Sécurité dans les SGBD

Dimension: px
Commencer à balayer dès la page:

Download "Sécurité dans les SGBD"

Transcription

1 Sécurité dans les SGBD Olivier Perrin IUT Nancy-Charlemagne Département Informatique Université Nancy 2

2 Plan Introduction sur la sécurité Contrôle d accès Bases statistiques Sécurité discrétionnaire Sécurité obligatoire Architectures des bases de données multi-niveaux Contre-mesures 2

3 Introduction Un SGBD organise les données et donne aux utilisateurs des moyens pour extraire de l information Cette information est basée sur des données: fonctions statistiques par exemple Si l accès est incontrôlé, on n y mettrait pas de données sensibles Problème de confidentialité: prévention de la divulgation non autorisée de données/d information Au sens large, la sécurité informatique inclut également les problèmes d intégrité: prévention de modification non autorisée des données disponibilité: prévention de refus d accès autorisé à des données 3

4 Principes fondamentaux de la sécurité Identification/Authentification: qui êtes-vous, pouvez-vous le prouver? Autorisation: pouvez-vous faire cette opération sur cet objet? Intégrité: les données sont protégées contre toute modification accidentelle ou malveillante Confidentialité: les données restent privées et elles ne peuvent pas être vues par des utilisateurs non autorisés Audit: un audit et une journalisation sont essentiels pour résoudre les problèmes de sécurité a posteriori Non-répudiation: le système peut prouver qu un utilisateur a fait une opération Disponibilité: capacité pour des systèmes de rester disponibles pour les utilisateurs légitimes (ex.: pas de refus de service) 4

5 Définitions: menaces, vulnérabilités et attaques Une menace est un événement potentiel, malveillant ou pas, qui pourrait nuire à une ressource toute opération préjudiciable à vos ressources est une menace Une vulnérabilité est une faiblesse qui rend possible une menace peut être due à une mauvaise conception, à des erreurs de configuration ou à des techniques de codage inappropriées et non fiables Une attaque est une action qui exploite une vulnérabilité ou exécute une menace par ex., envoyer des données d'entrée malveillantes à une application ou saturer un réseau en vue d'entraîner un refus de service 5

6 Sécurité et SGBDs Les budgets autour de la sécurité vont d abord à l'achat de système de sécurité (firewalls, systèmes de détection d intrusion, ) à la formation à la sécurisation des applications le SGBD est le parent pauvre de la sécurité Complexité un SGBD est une affaire de spécialistes: au niveau de la gestion (DBA), au niveau de la programmation On ne peut pas sérieusement faire de l'oracle deux fois par an Quand c'est le cas, c est encore pire pour la sécurité! 6

7 Sécurité et SGBDs (2) Rôle du DBA maintenir le SGBD, gérer les comptes, les applications,... pas de formation sécurité : ne peut pas «imaginer» les attaques possibles Mises à jour des systèmes 80% des serveurs de BD meurent avec le système et le SGBD initial «If it works, don't fix it» conséquence: failles système et applicatives qui ne sont JAMAIS corrigées Criticité des applications arrêts impossibles la sécurité passe en dernier 7

8 Les risques Attaques sur le SGBD lui même failles connues classiques (buffer overflows, bugs d'authentification ) failles dans les applications associées: serveurs Web d'administration, démons SNMP (Simple Network Management Protocol), programmes setuid root installés par le SGBD Mauvaises configurations modes d'authentification dégradés (.rhosts ) mots de passe par défaut fichiers de la BD non sécurisés (lecture par tous) Interception de mots de passe par écoute du réseau par lecture de fichiers de configuration sur disque 8

9 Les risques (2) Attaques sur les applicatifs injection SQL sur les applications Web détournement des requêtes effectuées par un ERP autorisations trop larges Attaques sur l'os via le SGBD écriture/lecture de fichiers, exécution de commandes la base de données tourne avec des privilèges différents contournement de la politique de sécurité: 'safe_mode' de PHP par ex. critique chez les hébergeurs Web mutualisés 9

10 Quelques exemples: MS-SQL Server Produit complexe tourne avec les droits LocalSystem Deux modes d authentification NT Only: authentification sur le domaine NT/2000 Mixed-mode: idem + comptes internes (potentiellement, tous les utilisateurs du domaine ont accès au serveur) Jusqu à SQL2000, compte SA sans mot de passe par défaut à la création! Ver SQLSlammer: buffer overflow, déni de service réseau, heap overflow Problème dans l'authentification (août 2002) débordement de buffer: 10

11 Quelques exemples: MS-SQL Server (2) Passage du mot de passe en clair pour les logins non NT simple XOR avec 0xA5 Débordement de buffer/tas dans les procédures externes un seul octet à écraser et le système de privilèges est ignoré Procédures dangereuses xp_readerrorlog : lecture de fichiers xp_regread : lecture de la registry SQL Agent Job : submission de jobs, permet de monter les privilèges 11

12 Quelques exemples: MySQL SGBD "Light" et facile à mettre en place très très utilisé dans les «petits» sites système de privilèges mais fonctions manquantes (vues notamment) 2000 : gros problème d'authentification dans la phase d'authentification, le serveur ne vérifie que le nombre de caractères envoyés par le client : avec 32 essais il est possible de compromettre n'importe quel compte resurgit en 2002 dans COM_CHANGE_USER (changement d'identité) 12

13 Quelques exemples: MySQL (2) 2001: Buffer Overflow dans SELECT Plusieurs corruptions de mémoire dans certaines fonctions Lecture du fichier de configuration dans $DATADIR/my.cnf tous les utilisateurs ayant le privilège 'FILE' peuvent écrire dans ce répertoire 13

14 Quelles sont les informations visées? Dans un SGBD, qu est-ce qui intéresse l adversaire? contenu exact: salaire d un employé bornes: salaire > 2000 résultat négatif: nombre d infractions n est pas égal à 0 existence: casier judiciaire valeur probable: inférence en combinant plusieurs attaques On doit appliquer les mesures de sécurité avec précision protéger les informations sensibles laisser libre accès aux informations non sensibles 14

15 Plan Introduction sur la sécurité Contrôle d accès Bases statistiques Sécurité discrétionnaire Sécurité obligatoire Architectures des bases de données multi-niveaux Contre-mesures 15

16 Contrôle d accès et SGBD Deux niveaux d accès à un SGBD manipulation des données sur les relations de la base: protection sur les entrées de la base opérations composées comme des vues: restriction de ce que l utilisateur peut faire sur la base Une politique de sécurité doit viser deux propriétés complétude: tous les attributs sont protégés, même si la protection indique accès libre cohérence: pas de conflit entre les différentes règles de sécurité 16

17 Contrôle d accès et SGBD (2) Modèle de sécurité SQL: utilisateurs, opérations SQL, objets (tables, vues, attributs) À la création d un objet, son propriétaire a tous les droits, y compris celui d accorder ou de révoquer des privilèges à d autres utilisateurs Un privilège est composé des éléments suivants utilisateur qui accorde le privilège utilisateur qui reçoit le privilège objet action permise transmission possible du privilège 17

18 Contrôle d accès et SGBD (3) Exemple si Alice est propriétaire de la relation R, elle peut accorder le privilège de la consulter (SELECT) à Bob si elle indique que ce privilège est transmissible, Bob pourra à son tour accorder ce privilège à un autre utilisateur si Alice révoque le privilège à Bob, alors Bob et tous ceux qui ont reçu ce privilège de Bob perdent l accès à la relation R 18

19 Plan Introduction sur la sécurité Contrôle d accès Bases statistiques Sécurité discrétionnaire Sécurité obligatoire Architectures des bases de données multi-niveaux Contre-mesures 19

20 Les bases statistiques Une BD statistique permet de faire des requêtes statistiques sur des groupes de n-uplets Ces opérations sont: COUNT: nombre de valeurs dans une colonne SUM: somme des valeurs dans une colonne AVG: moyenne des valeurs dans une colonne MAX: maximum des valeurs dans une colonne MIN: minimum des valeurs dans une colonne Dans une requête statistique, il y a un prédicat à satisfaire et l'opération se fait sur les n-uplets qui satisfont ce prédicat 20

21 Les bases statistiques (2) Les BD statistiques posent le problème de sécurité suivant: ces BD contiennent des données qui sont sensibles individuellement l'accès direct à ces données n'est donc pas permis les requêtes statistiques statistiques sont permises mais elles doivent lire chaque donnée individuellement Propriété d'agrégation le niveau de sensibilité d'une opération calculée sur un groupe de valeurs est bien souvent inférieur au niveau de sensibilité des valeurs individuelles Problème d'inférence dans un tel cadre, il devient possible d'inférer de l'information sensible à partir de résultats statistiques moins sensibles 21

22 Les bases statistiques (3) Les attaques sur les BD statistiques sont de plusieurs types: attaque directe: opération sur un très petit échantillon attaque indirecte: combine le résultat de plusieurs opérations attaque par pisteur: une attaque indirecte redoutable attaque par système linéaire d'équations On peut résister aux attaques directes en forçant la taille de l'échantillon à être plus grand qu'un seuil il faut aussi forcer la taille du complément de l'échantillon 22

23 Les bases statistiques (4) Attaque par pisteur on doit d'abord identifier un pisteur général, un critère qui découpe la relation en 2 ensembles qui sont chacun plus grands que le seuil d'attaque directe (ex: 3) ex: dans la relation Étudiants, 'Prog = DESS' est un tel critère Ex: connaître la moyenne de Bob en 3 requêtes Relation Étudiants Nom Sexe Prog Moyenne Alice F DESS 65 Bob M M.Sc. 80 Carole F POLY 70 Diane F DESS 90 Éric M POLY 85 Frank M DESS 70 23

24 Les bases statistiques (5) Comment procéder? R1: Moyenne de ((étudiants de DESS) ou Bob): résultat du calcul de la moyenne d'alice, Bob, Diane et Frank = 76,25 R2: Moyenne de (étudiants pas de DESS) ou Bob): résultat du calcul de la moyenne de Bob, Carole et Éric = 78,33 R3: Moyenne de tous les étudiants = 76,67 On calcule ensuite: 4 x R1 + 3 x R2-6 x R3 = 80, la moyenne de Bob Pourquoi? cela correspond aux sommes de moyenne: (Alice+Bob+Diane+Frank)+(Bob +Carole+Éric)-(Alice+Bob+Carole+Diane+Éric+Frank) = Bob Dans presque toutes les BD statistiques, il existe un pisteur général 24

25 Plan Introduction sur la sécurité Contrôle d accès Bases statistiques Sécurité discrétionnaire Sécurité obligatoire Architectures des bases de données multi-niveaux Contre-mesures 25

26 Sécurité discrétionnaire SQL gère les contrôles d accès discrétionnaires Deux mécanismes les vues: permet de cacher des informations sensibles à des utilisateurs non autorisés sous-système d autorisation: permet aux utilisateurs ayant des privilèges d attribuer sélectivement et dynamiquement ces privilèges à d autres utilisateurs (et de les révoquer) 26

27 Sécurité discrétionnaire (2) Contrôle d'accès discrétionnaire par des vues et le contrôle d'accès sur ces vues l'accès aux données seulement par des vues rappelle le modèle formel de Clark-Wilson comment donner accès à un utilisateur l'accès à une vue sans avoir à lui donner l'accès à toutes les relations sous-jacentes? par l'introduction d'un mode de référence ce mode est protégé par un privilège (comme les requêtes SQL) l utilisateur n'a donc besoin que du privilège de voir la vue et de celui du mode référence sur les relations sous-jacentes à cette vue 27

28 Vues Les vues ont plusieurs avantages elles sont flexibles et permettent de définir des critères qui sont très proches de ce que les applications ont besoin elles permettent de définir des politiques de sécurité qui dépendent des données et des contextes d'opérations elles forment une sorte d'invocation contrôlée une vue sécure peut remplacer une étiquette de sécurité les données peuvent facilement être reclassées 28

29 Vues (2) Supposons une relation Employé qui indique s il s agit d un homme ou d une femme, son âge, son salaire et sa profession On définit la vue suivante 29

30 Vues (3) Permet de diviser conceptuellement la base de données en plusieurs parties Les informations sensibles peuvent être cachées aux utilisateurs non autorisés Ne permet pas de spécifier les opérations que certains utilisateurs sont autorisés à exécuter sur ces parties de la base Cette fonction est réalisée par l'instruction GRANT (cf. Privilèges) 30

31 Vues (4) Si l'application inclut une relation décrivant une table de contrôle d'accès, les vues peuvent y faire référence Pour qu'une vue permette la mise à jour, il faut que tous les attributs formant la clé primaire soient inclus dans la vue: de plus, il se peut que la mise à jour fasse en sorte que le n-uplet modifié ne satisfasse plus aux critères de la vue ex: dans la vue DESS, une requête pour modifier le programme à POLY ferait disparaître l attribut de la vue une option dans la définition de la vue permet de bloquer ces écritures à l'aveugle 31

32 Vues (5) Une vue n'est pas qu'un objet. On peut aussi le considérer comme un sujet qui a ses propres privilèges d'accès: invocation contrôlée Désavantages des vues la vérification des conditions d'accès peut devenir lourde et lente il faut vérifier que l'ensemble des définition de vues capture complètement la politique de sécurité voulue certaines vues peuvent se superposer: incohérences dans les accès la partie sécuritaire du SGBD devient très grosse il faudra peut-être compléter la définition par l'ajout de procédures stockées sur le serveur de BD 32

33 Les privilèges Le créateur d'un objet obtient automatiquement tous les privilèges pour cet objet Par exemple, le créateur d'une relation T obtient automatiquement tous les privilèges sur T En outre, ces privilèges sont obtenus avec l'option «grant authority» (le privilège peut être donné à un autre utilisateur) Voici la syntaxe complète de l'instruction GRANT : 33

34 Les privilèges (2) Si Bob donne un privilège à Alice, Bob peut ensuite révoquer ce privilège accordé à Alice On utilise l'instruction REVOKE dont voici la syntaxe : GRANT OPTION FOR signifie que seul le droit de transfert doit être révoqué <liste privileges>, <objet> et <liste ID utilisateur> sont similaires à l'instruction GRANT <option> est égal à RESTRICT ou bien CASCADE 34

35 Les privilèges (3) RESTRICT vs. CASCADE supposons que p soit un privilège sur un objet et que l'utilisateur Bob accorde p à l'utilisateur Alice, qui à son tour l'accorde à l'utilisateur Charlie que se passe-t-il maintenant si Bob révoque p à Alice? le privilège p détenu par Charlie doit être «abandonné» car il provient de l'utilisateur Alice qui ne le détient plus L'objectif de l'option RESTRICT vs. CASCADE est d'éviter l'abandon de privilèges l'option RESTRICT a pour conséquence que le REVOKE échoue s'il conduit à l'abandon de privilèges CASCADE a pour conséquence que de tels privilèges sont également révoqués 35

36 Plan Introduction sur la sécurité Contrôle d accès Bases statistiques Sécurité discrétionnaire Sécurité obligatoire Architectures des bases de données multi-niveaux Contre-mesures 36

37 Sécurité obligatoire Sécurité multi-niveaux (cas particulier) Dans une politique de sécurité multi-niveaux: les utilisateurs reçoivent un niveau d habilitation les informations reçoivent un niveau de classification Niveaux dans un ensemble partiellement ordonné Très secret > Secret > Confidentiel > Public 37

38 SGBD et sécurité multi-niveaux Comment obtenir un niveau élevé de protection sur les éléments d'un SGBD? contrôle d'accès obligatoire (étiquettes de sécurité) les principaux vendeurs de SGBD (Oracle, Informix, Sybase) ont tous une version MAC de leur système, évaluée au niveau B1 du Livre Orange Modèle simplifié de Bell-La Padula soit S, un ensemble d utilisateurs du système du SGBD soit O, un ensemble d'objets (ex: tables, relations, n-uplets,...) une relation d'ordre partiel sur les étiquettes L, aussi appelées classes d'accès soit fs : S L et fo : O L, assignant respectivement des classes d'accès aux utilisateurs et aux objets 38

39 BD et sécurité multi-niveaux (2) Règle de simple sécurité: un sujet s peut lire un objet o seulement si sa classe d'accès domine celle de l'objet, c'est-à-dire fo(o) fs(s) Règle étoile: un sujet s peut modifier un objet o seulement si sa classe d'accès est dominée par celle de l'objet, c'est-à-dire fs(s) fo(o) Ces politiques s'appliquent aux manipulations sur le SGBD et s'adressent aux flots d'information directs L'information peut aussi s'échapper par des canaux cachés refuser l'accès à une requête donne de l'information à un utilisateur s'il ne savait pas déjà que la requête allait échouer... 39

40 Mise en œuvre d une politique La mise en œuvre d une politique de sécurité multi-niveaux dans un SGBD pose plusieurs problèmes: granularité de classification gestion des leurres inférence d information 40

41 Granularité de la classification Quel est le grain d information qui reçoit la classification? Possibilités: schéma, relation, n-uplet, attribut de n-uplet Interprétation de la granularité n-uplet si on attribue un niveau de classification n à un n-uplet, l information représentée par le n-uplet est de niveau n soit Employe(Dupont, H, 30, , programmeur) un n-uplet avec le niveau de classification Secret l information «Dupont est un employé masculin ayant 30 ans, gagnant euros et travaillant comme programmeur» est classée au niveau Secret pas très fin, pourquoi? 41

42 Granularité de la classification (2) Dupont est un employé Dupont est un homme Dupont a 30 ans Dupont gagne euros Dupont est programmeur Toutes ces informations sont au même niveau Gestion par le SGBD: ajout d un attribut TC (Tuple-Class) qui décrit le niveau Employé(Nom, H/F, Age, Salaire, Profession, TC) 42

43 Granularité de la classification (3) Interprétation de la granularité attribut de n-uplet Employé(Nom, P, H, P, Age, C, Salaire, S, Profession, C) Interprétation si on affecte un niveau de classification ni à l attribut Ai d un n-uplet t, alors ni représente la classification de l information correspondant à l association entre les attributs Ak et Ai où Ak est la clé de la relation exemple: Employé(Dupont, P, H, P, Age, C, Salaire, S, Profession, C) l information «Dupont est un employé» est classée au niveau P l information «Dupont gagne euros» est classée au niveau S 43

44 Étiquetage des objets Chaque élément de la BD reçoit une étiquette: attribut, n-uplet, relation ou BD un n-uplet pourrait contenir des attributs ayant des étiquettes différentes ces étiquettes ne sont pas visibles aux utilisateurs L'étiquette a un rôle différent à chaque niveau: BD: l'utilisateur peut-il accéder aux relations de la BD? relation: l'utilisateur peut-il accéder aux n-uplets de la relation? n-uplet: l'utilisateur peut-il accéder aux attributs du n-uplet? attribut: l'utilisateur peut-il accéder à cet attribut en particulier? Le schéma d'étiquetage devra être complet et cohérent complet signifie que chaque élément a son étiquette cohérent signifie que les étiquettes n'entrent pas en conflit 44

45 Étiquetage des objets (2) Exemple la relation Réservations [P] les lettres entre crochets indique la classe d'accès C = Confidentiel, P = Public pour chaque attribut, la classe d'accès suit la valeur de l attribut pour chaque n-uplet, la classe d'accès est à droite du n-uplet Vols Dest Sièges AC909 [C] Montréal [C] 4 [C] [C] AA334 [P] Chicago [P] 10 [P] [P] AF211 [P] Paris [C] 7 [C] [C] 45

46 Étiquetage des objets (3) Pour qu'un utilisateur puisse observer les attributs d'un n-uplet, il faudra que: la classe d'accès de chaque attribut domine celle du n-uplet, la classe d'accès du n-uplet domine celle de sa relation, la classe d'accès de la relation domine celle de la BD Règle d'intégrité des entités (multi-niveaux) aucune composante de la clé primaire d'une relation de base ne peut être nulle toutes les composantes de la clé primaire d'une relation de base ont la même classe d'accès les classes d'accès de tous les autres attributs du n-uplet dominent la classe d'accès de la clé primaire 46

47 Étiquetage des objets (4) Règle d'intégrité référentielle (multi-niveaux) le n-uplet référencé par une clé étrangère doit exister la classe d'accès de la clé étrangère domine celle de la clé primaire correspondante Données visibles une relation R est visible à un utilisateur s si la classe d'accès de l utilisateur domine celle de la relation (fo(r) fs(s)) un attribut ri est visible à un utilisateur s si la classe d'accès de l utilisateur domine celle de l attribut (fo(ri) fs(s)). Dans le cas contraire, si l attribut ri fait partie de la clé primaire, tout le n-uplet est invisible sinon, seul l attribut est invisible à l utilisateur 47

48 Étiquetage des objets (5) Relations dérivées la classe d'accès d'une vue domine celles de toutes les relations utilisées dans la définition de la vue l'instance d'une vue à une classe d'accès donnée correspond au résultat de l'évaluation de la définition de la vue à cette classe. Vue (c) Observer (*) Usager Évaluer (c) Observer (c) Relations de base Évaluer (*) Vue (*) 48

49 Polyinstanciation Dans un SGBD multi-niveaux, un utilisateur 'bas' ne peut connaître l'existence de données 'hautes'. il pourrait être tenter de mettre à jour un attribut contenant une donnée 'haute' ex: pour le 'Vol = AF211', il veut changer 'Dest = Nice' et 'Sièges = 0' Vols Dest Sièges AC909 [C] Montréal [C] 4 [C] [C] AA334 [P] Chicago [P] 10 [P] [P] AF211 [P] Paris [C] 7 [C] [C] AF211 [P] Paris [C] 0 [P] [C] AF211 [P] Nice [P] 7 [C] [C] 49

50 Polyinstanciation (2) Comment la BD doit-elle réagir? interdire la mise à jour canal caché! remplacer les anciennes valeurs par les nouvelles perte de l'information qui était mise en place par un utilisateur 'haut' effectuer la mise à jour tout en conservant l'ancienne valeur! polyinstantiation 50

51 Polyinstanciation (3) On insère le n-uplet Ceci donne plusieurs n-uplets avec la même clé primaire! pour résoudre cette situation, on étend la notion de clé primaire, en y incorporant les classes d'accès de chaque attribut du n-uplet cette définition nous donne de nouveau une clé primaire unique Règle d'intégrité de la polyinstantiation si 2 n-uplets d'une relation de base ont la même clé primaire et qu'un des attributs a la même classe d'accès dans les 2 n-uplets, alors la valeur de l attribut sera la même dans les 2 n-uplets si 2 n-uplets d'une relation de base ont la même clé primaire et que, pour un des attributs, les classes d'accès diffèrent, alors la valeur de l attribut pourra être différente entre les 2 n-uplets 51

52 Polyinstanciation (4) Exemple de polyinstantiation sur le n-uplet 'Vol = AF211' après mise à jour 'Dest = Nice' [P] et 'Sièges = 0' [P] Vols Dest Sièges AC909 [C] Montréal [C] 4 [C] [C] AA334 [P] Chicago [P] 10 [P] [P] AF211 [P] Paris [C] 7 [C] [C] AF211 [P] Paris [C] 0 [P] [C] AF211 [P] Nice [P] 7 [C] [C] AF211 [P] Nice [P] 0 [P] [P] 52

53 Polyinstanciation: discussion Une BD représente normalement des faits réels la polyinstantiation introduit une ambiguïté autour de ces faits, puisqu'il existe plusieurs entrées pour la même entité externe à quel point est-il nécessaire de protéger un objet de haut niveau par un objet de plus bas niveau et une fausse histoire? Ces problèmes découlent d'une décision de camoufler l'existence d'objets confidentiels on peut concevoir un SGBD multi-niveaux où tous les objets sont visibles, mais dont le contenu est protégé par les classes d'accès même les étiquettes de sécurité sur les objets sont visibles dans ce cas, la révélation de l'existence d'un objet ne constitue pas un flot d'information illégal (canal caché) 53

54 Polyinstanciation: discussion (2) Reprenons l'exemple qui nous a amené à parler de polyinstantiation pour 'Vol = AF211', il pourrait vouloir changer 'Dest = Nice' et 'Sièges = 0' dans ce cas, on peut maintenant indiquer sans danger à l utilisateur que la requête est refusée Il reste un problème: comment ajouter des données à une relation sans violer la règle étoile? en déléguant la création d'objet à un utilisateur spécial CRÉATEUR, dont la classe d'accès correspond au bas du système des données bidon sont écrites dans l'objet la classe d'objet est ensuite montée à celle désirée par l utilisateur original 54

55 Insertion et contraintes d intégrité Comment intégrer au SGDB multi-niveaux les contraintes d'intégrité (CI)? ex: validation des attributs, des domaines et de la cohérence chaque CI est aussi un objet du SGBD, avec sa classe d'accès Règle sur les CI la classe d'accès d'une CI doit dominer la classe d'accès de toutes les relations sur lesquelles elle s'applique Problème: un utilisateur 'bas' essaie de mettre à jour un attribut 'bas', contrôlé par une CI 'haute' (donc invisible à l utilisateur) si on refuse l'accès, on indique à l utilisateur qu'il existe une CI qu'il ne voit pas (canal caché) si on accorde l'accès, on pourrait violer la contrainte d'intégrité 55

56 Insertion et contraintes d intégrité (2) Les contraintes d'intégrité peuvent elles aussi être créées à bas niveau et montées au niveau désiré les utilisateurs 'bas' connaissent l'existence de la contrainte, mais pas son contenu un utilisateur qui tente de mettre à jour un attribut 'bas' contrôlé par une contrainte 'haute' pourra sans problèmes se faire dire que la mise à jour lui sera refusée Si une relation contient des n-uplets dont la clé primaire est confidentielle, on pourra séparer la relation en 2 sous-relations: une relation où toutes les clés primaires sont publiques une relation où toutes les clés primaires sont confidentielles 56

57 Insertion et contraintes d intégrité (3) Exemple de séparation de relation Réservations publiques Vols Dest Sièges AA334 [P] Chicago [P] 10 [P] [P] AF211 [P] Paris [C] 7 [C] [C] Réservations confidentielles Vols Dest Sièges AC909 [C] Montréal [C] 4 [C] [C] Désavantages de l'insertion à bas niveau la création d'objets et l'assignation de la classe d'accès finale est sous le contrôle d'utilisateurs de bas niveau ceci peut entrer en conflit avec la politique de sécurité déjà établie une étape supplémentaire est requise, donc délai d'opération 57

58 Gestion des leurres Un leurre est une information fausse introduite dans une base de données multi-niveaux pour protéger l existence d une information sensible Supposons que l information «Dupont gagne euros» est classée au niveau Secret on note cette information [Secret]Salaire(Dupont, 30000) où [Secret]p signifie que l information représenté par p est classée au niveau Secret Supposons que la base contient également [Public]Salaire(Dupont, 22000) c est un leurre Pourquoi? 58

59 Gestion des leurres (2) Supposons qu un utilisateur U de niveau Public pose la question: quel est le salaire de Dupont? La base ne peut pas répondre puisque l information est secrète si la base répond: vous n avez pas le droit de connaître cette information U peut déduire que le niveau de l information n est pas public, c est déjà une information! cela est représenté par x, [Secret]Salaire(Dupont, x) mais on peut considérer que cette information doit être secrète [Secret]( x, [Secret]Salaire(Dupont, x)) Dans ce cas, la base ne peut rien répondre, et utilise le leurre! 59

60 Inférence non autorisée d informations Pour simplifier le discours, on ne considère que deux niveaux de classification: Secret et Public Le problème: est-il possible de déduire des informations de niveau Secret en utilisant des informations de niveau Public? Premier exemple on suppose la relation suivante: IDVol Avion Marchandise Classification 1254 A Bottes Public 1254 B Yahourts Public 1254 C Bombe atomique Secret 1254 D Beurre Public 60

61 Inférence non autorisée d informations (2) Un utilisateur sans le niveau Secret verra: IDVol Avion Marchandise Classification 1254 A Bottes Public 1254 B Yahourts Public 1254 D Beurre Public S il essaie d insérer le n-uplet(1254,c,toto,public), il y aura un message d erreur, et donc il pourra déduire qu il y a une marchandise secrète dans (1254,C)! 61

62 Inférence non autorisée d informations (3) On considère la base suivante: Nom Emploi Âge Salaire Département Bureau Alice Manager Marketing 2ème Bob Secrétaire Marketing 2ème Charles Secrétaire Production 1er Denise Manager Ventes 2ème On suppose que l on n a pas le droit de demander dans quel département travaille un employé Exemples d inférence Q1 = (Âge; Nom = Alice ) Q2 = (Département; Âge < 40) 62

63 Inférence non autorisée d informations (3) On considère la base suivante: Nom Emploi Âge Salaire Département Bureau Alice Manager Marketing 2ème Bob Secrétaire Marketing 2ème Charles Secrétaire Production 1er Denise Manager Ventes 2ème On suppose que l on n a pas le droit de demander dans quel département travaille un employé Exemples d inférence Q1 = (Âge; Nom = Alice ) Q2 = (Département; Âge < 40) Alice travaille dans le département Marketing 62

64 Inférence non autorisée d informations (4) On considère la base suivante: Nom Emploi Âge Salaire Département Bureau Alice Manager Marketing 2ème Bob Secrétaire Marketing 2ème Charles Secrétaire Production 1er Denise Manager Ventes 2ème On suppose que l on ne peut pas demander quel est le salaire d un employé Exemples d inférence Q1 = (Âge; Nom = Charles ) Q2 = (Âge, Salaire; Âge 40) 63

65 Inférence non autorisée d informations (4) On considère la base suivante: Nom Emploi Âge Salaire Département Bureau Alice Manager Marketing 2ème Bob Secrétaire Marketing 2ème Charles Secrétaire Production 1er Denise Manager Ventes 2ème On suppose que l on ne peut pas demander quel est le salaire d un employé Exemples d inférence Q1 = (Âge; Nom = Charles ) Q2 = (Âge, Salaire; Âge 40) Charles gagne

66 Inférence non autorisée d informations (5) On considère la base suivante: Nom Emploi Âge Salaire Département Bureau Alice Manager Marketing 2ème Bob Secrétaire Marketing 2ème Charles Secrétaire Production 1er Denise Manager Ventes 2ème Exemples d inférence Q1 = (Nom; Emploi = Manager ^ Âge = 35) Q2 = (Salaire; Emploi = Manager ) Q3 = (Salaire; Âge = 35) 64

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet.

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet. HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Journées CFSSI Sécurité et SGBD Nicolas Jombart

Plus en détail

Sécurité des bases de données Nicolas Jombart Alain Thivillon

Sécurité des bases de données Nicolas Jombart Alain Thivillon HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Sécurité des bases de données Nicolas Jombart Alain Thivillon Place

Plus en détail

Partie II Cours 3 (suite) : Sécurité de bases de données

Partie II Cours 3 (suite) : Sécurité de bases de données Partie II Cours 3 (suite) : Sécurité de bases de données ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours 1 Introduction

Plus en détail

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI

Chapitre 2. Vulnérabilités protocolaires et attaques réseaux M&K HDHILI Chapitre 2 Vulnérabilités protocolaires et attaques réseaux 1 Définitions Vulnérabilité: Défaut ou faiblesse d un système dans sa conception, sa mise en œuvre ou son contrôle interne pouvant mener à une

Plus en détail

Chapitre 1 : Introduction aux Systèmes de Gestion de Bases de Données (Eléments de base)

Chapitre 1 : Introduction aux Systèmes de Gestion de Bases de Données (Eléments de base) Chapitre 1 : Introduction aux Systèmes de Gestion de Bases de Données (Eléments de base) 1. Généralités sur l'information et sur sa Représentation 1.1 Informations et données : a. Au sen de la vie : C

Plus en détail

Sécurité des bases de

Sécurité des bases de HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet CLUSIR-EST Sécurité des bases de données Louis Nyffenegger Louis Nyffenegger

Plus en détail

Sécurité des applications Retour d'expérience

Sécurité des applications Retour d'expérience HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon

Plus en détail

La sécurité informatique

La sécurité informatique 1 La sécurité informatique 2 Sécurité des systèmes d information Yves Denneulin (ISI) et Sébastien Viardot(SIF) Cadre du cours Informatique civile (avec différences si publiques) Technologies répandues

Plus en détail

Cours 4 : Contrôle d accès

Cours 4 : Contrôle d accès Cours 4 : Contrôle d accès ESIL Université de la méditerranée Odile.Papini@esil.univ-mrs.fr http://odile.papini.perso.esil.univmed.fr/sources/ssi.html Plan du cours 4 1 Introduction 2 3 4 4 5 6 7 Introduction

Plus en détail

Chapitre 1 : Introduction aux bases de données

Chapitre 1 : Introduction aux bases de données Chapitre 1 : Introduction aux bases de données Les Bases de Données occupent aujourd'hui une place de plus en plus importante dans les systèmes informatiques. Les Systèmes de Gestion de Bases de Données

Plus en détail

Cours Base de données relationnelles. M. Boughanem, IUP STRI

Cours Base de données relationnelles. M. Boughanem, IUP STRI Cours Base de données relationnelles 1 Plan 1. Notions de base 2. Modèle relationnel 3. SQL 2 Notions de base (1) Définition intuitive : une base de données est un ensemble d informations, (fichiers),

Plus en détail

NOS MODULES D AUDIT. Analyse - Accompagnement - Sérénité - Sécurité

NOS MODULES D AUDIT. Analyse - Accompagnement - Sérénité - Sécurité NOS MODULES D AUDIT Analyse - Accompagnement - Sérénité - Sécurité Audit Technique Audit des serveurs Mise à jour, vulnérabilités classiques Respect des politiques de mots de passe Contrôle des accès à

Plus en détail

Directive de sécurité sur la sauvegarde des données en ligne

Directive de sécurité sur la sauvegarde des données en ligne Directive de sécurité sur la sauvegarde des données en ligne Entrée en vigueur le 18 juin 2010 Préparé et sous la responsabilité de la Direction des services juridiques Section affaires juridiques Approuvé

Plus en détail

Présentation du module Base de données spatio-temporelles

Présentation du module Base de données spatio-temporelles Présentation du module Base de données spatio-temporelles S. Lèbre slebre@unistra.fr Université de Strasbourg, département d informatique. Partie 1 : Notion de bases de données (12,5h ) Enjeux et principes

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web OSSIR 09/09/2002 Vulnérabilités, attaques et sécurisation des applications Web Pourquoi les firewalls sont impuissants patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com Page 1 Planning

Plus en détail

2.1/ Les privilèges sous oracle

2.1/ Les privilèges sous oracle LP Informatique(DA2I), UF7 : Administration Système, Réseaux et Base de données 13/12/2007, Enseignant : M. Nakechbnadi, mail : nakech@free.fr Première parie : Administration d une BD Chapitre 2 : Transaction,

Plus en détail

Système de base de données

Système de base de données Système de base de données 1. INTRODUCTION Un système de base de données est un système informatique dont le but est de maintenir les informations et de les rendre disponibles à la demande. Les informations

Plus en détail

Stratégie de sécurité grâce au logiciel libre. Frédéric Raynal Cédric Blancher

Stratégie de sécurité grâce au logiciel libre. Frédéric Raynal <pappy@miscmag.com> Cédric Blancher <blancher@cartel-securite.fr> Stratégie de sécurité grâce au logiciel libre Frédéric Raynal Cédric Blancher 1 Agenda du workshop Introduction Le logiciel libre et la sécurité GNU/Linux

Plus en détail

Contrôle d accès Contrôle de flux Contrôle d usage Le projet ANR FLUOR. Alban Gabillon Université de la Polynésie Française

Contrôle d accès Contrôle de flux Contrôle d usage Le projet ANR FLUOR. Alban Gabillon Université de la Polynésie Française Contrôle d accès Contrôle de flux Contrôle d usage Le projet ANR FLUOR Alban Gabillon Université de la Polynésie Française Plan Objectifs de la Sécurité Informatique Modèles de Sécurité Modèle de Contrôle

Plus en détail

Plan. Cours 4 : Méthodes d accès aux données. Architecture système. Objectifs des SGBD (rappel)

Plan. Cours 4 : Méthodes d accès aux données. Architecture système. Objectifs des SGBD (rappel) UPMC - UFR 99 Licence d informatique 205/206 Module 3I009 Cours 4 : Méthodes d accès aux données Plan Fonctions et structure des SGBD Structures physiques Stockage des données Organisation de fichiers

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

Vulnérabilités et sécurisation des applications Web

Vulnérabilités et sécurisation des applications Web Rencontres SPIRAL 25/02/03 Vulnérabilités et sécurisation des applications Web Pourquoi les firewalls sont impuissants face à certaines attaques patrick.chambet@edelweb.fr http://www.edelweb.fr http://www.chambet.com

Plus en détail

Principes d'utilisation des systèmes de gestion de bases de données. Introduction

Principes d'utilisation des systèmes de gestion de bases de données. Introduction Principes d'utilisation des systèmes de gestion de bases de données Introduction quoi? qui? quand? pourquoi? comment? etc. (1/2) «Principes d'utilisation des SGBD» SGBD : qu'est ce que c'est? utilisation

Plus en détail

1. LA GESTION DES BASES DE DONNEES RELATIONNELLES

1. LA GESTION DES BASES DE DONNEES RELATIONNELLES Dossier G11 - Interroger une base de données La base de données Facturation contient tout un ensemble d'informations concernant la facturation de la SAFPB (société anonyme de fabrication de produits de

Plus en détail

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST $ WHOAMI ITrust Société toulousaine Expertise en sécurité informatique Activités Service en sécurité (pentest / forensic / formation ) Editeur de

Plus en détail

Introduction aux S.G.B.D.

Introduction aux S.G.B.D. NFE113 Administration et configuration des bases de données - 2010 Introduction aux S.G.B.D. Eric Boniface Sommaire L origine La gestion de fichiers Les S.G.B.D. : définition, principes et architecture

Plus en détail

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès 259 Chapitre 6 La sécurité 1. Introduction La sécurité La sécurité des données est un enjeu capital. Une base de données peut être amenée à stocker des données très sensibles, confidentielles. L'implémentation

Plus en détail

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques THEGREENBOW FIREWALL DISTRIBUE TGB::! Pro Spécifications techniques SISTECH SA THEGREENBOW 28 rue de Caumartin 75009 Paris Tel.: 01.43.12.39.37 Fax.:01.43.12.55.44 E-mail: info@thegreenbow.fr Web: www.thegreenbow.fr

Plus en détail

2 ème PARTIE : LE LANGAGE SQL

2 ème PARTIE : LE LANGAGE SQL 2 ème PARTIE : LE LANGAGE SQL PLAN : I. Le langage de manipulation des données II. Le langage de définition des données III. Administration de la base de données IV. Divers (HORS PROGRAMME) Introduction:

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

Généralités sur les bases de données

Généralités sur les bases de données Généralités sur les bases de données Qu est-ce donc qu une base de données? Que peut-on attendre d un système de gestion de bases de données? Que peut-on faire avec une base de données? 1 Des données?

Plus en détail

Vulnérabilités logicielles Injection SQL

Vulnérabilités logicielles Injection SQL MGR850 Hiver 2014 Vulnérabilités logicielles Injection SQL Hakima Ould-Slimane Chargée de cours École de technologie supérieure (ÉTS) Département de génie électrique 1 Plan SQL Injection SQL Injections

Plus en détail

Introduction aux bases de données relationnelles

Introduction aux bases de données relationnelles Formation «Gestion des données scientifiques : stockage et consultation en utilisant des ases de données» 24 au 27 /06/08 Introduction aux ases de données relationnelles Christine Tranchant-Dureuil UMR

Plus en détail

Web (Persistance) Andrea G. B. Tettamanzi. Université de Nice Sophia Antipolis Département Informatique andrea.tettamanzi@unice.fr

Web (Persistance) Andrea G. B. Tettamanzi. Université de Nice Sophia Antipolis Département Informatique andrea.tettamanzi@unice.fr Web (Persistance) Andrea G. B. Tettamanzi Université de Nice Sophia Antipolis Département Informatique andrea.tettamanzi@unice.fr Andrea G. B. Tettamanzi, 2014 1 CM - Séance 8 Organisation logicielle d'une

Plus en détail

Le modèle de sécurité windows

Le modèle de sécurité windows Le modèle de sécurité windows Cours Windows 2008-2009 Franck Rupin - Laurent Gydé 1 Le modèle de sécurité windows 1 Généralités 2 Les composants du système de sécurité 3 La protection des objets 4 Audit

Plus en détail

Les déclencheurs (Triggers) avec Oracle

Les déclencheurs (Triggers) avec Oracle 1) Introduction 2) Événements déclenchant 3) Mécanisme général 4) Privilèges systèmes 5) Syntaxe 6) Nom du déclencheur 7) Option BEFORE ou AFTER 8) Déclencheur LMD 9) Déclencheur LDD 10) Déclencheur d'instance

Plus en détail

INFO-F-405 Sécurité Informatique Projet 3 : SSL et Threat Modeling

INFO-F-405 Sécurité Informatique Projet 3 : SSL et Threat Modeling INFO-F-405 Sécurité Informatique Projet 3 : SSL et Threat Modeling Gabriel Corvalan Cornejo Gaëtan Podevijn François Santy 13 décembre 2010 1 Modélisation et récolte d information du système 1.1 Information

Plus en détail

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Guide de démarrage rapide

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Guide de démarrage rapide Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Guide de démarrage rapide ESET NOD32 Antivirus apport à votre ordinateur une excellente protection contre les codes malveillants. Fondé

Plus en détail

Bases de données et sites WEB

Bases de données et sites WEB Bases de données et sites WEB Cours2 : Sécurité et contrôles d accès Anne Doucet 1 Authentification Autorisation Privilèges Rôles Profils Limitations de ressources Plan Audit Contrôle d accès via les vues

Plus en détail

INF4420/ 6420 Sécurité informatique

INF4420/ 6420 Sécurité informatique Directives : INF4420/ 6420 Sécurité informatique Examen final - SOLUTIONS 8 décembre 2004 Profs. : François-R Boyer & José M. Fernandez - La durée de l examen est deux heures et demi L examen est long.

Plus en détail

SÉCURITÉ DES BASES DE DONNÉES SOUS ORACLE

SÉCURITÉ DES BASES DE DONNÉES SOUS ORACLE SÉCURITÉ DES BASES DE DONNÉES SOUS ORACLE SÉCURITÉ DES DONNÉES La sécurité de l information est vitale. Elle conditionne l activité économique des entreprises et la confiance dans les organismes publics

Plus en détail

SQL pour. Oracle 10g. Razvan Bizoï. Tsoft, Groupe Eyrolles, 2006, ISBN : 2-212-12055-9, ISBN 13 : 978-2-212-12055-4

SQL pour. Oracle 10g. Razvan Bizoï. Tsoft, Groupe Eyrolles, 2006, ISBN : 2-212-12055-9, ISBN 13 : 978-2-212-12055-4 SQL pour Oracle 10g Razvan Bizoï Tsoft, Groupe Eyrolles, 2006, ISBN : 2-212-12055-9, ISBN 13 : 978-2-212-12055-4 Ce guide de formation a pour but de vous permettre d'acquérir une bonne connaissance du

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur de l Observatoire de Paris (désigné dans la suite comme l Établissement) et ceux de ses

Plus en détail

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Proxy et reverse proxy. Serveurs mandataires et relais inverses Serveurs mandataires et relais inverses Qu'est-ce qu'un proxy? Proxy = mandataire (traduction) Un proxy est un service mandataire pour une application donnée. C'est à dire qu'il sert d'intermédiaire dans

Plus en détail

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com

Enterprise Risk Management 01/12/09. Patrick CHAMBET http://www.chambet.com Enterprise Risk Management 01/12/09 La gestion des risques de sécurité informatique De la protection du SI à la protection de l'information Patrick CHAMBET http://www.chambet.com Bouygues Telecom DSI/DGOA/SSI

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Atelier : Mail Threats Formateurs:

Plus en détail

Vulnérabilités logicielles Injection SQL. Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI

Vulnérabilités logicielles Injection SQL. Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI Vulnérabilités logicielles Injection SQL Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI 1 Plan SQL Injection SQL Injections SQL standards Injections SQL de requêtes

Plus en détail

Bases de données cours 2 Éléments d algèbre relationnelle. Catalin Dima

Bases de données cours 2 Éléments d algèbre relationnelle. Catalin Dima Bases de données cours 2 Éléments d algèbre relationnelle Catalin Dima Qu est-ce qu une algèbre? Algèbre : ensemble de domaines et d opérations. Exemple : les nombres (naturels, réels, complexes). Leurs

Plus en détail

Modèle relationnel Création et modification des relations en SQL

Modèle relationnel Création et modification des relations en SQL Modèle relationnel Création et modification des relations en SQL ENT - Clé sql2009 BD - Mírian Halfeld-Ferrari p. 1 Insertion dans une relation Pour insérer un tuple dans une relation: insert into Sailors

Plus en détail

dans laquelle des structures vont être créées pour une ou plusieurs applications.

dans laquelle des structures vont être créées pour une ou plusieurs applications. Création d'une nouvelle base de données A. Vue d'ensemble 1. Étapes de création d'une nouvelle base de données pour une application Le processus complet de création d'une nouvelle base de données pour

Plus en détail

Profil de protection d un progiciel serveur applicatif MES

Profil de protection d un progiciel serveur applicatif MES Profil de protection d un progiciel serveur applicatif MES Version 1.0 court-terme GTCSI 1 er juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne

Plus en détail

Active Directory Sommaire :

Active Directory Sommaire : Active Directory Sommaire : Définition Ce qu'il permet A quoi sert-il? Principe de fonctionnement Structure Hiérarchie Schéma Qu'est ce qu'un service d'annuaire? Qu'elle est son intérêt? L'installation

Plus en détail

Chapitre 3 LE MODELE RELATIONNEL

Chapitre 3 LE MODELE RELATIONNEL Chapitre 3 LE MODELE RELATIONNEL Le modèle relationnel a été inventé en 1960 et a fait l'objet de très nombreuses recherches qui ont débouché sur la réalisation et commercialisation de SGBDs relationnels.

Plus en détail

INTRODUCTION AUX BASES DE DONNÉES

INTRODUCTION AUX BASES DE DONNÉES INTRODUCTION AUX BASES DE DONNÉES Najib TOUNSI Cours à l'usage des premières années informatique Najib TOUNSI - 1 - SOMMAIRE Concepts de Bases Base de Données Système Gestion de Bases de Données Niveau

Plus en détail

2 PHP est-il plus dangereux que d autres langages?

2 PHP est-il plus dangereux que d autres langages? S. G. D. S. N Agence nationale de la sécurité des systèmes d information CERTA PREMIER MINISTRE Paris, le 20 mars 2007 N o CERTA-2007-INF-002 Affaire suivie par : CERTA NOTE D INFORMATION DU CERTA Objet

Plus en détail

Les injections SQL. J. Hennecart. Lundi 23 février 2015. Serval-Concept. Les bases de données Les injections SQL Comment se protéger Conclusion

Les injections SQL. J. Hennecart. Lundi 23 février 2015. Serval-Concept. Les bases de données Les injections SQL Comment se protéger Conclusion J. Hennecart Serval-Concept Lundi 23 février 2015 J. Hennecart des injections SQL sont des vulnérabilités permettant de faire exécuter des commandes, non prévues initialement, à une base de données. La

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

POUR MAC Guide de démarrage rapide. Cliquez ici pour télécharger la version la plus récente de ce document

POUR MAC Guide de démarrage rapide. Cliquez ici pour télécharger la version la plus récente de ce document POUR MAC Guide de démarrage rapide Cliquez ici pour télécharger la version la plus récente de ce document ESET Cyber Security apporte à votre ordinateur une excellente protection contre les codes malveillants.

Plus en détail

1 Partie A : administration d une base de donnée à travers PhpMyAdmin

1 Partie A : administration d une base de donnée à travers PhpMyAdmin Ce TP se compose en 2 sections : une section de prise en main (sur ordinateur) et une section d exercice (sur papier) concernant l algèbre relationnelle. 1 Partie A : administration d une base de donnée

Plus en détail

Introduction à la sécurité des systèmes embarqués

Introduction à la sécurité des systèmes embarqués RMLL 2007 Introduction à la sécurité des systèmes embarqués email web : kadionik@enseirb.fr : http://www.enseirb.fr/~kadionik http://www.enseirb.fr/cosynux/ Patrice KADIONIK ENSEIRB - IMS pk/enseirb/2007-1-

Plus en détail

Bases de Données. Plan

Bases de Données. Plan Université Mohammed V- Agdal Ecole Mohammadia d'ingénieurs Rabat Bases de Données Mr N.EL FADDOULI 2014-2015 Plan Généralités: Définition de Bases de Données Le modèle relationnel Algèbre relationnelle

Plus en détail

Objectifs et gestion de la sécurité

Objectifs et gestion de la sécurité INF4470 : Fiabilité et sécurité informatique Par Eric Gingras Hiver 2010 Objectifs et gestion de la sécurité Qu'est ce que la sécurité? «Situation où l'on a aucun danger à craindre.» (dictionnaire Larousse)

Plus en détail

Exigences de contrôle pour les fournisseurs externes

Exigences de contrôle pour les fournisseurs externes Exigences de contrôle pour les fournisseurs externes Cybersécurité Pour les fournisseurs à cyber-risque faible Exigences de cybersécurité 1. Protection des actifs et configuration des systèmes Les données

Plus en détail

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07 Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments

Plus en détail

Bibliographie. Gestion des risques

Bibliographie. Gestion des risques Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes

Plus en détail

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guide de démarrage rapide

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guide de démarrage rapide Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guide de démarrage rapide ESET Smart Security apporte à votre ordinateur une excellente protection contre les codes malveillants. Fondé sur la technologie

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Prénom Nom : Signature : Date : Service : Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur des entités, a pour objet de préciser la responsabilité

Plus en détail

Utiliser Access ou Excel pour gérer vos données

Utiliser Access ou Excel pour gérer vos données Page 1 of 5 Microsoft Office Access Utiliser Access ou Excel pour gérer vos données S'applique à : Microsoft Office Access 2007 Masquer tout Les programmes de feuilles de calcul automatisées, tels que

Plus en détail

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin Sécurité des sites Web Pas un cours un recueil du net INF340 Jean-François Berdjugin Vulnérabilité Définition (wikipédia) : Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse

Plus en détail

Administration d un serveur de base de données SQL Server 2000 Et programmation

Administration d un serveur de base de données SQL Server 2000 Et programmation Compte rendu d'activité Nature de l'activité : Administration d un serveur de base de données SQL Server 2000 Et programmation Contexte : Dans le cadre de l implémentation d une base de données (Access)

Plus en détail

La haute disponibilité de la CHAINE DE

La haute disponibilité de la CHAINE DE Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est

Plus en détail

Fiche Technique. Cisco Security Agent

Fiche Technique. Cisco Security Agent Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit

Plus en détail

Chapitre 10. Architectures des systèmes de gestion de bases de données

Chapitre 10. Architectures des systèmes de gestion de bases de données Chapitre 10 Architectures des systèmes de gestion de bases de données Introduction Les technologies des dernières années ont amené la notion d environnement distribué (dispersions des données). Pour reliér

Plus en détail

Projet Personnalisé Encadré 3.2

Projet Personnalisé Encadré 3.2 2014/2015 Projet Personnalisé Encadré 3.2 ETUDE SUR LA MISE EN PLACE DU RESEAU WIFI Arnaud Duboishamon, Anthony Dubois, Lucas Corizzi GALAXY SWISS BOURDIN Table des matières Introduction.....2 Étude sur

Plus en détail

Présentation générale

Présentation générale SHERLOCK'S Office Server Présentation générale Version 01/2009 1/8 1 OBJET DE SHERLOCK S OFFICE SERVER 3 2 PRÉ REQUIS TECHNIQUE 3 3 LA SÉCURITÉ DES ÉCHANGES ENTRE LE COMMERÇANT ET SHERLOCK S 4 4 LE FONCTIONNEMENT

Plus en détail

Génération de codes. à partir d un modèle UML sous PowerAMC. La génération de code, ça n est pas immédiat : processus en 3 étapes

Génération de codes. à partir d un modèle UML sous PowerAMC. La génération de code, ça n est pas immédiat : processus en 3 étapes Génération de codes à partir d un modèle UML sous PowerAMC Véronique Deslandres, IUT, Département Informatique Université de Lyon MàJ: 8/10/2013 Introduction La génération de code, ça n est pas immédiat

Plus en détail

Corrigé de l'atelier pratique du module 4 : Gestion de la sécurité

Corrigé de l'atelier pratique du module 4 : Gestion de la sécurité Corrigé de l'atelier pratique du module 4 : Gestion de la sécurité Table des matières Atelier pratique 4 : Gestion de la sécurité 1 Exercice 1 : Création de connexions et affectation des autorisations

Plus en détail

Plan de cette partie. Implantation des SGBD relationnels. Définition et fonctionnalités. Index. Coûts pour retrouver des données

Plan de cette partie. Implantation des SGBD relationnels. Définition et fonctionnalités. Index. Coûts pour retrouver des données Implantation des SGBD relationnels Université de Nice Sophia-Antipolis Version 3.4 25//06 Richard Grin Plan de cette partie Nous allons étudier (très rapidement!) quelques éléments de solutions utilisés

Plus en détail

Sécurisation en local

Sécurisation en local Attaques locales (internes) Sécurisation en local Indépendamment de la présence d un réseau Espionnage quand même possible Émission électromagnétiques Norme tempest Dispositifs sans fil Clavier/souris

Plus en détail

Cours: Administration d'une Base de Données

Cours: Administration d'une Base de Données Bases de Données Avancées Module A IUT Lumière, License CE-STAT 2006-2007 Pierre Parrend Cours: Administration d'une Base de Données Table of Contents Principes...1 Structure d'un Base de Données...1 Architecture...1

Plus en détail

Cours Administration BD

Cours Administration BD Faculté des Sciences de Gabès Cours Administration BD Chapitre 2 : Architecture Oracle Faîçal Felhi felhi_fayssal@yahoo.fr 1 Processus serveur 1 Mémoire PGA Architecture SGBD Oracle Processus serveur 2

Plus en détail

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours

Mohamed Houcine Elhdhili & Khaled Sammoud. khaled.sammoud@gmail.com. Remarque: ce document doit être complété par les notes de cours Cours Sécurité et cryptographie Mohamed Houcine Elhdhili & Khaled Sammoud Med_elhdhili@yahoo.eselhdhili@yahoo es khaled.sammoud@gmail.com Remarque: ce document doit être complété par les notes de cours

Plus en détail

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction

Plan. Les pare-feux (Firewalls) Chapitre II. Introduction. Notions de base - Modèle de référence OSI : 7 couches. Introduction Plan Introduction Chapitre II Les pare-feux (Firewalls) Licence Appliquée en STIC L2 - option Sécurité des Réseaux Yacine DJEMAIEL ISET Com Notions de base relatives au réseau Définition d un pare-feu

Plus en détail

Audit et Sécurité Informatique

Audit et Sécurité Informatique 1 / 54 Audit et Sécurité Informatique Chap 1: Services, Mécanismes et attaques de sécurité Rhouma Rhouma https://sites.google.com/site/rhoouma Ecole superieure d Economie Numerique 3ème année Licence 2

Plus en détail

Un serveur FTP chez soi Tutoriel pour Filezilla FTP server

Un serveur FTP chez soi Tutoriel pour Filezilla FTP server Space-OperaRécitsLogicielsCréationsBlogForum Un serveur FTP chez soi Tutoriel pour Filezilla FTP server DynDNS : Pourquoi et comment? Téléchargement et installation de Filezilla Server Configuration réseau

Plus en détail

6 Conception de la gestion des correctifs

6 Conception de la gestion des correctifs Conception de la gestion des correctifs Par définition, la gestion des correctifs et mises à our est le processus qui permet de contrôler le déploiement et la maintenance des versions intermédiaires de

Plus en détail

Configuration de plusieurs serveurs en Load Balancing

Configuration de plusieurs serveurs en Load Balancing Le serveur de communication IceWarp Configuration de plusieurs serveurs en Load Balancing Version 10.4 27 février 2013 Icewarp France / DARNIS Informatique i Sommaire Configuration de plusieurs serveurs

Plus en détail

Compréhension de l'utilité d'ipsec et analyse de trame internet

Compréhension de l'utilité d'ipsec et analyse de trame internet Compréhension de l'utilité d'ipsec et analyse de trame internet 1 Environnement Vous disposez d'une machine virtuelle (VirtualBox) sur laquelle est installée Trisquel (GNU/Linux basé sur Ubuntu). Vous

Plus en détail

SQL MAP. Etude d un logiciel SQL Injection

SQL MAP. Etude d un logiciel SQL Injection Introduction Ce TP a pour but d analyser un outil d injection SQL, comprendre les vulnérabilités d une BD et de mettre en œuvre une attaque par injection SQL. Prise en main du logiciel SQLMap est un outil

Plus en détail

Sécurité PHP et MySQL

Sécurité PHP et MySQL Sécurité PHP et MySQL Ce document est extrait du travail de diplôme de M. DIZON dans l état.. Sécurité PHP et MySQL...1 1 Introduction...1 2 Sécurisation des scripts PHP...2 2.1 Introduction...2 2.2 Filtrage

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

S26B. Démarche de de sécurité dans les projets

S26B. Démarche de de sécurité dans les projets S26B Démarche de de sécurité dans les projets Théorie et et réalité Patrick CHAMBET Bouygues Telecom http://www.chambet.com Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com

Plus en détail

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4)

Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4) Remote Cookies Stealing SIWAR JENHANI (RT4) SOUHIR FARES (RT4) Sommaire : Contenu I. Introduction:... 2 II. Présentation de l atelier :... 2 1) Attaque persistante :... 3 2) Attaque non persistante :...

Plus en détail

4. Utilisation d un SGBD : le langage SQL. 5. Normalisation

4. Utilisation d un SGBD : le langage SQL. 5. Normalisation Base de données S. Lèbre slebre@unistra.fr Université de Strasbourg, département d informatique. Présentation du module Contenu général Notion de bases de données Fondements / Conception Utilisation :

Plus en détail

Les bases de données Page 1 / 8

Les bases de données Page 1 / 8 Les bases de données Page 1 / 8 Sommaire 1 Définitions... 1 2 Historique... 2 2.1 L'organisation en fichier... 2 2.2 L'apparition des SGBD... 2 2.3 Les SGBD relationnels... 3 2.4 Les bases de données objet...

Plus en détail

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guide de démarrage rapide

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guide de démarrage rapide Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guide de démarrage rapide ESET Smart Security assure une protection de pointe de votre ordinateur contre les codes malveillants. Basé sur le moteur

Plus en détail

SGBDR. Systèmes de Gestion de Bases de Données (Relationnelles)

SGBDR. Systèmes de Gestion de Bases de Données (Relationnelles) SGBDR Systèmes de Gestion de Bases de Données (Relationnelles) Plan Approches Les tâches du SGBD Les transactions Approche 1 Systèmes traditionnels basés sur des fichiers Application 1 Gestion clients

Plus en détail