 204 Tunnel chiffrant VPN Boîtier NS 208 Tunnel chiffrant VPN Boîtier NS 5200 Tunnel chiffrant VPN Boîtier NS 5400 Tunnel chiffrant VPN Screen OS 4.0 Tunnel chiffrant VPN Boîtier NS-5XP Tunnel chiffrant VPN, Firewall Boîtier NS-5XT Tunnel chiffrant VPN, Firewall Boîtier NS 25 Tunnel chiffrant VPN, Firewall Boîtier NS 50 Tunnel chiffrant VPN, Firewall Boîtier NS 204 Tunnel chiffrant VPN, Firewall Boîtier NS 208 Tunnel chiffrant VPN, Firewall Boîtier NS 5200 Tunnel chiffrant VPN, Firewall Boîtier NS 5400 Tunnel chiffrant VPN, Firewall Screen OS 4.0 Tunnel chiffrant VPN, Firewall 7.8.43 NETWORK ASSOCIATES France 50, rue de Londres, 75008 Paris, France http://www.nai.com/ Produit Catégorie Event Orchestrator v1.02 et 1.03 Administration sécurisée PGP SDK version 1.x Chiffrement de fichiers PGP desktop utilities v5.5.5 et v6.0.2 Chiffrement de fichiers PGP desktop utilities v6.5.1 et v6.5.2 Chiffrement de fichiers CyberCop Suite scanner 5.0/5.5 et Monitor 1.x/2.x Détection d'intrusion Page 142/162 Gauntlet NT v5.0 v5.5 et antérieures Firewall Gauntlet Unix v4.2 v5.0 v5.5 et antérieures Firewall E-Policy Orchestrator Gestion d'antivirus NetTools PKI Server v1.0 Gestion de clés PGP Certificate Server v2.5 et v2.5.1 Gestion de clés Gauntlet GVPN pour Gauntlet UNIX et NT, v5.0 Tunnel chiffrant VPN v5.5 7.8.44 NEUROCOM 79-181 avenue Charles de Gaulle, 92200 Neuilly sur Seine, France http://www.neurocom.com/ Produit Catégorie Net Secure File v2.3 Chiffrement de fichiers NetSecure java v2 Serveur Web 7.8.45 NORMAN ASA BP 43, 1324 Lysaker, Norvège Produit Catégorie Norman Privacy version 3.0 Chiffrement de fichiers PC Norman Access Control pour Windows 95/98 Logiciels de sécurité PC version 4.11 Norman Access Control pour Windows NT Logiciels de sécurité PC version 5.01 7.8.46 NORTEL NETWORKS 1 place des Frères Montgolfier, 78928 Guyancourt Cedex 9, France http://www.nortelnetworks.com/ Produit Catégorie Baystack Instant Internet 1000 & 4, version 7.0 et Tunnel chiffrant VPN Page 143/162 suivantes Contivity 128 bits Extranet Switch Tunnel chiffrant VPN (600/1000/2000/4000-1500/2500/4500) version 2 et suivantes Contivity 56 bits Extranet (600/1000/2000/4000-1500/2500/4500) 1.5 et suivantes Switch Tunnel chiffrant VPN version Shasta 5000 BSN, version 2.0 et suivantes mode Tunnel chiffrant VPN DES et 3DES (168 bits) Page 144/162 7.8.47 NOVINK 19 rue de l'Aubrac, 75012 Paris, France http://www.novlink.com/ Produit Novlink Diskprivacy Catégorie Logiciel de chiffrement de fichiers PC 7.8.48 ODS NETWORKS 115 avenue de Paris, 94160 Saint-Mande, France Produit CryptoWatch v5.X Catégorie Tunnel chiffrant VPN 7.8.49 ORACLE 65, rue des 3 Fontanots, 92732 Nanterre Cedex, France http://www.oracle.fr/ Produit Catégorie ANO v8.0 et 2.3 Bases de données ANO v8.1 Bases de données Oracle Life R3.0 v3.0.6.2.4 Bases de données Oracle Developer/2000 Server v1.6 et v2.0 Commerce électronique Oracle Internet Commerce Server v1.0 et Commerce électronique 1.1 Internet Messaging v4.2 Messagerie Oracle Mobile Agents v3.0 Messagerie 7.8.50 PHILIPS Gand Electronique 58 rue Carnot, BP 301, 92150 Suresnes, France Produit Catégorie ComPORT CP 1100, CP2100, CP3100 Modem versions A,B,C,D,E,FT et comCONTROLLER CC0210, CC0211, CCX0110, CC2100, CC2110 Page 145/162 7.8.51 PREVIEW SYSTEMS 1000, SW Broadway, Suite 1850, PORT-LAND, OR 97205, Etats-Unis http://www.previewsystems.com/ Produit Catégorie Ziplock ESD System v3 Distribution de logiciels 7.8.52 RACAL Security and Payments Meadow View House, Crendon Industrial Estate, Long Crendon, Aylesbury, Buckinghamshire HP189EQ England Produit Catégorie Datacryptor 2000 Chiffrement IP Datacryptor 2000 frame relay Chiffrement IP 7.8.53 RACAL-AIRTECH Ltd Meadow View House, Crendon Industrial Estate, Long Crendon, Aylesbury, Buckinghamshire HP189EQ England Produit Catégorie SafeDial v34 Chiffrement RTC Datacryptor 64 modèle E Chiffrement X25 Safe X25 Chiffrement X25 "Datacryptor modèles LS, MS, HS" Chiffrement d'artères Safe 64K Chiffrement d'artères Safe Megabit 2 Chiffrement d'artères Carte de chiffrement PC modèle Chiffrement de fichiers RG721 "Datacryptor 64 modèles F, HSF" Chiffrement frame relay "HSM modèles RG7000, RG7010" Processeur cryptographique 7.8.54 RAINBOW TECHNOLOGIES 122 avenue Charles de Gaulle, 92522 Neuilly sur Seine Cedex, France Page 146/162 Produit Catégorie iKey 1000 Authentification Carte accélératrice CryptoSwift Chiffrement SSL/SSH iKey 2000 Sécurisation messagerie 7.8.55 REDCREEK COMMUNICATIONS EMCA Verlengde Poolseweg 34-36, 4818 CL Breda, The Netherlands http://www.redcreek.com/ Produit Catégorie Famille de produits Ravlin 3.x (168 bits) Chiffrement IP Famille de produits Ravlin 3.x (56 bits) Chiffrement IP 7.8.56 SAGEM Produit Catégorie Logiciel cryptographique S4320 Chiffrement IP Serveur TPC Confidence Gestion de clés Carte cryptographique PC Card S4200 Messagerie Coffret S4300 Messagerie Logiciels cryptographiques S4100 et S4150 Messagerie Equipement de chiffrement pour téléphone filaire C500 Téléphonie (compatible Mosart) GSM chiffrant RD 900S C850 avec module MOSART Téléphonie Logiciel cryptographique S4370 firewall 7.8.57 SCHLUMBERGER-CP8 36-38 rue de la Princesse, BP 45, 78431 Louveciennes, France Produit Carte Odyssey 2 PKL Catégorie Carte à mémoire Page 147/162 Crypto Builder v1.2 Carte à mémoire Crypto Safe Pro base Carte à mémoire Crypto Safe Pro enhanced Carte à mémoire Crypto Safe base Carte à mémoire Crypto Safe enhanced Carte à mémoire Kit OdysseyLab version 1.1 Carte à mémoire Kit de produits CRYPTO BUILDER Carte à mémoire Kit de produits SMART BUILDER Carte à mémoire carte TBC 80 Carte à mémoire "Cartes TBC 80S, TBC80SL" Carte à mémoire Carte Odyssey 2 PK version 2 Carte à mémoire Carte TB 100 Carte à mémoire Carte TB 1000 Carte à mémoire Carte TB 98S Carte à mémoire Cartes CC200 et CC400 Carte à mémoire Kit OdysseyLab v2 Carte à mémoire Modules SCOT et M4 Carte à mémoire Modules de Sécurité TB Carte à mémoire Scot 300, Scot 400 (masque M9) Carte à mémoire TBC 41 - TBC 41L Carte à mémoire carte CP8 avec sécurité TB Carte à mémoire 7.8.58 SHIVA S.A. Les Taissounières Bât.B3, 1681 route des Dolines, 06905 Sophia Antipolis France Produit Catégorie Page 148/162 Shiva LanRover VPN Express & VPN Client DES 56 Chiffrement IP bits Shiva LanRover VPN Gateway & VPN Client DES 56 Chiffrement IP bits Lanrover VPN Gateway et Shiva VPN Client v6.5 Tunnel VPN chiffrant 7.8.59 SISTECH 28 rue de Caumartin, 75009 Paris, France http://www.sistech.fr/ Produit Catégorie TGB::MAX (triple-DES 128 bits) Chiffrement de fichiers PC 7.8.60 STERLING COMMERCE Tour Franklin, La Défense 8, 92042 Paris La Défense Cedex, France http://www.sterling.fr/ Produit Catégorie Connect : Enterprise IDX S/MIME ; Secure FTP SSL, Transferts X509 V3, PKI fichiers de Connect : Direct option Secure+ version 2 SSL et STS Transferts fichiers de Connect : Enterprise RDX option secure FTP v3.2 (40, Transferts 56, 128 bits) fichiers de Connect Express ETEBAC5) (option Transferts fichiers de 92150 France for Tandem v2.1.4 7.8.61 SYMANTEC France Le River Seine, 25 quai Gallieni, SURESNES, http://www.symantec.com/region/fr/ Produit Catégorie Net Prowler 3.5.1 Détection d'intrusion Intruder Alert 3.6 Détection d'intrusion Page 149/162 Symantec web security 2.5 Gestion d'antivirus Symantec antivirus for SMTP gateway 3.0 Gestion d'antivirus Entreprise security manager 5.1 Gestion sécurité Symantec firewall / VPN appliance Firewall Symantec entreprise firewall 7.0 Firewall VelociRaptor 1.5 Firewall Symantec entreprise VPN 7.0 Chiffrement IP Symantec entreprise client VPN 7.0 Chiffrement IP Symantec entreprise VPN 7.0 Tunnel chifrant VPN, Gestion des clés Symantec entreprise client VPN 7.0 Tunnel chifrant VPN, Gestion des clés VelociRaptor 1.5 Tunnel chifrant VPN, Gestion des clés de politiques 7.8.62 THEISSEN SECURITY SYSTEMS AG Gewerbestrasse 10, 4450 Sissach, Suisse http://www.theissen.ch/ Produit Catégorie Besecure Enterprise Edition version Chiffrement de fichiers PC 1.02.0 Page 150/162 de 7.8.63 THOMSON - CSF DETEXIS 55 Quai Marcel Dassault, BP 301, 92214 Saint-Cloud Cedex, France http://www.thomson.fr/ Produit Catégorie Dedicace Firewall Access Authentification Dedicace VPN Gateway 1.0 (128 bits) Chiffrement IP Dedicace VPN Gateway 1.0 (56 bits) Chiffrement IP Dedicace VPN Mobile 1.0 (128 bits) Chiffrement IP Dedicace VPN Mobile 1.0 (56 bits) Chiffrement IP Dedicace Secure File (128 bits) Chiffrement de fichiers Dedicace Secure Mail 4.2 (128 bits) Sécurisation messagerie Dedicace VPN Gateway 1.0 (192 bits) Tunnel chiffrant VPN Dedicace VPN Mobile 1.0 (192 bits) Tunnel chiffrant VPN 7.8.64 THOMSON - CSF 66 rue du Fossé blanc, BP156, 92231 Gennevilliers Cedex, France http://www.thomson.fr/ Produit Catégorie TRC 7945 Carte de chiffrement PCMCIA TRC 7930/7935 Carte de chiffrement pour PC TRC 7535 Chiffrement IP TRC 7806 Chiffrement d'artères TRC 806 - ELAC Chiffrement d'artères TRC 7720 Chiffrement pour E/R radio TRC 7755 Chiffrement pour fax TRC 7607 Logiciel de sécurité PC Page 151/162 MICA Téléphonie MICN A Téléphonie MICN I Téléphonie TRC 7700 - 1H Téléphonie TRC 7667 Transferts de fichiers 7.8.65 UNISYS France 7, boulevard des Bouvets, 92027 Nanaterre, France Produit Catégorie Orbit Security v1 Banque à domicile 7.8.66 UTIMACO Software France 8, place Boulnois, 75017 Paris, France http://www.utimaco.com/ Produit Catégorie SafeGuard Lan Crypt XL v1.5 et v1.6 Chiffrement de fichiers PC Safeguard Easy Win95 XL v1.02A Chiffrement de fichiers PC SafeGuard VPN et SUN Solaris 2.5/2.6 Tunnel chiffrant VPN v2.3 SafeGuard VPN v2.0 Tunnel chiffrant VPN Safeguard Easy v1.14 Chiffrement de fichiers PC Safeguard Sign&Crypt v2.10 Chiffrement de fichiers PC Safeguard Lan Crypt v1.20 Chiffrement de fichiers PC Safeguard PKI v2.40 Gestion de clés KryptoGuard Lan v3.2 Tunnel chiffrant VPN Safeguard Sign&Crypt pour Outlook v3.0 Sécurisation messagerie Safeguard Sign&Crypt pour Lotus Notes Sécurisation messagerie v3.1 Page 152/162 Safeguard SSL v2.1 Chiffrement SSL 7.8.67 VPNet Technologies Inc. 1530, Meridian Avenue, 95125 SAN JOSE, Ca, Etats-Unis Produit VSU-10, VSU-1010, Manager, VPN Remote Catégorie VPN Tunnel chiffrant VPN Source : www.ssi.gouv.fr/fr/ Page 153/162 2. ANNEXE 6 7.9 TESTS SUR LES PRINCIPAUX LOGICIELS ANTIVIRUS Voici les résultats des tests effectués par AV-Comparatives37. AV-Comparatives, évalue de façon indépendante les performances techniques de la plupart des antivirus du marché. L'ensemble de ces informations a été récolté sur le site d'AV-Comparatives 37 -Lien Internet http://www.av-comparatives.org Page 154/162 Page 156/162 Page 157/162 Summary results Here are the results reached by each scanner on each category, sorted by detection rate. (a) Results over Windows viruses, Macros, Worms and Scripts detection: 1. McAfee 99.80% 2. Kaspersky 99.58% 3. Panda 97.91% 4. Symantec 97.49% 5. RAV 97.03% 6. F-Prot 95.56% 7. Dr.Web 94.24% 8. Sophos 93.16% 9. BitDefender 93.14% 10. NOD32 92.60% 11. Avast 89.17% 12. TrendMicro 88.80% 13. H+BEDV 82.61% (c) Results over DOS detection: 1. Kaspersky 99.96% 2. McAfee 99.94% 3. F-Prot 99.90% 4. Panda 99.77% 5. RAV 99.44% 6. Dr.Web 98.82% 7. NOD32 98.53% 8. Sophos 97.39% 9. Symantec 97.06% 10. BitDefender 96.82% 11. Avast 96.72% 12. H+BEDV 95.77% 13. TrendMicro 94.43% (b) Results over Backdoors, Trojans and other malware detection: 1. Kaspersky 99.70% 2. Panda 96.49% 3. RAV 93.78% 4. F-Prot 94.52% 5. McAfee 93.21% 6. BitDefender 89.50% 7. Dr.Web 80.01% 8. NOD32 79.42% 9. Symantec 77.05% 10. Avast 73.42% 11. Sophos 72.79% 12. TrendMicro 63.89% 13. H+BEDV 51.94% virus (d) Resu1ts over Dialer detection: 1. McAfee 99.60% 2. Kaspersky 99.19% 3. RAV 99.03% 4. H+BEDV 94.09% 5. Sophos 84.06% 6. Symantec 61.49% 7. BitDefender 40.28% 8. Panda 29.99% 9. a11 the others < 1 % (e) Results over `OtherOS malware' detection: 1. Kaspersky 96.73% 2. McAfee 96.54% 3. Panda 91.68% 4. RAV 82.99% 5. Symantec 76.26% 6. F-Prot 74.67% 7. Sophos 72.43% 8. Avast 63.93% 9. Trendmicro 61.21% 10. Dr.Web 54.86% 11. NOD32 48.50% 12. BitDefender 34.39% 13. H+BEDV 31.59% Credits After each comparative products will receive "credits" based on the rankings reached in each single category: a Avast 11 BitDefender 9 Dr.Web 7 F-Prot 6 H+BEDV 13 Kaspersky 02 McAfee 1 NOD32 10 Panda 3 RAV 5 Sophos 8 Symantec 4 TrendMicro 12 b 10 6 7 4 13 1 5 8 2 3 11 9 12 c 11 10 6 3 12 1 2 7 4 5 8 9 13 d 9 7 9 9 4 2 1 9 8 3 5 6 9 e 8 12 10 6 13 1 2 11 3 4 7 5 9 Page 159/162 T¹/5 9.80 8.80 7.80 5.60 11.00 1.40 2.20 9.00 4.00 4.00 8.00 6.60 11.00 All the tested products are already a selection of very good Anti Virus scan engines. Anyway, based on this test, I would rank the products as follow: 1 er place: 2 em place: 3 em place: 3 em place: 4 em place: 5 em place: 6 em place: 6 em place: 7 em place: 8 em place: 9 em place: luth place: loch place: Kaspersky McAfee Panda RAV F-Prot Symantec Dr.Web Sophos BitDefender NOD32 Avast TrendMicro H+BEDV (1.40) (2.20) (4.00) (4.00) (5.60) (6.60) (7.80) (7.80) (8.80) (9.00 ) (9.80) (11.0) (11.0) Page 160/162 3. ANNEXE 7 7.10 PRINCIPALES CARACTERISTIQUES IDEM (DONNEES EDITEUR): Fonctionne sur Windows 95/98, NT 4.0 , Windows 2000 et Windows XP Idem est conçu pour être aussi installé et lancé comme un Service de Windows NT 4.0, 2000 ou Windows XP. Synchronisation de répertoires avec un serveur ou en local simplifiée par le choix de listes de dossiers sources et cibles paramétrables. Les dossiers peuvent être désignés à l'aide de la convention UNC (Universal Naming Convention) sous la forme \\Serveur\Partage\Dossier. Possibilité de répliquer les arborescences de dossiers, c'est-à-dire d'inclure les sous-dossiers dans le miroir. Vous pouvez reproduire un répertoire racine vers une autre unité, la copie prend en charge à la demande la reproduction des sous répertoires. Préserve totalement le nom et la structure des fichiers Macintosh stockés sur un serveur NT 4.0 /2000 avec MacFile/SFM (Services For Macintosh) ou avec un serveur compatible MacFile/SFM comme MacServerIP .Le programme duplique correctement les fichiers dont les noms comportent des caractères interdits sur Windows mais qui sont autorisés sur Macintosh (\, /, <, >, etc.) ; il conserve également la structure particulière des fichiers Macintosh ("data fork", "resource fork", informations du "Finder"). Note: cette caractéristique existe uniquement sur NT 4.0 - avec MacFile/SFM ou compatible - opérant sur des partitions NTFS ; elle n’est pas opérationnelle lorsque le programme s’exécute sur Windows 95/98. Idem est compatible avec Open File Handler (Swat Consulting Inc.). Leur association permet de répliquer les fichiers ouverts sur un serveur NT/2000 par une application Windows ou Macintosh. Site en anglais et téléchargement: Swat Consulting Inc Idem est compatible avec WebDrive (RiverFront). Leur association permet d'utiliser Idem pour répliquer des fichiers stockés sur des serveurs FTP et de mettre à jour ainsi des sites Web miroirs. Idem permet de vérifier et copier les informations de sécurité des fichiers et dossiers répliqués (les permissions ACL - access-control lists de Windows NT) ainsi que les attributs classiques (caché, système, archive, etc.) lors des tâches de copie ou transfert. Page 161/162 Chaque dossier peut être répliqué selon deux modes: - Mise à jour si les fichiers sources sont différents des fichiers cibles. - Mise à jour si les fichiers du dossier source sont plus récents que ceux du dossier cible. Ce dernier mode permet de maintenir équivalents deux dossiers évolutifs (dual way mirroring). Intervalle de mise à jour paramétrable par dossier. Chaque dossier peut être répliqué en utilisant son propre intervalle de mise à jour. Performance paramétrable vis-à-vis des autres applications. Suppression optionnelle des fichiers devenus obsolètes dans les dossiers cibles lorsque les fichiers des dossiers sources sont supprimés ou renommés. Possibilité de déplacer les fichiers d'un dossier source vers un dossier cible, c'est-à-dire d'effacer les fichiers du dossier source après copie dans le dossier cible. Cette fonction peut être utilisée pour transférer tout fichier arrivant sur un répertoire où les utilisateurs déposent leurs données vers un répertoire accessible uniquement avec des droits administrateur; c'est Idem qui aura accès au dossier final et pas l'utilisateur. Possibilité de renommer les fichiers Macintosh déplacés pour les rendre "Windows-conforme"; le programme transforme en tirets les caractères /, \, <, >, etc. de leurs noms et génère une extension à 3 caractères pour les applications les plus courantes: .doc, .qxd, .xls, etc.: un document XPress Annonce 18/08/99 devient Annonce 18-08-99.qxd. Cette option permet d'utiliser des utilitaires comme Adobe Distiller sur NT pour "distiller" des fichiers Macintosh sans se soucier de leurs noms. Journalisation des opérations effectuées par le programme dans un fichier de log. Lorsqu’un dossier source ou cible devient invalide (dossier supprimé ou renommé, perte de connexion avec un serveur, etc.), Idem permet plusieurs types d'alertes: sonore, visuelle, message envoyé à un administrateur réseau, message dans le journal des opérations, message dans l'Observateur des événements (si Idem est lancé comme un service NT/2000). Page 162/162