Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Dr. Omar Nouali, Directeur de Recherche, CERIST, Division Sécurité Informatique

Dr. Omar Nouali, Directeur de Recherche, CERIST, Division Sécurité Informatique, Rue des Frères Aissiou, Ben-Aknoun, Alger, Algérie. Fax: 021 91 21 26 Tél: 021 91 62 11 E-mail: onouali@cerist.dz Sécurité Informatique Dr. Omar Nouali, CERIST. Dr. Omar Nouali, Directeur de Recherche, CERIST, Division Sécurité Informatique, Rue des Frères Aissiou, Ben-Aknoun, Alger, Algérie. Fax: 021 91 21 26 Tél: 021 91 62 11 E-mail: onouali@cerist.dz 16 mars 2016 1 PLAN Généralités Problèmes potentiels, Services, Mécanismes et Solutions de sécurité Chiffrement Classique Chiffrement Symétrique Chiffrement Asymétrique Cryptanalyse Certification numérique Sécurité Informatique Dr. Omar Nouali, CERIST. Généralités Problèmes potentiels, Services, Mécanismes et Solutions de sécurité Chiffrement Classique Chiffrement Symétrique Chiffrement Asymétrique Cryptanalyse Certification numérique 16 mars 2016 2 Introduction Informatique ? Ordinateur ? Réseau ? Système d’information ? Sécurité Informatique ? Ensemble de moyens mis en œuvre pour éviter ou minimiser: - les défaillances naturelles dues à l’environnement - ou au défaut du système d’information - et les attaques malveillantes intentionnelles Sécurité Informatique Dr. Omar Nouali, CERIST. Informatique ? Ordinateur ? Réseau ? Système d’information ? Sécurité Informatique ? Ensemble de moyens mis en œuvre pour éviter ou minimiser: - les défaillances naturelles dues à l’environnement - ou au défaut du système d’information - et les attaques malveillantes intentionnelles 16 mars 2016 3 Innovations Internet: – Messagerie électronique – Web: télé-enseignement, télé-médecine, Commerce électronique.. – Technologie mobile: se connecter à partir de la voiture … – Internet of things Technologies évoluent rapidement en capacité – La fibre optique et noire – La technologie du mobile – Les réseaux Sécurité Informatique Dr. Omar Nouali, CERIST. Internet: – Messagerie électronique – Web: télé-enseignement, télé-médecine, Commerce électronique.. – Technologie mobile: se connecter à partir de la voiture … – Internet of things Technologies évoluent rapidement en capacité – La fibre optique et noire – La technologie du mobile – Les réseaux 16 mars 2016 4 Sécurité Informatique Challenge à l’échelle mondiale. Sécurité = minimiser les vulnérabilités d’un système Une vulnérabilité est toute faiblesse qui pourrait être exploitée pour violer un système ou les informations qu’il contient. Sécurité Informatique Dr. Omar Nouali, CERIST. Challenge à l’échelle mondiale. Sécurité = minimiser les vulnérabilités d’un système Une vulnérabilité est toute faiblesse qui pourrait être exploitée pour violer un système ou les informations qu’il contient. 16 mars 2016 5 Problèmes Potentiels Menaces Ensemble des actions de l’environnement pouvant entraîner des catastrophes financières, ce sont des résultantes d’actions et d’opérations du fait d’autrui – Menaces relevant de problèmes non spécifiques à l’informatique – Menaces accidentelles – Menaces intentionnelles Sécurité Informatique Dr. Omar Nouali, CERIST. Menaces Ensemble des actions de l’environnement pouvant entraîner des catastrophes financières, ce sont des résultantes d’actions et d’opérations du fait d’autrui – Menaces relevant de problèmes non spécifiques à l’informatique – Menaces accidentelles – Menaces intentionnelles 16 mars 2016 6 Menaces accidentelles Pannes et erreurs non intentionnelles Action exécutée par ERREUR Envoi de messages par erreurs Problème: annuler ou récupérer les messages Utilisation commerciale: publicité, invitation,… etc… Sécurité Informatique Dr. Omar Nouali, CERIST. Pannes et erreurs non intentionnelles Action exécutée par ERREUR Envoi de messages par erreurs Problème: annuler ou récupérer les messages Utilisation commerciale: publicité, invitation,… etc… 16 mars 2016 7 Menaces intentionnelles Action malveillante exécutée pour violer la sécurité Deux types d’attaques: – Attaques passives – Attaques actives Sécurité Informatique Dr. Omar Nouali, CERIST. Action malveillante exécutée pour violer la sécurité Deux types d’attaques: – Attaques passives – Attaques actives 16 mars 2016 8 Menaces intentionnelles Attaques passives Sécurité Informatique Dr. Omar Nouali, CERIST. - Menace contre la confidentialité de l’information : une information sensible parvient à une personne autre que son destinataire légitime. - Difficile à détecter 16 mars 2016 9 Menaces intentionnelles Attaques actives Sécurité Informatique Dr. Omar Nouali, CERIST. -Menace contre l’intégrité de l’information : Destruction, modification, fabrication, interruption ou interception de données. L’information reçue est interprétée comme provenant d’une personne autre que son véritable auteur. 16 mars 2016 10 Menaces intentionnelles Failles de sécurité Une faille de sécurité est un comportement non prévu par une application qui peut permettre de compromettre le système. Failles distantes (les plus dangereuses): – exploitables à distance (via un accès distant) – sans interaction de l'utilisateur. Failles locales (les plus exploitées): – exploitables seulement par l'interaction de l'utilisateur, – Exemple (faille sur le navigateur Web): lors de la consultation d'un site WEB, exécuter automatiquement un code malicieux et l'infection s'installe alors. Sécurité Informatique Dr. Omar Nouali, CERIST. Failles de sécurité Une faille de sécurité est un comportement non prévu par une application qui peut permettre de compromettre le système. Failles distantes (les plus dangereuses): – exploitables à distance (via un accès distant) – sans interaction de l'utilisateur. Failles locales (les plus exploitées): – exploitables seulement par l'interaction de l'utilisateur, – Exemple (faille sur le navigateur Web): lors de la consultation d'un site WEB, exécuter automatiquement un code malicieux et l'infection s'installe alors. 16 mars 2016 11 Menaces intentionnelles Exemples d’attaques (actives) Envoi de messages anonymes:Harcèlement, Spam, … Altération des données: modification du contenu Accès non autorisés : – Faille dans le système: (exp: Netscape) – Craquage & sniffing des mots de passe Ex: Cracker4.1, Esniff.c, TCPDump, … Sécurité Informatique Dr. Omar Nouali, CERIST. Exemples d’attaques (actives) Envoi de messages anonymes:Harcèlement, Spam, … Altération des données: modification du contenu Accès non autorisés : – Faille dans le système: (exp: Netscape) – Craquage & sniffing des mots de passe Ex: Cracker4.1, Esniff.c, TCPDump, … 16 mars 2016 12 Menaces intentionnelles Gestion et choix du mot de passe – ne soit pas un mot du dictionnaire, ni un nom propre, ni une date associée à un évènement personnel. – Soit une séquence incompréhensible de chiffres et de lettres. Exemple: – partir d’un nom commun ou propre, remplacez certaines lettres par des chiffres et des caractères spéciaux : « @ » pour la lettre « a » et « ! » pour la lettre « i ». – « chaque jour à 8 heures je bois un café » ---> mot de passe = cj@8hjbuc Pour les nouvelles générations des (OS), un mot de passe doit avoir au moins 3 des 4 caractéristiques suivantes : minuscule, majuscule, chiffre, caractère spécial. Sécurité Informatique Dr. Omar Nouali, CERIST. Gestion et choix du mot de passe – ne soit pas un mot du dictionnaire, ni un nom propre, ni une date associée à un évènement personnel. – Soit une séquence incompréhensible de chiffres et de lettres. Exemple: – partir d’un nom commun ou propre, remplacez certaines lettres par des chiffres et des caractères spéciaux : « @ » pour la lettre « a » et « ! » pour la lettre « i ». – « chaque jour à 8 heures je bois un café » ---> mot de passe = cj@8hjbuc Pour les nouvelles générations des (OS), un mot de passe doit avoir au moins 3 des 4 caractéristiques suivantes : minuscule, majuscule, chiffre, caractère spécial. 16 mars 2016 13 Menaces intentionnelles Exemples d’attaques (actives) Usurpation d ’identité (émetteur ou du récepteur) Destruction du message Retardement de la transmission Répétition du message: Bombardement (e-mail, TCP-SYN,…) Répudiation: émetteur nie avoir envoyé Sécurité Informatique Dr. Omar Nouali, CERIST. Exemples d’attaques (actives) Usurpation d ’identité (émetteur ou du récepteur) Destruction du message Retardement de la transmission Répétition du message: Bombardement (e-mail, TCP-SYN,…) Répudiation: émetteur nie avoir envoyé 16 mars 2016 14 Menaces intentionnelles Exemples d’attaques (actives) Malwares : – Logiciels malveillants développés dans le but de nuire à un système informatique. – sont spécialement conçus pour détruire les fichiers, ralentir le système d’exploitation, voler les données personnelles et pirater d’autres ordinateurs depuis l’ordinateur sur lequel ils sont installés. Virus / cheval de Troie / vers (worm) / Spywares (mouchards) / SPAM (pourriel) / backdoor (porte dérobée, prendre contrôle sur un système) / adwares (affiche de la publicité dans l'attente de l'achat du logiciel) / Rogues (scareware, génère des fausses alertes pour inciter à installer des logiciels de sécurité ou à acheter une version complète du programme) Sécurité Informatique Dr. Omar Nouali, CERIST. Exemples d’attaques (actives) Malwares : – Logiciels malveillants développés dans le but de nuire à un système informatique. – sont spécialement conçus pour détruire les fichiers, ralentir le système d’exploitation, voler les données personnelles et pirater d’autres ordinateurs depuis l’ordinateur sur lequel ils sont installés. Virus / cheval de Troie / vers (worm) / Spywares (mouchards) / SPAM (pourriel) / backdoor (porte dérobée, prendre contrôle sur un système) / adwares (affiche de la publicité dans l'attente de l'achat du logiciel) / Rogues (scareware, génère des fausses alertes pour inciter à installer des logiciels de sécurité ou à acheter une version complète du programme) 16 mars 2016 15 Menaces intentionnelles QQ Règles de bonne conduite Règle de base: la méfiance et la prévention avoir de bonnes habitudes de navigation (bannir certaines catégories de site WEB) ; bannir certaines sources & téléchargements : P2P, … ;. se méfier des fichiers à ouvrir; utiliser un antivirus et un antispyware et les tenir à jour. ne pas surfer avec les droits « administrateur » ; utiliser un uploads/Science et Technologie/ copie-de-cours-si-generalites.pdf