Bienvenue au Département Télécommunications, Services et …telecom.insa-lyon.fr/sites/default/files/cgt/promo... · 2015-11-19 · protection des informations personnelles du

Sécurité des Réseaux

1 | P a g e

c

LES 5 COINS DU

MONDE TÉLÉCOM DDDDépartement partement partement partement

TTTTéllllécommunications,communications,communications,communications,

Services & UsagesServices & UsagesServices & UsagesServices & Usages

Dossier 2010

Enseignants:

Claude Guedat

Olivier Brette

Etudiants 3TC:

• Jain Rohan

• Jiménez Guizar Arturo Mauricio

• Kengnang Berlin

• Leveau Valentin

• Malha Hana

® Copyright – Les 5 Coins Telecom


2 | P a g e

SOMMAIRE

I) Introduction…………………………………………………………………………………………………..3

II) Vue Générale du Secteur……………………………………………………………………………..3

1. Les Acteurs du commerce électronique………………………………………..3

2. Les intermédiaires …………………………………………………………………………4

III) Aspect Financier…………………………………………………………………………………………5

1. Données clés de la sécurité de systèmes d’information…………………5

2. Le coût des attaques de sécurité de l’information………………………..5

3. Quelle confiance dans leur sécurité de l’information?...........................7

4. Les budgets de sécurité…………………………………………………………………7

IV) Aspect Technique…………………………………………………………………………………………7

1. Pourquoi se protéger ?.......................................................................................7

a. Les menaces……………………………………………………………………..8

b. Gestion des risques………………………………………………………….10

2. Comment se protéger ?.....................................................................................11

a. Sécurité dans les protocoles de réseaux………………………...11

b. Antivirus……………………………………………………………………………14

c. Pare-feu……………………………………………………………………………15

d. VPN…………………………………………………………………………………..16

e. Cryptographie…………………………………………………………………..20

V) Etude du Cas : CISCO……………………………………………………………………………………26

VI) Conclusion……………………………………………………………………………………………………..28

VII) Bibliographie………………………………………………………………………………………………….29

SOMMAIRE


3 | P a g e

I) INTRODUCTION

Du troc pur et simple du début de l'humanité aux transactions financières par banques interposées de

l'ère moderne, les échanges commerciaux ont toujours existé, seul leurs formes et méthodes d'échange ont

changé. Nous avons récemment vu émerger une nouvelle forme pour commercer qui utilise des technologies

dont l'essor s'est produit essentiellement dans la deuxième partie des années nonante : le e-commerce.

Le e-commerce est, comme son nom l'indique, du commerce électronique. C'est à dire que l'on a à

faire à un ensemble d'échanges numérisés liés à des activités commerciales. Le support principal de ces échanges

est l'Internet. Après une courte période du « tout gratuit » sur Internet, les négoces et l'argent ont fait irruptions

sur cette scène encore relativement vierge et innocente que représentait le réseau des réseaux pour s'y imposer

de plus en plus solidement comme une nouvelle alternative commerciale.

Qui dit échange dit communications et transferts d'informations. Nous étudierons donc par la suite les

divers acteurs de ces échanges et les éventuels intermédiaires auxquels ils font appels, les menaces auxquels ils

sont confrontés ainsi que les mesures existantes pour s'en prémunir. Du fait des menaces auxquels les divers

acteurs du e-commerce sont confrontés, la question de la confiance devient un axe principal à développer au

niveau de la communication de l'entreprise ayant des produits ou services à proposer via internet.

Dans le cadre de la sécurité de réseaux nous avons décidé de prendre une entreprise spécialisée dans

le domaine à fin de voir les stratégies utilisées pour attirer les clients, s’introduire dans le secteur. Nous avons

choisi Cisco System car c’est l’entreprise qui a le plus réussi dans ce domaine.

II) VUE GENERALE DU SECTEUR

A) LES ACTEURS DU E-COMMERCE

Plusieurs types d'acteurs participent aux commerces électroniques. Chacun possède des besoins propres

et est soumis à des menaces particulières. Nous allons ici présenter ces acteurs et leurs envies et soucis auxquels

ils sont confrontés.

Le client

Le client peut être une personne ou une entreprise souhaitant commander un produit ou un service.

Etant un des éléments du e-commerce, il est la cible de menaces. Il doit faire attention à être sur le bon serveur

et qu'il va commander ce qu'il veut vraiment et au bon prix. C'est pourquoi il est important que le vendeur sache

rassurer le client sur le fait qu'il n'y a pas de risques.

INTRODUCTION


4 | P a g e

Le client doit s'identifier vis à vis du vendeur et cette opération comporte plusieurs problèmes:

� Il voit le risque que les informations qu'il donne sur Internet soient utilisées à des fins commerciales ou

autres

� Il encourt aussi le risque que quelqu'un d'autre qui réussirait à obtenir ces informations se fasse passer

pour lui et fasse des commandes qu'il ne souhaite pas ou autres.

C'est pourquoi d'un point de vu sécurité, il faut étudier les problèmes de confiance envers le vendeur,

d'identification du client (clé publique PKI), mais aussi il ne faut pas oublier de sensibiliser le client aux problèmes

de sécurité au niveau physique et le rendre conscient de ses responsabilités lors de la transaction.

Le vendeur

Le vendeur est habituellement une entreprise et doit gérer le site web « catalogue » et sa sécurité,

mettre en place un système d'identification du client sûr, gérer les demandes et envoyer les objets de la

transaction aux clients ainsi que trouve r une manière d'encaisser.

La gestion du catalogue requiert entre autres de bien réfléchir à :

� La gestion de la sécurité au niveau physique ;

� La gestion de la sécurité au niveau réseau ;

� La gestion des risques de création par une personne mal intentionnée d'une copie du catalogue ou du

site à une autre adresse. Une des premières mesures à prendre est d'enregistrer les noms de domaines

proches de celui du site web pour éviter les pièges faciles ;

� Au fait qu'aucune personne ne doit pouvoir accéder (en profitant de failles physique ou réseau) à la

base de données des produits du catalogue.

Le vendeur pour la gestion de toutes ces données peut faire appel à des intermédiaires techniques.

Il devra aussi faire face aux éventuels clients mal intentionnés qui ne paierait pas ou refuserait la transaction tout

en gardant la marchandise livrée (répudiation). Pour se décharger de ces problèmes, il peut également choisir

d'utiliser les services d'un intermédiaire financier pour encaisser l'argent produit par la vente.

L'intermédiaire technique : Les intermédiaire techniques permettent de décharger la somme de travail du vendeur

et seront chargé de faire face aux éventuelles menaces liées à leurs fonctions. Les divers intermédiaires techniques

auxquels il est possible de faire appel ainsi que leurs responsabilités sont présentés dans le tableau ci-dessous.

Intermédiaire Responsabilités

Le fournisseur d'accès Internet Disponibilité de la liaison Internet, utilisation de mécanismes de protection

comme le filtrage et aussi aide à l'enquête après incident

L'administrateur des systèmes et machines

du site Web (hébergement, etc.)

Sécurité au niveau physique, configuration sécurisé, traçabilité des

interactions et filtrage des services (si ces services ne sont pas assuré pas le

fournisseur d'accès)

Le web master du site de e-commerce Qualité et justesse du contenu et des informations qu'on peut trouver sur le

site

Vue Générale du Secteur


5 | P a g e

Vue Générale du Secteur

L'intermédiaire financier : Les intermédiaires financiers permettent de décharger le vendeur des problèmes liés aux

transactions financières. Nous présentons dans le tableau ci-dessous les divers intermédiaires financiers et leurs

responsabilités comme nous l'avons fait plus haut pour les intermédiaires techniques.

Intermédiaire Responsabilités

Organismes de paiement par cartes

bancaires

Il assure que le paiement de l'achat sera honoré, que les informations

nécessaires au paiement seront protégées.

Intermédiaire de paiement « cash » (appelé

aussi porte monnaie électronique)

Il assure au vendeur le recouvrement des achats du client et aux clients le

débit des jetons réellement utilisés uniquement. Il assure également la

protection des informations personnelles du client

III) Aspect Financier :

Chiffres clés de la sécurité des systèmes d'information

A) Données clés de la sécurité des systèmes d'information

Bien comprendre les enjeux de la sécurité de l’information, c’est aussi comprendre quelques données clefs.

�� Dépendance des entreprises vis à vis du Système d’Information & établissement d'une politique de

sécurité

• 2/3 des entreprises françaises (de plus de 200 personnes) estiment avoir une dépendance forte vis à

vis de leur système d’information : on peut comprendre ainsi que toute indisponibilité de celui ci la

pénalisera fortement.

• alors que seulement ¼ de ces entreprises ont mis en place une politique de sécurité de

l’information.

Première indication : L’adage qui dit qu’on ne protège bien que ce qui nous est important est erroné

quant à la protection de l’information.

B) Le coût des attaques de sécurité de l’information

Tous les chiffres des différentes enquêtes sont formels. L’analyse des coûts induits par les problèmes de sécurité

n’est que peu abordée en France (sauf dans quelques grandes entreprises ayant une réelle démarche de gestion

des risques).


6 | P a g e

Cette analyse chiffrée vient surtout des pays anglo-saxons (d'où provient la majorité des méthodes de risk

management) :

• le coût moyen d’un incident de sécurité est de 40.000 €

• certaines entreprises ont déclaré des incidents de sécurité leur ayant coûté 700.000 £

• dans 20% des cas, les entreprises mettent plus d’une semaine pour revenir à une situation de

fonctionnement normal.

C) Quelle confiance dans leur sécurité de l’information ?

• Environ 85% des entreprises françaises se pensent bien protégées (très bien ou relativement bien) alors

qu'elles ont près de 2/3 à ne pas avoir mis en place de système leur permettant de savoir si elles ont

subi des attaques (tant interne, qu'externe).

• La même enquête aux USA fait par le CISSA (organisme américain équivalent au Clusif en France,

association regroupant des entreprises et des professionnels autour de la sécurité de l’Information), a

montré qu’à peine 20% des entreprises américaines sont bien protégées par rapport à un référentiel

minimal de bonnes pratiques (ISO 17799).

o Arrivée de méthodes de mesure/contrôle de mise en place de la sécurité de l’Information.

L’arrivée de normes internationales et de méthode basées sur des analyses des risques (Mehari, Ebios, ...) réels

pour l'entreprise risque bien de remettre en cause notre bonne vieille culture des solutions « techno-centrique »,

c’est à dire de croire, qu’ayant mis un bon anti-virus, un bon pare-feu le problème de la sécurité de l’information

est traité.

o Quels sont les obstacles à la mise en œuvre d'un management de la sécurité de l'information

Le premier obstacle est souvent économique. Mais en fait cela cache d'autres difficultés. La première est de

positionner la sécurité de l'information : chantier technologique ou chantier transverse à l'entreprise. Suivant la

réponse des entreprises, les freins à la mise en œuvre de la sécurité de l'information sont alors différents.

ASPECT FINANCIER


7 | P a g e

D) Les budgets de sécurité sont ils bien distribués ?

On voit dans le graphique ci-après, que la distribution des budgets est très déséquilibrée entre technologie et

moyens organisationnels. Bruce Schneier, un expert de la sécurité de l'information résume pourtant bien ce

dilemme dans son livre Secrets et Mensonges :

"Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous n'avez rien compris à vos

problèmes ni à la technologie"

Seules les grandes entreprises ont pris conscience de l'importance d'impliquer fortement les directions

utilisatrices dans l'ensemble de la démarche sécurité.

E) Calcul du ROI de la sécurité

Moins d'une entreprise sur trois calcule le ROI des mesures de sécurité. Il est vrai que ce n'est guère plus évident

pour la sécurité que pour les autres investissements des systèmes d'information. Pourtant la mise en œuvre de

certains indicateurs permettrait de mieux justifier les investissements de sécurité. Les premiers concernant

évidemment la disponibilité des applications critiques pour l'entreprise.

IV) Aspect Technique :

1) Pourquoi se protéger?

A) Pourquoi la sécurité des réseaux ?

Les japonais ont coutume de dire que l’information est le sang des entreprises. L’information représente un actif

aussi important que les actifs liés au système de production classique (actifs physiques, actifs financiers, actifs

sociaux).

• Le développement rapide des technologies de l’information a entraîné une dépendant croissante des

organismes envers leurs systèmes d’information.

• Par ailleurs, le système d’information est aujourd’hui utilisé dans des applications variées.

Conséquence : Les moyens de communication doivent être sûrs et fiables (disponibilité, intégrité,

confidentialité)

La sécurité de l’information est donc un domaine vaste : il couvre la sécurité des systèmes d’information et des

réseaux, la protection vis-à-vis de l’intelligence économique et la gestion des actifs informationnels.

ASPECT FINANCIER


8 | P a g e

B) LES ATTAQUES

Menace : Action, événement, entité pouvant porter préjudice à ce que l’on désire protéger (information,

Systèmes informatiques, Entreprises…). Une menace est générique (ne dépend pas du contexte) et il ne peut

s’exécuter toute seule.

Vulnérabilité : Réactif (faiblesse) permettant à la menace de s’exécuter. L’essence même de la sécurité est

d’identifier et réduire la présence de vulnérabilités.

Buts des attaques : • Interruption: vise la disponibilité des informations

• Interception: vise la confidentialité des informations

• Modification: vise l’intégrité des informations

• Fabrication: vise l’authenticité des informations

Typologie des attaques :

Les attaques sur les systèmes

Le vol des mots de passe

L’accès aux fichiers et répertoires sans autorisation

Les attaques sur l’information

L’écoute de données communiquées sur le réseau

La modification des données communiquées sur le réseau

Les attaques sur les applications

Attaquer les applications réseaux (émail, DNS, Web, FTP, …)

Les attaques sur les protocoles de communications

Exploiter les failles des protocoles et de leurs implémentations (IP, TCP, …)

Quelques attaques : Nous allons regarder de plus près quelques attaques et agressions informatiques auxquelles

un site de e-commerce peut être soumis.

L'écoute passive et le rejeu(sniffing)

La façon de procéder d'une telle attaque est dans un premier temps l'écoute passive des

communications d'un réseau pour tenter d'obtenir les informations d'authentification telles que le login et

le mot de passe d'un utilisateur et une fois ceci obtenu, de le renvoyer immédiatement au serveur pour se

connecter à la place du véritable utilisateur.

Substitution et manipulation de données

Le but d'une telle attaque peut être d'effectuer une attaque en déni de service mais peut également

avoir pour objectif de modifier les données d'une transaction dans l'intérêt de l'acheteur. Par exemple, si le

e-commerce en question utilise des requêtes HTTP POST pour les commandes dans lesquelles se

trouveraient le prix à payer, il serait facile pour un pirate d'accéder et de modifier le contenu de la requête

POST en sa faveur.

Virus

L'infection du serveur par un virus peut provoquer son indisponibilité totale ou partielle avec de graves

et nuisibles retombées sur son chiffres d'affaires mais aussi, et serait-on tenter de dire surtout, sur son

image de marque. Mais plus grave encore est le fait que le serveur peut propager le virus chez ses

utilisateurs. Ces derniers ont alors légalement le droit d'attaquer en justice l'e-commerce en question. Ce

type d'attaque est rare mais possible.

Chevaux de Troie

La menace principale due aux chevaux de Troie pour un serveur d'un site de commerce électronique est

que le pirate peut d'une part accéder et modifier des informations autant sur les clients que sur les

ASPECT TECHNIQUE – Pourquoi se protéger ?


9 | P a g e

produits ou services proposé par le e-commerce, mais aussi que le serveur peut être utilisé comme relais

pour commettre des attaques du type déni de service sur d'autres machines. La responsabilité du e-

commerce peut alors être engagée.

Répudiation

Le problème consiste en qu'un acheteur commande un produit, le reçoive puis nie avoir participé dans la

transaction. La marchandise est livrée mais reste impayée. Tout se problème se base sur les mesures prises

par le e-commerce pour s'assurer de produire des signatures électronique suffisantes qui ne puissent être

remise en question après une transaction.

Déni de service et DDoS

Ce type d'attaque vise clairement à rendre indisponible un service informatique, dans notre cas

généralement, le serveur. Une méthode fréquemment utilisée est le dépassement de tampon qui consiste à

envoyer un message au serveur plus grand que sa capacité de réception. Mais la méthode la plus répandue

actuellement de déni de service est le déni de service réparti (DDoS - Distributed Denial of Service).

Plusieurs façons de réaliser cette attaque existent, mais globalement ce qui se passe, c'est que le pirate créé

un programme qui lui permet de gérer à distance des ordinateurs et leur ordonne à un moment donné

d'envoyer tous en même temps des flux de paquets à une même cible.

Le Spamming & Bombing

Nous ne parlons pas ici du Spamming fait par une entreprise, car si un e-commerce se livrait à cette

pratique, les conséquences seraient désastreuses pour lui-même. Le problème vient donc essentiellement

du fait que, pour nuire à un e-commerce, un pirate qui serait parvenu à obtenir la liste des clients, par

exemple en piratant le serveur ou la base de données, peut faire du spamming aux clients de ce e-

commerce.

Enquêtes : Incidents informatiques frappant les entreprises européennes

0

10

20

30

40

50

60

70

80

90

Incidents informatiques

Codes Cachés 78

Erreurs d'utilisation 62

Erreurs de conception 38

Pannes Internes 37

Evènements naturels 22

Abus ou fraude d'un utilisateur en interne 16

Piratage (intrusion) 8

Po

rce

nta

ge

%

Enquêtes

ASPECT TECHNIQUE – Les Attaques


10 | P a g e

C) GESTION DES RISQUES

Un risque n’existe que dans le cas où ses trois composantes sont présentes: Un Bien, une Menace et une

Vulnérabilité. Un risque ne peut être éliminé. Il peut seulement être réduit soit par la mise en place de meilleures

protections soit en réduisant l’impact.

« L’acceptation d’un risque est, en soi, un risque »

Exemple:

Quel est le risque pour que les systèmes d’informations de votre entreprise (serveurs, stations de travail) soient

infectés par un virus ?

• Pourquoi une méthode de gestion des risques :

Identifier les scénarios de sinistres réels de l’Entreprise

En fonction de l’exposition aux risques de l’entreprise, des mesures de sécurité existantes, de

la culture sécurité.

Classifier les risques vis-à-vis des impacts potentiels

Impacts financiers (les chiffrer), perte d’avantage concurrentiel, de notoriété, …

Trouver les parades les plus efficaces pour ces risques

Efficacité et robustesse des mesures de sécurité

Relation coût de la mesure/enjeu

Politique de sécurité

• Une politique de sécurité ce n'est pas seulement :

– Les paramètres de sécurité, longueur des clefs, choix des algorithmes, fréquence de changement des

"passwords", etc.

• Une fois une politique de sécurité définie, sa mise en œuvre (utilisation d'outils appropriés) et sa bonne gestion

(maintien de la cohérence) sont des points critiques.

ASPECT TECHNIQUE – Gestion des risques


11 | P a g e

2) Comment se protéger?

A) LA SECURITE DES RESEAUX DANS LES PROTOCOLES ET RESEAUX TCP/IP

I. Identification / Authentification

Un service d'authentification repose sur :

– l'identification : définit les identités des utilisateurs

– l'authentification : vérification des identités présumées des utilisateurs (authentification

simple et forte)

L'authentification peut etre faite à plusieurs niveaux :

– applicatif : HTTP, FTP

– transport : SSL, SSH

– Réseau : IPSEC

– Transmission : PAP, CHAP

Il existe 3 types d'informations utilisables pour l'authentification :

– quelque chose que vous savez (mot de passe-date de naissance)

– quelque chose que vous avez (passeport, permis de conduire, badge, carte à puce)

– quelque chose que vous êtes (empreintes digitales, scan rétinien)

En général l'Authentification permet de déterminer :

– Qui peut y avoir accès (autorisation ou contrôle d’accès)

– Qui peut le voir (la confidentialité)

– Qui peut le modifier (l’intégrité)

– Qui l'a fait (traçabilité)

Les principaux protocoles d'identification sont:

1) PAP (Password Authentification Protocol)

– utilisé à l'origine dans le cadre de PPP (Point to Point Protocol), utilisé généralement pour les

connections par modem à un FAI (Fournisseur d'Accès Internet)

– liaison point à point

ASPECT TECHNIQUE – Sécurité dans les Protocoles


12 | P a g e

– basé sur HDLC

– login / mot de passe en clair sur le réseau utilisé en pratique à travers un réseau sécurisé

2) CHAP / MS-CHAP

CHAP (Challenge Handshake Authentication Protocol)

– basé sur la résolution d'un défi (challenge)

– mot de passe non transmis en clair sur le réseau

– mots de passe stockés en clair sur le serveur

MicroSoft CHAP

La version 1 de MS-CHAP n'est qu'une amélioration de CHAP où les mots de passes sont « hachés>.

Dans la version 2, l'authentification est mutuelle.

3) EAP ( Extensible Authentication Protocole )

C'est une extension du protocole PPP, permettant entre autres

– l'identification des utilisateurs sur le réseau

– le plus souvent utilisé sur les réseaux sans fils (WPA)

– Plusieurs méthodes d'authentification :

✓ LEAP Lightweight EAP (Cisco)

✓ EAP-TLS obligatoirement supporté par WPA ou WPA2

✓ EAP-MD5 standard ouvert, niveau de sécurité faible

✓ EAP-SIM utilisé par GSM

✓ EAP-AKA Authentication & Key Agrement utilisé par UMTS

4) RADIUS ( Remote Authentication Dial-In User Service )

– basé sur un système client-serveur

Le serveur RADIUS est relié à une base d'identification

. * Base de donnée

. * Annuaire LDAP (Lightweight Directory Access Protocol)

Le client RADIUS : NAS (Network Access Server)

– Utilise UDP

5) Kerberos

C'est un protocole d'identification réseau crée par le MIT (Massachussetts Institute of Technologie)

Ses Utilisations :

✓Mac OS X (à partir de 10.2)

✓ MS Windows 2000 et suivants (authentification par défaut)

✓ Apache, Samba

✓ NFS, Open SSH, FileZilla, etc.

C'est un protocole d'identification largement utilisé notamment Paypal, Moneybookers, Identification à

la souris, etc.

Les protocoles sécurisés

1) SSL (Secure Socket Layer )

– système standardisé permettant d'échanger des informations de façon sécurisée entre 2 ordinateurs,

en assurant :

✓Confidentialité

✓ Intégrité

✓ Authentification (obligatoire pour le serveur et optionnelle pour le client)

– développé par Netscape et RSA Security

– complément à TCP/IP



13 | P a g e

– très répandu (supporté par la quasi totalité des navigateurs)

– très cryptanalysé => très robuste

– version libre : OpenSSL

a)La négociation SSL:

Au début de la communication le client et le serveur s'échangent :

– la version SSL

– la liste des méthodes qu'ils supportent pour :

✓ le chiffrement (symétrique, asymétrique, longueur de clé, etc.)

✓ la signature

✓ la compression

– des nombres aléatoires

– les certificats

La méthode commune la plus puissante est alors adoptée

b) La communication SSL

Côté expéditeur, les données sont :

1. découpées en paquets

2. compressées

3. signées cryptographiquement (MD5, RSA que nous verrons par la suite)

4. chiffrées

5. envoyées

Le récepteur procède:

1. au déchiffrement

2. à la vérification de la signature

3. à la décompression

4. au réassemblage

2) TLS (Transport Layer Security )

– Nouveau nom de SSL (suite au rachat par l'IETF Internet Engineering Task Force)

– TLS v1.0 <=> SSL v3.1

– par abus de langage on parle de SSL pour désigner indifféremment TLS ou SSL

3) HTTPs / FTPs / SSH

– HTTPS: HTTP over SSL (HyperText Transfer Protocol Secure )

– FTPS: FTP/SSL : FTP over SSL (File Transfer Protocole Secure )

– SSH : Secure Shell (En amélioration aux protocoles comme rlogin, telnet, rsh qui font circuler en clair

login/mot de passe sur le réseau.)

4) S-HTTP (Secure HTTP)

Amélioration du protocole HTTP

Au dessus du protocole HTTP, très lié à HTTP

Ne pas confondre avec HTTPS (basé sur SSL)

– S-HTTP chiffre individuellement chaque message

– HTTPs est basé sur SSL qui chiffre l'intégralité de la communication

5) SET (Secure Electronic Transaction)

– Décrit les protocoles et algorithmes nécessaires à sécuriser les paiements sur des réseaux ouverts de

type Internet (Visa, MasterCard).

– Objectifs :

✓Authentification des porteurs de cartes, des commerçants, des banques, des acheteurs



14 | P a g e

✓ Confidentialité des paiements

✓Intégrité des données du paiement

6) S/MIME(Secure Multipurpose Internet Mail Extension)

– apporte à MIME les fonctions de sécurité suivantes:

• Basées sur la signature digitale : (authentification, intégrité des messages, non-répudiation de l'origine)

• Basées sur le chiffrement : (confidentialité, sécurité des données)

– permet de chiffrer le contenu des messages, mais pas la communication

Fonctionnement

– Principe de chiffrement à clé publique

– Chaque partie du message chiffrée avec une clé de session

– Clé de session chiffrée avec la clé publique du destinataire dans l'en-tête de chaque message

– Signature du message chiffrée avec la privée de l'expéditeur

7) PGP (Pretty Good Privacy)

– Signature et vérification d'intégrité de messages (Hachage MD5 + chiffrement RSA)

– Chiffrement des fichiers locaux(IDEA)

– Génération de clés publiques et privées (chiffrement des messages avec IDEA et transfert des clés

IDEA avec RSA)

– Gestion des clés

– Certification des clés

B) ANTIVIRUS

Un antivirus est un logiciel de lutte contre l'installation des logiciels malveillants que sont les virus sur une

machine. Il doit donc être capable de reconnaître et de manière SÛRE un virus afin d'éviter toute erreur de

destruction de programme du système d'exploitation par exemple, ce qui peut gravement endommager le

système.

Les antivirus peuvent se baser sur une banque de signatures pour la détection. Ces signatures sont

collectées grâce à un listing de caractéristiques spécifiques à chaque virus, comme le placement d'un certain

nombre de mots clef, et régulièrement ajoutées dans des banques de données dédiées. C'est pour cela qu'une

mise à jour régulière est indispensable à la protection contre les virus. Néanmoins, il existe des virus dits

polymorphes qui changent souvent leur propre programme provoquant ainsi un changement permanent de

signature, ce qui rend leur détection non pas impossible mais peu aisée. Les programmeurs travaillent à trouver

des portions de virus à peu près constantes pour en créer une signature.

Mais la signature d'un virus n'est pas le seul moyen de le détecter. Un virus, pour ne pas être détruit au

redémarrage, peut parasiter un fichier, ou s'enregistrer quelque part sur le disque. Il devient donc détectable. Un

test d'intégrité des documents du disque permet cette détection. En effet, au moment de l'installation de

l'antivirus sur la machine celui-ci associe un « checksum » à chaque fichier du disque et il stocke la

correspondance disque-checksum. Lors d'un contrôle du disque l'antivirus en réalité recalcule les « checksum » et

les compare à ceux qu'il a stocké le jour de son installation. Si cela ne correspond pas, c'est que le fichier a été

corrompu.

Il est évident que cette vérification ne se fait que sur une catégorie de fichier qui n’est généralement pas

modifiés par l'utilisateur comme des fichiers système. Dans le cas contraire une simple modification d'un fichier

Word aurait généré une alerte. Ce point est un point faible pour cette technique, car cela laisse une opportunité

non négligeable pour les virus de s'installer dans les fichiers souvent modifiés.



15 | P a g e

Le comportement des virus est aussi une porte de détection de ceux-ci. Un programme qui se multiplie

de manière anormale, ou qui envoie des mails en consultant un carnet d'adresses est probablement malveillant.

Les antivirus se réfèrent à ces types de comportements pour déclencher des alertes, des alertes non fiables à

100%, ce qui fait qu'elles peuvent être sous-estimées par l'utilisateur.

C) PARE-FEU

C'est une bonne chose que de garantir la confidentialité des données en évitant de les diffuser en clair

sur le réseau, mais il est tout aussi important de protéger l'accès à celles-ci contre certains esprits malveillants, et

c'est là que réside tout l'intérêt des par-feus.

Définition : Un pare-feu est un dispositif matériel ou logiciel-matériel qui peut être adopté par certaines

entreprises ou par des particuliers dans le but de contrôler le trafic sortant et entrant à un

réseau privé ou à une machine. De cette manière, on peut protéger des machines contre le

trafic inutile et hostile.

Un pare-feu doit principalement être mis en place sur chaque interface séparant un réseau

publique non sécurisé et un réseau privé. Un exemple de réseau publique non sécurisé est

internet. Il faut donc impérativement protéger l'endroit où notre réseau est connecté à

internet.

Types de pare-feu:

→ À filtrage statique :

Le filtrage statique se base sur 2 points:

. L’analyse des entêtes IP, UDP, TCP, ICMP. Donc il n'y a aucun contrôle de la couche applicative

qui peut contenir des exécutables nuisibles, d'où son incomplétude.

. L’analyse des paquets indépendamment les uns des autres. En effet la prise en compte du

contexte de ces paquets dans le flux peut renseigner sur leur nature.

→ À filtrage dynamique :

Nous avons vu dans le dernier point du filtrage statique que les paquets y étaient analysés indépendamment les

uns des autres. Le principal intérêt du filtrage dynamique est justement d'analyser les paquets dans un contexte

de communication. Par exemple un pirate fabriquant un segment SYN/ACK pourrait tromper un pare-feu à

filtrage statique et s'infiltrer dans le réseau, alors qu'un pare-feu à filtrage dynamique se rendrait compte que ce

paquet est hors contexte et donc la rejettera.

Ce type de pare-feu possède une table d'état. C'est une sorte de mémoire où il enregistre les couples adresse

IP/Port source et destination. Une machine A envoie par le port 'a' un message (TCP, UDP, ICMP) au port 'b'

d'une machine B. le quadruplet (A,a,B,b) est enregistré dans la table d'état. Les données provenant de B seront

acceptées ou refusées selon les correspondances établies avec cette table d'état.

ASPECT TECHNIQUE – Antivirus


16 | P a g e

→ Translation d'adresse réseau (NAT) :

Le pare-feu NAT falsifie l'adresse IP et le port d'une machine afin qu'ils ne soient pas visible par un

dispositif d'écoute du réseau. Si un paquet ayant pour adresse destination l'adresse falsifiée arrive, le pare-feu se

charge de la rechanger grâce à une table de translation où il stocke les correspondances adéquates à cet effet.

→ Pare-feu applicatifs :

On a vu qu'aucun des types de filtrages cités précédemment ne regardait le contenu des messages.

Pourtant c'est un critère crucial pour l'acceptation ou le refus du paquet. Sur un pare-feu applicatif, le logiciel

assurant la fonction de protection au niveau application est le « proxy » ou encore le « relais applicatif ». Celui-ci

lit le message applicatif et décide d’accepter ou de refuser l'intégralité de la requête. Si la requête est acceptée,

le message applicatif et encapsulé dans un entête TCP ou UDP, puis un entête IP et envoyé à destination du

serveur destination. Il existe même des pare-feu où chaque proxy est dédié à une application.

Notons que ces relais applicatifs sont compatibles avec un grand nombre de protocoles.

De plus, ce type de pare-feu dissimule les adresses IP des machines du réseau interne en les remplaçant par la

sienne, et évitent ainsi l'interception de celles-ci par les pirates.

D) VPN

Introduction

A virtual private network (VPN) is a

computer network that is layered on top of an

underlying computer network. The private

nature of a VPN means that the data travelling

over the VPN is not generally visible to the

underlying network traffic. This is done with

strong encryption, as VPN's are commonly

deployed to be high-secured "network tunnels".

VPN gives extremely secure

connections between private networks linked

through the Internet. It allows remote

computers to act as though they were on the

same secure, local network.

ASPECT TECHNIQUE – Pare-feu


17 | P a g e

Working of VPN

The secured virtual network uses the tunneling protocols which allow the data to pass from one end of

VPN to the other end through secured algorithms of cryptography.

The term of tunnel is used to highlight the fact that between the entry and exit of the VPN, the data is crypted

and hence it is practically impossible for anyone between the two ends to understand it.

A VPN client is the element allowing to crypt and decrypt the message at the user end once the connection is

established whereas a VPN server is the element used by the organization using the connection to perform the

same operation.

This way, when a user needs to access the VPN, his request is transmitted to the gateway system which connects

with the remote server via public network’s infrastructure and then transmits the crypted data. At the receiving

end, the data is decrypted and then transmitted to the user and so on…

Secure VPNs use cryptographic tunneling protocols to provide the intended confidentiality, sender authentication

and message integrity to achieve privacy.

Classification of VPN

There are myriad of protocols, terminologies and marketing influences that define the VPN technologies

which makes it quite hard to compare them. These technologies can differ:

• By the location of tunnel termination, such as the customer edge or network provider edge;

• Whether they offer site-to-site or remote access connectivity;

• In the levels of security provided;

• By the OSI layer which they present to the connecting network, such as Layer 2 circuits or Layer 3

network connectivity

• In the protocol they used to tunnel the traffic over the underlying network.

Technologies behind VPN’s

There exist numerous protocols defining VPN. Some of the most used and important ones are as follows:

1. PPTP: Point to Point Tunneling Protocol

It extends the Point to Point Protocol (PPP) standard for traditional dial-up networking. PPTP is best suited

for the remote access applications of VPNs, but it also supports LAN internetworking. PPTP operates at Layer

2 of the OSI model

Using PPTP

PPTP packages data within PPP packets, then encapsulates the PPP packets within IP packets (datagram)

for transmission through an Internet-based VPN tunnel. PPTP supports data encryption and

compression of these packets. PPTP also uses a form of General Routing Encapsulation (GRE) to get

data to and from its final destination.

PPTP-based Internet remote access VPNs are by far the most common form of PPTP VPN. Several

corporations worked together to create the PPTP specification. People generally associate PPTP with

Microsoft because nearly all flavors of Windows include built-in client support for this protocol. The

initial releases of PPTP for Windows by Microsoft contained security features that some experts claimed

were too weak for serious use.

2. L2TP: The original competitor to PPTP for VPN tunneling was L2F (Layer 2 Forwarding Protocol), a

protocol implemented primarily in Cisco products. In an attempt to improve on L2F, the best features of it

and PPTP were combined to create a new standard called L2TP. Like PPTP, L2TP exists at the data link layer

(Layer Two) in the OSI model -- thus the origin of its name.

The basic packet exchange mechanism is described below.

ASPECT TECHNIQUE – VPN


18 | P a g e

3. IPSec: Internet Protocol Security

IPSec is actually a collection of multiple related protocols. It can be used as a complete VPN protocol

solution or simply as the encryption scheme within L2TP or PPTP. IPSec exists at the network layer (Layer

Three) of the OSI model.

IPSec is a protocol suite for securing Internet Protocol (IP) communications by authenticating and encrypting

each IP packet of a data stream. IPSec also includes protocols for establishing mutual authentication

between agents at the beginning of the session and negotiation of cryptographic keys to be used during

the session. IPSec can be used to protect data flows between a pair of hosts (e.g. computer users or servers),

between a pair of security gateways (e.g. routers or firewalls), or between a security gateway and a host.



19 | P a g e

4. SOCKS is an Internet protocol that facilitates the routing of network packets between client-server

applications via a proxy server. SOCKS performs at Layer 5 of the OSI model—the Session Layer (an

intermediate layer between the presentation layer and the transport layer). Port 1080 is the well-known port

designated for the SOCKS server.

Other existing protocols

• Transport Layer Security (SSL/TLS) is used for tunneling an entire network's traffic (SSL/TLS VPN), as in

the OpenVPN, or for securing individual connection. SSL (secure sockets layer) has been the foundation

by a number of vendors to provide remote access VPN capabilities. A practical advantage of an SSL

VPN is that it can be accessed from locations that restrict external access to SSL-based e-commerce

websites without IPSec implementations. SSL-based VPNs may be vulnerable to denial-of-service attacks

mounted against their TCP connections because latter are inherently unauthenticated.

• Datagram Transport Layer Security (DTLS), used by Cisco for a next generation VPN product called

Cisco AnyConnect VPN. DTLS solves the issues found when tunneling TCP over TCP as is the case with

SSL/TLS

• Microsoft Point-to-Point Encryption (MPPE) by Microsoft is used with their PPTP. Several compatible

implementations on other platforms also exist.

• Secure Socket Tunneling Protocol (SSTP) by Microsoft introduced in Windows Server 2008 and Windows

Vista Service Pack 1. SSTP tunnels PPP or L2TP traffic through an SSL 3.0 channel.

• MPVPN (Multi Path Virtual Private Network). Ragula Systems Development Company owns the

registered trademark "MPVPN".

• SSH VPN -- OpenSSH VPN tunneling to secure remote connections to a network (or inter-network

links). This feature (option -w) should not be confused with port forwarding (option -L/-R/-D). OpenSSH

server provides limited number of concurrent tunnels and the VPN feature itself does not support

personal authentication

Advantages

• Allows you to be at home and access your company's computers in the same way as if you were sitting

at work.

• Almost impossible for someone to tap or interfere with data in the VPN tunnel.

• If you have VPN client software on a laptop, you can connect to your company from anywhere in the

world.

Disadvantages

• Setup is more complicated than less secure methods. VPN works across different manufacturers'

equipment, but connecting to a non-NETGEAR product will add to difficulty, since there may not

documentation specific to your situation.

• The company whose network you connect to may require you to follow the company's own policies on

your home computers



20 | P a g e

E) Cryptographie

Sécuriser le canal de communication n’est souvent pas suffisant ; il est difficile de s’assurer qu’il n’est pas sur

écoute, c’est pourquoi il s’avère nécessaire non pas de sécuriser ce dernier uniquement, mais également la source

même, c'est-à-dire l’information qui sera véhiculée par la suite sur les réseaux. Il devient très vite conseillé de

rendre incompréhensible le contenu des informations qui circulent. On appelle ce procédé la cryptographie.

Dans un premier temps, nous allons expliquer brièvement ce qu’est la cryptographie, nous allons ensuite voir son

évolution, d’où elle part, où en est on jusqu'à maintenant, qu’est ce qui est prévu pour plus tard… L’intérêt est

bien sûr, dans le cadre de notre sujet, de voir les utilités de la crypto, ses applications et ainsi ses implications

dans la sécurité des réseaux.

I – La cryptographie qu’est ce que c’est ?

1) Définitions et terminologies

Le mot cryptographie descend de mots grec « kryptos » caché, et « graphein » qui signifie

écrire. On pourrait donc croire que cette discipline en soit consiste à cacher les données que l’on veut

faire circuler. Ceci n’est cependant pas tout à fait exact. Il ne s’agit pas de cacher les données mais

plutôt de les rendre inintelligibles pour une personne les interceptant. Il s’agira de modifier le contenu

d’un message selon des règles prédéfinies par les deux interlocuteurs.

Il est possible de modifier le contenu d’un message de deux manières. On peut :

• Remplacer un mot donné par un autre. On parlera alors de « code ». Par exemple, on peut

remplacer le mot « Chef » par le mot « chaise ». Si les deux interlocuteurs se sont entendus sur ce

code alors ils se comprendront, contrairement à l’individu qui essaye d’intercepter et de

comprendre le message.

• Remplacer une lettre par une autre. On parlera alors de chiffre de cryptage. On peut par exemple

décaler toutes les lettres de l’alphabet, c’est à dire remplacer le « A » par le « B », le « B » par le

« C » et ainsi de suite. C'est le chiffre que l'on va utiliser pour crypter, car on se rend bien compte

qu'il est plus facile à utiliser. En effet trouver un code pour chaque mot requiert un dictionnaire

qui prend plus ou moins de place. Un chiffre n'a besoin que d'une clé et d'une fonction

mathématique pour fonctionner.

Le fait de cacher les donner relève plutôt de la sténographie. Cette dernière est bien plus ancienne et

était beaucoup utilisée par les grecques. On pouvait l'utiliser sous différentes formes, certains se

coupaient l'intégralité de leur cheveux, écrivaient un message sur leur tête et attendaient que les

cheveux repoussent. Ainsi le destinataire n'avait plus qu'à raser les cheveux de l'autre pour lire le

message. L'information n'était pas modifiée, mais cachée. Dans le cadre de notre sujet, cette technique

peut consister à cacher un message dans un fichier quelconque (en mélangeant les bits d'un message à

ceux d'une image répartis de manière uniforme). La sténographie est une technique assez risquée

cependant, puisque si un intrus arrive à trouver le message caché alors il pourra le lire aisément. En

réalité la sténographie est souvent utilisée en complément de la cryptographie. En effet en combinant

les deux techniques, on peut améliorer la sécurité du message à transmettre.

Comme toute entité de l'univers, et comme tout concept, la cryptographie possède son opposé : c'est

la cryptanalyse. Si la première permet de coder les messages, alors la seconde permet, elle, d'en

retrouver le contenu original. Comme nous pouvons l'imaginer, il est bien sûr plus difficile de décrypter

un message que de le crypter.

ASPECT TECHNIQUE – Cryptographie


21 | P a g e

II – Différentes méthodes de chiffrement

Dans cette partie nous allons partir du début de la cryptographie pour essayer de nous familiariser avec les

méthodes de cryptage, ses failles, et ses évolutions.

A – le chiffre mono-alphabétique

Comme nous l'avons vu dans la partie précédente, une des méthodes basiques utilisées pour la cryptographie

réside dans l'utilisation d'un chiffre. Le plus célèbre est connu sous le nom du chiffre de César créé par César lui-

même. Il s'agit juste de s'entendre sur une des lettres de l'alphabet et procéder à un décalage de l'alphabet par

rapport à cette lettre. Par exemple si nous choisissons la lettre « D » alors le nouvel alphabet codé sera celui du

tableau ci-dessous.

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

D E F G H I J K L M N O P Q R S T U V W X Y Z A B C

Ainsi « HELLO » sera codé « KHOOR ». Cette technique fut beaucoup utilisée jusqu'à ce que les cryptanalyses en

trouvent la faille. Le problème principal de cette méthode réside dans le fait que chaque lettre est codée par une

seule et unique lettre. Ainsi il est relativement aisé pour une personne avertie, surtout si elle possède un

ordinateur, d'analyser la fréquence d'apparition des lettres connaissant la fréquence d'apparition moyenne de

chaque lettre dans une langue donnée. Par exemple, pour la langue française, le « E » est la lettre la plus

courante. En jouant avec ces fréquences nous pouvons déterminer à quoi les lettres correspondent. La faiblesse

de ce chiffre ne lui permet pas d'être utilisé pour chiffrer des données importantes.

B – Le chiffre poly-alphabétique

Face à la faiblesse du chiffre de César, un certain Monsieur Blaise Vigenère développa une sorte d'extension de

ce chiffre qu'il a bien évidemment baptisé par son nom : le chiffre de Vigenère. Ce dernier possède la

caractéristique d'être polyalphabétique. A contrario du premier, l'utilisation de celui-ci permet à une lettre donnée

d'être codée par plusieurs lettres différentes. Ainsi, le chiffre de Vigenère est une amélioration décisive du chiffre

de César. Sa force réside dans l'utilisation non pas d'un, mais de 26 alphabets décalés pour chiffrer un message.

On peut résumer ces décalages avec un carré de Vigenère (figure ci dessous).

Donnons un exemple d'utilisation classique :

Chiffrons le texte "CHIFFRE DE VIGENERE" avec la clef "BACHELIER" (cette clef est éventuellement répétée

plusieurs fois pour être aussi longue que le texte clair).

Clair C H I F F R E D E V I G E N E R E

Clef B A C H E L I E R B A C H E L I E

Décalage 1 0 2 7 4 11 8 4 17 1 0 2 7 4 11 8 4

Chiffré D H K M J C M H V W I I L R P Z I

On voit bien ici que la lettre « E » est codée par les lettres M,V,L et I, ce qui rend l'analyse des fréquences inutile.

Cette caractéristique a permis au chiffre de Vigenère d'avoir été longtemps considéré comme incasable. Il laissa

les cryptanalyses sans voix pendant plusieurs dizaines d'années.



22 | P a g e

C- Chiffrement par clef symétrique et asymétrique

1) Les défauts du chiffrement symétrique

Nous avons vu jusqu'à maintenant que le grand principe de la cryptographie était de crypter un message à l'aide

d'une clef que seuls les deux interlocuteurs connaissent. On parle ici de chiffrement symétrique. Car la clef qui à

servit çà crypter le message sert également à le décrypter. Donc si cette dernière est interceptée, alors le

décryptage du message devient très facile pour l'intrus. Ainsi se pose le problème suivant : comment échanger

les clefs en toute sécurité ? En effet, transférer un message crypté nécessite l'envoie de la clef au destinataire

pour qu'il puisse le lire.

Une autre méthode de chiffrement à été mise en place pour palier ce problème : le chiffrement asymétrique.

2) Principe du chiffrement asymétrique

Pour comprendre cette méthode, on peut faire une analogie avec un coffre fort. Prenons les célèbres

personnages de la cryptographie Alice et Bernard qui veulent s'envoyer un message. Alice prend elle coffre fort

un cadenas et une clef, elle envoie le coffre et le cadenas a Bernard. Ce dernier met son message à l'intérieur du

coffre, le ferme à l'aide du cadenas, puis le renvoie à Alice qui va pouvoir l'ouvrir à l'aide de sa clef qu’elle seule

possède. Le problème venait du fait que pour décrypter un message, il fallait utiliser la même clef qui avait servi

à le crypter, ce qui rendait obligatoire la transmission de la dite clé. Ici, nous pouvons symboliser le cadenas par

une clef public appartenant à Alice, puis le clef du coffre symbolisant la clef privée d'Alice. Pour échanger un

message Alice doit diffuser sa clef publique. La personne voulant lui envoyer un message doit crypter ce message

à l'aide de la clef publique d'Alice. L'intérêt de se système est que même si la clef publique est intercepter, elle

ne sera pas capable de décrypter le message, car seule la clef privée d'Alice en à le pouvoir. Or seule Alice la

possède et ne la diffuse jamais sur le réseau. Lorsque que Diffie et Hellman eurent compris ce concept, ils se

mirent aussitôt à le mettre en place à l'aide de fonctions mathématiques. Il s'agissait ici de trouver une fonction

qui fonctionnait à sens unique (d'où le terme asymétrique). C'est donc la fonction Modulo qui fut retenu encore

une fois. Car on peut aisément trouver la solution a A mod B= X (X étant l'inconnu). En revanche, trouver X mod

A = B est bien plus complexe.

Le chiffrement asymétrique le plus connu est le code RSA qui fut inventé par Rivest, Shamire et Adleman. Si Alice

veut envoyer un message à Bernard. Elle doit diffuser sa clef publique. Cette dernière est générée par deux

nombre premier p et q choisis par Alice. La clef publique qui servira à Bernard pour crypter le message est en

réalité composée de deux nombres. Le premier est N = p *q puis le deuxième est e tel que e + (p-1) * (q-1) soit

un nombre premier relatif. Chaque lettre M sera donc codée par la lettre C de la manière suivante par Bernard :

C = M^e (mod N). Pour décoder le message Alice devra appliquer à la lettre C la fonction suivante :

f(C) = C^d (mod N) avec de tel que e*d = 1 ( mod (p-1)*(q-1) )

Ainsi la seule manière de décrypter le code serait à partir de N, retrouver p et q et pour un mathématicien averti,

le reste ne devrait plus être très difficile. Le fait de retrouver p et q s'appelle la factorisation. Cette opération peut

prendre beaucoup de temps notamment si p et q sont très grands. Pour donner un ordre de grandeur, si N est

de l'ordre de grandeur de 10 à la puissance 308, il faudrait plusieurs fois la durée de vie de l'univers pour le

factoriser avec la technologie que nous connaissons actuellement. Le code RSA représente, pour le moment une

valeur en matière de sécurité pour les données très importantes. Son principal inconvénient est qu'il prend

beaucoup de temps pour crypter une donnée, c'est pourquoi beaucoup d'entreprises préféreront une utilisation

d'un code à chiffrement symétrique qui prend moins de temps.

En résumé, tout le système de chiffrement asymétrique contemporain, notamment RSA, repose sur la factorisation

de nombres premiers. … . Les ordinateurs actuels n'ont donc pas encore la capacité pour casser le code RSA

faute d'y passer plusieurs fois la durée de vie de l'univers. En d’autres termes la technologie actuelle ne permet

pas de casser les chiffres les plus « forts » qui protègent nos données bancaires. Cependant, il suffit qu'une

technologie plus poussée voie le jour pour tout remettre en question.



23 | P a g e

III Le future de la cryptographie : la cryptographie quantique

Dans cette partie nous allons traiter brièvement d'une nouvelle technologie qui commence à émerger. Cette

dernière peut totalement remettre en question toute les certitudes que nous avons sur la protection de nos

données. Il s'agit de la cryptographie quantique. Cette dernière ce fonde sur une discipline abstraite : la

mécanique quantique. Nous parlerons dans un premier temps des procédés de base qui commence à se mettre

en place en matière de cryptographie quantique. Puis nous aborderons brièvement les principes de bases de la

mécanique quantique pour voir jusqu'où la cryptographie envisage d'aller.

A – D'autres horizons avec l'ordinateur quantique

Au delà de la physique que nous connaissant actuellement se trouvent les mystères de la physique

quantique. Cette dernière possède des lois qui défient notre imagination aujourd'hui En effet Niel Bohr

disait : « Quiconque pet contempler la mécanique quantique sans avoir le vertige n'y à rien compris ».

Il y a deux écoles dans la mécanique quantique, ceux qui croient en la superposition d'états, et ceux qui

croient en la séparation de l'univers en différente partie. Les deux écoles se basent sur le fait que

plusieurs chosent peuvent théoriquement se produire en même temps en dehors de tous champs

d'observation. La réalité finale se produit lorsque que nous observons à nouveau la chose. Erwin

Schrödinger, prix Nobel de la physique en 1933, inventa une parabole connue sous le nom bien connu

de « chat de Schrödinger ». Imaginons que nous placions un chat dans une boite avec une fiole de

cyanure dedans. Il y à deux états possibles sois le chat est mort, soit le chat est vivant. Pour les adaptes

de la superposition d'états lorsqu'on ferme la boite, le chat est à la fois mort et vivant, il se trouve dans

les deux états différents car cela ne peut pas se mesurer. Pour les adeptes de la séparation de l'univers,

ces derniers ce serait dédoublé. Dans le premier le chat serait vivant, et dans le deuxième, le chat serait

mort. Est c'est lorsque nous ouvrons le couvercle que nous forçons un état à se manifester, ou bien un

Univers sur les deux à rester en place.

On pourrait alors se demander quel est le rapport avec la cryptographie. C'est tout simplement que

cette technologie permettrait de faire plusieurs calculs à la fois en considérant le résultat d'un calcul

comme une superposition d'états. Les ordinateurs actuels effectuent un calcul après l'autre ce qui

implique un temps de réalisation qui peut s'avérer lent si on veut factoriser un nombre énorme pour

casser le code RSA par exemple. Avec un ordinateur quantique basé sur la mécanique quantique, le

temps de calcul serait diminuer de façon exponentiel, et nous ne serions alors plus du tout à l’abri des

cryptanalyses. Les recherches sont actuellement en cours pour la fabrication de tels ordinateurs. S'il un

ordinateur pareil voyait le jour, s'en serait fini de la cryptographie actuelle. C'est pourquoi les

cryptographes se sont penchés vers une autre méthode pour crypter les données : c'est la

cryptographie quantique.



24 | P a g e

B- Cryptographie quantique : la méthode ultime ?

Cette fois, la sécurité est garantie non par des théorèmes mathématiques, mais par les lois fondamentales de la

physique comme le principe d'incertitude d'Heisenberg qui affirme que certaines quantités ne peuvent pas être

mesurées simultanément. Dans le transport de clé "quantique", l'information est transportée par les photons, ces

composants élémentaires de la lumière. Chaque photon peut être polarisé, c'est-à-dire que l'on impose une

direction à son champ électrique. La polarisation est mesurée par un angle qui varie de 0° à 180°. Pour les

photons polarisés de 0° à 90°, on parle de polarisation rectiligne, pour ceux polarisés de 45° à 135°, de

polarisation diagonale.

Afin de détecter la polarisation des photons, on utilise un filtre polarisant suivi d'un détecteur de photons. Si un

photon polarisé à 0° rencontre un filtre polarisant orienté dans la même direction, il traverse ce filtre polarisant et

est capté par le détecteur placé juste après. Si un photon polarisé dans la direction orthogonale rencontre le

même filtre, il est alors stoppé, et le détecteur n'enregistre rien. Si le photon traverse un filtre polarisant dans une

direction décalée de 45°, alors il passe a travers le filtre avec une probabilité de 50 %.

Décrivons alors le protocole qu'Alice et Bernard doivent respecter pour qu'Alice envoie à Bernard une clé secrète

constituée de 0 et de 1; ils disposent de 2 canaux d'échange : un canal quantique, où ils peuvent s'échanger des

photons polarisés, et un canal non protégé (du type réseaux informatiques ou téléphoniques), où ils peuvent

discuter en toute liberté sans avoir peur que la conversation soit interceptée. Ils conviennent que les photons

polarisés à 0° ou 45° représentent 0, et ceux polarisés à 90° ou 135° représentent 1. Alice émet, sur le canal

quantique, une suite de photons polarisés au hasard parmi 0°, 45°, 90° et 135°. A l'autre bout, Bernard reçoit les

photons et mesure aléatoirement ou leur polarisation rectiligne (filtre placé à 0°), ou leur polarisation diagonale

(filtre placé à 45°). Si le photon traverse le filtre, Bernard note 0, sinon il note 1.

Cinquante pourcents des mesures de Bernard n'ont aucun sens : il a pu essayer de mesurer la polarisation

rectiligne d'un photon polarisé à 45°, ce qui n'a pas de sens et donne un résultat aléatoire (par exemple, le

photon a été bloqué par le filtre, Bernard note donc 1 alors qu'Alice avait envoyé 0). Pour éliminer ces bits sans

sens, il indique à Alice, par le réseau, quel type de d'orientation (rectiligne ou diagonale) il a faite pour chaque

photon. Alice, quant à elle, lui indique quelles sont les mesures correctes (photon polarisé à 0° ou 90° avec filtre



25 | P a g e

rectiligne, photon à 45° ou 135° avec filtre diagonal). Les bits sur lesquels ils se sont entendus constituent leur

clef secrète.

Cette dernière ne peut être connue que d'eux. Car les propriétés de la mécanique quantique stipulent qu'on ne

peut observer, c'est à dire dans notre cas mesurer, une chose sans affecter son comportement : c'est le fameux

principe d'Heisenberg. Si Eve écoute le canal quantique, elle peut faire la même chose que Bernard, c'est à dire

intercepter les photons en plaçant un filtre polarisant tantôt rectiligne, tantôt diagonal. Pour que Bernard ne se

doute de rien, elle doit réémettre un photon polarisé. Cependant, tout comme Bernard elle à une chance sur

deux d'avoir le mauvais résultat. Et donc si elle réémet à Bernard un faux photon et que Bernard avait bien choisi

la bonne orientation de polarisation de son filtre. Alors Il est aisé pour Bernard de se rendre compte que la

communication à été espionnée. En comparant suffisamment de bits, ils ont une garantie presque absolue de ne

pas avoir écouté.

L'intérêt de la cryptographie quantique réside donc principalement dans l'efficacité de l'échange de la clef de

cryptage. Elle étonnamment performante pour vérifier si la ligne est sur écoute ou non.

Le domaine de la cryptographie est vaste et continue de s'étendre. La guerre entre le cryptographe et

les cryptanalyses ne cessent d'être alimentée par des découvertes scientifiques. C'est là un lourd poids pour les

cryptographes de sans cesse être aux aguets de nouvelles technique de cryptage car la sécurité des réseaux et

celle des données qui y circulent (données bancaires, secrets d'états, information confidentielles des entreprises

etc. ...) dépend en grande partie de ces méthodes de chiffrements.



26 | P a g e

V) ETUDE DU CAS : CISCO

A handful of business practices have carried Cisco through its first 25 years. Its success for the next 25

years will likely depend on those as well.

To try to predict the future, people often look to the past. For Ken Presti, a technology consultant and

former journalist who has been covering Cisco Systems since 1995, that sums up his assessment of the iconic

technology company as it celebrates its 25th anniversary this month.

"I think we'll see more of the same," he says.

Presti and other Cisco observers point to a shortlist of business practices that should serve Cisco well during its

next quarter century. Certainly, they've been a big help in getting the company this far.

For Presti, Cisco's ability to reinvent itself is top of the list. Cisco's tradition, he says, is not to be stuck in the past

but to use the past as the starting point for its future.

In the mid-1990s, for example, Cisco was strictly a router and switch vendor. "It was all about plumbing back

then," Presti says. But over time Cisco has moved from making gear for data networks to providing all kinds of

equipment for voice communications and video systems, highlighted by products like Cisco TelePresence. The

company has also become much more focused on software to make networks work even better for

communicating, collaborating and entertaining.

Perhaps more importantly, Cisco has also been able to reinvent its business operations. For example, Presti says

Cisco's rapid growth in the 1990s was threatening to outstrip the company's sales capabilities. This is when it

developed a pillar to its current operations: the Cisco reseller partner program.

ETUDE DU CAS – CISCO


27 | P a g e

In hindsight, it seems like an obvious move, but Presti says the decision then was "hugely controversial" within

the company. However, as with many pivotal moves during its history, Cisco made the right choice.

Independent sales partners, such as technology integrators, consultants and distributors, now account for a

strong majority of the company's $36 billion in annual revenue and have helped Cisco grow rapidly without

becoming weighed down by a massive sales force.

A Philosophy of Change

Throughout the years of change and reinvention, observers say Cisco's strategy has been driven by a

prescient belief that Internet protocol, the language of the Internet, will be the great unifier for all computer and

communications networks.

"Even as late as 2001, telecommunications executives laughed at John Chambers for saying phone calls would be

free, but they don't laugh about that now," says Zeus Kerravala, an analyst with the Yankee Group. "A lot of

people didn't believe Internet technology could carry all forms of communications. But Cisco did, and that has

helped them stay ahead of the curve."

Presti says one of Chambers' favorite catch phrases – "You know where I'm going with this?" – typifies the way

Cisco is always looking for the next big thing rather than hunkering down in its established markets.

Kerravala, who has also known Cisco as a customer, equipment reseller and consultant, says Cisco's foresight with

Internet protocol helped it make all the right moves while competitors made mistakes. In the mid-1990s, for

example, Cisco was involved in a full-tilt horse race with three other young Internet equipment makers: Bay

Networks, 3Com and Cabletron. One by one those companies fell behind as Cisco moved on to new challenges.

Business Basics

While Cisco's far-sighted vision of how communications will evolve has been the common thread

through much of its historical success, the company has been able to carry out that vision by being extra good at

a couple of key tasks.

Cisco's ability to sell its vision and products has a lot to do with its focus on customer service, Kerravala says.

"Every company will tell you about their commitment to customer service, but coming through on that is

something else."

"A lot of people didn't believe Internet technology could carry all forms of communications. But Cisco did, and

that has helped them stay ahead of the curve."

— Zeus Kerravala, Yankee Group analyst

Kerravala likes to tell the story of when he was working as an engineering consultant: A customer had a problem

on its network unrelated to Cisco's equipment. It was a Sunday, and because Kerravala had to fly out that night

for another assignment, he needed to solve the problem right then or face all kinds of repercussions, including

angry customers. But Cisco stepped in and helped him out when no one else would. He's never forgotten that.

"You can talk to engineer after engineer, and they will have stories just like this," Kerravala says. "That creates a

lot of loyalty."

Cisco's training and education programs also bode well for the company's future. Cisco's network engineering

certifications, for example, are viewed as the gold standard in the industry, Kerravala says.



28 | P a g e

And each year Cisco's Networking Academy provides vocational education to thousands of people throughout

the world. Such programs simultaneously offer unique career development opportunities while cultivating a huge

base of potential customers that will be predisposed to Cisco's equipment and services, Kerravala says.

A New Era of Invention

While observers express admiration of Cisco's first 25 years of business, they say the company will need to draw

on all of its capabilities and resources to navigate the next 25 years.

"From here forward, it gets more difficult," Kerravala says, explaining that to continue growing at its stated goal

of 12 to 17 percent, Cisco will need to expand into new markets that are already occupied or targeted by other

large and highly capable competitors.

As an example, Presti says Cisco's new focus on using its networking skills to improve how data centers operate

will test the company as it faces complex technological, logistical and competitive issues.

"This is the huge challenge of the day for Cisco," he says. "For the first time in a long time, Cisco is in a fight."

Recognizing the task before it, the company is now busy reinventing itself in preparation for yet more dramatic

changes to the industry well beyond the data center. Cisco, for example, is shifting to a collaborative

management structure while realigning resources to speed its response to many unfolding opportunities.

If history does indeed repeat itself, then Kerravala has one other observation for people who might have doubts

about the networking vendor's ability to reinvent itself yet again.

"People have bet against Cisco before, and they have been wrong," he says.

Charles Waltner is a freelance writer in Piedmont, Calif.

VI) CONCLUSION

S’il fallait mentionner deux qualités essentielles de tout bon responsable ou consultant en sécurité, ce

serait la paranoïa et le bon sens. La paranoïa pour pouvoir identifier le plus grand nombre de scénarios de

désastres et de vulnérabilité exploitables. Le bon sens pour pouvoir mitiger ces scénarios, identifier des priorités

et des mesures de sécurité réalistes et cohérentes pour l’environnement étudié.



29 | P a g e

VII) BIBLIOGRAPHIE

Vue Générale du Secteur, Aspect Financier

Sites :

http://www.internetworldstats.com/stats.htm

http://www.ysosecure.com/enjeux-securite/

http://www.internetworldstats.com/links3.htm#sec

http://global.factiva.com/ha/default.aspx

http://moodle.insa-lyon.fr/file.php/513/Ysosecure_-_Insa_-_Concepts_gestion_des_risques.pdf

http://www.aladdin.com/airc/security-statistics.aspx

Aspect Technique

Livre :

Sécurité des systèmes d'information et des réseaux, D02 658.478, Raymond Panko

Sécuriser l'informatique de l'entreprise (Enjeux, menaces, prévention et parades), Jean-Marc Royer

La sécurité des systèmes informatiques, Bruno Garguet-Duport.

Histoire des codes secret, Simon Singh

Sites :

http://www.authsecu.com/e-commerce-menaces-protections/

http://www.generation-nt.com/dossier-introduction-presentations-vpn-article-24866-1.html

http://compnetworking.about.com/od/vpn/a/what_is_a_vpn.htm

http://www.hsc.fr/ressources/presentations/echanges2/006.html.fr

www.tact-conseil.fr/index.php?page=vpn

http://www.bibmath.net/crypto/moderne/quantique.php3

CISCO

Sites:

Timeline of Cisco

http://newsroom.cisco.com/dlls/timeline/\

Interview of John Chambers (video)

http://www.youtube.com/watch?v=zDhsRV-csUk&feature=player_embedded

Article on Cisco

http://newsroom.cisco.com/dlls/2009/corp_121009.html

CSR report of CISCO

http://www.cisco.com/web/about/ac227/csr2009/index.html

Bibliography

http://www.fundinguniverse.com/company-histories/Cisco-Systems-Inc-Company-History.html

ETUDE DU CAS – Bibliographie

Documents

Bienvenue au Département Télécommunications, Services et …telecom.insa-lyon.fr/sites/default/files/cgt/promo... · 2015-11-19 · protection des informations personnelles du