Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

0 SERVICES ET APPLICATIONS SECURISES (SSL, HTTPS) Parcours : Télécommunications

0 SERVICES ET APPLICATIONS SECURISES (SSL, HTTPS) Parcours : Télécommunications et Systèmes Embarqués Spécialité : Réseaux mobiles et Internet des Objets Niveau : Master II Par : MAHAMAT SALEH SEID MBAIRANOUDJI CHARLOT MBAITIBET TOGBE Sous la supervision de : Dr MBAIOSSOUM BERY LEOURO Maitre-assistant CAMES ANNEE ACADEMIQUE 2021-2022 UE : SECURITE DES RESEAUX MOBILES ET INTERNET DES OBJETS 1 Table des matières Introduction générale..............................................................................................................................2 Partie I : le SSL......................................................................................................................................2 Définition...............................................................................................................................................2 I. Les fonctionnalités SSL..................................................................................................................2 1. Cryptage.....................................................................................................................................3 2. Intégrité......................................................................................................................................3 3. Authentification..........................................................................................................................3 4. Non-répudiation..........................................................................................................................3 II. Champs d’application du SSL........................................................................................................3 III. SSL côté utilisateur.....................................................................................................................4 IV. Certificats SSL et certificats SSL Extended Validation (EV).....................................................6 V. Fonctionnement du protocole SSL.................................................................................................8 1. Clés publiques et privées............................................................................................................8 VI. Création d’une session ssl...........................................................................................................8 VII. Quelques solutions SSL dans le monde......................................................................................9 Conclusion...........................................................................................................................................10 Partie II : le https..................................................................................................................................10 Introduction..........................................................................................................................................10 I. Qu’est-ce que le http.....................................................................................................................10 II. Qu’est-ce que le https...................................................................................................................11 1. Le chiffrement..........................................................................................................................11 2. L'intégrité des données.............................................................................................................11 3. L'authentification......................................................................................................................12 III. Côté point d’accès....................................................................................................................12 IV. Configuration de service HTTP/HTTPS...................................................................................12 V. Pourquoi la Sécurité ?...................................................................................................................13 VI. Avantage de https.....................................................................................................................13 VII. Les inconvénients du protocole https........................................................................................14 VIII. La principale différence entre les protocoles HTTP.................................................................15 IX. Comment migrer de HTTP vers HTTPS...................................................................................15 Conclusion...........................................................................................................................................16 Conclusion générale.............................................................................................................................17 2 Introduction générale Les certificats SSL (Secure Socket Layer) sont couramment utilisés pour sécuriser et authentifier les communications sur Internet et au sein des intranets d’entreprise. L’utilisation de certificats SSL sur des serveurs Web d’entreprise permet de recueillir en toute sécurité des informations sensibles transmises en ligne afin de garantir aux clients et utilisateurs la protection de leurs communications. Dans ce projet, nous aborderons les principes de base du fonctionnement du protocole SSL, en suite nous présenterons les protocoles HTTP et HTTPS, faire la différence qui réside entre les deux et montrer le passage de HTTP en HTTPS, enfin nous allons présenter quelques applications des certificats SSL et conclure. Partie I : le SSL Définition Développé par Netscape en 1995, le protocole SSL s’est rapidement imposé comme le mode de sécurisation privilégié des transmissions de données sur Internet. Intégré aux principaux navigateurs et serveurs Web, SSL utilise des techniques de cryptage qui s’appuient sur un système de clé publique/privée initialement développé par RSA. L’établissement d’une connexion SSL nécessite l’installation d’un certificat numérique sur le serveur Web. Ce certificat utilise alors les clés publiques et privées pour le cryptage, et identifie le serveur de manière unique et définitive. Les certificats numériques s’apparentent à une forme de carte d’identité électronique qui permet au client d’authentifier le serveur avant l’établissement d’un canal de communication crypté. Généralement, les certificats numériques sont délivrés par un organisme de confiance indépendant, condition sine qua non à leur validité et leur acceptation à grande échelle. L’organisme émetteur de certificats est appelé Autorité de certification (AC). I. Les fonctionnalités SSL On associe généralement SSL au cryptage. Or un certificat SSL remplit quatre fonctions bien distinctes, toutes indispensables à la protection de la confidentialité et de la sécurité des clients et utilisateurs : cryptage, intégrité, authentification et non-répudiation. 3 1. Cryptage Le cryptage utilise des algorithmes mathématiques pour transformer les données et les rendre exclusivement lisibles par les parties concernées. Dans le cadre d’une transaction sécurisée par SSL, les clés privées et publiques fournies avec le certificat numérique du serveur jouent un rôle déterminant dans la sécurisation des données envoyées et reçues par le navigateur Web. 2. Intégrité En cryptant les données pour les rendre exclusivement lisibles par les parties concernées, les certificats SSL assurent également leur intégrité. En d’autres termes, ces données ne pouvant être lues par aucun tiers, leur modification en cours de transit s’avère par conséquent impossible. Si les données cryptées étaient modifiées, elles seraient de fait rendues inutilisables, ce qui ne saurait échapper aux parties concernées. La moindre tentative d’interférence est donc automatiquement repérée. 3. Authentification L’émission d’un certificat numérique par une autorité de certification permet essentiellement de valider l’identité de l’organisme ou de la personne à l’origine de la demande de certificat. Les certificats SSL sont associés à un nom de domaine Internet. La vérification par l’AC de l’identité du propriétaire du domaine en question permet aux utilisateurs de savoir dans un premier temps à qui ils ont affaire. Ainsi, lorsque vous vous connectez sur un site sécurisé par SSL comme Amazon.fr, le certificat identifie le propriétaire comme étant la société Amazon. Inc. Vous avez ainsi l’assurance d’être sur le véritable site exploité par Amazon. 4. Non-répudiation La non-répudiation se caractérise par l’association de fonctions de cryptage, de protection de l’intégrité et d’authentification. En clair, aucune partie prenante à une transaction sécurisée ne peut légitimement affirmer que ses échanges/communications provenaient d’une autre personne ou entité. Cette caractéristique supprime toute possibilité pour l’une des parties de répudier ou de « se rétracter » par rapport à des informations communiquées en ligne. II. Champs d’application du SSL Le protocole SSL peut être utilisé de diverses façons et à des fins différentes : Communications « de navigateur à serveur » : la plupart du temps le SSL sert à sécuriser les communications entre un serveur Web et un navigateur, notamment dans le cadre de transmissions d’informations sensibles (achats en ligne, dossiers médicaux 4 ou transactions bancaires). La technologie SSL permet de confirmer à l’utilisateur l’identité du destinataire de ses informations personnelles, tout en assurant que seule cette entité autorisée y aura accès. Communications « de serveur à serveur » : le protocole SSL peut également être utilisé pour sécuriser les communications entre deux serveurs, telles que les transactions entre deux entreprises. Dans ce scénario, les deux serveurs possèdent généralement un certificat qui leur permet de s’authentifier mutuellement et de sécuriser leurs communications bilatérales. Respect des obligations réglementaires : de nombreuses réglementations juridiques et sectorielles exigent des niveaux d’authentification et de confidentialité que les certificats SSL permettent d’obtenir. Le standard PCI DSS (Payment Card Industry Data Security Standard) exige par exemple l’utilisation de technologies d’authentification et de cryptage pour tout paiement en ligne. III. SSL côté utilisateur Lors de sa visite sur un site Web sécurisé par un certificat SSL, l’utilisateur voit s’afficher dans son navigateur Web plusieurs indices visuels attestant de l’activation du protocole SSL. Par exemple, l’adresse dans la barre d’adresse du navigateur commencera par https:// pour les connexions sécurisées par SSL, et par http:// pour les connexions non sécurisées. La plupart des navigateurs affichent également un cadenas fig. 1, dont l’emplacement et l’aspect varient d’un navigateur à un autre. Figure 1 : cadenas affiché par un navigateur Web Sur certains navigateurs, l’utilisateur peut également cliquer sur le cadenas pour consulter des informations complémentaires sur le certificat. Ainsi, OperaMini™ affiche une boîte de dialogue semblable à celle reproduite à la fig. 2 avec diverses informations sur le certificat, son propriétaire et l’autorité émettrice. 5 Figure 2 : renseignements sur un certificat, y compris son propriétaire et l’autorité émettrice. Pour obtenir d’autres informations comme la date d’expiration, les empreintes de vérification etc., il suffit de cliquer sur « Afficher le certificat » (fig. 3) sur le chemin d’accès de certificat. 6 Figure 3 : renseignements complémentaires sur un certificat Plusieurs éléments d’informations essentiels sont proposés : Nom du domaine pour lequel le certificat est délivré. Le certificat n’est valide que s’il est utilisé avec ce domaine. Toute demande associée à un autre nom de domaine fait l’objet d’un refus systématique par le navigateur. Propriétaire du certificat : les utilisateurs peuvent ainsi voir le nom de l’entité détentrice du site. Période de validité du certificat : correspond à la date de début et de fin de validité du certificat. À l’instar d’autres formes d’identification, les certificats numériques ont une date d’expiration et doivent être renouvelés. Objectif : permettre à l’AC de vérifier à nouveau l’identité du propriétaire du certificat. IV. Certificats SSL et certificats SSL Extended Validation (EV) Le maintien du processus rigoureux de vérification des identités préalable à l’émission de certificats SSL représente un coût conséquent pour les autorités de certification. À l’origine, le prix des premiers certificats SSL reflétait donc la qualité de ce processus de vérification. Or, sous la pression du marché, les AC ont commencé à proposer des certificats plus abordables avec « validation de domaine uniquement ». Dépourvus de toute vérification poussée de l’identité de la société propriétaire du domaine, ces certificats à bas prix ne vérifient que le nom de domaine pour lequel ils sont émis. Moins coûteux, ils offrent inévitablement moins de garanties à l’utilisateur final. Ces certificats conviennent généralement à des usages à faible niveau de sécurité qui ne nécessitent pas la validation détaillée d’un certificat SSL classique. Cette segmentation a toutefois fini par entraîner une certaine confusion entre les différents types de certificats SSL. Les utilisateurs ont donc exigé la mise en place de moyens de distinction entre certificats économiques et certificats renforcés soumis à une vérification plus poussée des identités. Le CA Browser Forum un regroupement professionnel indépendant n’a pas tardé à répondre à cette demande avec une série de principes directeurs pour l’élaboration d’un certificat à validation renforcée ou certificat Extended Validation (EV). 7 Un certificat EV est un certificat SSL pour lequel l’autorité de certification émettrice valide uploads/Management/ services-et-applications-securisees-ssl-https.pdf