La gestion des identités

Dimension: px
Commencer à balayer dès la page:

Download "La gestion des identités"

Transcription

1 La gestion des identités PAGE 6 Les dessous de la cryptographie PAGE 13 Bimestriel - juillet/août e n 74 Le Saas, nouvel eldorado du on-demand? PAGE 29 Microsoft.net : nouvelles avancées pour les développeurs PAGE 33 Les modèles de sécurité réseau PAGE 39

2 ZOOM OUTSOURCING L avis des Directions Informatiques Ministère des Finances Direction Générale des Impôts Nadine Chauvière Sous-Directrice des SI de la DGI «Les solutions d Application Intelligence CAST nous aident à obtenir une meilleure visibilité de notre parc applicatif au travers de tableaux de bord composés d indicateurs techniques objectifs afin de faciliter le dialogue avec les équipes et avec nos maîtrises d ouvrage.» Groupe SFR Cegetel Eric Eteve Directeur Informatique Centre Ingénierie Mobilité «La solution CAST de gestion de la soustraitance est un élément clé dans le système de pilotage mis en place par SFR-Cegetel sur ses TMA. Nous avons constaté une attention plus particulière apportée par les SSII à la qualité des livrables et à la fiabilité des chiffrages depuis qu ils savent que nous pouvons facilement les auditer.» Framatome - Groupe AREVA Michel Fondeviole DSI de Framatome-ANP «CAST fournit des critères objectifs d appréciation dans le dialogue parfois difficile avec le sous-traitant ainsi que des indicateurs nécessaires au suivi de l évolution des applications et constitue au sein de Framatome un outil de progrès partagé.» En savoir plus Demandez le Livre Blanc rédigé par le Gartner Group et CAST sur ce thème : «Information Series on Application Management» : Découvrez l expérience de plusieurs sociétés utilisatrices de solutions d Application Intelligence :

3 La maîtrise des applications et des prestataires dans une opération d outsourcing De la valeur ajoutée de l Application Intelligence pour piloter efficacement un parc applicatif sous-traité Les entreprises, devenues plus mûres vis-à-vis de l outsourcing, sont désormais capables d opérer des externalisations plus stratégiques. On l a récemment observé dans l automobile avec Renault ou dans la grande distribution avec Carrefour. Dans l externalisation des applications métier, c est surtout la volonté d accroître l efficacité opérationnelle de l informatique qui est motrice : pouvoir fournir plus rapidement un service à valeur ajoutée aux utilisateurs et aux clients dans un contexte en perpétuelle évolution. Comme dans n importe quelle opération d outsourcing, le contrat liant le fournisseur est capital, en particulier les SLAs. Néanmoins, les applications métier étant par nature soumises à de fréquents changements en cours de contrat, les seuls SLAs se révèlent vite insuffisants pour garantir la qualité de service et éviter les dérives de coûts. C est là que le bât blesse : l externalisation des applications métier occasionne un risque de perte rapide de savoir-faire technologique et par conséquent critique. Vigilance et suivi sont de mise pour garder le contrôle de la qualité de service et éviter les dépendances par nature dangereuses. L externalisation réussie d applications métier est donc le fruit d une vision anticipatrice partagée avec le prestataire. Sont ainsi apparues des solutions dites d Application Intelligence, basées sur une technologie avancée d analyse de code source. En fournissant des indicateurs techniques aux donneurs d ordre, ces solutions permettent de piloter un parc applicatif sous-traité en temps réel, tant en terme de qualité, que de maintenabilité et de coût. Résultat : le donneur d ordre conserve la maîtrise intellectuelle de ses applications métier et le contrôle de la relation avec son sous-traitant. La valeur ajoutée de ce type de solutions d Application Intelligence est visible à chaque étape d une opération d outsourcing, comme décrit ci-après. Recette technique Fin de contrat Cycle de vie d'une opération d'outsourcing Contrôle des coûts Appels d'offres Suivi de projet Audit de l existant et préparation des appels d offres Déterminer les caractéristiques techniques du portefeuille applicatif existant avant de le sous-traiter Disposer d informations de référence pour évaluer les propositions des soustraitants Transfert de connaissances Obtenir une image à l instant t des applications pour permettre un suivi dans le temps Transfert vers le prestataire Réduire la phase d acquisition de la connaissance pour entreprendre plus vite des tâches productives Diminuer le coût lié à la production d une documentation exploitable et maintenable par le prestataire Contrôle de la qualité et des coûts en cours de projet Suivre l évolution de la maintenabilité et de la qualité pour éviter toute dérive Etre capable de valider la quantité et la qualité du travail facturé Etre en mesure de challenger le sous-traitant lors des négociations d avenants Industrialiser les recettes techniques Renouvellement de contrat, transfert ou ré-internalisation Déterminer et qualifier les écarts entre la prestation prévue et les livrables recettés Disposer des informations techniques caractéristiques du portefeuille applicatif en fin de prestation Le leader mondial de ce type de solutions est d ailleurs un éditeur français, CAST. Reconnu par les analystes informatiques comme précurseur du marché, CAST compte plus 500 comptes utilisateurs de sa plate-forme d Application Intelligence dans le monde. Publi-Reportage

4 édito Même pas peur! La sécurité, la sécurité, la sécurité Telle serait la préoccupation majeure des responsables informatiques. Pourtant, nombre d entreprises ne disposent toujours pas d un responsable réel et à temps plein en la matière. Je parle bien évidemment de celles qui estiment qu elles peuvent entretenir seules un système d information digne de ce nom. Une mesure d autant plus essentielle que le SI s ouvre aujourd hui aux fournisseurs, aux partenaires et aux clients. Une contagion virale porterait un coup violent aux bonnes relations avec tous ces acteurs. Et attention à ne pas confondre «sentiment de sécurité» et «réseau réellement protégé». Installer quelques logiciels suffit à peine à se donner bonne conscience, mais s avère souvent inefficace! Vers un service de sécurité Pour vulgariser le propos, vous pouvez tenter une expérience. Installez un système d exploitation sur votre ordinateur à la maison. Évitez soigneusement d installer tout pare-feu ou antivirus, et connectez-vous à Internet. À votre avis combien de temps vous faudra-t-il pour corrompre l intégrité de votre belle machine? Mieux encore, combien de temps vous faudra-t-il pour vous en apercevoir? Un de mes voisins m a appelé en catastrophe trente minutes après sa première connexion à Internet Et il a du tout réinstaller : un vrai bonheur Seconde expérience : tentez le même type d exploit, mais en installant coupe-feu et antivirus. Par la suite, éviter soigneusement les mises à jour des signatures virales et autres informations indispensables à ces logiciels. Refaites donc le bilan après deux ou trois semaines Cette seconde expérience illustre le besoin impérieux de mettre à jour les failles des logiciels et systèmes d exploitation régulièrement, et idéalement en mode automatisée dès disponibilité chez l éditeur. Et que réalise-t-on au passage? La sécurité devient un service bien au-delà d un simple logiciel. Maintenant, imaginez que cet utilisateur n ait pas réalisé cette installation dans son salon, mais plutôt dans son bureau, en le connectant au réseau de votre entreprise. Êtes-vous absolument certain qu il ne coure alors aucun danger? Par ailleurs, êtes-vous sûr qu aucun d entre eux ne l a fait avec un portable personnel? Laisser faire ceux qui savent De même que les télécommunications deviennent une affaire d experts passé un certain niveau, la sécurité doit être confiée à des spécialistes. Quelques rares entreprises peuvent se payer de tels profils. Pour les autres, il est urgent de consulter, avant d exposer leur infrastructure aux mains des hackers de tout poil. Un sujet dont nous reparlerons plus en détail dans nos prochains numéros. Editeur Press & Communication France Une filiale du groupe CAST 3, rue Marcel Allégot Meudon - FRANCE Tél. : Fax. : Rédacteur en chef José Diz Directeur de publication Aurélie Magniez Abonnements/Publicité Conception Graphique N. Herlem Parution IT-expert - (ISSN ) est un journal édité 6 fois par an, par P&C France, sarl de presse au capital de ,61 e. Avertissement Tous droits réservés. Toute reproduction intégrale ou partielle des pages publiées dans la présente publication sans l autorisation écrite de l éditeur est interdite, sauf dans les cas prévus par les articles 40 et 41 de la loi du 11 mars P&C France. Toutes les marques citées sont des marques déposées. Les vues et opinions présentées dans cette publication sont exprimées par les auteurs à titre personnel et sont sous leur entière et unique responsabilité. Toute opinion, conseil, autre renseignement ou contenu exprimés n engagent pas la responsabilité de Press & Communication. Abonnements Prix pour 6 numéros téléchargeables sur le site : 70 e TTC (TVA : 19,6%) Un bulletin d abonnement se trouve en pages 27/28 de ce numéro. Vous pouvez vous abonner sur Abonnements/Default.aspx ou nous écrire à : José Diz Rédacteur en Chef 4 IT-expert n 74 - juillet/août 2008

5 IT-expert n 74 - juillet/août 2008 Sommaire 6 Dossier La gestion des identités Ouverture, réseaux étendus Comment savoir qui se promène sur le réseau interne et qui accède aux applications? Authentification, habilitation, chiffrement, identités, pattern Un dossier pour comprendre les principaux aspects des nouveaux systèmes d information. 13 Technique Les dessous de la cryptographie De la seconde guerre mondiale aux recherches actuelles sur la cryptographie quantique en passant par la stéganographie, l expert en sécurité Mauro ISRAEL nous explique les mystères de cette discipline, ses faiblesses, et le contexte romanesque de ces évolutions. 22 Actualités Internationales Les informations marquantes d éditeurs, de marchés, d organisme de standardisation, de débats en cours et de tendances. 29 Quoi de Neuf Docteur? Le Saas, nouvel eldorado du on-demand? Délégué général de l ASP Forum, Henry-Michel Rozenblum exprime son agacement pour tout ce verbiage, et énonce toutes les vertus de ses technologies incontournables. Des prises de position personnelles d un membre actif de ce marché. 33 Comment ça Marche? Microsoft.net : nouvelles avancées pour les développeurs L auteur, spécialiste des technologies Microsoft, décortique la nouvelle architecture.net 3 afin d expliquer - schémas et tableaux à l appui - les nouveautés majeures qu elle apporte aux développeurs. À lire sans tarder. 37 Fenêtre sur cour Interview de Raphaël VIARD, directeur de la sécurité opérationnelle et de la veille technologique chez Alstom Transport «Le badge bitechnologies repose sur deux puces : l un pour le contrôle d accès, la gestion des temps et l autre puce pour la cryptographie qui gère le chiffrement, la signature» Raphaël VIARD relate son expérience liée à ce projet, parti d un besoin informatique, mais qui a finalement fédérer plusieurs problématiques de sécurité d autres domaines autour d un badge unique multifonction. 39 Rubrique à brac Les modèles de sécurité réseau : définir une nouvelle stratégie de protection de son système d information Bien que les systèmes d information ne soient pas revenus au Moyen-âge (en tout cas pas tous ), le modèle du château fort inspire toujours les spécialistes de la sécurité. Modernité oblige, pour rester efficace, cette stratégie devra aussi se pencher sur les aéroports. Un dossier très bien architecturé. 46 Livres Techniques de hacking par Jon Erickson et Menaces sur le réseau - Guide de la reconnaissance passive et des attaques indirectes par Michal Zalewski. IT-expert n 74 - juillet/août

6 La Gestion des Identités Explorer le sujet de la gestion des identités et des accès ou «Identity and Access Management», revient avant tout à s interroger sur les relations des personnes physiques au Système d Information. D une part, les personnes peuvent représenter des objets de gestion pour certaines applications : par exemple, une application de Ressources humaines gère les salariés de l entreprise. D autre part, la notion d individu est omniprésente dans le Système d Information sous la forme des utilisateurs des ressources informatiques de l entreprise : cette même application de Ressources humaines utilise les données de la personne pour authentifier, autoriser un accès partiel ou total, tracer ses actions, envoyer des messages scellés, voire confidentiels Gérer les identités du SI c est donc fournir aux utilisateurs l accès aux ressources qui leur sont nécessaires pour accomplir leur travail dans l entreprise. Cette problématique existe depuis les débuts de l informatique : rien de bien neuf donc! Alors, pourquoi ce sujet est-il toujours sous les feux de l actualité en 2008, tandis que d autres sujets qui avaient passionné la communauté informatique sont aujourd hui tombés dans la commodité (réseaux, firewall, antivirus )? Une partie de l explication tient à ce que l on a changé d échelle dans la complexité. Aujourd hui, presque toutes les personnes de l entreprise sont concernées par l outil informatique. En outre, de nouvelles populations utilisatrices apparaissent : partenaires, clients, prestataires Parallèlement, les applications, hétérogènes et en plus grand nombre couvrent un spectre fonctionnel de plus en plus large. 6 IT-expert n 74 - juillet/août 2008

7 Dossier & Interviews La fiche d identité au cœur des fonctions de sécurité Il est communément admis que la sécurité du Système d Information s appuie sur deux niveaux d architecture : la sécurité système s attache à protéger des zones réseaux et des machines, serveurs ou postes de travail (protection du réseau interne contre les attaques menées depuis Internet par des hackers, protection du poste de travail contre les virus ) ; la sécurité applicative vise à protéger des applications utilisées par des humains (exemples : limiter la population accédant à une information, tracer le qui a fait quoi ). Ces deux niveaux d architecture sont évidemment très complémentaires. Pour autant, l identité est une notion essentiellement utilisée dans le monde de la sécurité applicative. Ainsi, une application s attachera généralement à : connaître les acteurs interagissant avec l entreprise et vérifier leur identité (authentification) ; protéger les biens contre les accès et manipulations non souhaités de certains (habilitation) ; savoir qui a effectué des actions sur des biens (imputabilité) ; vérifier qu un document a été approuvé par une personne et qu il n a pas été falsifié depuis (signature) ; s assurer que seule une personne peut lire le contenu d un document confidentiel (chiffrement). Les services de sécurité remplissant ces objectifs s appuient sur des mécanismes techniques qui utilisent intensément les données informatiques liées à une personne : identifiants, mots de passe, rôle métier, entité organisationnelle, site géographique d appartenance, clé publique du certificat personnel, etc. Pour une personne, l ensemble de ces données constitue, vu du Système d Information, sa fiche d identité. L Identifiant Unique Personnel, pierre angulaire de la gestion des identités Comment parler d identité ou de fiche d identité dans le Système d Information si l on ne peut désigner chaque personne de l entreprise de manière unique? Dans notre vie quotidienne, nous utilisons un numéro de sécurité sociale qui nous est personnel et nous désigne de manière univoque auprès des Caisses Maladie et Retraite. De même, la plaque d immatriculation repère notre véhicule. On peut parler alors d identifiant unique. Cette notion, fondamentale dans notre vie de tous les jours, l est tout autant dans le Système d Information. Jean-Claude, RSSI Lorsque le patron a appris que Jérôme Durant partait à la concurrence, il a déboulé dans mon bureau à 17 h : «je veux que pour demain matin, tu lui supprimes tous ses comptes sur les applications de CAO : je n ai pas envie de voir des plans partir chez le concurrent!». Il est sympa le patron, mais des applis de CAO, il y en a au moins une quinzaine et ça n est vraiment pas évident de retrouver Durant dans cette botte de foin! Tiens, sur l appli «Moteurs» par exemple, on repère les utilisateurs par leurs initiales : comment savoir s il faut désactiver jd1 ou jd7? Sur «Electronique», c est à peine mieux : c est le nom de famille et on a trois Durant au Bureau des Etudes! Finalement, on a pris notre téléphone et on a appelé les gars des équipes conception pour savoir. Au bout de deux heures, on a eu à peu près les infos sauf pour deux applis mais on n est pas sûr que Durant ait un compte sur ces applis. Le lendemain, on s est fait sérieusement enguirlander par Jacques Deboivert : on lui avait supprimé son compte par erreur, jd7 c était lui! Quand le soufflé est un peu retombé, je me suis dit : «plus jamais ça! Il serait temps qu on uniformise un peu tous ces identifiants.» La fiche d identité est une notion logique, les données qui la constituent sont le plus souvent réparties sur différents référentiels et différentes applications : les référentiels de sécurité bien entendu, mais aussi les gestionnaires de ressources humaines, les outils de la direction de la communication, les moyens généraux, etc. Cette histoire illustre l intérêt pour une entreprise de posséder un Identifiant Unique Personnel (IUP). Un SI n est pas monolithique : l IUP assure de pouvoir rapprocher des informations sur une personne (en tant qu utilisateur ou objet de gestion), provenant d applications différentes. Dans un jargon «base de données», on peut dire que l IUP sert de clé de jointure. À l instar du numéro de sécurité sociale qui permet de rapprocher les cotisations maladies versées par un employeur, des remboursements de soins médicaux dont un employé bénéficie, les protagonistes de l histoire précédente peuvent établir que le compte de Jérôme Durant dans «Moteurs» est jd1 (et non jd7!). (Voir schéma page suivante) Cette clé de jointure trouve bien évidemment sa place dans la fiche d identité de la personne. Pour poursuivre la métaphore de la «base de données», on peut dire que l IUP constitue la clé primaire de la fiche d identité : il ne peut pas exister deux fiches d identité avec le même IUP. IT-expert n 74 - juillet/août

8 APPLI «MOTEURS» Login Etat IUP jd1 actif P01297 jd7 actif P00346 IUP clé de jointure FICHE D'IDENTITÉ IUP : P01297 Prénom : Jerôme Nom : Durant Service : Bureau des études SIRH Prénom Nom IUP Jerôme Jacques Durant Deboivert P01297 P00346 Les conséquences de ces événements, comme l appartenance à de nouveaux rôles métier, se retrouvent matérialisés dans une fiche d identité dont la cohérence est assurée par de nombreux services : synchronisation des référentiels applicatifs, provisioning (c est-à-dire la création et la suppression automatisées de comptes informatiques), self-service (c està-dire la création d un compte informatique ou la modification de ses paramètres par l utilisateur lui-même), etc. ; utiliser l identité revient à faire appel à tous les services assurant la sécurité des utilisateurs, des applications et des données du SI : authentification unique, confirmation ou infirmation des accès par habilitations, chiffrement des échanges, etc. Tous ces services utilisent des données contenues dans la fiche d identité préalablement élaborée par le socle «Construire» ; mais utiliser l identité c est aussi être capable de déceler des abus dans les traces des applications. S il ne s agit pas de «fliquer» les utilisateurs du SI, le pilotage permet de mettre en œuvre une politique de sécurité efficace, adaptée aux risques réels et reposant le plus souvent sur une relation de confiance maîtrisée avec les individus. DOMAINE DE SÉCURITÉ S il est unique par nature, l IUP se doit également d être : inaliénable : même après le départ d une personne, il ne doit pas pouvoir être affecté à une autre personne : stable : c est-à-dire sans évolution durant la vie de la personne dans l entreprise, et ce, indépendamment des déménagements, mutations, changements de nom (ex : mariage) Des identités et des patterns CONSTRUIRE L'IDENTITÉ ALIMENTATION STOCKAGE Workflows Administration Synchronisation Services d'accès (IHM, LDAP, Web services ) Connectique Self-service Délégation Provisioning La fiche d identité de la personne se retrouve au cœur de la problématique de la gestion des identités, parce que ses données sont directement exploitées par les applications et l infrastructure afin de rendre des services de sécurité. Avant de rendre ces services, encore faut-il créer les fiches d identité des utilisateurs du SI, et les mettre à jour au fil des événements ponctuant la vie de ces derniers. L identity management, consiste à construire l identité pour pouvoir ensuite l utiliser. Fonctionnellement, la «Big Picture» de la gestion des identités n est donc rien d autre que la superposition des deux socles de référence «construire» et «utiliser», eux-mêmes subdivisés en deux briques d assemblage : construire la fiche d identité c est d abord être capable d en stocker les données. Historiquement le stockage a d ailleurs été la première brique fonctionnelle fournie par les SI au sein de référentiels techniques aussi variés que des bases de données, des annuaires LDAP ou des PABX ; construire la fiche d identité c est ensuite assurer le cycle de vie de ses données. De sa création à sa suppression pure et simple, les modifications apportées à la fiche d identité sont à l image des changements vécus par l utilisateur dans l entreprise : arrivée, mutations, promotions hiérarchiques, etc. UTILISER L'IDENTITÉ SERVICES PILOTAGE SSO Habilitation Reporting Authentification Audit Chiffrement Signature Surveillance Que ce soit au sein du socle de construction ou d utilisation de l identité, les DSI et RSSI des entreprises sont confrontés à la mise en œuvre de ces briques fonctionnelles et aux choix d architecture associée à cette mise en œuvre. À l instar du monde du développement qui s est, au fil des ans, doté de Design Patterns de code, la gestion des identités et des accès dispose aujourd hui de patterns d architecture, c est-àdire de modèles architecturaux répondant à des problématiques récurrentes telles que : «Comment fournir un service d authentification et de stockage de données d identité utilisable par le plus grand nombre d applications du SI?» ; 8 IT-expert n 74 - juillet/août 2008

9 Dossier & Interviews «Comment appliquer simplement un modèle d habilitations répondant à 80 % des règles de sécurité de l application?» ; «Comment fournir un service d authentification unique, sans revalidation des mots de passe des utilisateurs par les applications?» ; «Comment consulter ou utiliser logiquement les données de fiches d identité réparties dans un ou plusieurs référentiels» ; «Comment assurer l attribution de ressources aux collaborateurs de l entreprise conformément aux procédures organisationnelles (RH et sécurité) en vigueur?» ; «Comment gérer dans un SI la sécurité de ces utilisateurs particuliers que constituent le personnel ou les clients des partenaires?» ; Etc. La suite de cet article détaille pour l exemple et sous une forme romancée l un des patterns répondant à l une des plus grandes problématiques de la gestion des identités et des accès : le Single Sign-On (SSO). Un exemple de pattern : le SSO par délégation Michaël, le nouveau RSSI de Jo Sport, grande enseigne de distribution d articles de sport, a tôt fait de se mettre au travail. Quelques semaines seulement après son arrivée, une charte de sécurité est ainsi disponible dans les boîtes aux lettres électroniques de l entreprise. Si elle a le mérite d essayer de sensibiliser les utilisateurs du SI à des considérations ignorées jusqu ici, certains points se retrouvent assez rapidement critiqués. On y apprend ainsi que désormais tout mot de passe permettant l accès à une application ou à un composant d infrastructure doit posséder les caractéristiques suivantes : une longueur minimale de 7 caractères, au moins 3 caractères non alphabétiques, un changement obligatoire tous les 30 jours sans réutilisation d un des 15 derniers mots de passe Cette nouvelle password policy est rendue effective à la minovembre. Trois semaines plus tard, Michaël voit tomber sur lui la foudre des VIP et doit supporter la bronca des utilisateurs magasins en pleine suractivité pendant la période des fêtes. Aussi sécurisante que cette politique puisse paraître à ses yeux, elle n est pas applicable en l état. La vente de détail demande souplesse et réactivité. Retenir et taper plusieurs fois par jour un mot de passe de 7 caractères et composé de symboles tels que «#», «&» ou n aide assurément pas les vendeurs des magasins Jo Sport à répondre rapidement aux attentes de leurs clients. L histoire aurait pu en rester là et Michaël faire machine arrière vers un temps où cette extreme password policy n existait pas, mais voilà, Michaël vient d arriver dans l organisation, qui plus est en tant que RSSI, et revenir à la case départ serait pour lui d ores et déjà synonyme d échec. C est donc dans une atmosphère déjà rendue un brin pesante par cette histoire de password policy, que Jérôme, l architecte en charge de la gestion des identités et des accès, prend rendez-vous avec Michaël, afin de lui soumettre une nouvelle problématique de mots de passe : «- Bon alors, quel est le problème? J'ai pas bien compris ton mail, cette histoire de mainframe, qu'est-ce que ça à voir avec les mots de passe? - Et bien, on a des utilisateurs qui accèdent au mainframe par un émulateur. Mais sur ce système le mot de passe n'est pas nominatif, on se loque par un profil. Du coup le mot de passe du mainframe n'est pas synchronisable avec celui de l'annuaire au travers de l'interface Jo Provisioning. Bref, en plus de devoir le taper, il faut aussi le retenir... Et bon, déjà que pour ce qui est du mot de passe de l'annuaire la pass word poilcy n'a pas fait que des heureux, là, deux mots de passe tarabiscotés c'est carrément l'émeute! - Je vois (soupirs)... Bon écoute, j'y réfléchis et on en reparle plus tard.» Une connexion Internet et quelques clics plus tard, Michaël rappelle Jérôme et l invite à passer rapidement dans son bureau : «Regarde, j'ai ce qu'il nous faut : tu vois, cette boîte propose un logiciel qui, lorsqu'un challenge d'authentification apparaît, récupère le login et le mot de passe de l'utilisateur pour l'application concernée et remplit pour lui ces informations dans la fenêtre d'authentification. Bref, le confort quatre étoiles! Le truc encore plus fort, c'est le mode d'authentification initial, regarde, ils proposent en standard d'utiliser un support physique comme une clé USB ou une carte à puce. Tu peux même t'intégrer avec un système de biométrie si le cœur t'en dit, bon bien sûr ça doit être plus compliqué. En tout cas, le mode «par défaut» serait génial pour nous. Imagine le topo, chaque utilisateur possède une clé USB qui contient sous un format chiffré ses informations de logins et de mots de passe pour l'ensemble des systèmes et applications du SI : ils appellent ça un «coffre 550».Lorsqu'un utilisateur veut se loguer et travailler sur un PC du parc,il n'a qu'à insérer le token (USB et débloquer le fichier chiffré en tapant le code PIN sur quatre chiffres. Ensuite, dès qu'une pop-up d'authentification apparaît le logiciel récupère de la clé le mot de passe de l'annuaire, du mainframe, de JO Voyages ou de je ne sais quel autre système et le rentre à l'écran à la place de l'utilisateur. Pour ce dernier c'est complètement transparent! Et du coup ça règle tous mes.., heu... «nos» problèmes. Et Michaël d ajouter : 1/ on a une vraie progression du niveau de sécurité pour la phase d'authentification puisqu'on passe d'un simple mot de passe à ce que les anglo-saxons appellent «two factor authentication» : pour me loguer,j'ai besoin de connaître un secret (en l'occurrence un code PIN), et aussi et surtout de posséder un support physique (en l'occurrence un token USB); 2/ les utilisateurs n'ont plus à taper 10 ou 15 fois par jour un mot de passe basé sur un jeu de caractères ésotériques. Ce qu'ils ont à retenir c'est désormais un code sur quatre chiffres, ce qu'ils ont tous l'habitude de faire dans leur vie quotidienne (code PIN du téléphone portable, code de carte bleue etc.) ; 3/ les utilisateurs n'auront, quoi qu'il arrive, c'est-à-dire quels que soient le nombre et le type des systèmes à accéder, jamais plus d'un crédentiel à retenir, en l'occurrence le code PIN. Cest un vrai 550 ayant pour périmètre l'intégralité du SI. Alors, qu'est-ce que tu en penses? Géniale cette solution non?» IT-expert n 74 - juillet/août

10 Géniale, peut-être pas, mais en tout cas digne d intérêt! La solution décrite par Michaël est en fait représentative d un pattern logiciel adressant la problématique du SSO par le bout du confort : d une part pour l utilisateur : puisque retenir et taper des mots de passe sont des tâches respectivement pénible et rébarbative, un composant logiciel, un automate en somme, se chargera de les réaliser pour lui. La tâche de fourniture des mots de passe est ainsi déléguée ; d autre part pour les systèmes et applications dans le périmètre du SSO : puisque cette fonction est intégralement assurée par un composant tiers, aucune action «intrusive» n est généralement nécessaire sur les serveurs accédés. Il existe aujourd hui deux grandes catégories de logiciels implémentant le pattern de SSO par délégation : 1. Les reverse-proxies, adressant l unique périmètre des applications Web. On parle alors de «Web Single Sign- On». Dans cette solution, le reverse-proxy devient le point de passage obligé des navigateurs Internet pour l accès aux applications. Ainsi, les utilisateurs n accèdent plus à une application webmail par son adresse directe «http://webmail.josport.fr», mais par l adresse de sa jonction sur le reverseproxy : «http://reverse-proxy.josport.fr/webmail/» ; 2. Les logiciels d interception. Déployées sur les postes clients, ces solutions permettent de rendre un service de Single Sign- On pour toute application du SI : Web, 2 tiers, «fenêtres» de ligne de commande de type «telnet», émulateurs 5250, etc. On parle alors d «Enterprise Single Sign-On». Si les reverse-proxies accèdent directement aux informations de logins / mots de passe contenues sous (ou dans) les objets personnes de l annuaire afin de remplir les fenêtres de «Basic Authentification» ou les pages HTML de «LoginForm», les solutions de SSO déployées sur les postes clients utilisent, elles, un référentiel local le plus souvent synchronisé avec l annuaire centralisé. Dans tous les cas, il est important de garder un œil critique sur les plaquettes des éditeurs, ceux-ci mettant invariablement en avant le caractère non intrusif et la rapidité de déploiement de leurs produits. Si ces solutions ne demandent effectivement aucune intervention sur les serveurs, il serait hâtif (voire malhonnête, par omission) de prétendre qu elles ne possèdent aucun caractère intrusif : par nature, les logiciels d interception doivent ainsi être déployés sur les postes clients, ce qui n est pas forcément une mince affaire dans le cas de parcs très étendus. De plus lorsque l authentification système (au sens de l obtention d une session Windows) fait partie du périmètre de Single Sign-On à mettre en place, une DLL propre à l éditeur doit être utilisée en lieu et place de la GINA (Graphical Identification and Authentication library) Windows traditionnelle. Dans ces deux implémentations du pattern, les logins et mots de passe des utilisateurs pour les différentes applications du SI sont stockés dans un référentiel centralisé, le plus souvent un annuaire LDAP, parfois (mais désormais rarement) une base de données. Ces nouvelles informations d identités apparaissent sous la forme de nouveaux attributs ou objets, ce qui, dans le cas d un annuaire LDAP nécessite une extension de schéma : Cette librairie débloque le coffre SSO avec le code PIN fourni par l utilisateur 1 puis vérifie l existence de ce dernier dans l annuaire 2 avant d ouvrir une session sur le système d exploitation. Une fois la session Windows ouverte, le logiciel d interception utilise classiquement les informations de logins et de mots de passe contenues dans le coffre SSO afin de remplir les challenges d authentification des applications ( 3 et 4 ). 10 IT-expert n 74 - juillet/août 2008

11 Dossier & Interviews Enfin, les solutions de type reverse-proxies et les logiciels d interception sont également intrusifs sur le serveur d annuaire du fait de la nécessaire extension du schéma de ce dernier. Quant à la rapidité du déploiement, souvent discutable, elle ne doit pas faire oublier l étendue du travail à réaliser sur les systèmes en back-end. Car, c est bien là la grande limite du pattern de SSO par délégation : être l arbre du confort utilisateur masquant la forêt des réels enjeux du Single Sign-On. Ce pattern ne repose en effet que sur un «bête» automate, remplissant des fenêtres d authentification avec des données récupérées dans un référentiel central. Il n assure par contre en rien le provisioning de ce référentiel. Et c est bien là où le bât blesse, car les logins et passwords des applications et systèmes en back-end ont leur propre cycle de vie : si l une de ces données d authentification change dans le référentiel local d une application, elle doit ainsi être reportée sur l annuaire centralisé. Pour répondre à cette problématique, les logiciels d interception proposent un mode dit d «autoapprentissage» : lorsque la phase d authentification échoue sur un système, ils proposent ainsi à l utilisateur de renseigner lui-même le login et mot de passe valides. Ces informations sont alors synchronisées et stockées dans l annuaire centralisé pour une future réutilisation. Si une telle solution résout momentanément le problème, il faut bien admettre qu on est quand même loin du confort utilisateur initialement annoncé n Bruno VINCENT Architecte senior et expert en sécurité du SI Nicolas DEBAES Architecte senior et expert en sécurité du SI Pierre PEZZIARDI Directeur Technique Pour en savoir plus : l ouvrage «Gestion des Identités : Une Politique pour le Système d Information» (Editions OCTO Technology, ISBN ) s attaque à la thématique de la gestion des identités et des accès en présentant pour chacune de ces problématiques le ou les patterns associés : Référentiels et annuaires d identité Provisioning des ressources informatiques et physiques Authentification nivelée (du mot de passe à la biométrie!), centralisée (Single Sign-On) ou fédérée (Liberty Alliance, ADFS ) Habilitations et contrôle d accès Sécurité des échanges Analyse des traces et imputabilité des actions Etc. IT-expert n 74 - juillet/août

12

13 Technique Les dessous de la cryptographie La plupart des responsables sécurité et des informaticiens considèrent la cryptographie, ou «crypto», comme une «boite noire». Ils ne souhaitent pas forcément comprendre son fonctionnement, car cela fait appel à des concepts mathématiques complexes et inaccessibles au commun des mortels. Cette idée recèle une partie de vérité, mais les principes de base sont simples à comprendre. Un examen de ces derniers permet de savoir lequel il faut utiliser, dans quel cas, et avec quel degré de sécurité réelle. NOTA BENE : Pour éviter toute confusion, l article désignera par «crypté» tout élément non «lisible», et par «décrypter» les techniques qui permettent de le rendre lisible. Si on dispose de la clé, on parlera de «déchiffrer» (au plutôt que «décrypter»). «Décrypter» consiste donc à rouler dans une voiture sans avoir la clé de contact, tandis que «déchiffrer» revient à rouler dans une voiture dont on possède la clé (ce qui ne signifie pas forcément qu on en est le propriétaire) IT-expert n 74 - juillet/août

14 Depuis quatre millénaires, les codes accompagnent l Histoire Dans son histoire courte «Le scarabée d or» éditée en 1843, Edgar Allan Poe explique les rudiments du cassage de code secret, et imagine que l esprit humain pourra casser n importe quel code que l ingéniosité humaine pourrait concevoir. Pendant le siècle et demi suivant, la bagarre entre les concepteurs de codes et les briseurs de code a connu des intrications et les complications qui auraient fait le bonheur d Edgar Poe. Un code réputé incassable a bien été inventé en 1918, bien que son invulnérabilité n ait pas été prouvée avant les années Le code dit «symétrique» était plutôt impraticable, parce qu il exigeait de l expéditeur et du récepteur de convenir à l avance d une clé -un chiffre aléatoire secret-, avec dans certains cas une utilisation unique chaque fois qu un message secret a été transmis. Des codes plus pratiques, avec des clés courtes et réutilisables, voire aucune clé secrète du tout, n ont été développés dans les années 70, mais à ce jour ils stagnent dans un flou mathématique, sans qu aucune preuve de «cassabilité» ou d invulnérabilité ne soit réellement établie. L art de la cryptographie apparaît il y a plus ans avec les Egyptiens, Les Grecs puis les Romains. Jules César et son fameux «code 3» ont joué un rôle important dans l Histoire. Le message codé ou «cryptogramme» le plus célèbre, la note de Zimmermann, a probablement précipité l entrée des États-Unis dans la Première Guerre mondiale. Quand le cryptogramme a été cassé en 1917, les Américains comprirent que l Allemagne avait essayé d attirer le Mexique à adhérer à son effort de guerre, en promettant des territoires américains au Mexique en cas de victoire. Presque simultanément, les Américains Gilbert S. Vernam d ATT Company et Joseph Mauborane des transmissions de l armée américaine ont développé le premier code réputé incassable appelé le chiffre de Vernam. Une particularité distinctive de ce code est son besoin de clé unique utilisée pour crypter le message transmis, en n étant jamais réutilisée pour envoyer un autre message. (Le chiffre de Vernam est également connu comme le carnet à feuilles jetable des espions, chaque feuille étant utilisée pour coder un message puis détruite soigneusement, comme le magnétophone dans «Mission Impossible» ). La découverte du chiffrement de Vernam a généré peu d utilisations industrielles à l époque. D une part, parce que l invulnérabilité n a été prouvée que beaucoup plus tard ; d autre part, parce que ses conditions d utilisation étaient peu pratiques pour les particuliers et les entreprises. Du moins, jusqu à l apparition de l ordinateur personnel vers La crypto symétrique : de la seconde guerre mondiale à Che Guevara En 1967 l armée bolivienne capture et exécute le révolutionnaire Che Guevara, et trouve sur son corps un brouillon de message à transmettre au Président cubain Fidel Castro. Le Che a employé le fameux chiffrement réputé incassable inventé par Gilbert Vernam en Les lettres composant le message du Che (en Espagnol) sont traduites une première fois en un nombre décimal à deux chiffres par une règle fixe. Par lui-même ce procédé n aurait assuré pratiquement aucune protection. Les chiffres du message sont alors répartis dans des blocs à cinq chiffres. Ils deviennent la ligne supérieure de chaque groupe de trois lignes sur la feuille de brouillon. La ligne au milieu de chaque groupe incarne la clé, une combinaison de chiffres aléatoires connus seulement de Guevara et Castro : On additionne alors le chiffre de la première et deuxième ligne pour produire un cryptogramme, formant le résultat sur la troisième ligne, qui est la seule envoyée par des moyens classiques interceptables comme le télégraphe ou la radio ondes courtes. En raison de l addition des chiffres principaux avec ceux aléatoires, ce cryptogramme devient lui-même une chaine décimale aléatoire, ne diffusant aucune information sur le message original, excepté pour quelqu un qui connait la clé. À l autre bout, le bureau du code de Castro soustrait les mêmes chiffres au message reçu reconstruisant alors dans l ordre les nombres de la rangée supérieure, ce qui donne le message en clair. Nombre d espions et de diplomates ont employé le chiffre de Vernam tout au long du 20 ème siècle. La clé, plutôt que d utiliser des chiffres décimaux, utilise maintenant des éléments binaires 0 et 1, et les additions et les soustractions étant effectuées en base 2 par la machine, plutôt qu en base 10 à la main. Néanmoins, la clef doit encore être disponible à la fois lorsqu elle permet de produire le code et au moment du déchiffrement. Donc, elle doit être parfaitement conservée durant toutes les phases de livraison et de stockage pour l empêcher de tomber entre les mains d un adversaire. En raison de cette limitation, les soldats et les diplomates ont continué à utiliser des systèmes plus faibles utilisant des clés plus courtes ou réutilisées. C est pourquoi, pendant la Deuxième Guerre mondiale, les alliés ont pu lire la plupart des messages secrets transmis par les Allemands et les Japonais. Il n était pas aisé de casser ces codes, mais c était surtout une question 14 IT-expert n 74 - juillet/août 2008

15 Technique de temps. Par exemple, certaines lettres ont une fréquence plus élevée dans une langue, le «e» ou le «s» plutôt que le «q» ou le «x» En comptant les occurrences d une série, on pouvait éventuellement en déduire des lettres, voire des syllabes utilisées davantage dans une langue, comme «et» ou «par» Ce dispositif s appelle la cryptanalyse. Les Américains ont donc utilisé des Indiens Navajo pour leurs messages «source» ce qui brouillait le message en clair pour les Japonais qui cherchaient des mots en Anglais Mais en essayant toutes les combinaisons possibles avec 26 lettres et 10 chiffres, on finira fatalement par casser le code. On appelle cette technique le «brute force». La tâche formidable de casser des codes de plus en plus sophistiqués fût donc l un des facteurs qui ont stimulé le développement des ordinateurs capables d exécuter des millions d opérations, donc de tentatives par seconde. Crypto asymétrique recourt à des clés publiques Sous l impulsion de l armée américaine, l intérêt universitaire pour la cryptologie s est développé au milieu des années 70, quand Whitfield Diffie, Martin E. Hellman et Ralph C. Merkle, de l Université de Stanford, ont conçu le principe de la cryptographie à clefs publiques (PKC). Un peu après, en 1977, Ronald L. Rivest, Adi Shamir et Leonard M. Adleman, du MIT, ont conçu une application pratique : l infrastructure à clefs publiques asymétriques ou PKI. Ces systèmes diffèrent de tous les codes précédents, du fait que les parties souhaitant communiquer n ont pas besoin de convenir d une clé secrète à l avance. L idée de la PKI pour un utilisateur, que nous appellerons Alice, est de choisir aléatoirement une paire mutuellement inversible employée à la fois pour le chiffrage et le déchiffrage ; elle publie alors les instructions pour effectuer le chiffrage (clef publique) mais pas le déchiffrage (clef privée). Un autre utilisateur, appelé Bob, peut alors utiliser l algorithme public d Alice pour préparer un message que seule Alice peut déchiffrer. Ainsi, n importe qui, y compris Alice, peut utiliser l algorithme de chiffrement public de Bob pour préparer un message que seulement lui peut déchiffrer. C est simple il suffisait d y penser! Ainsi, Alice et Bob peuvent converser secrètement sans partager le moindre secret préalable. Les PKI sont donc particulièrement appropriées pour chiffrer le courrier électronique et les transactions commerciales, qui se produisent souvent entre les parties qui, à la différence des diplomates et des espions, n ont pas prévu préalablement leur besoin de communiquer secrètement. En contrepartie, on ne sait pas si ces systèmes utilisés dans toutes nos transactions bancaires -par exemple à travers SSL et HTTPS- sont réellement solides. En effet, Shamir en 1982, maintenant à l institut de Weizmann de la Science en Israël, à craqué l un de ces systèmes le knapsack cipher. En juillet 2004, deux jeunes femmes de l Université de Shanghai ont annoncé la possibilité de calcul d inversion de MD5 et SHA1, protocoles largement utilisés dans toutes nos communications chiffrées. Edgar Poe doit sourire dans sa tombe! Il se pourrait qu il y ait une méthode d attaque intelligente, jusqu ici non découverte, qui pourrait casser tout code secret actuel en quelques minutes, voire «au fil de l eau». Il se peut qu Alice et Bob aient du souci à se faire si une puissance nationale ou économique disposait d une telle puissance de calcul Diffie et Hellman ont d ailleurs alerté de nombreuses fois la communauté scientifique dans les années 90, en expliquant qu il y avait une faille grossière dans le codage de deux bits de DES (triple DES est largement utilisé dans nos communications chiffrées notamment dans HTTPS). Il se pourrait que cette faille ait été introduite volontairement lors de la conception du code pour permettre à une puissance nationale de décoder facilement les échanges cryptés sur son territoire. Ainsi, la confidentialité des données et des flux chiffrés ne la serait pas pour tout le monde Le talon d Achille de la crypto En fait le talon d Achille des solutions existantes de cryptographie réside dans le processus d échange des clés. Tandis que les techniques conventionnelles de distribution se fondent sur la clé publique ou l échange manuel. En effet, une entité qui «renifle» le flux peut intercepter l échange de clé, générer une fausse clé et se faire passer pour l entité émettrice. Le récepteur va donc coder son message avec la fausse clé, ce qui aura pour conséquence non seulement que le message soit décodé par l intrus en temps réel, mais aussi que le destinataire ne reçoive pas le message d origine, mais éventuellement un message modifié IT-expert n 74 - juillet/août

16 Voici un exemple d interception de flux SSL dans un aéroport en WIFI, basé sur le principe du «man in the middle» et de la génération d une fausse clef publique. La stéganographie : dissimuler l information au lieu de la crypter La stéganographie a été inventée par les Grecs pour dissimuler des informations à leurs ennemis. Ils inscrivaient sur le crâne d un esclave une information sensible, les cheveux repoussaient, puis le moment venu ils décapitaient l esclave et récupéraient l information Ce «one time password», bien que cruel, leur garantissait de cacher une information de manière parfaite. En effet, le mot stéganographie vient du Grec «steganos» qui veut dire «caché» mais dans le sens d «enfoui», comme un sousmarin Le mot Grec «crypto» veut dire également «caché», mais dans le sens de «on ne comprend pas la signification». Deux mots de Grec pour deux traitements des informations sensibles, distincts et complémentaires. Dans la «crypto» si on reprend notre mot Grec, on chiffre le message avec une clé et on transmet la clé à tous les destinataires potentiels, permettant ainsi le déchiffrement. En cas d interception, le message ne pourra pas être lu sans la clé. Par exemple, le message chiffré sera «DAH» et la clé «3». Le message en clair sera donc «AVE», «D-3=A» et ainsi de suite. En décalant de trois caractères la lettre d origine, on obtient le message en clair. Le problème est qu une donnée cryptée attire l attention dans une masse de données en clair. Il est évident pour un hacker ou une puissance étrangère que les données chiffrées sont les données les plus «intéressantes». Il faut donc appliquer une autre stratégie pour les données dites «secrètes», les plus sensibles de toutes, celles qui ne doivent pas attirer l attention. La stéganographie moderne utilise un programme qui encapsule le fichier secret à protéger dans un autre fichier dit «hôte», plus grand, et qui sera anodin comme une photo ou une musique. Ce logiciel rend le fichier secret totalement invisible et perdu dans la masse de fichiers «en clair» Plusieurs avantages à cette technique : lors de la perte d un ordinateur portable, les fichiers réellement sensibles ne seront pas visibles par le voleur. Les douanes et autres systèmes de scan qui se concentrent sur les fichiers cryptés ne verront pas ces contenus. Des données secrètes au niveau même de l entreprise ne seront pas visibles par d autres personnes que celles au courant de l existence du fichier. Même les informaticiens ne seront pas au courant de ces fichiers et ne pourront pas les lire. Quelques inconvénients : au niveau de la sécurité d un pays, tous les délinquants peuvent utiliser ces techniques pour éviter d être interceptés dans leurs agissements frauduleux. Les fuites d informations à travers l envoi d un sont facilitées pour les personnels indélicats. Mieux vaut donc connaître ces techniques et les expliquer aux dirigeants des entreprises afin de protéger les données secrètes. «Un secret n existe pas, sinon ce n est plus un secret», comme disent les militaires. De quels programmes dispose-t-on pour mettre en œuvre la stéganographie? J en utilise deux : Invisible Secrets 4, un shareware roumain et Truecrypt (www.truecrypt.com) qui me permet de cacher un volume virtuel de mon disque dur, lui-même crypté 16 IT-expert n 74 - juillet/août 2008

17 Technique à l accomplissement des buts cryptographiques plus subtils, importants dans un monde «post guerre froide», tels que permettre à deux parties mutuellement méfiantes de prendre des décisions communes basées sur une information privée, tout en compromettant le moins possible sa confidentialité. Vous n avez pas tout compris? Voici donc la métaphore du «petit chat est mort» La crypto quantique : une question clés Un développement inattendu et récent est l utilisation de la mécanique quantique afin d exécuter des exploits cryptographiques irréalisables par les seules mathématiques. Les équipements cryptographiques quantiques utilisent typiquement des photons de lumière polarisés et tirent profit du principe de Heisenberg, un principe d incertitudes, selon lequel la mesure d un système quantique modifie l état du système qu il cherche à mesurer. L écoute clandestine d un flux crypté par la crypto quantique permettrait donc de manière absolue de modifier les données par une perturbation inévitable, alertant les utilisateurs légitimes. La cryptographie quantique exploite cet effet pour permettre à deux parties qui ne se sont jamais réunies ou vues, et donc qui ne partagent aucune information secrète à l avance, de communiquer dans un secret absolu sous le nez d un adversaire. Les techniques quantiques aident également Pour décrire ce phénomène, on parle parfois du paradoxe du chat de Schrödinger qui est pour l observateur à la fois mort et/ou vivant. Lorsque le chat dort, il est immobile, et l on ne peut pas dire en le regardant s il dort ou s il est mort. Le chat peut donc être dans deux états différents que l on ne peut différencier uniquement par l observation. L observateur qui veut étudier avec une certitude absolue l état de mort du chat ne pourra s assurer qu il est bien mort qu en essayant de le réveiller. Si le chat est bien mort, le chat ne se réveille pas, donc ne change pas de position, donc l état n est pas perturbé, et l on peut étudier cet état de mort du chat en étant certain que le chat que l on observe est bel et bien mort. Mais l observateur qui veut étudier avec une certitude absolue l état de sommeil du chat ne pourra s assurer de cet état qu en réveillant le chat. C est ici qu est le paradoxe : en réveillant le chat, l observateur altère l état qu il voulait étudier, et il ne peut donc plus l étudier. L astuce consiste donc à supposer que le chat est endormi (probabilité = 50% = 1 chance sur 2), à l observer d abord, puis à vérifier ensuite en essayant de le réveiller. On ne conserve les résultats de l observation que si le chat se réveille. Avec seulement 2 états possibles, le raisonnement est simple. Tout se complique si l on considère qu il y a plusieurs chats à étudier en même temps et qu il y a 3 états possibles, c està-dire que chaque chat peut être soit mort, soit endormi, ou bien les 2 états à la fois en superposition Voici la photo «hôte» et la photo contenant le fichier caché. Bien entendu on ne voit aucune différence à l œil nu. La différence est dans le contenu du fichier, et dans la «vraie vie» le fichier d origine n étant pas disponible, il faut d abord trouver quel fichier parmi des centaines de milliers, celui qui contient l information stéganographie. On peut renforcer la sécurité en combinant la stéganographie avec un chiffrement à l intérieur du fichier Un challenge est en cours sur mon blog sur ces fichiers pour bien comprendre le mécanisme : Si vous parvenez à déchiffrer le document, vous aurez l qui prouvera votre exploit Image hôte «normale» Image contenant le fichier stéganographié IT-expert n 74 - juillet/août

18 Cependant au niveau quantique, il ne s agit pas seulement d un modèle permettant de rendre compte de notre ignorance du système. Les particules sont véritablement dans cet état superposé, et il en découle un certain nombre de propriétés inédites à notre échelle. Une mesure sur un système quantique va le forcer à choisir un des états. On parle de projection. Mais Edgar Poe aurait-il encore raison? N y a-t-il pas un moyen de casser le code? Eavesdropper: Eve La cryptographie quantique résout définitivement le problème de la distribution de clés. Cette technologie de rupture protège de manière absolue les communications voix, données et images. Au lieu de transmettre les clés, ce procédé les fabrique de manière dynamique grâce aux principes universels de la physique quantique. Pour la première fois dans l histoire de la cryptographie, les clés ainsi obtenues sont invulnérables. La nette différence entre la crypto traditionnelle et la cryptographie quantique réside dans le fait que l émetteur transmet au récepteur une chaîne continue de bits véhiculés par des grains de lumière appelés photons. Si un intrus essaie de les intercepter, leur état changera de manière irréparable. L émetteur et le récepteur détecteront la tentative d espionnage. La chaîne corrompue est alors rejetée. Aucun de ces bits douteux ne sera utilisé pour établir une clé. Seuls les photons intègres, fournissant une information sans risque, participent à la génération de clés secrètes. Sender: Alice Photon/Bit Receiver: Bob 11X0XXXX10 QBER En cryptographie traditionnelle, le risque d une attaque par «man in the middle» reste indétectable. Les pirates réalisent alors une copie des messages transmis et procèdent ensuite à leur cryptanalyse en vue de briser les codes secrets. Les crypto systèmes actuels n offrent aucune résistance contre de telles interceptions. En revanche, la cryptographie quantique détecte systématiquement les intrusions et supprime le risque d espionnage. Si un intrus tente de cloner les informations transportées par les photons envoyés sur la fibre optique reliant deux interlocuteurs, la mécanique quantique garantit que cette attaque entraînera une perturbation détectable. Les utilisateurs légitimes de la ligne retarderont alors l envoi d informations sensibles jusqu à ce que la sécurité du lien soit de nouveau assurée. Pour la toute première fois dans l histoire de la cryptographie, la sécurité absolue des communications via liaisons optiques est rendue possible grâce aux lois de la physique quantique. L ordinateur quantique : la TV «noir et blanc» passe à la couleur L algorithme de Shor est un algorithme quantique pour factoriser un nombre N en temps O((log N)3) et en espace O(log N), nommé en l honneur de Peter Shor. Beaucoup de crypto systèmes à clé publique, tels que le RSA, deviendraient cassables par un tiers si l algorithme de Shor était un jour programmé dans un calculateur quantique pratique. Un message chiffré avec RSA peut être déchiffré par factorisation de sa clef publique N, qui est le produit de deux nombres premiers. Il est connu que les algorithmes classiques ne peuvent pas faire cela en temps O((log N)k) pour n importe quel k, donc, ils deviennent rapidement impraticables quand N augmente, à la différence de l algorithme de Shor qui peut casser le RSA en temps polynomial. Autrement dit, un ordinateur quantique changerait une durée exponentielle en durée linéaire en utilisant tous les états 18 IT-expert n 74 - juillet/août 2008

19 Technique intermédiaires entre 0 et 1. Un peu comme si l ordinateur au silicium actuel était une télé en «noir et blanc - zéro et un» alors que l ordinateur quantique était une télé «couleurs» avec une palette d états entre le blanc et le noir Comme tous les algorithmes pour calculateur quantique, l algorithme de Shor est probabiliste : il donne la réponse correcte avec une haute probabilité et la probabilité d échec peut être diminuée en répétant l algorithme. L algorithme de Shor fut utilisé en 2001 par un groupe d IBM, qui factorisa 15 en 3 et 5, en utilisant un calculateur quantique de 7 qubits. Le qubit est le bit de base d un ordinateur quantique. Si une entité était capable de fabriquer un ordinateur quantique de, par exemple, 8 qubits, il serait équivalent à la puissance de 256 ordinateurs (2 puissance 8) Avec un ordinateur à 40 qubits on aurait l équivalent de puissance de soit milliards d ordinateurs au silicium Sachant que si l on utilisait simultanément tous les ordinateurs de la planète on aurait une puissance de calcul maximum de 1 milliard d ordinateurs soit près de fois moins Autrement dit, un mot de passe de 12 caractères qui résisterait près de ans à une attaque «brute force», ne résisterait plus que 1,2 seconde avec un ordinateur quantique. Ou un code de 16 caractères (128 bits, c est-à-dire nos communications SSL) qui résisterait à une attaque brute force pendant 2,8 x 10 puissance 35 années (c est-à-dire 35 zéros derrière 2,8), ne résisterait plus que 2 minutes et demie avec un ordinateur quantique à 64 qubits Aujourd hui certaines compagnies annoncent des ordinateurs quantiques de 512 voire qubits en préparation, sans pour autant que l on ait vu le moindre prototype Edgar Poe aura-t-il finalement tort ou raison? A chaque avancée de la cryptographie, il y a des possibilités nouvelles de décryptage. Il semble clair que toute puissance économique et militaire désirant se maintenir à la pointe devra constamment engager des recherches, et la voie semble toute tracée pour l ordinateur quantique, la cryptographie quantique et les nanotechnologies nécessaires pour l atteindre. n Mauro ISRAEL, Expert sécurité Professeur à l ENST au Mastère Spécialisé en Sécurité - Professeur à l Université des Sciences et Techniques de Lille au Mastère en Intelligence Economique Global e-business - ISO27001 Certified Lead Auditor. Site web : IT-expert n 74 - juillet/août

20 Pour compléter votre bibliothèque de référence technique, commandez vite les anciens numéros * d IT-expert à tarif préférentiel! IT-expert n 62 Juillet/Août 2006 IT-expert n 63 Septembre/Octobre 2006 IT-expert n 64 Novembre/Décembre 2006 IT-expert n 65 Janvier/Février 2007 Dossier : Panorama sur les techniques Agiles PHP5, une alternative à.net et J2EE? Eclipse : le Big Bang Callisto Test Driven Development Qui arrêtera Google? Dossier : La géolocalisation Géolocalisation, les techniques alternatives au GPS Le positionnement par GPS Géolocalisation, tout n est pas permis Recyclage des e-déchets Dossier : Capital Immateriel Windows Vista : le nouveau système d exploitation de Microsoft Les curseurs sous SQL Server Wimax Dossier : Web 2.0 entreprise, quelles réalités? ITIL et ISO20000 Logiciel libre Les wikis : définitions fonctionnelles et techniques Une approche structurée de la certification du réseau : l audit automatique du réseau et la validation des changements des configurations * Dans la limite des stocks disponibles IT-expert n 67 Mai/juin 2007 Dossier : SOA, l état de l art SOA : Architectures & outils Imprimez moins, maîtrisez vos coûts! Qualité interne de ses logiciels : mythes et réalités L univers étrange des unités d œuvre IT-expert n 68 Juillet/Août 2007 Dossier : Le décisionnel Du décisionnel à la gestion de la performance La visualisation de l information à des fins d aide à la décision Les grandes étapes d une chaîne d ETL ITIL : entre meilleures pratiques et référentiel holistique IT-expert n 69 Septembre/Octobre 2007 Dossier : Que peut-on offshorer dans une DSI? La qualité intrinsèque des applications dans les contrats de service Le «backsourcing» : lorsque l externalisation n est pas utilisée avec précaution Assurer le succès des projets avec la Tierce Recette Applicative Etat de l art de la convergence : lien entre informatique et téléphonie IT-expert n 70 Novembre/Décembre 2007 Dossier : Management de la sécurité Comment lutter efficacement contre les intrusions informatiques Microsoft Office SharePoint Serveur 2007 : les raisons-clés d un succès Les multiples facettes du contrôle d accès au réseau d entreprise Interview d Alain Bouillé, RSSI au sein du Groupe Caisse des Dépôts Sécurité de la téléphonie sur IP

Généralité sur la cryptographie

Généralité sur la cryptographie 1.1 Introduction L origine de la cryptologie mot réside dans la Grèce antique. La cryptologie est un mot composé de deux éléments : «cryptos», qui signifie caché et «logos» qui signifie mot. La cryptologie

Plus en détail

Solutions de gestion de la sécurité Livre blanc

Solutions de gestion de la sécurité Livre blanc Solutions de gestion de la sécurité Livre blanc L intégration de la gestion des identités et des accès avec l authentification unique Objectif : Renforcer la politique de sécurité et améliorer la productivité

Plus en détail

La signature électronique

La signature électronique Livre Blanc La signature électronique Date : mercredi 22 janvier 2014 Indice : V01 SSL Europa - 8 chemin des escargots - 18200 Orval - France T: +33 (0)9 88 99 54 09 Table des matières 1. De nouveaux enjeux...

Plus en détail

Principes de cryptographie pour les RSSI

Principes de cryptographie pour les RSSI Principes de cryptographie pour les RSSI Par Mauro Israël, Coordinateur du Cercle Européen de la Sécurité et des Systèmes d Information La plupart des responsables sécurité et des informaticiens considèrent

Plus en détail

Chapitre II. Introduction à la cryptographie

Chapitre II. Introduction à la cryptographie Chapitre II Introduction à la cryptographie PLAN 1. Terminologie 2. Chiffrement symétrique 3. Chiffrement asymétrique 4. Fonction de hachage 5. Signature numérique 6. Scellement 7. Echange de clés 8. Principe

Plus en détail

La sécurité dans les grilles

La sécurité dans les grilles La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation

Plus en détail

Créer son adresse email

Créer son adresse email Rappel sur le courriel Une adresse courriel (ou email) est toujours composée de la manière suivante : Utilisateur@site.domaine @ : arobase touche Alt Gr + à.fr ;.com etc Qu est ce qu un Webmail? Un webmail

Plus en détail

L identité numérique. Risques, protection

L identité numérique. Risques, protection L identité numérique Risques, protection Plan Communication sur l Internet Identités Traces Protection des informations Communication numérique Messages Chaque caractère d un message «texte» est codé sur

Plus en détail

PROFIL PERSONNEL GUIDE DE L UTILISATEUR

PROFIL PERSONNEL GUIDE DE L UTILISATEUR PROFIL PERSONNEL GUIDE DE L UTILISATEUR Mis à jour le 25 septembre 2008 TABLE DES MATIÈRES 1. UN NOUVEAU SERVICE... 1 Personnalisé... 1 Sécuritaire... 1 Complémentaire... 1 2. ENREGISTREMENT ET AUTHENTIFICATION...

Plus en détail

Solutions Microsoft Identity and Access

Solutions Microsoft Identity and Access Solutions Microsoft Identity and Access 2 Solutions Microsoft Identity and Access Microsoft Identity and Access (IDA) permet aux entreprises d améliorer leur efficacité et leurs connexions internes et

Plus en détail

Communiqué de Presse. Boulogne-Billancourt, Septembre 2003

Communiqué de Presse. Boulogne-Billancourt, Septembre 2003 Communiqué de Presse AudioSmartCard annonce son nouveau serveur d authentification Secured Sound Pro Server compatible LDAP et Radius et la disponibilité de son Software Developement Kit SDK Boulogne-Billancourt,

Plus en détail

La sécurité des réseaux sans fil sur la route

La sécurité des réseaux sans fil sur la route La sécurité des réseaux sans fil sur la route par Martin Felsky Novembre 2009 Table des matières Introduction... 1 L accès à Internet sans fil sur la route... 2 Quels réseaux sans fil sont légitimes et

Plus en détail

Qu est-ce qu une boîte mail

Qu est-ce qu une boîte mail Qu est-ce qu une boîte mail Sur Internet, la messagerie électronique (ou e-mail en anglais) demeure l application la plus utilisée. La messagerie permet à un utilisateur d envoyer des messages à d autres

Plus en détail

LISTES DE DISTRIBUTION GÉRÉES PAR SYMPA DOCUMENT EXPLICATIF DE L'INTERFACE WEB À L'INTENTION DES ABONNÉS

LISTES DE DISTRIBUTION GÉRÉES PAR SYMPA DOCUMENT EXPLICATIF DE L'INTERFACE WEB À L'INTENTION DES ABONNÉS LISTES DE DISTRIBUTION GÉRÉES PAR SYMPA DOCUMENT EXPLICATIF DE L'INTERFACE WEB À L'INTENTION DES ABONNÉS MAI 2013 Table des matières 1. Introduction... 3 2. Interface d accueil... 4 2.1. Zone d authentification...

Plus en détail

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse Questions - Révision- - 1 er Semestre Informatique Durée de l examen : 1h pour 40 questions. Aucun document n est autorisé. L usage d appareils électroniques est interdit. Les questions faisant apparaître

Plus en détail

www.lafamily.ch en 16 différences

www.lafamily.ch en 16 différences Cas d étude no 3 www.lafamily.ch en 16 différences juin 2003 Le mandat réalisé avec QuickSite de transformation du site existant de Lafamily.ch, centre globale d information pour les familles, à été de

Plus en détail

Comment crypter des informations Informations destinées à l'enseignant

Comment crypter des informations Informations destinées à l'enseignant Informations destinées à l'enseignant 1/5 Mandat Objectif Sur l'internet, des tiers peuvent avoir accès à nos données (courriels ou fichiers virtuels en pièces jointes). Les élèves apprennent ici à utiliser

Plus en détail

COMMUNICATION ET LA GESTION DE L INFORMATION CE QUE JE DOIS RETENIR

COMMUNICATION ET LA GESTION DE L INFORMATION CE QUE JE DOIS RETENIR 6 - Les en TECHNOLOGIE 6 ème Nom : Prénom : groupe : page 1/5 CONNAISSANCES : Serveurs. Postes de travail. Terminaux mobiles. Périphériques. Logiciels. Acquisition et restitution des données. Stockage

Plus en détail

Module Projet Personnel Professionnel

Module Projet Personnel Professionnel Module Projet Personnel Professionnel Elaborer un projet personnel professionnel. Connaissance d un métier, d une entreprise ou d un secteur d activités. Travail individuel de recherche SUIO-IP Internet

Plus en détail

Cours CCNA 1. Exercices

Cours CCNA 1. Exercices Cours CCNA 1 TD3 Exercices Exercice 1 Enumérez les sept étapes du processus consistant à convertir les communications de l utilisateur en données. 1. L utilisateur entre les données via une interface matérielle.

Plus en détail

TP 2 : Comptes et groupes (2 h 00)

TP 2 : Comptes et groupes (2 h 00) TP 2 : Comptes et groupes (2 h 00) I ENVIRONNEMENT LOGICIEL ET MATÉRIEL Vous disposez de : Windows 2008 server R2 Datacenter en tant que contrôleur de domaine ActiveDirectory sur le domaine «votrenom.local»

Plus en détail

Installer Joomla. 2013 Pearson France Joomla! Le guide officiel Jennifer Marriott, Elin Waring

Installer Joomla. 2013 Pearson France Joomla! Le guide officiel Jennifer Marriott, Elin Waring 3 Installer Joomla Dans ce chapitre, nous procéderons au téléchargement et à l installation manuelle de Joomla, et nous expliquerons la configuration de base. Les captures d écran et les instructions font

Plus en détail

A VOUS, CHER CLIENT, CE MESSAGE CONCERNE VOTRE SECURITE

A VOUS, CHER CLIENT, CE MESSAGE CONCERNE VOTRE SECURITE A VOUS, CHER CLIENT, CE MESSAGE CONCERNE VOTRE SECURITE Sécurité Page 1 de 5 A la BANQUE DES MASCAREIGNES, nous accordons une extrême importance à la sécurité de vos informations. Nos systèmes et les procédures

Plus en détail

WordPress : Guide à l édition

WordPress : Guide à l édition WordPress : Guide à l édition WordPress : Guide à l édition... 1 Présentation... 2 1. Accès au site... 2 2. Le tableau de bord... 2 3. Editez les contenus... 4 Quelle est la différence entre les pages

Plus en détail

Procédure d installation de SolidWorks Education Edition 2010-2011 IMPORTANT

Procédure d installation de SolidWorks Education Edition 2010-2011 IMPORTANT IMPORTANT Votre numéro commence par 9500 : (Suivez les pastilles de couleur jaune) Vous devez télécharger un fichier d activation (SolidWorksStandAloneLic.lic) permettant le fonctionnement de SolidWorks

Plus en détail

Le client/serveur repose sur une communication d égal à égal entre les applications.

Le client/serveur repose sur une communication d égal à égal entre les applications. Table des matières LES PRINCIPES DE BASE... 1 Présentation distribuée-revamping...2 Présentation distante...3 Traitements distribués...3 données distantes-rd...4 données distribuées-rda distribué...4 L'ARCHITECTURE

Plus en détail

Politique de gestion des mots de passe

Politique de gestion des mots de passe Centre de Ressources Informatique Politique de gestion des mots de passe Préparé pour: CRI Préparé par: Laurent PEQUIN 15 février 2010 15, avenue René Cassin 97474 Saint Denis Cedex 9 Réunion T 02 62 93

Plus en détail

Comment utiliser mon compte alumni?

Comment utiliser mon compte alumni? Ce document dispose d une version PDF sur le site public du CI Comment utiliser mon compte alumni? Elena Fascilla, le 23/06/2010 Sommaire 1. Introduction... 2 2. Avant de commencer... 2 2.1 Connexion...

Plus en détail

La signature électronique et les réseaux de confiance

La signature électronique et les réseaux de confiance La signature électronique et les réseaux de confiance Marc.Schaefer@he-arc.ch HE-Arc Ingénierie Institut des systèmes d'information et de communication (ISIC) Laboratoire de téléinformatique (TINF) Plan

Plus en détail

ICP/PKI: Infrastructures à Clés Publiques

ICP/PKI: Infrastructures à Clés Publiques ICP/PKI: Infrastructures à Clés Publiques Aspects Techniques et organisationnels Dr. Y. Challal Maître de conférences Université de Technologie de Compiègne Heudiasyc UMR CNRS 6599 France Plan Rappels

Plus en détail

Chiffrement et signature électronique

Chiffrement et signature électronique Chiffrement et signature électronique (basée sur le standard X509) Frédéric KASMIRCZAK 1 Sommaire I. La cryptologie base de la signature électronique... 3 1. Les systèmes symétriques à l origine de la

Plus en détail

Steganos présente Security Suite 2007, son incontournable suite de sécurité pour PC.

Steganos présente Security Suite 2007, son incontournable suite de sécurité pour PC. Communiqué de Presse 20 décembre 2006 Steganos présente Security Suite 2007, son incontournable suite de sécurité pour PC. Une protection absolue contre toute intrusion dans votre vie privée! Vos documents

Plus en détail

Gestion des accès aux ressources à l aide des groupes

Gestion des accès aux ressources à l aide des groupes Gestion des accès aux ressources à l aide des groupes Un groupe est un ensemble de comptes d utilisateur. Les groupes permettent de simplifier la gestion de l accès des utilisateurs et des ordinateurs

Plus en détail

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt Procédure pas à pas de découverte de l offre Service Cloud Cloudwatt Manuel Utilisateur 03/07/2014 Cloudwatt - Reproduction et communication sont interdites sans autorisation 1/45 Contenu 1. Introduction...

Plus en détail

Sécurité des réseaux Certificats X509 et clés PGP

Sécurité des réseaux Certificats X509 et clés PGP Sécurité des réseaux Certificats X509 et clés PGP A. Guermouche A. Guermouche Cours 5 : X509 et PGP 1 Plan 1. Certificats X509 2. Clés PGP A. Guermouche Cours 5 : X509 et PGP 2 Plan Certificats X509 1.

Plus en détail

Kerberos, le SSO système

Kerberos, le SSO système Kerberos, le SSO système Benoit Métrot Université de Poitiers ANF Les systèmes dans la communauté ESR : étude, mise en œuvre et interfaçage dans un laboratoire de Mathématique Angers, 22-26 septembre 2014

Plus en détail

Le cryptage, sécurité, dossiers et fichiers

Le cryptage, sécurité, dossiers et fichiers Le cryptage, sécurité, dossiers et fichiers 1 Sommaire : 1) Chiffrement sous Windows :... 3 2) Bit locker et fonctionnement sur Windows :... 4 Bit locker :... 4 Le fonctionnement :... 5 3) Axscript :...

Plus en détail

Authentifications à W4 Engine en.net (SSO)

Authentifications à W4 Engine en.net (SSO) Note technique W4 Engine Authentifications à W4 Engine en.net (SSO) Cette note technique a pour but d expliquer le mécanisme de fonctionnement de la connexion des utilisateurs à W4 Engine, notamment lorsque

Plus en détail

Mémento professeur du réseau pédagogique

Mémento professeur du réseau pédagogique Mémento professeur du réseau pédagogique 1. Accéder au réseau pédagogique Il suffit quand on vous demande votre nom d utilisateur et votre mot de passe de renseigner ceux-ci. Votre nom d utilisateur est

Plus en détail

SOMMAIRE ÉTAPES OBLIGATOIRES. Récupérer le connecteur... 3

SOMMAIRE ÉTAPES OBLIGATOIRES. Récupérer le connecteur... 3 SOMMAIRE Futur Telecom a fait évoluer son service de messagerie professionnel Futur Office. Le présent document va vous accompagner pas à pas vers la récupération de vos divers éléments de messagerie suite

Plus en détail

sommaire ÉTAPES OBLIGATOIRES Récupérer le connecteur... 3

sommaire ÉTAPES OBLIGATOIRES Récupérer le connecteur... 3 sommaire Futur Telecom a fait évoluer son service de messagerie professionnel Futur Office. Le présent document va vous accompagner pas à pas vers la récupération de vos divers éléments de messagerie suite

Plus en détail

PFE. Gestion de portefeuille électronique par carte à puce. Equipe N 16 Projet N 98. «Sujet non industriel proposé par les élèves»

PFE. Gestion de portefeuille électronique par carte à puce. Equipe N 16 Projet N 98. «Sujet non industriel proposé par les élèves» PFE Gestion de portefeuille électronique par carte à puce Equipe N 16 Projet N 98 «Sujet non industriel proposé par les élèves» Sommaire Introduction... 4 Le contexte financier... 4 Le contexte technologique...

Plus en détail

DEMATERIALISATION. Signature électronique et sécurité

DEMATERIALISATION. Signature électronique et sécurité DEMATERIALISATION Signature électronique et sécurité Editeur du Progiciel MARCO, le spécialiste de la gestion des achats et marchés publics Parc Euromédecine 95 rue Pierre Flourens 34090 MONTPELLIER Tél

Plus en détail

V 7.3. Vous allez utiliser les services en ligne de la plate forme de dématérialisation de la Salle des Marchés achatpublic.com.

V 7.3. Vous allez utiliser les services en ligne de la plate forme de dématérialisation de la Salle des Marchés achatpublic.com. MANUEL D UTILISATION DE LA SALLE DES MARCHES ACCES ENTREPRISES V 7.3 APPEL D OFFRES RESTREINT Vous allez utiliser les services en ligne de la plate forme de dématérialisation de la Salle des Marchés achatpublic.com.

Plus en détail

Evidian Secure Access Manager Standard Edition

Evidian Secure Access Manager Standard Edition Evidian Secure Access Manager Standard Edition LDAP SSO un contrôle d accès modulaire et extensible - V 1.1 Par Dominique Castan dominique.castan@evidian.com et Michel Bastien michel.bastien@evidian.com

Plus en détail

Secure Socket Layer (SSL) Appareils concernés : Sommaire 1: Généralités

Secure Socket Layer (SSL) Appareils concernés : Sommaire 1: Généralités Secure Socket Layer (SSL) Appareils concernés : HL-4040CN HL-4050CDN HL-4070CDW DCP-9040CN DCP-9045CDN MFC-9440CN MFC-9840CDW Sommaire 1) Généralités 2) Bref historique 3) Avantage de l utilisation de

Plus en détail

Sommaire CONNEXION WEBMAIL... 2 1. Comment se connecter au Webmail?... 2

Sommaire CONNEXION WEBMAIL... 2 1. Comment se connecter au Webmail?... 2 Sommaire CONNEXION WEBMAIL... 2 1. Comment se connecter au Webmail?... 2 LE COURRIER... 4 CREER UN NOUVEAU MESSAGE... 4 1. Comment envoyer un mail?... 4 2. Envoi avec une pièce jointe?... 7 REPONDRE A

Plus en détail

Conditions Générales de Vente

Conditions Générales de Vente Conditions Générales de Vente PREAMBULE Le client souhaite se doter d un site internet Il a lancé une consultation préalable, qui a été communiquée à Nexus Création et a permis d élaborer une proposition

Plus en détail

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur Quels outils mettre en œuvre pour garantir une sécurité informatique maximale et conforme aux exigences

Plus en détail

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader Gestion des Clés Pr Belkhir Abdelkader Gestion des clés cryptographiques 1. La génération des clés: attention aux clés faibles,... et veiller à utiliser des générateurs fiables 2. Le transfert de la clé:

Plus en détail

Sécurité : les principaux risques et les moyens de protection associés

Sécurité : les principaux risques et les moyens de protection associés Sécurité : les principaux risques et les moyens de protection associés Les dangers sont très nombreux et divers. De plus, ils évoluent rapidement dans le temps. Néanmoins, les principaux risques pour les

Plus en détail

Manuel d utilisation de Form@Greta

Manuel d utilisation de Form@Greta Manuel d utilisation de Form@Greta Février 2014 Version apprenant Auriane Busson Greta-numerique@ac-caen.fr Sommaire 1. Qu est-ce que Form@Greta?... 2 2. S identifier sur la plateforme... 3 3. Espace d

Plus en détail

Guide de connexion sur les bornes hot-post WIFI de la collectivité de Saint-Pierre

Guide de connexion sur les bornes hot-post WIFI de la collectivité de Saint-Pierre Guide de connexion sur les bornes hot-post WIFI de la collectivité de Saint-Pierre Afin de pouvoir avoir accès à l'ensemble des fonctionnalités des hot-spot WIFI de la Mairie de Saint-Pierre, nous vous

Plus en détail

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Recueil d exigences

Habilitation des organismes évaluateurs pour le référencement selon l ordonnance n 2005-1516. Recueil d exigences Recueil d exigences Version 1.1 Page 1/13 Historique des versions Date Version Évolutions du document 17/12/2010 1.01 Première version. 29/02/2012 1.1 Prise en compte de la date de la publication de l

Plus en détail

UNIVERSITE DE LORRAINE CALCIUM

UNIVERSITE DE LORRAINE CALCIUM UNIVERSITE DE LORRAINE CALCIUM Outil pour la gestion des dossiers médicaux des étudiants dans les services universitaires de médecine préventive Table des matières CALCIUM... 0 I. L INFORMATION GÉRÉE PAR

Plus en détail

Notre offre Système. systemes@arrabal-is.com

Notre offre Système. systemes@arrabal-is.com systemes@arrabal-is.com Généralités Généralités des systèmes Windows Les systèmes Microsoft sont au cœur du système d information de la majorité des entreprises, si bien qu environ 90% des postes utilisateurs

Plus en détail

Il est pourtant vital pour l entreprise de se réconcilier avec son système d information. Pour ce faire, il faut que le DSI évolue.

Il est pourtant vital pour l entreprise de se réconcilier avec son système d information. Pour ce faire, il faut que le DSI évolue. Le DSI du futur par Monsieur Dominique Jaquet DSI APEC ( www.apec.fr ) Compétent, innovant mais surtout convaincant. L entreprise est un organisme vivant ; son efficacité, comme son évolution, reposent,

Plus en détail

Connexion d un client lourd à la messagerie e-santé PACA

Connexion d un client lourd à la messagerie e-santé PACA Connexion d un client lourd à la messagerie e-santé PACA La messagerie sécurisée e-santé PACA est un service de type Webmail. Un Webmail est une interface Web rendant possible l émission, la consultation

Plus en détail

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif C TLS Objectif Cette annexe présente les notions de cryptage asymétrique, de certificats et de signatures électroniques, et décrit brièvement les protocoles SSL (Secure Sockets Layer) et TLS (Transport

Plus en détail

LES PROTOCOLES D UTILISATION D INTERNET, D INTRANET ET DE LA MESSAGERIE ELECTRONIQUE

LES PROTOCOLES D UTILISATION D INTERNET, D INTRANET ET DE LA MESSAGERIE ELECTRONIQUE LES PROTOCOLES D UTILISATION D INTERNET, D INTRANET ET DE LA MESSAGERIE ELECTRONIQUE Dans son activité quotidienne, le policier, quelles que soient ses tâches, est très souvent confronté à la nécessité

Plus en détail

Systèmes et réseaux d information et de communication

Systèmes et réseaux d information et de communication 233 DIRECTEUR DES SYSTÈMES ET RÉSEAUX D INFORMATION ET DE COMMUNICATION Code : SIC01A Responsable des systèmes et réseaux d information FPESIC01 Il conduit la mise en œuvre des orientations stratégiques

Plus en détail

9 Sécurité et architecture informatique

9 Sécurité et architecture informatique 9 Sécurité et architecture informatique 1) Nom(s) du (des) système(s) d exploitation impliqués dans le traitement* : Windows Server 2008 R2 et CentOS 5 et 6. 2) Le système informatique est constitué :*

Plus en détail

Différents problèmes Procédés de chiffrement symétriques Le chiffrement asymétrique Un peu d arithmétique. Cryptographie

Différents problèmes Procédés de chiffrement symétriques Le chiffrement asymétrique Un peu d arithmétique. Cryptographie Cryptographie François Ducrot http://math.univ-angers.fr Décembre 2012 Terminologie Cryptographie Étude des méthodes permettant de transmettre des données de façon confidentielle. Cryptanalyse Étude des

Plus en détail

PortWise Access Management Suite

PortWise Access Management Suite Créez un bureau virtuel pour vos employés, partenaires ou prestataires depuis n importe quel endroit et n importe quel appareil avec Portwise Access Manager et Authentication Server. Fournir des accès

Plus en détail

Philosophie des extensions WordPress

Philosophie des extensions WordPress 8 Philosophie des extensions WordPress Le concept L une des forces de WordPress dans la jungle CMS, c est la simplicité de création d extensions. Il y a plusieurs raisons à cela. Des raisons techniques

Plus en détail

Le nouveau logiciel Steganos «Safe Professional 2007» accompagne les entreprises dans la protection de leurs secrets commerciaux.

Le nouveau logiciel Steganos «Safe Professional 2007» accompagne les entreprises dans la protection de leurs secrets commerciaux. Communiqué de Presse Le nouveau logiciel Steganos «Safe Professional 2007» accompagne les entreprises dans la protection de leurs secrets commerciaux. Le puissant cryptage des dossiers de travail et des

Plus en détail

Initiation au mail. Sommaire : 1. Qu'est-ce qu'un mail?...3 2. Deux types d'outils pour consulter ses mails...4

Initiation au mail. Sommaire : 1. Qu'est-ce qu'un mail?...3 2. Deux types d'outils pour consulter ses mails...4 Initiation au mail Sommaire : 1. Qu'est-ce qu'un mail?...3 2. Deux types d'outils pour consulter ses mails...4 2.1. Les logiciels de gestion de mail...4 2.2. Les webmails...5 3. Se connecter au webmail...6

Plus en détail

Présentation. Logistique. Résumé de la 1e Partie. Mise en place du système

Présentation. Logistique. Résumé de la 1e Partie. Mise en place du système Présentation Diapo01 Je m appelle Michel Canneddu. Je développe avec 4D depuis 1987 et j exerce en tant qu indépendant depuis 1990. Avant de commencer, je tiens à remercier mes parrains Jean-Pierre MILLIET,

Plus en détail

Club informatique Mont-Bruno Séances du 24 et 29 avril 2015 Présentateur : Michel Gagné

Club informatique Mont-Bruno Séances du 24 et 29 avril 2015 Présentateur : Michel Gagné Club informatique Mont-Bruno Séances du 24 et 29 avril 2015 Présentateur : Michel Gagné La gestion de la sécurité dans Outlook Choses à comprendre avant de commencer o L hameçonnage de comptes Outlook

Plus en détail

Explications sur l évolution de la maquette. Version : 1.0 Nombre de pages : 9. Projet cplm-admin

Explications sur l évolution de la maquette. Version : 1.0 Nombre de pages : 9. Projet cplm-admin Explications sur l évolution de la maquette Version : 1.0 Nombre de pages : 9 Rédacteur : David Elias 22/07/2008 STATUT DU DOCUMENT Statut Date Intervenant(s) / Fonction Provisoire 20/07/2008 David Elias

Plus en détail

Mode d emploi du site Showbook

Mode d emploi du site Showbook Mode d emploi du site Showbook Showbook.fr Version 0.4.7 Bêta 1 Table des matières Présentation... 4 Inscription sur Showbook... 4 Première utilisation... 5 Statuts des membres... 5 Le menu principal...

Plus en détail

Résolution des problèmes liés aux imprimantes www.ofppt.info

Résolution des problèmes liés aux imprimantes www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail aux imprimantes DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC Diagnostiquer un problème Sommaire 1. Introduction...

Plus en détail

Leçon 5 ... La photographie numérique, ou comment partager des photos avec la famille et les amis. Tous connectés, de 9 à 99 ans.

Leçon 5 ... La photographie numérique, ou comment partager des photos avec la famille et les amis. Tous connectés, de 9 à 99 ans. 5... La photographie numérique, ou comment partager des photos avec la famille et les amis Ces icônes indiquent pour qui est le document Professeurs WebExperts Seniors Elèves Informations de base Informations

Plus en détail

Connaissez les risques. Protégez-vous. Protégez votre entreprise.

Connaissez les risques. Protégez-vous. Protégez votre entreprise. Protégez-vous en ligne. Connaissez les risques. Protégez-vous. Protégez votre entreprise. CONSEILS PENSEZ CYBERSÉCURITÉ POUR LES PETITES ET MOYENNES ENTREPRISES Si vous êtes comme la plupart des petites

Plus en détail

QU EST-CE QUE LE DECISIONNEL?

QU EST-CE QUE LE DECISIONNEL? La plupart des entreprises disposent d une masse considérable d informations sur leurs clients, leurs produits, leurs ventes Toutefois ces données sont cloisonnées par les applications utilisées ou parce

Plus en détail

INTRODUCTION A LA SECURITE DES RESEAUX

INTRODUCTION A LA SECURITE DES RESEAUX INTRODUCTION A LA SECURITE DES RESEAUX OBJECTIFS de la SECURITE des DONNEES (relativement à des personnes non autorisées) Confidentielles-ne doivent pas être lues Permanentes-ne doivent pas être altérées

Plus en détail

Envoyer un courrier électronique et autres fonctions associées

Envoyer un courrier électronique et autres fonctions associées 19 février 2013 p 1 Envoyer un courrier électronique et autres fonctions associées Ce tutoriel vient compléter celui présenté le 5 février 2013, portant sur les généralités du courrier électronique. Nous

Plus en détail

DRS. Donnez des Capacités à Votre Serveur d Impression d Entreprise. Distributeur exclusif de la gamme des logiciels Levi, Ray & Shoup, Inc.

DRS. Donnez des Capacités à Votre Serveur d Impression d Entreprise. Distributeur exclusif de la gamme des logiciels Levi, Ray & Shoup, Inc. DRS Donnez des Capacités à Votre Serveur d Impression d Entreprise Distributeur exclusif de la gamme des logiciels Levi, Ray & Shoup, Inc. Les documents les plus importants de votre entreprise sont issus

Plus en détail

Identification sur le site de la Chambre de Métiers et de l'artisanat de l'ain

Identification sur le site de la Chambre de Métiers et de l'artisanat de l'ain Identification sur le site de la Chambre de Métiers et de l'artisanat de l'ain La Chambre de métiers et de l'artisanat de l'ain met à votre disposition plusieurs services sur son espace Internet. Certains

Plus en détail

GUIDE D'UTILISATION DU PORTAIL IAM

GUIDE D'UTILISATION DU PORTAIL IAM GUIDE D'UTILISATION DU PORTAIL IAM CONNEXION ET UTILISATION IAM Table des matières Généralités... 3 Objectifs du document... 3 Évolutions du portail... 3 Signaler un INCIDENT demander du support Contacter

Plus en détail

Manuel Bucom Version 3.1 Octobre 2008

Manuel Bucom Version 3.1 Octobre 2008 Manuel Bucom Version 3.1 Octobre 2008 Table des matières 1. LES DIFFÉRENTS ACTEURS DU USER MANAGEMENT ET LEURS DROITS...4 1.1. RESPONSABLE ACCES ENTREPRISE ET CO-RESPONSABLE ACCES ENTREPRISE...4 1.1.1.

Plus en détail

ANNEXE 1. PSSI Préfecture de l'ain. Clause de sécurité à intégrer dans les contrats de location copieurs

ANNEXE 1. PSSI Préfecture de l'ain. Clause de sécurité à intégrer dans les contrats de location copieurs ANNEXE 1 PSSI Préfecture de l'ain Clause de sécurité à intégrer dans les contrats de location copieurs Sommaire 1 - Configuration...2 1.1 - Suppression des interfaces, services et protocoles inutiles...2

Plus en détail

GUIDE MEMBRE ESPACE COLLABORATIF. Février 2012

GUIDE MEMBRE ESPACE COLLABORATIF. Février 2012 GUIDE MEMBRE ESPACE COLLABORATIF Février 2012 Ce document est disponible sur le site WEB de l Agence de la santé et des services sociaux de la Montérégie, à l adresse suivante : http://extranet.santemonteregie.qc.ca/userfiles/file/espace-collabo/2012-02-04guide-membre-espace-collaboratif.pdf

Plus en détail

CRÉATION D UNE ADRESSE DE MESSAGERIE

CRÉATION D UNE ADRESSE DE MESSAGERIE CRÉATION D UNE ADRESSE DE MESSAGERIE AVEC OUTLOOK.COM Outlook.com, la messagerie de Microsoft le successeur de Hotmail et de Live.fr dispose de nombreux outils (courriel, stockage de documents, suite allégée

Plus en détail

SECURIDAY 2013 Cyber War

SECURIDAY 2013 Cyber War Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Atelier : Mail Threats Formateurs:

Plus en détail

mode d emploi des services de votre ligne fixe

mode d emploi des services de votre ligne fixe mode d emploi des services de votre ligne fixe mode d emploi des services I 1 sommaire gérer ses appels stop secret présentation du nom présentation du numéro transfert d appel signal d appel service 3131

Plus en détail

Microsoft Live@edu. Solution de messagerie et de travail en ligne pour les établissements

Microsoft Live@edu. Solution de messagerie et de travail en ligne pour les établissements Microsoft Live@edu Solution de messagerie et de travail en ligne pour les établissements Microsoft Live@edu est une solution de messagerie gratuite proposée aux écoles et aux universités, pour les enseignants,

Plus en détail

En tant que (expert-) comptable

En tant que (expert-) comptable En tant que (expert-) comptable Doc-it-Easy Doc-it-Easy optez pour une collaboration intelligente avec votre client Doc-it-Easy Contenu Introduction Les PME et les entrepreneurs veulent des conseils stratégiques...

Plus en détail

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux Chapitre 7 Sécurité des réseaux Services, attaques et mécanismes cryptographiques Hdhili M.H Cours Administration et sécurité des réseaux 1 Partie 1: Introduction à la sécurité des réseaux Hdhili M.H Cours

Plus en détail

Manuel de fonctionnement pour les professeurs

Manuel de fonctionnement pour les professeurs Manuel de fonctionnement pour les professeurs Index 1 Connexion à l intranet...3 2 L interface de l Intranet...4 3 Interface du WebMail...5 3.1 Consulter ses E-mails...5 3.2 Envoyer des messages...6 3.3

Plus en détail

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+ Guide de formation avec exercices pratiques Configuration et dépannage de PC Préparation à la certification A+ Sophie Lange Troisième édition : couvre Windows 2000, Windows XP et Windows Vista Les Guides

Plus en détail

transformerez le fichier D5_Nom_Prenom en fichier pdf avant de l envoyer à votre enseignant/moniteur.

transformerez le fichier D5_Nom_Prenom en fichier pdf avant de l envoyer à votre enseignant/moniteur. Epreuve pratique du C2i Enoncé de l Activité 5 pour la validation des compétences du domaine D5 du C2i «Travailler en réseau, communiquer et collaborer» CONTEXTE L objectif de cette activité est de vérifier

Plus en détail

Mutualisation des moyens héliportés sur la région Bourgogne. Etude initiale 06.06.2013 V1.2

Mutualisation des moyens héliportés sur la région Bourgogne. Etude initiale 06.06.2013 V1.2 sur la région Bourgogne Etude initiale 06.06.2013 V1.2 Contenu 1. Contexte...3 1.1. Objectifs...3 1.2. Descriptif de l existant...3 2. Etude des solutions...3 2.1. Solution n 1 : uniformisation du système

Plus en détail

La GED Fonction et processus

La GED Fonction et processus La GED Fonction et processus Le contexte Les objectifs Les conditions d'une réussite Les moyens et les fonctions : Structure de données, Coffre fort, Workflow Référencer, retrouver, approuver, distribuer

Plus en détail

Semarchy Convergence for MDM La Plate-Forme MDM Évolutionnaire

Semarchy Convergence for MDM La Plate-Forme MDM Évolutionnaire FICHE PRODUIT Semarchy Convergence for MDM La Plate-Forme MDM Évolutionnaire BENEFICES POUR LES DSI Réussir les projets de gouvernance dans les délais et les budgets Démarrer de manière tactique tout en

Plus en détail

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC Certificats X509 & Infrastructure de Gestion de Clés Claude Gross CNRS/UREC 1 Confiance et Internet Comment établir une relation de confiance indispensable à la réalisation de transaction à distance entre

Plus en détail

PROCÉDURE D AIDE AU PARAMÉTRAGE

PROCÉDURE D AIDE AU PARAMÉTRAGE PROCÉDURE D AIDE AU PARAMÉTRAGE SOMMAIRE Futur a fait évoluer son service de messagerie professionnel Futur Office. Le présent document va vous accompagner pas à pas vers la récupération de vos divers

Plus en détail

KYOcontrol Enterprise

KYOcontrol Enterprise KYOcontrol Enterprise LOGICIEL DE SÉCURITÉ PERSONNALISABLE ÉLIMINEZ LE DERNIER POINT FAIBLE DE LA SÉCURITÉ DES DONNÉES. LA SÉCURITÉ DES DOCUMENTS EN ENTREPRISE : L AFFAIRE DE TOUS. La sécurisation complète

Plus en détail