Chapitre I

Concepts de base de la scurit

 Scurit rseau - dfinition
Quel est lobjectif de la scurit rseau?
A

Transfrer des donnes

De A Internet

Vers B
. .De faon scurise

B
 Scurit rseau - dfinition
Une transmission scurise assure :

La confidentialit
Uniquement A et B voient ou comprennent le message
Lintgrit
Le message est intact
vient rellement de A
Dans le bon ordre
La disponibilit
B reoit le message au bon moment
 Pourquoi scuriser un rseau ?
Linformation est une ressource stratgique qui doit tre communique en
cas de besoin travers le rseau.

Les technologies de communication (de rseau) prsentent des failles de

scurit
TCP/IP envoi des donnes en clair (les donnes peuvent tre
visualises)
Les ondes radio des rseaux WIFI traversent les murs (peuvent
tres coutes par des personnes non autorises)
Ladresse IP peut facilement tre usurpe
. etc

Une intrusion un SI peut causer des dgts divers (vol des donnes
confidentielles, pertes financires suite des transactions errones, perte de
confiance des clients)
 Intrus : Dfinition
Entit responsable dune attaque de scurit

Contourne les mcanismes de scurit mis en place.

Devine ou dcrypte les mots de passe utiliss pour protger les

ressources

Manipule et agit sur le fonctionnement interne des quipements

de la victime (ordinateurs, routeurs, serveursetc.)

Accde, de faon non autorise, des ressources internes de la

victime
 Intrus : Raisons dintrusion
curiosit occasionnelle par des utilisateurs (internes ou externes)

Divulgation de lintrieur de lorganisation ou de la socit

Motive par le gain dargent

Attaque de lextrieur

Dans le but de nuire au bon fonctionnement de toute ou partie de

lorganisation

Espionnage industriel ou militaire

 Menace : Dfinition
Une menace est un signe qui laisse prvoir un danger

Cest une personne, un objet, ou un vnement qui peut crer un

danger en terme de disponibilit, dintgrit ou de confidentialit

Exemple:
Un virus circule sur le rseau local.
Un programme install sur la machine semble tre en train dpuiser
les ressources disponibles (mmoire, CPU).
 Vulnrabilit: Dfinition
Faille ou bug pouvant tre utilis pour obtenir un niveau daccs
illicite une ressource ou des privilges suprieurs.

Ce sont les composants du systme (matriel, logiciel, les rgles, les

procdures, personnel) susceptibles dtre attaques avec succs.

Une vulnrabilit est exploite par une menace pour engendrer une
attaque.

Exemples :
Utilisation des mots de passe non robustes.

Prsence de comptes non protgs par mot de passe

Absence dantivirus, pare-feu, etc

 Attaque : Dfinition
Une attaque est toute action compromettant la scurit de linformation
Cest la ralisation dune menace
Cest une atteinte lune des composantes de la scurit.
Confidentialit divulgation des donnes.
Intgrit Falsification ou modification des donnes.

Disponibilit dnis de service

Les attaques sont classes en quatre types gnriques :

Interruption
Interception
Modification
Fabrication
 Classes dattaques

Interruption Source Destination

Attaque sur la disponibilit

Source Destination
Interception
Attaque sur la confidentialit

Intrus
 Classes dattaques

Modification Source Destination

Attaque sur lintgrit

Intrus

Source Destination
Fabrication
Attaque sur lauthenticit

Intrus
 Types dattaques
Les attaques peuvent tres galement classes en attaques passives ou actives

Attaque passive
Ne modifie pas le contenu de linformation
Tente de collecter ou dutiliser des informations relatives au systme, mais
elle naffecte pas les ressources du systme
Trs difficile dtecter mais assez facile scuriser (cryptage)

Deux catgories essentielles dattaques passives

Interception des messages :
En vue de tirer des informations pertinentes ou compromettantes (mots de
passes, informations confidentielles, etc)
Analyse de trafic:
En vue de comprendre larchitecture du rseau et de dceler les points faibles
et les ressources importantes attaquer.
 Types dattaques
Attaque actives
Entraine la modification de linformation ou la cration de fausses informations
Il est difficile dempcher les attaques actives de faon absolue moins de
protger physiquement tous les moyens et chemins de communications en mme
temps.

Quatre catgories essentielles dattaques actives

Mascarade: Une entit prtend tre une entit diffrente afin dobtenir des
privilges.
Rejeu (Replay): capture passive des donnes et leurs transmission ultrieure en
vue de raliser des actions non autorises.

Modification: Altration, destruction, ou injection dans un messages chang

en vue de produire un effet non souhait ou non autoris.
Dni de service: Empcher ou inhiber lutilisation normale des moyens de
communications:
 Objectifs de la scurit
Prvention
Prendre des mesures afin dempcher des attaques.

Dtection
Prendre des mesures afin de dtecter quand, comment, par qui une
attaque a t ralise et les actifs ou les biens qui ont t endommags.

Raction
Prendre des mesures aprs une attaque de scurit afin de pouvoir
restaurer les biens et les actifs, ou rduire limpact de lattaque.
 Services et mcanismes de scurit
Services de scurit:
Services amliorant la scurit du traitement de donnes et du
transfert dinformations. Ces services sopposent aux attaques de
scurit et font utiliser des mcanismes de scurit.

Mcanismes de scurit:
Mcanismes conus pour dtecter, empcher ou rcuprer suite
une attaque de scurit.
 Mcanismes de scurit
Cryptage
Utilisation dalgorithmes mathmatiques pour transformer les messages en
une forme inintelligible.
La transformation dpend dun algorithme et de zro plusieurs cls.

Signature numrique
Ajout dinformations cryptes une unit de donnes afin de prouver la
source et lintgrit de cette unit de donnes.

change dauthentification
Mcanisme assurant lidentit dune entit travers un change
dinformation.
 Mcanismes de scurit
Notarisation:
Utilisation dune tierce partie afin de confirmer lidentit de lmetteur et
du receveur dun message

Horodatage (Timestamping)
Inclusion dune date et dun temps correct dans un message.

Autres mcanismes
Traffic Padding :Mcanisme qui gnre de fausses informations sur le
rseau pour rendre lanalyse de trafic plus difficile.
Dtection dintrusions : Reprer les activits suspectes ou anormales sur le
rseau.
Pare-feu (filtrage): autoriser et interdire certains types de messages
circuler dans le rseau
Antivirus : empcher les codes malveillants de sexcuter
 Services de scurit
Il existe cinq services de scurit quon peut implmenter dans une organisation
ces services ne sont pas tous requis et on peut en implmenter quelques uns en
fonction des objectifs de la scurit requis

Ces services sont :

1. Lauthentification
2. Le contrle daccs
3. La confidentialit
4. Lintgrit
5. La non rpudiation
6. La disponibilit
Services de scurit : Authentification

Sassurer que lorigine du message soit correctement identifie

Assurer le receveur que le message mane de la source qui prtend

avoir envoy ce message.
Assurer lauthenticit des entits participantes: chacune des entits
est celle qui prtende ltre
Empcher la perturbation de la connexion par une tierce partie qui se
fait passer pour une entit lgitime (mission ou rception non
autorise).

Mcanismes utiliss: Cryptage, signature numrique, Notarisation

Services de scurit: Contrle daccs

Empcher lutilisation non autorise dune ressource (serveur,

application, etc.)

Dfinir qui a le droit daccder aux ressources

Dterminer sous quelles conditions ceci peut avoir lieu ?
Dfini ce quune entit est autorise de faire lors de laccs une ressource

Mcanismes utiliss: Authentification, signature numrique, pare-

feu, mcanismes propres aux OS.
 Services de scurit: Confidentialit
Protection des donnes transmises contre les attaques passives, et
protection des flux de donnes contre lanalyse.
Prservation du secret des donnes transmises. Seulement les entits
communicantes sont capable dobserver les donnes.

Il existe plusieurs niveaux de confidentialit :

Protection de toutes les donnes changes tout au long dune
connexion.
Protection des donnes contenues au niveau dun seul bloc de donne.
Protection de quelques champs des donnes changes (pour une
connexion ou un seul bloc de donne)
Protection de linformation (source, destination, etc.) qui peut tre
dduite partir de lobservation des flux de donnes changs.

Mcanisme utilis: Cryptage,

 Services de scurit: Intgrit
Dtecter si les donnes ont t modifies depuis la source vers la
destination

Service orient connexion: Protection contre la duplication, la

destruction, linsertion, la modification, le rejeu, le reclassement, etc.
Service non orient connexion: Protection contre la modification
uniquement.

Mcanismes utiliss: cryptage, signature numrique, contrle

daccs, contrle dintgrit
 Services de scurit: Non rpudiation
Empche lmetteur ou le receveur de nier avoir
transmis ou reu un message.
Non rpudiation denvoi: Le destinataire prouve quune source
dtermine vient dmettre le message en question.
Non rpudiation de rception: Lmetteur prouve que son
message a t reu effectivement par la destination prtendue.

Mcanismes utiliss : signature numrique, notarisation

Services de scurit: La disponibilit
la proprit quun systme ou une ressource du systme
soit accessible et utilisable suite la demande dune entit
autorise.
protge un systme pour assurer sa disponibilit
Particulirement contre des attaques de dnie de service
Dpend dautres services comme le contrle daccs,
lauthentification, etc.

Mcanismes utiliss : Filtrage (pare-feu), antivirus, contrle

daccs