ICC week 14 lesson 3

Transcription

15/12/14
ICC Module 3 Leçon 5 – Sécurité Informatique
© 2015 Ph. Janson
Information, Calcul et Communication
Module 3 : Systèmes
1 / 53
© 2015 Ph. Janson
Information, Calcul et Communication
Leçon 14 – Sécurité de l’Information,
de la Communication, et du Calcul
Faculté d’Informatique et Communications
Ph. Janson
2 / 53
© 2015 Ph. Janson
Motivation – L’univers numérique doit être sécurisé
tout comme le monde physique
Les affaires se
traitent
de plus en
plus en ligne
…
… donc de plus en plus d’argent et
de pouvoir passent par Internet
… donc criminalité et
manoeuvres politiques
se déroulent de plus
en plus en ligne …
car elles
suivent
toujours
argent et
pouvoir
3 / 53
1
15/12/14
© 2015 Ph. Janson
Objectif – Expliquer comment sécuriser le monde numérique
►Quelles sont les menaces qui planent sur les systèmes informatiques, sur leur contenu
et sur la sphère privée des utilisateurs et individus concernés par ce contenu ?
►Quels sont les principes de base et les mécanismes de défense à déployer
pour protéger l’information, les systèmes qui la traitent, et les réseaux qui la transportent ?
4 / 53
© 2015 Ph. Janson
Plan de la leçon
►I – Sécurité de l’Information
►C – Sécurité des Communications (entre ordinateurs)
►C – Sécurité du Calcul (au sein des ordinateurs)
5 / 53
© 2015 Ph. Janson
I – Sécurité de l’Information
Principes de base
Menaces
Défenses
Protection de la sphère privée
Sécurisation de l’information
►C – Sécurité des Communications
►C – Sécurité du Calcul
Sécurité de l’Information
Sécurité des Communications
Sécurité du Calcul
6 / 53
2
15/12/14
© 2015 Ph. Janson
Principes de base
►La sécurité totale n’existe pas plus dans le monde informatique que dans le monde physique
Dans les deux cas elle est une course aux armements entre attaque et défense
►La sécurité résultante est un compromis entre le risque d’une attaque et le coût de la défense
►Comme dans toute situation de défense les attaques visent les maillons faibles
… qui se trouvent généralement face aux écrans
(utilisateurs ou opérateurs des systèmes informatiques)
►L’éducation
des utilisateurs et des opérateurs est donc essentielle
•
⇒ C’est le but de cette leçon sur le sujet
7 / 53
© 2015 Ph. Janson
Menaces – Sources
►Environnementales (probabilité marginale)
Catastrophes naturelles
►Humaines
Internes
• Les erreurs (environ 50% des cas)
• Les abus de privilèges (environ 20% des cas)
Externes (environ 30% des cas)
• La manipulation sociale
̵ Par mail ou web (spam, spim, spit, phishing, spear-phishing, whaling, vishing, pharming)
̵ Par réseaux sociaux
• Les attaques physiques
►Techniques
•
Les attaques informatiques par des pirates
• Par exploitation de vulnérabilités logicielles
Les maliciels = logiciels malveillants
• Les chaînes de production contaminées
Menaces
Défenses
Sécurisation
Sphère privée
8 / 53
© 2015 Ph. Janson
Menaces
►Le vol
►La manipulation
►La destruction
►Le démenti
►L’usurpation d’identitié
►Le
contournement de défenses
•
Menaces
Défenses
Sécurisation
Sphère privée
9 / 53
3
15/12/14
© 2015 Ph. Janson
Menaces – Réalité et ampleur
Reprinted by courtesy of International Business Machines Corporation,
© (2008-2009) International Business Machines Corporation
Source: IBM Security Technology Outlook 2008
10 / 53
© 2015 Ph. Janson
Menaces – Réalité et relativité
►Coût annuel de la cybercriminalité
$ 1 T (1012) (attribué à McAfee)
►Nombre de vulnérabilités logicielles
> 80 K (IBM 2013)
►Nombre de maliciels identifiés
50-100 M (Webroot)
►Nombre de sites web infectés
> 500 K (Dasient 2010)
►Nombre de pages web infectées
> 5M (Dasient 2010)
►Taux de spam
~ 50%
►Comptes Facebook corrompus
~ 15M / 1B (= 1.5%o)
►Nombre de téléphones portables perdus par semaine à Londres
25K
►Nombre d’ordinateurs portables oubliés par semaine dans les aéroports US
12K
►Aussi
impressionnants que soient ces chiffres absolus,
•
ils indiquent un équilibre relatif entre risque d’attaque et prix de la défense
Menaces
Défenses
Sécurisation
Sphère privée
11 / 53
© 2015 Ph. Janson
Défenses
L’ultime objectif: Contrôler qui a quel droit
Les menaces étaient
Les combattre exige
► Le vol d’informations
► Confidentialité
► La manipulation
► Intégrité
► La destruction
► Disponibilité
► Le démenti
► Responsabilité
► L’usurpation d’identité
► Authentification
► Le contournement de défenses
Menaces
► Autorisation
Défenses
Sécurisation
Sphère privée
12 / 53
4
15/12/14
© 2015 Ph. Janson
Sensibilisation à la sécurité de la sphère privée
caractère
►= Confidentialité de notre identité
⇒ Isoler ses différentes facettes contre l’usurpation
⇒ PAS dissimuler des facettes répréhensibles
⇒ Frontière entre responsabilité et sphère privée
patient
NOUS
habitant
Etc…
►= Intégrité de notre réputation
⇒ Durement gagnée, facilement ruinée
+ Obligations pour les récipiendaires de nos informations privées
►La
plupart des gens ne se soucient de leur sphère privée … que quand ils l’ont perdue
•
Menaces
Défenses
Sphère privée
Sécurisation
13 / 53
© 2015 Ph. Janson
Sensibilisation à la sécurité de la sphère privée
►De plus en plus de données électroniques (privées) sont
Récoltées
Stockées pour toujours on ne sait où dans un “cloud” (v. Leçon 3.4)
Échangées
Analysées par corrélation entre sites
Publiées …
►…Par des tiers dont le fond de commerce est l’invasion et la commercialisation de notre sphère privée
Leurs promesses de protection consistent souvent en des politiques confuses et mensongères
• “opt-out” plutôt que “opt-in”
►Méfiez-vous
des services “gratuits” – s’ils sont gratuits, leurs marchandises c’est nous, les clients!
•
Nous ignorons les conséquences de la vie dans un monde qui n’oublie plus jamais rien
Menaces
Défenses
Sphère privée
Sécurisation
14 / 53
© 2015 Ph. Janson
Sécurisation de l’information
►Disponibilité
►Cryptage
Confidentialité
Attention!
Ne croyez jamais tout
ce qu’on trouve sur la toile !
Integrité
Responsabilité (“signature digitale”)
Menaces
Défenses
Sphère privée
Sécurisation
15 / 53
5
15/12/14
© 2015 Ph. Janson
Sécurisation de l’information – Disponibilité / robustesse
►Menace = perte / inaccessibilité / destruction de l’information
►Défense = sauvegarde
►Mécanisme = copie(s)
►Implémentation
Nombre de copies
Localisation des copies:
Fréquence des copies
Coût des copies
1
2
3
adjacentes
/mois
/semaine /jour
minimal
…
/heure
N
distantes
temps réel
substantiel
►Pour des raisons de protection de la sphère privée on peut préférer un serveur local
plutôt que les géants de l’Internet sujets à une législation étrangère (Google, Microsoft, Apple, etc)
• NB: la préservation pérenne de média extrêment volumineux est incertaine – trop gros pour tester
Menaces
Défenses
Sphère privée
Sécurisation
16 / 53
© 2015 Ph. Janson
Sécurisation de l’information – Confidentialité
►Menace = vol d’information
►Mécanisme de défense = confidentialité (indiquée par l’icône
dans les navigateurs)
►Implémentation = cryptographie
►Principe
information = décryptage (clé, cryptogramme) / cryptogramme = cryptage (clé, information)
décryptage
cryptage
Flux de l’information
• existe deux familles d’algorithmes cryptographiques: symétriques et asymétriques
►Il
Menaces
Défenses
Sphère privée
Sécurisation
17 / 53
© 2015 Ph. Janson
Cryptographie symétrique à clés secrètes partagées
►La clé de décryptage est la même que la clé de cryptage
►Cette clé doit donc restée secrète pour protéger la confidentialité
►Elle doit être partagée entre les personnes encryptant et décryptant l’information
►Exemples: XOR, DES, 3DES, AES
Menaces
Défenses
Sphère privée
Sécurisation
18 / 53
6
15/12/14
© 2015 Ph. Janson
Confidentialité par cryptographie symétrique
Distribution secrète de la clé
Bob
Alice
décryptage
cryptage
Menaces
Défenses
Sphère privée
Sécurisation
19 / 53
© 2015 Ph. Janson
Exemple – XOR
information = XOR (clé, cryptogramme)
sortie
clé
entrée
cryptogramme = XOR (clé, information)
sortie
clé
XOR
entrée
XOR
Bit d’entrée
Bit de clé
Bit de sortie
0
Table de vérité
0
0
0
1
1
1
0
1
1
1
0
Menaces
Défenses
Sphère privée
Sécurisation
20 / 53
© 2015 Ph. Janson
Exemple – XOR
►N bits d’information
XOR
N bits de clé
Info
1
0
1
1
0
0
0
1
1
0
1
1
0
0
0
1
0
1
Clé
0
1
1
1
0
1
1
0
1
0
1
0
1
1
0
0
0
1
0
0
Crypto
1
1
0
0
0
1
1
1
0
0
0
1
1
1
0
1
0
0
0
Crypto
1
1
0
0
0
1
1
1
0
0
0
1
1
1
0
1
0
0
0
Clé
0
1
1
1
0
1
1
0
1
0
1
0
1
1
0
0
0
1
0
Info
1
0
1
1
0
0
0
1
1
0
1
1
0
0
0
1
0
1
0
• Problème: longueur de clé = longueur de l’information
Menaces
Défenses
Sphère privée
Sécurisation
21 / 53
7
15/12/14
© 2015 Ph. Janson
Exemple – XOR
►N bits d’information
XOR
8 bits de clé
Info
1
0
1
1
0
0
0
1 = 1
0
1
1
0
0
0
1
0
1
0
Clé
0
1
1
1
0
1
1
0
0
1
1
1
0
1
1
0
0
1
1
Crypto
1
1
0
0
0
1
1
1 = 1
1
0
0
0
1
1
1
0
0
1
Crypto
1
1
0
0
0
1
1
1 = 1
1
0
0
0
1
1
1
0
0
1
Clé
0
1
1
1
0
1
1
0
0
1
1
1
0
1
1
0
0
1
1
Info
1
0
1
1
0
0
0
1 = 1
0
1
1
0
0
0
1
0
1
0
Problème: même octet d’information => même octet de cryptogramme => cryptanalyse!
►En
pratique: clés aussi longues que possible => 128 … 4096 bits
•
Menaces
Défenses
Sphère privée
Sécurisation
22 / 53
© 2015 Ph. Janson
Cryptographie asymétrique à clés publiques
►La clé de décryptage et la clé de cryptage sont différentes
►La clé de décryptage est privée (secrète)
►La clé de cryptage est publique (pas du tout secrète)
►Exemples: RSA, courbes elliptiques
Menaces
Défenses
Sphère privée
Sécurisation
23 / 53
© 2015 Ph. Janson
Confidentialité par cryptographie asymétrique
Unique
récepteur
Distribution “éprouvée” de la clé
Clé privée
d’Alice
Multitude
d’émetteurs
Clé publique
d’Alice
Bob
Alice
décryptage
Menaces
cryptage
Défenses
Sphère privée
Sécurisation
24 / 53
8
15/12/14
© 2015 Ph. Janson
Sécurisation de l’information – Intégrité
►Menace = modification d’information
►Mécanisme de défense = intégrité
►Implémentation = cryptographie
►Principe
= l’information n’est pas confidentielle et ne doit donc pas (nécessairement) être cryptée
•
Information
information
Résumé
hachage
oui
OK
résumé
hachage
non
=?
erreur – information modifiée!
Résumé = décryptage (clé, cryptogramme)
cryptogramme = cryptage (clé, résumé)
décryptage
cryptage
Menaces
Défenses
Sphère privée
Sécurisation
25 / 53
© 2015 Ph. Janson
Intégrité par cryptographie symétrique
Distribution secrète de la clé
Communication de l’information
Bob
Alice
hachage
OK
=?
Communication du résumé chiffré
hachage
Modification
décryptage
cryptage
Menaces
Défenses
Sphère privée
Sécurisation
26 / 53
© 2015 Ph. Janson
Sécurisation de l’information – Responsabilité
►Menace = démenti
►Mécanisme de défense = responsabilité
►Implémentation = signature numérique par cryptographie asymétrique
•
►Principe
= l’information n’est pas confidentielle et ne doit donc pas (nécessairement) être cryptée
Information
information
Résumé
hachage
OK
oui
non
info
=?
originale signée
résumé
hachage
erreur – information falsifiée par un tiers!
Résumé = cryptage (clé publique, cryptogramme) / cryptogramme = (dé)cryptage (clé privée, résumé)
cryptage
DÉcryptage
flux de l’information dans le temps
Menaces
Défenses
Sphère privée
Sécurisation
27 / 53
9
15/12/14
© 2015 Ph. Janson
Signature digitale par cryptographie asymétrique
Multitude de
récepteurs
Clé publique
de Bob
Unique
émetteur
Clé privée
de Bob
Distribution “éprouvée”de la clé
Communication de l’information
Bob
Alice
hachage
Communication du résumé chiffré
Falsification
OK
hashage
=?
cryptage
DÉcryptage
Menaces
Défenses
Sphère privée
Sécurisation
28 / 53
© 2015 Ph. Janson
Autorités de Certification (AC) des clés
►Communiquer avec un tiers implique de connaître sa clé
►Obtenir
cette clé face-à-face est une rare possibilité quand Alice et Bob sont séparés par un réseau
•
►Echanger
ces clés via le réseau n’est pas sécurisé – elles pourraient être falsifiées par un intrus …
•
►…
à moins d’être enveloppées dans un certificat = message signé par une autorité de confiance
•
►C’est
ce que sont les ACs – des tiers de confiance se portent garants de clés publiques authentiques
•
►Plusieurs
ACs peuvent mutuellement certifier leurs clés publiques
•
pour assurer l’authenticité des clés publiques de tiers certifiés par différents ACs
AC
PAC
PA
Menaces
PB
Défenses
Sphère privée
PAC
Sécurisation
29 / 53
© 2015 Ph. Janson
Pause
30 / 53
10
15/12/14
© 2015 Ph. Janson
C – Sécurité des Communications
Authentification des utilisateurs
Identification des utilisateurs
31 / 53
© 2015 Ph. Janson
Authentification à distance
►Identification
=
Désignation
Authentification
=
Reconnaissance
“userids” devraient être aussi difficiles à deviner que les mots de passe pour protéger les identités
►Trois possibilités: sur base de
Quelque chose que l’utilisateur connaît:
NIPs et mots de passe
Quelque chose que l’utilisateur est:
biométrie
Quelque chose que l’utilisateur détient:
jetons
Authentification
Identification
Sécurisation des réseaux
32 / 53
© 2015 Ph. Janson
Authentification sur base de quelque chose que l’utilisateur connaît:
Userid et mot de passe ou NIP
►Les mots de passe doivent être rentrés dans le terminal qui les capture
⇒ Supprimer leur affichage à l’écran
⇒ Se méfier des maliciels espions (key-loggers – risque majeur)
⇒ Se méfier des caméras
⇒ Cacher leur saisie au clavier
►Les mots de passe doivent être transmis et stockés à l’ordinateur qui les vérifie => cryptés
⇒“salés” + hachés avant transmission
⇒“salés” + hachés dans une liste de mots de passe à accès restreint
►Les
mots de passe ne doivent JAMAIS être écrits nulle part
•
=> Facile à mémoriser mais difficile à deviner
X
Authentification
Identification
33 / 53
11
15/12/14
© 2015 Ph. Janson
Les 500 mots de passe les plus stupides en 2008
Source: http://www.whatsmypass.com/?p=415
123456
123456
jennifer
jessica
porsche
player
james
angels
flyers
fred
scott
prince
suckit
ladies
asdfgh
rosebud
danielle
calvin
password
hunter
panties
bigdog
guitar
sunshine
mike
fishing
butter
fish
johnson
2222
beach
gregory
naughty
vagina
jaguar
beaver
shaved
apollo
12345678
fuck
pepper
cheese
chelsea
morgan
brandon
david
united
porn
3434x
asdf
amateur
buddy
giants
toyota
great
4341
surfer
parker
video
7777777
whatever
4128
samson
1234
1111
matthew
black
starwars
fender
test
austin
121212
diamond
boomer
anthony
12345
batman
william
patrick
nascar
cowboys
blowme
wilson
dragon
trustno1
daniel
martin
jackson
edward
ferrari
butthead
qwerty
thomas
golfer
freedom
cameron
charles
cookie
dennis
pussy
696969
2000
corvette
290’731 instances sur 32M
de mots de passe analysés!
tigger
firebird
maddog
turtle
matrix
tits
hooters
steelers
teens
member
london
muffin
young
tiffany
scooby
boobs
7777
redsox
nicholas
zxcvbn
jason
donald
marlboro
star
lucky
golden
rock
scorpio
dolphin
mine
women
tomcat
walter
bigdaddy
srinivas
testing
helpme
0
3434
mountain
gordon
king
voodoo
racing
magnum
l’immatriculation du Starship
Enterprise dans la série Startrek
booty
travis
blonde
hotdog
fucked
paris
cool
girl
cooper
runner
1313
swimming
qwert
kelly
time
paul
sydney
les 6 premieres touches de
gauche sur un clavier qwerty
summer
ginger
654341
girls
chicken
fucking
golf
cumshot
bronco
internet
shannon
fire
extreme
madison
casper
mustang
robert
heather
blowjob
computer
booboo
maverick
captain
bond007
boston
penis
action
murphy
monica
sandra
redskins
987654
stupid
5555
juice
letmein
access
hammer
nicole
amanda
coffee
chicago
bigdick
bear
braves
voyager
carter
frank
midnight
pookie
erotic
brazil
shit
eagle
abgrtyu
baseball
love
yankees
sparky
wizard
343434
joseph
chester
tiger
yankee
rangers
jasper
hannah
college
packers
dirty
lauren
saturn
hentai
777777
master
buster
joshua
yellow
34343434
bulldog
diablo
smokey
doctor
lover
birdie
monster
dave
baby
einstein
ford
japan
gemini
michael
barney
trouble
dolphins
ncc1701
le titre du 1er film
de George Lucas
un no. de tél.
mentionné
dans une
chanson de
Tommy
Tutone en
1982
newyork
dreams
1234567
maggie
camaro
money
ncc1701
sexsex
xavier
gateway
eagle1
cunt
freddy
naked
apples
little
football
soccer
biteme
secret
phoenix
rabbit
hardcore
steven
gators
victor
white
jeremy
11111
brian
0
arsenal
squirt
august
redwings
music
shadow
hockey
enter
dick
mickey
peanut
666666
viking
angel
tucker
topgun
11111111
mother
mark
chevy
access14
stars
3434
smith
rush2112
monkey
killer
ashley
falcon
bailey
john
willie
snoopy
junior
princess
bigtits
bill
nathan
startrek
winston
wolf
apple
canada
sticky
russia
welcome
blue
thx1138
alexis
blazer
cocacola
george
thunder
taylor
knight
johnny
pass
sexy
cowboy
111111
iceman
gandalf
eagles
porno
5150
green
fuckme
abc123
andrew
silver
131313
tigers
spanky
panther
winner
badboy
doggie
6969
charlie
richard
123123
purple
winter
yamaha
samantha
debbie
zzzzzz
jordan
superman
chris
thx1138
le titre d’un album de Van Halen en 1988
fucker
bitch
andrea
brandy
justin
house
spider
harley
asshole
orange
hello
horny
compaq
banana
miller
melissa
ranger
fuckyou
merlin
scooter
dakota
carlos
driver
flower
booger
iwantu
dallas
michelle
please
aaaaaa
tennis
marine
jack
1212
Authentification
mercedes
gunner
bitches
teresa
jackie
crystal
raiders
sierra
peter
steve
leather
super
pussies
forever
234343
qazwsx
qazwsx
cock
angela
4444
magic
beer
viper
beavis
ou812
bigcock
warrior
nipple
sammy
iloveyou
maxwell
scorpion
aaaa
cumming
animal
slut
alex
bonnie
hunting
broncos
tester
8675309
8675309
florida
peaches
kitty
private
mistress
zxcvbnm
eric
jasmine
rainbow
skippy
phantom
nipples
horney
lakers
rocket
112234
marvin
rachel
theman
ou812
kevin
bubba
jake
happy
power
movie
matt
arthur
blondes
6666
2112
slayer
oliver
lovers
sophie
victoria
success
qwertyui
cream
enjoy
albert
Identification
legend
rebecca
billy
34 / 53
© 2015 Ph. Janson
Attaques de mots de passe au dictionnaire
Dictionnaire de
Dictionnaire haché
Fichier de mots de
passe hachés
Langue naturelle
Dialecte
non
Argot
Noms propres
=
?
Idem à l’envers
Idem sans voyelles
oui
Idem en “L337”
Combin. chiffres
Bingo!
Combin. touches
Etc.
• Le “salage” est nécessaire mais pas suffisant contre ces attaques au dictionnaire
10% des mots de passe salés + hachés ont été cassés en 4 heures, 53 minutes, et 6 secondes!
parmi la liste de 860’160 mots de passe exposée par l’attaque de Strategic Forecasting en 2011
(http://www.thetechherald.com/articles/Report-Analysis-of-the-Stratfor-Password-List)
Authentification
Identification
35 / 53
© 2015 Ph. Janson
Comment choisir un mot de passe
►Les mots de passe doivent avoir une longueur suffisante pour résister aux devinettes
Risque R = durée de vie D x fréquence des attaques F / taille de l’alphabet T(longueur du mot de passe M)
M > log ( D
8 > log ( 100 J
x
x
F
100 / J
/
/
R
10-9
) / log T
) / log 62
entropie maximale
⇒ Changer de mot de passe régulièrement (chaque année ou même chaque trimestre)
⇒ Utiliser des alphabets assez vastes: 26 majuscules + 26 minuscules + 10 chiffres + ? Signes
⇒ Limiter la fréquence des attaques pour déjouer des attaques programmées
⇒• Ne jamais réutiliser le même mot de passe sur plusieurs systèmes (“password sloth”)
Authentification
Identification
36 / 53
12
15/12/14
© 2015 Ph. Janson
Alternatives et compléments aux mots de passe
(aussi à graver en mémoire mais jamais sur papier / en machine)
►Algorithmes de passe – construire les mots de passe selon un algorithme simple mais secret
assurant la présence de lettres minuscules ET majuscules + chiffres + caractères spéciaux
phrase fixe
descripteur
(p.ex. dans une langue “exotique”) du système
descripteur
de l’année
s
t
u
u
E
0
@
u
o
k
d
P
2
€
2
0
s
-
a
a
F
1
¡
0
h
a
n
s
L
6
Ø
0
i
t
-
a
S
9
µ
X
-
s
k
i
N
3
¥
V
=> -skiN3¥V
► Testez vos mots de passe sur
https://howsecureismypassword.net/ ou avec http://ophcrack.sourceforge.net/ (EPFL)
Authentification
Sécurité du Traitement
Identification
37 / 53
© 2015 Ph. Janson
Authentification à deux canaux et deux facteurs
►Quand les mots de passe ne sont plus assez sûrs pour une application critique …
►… soit on a recours à une authentification à double canal …
1. Userid + password
3. Code
2. Code
2. Code
►… soit on a recours à une authentification à double facteur
Biométrie ou jeton d’identification en plus du mot de passe
Authentification
Identification
38 / 53
© 2015 Ph. Janson
Authentification sur base de quelque chose qu’un utilisateur est:
Biométrie
►La biométrie est en fait la méthode d’authentification originelle de l’humanité
Ce qui est neuf est son utilisation en informatique
►NB: La biométrie d’un individu est unique mais pas secrète
⇒Le vol d’identité biométrique est donc un risque majeur
(http://www.youtube.com/watch?v=3M8D4wWYgsc)
•
►La
vérification biométrique est encline à erreurs
Des faux négatifs sont ennuyeux
Des faux positifs sont indésirables
=> La biométrie est souvent utilisée comme second facteur plutôt que comme seul facteur
Authentification
Identification
39 / 53
13
15/12/14
© 2015 Ph. Janson
Authentification sur base de quelque chose qu’un utilisateur détient:
Jeton USB avec ou sans interface machine et interface utilisateur
►Basé sur un échange de codes ou un envoi de cachet-dateur chiffrés
1. Contact
2. Défi
3. Défi
4. Réponse
5. Réponse
►Avec un tel jeton non seulement l’utilisateur mais chaque transaction peut être authentifiée
Authentification
Identification
40 / 53
© 2015 Ph. Janson
Authentification bi-directionnelle
►Toutes les techniques vues jusqu’ici n’offrent qu’une authentification UNIDIRECTIONNELLE
►Ceci représente une carence et un risque MAJEUR (“phishing / pharming”)
►Sans cryptographie, le premier partenaire qui s’identifie à l’autre doit lui révéler son mot de passe
►La
solution est une identification cryptographique bi-directionnelle
•
C’est exactement ainsi que fonctionnent les protocoles HTTPS / SSL / TLS (icône
Les navigateurs connaissent (ou savent où et comment retrouver)
les clés publiques des principaux CAs
Authentification
Identification
)
41 / 53
© 2015 Ph. Janson
Gestion de l’identité
►Qu’est-ce qu’une identité (électronique)?
►Combien d’identités (et de mots de passe)?
►Qui décide des identités (et mot de passe)?
►Qui valide les identités (et mots de passe)?
Authentification
Identification
42 / 53
14
15/12/14
© 2015 Ph. Janson
Question piège: qui est cet individu ?
Identification
Authentification
43 / 53
© 2015 Ph. Janson
Qu’est-ce qu’une identité (électronique) ?
Une énorme collection d’attributs (électroniques) uniques ou communs à plusieurs individus
Compte en banque
Carte de fidélité
Userids, adresses mail
Pseudos
Nom, prénoms, nationalité, statut
Sexe, lieu & date de naissance
Carte d’identité, passeport
フィルヤンソン
caractère
Biométrie
Passé médical
patient
habitant
Adresse, no. de tél
Carte de séjour
Sécurité sociale
Immatriculations
etc…
Фил Янсон
Diplomes, titres, médailles
Publications, blogs, web posts
‫ن‬
‫ل‬
Badge, userid, e-mail
Réputation: profils e-bay, etc.
solvabilité, casier judiciaire
Identification
Authentification
‫פיליף ג'נסון‬
44 / 53
© 2015 Ph. Janson
Combien d’identités (et de mots de passe) ?
Une seule identité intégrée
Une multitide d’identités déconnectées
citoyen
Un seul userid valable partout
Grande facilité
habitant
caractère
Un seul mot de “passe-partout”
Une multitude d’identifiants
Une multitude de mots de passe
patient
habitant
Insécurité
Un cauchemar
Mais plus de sécurité
employé
acheteur
patient
etc…
auteur
Aucune sphère privée
Une nécessité
pour la sphère privée
etc…
• Trouver le bon compromis
=>
Authentification
Identification
45 / 53
15
15/12/14
© 2015 Ph. Janson
Qui décide des identités (et mot de passe)?
Un organisme => nombre et choix imposés
L’individu concerné => nombre et choix libres
=> Aucun contrôle de la sphère privée
=> meilleur contrôle de la sphère privée
caractère
Compte en banque
Carte de fidélité
Pseudos
patient
habitant
Biométrie
Passé médical
Carte de séjour
Sécurité sociale
Immatriculations
etc…
Identification
Authentification
46 / 53
© 2015 Ph. Janson
Qui valide les identités (et mots de passe)?
En principe l’organisme concerné
mais l’individu peut heureusement encore endosser des identités non-avérées
caractère
Compte en banque
Carte de fidélité
Pseudos
patient
habitant
Biométrie
Passé médical
Carte de séjour
Sécurité sociale
Immatriculations
etc…
Authentification
Identification
47 / 53
© 2015 Ph. Janson
C – Sécurité du Traitement informatique et de ses équipements
• Autorisation
• Quelques bons conseils pratiques
48 / 53
16
15/12/14
© 2015 Ph. Janson
Autorisation – Politique de contrôle d’accès – Vue matricielle
Quoi
Qui
A
…
C
Logiciel
T
…
E
Utilisateur
U
…
R
Matériel
S
…
O
B
J
E
Ts
Logiciel
…
Fichier
…
Matériel
Permissions de
l’acteur de
lire / écrire / exécuter
l’objet
R/W/X…
Liste de
contrôle
d’accès
associée à
l’objet
49 / 53
© 2015 Ph. Janson
Autorisation – Modèle de système sécurisé
►Modifier logiciel ou données du noyau de sécurité exige les privilèges de “super-utilisateur”
►Ces privilèges de super-utilisateur ne sont accordés qu’au noyau de sécurité
Politique
de
contrôle
d’accès
Authentification
Autorisation
Contrôle d’accès
Requête
d’accès
Gardien (code)
Utilisateur
Permission
d’accès
Enregistrement d’accès
Objet
/
Ressource
Responsabilité
Journal des
événements
Noyau de
sécurité
50 / 53
© 2015 Ph. Janson
Quelques bons conseils pratiques
►Se méfier des postes de travail et services publics – surtout gratuits
►Se méfier de pirates en des lieux publics – surtout réputés “à risque”
►Se méfier des logiciels-espions – micros et webcams télécommandées
►Toujours sécuriser son Wi-Fi
“Clean desk”: Ne jamais laisser trainer
équipements ou supports-mémoires portables
(Einstein n’a pas toujours eu raison!)
►Toujours activer anti-virus et pare-feu
►Toujours “patcher” ses logiciels
►Bien choisir et ne jamais révéler ses mots de passe
•
►Ne jamais travailler en mode “administrateur”
►Se détacher après toute session de travail ou délai inactif
►Faire des copies de sauvegarde régulières
►Encrypter tous ses supports-mémoires
►Détruire tout support mémoire ou papier en fin de vie
51 / 53
17
15/12/14
© 2015 Ph. Janson
La sécurité est un défi humain encore plus que technique
"Security is becoming less about technology and more about people”
(Julie Peeler, Director of the (ISC)² Foundation)
►En informatique comme ailleurs (police, défense nationale)
►Elle implique toute une série de processus et de méthodes bien au-delà de la technologie
Peu de lois et de licences professionnelles
Emergence de directives professionnelles
• Education
• Gestion des risques
• Définition des politiques
• Processus de configuration
• Surveillance et contrôles physiques
• Réactions et réponses aux attaques
• Audit et conformité
• Etc.
52 / 53
Information
doivent être
Les menaces
Vol
Manipulation
Destruction
Usurpation
Démenti
Contournement
Cryptées
Sauvegardées
La sphère privée
contre
qui visent
y compris
Les défenses
Confidentialité
Integrité
Disponibilité
Authentification
Responsabilité
Autorisation
Autorisation
& contrôle
d’accès
y compris
Communications
Identité
Réputation
basée sur
Authentification
Mots de passe
2 facteurs
Biométrie
Jetons
2 directions
implémentent
Les données
© 2015 Ph. Janson
Dans le rétroviseur …
Computing
Hackers
Maliciels
représentent
53 / 53
18

ICC week 14 lesson 3

Transcription

Documents pareils

Révision des Loyers Commerciaux T3 2015

Nom de l`élevage ELEVAGE DE GONTERY

Formation permis B « AAC »

Supports de répartiteurs tripolaires et tétrapolaires

l`engagement est annuel, tout trimestre commence est du

Préparation TOEFL, TOEIC, GMAT

U3 L6 APT N1AC06AA