La gestion des identités

Dimension: px
Commencer à balayer dès la page:

Download "La gestion des identités"

Transcription

1 La gestion des identités PAGE 6 Les dessous de la cryptographie PAGE 13 Bimestriel - juillet/août e n 74 Le Saas, nouvel eldorado du on-demand? PAGE 29 Microsoft.net : nouvelles avancées pour les développeurs PAGE 33 Les modèles de sécurité réseau PAGE 39

2 ZOOM OUTSOURCING L avis des Directions Informatiques Ministère des Finances Direction Générale des Impôts Nadine Chauvière Sous-Directrice des SI de la DGI «Les solutions d Application Intelligence CAST nous aident à obtenir une meilleure visibilité de notre parc applicatif au travers de tableaux de bord composés d indicateurs techniques objectifs afin de faciliter le dialogue avec les équipes et avec nos maîtrises d ouvrage.» Groupe SFR Cegetel Eric Eteve Directeur Informatique Centre Ingénierie Mobilité «La solution CAST de gestion de la soustraitance est un élément clé dans le système de pilotage mis en place par SFR-Cegetel sur ses TMA. Nous avons constaté une attention plus particulière apportée par les SSII à la qualité des livrables et à la fiabilité des chiffrages depuis qu ils savent que nous pouvons facilement les auditer.» Framatome - Groupe AREVA Michel Fondeviole DSI de Framatome-ANP «CAST fournit des critères objectifs d appréciation dans le dialogue parfois difficile avec le sous-traitant ainsi que des indicateurs nécessaires au suivi de l évolution des applications et constitue au sein de Framatome un outil de progrès partagé.» En savoir plus Demandez le Livre Blanc rédigé par le Gartner Group et CAST sur ce thème : «Information Series on Application Management» : Découvrez l expérience de plusieurs sociétés utilisatrices de solutions d Application Intelligence :

3 La maîtrise des applications et des prestataires dans une opération d outsourcing De la valeur ajoutée de l Application Intelligence pour piloter efficacement un parc applicatif sous-traité Les entreprises, devenues plus mûres vis-à-vis de l outsourcing, sont désormais capables d opérer des externalisations plus stratégiques. On l a récemment observé dans l automobile avec Renault ou dans la grande distribution avec Carrefour. Dans l externalisation des applications métier, c est surtout la volonté d accroître l efficacité opérationnelle de l informatique qui est motrice : pouvoir fournir plus rapidement un service à valeur ajoutée aux utilisateurs et aux clients dans un contexte en perpétuelle évolution. Comme dans n importe quelle opération d outsourcing, le contrat liant le fournisseur est capital, en particulier les SLAs. Néanmoins, les applications métier étant par nature soumises à de fréquents changements en cours de contrat, les seuls SLAs se révèlent vite insuffisants pour garantir la qualité de service et éviter les dérives de coûts. C est là que le bât blesse : l externalisation des applications métier occasionne un risque de perte rapide de savoir-faire technologique et par conséquent critique. Vigilance et suivi sont de mise pour garder le contrôle de la qualité de service et éviter les dépendances par nature dangereuses. L externalisation réussie d applications métier est donc le fruit d une vision anticipatrice partagée avec le prestataire. Sont ainsi apparues des solutions dites d Application Intelligence, basées sur une technologie avancée d analyse de code source. En fournissant des indicateurs techniques aux donneurs d ordre, ces solutions permettent de piloter un parc applicatif sous-traité en temps réel, tant en terme de qualité, que de maintenabilité et de coût. Résultat : le donneur d ordre conserve la maîtrise intellectuelle de ses applications métier et le contrôle de la relation avec son sous-traitant. La valeur ajoutée de ce type de solutions d Application Intelligence est visible à chaque étape d une opération d outsourcing, comme décrit ci-après. Recette technique Fin de contrat Cycle de vie d'une opération d'outsourcing Contrôle des coûts Appels d'offres Suivi de projet Audit de l existant et préparation des appels d offres Déterminer les caractéristiques techniques du portefeuille applicatif existant avant de le sous-traiter Disposer d informations de référence pour évaluer les propositions des soustraitants Transfert de connaissances Obtenir une image à l instant t des applications pour permettre un suivi dans le temps Transfert vers le prestataire Réduire la phase d acquisition de la connaissance pour entreprendre plus vite des tâches productives Diminuer le coût lié à la production d une documentation exploitable et maintenable par le prestataire Contrôle de la qualité et des coûts en cours de projet Suivre l évolution de la maintenabilité et de la qualité pour éviter toute dérive Etre capable de valider la quantité et la qualité du travail facturé Etre en mesure de challenger le sous-traitant lors des négociations d avenants Industrialiser les recettes techniques Renouvellement de contrat, transfert ou ré-internalisation Déterminer et qualifier les écarts entre la prestation prévue et les livrables recettés Disposer des informations techniques caractéristiques du portefeuille applicatif en fin de prestation Le leader mondial de ce type de solutions est d ailleurs un éditeur français, CAST. Reconnu par les analystes informatiques comme précurseur du marché, CAST compte plus 500 comptes utilisateurs de sa plate-forme d Application Intelligence dans le monde. Publi-Reportage

4 édito Même pas peur! La sécurité, la sécurité, la sécurité Telle serait la préoccupation majeure des responsables informatiques. Pourtant, nombre d entreprises ne disposent toujours pas d un responsable réel et à temps plein en la matière. Je parle bien évidemment de celles qui estiment qu elles peuvent entretenir seules un système d information digne de ce nom. Une mesure d autant plus essentielle que le SI s ouvre aujourd hui aux fournisseurs, aux partenaires et aux clients. Une contagion virale porterait un coup violent aux bonnes relations avec tous ces acteurs. Et attention à ne pas confondre «sentiment de sécurité» et «réseau réellement protégé». Installer quelques logiciels suffit à peine à se donner bonne conscience, mais s avère souvent inefficace! Vers un service de sécurité Pour vulgariser le propos, vous pouvez tenter une expérience. Installez un système d exploitation sur votre ordinateur à la maison. Évitez soigneusement d installer tout pare-feu ou antivirus, et connectez-vous à Internet. À votre avis combien de temps vous faudra-t-il pour corrompre l intégrité de votre belle machine? Mieux encore, combien de temps vous faudra-t-il pour vous en apercevoir? Un de mes voisins m a appelé en catastrophe trente minutes après sa première connexion à Internet Et il a du tout réinstaller : un vrai bonheur Seconde expérience : tentez le même type d exploit, mais en installant coupe-feu et antivirus. Par la suite, éviter soigneusement les mises à jour des signatures virales et autres informations indispensables à ces logiciels. Refaites donc le bilan après deux ou trois semaines Cette seconde expérience illustre le besoin impérieux de mettre à jour les failles des logiciels et systèmes d exploitation régulièrement, et idéalement en mode automatisée dès disponibilité chez l éditeur. Et que réalise-t-on au passage? La sécurité devient un service bien au-delà d un simple logiciel. Maintenant, imaginez que cet utilisateur n ait pas réalisé cette installation dans son salon, mais plutôt dans son bureau, en le connectant au réseau de votre entreprise. Êtes-vous absolument certain qu il ne coure alors aucun danger? Par ailleurs, êtes-vous sûr qu aucun d entre eux ne l a fait avec un portable personnel? Laisser faire ceux qui savent De même que les télécommunications deviennent une affaire d experts passé un certain niveau, la sécurité doit être confiée à des spécialistes. Quelques rares entreprises peuvent se payer de tels profils. Pour les autres, il est urgent de consulter, avant d exposer leur infrastructure aux mains des hackers de tout poil. Un sujet dont nous reparlerons plus en détail dans nos prochains numéros. Editeur Press & Communication France Une filiale du groupe CAST 3, rue Marcel Allégot Meudon - FRANCE Tél. : Fax. : Rédacteur en chef José Diz Directeur de publication Aurélie Magniez Abonnements/Publicité Conception Graphique N. Herlem Parution IT-expert - (ISSN ) est un journal édité 6 fois par an, par P&C France, sarl de presse au capital de ,61 e. Avertissement Tous droits réservés. Toute reproduction intégrale ou partielle des pages publiées dans la présente publication sans l autorisation écrite de l éditeur est interdite, sauf dans les cas prévus par les articles 40 et 41 de la loi du 11 mars P&C France. Toutes les marques citées sont des marques déposées. Les vues et opinions présentées dans cette publication sont exprimées par les auteurs à titre personnel et sont sous leur entière et unique responsabilité. Toute opinion, conseil, autre renseignement ou contenu exprimés n engagent pas la responsabilité de Press & Communication. Abonnements Prix pour 6 numéros téléchargeables sur le site : 70 e TTC (TVA : 19,6%) Un bulletin d abonnement se trouve en pages 27/28 de ce numéro. Vous pouvez vous abonner sur Abonnements/Default.aspx ou nous écrire à : José Diz Rédacteur en Chef 4 IT-expert n 74 - juillet/août 2008

5 IT-expert n 74 - juillet/août 2008 Sommaire 6 Dossier La gestion des identités Ouverture, réseaux étendus Comment savoir qui se promène sur le réseau interne et qui accède aux applications? Authentification, habilitation, chiffrement, identités, pattern Un dossier pour comprendre les principaux aspects des nouveaux systèmes d information. 13 Technique Les dessous de la cryptographie De la seconde guerre mondiale aux recherches actuelles sur la cryptographie quantique en passant par la stéganographie, l expert en sécurité Mauro ISRAEL nous explique les mystères de cette discipline, ses faiblesses, et le contexte romanesque de ces évolutions. 22 Actualités Internationales Les informations marquantes d éditeurs, de marchés, d organisme de standardisation, de débats en cours et de tendances. 29 Quoi de Neuf Docteur? Le Saas, nouvel eldorado du on-demand? Délégué général de l ASP Forum, Henry-Michel Rozenblum exprime son agacement pour tout ce verbiage, et énonce toutes les vertus de ses technologies incontournables. Des prises de position personnelles d un membre actif de ce marché. 33 Comment ça Marche? Microsoft.net : nouvelles avancées pour les développeurs L auteur, spécialiste des technologies Microsoft, décortique la nouvelle architecture.net 3 afin d expliquer - schémas et tableaux à l appui - les nouveautés majeures qu elle apporte aux développeurs. À lire sans tarder. 37 Fenêtre sur cour Interview de Raphaël VIARD, directeur de la sécurité opérationnelle et de la veille technologique chez Alstom Transport «Le badge bitechnologies repose sur deux puces : l un pour le contrôle d accès, la gestion des temps et l autre puce pour la cryptographie qui gère le chiffrement, la signature» Raphaël VIARD relate son expérience liée à ce projet, parti d un besoin informatique, mais qui a finalement fédérer plusieurs problématiques de sécurité d autres domaines autour d un badge unique multifonction. 39 Rubrique à brac Les modèles de sécurité réseau : définir une nouvelle stratégie de protection de son système d information Bien que les systèmes d information ne soient pas revenus au Moyen-âge (en tout cas pas tous ), le modèle du château fort inspire toujours les spécialistes de la sécurité. Modernité oblige, pour rester efficace, cette stratégie devra aussi se pencher sur les aéroports. Un dossier très bien architecturé. 46 Livres Techniques de hacking par Jon Erickson et Menaces sur le réseau - Guide de la reconnaissance passive et des attaques indirectes par Michal Zalewski. IT-expert n 74 - juillet/août

6 La Gestion des Identités Explorer le sujet de la gestion des identités et des accès ou «Identity and Access Management», revient avant tout à s interroger sur les relations des personnes physiques au Système d Information. D une part, les personnes peuvent représenter des objets de gestion pour certaines applications : par exemple, une application de Ressources humaines gère les salariés de l entreprise. D autre part, la notion d individu est omniprésente dans le Système d Information sous la forme des utilisateurs des ressources informatiques de l entreprise : cette même application de Ressources humaines utilise les données de la personne pour authentifier, autoriser un accès partiel ou total, tracer ses actions, envoyer des messages scellés, voire confidentiels Gérer les identités du SI c est donc fournir aux utilisateurs l accès aux ressources qui leur sont nécessaires pour accomplir leur travail dans l entreprise. Cette problématique existe depuis les débuts de l informatique : rien de bien neuf donc! Alors, pourquoi ce sujet est-il toujours sous les feux de l actualité en 2008, tandis que d autres sujets qui avaient passionné la communauté informatique sont aujourd hui tombés dans la commodité (réseaux, firewall, antivirus )? Une partie de l explication tient à ce que l on a changé d échelle dans la complexité. Aujourd hui, presque toutes les personnes de l entreprise sont concernées par l outil informatique. En outre, de nouvelles populations utilisatrices apparaissent : partenaires, clients, prestataires Parallèlement, les applications, hétérogènes et en plus grand nombre couvrent un spectre fonctionnel de plus en plus large. 6 IT-expert n 74 - juillet/août 2008

7 Dossier & Interviews La fiche d identité au cœur des fonctions de sécurité Il est communément admis que la sécurité du Système d Information s appuie sur deux niveaux d architecture : la sécurité système s attache à protéger des zones réseaux et des machines, serveurs ou postes de travail (protection du réseau interne contre les attaques menées depuis Internet par des hackers, protection du poste de travail contre les virus ) ; la sécurité applicative vise à protéger des applications utilisées par des humains (exemples : limiter la population accédant à une information, tracer le qui a fait quoi ). Ces deux niveaux d architecture sont évidemment très complémentaires. Pour autant, l identité est une notion essentiellement utilisée dans le monde de la sécurité applicative. Ainsi, une application s attachera généralement à : connaître les acteurs interagissant avec l entreprise et vérifier leur identité (authentification) ; protéger les biens contre les accès et manipulations non souhaités de certains (habilitation) ; savoir qui a effectué des actions sur des biens (imputabilité) ; vérifier qu un document a été approuvé par une personne et qu il n a pas été falsifié depuis (signature) ; s assurer que seule une personne peut lire le contenu d un document confidentiel (chiffrement). Les services de sécurité remplissant ces objectifs s appuient sur des mécanismes techniques qui utilisent intensément les données informatiques liées à une personne : identifiants, mots de passe, rôle métier, entité organisationnelle, site géographique d appartenance, clé publique du certificat personnel, etc. Pour une personne, l ensemble de ces données constitue, vu du Système d Information, sa fiche d identité. L Identifiant Unique Personnel, pierre angulaire de la gestion des identités Comment parler d identité ou de fiche d identité dans le Système d Information si l on ne peut désigner chaque personne de l entreprise de manière unique? Dans notre vie quotidienne, nous utilisons un numéro de sécurité sociale qui nous est personnel et nous désigne de manière univoque auprès des Caisses Maladie et Retraite. De même, la plaque d immatriculation repère notre véhicule. On peut parler alors d identifiant unique. Cette notion, fondamentale dans notre vie de tous les jours, l est tout autant dans le Système d Information. Jean-Claude, RSSI Lorsque le patron a appris que Jérôme Durant partait à la concurrence, il a déboulé dans mon bureau à 17 h : «je veux que pour demain matin, tu lui supprimes tous ses comptes sur les applications de CAO : je n ai pas envie de voir des plans partir chez le concurrent!». Il est sympa le patron, mais des applis de CAO, il y en a au moins une quinzaine et ça n est vraiment pas évident de retrouver Durant dans cette botte de foin! Tiens, sur l appli «Moteurs» par exemple, on repère les utilisateurs par leurs initiales : comment savoir s il faut désactiver jd1 ou jd7? Sur «Electronique», c est à peine mieux : c est le nom de famille et on a trois Durant au Bureau des Etudes! Finalement, on a pris notre téléphone et on a appelé les gars des équipes conception pour savoir. Au bout de deux heures, on a eu à peu près les infos sauf pour deux applis mais on n est pas sûr que Durant ait un compte sur ces applis. Le lendemain, on s est fait sérieusement enguirlander par Jacques Deboivert : on lui avait supprimé son compte par erreur, jd7 c était lui! Quand le soufflé est un peu retombé, je me suis dit : «plus jamais ça! Il serait temps qu on uniformise un peu tous ces identifiants.» La fiche d identité est une notion logique, les données qui la constituent sont le plus souvent réparties sur différents référentiels et différentes applications : les référentiels de sécurité bien entendu, mais aussi les gestionnaires de ressources humaines, les outils de la direction de la communication, les moyens généraux, etc. Cette histoire illustre l intérêt pour une entreprise de posséder un Identifiant Unique Personnel (IUP). Un SI n est pas monolithique : l IUP assure de pouvoir rapprocher des informations sur une personne (en tant qu utilisateur ou objet de gestion), provenant d applications différentes. Dans un jargon «base de données», on peut dire que l IUP sert de clé de jointure. À l instar du numéro de sécurité sociale qui permet de rapprocher les cotisations maladies versées par un employeur, des remboursements de soins médicaux dont un employé bénéficie, les protagonistes de l histoire précédente peuvent établir que le compte de Jérôme Durant dans «Moteurs» est jd1 (et non jd7!). (Voir schéma page suivante) Cette clé de jointure trouve bien évidemment sa place dans la fiche d identité de la personne. Pour poursuivre la métaphore de la «base de données», on peut dire que l IUP constitue la clé primaire de la fiche d identité : il ne peut pas exister deux fiches d identité avec le même IUP. IT-expert n 74 - juillet/août

8 APPLI «MOTEURS» Login Etat IUP jd1 actif P01297 jd7 actif P00346 IUP clé de jointure FICHE D'IDENTITÉ IUP : P01297 Prénom : Jerôme Nom : Durant Service : Bureau des études SIRH Prénom Nom IUP Jerôme Jacques Durant Deboivert P01297 P00346 Les conséquences de ces événements, comme l appartenance à de nouveaux rôles métier, se retrouvent matérialisés dans une fiche d identité dont la cohérence est assurée par de nombreux services : synchronisation des référentiels applicatifs, provisioning (c est-à-dire la création et la suppression automatisées de comptes informatiques), self-service (c està-dire la création d un compte informatique ou la modification de ses paramètres par l utilisateur lui-même), etc. ; utiliser l identité revient à faire appel à tous les services assurant la sécurité des utilisateurs, des applications et des données du SI : authentification unique, confirmation ou infirmation des accès par habilitations, chiffrement des échanges, etc. Tous ces services utilisent des données contenues dans la fiche d identité préalablement élaborée par le socle «Construire» ; mais utiliser l identité c est aussi être capable de déceler des abus dans les traces des applications. S il ne s agit pas de «fliquer» les utilisateurs du SI, le pilotage permet de mettre en œuvre une politique de sécurité efficace, adaptée aux risques réels et reposant le plus souvent sur une relation de confiance maîtrisée avec les individus. DOMAINE DE SÉCURITÉ S il est unique par nature, l IUP se doit également d être : inaliénable : même après le départ d une personne, il ne doit pas pouvoir être affecté à une autre personne : stable : c est-à-dire sans évolution durant la vie de la personne dans l entreprise, et ce, indépendamment des déménagements, mutations, changements de nom (ex : mariage) Des identités et des patterns CONSTRUIRE L'IDENTITÉ ALIMENTATION STOCKAGE Workflows Administration Synchronisation Services d'accès (IHM, LDAP, Web services ) Connectique Self-service Délégation Provisioning La fiche d identité de la personne se retrouve au cœur de la problématique de la gestion des identités, parce que ses données sont directement exploitées par les applications et l infrastructure afin de rendre des services de sécurité. Avant de rendre ces services, encore faut-il créer les fiches d identité des utilisateurs du SI, et les mettre à jour au fil des événements ponctuant la vie de ces derniers. L identity management, consiste à construire l identité pour pouvoir ensuite l utiliser. Fonctionnellement, la «Big Picture» de la gestion des identités n est donc rien d autre que la superposition des deux socles de référence «construire» et «utiliser», eux-mêmes subdivisés en deux briques d assemblage : construire la fiche d identité c est d abord être capable d en stocker les données. Historiquement le stockage a d ailleurs été la première brique fonctionnelle fournie par les SI au sein de référentiels techniques aussi variés que des bases de données, des annuaires LDAP ou des PABX ; construire la fiche d identité c est ensuite assurer le cycle de vie de ses données. De sa création à sa suppression pure et simple, les modifications apportées à la fiche d identité sont à l image des changements vécus par l utilisateur dans l entreprise : arrivée, mutations, promotions hiérarchiques, etc. UTILISER L'IDENTITÉ SERVICES PILOTAGE SSO Habilitation Reporting Authentification Audit Chiffrement Signature Surveillance Que ce soit au sein du socle de construction ou d utilisation de l identité, les DSI et RSSI des entreprises sont confrontés à la mise en œuvre de ces briques fonctionnelles et aux choix d architecture associée à cette mise en œuvre. À l instar du monde du développement qui s est, au fil des ans, doté de Design Patterns de code, la gestion des identités et des accès dispose aujourd hui de patterns d architecture, c est-àdire de modèles architecturaux répondant à des problématiques récurrentes telles que : «Comment fournir un service d authentification et de stockage de données d identité utilisable par le plus grand nombre d applications du SI?» ; 8 IT-expert n 74 - juillet/août 2008

9 Dossier & Interviews «Comment appliquer simplement un modèle d habilitations répondant à 80 % des règles de sécurité de l application?» ; «Comment fournir un service d authentification unique, sans revalidation des mots de passe des utilisateurs par les applications?» ; «Comment consulter ou utiliser logiquement les données de fiches d identité réparties dans un ou plusieurs référentiels» ; «Comment assurer l attribution de ressources aux collaborateurs de l entreprise conformément aux procédures organisationnelles (RH et sécurité) en vigueur?» ; «Comment gérer dans un SI la sécurité de ces utilisateurs particuliers que constituent le personnel ou les clients des partenaires?» ; Etc. La suite de cet article détaille pour l exemple et sous une forme romancée l un des patterns répondant à l une des plus grandes problématiques de la gestion des identités et des accès : le Single Sign-On (SSO). Un exemple de pattern : le SSO par délégation Michaël, le nouveau RSSI de Jo Sport, grande enseigne de distribution d articles de sport, a tôt fait de se mettre au travail. Quelques semaines seulement après son arrivée, une charte de sécurité est ainsi disponible dans les boîtes aux lettres électroniques de l entreprise. Si elle a le mérite d essayer de sensibiliser les utilisateurs du SI à des considérations ignorées jusqu ici, certains points se retrouvent assez rapidement critiqués. On y apprend ainsi que désormais tout mot de passe permettant l accès à une application ou à un composant d infrastructure doit posséder les caractéristiques suivantes : une longueur minimale de 7 caractères, au moins 3 caractères non alphabétiques, un changement obligatoire tous les 30 jours sans réutilisation d un des 15 derniers mots de passe Cette nouvelle password policy est rendue effective à la minovembre. Trois semaines plus tard, Michaël voit tomber sur lui la foudre des VIP et doit supporter la bronca des utilisateurs magasins en pleine suractivité pendant la période des fêtes. Aussi sécurisante que cette politique puisse paraître à ses yeux, elle n est pas applicable en l état. La vente de détail demande souplesse et réactivité. Retenir et taper plusieurs fois par jour un mot de passe de 7 caractères et composé de symboles tels que «#», «&» ou n aide assurément pas les vendeurs des magasins Jo Sport à répondre rapidement aux attentes de leurs clients. L histoire aurait pu en rester là et Michaël faire machine arrière vers un temps où cette extreme password policy n existait pas, mais voilà, Michaël vient d arriver dans l organisation, qui plus est en tant que RSSI, et revenir à la case départ serait pour lui d ores et déjà synonyme d échec. C est donc dans une atmosphère déjà rendue un brin pesante par cette histoire de password policy, que Jérôme, l architecte en charge de la gestion des identités et des accès, prend rendez-vous avec Michaël, afin de lui soumettre une nouvelle problématique de mots de passe : «- Bon alors, quel est le problème? J'ai pas bien compris ton mail, cette histoire de mainframe, qu'est-ce que ça à voir avec les mots de passe? - Et bien, on a des utilisateurs qui accèdent au mainframe par un émulateur. Mais sur ce système le mot de passe n'est pas nominatif, on se loque par un profil. Du coup le mot de passe du mainframe n'est pas synchronisable avec celui de l'annuaire au travers de l'interface Jo Provisioning. Bref, en plus de devoir le taper, il faut aussi le retenir... Et bon, déjà que pour ce qui est du mot de passe de l'annuaire la pass word poilcy n'a pas fait que des heureux, là, deux mots de passe tarabiscotés c'est carrément l'émeute! - Je vois (soupirs)... Bon écoute, j'y réfléchis et on en reparle plus tard.» Une connexion Internet et quelques clics plus tard, Michaël rappelle Jérôme et l invite à passer rapidement dans son bureau : «Regarde, j'ai ce qu'il nous faut : tu vois, cette boîte propose un logiciel qui, lorsqu'un challenge d'authentification apparaît, récupère le login et le mot de passe de l'utilisateur pour l'application concernée et remplit pour lui ces informations dans la fenêtre d'authentification. Bref, le confort quatre étoiles! Le truc encore plus fort, c'est le mode d'authentification initial, regarde, ils proposent en standard d'utiliser un support physique comme une clé USB ou une carte à puce. Tu peux même t'intégrer avec un système de biométrie si le cœur t'en dit, bon bien sûr ça doit être plus compliqué. En tout cas, le mode «par défaut» serait génial pour nous. Imagine le topo, chaque utilisateur possède une clé USB qui contient sous un format chiffré ses informations de logins et de mots de passe pour l'ensemble des systèmes et applications du SI : ils appellent ça un «coffre 550».Lorsqu'un utilisateur veut se loguer et travailler sur un PC du parc,il n'a qu'à insérer le token (USB et débloquer le fichier chiffré en tapant le code PIN sur quatre chiffres. Ensuite, dès qu'une pop-up d'authentification apparaît le logiciel récupère de la clé le mot de passe de l'annuaire, du mainframe, de JO Voyages ou de je ne sais quel autre système et le rentre à l'écran à la place de l'utilisateur. Pour ce dernier c'est complètement transparent! Et du coup ça règle tous mes.., heu... «nos» problèmes. Et Michaël d ajouter : 1/ on a une vraie progression du niveau de sécurité pour la phase d'authentification puisqu'on passe d'un simple mot de passe à ce que les anglo-saxons appellent «two factor authentication» : pour me loguer,j'ai besoin de connaître un secret (en l'occurrence un code PIN), et aussi et surtout de posséder un support physique (en l'occurrence un token USB); 2/ les utilisateurs n'ont plus à taper 10 ou 15 fois par jour un mot de passe basé sur un jeu de caractères ésotériques. Ce qu'ils ont à retenir c'est désormais un code sur quatre chiffres, ce qu'ils ont tous l'habitude de faire dans leur vie quotidienne (code PIN du téléphone portable, code de carte bleue etc.) ; 3/ les utilisateurs n'auront, quoi qu'il arrive, c'est-à-dire quels que soient le nombre et le type des systèmes à accéder, jamais plus d'un crédentiel à retenir, en l'occurrence le code PIN. Cest un vrai 550 ayant pour périmètre l'intégralité du SI. Alors, qu'est-ce que tu en penses? Géniale cette solution non?» IT-expert n 74 - juillet/août

10 Géniale, peut-être pas, mais en tout cas digne d intérêt! La solution décrite par Michaël est en fait représentative d un pattern logiciel adressant la problématique du SSO par le bout du confort : d une part pour l utilisateur : puisque retenir et taper des mots de passe sont des tâches respectivement pénible et rébarbative, un composant logiciel, un automate en somme, se chargera de les réaliser pour lui. La tâche de fourniture des mots de passe est ainsi déléguée ; d autre part pour les systèmes et applications dans le périmètre du SSO : puisque cette fonction est intégralement assurée par un composant tiers, aucune action «intrusive» n est généralement nécessaire sur les serveurs accédés. Il existe aujourd hui deux grandes catégories de logiciels implémentant le pattern de SSO par délégation : 1. Les reverse-proxies, adressant l unique périmètre des applications Web. On parle alors de «Web Single Sign- On». Dans cette solution, le reverse-proxy devient le point de passage obligé des navigateurs Internet pour l accès aux applications. Ainsi, les utilisateurs n accèdent plus à une application webmail par son adresse directe «http://webmail.josport.fr», mais par l adresse de sa jonction sur le reverseproxy : «http://reverse-proxy.josport.fr/webmail/» ; 2. Les logiciels d interception. Déployées sur les postes clients, ces solutions permettent de rendre un service de Single Sign- On pour toute application du SI : Web, 2 tiers, «fenêtres» de ligne de commande de type «telnet», émulateurs 5250, etc. On parle alors d «Enterprise Single Sign-On». Si les reverse-proxies accèdent directement aux informations de logins / mots de passe contenues sous (ou dans) les objets personnes de l annuaire afin de remplir les fenêtres de «Basic Authentification» ou les pages HTML de «LoginForm», les solutions de SSO déployées sur les postes clients utilisent, elles, un référentiel local le plus souvent synchronisé avec l annuaire centralisé. Dans tous les cas, il est important de garder un œil critique sur les plaquettes des éditeurs, ceux-ci mettant invariablement en avant le caractère non intrusif et la rapidité de déploiement de leurs produits. Si ces solutions ne demandent effectivement aucune intervention sur les serveurs, il serait hâtif (voire malhonnête, par omission) de prétendre qu elles ne possèdent aucun caractère intrusif : par nature, les logiciels d interception doivent ainsi être déployés sur les postes clients, ce qui n est pas forcément une mince affaire dans le cas de parcs très étendus. De plus lorsque l authentification système (au sens de l obtention d une session Windows) fait partie du périmètre de Single Sign-On à mettre en place, une DLL propre à l éditeur doit être utilisée en lieu et place de la GINA (Graphical Identification and Authentication library) Windows traditionnelle. Dans ces deux implémentations du pattern, les logins et mots de passe des utilisateurs pour les différentes applications du SI sont stockés dans un référentiel centralisé, le plus souvent un annuaire LDAP, parfois (mais désormais rarement) une base de données. Ces nouvelles informations d identités apparaissent sous la forme de nouveaux attributs ou objets, ce qui, dans le cas d un annuaire LDAP nécessite une extension de schéma : Cette librairie débloque le coffre SSO avec le code PIN fourni par l utilisateur 1 puis vérifie l existence de ce dernier dans l annuaire 2 avant d ouvrir une session sur le système d exploitation. Une fois la session Windows ouverte, le logiciel d interception utilise classiquement les informations de logins et de mots de passe contenues dans le coffre SSO afin de remplir les challenges d authentification des applications ( 3 et 4 ). 10 IT-expert n 74 - juillet/août 2008

11 Dossier & Interviews Enfin, les solutions de type reverse-proxies et les logiciels d interception sont également intrusifs sur le serveur d annuaire du fait de la nécessaire extension du schéma de ce dernier. Quant à la rapidité du déploiement, souvent discutable, elle ne doit pas faire oublier l étendue du travail à réaliser sur les systèmes en back-end. Car, c est bien là la grande limite du pattern de SSO par délégation : être l arbre du confort utilisateur masquant la forêt des réels enjeux du Single Sign-On. Ce pattern ne repose en effet que sur un «bête» automate, remplissant des fenêtres d authentification avec des données récupérées dans un référentiel central. Il n assure par contre en rien le provisioning de ce référentiel. Et c est bien là où le bât blesse, car les logins et passwords des applications et systèmes en back-end ont leur propre cycle de vie : si l une de ces données d authentification change dans le référentiel local d une application, elle doit ainsi être reportée sur l annuaire centralisé. Pour répondre à cette problématique, les logiciels d interception proposent un mode dit d «autoapprentissage» : lorsque la phase d authentification échoue sur un système, ils proposent ainsi à l utilisateur de renseigner lui-même le login et mot de passe valides. Ces informations sont alors synchronisées et stockées dans l annuaire centralisé pour une future réutilisation. Si une telle solution résout momentanément le problème, il faut bien admettre qu on est quand même loin du confort utilisateur initialement annoncé n Bruno VINCENT Architecte senior et expert en sécurité du SI Nicolas DEBAES Architecte senior et expert en sécurité du SI Pierre PEZZIARDI Directeur Technique Pour en savoir plus : l ouvrage «Gestion des Identités : Une Politique pour le Système d Information» (Editions OCTO Technology, ISBN ) s attaque à la thématique de la gestion des identités et des accès en présentant pour chacune de ces problématiques le ou les patterns associés : Référentiels et annuaires d identité Provisioning des ressources informatiques et physiques Authentification nivelée (du mot de passe à la biométrie!), centralisée (Single Sign-On) ou fédérée (Liberty Alliance, ADFS ) Habilitations et contrôle d accès Sécurité des échanges Analyse des traces et imputabilité des actions Etc. IT-expert n 74 - juillet/août

12

13 Technique Les dessous de la cryptographie La plupart des responsables sécurité et des informaticiens considèrent la cryptographie, ou «crypto», comme une «boite noire». Ils ne souhaitent pas forcément comprendre son fonctionnement, car cela fait appel à des concepts mathématiques complexes et inaccessibles au commun des mortels. Cette idée recèle une partie de vérité, mais les principes de base sont simples à comprendre. Un examen de ces derniers permet de savoir lequel il faut utiliser, dans quel cas, et avec quel degré de sécurité réelle. NOTA BENE : Pour éviter toute confusion, l article désignera par «crypté» tout élément non «lisible», et par «décrypter» les techniques qui permettent de le rendre lisible. Si on dispose de la clé, on parlera de «déchiffrer» (au plutôt que «décrypter»). «Décrypter» consiste donc à rouler dans une voiture sans avoir la clé de contact, tandis que «déchiffrer» revient à rouler dans une voiture dont on possède la clé (ce qui ne signifie pas forcément qu on en est le propriétaire) IT-expert n 74 - juillet/août

14 Depuis quatre millénaires, les codes accompagnent l Histoire Dans son histoire courte «Le scarabée d or» éditée en 1843, Edgar Allan Poe explique les rudiments du cassage de code secret, et imagine que l esprit humain pourra casser n importe quel code que l ingéniosité humaine pourrait concevoir. Pendant le siècle et demi suivant, la bagarre entre les concepteurs de codes et les briseurs de code a connu des intrications et les complications qui auraient fait le bonheur d Edgar Poe. Un code réputé incassable a bien été inventé en 1918, bien que son invulnérabilité n ait pas été prouvée avant les années Le code dit «symétrique» était plutôt impraticable, parce qu il exigeait de l expéditeur et du récepteur de convenir à l avance d une clé -un chiffre aléatoire secret-, avec dans certains cas une utilisation unique chaque fois qu un message secret a été transmis. Des codes plus pratiques, avec des clés courtes et réutilisables, voire aucune clé secrète du tout, n ont été développés dans les années 70, mais à ce jour ils stagnent dans un flou mathématique, sans qu aucune preuve de «cassabilité» ou d invulnérabilité ne soit réellement établie. L art de la cryptographie apparaît il y a plus ans avec les Egyptiens, Les Grecs puis les Romains. Jules César et son fameux «code 3» ont joué un rôle important dans l Histoire. Le message codé ou «cryptogramme» le plus célèbre, la note de Zimmermann, a probablement précipité l entrée des États-Unis dans la Première Guerre mondiale. Quand le cryptogramme a été cassé en 1917, les Américains comprirent que l Allemagne avait essayé d attirer le Mexique à adhérer à son effort de guerre, en promettant des territoires américains au Mexique en cas de victoire. Presque simultanément, les Américains Gilbert S. Vernam d ATT Company et Joseph Mauborane des transmissions de l armée américaine ont développé le premier code réputé incassable appelé le chiffre de Vernam. Une particularité distinctive de ce code est son besoin de clé unique utilisée pour crypter le message transmis, en n étant jamais réutilisée pour envoyer un autre message. (Le chiffre de Vernam est également connu comme le carnet à feuilles jetable des espions, chaque feuille étant utilisée pour coder un message puis détruite soigneusement, comme le magnétophone dans «Mission Impossible» ). La découverte du chiffrement de Vernam a généré peu d utilisations industrielles à l époque. D une part, parce que l invulnérabilité n a été prouvée que beaucoup plus tard ; d autre part, parce que ses conditions d utilisation étaient peu pratiques pour les particuliers et les entreprises. Du moins, jusqu à l apparition de l ordinateur personnel vers La crypto symétrique : de la seconde guerre mondiale à Che Guevara En 1967 l armée bolivienne capture et exécute le révolutionnaire Che Guevara, et trouve sur son corps un brouillon de message à transmettre au Président cubain Fidel Castro. Le Che a employé le fameux chiffrement réputé incassable inventé par Gilbert Vernam en Les lettres composant le message du Che (en Espagnol) sont traduites une première fois en un nombre décimal à deux chiffres par une règle fixe. Par lui-même ce procédé n aurait assuré pratiquement aucune protection. Les chiffres du message sont alors répartis dans des blocs à cinq chiffres. Ils deviennent la ligne supérieure de chaque groupe de trois lignes sur la feuille de brouillon. La ligne au milieu de chaque groupe incarne la clé, une combinaison de chiffres aléatoires connus seulement de Guevara et Castro : On additionne alors le chiffre de la première et deuxième ligne pour produire un cryptogramme, formant le résultat sur la troisième ligne, qui est la seule envoyée par des moyens classiques interceptables comme le télégraphe ou la radio ondes courtes. En raison de l addition des chiffres principaux avec ceux aléatoires, ce cryptogramme devient lui-même une chaine décimale aléatoire, ne diffusant aucune information sur le message original, excepté pour quelqu un qui connait la clé. À l autre bout, le bureau du code de Castro soustrait les mêmes chiffres au message reçu reconstruisant alors dans l ordre les nombres de la rangée supérieure, ce qui donne le message en clair. Nombre d espions et de diplomates ont employé le chiffre de Vernam tout au long du 20 ème siècle. La clé, plutôt que d utiliser des chiffres décimaux, utilise maintenant des éléments binaires 0 et 1, et les additions et les soustractions étant effectuées en base 2 par la machine, plutôt qu en base 10 à la main. Néanmoins, la clef doit encore être disponible à la fois lorsqu elle permet de produire le code et au moment du déchiffrement. Donc, elle doit être parfaitement conservée durant toutes les phases de livraison et de stockage pour l empêcher de tomber entre les mains d un adversaire. En raison de cette limitation, les soldats et les diplomates ont continué à utiliser des systèmes plus faibles utilisant des clés plus courtes ou réutilisées. C est pourquoi, pendant la Deuxième Guerre mondiale, les alliés ont pu lire la plupart des messages secrets transmis par les Allemands et les Japonais. Il n était pas aisé de casser ces codes, mais c était surtout une question 14 IT-expert n 74 - juillet/août 2008

15 Technique de temps. Par exemple, certaines lettres ont une fréquence plus élevée dans une langue, le «e» ou le «s» plutôt que le «q» ou le «x» En comptant les occurrences d une série, on pouvait éventuellement en déduire des lettres, voire des syllabes utilisées davantage dans une langue, comme «et» ou «par» Ce dispositif s appelle la cryptanalyse. Les Américains ont donc utilisé des Indiens Navajo pour leurs messages «source» ce qui brouillait le message en clair pour les Japonais qui cherchaient des mots en Anglais Mais en essayant toutes les combinaisons possibles avec 26 lettres et 10 chiffres, on finira fatalement par casser le code. On appelle cette technique le «brute force». La tâche formidable de casser des codes de plus en plus sophistiqués fût donc l un des facteurs qui ont stimulé le développement des ordinateurs capables d exécuter des millions d opérations, donc de tentatives par seconde. Crypto asymétrique recourt à des clés publiques Sous l impulsion de l armée américaine, l intérêt universitaire pour la cryptologie s est développé au milieu des années 70, quand Whitfield Diffie, Martin E. Hellman et Ralph C. Merkle, de l Université de Stanford, ont conçu le principe de la cryptographie à clefs publiques (PKC). Un peu après, en 1977, Ronald L. Rivest, Adi Shamir et Leonard M. Adleman, du MIT, ont conçu une application pratique : l infrastructure à clefs publiques asymétriques ou PKI. Ces systèmes diffèrent de tous les codes précédents, du fait que les parties souhaitant communiquer n ont pas besoin de convenir d une clé secrète à l avance. L idée de la PKI pour un utilisateur, que nous appellerons Alice, est de choisir aléatoirement une paire mutuellement inversible employée à la fois pour le chiffrage et le déchiffrage ; elle publie alors les instructions pour effectuer le chiffrage (clef publique) mais pas le déchiffrage (clef privée). Un autre utilisateur, appelé Bob, peut alors utiliser l algorithme public d Alice pour préparer un message que seule Alice peut déchiffrer. Ainsi, n importe qui, y compris Alice, peut utiliser l algorithme de chiffrement public de Bob pour préparer un message que seulement lui peut déchiffrer. C est simple il suffisait d y penser! Ainsi, Alice et Bob peuvent converser secrètement sans partager le moindre secret préalable. Les PKI sont donc particulièrement appropriées pour chiffrer le courrier électronique et les transactions commerciales, qui se produisent souvent entre les parties qui, à la différence des diplomates et des espions, n ont pas prévu préalablement leur besoin de communiquer secrètement. En contrepartie, on ne sait pas si ces systèmes utilisés dans toutes nos transactions bancaires -par exemple à travers SSL et HTTPS- sont réellement solides. En effet, Shamir en 1982, maintenant à l institut de Weizmann de la Science en Israël, à craqué l un de ces systèmes le knapsack cipher. En juillet 2004, deux jeunes femmes de l Université de Shanghai ont annoncé la possibilité de calcul d inversion de MD5 et SHA1, protocoles largement utilisés dans toutes nos communications chiffrées. Edgar Poe doit sourire dans sa tombe! Il se pourrait qu il y ait une méthode d attaque intelligente, jusqu ici non découverte, qui pourrait casser tout code secret actuel en quelques minutes, voire «au fil de l eau». Il se peut qu Alice et Bob aient du souci à se faire si une puissance nationale ou économique disposait d une telle puissance de calcul Diffie et Hellman ont d ailleurs alerté de nombreuses fois la communauté scientifique dans les années 90, en expliquant qu il y avait une faille grossière dans le codage de deux bits de DES (triple DES est largement utilisé dans nos communications chiffrées notamment dans HTTPS). Il se pourrait que cette faille ait été introduite volontairement lors de la conception du code pour permettre à une puissance nationale de décoder facilement les échanges cryptés sur son territoire. Ainsi, la confidentialité des données et des flux chiffrés ne la serait pas pour tout le monde Le talon d Achille de la crypto En fait le talon d Achille des solutions existantes de cryptographie réside dans le processus d échange des clés. Tandis que les techniques conventionnelles de distribution se fondent sur la clé publique ou l échange manuel. En effet, une entité qui «renifle» le flux peut intercepter l échange de clé, générer une fausse clé et se faire passer pour l entité émettrice. Le récepteur va donc coder son message avec la fausse clé, ce qui aura pour conséquence non seulement que le message soit décodé par l intrus en temps réel, mais aussi que le destinataire ne reçoive pas le message d origine, mais éventuellement un message modifié IT-expert n 74 - juillet/août

16 Voici un exemple d interception de flux SSL dans un aéroport en WIFI, basé sur le principe du «man in the middle» et de la génération d une fausse clef publique. La stéganographie : dissimuler l information au lieu de la crypter La stéganographie a été inventée par les Grecs pour dissimuler des informations à leurs ennemis. Ils inscrivaient sur le crâne d un esclave une information sensible, les cheveux repoussaient, puis le moment venu ils décapitaient l esclave et récupéraient l information Ce «one time password», bien que cruel, leur garantissait de cacher une information de manière parfaite. En effet, le mot stéganographie vient du Grec «steganos» qui veut dire «caché» mais dans le sens d «enfoui», comme un sousmarin Le mot Grec «crypto» veut dire également «caché», mais dans le sens de «on ne comprend pas la signification». Deux mots de Grec pour deux traitements des informations sensibles, distincts et complémentaires. Dans la «crypto» si on reprend notre mot Grec, on chiffre le message avec une clé et on transmet la clé à tous les destinataires potentiels, permettant ainsi le déchiffrement. En cas d interception, le message ne pourra pas être lu sans la clé. Par exemple, le message chiffré sera «DAH» et la clé «3». Le message en clair sera donc «AVE», «D-3=A» et ainsi de suite. En décalant de trois caractères la lettre d origine, on obtient le message en clair. Le problème est qu une donnée cryptée attire l attention dans une masse de données en clair. Il est évident pour un hacker ou une puissance étrangère que les données chiffrées sont les données les plus «intéressantes». Il faut donc appliquer une autre stratégie pour les données dites «secrètes», les plus sensibles de toutes, celles qui ne doivent pas attirer l attention. La stéganographie moderne utilise un programme qui encapsule le fichier secret à protéger dans un autre fichier dit «hôte», plus grand, et qui sera anodin comme une photo ou une musique. Ce logiciel rend le fichier secret totalement invisible et perdu dans la masse de fichiers «en clair» Plusieurs avantages à cette technique : lors de la perte d un ordinateur portable, les fichiers réellement sensibles ne seront pas visibles par le voleur. Les douanes et autres systèmes de scan qui se concentrent sur les fichiers cryptés ne verront pas ces contenus. Des données secrètes au niveau même de l entreprise ne seront pas visibles par d autres personnes que celles au courant de l existence du fichier. Même les informaticiens ne seront pas au courant de ces fichiers et ne pourront pas les lire. Quelques inconvénients : au niveau de la sécurité d un pays, tous les délinquants peuvent utiliser ces techniques pour éviter d être interceptés dans leurs agissements frauduleux. Les fuites d informations à travers l envoi d un sont facilitées pour les personnels indélicats. Mieux vaut donc connaître ces techniques et les expliquer aux dirigeants des entreprises afin de protéger les données secrètes. «Un secret n existe pas, sinon ce n est plus un secret», comme disent les militaires. De quels programmes dispose-t-on pour mettre en œuvre la stéganographie? J en utilise deux : Invisible Secrets 4, un shareware roumain et Truecrypt (www.truecrypt.com) qui me permet de cacher un volume virtuel de mon disque dur, lui-même crypté 16 IT-expert n 74 - juillet/août 2008

17 Technique à l accomplissement des buts cryptographiques plus subtils, importants dans un monde «post guerre froide», tels que permettre à deux parties mutuellement méfiantes de prendre des décisions communes basées sur une information privée, tout en compromettant le moins possible sa confidentialité. Vous n avez pas tout compris? Voici donc la métaphore du «petit chat est mort» La crypto quantique : une question clés Un développement inattendu et récent est l utilisation de la mécanique quantique afin d exécuter des exploits cryptographiques irréalisables par les seules mathématiques. Les équipements cryptographiques quantiques utilisent typiquement des photons de lumière polarisés et tirent profit du principe de Heisenberg, un principe d incertitudes, selon lequel la mesure d un système quantique modifie l état du système qu il cherche à mesurer. L écoute clandestine d un flux crypté par la crypto quantique permettrait donc de manière absolue de modifier les données par une perturbation inévitable, alertant les utilisateurs légitimes. La cryptographie quantique exploite cet effet pour permettre à deux parties qui ne se sont jamais réunies ou vues, et donc qui ne partagent aucune information secrète à l avance, de communiquer dans un secret absolu sous le nez d un adversaire. Les techniques quantiques aident également Pour décrire ce phénomène, on parle parfois du paradoxe du chat de Schrödinger qui est pour l observateur à la fois mort et/ou vivant. Lorsque le chat dort, il est immobile, et l on ne peut pas dire en le regardant s il dort ou s il est mort. Le chat peut donc être dans deux états différents que l on ne peut différencier uniquement par l observation. L observateur qui veut étudier avec une certitude absolue l état de mort du chat ne pourra s assurer qu il est bien mort qu en essayant de le réveiller. Si le chat est bien mort, le chat ne se réveille pas, donc ne change pas de position, donc l état n est pas perturbé, et l on peut étudier cet état de mort du chat en étant certain que le chat que l on observe est bel et bien mort. Mais l observateur qui veut étudier avec une certitude absolue l état de sommeil du chat ne pourra s assurer de cet état qu en réveillant le chat. C est ici qu est le paradoxe : en réveillant le chat, l observateur altère l état qu il voulait étudier, et il ne peut donc plus l étudier. L astuce consiste donc à supposer que le chat est endormi (probabilité = 50% = 1 chance sur 2), à l observer d abord, puis à vérifier ensuite en essayant de le réveiller. On ne conserve les résultats de l observation que si le chat se réveille. Avec seulement 2 états possibles, le raisonnement est simple. Tout se complique si l on considère qu il y a plusieurs chats à étudier en même temps et qu il y a 3 états possibles, c està-dire que chaque chat peut être soit mort, soit endormi, ou bien les 2 états à la fois en superposition Voici la photo «hôte» et la photo contenant le fichier caché. Bien entendu on ne voit aucune différence à l œil nu. La différence est dans le contenu du fichier, et dans la «vraie vie» le fichier d origine n étant pas disponible, il faut d abord trouver quel fichier parmi des centaines de milliers, celui qui contient l information stéganographie. On peut renforcer la sécurité en combinant la stéganographie avec un chiffrement à l intérieur du fichier Un challenge est en cours sur mon blog sur ces fichiers pour bien comprendre le mécanisme : Si vous parvenez à déchiffrer le document, vous aurez l qui prouvera votre exploit Image hôte «normale» Image contenant le fichier stéganographié IT-expert n 74 - juillet/août

18 Cependant au niveau quantique, il ne s agit pas seulement d un modèle permettant de rendre compte de notre ignorance du système. Les particules sont véritablement dans cet état superposé, et il en découle un certain nombre de propriétés inédites à notre échelle. Une mesure sur un système quantique va le forcer à choisir un des états. On parle de projection. Mais Edgar Poe aurait-il encore raison? N y a-t-il pas un moyen de casser le code? Eavesdropper: Eve La cryptographie quantique résout définitivement le problème de la distribution de clés. Cette technologie de rupture protège de manière absolue les communications voix, données et images. Au lieu de transmettre les clés, ce procédé les fabrique de manière dynamique grâce aux principes universels de la physique quantique. Pour la première fois dans l histoire de la cryptographie, les clés ainsi obtenues sont invulnérables. La nette différence entre la crypto traditionnelle et la cryptographie quantique réside dans le fait que l émetteur transmet au récepteur une chaîne continue de bits véhiculés par des grains de lumière appelés photons. Si un intrus essaie de les intercepter, leur état changera de manière irréparable. L émetteur et le récepteur détecteront la tentative d espionnage. La chaîne corrompue est alors rejetée. Aucun de ces bits douteux ne sera utilisé pour établir une clé. Seuls les photons intègres, fournissant une information sans risque, participent à la génération de clés secrètes. Sender: Alice Photon/Bit Receiver: Bob 11X0XXXX10 QBER En cryptographie traditionnelle, le risque d une attaque par «man in the middle» reste indétectable. Les pirates réalisent alors une copie des messages transmis et procèdent ensuite à leur cryptanalyse en vue de briser les codes secrets. Les crypto systèmes actuels n offrent aucune résistance contre de telles interceptions. En revanche, la cryptographie quantique détecte systématiquement les intrusions et supprime le risque d espionnage. Si un intrus tente de cloner les informations transportées par les photons envoyés sur la fibre optique reliant deux interlocuteurs, la mécanique quantique garantit que cette attaque entraînera une perturbation détectable. Les utilisateurs légitimes de la ligne retarderont alors l envoi d informations sensibles jusqu à ce que la sécurité du lien soit de nouveau assurée. Pour la toute première fois dans l histoire de la cryptographie, la sécurité absolue des communications via liaisons optiques est rendue possible grâce aux lois de la physique quantique. L ordinateur quantique : la TV «noir et blanc» passe à la couleur L algorithme de Shor est un algorithme quantique pour factoriser un nombre N en temps O((log N)3) et en espace O(log N), nommé en l honneur de Peter Shor. Beaucoup de crypto systèmes à clé publique, tels que le RSA, deviendraient cassables par un tiers si l algorithme de Shor était un jour programmé dans un calculateur quantique pratique. Un message chiffré avec RSA peut être déchiffré par factorisation de sa clef publique N, qui est le produit de deux nombres premiers. Il est connu que les algorithmes classiques ne peuvent pas faire cela en temps O((log N)k) pour n importe quel k, donc, ils deviennent rapidement impraticables quand N augmente, à la différence de l algorithme de Shor qui peut casser le RSA en temps polynomial. Autrement dit, un ordinateur quantique changerait une durée exponentielle en durée linéaire en utilisant tous les états 18 IT-expert n 74 - juillet/août 2008

19 Technique intermédiaires entre 0 et 1. Un peu comme si l ordinateur au silicium actuel était une télé en «noir et blanc - zéro et un» alors que l ordinateur quantique était une télé «couleurs» avec une palette d états entre le blanc et le noir Comme tous les algorithmes pour calculateur quantique, l algorithme de Shor est probabiliste : il donne la réponse correcte avec une haute probabilité et la probabilité d échec peut être diminuée en répétant l algorithme. L algorithme de Shor fut utilisé en 2001 par un groupe d IBM, qui factorisa 15 en 3 et 5, en utilisant un calculateur quantique de 7 qubits. Le qubit est le bit de base d un ordinateur quantique. Si une entité était capable de fabriquer un ordinateur quantique de, par exemple, 8 qubits, il serait équivalent à la puissance de 256 ordinateurs (2 puissance 8) Avec un ordinateur à 40 qubits on aurait l équivalent de puissance de soit milliards d ordinateurs au silicium Sachant que si l on utilisait simultanément tous les ordinateurs de la planète on aurait une puissance de calcul maximum de 1 milliard d ordinateurs soit près de fois moins Autrement dit, un mot de passe de 12 caractères qui résisterait près de ans à une attaque «brute force», ne résisterait plus que 1,2 seconde avec un ordinateur quantique. Ou un code de 16 caractères (128 bits, c est-à-dire nos communications SSL) qui résisterait à une attaque brute force pendant 2,8 x 10 puissance 35 années (c est-à-dire 35 zéros derrière 2,8), ne résisterait plus que 2 minutes et demie avec un ordinateur quantique à 64 qubits Aujourd hui certaines compagnies annoncent des ordinateurs quantiques de 512 voire qubits en préparation, sans pour autant que l on ait vu le moindre prototype Edgar Poe aura-t-il finalement tort ou raison? A chaque avancée de la cryptographie, il y a des possibilités nouvelles de décryptage. Il semble clair que toute puissance économique et militaire désirant se maintenir à la pointe devra constamment engager des recherches, et la voie semble toute tracée pour l ordinateur quantique, la cryptographie quantique et les nanotechnologies nécessaires pour l atteindre. n Mauro ISRAEL, Expert sécurité Professeur à l ENST au Mastère Spécialisé en Sécurité - Professeur à l Université des Sciences et Techniques de Lille au Mastère en Intelligence Economique Global e-business - ISO27001 Certified Lead Auditor. Site web : IT-expert n 74 - juillet/août

20 Pour compléter votre bibliothèque de référence technique, commandez vite les anciens numéros * d IT-expert à tarif préférentiel! IT-expert n 62 Juillet/Août 2006 IT-expert n 63 Septembre/Octobre 2006 IT-expert n 64 Novembre/Décembre 2006 IT-expert n 65 Janvier/Février 2007 Dossier : Panorama sur les techniques Agiles PHP5, une alternative à.net et J2EE? Eclipse : le Big Bang Callisto Test Driven Development Qui arrêtera Google? Dossier : La géolocalisation Géolocalisation, les techniques alternatives au GPS Le positionnement par GPS Géolocalisation, tout n est pas permis Recyclage des e-déchets Dossier : Capital Immateriel Windows Vista : le nouveau système d exploitation de Microsoft Les curseurs sous SQL Server Wimax Dossier : Web 2.0 entreprise, quelles réalités? ITIL et ISO20000 Logiciel libre Les wikis : définitions fonctionnelles et techniques Une approche structurée de la certification du réseau : l audit automatique du réseau et la validation des changements des configurations * Dans la limite des stocks disponibles IT-expert n 67 Mai/juin 2007 Dossier : SOA, l état de l art SOA : Architectures & outils Imprimez moins, maîtrisez vos coûts! Qualité interne de ses logiciels : mythes et réalités L univers étrange des unités d œuvre IT-expert n 68 Juillet/Août 2007 Dossier : Le décisionnel Du décisionnel à la gestion de la performance La visualisation de l information à des fins d aide à la décision Les grandes étapes d une chaîne d ETL ITIL : entre meilleures pratiques et référentiel holistique IT-expert n 69 Septembre/Octobre 2007 Dossier : Que peut-on offshorer dans une DSI? La qualité intrinsèque des applications dans les contrats de service Le «backsourcing» : lorsque l externalisation n est pas utilisée avec précaution Assurer le succès des projets avec la Tierce Recette Applicative Etat de l art de la convergence : lien entre informatique et téléphonie IT-expert n 70 Novembre/Décembre 2007 Dossier : Management de la sécurité Comment lutter efficacement contre les intrusions informatiques Microsoft Office SharePoint Serveur 2007 : les raisons-clés d un succès Les multiples facettes du contrôle d accès au réseau d entreprise Interview d Alain Bouillé, RSSI au sein du Groupe Caisse des Dépôts Sécurité de la téléphonie sur IP

Généralité sur la cryptographie

Généralité sur la cryptographie 1.1 Introduction L origine de la cryptologie mot réside dans la Grèce antique. La cryptologie est un mot composé de deux éléments : «cryptos», qui signifie caché et «logos» qui signifie mot. La cryptologie

Plus en détail

Principes de cryptographie pour les RSSI

Principes de cryptographie pour les RSSI Principes de cryptographie pour les RSSI Par Mauro Israël, Coordinateur du Cercle Européen de la Sécurité et des Systèmes d Information La plupart des responsables sécurité et des informaticiens considèrent

Plus en détail

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif C TLS Objectif Cette annexe présente les notions de cryptage asymétrique, de certificats et de signatures électroniques, et décrit brièvement les protocoles SSL (Secure Sockets Layer) et TLS (Transport

Plus en détail

Différents problèmes Procédés de chiffrement symétriques Le chiffrement asymétrique Un peu d arithmétique. Cryptographie

Différents problèmes Procédés de chiffrement symétriques Le chiffrement asymétrique Un peu d arithmétique. Cryptographie Cryptographie François Ducrot http://math.univ-angers.fr Décembre 2012 Terminologie Cryptographie Étude des méthodes permettant de transmettre des données de façon confidentielle. Cryptanalyse Étude des

Plus en détail

Chiffrement : Échanger et transporter ses données en toute sécurité

Chiffrement : Échanger et transporter ses données en toute sécurité Chiffrement : Échanger et transporter ses données en toute sécurité Septembre 2014 Chiffrement : Confidentialité des données Malgré les déclarations de Google et autres acteurs du Net sur les questions

Plus en détail

La sécurité dans les grilles

La sécurité dans les grilles La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation

Plus en détail

INTRODUCTION AU CHIFFREMENT

INTRODUCTION AU CHIFFREMENT INTRODUCTION AU CHIFFREMENT Par Gérard Peliks Expert sécurité Security Center of Competence EADS Defence and Security Avril 2008 Un livre blanc de Forum ATENA Un livre blanc 1 / 6 SOMMAIRE INTRODUCTION

Plus en détail

Steganos présente Security Suite 2007, son incontournable suite de sécurité pour PC.

Steganos présente Security Suite 2007, son incontournable suite de sécurité pour PC. Communiqué de Presse 20 décembre 2006 Steganos présente Security Suite 2007, son incontournable suite de sécurité pour PC. Une protection absolue contre toute intrusion dans votre vie privée! Vos documents

Plus en détail

IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr. JTO décembre 2002

IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr. JTO décembre 2002 IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr JTO décembre 2002 Chiffrement asymétrique Confidentialité d un message : le chiffrer avec la clé publique du destinataire.

Plus en détail

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE sommaire MIEUX COMPRENDRE LES CERTIFICATS SSL...1 SSL et certificats SSL : définition...1

Plus en détail

La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès.

La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès. Etat de l art Synchronisation des identités pour un référentiel d identités multi-annuaires La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès.

Plus en détail

Chapitre II. Introduction à la cryptographie

Chapitre II. Introduction à la cryptographie Chapitre II Introduction à la cryptographie PLAN 1. Terminologie 2. Chiffrement symétrique 3. Chiffrement asymétrique 4. Fonction de hachage 5. Signature numérique 6. Scellement 7. Echange de clés 8. Principe

Plus en détail

Solution de déploiement de certificats à grande échelle. En savoir plus...

Solution de déploiement de certificats à grande échelle. En savoir plus... Solution de déploiement de certificats à grande échelle permet un déploiement des certificats numériques à grande échelle en toute sécurité sans avoir à fournir un support physique (token, carte à puce

Plus en détail

RSA, le Revenu de Solidarité Active.

RSA, le Revenu de Solidarité Active. RSA, le Revenu de Solidarité Active. Revenu de solida-quoi? Quelques notions économiques: Le revenu de solidarité active (RSA) assure aux personnes sans ressources ou disposant de faibles ressources un

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

La signature électronique

La signature électronique Livre Blanc La signature électronique Date : mercredi 22 janvier 2014 Indice : V01 SSL Europa - 8 chemin des escargots - 18200 Orval - France T: +33 (0)9 88 99 54 09 Table des matières 1. De nouveaux enjeux...

Plus en détail

L identité numérique. Risques, protection

L identité numérique. Risques, protection L identité numérique Risques, protection Plan Communication sur l Internet Identités Traces Protection des informations Communication numérique Messages Chaque caractère d un message «texte» est codé sur

Plus en détail

DAVION Didier 33 avenue Paul Cézanne 59116 HOUPLINES. Auditeur n NPC007570 URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO

DAVION Didier 33 avenue Paul Cézanne 59116 HOUPLINES. Auditeur n NPC007570 URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO DAVION Didier 33 avenue Paul Cézanne 59116 HOUPLINES Auditeur n NPC007570 URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO I. Définition d un SSO Tout à d abord SSO veut dire Single

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

Solutions de gestion de la sécurité Livre blanc

Solutions de gestion de la sécurité Livre blanc Solutions de gestion de la sécurité Livre blanc L intégration de la gestion des identités et des accès avec l authentification unique Objectif : Renforcer la politique de sécurité et améliorer la productivité

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

VSC-TOOAL. Cible de Sécurité CSPN. 1 Identification du produit. Organisation éditrice. Nom commercial du produit. Numéro de la version évaluée 1.

VSC-TOOAL. Cible de Sécurité CSPN. 1 Identification du produit. Organisation éditrice. Nom commercial du produit. Numéro de la version évaluée 1. VSC-TOOAL 1.1 Cible de Sécurité CSPN 1 Identification du produit Organisation éditrice Lien vers l organisation Nom commercial du produit MEDISCS www.mediscs.com VSC-TOOAL Numéro de la version évaluée

Plus en détail

ICP/PKI: Infrastructures à Clés Publiques

ICP/PKI: Infrastructures à Clés Publiques ICP/PKI: Infrastructures à Clés Publiques Aspects Techniques et organisationnels Dr. Y. Challal Maître de conférences Université de Technologie de Compiègne Heudiasyc UMR CNRS 6599 France Plan Rappels

Plus en détail

Cours 14. Crypto. 2004, Marc-André Léger

Cours 14. Crypto. 2004, Marc-André Léger Cours 14 Crypto Cryptographie Définition Science du chiffrement Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible Bases Une clé = chaîne de nombres binaires (0 et 1)

Plus en détail

1 - Chiffrement ou Cryptage, Déchiffrement ou Décryptage?

1 - Chiffrement ou Cryptage, Déchiffrement ou Décryptage? Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à othebaud@e-watching.net

Plus en détail

LES AVANTAGES DU CLOUD

LES AVANTAGES DU CLOUD 1 INTRODUCTION Toutes les entreprises ont un point en commun : la volonté d accroître leurs revenus et leur productivité. Mais beaucoup d entreprises ne profitent pas des ressources à leur disposition

Plus en détail

Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques

Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques Conditions générales d utilisation du service Wifi au sein du réseau des médiathèques WIFI Le wifi est une technologie de réseau informatique sans fil mise en place pour fonctionner en réseau interne Utilisateur

Plus en détail

Conseil économique et social

Conseil économique et social NATIONS UNIES E Conseil économique et social Distr. GÉNÉRALE ECE/TRANS/WP.30/AC.2/2008/2 21 novembre 2007 FRANÇAIS Original: ANGLAIS COMMISSION ÉCONOMIQUE POUR L EUROPE Comité de gestion de la Convention

Plus en détail

Evidian Secure Access Manager Standard Edition

Evidian Secure Access Manager Standard Edition Evidian Secure Access Manager Standard Edition LDAP SSO un contrôle d accès modulaire et extensible - V 1.1 Par Dominique Castan dominique.castan@evidian.com et Michel Bastien michel.bastien@evidian.com

Plus en détail

Pierre DUSART (Université de Limoges) LA CRYPTOGRAPHIE

Pierre DUSART (Université de Limoges) LA CRYPTOGRAPHIE Pierre DUSART (Université de Limoges) LA CRYPTOGRAPHIE Aborder la cryptologie de façon historique Communications en Alice et Bob Dans le langage courant, on parle de codes secrets mais il vaut mieux parler

Plus en détail

Protéger l information de son entreprise Bon sens & savoir-faire. Infoguerre.com Septembre 2003

Protéger l information de son entreprise Bon sens & savoir-faire. Infoguerre.com Septembre 2003 Protéger l information de son entreprise Bon sens & savoir-faire Infoguerre.com Septembre 2003 L information est au centre des entreprises. Elle peut être recherchée pour se développer, elle peut être

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

SIGNATURE DIGITALE ET AUTHENTIFICATION FORTE

SIGNATURE DIGITALE ET AUTHENTIFICATION FORTE SIGNATURE DIGITALE ET AUTHENTIFICATION FORTE Michel Laloy 18/06/2002 Objectifs Expliquer les mécanismes de la signature digitale et de l authentification forte Montrer comment ces mécanismes s'appliquent

Plus en détail

Charte d installation des réseaux sans-fils à l INSA de Lyon

Charte d installation des réseaux sans-fils à l INSA de Lyon Charte d installation des réseaux sans-fils à l INSA de Lyon Toute installation d un point d accès est soumise à autorisation auprès du Responsable Sécurité des Systèmes d Information (RSSI) de l INSA

Plus en détail

Conformité PCI DSS. Réduire les risques en gérant les identités et les accès. white paper

Conformité PCI DSS. Réduire les risques en gérant les identités et les accès. white paper Conformité PCI DSS Réduire les risques en gérant les identités et les accès Ce livre blanc explique comment la suite IAM d Evidian peut vous aider à vous conformer aux exigences PCI DSS. white paper 39

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Concilier mobilité et sécurité pour les postes nomades

Concilier mobilité et sécurité pour les postes nomades Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de

Plus en détail

gcaddy Suite Description du produit

gcaddy Suite Description du produit gcaddy Suite Description du produit Version 1.0 www.gweb.be @ info@gweb.be TVA : BE-863.684.238 SNCI : 143-0617856-67 1 / 8 1 Description de gcaddy gcaddy est le module E-commerce de Gweb. Il se présente

Plus en détail

Outsourcing : la sauvegarde en ligne des données de l entreprise.

Outsourcing : la sauvegarde en ligne des données de l entreprise. Outsourcing : la sauvegarde en ligne des données de l entreprise. Sur quels marchés votre entreprise de Sauvegarde en Ligne évolue t elle? Dans un contexte de montée en puissance de l insécurité, les solutions

Plus en détail

Préparation à l installation d Active Directory

Préparation à l installation d Active Directory Laboratoire 03 Étape 1 : Installation d Active Directory et du service DNS Noter que vous ne pourrez pas réaliser ce laboratoire sans avoir fait le précédent laboratoire. Avant de commencer, le professeur

Plus en détail

Solutions Microsoft Identity and Access

Solutions Microsoft Identity and Access Solutions Microsoft Identity and Access 2 Solutions Microsoft Identity and Access Microsoft Identity and Access (IDA) permet aux entreprises d améliorer leur efficacité et leurs connexions internes et

Plus en détail

CH.3 CRYPTOSYSTÈMES. http://www.apprendre-en-ligne.net/crypto/index.html

CH.3 CRYPTOSYSTÈMES. http://www.apprendre-en-ligne.net/crypto/index.html CH.3 CRYPTOSYSTÈMES 3.1 L'environnement des cryptosystèmes 3.2 Les cryptosystèmes historiques 3.3 Le cryptosystème parfait 3.4 Les registres à décalage Codage ch 3 1 3.1 L'environnement des cryptosystèmes

Plus en détail

10 bonnes pratiques de sécurité dans Microsoft SharePoint

10 bonnes pratiques de sécurité dans Microsoft SharePoint 10 bonnes pratiques de sécurité dans Microsoft SharePoint SharePoint constitue certes un outil collaboratif précieux. Mais gare aux risques pour votre entreprise. 10 bonnes pratiques de sécurité dans Microsoft

Plus en détail

La technologie DECT offre une protection renforcée contre les accès non autorisés.

La technologie DECT offre une protection renforcée contre les accès non autorisés. LIVRE BLANC La technologie DECT offre une protection renforcée contre les accès non autorisés. Sécurité DECT V01_1005 Jabra est une marque déposée de GN Netcom A/S www.jabra.com CONTEXTE Les communications

Plus en détail

signature de code THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS CODE SIGNING DANS LE MONDE

signature de code THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS CODE SIGNING DANS LE MONDE signature de code THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS CODE SIGNING DANS LE MONDE signature de code...1 Qu est-ce que la signature de code?...1 À quoi sert la signature de code?...1

Plus en détail

Le cryptage, sécurité, dossiers et fichiers

Le cryptage, sécurité, dossiers et fichiers Le cryptage, sécurité, dossiers et fichiers 1 Sommaire : 1) Chiffrement sous Windows :... 3 2) Bit locker et fonctionnement sur Windows :... 4 Bit locker :... 4 Le fonctionnement :... 5 3) Axscript :...

Plus en détail

Créer et partager des fichiers

Créer et partager des fichiers Créer et partager des fichiers Le rôle Services de fichiers... 246 Les autorisations de fichiers NTFS... 255 Recherche de comptes d utilisateurs et d ordinateurs dans Active Directory... 262 Délégation

Plus en détail

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

Management de la sécurité des technologies de l information

Management de la sécurité des technologies de l information Question 1 : Identifiez les causes d expansion de la cybercriminalité Internet est un facteur de performance pour le monde criminel. Par sa nature même et ses caractéristiques, le monde virtuel procure

Plus en détail

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance L authentification de confiance Digital DNA Server Serveur d authentification multifacteurs par ADN du Numérique Simplicité Rapidité Economie Liberté Evolutivité Fiabilité FR mar 205 www.loginpeople.com

Plus en détail

Atelier 2. Étape 1 : Installation de Active Directory, installation du service DNS et installation du service WINS Durée approximative : 40 minutes

Atelier 2. Étape 1 : Installation de Active Directory, installation du service DNS et installation du service WINS Durée approximative : 40 minutes Atelier 2 Installation d Active Directory Installation du service DNS Installation du Service WINS Création d'un compte d'ordinateur Jonction d'un ordinateur à un domaine Création d usagers. Étape 1 :

Plus en détail

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Date : 2010-09-08 Référence 20100906-CSPN-CibleSécurité-V1.1.doc VALIDITE DU DOCUMENT Identification Client Projet Fournisseur

Plus en détail

Chiffrement à clef publique, authentification et distribution des clefs. Plan

Chiffrement à clef publique, authentification et distribution des clefs. Plan Chiffrement à clef publique, authentification et distribution des clefs Sécurité des réseaux informatiques 1 Plan Les principes de l'authentification de message Les fonctions de hachage sécurisées SHA-1

Plus en détail

Chiffrement `a cl e secr `ete Vincent Vajnovszki Vincent Vajnovszki Chiffrement `a cl e secr `ete

Chiffrement `a cl e secr `ete Vincent Vajnovszki Vincent Vajnovszki Chiffrement `a cl e secr `ete La cryptographie utilise un chiffre pour coder un message. Le déchiffrement est l opération inverse, par une personne autorisée à retrouver le message clair La cryptanalyse est l ensemble des techniques

Plus en détail

vendredi 8 juillet 2011

vendredi 8 juillet 2011 PROCESSUS DE CERTIFICATION ELECTRONIQUE AU BURKINA FASO 1 Sommaire Contexte de la CE Aspects techniques Réalisations et futurs projets de l ARCE Types et domaines d utilisation de certificats Procédures

Plus en détail

Systeme d authentification biometrique et de transfert de donnees cryptees

Systeme d authentification biometrique et de transfert de donnees cryptees Systeme d authentification biometrique et de transfert de donnees cryptees Securisez vos acces et protegez vos donnees Les composants ActiveX développés par NetInf associés aux produits de sécurisation

Plus en détail

Ce document fait office d introduction au cryptage des données ainsi qu aux solutions de stockage à cryptage fiable proposées par LaCie.

Ce document fait office d introduction au cryptage des données ainsi qu aux solutions de stockage à cryptage fiable proposées par LaCie. Livre blanc : CRYPTAGE Au regard du formidable succès des disques durs externes pour le stockage et la sauvegarde des données personnelles, commerciales et organisationnelles, le besoin de protection des

Plus en détail

Architecture de join.me

Architecture de join.me Présentation technique de l architecture sécurisée et fiable de join.me 1 Introduction 2 Présentation de l architecture 3 Sécurité des données 4 Sécurité des sessions et du site web 5 Présentation de l

Plus en détail

Trousseau d accès & mots de passe

Trousseau d accès & mots de passe Trousseau d accès & mots de passe Il ne vous aura pas échappé que nous avons de plus en plus d identifiants et de mots de passe à fournir et il n est pas toujours évident de trouver un mode de gestion

Plus en détail

Utilisation de la messagerie officielle du ministère

Utilisation de la messagerie officielle du ministère Utilisation de la messagerie officielle du ministère men.gov.ma A- Accès à la messagerie via un navigateur web... 2 1. Connexion au serveur de messagerie... 2 2. Identification... 2 3. Changement du mot

Plus en détail

Chiffrement et signature électronique

Chiffrement et signature électronique Chiffrement et signature électronique (basée sur le standard X509) Frédéric KASMIRCZAK 1 Sommaire I. La cryptologie base de la signature électronique... 3 1. Les systèmes symétriques à l origine de la

Plus en détail

Sécurité des réseaux Certificats X509 et clés PGP

Sécurité des réseaux Certificats X509 et clés PGP Sécurité des réseaux Certificats X509 et clés PGP A. Guermouche A. Guermouche Cours 5 : X509 et PGP 1 Plan 1. Certificats X509 2. Clés PGP A. Guermouche Cours 5 : X509 et PGP 2 Plan Certificats X509 1.

Plus en détail

Service de connexion de machines sur l Internet M2Me_Connect Version 1.41 du logiciel NOTICE D'UTILISATION Document référence : 9016709-04

Service de connexion de machines sur l Internet M2Me_Connect Version 1.41 du logiciel NOTICE D'UTILISATION Document référence : 9016709-04 Service de connexion de machines sur l Internet M2Me_Connect Version 1.41 du logiciel NOTICE D'UTILISATION Document référence : 9016709-04 Le service M2Me_Connect est fourni par ETIC TELECOM 13 Chemin

Plus en détail

PROFIL PERSONNEL GUIDE DE L UTILISATEUR

PROFIL PERSONNEL GUIDE DE L UTILISATEUR PROFIL PERSONNEL GUIDE DE L UTILISATEUR Mis à jour le 25 septembre 2008 TABLE DES MATIÈRES 1. UN NOUVEAU SERVICE... 1 Personnalisé... 1 Sécuritaire... 1 Complémentaire... 1 2. ENREGISTREMENT ET AUTHENTIFICATION...

Plus en détail

Présentation OSSIR La Messagerie Sécurisée sans déploiement logiciel

Présentation OSSIR La Messagerie Sécurisée sans déploiement logiciel Présentation OSSIR La Messagerie Sécurisée sans déploiement logiciel Guillaume Rigal OSSIR - 11 février 2002 1 Plan de la Présentation Messagerie : constat et risques encourus La Solution ConfiMail Les

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN ClearBUS Application cliente pour la communication sécurisée Version 1.12 Le 25/11/2011 Identifiant : CBUS-CS-1.12-20111125 contact@clearbus.fr tel : +33(0)485.029.634 Version 1.12

Plus en détail

Meilleures pratiques de l authentification:

Meilleures pratiques de l authentification: Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données

Plus en détail

1 Introduction. La sécurité

1 Introduction. La sécurité La sécurité 1 Introduction Lors de l'écriture d'une application de gestion, les problèmes liés à la sécurité deviennent vite prégnants. L'utilisateur doit disposer des droits nécessaires, ne pouvoir modifier

Plus en détail

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre HTTPS Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre Définition HTTPS (HyperText Transfer Protocol Secure) C'est

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

Applications de la cryptographie à clé publique

Applications de la cryptographie à clé publique pplications de la cryptographie à clé publique Crypter un message M revient à appliquer à celui-ci une fonction bijective f de sorte de former le message chiffré M = f ( M ). Déchiffrer ce dernier consiste

Plus en détail

PortWise Access Management Suite

PortWise Access Management Suite Créez un bureau virtuel pour vos employés, partenaires ou prestataires depuis n importe quel endroit et n importe quel appareil avec Portwise Access Manager et Authentication Server. Fournir des accès

Plus en détail

SOGEB@SE. Foire aux Questions

SOGEB@SE. Foire aux Questions SOGEB@SE Foire aux Questions Sommaire 1. Présentation... 4 Que pouvez-vous faire avec Sogeb@se?... 4 En tant que professionnel, pouvez-vous accéder à Sogeb@se?... 4 Comment souscrire à Sogeb@se?... 4 2.

Plus en détail

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse Questions - Révision- - 1 er Semestre Informatique Durée de l examen : 1h pour 40 questions. Aucun document n est autorisé. L usage d appareils électroniques est interdit. Les questions faisant apparaître

Plus en détail

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2. DTIC@Alg 2012 16 et 17 mai 2012, CERIST, Alger, Algérie Aspects techniques et juridiques de la signature électronique et de la certification électronique Mohammed Ouamrane, Idir Rassoul Laboratoire de

Plus en détail

Correction TD de cryptographie n o 1

Correction TD de cryptographie n o 1 Sécurité / Cryptologie Correction TD de cryptographie n o 1 Ce TD survole les différents concepts vus en cours 1 Se familiariser avec les ordres de grandeur Exercice 1. La force brute Le facteur de travail

Plus en détail

LA CONFIANCE ET LA SÉCURITÉ

LA CONFIANCE ET LA SÉCURITÉ LA CONFIANCE ET LA SÉCURITÉ IGC INFRASTRUCTURE DE GESTION DE CLEFS ET TPC TIERS PARTIE DE CONFIANCE Par Jean Pierre Cabanel Professeur à l'institut National Polytechnique (ENSEEIHT) de Toulouse et membre

Plus en détail

Gestion des utilisateurs et Entreprise Etendue

Gestion des utilisateurs et Entreprise Etendue Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 yphise@yphise.com - http://yphise.fr GUEE0009-1 Agenda Entreprise Etendue Mission

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle

Plus en détail

Comment crypter des informations Informations destinées à l'enseignant

Comment crypter des informations Informations destinées à l'enseignant Informations destinées à l'enseignant 1/5 Mandat Objectif Sur l'internet, des tiers peuvent avoir accès à nos données (courriels ou fichiers virtuels en pièces jointes). Les élèves apprennent ici à utiliser

Plus en détail

LE LIVRE BLANC Le Cloud, nouvelle source de performance pour votre entreprise. [ NetExplorer, partage de fichier et travail collaboratif ]

LE LIVRE BLANC Le Cloud, nouvelle source de performance pour votre entreprise. [ NetExplorer, partage de fichier et travail collaboratif ] LE LIVRE BLANC Le Cloud, nouvelle source de performance pour votre entreprise. [ NetExplorer, partage de fichier et travail collaboratif ] LE CLOUD, UNE NOUVELLE SOURCE DE PERFORMANCE POUR VOTRE ENTREPRISE.

Plus en détail

Certificats SSL Extended Validation : un gage de confiance absolue THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Certificats SSL Extended Validation : un gage de confiance absolue THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE Certificats SSL Extended Validation : un gage de confiance absolue THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE CERTIFICATS SSL EXTENDED VALIDATION : UN GAGE DE CONFIANCE

Plus en détail

ANNEXE 1. PSSI Préfecture de l'ain. Clause de sécurité à intégrer dans les contrats de location copieurs

ANNEXE 1. PSSI Préfecture de l'ain. Clause de sécurité à intégrer dans les contrats de location copieurs ANNEXE 1 PSSI Préfecture de l'ain Clause de sécurité à intégrer dans les contrats de location copieurs Sommaire 1 - Configuration...2 1.1 - Suppression des interfaces, services et protocoles inutiles...2

Plus en détail

L accès sécurisé. aux données. médicales

L accès sécurisé. aux données. médicales L accès sécurisé aux données médicales Le décret confidentialité N 2007-960 du 15 mai 2007 La responsabilité personnelle des chefs d établissement et des médecins vis-à-vis de la confidentialité des données

Plus en détail

Notions de sécurités en informatique

Notions de sécurités en informatique Notions de sécurités en informatique Bonjour à tous, voici un article, vous proposant les bases de la sécurité informatique. La sécurité informatique : Vaste sujet, car en matière de sécurité informatique

Plus en détail

LES PROTOCOLES DE SECURITE

LES PROTOCOLES DE SECURITE LES PROTOCOLES DE SECURITE G. Florin S. Natkin Décembre 2001 CNAM 2001 1 Notations { X} CRY Clef A: clef d Alice (chiffrement symétrique) a : clef d Alice (déchiffrement symétrique) A: clef privée de Alice

Plus en détail

Pandémie : comment assurer la continuité d activité de l entreprise?

Pandémie : comment assurer la continuité d activité de l entreprise? Pandémie : comment assurer la continuité d activité de l entreprise? Les entreprises françaises sont peu préparées à affronter une éventuelle pandémie Le concept de plan de continuité d activité n est

Plus en détail

Authentifications à W4 Engine en.net (SSO)

Authentifications à W4 Engine en.net (SSO) Note technique W4 Engine Authentifications à W4 Engine en.net (SSO) Cette note technique a pour but d expliquer le mécanisme de fonctionnement de la connexion des utilisateurs à W4 Engine, notamment lorsque

Plus en détail

Sommaire. Cegedim Logiciels Médicaux Guide d utilisation de SMM 2/40

Sommaire. Cegedim Logiciels Médicaux Guide d utilisation de SMM 2/40 Secure Médical Mail Guide d utilisation Sommaire Sommaire... 2 Glossaire Technique... 3 Messagerie Sécurisée... 4 Quels sont les plus d une messagerie homologuée GIP-CPS?... 5 Pré-requis techniques...

Plus en détail

BDL Info. À la une... Éditorial Du mouvement dans l e-mobilité. Toute l actualité de BDL Informatique / Septembre 2014. Une Salle «haut débit» à louer

BDL Info. À la une... Éditorial Du mouvement dans l e-mobilité. Toute l actualité de BDL Informatique / Septembre 2014. Une Salle «haut débit» à louer Toute l actualité de BDL Informatique / Septembre 2014 Éditorial Du mouvement dans l e-mobilité À la une... Une Salle «haut débit» à louer La mobilité de l informatique, représentée «jadis» par les ordinateurs

Plus en détail

Comment utiliser mon compte alumni?

Comment utiliser mon compte alumni? Ce document dispose d une version PDF sur le site public du CI Comment utiliser mon compte alumni? Elena Fascilla, le 23/06/2010 Sommaire 1. Introduction... 2 2. Avant de commencer... 2 2.1 Connexion...

Plus en détail

Chapitre 4 PROTOCOLES SÉCURISÉS

Chapitre 4 PROTOCOLES SÉCURISÉS Chapitre 4 PROTOCOLES SÉCURISÉS 52 Protocoles sécurisés Inclus dans la couche application Modèle TCP/IP Pile de protocoles HTTP, SMTP, FTP, SSH, IRC, SNMP, DHCP, POP3 4 couche application HTML, MIME, ASCII

Plus en détail

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO Alexandre Garret Directeur des opérations - Atheos Charles Tostain Consultant Sécurité - IBM 24 Juin 2009 2009 IBM Corporation

Plus en détail

Comment activer un accès pratique et sécurisé à Microsoft SharePoint?

Comment activer un accès pratique et sécurisé à Microsoft SharePoint? DOSSIER SOLUTIONS SharePoint Security Solution de CA Technologies Comment activer un accès pratique et sécurisé à Microsoft SharePoint? agility made possible La solution de sécurité SharePoint proposée

Plus en détail

Votre infrastructure est-elle? La collaboration informatique. améliore la performance globale

Votre infrastructure est-elle? La collaboration informatique. améliore la performance globale Votre infrastructure est-elle? La collaboration informatique améliore la performance globale Des processus automatisés Travail isolé ou processus de groupe : où en êtes-vous? Le travail en équipe a toujours

Plus en détail

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte UN GUIDE ÉTAPE PAR ÉTAPE, pour tester, acheter et utiliser un certificat numérique

Plus en détail

Media Streaming avec Windows 7

Media Streaming avec Windows 7 Media Streaming avec Windows 7 Après avoir parlé des nouvelles possibilités réseaux de Windows, notamment des «Homegroups», pardon, des «groupes résidentiels, voyons comment ont été intégrées les possibilités

Plus en détail