Web : Stockage de mot de passe LOG619 Automne 2011 Olivier Bilodeau

Dimension: px
Commencer à balayer dès la page:

Download "Web : Stockage de mot de passe LOG619 Automne 2011 Olivier Bilodeau"

Transcription

1 Web : Stockage de mot de passe LOG619 Automne 2011 Olivier Bilodeau 1

2 Plan Historique du Web Problème du stockage de mots de passe La menace Le craquage de mots de passes Évolution d'une solution et ses problèmes Conclusion 2

3 Historique du Web - mot de passes Rappel: 3 façon de faire de l'authentification Quelque chose que l'on { sait, a, est } { a, est } requièrent: Accès sur un canal autre pour échapper au mitm (téléphone) Accès à la personne physique (biométrie) Infrastructures à clés publiques (PKI) Accès a des jetons matériels (hardware tokens) Qui sont: Trop coûteux pour la compagnie Peu commode Trop coûteux pour le client Conséquence: L'authentification sur le Web est basée sur quelque chose que l'on sait. => mot de passes 3

4 Le problème "The storage of passwords in a recoverable format makes them subject to password reuse attacks by malicious users. If a system administrator can recover a password directly, or use a brute force search on the available information, the administrator can use the password on other accounts." -- CWE-257: Storing Passwords in a Recoverable Format Un attaquant peut attaquer une organisation à partir d'un mot de passe laissé par un utilisateur sur un autre site qui a été compromis et qui était vulnérable à CWE-257 Il est facile pour un employé administrateur mal intentionné d'utiliser l'accès de quelqu'un d'autre 4

5 Précision de la menace Passif vs actif Nous nous intéressons à un attaquant qui a obtenu accès au contenu de la base de données. Donc qui peut faire des attaques passives sans avoir a interagir avec la victime. Les attaques actives sur la session ou les mots de passe sont beaucoup plus complexe à réaliser car le site en question doit être rejoint ce qui fait qu'il peut décider de bloquer un compte ou un IP après plusieurs tentatives de connexion infructueuses. 5

6 Solution 0 - stocker en clair Compromettre la base de données équivaut à obtenir tous les mots de passe de tous les utilisateurs Usurper un utilisateur est trivial Inacceptable CWE-522: Insufficiently Protected Credentials 6

7 Solution 1 - hachage naïf Utiliser une fonction de hachage pour stocker le mot de passe Pourquoi pas chiffrer? Car ne résout pas la vulnérabilité de l'employé malicieux qui aura accès à la clé. if (md5($user_password) == $db_password) { return true; } else { return false; } 7

8 Solution 1 - Problèmes Mots de passes identiques faciles à identifier o md5('bozo') == md5('bozo') = e1c8d6347c0c24e5cbc60e508f3fc1b5 Vulnérable aux attaques par dictionnaire Vulnérable aux attaques par rainbow tables Le problème ici c'est que les mots de passe stockés dans votre base de données partagent le même domaine de possibilités que tous les mots de passe stockés avec le même algorithme de hachage à travers le monde. Donc vous êtes vulnérable au 'hash pre-computation'. CWE-759: Use of a One-Way Hash without a Salt 8

9 Craquage de mots de passe Attaque par dictionnaire (dictionary attacks) o Passer tous les mots d'une liste à travers le même algorithme de hachage afin d'obtenir la même valeur que dans la base de données o Listes génériques style dictionnaire o Listes spécialisés tirés de statistiques o On peut adapter les listes selon le contexte connu du mot de passe (taille min/max, chiffre obligatoire, etc.) o Limité par la vitesse d exécution de la fonction de hachage o Outils: john the ripper o Exemples de listes Attaque exhaustive (brute-force attack) o On tente itérativement toutes les valeurs de mots de passe crédibles o Plus complet mais beaucoup plus long o Outils: john, crunch 9

10 Craquage de mots de passe (suite) Rainbow tables o Calcul d'avance de plusieurs millions d'empreintes stockés de façon à éviter les redondances et rendre les recherches rapides o Compromis temps vs mémoire o Plusieurs sont disponibles sur Internet: o Des front end Web existent: o Temps à craquer dépend de la grosseur de la table et de la vitesse de cherche dans la table Performance (des attaques exhaustives ou par dictionnaire) o L'utilisation de cartes graphiques (GPU) pour craquer les mots de passe ont amélioré grandement les performances des attaques o "Recovery speed on ATI HD 5970 peaks at 5600M/s MD5 hashes and 2300M/s SHA1 hashes" "J'ai deux cartes ATI en crossfire, je fais environ 5 milliard d'empreintes par seconde pour du MD5." -- Anonyme en

11 Solution 2 - hachage + sel naïf L'ajout d'un sel (salt) consiste à concaténer une chaîne aléatoire au mot de passe avant de l'envoyer dans la fonction de hachage Le sel est stocké avec le mot de passe dans la base de données define('salt', '377fba9d324d42e92dd21a003ec414a9'); function computehash($plaintext) { return sha1(salt. $plaintext); } Résoud le problème des rainbow tables populaires Complexifie l'attaque dictionnaire et exhaustives 11

12 Solution 2 - Problèmes Permet toujours le pré-calcul de rainbow tables car le sel (salt) est global Permet d'attaquer la base de données en entier avec une attaque de dictionnaire ou exhaustive car le sel est global Mot de passes identiques vont toujours être évidents à l'oeil CWE-760: Use of a One-Way Hash with a Predictable Salt 12

13 Solution 3 - hachage + sel Ajouter le sel (salt) sur chaque mot de passe au lieu de globalement. On stocke le sel directement dans le champ password. Les attaquant doivent maintenant tenter de craquer chaque entrée de la table de mot de passe séparément define('salt_length', 9); function generatehash($plaintext, $salt = null) { if ($salt == null) { $salt = substr(md5(uniqid(rand(), true)), 0, SALT_LENGTH); } else { $salt = substr($salt, 0, SALT_LENGTH); } return $salt. sha1($salt. $plaintext); } C'est une très bonne solution! Améliorations possibles? 13

14 Solution 4 - key stretching Problème: Les fonctions de hachage ont été conçues pour être performantes pourtant la vitesse est votre ennemi ici car rapide veut dire qu'un attaquant peut rapidement faire son attaque exhaustive Solution o En plus du sel par mot de passe, o On fait 1000 itérations de l'empreinte dans une boucle o ou encore, on concatène 1000 fois le mot de passe et le sel avant de faire l'empreinte Ici on ralentit l'attaquant de 1000 fois mais on ne peut se permettre se genre de ressources pour authentifier un usager Presque parfait, que manque-t-il? 14

15 Solution 5 - planifier pour l'avenir Problème: Toutes les solutions stockent l'empreinte dans un format inflexible qui ne permet pas de changer la technique d'empreinte dans l'avenir Solution o Se faire un petit standard interne pour contenir un id de version de votre technique qui décrit le format utilisé o Laisser assez de place dans la colonne pour pouvoir grossir l'empreinte o ex: $1$salt$hash$ 1 = md5 avec 100 itérations et un salt de 64 bit o Planifier la migration du format de mot de passe lorsqu'un utilisateur s'authentifie si id = 1 et default id = 2 on le passe a version 2 15

16 Les extras PBKDF2 (RFC2898) o meilleure pratique couvrant exactement la solution établie dans ses diapositives o la technique de WPA2 valider un mot de passe d'un nouvel utilisateur contre des dictionnaires populaires comptes 'canary' avec des login / pass / s obscurs o Vous informe si vous êtes compromis. Séparer sur des serveurs différents l'authentification des comptes et le reste de l'application o pour que l'interface soit très limitée et prévienne toute injection ou XSS possible 16

17 Le futur Hachage adaptatif (Adaptive hashing) o L'avantage principal c'est qu'on peut le rendre paramétrable. À mesure que les ordinateurs sont plus rapides, la technique de hachage reste difficile à compromettre. o ex: bcrypt scrypt o Nouveau type de problèmes "memory-hard" donc non seulement difficile sur le CPU mais aussi sur la mémoire vive de façon à ce que ce soit difficile d'implémenter une machine matérielle concentrée sur le crackage de mot de passe (FPGA). 17

18 Conclusion La réutilisation de mots de passe est un fait confirmé. Afin de défendre ses utilisateurs, il faut appliquer une méthode de hachage appropriée L'idéal c'est de ne pas inventer son propre stockage de mot de passe o Par ex: les gens réputés de Openwall on fait phpass qui est une implémentation des meilleurs pratiques (basé sur bcrypt) en PHP sous licence domaine publique: Si vous faites "j'ai oublié mon mot de passe" et que vous recevez votre mot de passe en clair, pensez-y bien! 18

19 Réfé rences Password Reuse Is All Too Common, Research Shows, 03/password_reuse_is_all_too_common_research_shows.ht ml CWE-257: Storing Passwords in a Recoverable Format, Password lists, Rainbow Tables, Free Rainbow Tables, IGHASHGPU, attaques exhaustives par GPU, 19

20 Réfé rences CWE-522: Insufficiently Protected Credentials, CWE-759: Use of a One-Way Hash without a Salt, CWE-760: Use of a One-Way Hash with a Predictable Salt, CAPEC-49: Password Brute Forcing, The Importance of Being Canonical, Robert David Graham, Enough With The Rainbow Tables: What You Need To Know About Secure Password Schemes, Thomas Ptacek, PHP Security Consortium: Password Hashing, Portable PHP password hashing framework, Openwall, Passwords lists and dictionaries, Stronger Key Derivation via Sequential Memory-Hard Functions, Colin Percival, 20

HEYROOT.ME. Cracker des hashes. Version Date Révision Auteur 1.0 22/02/2015 Initiation du document Shura

HEYROOT.ME. Cracker des hashes. Version Date Révision Auteur 1.0 22/02/2015 Initiation du document Shura Cracker des hashes Version Date Révision Auteur 1.0 22/02/2015 Initiation du document Shura Description Vous avez récupéré un hash de mots de passe (MD4, MD5, SHA-1, SHA-256,...) d'un système cible. Nous

Plus en détail

PHP et MySQL : notions de sécurité

PHP et MySQL : notions de sécurité PHP et MySQL : notions de sécurité Jean-Baptiste.Vioix@u-bourgogne.fr Dans ces quelques lignes des notions de sécurité élémentaires vont être présentées. Elles sont insuffisantes pour toute application

Plus en détail

Authentification, droits d'accès et sécurité des applis web

Authentification, droits d'accès et sécurité des applis web Authentification, droits d'accès et sécurité des applis web Identification : savoir qui est l'utilisateur basé sur des nom de login enregistrés : base de données, annuaires, fichiers Authentification :

Plus en détail

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI OWASP Open Web Application Security Project Jean-Marc Robert Génie logiciel et des TI A1: Injection Une faille d'injection, telle l'injection SQL, OS et LDAP, se produit quand une donnée non fiable est

Plus en détail

Cours Cryptographie. Jeudi 22 février 2012 M1 ISIC. Authentification. Gabriel Risterucci

Cours Cryptographie. Jeudi 22 février 2012 M1 ISIC. Authentification. Gabriel Risterucci Cours Cryptographie Jeudi 22 février 2012 M1 ISIC Authentification Gabriel Risterucci Cours Cryptographie - Authentification - Principes généraux Moyens d'authentification Authentification différée Système

Plus en détail

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Tech-Evenings Sécurité des applications Web Sébastien LEBRETON Pourquoi revoir la sécurité des applications Web Des technologies omniprésentes Facilité de mise en œuvre et de déploiement. Commerce en ligne,

Plus en détail

OWASP Top Ten 2007 Sommaire exécutif

OWASP Top Ten 2007 Sommaire exécutif OWASP Top Ten 2007 Sommaire exécutif Benoit Guerette, gueb@owasp.org Montreal Chapter Leader 24 février 2009 OWASP Education Project Copyright 2007 The OWASP Foundation Permission is granted to copy, distribute

Plus en détail

Roman Mkrtchian SI5-2012/2013 François Chapuis. Rapport de projet de WASP. Réalisation d'un site web sécurisé

Roman Mkrtchian SI5-2012/2013 François Chapuis. Rapport de projet de WASP. Réalisation d'un site web sécurisé Roman Mkrtchian SI5-2012/2013 François Chapuis Rapport de projet de WASP Réalisation d'un site web sécurisé Introduction Nous avons choisi de coder un blog sécurisé. Nous avons notamment codé nous-mêmes

Plus en détail

Étudiant : Nicolas Favre-Félix IFIPS Info 3. Les One Time Passwords, Mots de passe à usage unique

Étudiant : Nicolas Favre-Félix IFIPS Info 3. Les One Time Passwords, Mots de passe à usage unique Étudiant : Nicolas Favre-Félix IFIPS Info 3 Les One Time Passwords, Mots de passe à usage unique Sommaire Définition d'un système d'authentification par OTP...3 Historique...3 Utilisation actuelle...3

Plus en détail

Tutoriel John The Ripper

Tutoriel John The Ripper Posté par Abdelhamid YOUNES Tutoriel John The Ripper Mots clés : Cassage de mot de passe, Audit, Crack, Robustesse du mot de passe, Tables de hachage, MD5, LM hashes, MD4, NTLM. John the Ripper (ou JTR,

Plus en détail

Sécurisation des applications web : retour d'expérience des développeurs de Sympa

Sécurisation des applications web : retour d'expérience des développeurs de Sympa Sécurisation des applications web : retour d'expérience des développeurs de Sympa David Verdin - TutoJ RES 12 : Sécurité des sites web - 4 février 2010 8 février 2010 1 En guise d'intro Le point de vue

Plus en détail

Insomni Hash. Jean-Philippe Aumasson

Insomni Hash. Jean-Philippe Aumasson Insomni Hash Jean-Philippe Aumasson 1 0 1 1 0 1 1 1 0 0 1 0 0 0 Générateur pseudoaléatoire X G(X) X de (petite) longueur fixe n G(X) de longueur arbitraire Hachage X H(X) X de longueur arbitraire H(X)

Plus en détail

1 Introduction. La sécurité

1 Introduction. La sécurité La sécurité 1 Introduction Lors de l'écriture d'une application de gestion, les problèmes liés à la sécurité deviennent vite prégnants. L'utilisateur doit disposer des droits nécessaires, ne pouvoir modifier

Plus en détail

Pages Web dynamiques et bases de données

Pages Web dynamiques et bases de données Cours 2 Pages Web dynamiques et bases de données Une page Web dynamique est générée automatiquement grâce à l exécution d un script (PHP par exemple). C est le résultat de l exécution de ce script (code

Plus en détail

Vulnérabilités logicielles Injection SQL

Vulnérabilités logicielles Injection SQL MGR850 Hiver 2014 Vulnérabilités logicielles Injection SQL Hakima Ould-Slimane Chargée de cours École de technologie supérieure (ÉTS) Département de génie électrique 1 Plan SQL Injection SQL Injections

Plus en détail

MGDIS Éditeur de. 30/11/2011 Sécurité des développements Editeur de. pour évoluer librement ENSIBS 30/11/2011. solutions ouvertes.

MGDIS Éditeur de. 30/11/2011 Sécurité des développements Editeur de. pour évoluer librement ENSIBS 30/11/2011. solutions ouvertes. 30/11/2011 Sécurité des développements Jean-Philippe Gouigoux Architecte logiciel MVP Responsable pôle Architecture / Formation / Innovation gouigoux-jp@mgdis.fr MGDIS Éditeur de pour progiciels de gestion

Plus en détail

Informatique légale : FPGA vs. GPU

Informatique légale : FPGA vs. GPU Informatique légale : FPGA vs. GPU Sylvain Collange, Yoginder S. Dandass, Marc Daumas et David Defour 03/06/2008 Problématiques Analyse de disque dur Recherche de contenu illégal connu Y compris dans des

Plus en détail

Configurez TokenCaching dans la CiscoSecure ACS UNIX

Configurez TokenCaching dans la CiscoSecure ACS UNIX Guide de conception et d'implémentation de la mise en cache de jetons (TokenCaching) Contenu Introduction Conditions préalables Conditions requises Composants utilisés Conventions Configurez Diagramme

Plus en détail

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement Guillaume HARRY l Contenu sous licence Creative Commons CC-BY-NC-ND Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement P. 2 1. Introduction 2.

Plus en détail

Journées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011. Projet MySafeKey Authentification par clé USB

Journées MATHRICE Dijon-Besançon DIJON 15-17 mars 2011. Projet MySafeKey Authentification par clé USB Journées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011 1/23 Projet MySafeKey Authentification par clé USB Sommaire 2/23 Introduction Authentification au Système d'information Problématiques des mots

Plus en détail

Vulnérabilités logicielles Injection SQL. Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI

Vulnérabilités logicielles Injection SQL. Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI Vulnérabilités logicielles Injection SQL Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI 1 Plan SQL Injection SQL Injections SQL standards Injections SQL de requêtes

Plus en détail

Programmation Web. Sites dynamiques et bases de données. Mathieu Lacroix. I.U.T. de Villetaneuse. Année 2015-2016

Programmation Web. Sites dynamiques et bases de données. Mathieu Lacroix. I.U.T. de Villetaneuse. Année 2015-2016 Programmation Web Sites dynamiques et bases de données Mathieu Lacroix I.U.T. de Villetaneuse Année 2015-2016 E-mail : mathieu.lacroix@iutv.univ-paris13.fr Page Web : http: // www-lipn. univ-paris13. fr/

Plus en détail

La sécurité pour les développeurs. Christophe Villeneuve @hellosct1

La sécurité pour les développeurs. Christophe Villeneuve @hellosct1 La sécurité pour les développeurs Christophe Villeneuve @hellosct1 Qui... est Christophe Villeneuve? afup lemug.fr mysql mariadb drupal demoscene firefoxos drupagora phptour forumphp solutionlinux demoinparis

Plus en détail

I. La sécurité des mots de passe sous Linux : la fonction crypt

I. La sécurité des mots de passe sous Linux : la fonction crypt Sécurité GNU/Linux La fonction crypt By sharevb Sommaire I.La sécurité des mots de passe sous Linux : la fonction crypt...1 a)description...1 b)types de cryptages...1 c)prototype C...2 II.De la sécurité

Plus en détail

Sécurité des développements. ICAM JP Gouigoux 11/2012

Sécurité des développements. ICAM JP Gouigoux 11/2012 Sécurité des développements ICAM JP Gouigoux 11/2012 Glossaire Virus / Backdoor / Troyen Vulnérabilité / Exploit / Faille / 0-day Injection / Déni de service / Canonicalisation Advanced Persistant Threat

Plus en détail

Les compromis temps-mémoire et leur utilisation pour casser les mots de passe Windows

Les compromis temps-mémoire et leur utilisation pour casser les mots de passe Windows Les compromis temps-mémoire et leur utilisation pour casser les mots de passe Windows Philippe Oechslin Laboratoire de Securité et de Cryptographie (LASEC) École Polytechnique Fédérale de Lausanne Faculté

Plus en détail

Chiffrement à clef publique, authentification et distribution des clefs. Plan

Chiffrement à clef publique, authentification et distribution des clefs. Plan Chiffrement à clef publique, authentification et distribution des clefs Sécurité des réseaux informatiques 1 Plan Les principes de l'authentification de message Les fonctions de hachage sécurisées SHA-1

Plus en détail

Aurélien Bordes aurelien26@free.fr http://aurelien26.free.fr/secauth/ v1.0 SSTIC 2007 30 mai 2007

Aurélien Bordes aurelien26@free.fr http://aurelien26.free.fr/secauth/ v1.0 SSTIC 2007 30 mai 2007 Aurélien Bordes aurelien26@free.fr http://aurelien26.free.fr/secauth/ v1.0 1 Plan Rappel Authentification locale condensats LM et NTLM sessions d authentification comptes de services / comptes machine

Plus en détail

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009 Janvier 2009 1 2 Etablissement des clés de session Protection des données échangées 3 Identification par mot de passe Identification par clé publique Identification par hôte 4 Utilisations de Secure Shell

Plus en détail

Note technique. Recommandations de sécurité relatives aux mots de passe

Note technique. Recommandations de sécurité relatives aux mots de passe P R E M I E R M I N I S T R E Secrétariat général Paris, le 5 juin 2012 de la défense et de la sécurité nationale N o DAT-NT-001/ANSSI/SDE/NP Agence nationale de la sécurité Nombre de pages du document

Plus en détail

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr

Sécurite Web. Xavier Tannier xavier.tannier@limsi.fr. Yann Jacob yann.jacob@lip6.fr Sécurite Web Xavier Tannier xavier.tannier@limsi.fr Yann Jacob yann.jacob@lip6.fr Généralités 80 % des sites contiennent au moins une faille de sécurité 24 familles de failles différentes : on ne présente

Plus en détail

La sécurité dans les grilles

La sécurité dans les grilles La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation

Plus en détail

Mot de passe sécurisé, systèmes d'authentification S/Key et par jeton de contrôle, protocoles d'authentification pour PPP : PAP, CHAP et EAP

Mot de passe sécurisé, systèmes d'authentification S/Key et par jeton de contrôle, protocoles d'authentification pour PPP : PAP, CHAP et EAP Mot de passe sécurisé, systèmes d'authentification S/Key et par jeton de contrôle, protocoles d'authentification pour PPP : PAP, CHAP et EAP Hicham RICHA Plan 1 Mots de passe sécurisés: a) Introduction

Plus en détail

Sécurité des bases de

Sécurité des bases de HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet CLUSIR-EST Sécurité des bases de données Louis Nyffenegger Louis Nyffenegger

Plus en détail

Meilleures pratiques de l authentification:

Meilleures pratiques de l authentification: Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données

Plus en détail

Octopus password breaker

Octopus password breaker Octopus password breaker 14 avril 2015 Danny Francis 1 / 31 Introduction Un espace de recherche extrêmement grand, dont la taille augmente exponentiellement par rapport

Plus en détail

Correction TD de cryptographie n o 1

Correction TD de cryptographie n o 1 Sécurité / Cryptologie Correction TD de cryptographie n o 1 Ce TD survole les différents concepts vus en cours 1 Se familiariser avec les ordres de grandeur Exercice 1. La force brute Le facteur de travail

Plus en détail

PHP 5. Sécurité. et MySQL. 3 e édition. Damien Seguy Philippe Gamache. Préface de Rasmus Lerdorf

PHP 5. Sécurité. et MySQL. 3 e édition. Damien Seguy Philippe Gamache. Préface de Rasmus Lerdorf Sécurité PHP 5 3 e édition et MySQL Damien Seguy Philippe Gamache Préface de Rasmus Lerdorf Groupe Eyrolles, 2007, 2009, 2012, ISBN : 978-2-212-13339-4 206 Mesures de sécurité pour les technologies connexes

Plus en détail

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI Cryptologie Algorithmes à clé publique Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Cryptographie à clé publique Les principes essentiels La signature électronique Infrastructures

Plus en détail

Cryptographie. Cours 6/8 - Gestion de clés

Cryptographie. Cours 6/8 - Gestion de clés Cryptographie Cours 6/8 - Gestion de clés Plan du cours Importance de la gestion des clés Clés secrètes, clés publiques Certificats Infrastructure à clé publique (Public Key Infrastructure, PKI) Dans le

Plus en détail

Sécurité Informatique

Sécurité Informatique Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à olivier

Plus en détail

Le contournement de produits de sécurité

Le contournement de produits de sécurité Le contournement de produits de sécurité Jean-Baptiste Bédrune Sogeti / ESEC jean-baptiste.bedrune(at)sogeti.com Yoann Guillot Sogeti / ESEC yoann.guillot(at)sogeti.com Roadmap J.B. Bédrune & Y. Guillot

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module II : Sécurité SE et des logiciels José M. Fernandez M-3109 340-4711 poste 5433 Module II Aperçu Semaine 5 Sécurité dans les systèmes d'exploitation (SE) Contrôle d'accès dans les SE

Plus en détail

DynDNS. Qu est-ce que le DynDNS?

DynDNS. Qu est-ce que le DynDNS? DynDNS. Qu est-ce que le DynDNS? Le DynDNS (Dynamic Domain Name Server) sert à attribuer un nom de domaine à une adresse ip dynamique. Chaque ordinateur utilise une adresse ip pour communiquer sur le réseau.

Plus en détail

Protocoles d`authentification. Refik Molva et Yves Roudier. Institut EURECOM, BP 193 Sophia Antipolis Cedex - France

Protocoles d`authentification. Refik Molva et Yves Roudier. Institut EURECOM, BP 193 Sophia Antipolis Cedex - France Protocoles d`authentification Refik Molva et Yves Roudier Institut EURECOM, BP 193 Sophia Antipolis Cedex - France {refik.molva@eurecom.fr, yves.roudier@eurecom.fr} Résumé : cet article décrit les techniques

Plus en détail

Casser une clé wep/wpa avec la suite Aircrack-ng

Casser une clé wep/wpa avec la suite Aircrack-ng Casser une clé wep/wpa avec la suite Aircrack-ng Un article de Backtrack-fr. Sommaire 1 Introduction 1.1 Lexique 2 Présentation des outils nécessaires 2.1 Airmon-ng 2.2 Airodump-ng 2.3 Aireplay-ng 2.4

Plus en détail

Tutorial Authentification Forte Technologie des identités numériques

Tutorial Authentification Forte Technologie des identités numériques e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +1 22 727 05 55 Fax +1 22 727 05 50 Tutorial Authentification Forte Technologie des identités numériques Volume 1/3 Par Sylvain Maret /

Plus en détail

Programmation orientée objet et interfaces web en PHP

Programmation orientée objet et interfaces web en PHP Programmation orientée objet et interfaces web en PHP La programmation objet avec PHP5 Bases de données et interfaces web Fonctionnement des sessions Nicolas Moyroud Cemagref - UMR TETIS 26 Juin 2008 Programmation

Plus en détail

www.netexplorer.fr contact@netexplorer.fr

www.netexplorer.fr contact@netexplorer.fr www.netexplorer.fr 05 61 61 20 10 contact@netexplorer.fr Sommaire Sécurité applicative... 3 Authentification... 3 Chiffrement... 4 Traçabilité... 4 Audits... 5 Sécurité infrastructure... 6 Datacenters...

Plus en détail

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05 Les Protocoles de sécurité dans les réseaux WiFi Ihsane MOUTAIB & Lamia ELOFIR FM05 PLAN Introduction Notions de sécurité Types d attaques Les solutions standards Les solutions temporaires La solution

Plus en détail

LSI2 Programmation Web TP n 4 du 17 décembre 2007

LSI2 Programmation Web TP n 4 du 17 décembre 2007 Page 1 sur 6 LSI2 Programmation Web TP n 4 du 17 décembre 2007 Corrigé des TPs précédents Le code source de la solution est fourni dans un fichier.zip téléchargeable à l adresse http://www.isitix.com/enssat/enssat20071217.zip

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet.

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet. HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet GS Days Extraction des empreintes de mots de passe en environnement

Plus en détail

(Très) Chers mots de passe

(Très) Chers mots de passe Ludovic d Anchald Dominique Blas (Très) Chers mots de passe 1 Mots valise L utilisateur face à la fuite des mots de passe. La «force» d un mot de passe, c est quoi? Performances dans le cracking de mots

Plus en détail

IPSec peut fonctionner selon deux modes, transport ou tunel.

IPSec peut fonctionner selon deux modes, transport ou tunel. Infrastructure PKI (public key infrastructure) Le cryptage symétrique Utilise la même clé pour crypter et décrypter un document Le cryptage asymétrique Utilise une paire de clé public et privée différente

Plus en détail

NOTICE D UTILISATION Option USB 2-Ports USB FRANCAIS

NOTICE D UTILISATION Option USB 2-Ports USB FRANCAIS NOTICE D UTILISATION Option USB 2-Ports USB FRANCAIS Introduction Ce supplément vous informe de l utilisation de la fonction USB qui a été installée sur votre table de mixage. Disponible avec 2 ports USB

Plus en détail

Sécurité des systèmes informatiques

Sécurité des systèmes informatiques Sécurité des systèmes informatiques Alex Auvolat, Nissim Zerbib 4 avril 2014 Alex Auvolat, Nissim Zerbib Sécurité des systèmes informatiques 1 / 43 Introduction La sécurité est une chaîne : elle est aussi

Plus en détail

Projet réseau : un «petit» client ftp

Projet réseau : un «petit» client ftp Projet 2005-2006 Client FTP Manuel Technique Projet réseau : un «petit» client ftp Maquaire Myriam Jilibert Laurent L3 GMI Resp : Mr Guesnet Sommaire 1) Aperçu du protocole FTP. 3 2) Historique... 4 3)

Plus en détail

Optimisations des SGBDR. Étude de cas : MySQL

Optimisations des SGBDR. Étude de cas : MySQL Optimisations des SGBDR Étude de cas : MySQL Introduction Pourquoi optimiser son application? Introduction Pourquoi optimiser son application? 1. Gestion de gros volumes de données 2. Application critique

Plus en détail

Lot 1 - Migration du serveur de base de données

Lot 1 - Migration du serveur de base de données Situation Rectiline Lot 1 - Migration du serveur de base de données Table des matières Lot 1 - Migration du serveur de base de données...1 Mise à jour du système Debian 6 :...2 Installation de PostgreSQL:...5

Plus en détail

Gestion des clés. Génération des clés. Espaces de clés réduits. Mauvais choix de clés. Clefs aléatoires. Phrases mots de passe

Gestion des clés. Génération des clés. Espaces de clés réduits. Mauvais choix de clés. Clefs aléatoires. Phrases mots de passe Génération des clés Gestion des clés Espaces de clés réduits Codage restreint, caractères choisis, clés faibles, Mauvais choix de clés Lettre, mnémotechnique, attaque par dictionnaire Clefs aléatoires

Plus en détail

Solution de déploiement de certificats à grande échelle. En savoir plus...

Solution de déploiement de certificats à grande échelle. En savoir plus... Solution de déploiement de certificats à grande échelle permet un déploiement des certificats numériques à grande échelle en toute sécurité sans avoir à fournir un support physique (token, carte à puce

Plus en détail

SISR3- Mise à disposition d une application web sécurisée

SISR3- Mise à disposition d une application web sécurisée Contexte : Le laboratoire pharmaceutique Galaxy-Swiss Bourdin (GSB) désire mettre à disposition des visiteurs médicaux une application Web de gestion des frais de remboursement. Il souhaite disposer d'une

Plus en détail

Windows Server 2008. Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

Windows Server 2008. Chapitre 3 : Le service d annuaire Active Directory: Concepts de base Windows Server 2008 Chapitre 3 : Le service d annuaire Active Directory: Concepts de base omar.cheikhrouhou@isetsf.rnu.tn omar.cheikhrouhou@ceslab.org Objectives Comprendre les concepts de base d Active

Plus en détail

Sécurité dans la couche Réseau. Daniel Wasserrab Andreas Wundsam

Sécurité dans la couche Réseau. Daniel Wasserrab <dwasserr@ens-lyon.fr> Andreas Wundsam <awundsam@ens-lyon.fr> Sécurité dans la couche Réseau Daniel Wasserrab Andreas Wundsam Articulation 1. Introduction a) Définition b) IPsec vs. protocoles de la couche application

Plus en détail

Etat de l art sur le cassage de mots de passe

Etat de l art sur le cassage de mots de passe Etat de l art sur le cassage de mots de passe Simon Marechal Thales Security Systems 1 Introduction 1.1 Les fonctions de hachage Cet article traite du cassage des mots de passe protégés par des fonctions

Plus en détail

Bibliographie. Gestion des risques

Bibliographie. Gestion des risques Sécurité des réseaux informatiques Bernard Cousin Université de Rennes 1 Sécurité des réseaux informatiques 1 Introduction Risques Attaques, services et mécanismes Les attaques Services de sécurité Mécanismes

Plus en détail

Rapport de Cryptographie

Rapport de Cryptographie Cryptographie [MIF30] / Année 2008-2009 Rapport de Cryptographie Les Injections SQL Sylvie Tixier & François-Xavier Charlet Page 1 20/05/2009 Sommaire Introduction...3 Définition d une injection SQL...3

Plus en détail

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web»

Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» Projet Formation E-Learning - Sept 2015 «Sécurité des applications Web» 1 OBJECTIFS DE LA FORMATION RSSI PUBLIC Administrateur Réseau et Système Consultant sécurité Responsable Développement Développeur

Plus en détail

Conseil économique et social

Conseil économique et social NATIONS UNIES E Conseil économique et social Distr. GÉNÉRALE ECE/TRANS/WP.30/AC.2/2008/2 21 novembre 2007 FRANÇAIS Original: ANGLAIS COMMISSION ÉCONOMIQUE POUR L EUROPE Comité de gestion de la Convention

Plus en détail

Projet de 1ère licence Informatique Création d un système de mailing-list avec interface web. Directeur : Tom Mens.

Projet de 1ère licence Informatique Création d un système de mailing-list avec interface web. Directeur : Tom Mens. Projet de 1ère licence Informatique Création d un système de mailing-list avec interface web Directeur : Tom Mens Julien Baligant But : quel est le problème à résoudre? Il manque un outil adéquat permettant

Plus en détail

Sécurité des réseaux IPSec

Sécurité des réseaux IPSec Sécurité des réseaux IPSec A. Guermouche A. Guermouche Cours 4 : IPSec 1 Plan 1. A. Guermouche Cours 4 : IPSec 2 Plan 1. A. Guermouche Cours 4 : IPSec 3 Pourquoi? Premier constat sur l aspect critique

Plus en détail

Réseaux virtuels Applications possibles :

Réseaux virtuels Applications possibles : Réseaux virtuels La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même

Plus en détail

Accès au support technique produits et licences par le portail client MGL de M2Msoft.com. Version 2010. Manuel Utilisateur

Accès au support technique produits et licences par le portail client MGL de M2Msoft.com. Version 2010. Manuel Utilisateur Accès au support technique produits et licences par le portail client MGL de M2Msoft.com Version 2010 Manuel Utilisateur Access to M2Msoft customer support portal, mgl.m2msoft.com, 2010 release. User manual

Plus en détail

Présentation CryptoGram Folder Réunion OSSIR 11 juin 2001. CryptoGram. Ref: CRYPTO/PS/082000

Présentation CryptoGram Folder Réunion OSSIR 11 juin 2001. CryptoGram. Ref: CRYPTO/PS/082000 Présentation Folder Réunion OSSIR 11 juin 2001 3 av du Canada, ZA Courtaboeuf 1-91974 Les Ulis Cedex +33(0)1 69 29 82 10 - www.cryptogram-fr.com Ref: CRYPTO/PS/082000 Société française A Prologue Software

Plus en détail

Politique de protection des postes de travail

Politique de protection des postes de travail ISMS (Information Security Management System) Politique de protection des postes de travail 2009 Version control please always check if you re using the latest version Doc. Ref. : isms.039.workstation.fr

Plus en détail

Etat des lieux de la sécurité dans Windows XP. Nicolas RUFF nicolas.ruff@edelweb.fr

Etat des lieux de la sécurité dans Windows XP. Nicolas RUFF nicolas.ruff@edelweb.fr Etat des lieux de la sécurité dans Windows XP Améliorations et écueils Nicolas RUFF nicolas.ruff@edelweb.fr page 1 Ordre du jour Authentification Réseau Stratégies de groupe Fichiers Noyau Support Autres

Plus en détail

Passé l'injection, Ajax entre en action

Passé l'injection, Ajax entre en action L Expertise Sécurité Passé l'injection, Ajax entre en action Par Philippe Humeau Contexte Les utilisateurs sont désormais "éduqués" et le Web est à la fois devenu un outil de travail, une source d'information,

Plus en détail

INF4420: Éléments de Sécurité Informatique

INF4420: Éléments de Sécurité Informatique : Éléments de Module III : Sécurité des réseaux informatiques José M. Fernandez D-6428 340-4711 poste 5433 Où sommes-nous? Semaine 1 Intro Semaines 2, 3 et 4 Cryptographie Semaine 6, 7 Sécurité dans les

Plus en détail

Les principes de la sécurité

Les principes de la sécurité Les principes de la sécurité Critères fondamentaux Master 2 Professionnel Informatique 1 Introduction La sécurité informatique est un domaine vaste qui peut appréhender dans plusieurs domaines Les systèmes

Plus en détail

BD50. TP5 : Développement PL/SQL Avec Oracle SQL Developer. Gestion Commerciale

BD50. TP5 : Développement PL/SQL Avec Oracle SQL Developer. Gestion Commerciale Département Génie Informatique BD50 TP5 : Développement PL/SQL Avec Oracle SQL Developer Gestion Commerciale Françoise HOUBERDON & Christian FISCHER Copyright Avril 2007 Présentation de la gestion commerciale

Plus en détail

INSTALLATION DE L APPLICATION DU CONTEXTE ITASTE

INSTALLATION DE L APPLICATION DU CONTEXTE ITASTE INSTALLATION DE L APPLICATION DU CONTEXTE ITASTE Le responsable de la société Itaste utilise une application installée sur son poste : elle est programmée en VBA sous Microsoft Access et pourvue d une

Plus en détail

Attaques applicatives

Attaques applicatives Attaques applicatives Attaques applicatives Exploitation d une mauvaise programmation des applications Ne touche pas le serveur lui-même mais son utilisation/ configuration Surtout populaire pour les sites

Plus en détail

Sécurité des systèmes informatiques Escalade des privilèges

Sécurité des systèmes informatiques Escalade des privilèges Année 2009-2010 Sécurité des systèmes informatiques Escalade des privilèges Nicolas Baudru mél : nicolas.baudru@esil.univmed.fr page web : nicolas.baudru.esil.perso.univmed.fr 1 Mise en garde Ce cours

Plus en détail

HERVÉ SCHAUER CONSULTANTS. Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

HERVÉ SCHAUER CONSULTANTS. Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet FORUM PHP 2007 Audit de code, retour d'expérience Nicolas Collignon

Plus en détail

LES ACCES ODBC AVEC LE SYSTEME SAS

LES ACCES ODBC AVEC LE SYSTEME SAS LES ACCES ODBC AVEC LE SYSTEME SAS I. Présentation II. SAS/ACCESS to ODBC III. Driver ODBC SAS IV. Driver ODBC SAS Universel V. Version 8 VI. Références I. Présentation Introduction ODBC, qui signifie

Plus en détail

FACULTE DES SCIENCES ET TECHNIQUES FES SAIS MASTER SYSTEMES INTELLIGENTS ET RESEAUX MST SIR 2014 TP WIFI. Encadré par PR.

FACULTE DES SCIENCES ET TECHNIQUES FES SAIS MASTER SYSTEMES INTELLIGENTS ET RESEAUX MST SIR 2014 TP WIFI. Encadré par PR. FACULTE DES SCIENCES ET TECHNIQUES FES SAIS MASTER SYSTEMES INTELLIGENTS ET RESEAUX MST SIR 2014 TP WIFI Encadré par PR.AHLAM BEGEDOURI Abdelhamid El hassani Mohamed Ouddaf Nacer Harti Yahya kharban Hatim

Plus en détail

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader Gestion des Clés Pr Belkhir Abdelkader Gestion des clés cryptographiques 1. La génération des clés: attention aux clés faibles,... et veiller à utiliser des générateurs fiables 2. Le transfert de la clé:

Plus en détail

Réseaux. Virtual Private Network

Réseaux. Virtual Private Network Réseaux Virtual Private Network Sommaire 1. Généralités 2. Les différents types de VPN 3. Les protocoles utilisés 4. Les implémentations 2 Sommaire Généralités 3 Généralités Un VPN ou RPV (réseau privé

Plus en détail

Conserver des systèmes informatiques opérationnels : Guide de la continuité des activités pour les PME

Conserver des systèmes informatiques opérationnels : Guide de la continuité des activités pour les PME Conserver des systèmes informatiques opérationnels : Guide de la continuité des activités pour les PME Des applications disponibles en permanence de la gestion quotidienne des systèmes à la reprise des

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

Politique de gestion des mots de passe

Politique de gestion des mots de passe Centre de Ressources Informatique Politique de gestion des mots de passe Préparé pour: CRI Préparé par: Laurent PEQUIN 15 février 2010 15, avenue René Cassin 97474 Saint Denis Cedex 9 Réunion T 02 62 93

Plus en détail

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base...

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base... Système d'exploitation Sommaire Introduction...3 Objectif...3 Manipulations...3 Gestion des utilisateurs et des groupes...4 Introduction...4 Les fichiers de base...4 Quelques commandes d'administration...5

Plus en détail

Sécurité des applications web. Daniel Boteanu

Sécurité des applications web. Daniel Boteanu I F8420: Éléments de Sécurité des applications web Daniel Boteanu Architecture des applications web Client légitime Internet HTTP 浀 HTML Server Web 2 Architecture des applications web Client légitime Internet

Plus en détail

Sécurité des réseaux wi fi

Sécurité des réseaux wi fi Sécurité des réseaux wi fi, drocourt@iut-amiens.fr IUT Amiens, Département Informatique 1 Mode Ad Hoc 2 Mode Infrastructure AP (Access Point) 3 Mode Infrastructure AP (Access Point) 4 Mode Infrastructure

Plus en détail

Mysql. Les requêtes préparées Prepared statements

Mysql. Les requêtes préparées Prepared statements Mysql Les requêtes préparées Prepared statements Introduction Les prepared statements côté serveur sont une des nouvelles fonctionnalités les plus intéressantes de MySQL 4.1 (récemment sorti en production

Plus en détail

Sécurité des applications Retour d'expérience

Sécurité des applications Retour d'expérience HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Netfocus Sécurité des applications Retour d'expérience Nicolas Collignon

Plus en détail