SECURITE DES SYSTEMES D `INFORMATION Le 27 Avril
Transcription
SECURITE DES SYSTEMES D `INFORMATION Le 27 Avril
SECURITE DES SYSTEMES D ’INFORMATION PLAN • • • • Généralités sur la SSI Techniques d ’attaques Moyens juridiques et réglementaires Politique de sécurité des systèmes d ’information • Les solutions techniques Chapitre 1 Généralités sur la SSI Les typologies de menaces • • • • Menace LUDIQUE Menace AVIDE Menace TERRORISTE Menace ETATIQUE Les typologies de menaces Menace LUDIQUE = « Jeune » ou moins jeune, désir de reconnaissance, le fun, côté potache INTERNET Tous les outils sont sur l’Internet : sites « warez » Les typologies de menaces Menace AVIDE = Vente d’informations volées, chantage, faux sites marchands Les typologies de menaces Menace TERRORISTE = terrorisme informatique Les typologies de menaces Menace ETATIQUE = guerre informatique « Information Warfare » Les 3 critères de la SSI DISPONIBLITE INTEGRITE CONFIDENTIALITE Protéger, Collecter, Désinformer DISPONIBILITE • Disponibilité de l’accès aux données et aux traitements => • Attaques visibles • • • • • • • Destruction d ’information Panne système Sabotage système Déni de service Blocage d’accès Saturation … • => CA NE MARCHE PLUS INTEGRITE • Intégrité des données => • Attaques non visibles • • • • Suppression Altération Désinformation Répudiation CONFIDENTIALITE • Confidentialité des données des services => • Attaques visibles ou non • Espionnage • Divulgation • Chantage Typologie des menaces Environnement 15% 13% incendie,explosion, dégâts des eaux, pollution, catastrophe naturelle 2% arrêt de service électricité, télécoms Menaces naturelles 26% Pannes système 11% Erreurs humaines 17% Menaces humaines 74% Malveillance 57% 5% pannes informatiques 2% pannes réseaux internes 4% saturation des réseaux 8% erreurs conception et réalisation 9% erreurs exploitation et utilisation 2% vol, sabotage matériel 18% fraude 12% indiscrétion, intrusion, virus 14% copie de logiciel 10% vol ressource 1% démission, absence, grève Utilisation de l’Internet dans les entreprises • 40 % du temps passé sur le WEB au bureau n ’a pas de lien avec l ’activité professionnelle, • 30 % des salariés admettent envoyer des E-Mails avec des informations confidentielles à l ’extérieur de leur société, • 20 % du trafic sur la messagerie réseau est lié à des spams, des adresses erronées, erronées à des abonnements à des listes de diffusion obsolètes…. obsolètes Position des agresseurs Employés autorisés (divulgation) : 54 % Employés non autorisés (abus de droits) : 22 % Anciens employés : 11 % Pirates, hackers, divers : 10 % Concurrence : 3 % => Menace INTERNE : 70 à 80 % La SSI : un domaine transversal Juridique, contrats Réglementation Sûreté de fonctionnement Direction, Organisation Fiabilité, ergonomie, maintenabilité Sensibilisation Formation Responsabilisation R.S.S.I. Disponibilité, fiabilité Qualité Personnel Administration de réseaux et systèmes Surveillance, contrôle gestion d ’anomalies Technique Réseaux, informatique, bureautique Sécurité physique Intrusion physique, incendie,dégâts des eaux... Chapitre 2 ATTAQUES • Attaques physiques : – accès physique – ou se servant de caractéristiques physiques • Attaques logiques Attaques physiques • Interception ==> TEMPEST : signaux parasites compromettants (onde + conduits métalliques) • Brouillage (militaires / guerre) • Ecoute (très utilisée) • Piégeage • Micros et Caméras espion (de plus en plus courant) Attaques Logiques • Social engineering (mi physique, mi logique) • Fouille de l ’ensemble répertoires / fichiers – les droits – attaque sur les mots de passe • Canal Caché (Back Door) • Déni de service • Programmes parasites (Virus, ver, cheval de Troie) Social engineering • manipuler une personne à son insu • lui faire révéler l’information qu ’elle détient en se faisant passer pour quelqu’un d ’autre • ex : • Mot de passe • Informations de comptes bancaires • Stratégie d’entreprise… Fouille de l ’ensemble répertoires / fichiers • les DROITS des Rep / FIC (UNIX : R W X) – fichiers sensibles non protégés !!!! • Les comptes : recherche de Comptes peu ou pas utilisés Attaques sur les mots de passe • 4 possibilités : – Dérober un MDP (social engineering, vol, ...) – Deviner un MDP (nom, prénom, enfants, habitation, lieu et date de naissance utilisateurs ou de sa famille…) – Renifler un MDP : le « prendre » en transit en CLAIR – Craquer un MDP (logiciel de crackage) Les mots de passe les + courants Nom d ’un sportif Modèle de marque automobile Nom d ’une vedette du show bizz Nom d ’un lieu Mot associé à l ’informatique Mot obscène Nom d’une personne adulée Surnom animal de compagnie Nom d ’une personne proche Le piratage téléphonique - Phreaking • Permet au pirate d ’utiliser une ligne téléphonique autre que la sienne : – piratage d ’autocommutateurs d ’entreprise (PABX ou PBX) fréquemment utilisé en France • Recherche automatique de modems connectés sur un réseau – ==> Permet de se retrouver derrière les mesures de Protection (Firewall) Canal Caché - Backdoors • créé par le concepteur du logiciel ou celui de la maintenance • Permet de contourner la SSI normale ! • Backdoors US dans logiciel de crypto ? VIRUS • Programme parasite : faculté de se recopier par ses propres moyens • Infecte un .exe ou un document (.doc, .xls, ...) • ==> • se propage très rapidement encore plus avec Messagerie (Internet, Intranet) : pièces jointes • divers types : furtifs, cryptés, polymorphes, …. • Plus de 300 000 aujourd’hui ! Vers • Assez rares • Se multiplient sur le disque dur MAIS se déplacent à travers le réseau • Saturation de l’espace mémoire • Engorgement files d ’attentes • Peut aussi générer même dégâts que les autres programmes parasites Bombes logiques • Code ajouté secrètement à un OS ou à un programme • Si activée (date, lancement fichier, …) => fait exécuter un événement prédéfini = 100100011101 Cheval de Troie • Programme apparemment utile : contient des fonctions cachées => • MENACE SERIEUSE inoffensif SI Date Attaques Logiques • Cryptanalyse • Attaques Réseau (faille protocole TCP/IP) : – – – – – – – – Scan de ports IP Spamming IP Sniffing IP Spoofing Source Routing Fragmentation Man in the Middle Enregistreur de touches Attaques Logiques • Scan de ports – But : obtenir liste des services offerts par un serveur – Mise en œuvre : balayage d’un ensemble de ports d’un protocole donné (TCP, UDP) pour trouver ceux qui sont actifs – Intérêt : exploiter une faille éventuelle d’un des services IP Spamming • Inonder de messages un serveur (ou plus rarement une station) : indisponibilité de service : « deni de service » Ennemi FW intérieur internet « Destroy » IP Sniffing • Un intrus écoute le trafic sur le réseau • L ’intrus utilise un analyseur trames TRAFIC IP Spoofing • « Tuer » une station • Usurpation de son adresse MAC (cache ARP) • Redirection des paquets vers l ’intrus MAC 2 3 1 MAC CIBLE Source Routing • Routage par la source : – Force le routeur à envoyer la réponse vers l ’@ Source contenue dans le paquet – Attention : même si cela ne correspond pas à ses tables de routage : usurpation d’identité B A Serveur - Requête de B se faisant passer pour A - Renvoi vers B (serveur croit qu ’il s ’agit de A) Fragmentation • Paquets IP trop gros : fragmentation • Seul le 1er paquet a un en-tête TCP complet (et des données concernant les paquets suivants) => • MISE HORS SERVICE DU SERVEUR Man in the Middle A M « M » fait croire : - à « A » qu ’il est « B », - à « B » qu ’il est « A » B Enregistreurs de touches (Keyloggers) • C ’est un logiciel (peut être physique) • Implantation discrète par Cheval de Troie • ex : – Voir en CLAIR les logins et mots de passe Scénario d ’attaque • • • • Renseignement : architecture, plan @, OS, … Préparation : analyse de la sécurité Intrusion : entrer par un point faible Installation : installer une entrée permanente : canal caché, porte dérobée • Camouflage : effacer les traces, changer les dates • Propagation : rebond, virus... CHAPITRE 3 Les moyens juridiques et réglementaires - Art 323-1 à 323-5 CP - Loi 78-17 du 6 janvier 1978 - Art 226-16 à 226-24 CP - Loi 85-860 du 3 juillet 1985 - IGI 900 et 901 La riposte juridique Art. 323-1 CP Le fait, - d ’accéder - ou de se -maintenir frauduleusement - dans tout ou partie d ’un système de traitement automatisé de données Est puni d ’un an d ’emprisonnement et de 15 000 € d ’amende. Lorsqu ’il en est résulté : - soit la suppression, - ou la modification de données contenues dans le système, - soit une altération du fonctionnement de ce système La peine est de 2 ans d ’emprisonnement et de 30 000 € d ’amende. La riposte juridique Art. 323-2 Le fait : - d’entraver - ou de fausser le fonctionnement d ’un système de traitement automatisé de données Est puni de 3 ans d ’emprisonnement et de 45 000 € d ’amende. La riposte juridique Art. 323-3 Le fait - d’introduire frauduleusement des données dans un système de traitement automatisé de données - ou de supprimer - ou de modifier frauduleusement des données qu ’il contient est puni de 3 ans d ’emprisonnement et de 45 000 € d ’amende. La riposte juridique Art. 323-4 La participation à un groupement formé ou à une entente établie en vue de la préparation , caractérisée par un ou plusieurs faits matériels, d ’une ou de plusieurs infractions prévues par les articles 323-1 à 323-3 Est punie des peines prévues pour l ’infraction elle-même ou pour l ’infraction la plus sévèrement réprimée. Art. 323-5 : peines complémentaires pour les personnes physiques. La riposte juridique information / donnée Information : Elément de connaissance susceptible d ’être représentée sous forme adaptée à la communication, l’enregistrement ou un traitement Donnée : Représentation de l ’information sous forme conventionnelle destinée à faciliter son traitement Donnée : « Information formatée pour être traitée par un système informatique » (circulaire du 1er Ministre du 14/02/94) ==> Pas de statut juridique de l ’information = Existence juridique sous forme de donnée La LOI 78-17 du 6 janvier 1978 ==> Protection des libertés du citoyen par rapport à l’informatique et aux fichiers ==> création de la CNIL Commission Nationale de l’Informatique et des Libertés libertés du citoyen informatique + fichiers La LOI 78-17 du 6 janvier 1978 Hormis les cas autorisés par la loi, les traitements automatisés d’informations nominatives doivent au préalable faire l ’objet : - soit d ’un acte réglementaire de la CNIL - ou d ’une déclaration préalable. Formalités préalables à la mise en œuvre des traitements automatisés d ’informations nominatives La LOI 78-17 du 6 janvier 1978 Art 29 : Toute personne ordonnant ou effectuant un traitement d ’informations nominatives s ’engage de ce fait , vis à vis des personnes concernées, à prendre afin de toutes précautions utiles préserver la sécurité des informations et notamment d’ empêcher qu ’elles ne soient : - déformées - endommagées - ou communiquées à des tiers non autorisés Sanctions pénales de la loi 78-17 « informatique et libertés » Art. 226-16 Le fait , y compris par NEGLIGENCE, de procéder ou de faire procéder à des traitements automatisés d ’informations nominatives SANS qu ’aient été respectées les formalités préalables à leur mise en œuvre Est puni de 3 ans d’emprisonnement et de 45 000 € d ’amende. « Pas ma faute » = Sanctions pénales de la loi 78-17 « informatique et libertés » Art 226-17 Le fait de procéder à un traitement automatisé d’informations nominatives SANS prendre toutes précautions utiles pour préserver la sécurité de ces informations et notamment d’ empêcher qu’elles ne soient : - déformées - endommagées - ou communiquées à des tiers non autorisés Est puni de 5 ans d’emprisonnement et de 300 000 € d’amende. Sanctions pénales de la loi 78-17 « informatique et libertés » Art 226-18 Art. 226-18 : Traitement alors que opposition de la personne pour raisons légitimes : 5 ans et 300 000 € Sanctions pénales de la loi 78-17 « informatique et libertés » Art. 226-19 Art. 226-19 : Le fait, hors les cas prévus par la loi, de mettre ou de conserver sans l ’accord exprès de l ’intéressé qui directement ou indirectement font apparaître : - les origines raciales - ou les opinions politiques philosophiques - ou religieuses - ou les appartenances syndicales - ou les mœurs des personnes ==> 5 ans et 300 000 € Sanctions pénales de la loi 78-17 « informatique et libertés » Art. 226-20 Conservation au delà de la durée prévue - dans la demande d’avis - ou déclaration préalable : ==> 3 ans et 45 000 € == Sanctions pénales de la loi 78-17 « informatique et libertés » Art. 226-21 Par où ? Détournement des traitements T.A.I. par rapport à la déclaration : => 5 ans et 300 000 €. Sanctions pénales de la loi 78-17 « informatique et libertés » Art. 226-22 Divulgation, SANS autorisation de l’intéressé à des tiers qui n’ont pas qualité pour la recevoir ==> 1 an et 15 000 € Si la divulgation provient d’une imprudence ou négligence : 7 500 € ! Sanctions pénales de la loi 78-17 « informatique et libertés » Art. 226-24 : peines pour des personnes morales Loi 85-860 du 3 juillet 1985 Droits d’auteurs 1/2 Complémente la loi de 1957 sur droits d ’auteurs logiciel : protégé --- attention : ne concerne pas les données Bénéficiaire de la protection : - l’employeur - si commande logiciel : selon le contrat Loi 85-860 du 3 juillet 1985 Droits d’auteurs 2/2 Contenu de la PROTECTION : - monopole de l’exploitation durant 25 ans reproduction NON autorisée : TOUTE utilisation NON autorisée : TOUTE == CONTREFACON PROBLEME : la preuve …….. INTERDIT INTERDIT IGI 900 et 901 • Textes de base pour : – info de Défense (DR, CD, SD) : 900 – info sensibles (Judiciaire, personnel,…) : 901 • Autorités qualifiées, organisation SSI, homologations, ….. – ==> A MEDITER CHAPITRE 4: POLITIQUE DE SECURITE entité organisation entité zone entité personnel entité matériel entité logiciel entité support entités prioritaires ENTITE « ORGANISATION » • Responsabilités : Qui ? Comment ? Quoi ? • Procédures : Définition, application, contrôle • Engagement de Responsabilités : – les « chefs » – les techniciens – les utilisateurs ENTITE « PERSONNEL » • Habilitation / Droits • Sensibilisation : – Chefs en PRIORITE – Techniciens – Utilisateurs • Formation ENTITE « ZONE » • • • • Contrôle d ’accès Dispositif physique : anti-intrusion Maintenance / Entretien (ménage ! ) Environnement : clim., feu, sprinkler, …. ENTITE « MATERIEL » • • • • Gestion de parc Protection : vol ….. Homologation Maintenance : données CD ou « Confidentielle Spécifique » sur micro à envoyer en réparation !!!! ENTITE « LOGICIEL » • • • • • Identification / Authentification (simple, forte, biométrique) Contrôle d ’accès logique Imputabilité (ne pas pouvoir dire que l’on n’a pas reçu!) Audit Développement : SSI : Prise en compte dès le début ! – Objectifs de sécurité • Exploitation (Version ?……) • Maintenance / télémaintenance !!!!! • Sauvegarde / Archivage ENTITE « SUPPORT » • Enregistrement / Inventaire / Marquage (CD) • CD : information sur disquette uniquement ! • Pas de sauvegardes sur micros ! • Destruction (s ’en assurer !) • Reproduction • Conservation ENTITE PRIORITAIRES • • • • Sécurité physique Comptes MDP MAJ anti-virus (version ; bases de signatures) • Pas de bidouille sur système !!! Chapitre 5 : LES SOLUTIONS TECHNIQUES • • • • • Chiffrement Authentification Contrôle d ’accès VPN Anti-virus Le Chiffrement • Chiffrement à clés secrètes (symétriques) • Chiffrement à clés publiques (asymétriques) • Chiffrement mixte : avec signature Chiffrement à clé secrètes (symétriques) • M + Ks ----> M ’ : message chiffré • M ’ : à travers le réseau • M ’ + Ks ----> M • Difficulté : distribution + gestion des clés M ’ M+Ks M ’+Ks Chiffrement à clés publiques (asymétriques) • • • • • Albert veut envoyer un message à Bernard Albert : Kp(A) et Ks(A) Bernard : Kp(B) et Ks(B) M + Kp(B) ----> M ’ M ’+ Ks(B) ----> M • Pb : est-on sûr que c ’est A qui envoie ? Gestion des clés IGC : Infrastructure de Gestion de Clés PKI : Public Infrastructure Key ==> Clés publiques Organisme Défense et Interministériel Authentification • Authentification par : – ce que l’on sait (mot de passe) – ce que l’on détient (carte à puce, calculette) – ce que l’on est (caractéristiques biométriques) • MDP générés par l ’utilisateur • Mécanismes d ’authentification forte : – – – – techniques biométriques MDP à usage unique Technique de défi/réponse Par tierces parties de confiance BONS MOTS DE PASSE • Longueur suffisante 8 caractères minimum • Contient lettres (MAJ. / min), caractères spéciaux, chiffres : ex: C3!ù?amp => DUR ! • Facile à mémoriser (ex : 1er caractères des mots d ’une phrase) • Ne peut être deviné trop facilement (nom, prénom, …) • N’est pas contenu dans un dictionnaire • Est changé fréquemment (3 à 6 mois maxi) Contrôle d ’accès • Permet d’autoriser ou d’interdire à des utilisateurs d’un système : – – – – de voir le contenu de répertoires de lire, copier des fichiers de modifier des fichiers (écrire, supprimer) d’exécuter des programmes • dépend de l ’OS – pas de contrôle d’accès sur Windows 3.11, 95 et 98 – UNIX et WNT : droits définis R, W, X. Contrôle d ’accès • Protection par firewall : – contrôle du trafic (filtrage de paquet) – filtrage applicatif (FTP, HTTP, …) entrée/sortie – filtrage des ports entrée/sortie • Bonne protection • MAIS nécessite d ’être « suivi » de près • => moyen HUMAIN Contrôle d’accès • FIREWALL : en coupure entre l ’extérieur et l ’intérieur : Extérieur Firewall Intérieur Contrôle d ’accès Qu’est-ce qu’un paquet IP ? Data 1/ Protocole d ’application (SMTP, HTTP,Telnet, FTP, …) 2/ Protocole de transport (TCP/UDP, ICMP) Tcp/Udp Data 3/ Protocole IP 4/ Protocole physique IP Tcp/Udp Data IP Tcp/Udp Data Ethernet, FDDI, ATM, …. Ethernet Fanion Contrôle d’accès : Firewall • • • Attention : FW pas la panacée ! Vérification régulière des logs + chgt de MDP Pas de compte utilisateur sur FW • Mais : possibilité sur INTERNET : récupération d ’infos pour passer à travers : Crack,…. • ATTENTION…….A …………………. UNE FAUSSE SECURITE VPN (Virtual Private Network) Site Site Site Intranet/Internet Site Site Site Confidentialité, intégrité et authentification : transmission par Intranet / Internet Anti-virus • Nécessité d’avoir un anti-virus : serveurs + stations • EXCEL + WORD : les pièces jointes !!!! • => nécessité de MAJ récentes • => passage OBLIGATOIRE par un SAS pour les doc. venant de l’Internet ... Accès distant téléphonique CALL BACK 1/2 Serveur 1 - RTC Station 2 - RTC 1 : la station appelle le serveur via RTC avec login + mdp + code 2 : le serveur rappelle coupe la COM. Si OK : le serveur rappelle la station. => Bonne sécurité Accès distant téléphonique CALL BACK 2/2 Serveur informatique Station routeur Serveur dédié Mieux vaut passer par un routeur Journaliser les accès RTC TCP / UDP • TCP : mode connecté : 99,9 % paquets arrivent à destination • UDP : mode non connecté : non assurance d ’arrivée à destination Rappel sur OSI + équipements TCP UDP NCP 4 3 2 1 Ports TCP IP IPX Netbios Ethernet FDDI Token Ring 10 base 5 10 baseT 100 baseT @ IP @ MAC sécurité Hub répéteur VLAN IP Switch filtrage Pont Filtrage Routeur Firewall /Routeur • Routeur : – niveau 1 à 4 – filtrage entre machines • Firewall – – – – – – – niveaux 3 à 7 filtrage fin sens des appels gestion des individus administration évoluée programmabilité stockage Firewall / Routeur • • Actions de Filtrage : – Routeur : acceptation, refus, rejet, routage forcé, traçage, alarme, priorité, partage de ressources, tunnel, conversion statique – Firewall : conversion dynamique d ’@ Critères de filtrage : – Routeur : ports, protocole niv 3, @ source et destination, protocole niv 4, port TCP – Firewall : appels entrants et sortants, allocation dynamique de ports TCP, commandes Firewall / Routeur • Tunnel : – Routeur : encapsulation IP/IP, masquage d ’@ IP – Firewall : authentification, chiffrement, scellement • Surveillance – Routeur : alarme, trace limitée en mémoire – FW: journal sur disques, alarmes distantes, statistiques, rapports, outils d ’analyse, détection d ’anomalies, antivirus • Ergonomie : – Routeur : telnet, FTP, SNMP – FW : X11, Windows, Web Firewall / Routeur • Gestion des usagers : – Routeur : / – FW : • • • • • • • • identification, authentification, carte à puce, calculette S/Key, socks, gestion des droits et horaires, sillage UDP, sillage TCP liste serveurs autorisés / interdits / réservés Firewall / Routeur • ==> ROUTEUR : – dégrossissage par filtrage primaire Int FW Routeur Ext Exemple : filtrage fin de FTP EXT FIREWALL Appels : sortant INT Clients FTP : Tous internes Serveurs FTP : Tous externes Commandes : lecture, listage Sens autorisé des données Serveur ALPHA Client Bêta Appels : entrant Clients FTP : client Bêta Serveurs FTP : serveur Alpha Commandes : listage, création, écriture Structure interne d ’un firewall administration OS : UNIX Web FTP NT HTTP 80 20,21 Mail SMTP 25 News NNTP 114, 119 Filtrage fin de paquets UDP / TCP IP Ethernet / Token Ring Telnet 23 Autre Les critères de sécurité 1/3 • Les certifications US –TCSEC Trusted Computer Systems Evaluation Criteria • 1983 Orange Book pour les OS D : sécurité insuffisante C1 : politique discrétionnaire C2 : idem B1 : politique obligatoire B2 : idem B3 : idem A : preuve formelle de sécurité Les critères de sécurité 2/3 • Critères européens ITSEC Information Technology Security Evaluation 4 pays : France, Allemagne, GB, Pays-bas – vise une architecture et non un produit – séparation des fonctionnalités et du niveau d’assurance E0 : sécurité insuffisante E1 : politique discrétionnaire E2 : idem E3 : politique obligatoire E4 : idem E5 : idem E6 : preuve formelle de sécurité FC 0 : pas d ’assurance FC1 : assurance … FC6 : complète assurance Les critères de sécurité 3/3 • Les critères communs • TCSEC + ITSEC ==> CC (Critères Communs) • Normalisation internationale : ISO 15408 Quelques sites SSI sur le WEB SCSSI CLUSIF Computer Associates CNIL Schauer Consultant Cryptographie : la législation Finalités Fonctions offertes Authentification, signature, intégrité, nonrépudiation Confidentialité < 40 bits > 40 bits et < 128 bits > 128 bits Avec séquestre Sans séquestre Utilisation LIBRE LIBRE si préalablement déclaré par l’importateur, le fournisseur ou le producteur Fourniture Soumise à déclaration simplifiée Soumise à déclaration Soumise à déclaration Soumise à autorisation Soumise à autorisation Importation LIBRE LIBRE si préalablement déclaré par l’importateur, le fournisseur ou le producteur Soumise à déclaration Soumise à autorisation Soumise à autorisation Exportation LIBRE LIBRE Soumise à autorisation Soumise à autorisation Soumise à autorisation Soumise à déclaration LIBRE Soumise à autorisation Le certificat serveur : le protocole SSL • Les services offerts par SSL 3.0 – authentification du serveur auprès du client – authentification du client auprès du serveur (optionnel) – confidentialité assurée par chiffrement à clé secrète – intégrité des données • L’algorithme de chiffrement est négocié par le client et le serveur • SSL est basé sur la technologie à clé publique et les certificats – l’utilisation des certificats est transparente – les navigateurs contiennent déjà les certificats des principales CA publiques Où est stockée la clé privée ? • Stockée sur un jeton « logiciel » ou « physique » • Jeton « logiciel » – sur disque dur – sur disquette • Jeton physique = support physique séparé – carte à puce • L’accès est protégé par un mot de passe ou un PIN Personal Identification Number Les avantages de la cartes à puce • • • • Haut niveau de sécurité Portabilité Pas de copie possible Authentification très forte (ce que l’on a : la carte et ce que l’on sait : le PIN) • La carte peut supporter d’autres applications (badge entreprise) Ensemble, Améliorons la SSI A Bientôt et bon courage !