TER Master Informatique : Etude du Single Sign-On (SSO) Sujet proposé par Francine HERRMANN. Etudiants LELOUP Julien & VAYEUR Guillaume

Dimension: px
Commencer à balayer dès la page:

Download "TER Master Informatique : Etude du Single Sign-On (SSO) Sujet proposé par Francine HERRMANN. Etudiants LELOUP Julien & VAYEUR Guillaume"

Transcription

1 TER Master Informatique : Etude du Single Sign-On (SSO) Sujet proposé par Francine HERRMANN Etudiants LELOUP Julien & VAYEUR Guillaume 11 juin 2006

2 Table des matières 1 Notions essentielles PKI : Infrastructure à clé publique Les certicats numériques X Quelques notions de cryptographie Chirement symétrique Chirement asymétrique Signature numérique simple Fonction de hachage à sens unique Signature numérique sécurisée Les modes de chirement Le protocole SSL SAML LDAP : Lightweight Directory Access Protocol Présentation Le protocole LDAP Kerberos Qu'est-ce que Kerberos? Principe de fonctionnement L'algorithme DES Single Sign-On Les origines Les objectifs Architecture classique d'un SSO Le serveur d'authentication L'agent d'authentication Les architectures multi-tiers D'autres architectures SSO Exemples de projets liés au SSO Microsoft Passport Liberty Alliance Le projet Shiboleth Etude comparative LemonLDAP Architecture du programme et principe de fonctionnement Installation Avantages

3 3.1.4 Inconvénients Vulture Principes et architecture Installation Forces et faiblesses LASSO Le SSO made in Liberty Alliance Fonctionnement Des points forts mais aussi des points faibles C.A.S. : Central Authentication Service Origines Fonctionnement Points forts de CAS Points faibles Bibliographie et ouvrages de référence 54 2

4 Avant-propos Un début de journée comme les autres dans une entreprise comme les autres... 8 :00 - Arrivé au bureau, Mr. X allume son ordinateur et, comme chaque matin, doit "pointer", c'est-à-dire saisir son nom d'utilisateur et son mot de passe pour pouvoir ouvrir sa session...par chance, il les connaît par coeur. 8 :04 - Arrivée du chef de secteur dans le bureau : Il me faudrait le compte-rendu de la réunion de mardi. Je vous l'envoie de suite par , s'empresse de répondre Mr. X. Dans 1 minute vous pourrez l'imprimer! 8 :05 - Mr. X, ayant mis la main sur le compte-rendu, s'empresse de l'envoyer par ... encore doit-il se connecter à son client de messagerie... Zut, c'est quoi le mot de passe encore? Ah oui, c'est vrai, c'est écrit sur le post-it bleu! Et voilà, envoyé! 8 :08 - Retour du chef de secteur : X, merci pour la rapidité, mais le message est crypté... Mais puisque nous sommes du même service, il ne devrait pas vous faire ce genre d'erreur...bon, je vous l'envoie en décrypté tout de suite. 8 :09 - Bon, le décrypter, d'accord, mais c'est quoi le mot de passe pour ça? Ah oui, je l'ai noté sur mon Palm... que j'ai oublié en partant ce matin! Je suis bon pour en demander un nouveau à l'administrateur réseau. 8 :10 - L'administrateur réseau n'est pas dans son bureau... Mr. X réessaiera dans 5 minutes. 8 :12 - En attendant le nouveau mot de passe, je vais continuer ce que je faisais hier. Alors, pour lancer l'application Bidule, il me faut mon Login et mon Password... Zut, il est où ce post-it vert? 8 :17 - Mr. X a retrouvé le post-it vert, sous son armoire. Alors, Login : XXXX, Password : XXXX... Et voila, connecté! Ah c'est vrai, j'ai codé le travail d'hier... et le mot de passe pour le décrypter est dans mon Palm... Je suis bon pour appeler à la maison! 8 :22 - Mr. X a appelé chez lui et a pu ouvrir son travail. Il a également réussi, peu avant, à joindre l'administrateur réseau pour lui demander un mot de passe pour décrypter le compte-rendu demandé par son chef. Bon, en attendant des nouvelles de l'administrateur, j'ai de quoi faire, se dit Mr.X. Tu ne saurais pas comment je pourrais imprimer ce dossier plus rapidement? l'interrompt son collègue. C'est pas dicile, lui répond X, il te sut d'utiliser l'imprimante de la salle d'édition. Et comment je fais? C'est simple, regarde, tu vas dans Fichier, Imprimer, tu choisis Imprimante en réseau, et là tu vois Imprimante_Salle_Edition. Tu cliques sur OK et... Ah zut, encore un mot de passe... et je ne sais plus lequel c'est... 3

5 C'est pas écrit sur le post-it rouge? Ah oui, tu as raison... Le voilà... Ca y est, impression lancée. Merci bien! 8 :28 - Retour du chef de secteur : Bon, X, il en est où ce compte-rendu? J'attends toujours que l'administrateur m'envoie un nouveau mot de passe! Ah tiens, c'est quoi ce papier? Il est écrit "Crypto_Password : Xd2..." Le mot de passe pour le décryptage de mes rapports!! s'écrit X. Bon avec un peu de chance, il n'a pas encore été réinitialisé. 8 :29 - "Mot de passe incorrect" s'ache sur l'écran de l'ordinateur de Mr. X. Son mot de passe de cryptage a été réinitialisé, mais le nouveau n'est toujours pas arrivé. 8 :45 - Mr. X appelle le service des administrateurs réseau. 8 :51 - Quelqu'un décroche : Allo? Ici Mr. X du service Y. J'ai demandé un nouveau mot de passe de cryptage, mais j'attends depuis bientôt une demi heure... Il va arriver, ne vous inquiétez pas! 9 :12 - Le mot de passe arrive... Une heure dans une entreprise comme les autres... Mots de passe oubliés car trop nombreux, ou égarés car stockés au mauvais endroit, nuisent au bon déroulement d'une journée de travail. Pour palier à ce genre de problèmes, une solution a récemment été mise au point : le S.S.O. (Single Sign On). Grâce à celà, la saisie d'un seul couple "login/mot de passe" aurait permis à Mr. X d'accéder à tous ses documents et toutes les applications sans avoir à chercher tel ou tel post-it, car tel est le rôle d'un système SSO : orir un service d'authentication centralisée, ce qui améliore sécurité et facilité d'utilisation du système d'information. Le SSO est une technologie émergente, relativement jeune. Elle ne repose pas actuellement sur des bases, des normes et des protocoles communément admis, mais est plus un assemblage de diérentes technologies bien connues, mises en uvre dans un même but : l'authentication unique, avec renforcement de la sécurité du système d'information et de sa cohérence. Parmis ces technologies, citons, entre autres, les P.K.I. (Public Key Infrastructure), les certicats X.509, ou encore le protocole S.S.L. (Secure Socket Layer ), dont buts et fonctionnement seront expliqués en détail dans le Chapitre 1 : Notions essentielles. Bien que ne se basant pas sur des normes bien établies, on peut tout de même reconnaître des points communs aux diérentes solutions existantes actuellement sur le marché. La tendance la plus développée parmis les SSO actuels prend la forme du WebSSO : un serveur SSO basé sur des technologies du web (Apache, Tomcat, cookies, SSL...), accessibles par les utilisateurs via un navigateur web conventionnel. Un tel SSO permet aisément de faire le lien entre des utilisateurs et des applications web classique, mais aussi des applications non web, grâce à divers moyens tels que les C.G.I. (Common Gateway Interface) par exemple. La plupart des SSO rencontrés actuellement sont basés sur cette architecture, dont le schéma global est montré sur la Figure 1 ci-dessous, bien qu'il existe d'autres possibilités de SSO. Nous aborderons toutes ces architectures dans le Chapitre 2 : Single Sign On. 4

6 Fig. 1 Schéma général d'un système SSO Il nous est apparu, en eectuant diverses recherches sur le sujet, que de nombreuses solutions SSO existent en ce moment sur Internet. Certaines d'entre elles sont à but professionnel, et sont donc proposées à divers clients contre rémunérations. D'autres en revanche appartiennent au monde des logiciels libres de droit, sous licence G.P.L. (Global Public Licence), et dont les sources sont librement téléchargeables. Nous avons donc établi une étude comparative de quatre de ces solutions dites Open Source, que vous verrez dans le Chapitre 3 : Etude comparative. Le but de cette comparaison n'est pas d'eectuer un classement ou d'évaluer la "meilleure" solution SSO Open Source, mais de montrer l'absence de standard propre à cette technologie, et qu'aucune de ces solutions n'est meilleure que les autres. 5

7 Chapitre 1 Notions essentielles 6

8 1.1 PKI : Infrastructure à clé publique Grâce à la cryptographie à clé publique 1, chaque entité nale (une personne, un serveur, etc...) possède une paire de clés privée/publique. Avec sa clé privée, l'utilisateur peut s'authentier et/ou signer numériquement des documents. An que l'on puisse l'identier ou vérier sa signature, un utilisateur doit distribuer ou mettre à disposition sa clé publique auprès de tout le monde. Les PKI permettent de mettre à disposition sur un serveur les clés publiques des utilisateurs sous la forme d'un certicat numérique, notamment au format X Mais une première question se pose alors : comment peut-on savoir à qui appartient telle ou telle clé publique qui n'est qu'une chaîne binaire? En d'autres termes, comment rattacher une clé publique à son propriétaire? > La solution est de ne pas distribuer de clé, mais des certicats numériques contenant ces clés, un certicat numérique étant un chier contenant la clé publique d'un utilisateur et des donnés sur son identité. Par exemple, ces données seront pour une personne physique son état civil, alors que pour un serveur, on donnera son nom de domaine. Se pose alors une autre question : comment être sûr de l'authenticité d'un certicat? > Pour être reconnu comme authentique, un certicat (a) doit être signé avec une clé privée. Celle-ci est associée à une clé publique contenue dans un autre certicat (b). Donc grâce à (b), on sait que (a) est authentique. Mais alors comment reconnaître à son tour (b) comme authentique? > Il faut à ce moment que (b) se certie lui-même! On dira alors que ce certicat est auto-signé. Ce certicat particulier est appelé certicat racine ou certicat RootCA ( Root Certicate Authority, en français racine de l'autorité de certication). Dénition : Une Autorité de Certication (AC) - Certicate Authority (CA) en anglais - est l'entité juridique et morale d'une PKI (en général, un organisme de certication, une entreprise). En conclusion, la PKI peut se dénir ainsi : Une PKI est une infrastructure formée de serveurs et de certicats, créant, gérant et mettant à disposition des certicats numériques dont l'authenticité est certiée par l'autorité de certication représentant et utilisant cette PKI. La chaîne précédemment construite ((b) certie (a)) s'appelle une chaîne de certicats. Pour mettre en place la structure logique d'une PKI, il faut contruire cette chaîne en partant du certicat RootCA. Pour cela, il existe plusieurs types de chaînes de certicats : 1 Voir la section page 14 2 Voir la section 1.2 page 9 7

9 Fig. 1.1 PKI formée d'une chaîne de certicats Ce type de structure (Fig. 1.1 ) peut être utilisé dans les entreprises de grande taille pour distribuer des certicats qui donneront accès à l'intranet de l'entreprise. Dans ce cas, chaque certicat CA Intermédiaire peut représenter une liale ou un département de l'entreprise. Fig. 1.2 PKI formée d'un seul certicat RootCA Ce cas (Fig. 1.2 ) est peu utilisé par les organismes de certication, puisque c'est une structure plus adaptée aux entreprises de petite taille, ou utilisée pour une application web unique. Fig. 1.3 PKI formée de plusieurs certicats RootCA Ce cas (Fig. 1.3 ) est très souvent utilisé par les organismes de certication. 8

10 1.2 Les certicats numériques X.509 Un certicat numérique peut être utilisé pour mettre en oeuvre le protocole SSL 3 sur un serveur web. Cette utilisation d'un certicat X.509 par un serveur web est nécessaire an de permettre l'échange de clé de session entre le client et le serveur pour établir la condentialité des données transmises, l'authentication du serveur par le client, et, en option, l'authentication du client par le serveur. Les certicats numériques sont également utilisés dans les applications mettant en oeuvre le standard S/MIME (Secure Multipurpose Internet Mail Extensions) comme les messageries de courrier électronique. Ces certicats permettent de chirer et/ou signer ses messages. Un certicat Utilisateur permettra de mieux authentier une personne physique que la simple utilisation du traditionnel couple login/password, car l'identité de la personne est contenue et certiée dans le certicat et car la clé privée correspondant à la clé publique contenue dans ce certicat est chirée à l'aide d'un mot de passe connu seulement de cette personne. Un certicat numérique X.509 contient trois champs obligatoires : 1. Un champs appelé TBS (To Be Signed), qui sera signé, et qui contient toutes les informations suivantes : Le numéro de version du certicat X.509 (v1, v2, ou v3) Le numéro de série du certicat Le DN (Distinguished Name) du certicat signataire (issuer) La période de validité du certicat et de sa clé publique Le DN du titulaire de la clé publique La clé publique (du titulaire) et son algorithme associé Des extensions X.509 v3 facultatives 2. L'algorithme asymétrique et la fonction de hachage 4 utilisés pour la signature 3. La signature de l'empreinte numérique du TBS. Création d'un certicat numérique : Générer une requête de certicat au format standard PKCS#10 ( Public-Key Cryptography Standard #10 ) L'envoyer à une authorité de certication Cette authorité de certication crée le champs TBS avec toutes les données de la requête. Elle calcule l'empreinte numérique du TBS qu'elle signe avec sa clé privée. Cette signature est jointe au TBS pour former le certicat numérique X.509. Vérication de la validité d'un certicat : Pour vérier la validité d'un certicat, il faut au préalable que le destinataire fasse conance à l'autorité de certication signataire du certicat qu'il souhaite vérier. La vérication d'un certicat se fait en 4 étapes : 1. Récupération du certicat de l'authorité de certication signataire 2. Calcul de l'empreinte numérique des données (TBS) du certicat 3 Voir section 1.4 page 19 4 Fonctionnement du chirement asymétrique et des fonctions de hachage expliqués dans la section Quelques notions de cryptographie page 13. 9

11 3. Déchirement de l'empreinte numérique chirée du certicat à l'aide de la clé publique de l'autorité de certication 4. Vérication de l'égalité des deux empreintes numériques obtenues Schématiquement, la création et la vérication de la validité d'un certicat peut se représenter ainsi : Dénition ASN.1 : Fig. 1.4 Création et validation d'un certicat numérique La dénition d'un certicat X.509 est faite en langage ANS.1 (Abstract Syntax Notation number One) qui permet de décrir des types de données indépendamment de l'architecture choisie. Un chier source dans ce langage aura ".asn" pour extension. Pour illustrer ce langage, voici les deux premières déclarations ASN.1 d'un certicat X.509 : Certificate ::= SEQUENCE { tbscertificate TBSCertificate, signaturealgorithm AlgorithmIdentifier, signature BIT STRING } TBSCertificate ::= SEQUENCE { version [0] Version DEFAULT v1, serialnumber CertifiacteSerialNumber, signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, subjectpublickeyinfo SubjectPublicKeyInfo, issueruniqueid [1] IMPLICIT UniqueIdentifier OPTIONAL, 10

12 -- If present, version MUST be v2 or v3 subjectuniqueid [2] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version MUST be v2 or v3 extensions [3] Extensions OPTIONAL -- If present, version MUST be v3 -- } Le format DER : La transformation de la dénition ASN.1 d'un certicat X.509 en chier exploitable par des applications se fait en appliquant les règles d'encodage DER (Distinguished Encoding Rules) qui sont une sous-ensemble des règles BER (Basic Encoding Rules) décrites dans les recommandations ITU-T X.208. Les éléments ASN.1 codés avec DER sont des triplés balise/longueur/valeur représentés par une suite d'octets. Un chier au formats DER ou BER aura pour extension respectivement ".der" ou ".ber". Le format PEM : Le format DER des certicats numériques n'est pas adapté aux traitements faits par les applications de courriers électroniques, car il contient des octets qui pourraient être modiés par les serveurs de mails au cours des transferts. Ainsi, le format PEM (Privacy Enhanced Mail) résout ce problème en codant les données au format Base64. Un chier quelconque au format PEM aura ".pem" comme extension, mais en général on préférera lui donner une extension spéciant le type des données contenues (exemple : ".crt" pour un certicat signé). Comme exemple, voici un chier contenant un certicat X.509 codé en Base64 : BEGIN CERTIFICATE MS4Df4rtgSDf4b525vghDF8g552DFGvfrGt24GQz24DCfrD8F7rfdCVG4tF4EG52... JF4feFE1veHTHTbtrbfJVd4gtGr44EEJ== END CERTIFICATE Le format Base64 permet de coder un chier binaire (codé sur 256 valeurs) avec les 64 caractères [A-Za-z0-9/+] sur des lignes de 64 octets : il remplace 3 octets binaires par 4 octets ASCII achables, car 3 blocs de 8 bits (3 X 8 = 24) peuvent être vus commes 4 blocs de 6 bits. Or avec 6 bits, il est possible de coder 64 caractères. De plus, chacun de ces 64 caractères ACSII sera codé sur un octet. Comme les chiers n'ont pas nécessairement une taille multiple de 48 octets, la dernière ligne peut être incomplète (de taille inférieure à 64 octets) ; de même, le dernier bloc de 4 octets peut contenir le caractère "=". 11

13 Le format PKCS#12 : Le format PKCS#12 (Public-Key Cryptography Standard #12 ) permet de rassembler dans un seul chier une paire de clés privée/publique, le certicat correspondant, le certicat signataire et toutes les chaînes de certicats CA signataires jusqu'à un certicat RootCA. Ce format est très utile pour installer un certicat Utilisateur dans un client web ou un client de messagerie. Un tel chier a pour extension ".p12". Voici un exemple de certicat X.509 (certicat RootCA d'une authorité de certication) : Certificate: Data: Version: 3 (0X2) Serial number: (0X1) Signature Algorithm: sha1withrsaencryption Issuer: C=FR, L=City, O=Company, CN=Company Root CA Validity Not Before: Mar 28 12:00: GMT Not After : Mar 28 18:00: GMT Subject: C=FR, L=City, O=Company, CN=Company Root CA Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (4096 bit) Modulus (4096 bit): 00:ac:49:db:13:df:fa:84:78:e8:15:9a:53:d6:32: 60:f6:b6:34:0d:7f:30:37:65:80:fa:b6:ba:29:7e:... 68:11:b9:c5:c2:f0:c2:e8:d5:f2:b8:05:2f:ad:a8: c4:ed:47 Exponent: (0X10001) X509v3 extensions: X509v3 Basic Constraints: critical CA: TRUE X509v3 Subject Key Identifier: FC:75:A1/BF:EA:92:9F:80:51:B9:60:5C:E6:C0:00:8A:10:E8:A4:FD X509v3 Key Usage: critical Certificate Sign, CRL Sign Signature Algorithm: sha1withrsaencryption 92:41:dc:3e:c2:7c:22:9f:77:b3:c3:72:92:9a:af:39:29:20: 85:eb:d8:ff:58:d2:4f:ce:98:01:4a:f2:29:f7:7e:96:fe:eb:... 2f:8a:a5:9b:e5:32:ff:7c:0e:83:81:bb:22:41:18:4b:25:05: 67:10:2b:95:01:57:d6:4e 12

14 Pour s'y retrouver, voici la structure générale d'un certicat X.509 : 1.3 Quelques notions de cryptographie Chirement symétrique Chirement symétrique, algorithme à clé secrète, cryptographie à clé secrète : tous ces termes désignent la même technique. Ici, l'émetteur et le destinataire du message disposent de la même clé secrète k. L'émetteur va utiliser cette clé secrète k pour chirer le message M. Le message chiré est C. Le récepteur utilisera cette même clé secrète pour déchirer C et retrouver ainsi le message en clair M. La condentialité est assurée, ainsi que l'authentication, car seules les deux parties possèdent la clé secrète k : condentialité car les deux parties concernées possèdent la clé secrète k ; authentication de l'émetteur assurée pour le destinataire car il sait que, mis à part luimême, l'émetteur est le seul à posséder la clé secrète k. Les algorithmes à clé secrète peuvent être classés en deux catégories. Certains opèrent sur le message en clair un bit à la fois. Ceux-ci sont appelés algorithmes de chirement en continu. D'autres opèrent sur le message en clair par groupes de bits. Ces groupes de bits sont appelés blocs, et les algorithmes correspondants sont appelés algorithmes de chirement par blocs. Pour des algorithmes réalisés sur ordinateur, la taille typique des blocs est de 64 bits 5. 5 Ce qui est assez grand pour interdire l'analyse et assez petit pour être pratique. 13

15 Fig. 1.5 Chirement symétrique : schéma de principe Chirement asymétrique Chirement asymétrique, algorithme à clé publique, cryptographie à clé publique : tous ces termes désignent la même technique. Cette technique repose sur le fait que la clé de chirement est diérente de la clé de déchirement. La clé de chirement, qui est appelée clé privée, est gardée secrète, tandis que la clé de déchirement, qui est appelée clé publique, est destinée à être divulguée. Les algorithmes à clé publique permettent d'assurer la condentialité d'un message. Dans ce cas, la procédure à suivre est la suivante : l'émetteur doit récupérer la clé publique k 1 du destinataire avec laquelle il va chirer le message en clair M. Puis il va envoyer le message chiré résultant C au destinataire ; ainsi, le destinataire peut déchirer ce message chiré C avec sa clé privée k2 et retrouver le message en clair M d'origine. Seule la personne possédant la clé privée k 2 correspondant à la clé publique k 1 (c'est-à-dire le destinataire légitime) pourra déchirer ce message chiré C et retrouver le message en clair M d'origine. Cela garantit la condentialité du message envoyé. Fig. 1.6 Algorithme à clé publique : schéma de principe 14

16 1.3.3 Signature numérique simple L'un des pricipaux avantages de la cryptographie à clé publique est d'orir une méthode pour la signature numérique. Cette méthode permet au destinataire de vérier l'authenticité, l'origine et l'intégrité d'un message signé. Ainsi, les signatures numériques à clé publique garantissent l'authentication de l'émetteur et l'intégrité des données. Elles fournissent également une fonctionnalité de non-répudiation, an d'éviter que l'expéditeur prétende qu'il n'a pas envoyé les informations. Ces mécanismes sont mis en oeuvre selon la procédure suivante : l'émetteur chire (signe) le message en clair M avec sa clé privée k 2. Puis, il va envoyer ce message en clair M et le message chiré résultant C (le signature) au destinataire ; ainsi, le destinataire n'a qu'à récupérer la clé publique k 1 de l'émetteur avec laquelle il va déchirer le message chiré C pour obtenir un message M'. Pour vérier la signature, le destinataire doit comparer le message M' qu'il vient d'obtenir avec le message en clair M. Si les deux sont identiques, alors la signature est vériée. Donc, seule la personne possédant la clé privée k 2 correspondant à la clé publique k 1 (l'émetteur) peut chirer le message en clair M et générer un message chiré C (la signature) qui pourra être déchirée avec la clé publique k 1. Un destinataire qui aura récupéré la clé publique k 1 de l'émetteur pourra ainsi être sûr que le message a bien été signé avec la clé privée k 2 de l'émetteur. Cela garantit bien l'authentication de l'émetteur et l'intégrité du message envoyé. Fig. 1.7 Principe d'une signature numérique avec un algorithme à clé publique : 15

17 1.3.4 Fonction de hachage à sens unique En informatique, une foncton de hachage est une fonction qui convertit une suite de bits de taille quelconque en une suite de bits de taille xe. Le résultat d'une fonction de hachage s'appelle une empreinte numérique. Deux suites de bits identiques donneront deux empreintes numériques identiques. Deux suites de bits diérentes peuvent donner deux empreintes numériques identiques mais la probabilité de se trouver dans ce cas est innitésimale. Cela est très utile, par exemple, pour comparer deux chiers : au lieu de comparer les deux chiers octet par octet, il sut de calculer leur empreinte numérique et de comparer celles-ci. En mathématique, une fonction à sens unique est une fonction facile à calculer dont l'inverse l'est beaucoup moins 6. En d'autres termes, étant donné un x, il est facile de calculer f(x), mais étant donnée f(x), il est très dicile de calculer x. En cryptographie, une fonction de hachage à sens unique est une fonction qui permet de calculer facilement une empreinte numérique de taile xe à partir d'une suite de bits de taille quelconque et dont l'inverse est très dicile à calculer. C'est-à-dire, étant données une suite de bits et son empreinte numérique, il est dicile de trouver une suite de bits diérente donnant la même empreinte numérique. En termes mathématiques, cela s'écrit ainsi : Etant donne un x 1, il est facile de calculer f(x 1 ), mais il est dicile de calculer x 2 tel que : x 1 x 2 et f(x 1 ) = f(x 2 ) Les fonctions de hachage (à sens unique) utilisées en cryptographie ont la particularité suivante : Si l'on modie un seul bit du message d'origine, alors la fonction de hachage produit une empreinte numérique complètement diérente. Fig. 1.8 Fonction de hachage à sens unique : fonctionnement 6 Très dicile voire impossible dans un temps raisonnable, c'est-à-dire inférieur à l'âge de l'univers (estimé à 1, années en 2003 par la NASA) 16

18 1.3.5 Signature numérique sécurisée La signature numérique simple n'est jamais utilisée en pratique, car le processus est lent et produit un volume important de données. Il est lent car l'obtension de la signature se fait en chirant l'ensemble du texte original. Et le résultat comprend le texte en clair et la signature, ce qui donne un volume de données égal au double de la taille du texte en clair. En pratique, on utilise la signature numérique sécurisée qui s'appuie sur les fonctions de hachage à sens unique. Plutôt que signer tout le message, seule l'empreinte numérique du message est signé. D'après les propriétés des fonctions de hachage à sens unique, cela revient exactement au même que de signer le message lui-même. Une empreinte numérique signée s'appelle code d'authentication du message (en anglais MAC :Message Authentication Code). Fig. 1.9 Signature numérique sécurisée : fonctionnement Les modes de chirement Il ne sut pas de découper un message en blocs de même taille et de chirer chacun de ces blocs avec un algorithme de chirement par blocs, puis de mettre tous ces blocs chirés côte à côte pour former le message chiré. La sécurité en serait très faible, car un bloc identique serait toujours chiré de la même façon, et donc il surait de cryptanalyser 7 les blocs un à un indépendamment les uns des autres, et de se faire une base de données de couples "bloc en clair/bloc chiré". C'est pour répondre à ce problème que les modes de chirement ont été inventés. 7 La cryptanalyse est la science qui permet de reconstruire le texte en clair sans connaissance de la clé de chirement. Une tentative de cryptanalyse est appelée attaque et une attaque réussie est appelée une méthode, qui fournit soit le texte en clair, soit la clé. 17

19 Il en existe 4 principaux : Mode ECB (Electronic CodeBook ) : ce mode revient ne rien faire et n'assure aucune sécurité. c i = E k (m i ) Mode CBC (Cypher Block Chaining ) : ce mode est très sécurisé, car il dépend fortement du message à chirer. Néanmoins, il faut écrire la fonction D k = E 1 k inverse de la fonction E k pour déchirer le message. { c0 = IV c i = E k (m i c i 1 ) Mode CFB (Cypher FeedBack ) : ce mode est également très sécurisé, car il dépend fortement du message à chirer. De plus, l'algorithme de chirement E k n'est plus utilisé que dans un seul sens (le sens du chirement). Le déchirement se fait au niveau du OU Exclusif. { c0 = IV c i = m i E k (c i 1 ) Mode OFB (Output FeedBack ) : autre mode très sécurisé. De plus, comme le mode CFB, l'algorithme de chirement de E k n'est utilisé que dans le sens du chirement. Le mode OFB est symétrique, c'est-à-dire que le chirement et le déchirement sont identiques. z 0 = IV z i = E k (z i 1 ) c i = m i z i Légende des équations : m i i e bloc du message en clair c i i e bloc du message chiré E k algorithme de chirement utilisant la clé secrète k OU Exclusif (XOR) IV Initial Value (valeur initiale quelconque et en clair) Caractéristiques des modes de chirement : Chirement Déchirement Transmission Mode Une erreur sur le bloc m i, Une erreur sur le bloc c i, La synchronisation : le texte en clair... le texte chiré... conséquence d'un décalage ECB Donne une seule erreur Donne une seule erreur Un décalage d'un seul bit du dans le bloc c i dans le bloc m i bloc c i rend seulement le bloc m i non déchirable. CBC Donne une erreur Donne une erreur Un décalage d'un seul bit du dans le bloc c i dans le bloc c i bloc c i rend le bloc m i et tous et tous les blocs suivants et dans le bloc c i+1 les suivants indéchirables. CFB Donne une erreur Donne une erreur Un décalage d'un seul bit du dans le bloc c i dans le bloc m i bloc c i rend seulement le et dans tous les suivants. et dans le bloc m i+1. bloc m i non déchirable. OFB Donne une seule erreur Donne une seule erreur Un décalage d'un seul bit du dans le bloc c i. dans le bloc m i. bloc c i rend le bloc m i et tous les suivants non déchirables. 18

20 En conclusion, les infrastructures PKI sont très performantes en matière de sécurité, en permettant l'authentication d'un utilisateur auprès d'un serveur, la non-répudiation des communication et la signature de celles-ci. Cette méthode est très utile lors de la mise en place d'une solution SSO : en eet, le SSO permet d'intégrer n'importe quelle méthode d'authentication, et la PKI permet d'avoir un surcroit de sécurité intéressant. 1.4 Le protocole SSL SSL (Secure Socket Layer), développé par la société Netscape Communication Corporation, est un protocole de sécurisation des échanges de données sur Internet entre un client et un serveur. Les trois fonctionnalités de ce protocole sont : l'authentication du serveur, l'authentication du client et le chirement des données. SSL est apparu en 1994 dans les navigateurs web avec la version 2.0. L'actuelle version 3.0 est la plus répandue, et est plus sécurisée que la version précédente. En 2001, l'ietf (Internet Engineering Task Force) rachète le brevet à Netscape pour sortir le nouveau protocole TLS (Transport Layer Security) décrit dans la RFC 2246 [1]. Ces deux protocoles SSL et TLS utilisent des certicats numériques X.509 pour mettre en oeuvre les principes de la cryptographie asymétrique an d'échanger en toute condentialité une clé de session SSL. Dans le modèle OSI, le protocole SSL se situe juste au-dessus de la couche TCP et sous la couche Application : il peut être vu comme un protocole de niveau 5 (couche Session). Cela signie que SSL est indépendant de la couche Application et que tous les protocoles HTTP, FTP, POP3, LDAP, TELNET,...peuvent être encapsulés dans le protocole SSL. Ainsi, ces protocoles applicatifs sont renommés HTTPS, FTPS, POP3S, LDAPS et TELNETS ("S" pour secured, sécurisé). Fig Fonctionnement SSL Le protocole SSL est composé des protocoles suivants : La couche "SSL Record Layer" qui est chargée de la fragmentation, de la compression, de l'intégrité et du chirement des données ; 19

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux Chapitre 7 Sécurité des réseaux Services, attaques et mécanismes cryptographiques Hdhili M.H Cours Administration et sécurité des réseaux 1 Partie 1: Introduction à la sécurité des réseaux Hdhili M.H Cours

Plus en détail

Certificats électroniques

Certificats électroniques Certificats électroniques Matthieu Herrb Jean-Luc Archimaud, Nicole Dausque & Marie-Claude Quidoz Février 2002 CNRS-LAAS Plan Services de sécurité Principes de cryptographie et signature électronique Autorités

Plus en détail

Cryptographie. Master de cryptographie Architectures PKI. 23 mars 2015. Université Rennes 1

Cryptographie. Master de cryptographie Architectures PKI. 23 mars 2015. Université Rennes 1 Cryptographie Master de cryptographie Architectures PKI 23 mars 2015 Université Rennes 1 Master Crypto (2014-2015) Cryptographie 23 mars 2015 1 / 17 Cadre Principe de Kercho : "La sécurité d'un système

Plus en détail

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction

Plus en détail

Introduction. aux architectures web. de Single Sign-On

Introduction. aux architectures web. de Single Sign-On Introduction aux architectures web de Single Sign-On Single Sign-on Authentifier 1 seule fois un utilisateur pour accéder à un ensemble d applications contexte web Nombre croissant d applications ayant

Plus en détail

Description de la maquette fonctionnelle. Nombre de pages :

Description de la maquette fonctionnelle. Nombre de pages : Description de la maquette fonctionnelle Nombre de pages : 22/07/2008 STATUT DU DOCUMENT Statut Date Intervenant(s) / Fonction Provisoire 22/07/2008 Approuvé Validé HISTORIQUE DES MODIFICATIONSICATIONS

Plus en détail

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre

HTTPS. Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre HTTPS Sommaire : Définition A quoi sert-il? Son but Différences HTTP/HTTPS SSL Fonctionnement Le cryptage Avantage/Inconcénient Mise en oeuvre Définition HTTPS (HyperText Transfer Protocol Secure) C'est

Plus en détail

Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet -

Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet - Projet de Veille Technologique : la sécurité informatique - Chaînes de Confiance sur Internet - Marc Tremsal Alexandre Languillat Table des matières INTRODUCTION... 3 DEFI-REPONSE... 4 CRYPTOGRAPHIE SYMETRIQUE...

Plus en détail

Chapitre II. Introduction à la cryptographie

Chapitre II. Introduction à la cryptographie Chapitre II Introduction à la cryptographie PLAN 1. Terminologie 2. Chiffrement symétrique 3. Chiffrement asymétrique 4. Fonction de hachage 5. Signature numérique 6. Scellement 7. Echange de clés 8. Principe

Plus en détail

Sécurité 2. Université Kasdi Merbah Ouargla. PKI- Public Key Infrastructure (IGC Infrastructure de Gestion de Clés) M2-RCS.

Sécurité 2. Université Kasdi Merbah Ouargla. PKI- Public Key Infrastructure (IGC Infrastructure de Gestion de Clés) M2-RCS. Sécurité 2 Université Kasdi Merbah Ouargla Département Informatique PKI- Public Key Infrastructure (IGC Infrastructure de Gestion de Clés) M2-RCS Janvier 2014 Master RCS Sécurité informatique 1 Sommaire

Plus en détail

Technologies de l Internet. Partie 6 : Introduction à la sécurité dans le web Iulian Ober iulian.ober@irit.fr

Technologies de l Internet. Partie 6 : Introduction à la sécurité dans le web Iulian Ober iulian.ober@irit.fr Technologies de l Internet Partie 6 : Introduction à la sécurité dans le web Iulian Ober iulian.ober@irit.fr Cryptage avec clé secrète même clé I think it is good that books still exist, but they do make

Plus en détail

Serveur Web - IIS 7. IIS 7 sous Windows 2008

Serveur Web - IIS 7. IIS 7 sous Windows 2008 Serveur Web - IIS 7 Le livre de référence de ce chapitre est «Windows Server 2008 - Installation, configuration, gestion et dépannage» des éditions ENI, disponible sur egreta. Le site de référence pour

Plus en détail

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références 2 http://securit.free.fr Introduction aux concepts de PKI Page 1/20

Plus en détail

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010 Support de SAML2 dans LemonLDAP::NG Clément OUDOT Mercredi 7 juillet 2010 SOMMAIRE Enjeux et usages du SSO Présentation de LemonLDAP::NG SAML2 et la fédération d'identités Support SAML2 dans LemonLDAP::NG

Plus en détail

Chapitre 3 INTÉGRITÉ ET AUTHENTIFICATION

Chapitre 3 INTÉGRITÉ ET AUTHENTIFICATION Chapitre 3 INTÉGRITÉ ET AUTHENTIFICATION 32 Services souhaités par la cryptographie Confidentialité : Rendre le message secret entre deux tiers Authentification : Le message émane t-il de l expéditeur

Plus en détail

Cryptographie et utilisation. Utilisation de la cryptographie. Rappel des propriétés à assurer. Assurer le secret :stockage.

Cryptographie et utilisation. Utilisation de la cryptographie. Rappel des propriétés à assurer. Assurer le secret :stockage. Rappel des propriétés à assurer Cryptographie et utilisation Secret lgorithmes symétriques : efficace mais gestion des clés difficiles lgorithmes asymétriques : peu efficace mais possibilité de diffuser

Plus en détail

Active Directory Sommaire :

Active Directory Sommaire : Active Directory Sommaire : Définition Ce qu'il permet A quoi sert-il? Principe de fonctionnement Structure Hiérarchie Schéma Qu'est ce qu'un service d'annuaire? Qu'elle est son intérêt? L'installation

Plus en détail

Intégration d un poste Linux dans un domaine W2K

Intégration d un poste Linux dans un domaine W2K Intégration d un poste Linux dans un domaine W2K Pascal Gachet EIVD pascal.gachet@eivd.ch mai 2003 Intégration d un poste Linux dans un domaine W2K 2 Table des matières Introduction... 2 Terminologie...

Plus en détail

Tour d horizon des différents SSO disponibles

Tour d horizon des différents SSO disponibles Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire

Plus en détail

Sécurité Informatique

Sécurité Informatique Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à olivier

Plus en détail

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC Certificats X509 & Infrastructure de Gestion de Clés Claude Gross CNRS/UREC 1 Confiance et Internet Comment établir une relation de confiance indispensable à la réalisation de transaction à distance entre

Plus en détail

Correction de l'examen du 11/12/2013. Nom : Prénom : Email : QCM (10 points)

Correction de l'examen du 11/12/2013. Nom : Prénom : Email : QCM (10 points) Correction de l'examen du 11/12/2013 Nom : Prénom : Email : QCM (10 points) Il y a toujours au moins une case à cocher et parfois deux, trois ou quatre 1. Par rapport au transfert par messages, avec le

Plus en détail

Chiffrement et signature électronique

Chiffrement et signature électronique Chiffrement et signature électronique (basée sur le standard X509) Frédéric KASMIRCZAK 1 Sommaire I. La cryptologie base de la signature électronique... 3 1. Les systèmes symétriques à l origine de la

Plus en détail

Architecture client/serveur

Architecture client/serveur Architecture client/serveur Table des matières 1. Principe du client/serveur...2 2. Communication client/serveur...3 2.1. Avantages...3 2.2. Inconvénients...3 3. HTTP (HyperText Transfer Protocol)...3

Plus en détail

Cours 14. Crypto. 2004, Marc-André Léger

Cours 14. Crypto. 2004, Marc-André Léger Cours 14 Crypto Cryptographie Définition Science du chiffrement Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible Bases Une clé = chaîne de nombres binaires (0 et 1)

Plus en détail

Le client/serveur repose sur une communication d égal à égal entre les applications.

Le client/serveur repose sur une communication d égal à égal entre les applications. Table des matières LES PRINCIPES DE BASE... 1 Présentation distribuée-revamping...2 Présentation distante...3 Traitements distribués...3 données distantes-rd...4 données distribuées-rda distribué...4 L'ARCHITECTURE

Plus en détail

Kerberos, le SSO système

Kerberos, le SSO système Kerberos, le SSO système Benoit Métrot Université de Poitiers ANF Les systèmes dans la communauté ESR : étude, mise en œuvre et interfaçage dans un laboratoire de Mathématique Angers, 22-26 septembre 2014

Plus en détail

La sécurité dans les grilles

La sécurité dans les grilles La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation

Plus en détail

1 Introduction. La sécurité

1 Introduction. La sécurité La sécurité 1 Introduction Lors de l'écriture d'une application de gestion, les problèmes liés à la sécurité deviennent vite prégnants. L'utilisateur doit disposer des droits nécessaires, ne pouvoir modifier

Plus en détail

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader Gestion des Clés Pr Belkhir Abdelkader Gestion des clés cryptographiques 1. La génération des clés: attention aux clés faibles,... et veiller à utiliser des générateurs fiables 2. Le transfert de la clé:

Plus en détail

HTTPS : HTTP Sécurisé

HTTPS : HTTP Sécurisé HTTPS : HTTP Sécurisé Décembre 2000 sa@cru.fr Objectifs Crypter la communication entre le client et le serveur Authentifier le serveur Authentifier la personne 1 Principes élémentaires de crypto Cryptage

Plus en détail

TP4-5 : Authentication Java

TP4-5 : Authentication Java TP4-5 : Authentication Java V. Danjean V. Marangozova-Martin Résumé Le but de ce TP est double : se familiariser avec le mécanisme classique d'authentication en Java ; apprendre à utiliser la documentation

Plus en détail

Projet Magistère: SSL

Projet Magistère: SSL Université Joseph Fourier, IMA Janvier 2010 Table des matières 1 Introduction 2 Qu est ce que SSL? 3 Historique de SSL/TLS 4 Théorie à propos du fonctionnement de SSL 5 Structure d un certificat 6 SSL

Plus en détail

Introduction aux architectures web de Single Sign-on

Introduction aux architectures web de Single Sign-on Olivier Salaün Comité Réseau des Universités Campus de Beaulieu - Rennes Olivier.salaun@cru.fr 15 Octobre 2003 Résumé Introduction aux architectures web de Single Sign-on L'article aborde la problématique

Plus en détail

Certificats et infrastructures de gestion de clés

Certificats et infrastructures de gestion de clés ÉCOLE DU CIMPA "GÉOMÉTRIE ALGÉBRIQUE, THÉORIE DES CODES ET CRYPTOGRAPHIE" ICIMAF et Université de la Havane 20 novembre - 1er décembre 2000 La Havane, Cuba Certificats et infrastructures de gestion de

Plus en détail

Présentation du projet EvalSSL

Présentation du projet EvalSSL 24 SSLTeam FévrierPrésentation 2011 du projet EvalSSL 1 / 36 Présentation du projet EvalSSL SSLTeam : Radoniaina ANDRIATSIMANDEFITRA, Charlie BOULO, Hakim BOURMEL, Mouloud BRAHIMI, Jean DELIME, Mour KEITA

Plus en détail

Projet Système Distribué : Implémentation d'un serveur générateur de certicats. BEUQUE Eric, CORNEVAUX Sébastien, MOUTENET Cyril 13 janvier 2009

Projet Système Distribué : Implémentation d'un serveur générateur de certicats. BEUQUE Eric, CORNEVAUX Sébastien, MOUTENET Cyril 13 janvier 2009 Projet Système Distribué : Implémentation d'un serveur générateur de certicats BEUQUE Eric, CORNEVAUX Sébastien, MOUTENET Cyril 13 janvier 2009 1 Table des matières 1 Sujet 3 2 Analyse 4 3 Création clé

Plus en détail

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Fédération Définit un cercle de confiance constitué de Fournisseurs d'identités

Plus en détail

Les certificats numériques

Les certificats numériques Les certificats numériques Quoi, pourquoi, comment Freddy Gridelet 9 mai 2005 Sécurité du système d information SGSI/SISY La sécurité : quels services? L'authentification des acteurs L'intégrité des données

Plus en détail

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM LemonLDAP::NG / SAML2 Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM 16, 17 et 18 MARS 2010 SOMMAIRE Définition du WebSSO Présentation de LemonLDAP::NG SAML2 et

Plus en détail

Comment utiliser mon compte alumni?

Comment utiliser mon compte alumni? Ce document dispose d une version PDF sur le site public du CI Comment utiliser mon compte alumni? Elena Fascilla, le 23/06/2010 Sommaire 1. Introduction... 2 2. Avant de commencer... 2 2.1 Connexion...

Plus en détail

Connexion d un client lourd à la messagerie e-santé PACA

Connexion d un client lourd à la messagerie e-santé PACA Connexion d un client lourd à la messagerie e-santé PACA La messagerie sécurisée e-santé PACA est un service de type Webmail. Un Webmail est une interface Web rendant possible l émission, la consultation

Plus en détail

Mémento professeur du réseau pédagogique

Mémento professeur du réseau pédagogique Mémento professeur du réseau pédagogique 1. Accéder au réseau pédagogique Il suffit quand on vous demande votre nom d utilisateur et votre mot de passe de renseigner ceux-ci. Votre nom d utilisateur est

Plus en détail

Cours CCNA 1. Exercices

Cours CCNA 1. Exercices Cours CCNA 1 TD3 Exercices Exercice 1 Enumérez les sept étapes du processus consistant à convertir les communications de l utilisateur en données. 1. L utilisateur entre les données via une interface matérielle.

Plus en détail

[ Sécurisation des canaux de communication

[ Sécurisation des canaux de communication 2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

PKI : Public Key Infrastructure

PKI : Public Key Infrastructure PKI : Public Key Infrastructure Diplômant : Denis Cotte Professeur responsable : Gérald Litzistorf Collaboration avec : Sylvain Maret e-xpert e solutions 1 Sommaire PKI : Infrastructure à clé publique

Plus en détail

Architecture N-Tier. Ces données peuvent être saisies interactivement via l interface ou lues depuis un disque. Application

Architecture N-Tier. Ces données peuvent être saisies interactivement via l interface ou lues depuis un disque. Application Architecture Multi-Tier Traditionnellement une application informatique est un programme exécutable sur une machine qui représente la logique de traitement des données manipulées par l application. Ces

Plus en détail

L3 informatique TP n o 2 : Les applications réseau

L3 informatique TP n o 2 : Les applications réseau L3 informatique TP n o 2 : Les applications réseau Sovanna Tan Septembre 2009 1/20 Sovanna Tan L3 informatique TP n o 2 : Les applications réseau Plan 1 Transfert de fichiers 2 Le Courrier électronique

Plus en détail

SSL ET IPSEC. Licence Pro ATC Amel Guetat

SSL ET IPSEC. Licence Pro ATC Amel Guetat SSL ET IPSEC Licence Pro ATC Amel Guetat LES APPLICATIONS DU CHIFFREMENT Le protocole SSL (Secure Socket Layer) La sécurité réseau avec IPSec (IP Security Protocol) SSL - SECURE SOCKET LAYER Historique

Plus en détail

Réseaux virtuels Applications possibles :

Réseaux virtuels Applications possibles : Réseaux virtuels La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même

Plus en détail

Sécurité des réseaux Certificats X509 et clés PGP

Sécurité des réseaux Certificats X509 et clés PGP Sécurité des réseaux Certificats X509 et clés PGP A. Guermouche A. Guermouche Cours 5 : X509 et PGP 1 Plan 1. Certificats X509 2. Clés PGP A. Guermouche Cours 5 : X509 et PGP 2 Plan Certificats X509 1.

Plus en détail

Sécurité Informatique

Sécurité Informatique République Algérienne Démocratique et Populaire Université M'Hamed Bougara-Boumerdes Faculté des sciences département d'informatique Sécurité Informatique Les protocoles de messagerie sécurisés Réalisé

Plus en détail

Emarche v1.5.1. Manuel Utilisateur

Emarche v1.5.1. Manuel Utilisateur Emarche v1.5.1 Manuel Utilisateur Table des matières 1 Pré-requis...2 2 Présentation...3 3 Utilisation...4 3.1 Fenêtre de connexion...4 3.2 Interface principale...5 3.3 Mise à jour automatique...6 3.4

Plus en détail

Verschlüsselte E-Mail-Kommunikation Version 1.1 Seite 1 von 7

Verschlüsselte E-Mail-Kommunikation Version 1.1 Seite 1 von 7 Préambule La messagerie électronique est aujourd'hui un moyen de communication fréquemment utilisé par les entreprises pour échanger des informations. Le groupe ALDI NORD demeure, lui aussi, en contact

Plus en détail

Compte-rendu de projet de Cryptographie

Compte-rendu de projet de Cryptographie Compte-rendu de projet de Cryptographie Chirement/Déchirement de texte, d'images de sons et de vidéos LAMBERT VELLER Sylvain M1 STIC Université de Bourgogne 2010-2011 Reponsable : Mr Pallo Table des matières

Plus en détail

Solution de déploiement de certificats à grande échelle. En savoir plus...

Solution de déploiement de certificats à grande échelle. En savoir plus... Solution de déploiement de certificats à grande échelle permet un déploiement des certificats numériques à grande échelle en toute sécurité sans avoir à fournir un support physique (token, carte à puce

Plus en détail

THEME: Protocole OpenSSL et La Faille Heartbleed

THEME: Protocole OpenSSL et La Faille Heartbleed THEME: Protocole OpenSSL et La Faille Heartbleed Auteurs : Papa Kalidou Diop Valdiodio Ndiaye Sene Professeur: Année: 2013-2014 Mr, Gildas Guebre Plan Introduction I. Définition II. Fonctionnement III.

Plus en détail

GENERALITES. COURS TCP/IP Niveau 1

GENERALITES. COURS TCP/IP Niveau 1 GENERALITES TCP/IP est un protocole inventé par les créateurs d Unix. (Transfer Control Protocol / Internet Protocole). TCP/IP est basé sur le repérage de chaque ordinateur par une adresse appelée adresse

Plus en détail

Restriction sur matériels d impression

Restriction sur matériels d impression Restriction sur matériels d impression Objectif : Restreindre l accès aux matériels multifonctions Description des matériels : Serveur d impression : SVAWAV01 (10.204.1.204) Ricoh Aficio MP C4501 o IP

Plus en détail

Référentiel Général de Sécurité. version 1.0. Annexe A4

Référentiel Général de Sécurité. version 1.0. Annexe A4 Premier ministre Agence nationale de la sécurité des systèmes d information Ministère du budget, des comptes publics et de la réforme de l État Direction générale de la modernisation de l État Référentiel

Plus en détail

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal SSO open source avec CAS Introduction Pourquoi le Single Sign-On? Principes du SSO sur le

Plus en détail

Cours Cryptographie. Jeudi 22 février 2012 M1 ISIC. Authentification. Gabriel Risterucci

Cours Cryptographie. Jeudi 22 février 2012 M1 ISIC. Authentification. Gabriel Risterucci Cours Cryptographie Jeudi 22 février 2012 M1 ISIC Authentification Gabriel Risterucci Cours Cryptographie - Authentification - Principes généraux Moyens d'authentification Authentification différée Système

Plus en détail

WEBMESTRE : CONCEPTION DE SITES ET ADMINISTRATION DE SERVEURS WEB

WEBMESTRE : CONCEPTION DE SITES ET ADMINISTRATION DE SERVEURS WEB WEBMESTRE : CONCEPTION DE SITES ET ADMINISTRATION DE SERVEURS WEB Installation et administration d un serveur web Module 25793 TP A5 (1/2 valeur) Chapitre 19 Internet Information Services (v.5) Partie

Plus en détail

Mise en place Active Directory / DHCP / DNS

Mise en place Active Directory / DHCP / DNS Mise en place Active Directory / DHCP / DNS Guillaume Genteuil Période : 2014 Contexte : L entreprise Diamond Info localisé en Martinique possède une cinquantaine de salariés. Basé sur une infrastructure

Plus en détail

Cryptographie. Cours 6/8 - Gestion de clés

Cryptographie. Cours 6/8 - Gestion de clés Cryptographie Cours 6/8 - Gestion de clés Plan du cours Importance de la gestion des clés Clés secrètes, clés publiques Certificats Infrastructure à clé publique (Public Key Infrastructure, PKI) Dans le

Plus en détail

Service de certificat

Service de certificat Service de certificat Table des matières 1 Introduction...2 2 Mise en place d une autorité de certification...3 2.1 Introduction...3 2.2 Installer le service de certificat...4 3 Sécuriser un site web avec

Plus en détail

Dispositif assurant le filtrage des accès aux ressources électroniques via un annuaire LDAP

Dispositif assurant le filtrage des accès aux ressources électroniques via un annuaire LDAP Dispositif assurant le filtrage des accès aux ressources électroniques via un annuaire LDAP Document révisé en Mars 2006 Introduction, historique et rappels Le filtrage des accès aux ressources électroniques

Plus en détail

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO) LDAP Mise en place Introduction Limitation et Sécurité Déclarer un serveur MySQL dans l annuaire LDAP Associer un utilisateur DiaClientSQL à son compte Windows (SSO) Créer les collaborateurs DiaClientSQL

Plus en détail

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO) LDAP Mise en place Introduction Limitation et Sécurité Déclarer un serveur MySQL dans l annuaire LDAP Associer un utilisateur DiaClientSQL à son compte Windows (SSO) Créer les collaborateurs DiaClientSQL

Plus en détail

Projet de 1ère licence Informatique Création d un système de mailing-list avec interface web. Directeur : Tom Mens.

Projet de 1ère licence Informatique Création d un système de mailing-list avec interface web. Directeur : Tom Mens. Projet de 1ère licence Informatique Création d un système de mailing-list avec interface web Directeur : Tom Mens Julien Baligant But : quel est le problème à résoudre? Il manque un outil adéquat permettant

Plus en détail

Scéance 1. 1 Présentation de l'ent. 1.1 Les sites de l'universités. 1.2 La documentation. ENT : Environnement numérique de travail

Scéance 1. 1 Présentation de l'ent. 1.1 Les sites de l'universités. 1.2 La documentation. ENT : Environnement numérique de travail Scéance 1 1 Présentation de l'ent ENT : Environnement numérique de travail Service en ligne : service accessible via une connexion au réseau. 1.1 Les sites de l'universités 1.1.1 Présentation Le portail

Plus en détail

CORRIGE 01.10. Éditions Foucher Expertise comptable

CORRIGE 01.10. Éditions Foucher Expertise comptable EXERCICE 01.10 Pour faciliter l'accès aux fichiers et initier le travail collaboratif, le responsable informatique d'une PME a mis en place l'architecture suivante : Chaque collaborateur est doté d'un

Plus en détail

L identité numérique. Risques, protection

L identité numérique. Risques, protection L identité numérique Risques, protection Plan Communication sur l Internet Identités Traces Protection des informations Communication numérique Messages Chaque caractère d un message «texte» est codé sur

Plus en détail

Laboratoire SSL avec JSSE

Laboratoire SSL avec JSSE Applications et Services Internet Rapport de laboratoire IL2008 20 janvier 2008 TABLE DES MATIÈRES I Table des matières 1 Introduction 1 2 Utilisation du serveur web 1 3 Clé publique générée 1 4 Réponses

Plus en détail

Politique de certification et procédures de l autorité de certification CNRS

Politique de certification et procédures de l autorité de certification CNRS Politique de certification et procédures de l autorité de certification CNRS V2.1 1 juin 2001 Jean-Luc Archimbaud CNRS/UREC Directeur technique de l UREC Chargé de mission sécurité réseaux informatiques

Plus en détail

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Table des matières Avant-propos................................................ 1 Quel est l objectif de cet ouvrage?............................. 4 La structure

Plus en détail

CHAPITRE 3. PROTOCOLES DE CRYPTOGRAPHIE À

CHAPITRE 3. PROTOCOLES DE CRYPTOGRAPHIE À CHAPITRE 3. PROTOCOLES DE CRYPTOGRAPHIE À CLÉ SECRÈTE http://math.univ-lyon1.fr/~roblot/masterpro.html Propriétés Propriétés Clés. La clé de cryptage et la clé de décryptage sont les mêmes et donc doivent

Plus en détail

Solutions Bureau de Bell Aliant Accès à distance

Solutions Bureau de Bell Aliant Accès à distance Services de gestion de sécurité de Bell Aliant Solutions Bureau de Bell Aliant Accès à distance Accès au RPV SSL avec SecurID Guide de l'utilisateur Version 1.3 Septembre 2009 1 Toute reproduction, publication

Plus en détail

Référence Etnic Architecture des applications

Référence Etnic Architecture des applications Référence Etnic Architecture des applications Table des matières 1. Introduction... 2 2. Architecture... 2 2.1 Démarche générale... 2 2.2 Modèle d architecture... 3 2.3 Découpe d une architecture applicative...

Plus en détail

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi Un exemple d'authentification sécurisée utilisant les outils du Web : CAS 111 L authentification CAS : «Central Authentication Service» CAS ou le service central d authentification Le système CAS, développé

Plus en détail

Chiffrement à clef publique, authentification et distribution des clefs. Plan

Chiffrement à clef publique, authentification et distribution des clefs. Plan Chiffrement à clef publique, authentification et distribution des clefs Sécurité des réseaux informatiques 1 Plan Les principes de l'authentification de message Les fonctions de hachage sécurisées SHA-1

Plus en détail

TP Cryptographie. Seul les services ssh et http/https sont accessibles depuis le poste de travail vers le serveur

TP Cryptographie. Seul les services ssh et http/https sont accessibles depuis le poste de travail vers le serveur TP Cryptographie Utiliser la machine virtuelle : devil crypto.tar.bz2!! Utiliser l'annexe en fin de TP. Le serveur devil sera considéré comme le serveur web, de plus il met à disposition: Le login administrateur

Plus en détail

Chapitre 4 PROTOCOLES SÉCURISÉS

Chapitre 4 PROTOCOLES SÉCURISÉS Chapitre 4 PROTOCOLES SÉCURISÉS 52 Protocoles sécurisés Inclus dans la couche application Modèle TCP/IP Pile de protocoles HTTP, SMTP, FTP, SSH, IRC, SNMP, DHCP, POP3 4 couche application HTML, MIME, ASCII

Plus en détail

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES TRANSACTIONS ELECTRONIQUES : STANDARDS, ALGORITHMES DE HACHAGE ET PKI» DU 22 AU 26 JUIN 2015 TUNIS (TUNISIE) CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES

Plus en détail

Politique de Signature Électronique de DICTServices

Politique de Signature Électronique de DICTServices Politique de Signature Électronique de DICTServices Politique de signature électronique de DICTServices version 1.0.0 1/8 Suivi du document Version Date Origine de la mise à jour Rédigé par 1.0.0 01/12/12

Plus en détail

CAHIER DES CHARGES D IMPLANTATION

CAHIER DES CHARGES D IMPLANTATION CAHIER DES CHARGES D IMPLANTATION Tableau de diffusion du document Document : Cahier des Charges d Implantation EVRP Version 6 Etabli par DCSI Vérifié par Validé par Destinataires Pour information Création

Plus en détail

Rapport de Stage 2ST

Rapport de Stage 2ST Université Nancy 2 - IUT Charlemagne Année universitaire 2008/2009 Rapport de Stage Migration d'un serveur de messagerie et Étude relative à l'ajout d'un deuxième fournisseur d'accès Internet 2ST Auteur

Plus en détail

Annuaires LDAP et méta-annuaires

Annuaires LDAP et méta-annuaires Annuaires LDAP et méta-annuaires Laurent Mynard Yphise 6 rue Beaubourg - 75004 PARIS yphise@yphise.com - http://yphise.fr T 01 44 59 93 00 F 01 44 59 93 09 LDAP020314-1 Agenda A propos d Yphise Les annuaires

Plus en détail

1 Introduction à l infrastructure Active Directory et réseau

1 Introduction à l infrastructure Active Directory et réseau 1 Introduction à l infrastructure Active Directory et réseau Objectifs d examen de ce chapitre Ce premier chapitre, qui donne un aperçu des technologies impliquées par la conception d une infrastructure

Plus en détail

Annuaire : Active Directory

Annuaire : Active Directory Annuaire : Active Directory Un annuaire est une structure hiérarchique qui stocke des informations sur les objets du réseau. Un service d'annuaire, tel qu'active Directory, fournit des méthodes de stockage

Plus en détail

Projet de cryptographie. Algorithme de cryptage de type Bluetooth

Projet de cryptographie. Algorithme de cryptage de type Bluetooth Projet de cryptographie Algorithme de cryptage de type Bluetooth Le but de ce projet est de créer une application qui crypte et décrypte des fichiers en utilisant le principe de cryptage du Bluetooth.

Plus en détail

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif C TLS Objectif Cette annexe présente les notions de cryptage asymétrique, de certificats et de signatures électroniques, et décrit brièvement les protocoles SSL (Secure Sockets Layer) et TLS (Transport

Plus en détail

1 Certificats - 3 points

1 Certificats - 3 points Université de CAEN Année 2008-2009 U.F.R. de Sciences le 23 mars 2009 Master professionnel RADIS UE4 - module réseaux - Spécialisation Durée : 2h. - Tous documents autorisés 1 Certificats - 3 points Lors

Plus en détail

OpenSSL. Table des matières. 1 Présentation de openssl. M. Petitot (d'après E. Wegrzynowski) 23 octobre 2012. 1.1 Protocole SSL. 1.

OpenSSL. Table des matières. 1 Présentation de openssl. M. Petitot (d'après E. Wegrzynowski) 23 octobre 2012. 1.1 Protocole SSL. 1. OpenSSL M. Petitot (d'après E. Wegrzynowski) 23 octobre 2012 Table des matières 1 Présentation de openssl 1 1.1 Protocole SSL........................................... 1 1.2 openssl..............................................

Plus en détail