Mémoire Pour l`obtention du diplôme Niveau II à l`ESSEC

ESSEC MANAGEMENT EDUCATION
NOM & Prénom: DA VEIGA António
Date:20 avril 2005
Directeur de Mémoire: KRIEF Serge
SPÉCIALITÉ:
Management des Systèmes d'Information
MÉMOIRE
POUR L'OBTENTION DU DIPLOME HOMOLOGUE NIVEAU II
Titre: RESPONSABLE EN GESTION
(SECURISATION DES DONNEES SENSIBLES, CONTENUES
DANS LE DISQUE DUR DES POSTES NOMADES, D'UNE
FLOTTE D'ENTREPRISE)
ACCORD DU COMITÉ PÉDAGOGIQUE
Nom:
Date:
Signature:
ACCORD DU DIRECTEUR DE MÉMOIRE
Nom: KRIEF Serge
Date:
Signature:
Soutenance a l'ENST le 20 avril 2005.
Page 2/162
REMERCIEMENTS
Un travail de cette envergure ne peut pas aboutir sans la collaboration
directe ou indirecte de personnes externes au projet. En ce qui me concerne
j'ai eu la chance de trouver le réconfort, le soutien et la motivation auprès de
tout ceux que de près ou de loin ont participé a cette aventure. C'est pour
cela et avec la plus grande sincérité que je veux dire merci à tous ceux qui
ont contribué au bon déroulement de cet ouvrage.
Je ne peux m'empêcher de remercier particulièrement tout le corps
enseignant de l'ESSEC et de l'ENST.
Je veux aussi remercier Catherine Pelhate pour les conseils, toujours si
avisés, qu'elle m'a donné.
Je voudrai également remercier mon ami Didier Gimel, P.D.G. de la société
Strat Value, pour son soutien et sa disponibilité.
Merci aussi à Eric Filatre pour ses conseils.
Un remerciement sincère aussi à Dominique Briolat, Responsable
Pédagogique et enseignant à L'ESSEC pour ses encouragements ainsi que
pour la confiance qu'il m'a accordé.
Merci à Serge Krief, mon Directeur de Mémoire, pour sa disponibilité, sa
sympathie et la confiance qu'il m'a témoigné.
Enfin, simplement merci à mes enfants et mon épouse, de m'encourager et
de me soutenir inconditionnellement dans ma démarche. Merci Angelo,
merci Sonia et merci Candida, sans vous, je ne serais pas en train d'écrire
ces lignes aujourd'hui, sans aucun doute!
Page 3/162
TABLE DES MATIERES
REMERCIEMENTS....................................................................................3
PLAN DU DOCUMENT..............................................................................8
MOTS-CLE ...................................................................................................8
INTRODUCTION ........................................................................................9
PROBLEMATIQUE ..................................................................................11
CHAPITRE 1-ÉTAT DE L’ART..............................................................12
1.1
PRATIQUES ACTUELLES ....................................................................12
1.2
RETOUR D’EXPERIENCE ....................................................................12
1.3
NOUVELLES TECHNOLOGIES.............................................................14
CHAPITRE 2-AUTHENTIFICATION ...................................................17
2.1
AUTHENTIFICATION .........................................................................17
2.2
AUTHENTIFICATION DES UTILISATEURS ...........................................17
2.2.1
2.2.2
Authentification locale .............................................................18
Authentification réseau.............................................................19
2.3
AUTHENTIFICATION FORTE ..............................................................20
2.4
METHODES D'AUTHENTIFICATION....................................................21
2.4.1
2.4.2
2.4.3
2.5
PRINCIPAUX PROTOCOLES D'AUTHENTIFICATION .............................27
2.5.1
2.5.2
2.5.3
2.5.4
2.5.5
2.5.6
2.5.7
2.5.8
2.6
Mots de passe ...........................................................................21
Certificats à clé publique..........................................................22
Biométrie ..................................................................................24
Protocole PAP ..........................................................................28
Protocole CHAP .......................................................................28
Protocole SPAP ........................................................................28
Protocole MS-CHAP................................................................29
Protocole MS-CHAP v2...........................................................29
VPN ..........................................................................................29
PPP ...........................................................................................30
Protocole EAP ..........................................................................30
CONTROLE D'ACCES AUX RESSOURCES .............................................30
CHAPITRE 3-CRYPTOGRAPHIE .........................................................33
3.1
CRYPTOGRAPHIE ..............................................................................33
3.2
INTRODUCTION A LA CRYPTOGRAPHIE .............................................34
Page 4/162
3.3
CHIFFREMENT ..................................................................................36
3.3.1
3.3.2
3.3.3
3.4
Chiffrement à clé secrète ..........................................................36
Chiffrement a clé publique P.K.C. (Public Key Cryptosystem) 38
L’authentification de documents ..............................................41
CRYPTOGRAPHIE HYBRIDE ...............................................................43
3.4.1
P.G.P. Pretty Good Privacy ......................................................43
3.5
LE SCELLEMENT ...............................................................................45
3.6
LA CRYPTOGRAPHIE QUANTIQUE .....................................................46
CHAPITRE 4-ORGANISATION ET PROCEDURES..........................48
4.1
INTRODUCTION ................................................................................48
4.2
OUTILS DE CRYPTAGE .....................................................................48
4.2.1
4.2.2
4.2.3
4.2.4
4.2.5
4.3
SECURYTY BOX ...............................................................................55
4.3.1
4.4
Utilisation de Security BOX.....................................................57
CRYPTAGE DES DONNES SUR DISQUE DUR ........................................58
4.4.1
4.4.2
4.4.3
4.4.4
4.5
E. F. S. ......................................................................................49
P.G.P.........................................................................................50
Cryptage des données avec P.G.P. ...........................................52
Décryptage des données avec P.G.P. .......................................53
Intégration de P.G.P. à la messagerie .......................................54
Crypter un dossier avec E.F.S. .................................................60
Décrypter les dossier avec EFS ................................................62
Avantages .................................................................................63
Inconvénients............................................................................63
LES VIRUS "VIRUS, VERS ET CHEVAUX DE TROIE" ..........................64
4.5.1 Les différentes familles de virus ..............................................65
4.5.2 L'Antivirus................................................................................67
4.5.3 Le Pare-feu ...............................................................................67
4.5.4 Viguard.....................................................................................69
CHAPITRE 5-SAUVEGARDES DES DONNEES .................................72
5.1
SAUVEGARDES DES DONNEES ..........................................................72
5.1.1
5.1.2
Idem..........................................................................................72
Second Copy.............................................................................73
5.2
OUTILS PERTINENTS .........................................................................78
5.3
AVANTAGES .....................................................................................78
CONCLUSION...........................................................................................80
RECOMMANDATIONS...........................................................................81
Page 5/162
L'ERREUR HUMAINE ...................................................................................81
PROTECTION PHYSIQUE DE VOTRE ORDINATEUR. .......................................81
PROTECTION LOGIQUE .......................................................................83
LES MOTS DE PASSE ...................................................................................83
LES SAUVEGARDES ....................................................................................83
L'ANTIVIRUS ..............................................................................................84
GESTION DES DONNEES.......................................................................84
BIBLIOGRAPHIE .....................................................................................85
WEBOGRAPHIE.......................................................................................86
GLOSSAIRE...............................................................................................87
Page 6/162
Table des Figures
Figure 1-Exemple d'infrastructures ...................................................................11
Figure 2-Schéma simplifié d'un réseau V.P.N. .................................................13
Figure 3-Illustration I.B.G.................................................................................15
Figure 4-A) Ouverture session ..........................................................................18
Figure 5-B) Ouverture de session......................................................................19
Figure 6-Authentification réseau.......................................................................19
Figure 7-Mécanisme d'authentification forte ....................................................22
Figure 8-Lecteur de cartes à puce......................................................................23
Figure 9-Carte à puce ........................................................................................23
Figure 10-Exemple d'un certificat .....................................................................24
Figure 11-Acquisition caractéristiques biométriques........................................25
Figure 12-Authentification biométrique............................................................25
Figure 13-Gestion d'utilisateurs et groupes locaux ...........................................31
Figure 14-Schéma simplifié de l'architecture d'un serveur de fichiers..............32
Figure 15-Cryptogramme ..................................................................................35
Figure 16-Chiffrement à clé privée ...................................................................36
Figure 17-Schéma représentant l'algorithme D.E.S. .........................................38
Figure 18-Schéma fonctionnel simplifié, d'une P.K..........................................39
Figure 19-Chiffrement à clé publique ...............................................................41
Figure 20-Mode de fonctionnement de P.G.P...................................................44
Figure 21-Scellement ........................................................................................45
Figure 22-Filtre rectiligne "cryptographie quantique" ......................................47
Figure 23-Choix du client messagerie sous P.G.P. ...........................................51
Figure 24-Saisie de phrase secrète sous P.G.P..................................................52
Figure 25-Exemple Clé publique copiée dans un document .txt.......................52
Figure 26-Barre d'outils P.G.P.Tools ................................................................53
Figure 27-Utilisation des composants de PGP à partir du menu contextuel .....53
Figure 28-Barre d'outils P.G.P.Tools ................................................................54
Figure 29-Intégration P.G.P aux clients messagerie .........................................54
Figure 30-Intégration de PGP au client de messagerie .....................................54
Figure 32-Structure d'un Disque Dur partitionné ..............................................59
Figure 33-Création d'un nouveau dossier..........................................................59
Figure 34-Renommer le dossier "données".......................................................60
Figure 35-Tableau récapitulatif des principales causes de perte des données ..65
Figure 36-Évolution des revenus des produits et services ................................68
Figure 37-Positionnement des principaux acteurs de la sécurité ......................69
Figure 38-Tableau des fonctionnalités du Pack Sécurité ViGUARD ...............71
Figure 39-Paramétrage Idem .............................................................................73
Figure 40-Tableau récapitulatif des prix des licences Idem ..............................73
Figure 41-Tableau récapitulatif des prix des licences Second Copy .................78
Figure 42-Câble antivol portable.......................................................................82
Page 7/162
PLAN DU DOCUMENT
Ce document débute par une Introduction suive de l’exposition de la
Problématique.
Le premier chapitre est consacré à l'état de l'art de la sécurité informatique
en ce qui concerne les moyens et techniques mis en œuvre de nos jours pour
la protection des données des postes nomades.
Dans le deuxième chapitre j'aborderai l'authentification et le contrôle d'accès
aux données.
Je présenterai quelques notions de cryptographie et scellement dans le
troisième chapitre.
Le quatrième chapitre sera consacré à l'organisation et aux procédures de
chiffrement. Puis, nous examinerons la problématique des attaques de type
virus, vers ou chevaux de Troie.
Le cinquième et dernier chapitre sera dédié aux sauvegardes.
Je terminerai avec une rubrique dédiée à la conclusion suivie des
recommandations.
MOTS-CLE:
Authentification, contrôle d'accès, cryptographie, chiffrement, virus et
sauvegardes.
Page 8/162
INTRODUCTION
Les Systèmes d'Information (S. I.), reposent essentiellement sur un
ensemble de machines reliées entre elles par des équipements intermédiaires
(réseau). Elles produisent, stockent, modifient, et transmettent de
l'information entre elles.
Ces machines peuvent être de plusieurs types: des serveurs extrêmement
sophistiqués, des ordinateurs personnels "PC"1, fixes ou portables ainsi que
d'autres périphériques comme les Assistants Personnels, "PDA"2 par
exemple.
L'objectif est de donner à ces équipements la possibilité de communiquer
entre eux et ainsi échanger toute sorte d’informations. Autrement dit, les
dossiers qu'hier étaient empilés dans des armoires, ou bien,
consciencieusement rangés dans des coffres-forts, peuvent se trouver en
circulation dans la maille des réseaux de l'entreprise ou même au-delà, grâce
à la capacité phénoménale des nouvelles technologies comme l'Internet.
Se basant sur le proverbe "Le savoir, c'est le pouvoir!", il n’est pas difficile
de deviner qu'une partie des utilisateurs du S.I. est particulièrement
gourmande en termes d'obtention et possession de cette matière première.
Cette information peut se révéler primordiale, voire stratégique, pour le
présent et l'avenir de la Société qui la possède. Une bonne gestion et surtout,
une bonne politique de protection d’un si précieux sésame, s'imposent.
Dans un S.I., il y a deux éléments à prendre en compte, en ce qui concerne
la sécurité:
- Les utilisateurs (humains), ou les processus qui agissent à leur
place.
- Les objets utilisés dans le système.
L'objectif de la sécurisation d'un S.I. consiste en la mise en œuvre de
mécanismes et de processus qui permettent d'assurer trois points
élémentaires:
- La confidentialité des données.
- L'intégrité des données.
- La disponibilité des services.
1
-Personnal Computer
-Portable Digital Assistant
2
Page 9/162
On appelle "base informatique de confiance", l'ensemble de mécanismes de
sécurité mis en œuvre pour assurer les trois propriétés décrites
précédemment, qui peuvent être partagés en trois sous-ensembles:
- La sécurité logicielle.
- La sécurité matérielle.
- La sécurité organisationnelle.
De la même façon la sécurité logicielle et la sécurité matérielle seront
regroupées dans un ensemble appelé Sécurité Interne ou Sécurité Logique,
la sécurité organisationnelle peut être aussi appelée Sécurité externe. La
sécurité externe a pour objectif la sécurisation des accès physiques au S.I...
Ces accès seront décomposés en trois parties:
- La sécurité physique des installations.
- La sécurité concernant le personnel.
- La sécurité procédurale.
Ces deux aspects de la sécurité des systèmes d'information ne peuvent être
dissociés, car une mesure prise au niveau interne peut compromettre très
sérieusement l'équilibre des mesures prises au niveau externe et vice-versa.
Ce document a pour objectif de traiter essentiellement l'information dite
"sensible", classée confidentielle contenue dans les Disques Durs des postes
nomades.
Je considère que les postes fixes stockent et traitent l'information au niveau
des Serveurs dédiés à cet effet, (sécurité interne).
Page 10/162
PROBLEMATIQUE
De manière à mettre en évidence la problématique de la sécurité des
informations contenues dans les Disques Durs des postes nomades, prenons
comme exemple, un organisme ou une entreprise qui souhaitent sécuriser
son S.I. Dans un premier temps il est indispensable de sécuriser le coté
physique (vigile, portes et contrôle d'accès…). L'étape suivante doit
privilégier la sécurité des matériaux qui produisent, traitent et stockent les
données. Les serveurs (des fichiers, des sauvegardes…) pièces maîtresses
d'un S.I., seront à leur tour placés au centre de la politique de sécurisation
(Figure 1).
Station de travail
Stations de travail
Serveur de messagerie
Stations de travail
Figure 1-Exemple d'infrastructures
Cette démarche de sécurisation d'un S.I. permet de garantir la sécurité des
données qui circulent à l'intérieur de l'enceinte de notre société. A contrario
les périphériques "portables" plus particulièrement, les ordinateurs
portables, deviennent extrêmement vulnérables, une fois le périmètre de
sécurité décrit précédemment, franchi.
Nous venons de mettre en évidence une grave défaillance de sécurité
appelée "base informatique de confiance" dans le cas, où des mesures
particulières de sécurité ne sont pas mises en œuvre.
Page 11/162
1 CHAPITRE 1-ÉTAT DE L’ART
1.1
PRATIQUES ACTUELLES
Le recours à des périphériques mobiles pour se connecter à partir de
l'extérieur de l'entreprise à son système d'information, est devenu une
pratique quotidienne. Les ordinateurs portables en particulier, ainsi que les
assistants numériques de poche (P.A.D.), les téléphones dits "intelligents"
ouvrent toutes les portes d'accès aux S.I. des entreprises avec une facilité
extraordinaire. Selon le Gartner Group le nombre des périphériques mobiles
(téléphones portables exclus) équipés de fonctionnalités sans fil, dépassera
1,5 milliard dès 2005. Le chiffre d'affaires concernant les périphériques
mobiles, est estimé à 52 milliards de dollars sur l'année 2004.
Dans un passé pas très lointain, le S.I. était enfermé et cloisonné dans
l'enceinte de l'entreprise, la politique de sécurité mise en place était
précisément basée sur l'aspect de la maîtrise de cet environnement.
Malheureusement pour le responsable de la sécurité, et heureusement pour
les entreprises et l'utilisateur nomades, le S.I. s'est ouvert vers l'extérieur et
il est sorti de ce cloisonnement à une vitesse extraordinaire. Si nous tenons
compte de cette étude réalisée par la société Gartner la course à la mobilité
ne fait que commencer.
1.2
RETOUR D’EXPERIENCE
Compte tenu, que la croissance de la mobilité ne peut pas être arrêtée sous
couvert de sécurité, le développement et la mise en place d'outils et de
processus de protection des données se sont accentués ces dernières années.
La mise en place de Réseaux Privés Virtuelles (V.P.N.) associés à des
méthodes d'authentification forte va permettre à la D.S.I. de mettre à
disposition des dirigeants, des cadres supérieurs, des équipes nomades, et
des ingénieurs en mission, entre autres, un accès au S.I., très souvent vital
pour le bon déroulement de leurs missions.
L’association du V.P.N. et de l’authentification forte va permettre à la DSI
et aux responsables de la sécurité en particulier de s'assurer de l'identité de
la personne qui se connecte au S.I. et que la transmission des données entre
le poste nomade et le S.I. ne sera pas interceptée et ainsi garantir l'intégrité
et la confidentialité des données.
Une question importante reste dans l'air tout de même.
Et les données embarquées, sont-elles protégées?
Page 12/162
L'authentification et le chiffrement des communications constituent la base
d'un périmètre de sécurité indispensable au bon déroulement de la
"synchronisation" des données avec le S.I., mais il n'est pas suffisant d'avoir
la garantie qu'il s'agit bien de "M. Dupont" qui se connecte au S.I., et que le
canal qu'il utilise est sécurisé. Il est également indispensable d'assurer
l'intégrité des données échangées avec le S.I.. Et pour cela il est nécessaire
de sécuriser les périphériques nomades, en amont, à travers le chiffrement
des données embarquées.
Il convient de ne pas négliger l'aspect "domestique" du périphérique nomade
car en réalité le cadre supérieur ou le commercial, entre autres, s'approprient
facilement de l'ordinateur portable qui est mis à leur disposition dans le
cadre de leurs différentes missions. L'installation d'applications "douteuses"
non validées par le responsable de la sécurité doit être simplement proscrite.
La politique de sécurité, d'intégrité et de confidentialité pourrait être
dramatiquement compromise.
Figure 2-Schéma simplifié d'un réseau V.P.N.
La gestion locale des informations doit être réduite au maximum.
Internet peut être utilisé comme un outil de travail extrêmement intéressant,
cependant, son utilisation a fin de se connecter à l'entreprise comporte des
risques extrêmement élevés. Les entreprises conscientes de ce risque
utilisent des connexions de type V.P.N.. Le problème réside dans le fait que
l'entité connectée via un "tunnel" de type V.P.N. reste aussi connectée sur
Internet, et de ce fait les risques d'intrusion sont bien réels. Il me semble
essentiel, d'équiper les périphériques nomades de systèmes de détection
d'intrusion, de pare-feu personnel ainsi que d'un antivirus.
Page 13/162
Une fois le périphérique nomade sécurisé dans sa globalité, l'entreprise peut,
alors, envisager l'ouverture de son S.I.. Les informations alors échangées
doivent être extrêmement réduites, les risques de perte d'information restent
toujours très élevés, le disque dur d'un ordinateur est essentiellement
constitué de pièces mécaniques très fragiles, susceptibles de tomber en
panne au moment où l'ont s'y attend le moins.
L'utilisation de techniques de type Client Léger3 peuvent désormais
répondre à ce souci de diminution de données embarquées, car la simple
visualisation des données suffit aux besoins d'une grande partie des
utilisateurs nomades. Cette pratique permet de diminuer la quantité de
données sensibles stockées dans le disque dur du poste nomade, celui-ci ne
pourra pas être utilisé afin de corrompre les bases de données de l'entreprise.
Voir schéma fonctionnel de clients léger en annexe 4.
1.3
NOUVELLES TECHNOLOGIES
La maturité des solutions de cryptage, ainsi que les produits destinés à
établir les connexions des postes nomades vers les S.I. des entreprises, me
laissent penser que la protection des données sensibles des postes nomades
ne constitue plus un problème en soi. La conjugaison des différents produits
du marché actuel (antivirus, pare-feu personnel, outils de cryptographie…)
nous permet de créer un environnement de confiance acceptable.
Néanmoins, I. B. G. (International Biometric Group) nous démontre en
s'appuyant sur une étude de marché pour la période des années 2000-2005,
que la biométrie peut apporter une nouvelle dimension en ce qui concerne le
contrôle d'accès aux systèmes d'information (ordinateur / réseau), sans
exclure toute la composante du commerce électronique.
Prévision de la croissance du chiffre d'affaires de la Biométrie pour la
période 1999/2005:
3
-Une session de type client léger/serveur est un modèle à partir du quel le
déploiement, la gestion, le support et l’exécution des applications s’effectuent à
100% sur le serveur. Ce dernier utilise un système d’exploitation multi-utilisateurs
ainsi qu’une méthode de distribution de la présentation de l’interface d’une
application vers un poste client.
Page 14/162
Figure 3-Illustration I.B.G.
L’utilisateur est de plus en plus réceptif à l’utilisation de la biométrie, il n’y
a plus de méfiance à son égard et la demande est en forte augmentation.
D'autre part la D. S. I., ou le responsable de la sécurité ne s'y opposent pas
non plus à la mise en place d'un système qui leur permet de réduire
drastiquement la complexité des contrôles d'accès aux S.I..
2005 sera donc "l'année Biométrie"…
Page 15/162
Voici une liste non exhaustive des différentes applications pouvant utiliser
la biométrie pour contrôler un accès (physique ou logique), aux
applications, matériels, locaux etc.…
- Contrôle d'accès aux locaux.
- Site sensible (service de recherche, site nucléaire).
- Systèmes d'informations.
- Lancement du système d'exploitation.
- Accès au réseau.
- Commerce électronique.
- Transaction (financière "banques", données entre les entreprises).
- Signature de document (lot de fabrication de médicaments).
- Tous les logiciels utilisant un mot de passe.
- Équipements de communication -Terminaux d'accès à Internet.
- Téléphones portables.
- Machines et équipements divers.
- Coffre fort avec serrure électronique.
- Distributeur automatique de billets.
- Casier sensible (club de tir, police).
- Cantine d'entreprise (pour éviter l'utilisation d'un badge par une
personne extérieure).
- Casier de piscine (plus d'objet à porter sur soi).
-Contrôle des adhérents dans un club, carte de fidélité.
- Contrôle des temps de présence.
- Voiture (anti-démarrage).
- État / Administration.
- Fichier judiciaire.
- Titres d'identité (carte nationale d'identité, passeport, permis de
conduire, titre de séjour).
- Services sociaux (sécurisation des règlements).
- Services municipaux (sécurisation des accès aux écoles, contrôle de
l'utilisation des services périscolaires).
- Système de vote électronique.
Page 16/162
2 CHAPITRE 2-AUTHENTIFICATION
2.1
AUTHENTIFICATION
Organe fondamental pour le fonctionnement et le développement des
entreprises, le Système d’Information (S.I.) à l’image d’un coffre-fort,
requière une gestion ainsi qu'un contrôle d’accès très particuliers et
quotidiens. Le développement commercial des entreprises, les besoins
spécifiques du marketing, le e-commerce, la messagerie et autres techniques
de communication réclament une ouverture des SI à un grand nombre
d’utilisateurs, internes et externes aux entreprises, y accédant depuis des
postes fixes ou nomades, avec des outils multiples et variés et à partir
d’environnements de plus en plus hétérogènes. Cette ouverture accentuée,
impose une vigilance accrue, des accès liés aux utilisateurs et/ou aux
processus informatiques.
Avec le déploiement des techniques de communication, comme l'Internet et
la Messagerie, ainsi que l'expansion plus qu'évidente du e-commerce,
l’identification, l’authentification et les droits associés ne peuvent plus
rester figés dans le temps ni dans l’espace.
D’après le Garther Dataquest, le développement des systèmes de
management du contrôle d’identité et d'accès aux Systèmes d’Information, a
enregistré une croissance de près de 12% en 2003. Il est nécessaire de
centraliser les données relatives aux authentifications et les droits associés,
dans le but de réduire les coûts liés à la gestion et à la facilité de mise à jour
de ceux-ci. Ce qui explique le surcroît et l’engouement des entreprises dans
la mise en place d’outils dédiés.
Intimement liés, l’Identification et l’Authentification constituent deux
aspects complètement indépendants, malgré leur complémentarité. Il
convient de rappeler que l’identité d’un individu est constituée par
l’ensemble des données, de fait et de droit, permettant d’individualiser
quelqu’un, parmi d'autres.
De ce fait:
- L’identification consiste en la vérification de l’identité.
- L’authentification consiste à prouver son identité.
2.2
AUTHENTIFICATION DES UTILISATEURS
Page 17/162
L'authentification de l'utilisateur vis-à-vis d'un ordinateur, d'un réseau ou
d'un accès distant4 complète le processus d'identification, car
l'authentification permet de démontrer une identité déclarée, et de la stocker,
dans une base de données destinée à cet effet.
2.2.1
Authentification locale
En prenant Windows 2000 comme exemple de Système d'Exploitation (OS5
Operating System), l'utilisateur ouvre une session locale dans une station de
travail au moyen des informations d'identification stockées dans le
gestionnaire de compte S.A.M., (Security Accounts Manager) il s'agit de la
base de données des comptes de sécurité locaux. N'importe quelle station de
travail ou n'importe quel serveur membre, peut stocker les comptes
d'utilisateurs locaux, ceux-ci ne peuvent l'utiliser que pour l'accès local à
l'ordinateur.
Figure 4-A) Ouverture session
4
-Le Service d'accès distant (RAS, Remote Access Service) Windows NT/2000
permet de relier les utilisateurs distants ou mobiles aux réseaux d'entreprise à l'aide
d'un modem.
5
-Programme assurant la gestion de l'ordinateur et de ses composants. Exemples:
Linux, Windows, Unix, MacOS ou encore BeOS.
Page 18/162
Figure 5-B) Ouverture de session
2.2.2
Authentification réseau
Dans un serveur, un processus de contrôle valide l'identité et après
authentification, donne l'accès aux données, aux applications, aux bases de
données, aux fichiers ou à Internet, parmi un ensemble très large
d'applications et processus que comporte un SI. Dans le cas contraire, si
l'individu ou le processus n'est pas en mesure de prouver l'identité déclarée,
l'accès au SI, lui est refusé.
Exemple de fenêtre de connexion à un serveur de fichiers:
Figure 6-Authentification réseau
Page 19/162
L'authentification peut se faire de différentes manières, et notamment par la
vérification des points suivants:
- "Ce que je sais", un mot de passe par exemple.
- "Ce que je sais faire", une signature manuscrite sur écran
tactile/digital.
- "Ce que je suis", une caractéristique physique comme une
empreinte digitale.
- "Ce que je possède", une carte à puce par exemple.
Le choix d'une technique au détriment d'une autre s'effectue selon quatre
critères:
- Le niveau de sécurité.
- Le coût de la solution retenue.
- La complexité de déploiement et d’administration.
- L'acceptabilité de la solution retenue par les utilisateurs.
Exemple de besoins d'authentifications spécifiques:
- L'expéditeur d'un email.
- L’authentification d'un utilisateur qui se connecte à distance.
- L’authentification d'un administrateur au système.
- L’authentification d'un client (e-commerce).
- Payement en ligne…
2.3
AUTHENTIFICATION FORTE
La combinaison de plusieurs de ces méthodes (aussi appelées, facteurs
d'authentification) permet de renforcer le processus d'authentification, nous
parlerons alors d'authentification forte.
Page 20/162
2.4
2.4.1
METHODES D'AUTHENTIFICATION
Mots de passe
Parmi toutes, le mot de passe est la technique la plus utilisée de nos jours,
néanmoins, d'autres techniques peuvent être mises en place et utilisées pour
une authentification plus "robuste" dite Authentification Forte.
En ce qui concerne les mots de passe nous pouvons distinguer deux
catégories:
- Les mots de passe statiques.
- Les mots de passe dynamiques.
Les mots de passe statiques, comme leur nom l'indique, restent identiques
pour plusieurs connexions sur un même compte. On rencontre ce type de
mot de passe, sous des environnements Windows NT/2000 ou Unix. Cette
technique d'authentification est la plus couramment utilisée dans les
entreprises, par contre elle reste la plus vulnérable de toutes, car il n'est pas
difficile de jeter un petit regard sur l'épaule de celui qui s'authentifie et
facilement deviner son mot de passe à la saisie, sur le clavier. La restriction
de ce type d'authentification, du point de vue des entreprises, serait une
solution pour palier ce genre de vulnérabilités.
Des solutions sont apparues pour palier cette faiblesse "relative" à l'usage du
mot de passe statique.
Par exemple, la combinaison de deux facteurs ("ce que je possède" et "ce
que je sais") afin d'obtenir une authentification Forte. Les mots de passe
sont obtenus par des générateurs de mots de passe dynamiques, (token6
code) activés à l'aide d'un code d'identification personnel ou PIN7 (Personal
Identification Number).
Ce mécanisme d'authentification forte, rend la capture du mot de passe en
cours, inutile, compte tenue, que le Code PIN est personnel et confidentiel et
que le Token Code est généré d'une façon aléatoire et d'une durée de vie de
60 secondes en général.
6
-Petit appareil destiné à générer des codes. Jeton en Français.
7
-Personal Identification Number. Identifiant d'un utilisateur sur un système
multi utilisateur, et plus généralement, identifiant de quelqu'un dans un
système quelconque. NIP en Français.
Page 21/162
Figure 7-Mécanisme d'authentification forte
2.4.2
Certificats à clé publique
Les certificats à clés publiques PKI8 (Public Key Infrastructure) constituent,
derrière le mot de passe, l'une des techniques d'authentification les plus
utilisées à ce jour, certes, loin derrière les mots de passe, mais il est certain
que ce moyen d'authentification trouve de plus en plus d'adeptes.
Basé sur une technologie de cryptographie asymétrique, il fait intervenir
deux éléments qui sont mathématiquement liés entre eux :
- La clé privée.
- La clé publique.
Nous aurons l'occasion de regarder plus en détail la technologie PKI dans le
deuxième chapitre.
Une fois les stations de travail équipées d'un lecteur de carte à puces, la
personne qui souhaite se connecter, décline son identité et la prouve, via un
certificat stocké dans la carte à puces. Le certificat est délivré par un tiers de
confiance, et il est constitué par l'ensemble des informations relatives à la
personne qui les possède.
8
-Ensemble de techniques, organisations, procédures et pratiques qui définissent
l'implémentation et l'exploitation de certificat numériques basés sur la
cryptographie à clés publiques
Page 22/162
Principaux constructeurs de lecteurs de cartes à puce:
Constructeur
American Express
Bull
Compaq
Modèle
GCR435
SmarTLP3
Serial reader
Interface
USB
Serial
Serial
Gemplus
Gemplus
Gemplus
Hewlett Packard
Litronic
Schlumberger
Schlumberger
Schlumberger
SCM
Microsystems
SCM
Microsystems
SCM
Microsystems
SCM
Microsystems
Systemneeds
Omnikey AG
Omnikey AG
Omnikey AG
GCR410P
GPR400
GemPC430
ProtectTools
220P
Reflex 20
Reflex 72
Reflex Lite
SCR111
Serial
PCMCIA
USB
Serial
Serial
PCMCIA
Serial
Serial
Serial
SCR200
Serial
SCR120
PCMCIA
SCR300
USB
External
2010
2020
4000
Serial
Serial
USB
PCMCIA
Figure 8-Lecteur de cartes à puce
Le prix moyen d'un lecteur est de 50 € l'unité.
Principaux constructeurs de cartes à puce:
Gemplus
Gemplus
Infineon
Schlumberger
Schlumberger
Schlumberger
GemSAFE 4k
GemSAFE 8k
SICRYPT v2
Cryptoflex 4k
Cryptoflex 8k
Cyberflex Access
16k
Figure 9-Carte à puce
Le prix moyen d'une carte à puce est de 10 € l'unité.
Page 23/162
Exemple d'un certificat, en l'occurrence, délivré par la société VeriSing.
Figure 10-Exemple d'un certificat
2.4.3
Biométrie
La biométrie est définie comme étant la science permettant l'identification
d'individus à partir de leurs caractéristiques physiologiques ou
comportementales.
Les techniques biométriques sont classées en trois catégories:
1 - Les techniques fondées sur l'analyse de traces biologiques (ADN,
sang, salive,…).
2 - Les techniques fondées sur l'analyse comportementale
(dynamique du tracé de signature, frappe sur un clavier
d'ordinateur,….).
3 - Les techniques fondées sur l'analyse morphologique (empreintes
digitales, forme de la main, traits du visage, iris,...).
Les caractéristiques doivent être universelles, autrement dit, exister chez
tous les individus, elles doivent être uniques de façon à permettre
l'identification d'un individu par rapport à un autre, elles doivent être
Page 24/162
permanentes et facilement collectables, en vue d’un enregistrement sur une
base de données, pour une comparaison future.
Enregistrement d'un utilisateur:
Acquisition
Extrait de la
caracteristique
Création fiche
utilisateur
Stockage
Figure 11-Acquisition caractéristiques biométriques
Authentification de l'utilisateur:
Acquisition
Extrait de la
caracteristique
Recherche
dans la base
de données
comparaison
fiche utilisateur
Figure 12-Authentification biométrique
Déroulement des différents processus d'authentification biométrique en
annexe1.
Page 25/162
L'implémentation d'un outil qui rende l'authentification unique, à l'ouverture
de chaque session, permet d'éviter aux utilisateurs de retenir un nombre
important de mots de passe. Le Single Sign On9 (S.S.O.) par exemple.
A noter, que la mise en place d'un S.S.O. ne contribue en aucun cas, à la
robustesse du processus de contrôle d'accès au SI, il s'agit simplement d'un
point d'entrée unique. Si pour une raison quelconque, cette identification
unique venait à céder, les conséquences pourraient être catastrophiques pour
la sécurité du S.I..
Pour pallier cette contrainte il est souhaitable de coupler le contrôle d'accès
des utilisateurs au S.I., via un serveur S.S.O., à une méthode
d'authentification Forte.
Tableau récapitulatif des vulnérabilités des techniques d'authentification les
plus utilisées:
Clé
Badge
Code
Empreinte
Copie
Vol
Oubli
Perte
+
+
+
+
+
+
+
9
-Solution logicielle basée sur un annuaire, qui permet aux utilisateurs d'un réseau
d'entreprise d'accéder, en toute transparence, à l'ensemble des ressources
autorisées.
Page 26/162
Tableau non exhaustif des avantages et des inconvénients des techniques
d'authentification les plus utilisées:
Avantages
Inconvénients
Mot de passe
statique
- peu coûteux
- facile à mettre en oeuvre
- facile à utiliser
Mot de passe
statique stocké
dans une carte
magnétique
activée par code
PIN
- robustesse du mot de passe
(possibilité de choisir un mot de
passe aléatoire et comprenant des
caractères spéciaux)
- pas de nécessité de mémoriser le
mot de passe
- vol du mot de passe en regardant
par dessus l'épaule
- oubli du mot de passe
- peu robuste (facilement devinable
ou "craquable")
- partageable, et trop souvent
partagé
- mot de passe re-jouable par une
personne malveillante
- vol, perte ou oubli de la carte
- carte partageable
- durée de vie du mot de passe
souvent trop longue : nécessité de
renouveler régulièrement
l'enregistrement dans la carte
- mot de passe re-jouable
Mot de passe
dynamique
généré par un
outil logiciel
- robustesse du mot de passe (mot
de passe souvent aléatoire et
comprenant des caractères
spéciaux)
- confort d'utilisation pour
l'utilisateur (absence de
mémorisation du mot de passe)
- peu de confort d'utilisation
(nécessité d'utiliser un logiciel à
chaque nouvelle connexion)
- protection de l'utilisation du
logiciel par une personne non
autorisée
Mot de passe
dynamique
généré par un
outil matériel
- confort d'utilisation pour
l'utilisateur (absence de
mémorisation du mot de
passe)
- robustesse du mot de passe
(usage unique)
- vol, perte ou oubli du générateur
de mot de passe
- le générateur peut se
désynchroniser avec le serveur qui
contrôle la vérification du mot de
passe
Certificat X.509
dans le
navigateur de
l'ordinateur
- multi usage
- robustesse de la méthode
d'authentification
- confort d'utilisation pour
l'utilisateur
- vol ou utilisation frauduleuse de
l'ordinateur et copie de la clé privée
associée au certificat
Certificat X.509
dans un token
USB
- multi usage
- robustesse de la méthode
d'authentification
- attitude similaire à la possession
de clés (maison, voiture)
- vol, perte ou oubli du token
2.5
PRINCIPAUX PROTOCOLES D'AUTHENTIFICATION
Page 27/162
2.5.1
Protocole PAP
Le protocole P.A.P. (Password Authentication Protocol) utilise des mots de
passe en texte brut (protocole d'authentification peu sophistiqué). Le
protocole PAP est généralement utilisé, lorsque la connexion et le serveur
ne peuvent négocier aucun moyen de validation plus sûr.
2.5.2
Protocole CHAP
Le protocole CHAP (Challenge Handshake Authentication Protocol)
négocie une forme sécurisée d'authentification cryptée à l'aide de Message
Digest 510 (MD5), un modèle de hachage normalisé. Le hachage est une
méthode de transformation des données (par exemple un mot de passe) en
un résultat unique qui ne peut plus retrouver sa forme d'origine. Le
protocole CHAP utilise un système de question/réponse avec hachage MD5
unidirectionnel de la réponse. Vous pouvez ainsi, démontrer au serveur, que
vous connaissez le mot de passe sans envoyer réellement celui-ci sur le
réseau.
A l'occasion d'une connexion distante, l'accès distant de Windows 2000 peut
négocier une authentification en texte brut, si l'autre produit ne prend pas en
charge l'authentification cryptée. Toutefois, si la connexion est configurée
pour exiger l'authentification cryptée, et que le serveur authentifiant, n'est
configuré que pour l'authentification en texte brut, la connexion sera
stoppée.
2.5.3
Protocole SPAP
Grâce au protocole S.P.A.P. (Shiva Password Authentification Protocol), les
clients Shiva11, peuvent appeler des ordinateurs qui exécutent Windows
2000 Server, tandis que les clients Windows 2000 peuvent appeler les
serveurs Shiva.
Si un serveur requiert l'utilisation du protocole SPAP, vous ne pouvez pas
exiger le cryptage des données.
10
-Fonction définie dans la RFC 1321. Il s'agit d'un hachage unidirectionnel,
permettant d'identifier un message, car deux messages produiront deux hachages
différents, et il est impossible de retrouver le message à partir de son hachage.
11
-Shiva Gold est un logiciel d'administration d'espaces multimédia, salles de jeux,
cybercafés.
Page 28/162
2.5.4
Protocole MS-CHAP
Le protocole MS-CHAP (Microsoft Challenge Handshake Authentication
Protocol) a été créé par Microsoft avec l'objectif, d’authentifier les stations
de travail Windows distantes, en fournissant les mêmes fonctionnalités des
réseaux locaux tout en intégrant les algorithmes de cryptage et de hachage
utilisés sur les réseaux Windows. Ce protocole utilise un système de
question/réponse avec cryptage unidirectionnel de la réponse. Son paquet de
réponse, possède un format spécialement conçu pour les produits réseau
Windows NT / 2000, ainsi que Windows 95 et les versions ultérieures.
Le protocole, MS-CHAP n'exige pas l'utilisation de mots de passe cryptés.
L'administrateur du système, peut définir les règles de modification des
mots de passe et des nouvelles tentatives d’authentification, pour les
utilisateurs qui se connectent au serveur.
Il existe une version du protocole MS-CHAP spécialement conçue pour la
connexion à un serveur exécutant Windows 95. Vous devez utiliser cette
version si vous vous connectez à un serveur exécutant Windows 95.
2.5.5
Protocole MS-CHAP v2
MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol
version 2) est un protocole d'authentification mutuelle, le client et le serveur
prouvent leur identité. Ce qui signifie que, si le serveur auquel nous nous
sommes connectés, ne prouve pas son identité, la connexion est arrêtée.
Cette fonction nous permet de configurer la connexion, de façon à assurer
une connexion au serveur spécifié.
Ce nouveau protocole offre des clés de cryptage initial des données, plus
robustes, ainsi que différentes clés de cryptage pour l'envoi et la réception.
Pour réduire le risque d'appropriation des mots de passe au cours d'échanges
MS-CHAP, MS-CHAP v2 abandonne la prise en charge de la modification
des mots de passe MS-CHAP et ne transmet pas de mot de passe codé.
2.5.6
VPN
Pour les connexions V.P.N. (Virtual Private Network), Windows 2000
Server propose le protocole MS-CHAP v2 plutôt que l'ancien protocole MSCHAP. Les clients Windows mis à jour, acceptent le protocole MS-CHAP
v2 lorsque celui-ci leur est proposé. Les connexions d'accès à distance ne
sont pas affectées.
Page 29/162
Les connexions V.P.N. et les connexions d'accès à distance Windows 2000
peuvent utiliser le protocole MS-CHAP v2. Les ordinateurs Windows NT
4.0 et Windows 98 ne peuvent utiliser que l'authentification MS-CHAP v2
pour les connexions VPN.
2.5.7
PPP
Le P.P.P. (Point-to-Point Protocol) utilise une méthode de transmission de
"packets12" en liens série points à points. Il s'agit de la méthode la plus
populaire pour les connexions à Internet, en utilisant une ligne téléphonique
régulière, car il permet l'utilisation d'autres protocoles tels que "IPX",
"TCP/IP" et "Netbeui" sur une connexion téléphonique standard.
2.5.8
Protocole EAP
Le protocole E.A.P. (Extensible Authentication Protocol) est une extension
du protocole P.P.P. (Point-to-Point Protocol). Le protocole EAP a été
développé pour répondre à la demande croissante d’authentification des
utilisateurs d'accès distant, employant d'autres périphériques de sécurité.
Grâce au protocole EAP, il est possible d'ajouter la prise en charge de
plusieurs modèles d'authentification, notamment les cartes à jeton, les mots
de passe à usage unique et l'authentification par clé publique, utilisant des
cartes à puce, des certificats, etc…
2.6
CONTROLE D'ACCES AUX RESSOURCES
Dans le cadre d'un réseau d'entreprise, la mise à disposition des salariés et
des collaborateurs, d'un local de "stockage" et du partage de données,
semble tout à fait normal et naturel. Toutefois, la maîtrise de ces espaces,
reste indispensable, car un espace collaboratif non maîtrisé, constitue un
point de faiblesse au coeur du S.I., et un point d'entrée et de sortie
d'information, non maîtrisé.
Dans les cas de Windows 2000 cette maîtrise peut être matérialisée à travers
la gestion des utilisateurs, dans les groupes locaux et globaux.
12
-Terme commun pour désigner une unité standard de donnée expédiée à travers le
réseau.
Page 30/162
Figure 13-Gestion d'utilisateurs et groupes locaux
En mettant en place des répertoires personnels et confidentiels (au niveau
d'un serveur de fichiers) à la disposition des utilisateurs nous allons les
inciter à sauvegarder leurs données "sensibles". En ayant une bonne
politique de sauvegardes, l'utilisateur se sentira protégé. Avec la mise en
place de quotas d'utilisation d'espace disque sur les serveurs, l'utilisateur se
sentira "obligé" de sauvegarder vraiment le strict nécessaire et
indispensable. Attention, tout de même, à ne pas "donner" des quotas trop
petits, car le manque de place peut avoir un effet inverse, et le stockage des
donnes "sensibles" se faire un peu partout, sauf à l'emplacement désiré.
Je détaillerai cette problématique au cours du. Chapitre 5 sous le thème des
sauvegardes des données.
Page 31/162
Schéma simplifié de l'architecture d'un serveur de fichiers:
Figure 14-Schéma simplifié de l'architecture d'un serveur de fichiers
Page 32/162
3 CHAPITRE 3-CRYPTOGRAPHIE
3.1
CRYPTOGRAPHIE
Depuis la nuit des temps, la transmission d'informations sensibles et
confidentielles, a employé des techniques de protection et de sécurisation
performantes. Le chiffre dit de "Jules César", 40 ACN en témoigne. Il
s'agissait de la méthode que Jules César utilisa pour transmettre ses ordres à
ses commandants sur le front de bataille. Le principe utilisé, était
extrêmement simple, il s'agissait de remplacer une lettre par la lettre
suivante dans l'ordre de l'alphabet.
Exemple de message codé:
Message d'origine
= BONJOUR
Message codé
= CPOKPVS
La technique de Jules César, dont la force résidait, dans le fait que, personne
d'autre ne connaissait son utilisation, cette technique est à l'origine de
nombreux systèmes cryptographiques plus complexes et plus sophistiqués.
Plus récemment, en particulier depuis la Seconde Guerre Mondiale, sous un
climat de Guerre Froide le développement des techniques cryptographiques
a gagné une nouvelle ampleur. Les besoins militaires, ainsi que les
applications civiles du chiffrement (banques, télécommunications,
informatique, cartes bancaires...) se transforment en une puissante courroie
de transmission du développement et d’amélioration des techniques
cryptographiques. Parallèlement, un nouveau type de cryptographie, qui va
révolutionner et apporter une sécurité "théorique" bien supérieure, est
inventé.
Les grandes puissances militaires, économiques et politiques, se sont
engagées dans le développement de nouvelles formes cryptographiques, en
premier lieu, les codages alphabétiques et numériques simples, et ensuite
des techniques cryptographiques plus musclées, et ce, grâce à l'outil
mathématique.
Le développement des S.I., a provoqué une explosion dans le
développement cryptologie, véritable science régissant le codage de
l'information, passant d'une ère plus au moins artisanale et confidentielle, à
une nouvelle ère, celle des systèmes de très hautes technologies nécessitant
une puissance de calcul phénoménale. Puis, l'arrivée des nouvelles
technologies de communication, comme l'Internet, a imposé une nécessité
Page 33/162
absolue de protéger les données échangées au quotidien dans la "toile", avec
le souci du respect de la vie privée d'autrui et de l'individu.
Voici une petite enquête menée par le site www.blocus-zone.com à la fin du
mois de novembre 2003. Pas exhaustive, très simpliste même, mais assez
démonstrative de l'utilisation du cryptage des données, en milieu extra
professionnel:
Le cryptage de données
C'est quoi çà ?
7%
Je le fais de temps en temps.
29 %
Je crypte régulièrement.
28 %
Je n'ai pas le temps de crypter.
27 %
Comment on crypte des données ?
7%
Source: http://www.blocus-zone.com
3.2
INTRODUCTION A LA CRYPTOGRAPHIE
Le cryptage ou "encryptage, chiffrage, chiffrement, encryptions" se traduit
par la transformation des données, de manière à ce que, seuls ceux qui ont la
clé de décryptage, puissent les exploiter. L'objectif premier est, bien sûr,
d'améliorer la protection et la confidentialité de notre vie privée, en
empêchant l'exploitation et les regards extérieurs indiscrets, en empêchant,
ou du moins,en retardant au maximum, la prise de connaissance des
informations qui nous sont strictement personnelles et confidentielles, et ce,
même si ces données circulent librement dans les réseaux de l'information.
Dés lors qu'on transpose cette réalité au monde du commerce, l'objectif, est
de rendre les informations confidentielles, dites "sensibles", comme la
comptabilité, les données des ressources humaines, les projets en cours ou à
venir, etc…le cryptage des données devient une pratique capitale pour le
maintien et la survie de la société.
Imaginons un seul instant, que la formule d'un "précieux" parfum venait à
tomber dans les mains d’une entreprise concurrente. Catastrophique, n'est ce
pas?
Le cryptage trouve aussi sa place, dans le cadre de la sécurité des
communications circulant sur un réseau non sécurisé.
Exemple:
Sonia désire envoyer un message à Angelo tout en voulant être sûre
qu'Angelo sera le seul à pouvoir le lire. Sonia va crypter le message avec
une clé de cryptage. Une fois ce message crypté elle l'envoie, à Angelo, qui
le décryptera avec sa clé de décryptage et pourra donc, lire le message tout à
Page 34/162
fait normalement. La question qui émane rapidement est de savoir comment
Angelo connaît la clé de décryptage du message envoyé par Sonia? Est-ce
Sonia qui lui a donné? Certainement, mais comment être sur que seul
Angelo la connaît?
Regardons ensemble les mécanismes qui permettent de répondre à ces
Techniques de Cryptographie.
La cryptologie, est la science qui régit la cryptographie, et elle est
essentiellement basée sur l'arithmétique.
Ainsi si nous prenons comme exemple un texte, son cryptage, consiste à
transformer les lettres qui le composent (le message), en une succession de
chiffres sous forme de bits13, pour permettre le fonctionnement binaire des
ordinateurs, et ensuite, faire des calculs sur ces chiffres, pour deux raisons:
- Pour modifier le message et le rendre incompréhensible. Le résultat de
cette action est appelé cryptogramme (le message chiffré).
- Faire en sorte que le destinataire puisse le déchiffrer en utilisant les
outils préétablis dans le protocole de communication, qui peuvent être
joints aux données.
Le fait de coder un message, de façon à le rendre secret, s'appelle le
chiffrement. La méthode inverse, consistant à retrouver le message original,
est appelée, le déchiffrement.
Canal de communication
Figure 15-Cryptogramme
Le chiffrement, est fait à l'aide de la clef de chiffrement, le déchiffrement,
l’est, avec une clef de déchiffrement.
13
-Unité binaire de quantité d'information qui peut représenter deux valeurs
distinctes, 0 ou 1.
Page 35/162
Nous distinguons généralement, deux types de clés:
1 - Les clés symétriques:
Des clés identiques sont utilisées, à la fois, pour le chiffrement et
pour le déchiffrement. Il s'agit du chiffrement symétrique ou de
chiffrement à clé secrète (Cryptographie à clé privée).
2 - Les clés asymétriques:
Des clés différentes sont utilisées, pour le chiffrement et le
déchiffrement. Il s'agit du chiffrement asymétrique (Cryptographie à
clé publique).
La cryptographie quantique, système de sécurisation basé sur la polarisation
des photons, est apparue dans les années soixante-dix. Technique
complètement différente des crypto-systèmes à clé, compte tenu, qu'elle
fonctionne sur des propriétés physiques intrinsèques au système.
3.3
3.3.1
CHIFFREMENT
Chiffrement à clé secrète
Le chiffrement à clé symétrique, aussi appelé chiffrement à clé privée ou
chiffrement à clé secrète, est basé sur l'utilisation de la même clé pour le
chiffrement et le déchiffrement.
Pour que Sonia puisse envoyer un message chiffré à Angelo, et que celui-ci
puisse le déchiffrer et, le lire par la suite, un échange de clé privée doit être
effectué auparavant. Cet échange comporte des risques, non négligeables,
d'interception de la clé privée. Cette clé peut être utilisée pour l'échange de
plusieurs messages et dans ce cas, le facteur confiance en l'utilisateur
devient un élément capital de l'intégrité des échanges. Ou bien, la clé de
chiffrement, peut être modifiée à chaque échange. Si cette deuxième
solution est retenue, il reste le problème de la gestion des clés; car le nombre
total de clés augmente beaucoup plus rapidement que celui des
protagonistes.
Figure 16-Chiffrement à clé privée
Page 36/162
Les travaux de Gilbert Vernam et Joseph Marlogne dans les années 20,
mettent au point la méthode du masque jetable (one time pad), basée sur une
clé privée générée aléatoirement, et utilisée une seule fois puis, détruite.
Pour la petite histoire, à noter que les communications entre la Maison
Blanche et le Kremlin étaient cryptées, par une clé privée, selon la méthode
du "masque jetable". La valise diplomatique était le moyen d'échange des
clés, jouant ainsi le rôle de canal sécurisé.
L’intérêt d’un tel système de chiffrement, est sérieusement remis en cause
par Claude Shannon (années 80) en démontrant, que, pour être totalement
sûr, les systèmes à clé privée, doivent utiliser les clés d’une longueur au
moins, égale à celle du message à chiffrer, et bien sur, un tel système de
chiffrement impose l'existence d'un canal sécurisé pour l’échange de la clé,
ce qui dégrade sérieusement les communications et les échanges réseau. Le
D.E.S. (Data Encryption Standard) peut être cité, comme exemple de
chiffrement à clé secrète.
3.3.1.1 D.E.S. (Data Encryption Standard)
Le N.B.S. (National Bureau of Standards) a lancé un appel dans le Federal
Register (début des années 70) pour la création d’un algorithme de cryptage
répondant à critères très particuliers, à savoir :
1 - Ayant un haut niveau de sécurité lié à une clé.
2 - Compréhensible.
3 - Indépendant de la confidentialité de l’algorithme.
4 - Adaptable et économique.
5 - Efficace et exportable.
Quatre ans plus tard, I.B.M. propose une solution baptisée Lucifer. Avec le
concours de la N.S.A.14, Lucifer est modifié, pour donner naissance à
D.E.S.. Standard de Cryptage de Données (Data Encryption Standard) le 23
novembre 1976. En 1978 le DES est finalement approuvé par le N.B.S. et
depuis, utilisé pour la cryptographie et l’authentification de données. Il a été
jugé extrêmement difficile à percer, à tel point, qu'il finit par être adopté par
le Ministère de la Défense des Etats-Unis qui le contrôlé par la suite. Les
chercheurs d’I.B.M. ont pensé et développé D.E.S. dans le but de répondre à
la demande des banques en matière de chiffrement des données. I.B.M. a
donc créé, des processeurs dédiés implantés directement en machine,
capables de crypter et de décrypter rapidement des données avec cet
14
-National Security Agency.
Page 37/162
algorithme. D.E.S. a été étudié intensivement depuis, et il est devenu
l’algorithme le mieux connu et le plus utilisé dans le monde, à ce jour.
Nonobstant la robustesse de D.E.S. une grande partie des entreprises,
préfère utiliser le "triple-D.E.S.". Le "triple-D.E.S." n’est plus, ni moins,
que l’algorithme D.E.S. appliqué trois fois, avec trois clés privées
différentes.
Schéma représentant l'algorithme D.E.S.:
Figure 17-Schéma représentant l'algorithme D.E.S.
Sources: http://bobbyseb.free.fr/
3.3.2
Chiffrement a clé publique P.K.C. (Public Key Cryptosystem)
Moins performant que le D.E.S., certes, le P.K.C. (Public Key
Cryptosystem) élimine le problème de l’échange des clés, compte tenu de
l'utilisation à la fois d'une clé de chiffrage publique, transmise sans
cryptage, et d'une clé de déchiffrage privé, qui n’est accessible qu’au
destinataire du message. Ce procédé, permet de résoudre le problème de
confidentialité de la transmission, tout en authentifiant l’émetteur du
message.
Page 38/162
Il est possible d'affirmer qu'il s'agit d’une signature électronique, qui va
permettre la réalisation de transactions commerciales, sur un réseau
publique comme Internet. L'authentification mise en œuvre par les cartes
bancaires à puce, est basée sur ce principe, l'individu possédant une carte de
ce type est authentifié par le couple:
- Carte à puce.
- Code secret.
Schéma fonctionnel, simplifié, d'une infrastructure PKI:
Service de
publication
certificats
Autorité
de Certification
Autorité
d'Enregistrement
Autorité
de séquestre
Autorité(s)
de Validation
Serveur de licences
demandes certificats
retirer les certificats
renouveler
révoquer
recouvrement
de clés
Vérification
de validité
des certificats et
des signatures
Utilisateur
s internes
Internet
Intranet
Clients
Figure 18-Schéma fonctionnel simplifié, d'une P.K.
Page 39/162
Serveurs applicatifs
Whitfield Diffie et Martin Hellman, chercheurs à l’Université de Stanford,
introduisent en 1976, le concept de clé publique, dans le monde de la
cryptologie.
Partant du principe que seul le destinataire du message à déchiffrer doit
posséder la clé de déchiffrement, le chiffrement du message par l'expéditeur
peut être exécuté par une clé connue de tout le monde, (la clé publique) à
condition, que la clé publique, ne permette pas de réduire la valeur de la clé
secrète. De ce fait, pouvoir déchiffrer un message, apporte la preuve que le
destinataire est en possession de la clé privée. Nous parlons alors, de
Cryptographie asymétrique.
Leurs travaux ralentissent, car les difficultés des deux chercheurs à proposer
un véritable crypto système à clé publique, sont évidentes. Pendant ce
temps, le M.I.T. (Massachusetts Institute of Technology) reprend l’idée.
Diffie et Hellman publient en 1978 un procédé de chiffrement, mettant en
œuvre leurs idées de base.
Un premier constat:
- La clé publique autorise le transport des clés conventionnelles sans
avoir recours à l’existence d’un canal sécurisé pour l'échange des clés.
- Un système de chiffrement peut être utilisé comme mode
d’authentification.
En fait, si nous reculons un peu dans l'Histoire, nous trouvons un
mécanisme similaire développé dans les années 50 par l’Armée de l’Air
américaine, qui consistait à identifier les appareils "amis" par leur capacité à
déchiffrer un message choisi au hasard et inclus dans le signal radar.
Page 40/162
Figure 19-Chiffrement à clé publique
3.3.2.1 Le système R.S.A.
En 1978, naît R.S.A., algorithme à clé publique de Ron Rivest, Adi Shamir
et Leonard Adelman. À l’aube de l’an 2000, il servait encore, à protéger les
codes nucléaires des Armées Américaine et Soviétique.
Le brevet de cet algorithme est propriété de la Société américaine R.S.A.
Data Security, qui fait maintenant partie de Security Dynamics et Public
Key Parteners, P.K.P. à Sunnyvale, Californie, Etats-Unis, qui possèdent les
droits sur les algorithmes à clé publique en général.
R.S.A. est un algorithme à clé publique qui sert aussi bien à la cryptographie
de documents, qu’à leur authentification. S'agissant d'un algorithme à clé
publique et étant très sûr, R.S.A. s'est imposé comme standard, dans le
domaine de la cryptographie.
3.3.3
L’authentification de documents
Authentifier un document, c’est être certain de l’identité de l’auteur du
document en question. Cette authentification se fait en général sur un
document papier et elle peut se révéler indispensable, dans le cadre d'un
litige sur un contrat commercial, par exemple. L’authentification se fait
toujours sur un contrat papier, par une signature manuscrite et reconnue par
un tiers de confiance, un notaire en général. Dans le cadre de
Page 41/162
l’authentification d’un document informatique, il est complètement
impossible d'y apposer une signature manuscrite. La solution passe par
l'apposition d'une signature "digitale".
Comment?
En cryptant avec notre clé privée nos noms, prénom et fonction ou statut au
sein de l'entreprise. Ainsi pour vérifier que Sonia est bien l'auteur du
document envoyé à Angelo, il suffit d'utiliser la clé publique de Sonia, pour
le décryptage du document en question. Si le décryptage fonctionne, il est
donc possible d'affirmer que la signature a été créée avec la clé privée de
Sonia.
Page 42/162
Tableau récapitulatif de la gestion des clés avec R.S.A.:
Pour ...
un document
nous utilisons
à la clé publique
Envoyer
crypté
quelqu’un
Envoyer une signature cryptée à la clé privée
quelqu’un
Décrypter un document
la clé privée
Décrypter une signature
la clé publique
3.4
3.4.1
de qui ?
du destinataire
de l’expéditeur
du destinataire
de l’expéditeur
CRYPTOGRAPHIE HYBRIDE
P.G.P. Pretty Good Privacy
P.G.P. est un crypto-système hybride, autrement dit ce crypto-système
combine des fonctionnalités de la cryptographie de clé publique et de la
cryptographie conventionnelle.
De nos jours, la convergence entre la facilité d’utilisation du chiffrement
asymétrique et la vitesse du chiffrement symétrique font de P.G.P; un
crypto-système extrêmement performant et d'un niveau de sécurité
absolument convenable.
Le chiffrement se fait en deux étapes distinctes:
1 - La première, consiste en la création d'une clé secrète I.D.E.A.15
(International Data Encryption Algorithm) de manière aléatoire, et
ensuite, l'utilisation de cette même clé pour le chiffrement des
données.
2 - La deuxième étape, chiffre la clé secrète I.D.E.A. créée
précédemment au moyen de la clé R.S.A. publique du destinataire de
notre message.
Le processus inverse est mis en œuvre pour déchiffrer le message reçu par
notre destinataire.
1 - A l'aide de sa clé privée R.S.A., le destinataire déchiffre la clé
secrète I.D.E.A..
2 - Le destinataire déchiffre les données à l'aide de la clé secrète
I.D.E.A. qu'il vient d'obtenir.
15
-Algorithme de chiffrement développé par X. Lai et J. Massey en Suisse au début
des années 1990.
Page 43/162
P.G.P. utilise une fonction de hachage lors de son mécanisme de
chiffrement qui permet d'alléger considérablement le taux d'occupation
d'espace disque, le temps de transfert par modem et l'occupation des réseaux
L.A.N.16 et W.A.N.17.
Ce mode de fonctionnement permet par ailleurs, de réduire l'exploitation par
les cryptanalystes des modèles trouvés dans le texte en clair, compte tenue
que la fonction de hachage réduit ces modèles dans le texte en clair,
améliorant ainsi la résistance à la cryptanalyse.
Figure 20-Mode de fonctionnement de P.G.P.
16
-Réseau local "Local Area Network", dont les câbles ne font pas plus que
quelques centaines de mètres de long, rencontré par exemple dans les entreprises.
17
-Réseau de grande taille Wide Area Network, parfois mondial.
Page 44/162
3.5
LE SCELLEMENT
L'implémentation de systèmes à clé publique a permis de mettre en place
des mécanismes de signature digitale. Il est alors possible de garantir, pas
simplement l'intégrité des données, mais aussi son auteur. Toutefois le coût
très élevé de ces algorithmes de chiffrement, rend la solution quasi
prohibitive. Des mesures de contournement sont utilisées, notamment à
travers l'utilisation de la fonction de scellement.
Les fonctions de scellement, sont utilisées pour la vérification des
informations sensibles.
Exemple de fonctionnement de la fonction de scellement:
Figure 21-Scellement
Comparaison des forces des algorithmes:
Degré de sécurité *
Type
Idea
De type militaire
Blowfish De type militaire
Implémentation
Vitesse
128 bit Secret partagé
Rapide
256 to 448 bit Secret Très rapide
partagé
DES
Bas
40 to 56 bit Secret partagé Rapide
RSA
De type militaire
2048 bit Clé publique
Très lent
MD5
Elevé
128 bit Message Digest
Lent
SHA
Elevé
160 bit Message Digest
Lent
* dépend de la longueur de la clé, évaluée en fonction de la longueur
maximale de la clé
Page 45/162
3.6
LA CRYPTOGRAPHIE QUANTIQUE
Existe-il un crypto-système sûr?
Oui! Il existe!
Comme nous l'avons déjà vu, l'échange des communications dites secrètes
entre la Maison Blanche et le Kremlin sont considérés sûrs, en revanche les
moyens employés sont démesurés, notamment le canal utilisé pour le
transport des clés, en l'occurrence la fameuse valise diplomatique. Même si
ce canal n'est pas totalement inviolable, il est convenu que les moyens mis
en œuvre son considérés sûrs. Ce mécanisme de chiffrement emploi des clés
aussi longues que le message ce qui pose d'énormes problèmes de
transmission, de ce fait nous conviendrons que la mécanique employée est
quasiment impossible à mettre en place dans le cadre de l'échange des
communications "sensibles" de nos entreprises.
Le jeudi, 03/06/2004, des tests effectués, dans le cadre du projet Qnet18,
entre B.B.N. Technologies Cambridge, Massachusetts et l'Université de
Harvard, aux Etats-Unis, laissent espérer que la cryptographie quantique
pourra à court terme résoudre cette problématique. Pour le moment, et en
tenant compte de l'annonce de juin2004, les chercheurs sont sur la bonne
voie, sachant que Qnet, (réseau constitué de plus de deux machines) a utilisé
avec succès la cryptographie quantique dans les échanges de données entre
les deux institutions.
Cette fois, les théorèmes mathématiques et les algorithmes ne seront plus à
la base de la sécurité des données, à contrario, les lois fondamentales de la
physique seront les grandes ouvrières de ce vaste chantier.
La mécanique mise en route par la cryptographie quantique, est basée sur le
fait que les photons prennent en charge le transport des clés "quantiques".
En sachant que chaque photon peut être polarisé, c'est-à-dire, que nous
pouvons imposer une direction à son champ électrique il devient possible de
mettre en place un filtre polarisant, suivi d'un détecteur de photons qui nous
permettrait d'établir une communication binaire entre deux machines.
Voir polarisation des photons en annexe 2.
18
-Abréviation de "Quantum Net" nom du réseau qui teste la cryptographie
quantique.
Page 46/162
Figure 22-Filtre rectiligne "cryptographie quantique"
Malgré son allure futuriste, cette nouvelle forme de cryptographie ne
rencontre plus que quelques obstacles à son implémentation. D'une part, le
coût très élevé des machines qui l'implémentent, et d'autre part, la portée
relativement courte des échanges possibles (50 Km). Ce qui nous laisse
croire que cette technologie est destinée (dans un premier temps) à des
organismes gouvernementaux et éventuellement, a des organismes
bancaires.
Page 47/162
4 CHAPITRE 4-ORGANISATION ET PROCEDURES
4.1
INTRODUCTION
Une grande majorité des ordinateurs installés dans les entreprises, sont des
ordinateurs portables, au premier trimestre 2004 le marché des ordinateurs
portables professionnels enregistre une croissance de 45% par rapport à la
même période de l'année précédente. Une large "palette" de la population
utilisatrice de ces machines utilise leur capacité de stockage (de plus en plus
importante) pour le transport, le stock et la sauvegarde d’une quantité non
négligeable de données.
Malheureusement, les escrocs le savent. Dans les gares, dans les aéroports
ou dans nos locaux de travail, les disparitions de ces équipements sont très
fréquentes, et bien évidemment les données disparaissent aussi.
L'objectif de ce Mémoire, et en particulier de ce chapitre, est de mettre en
évidence la nécessité de crypter les données dites sensibles, contenues dans
les disques durs de ces équipements.
Je vais donc mettre en pratique la procédure de cryptage des données et
vous expliquer les choix des outils retenus pour cette opération.
Je vous parlerai des avantages et des inconvénients du cryptage des
données, et, en fin de chapitre, je ferai une légère incursion dans le monde
des Virus, Vers et Chevaux de Troie.
4.2
OUTILS DE CRYPTAGE
La liste des produits cryptologiques est vaste (détail en annexe 5) en ce qui
me concerne j'ai choisi trois produits bien précis.
Les critères de choix ont été les suivants:
- Simplicité d'utilisation.
- Valeur d'investissement (prix à l'achat).
- Qualité du produit.
Je tiens à souligner qu'il s'agit d'une appréciation strictement personnelle, et
cela ne doit pas mettre en cause la qualité de l'ensemble des produits du
marché. A titre d'exemple et si je tiens compte de l'interview donné par
Samuel Barbaud, le R.S.S.I.19 de la maison Cartier au Journal du Net le 19
19
-Responsable de la Sécurité du Système d'Information
Page 48/162
décembre 2002, le cryptage intégral des disques durs de leurs PC portables
se fait avec la solution d'Ultimaco Safeguard.
Voici un tableau des produits retenus:
Produit
E. F .S.
Système de Fichiers
Cryptés
P. G. P.
Pretty Good Privacy
Security Box
4.2.1
Entreprise
MCROSOFT
Logiciel libre développé par les utilisateurs
regroupés autour du groupe de travail OpenPGP20
MSI 21
Méthodes et Solutions Informatiques
E. F. S.
J'ai une préférence particulière pour E.F.S. Système de Fichiers Crypté
(Encrypting File System) pour le cryptage des données. E. F. S. est fourni en
standard dans les Systèmes d'Exploitation de Microsoft, Windows 2000 et
ultérieurs.
La question est: pourquoi E. F. S.?
Trois raisons sont essentiellement, à la base de ce choix:
- Économiques:
Le système E.F.S. est fourni en standard dans les O. S. Microsoft,
donc pas d'effort financier à fournir.
- Pour la simplicité d'utilisation du système:
Aucun effort "administratif" de la part de l'utilisateur pour crypter ou
décrypter les données qu'il manipule.
- Pour sa compatibilité avec l’O. S. Microsoft. Compatible avec
Windows 2000 et versions ultérieures. Une seule exigence: que le
disque dur soit formaté22 au format N.T.F.S.23.
20
-Le standard OpenPGP est libre et développé par tous les utilisateurs autour du
groupe de travail OpenPGP de l'IETF (Internet Engineering Task Force.
21
-MSI, éditeur spécialisé dans la sécurisation des données.
22
-Opération visant à effacer les données d'un support de stockage et le préparer à
recevoir de nouvelles données.
23
-En Anglais: New Technology File System. Technologie d'archivage de
l'emplacement des fichiers propre à Windows NT.
Page 49/162
L'hégémonie de Microsoft sur les marchés des logiciels qui équipent les
ordinateurs "clients" ne laisse pas trop de marge de choix. Mieux vaut
assurer une compatibilité et une évolutivité au départ, que de passer une
partie du temps à appliquer des "rustines" de correction.
Part de marché de Microsoft sur l’O. S.
Parts de marché des systèmes d'exploitation
sur postes clients en 2002
Microsoft Windows
93,80%
MacOS
2,90%
Linux
2,80%
Autres
0,50%
4.2.2
P.G.P.
P.G.P., Pretty Good Privacy est probablement un des logiciels les plus
connus dans le domaine de la protection des données, il est très souvent
utilisé pour protéger le courrier électronique.
P.G.P. est un logiciel de cryptage gratuit, il est proposé en libre
téléchargement sur de nombreux sites. P.G.P. est disponible pour les platesformes Windows ainsi que pour, BeOS, Linux et MacOS.
4.2.2.1 Installation PGP
Dès son l'installation, PGP vous demande des renseignements suivants : vos
Nom et E-Mail, par la suite, il vous demandera de choisir les composants à
installer, et cela, en fonction du client de messagerie que vous utilisez. En ce
qui me concerne, j'installe les deux produits présents dans ma configuration,
cette opération ne pose pas de problèmes de compatibilité, car vous pouvez
changer à tout moment de client de messagerie sans se soucier de la
compatibilité.
23
-Découper (logiquement) un disque dur en plusieurs sous unités gérées comme
autant de disques plus petits.
Page 50/162
Figure 23-Choix du client messagerie sous P.G.P.
L'installation suit son cours, et vous propose de lancer P.G.P.Keys.. Une fois
lancée, P.G.P.Keys va créer une nouvelle paire de clefs, la clef privée et la
clef publique.
Si l'assistant de création ne se lance pas, cliquez sur l'icône de la barre
d'outils "Générer une nouvelle paire de clés". Il suffit de suivre les
instructions, pour poursuivre l'installation.
Pour générer votre clé privée, P.G.P.Keys vous demande de saisir une
phrase "secrète", cette phrase servira à générer votre clé privée.
Une barre indicatrice permet de mesurer la complexité de la phrase secrète.
Il convient d'y introduire des caractères spéciaux, accentués, des chiffres
etc. vous devez mémoriser impérativement cette phrase, elle vous sera
indispensable pour vous servir de P.G.P.. Dans mon cas, et à titre de test, j'ai
saisi la phrase suivante:
Je-M'appelle-Antonio!
Page 51/162
Figure 24-Saisie de phrase secrète sous P.G.P.
Au cours de l'installation P.G.P., vous propose de sauvegarder les deux clés
créées sous deux fichiers, secring.skr (pour la clé privée) et pubring.pkr
(pour la clé publique).Il convient de les sauvegarder sur un "media" sûr, car
elles vous seront d'une utilité élémentaire pour la récupération des données,
dans le cas d'une panne du système. Toutefois, et cela, dans un souci de
sécurité, il est primordial de garder ces fichiers en lieu sûr, car si quelqu'un
les récupère, il pourra facilement déchiffrer vos documents.
L'installation P.G.P.est désormais terminée.
Voici en exemple de clé publique:
Figure 25-Exemple Clé publique copiée dans un document .txt
4.2.3
Cryptage des données avec P.G.P.
Le cryptage des données se fait à partir de la barre d'outils P.G.P.Tools une
fois lancée, cette barre vous donne la possibilité de chiffrer vos données, les
signer seulement, ou bien de les chiffrer et de les signer.
Page 52/162
Figure 26-Barre d'outils P.G.P. Tools
En cliquant sur le 2éme bouton vous lancez le processus de cryptage simple
des donnés, PGP vous demande alors d'indiquer le chemin du fichier que
vous voulez chiffrer et signer.
Dans mon cas, il se trouve dans le dossier de test situé dans:
D:\donnes\test_PGP.txt.
Une fois le chemin spécifié, une nouvelle fenêtre vous permettant de
sélectionner la clé publique du destinataire s'ouvrira, et à ce moment, vous
aurez la possibilité de sélectionner une ou plusieurs clés (destinataires) et de
choisir le type de chiffrement.
Une méthode plus rapide et simple existe pourtant, en cliquant sur le
document avec le bouton droit de la souris un menu contextuel s'ouvre. Un
onglet PGP vous permet d'utiliser directement P.G.P. sur le document.
Figure 27-Utilisation des composants de PGP à partir du menu contextuel
4.2.4
Décryptage des données avec P.G.P.
Pour décrypter un fichier et cela à partir de P.G.P.Tools, cliquez sur le
cinquième bouton "Décrypter & Vérifier" et indiquez l'endroit où se trouve
le fichier à déchiffrer. Un nouveau message P.G.P. vous demandera où il
doit stocker le document en cours de décryptage, vous lui spécifiez un
chemin valide et le processus de décryptage se termine naturellement.
Page 53/162
Figure 28-Barre d'outils P.G.P.Tools
4.2.5
Intégration de P.G.P. à la messagerie
Une des principales vocations de P.G.P. est de s'intégrer naturellement à
tout client de messagerie et ainsi proposer la sécurisation des messages
échangés sur Internet à travers le courrier électronique. Cette intégration est
donc automatique lors de l'installation de P.G.P. si vous avez sélectionné les
clients de messagerie.
Figure 29-Intégration P.G.P aux clients messagerie
Une icône apparaîtra dans la barre d'outils de votre client de messagerie, ce
qui vous permet d'utiliser rapidement les fonctionnalités des outils de PGP.
Figure 30-Intégration de PGP au client de messagerie
Il s'intègre facilement dans les nouveaux messages, ainsi après avoir rédigé
votre message comme d'habitude, avant de l'envoyer vous pouvez cliquer
Page 54/162
sur le bouton "Chiffrer & Signer", un cadenas et un cachet s'affichent à côté
des champs A et Cc.
Il ne vous reste plus qu'à cliquer sur envoyer et P.G.P. s'ouvre pour chiffrer
votre mail de la même façon que décrite précédemment. Une fois cette
manipulation terminée, votre mail est codé et incompréhensible pour les
personnes qui veulent le lire sans déchiffrement préalable.
En résumé, P.G.P. est un logiciel de cryptage très puissant, gratuit et
d’utilisation simple.
4.3
SECURYTY BOX
Security BOX est un logiciel cryptographique considéré par son éditeur
comme le "coffre fort" personnel, en ce qui concerne le cryptage des
données.
Dans le cadre professionnel l'offre Security BOX Business Solutions de la
société M. S. I comporte une suite logicielle de sécurisation des postes de
travail qui va du simple cryptage des donnés à la connexion V.P.N..
Voici les détails de l’offre:
Chiffrement de fichiers et répertoires,
signature
électronique,
effacement
irréversible
Confidentialité, authentification et non
Security BOX Mail
répudiation des e-mails
Protection des échanges via réseaux publics
Security BOX VPN
ou privés
Security BOX Manager Administration des utilisateurs Security BOX
Security BOX File
Le module, Security BOX Safe Extension, permet le partage de fichiers
sensibles sur un serveur, à destination de plusieurs collaborateurs, dans le
cadre du travail collaboratif.
Page 55/162
Voici les détails de l’offre:
- Permet de chiffrer des fichiers vers plusieurs
correspondants, simultanément.
- Signature électronique.
Security BOX Sign - Donne la possibilité d'ouvrir à chaque fois le
fichier avant de le signer.
- Implémente le protocole L2TP et l'algorithme
AES 256 bits y est maintenant actif. Il permet
Security BOX VPN une renégociation automatique des tunnels,
avant leur expiration évitant ainsi de remonter
un tunnel à chaque expiration.
Security BOX File
Ces offres, sous forme de PACKS, essentiellement portées par le réseau de
partenaires de Finmatica-MSI (CapSynergy, Axipe Integralis, Nexus, Arche,
Ipelium, VolProtect, etc.) permettront aux P.M.E. et P.M.I. de bénéficier de
solutions de sécurité flexibles, d’un service associé pour le déploiement et
d’une assistance leur garantissant un service complet pendant un an, les
libérant ainsi de toute problématique structurelle et/ou humaine.
PACK
10
PACK
25
PACK
50
1 an de maintenance évolutive niveau Emeraude.
1 journée d’assistance technique pour déployer la
solution.
1 Security BOX® Manager V5.
Entreprise 1 an de maintenance évolutive niveau Emeraude.
1 journée d’assistance technique pour déployer la
solution.
1 Security BOX® Manager V5.
Entreprise 1 an de maintenance évolutive niveau Emeraude;
1 journée d’assistance technique pour déployer la
solution.
Entreprise
Je n'ai pas d’informations officielles sur les tarifs pratiqués par M.S.I.
malgré cela d’après mes dernières recherches le prix de "départ" (PACK
Entreprise 10) démarrerait aux alentours de 2 930€.
Dans sa version Freeware24, Security BOX peut se révéler très utile pour un
usage privé. La protection des données est assurée à travers le cryptage de
celles-ci. De plus, son utilisation permet de compresser les données, il est
très utile dans le cadre du transfert des fichiers ou de données à travers les
réseaux, ou par mail.
24
-Par le terme "freeware" (appelé également "graticiel" ou "gratuiciel" en français)
est désigné un logiciel gratuit d'utilisation sous certaines restrictions et conditions
(propres à chaque freeware et définies par ses auteurs).
Page 56/162
4.3.1
Utilisation de Security BOX
4.3.1.1 Cryptage des données avec Security BOX.
Le glisser/déposer, drag & drop,25 vous permet de crypter un fichier en
faisant un glisser/déposer sur l'icône de Security BOX Freeware.
Le "clic droit" de la souris vous permet d’utiliser les fonctions "crypter", qui
crypte le fichier sélectionné et "crypter vers". Celle-ci vous permet de
crypter n'importe quel type de fichier préalablement sélectionné.
1 - Vers une disquette :
Sauvegarde du fichier chiffré directement sur la disquette.
2 - Vers destinataire de message:
Insertion automatique du fichier chiffré (pièce jointe) dans un
nouveau message.
3 - Vers disque ou répertoire:
Sauvegarde du fichier chiffré dans un autre disque ou répertoire.
4 - Vers bureau:
Crypte directement le fichier sur le bureau
5 - Vers mes documents:
Crypte la sélection dans le dossier "mes documents"
25
-Action par laquelle l'utilisateur sélectionne avec le pointeur de la souris un objet
à l'écran, le déplace jusqu'à une autre position en maintenant le bouton de la souris
appuyé, puis le lâche.
Page 57/162
A chaque fois, une fenêtre apparaît et vous demande si vous êtes certain de
vouloir crypter ce fichier. En cliquant sur 'oui', une autre fenêtre s'ouvre et
vous demande d'entrer le mot de passe. A la confirmation de ce dernier, le
cryptage et la compression s'effectuent immédiatement.
Le fichier crypté est désormais reconnaissable par l'icône Security BOX®
Freeware.
4.3.1.2 Décryptage des données avec Security BOX.
Le clic droit de la souris vous permet de décrypter un fichier crypté de deux
manières:
1 - Ouvrir:
Décrypte le fichier sélectionné et lance l'application qui y est associée.
2 - Décrypter:
décrypte uniquement le fichier sélectionné.
Une fenêtre apparaît alors et vous demande si vous voulez déchiffrer. En
cliquant sur 'oui', le fichier se décrypte et se décompresse automatiquement.
En somme, Security BOX est simple d’utilisation et d’une rapidité de
traitement très intéressante, il permet de concilier cryptage avec
compression, ce qui facilite l’envoi des pièces jointes cryptées sur Internet
(messagerie électronique).
4.4
CRYPTAGE DES DONNES SUR DISQUE DUR
Compte tenu de la grande capacité des disques durs qui équipent les
ordinateurs portables, et pour simplifier les interventions à caractère
Page 58/162
technique sur les machines, il est recommandé de partitionner26 les disques
durs.
Créer deux partitions, est l'idéal. Une première, pour héberger l'installation
du Système d'Exploitation et tous les logiciels bureautiques, métier,
etc…Une deuxième abriterait le "stockage" des données proprement dites.
Exemple de structure d'un Disque Dur de 20 Go.
Figure 31-Structure d'un Disque Dur partitionné
Le fait de pouvoir compter avec une partition dédiée aux données simplifie
l'utilisation pour l'utilisateur final. En ce qui concerne le cryptage des
données, je préconise la création d'un nouveau dossier. Il convient de lui
donner un nom assez simple, explicite et en même temps pas trop attrayant
par exemple, "données". Les noms du genre "top secret" ou "confidentiel"
sont à proscrire.
Figure 32-Création d'un nouveau dossier
26
-"Découper" un disque dur en plusieurs sous unités gérées comme autant de
disques plus petits.
Page 59/162
Figure 33-Renommer le dossier "données"
4.4.1
Crypter un dossier avec E.F.S.
Une fois le dossier crée et convenablement renommé, cliquez avec le bouton
droit de la souris sur le dossier à crypter et choisissez Propriétés.
Dans l'onglet Général, cliquez sur Avancé…
Activez la case à cocher Crypter le contenu pour sécuriser les données et
cliquez sur OK.
Page 60/162
Dans la boîte de dialogue Propriétés, cliquez sur Appliquer.
Confirmer les modifications des attributs et appliquez-les au dossier en
question et tous les sous-dossiers et fichiers.
Page 61/162
Une fenêtre de l'état d'avancement de l'application des attributs doit
apparaître.
Une fois les attributs correctement appliqués vous constaterez que le nom du
dossier change de couleur, ça permet d'identifier plus facilement les dossiers
ou les fichiers cryptés.
Désormais, nous disposons d'un dossier capable d'abriter les données
sensibles.
J'attire votre attention sur le fait que le paramétrage décrit, a été fait sous un
environnement de test Windows XP. Sous Windows 2000 on obtient des fenêtres
légèrement différentes, toutefois, la procédure reste strictement identique
4.4.2
Décrypter les dossier avec EFS
Pour décrypter un dossier, il suffit de suivre exactement la même procedure,
en désactivant la case à cocher "Crypter le contenu pour securiser les
données".
Page 62/162
4.4.3
Avantages
Hormis le fait d'obtenir une sorte de coffre-fort qui n'est accessible que par
l'utilisateur authentifié auprès de la machine, le fait de crypter les données
sur le disque dur, constitue un élément majeur vers l'intégrité et la
confidentialité des données embarquées.
4.4.3.1 Récupération des données
E.F.S. permet la création et la mise en place d'agents de récupération de
données susceptibles de décrypter les dossiers et les fichiers lorsque le
créateur original n'est pas en mesure de le faire.
4.4.3.2 Partage des fichiers cryptés
La possibilité de partager des fichiers cryptés reste une fonctionnalité très
intéressante, cependant, le paramétrage et l'échange de clefs restent assez
complexes.
4.4.3.3 Cryptage des fichiers temporaires
En temps normal, les fichiers temporaires ne sont pas cryptés, ce qui
constitue un point faible en ce qui concerne la sécurité des données. Avec le
Système de Fichiers Cryptés la question ne se pose pas compte tenu, que
même les fichiers temporaires seront cryptés.
4.4.4
Inconvénients
Protéger sa vie privée ainsi que les données professionnelles ne doit pas être
considéré comme une corvée. Mais le cryptage est très souvent assimilé à
une perte de temps, j'entends par là, temps nécessaire au cryptage des
Page 63/162
fichiers qui se calcule en général en quelques secondes. Il s'agit là d'une idée
reçue, car une fois le dossier marqué pour le"Crypter le contenu pour
securiser les données" aucun effort administratif de la part de l'utilisateur
n'est necessaire. Autrement dit, un simple cliquer-deposer, suffit à crypter et
à décrypter un fichier, donc pas de perte de temps, pas d'inconvenients, tout
simplement.
4.5
LES VIRUS "VIRUS, VERS ET CHEVAUX DE TROIE"
En Médecine, le virus est défini comme un agent microscopique, parfois
pathogène, pouvant infecter une cellule. Fred Cohen a utilisé ce terme dans
sa thèse publiée en 1985, dans le cadre de ses travaux et expériences de
sécurité informatique à l'Université du Sud de la Californie, il décrit les
Virus comme étant "des programmes informatiques capables d'infecter
d'autres programmes en les modifiant afin d'y intégrer une copie d’euxmêmes, qui auraient pu légèrement évoluer".
La similitude avec son "frère biologique" est évidente, la capacité de
reproduction et d’infection de l’environnement qu’il utilise, généralement à
l'insu des utilisateurs, ainsi que les fonctions destructrices justifient ce
rapprochement. Cependant, un virus ne pourra pas se propager dans un
environnement informatique sans l’aide de l’utilisateur. Autrement dit, un
programme infecté doit être exécuté, pour que le virus soit activé.
Il y a d'autres programmes dangereux que l'on confond très souvent avec les
virus, je pense très exactement aux Vers27, Chevaux de Troie28 et Bombes
Logiques29.
A la différence des virus, ces programmes ne possèdent pas la capacité de se
multiplier sur le système infecté. Mais certains d’entre eux, sont parfois
paramétrés pour accomplir automatiquement des opérations potentiellement
dangereuses.
27
-Programmes capables de se répliquer à travers les terminaux connectés à un
réseau, et d’exécuter un certain nombre d'actions susceptibles de porter atteinte à
l’intégrité des systèmes d’exploitation.
28
-Programme qui, introduit dans une séquence d'instructions normales, prend
l'apparence d'un programme valide. Mais il contient en réalité une fonction illicite
cachée, grâce à laquelle les mécanismes de sécurité du système informatique sont
contournés, ce qui permet la pénétration par effraction dans des fichiers pour les
consulter, les modifier ou les détruire.
29
Sont appelés bombes logiques les dispositifs programmés dont le déclenchement
s`effectue à un moment déterminé en exploitant la date du système, le lancement
d`une commande, ou n`importe quel appel au système.
Page 64/162
De ce fait, la simple visualisation automatique d'un e-mail dans une machine
non protégée par un anti virus, peut déclencher l’ouverture du programme
malveillant.
Voici un tableau récapitulatif des principales causes de perte de données:
Figure 34-Tableau récapitulatif des principales causes de perte des données
Source: On Track30
4.5.1
Les différentes familles de virus
4.5.1.1 Virus Système
Appelés virus de boot, ou de zone de démarrage, les Virus Système infectent
la zone de Boot31 (amorce) d'un disque dur ou d'une disquette. L’objectif de
ce type de Virus est de modifier le contenu de la zone de Boot par son
propre code, et bien entendu, être exécuté en priorité, au moment du
démarrage de la machine infectée.
La suite n’est pas difficile à deviner, le Virus déplace le code original de la
zone d'amorçage vers une autre partie du disque dur, et contamine par la
suite toutes les disquettes ou supports amovibles insérés dans l'ordinateur.
Michel Angelo, reste le plus célèbre des Virus Système, il est apparu en
1992 à la date anniversaire de l'artiste homonyme de la Renaissance.
4.5.1.2 Virus de Programmes
Aussi appelés Virus de fichier ou encore Virus parasites, ils infectent
essentiellement les fichiers exécutables et les fichiers system. La
30
31
On Track-société spécialisée dans la récupération des données sur disque dur.
Zone de démarrage d'un disque ou d'une disquette.
Page 65/162
modification de l’ordre des opérations à l’exécution des fichiers infectés,
leur permet de se placer en premier au moment de l’exécution de ceux-ci, et
ainsi s’activer au lancement du fichier infecté.
4.5.1.3 Virus Polymorphes
Les virus polymorphes ont la capacité de modifier leur propre code au
moment de la "reproduction", et ils peuvent par la même occasion, modifier
l'ordre d'exécution de ses instructions, en rajouter ou la supprimer. Cette
particularité les rend plus difficilement détectables par l'antivirus, compte
tenu que chaque copie est différente de la précédente. Étant donné que la
majorité des antivirus se référent à une base de signatures de virus, les
versions ainsi obtenues ne figurent pas dans ces bases, d’où, la difficulté à
détecter les postes infectés.
4.5.1.4 Virus Furtifs
Ce type de Virus tente de se camoufler en se faisant passer pour un fichier
sain et ainsi déjouer la surveillance des Antivirus et des utilisateurs.
4.5.1.5 Virus Multiforme
Il s'agit de Virus utilisant à la fois la technique des Virus Polymorphes et la
technique des Virus Furtifs
4.5.1.6 Macros Virus
Visant particulièrement les produits Microsoft, les Macros Virus vont se
loger auprès des macro-commandes utilisées par les applications dans le but
d'automatiser un certain nombre de tâches, comme la sauvegarde d'un
fichier, par exemple.
4.5.1.7 Virus Scripts
Ces virus utilisent les différents langages de scripts qui permettent de
contrôler l'environnement d'un logiciel.
Les plus courants sont:
Javascript de Sun Microsystems et VB (Visual Basic) Script de Microsoft.
Dérivé du VBA. Internet et la messagerie constituent le principal facteur de
propagation.
Page 66/162
4.5.2
L'Antivirus
Le développement des attaques de type virus sont quotidiennes et
permanentes, ne pas avoir d'antivirus et à moindre échelle ne pas faire ses
mises à jour, au moins une fois par semaine, se révèle une pratique
insouciante.
4.5.3
Le Pare-feu
Le pare-feu32 Firewall, associé à un antivirus, protège les machines contre
toute tentative d'intrusion : d'un Cheval de Troie et autres SpyWares33. Il est
donc recommandé d'installer un Pare-feu dans le but de garantir la
confidentialité et l’intégrité du contenu du disque dur.
Marché des solutions antivirus et de détection d'intrusion:
Voici à titre d'exemple, les parts de marché des éditeurs de solutions
d'antivirus et de détection d'intrusion dans le monde:
Parts de marché des éditeurs de solutions
d'antivirus dans le monde en 2001
Symantec
32,4%
Network Associates
26,4%
Trend Micro
14,2%
Computer Associates
4,9%
Sophos
2,5%
Sybari Software
1,8%
Panda Software
1,7%
F-Secure
1,3%
32
-Barrière permettant d'isoler un ordinateur d'un réseau sans le débrancher
complètement du réseau
33
-Logiciel qui transmet des informations généralement à des annonceurs
publicitaires sur l'utilisateur ou sur ses habitudes sans son autorisation.
Page 67/162
Parts de marché des éditeurs de systèmes de détection d'intrusion dans le
monde:
Parts de marché des éditeurs de systèmes de
détection d'intrusion dans le monde en 2002
I.S.S.
Cisco
Symantec
Enterasys
Autres
22%
18%
13%
7%
40%
Par ailleurs l'I.D.C. a dressé un bilan et des perspectives pour la période de
2001 à 2007.
Voici le revenus enregistrés en 2002 s'élèvent à 753,1 millions d'euros.
Répartition de ces revenus par catégories:
Solutions logicielles
39,2 %
Solutions appliances
10,4 %
Services professionnels
50,4 %
autour de la sécurité
Source I.D.C.
Figure 35-Évolution des revenus des produits et services
Source I.D.C.
Page 68/162
Figure 36-Positionnement des principaux acteurs de la sécurité
Source I.D.C.
AV-Comparatives a réalisé des tests sur les principaux logiciels antivirus du
marché actuel (voir annexe 6).
4.5.4
Viguard
Il n'est pas mon intention de promouvoir un produit en particulier, bien au
contraire, je me limite simplement à mettre en évidence les intérêts d'une
solution par rapport à une autre. De ce fait, il me semble opportun de
regarder de plus près la solution proposée par l'éditeur TEGAM
International34. De par son architecture et son mode de fonctionnement la
34
-TEGAM International est éditeur du Pack Sécurité VIGUARD, logiciel de
protection antivirale.
Page 69/162
solution antivirale (VIGUARD) offre une protection antivirus basée sur une
certification des éléments sains à l'installation du produit, contrairement aux
antivirus conventionnels, qui fonctionnent sur la base des mises à jour des
bases de signatures spécifiques à chaque virus. Autrement dit Viguard scrute
toute activité suspecte et arrête les actions à comportement viral, sans avoir
à connaître au préalable la définition du virus concerné.
Dans le cadre des solutions mobiles (ordinateurs portables), souvent en
déplacement, l'abstraction de la notion de mise à jour me semble
extrêmement intéressante.
Les avantages:
1 - Pas de base de signatures, donc pas de mises à jour de signatures
à effectuer.
2 - Pas d’interruption de la protection jusqu’au moment où arrive la
nouvelle mise à jour.
Voici un tableau des fonctionnalités du Pack Sécurité ViGUARD version
10:
Les versions
Fonctionnalités
Perso Pro Réseau
1. Protection permanente contre les virus connus et
inconnus (virus de Boot, d'exécutables, de macros,
vers), les scripts et les chevaux de Troie, sans mises
à jour de signatures.
X
X
X
2. Protection contre la modification d'exécutables,
sauf par les programmes certifiés.
X
X
X
3. Algorithme de certification RSA Data Security
MD5.
X
X
X
4. NetTrap : Filtrage paramétrable
téléchargements et de pièces jointes.
X
X
X
5. Analyse des fichiers compressés.
X
X
X
6. Rapport détaillé sur chaque alerte.
X
X
X
7. Protection contre les ouvertures de ports non
autorisées.
X
X
X
Page 70/162
des
8. Possibilité d'exclure des répertoires de la
vérification.
X
X
X
9. Protection contre l'ajout de module au démarrage
du système.
X
X
X
10. ViStartup : gestion des modules de démarrage
du système.
X
X
11. ViRepair : réparation automatique des fichiers
importants.
X
X
12. AntiSpy : audit des programmes se connectant à
Internet et analyse des Paquets.
X
X
13. FileWall : Limitation d'accès / exécution /
modification / suppression de fichiers à certains
programmes
et/ou
utilisateurs.
Interdiction
d'installation de logiciels non autorisés. Interdiction
d'exécution de fichiers provenant de disquettes ou
CD.
X
X
14. Vérifications automatiques programmables.
X
X
15. Protection de la configuration par mot de passe.
X
X
16.
Console
d'administration
centralisée:
déploiement, paramétrage, gestion des alertes et de
la quarantaine.
X
17. Remontée des alertes vers le serveur, y compris
pour les postes nomades, lors de la reconnexion au
réseau.
X
18. Niveau de sécurité personnalisable par groupes
d'utilisateurs.
X
19. Génération et stockage de disquettes de secours
sur le serveur.
X
20. Base de certifications centralisée sur le serveur.
X
Figure 37-Tableau des fonctionnalités du Pack Sécurité ViGUARD
Source: www.viguard.com
Page 71/162
5 CHAPITRE 5-SAUVEGARDES DES DONNEES
5.1
SAUVEGARDES DES DONNEES
Partant du principe que les sauvegardes des données se font dans le cadre
d'un environnement client serveur, autrement dit que la sauvegarde des
données d'un ordinateur portable se fait à travers un réseau local (au
minimum) vers un serveur de fichiers destiné à cet effet. J'ai cherché dans le
monde des éditeurs une solution capable de procéder à une sauvegarde
automatique, fiable et transparente pour l'utilisateur.
Beaucoup de solutions se présentent après une courte recherche sur la
"toile" du net, cependant suite à une analyse de ces différentes solutions j'ai
sélectionné deux logiciels de sauvegarde automatique.
Critères de sélection:
1 - Facilité de mise en œuvre (installation et paramétrage).
2 - Pérennité de la solution.
3 - Prix.
Je vais donc vous présenter les deux outils que j'ai sélectionnés pour la
synchronisation des données avec le serveur de fichier, à savoir Idem et
Second Copy
Mise en place d'outils de sauvegarde automatique sur serveur des fichiers
5.1.1
Idem
La fonction d'Idem est de synchroniser des fichiers Windows ou Macintosh
sur les serveurs Windows NT/2000/XP. Idem automatise la synchronisation
en comparant les dossiers et sous-dossier et synchronise à intervalles
réguliers le dossier source avec le dossier de sauvegardes. Très facile à
paramétrer il exécute des sauvegardes de façon automatique ce qui facilite la
tâche de l'utilisateur.
Principales caractéristiques (données éditeur) en annexe 7.
Capture d'écran paramétrage Idem:
Sources: http://peccatte.karefil.com/Software/Idem/idemhelpeng.htm
Page 72/162
Figure 38-Paramétrage Idem
Prix annoncé sur le site de l'éditeur le 23 janvier 2005.
Pack 5 licences
450 €
Pack 10 licences
800 €
Figure 39-Tableau récapitulatif des prix des licences Idem
5.1.2
Second Copy
D'une manière générale Second copy présente les mêmes caractéristique
qu'Idem. Cependant je le considère plus complet, car il permet un
paramétrage plus précis et complet que le logiciel que nous venons de voir.
5.1.2.1 Paramétrage de Second Copy
Une fois installé, il suffira de lancer l'interface de configuration à partir de la
petite icône qui se trouve sur la barre des tâches
Page 73/162
Voici la fenêtre de départ:
Le mode de fonctionnement de Second Copy est basé sur des profils. Pour
créer un profil dans la fenêtre principale, cliquez sur File puis New
Profile…et la fenêtre de paramétrage du profil, proprement dit, apparaît
comme dans la capture d'écran suivant.
A ce stade, nous allons procéder à une configuration personnalisée. Pour
cela nous sélectionnons la case à cocher Custom setup et nous cliquons sur
Next>.
Nous voilà dans la fenêtre qui nous permet de sélectionner le dossier source,
plus précisément le dossier à sauvegarder.
Page 74/162
Dans mon cas précis, et dans le but de créer une sauvegarde du travail de
rédaction de mon Mémoire, dans le dossier Mes documents, j'ai crée un
sous-dossier destiné à recevoir l'ensemble des données concernant le
Mémoire, et je l'ai nommé ESSEC. Le dossier ESSEC devient donc mon
dossier source.
Pour simplifier la recherche j'ai cliqué sur Browser je parcours
l'arborescence et je retrouve mon dossier sur la partition D:\ de mon disque
dur. Je sélectionne donc le dossier ESSEC et je clique sur OK. Le dossier
source spécifié, je clique sur Next>.
La fenêtre suivante me permet de préciser si je souhaite synchroniser
l'ensemble des dossiers et fichiers, ou bien, un fichier ou un dossier précis.
Je souhaite synchroniser l'ensemble du contenu du dossier ESSEC je
sélectionne donc All files and folders et je clique Next>.
Page 75/162
A ce stade je dois spécifier le "media" de destination, dans mon exemple, je
vais stocker le dossier de sauvegarde dans une autre machine qui fait office
de serveur.
Cette machine s'appelle Ro et le dossier de destination je vais l'appeler
ESSEC pour une question de cohérence entre le contenant et le contenu.
La phase suivante est destinée à paramétrer un ensemble de paramètres,
comme la fréquence des sauvegardes, la sélection des options de sauvegarde
au démarrage et/ou l'arrêt de l'ordinateur si nécessaire.
En ce qui me concerne, je choisi de sauvegarder les données au démarrage
et à l'arrêt du PC. En temps normal de travail je choisi une fréquence de
synchronisation de deux heures.
Page 76/162
Je clique sur Next> et une nouvelle fenêtre me permet de choisir le type de
sauvegarde.
Différentes possibilités s'offrent à notre profil de synchronisation, de la
copie simple à la synchronisation des modifications apportées aux fichiers
en passant par la compression des données, pour ma part une copie simple
me semble suffisante.
Je sélectionne la fonction qui m'intéresse, je clique sur Next> et le
paramétrage est terminé.
Mon utilitaire de sauvegardes est désormais opérationnel.
Dans cet exemple j'ai paramétré la sauvegarde d'un dossier "source" sur un
ordinateur portable vers un dossier "cible" stocké sur un serveur ou, plus
précisément sur un ordinateur faisant office de serveur, cependant rien
Page 77/162
n'empêche de créer une sauvegarde sur la même machine, sur le même
disque dur ou sur un media différent.
5.1.2.2 Prix des licences Second Copy
Voici un tableau récapitulatif des prix des licences proposés par l'éditeur.
Prix annoncé sur le site de l'éditeur au 23 janvier 2005 en Dollars US.
Nombre de licences
Prix en dollars US
%réduction/nombre
de licences
1
$29.95
5
$119.95
20%
25
$539.95
28%
50
$899.95
40%
100
$1,199.95
60%
250
$1,799.9
76%
Figure 40-Tableau récapitulatif des prix des licences Second Copy
Sources: www.centered.com
5.2
OUTILS PERTINENTS
Il est évident que la recherche et le développement de nouvelles solutions ne
s'arrête pas et il n'est pas impossible qu'à l'heure ou j'écris ces lignes la
solution "miracle" vienne d'être découverte, en attendant, des solutions très
intéressantes existent déjà et je pense particulièrement à Norton Ghost 9.0,
entre autres, solution de sauvegarde et de restauration de PC éditée par la
société Symantec.
5.3
AVANTAGES
Sauvegarder des centaines d'heures de travail ou des données d'une
importance stratégique ou financière, susceptibles de mettre en cause la
survie de votre entreprise ne peut avoir que des avantages. Certes
sauvegarde rime avec perte de temps mais si votre ordinateur portable venait
à disparaître? Comment peut-on calculer la perte de temps?
Pour finir, je soulève deux questions qui peuvent résumer l'importance de
procéder à des sauvegardes des données
Quelle est la valeur que représentent, pour vous ou pour votre société, les
données contenues dans le disque dur?
Page 78/162
Face à un incident majeur avons-nous la possibilité de récupérer les
données? Et dans quels délais?
Page 79/162
CONCLUSION
Arrivé au terme de ce Mémoire, les technologies de l'information ne cessent
de croître. De ce fait des nouveaux produits font éruption sur le marché de la
technologie. Bien évidemment ces produits n'ont pas été abordés tout au
long de mon travail je pense particulièrement à la technologie
"BlackBerry®" qui fait le bonheur des cadres supérieurs de nos sociétés.
Le travail de recherche que j'ai entrepris m'a permis d'évoluer sur un
domaine où l'information est multiple et de toute sorte. J'ai donc appris à
récolter le maximum d'information sur un sujet donné puis élaborer une
synthèse en faisant en sorte de garder l'information plus pertinente.
Je retiens de ce travail le fait que l'information aussi simple soit-elle
renferme une valeur inestimable avec plus ou moins d'importance selon les
domaines aux quels elle appartient. Il est primordial de ne pas négliger ni
sous-estimer le stockage et la sauvegarde d'un si précieux enseignement.
L'analyse des logiciels et des protocoles cités tout au long de ce Mémoire,
ainsi que la recherche de leurs valeurs marchandes applicable aux projets
informatiques, m'a permis de me plonger dans le monde de la valeur
pécuniaire de la donnée. J'ai compris ainsi la volonté de mettre en place des
solutions de sauvegarde comme "PC Backup" de HP dirigé par Julien
LEGUEVAQUES.
Je regrette simplement l'éloignement de mon employeur vis-à-vis de ce
projet et par conséquence mon impossibilité de le conclure avec la mise en
place et la gestion d'un projet de sécurisation des données sensibles en
milieu professionnel.
Je voudrai terminer avec cette citation d'Henri Poincaré35 qui m'a inspiré
tout au long de ce parcours.
"Le monde et la science ont leurs données propres, qui se touchent et ne se
pénètrent pas.
L'une, nous montre quel but nous devons viser, l'autre, le but étant donné,
nous donne les moyens de l'attendre."
35
-Mathématicien français Né à Nancy en 1854
Page 80/162
RECOMMANDATIONS
Dans ce chapitre j'aborderai quelques recommandations, le but étant de :
1 - Prendre conscience des proportions catastrophiques d'un certain
nombre de pratiques répétitives vis-à-vis de l'utilisation des
Systèmes Informatiques au quotidien.
2 - Éveiller un esprit de responsabilité.
3 - Laisser quelques éléments de réflexion, pouvant vous orienter
vers une utilisation et gestion "sans stress" de votre outil
informatique.
Je ne prétends pas avoir la solution miracle pour la résolution de tous les
incidents, le simple fait d'y prendre conscience, constitue déjà une bonne
base de départ pour leur minimisation.
L'ERREUR HUMAINE
Selon Ontrack Data Recovery, société spécialisée dans la récupération de
données, l'erreur et la négligence humaines sont des facteurs importants et
sous-estimés dans les pertes de données informatiques.
Les statistiques internes d'Ontrack, indiquent notamment que l'erreur
humaine serait la cause de 26% des cas de perte de données. Mais ils
précisent que dans la perception de ces clients, ce facteur est évalué comme
étant à l'origine de seulement 11% des incidents.
Ontrack révèle aussi que les pertes résultantes des attaques de virus
informatiques sont également sous-estimées par ces clients. Ontrack estime
à 4% les cas de pertes de données résultants des attaques de virus tandis que
les sociétés l'estiment à 2% seulement.
PROTECTION PHYSIQUE DE VOTRE ORDINATEUR.
Sur votre lieu de travail n'oubliez pas d'attacher votre ordinateur portable. Il
existe des câbles antivol de facile emploi. La mesure et plutôt dissuasive.
70% des vols d'ordinateurs ont lieu en interne (Gartner Group).
Page 81/162
Figure 41-Câble antivol portable
En cas d'absence prolongée, le plus sûr est de ranger votre ordinateur
portable dans une armoire fermée à clé.
En déplacement et en voyage soyez discret et vigilant, dans les gares et les
aéroports quelques secondes suffisent pour que votre matériel disparaisse.
Durant les 6 premiers mois de l'année 2004, des voyageurs pressés ont
oublié 62.000 GSM, 2.900 ordinateurs portables et 1.300 assistants
personnels dans les taxis de Londres. (B.B.C., août 2004).
Page 82/162
6 PROTECTION LOGIQUE
LES MOTS DE PASSE
Pour accroître la protection de votre ordinateur, vous devez activer le mot de
passe Bios36.A chaque démarrage, ce mot de passe vous sera alors demandé,
il s'agit donc du seul moyen d'accéder au système d'exploitation.
N'oubliez pas de créer un "bon" mot de passe de session. Ce mot de passe
constitue la clé d'ouverture de votre système d'exploitation ainsi que l'accès
à vos dossiers et vos fichiers.
Un "bon" mot de passe doit être constitué d'au moins 8 caractères avec un
mélange de lettres, chiffres et caractères spécieux. Ce mot doit être
complexe et facile à retenir, une technique simple consiste en l'utilisation
des premières lettres d'une phrase, exemple:
Phrase:
Angelo est né en 95!
Mot de passe:
@ene95!
Ne l'écrivez jamais et ne le divulguez pas.
Des études récentes montrent que 21% des personnes utilisent leur prénom
ou celui de leur conjoint comme mot de passe, 15% utilisent leur date de
naissance ou d'anniversaire et 15% utilisent les noms de leurs animaux...
33% des personnes utilisent leurs assistants personnels, pour y stocker leurs
mots de passe et codes d'accès, 25% y enregistrent des données
professionnelles sensibles, 25% des données relatives à leurs comptes
bancaires. (PointSec's Survey).
LES SAUVEGARDES
Sauvegarder ses données en lieu sûr est primordial. Gardez à l'esprit que les
matériaux qui constituent votre ordinateur ainsi que les logiciels ne sont pas
infaillibles.
Si vous avez la possibilité, sauvegardez vos données sur les serveurs
bureautiques mis à votre disposition. En général les serveurs sont euxmêmes sauvegardés régulièrement. A défaut de mieux, sauvegardez vos
données sur des medias du type Iomega ou CD, si vous avez un graveur de
CD's à votre disposition.
36
-Basic Input Output System. Partie du système d'exploitation s'occupant
exclusivement des entrées-sorties et de l'interface avec le hardware, dans un PC.
Page 83/162
L'ANTIVIRUS
L'antivirus doit être actif en permanence. Ne le désactivez pas, sous aucun
prétexte.
Vérifiez que les mises à jour de votre antivirus se font régulièrement, au
moins une fois par semaine.
Le vol d'ordinateurs portables est le second délit informatique après l'envoi
de virus. (Étude CSI/FBI, Computer Security Institute/Fédéral Bureau of
Investigation, sur le crime et la sécurité informatique 2003)
GESTION DES DONNEES
Classifier une information, nous indique sa valeur pour l'entreprise, et ainsi
adapter les moyens de protection équivalents à sa "valeur".
Les données doivent être classifiées sous trois critères:
1 - A usage confidentiel.
2 - A usage interne.
3 - A usage publique.
Attribuez une classification dès la création d'un document et traitez-le selon
sa classification.
Page 84/162
BIBLIOGRAPHIE
Julien LEGUEVAQUES
Thèse fin Cursus MSI à l’ESSEC - Paris
PC Backup.
Microsoft® Press 2000
Windows 2000 server Microsoft®
(Kit de Formation)
Matthew Danda
Microsoft® Press 2001
La Sécurité sur le Web
Michel Laffitte
Revue Banques Edition 2003
Sécurité des Systèmes d’Information et Maîtrise des
Risques
David Harley, Robert Slade et Urs E. Gattiker
Campus Press® 2002
Virus
Arman Danesh, Ali Mehrassa et Felix Lau,
Campus Press® 2001
Sécurité PC Antivirus et Firewalls
Paul Oldfield
Sophos
Les Virus Informatiques Démystifiés
Page 85/162
WEBOGRAPHIE
Club de la Sécurité des Systèmes d’Information
www.clusif.asso.fr
Serveur Thématique sur la Sécurité des Systèmes
d’Information www.ssi.gouv.fr
solutions.journaldunet.com
Éditeur d’Idem
peccatte.karefil.com/software/Idem/idemhelpfre.htm
Éditeur Second Copy
www.centered.com
Éditeur Security Box
www.securitybox.net/fr/product/sbox_freeware.html
www.microsoft.com/france
Groupe de conseil et d'étude sur les marchés des
technologies de l'information.www.idc.com
Page 86/162
7
GLOSSAIRE
A5
Algorithme cryptographique secret utilisé dans les téléphones cellulaires
européens.
AES
Standard de chiffrement avancé (Advanced Encryption Standard) Standard
approuvé par le N.I.S.T., en général valable pour les 20 ou 30 prochaines
années.
AKEP
Protocole d’échange de clé d’authentification (Authentication Key Exchange
Protocol) Transport de clé basé sur du chiffrement symétrique permettant à
deux parties d’échanger une clé privée partagée, sûr contre des adversaires
passifs.
Algorithme de chiffrement (encryption)
Ensemble de règles mathématiques (logiques) utilisées pour le chiffrement
et le déchiffrement.
Algorithme symétrique
(Symetric algorithm) Algorithmes conventionnels, à clé secrète, ou à clé
unique; les clés de chiffrement et de déchiffrement sont identiques ou
peuvent être facilement calculées l’une à partir de l’autre. Deux sous
catégories existent – par bloc ou par flux.
Algorithme de hachage (hash)
Ensemble de règles mathématiques (logiques) utilisées dans le processus de
création d’empreinte de message et la génération de clés / de signatures.
ANSI
Institut National de Standards Américain (American National Standards
Institute) Développe des standards via divers “comités de standardisation
accrédités”.
Page 87/162
API
Interface de programmation applicative (Application Programming).Fournit
le moyen de tirer parti des fonctions du logiciel, en permettant à des
produits logiciels différents d’interagir.
Authentification
Confirmer une identité.
Autorisation
Transmettre une approbation officielle, un pouvoir légal ou un droit d’accès
à une entité.
CA
Autorité de Certification (Certificate Authority) Tiers de confiance (T.T.P.)
qui crée des certificats composés d’assertions sur divers attributs, et les
associe à une entité et/ ou leurs clés publiques.
Canal sûr
(Secure channel) Moyen de communication entre deux entités de telle façon
qu’un adversaire ne puisse pas changer l’ordre, supprimer, insérer ou lire de
l’information (exemples: SSL, IPsec, chuchoter dans l’oreille de quelqu’un).
CAPI
Crypto API l’A.P.I. de crypto de Microsoft pour les systèmes et les
applications basés sur Windows.
CERT
Équipe d’intervention d’urgence en informatique (Computer Emergency
Response Team). Bureau qui encourage la prise de conscience en matière de
sécurité. C.E.R.T. fournit une assistance technique 24 heures sur 24 sur les
incidents en sécurité d’ordinateurs et de réseaux. Le C.E.R.T. est situé au
Software Engineering Institute dans l’université Carnegie Mellon University
à Pittsburgh, PA.
Certificat d’autorisation
Document électronique qui prouve les droits d’accès et les privilèges de
quelqu’un, et qui prouve aussi qu’il est bien ce qu’il prétend être.
Page 88/162
Certificat numérique
Document électronique rattaché à une clé publique par un tiers de confiance,
qui fournit la preuve que la clé publique appartient à un propriétaire légitime
et n’a pas été compromise.
CHAP
Protocole d’authentification par challenge (Challenge Authentication
Protocol) Mécanisme d’authentification par mot de passe à double sens,
basé sur une session.
Chiffrement
(Encryption) Processus consistant à déguiser un message de façon à cacher
sa substance.
Clés asymétriques.
Paire de clés séparées mais unifiées, composée d’une clé publique et d’une
clé privée. Chaque clé est à sens unique, ce qui signifie que la clé utilisée
pour chiffrer des informations ne peut pas être utilisée pour déchiffrer les
mêmes données.
Clé privée
(Private key)Composant gardé “secret” d’une paire de clés asymétriques,
souvent appelé “clé de déchiffrement”.
Clé publique
(Public key) Composant disponible publiquement d’une paire de clés
asymétriques, souvent appelé “clé de chiffrement”.
Clé secrète
(Secret key)“Clé privée” d’un algorithme à clé publique (ou asymétrique),
ou bien “clé de session” dans les algorithmes symétriques.
Clé de session
(Session key) Clé secrète (symétrique) utilisée pour chiffrer chaque jeu de
données dans un système de transaction. Une clé de session différente est
utilisée pour chaque session de communication.
Page 89/162
Cookie
Fichier ou information quelconque qui est envoyé par le serveur web au
client (votre browser) et qui sert à vous identifier et peut enregistrer des
informations personnelles comme votre identité et votre mot de passe, votre
adresse e- mail, votre numéro de carte de crédit, et d’autres informations.
CRL
Liste de révocation de certificat liste (Certificate Revocation List)en ligne, à
jour, de certificats qui ont été émis précédemment et ne sont plus valides.
Cryptanalyse
L’art ou la science de transformer des textes chiffrés en données claires sans
connaissance initiale de la clé utilisée lors du chiffrement.
Cryptographie
L’art et la science de création de messages qui sont privés, signés, non
modifiés et/ ou non répudiés.
Cryptosystème
Système composé d’algorithmes cryptographiques, de tous les textes clairs
possibles, de tous les textes chiffrés et de toutes les clés.
Intégrité des données
(Data integrity) une méthode assurant que l’information n’a pas été altérée
par des moyens inconnus ou non autorisés.
Déchiffrement
Le processus transformant le texte chiffré en texte clair.
DES
Standard de chiffrement de données (Data Encryption Standard) Chiffre par
blocs de 64 bits.
Diffie- Hellman
Premier algorithme à clé publique, inventé en 1976. Il utilise les logarithmes
discrets sur un corps fini.
Page 90/162
DSA
(Digital Signature Algorithm) Algorithme de signature à clé publique
proposé par le NIST pour être utilisé dans DSS.
DSS
Standard de signature numérique (Digital Signature Standard)Standard
(FIPS) proposé par le NIST pour les signatures numériques en utilisant
DSA.
Filtre
(Filter) Fonction, ensemble de fonctions ou combinaison de fonctions qui
applique un certain nombre de transformations à son espace d’entrée,
produisant en sortie un ensemble contenant seulement les éléments en entrée
qui respectent certains critères.
FIPS
Standard de traitement de données fédéral (Federal Information Processing
Standard) Standard gouvernemental américain publié par le NIST.
Fonction de hachage
(Hash function) Fonction de hachage à sens unique – une fonction qui
produit un résumé (une empreinte) d’un message qui ne peut pas être
inversé pour reproduire l’original.
HTTP
(HyperText Transfer Protocol) [Protocole Transfert d’hypertexte] Protocole
commun utilisé pour transférer des documents entre serveurs ou d’un
serveur à un client.
IDEA
Standard international de chiffrement de données (International Data
Encryption Standard) Chiffre symétrique par blocs de 64 bits utilisant des
clés de 128 bits, basé sur des opérations de mélange dans divers groupes
algébriques. Considéré comme l’un des algorithmes les plus forts.
Intégrité
(Integrity) Assurance que les données n’ont pas été modifiées (par des
personnes non autorisées) pendant le stockage ou la transmission.
Page 91/162
IPSec
Couche TCP/ IP de chiffrement en cours d’examen par l’IETF.
ISO
Organisation de standardisation internationale (International Organization
for Standardization) Responsable d’une large gamme de standards, comme
le modèle OSI et les relations internationales avec l’ANSI sur le X. 509.
Kerberos
Protocole d’authentification basé sur un tiers de confiance, développé au
MIT.
LDAP
Protocole léger d’accès à répertoire (Lightweight Directory Access
Protocol) Simple protocole qui supporte des opérations d’accès et de
recherche dans des répertoires contenant des renseignements comme des
noms, des numéros de téléphones, et des adresses, entre des systèmes qui
seraient sinon incompatibles sur tout Internet.
NAT
Traducteur d’adresse réseau (Network Address Translator) RFC 1631, un
routeur connectant deux réseaux ensemble; l’un désigné comme l’intérieur
est adressé soit avec une adresse privée soit avec une adresse obsolète qui
doit être convertie en adresse légale avant que les paquets soient envoyés à
l’autre réseau (désigné comme l’extérieur).
Non- répudiation
Empêche le reniement d’actions ou de messages anciens.
PAP
Protocole d’authentification par mot de passe (Password Authentication
Protocol) Protocole d’authentification qui permet à des “pairs” PPP de
s’identifier l’un l’autre, n’empêche pas l’accès non autorisé mais identifie
juste l’autre bout.
Pare-Feu
(Firewall) Ensemble de matériels et de logiciels qui protège le périmètre du
réseau public / privé contre certaines attaques pour atteindre un bon degré
de sécurité.
Page 92/162
Password
Mot de passe. Séquence de caractères ou mot qu’un sujet donne à un
système pour authentification, validation ou vérification.
PGP
Assez bonne confidentialité (Pretty Good Privacy) Application et protocole
(RFC 1991) pour le courrier électronique sécurisé et le chiffrement de
fichiers développé par Phil R. Zimmermann. Diffusé gratuitement à
l’origine, le code source a toujours été disponible et inspecté. PGP utilise
divers algorithmes comme IDEA, RSA, DSA, MD5, SHA- 1 pour le
chiffrement, l’authentification, l’intégrité des messages et la gestion de clés.
PGP est basé sur le modèle de la “toile d’araignée de confiance” et est
utilisé dans le monde entier.
PKI
Infrastructure à clé publique (Public Key Infrastructure) Système de
certificats largement disponible et accessible pour obtenir la clé publique
d’une entité, avec une bonne probabilité que vous ayez la “bonne” clé et
qu’elle n’ait pas été révoquée.
Revocation
Désaveu d’un certificat ou d’une autorisation.
RSA
Abrégé de RSA Data Security, Inc.; ou bien ses principaux responsables –
Ron Rivest, Adi Shamir et Len Aldeman; ou bien l’algorithme qu’ils ont
inventé. L’algorithme RSA est utilisé pour la cryptographie à clé publique et
est basé sur le fait qu’il est facile de multiplier deux grands nombres
premiers mais difficile de factoriser le produit.
Signature numérique
(Digital signature)Identification électronique d’une personne ou chose créée
par un algorithme à clé publique. Destiné à vérifier l’intégrité des données et
l’identité de l’émetteur.
SSO
Engagement simple (Single sign- on) Une seule connexion (log- on) permet
d’accéder à toutes les ressources du réseau.
Page 93/162
SSL
Couche de sockets sûres (Secure Socket Layer)Développé par Netscape
pour fournir sécurité et confidentialité sur Internet. Supporte
l’authentification du serveur et du client et assure la sécurité et l’intégrité du
canal de transmission. Opère au niveau de la couche de transport et imite la
“bibliothèque des sockets”, permettant d’être indépendant de l’application.
Chiffre complètement le canal de communication et ne supporte pas les
signatures numériques au niveau du message.
Triple DES
Configuration de chiffrement dans lequel l’algorithme DES est utilisé trois
fois de suite avec trois clés différentes.
VPN
Réseau privé virtuel (Virtual Private Network) Etend des réseaux privés de
l’utilisateur final à la passerelle de son choix, tel l’intranet de son entreprise,
via un réseau public (Internet).
Page 94/162
ESSEC MANAGEMENT EDUCATION
NOM & Prénom: DA VEIGA António
Date: 20 avril 2005
Directeur de Mémoire: KRIEF Serge
SPÉCIALITÉ:
Management des Systèmes d'Information
MÉMOIRE
POUR L'OBTENTION DU DIPLOME HOMOLOGUE NIVEAU II
Titre: RESPONSABLE EN GESTION
(SECURISATION DES DONNEES SENSIBLES, CONTENUES
DANS LE DISQUE DUR DES POSTES NOMADES, D'UNE
FLOTTE D'ENTREPRISE)
ANNEXES
ACCORD DU COMITÉ PÉDAGOGIQUE
Nom:
Date:
Signature:
ACCORD DU DIRECTEUR DE MÉMOIRE
Nom: KRIEF Serge
Date:
Signature:
Page 95/162
Page 96/162
Index des annexes
ANNEXE 1 ................................................................................................101
7.1 DIFFERENTES PHASES D'AUTHENTIFICATION BIOMETRIQUE A TRAVERS
L'ANALYSE DE LA MORPHOLOGIE HUMAINE .............................................101
ANNEXE 2 ................................................................................................102
7.2
CRYPTOGRAPHIE QUANTIQUE POLARISATION DES PHOTONS ..........102
ANNEXE 3 ................................................................................................103
7.3
CRYPTO API 2.0.............................................................................103
ANNEXE 4 ................................................................................................104
7.4
1.
EXEMPLE D'UNE ARCHITECTURE DE TYPE CLIENT LEGER ................104
ANNEXE 5.........................................................................................105
7.5
LEGISLATION FRANÇAISE ...............................................................105
7.6
CRYPTOLOGIE ................................................................................106
7.7
LISTE DES PRODUITS CRYPTOLOGIQUES LIBRES D'UTILISATION ......110
7.8
LISTE DES ENTREPRISES : ...............................................................111
7.8.1
3COM .....................................................................................111
7.8.2
ACE TIMING..........................................................................112
7.8.3
ALCATEL ...............................................................................112
7.8.4
AQL ........................................................................................113
7.8.5
ARKOON ................................................................................113
7.8.6
AVID TECHNOLOGY............................................................113
7.8.7
BALTIMORE TECHNOLOGIES............................................114
7.8.8
BIODATA GmbH....................................................................114
7.8.9
BROKAT.................................................................................114
7.8.10
BULL ..................................................................................116
7.8.11
CANDLE France ................................................................118
Page 97/162
7.8.12
CHECK POINT Software...................................................119
7.8.13
CISCO Systems...................................................................119
7.8.14
CITRIX................................................................................120
7.8.15
COMPAQ Computer ..........................................................120
7.8.16
CONTROL DATA ...............................................................121
7.8.17
CORNUT INFORMATIQUE..............................................121
7.8.18
CRYPTOGRAM ..................................................................121
7.8.19
DATA FELLOWS ...............................................................121
7.8.20
DECROS.............................................................................121
7.8.21
E-SECUWEB ......................................................................122
7.8.22
EDELWEB S.A. ..................................................................122
7.8.23
ENFOTEC, Inc ...................................................................122
7.8.24
ENTRUST ...........................................................................122
7.8.25
ERACOM TECHNOLOGIES Australia Pty Ltd.................123
7.8.26
ERCOM ..............................................................................124
7.8.27
EXTENDED SYSTEMS FRANCE ......................................124
7.8.28
FREE SOFTWARE FOUNDATION Chapter France ........125
7.8.29
GEMPLUS..........................................................................125
7.8.30
GRETACODER DATA SYSTEMS AG................................125
7.8.31
GUARDWARE SYSTEMS...................................................126
7.8.32
HEWLETT-PACKARD France ..........................................126
7.8.33
IBM France ........................................................................126
7.8.34
INTERNET SECURITY System ..........................................134
7.8.35
ISTRI...................................................................................134
7.8.36
ITS SOLUTIONS ................................................................134
7.8.37
MATRAnet ..........................................................................135
Page 98/162
7.8.38
METHODES ET SOLUTIONS INFORMATIQUES MSI ...135
7.8.39
MICROSOFT FRANCE......................................................135
7.8.40
NEOL SA ............................................................................140
7.8.41
NETASQ .............................................................................140
7.8.42
NETSCREEN TECHNOLOGIES .......................................141
7.8.43
NETWORK ASSOCIATES France .....................................142
7.8.44
NEUROCOM......................................................................143
7.8.45
NORMAN ASA....................................................................143
7.8.46
NORTEL NETWORKS .......................................................143
7.8.47
NOVINK .............................................................................145
7.8.48
ODS NETWORKS...............................................................145
7.8.49
ORACLE.............................................................................145
7.8.50
PHILIPS Gand Electronique..............................................145
7.8.51
PREVIEW SYSTEMS..........................................................146
7.8.52
RACAL Security and Payments ..........................................146
7.8.53
RACAL-AIRTECH Ltd........................................................146
7.8.54
RAINBOW TECHNOLOGIES............................................146
7.8.55
REDCREEK COMMUNICATIONS EMCA .......................147
7.8.56
SAGEM...............................................................................147
7.8.57
SCHLUMBERGER-CP8 ....................................................147
7.8.58
SHIVA S.A. .........................................................................148
7.8.59
SISTECH ............................................................................149
7.8.60
STERLING COMMERCE...................................................149
7.8.61
SYMANTEC France ...........................................................149
7.8.62
THEISSEN SECURITY SYSTEMS AG ...............................150
7.8.63
THOMSON - CSF DETEXIS..............................................151
Page 99/162
2.
7.8.64
THOMSON - CSF...............................................................151
7.8.65
UNISYS France ..................................................................152
7.8.66
UTIMACO Software France ..............................................152
7.8.67
VPNet Technologies Inc. ....................................................153
ANNEXE 6.........................................................................................154
7.9
3.
TESTS SUR LES PRINCIPAUX LOGICIELS ANTIVIRUS .........................154
ANNEXE 7.........................................................................................161
7.10 PRINCIPALES CARACTERISTIQUES IDEM (DONNEES EDITEUR):........161
Page 100/162
ANNEXE 1
7.1
DIFFERENTES PHASES D'AUTHENTIFICATION BIOMETRIQUE A
TRAVERS L'ANALYSE DE LA MORPHOLOGIE HUMAINE
Traits du visage:
Empreintes digitales:
Dessin du réseau veineux de l'œil:
La voix:
Source: http://biometrie.online.fr/
Page 101/162
ANNEXE 2
7.2
CRYPTOGRAPHIE QUANTIQUE POLARISATION DES PHOTONS
La polarisation des photons est mesurée par un angle qui varie de 0° à 180°.
Dans le protocole que nous décrivons, dû aux canadiens CH. Bennett et
G.Brassard, la polarisation peut prendre 4 valeurs : 0°, 45°, 90°, 135°. Pour
les photons polarisés de 0° à 90°, on parle de polarisation rectiligne, pour
ceux polarisés de 45° à 135°, de polarisation diagonale:
Polarisation:
0°
45°
90°
Page 102/162
135°
ANNEXE 3
7.3
CRYPTO API 2.0
L'interface de programmation d'application (A.P.I.) de Microsoft
Cryptographie (Crypto API) fournit aux développeurs les fonctions
essentielles de cryptographie et de certificat.
Crypto A.P.I.1.0 prend en charge les opérations sur des clés publiques et
symétriques, telles que la génération de clé, la gestion de clé, l'échange de
clé, le cryptage, le décryptage, le hachage, les signatures digitales et la
vérification de signatures. Crypto A.P.I.2.0 inclut cette fonctionnalité
cryptographique essentielle ainsi qu'une fonctionnalité basée sur les
certificats.
Les développeurs peuvent utiliser les certificats avec ces opérations sur les
clés et effectuer les encapsulations et le codage nécessaires à l'application
des certificats dans leurs applications. Crypto A.P.I.2.0 utilise un modèle
fournisseur de service dans lequel la cryptographie est fournie par des
fournisseurs de service cryptographique (C.S.P.). Ce modèle autorise les
développeurs à adapter facilement leurs applications aux technologies de
cryptographie et aux politiques d'exportation gouvernementales en constante
évolution.
Page 103/162
ANNEXE 4
7.4
EXEMPLE D'UNE ARCHITECTURE DE TYPE CLIENT LEGER
Source:http://www.mb2i.fr/Introduction-a-la-notion-de-Client-Leger.html
Page 104/162
1. ANNEXE 5
7.5
LEGISLATION FRANÇAISE
Article 28 de la loi sur la réglementation des télécommunications 90-1170
du 29 12 90, modifiée par la loi 91-648 du 11 juillet 1991, modifiée par la
loi 96-659 du 26 juillet 1996
Décret n°98-101 du 24 février 1998 définissant les conditions dans
lesquelles sont souscrites les déclarations et accordées les autorisations
concernant les moyens et prestations de cryptologie, NOR :
PRMX9802599D, J.O. du 25 Février 1998 page 2911, modifié par le décret
n°2002-688 du 2 mai 2002, NOR : PRMX0100130D, JO du 3 Mai 2002
page 8055
Décret n°99-199 du 17 mars 1999 définissant les catégories de moyens et de
prestations de cryptologie pour lesquelles la procédure de déclaration
préalable est substituée à celle d'autorisation, NOR : PRMX9903476D, J.O.
Numéro 66 du 19 Mars 1999 page 4050
Décret n°99-200 du 17 mars 1999 définissant les catégories de moyens et de
prestations de cryptologie dispensées de toute formalité préalable, NOR :
PRMX9903477D, J.O. Numéro 66 du 19 Mars 1999 page 4051
Arrêté du 17 mars 1999 définissant la forme et le contenu du dossier
concernant les déclarations ou demandes d'autorisation relatives aux moyens
et prestations de cryptologie, NOR : PRMX9903475A, J.O. Numéro 66 du
19 Mars 1999 page 4052
Arrêté du 13 mars 1998 définissant le modèle de notification préalable par
le fournisseur de l'identité des intermédiaires utilisés pour la fourniture de
moyens ou prestations de cryptologie soumis à autorisation, NOR :
PRMX9802732A, J.O. du 15 Mars 1998 page 3888
Décret n°98-102 du 24 février 1998 définissant les conditions dans
lesquelles sont agréés les organismes gérant pour le compte d'autrui des
conventions secrètes de cryptologie en application de l'article 28 de la loi
n°90-1170 du 29 décembre 1990 sur la réglementation des
télécommunications, NOR : PRMX9802602D, J.O. du 25 Février 1998 page
2915
Arrêté du 13 mars 1998 définissant les dispositions particulières qui peuvent
être prévues dans les autorisations de fourniture d'un moyen ou d'une
prestation de cryptologie, NOR : PRMX9802730A, J.O. du 15 Mars 1998
page 3888
Page 105/162
Arrêté du 13 mars 1998 fixant la forme et le contenu du dossier de demande
d'agrément des organismes gérant pour le compte d'autrui des conventions
secrètes, NOR : PRMX9802731A, J.O. du 15 Mars 1998 page 3888
Arrêté du 13 mars 1998 fixant la liste des organismes agréés pouvant
recevoir dépôt des conventions secrètes, NOR : PRMX9802733A, J.O. du
15 Mars 1998 page 3891
Arrêté du 13 mars 1998 fixant le tarif forfaitaire pour la mise en œuvre des
conventions secrètes au profit des autorités mentionnées au quatrième alinéa
du II de l'article 28 de la loi n°90-1170 du 29 décembre 1990 sur la
réglementation des télécommunications, NOR : PRMX9802734A, J.O. du
15 Mars 1998 page 3891
7.6
CRYPTOLOGIE
La fourniture, l'utilisation, l'importation et l'exportation de la cryptologie
sont réglementées en France. Les fonctions cryptologiques autres que la
confidentialité sont soumises à déclaration simplifiée auprès de la DCSSI.
La confidentialité est soumise soit au régime de la déclaration, soit au
régime de l'autorisation.
La DCSSI enregistre les déclarations et instruit les demandes d'autorisation
des moyens et prestations de cryptologie conformément à la législation
française et communautaire.
En France, les prestations de cryptologie sont soumises à un cadre législatif
; les tableaux de synthèse suivants vous en donneront le détail.
Les déclarations et demandes d'autorisation doivent faire l'objet d'un dossier
déposé auprès du Direction Centrale de la Sécurité des Systèmes
d'Information.
Page 106/162
Tableaux de synthèse:
Réglementation française en matière de fourniture, d'utilisation et
d'importation de moyens de cryptologie en France.
FOURNITURE
IMPORTATION *
LIBRE
LIBRE
DÉCLARATION
SIMPLIFIÉE
DÉCLARATION
LIBRE **
DÉCLARATION
LIBRE **
LIBRE
AUTORISATION
AUTORISATION
Clé de chiffrement AUTORISÉE AUTORISATION
strictement supérieure ****
à 128 bits
AUTORISATION
Authentification
Signature Intégrité
Clé de chiffrement
inférieure ou égale à
40 bits
Clé de chiffrement
strictement
supérieure à 40 bits
et inférieure ou
égale à 128 bits
Clé de chiffrement
strictement
supérieure à 128
bits gérée par un
tiers de confiance
UTILISATION
LIBRE
LIBRE
***
* Uniquement des pays extérieurs à l'Union européenne.
** Soumise à DÉCLARATION seulement si le fournisseur ou l'importateur
ne l'a pas déjà déclaré et si le moyen de cryptologie n'est pas exclusivement
destiné à usage personnel.
*** Un tiers de confiance est une organisation agréée par la DCSSI pour
gérer les clés de chiffrement des utilisateurs. Ce tiers de confiance doit
remettre les clés aux autorités judiciaires et de sécurité sur requête de leur
part.
**** A condition que lesdits matériels ou logiciels aient fait l'objet d'une
autorisation de fourniture en vue d'une utilisation générale. Sinon, une
demande d'autorisation d'utilisation personnelle doit être adressée à la
DCSSI.
Moyens pouvant être exemptés de contrôle quelle que soit la longueur de clé
sous certaines conditions:
Page 107/162
Cartes à puce personnalisées, équipements de réception de télévision de type
grand public, moyens matériels ou logiciels spécialement conçus pour
assurer la protection des logiciels contre la copie ou l'utilisation illicite,
moyens de cryptologie utilisés dans les transactions bancaires,
radiotéléphones portatifs ou mobiles destinés à l'usage civil, stations de base
de radiocommunications cellulaires civiles, moyens de cryptologie
accompagnant les personnalités étrangères sur invitation officielle de l'État.
Page 108/162
Réglementation française en matière de contrôle à l'exportation des moyens de cryptologie
TRANSFERTS INTRA
COMMUNAU-TAIRES
Matériel ou logiciel de cryptologie (produit grand public)
remplissant toutes les conditions suivantes (article 10 du
Décret 2001-1192 du 13/12/2001) :
couramment à la disposition du public, vente effectuée en
magasin, par correspondance, par transaction électronique,
par téléphone
dont la fonctionnalité cryptographique ne peut pas être
modifiée facilement par l'utilisateur
qui est conçu pour être installé, par l'utilisateur sans
assistance ultérieure importante de la part du fournisseur.
Matériel ou logiciel de cryptologie remplissant une des
conditions suivantes (sauf quelques exceptions
importantes **):
Clé symétrique de longueur supérieure à 56 bits
Clé asymétrique de longueur supérieure à 512 bits (RSA,
DH,Ö) ou supérieure à 112 bits (DH sur courbe
elliptique,Ö)
Moyens de cryptanalyse
EXPORT
7 DESTINATIONS *
AUTRES
DESTINATIONS
PAS DE LICENCE D'EXPORTATION DÉCLARATION À LA
D.C.S.S.I.
PAS DE LICENCE
D'EXPORTATION
DÉCLARATION À LA
D.C.S.S.I
LICENCE
GÉNÉRALE
COMMUNAU
TAIRE
DÉCLARATI
ON (C.S.S.I.).
LICENCE
D'EXPORTATION
INDIVIDUELLE OU
GLOBALE
AUTORISATION
(D.C.S.S.I).
LICENCE D'EXPORTATION INDIVIDUELLE OU GLOBALE
AUTORISATION (C.S.S.I.).
* - Australie, Canada, Japon, Nouvelle Zélande, Norvège, Suisse, Etats-Unis
d'Amérique;
** - moyens pouvant être exemptés de contrôle quelle que soit la longueur de
clé mais sous certaines conditions: cartes à puce personnalisées,équipements de
réception de télévision de type grand public, moyens matériels ou logiciels
spécialement conçus pour assurer la protection des logiciels contre la copie ou
l'utilisation illicite, moyens de cryptologie utilisés dans les transactions
bancaires, radiotéléphones portatifs ou mobiles destinés à l'usage civil, moyens
accompagnant leur utilisateur pour son utilisation personnelle.
- moyens contrôlés quelle que soit la longueur de clé : produits utilisant des
techniques cryptographiques pour générer un code d'"étalement de spectre" ou
de saut de fréquences.
7.7
LISTE DES PRODUITS CRYPTOLOGIQUES LIBRES D'UTILISATION
Selon le décret n°99-200 du 17 mars 1999, l'utilisation et l'importation de
produits de chiffrement utilisant des clés de longueur inférieure ou égale à 128
bits sont libres à condition d'avoir été déclarées.
Seuls figurent sur cette liste les produits pour lesquels le fournisseur a
formellement donné son accord à une telle publication.
Le fait qu'un produit ne soit pas référencé dans cette liste ne signifie pas que le
produit n'est pas autorisé. Le référencement dans la liste ne constitue en rien une
indication sur la qualité du produit ni une recommandation de la part de la
DCSSI.
7.8
LISTE DES ENTREPRISES :
• 3COM
• ACE TIMING
• ALCATEL
• AQL
• ARKOON
• AVID
TECHNOLOGY
Inc
• BALTIMORE
TECHNOLOGIES
• BIODATA
GmbH
• BROKAT
• BULL
• CANDLE France
• CHECK POINT
Software
• CISCO Systems
• CITRIX
• COMPAQ
Computer
• CONTROL
DATA
• CORNUT
INFORMATIQUE
• CRYPTOGRAM
• DATA
FELLOWS
• DECROS
• E-SECUWEB
• EDELWEB S.A.
ENFOTEC, Inc
• ENTRUST
7.8.1
• ERACOM TECHNOLOGIES Australia Pty Ltd
• ERCOM
• EXTENDED SYSTEMS
FRANCE
• FREE SOFTWARE
FOUNDATION Chapter
France
• GEMPLUS
• GRETACODER DATA
SYSTEMS AG
• GUARDWARE
SYSTEMS
• HEWLETT-PACKARD
France
• IBM France
• INTERNET SECURITY
System
• ISTRI
• ITS SOLUTIONS
• MATRAnet
• METHODES ET
SOLUTIONS
INFORMATIQUES MSI
• MICROSOFT FRANCE
• NEOL SA
• NETASQ
• NETSCREEN
TECHNOLOGIES
• NETWORK
ASSOCIATES France
• NEUROCOM NORMAN
ASA
• NORTEL
• NETWORKS
• NOVINK
• ODS NETWORKS
• ORACLE
• PHILIPS Gand
Electronique
• PREVIEW SYSTEMS
• RACAL Security and
Payments
• RACAL-AIRTECH
Ltd
• RAINBOW
TECHNOLOGIES
• REDCREEK
COMMUNICATIONS
EMCA
• SAGEM
• SCHLUMBERGERCP8
• SHIVA S.A.
• SISTECH
• STERLING
COMMERCE
• SYMANTEC France
• THEISSEN
SECURITY SYSTEMS
AG
• THOMSON - CSF
DETEXIS
• THOMSON - CSF
• UNISYS France
• UTIMACO Software
France
• VPNet Technologies
Inc.
3COM
Les Conquérants, 1, avenue de l'Atlantique, BP 965 Les Ulis, 91976
Courtaboeuf Cedex, France http://www.3com.fr/
Page 111/162
Produit
Catégorie
Etherlink 10/100 PCI Network Interface Card
Carte de chiffrement
Routeurs dédiés à la commutation de tunnels VPN de Routeur
la famille PathBuilder sous EOS v11.1 et au-delà
Routeurs de la famile OfficeConnect NETBuilder sous Routeur
EOS v11.1 et au-delà
Routeurs de la famille NETBuilder II sous EOS v11.1 Routeur
et au-delà
Routeurs de la famille SuperStack II NETBuilder sous Routeur
EOS v11.1 et au-delà
7.8.2
ACE TIMING
17 rue Noyer, 35000 RENNES, France http://www.acetiming.com/fr/
Produit
Catégorie
SIS (Système d'Interconnexion Authentification + Chiffrement IP +
Sécurisé)
Contrôle d'accès + Firewall
7.8.3
ALCATEL
Le Colisée B, 12 avenue de l'Arche, 92419 Courbevoie Cedex, France
http://www.alcatel.fr/
Produit
Catégorie
Alcatel 7132 Secure VPN Gateway version 3.x.
Tunnel chiffrant VPN
Alcatel 7133 Secure VPN Gateway version 3.x.
Tunnel chiffrant VPN
Alcatel 7134 Secure VPN Gateway version 3.x.
Tunnel chiffrant VPN
Alcatel 7137 Secure VPN Gateway version 3.x.
Tunnel chiffrant VPN
Alcatel Secure VPN Client version 3.x.
Tunnel chiffrant VPN
Page 112/162
7.8.4
AQL
Rue de la chataigneraie, BP 127, 35513 Cesson-Sévigné Cedex, France
http://www.aql.fr/
Produit
Catégorie
Vickey v1.0
Chiffrement de fichiers
7.8.5
ARKOON
13 A avenue Victor Hugo, 69160 Lyon Tassin, France
http://www.arkoon.fr/
Produit
Catégorie
SSL 3DES
Gestion des clés, Administration sécurisée
IPSEC 3DES
Tunnel chifrant VPN, Firewall, Gestion
des clés
Arkoon
purple
Yelow,
green,
blue, Tunnel chiffrant VPN, Firewall
Arkoon Titanium 50, 200, 500, Tunnel chiffrant VPN, Firewall
2000, 5000
7.8.6
AVID TECHNOLOGY
Inc Avid Technology Park, One Park West, Tewksbury, Massachusetts 01876,
Etats-Unis http://www.avid.com/
Produit
Catégorie
AvidProNet Review & Approval Services Logiciel de chiffrement
(incluant Upload/Download Manager)
MediaManager Select 1.0
Logiciel de chiffrement
Avid Unity MediaNetwork 3.1
Logiciel de chiffrement
Page 113/162
7.8.7
BALTIMORE TECHNOLOGIES
68,
rue
du
faubourg
Saint-Honoré,
75008
Paris,
http://www.baltimore.com/
Produit
Catégorie
Baltimore C/SSL TM v2.1
Bibliothèque cryptographique
Baltimore Crypto Systems Toolkit Bibliothèque cryptographique
v.6.0 TM v7
Baltimore J/Crypto v4.0
Bibliothèque cryptographique
Baltimore J/SSL TM v2.0
Bibliothèque cryptographique
Baltimore Secure Messaging Toolkit, Bibliothèque cryptographique
v2.0
Baltimore W/Secure TM SDK v1.1
Bibliothèque cryptographique
Baltimore Enterprise Crypto System Gestion de clés
ECS Desktop v2.2
Baltimore Enterprise Crypto System Gestion de clés
ECS Server v2.2
Baltimore PKI-Plus TM 2.0
Gestion de clés
Unicert 3.0
Gestion de clés
Baltimore HSP4000/Assure v2.2
Processeur cryptographique
7.8.8
BIODATA GmbH
Burg Lichtenfels, 35104 Lichtenfels, Allemagne http://www.biodata.de/
Produit
Babylon 3.0
7.8.9
Catégorie
Chiffrement de liens RNIS
BROKAT
Industriestr. 3, 70565 Stuttgart, Allemagne http://www.brokat.com/de/
Produit
Catégorie
Page 114/162
France
X-Presso Security Package 1.3
Banque à domicile
Page 115/162
7.8.10 BULL
68
route
de
Versailles,
BP
434,
78434
Louveciennes,
France
http://www.bull.fr/
Produit
Catégorie
Netwall Bull
Administration sécurisée
Option de Netwall Bull Remote Control 1.0 et
1.1
Administration sécurisée
Module CSF
Bibliothèque
cryptographique
Toolkit Cryptographique
Bibliothèque
cryptographique
Trustway Software Framework
Bibliothèque
cryptographique
BNC
Cartes Bancaires
BNC-C et BNC-E (Boîte Noire Carte et Boîte
Noire Edition
Cartes Bancaires
Securware BNE C, v1, v2, v3, v4 et v5
Chiffrement IP
Logiciel SECUR'ACCESS
Contrôle d'accès applications
GCOS7
ISM Access Master avec confidentialité
Contrôle d'accès réseau
ISM Access Master de base
Contrôle d'accès réseau
ISM Access Master v3
Contrôle d'accès réseau
Bullwark NT version 1.30
Contrôle d'accès
MAC'ER (Swift Authenticator)
Contrôle d'intégrité réseau
Swift
BNT (Boîte Noire Transactionnelle)
internationale
DAB/GAB
BNT avec TSM-R ou BNT rapide
DAB/GAB
Page 116/162
Carte Swift
DAB/GAB
ECB (Equipement Cryptographique bancaire)
DAB/GAB
ESM
DAB/GAB
ETEBAC5 et carte TSM-R
DAB/GAB
Lecteur SCR 1024 bits - Module de Sécurité
SMC-SM
DAB/GAB
MSCB
DAB/GAB
SCP (Secure Card reading Pinpad)
DAB/GAB
SRC (Serveur Référentiel Code)
DAB/GAB
System Control Device
DAB/GAB
Logiciel DCE, GCOS-DCE, PC-DCE
Distribution de services
applicatifs
Logiciel S/Prog algo DES
Logiciel de chiffrement pour
DPS 7000
MainWay version V3U3 128 bits
Logiciel de communication
MainWay version V3U3 56 bits
Logiciel de communication
Authentic 2
Logiciel de sécurité PC
DCC
Matériel chiffrement réseau
ethernet
Securware-CE ou BN-CE
Processeur cryptographique
BNR 5000
Réseaux X25
BNR et BNR type 2
Réseaux X25
Produit de Sécurité ISS "MOTUS"
Serveur de sécurité
BullSoft Proxy Serveur
Serveur proxy
Operating System AIX
Système d'exploitation
AccessMaster Secure Remote Access/VPN
Tunnel chiffrant VPN
Page 117/162
7.8.11 CANDLE France
13, avenue de la porte d'Italie, 75013 Paris, France http://www.candle.com/
Produit
MQ Secure v1.1
Catégorie
Logiciel de communication
Page 118/162
7.8.12 CHECK POINT Software
3,
quai
de
Dion
Bouton,
92806
Puteaux
Cedex,
France
http://www.checkpoint.com/
Produit
Catégorie
VPN-1 RemoteLink DES
Chiffrement IP
VPN-1 Pro, VPN-1 Net VPN-1 GX, VPN-1 Chiffrement IP
SmallOffice
VPN-1 SecuRemote
Chiffrement IP
VPN-1 SecureClient
Chiffrement IP
VPN Client pour Macintosh
Chiffrement IP
VSX
Chiffrement IP
VPN-1 Accelerator Card III
Chiffrement IP
Firewall VPN-1 Version 5 next generation
Chiffrement IP
Firewall-1 VPN 3DES v4 et VPN-1 Appliance Firewall
3DES
Firewall VPN-1 Version 5 next generation
Firewall
Firewall-1 VPN DES versions 3 et 4
Firewall
VSX
Firewall
VPN-1 Certificate Manager
Gestion de clés
7.8.13 CISCO Systems
11 rue Camille Desmoulins, 92782 Issy-Les-Moulineaux Cedex 9, France
http://www.cisco.com/fr/
Produit
Catégorie
IOS 56 bits
Tunnel chiffrant VPN
IOS Triple DES
Tunnel chiffrant VPN
IOS 56 & 128 bits
Tunnel chiffrant VPN
Page 119/162
Cisco PIX & IOS 3-DES
Tunnel chiffrant VPN
Cisco VPN 3000 Série
Tunnel chiffrant VPN
Cisco VPN 5000 Série
Tunnel chiffrant VPN
Cisco Secure Unix Server
Authentification
Cisco Aironet 340 Série
Chiffrement IP
Cisco Aironet 350 Série
Chiffrement IP
7.8.14 CITRIX
7,
place
de
la
Défense,
92974
La
Défense
4
Cedex,
France
http://www.citrix.com/
Produit
Catégorie
Secure ICA Services
Environnement distribué
7.8.15 COMPAQ Computer
5
allée
Gustave
Eiffel,
92442
Issy-Les-Moulineaux,
http://www.compaq.fr/
Produit
Catégorie
Lecteur d'empreintes digitales
Authentification
TaskSmart série C
Cache Internet
Altavista Tunnel 98 (56 bits)
Chiffrement IP
Carte de supervision Insight Lights out
Chiffrement SSL
iD2 Certificate manager v2.x.y et v3.x.y
Gestion de clés
Compaq Insight Manager
Logiciel d'administration
Apache Web Server for TRU64 Unix
Serveur Web
Apache Web Server on Open VMS
Serveur Web
DECForms Web connectors 40 bits
Serveur Web
Task Smart Server W2200
Serveur Web
Page 120/162
France
7.8.16 CONTROL DATA
Le capitole, 55, avenue des Champs Pierreux, 92012 Nanterre Cedex France
Produit
Catégorie
IntraStore 2000
Messagerie
Rialto IMAPSP Service Providers 2000
Messagerie
7.8.17 CORNUT INFORMATIQUE
24, rue de la télématique, BP 702, 42950 Saint-Etienne Cedex 9, France
http://www.cornut.fr/
Produit
Catégorie
CI-Link v3.2.2.
Bases de données
7.8.18 CRYPTOGRAM
24, rue de la digue, 78470 Saint-Rémy Les Cheveuses, France
Produit
Catégorie
CryptoGram Folder Professional Edition Chiffrement de fichiers
v1.40
CryptoGram Folder Smart Edition v1.40
Chiffrement de fichiers
7.8.19 DATA FELLOWS
12 avenue de l'Arche, Faubourg de l'Arche, 92400 Courbevoie, France
Produit
Catégorie
F-SECURE Management Framework v3.0
Administration sécurisée
F-Secure VPN+ version 4.0
Chiffrement IP
F-Secure SSH
Chiffrement SSH
F-Secure FileCrypto version 4.0
Chiffrement de fichiers
7.8.20 DECROS
JS
Baara
40,
370
01
Ceske
Budejovice,
http://www.decros.com/
Page 121/162
Czech
Republic
Produit
Catégorie
Protect 95/98 et Protect NT (128 bits)
Chiffrement de fichiers
Protect 95/98 et Protect NT (version Wincros II Chiffrement de fichiers
160 bits)
Protect 95/98 et Protect NT triple DES 40 bits
Logiciel de chiffrement
de fichiers PC
7.8.21 E-SECUWEB
34 avenue Foch, BP 1023, 76061 Le Havre Cedex, France http://www.esecuweb.com/
Produit
Catégorie
Crypto Inside - Version 1.0
Chiffrement de fichiers
Crypto Inside for JAVA™ - Chiffrement de fichiers
Version 1.0
7.8.22 EDELWEB S.A.
33 avenue du Maine, 75755 Paris Cedex 15, France http://www.edelweb.fr/
Produit
Catégorie
Edelsafe version F-1.0
Sécurisation messagerie
7.8.23 ENFOTEC, Inc
Les
Tilleuls,
Chemin
de
Vermillère,
84160
Cadenet,
http://www.enfotec.net/
Produit
Catégorie
Enfotec 200 Security appliance
Tunnel chiffrant VPN, Firewall
Enfotec CSA
Tunnel chiffrant VPN, Firewall
7.8.24 ENTRUST
90 avenue des Champs Elysées, 75008 Paris, France
Produit
Entrust
Security
Toolkit
Catégorie
for Bibliothèque cryptographique
Page 122/162
France
Visual Basic v6
Entrust Session Toolkit v6
Bibliothèque cryptographique
Entrust IPSEC Negociator Toolkit Bibliothèque cryptographique
v6
Entrust File Toolkit v6
Bibliothèque cryptographique
Entrust
Security
Manager Bibliothèque cryptographique
Administration Toolkit v6
Entrust Security
JAVA v6
Toolkit
for Bibliothèque cryptographique
Entrust M Validator
Chiffrement échanges WAP
Entrust M Register
Chiffrement échanges WAP
Entrust Web Plug-in v6
Chiffrement/Signature échanges Internet
Entrust TruePass v6
Chiffrement/Signature échanges Internet
Entrust Security Management v6
Gestion de clés
Entrust Authority
Server for VPN v6
Enrollment Gestion de clés
Entrust Authority Enrollment Gestion de clés
Server for Smartcards v5
Entrust File Plug-in v6
Logiciel de chiffrement de fichiers PC
Entrust Client
Logiciel de sécurité PC
Entrust Timestamp v5
Logiciel d'horodatage
Entrust E-Mail Plug-in v6
Sécurisation messagerie
7.8.25 ERACOM TECHNOLOGIES Australia Pty Ltd
28, Greg Chappell Drive, 4220 Burleigh Heads QLD 4220, Australie
Produit
Protectserver orange (CSA 8000)
Catégorie
Processeur cryptographique
Page 123/162
7.8.26 ERCOM
Immeuble Nungesser, 13 avenue Morane Saulnier, 78140 Velizy, France
http://www.ercom.fr/
Produit
Catégorie
SmartPass /128
Chiffrement IP
SmartPass /56
Chiffrement IP
7.8.27 EXTENDED SYSTEMS FRANCE
54
route
de
Sartrouville,
78230
Le
http://www.extendedsystems.fr/ESIfr/default.htm
Produit
Catégorie
XTNDConnect Server 2.4 56/128 Messagerie + Transfert de fichiers
bits
Page 124/162
Pecq
7.8.28 FREE SOFTWARE FOUNDATION Chapter France
8 rue de Valois, 75001 Paris http://france.fsfeurope.org/
Produit
Catégorie
OpenSSL
suivantes
version
0.9.6d
et Chiffrement SSH
OpenSSL
suivantes
version
0.9.6d
et Chiffrement SSL
OpenSSL
suivantes
version
0.9.6d
et Chiffrement SSL/SSH
GnuPG version 1.0.7 et suivantes
Chiffrement échanges Internet
GnuPG version 1.0.7 et suivantes
Chiffrement/Signature échanges Internet
GnuPG version 1.0.7 et suivantes
Chiffrement/Chiffrement de fichiers
GnuPG version 1.0.7 et suivantes
Chiffrement/Logiciel de chiffrement
7.8.29 GEMPLUS
Parc d'activités de Gemenos, BP 100, 13881 Gemenos Cedex, France
http://www.gemplus.fr/french/index.html
Produit
Catégorie
carte SETCOS 4.4 et outils Carte à mémoire
associés
7.8.30 GRETACODER DATA SYSTEMS AG
Althardstr. 150, 8105 Regensdorf, Suisse
Produit
Gretacoder 522/524/526/605
Catégorie
Matériel chiffrement X25
Page 125/162
7.8.31 GUARDWARE SYSTEMS
1089 Budapest Ulloï utc 102, Budapest, Hongrie
Produit
Catégorie
System Guard et Access Guard
Authentification
System Guard et Access Guard
Contrôle d'accès
System Guard et Access Guard
Contrôle d'accès réseau
7.8.32 HEWLETT-PACKARD France
PA du Bois Briard, 2 avenue du Lac, 91040 Evry Cedex, France
http://welcome.hp.com/country/fr/fr/welcome.htm
Produit
Catégorie
HP VirtualVault 4.0 serveur Web sécurisé Serveur d'accès Internet
(avec HP Speedcard)
HP VirtualVault système UNIX sécurisé Système d'exploitation
(avec HP Speedcard)
7.8.33 IBM France
Tour Descartes Département 2009, 92066 Paris La Défense 5 Cedex
http://www.ibm.com/fr/
Produit
Catégorie
5622 - 212 Distrib.Console Access Facility
Administration sécurisée
IBM Web based system manager security Administration sécurisée
for AIX
Lotus Organizer
Agenda
DSSeries Directory Server for AIX 4.3
Annuaire électronique
CBT Crypto Based Transaction
Banque à domicile
5655 - 120 ICSF/MVS
Bibliothèque
Cryptographique
5765 - 418 bibliothèque DES pour AIX v4
Bibliothèque
Page 126/162
Cryptographique
82F5484 carte personnelle de sécurité (DES Carte à mémoire
limité)
4758 Coprocesseur crypto CDMF
Carte de chiffrement PC
4758 Coprocesseur cryptographique DES
Carte de sécurisation PC
IBM 4758 Coprocesseur cryptographique, Carte de sécurisation PC
dispositif 4800 pour AS/400
5639 - B82 et 5639 - B83 ARTour Mobile Chiffrement IP (radio)
Clients
5765 - C17 ARTour Gateway for AIX
Chiffrement IP (radio)
5647 - A01 OS/390 IP Security CDMF
Chiffrement IP
IBM Cryptographic Access Provider 56 bits Chiffrement IP
ou IBM 5769-AC2
IBM Secure Wireless Gateway 56 bits v5.1
Chiffrement IP
IPSec pour IBM AIX v4.3
Chiffrement IP
5769-CE2 ou IBM
Encryption 56 bits
AS/400
Client Chiffrement SSL/SSH
5769-CE3 ou IBM AS/400
Encryption triple DES 168 bits
Client Chiffrement SSL/SSH
IBM AS/400 Client Encryption 56 bits ou Chiffrement SSL/SSH
IBM 5769-CE2
IBM Component Broker v3
Chiffrement SSL/SSH
IBM Host On Demand v4 (128 bits)
Chiffrement SSL/SSH
IBM Host On Demand v4 TDES 168
Chiffrement SSL/SSH
IBM Java ORB
Chiffrement SSL/SSH
IBM System SSL for OS/390 (40/56 bits)
Chiffrement SSL/SSH
"Domino Go Webserver 4.6.1 et 5.0 et Chiffrement SSL
HTTP Server 40b for AIX, OS/2 Warp,
WinNT, Solaris, HPUX"
Page 127/162
5620 - AYV Transarc DE Light
Chiffrement SSL
5639 - D42 eNetwork Host On Demand
Chiffrement SSL
5639 - E44 ou 5639 - E45 eNetwork Chiffrement SSL
Personnal Communications v4.3
5639 - F34 Component Broker v1
Chiffrement SSL
5648 - B40 et 5648 - B63 eNetwork Host Chiffrement SSL
On Demand
5649 - NCE et 5769 - NCE et 5649 - NCF Chiffrement SSL
Internet Con.Secure Server for AS/400
5697 - C58 Domino Go Webserver 4.6.1 for Chiffrement SSL
OS/390
5697 - D43 Domino Go Webserver 5.0 for Chiffrement SSL
OS/390 IBM HTTP Server 40b
5769 - AC1 Crypto Access Provider 40b
Chiffrement SSL
5799 - A83 Contact Fusion v1
Chiffrement SSL
IBM CICS Transaction Gateway v3 ou Chiffrement SSL
5639 - F52 ou 5648 - B43 ou 5765 - C09
5648-B43 ou
Gateway v3
IBM
CICS
Transaction Client/Serveur
IBM TX Series 4.3
Client/Serveur
5697 - A16 Net Commerce for AIX et Win Commerce électronique
NT
5697 - C60 Commerce Point Gateway for Commerce électronique
OS/390
5697 - C61 Registry for SET for OS/390
Commerce électronique
5697 - C62 Commerce Point eTill
Commerce électronique
5697 - C80 Commerce Point Wallet
Commerce électronique
IBM Consumer Wallet v2r1, IBM Commerce électronique
Websphere Payment Manager v2r1, IBM
Page 128/162
Websphere Payment Gateway v2r1
IBM Websphere Payment Gateway v2r1 Commerce électronique
SSL 168 bits
IBM Websphere Payment Manager v2r1 Commerce électronique
SSL 168 bits
5765 - 473 NetSP Secured Network Contrôle d'accès réseau
Gateway
8235 Serveur d'accès réseau local via RTC
Contrôle d'accès réseau
"7975 Clavier chiffrant pou IBM 4731, DAB/GAB
4738 et 4739"
42F0093 Carte personnelle de sécurité
4346 Dispositif
4783/4789
cryptographique
DAB/GAB
pour DAB/GAB
4347 Clavier chiffrant pour 478x
4656 Dispositif
4731/4738/4739
DAB/GAB
cryptographique
pour DAB/GAB
4702 Serveur bancaire
DAB/GAB
4737 Service dialogue
DAB/GAB
4738 et 4739 Guichets automatiques de DAB/GAB
banque
4754 - 001 Unité interface sécurité
4755
Adaptateur
ETEBAC5 - NMT 900
4756 Dispositif
4731/4738/4739
DAB/GAB
cryptographique DAB/GAB
cryptographique
pour DAB/GAB
4778 Clavier d'identification personnelle
DAB/GAB
4781 Distributeur automatique de billets
DAB/GAB
4782 Guichet automatique de banque
DAB/GAB
4783 Distributeur automatique de billets
DAB/GAB
Page 129/162
4784 Distributeur automatique de billets
DAB/GAB
4785 Guichet automatique de banque
DAB/GAB
4787 Guichet automatique de banque
DAB/GAB
4789 Distributeur automatique de billets
DAB/GAB
5668 - 871 PBM Network Monitor
DAB/GAB
5756 - 228 Enhanced Network Monitor
DAB/GAB
5937 Services dialogue IBM 4737 en kit
DAB/GAB
7221 Clavier chiffrant pour imprimante DAB/GAB
IBM 4725
7223 et 7224 Claviers pour imprimante DAB/GAB
IBM 4725
8Q0742 Dispositif cryptographique pour DAB/GAB
IBM 3174
SDCS Secure Distribution Control System
Distribution de logiciels
5639 - D53 DCE for Win NT
Environnement distribué
Gradient DCE client for Windows 95/NT
Environnement distribué
IBM DCE Runtimes Services for Windows Environnement distribué
95/NT (56 bits)
IBM DCE for AIX v3.1 (56 bits)
Environnement distribué
IBM DCE for AS/400 (56 bits)
Environnement distribué
IBM DCE for NT v2.2 (56 bits)
Environnement distribué
IBM DCE for OS/2 (56 bits)
Environnement distribué
IBM DCE for Solaris v3.1 (56 bits)
Environnement distribué
IBM Host Publisher v2
Environnement distribué
IBM Network Station Manager v2R1ou Environnement distribué
IBM 5648-C07
Transarc DCE client for Windows 95/NT
Environnement distribué
Page 130/162
5647 - A01 Version 2 Communications Firewall
Server for OS/390 56 bits
5649 - FW1 et 5769 - FW1 et 5649 - FW2 Firewall
Firewall for AS/400
5697 - F06 Firewall 3.3 DES
Firewall
5765 - C16 Firewall v3 CDMF
Firewall
5765 - C16 Firewall v3 DES
Firewall
5765 - C16 Firewall v3.1/3.2 DES
Firewall
5648 - B28 Vault Registry
Gestion de clés
5776 - ETX Commerce Server /400
Gestion de clés
5696 - 902 DSMIT for AIX v4
Gestion
distribués
de
systèmes
5765 -533 Services sécurité DCE 2.1
Gestion
distribués
de
systèmes
5756 - 030 AIX v3.2
Logiciel
(non PC)
d'authentification
5765 - 268 Asynchronous terminal Server Logiciel
Accelerator 6000 sur Ethernet
(non PC)
d'authentification
5765 - 268 + 0464 AIX Asynch. Terminal Logiciel
Server Accelerator/6000
d'authentification/chiffrement
(non PC)
5740 - XY5 Programmed crypto Facility
Logiciel de chiffrement (non
PC)
5648 - A52 ou IBM Secure Crypto and Logiciel
Certificates services toolkit (40/56 bits)
chiffrement/certification
de
5997 - C19 FTP Software pour eNetwork Logiciel de communication
Com. Suite
IBM Communication Server for OS/390 (56 Logiciel de communication
bits)
5716 - CR1 Logiciel crypto AS/400 RISC
Logiciel de sécurité (non PC)
Page 131/162
5763 - CR1 Logiciel crypto AS/400
Logiciel de sécurité (non PC)
5769 - CR1 Logiciel crypto AS/400 RISC
Logiciel de sécurité (non PC)
5769 - DC1 DCE Base Services for AS/400
Logiciel de sécurité (non PC)
5622 - 967 DSS for OS/2 Warp
Logiciel de sécurité PC
5639 - E46 DCE Runtime Services for Logiciel de sécurité PC
Win95/NT CDMF Transarc DCE Client
Pack for Win 95/NT CDMF
Lotus Notes /domino 4.6 et 4.6.1 Editions Messagerie
françaises
Lotus Notes R3 V4.11 et V.51 incluant Messagerie
Domino
Lotus Notes/Domino R5
Messagerie
Lotus Notes/Domino R5.01 (version 40 bits Messagerie
SSL 56 bits)
Lotus QuickPlace version 1 (40 bits)
Messagerie
5648 - B08 et 5648 - B10 et 5648 C05
Navigateur Internet
0801 - 0811 Processeur crypto CDMF pou Processeur Cryptographique
PC OS/2
0802 Processeur Cryptographique DES Processeur Cryptographique
pour S/390
0803 0806 0807 0809 0810 0812 0813 Processeur Cryptographique
Dispositifs optionnels pour S/390
2628 Processeur crypto AS/400 (DES Processeur Cryptographique
limité)
4753 - 014 Processeur sécurité réseau
Processeur Cryptographique
FC 2620 Processeur cryptographique pour Processeur Cryptographique
AS/400
IBM 4758 ou IBM PCI Cryptographic Processeur Cryptographique
Coprocessor Triple DES 112 bits
Page 132/162
Processeur cryptographique pour S/390 Processeur Cryptographique
avec chiffrement triple DES
dispositif logiciel ICSF de l'IBM OS/390
Processeur cryptographique
Routeurs IBM 2210 MRS version 40 bits
Routeurs
Routeurs IBM 2212 AIS version 40 bits
Routeurs
Routeurs IBM 2216 MAS version 40 bits
Routeurs
Routeurs IBM 2210 mrs 2212 ais 2216 mas Routeur
(40 bits)
Routeurs IBM 2210-MRS, 2212-AIS, 2216- Routeur
MAS et NetU option tripleDES
5697 - 181 Internet Connection Secure Serveur Web
Server for AIX
5697 - 186 Internet Connection Secure Serveur Web
Server for OS/2 Warp
5697 - 188 Internet Connection Secure Serveur Web
Webexp.
IBM HTTP Server 133 (56 bits)
Serveur Web
IBM Http Server Edition triple DES 3x56 Serveur Web
bits
IBM On-Demand server v2.0 56 bits
Serveur Web
IBM SecureWay Directory v3
Serveur Web
IBM Websphere AS 2.02 (56 bits)
Serveur Web
IBM Websphere AS SE/AE/EE v3
Serveur Web
System SSL for OS/390
Serveur Web
5765 - 626 Internet Connection Secured Serveur d'accès Internet
Network Gateway
5639 - F25 CS/NT v6 ou IBM Serveur de communication
Communication Server for Windows NT
version 6 + CS/AIIX v5 + CS/OS2 v6
Page 133/162
Corepoint Web Collaboration (40/56 bits)
Serveur web
IBM Site Analyzer
Serveur web
IBM 5639-E53 IBM Suite for Windows NT Suite crypto
(56 bits)
IBM 5648-B88 ou IBM Business Suite for Suite crypto
Windows NT (56 bits)
IBM SecureWay Synchronisation (56 bits)
Suite crypto
5786 - ENT E3/CMW for AIX
Système d'exploitation
Lotus 1.2.3
Tableur
IBM IP Security for AIX (56 bits)
Tunnel chiffrant VPN
7.8.34 INTERNET SECURITY System
Le Métropole, 84, avenue du Général Leclerc, 92100 Boulogne, France
Produit
Catégorie
RealSecure v3.1
Détection d'intrusion
SafeSuite Decisions v2.0
Détection d'intrusion
System Scanner v4.0
Détection d'intrusion
7.8.35 ISTRI
http://www.istri.com/
Produit
Catégorie
Serveur Waplite version sécuriséev1.10
Chiffrement échanges WAP
7.8.36 ITS SOLUTIONS
20 place Napoléon 1er, Tour Neptune, 92086 Paris La Défense France
Produit
Catégorie
SCUA Security vx.xxi rxx
Chiffrement de fichiers
SCUA V3
Logiciel de sécurité PC
SCUA v4
Logiciel de sécurité
Page 134/162
7.8.37 MATRAnet
18,
rue
Grange
Dame
Rose,
BP
262,
78147
Velizy
Cedex
http://www.matranet.com/
Produit
Catégorie
M>Tunnel
Chiffrement IP
M>Tunnel
Tunnel chiffrant VPN
7.8.38 METHODES ET SOLUTIONS INFORMATIQUES MSI
7 rue Jean Mermoz, 78000 Versailles, France
Produit
Catégorie
Security Box SHL
Chiffrement échanges Internet
Security Box 2.6
Chiffrement de fichiers
Security Box 2.5
Logiciel de chiffrement de fichiers PC
Security Box Home
Logiciel de chiffrement de fichiers PC
Security Box Work
Logiciel de chiffrement de fichiers PC
Security Box freeware
Logiciel de chiffrement de fichiers PC
Security Box Mail Service
Messagerie
7.8.39 MICROSOFT FRANCE
18 avenue du Québec, ZAC de Coutaboeuf, 91140 Villebon sur Yvette, France
http://www.microsoft.com/france/
Produit
Catégorie
Windows XP
Annuaire électronique
Windows 2000
Annuaire électronique
Windows NT 3.5, Windows NT 4.0
Annuaire électronique
Windows CE .NET4.x, Windows Annuaire électronique
CE 3.0
Microsoft Money 2003 et versions Banque à domicile
précédentes
Page 135/162
SQL serveur 2000 et versions Base de données
précédentes
Dotnet Framework
Bibliothèque cryptographique
Microsoft CryptoAPI
Bibliothèque cryptographique
Microsoft CAPICOM
Bibliothèque cryptographique
Internet security and Acceleration Cache Internet
Server 2000 et versions précédentes
Windows Smart Card
Carte de chiffrement
Exchange 2000
Chiffrement échanges Internet
Exchange 5.0
Chiffrement échanges Internet
Outlook 97
Chiffrement échanges Internet
Outlook 98
Chiffrement échanges Internet
Outlook XP (2002)
Chiffrement échanges Internet
Mobile Information Server 2002
Chiffrement échanges Internet
Office 2000
Chiffrement de fichiers
Office XP
Chiffrement de fichiers
Office 97
Chiffrement de fichiers
Biztalk Server 2002 et versions Commerce électronique
précédentes
Commerce Server 2002 et versions Commerce électronique
précédentes
Internet Information Server 6.0 et Commerce électronique
versions précédentes
Windows NT 3.5, Windows NT 4.0
Commerce électronique
Windows XP
Commerce électronique
Windows 2000
Commerce électronique
Windows Millenium, Windows 98, Commerce électronique
Page 136/162
Windows 95
Windows CE .NET4.x, Windows Commerce électronique
CE 3.0
XBox
Console de jeux
Internet security and Acceleration Firewall
Server 2000 et versions précédentes
Project
2002
précédentes
et
versions Gestion de projet sécurisée
Exchange 5.0
Gestion de clés
Exchange 5.5
Gestion de clés
Exchange 2000
Gestion de clés
obile Information Server 2002
Gestion de clés
Windows CE .Net 4.x, Windows Gestion de politiques de sécurité
CE 3.0
Windows Millenium, Windows 98, Gestion de politiques de sécurité
Windows 95
Windows NT 3.5, Windows NT 4.0
Gestion de politiques de sécurité
Windows XP
Gestion de politiques de sécurité
Windows 2000
Gestion de politiques de sécurité
Outlook 97, Outlook 98, Outlook Logiciel de chiffrement
2000, Outlook XP (2002)
Mobile Information Server 2002
Logiciel de chiffrement
Exchange 5.5
Logiciel de chiffrement
Exchange 2000
Logiciel de chiffrement
Office XP
Logiciel de chiffrement de fichiers
PC
Office 2000
Logiciel de chiffrement de fichiers
PC
Page 137/162
Office 97
Logiciel de chiffrement de fichiers
PC
Dotnet Framework
Logiciel de développement
Clavier/souris Wireless
Desktop for Bluetooth
Optical Matériel sans fil
Office 97
Messagerie
Office 2000
Messagerie
Office XP
Messagerie
Exchange 5.0
Messagerie
Exchange 5.5
Messagerie
Exchange 2000
Messagerie
Outlook 97
Messagerie
Outlook 98
Messagerie
Outlook 2000
Messagerie
Outlook XP (2002)
Messagerie
Internet Explorer 4.0, 5.0, 5.01, 5.5, Messagerie
6.0
Outlook Express 4.0, 5.0, 5.05, 5.5, Messagerie
6.0
Mobile Information Server 2002
Messagerie
Internet Explorer 4.0, 5.0, 5.01, 5.5, Navigateur Internet
6.0
Outlook Express 4.0, 5.0, 5.01, 5.5, Navigateur Internet
6.0
Host Integration Server 2000 et Passerelle SNA
versions précédentes (SNA Server)
Mobile Information Server 2002
Sécurisation messagerie
Page 138/162
Exchange 5.0
Sécurisation messagerie
Exchange 5.5
Sécurisation messagerie
Exchange 2000
Sécurisation messagerie
Internet Security and Acceleration Serveur proxy
Server 2000 et versions précédentes
Internet Information Server 6.0 et Serveur Web
versions précédentes
Windows XP
Serveur Web, Portail Internet
Windows 2000
Serveur Web, Portail Internet
Windows Millenium, Windows 98, Serveur Web, Portail Internet
Windows 95
Windows CE .Net 4.x, Windows Serveur Web, Portail Internet
CE 3.0
Sharepoint Portal Server 2003 et Serveur Web, Portail Internet
versions précédentes
Content Management Server 2002
Serveur Web
Office 97
Signature électronique
Windows XP
Système d'exploitation
Windows 2000
Système d'exploitation
Windows Millenium, Windows 98, Système d'exploitation
Windows 95
Windows CE .Net 4.x, Windows Système d'exploitation
CE 3.0
Windows NT 3.5, Windows NT 4.0
Pocket PC
précédentes
2002
Système d'exploitation
et
versions Système d'exploitation
Pocket PC Phone Edition
Système d'exploitation
Smartphone Windows
Système d'exploitation
Page 139/162
Windows Smart Card
Système d'exploitation
Office 97
Tableur
Office XP
Tableur
Office 2000
Tableur
Pocket PC Phone Edition
Téléphonie
Pocket PC 2002 et précédentes
Téléphonie
Smartphone Windows
Téléphonie
Windows CE .Net 4.x, Windows Tunnel chiffrant VPN
CE 3.0
Windows XP
Tunnel chiffrant VPN
Windows 2000
Tunnel chiffrant VPN
Windows Millenium, Windows 98, Tunnel chiffrant VPN
Windows 95
Windows NT 3.5, Windows NT 4.0
Tunnel chiffrant VPN
7.8.40 NEOL SA
4 rue Nationale, BP 11, 67801 Bisheim Cedex http://www.neol.fr
Produit
Wibu key
Catégorie
Chiffrement de fichiers
7.8.41 NETASQ
3 rue Archimède, 59650 Villeneuve d'Ascq, France http://www.netasq.com/
Produit
Catégorie
F50
Firewall
F100
Firewall
F100C
Firewall
F500
Firewall
Page 140/162
V100 VPN Box
Tunnel chiffrant VPN
7.8.42 NETSCREEN TECHNOLOGIES
120 rue Jean Jaurès, 92300 Levallois Perret http://www.netscreen.com/
Produit
Catégorie
Boîtier NS-5XP
Chiffrement IP
Boîtier NS-5XT
Chiffrement IP
Boîtier NS 25
Chiffrement IP
Boîtier NS 50
Chiffrement IP
Boîtier NS 204
Chiffrement IP
Boîtier NS 208
Chiffrement IP
Boîtier NS 5200
Chiffrement IP
Boîtier NS 5400
Chiffrement IP
Screen OS 4.0
Chiffrement IP
Boîtier NS-5XP
Firewall
Boîtier NS-5XT
Firewall
Boîtier NS 25
Firewall
Boîtier NS 50
Firewall
Boîtier NS 204
Firewall
Boîtier NS 208
Firewall
Boîtier NS 5200
Firewall
Boîtier NS 5400
Firewall
Screen OS 4.0
Firewall
Boîtier NS-5XP
Tunnel chiffrant VPN
Boîtier NS-5XT
Tunnel chiffrant VPN
Page 141/162
Boîtier NS 25
Tunnel chiffrant VPN
Boîtier NS 50
Tunnel chiffrant VPN
Boîtier NS 204
Tunnel chiffrant VPN
Boîtier NS 208
Tunnel chiffrant VPN
Boîtier NS 5200
Tunnel chiffrant VPN
Boîtier NS 5400
Tunnel chiffrant VPN
Screen OS 4.0
Tunnel chiffrant VPN
Boîtier NS-5XP
Tunnel chiffrant VPN, Firewall
Boîtier NS-5XT
Tunnel chiffrant VPN, Firewall
Boîtier NS 25
Tunnel chiffrant VPN, Firewall
Boîtier NS 50
Tunnel chiffrant VPN, Firewall
Boîtier NS 204
Tunnel chiffrant VPN, Firewall
Boîtier NS 208
Tunnel chiffrant VPN, Firewall
Boîtier NS 5200
Tunnel chiffrant VPN, Firewall
Boîtier NS 5400
Tunnel chiffrant VPN, Firewall
Screen OS 4.0
Tunnel chiffrant VPN, Firewall
7.8.43 NETWORK ASSOCIATES France
50, rue de Londres, 75008 Paris, France http://www.nai.com/
Produit
Catégorie
Event Orchestrator v1.02 et 1.03
Administration sécurisée
PGP SDK version 1.x
Chiffrement de fichiers
PGP desktop utilities v5.5.5 et v6.0.2
Chiffrement de fichiers
PGP desktop utilities v6.5.1 et v6.5.2
Chiffrement de fichiers
CyberCop Suite scanner 5.0/5.5 et Monitor 1.x/2.x
Détection d'intrusion
Page 142/162
Gauntlet NT v5.0 v5.5 et antérieures
Firewall
Gauntlet Unix v4.2 v5.0 v5.5 et antérieures
Firewall
E-Policy Orchestrator
Gestion d'antivirus
NetTools PKI Server v1.0
Gestion de clés
PGP Certificate Server v2.5 et v2.5.1
Gestion de clés
Gauntlet GVPN pour Gauntlet UNIX et NT, v5.0 Tunnel chiffrant VPN
v5.5
7.8.44 NEUROCOM
79-181 avenue Charles de Gaulle, 92200 Neuilly sur Seine, France
http://www.neurocom.com/
Produit
Catégorie
Net Secure File v2.3
Chiffrement de fichiers
NetSecure java v2
Serveur Web
7.8.45 NORMAN ASA
BP 43, 1324 Lysaker, Norvège
Produit
Catégorie
Norman Privacy version 3.0
Chiffrement de fichiers
PC
Norman Access Control pour Windows 95/98 Logiciels de sécurité PC
version 4.11
Norman Access Control pour Windows NT Logiciels de sécurité PC
version 5.01
7.8.46 NORTEL NETWORKS
1 place des Frères Montgolfier, 78928 Guyancourt Cedex 9, France
http://www.nortelnetworks.com/
Produit
Catégorie
Baystack Instant Internet 1000 & 4, version 7.0 et Tunnel chiffrant VPN
Page 143/162
suivantes
Contivity
128
bits
Extranet
Switch Tunnel chiffrant VPN
(600/1000/2000/4000-1500/2500/4500) version 2
et suivantes
Contivity
56
bits
Extranet
(600/1000/2000/4000-1500/2500/4500)
1.5 et suivantes
Switch Tunnel chiffrant VPN
version
Shasta 5000 BSN, version 2.0 et suivantes mode Tunnel chiffrant VPN
DES et 3DES (168 bits)
Page 144/162
7.8.47 NOVINK
19 rue de l'Aubrac, 75012 Paris, France http://www.novlink.com/
Produit
Novlink Diskprivacy
Catégorie
Logiciel de chiffrement de fichiers PC
7.8.48 ODS NETWORKS
115 avenue de Paris, 94160 Saint-Mande, France
Produit
CryptoWatch v5.X
Catégorie
Tunnel chiffrant VPN
7.8.49 ORACLE
65, rue des 3 Fontanots, 92732 Nanterre Cedex, France http://www.oracle.fr/
Produit
Catégorie
ANO v8.0 et 2.3
Bases de données
ANO v8.1
Bases de données
Oracle Life R3.0 v3.0.6.2.4
Bases de données
Oracle Developer/2000 Server v1.6 et v2.0
Commerce électronique
Oracle Internet Commerce Server v1.0 et Commerce électronique
1.1
Internet Messaging v4.2
Messagerie
Oracle Mobile Agents v3.0
Messagerie
7.8.50 PHILIPS Gand Electronique
58 rue Carnot, BP 301, 92150 Suresnes, France
Produit
Catégorie
ComPORT CP 1100, CP2100, CP3100 Modem
versions
A,B,C,D,E,FT
et
comCONTROLLER
CC0210,
CC0211,
CCX0110, CC2100, CC2110
Page 145/162
7.8.51 PREVIEW SYSTEMS
1000, SW Broadway, Suite 1850, PORT-LAND, OR 97205, Etats-Unis
http://www.previewsystems.com/
Produit
Catégorie
Ziplock ESD System v3
Distribution de logiciels
7.8.52 RACAL Security and Payments
Meadow View House, Crendon Industrial Estate, Long Crendon, Aylesbury,
Buckinghamshire HP189EQ England
Produit
Catégorie
Datacryptor 2000
Chiffrement IP
Datacryptor 2000 frame relay
Chiffrement IP
7.8.53 RACAL-AIRTECH Ltd
Meadow View House, Crendon Industrial Estate, Long Crendon, Aylesbury,
Buckinghamshire HP189EQ England
Produit
Catégorie
SafeDial v34
Chiffrement RTC
Datacryptor 64 modèle E
Chiffrement X25
Safe X25
Chiffrement X25
"Datacryptor modèles LS, MS, HS"
Chiffrement d'artères
Safe 64K
Chiffrement d'artères
Safe Megabit 2
Chiffrement d'artères
Carte de chiffrement PC modèle Chiffrement de fichiers
RG721
"Datacryptor 64 modèles F, HSF"
Chiffrement frame relay
"HSM modèles RG7000, RG7010"
Processeur cryptographique
7.8.54 RAINBOW TECHNOLOGIES
122 avenue Charles de Gaulle, 92522 Neuilly sur Seine Cedex, France
Page 146/162
Produit
Catégorie
iKey 1000
Authentification
Carte accélératrice CryptoSwift
Chiffrement SSL/SSH
iKey 2000
Sécurisation messagerie
7.8.55 REDCREEK COMMUNICATIONS EMCA
Verlengde
Poolseweg
34-36,
4818
CL
Breda,
The
Netherlands
http://www.redcreek.com/
Produit
Catégorie
Famille de produits Ravlin 3.x (168 bits)
Chiffrement IP
Famille de produits Ravlin 3.x (56 bits)
Chiffrement IP
7.8.56 SAGEM
Produit
Catégorie
Logiciel cryptographique S4320
Chiffrement IP
Serveur TPC Confidence
Gestion de clés
Carte cryptographique PC Card S4200
Messagerie
Coffret S4300
Messagerie
Logiciels cryptographiques S4100 et S4150
Messagerie
Equipement de chiffrement pour téléphone filaire C500 Téléphonie
(compatible Mosart)
GSM chiffrant RD 900S C850 avec module MOSART
Téléphonie
Logiciel cryptographique S4370
firewall
7.8.57 SCHLUMBERGER-CP8
36-38 rue de la Princesse, BP 45, 78431 Louveciennes, France
Produit
Carte Odyssey 2 PKL
Catégorie
Carte à mémoire
Page 147/162
Crypto Builder v1.2
Carte à mémoire
Crypto Safe Pro base
Carte à mémoire
Crypto Safe Pro enhanced
Carte à mémoire
Crypto Safe base
Carte à mémoire
Crypto Safe enhanced
Carte à mémoire
Kit OdysseyLab version 1.1
Carte à mémoire
Kit de produits CRYPTO BUILDER
Carte à mémoire
Kit de produits SMART BUILDER
Carte à mémoire
carte TBC 80
Carte à mémoire
"Cartes TBC 80S, TBC80SL"
Carte à mémoire
Carte Odyssey 2 PK version 2
Carte à mémoire
Carte TB 100
Carte à mémoire
Carte TB 1000
Carte à mémoire
Carte TB 98S
Carte à mémoire
Cartes CC200 et CC400
Carte à mémoire
Kit OdysseyLab v2
Carte à mémoire
Modules SCOT et M4
Carte à mémoire
Modules de Sécurité TB
Carte à mémoire
Scot 300, Scot 400 (masque M9)
Carte à mémoire
TBC 41 - TBC 41L
Carte à mémoire
carte CP8 avec sécurité TB
Carte à mémoire
7.8.58 SHIVA S.A.
Les Taissounières Bât.B3, 1681 route des Dolines, 06905 Sophia Antipolis
France
Produit
Catégorie
Page 148/162
Shiva LanRover VPN Express & VPN Client DES 56 Chiffrement IP
bits
Shiva LanRover VPN Gateway & VPN Client DES 56 Chiffrement IP
bits
Lanrover VPN Gateway et Shiva VPN Client v6.5
Tunnel
VPN
chiffrant
7.8.59 SISTECH
28 rue de Caumartin, 75009 Paris, France http://www.sistech.fr/
Produit
Catégorie
TGB::MAX (triple-DES 128 bits)
Chiffrement de fichiers PC
7.8.60 STERLING COMMERCE
Tour Franklin, La Défense 8, 92042 Paris La Défense Cedex, France
http://www.sterling.fr/
Produit
Catégorie
Connect : Enterprise IDX S/MIME ; Secure FTP SSL, Transferts
X509 V3, PKI
fichiers
de
Connect : Direct option Secure+ version 2 SSL et STS
Transferts
fichiers
de
Connect : Enterprise RDX option secure FTP v3.2 (40, Transferts
56, 128 bits)
fichiers
de
Connect Express
ETEBAC5)
(option Transferts
fichiers
de
92150
France
for
Tandem
v2.1.4
7.8.61 SYMANTEC France
Le
River
Seine,
25
quai
Gallieni,
SURESNES,
http://www.symantec.com/region/fr/
Produit
Catégorie
Net Prowler 3.5.1
Détection d'intrusion
Intruder Alert 3.6
Détection d'intrusion
Page 149/162
Symantec web security 2.5
Gestion d'antivirus
Symantec antivirus for SMTP gateway 3.0
Gestion d'antivirus
Entreprise security manager 5.1
Gestion
sécurité
Symantec firewall / VPN appliance
Firewall
Symantec entreprise firewall 7.0
Firewall
VelociRaptor 1.5
Firewall
Symantec entreprise VPN 7.0
Chiffrement IP
Symantec entreprise client VPN 7.0
Chiffrement IP
Symantec entreprise VPN 7.0
Tunnel chifrant VPN, Gestion
des clés
Symantec entreprise client VPN 7.0
Tunnel chifrant VPN, Gestion
des clés
VelociRaptor 1.5
Tunnel chifrant VPN, Gestion
des clés
de
politiques
7.8.62 THEISSEN SECURITY SYSTEMS AG
Gewerbestrasse 10, 4450 Sissach, Suisse http://www.theissen.ch/
Produit
Catégorie
Besecure Enterprise Edition version Chiffrement de fichiers PC
1.02.0
Page 150/162
de
7.8.63 THOMSON - CSF DETEXIS
55 Quai Marcel Dassault, BP 301, 92214 Saint-Cloud Cedex, France
http://www.thomson.fr/
Produit
Catégorie
Dedicace Firewall Access
Authentification
Dedicace VPN Gateway 1.0 (128 bits)
Chiffrement IP
Dedicace VPN Gateway 1.0 (56 bits)
Chiffrement IP
Dedicace VPN Mobile 1.0 (128 bits)
Chiffrement IP
Dedicace VPN Mobile 1.0 (56 bits)
Chiffrement IP
Dedicace Secure File (128 bits)
Chiffrement de fichiers
Dedicace Secure Mail 4.2 (128 bits)
Sécurisation messagerie
Dedicace VPN Gateway 1.0 (192 bits)
Tunnel chiffrant VPN
Dedicace VPN Mobile 1.0 (192 bits)
Tunnel chiffrant VPN
7.8.64 THOMSON - CSF
66 rue du Fossé blanc, BP156, 92231 Gennevilliers Cedex, France
http://www.thomson.fr/
Produit
Catégorie
TRC 7945
Carte de chiffrement PCMCIA
TRC 7930/7935
Carte de chiffrement pour PC
TRC 7535
Chiffrement IP
TRC 7806
Chiffrement d'artères
TRC 806 - ELAC
Chiffrement d'artères
TRC 7720
Chiffrement pour E/R radio
TRC 7755
Chiffrement pour fax
TRC 7607
Logiciel de sécurité PC
Page 151/162
MICA
Téléphonie
MICN A
Téléphonie
MICN I
Téléphonie
TRC 7700 - 1H
Téléphonie
TRC 7667
Transferts de fichiers
7.8.65 UNISYS France
7, boulevard des Bouvets, 92027 Nanaterre, France
Produit
Catégorie
Orbit Security v1
Banque à domicile
7.8.66 UTIMACO Software France
8, place Boulnois, 75017 Paris, France http://www.utimaco.com/
Produit
Catégorie
SafeGuard Lan Crypt XL v1.5 et v1.6
Chiffrement de fichiers PC
Safeguard Easy Win95 XL v1.02A
Chiffrement de fichiers PC
SafeGuard VPN et SUN Solaris 2.5/2.6 Tunnel chiffrant VPN
v2.3
SafeGuard VPN v2.0
Tunnel chiffrant VPN
Safeguard Easy v1.14
Chiffrement de fichiers PC
Safeguard Sign&Crypt v2.10
Chiffrement de fichiers PC
Safeguard Lan Crypt v1.20
Chiffrement de fichiers PC
Safeguard PKI v2.40
Gestion de clés
KryptoGuard Lan v3.2
Tunnel chiffrant VPN
Safeguard Sign&Crypt pour Outlook v3.0
Sécurisation messagerie
Safeguard Sign&Crypt pour Lotus Notes Sécurisation messagerie
v3.1
Page 152/162
Safeguard SSL v2.1
Chiffrement SSL
7.8.67 VPNet Technologies Inc.
1530, Meridian Avenue, 95125 SAN JOSE, Ca, Etats-Unis
Produit
VSU-10,
VSU-1010,
Manager, VPN Remote
Catégorie
VPN Tunnel chiffrant VPN
Source : www.ssi.gouv.fr/fr/
Page 153/162
2. ANNEXE 6
7.9
TESTS SUR LES PRINCIPAUX LOGICIELS ANTIVIRUS
Voici les résultats des tests effectués par AV-Comparatives37.
AV-Comparatives, évalue de façon indépendante les performances techniques
de la plupart des antivirus du marché.
L'ensemble de ces informations a été récolté sur le site d'AV-Comparatives
37
-Lien Internet http://www.av-comparatives.org
Page 154/162
Page 156/162
Page 157/162
Summary results Here are the results reached by each scanner on each
category, sorted by detection rate.
(a) Results over Windows viruses,
Macros,
Worms and Scripts detection:
1.
McAfee
99.80%
2.
Kaspersky
99.58%
3.
Panda
97.91%
4.
Symantec
97.49%
5.
RAV
97.03%
6.
F-Prot
95.56%
7.
Dr.Web
94.24%
8.
Sophos
93.16%
9.
BitDefender 93.14%
10.
NOD32
92.60%
11.
Avast
89.17%
12.
TrendMicro 88.80%
13.
H+BEDV
82.61%
(c) Results over DOS
detection:
1.
Kaspersky
99.96%
2.
McAfee
99.94%
3.
F-Prot
99.90%
4.
Panda
99.77%
5.
RAV
99.44%
6.
Dr.Web
98.82%
7.
NOD32
98.53%
8.
Sophos
97.39%
9.
Symantec
97.06%
10.
BitDefender 96.82%
11.
Avast
96.72%
12.
H+BEDV
95.77%
13.
TrendMicro 94.43%
(b) Results over Backdoors, Trojans
and
other malware detection:
1.
Kaspersky
99.70%
2.
Panda
96.49%
3.
RAV
93.78%
4.
F-Prot
94.52%
5.
McAfee
93.21%
6.
BitDefender 89.50%
7.
Dr.Web
80.01%
8.
NOD32
79.42%
9.
Symantec
77.05%
10.
Avast
73.42%
11.
Sophos
72.79%
12. TrendMicro
63.89%
13. H+BEDV
51.94%
virus (d) Resu1ts over Dialer detection:
1.
McAfee
99.60%
2.
Kaspersky
99.19%
3.
RAV
99.03%
4.
H+BEDV
94.09%
5.
Sophos
84.06%
6.
Symantec
61.49%
7.
BitDefender 40.28%
8.
Panda
29.99%
9.
a11 the others < 1 %
(e) Results over `OtherOS malware' detection:
1.
Kaspersky
96.73%
2.
McAfee
96.54%
3.
Panda
91.68%
4.
RAV
82.99%
5.
Symantec
76.26%
6.
F-Prot
74.67%
7.
Sophos
72.43%
8.
Avast
63.93%
9.
Trendmicro 61.21%
10.
Dr.Web
54.86%
11.
NOD32
48.50%
12.
BitDefender 34.39%
13.
H+BEDV
31.59%
Credits
After each comparative products will receive "credits" based on the rankings
reached in each single category:
a
Avast
11
BitDefender 9
Dr.Web
7
F-Prot
6
H+BEDV
13
Kaspersky
02
McAfee
1
NOD32
10
Panda
3
RAV
5
Sophos
8
Symantec
4
TrendMicro 12
b
10
6
7
4
13
1
5
8
2
3
11
9
12
c
11
10
6
3
12
1
2
7
4
5
8
9
13
d
9
7
9
9
4
2
1
9
8
3
5
6
9
e
8
12
10
6
13
1
2
11
3
4
7
5
9
Page 159/162
T¹/5
9.80
8.80
7.80
5.60
11.00
1.40
2.20
9.00
4.00
4.00
8.00
6.60
11.00
All the tested products are already a selection of very good Anti
Virus scan engines. Anyway, based on this test, I would rank the products as
follow:
1 er place:
2 em place:
3 em place:
3 em place:
4 em place:
5 em place:
6 em place:
6 em place:
7 em place:
8 em place:
9 em place:
luth place:
loch place:
Kaspersky
McAfee
Panda
RAV
F-Prot
Symantec
Dr.Web
Sophos
BitDefender
NOD32
Avast
TrendMicro
H+BEDV
(1.40)
(2.20)
(4.00)
(4.00)
(5.60)
(6.60)
(7.80)
(7.80)
(8.80)
(9.00 )
(9.80)
(11.0)
(11.0)
Page 160/162
3. ANNEXE 7
7.10
PRINCIPALES CARACTERISTIQUES IDEM (DONNEES EDITEUR):
Fonctionne sur Windows 95/98, NT 4.0 , Windows 2000 et Windows XP
Idem est conçu pour être aussi installé et lancé comme un Service de
Windows NT 4.0, 2000 ou Windows XP.
Synchronisation de répertoires avec un serveur ou en local simplifiée par le
choix de listes de dossiers sources et cibles paramétrables. Les dossiers
peuvent être désignés à l'aide de la convention UNC (Universal Naming
Convention) sous la forme \\Serveur\Partage\Dossier.
Possibilité de répliquer les arborescences de dossiers, c'est-à-dire d'inclure les
sous-dossiers dans le miroir. Vous pouvez reproduire un répertoire racine vers
une autre unité, la copie prend en charge à la demande la reproduction des
sous répertoires.
Préserve totalement le nom et la structure des fichiers Macintosh stockés sur
un serveur NT 4.0 /2000 avec MacFile/SFM (Services For Macintosh) ou
avec un serveur compatible MacFile/SFM comme MacServerIP .Le
programme duplique correctement les fichiers dont les noms comportent des
caractères interdits sur Windows mais qui sont autorisés sur Macintosh (\, /,
<, >, etc.) ; il conserve également la structure particulière des fichiers
Macintosh ("data fork", "resource fork", informations du "Finder").
Note: cette caractéristique existe uniquement sur NT 4.0 - avec MacFile/SFM
ou compatible - opérant sur des partitions NTFS ; elle n’est pas opérationnelle
lorsque le programme s’exécute sur Windows 95/98.
Idem est compatible avec Open File Handler (Swat Consulting Inc.).
Leur association permet de répliquer les fichiers ouverts sur un serveur
NT/2000 par une application Windows ou Macintosh.
Site en anglais et téléchargement: Swat Consulting Inc
Idem est compatible avec WebDrive (RiverFront). Leur association permet
d'utiliser Idem pour répliquer des fichiers stockés sur des serveurs FTP et de
mettre à jour ainsi des sites Web miroirs.
Idem permet de vérifier et copier les informations de sécurité des fichiers et
dossiers répliqués (les permissions ACL - access-control lists de Windows
NT) ainsi que les attributs classiques (caché, système, archive, etc.) lors des
tâches de copie ou transfert.
Page 161/162
Chaque dossier peut être répliqué selon deux modes:
- Mise à jour si les fichiers sources sont différents des fichiers cibles.
- Mise à jour si les fichiers du dossier source sont plus récents que ceux
du dossier cible. Ce dernier mode permet de maintenir équivalents deux
dossiers évolutifs (dual way mirroring).
Intervalle de mise à jour paramétrable par dossier. Chaque dossier peut être
répliqué en utilisant son propre intervalle de mise à jour.
Performance paramétrable vis-à-vis des autres applications.
Suppression optionnelle des fichiers devenus obsolètes dans les dossiers
cibles lorsque les fichiers des dossiers sources sont supprimés ou renommés.
Possibilité de déplacer les fichiers d'un dossier source vers un dossier cible,
c'est-à-dire d'effacer les fichiers du dossier source après copie dans le dossier
cible. Cette fonction peut être utilisée pour transférer tout fichier arrivant sur
un répertoire où les utilisateurs déposent leurs données vers un répertoire
accessible uniquement avec des droits administrateur; c'est Idem qui aura
accès au dossier final et pas l'utilisateur.
Possibilité de renommer les fichiers Macintosh déplacés pour les rendre
"Windows-conforme"; le programme transforme en tirets les caractères /, \, <,
>, etc. de leurs noms et génère une extension à 3 caractères pour les
applications les plus courantes: .doc, .qxd, .xls, etc.: un document XPress
Annonce 18/08/99 devient Annonce 18-08-99.qxd. Cette option permet
d'utiliser des utilitaires comme Adobe Distiller sur NT pour "distiller" des
fichiers Macintosh sans se soucier de leurs noms.
Journalisation des opérations effectuées par le programme dans un fichier de
log.
Lorsqu’un dossier source ou cible devient invalide (dossier supprimé ou
renommé, perte de connexion avec un serveur, etc.),
Idem permet plusieurs types d'alertes: sonore, visuelle, message envoyé à un
administrateur réseau, message dans le journal des opérations, message dans
l'Observateur des événements (si Idem est lancé comme un service NT/2000).
Page 162/162