ICC week 14 lesson 3
Transcription
ICC week 14 lesson 3
15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Information, Calcul et Communication Module 3 : Systèmes 1 / 53 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Information, Calcul et Communication Leçon 14 – Sécurité de l’Information, de la Communication, et du Calcul Faculté d’Informatique et Communications Ph. Janson 2 / 53 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Motivation – L’univers numérique doit être sécurisé tout comme le monde physique Les affaires se traitent de plus en plus en ligne … … donc de plus en plus d’argent et de pouvoir passent par Internet … donc criminalité et manoeuvres politiques se déroulent de plus en plus en ligne … car elles suivent toujours argent et pouvoir 3 / 53 1 15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Objectif – Expliquer comment sécuriser le monde numérique ►Quelles sont les menaces qui planent sur les systèmes informatiques, sur leur contenu et sur la sphère privée des utilisateurs et individus concernés par ce contenu ? ►Quels sont les principes de base et les mécanismes de défense à déployer pour protéger l’information, les systèmes qui la traitent, et les réseaux qui la transportent ? 4 / 53 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Plan de la leçon ►I – Sécurité de l’Information ►C – Sécurité des Communications (entre ordinateurs) ►C – Sécurité du Calcul (au sein des ordinateurs) 5 / 53 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson I – Sécurité de l’Information ►I – Sécurité de l’Information Principes de base Menaces Défenses Protection de la sphère privée Sécurisation de l’information ►C – Sécurité des Communications ►C – Sécurité du Calcul Sécurité de l’Information Sécurité des Communications Sécurité du Calcul 6 / 53 2 15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Principes de base ►La sécurité totale n’existe pas plus dans le monde informatique que dans le monde physique Dans les deux cas elle est une course aux armements entre attaque et défense ►La sécurité résultante est un compromis entre le risque d’une attaque et le coût de la défense ►Comme dans toute situation de défense les attaques visent les maillons faibles … qui se trouvent généralement face aux écrans (utilisateurs ou opérateurs des systèmes informatiques) ►L’éducation des utilisateurs et des opérateurs est donc essentielle • ⇒ C’est le but de cette leçon sur le sujet Sécurité de l’Information Sécurité des Communications ICC Module 3 Leçon 5 – Sécurité Informatique Sécurité du Calcul 7 / 53 © 2015 Ph. Janson Menaces – Sources ►Environnementales (probabilité marginale) Catastrophes naturelles ►Humaines Internes • Les erreurs (environ 50% des cas) • Les abus de privilèges (environ 20% des cas) Externes (environ 30% des cas) • La manipulation sociale ̵ Par mail ou web (spam, spim, spit, phishing, spear-phishing, whaling, vishing, pharming) ̵ Par réseaux sociaux • Les attaques physiques ►Techniques • Les attaques informatiques par des pirates • Par exploitation de vulnérabilités logicielles Les maliciels = logiciels malveillants • Les chaînes de production contaminées Sécurité de l’Information Menaces Sécurité des Communications Défenses Sécurisation ICC Module 3 Leçon 5 – Sécurité Informatique Sécurité du Calcul Sphère privée 8 / 53 © 2015 Ph. Janson Menaces ►Le vol ►La manipulation ►La destruction ►Le démenti ►L’usurpation d’identitié ►Le contournement de défenses • Sécurité de l’Information Menaces Sécurité des Communications Défenses Sécurisation Sécurité du Calcul Sphère privée 9 / 53 3 15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Menaces – Réalité et ampleur Reprinted by courtesy of International Business Machines Corporation, © (2008-2009) International Business Machines Corporation Source: IBM Security Technology Outlook 2008 10 / 53 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Menaces – Réalité et relativité ►Coût annuel de la cybercriminalité $ 1 T (1012) (attribué à McAfee) ►Nombre de vulnérabilités logicielles > 80 K (IBM 2013) ►Nombre de maliciels identifiés 50-100 M (Webroot) ►Nombre de sites web infectés > 500 K (Dasient 2010) ►Nombre de pages web infectées > 5M (Dasient 2010) ►Taux de spam ~ 50% ►Comptes Facebook corrompus ~ 15M / 1B (= 1.5%o) ►Nombre de téléphones portables perdus par semaine à Londres 25K ►Nombre d’ordinateurs portables oubliés par semaine dans les aéroports US 12K ►Aussi impressionnants que soient ces chiffres absolus, • ils indiquent un équilibre relatif entre risque d’attaque et prix de la défense Sécurité de l’Information Menaces Sécurité des Communications Défenses Sécurisation ICC Module 3 Leçon 5 – Sécurité Informatique Sécurité du Calcul Sphère privée 11 / 53 © 2015 Ph. Janson Défenses L’ultime objectif: Contrôler qui a quel droit Les menaces étaient Les combattre exige ► Le vol d’informations ► Confidentialité ► La manipulation ► Intégrité ► La destruction ► Disponibilité ► Le démenti ► Responsabilité ► L’usurpation d’identité ► Authentification ► Le contournement de défenses Sécurité de l’Information Menaces ► Autorisation Sécurité des Communications Défenses Sécurisation Sécurité du Calcul Sphère privée 12 / 53 4 15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Sensibilisation à la sécurité de la sphère privée caractère ►= Confidentialité de notre identité ⇒ Isoler ses différentes facettes contre l’usurpation ⇒ PAS dissimuler des facettes répréhensibles ⇒ Frontière entre responsabilité et sphère privée patient NOUS habitant Etc… ►= Intégrité de notre réputation ⇒ Durement gagnée, facilement ruinée + Obligations pour les récipiendaires de nos informations privées ►La plupart des gens ne se soucient de leur sphère privée … que quand ils l’ont perdue • Sécurité de l’Information Menaces Sécurité des Communications Défenses Sphère privée Sécurité du Calcul Sécurisation ICC Module 3 Leçon 5 – Sécurité Informatique 13 / 53 © 2015 Ph. Janson Sensibilisation à la sécurité de la sphère privée ►De plus en plus de données électroniques (privées) sont Récoltées Stockées pour toujours on ne sait où dans un “cloud” (v. Leçon 3.4) Échangées Analysées par corrélation entre sites Publiées … ►…Par des tiers dont le fond de commerce est l’invasion et la commercialisation de notre sphère privée Leurs promesses de protection consistent souvent en des politiques confuses et mensongères • “opt-out” plutôt que “opt-in” ►Méfiez-vous des services “gratuits” – s’ils sont gratuits, leurs marchandises c’est nous, les clients! • Nous ignorons les conséquences de la vie dans un monde qui n’oublie plus jamais rien Sécurité de l’Information Menaces Sécurité des Communications Défenses Sphère privée Sécurité du Calcul Sécurisation ICC Module 3 Leçon 5 – Sécurité Informatique 14 / 53 © 2015 Ph. Janson Sécurisation de l’information ►Disponibilité ►Cryptage Confidentialité Attention! Ne croyez jamais tout ce qu’on trouve sur la toile ! Integrité Responsabilité (“signature digitale”) Sécurité de l’Information Menaces Sécurité des Communications Défenses Sphère privée Sécurité du Calcul Sécurisation 15 / 53 5 15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Sécurisation de l’information – Disponibilité / robustesse ►Menace = perte / inaccessibilité / destruction de l’information ►Défense = sauvegarde ►Mécanisme = copie(s) ►Implémentation Nombre de copies Localisation des copies: Fréquence des copies Coût des copies 1 2 3 adjacentes /mois /semaine /jour minimal … /heure N distantes temps réel substantiel ►Pour des raisons de protection de la sphère privée on peut préférer un serveur local plutôt que les géants de l’Internet sujets à une législation étrangère (Google, Microsoft, Apple, etc) • NB: la préservation pérenne de média extrêment volumineux est incertaine – trop gros pour tester Sécurité de l’Information Menaces Sécurité des Communications Défenses Sphère privée Sécurité du Calcul Sécurisation ICC Module 3 Leçon 5 – Sécurité Informatique 16 / 53 © 2015 Ph. Janson Sécurisation de l’information – Confidentialité ►Menace = vol d’information ►Mécanisme de défense = confidentialité (indiquée par l’icône dans les navigateurs) ►Implémentation = cryptographie ►Principe information = décryptage (clé, cryptogramme) / cryptogramme = cryptage (clé, information) décryptage cryptage Flux de l’information • existe deux familles d’algorithmes cryptographiques: symétriques et asymétriques ►Il Sécurité de l’Information Menaces Sécurité des Communications Défenses Sphère privée Sécurité du Calcul Sécurisation ICC Module 3 Leçon 5 – Sécurité Informatique 17 / 53 © 2015 Ph. Janson Cryptographie symétrique à clés secrètes partagées ►La clé de décryptage est la même que la clé de cryptage ►Cette clé doit donc restée secrète pour protéger la confidentialité ►Elle doit être partagée entre les personnes encryptant et décryptant l’information ►Exemples: XOR, DES, 3DES, AES Sécurité de l’Information Menaces Sécurité des Communications Défenses Sphère privée Sécurité du Calcul Sécurisation 18 / 53 6 15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Confidentialité par cryptographie symétrique Distribution secrète de la clé Bob Alice Flux de l’information décryptage cryptage Sécurité de l’Information Menaces Sécurité des Communications Défenses Sphère privée Sécurité du Calcul Sécurisation ICC Module 3 Leçon 5 – Sécurité Informatique 19 / 53 © 2015 Ph. Janson Exemple – XOR information = XOR (clé, cryptogramme) sortie clé entrée cryptogramme = XOR (clé, information) sortie clé XOR entrée XOR Flux de l’information Bit d’entrée Bit de clé Bit de sortie 0 Table de vérité 0 0 0 1 1 1 0 1 1 1 0 Sécurité de l’Information Menaces Sécurité des Communications Défenses Sphère privée Sécurité du Calcul Sécurisation ICC Module 3 Leçon 5 – Sécurité Informatique 20 / 53 © 2015 Ph. Janson Exemple – XOR ►N bits d’information XOR N bits de clé Info 1 0 1 1 0 0 0 1 1 0 1 1 0 0 0 1 0 1 Clé 0 1 1 1 0 1 1 0 1 0 1 0 1 1 0 0 0 1 0 0 Crypto 1 1 0 0 0 1 1 1 0 0 0 1 1 1 0 1 0 0 0 Crypto 1 1 0 0 0 1 1 1 0 0 0 1 1 1 0 1 0 0 0 Clé 0 1 1 1 0 1 1 0 1 0 1 0 1 1 0 0 0 1 0 Info 1 0 1 1 0 0 0 1 1 0 1 1 0 0 0 1 0 1 0 • Problème: longueur de clé = longueur de l’information Sécurité de l’Information Menaces Sécurité des Communications Défenses Sphère privée Sécurité du Calcul Sécurisation 21 / 53 7 15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Exemple – XOR ►N bits d’information XOR 8 bits de clé Info 1 0 1 1 0 0 0 1 = 1 0 1 1 0 0 0 1 0 1 0 Clé 0 1 1 1 0 1 1 0 0 1 1 1 0 1 1 0 0 1 1 Crypto 1 1 0 0 0 1 1 1 = 1 1 0 0 0 1 1 1 0 0 1 Crypto 1 1 0 0 0 1 1 1 = 1 1 0 0 0 1 1 1 0 0 1 Clé 0 1 1 1 0 1 1 0 0 1 1 1 0 1 1 0 0 1 1 Info 1 0 1 1 0 0 0 1 = 1 0 1 1 0 0 0 1 0 1 0 Problème: même octet d’information => même octet de cryptogramme => cryptanalyse! ►En pratique: clés aussi longues que possible => 128 … 4096 bits • Sécurité de l’Information Menaces Sécurité des Communications Défenses Sphère privée Sécurité du Calcul Sécurisation ICC Module 3 Leçon 5 – Sécurité Informatique 22 / 53 © 2015 Ph. Janson Cryptographie asymétrique à clés publiques ►La clé de décryptage et la clé de cryptage sont différentes ►La clé de décryptage est privée (secrète) ►La clé de cryptage est publique (pas du tout secrète) ►Exemples: RSA, courbes elliptiques Sécurité de l’Information Menaces Sécurité des Communications Défenses Sphère privée ICC Module 3 Leçon 5 – Sécurité Informatique Sécurité du Calcul Sécurisation 23 / 53 © 2015 Ph. Janson Confidentialité par cryptographie asymétrique Unique récepteur Distribution “éprouvée” de la clé Clé privée d’Alice Multitude d’émetteurs Clé publique d’Alice Bob Alice Flux de l’information décryptage Sécurité de l’Information Menaces cryptage Sécurité des Communications Défenses Sphère privée Sécurité du Calcul Sécurisation 24 / 53 8 15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Sécurisation de l’information – Intégrité ►Menace = modification d’information ►Mécanisme de défense = intégrité ►Implémentation = cryptographie ►Principe = l’information n’est pas confidentielle et ne doit donc pas (nécessairement) être cryptée • Information information Résumé hachage oui OK résumé hachage non =? erreur – information modifiée! Résumé = décryptage (clé, cryptogramme) cryptogramme = cryptage (clé, résumé) décryptage cryptage Flux de l’information Sécurité de l’Information Menaces Sécurité des Communications Défenses Sphère privée Sécurité du Calcul Sécurisation ICC Module 3 Leçon 5 – Sécurité Informatique 25 / 53 © 2015 Ph. Janson Intégrité par cryptographie symétrique Distribution secrète de la clé Communication de l’information Bob Alice hachage OK =? Communication du résumé chiffré hachage Modification décryptage cryptage Sécurité de l’Information Menaces Sécurité des Communications Défenses Sphère privée Sécurité du Calcul Sécurisation ICC Module 3 Leçon 5 – Sécurité Informatique 26 / 53 © 2015 Ph. Janson Sécurisation de l’information – Responsabilité ►Menace = démenti ►Mécanisme de défense = responsabilité ►Implémentation = signature numérique par cryptographie asymétrique • ►Principe = l’information n’est pas confidentielle et ne doit donc pas (nécessairement) être cryptée Information information Résumé hachage OK oui non info =? originale signée résumé hachage erreur – information falsifiée par un tiers! Résumé = cryptage (clé publique, cryptogramme) / cryptogramme = (dé)cryptage (clé privée, résumé) cryptage DÉcryptage flux de l’information dans le temps Sécurité de l’Information Menaces Sécurité des Communications Défenses Sphère privée Sécurité du Calcul Sécurisation 27 / 53 9 15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Signature digitale par cryptographie asymétrique Multitude de récepteurs Clé publique de Bob Unique émetteur Clé privée de Bob Distribution “éprouvée”de la clé Communication de l’information Bob Alice hachage Communication du résumé chiffré Falsification OK hashage =? cryptage DÉcryptage Sécurité de l’Information Menaces Sécurité des Communications Défenses Sphère privée Sécurité du Calcul Sécurisation ICC Module 3 Leçon 5 – Sécurité Informatique 28 / 53 © 2015 Ph. Janson Autorités de Certification (AC) des clés ►Communiquer avec un tiers implique de connaître sa clé ►Obtenir cette clé face-à-face est une rare possibilité quand Alice et Bob sont séparés par un réseau • ►Echanger ces clés via le réseau n’est pas sécurisé – elles pourraient être falsifiées par un intrus … • ►… à moins d’être enveloppées dans un certificat = message signé par une autorité de confiance • ►C’est ce que sont les ACs – des tiers de confiance se portent garants de clés publiques authentiques • ►Plusieurs ACs peuvent mutuellement certifier leurs clés publiques • pour assurer l’authenticité des clés publiques de tiers certifiés par différents ACs AC PAC PA Sécurité de l’Information Menaces PB Sécurité des Communications Défenses Sphère privée ICC Module 3 Leçon 5 – Sécurité Informatique PAC Sécurité du Calcul Sécurisation 29 / 53 © 2015 Ph. Janson Pause 30 / 53 10 15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson C – Sécurité des Communications ►I – Sécurité de l’Information ►C – Sécurité des Communications Authentification des utilisateurs Identification des utilisateurs ►C – Sécurité du Calcul Sécurité de l’Information Sécurité des Communications Sécurité du Calcul ICC Module 3 Leçon 5 – Sécurité Informatique 31 / 53 © 2015 Ph. Janson Authentification à distance ►Identification = Désignation Authentification = Reconnaissance “userids” devraient être aussi difficiles à deviner que les mots de passe pour protéger les identités ►Trois possibilités: sur base de Quelque chose que l’utilisateur connaît: NIPs et mots de passe Quelque chose que l’utilisateur est: biométrie Quelque chose que l’utilisateur détient: jetons Sécurité de l’Information Authentification Sécurité des Communications Identification Sécurité du Calcul Sécurisation des réseaux ICC Module 3 Leçon 5 – Sécurité Informatique 32 / 53 © 2015 Ph. Janson Authentification sur base de quelque chose que l’utilisateur connaît: Userid et mot de passe ou NIP ►Les mots de passe doivent être rentrés dans le terminal qui les capture ⇒ Supprimer leur affichage à l’écran ⇒ Se méfier des maliciels espions (key-loggers – risque majeur) ⇒ Se méfier des caméras ⇒ Cacher leur saisie au clavier ►Les mots de passe doivent être transmis et stockés à l’ordinateur qui les vérifie => cryptés ⇒“salés” + hachés avant transmission ⇒“salés” + hachés dans une liste de mots de passe à accès restreint ►Les mots de passe ne doivent JAMAIS être écrits nulle part • => Facile à mémoriser mais difficile à deviner X Sécurité de l’Information Authentification Sécurité des Communications Identification Sécurité du Calcul Sécurisation des réseaux 33 / 53 11 15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Les 500 mots de passe les plus stupides en 2008 Source: http://www.whatsmypass.com/?p=415 123456 123456 jennifer jessica porsche player james angels flyers fred scott prince suckit ladies asdfgh rosebud danielle calvin password hunter panties bigdog guitar sunshine mike fishing butter fish johnson 2222 beach gregory naughty vagina jaguar beaver shaved apollo 12345678 fuck pepper cheese chelsea morgan brandon david united porn 3434x asdf amateur buddy giants toyota great 4341 surfer parker video 7777777 whatever 4128 samson 1234 1111 matthew black starwars fender test austin 121212 diamond boomer anthony 12345 batman william patrick nascar cowboys blowme wilson dragon trustno1 daniel martin jackson edward ferrari butthead qwerty thomas golfer freedom cameron charles cookie dennis pussy 696969 2000 corvette 290’731 instances sur 32M de mots de passe analysés! tigger firebird maddog turtle matrix tits hooters steelers teens member london muffin young tiffany scooby boobs 7777 redsox nicholas zxcvbn jason donald marlboro star lucky golden rock scorpio dolphin mine women tomcat walter bigdaddy srinivas testing helpme 0 3434 mountain gordon king voodoo racing magnum l’immatriculation du Starship Enterprise dans la série Startrek booty travis blonde hotdog fucked paris cool girl cooper runner 1313 swimming qwert kelly time paul sydney les 6 premieres touches de gauche sur un clavier qwerty summer ginger 654341 girls chicken fucking golf cumshot bronco internet shannon fire extreme madison casper mustang robert heather blowjob computer booboo maverick captain bond007 boston penis action murphy monica sandra redskins 987654 stupid 5555 juice letmein access hammer nicole amanda coffee chicago bigdick bear braves voyager carter frank midnight pookie erotic brazil shit eagle abgrtyu baseball love yankees sparky wizard 343434 joseph chester tiger yankee rangers jasper hannah college packers dirty lauren saturn hentai 777777 master buster joshua yellow 34343434 bulldog diablo smokey doctor lover birdie monster dave baby einstein ford japan gemini michael barney trouble dolphins ncc1701 le titre du 1er film de George Lucas un no. de tél. mentionné dans une chanson de Tommy Tutone en 1982 newyork dreams 1234567 maggie camaro money ncc1701 sexsex xavier gateway eagle1 cunt freddy naked apples little football soccer biteme secret phoenix rabbit hardcore steven gators victor white jeremy 11111 brian 0 arsenal squirt august redwings music shadow hockey enter dick mickey peanut 666666 viking angel tucker topgun 11111111 mother mark chevy access14 stars 3434 smith rush2112 monkey killer ashley falcon bailey john willie snoopy junior princess bigtits bill nathan startrek winston wolf apple canada sticky russia welcome blue thx1138 alexis blazer cocacola george thunder taylor knight johnny pass sexy cowboy 111111 iceman gandalf eagles porno 5150 green fuckme abc123 andrew silver 131313 tigers spanky panther winner badboy doggie 6969 charlie richard 123123 purple winter yamaha samantha debbie zzzzzz jordan superman chris thx1138 le titre d’un album de Van Halen en 1988 fucker bitch andrea brandy justin house spider harley asshole orange hello horny compaq banana miller melissa ranger fuckyou merlin scooter dakota carlos driver flower booger iwantu dallas michelle please aaaaaa tennis marine jack 1212 Sécurité de l’Information Authentification mercedes gunner bitches teresa jackie crystal raiders sierra peter steve leather super pussies forever 234343 qazwsx qazwsx cock angela 4444 magic beer viper beavis ou812 bigcock warrior nipple sammy iloveyou maxwell scorpion aaaa cumming animal slut alex bonnie hunting broncos tester 8675309 8675309 florida peaches kitty private mistress zxcvbnm eric jasmine rainbow skippy phantom nipples horney lakers rocket 112234 marvin rachel theman ou812 kevin bubba jake happy power movie matt arthur blondes 6666 2112 slayer oliver lovers sophie victoria success qwertyui cream enjoy albert Sécurité des Communications Identification legend rebecca Sécurité du Calcul Sécurisation des réseaux ICC Module 3 Leçon 5 – Sécurité Informatique billy 34 / 53 © 2015 Ph. Janson Attaques de mots de passe au dictionnaire Dictionnaire de Dictionnaire haché Fichier de mots de passe hachés Langue naturelle Dialecte non Argot Noms propres = ? Idem à l’envers Idem sans voyelles oui Idem en “L337” Combin. chiffres Bingo! Combin. touches Etc. • Le “salage” est nécessaire mais pas suffisant contre ces attaques au dictionnaire 10% des mots de passe salés + hachés ont été cassés en 4 heures, 53 minutes, et 6 secondes! parmi la liste de 860’160 mots de passe exposée par l’attaque de Strategic Forecasting en 2011 (http://www.thetechherald.com/articles/Report-Analysis-of-the-Stratfor-Password-List) Sécurité de l’Information Authentification Sécurité des Communications Identification Sécurité du Calcul Sécurisation des réseaux ICC Module 3 Leçon 5 – Sécurité Informatique 35 / 53 © 2015 Ph. Janson Comment choisir un mot de passe ►Les mots de passe doivent avoir une longueur suffisante pour résister aux devinettes Risque R = durée de vie D x fréquence des attaques F / taille de l’alphabet T(longueur du mot de passe M) M > log ( D 8 > log ( 100 J x x F 100 / J / / R 10-9 ) / log T ) / log 62 entropie maximale ⇒ Changer de mot de passe régulièrement (chaque année ou même chaque trimestre) ⇒ Utiliser des alphabets assez vastes: 26 majuscules + 26 minuscules + 10 chiffres + ? Signes ⇒ Limiter la fréquence des attaques pour déjouer des attaques programmées ⇒• Ne jamais réutiliser le même mot de passe sur plusieurs systèmes (“password sloth”) Sécurité de l’Information Authentification Sécurité des Communications Identification Sécurité du Calcul Sécurisation des réseaux 36 / 53 12 15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Alternatives et compléments aux mots de passe (aussi à graver en mémoire mais jamais sur papier / en machine) ►Algorithmes de passe – construire les mots de passe selon un algorithme simple mais secret assurant la présence de lettres minuscules ET majuscules + chiffres + caractères spéciaux phrase fixe descripteur (p.ex. dans une langue “exotique”) du système descripteur de l’année s t u u E 0 @ u o k d P 2 € 2 0 s - a a F 1 ¡ 0 h a n s L 6 Ø 0 i t - a S 9 µ X - s k i N 3 ¥ V => -skiN3¥V ► Testez vos mots de passe sur https://howsecureismypassword.net/ ou avec http://ophcrack.sourceforge.net/ (EPFL) Sécurité de l’Information Authentification Sécurité du Traitement Identification Sécurité des Communications Sécurisation des réseaux ICC Module 3 Leçon 5 – Sécurité Informatique 37 / 53 © 2015 Ph. Janson Authentification à deux canaux et deux facteurs ►Quand les mots de passe ne sont plus assez sûrs pour une application critique … ►… soit on a recours à une authentification à double canal … 1. Userid + password 3. Code 2. Code 2. Code ►… soit on a recours à une authentification à double facteur Biométrie ou jeton d’identification en plus du mot de passe Sécurité de l’Information Authentification Sécurité des Communications Identification Sécurité du Calcul Sécurisation des réseaux ICC Module 3 Leçon 5 – Sécurité Informatique 38 / 53 © 2015 Ph. Janson Authentification sur base de quelque chose qu’un utilisateur est: Biométrie ►La biométrie est en fait la méthode d’authentification originelle de l’humanité Ce qui est neuf est son utilisation en informatique ►NB: La biométrie d’un individu est unique mais pas secrète ⇒Le vol d’identité biométrique est donc un risque majeur (http://www.youtube.com/watch?v=3M8D4wWYgsc) • ►La vérification biométrique est encline à erreurs Des faux négatifs sont ennuyeux Des faux positifs sont indésirables => La biométrie est souvent utilisée comme second facteur plutôt que comme seul facteur Sécurité de l’Information Authentification Sécurité des Communications Identification Sécurité du Calcul Sécurisation des réseaux 39 / 53 13 15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Authentification sur base de quelque chose qu’un utilisateur détient: Jeton USB avec ou sans interface machine et interface utilisateur ►Basé sur un échange de codes ou un envoi de cachet-dateur chiffrés 1. Contact 2. Défi 3. Défi 4. Réponse 5. Réponse ►Avec un tel jeton non seulement l’utilisateur mais chaque transaction peut être authentifiée Sécurité de l’Information Authentification Sécurité des Communications Identification Sécurité du Calcul Sécurisation des réseaux ICC Module 3 Leçon 5 – Sécurité Informatique 40 / 53 © 2015 Ph. Janson Authentification bi-directionnelle ►Toutes les techniques vues jusqu’ici n’offrent qu’une authentification UNIDIRECTIONNELLE ►Ceci représente une carence et un risque MAJEUR (“phishing / pharming”) ►Sans cryptographie, le premier partenaire qui s’identifie à l’autre doit lui révéler son mot de passe ►La solution est une identification cryptographique bi-directionnelle • C’est exactement ainsi que fonctionnent les protocoles HTTPS / SSL / TLS (icône Les navigateurs connaissent (ou savent où et comment retrouver) les clés publiques des principaux CAs Sécurité de l’Information Authentification Sécurité des Communications Identification ICC Module 3 Leçon 5 – Sécurité Informatique ) Sécurité du Calcul Sécurisation des réseaux 41 / 53 © 2015 Ph. Janson Gestion de l’identité ►Qu’est-ce qu’une identité (électronique)? ►Combien d’identités (et de mots de passe)? ►Qui décide des identités (et mot de passe)? ►Qui valide les identités (et mots de passe)? Authentification Identification Sécurisation des réseaux 42 / 53 14 15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Question piège: qui est cet individu ? Sécurité des Communications Identification Sécurité de l’Information Authentification Sécurité du Calcul Sécurisation des réseaux ICC Module 3 Leçon 5 – Sécurité Informatique 43 / 53 © 2015 Ph. Janson Qu’est-ce qu’une identité (électronique) ? Une énorme collection d’attributs (électroniques) uniques ou communs à plusieurs individus Compte en banque Carte de fidélité Userids, adresses mail Pseudos Nom, prénoms, nationalité, statut Sexe, lieu & date de naissance Carte d’identité, passeport フィル ヤンソン caractère Biométrie Passé médical patient habitant Adresse, no. de tél Carte de séjour Sécurité sociale Immatriculations etc… Фил Янсон Diplomes, titres, médailles Publications, blogs, web posts ن ل Badge, userid, e-mail Réputation: profils e-bay, etc. solvabilité, casier judiciaire Sécurité des Communications Identification Sécurité de l’Information Authentification פיליף ג'נסון Sécurité du Calcul Sécurisation des réseaux ICC Module 3 Leçon 5 – Sécurité Informatique 44 / 53 © 2015 Ph. Janson Combien d’identités (et de mots de passe) ? Une seule identité intégrée Une multitide d’identités déconnectées citoyen Un seul userid valable partout Grande facilité habitant caractère Un seul mot de “passe-partout” Une multitude d’identifiants Une multitude de mots de passe patient habitant Insécurité Un cauchemar Mais plus de sécurité employé acheteur patient etc… auteur Aucune sphère privée Une nécessité pour la sphère privée etc… • Trouver le bon compromis => Sécurité de l’Information Authentification Sécurité des Communications Identification Sécurité du Calcul Sécurisation des réseaux 45 / 53 15 15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Qui décide des identités (et mot de passe)? Un organisme => nombre et choix imposés L’individu concerné => nombre et choix libres => Aucun contrôle de la sphère privée => meilleur contrôle de la sphère privée Nom, prénoms, nationalité, statut Sexe, lieu & date de naissance Carte d’identité, passeport caractère Compte en banque Carte de fidélité Userids, adresses mail Pseudos patient habitant Biométrie Passé médical Adresse, no. de tél Carte de séjour Sécurité sociale Immatriculations etc… Diplomes, titres, médailles Publications, blogs, web posts Badge, userid, e-mail Réputation: profils e-bay, etc. solvabilité, casier judiciaire Sécurité des Communications Identification Sécurité de l’Information Authentification Sécurité du Calcul Sécurisation des réseaux ICC Module 3 Leçon 5 – Sécurité Informatique 46 / 53 © 2015 Ph. Janson Qui valide les identités (et mots de passe)? En principe l’organisme concerné mais l’individu peut heureusement encore endosser des identités non-avérées Nom, prénoms, nationalité, statut Sexe, lieu & date de naissance Carte d’identité, passeport caractère Compte en banque Carte de fidélité Userids, adresses mail Pseudos patient habitant Biométrie Passé médical Adresse, no. de tél Carte de séjour Sécurité sociale Immatriculations etc… Diplomes, titres, médailles Publications, blogs, web posts Badge, userid, e-mail Réputation: profils e-bay, etc. solvabilité, casier judiciaire Sécurité de l’Information Authentification Sécurité des Communications Identification Sécurité du Calcul Sécurisation des réseaux ICC Module 3 Leçon 5 – Sécurité Informatique 47 / 53 © 2015 Ph. Janson C – Sécurité du Traitement informatique et de ses équipements ►I – Sécurité de l’Information ►C – Sécurité des Communications ►C – Sécurité du Calcul • Autorisation • Quelques bons conseils pratiques Sécurité de l’Information Sécurité des Communications Sécurité du Calcul 48 / 53 16 15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson Autorisation – Politique de contrôle d’accès – Vue matricielle Quoi Qui A … C Logiciel T … E Utilisateur U … R Matériel S … O B J E Ts Logiciel … Fichier … Matériel Permissions de l’acteur de lire / écrire / exécuter l’objet R/W/X… Sécurité de l’Information Sécurité des Communications Liste de contrôle d’accès associée à l’objet Sécurité du Calcul ICC Module 3 Leçon 5 – Sécurité Informatique 49 / 53 © 2015 Ph. Janson Autorisation – Modèle de système sécurisé ►Modifier logiciel ou données du noyau de sécurité exige les privilèges de “super-utilisateur” ►Ces privilèges de super-utilisateur ne sont accordés qu’au noyau de sécurité Politique de contrôle d’accès Authentification Autorisation Contrôle d’accès Requête d’accès Gardien (code) Utilisateur Permission d’accès Enregistrement d’accès Objet / Ressource Responsabilité Journal des événements Sécurité de l’Information Noyau de sécurité Sécurité des Communications Sécurité du Calcul ICC Module 3 Leçon 5 – Sécurité Informatique 50 / 53 © 2015 Ph. Janson Quelques bons conseils pratiques ►Se méfier des postes de travail et services publics – surtout gratuits ►Se méfier de pirates en des lieux publics – surtout réputés “à risque” ►Se méfier des logiciels-espions – micros et webcams télécommandées ►Toujours sécuriser son Wi-Fi “Clean desk”: Ne jamais laisser trainer équipements ou supports-mémoires portables (Einstein n’a pas toujours eu raison!) ►Toujours activer anti-virus et pare-feu ►Toujours “patcher” ses logiciels ►Bien choisir et ne jamais révéler ses mots de passe • ►Ne jamais travailler en mode “administrateur” ►Se détacher après toute session de travail ou délai inactif ►Faire des copies de sauvegarde régulières ►Encrypter tous ses supports-mémoires ►Détruire tout support mémoire ou papier en fin de vie Sécurité de l’Information Sécurité des Communications Sécurité du Calcul 51 / 53 17 15/12/14 ICC Module 3 Leçon 5 – Sécurité Informatique © 2015 Ph. Janson La sécurité est un défi humain encore plus que technique "Security is becoming less about technology and more about people” (Julie Peeler, Director of the (ISC)² Foundation) ►En informatique comme ailleurs (police, défense nationale) ►Elle implique toute une série de processus et de méthodes bien au-delà de la technologie Peu de lois et de licences professionnelles Emergence de directives professionnelles • Education • Gestion des risques • Définition des politiques • Processus de configuration • Surveillance et contrôles physiques • Réactions et réponses aux attaques • Audit et conformité • Etc. 52 / 53 ICC Module 3 Leçon 5 – Sécurité Informatique Information doivent être Les menaces Vol Manipulation Destruction Usurpation Démenti Contournement Cryptées Sauvegardées La sphère privée contre qui visent y compris Les défenses Confidentialité Integrité Disponibilité Authentification Responsabilité Autorisation Autorisation & contrôle d’accès y compris Communications Identité Réputation basée sur Authentification Mots de passe 2 facteurs Biométrie Jetons 2 directions implémentent Les données © 2015 Ph. Janson Dans le rétroviseur … Computing Hackers Maliciels représentent 53 / 53 18