TER Master Informatique : Etude du Single Sign-On (SSO) Sujet proposé par Francine HERRMANN. Etudiants LELOUP Julien & VAYEUR Guillaume

Dimension: px
Commencer à balayer dès la page:

Download "TER Master Informatique : Etude du Single Sign-On (SSO) Sujet proposé par Francine HERRMANN. Etudiants LELOUP Julien & VAYEUR Guillaume"

Transcription

1 TER Master Informatique : Etude du Single Sign-On (SSO) Sujet proposé par Francine HERRMANN Etudiants LELOUP Julien & VAYEUR Guillaume 11 juin 2006

2 Table des matières 1 Notions essentielles PKI : Infrastructure à clé publique Les certicats numériques X Quelques notions de cryptographie Chirement symétrique Chirement asymétrique Signature numérique simple Fonction de hachage à sens unique Signature numérique sécurisée Les modes de chirement Le protocole SSL SAML LDAP : Lightweight Directory Access Protocol Présentation Le protocole LDAP Kerberos Qu'est-ce que Kerberos? Principe de fonctionnement L'algorithme DES Single Sign-On Les origines Les objectifs Architecture classique d'un SSO Le serveur d'authentication L'agent d'authentication Les architectures multi-tiers D'autres architectures SSO Exemples de projets liés au SSO Microsoft Passport Liberty Alliance Le projet Shiboleth Etude comparative LemonLDAP Architecture du programme et principe de fonctionnement Installation Avantages

3 3.1.4 Inconvénients Vulture Principes et architecture Installation Forces et faiblesses LASSO Le SSO made in Liberty Alliance Fonctionnement Des points forts mais aussi des points faibles C.A.S. : Central Authentication Service Origines Fonctionnement Points forts de CAS Points faibles Bibliographie et ouvrages de référence 54 2

4 Avant-propos Un début de journée comme les autres dans une entreprise comme les autres... 8 :00 - Arrivé au bureau, Mr. X allume son ordinateur et, comme chaque matin, doit "pointer", c'est-à-dire saisir son nom d'utilisateur et son mot de passe pour pouvoir ouvrir sa session...par chance, il les connaît par coeur. 8 :04 - Arrivée du chef de secteur dans le bureau : Il me faudrait le compte-rendu de la réunion de mardi. Je vous l'envoie de suite par , s'empresse de répondre Mr. X. Dans 1 minute vous pourrez l'imprimer! 8 :05 - Mr. X, ayant mis la main sur le compte-rendu, s'empresse de l'envoyer par ... encore doit-il se connecter à son client de messagerie... Zut, c'est quoi le mot de passe encore? Ah oui, c'est vrai, c'est écrit sur le post-it bleu! Et voilà, envoyé! 8 :08 - Retour du chef de secteur : X, merci pour la rapidité, mais le message est crypté... Mais puisque nous sommes du même service, il ne devrait pas vous faire ce genre d'erreur...bon, je vous l'envoie en décrypté tout de suite. 8 :09 - Bon, le décrypter, d'accord, mais c'est quoi le mot de passe pour ça? Ah oui, je l'ai noté sur mon Palm... que j'ai oublié en partant ce matin! Je suis bon pour en demander un nouveau à l'administrateur réseau. 8 :10 - L'administrateur réseau n'est pas dans son bureau... Mr. X réessaiera dans 5 minutes. 8 :12 - En attendant le nouveau mot de passe, je vais continuer ce que je faisais hier. Alors, pour lancer l'application Bidule, il me faut mon Login et mon Password... Zut, il est où ce post-it vert? 8 :17 - Mr. X a retrouvé le post-it vert, sous son armoire. Alors, Login : XXXX, Password : XXXX... Et voila, connecté! Ah c'est vrai, j'ai codé le travail d'hier... et le mot de passe pour le décrypter est dans mon Palm... Je suis bon pour appeler à la maison! 8 :22 - Mr. X a appelé chez lui et a pu ouvrir son travail. Il a également réussi, peu avant, à joindre l'administrateur réseau pour lui demander un mot de passe pour décrypter le compte-rendu demandé par son chef. Bon, en attendant des nouvelles de l'administrateur, j'ai de quoi faire, se dit Mr.X. Tu ne saurais pas comment je pourrais imprimer ce dossier plus rapidement? l'interrompt son collègue. C'est pas dicile, lui répond X, il te sut d'utiliser l'imprimante de la salle d'édition. Et comment je fais? C'est simple, regarde, tu vas dans Fichier, Imprimer, tu choisis Imprimante en réseau, et là tu vois Imprimante_Salle_Edition. Tu cliques sur OK et... Ah zut, encore un mot de passe... et je ne sais plus lequel c'est... 3

5 C'est pas écrit sur le post-it rouge? Ah oui, tu as raison... Le voilà... Ca y est, impression lancée. Merci bien! 8 :28 - Retour du chef de secteur : Bon, X, il en est où ce compte-rendu? J'attends toujours que l'administrateur m'envoie un nouveau mot de passe! Ah tiens, c'est quoi ce papier? Il est écrit "Crypto_Password : Xd2..." Le mot de passe pour le décryptage de mes rapports!! s'écrit X. Bon avec un peu de chance, il n'a pas encore été réinitialisé. 8 :29 - "Mot de passe incorrect" s'ache sur l'écran de l'ordinateur de Mr. X. Son mot de passe de cryptage a été réinitialisé, mais le nouveau n'est toujours pas arrivé. 8 :45 - Mr. X appelle le service des administrateurs réseau. 8 :51 - Quelqu'un décroche : Allo? Ici Mr. X du service Y. J'ai demandé un nouveau mot de passe de cryptage, mais j'attends depuis bientôt une demi heure... Il va arriver, ne vous inquiétez pas! 9 :12 - Le mot de passe arrive... Une heure dans une entreprise comme les autres... Mots de passe oubliés car trop nombreux, ou égarés car stockés au mauvais endroit, nuisent au bon déroulement d'une journée de travail. Pour palier à ce genre de problèmes, une solution a récemment été mise au point : le S.S.O. (Single Sign On). Grâce à celà, la saisie d'un seul couple "login/mot de passe" aurait permis à Mr. X d'accéder à tous ses documents et toutes les applications sans avoir à chercher tel ou tel post-it, car tel est le rôle d'un système SSO : orir un service d'authentication centralisée, ce qui améliore sécurité et facilité d'utilisation du système d'information. Le SSO est une technologie émergente, relativement jeune. Elle ne repose pas actuellement sur des bases, des normes et des protocoles communément admis, mais est plus un assemblage de diérentes technologies bien connues, mises en uvre dans un même but : l'authentication unique, avec renforcement de la sécurité du système d'information et de sa cohérence. Parmis ces technologies, citons, entre autres, les P.K.I. (Public Key Infrastructure), les certicats X.509, ou encore le protocole S.S.L. (Secure Socket Layer ), dont buts et fonctionnement seront expliqués en détail dans le Chapitre 1 : Notions essentielles. Bien que ne se basant pas sur des normes bien établies, on peut tout de même reconnaître des points communs aux diérentes solutions existantes actuellement sur le marché. La tendance la plus développée parmis les SSO actuels prend la forme du WebSSO : un serveur SSO basé sur des technologies du web (Apache, Tomcat, cookies, SSL...), accessibles par les utilisateurs via un navigateur web conventionnel. Un tel SSO permet aisément de faire le lien entre des utilisateurs et des applications web classique, mais aussi des applications non web, grâce à divers moyens tels que les C.G.I. (Common Gateway Interface) par exemple. La plupart des SSO rencontrés actuellement sont basés sur cette architecture, dont le schéma global est montré sur la Figure 1 ci-dessous, bien qu'il existe d'autres possibilités de SSO. Nous aborderons toutes ces architectures dans le Chapitre 2 : Single Sign On. 4

6 Fig. 1 Schéma général d'un système SSO Il nous est apparu, en eectuant diverses recherches sur le sujet, que de nombreuses solutions SSO existent en ce moment sur Internet. Certaines d'entre elles sont à but professionnel, et sont donc proposées à divers clients contre rémunérations. D'autres en revanche appartiennent au monde des logiciels libres de droit, sous licence G.P.L. (Global Public Licence), et dont les sources sont librement téléchargeables. Nous avons donc établi une étude comparative de quatre de ces solutions dites Open Source, que vous verrez dans le Chapitre 3 : Etude comparative. Le but de cette comparaison n'est pas d'eectuer un classement ou d'évaluer la "meilleure" solution SSO Open Source, mais de montrer l'absence de standard propre à cette technologie, et qu'aucune de ces solutions n'est meilleure que les autres. 5

7 Chapitre 1 Notions essentielles 6

8 1.1 PKI : Infrastructure à clé publique Grâce à la cryptographie à clé publique 1, chaque entité nale (une personne, un serveur, etc...) possède une paire de clés privée/publique. Avec sa clé privée, l'utilisateur peut s'authentier et/ou signer numériquement des documents. An que l'on puisse l'identier ou vérier sa signature, un utilisateur doit distribuer ou mettre à disposition sa clé publique auprès de tout le monde. Les PKI permettent de mettre à disposition sur un serveur les clés publiques des utilisateurs sous la forme d'un certicat numérique, notamment au format X Mais une première question se pose alors : comment peut-on savoir à qui appartient telle ou telle clé publique qui n'est qu'une chaîne binaire? En d'autres termes, comment rattacher une clé publique à son propriétaire? > La solution est de ne pas distribuer de clé, mais des certicats numériques contenant ces clés, un certicat numérique étant un chier contenant la clé publique d'un utilisateur et des donnés sur son identité. Par exemple, ces données seront pour une personne physique son état civil, alors que pour un serveur, on donnera son nom de domaine. Se pose alors une autre question : comment être sûr de l'authenticité d'un certicat? > Pour être reconnu comme authentique, un certicat (a) doit être signé avec une clé privée. Celle-ci est associée à une clé publique contenue dans un autre certicat (b). Donc grâce à (b), on sait que (a) est authentique. Mais alors comment reconnaître à son tour (b) comme authentique? > Il faut à ce moment que (b) se certie lui-même! On dira alors que ce certicat est auto-signé. Ce certicat particulier est appelé certicat racine ou certicat RootCA ( Root Certicate Authority, en français racine de l'autorité de certication). Dénition : Une Autorité de Certication (AC) - Certicate Authority (CA) en anglais - est l'entité juridique et morale d'une PKI (en général, un organisme de certication, une entreprise). En conclusion, la PKI peut se dénir ainsi : Une PKI est une infrastructure formée de serveurs et de certicats, créant, gérant et mettant à disposition des certicats numériques dont l'authenticité est certiée par l'autorité de certication représentant et utilisant cette PKI. La chaîne précédemment construite ((b) certie (a)) s'appelle une chaîne de certicats. Pour mettre en place la structure logique d'une PKI, il faut contruire cette chaîne en partant du certicat RootCA. Pour cela, il existe plusieurs types de chaînes de certicats : 1 Voir la section page 14 2 Voir la section 1.2 page 9 7

9 Fig. 1.1 PKI formée d'une chaîne de certicats Ce type de structure (Fig. 1.1 ) peut être utilisé dans les entreprises de grande taille pour distribuer des certicats qui donneront accès à l'intranet de l'entreprise. Dans ce cas, chaque certicat CA Intermédiaire peut représenter une liale ou un département de l'entreprise. Fig. 1.2 PKI formée d'un seul certicat RootCA Ce cas (Fig. 1.2 ) est peu utilisé par les organismes de certication, puisque c'est une structure plus adaptée aux entreprises de petite taille, ou utilisée pour une application web unique. Fig. 1.3 PKI formée de plusieurs certicats RootCA Ce cas (Fig. 1.3 ) est très souvent utilisé par les organismes de certication. 8

10 1.2 Les certicats numériques X.509 Un certicat numérique peut être utilisé pour mettre en oeuvre le protocole SSL 3 sur un serveur web. Cette utilisation d'un certicat X.509 par un serveur web est nécessaire an de permettre l'échange de clé de session entre le client et le serveur pour établir la condentialité des données transmises, l'authentication du serveur par le client, et, en option, l'authentication du client par le serveur. Les certicats numériques sont également utilisés dans les applications mettant en oeuvre le standard S/MIME (Secure Multipurpose Internet Mail Extensions) comme les messageries de courrier électronique. Ces certicats permettent de chirer et/ou signer ses messages. Un certicat Utilisateur permettra de mieux authentier une personne physique que la simple utilisation du traditionnel couple login/password, car l'identité de la personne est contenue et certiée dans le certicat et car la clé privée correspondant à la clé publique contenue dans ce certicat est chirée à l'aide d'un mot de passe connu seulement de cette personne. Un certicat numérique X.509 contient trois champs obligatoires : 1. Un champs appelé TBS (To Be Signed), qui sera signé, et qui contient toutes les informations suivantes : Le numéro de version du certicat X.509 (v1, v2, ou v3) Le numéro de série du certicat Le DN (Distinguished Name) du certicat signataire (issuer) La période de validité du certicat et de sa clé publique Le DN du titulaire de la clé publique La clé publique (du titulaire) et son algorithme associé Des extensions X.509 v3 facultatives 2. L'algorithme asymétrique et la fonction de hachage 4 utilisés pour la signature 3. La signature de l'empreinte numérique du TBS. Création d'un certicat numérique : Générer une requête de certicat au format standard PKCS#10 ( Public-Key Cryptography Standard #10 ) L'envoyer à une authorité de certication Cette authorité de certication crée le champs TBS avec toutes les données de la requête. Elle calcule l'empreinte numérique du TBS qu'elle signe avec sa clé privée. Cette signature est jointe au TBS pour former le certicat numérique X.509. Vérication de la validité d'un certicat : Pour vérier la validité d'un certicat, il faut au préalable que le destinataire fasse conance à l'autorité de certication signataire du certicat qu'il souhaite vérier. La vérication d'un certicat se fait en 4 étapes : 1. Récupération du certicat de l'authorité de certication signataire 2. Calcul de l'empreinte numérique des données (TBS) du certicat 3 Voir section 1.4 page 19 4 Fonctionnement du chirement asymétrique et des fonctions de hachage expliqués dans la section Quelques notions de cryptographie page 13. 9

11 3. Déchirement de l'empreinte numérique chirée du certicat à l'aide de la clé publique de l'autorité de certication 4. Vérication de l'égalité des deux empreintes numériques obtenues Schématiquement, la création et la vérication de la validité d'un certicat peut se représenter ainsi : Dénition ASN.1 : Fig. 1.4 Création et validation d'un certicat numérique La dénition d'un certicat X.509 est faite en langage ANS.1 (Abstract Syntax Notation number One) qui permet de décrir des types de données indépendamment de l'architecture choisie. Un chier source dans ce langage aura ".asn" pour extension. Pour illustrer ce langage, voici les deux premières déclarations ASN.1 d'un certicat X.509 : Certificate ::= SEQUENCE { tbscertificate TBSCertificate, signaturealgorithm AlgorithmIdentifier, signature BIT STRING } TBSCertificate ::= SEQUENCE { version [0] Version DEFAULT v1, serialnumber CertifiacteSerialNumber, signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, subjectpublickeyinfo SubjectPublicKeyInfo, issueruniqueid [1] IMPLICIT UniqueIdentifier OPTIONAL, 10

12 -- If present, version MUST be v2 or v3 subjectuniqueid [2] IMPLICIT UniqueIdentifier OPTIONAL, -- If present, version MUST be v2 or v3 extensions [3] Extensions OPTIONAL -- If present, version MUST be v3 -- } Le format DER : La transformation de la dénition ASN.1 d'un certicat X.509 en chier exploitable par des applications se fait en appliquant les règles d'encodage DER (Distinguished Encoding Rules) qui sont une sous-ensemble des règles BER (Basic Encoding Rules) décrites dans les recommandations ITU-T X.208. Les éléments ASN.1 codés avec DER sont des triplés balise/longueur/valeur représentés par une suite d'octets. Un chier au formats DER ou BER aura pour extension respectivement ".der" ou ".ber". Le format PEM : Le format DER des certicats numériques n'est pas adapté aux traitements faits par les applications de courriers électroniques, car il contient des octets qui pourraient être modiés par les serveurs de mails au cours des transferts. Ainsi, le format PEM (Privacy Enhanced Mail) résout ce problème en codant les données au format Base64. Un chier quelconque au format PEM aura ".pem" comme extension, mais en général on préférera lui donner une extension spéciant le type des données contenues (exemple : ".crt" pour un certicat signé). Comme exemple, voici un chier contenant un certicat X.509 codé en Base64 : BEGIN CERTIFICATE MS4Df4rtgSDf4b525vghDF8g552DFGvfrGt24GQz24DCfrD8F7rfdCVG4tF4EG52... JF4feFE1veHTHTbtrbfJVd4gtGr44EEJ== END CERTIFICATE Le format Base64 permet de coder un chier binaire (codé sur 256 valeurs) avec les 64 caractères [A-Za-z0-9/+] sur des lignes de 64 octets : il remplace 3 octets binaires par 4 octets ASCII achables, car 3 blocs de 8 bits (3 X 8 = 24) peuvent être vus commes 4 blocs de 6 bits. Or avec 6 bits, il est possible de coder 64 caractères. De plus, chacun de ces 64 caractères ACSII sera codé sur un octet. Comme les chiers n'ont pas nécessairement une taille multiple de 48 octets, la dernière ligne peut être incomplète (de taille inférieure à 64 octets) ; de même, le dernier bloc de 4 octets peut contenir le caractère "=". 11

13 Le format PKCS#12 : Le format PKCS#12 (Public-Key Cryptography Standard #12 ) permet de rassembler dans un seul chier une paire de clés privée/publique, le certicat correspondant, le certicat signataire et toutes les chaînes de certicats CA signataires jusqu'à un certicat RootCA. Ce format est très utile pour installer un certicat Utilisateur dans un client web ou un client de messagerie. Un tel chier a pour extension ".p12". Voici un exemple de certicat X.509 (certicat RootCA d'une authorité de certication) : Certificate: Data: Version: 3 (0X2) Serial number: (0X1) Signature Algorithm: sha1withrsaencryption Issuer: C=FR, L=City, O=Company, CN=Company Root CA Validity Not Before: Mar 28 12:00: GMT Not After : Mar 28 18:00: GMT Subject: C=FR, L=City, O=Company, CN=Company Root CA Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (4096 bit) Modulus (4096 bit): 00:ac:49:db:13:df:fa:84:78:e8:15:9a:53:d6:32: 60:f6:b6:34:0d:7f:30:37:65:80:fa:b6:ba:29:7e:... 68:11:b9:c5:c2:f0:c2:e8:d5:f2:b8:05:2f:ad:a8: c4:ed:47 Exponent: (0X10001) X509v3 extensions: X509v3 Basic Constraints: critical CA: TRUE X509v3 Subject Key Identifier: FC:75:A1/BF:EA:92:9F:80:51:B9:60:5C:E6:C0:00:8A:10:E8:A4:FD X509v3 Key Usage: critical Certificate Sign, CRL Sign Signature Algorithm: sha1withrsaencryption 92:41:dc:3e:c2:7c:22:9f:77:b3:c3:72:92:9a:af:39:29:20: 85:eb:d8:ff:58:d2:4f:ce:98:01:4a:f2:29:f7:7e:96:fe:eb:... 2f:8a:a5:9b:e5:32:ff:7c:0e:83:81:bb:22:41:18:4b:25:05: 67:10:2b:95:01:57:d6:4e 12

14 Pour s'y retrouver, voici la structure générale d'un certicat X.509 : 1.3 Quelques notions de cryptographie Chirement symétrique Chirement symétrique, algorithme à clé secrète, cryptographie à clé secrète : tous ces termes désignent la même technique. Ici, l'émetteur et le destinataire du message disposent de la même clé secrète k. L'émetteur va utiliser cette clé secrète k pour chirer le message M. Le message chiré est C. Le récepteur utilisera cette même clé secrète pour déchirer C et retrouver ainsi le message en clair M. La condentialité est assurée, ainsi que l'authentication, car seules les deux parties possèdent la clé secrète k : condentialité car les deux parties concernées possèdent la clé secrète k ; authentication de l'émetteur assurée pour le destinataire car il sait que, mis à part luimême, l'émetteur est le seul à posséder la clé secrète k. Les algorithmes à clé secrète peuvent être classés en deux catégories. Certains opèrent sur le message en clair un bit à la fois. Ceux-ci sont appelés algorithmes de chirement en continu. D'autres opèrent sur le message en clair par groupes de bits. Ces groupes de bits sont appelés blocs, et les algorithmes correspondants sont appelés algorithmes de chirement par blocs. Pour des algorithmes réalisés sur ordinateur, la taille typique des blocs est de 64 bits 5. 5 Ce qui est assez grand pour interdire l'analyse et assez petit pour être pratique. 13

15 Fig. 1.5 Chirement symétrique : schéma de principe Chirement asymétrique Chirement asymétrique, algorithme à clé publique, cryptographie à clé publique : tous ces termes désignent la même technique. Cette technique repose sur le fait que la clé de chirement est diérente de la clé de déchirement. La clé de chirement, qui est appelée clé privée, est gardée secrète, tandis que la clé de déchirement, qui est appelée clé publique, est destinée à être divulguée. Les algorithmes à clé publique permettent d'assurer la condentialité d'un message. Dans ce cas, la procédure à suivre est la suivante : l'émetteur doit récupérer la clé publique k 1 du destinataire avec laquelle il va chirer le message en clair M. Puis il va envoyer le message chiré résultant C au destinataire ; ainsi, le destinataire peut déchirer ce message chiré C avec sa clé privée k2 et retrouver le message en clair M d'origine. Seule la personne possédant la clé privée k 2 correspondant à la clé publique k 1 (c'est-à-dire le destinataire légitime) pourra déchirer ce message chiré C et retrouver le message en clair M d'origine. Cela garantit la condentialité du message envoyé. Fig. 1.6 Algorithme à clé publique : schéma de principe 14

16 1.3.3 Signature numérique simple L'un des pricipaux avantages de la cryptographie à clé publique est d'orir une méthode pour la signature numérique. Cette méthode permet au destinataire de vérier l'authenticité, l'origine et l'intégrité d'un message signé. Ainsi, les signatures numériques à clé publique garantissent l'authentication de l'émetteur et l'intégrité des données. Elles fournissent également une fonctionnalité de non-répudiation, an d'éviter que l'expéditeur prétende qu'il n'a pas envoyé les informations. Ces mécanismes sont mis en oeuvre selon la procédure suivante : l'émetteur chire (signe) le message en clair M avec sa clé privée k 2. Puis, il va envoyer ce message en clair M et le message chiré résultant C (le signature) au destinataire ; ainsi, le destinataire n'a qu'à récupérer la clé publique k 1 de l'émetteur avec laquelle il va déchirer le message chiré C pour obtenir un message M'. Pour vérier la signature, le destinataire doit comparer le message M' qu'il vient d'obtenir avec le message en clair M. Si les deux sont identiques, alors la signature est vériée. Donc, seule la personne possédant la clé privée k 2 correspondant à la clé publique k 1 (l'émetteur) peut chirer le message en clair M et générer un message chiré C (la signature) qui pourra être déchirée avec la clé publique k 1. Un destinataire qui aura récupéré la clé publique k 1 de l'émetteur pourra ainsi être sûr que le message a bien été signé avec la clé privée k 2 de l'émetteur. Cela garantit bien l'authentication de l'émetteur et l'intégrité du message envoyé. Fig. 1.7 Principe d'une signature numérique avec un algorithme à clé publique : 15

17 1.3.4 Fonction de hachage à sens unique En informatique, une foncton de hachage est une fonction qui convertit une suite de bits de taille quelconque en une suite de bits de taille xe. Le résultat d'une fonction de hachage s'appelle une empreinte numérique. Deux suites de bits identiques donneront deux empreintes numériques identiques. Deux suites de bits diérentes peuvent donner deux empreintes numériques identiques mais la probabilité de se trouver dans ce cas est innitésimale. Cela est très utile, par exemple, pour comparer deux chiers : au lieu de comparer les deux chiers octet par octet, il sut de calculer leur empreinte numérique et de comparer celles-ci. En mathématique, une fonction à sens unique est une fonction facile à calculer dont l'inverse l'est beaucoup moins 6. En d'autres termes, étant donné un x, il est facile de calculer f(x), mais étant donnée f(x), il est très dicile de calculer x. En cryptographie, une fonction de hachage à sens unique est une fonction qui permet de calculer facilement une empreinte numérique de taile xe à partir d'une suite de bits de taille quelconque et dont l'inverse est très dicile à calculer. C'est-à-dire, étant données une suite de bits et son empreinte numérique, il est dicile de trouver une suite de bits diérente donnant la même empreinte numérique. En termes mathématiques, cela s'écrit ainsi : Etant donne un x 1, il est facile de calculer f(x 1 ), mais il est dicile de calculer x 2 tel que : x 1 x 2 et f(x 1 ) = f(x 2 ) Les fonctions de hachage (à sens unique) utilisées en cryptographie ont la particularité suivante : Si l'on modie un seul bit du message d'origine, alors la fonction de hachage produit une empreinte numérique complètement diérente. Fig. 1.8 Fonction de hachage à sens unique : fonctionnement 6 Très dicile voire impossible dans un temps raisonnable, c'est-à-dire inférieur à l'âge de l'univers (estimé à 1, années en 2003 par la NASA) 16

18 1.3.5 Signature numérique sécurisée La signature numérique simple n'est jamais utilisée en pratique, car le processus est lent et produit un volume important de données. Il est lent car l'obtension de la signature se fait en chirant l'ensemble du texte original. Et le résultat comprend le texte en clair et la signature, ce qui donne un volume de données égal au double de la taille du texte en clair. En pratique, on utilise la signature numérique sécurisée qui s'appuie sur les fonctions de hachage à sens unique. Plutôt que signer tout le message, seule l'empreinte numérique du message est signé. D'après les propriétés des fonctions de hachage à sens unique, cela revient exactement au même que de signer le message lui-même. Une empreinte numérique signée s'appelle code d'authentication du message (en anglais MAC :Message Authentication Code). Fig. 1.9 Signature numérique sécurisée : fonctionnement Les modes de chirement Il ne sut pas de découper un message en blocs de même taille et de chirer chacun de ces blocs avec un algorithme de chirement par blocs, puis de mettre tous ces blocs chirés côte à côte pour former le message chiré. La sécurité en serait très faible, car un bloc identique serait toujours chiré de la même façon, et donc il surait de cryptanalyser 7 les blocs un à un indépendamment les uns des autres, et de se faire une base de données de couples "bloc en clair/bloc chiré". C'est pour répondre à ce problème que les modes de chirement ont été inventés. 7 La cryptanalyse est la science qui permet de reconstruire le texte en clair sans connaissance de la clé de chirement. Une tentative de cryptanalyse est appelée attaque et une attaque réussie est appelée une méthode, qui fournit soit le texte en clair, soit la clé. 17

19 Il en existe 4 principaux : Mode ECB (Electronic CodeBook ) : ce mode revient ne rien faire et n'assure aucune sécurité. c i = E k (m i ) Mode CBC (Cypher Block Chaining ) : ce mode est très sécurisé, car il dépend fortement du message à chirer. Néanmoins, il faut écrire la fonction D k = E 1 k inverse de la fonction E k pour déchirer le message. { c0 = IV c i = E k (m i c i 1 ) Mode CFB (Cypher FeedBack ) : ce mode est également très sécurisé, car il dépend fortement du message à chirer. De plus, l'algorithme de chirement E k n'est plus utilisé que dans un seul sens (le sens du chirement). Le déchirement se fait au niveau du OU Exclusif. { c0 = IV c i = m i E k (c i 1 ) Mode OFB (Output FeedBack ) : autre mode très sécurisé. De plus, comme le mode CFB, l'algorithme de chirement de E k n'est utilisé que dans le sens du chirement. Le mode OFB est symétrique, c'est-à-dire que le chirement et le déchirement sont identiques. z 0 = IV z i = E k (z i 1 ) c i = m i z i Légende des équations : m i i e bloc du message en clair c i i e bloc du message chiré E k algorithme de chirement utilisant la clé secrète k OU Exclusif (XOR) IV Initial Value (valeur initiale quelconque et en clair) Caractéristiques des modes de chirement : Chirement Déchirement Transmission Mode Une erreur sur le bloc m i, Une erreur sur le bloc c i, La synchronisation : le texte en clair... le texte chiré... conséquence d'un décalage ECB Donne une seule erreur Donne une seule erreur Un décalage d'un seul bit du dans le bloc c i dans le bloc m i bloc c i rend seulement le bloc m i non déchirable. CBC Donne une erreur Donne une erreur Un décalage d'un seul bit du dans le bloc c i dans le bloc c i bloc c i rend le bloc m i et tous et tous les blocs suivants et dans le bloc c i+1 les suivants indéchirables. CFB Donne une erreur Donne une erreur Un décalage d'un seul bit du dans le bloc c i dans le bloc m i bloc c i rend seulement le et dans tous les suivants. et dans le bloc m i+1. bloc m i non déchirable. OFB Donne une seule erreur Donne une seule erreur Un décalage d'un seul bit du dans le bloc c i. dans le bloc m i. bloc c i rend le bloc m i et tous les suivants non déchirables. 18

20 En conclusion, les infrastructures PKI sont très performantes en matière de sécurité, en permettant l'authentication d'un utilisateur auprès d'un serveur, la non-répudiation des communication et la signature de celles-ci. Cette méthode est très utile lors de la mise en place d'une solution SSO : en eet, le SSO permet d'intégrer n'importe quelle méthode d'authentication, et la PKI permet d'avoir un surcroit de sécurité intéressant. 1.4 Le protocole SSL SSL (Secure Socket Layer), développé par la société Netscape Communication Corporation, est un protocole de sécurisation des échanges de données sur Internet entre un client et un serveur. Les trois fonctionnalités de ce protocole sont : l'authentication du serveur, l'authentication du client et le chirement des données. SSL est apparu en 1994 dans les navigateurs web avec la version 2.0. L'actuelle version 3.0 est la plus répandue, et est plus sécurisée que la version précédente. En 2001, l'ietf (Internet Engineering Task Force) rachète le brevet à Netscape pour sortir le nouveau protocole TLS (Transport Layer Security) décrit dans la RFC 2246 [1]. Ces deux protocoles SSL et TLS utilisent des certicats numériques X.509 pour mettre en oeuvre les principes de la cryptographie asymétrique an d'échanger en toute condentialité une clé de session SSL. Dans le modèle OSI, le protocole SSL se situe juste au-dessus de la couche TCP et sous la couche Application : il peut être vu comme un protocole de niveau 5 (couche Session). Cela signie que SSL est indépendant de la couche Application et que tous les protocoles HTTP, FTP, POP3, LDAP, TELNET,...peuvent être encapsulés dans le protocole SSL. Ainsi, ces protocoles applicatifs sont renommés HTTPS, FTPS, POP3S, LDAPS et TELNETS ("S" pour secured, sécurisé). Fig Fonctionnement SSL Le protocole SSL est composé des protocoles suivants : La couche "SSL Record Layer" qui est chargée de la fragmentation, de la compression, de l'intégrité et du chirement des données ; 19

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction

Plus en détail

Introduction aux architectures web de Single Sign-on

Introduction aux architectures web de Single Sign-on Olivier Salaün Comité Réseau des Universités Campus de Beaulieu - Rennes Olivier.salaun@cru.fr 15 Octobre 2003 Résumé Introduction aux architectures web de Single Sign-on L'article aborde la problématique

Plus en détail

Cryptographie. Master de cryptographie Architectures PKI. 23 mars 2015. Université Rennes 1

Cryptographie. Master de cryptographie Architectures PKI. 23 mars 2015. Université Rennes 1 Cryptographie Master de cryptographie Architectures PKI 23 mars 2015 Université Rennes 1 Master Crypto (2014-2015) Cryptographie 23 mars 2015 1 / 17 Cadre Principe de Kercho : "La sécurité d'un système

Plus en détail

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux Chapitre 7 Sécurité des réseaux Services, attaques et mécanismes cryptographiques Hdhili M.H Cours Administration et sécurité des réseaux 1 Partie 1: Introduction à la sécurité des réseaux Hdhili M.H Cours

Plus en détail

Tour d horizon des différents SSO disponibles

Tour d horizon des différents SSO disponibles Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire

Plus en détail

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références 2 http://securit.free.fr Introduction aux concepts de PKI Page 1/20

Plus en détail

Introduction. aux architectures web. de Single Sign-On

Introduction. aux architectures web. de Single Sign-On Introduction aux architectures web de Single Sign-On Single Sign-on Authentifier 1 seule fois un utilisateur pour accéder à un ensemble d applications contexte web Nombre croissant d applications ayant

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

Cours 14. Crypto. 2004, Marc-André Léger

Cours 14. Crypto. 2004, Marc-André Léger Cours 14 Crypto Cryptographie Définition Science du chiffrement Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible Bases Une clé = chaîne de nombres binaires (0 et 1)

Plus en détail

Authentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011

Authentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011 1 Authentification avec CAS sous PRONOTE.net 2011 Version du lundi 19 septembre 2011 2 1 - Vocabulaire employé et documentation... 3 1.1 - SSO (Single Sign-On)... 3 1.2 - CAS (Central Authentication Service)...

Plus en détail

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009 Aristote Groupe PIN Utilisations pratiques de la cryptographie Frédéric Pailler (CNES) 13 janvier 2009 Objectifs Décrire les techniques de cryptographie les plus courantes Et les applications qui les utilisent

Plus en détail

La sécurité dans les grilles

La sécurité dans les grilles La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation

Plus en détail

Authentification et contrôle d'accès dans les applications web

Authentification et contrôle d'accès dans les applications web Authentification et contrôle d'accès dans les applications web Quelques Rappels Objectifs : contrôler que seulement Certains utilisateurs Exécutent certaines opérations Sur certains objets Trois entités

Plus en détail

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique Document technique : Guide d'initiation aux certificats ssl Document technique Guide d'initiation aux certificats SSL Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en

Plus en détail

A. À propos des annuaires

A. À propos des annuaires Chapitre 2 A. À propos des annuaires Nous sommes familiers et habitués à utiliser différents types d'annuaires dans notre vie quotidienne. À titre d'exemple, nous pouvons citer les annuaires téléphoniques

Plus en détail

SSL ET IPSEC. Licence Pro ATC Amel Guetat

SSL ET IPSEC. Licence Pro ATC Amel Guetat SSL ET IPSEC Licence Pro ATC Amel Guetat LES APPLICATIONS DU CHIFFREMENT Le protocole SSL (Secure Socket Layer) La sécurité réseau avec IPSec (IP Security Protocol) SSL - SECURE SOCKET LAYER Historique

Plus en détail

Les certificats numériques

Les certificats numériques Les certificats numériques Quoi, pourquoi, comment Freddy Gridelet 9 mai 2005 Sécurité du système d information SGSI/SISY La sécurité : quels services? L'authentification des acteurs L'intégrité des données

Plus en détail

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM LemonLDAP::NG / SAML2 Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM 16, 17 et 18 MARS 2010 SOMMAIRE Définition du WebSSO Présentation de LemonLDAP::NG SAML2 et

Plus en détail

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Fédération Définit un cercle de confiance constitué de Fournisseurs d'identités

Plus en détail

Sécurisation des architectures traditionnelles et des SOA

Sécurisation des architectures traditionnelles et des SOA Sécurisation des architectures traditionnelles et des SOA Un livre blanc de Bull Evidian Gestion SAML des accès SSO aux applications classiques et J2EE. Max Vallot Sommaire Émergence des architectures

Plus en détail

WebSSO, synchronisation et contrôle des accès via LDAP

WebSSO, synchronisation et contrôle des accès via LDAP 31 mars, 1er et 2 avril 2009 WebSSO, synchronisation et contrôle des accès via LDAP Clément Oudot Thomas Chemineau Sommaire général Synchronisation d'identités WebSSO et contrôle des accès Démonstration

Plus en détail

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS Nicole Dausque CNRS/UREC CNRS/UREC IN2P3 Cargèse 23-27/07/2001 http://www.urec.cnrs.fr/securite/articles/certificats.kezako.pdf http://www.urec.cnrs.fr/securite/articles/pc.cnrs.pdf

Plus en détail

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping) Modernisation, développement d applications et DB2 sous IBM i Technologies, outils et nouveautés 2013-2014 13 et 14 mai 2014 IBM Client Center Paris, Bois-Colombes S28 - La mise en œuvre de SSO (Single

Plus en détail

Protocole industriels de sécurité. S. Natkin Décembre 2000

Protocole industriels de sécurité. S. Natkin Décembre 2000 Protocole industriels de sécurité S. Natkin Décembre 2000 1 Standards cryptographiques 2 PKCS11 (Cryptographic Token Interface Standard) API de cryptographie développée par RSA labs, interface C Définit

Plus en détail

Sécurité de l'information

Sécurité de l'information Sécurité de l'information Sylvain Duquesne Université Rennes 1, laboratoire de Mathématiques 24 novembre 2010 Les Rendez-Vous Mathématiques de l'irem S. Duquesne (Université Rennes 1) Sécurité de l'information

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

Description de la maquette fonctionnelle. Nombre de pages :

Description de la maquette fonctionnelle. Nombre de pages : Description de la maquette fonctionnelle Nombre de pages : 22/07/2008 STATUT DU DOCUMENT Statut Date Intervenant(s) / Fonction Provisoire 22/07/2008 Approuvé Validé HISTORIQUE DES MODIFICATIONSICATIONS

Plus en détail

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises La banque en ligne et le protocole TLS : exemple 1 Introduction Définition du protocole TLS Transport Layer Security

Plus en détail

Certificats et infrastructures de gestion de clés

Certificats et infrastructures de gestion de clés ÉCOLE DU CIMPA "GÉOMÉTRIE ALGÉBRIQUE, THÉORIE DES CODES ET CRYPTOGRAPHIE" ICIMAF et Université de la Havane 20 novembre - 1er décembre 2000 La Havane, Cuba Certificats et infrastructures de gestion de

Plus en détail

Signature électronique. Romain Kolb 31/10/2008

Signature électronique. Romain Kolb 31/10/2008 Romain Kolb 31/10/2008 Signature électronique Sommaire I. Introduction... 3 1. Motivations... 3 2. Définition... 3 3. La signature électronique en bref... 3 II. Fonctionnement... 4 1. Notions requises...

Plus en détail

Présentation de Active Directory

Présentation de Active Directory Brevet de Technicien Supérieur Informatique de gestion. Benoît HAMET Session 2001 2002 Présentation de Active Directory......... Présentation d Active Directory Préambule...4 Introduction...5 Définitions...5

Plus en détail

Le protocole SSH (Secure Shell)

Le protocole SSH (Secure Shell) Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction

Plus en détail

Single Sign-On open source avec CAS (Central Authentication Service)

Single Sign-On open source avec CAS (Central Authentication Service) JOSY «Authentification Centralisée» Paris, 6 mai 2010 Single Sign-On open source avec CAS (Central Authentication Service) Julien Marchal Consortium ESUP-Portail SSO open source avec CAS Introduction Pourquoi

Plus en détail

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC Certificats X509 & Infrastructure de Gestion de Clés Claude Gross CNRS/UREC 1 Confiance et Internet Comment établir une relation de confiance indispensable à la réalisation de transaction à distance entre

Plus en détail

Chapitre 1 : Introduction aux bases de données

Chapitre 1 : Introduction aux bases de données Chapitre 1 : Introduction aux bases de données Les Bases de Données occupent aujourd'hui une place de plus en plus importante dans les systèmes informatiques. Les Systèmes de Gestion de Bases de Données

Plus en détail

L'AAA, késako? Bruno Bonfils, <asyd@solaris fr.org>, Novembre 2005. Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

L'AAA, késako? Bruno Bonfils, <asyd@solaris fr.org>, Novembre 2005. Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants : Introduction L'AAA, késako? Bruno Bonfils, , Novembre 2005 Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants : Authentication (authentification) Authorization

Plus en détail

Du 03 au 07 Février 2014 Tunis (Tunisie)

Du 03 au 07 Février 2014 Tunis (Tunisie) FORMATION SUR LA «CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES TRANSACTIONS ELECTRONIQUES» POUR LES OPERATEURS ET REGULATEURS DE TELECOMMUNICATION Du 03 au 07 Février 2014 Tunis (Tunisie) CRYPTOGRAPHIE ET SECURITE

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La

Plus en détail

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES TRANSACTIONS ELECTRONIQUES : STANDARDS, ALGORITHMES DE HACHAGE ET PKI» DU 22 AU 26 JUIN 2015 TUNIS (TUNISIE) CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES

Plus en détail

Télécom Nancy Année 2013-2014

Télécom Nancy Année 2013-2014 Télécom Nancy Année 2013-2014 Rapport 1A Ajout du langage C dans la Programmer's Learning Machine GIANNINI Valentin Loria 615, rue du Jardin Botanique 54600, Villers-Lès-Nancy Maître de stage : QUINSON

Plus en détail

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal SSO open source avec CAS Introduction Pourquoi le Single Sign-On? Principes du SSO sur le

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

Architectures web/bases de données

Architectures web/bases de données Architectures web/bases de données I - Page web simple : HTML statique Le code HTML est le langage de base pour concevoir des pages destinées à être publiées sur le réseau Internet ou intranet. Ce n'est

Plus en détail

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008 La suite logicielle Lin ID Paris Capitale du Libre 25 septembre 2008 Pourquoi Lin ID? Le domaine de la gestion des identités est vaste et complexe L'offre logicielle est réduite, dominée par quelques grands

Plus en détail

[ Sécurisation des canaux de communication

[ Sécurisation des canaux de communication 2014 ISTA HAY RIAD FORMATRICE BENSAJJAY FATIHA OFPPT [ Sécurisation des canaux de communication Protocole IPsec] Table des matières 1. Utilisation du protocole IPsec... 2 2. Modes IPsec... 3 3. Stratégies

Plus en détail

Restriction sur matériels d impression

Restriction sur matériels d impression Restriction sur matériels d impression Objectif : Restreindre l accès aux matériels multifonctions Description des matériels : Serveur d impression : SVAWAV01 (10.204.1.204) Ricoh Aficio MP C4501 o IP

Plus en détail

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader Gestion des Clés Pr Belkhir Abdelkader Gestion des clés cryptographiques 1. La génération des clés: attention aux clés faibles,... et veiller à utiliser des générateurs fiables 2. Le transfert de la clé:

Plus en détail

Architectures PKI. Sébastien VARRETTE

Architectures PKI. Sébastien VARRETTE Université du Luxembourg - Laboratoire LACS, LUXEMBOURG CNRS/INPG/INRIA/UJF - Laboratoire LIG-IMAG Sebastien.Varrette@imag.fr http://www-id.imag.fr/~svarrett/ Cours Cryptographie & Securité Réseau Master

Plus en détail

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2. DTIC@Alg 2012 16 et 17 mai 2012, CERIST, Alger, Algérie Aspects techniques et juridiques de la signature électronique et de la certification électronique Mohammed Ouamrane, Idir Rassoul Laboratoire de

Plus en détail

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05 Les Protocoles de sécurité dans les réseaux WiFi Ihsane MOUTAIB & Lamia ELOFIR FM05 PLAN Introduction Notions de sécurité Types d attaques Les solutions standards Les solutions temporaires La solution

Plus en détail

Service de certificat

Service de certificat Service de certificat Table des matières 1 Introduction...2 2 Mise en place d une autorité de certification...3 2.1 Introduction...3 2.2 Installer le service de certificat...4 3 Sécuriser un site web avec

Plus en détail

Annuaires LDAP et méta-annuaires

Annuaires LDAP et méta-annuaires Annuaires LDAP et méta-annuaires Laurent Mynard Yphise 6 rue Beaubourg - 75004 PARIS yphise@yphise.com - http://yphise.fr T 01 44 59 93 00 F 01 44 59 93 09 LDAP020314-1 Agenda A propos d Yphise Les annuaires

Plus en détail

Installation et utilisation d'un certificat

Installation et utilisation d'un certificat 1 IceWarp Merak Mail Server Installation et utilisation d'un certificat Icewarp France octobre 2007 2 Icewarp Merak Mail Serveur : Guide de mises à jour à la version 9 Sommaire Introduction...3 Situation

Plus en détail

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos Sécurisation des systèmes Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos Tarik BOUDJEMAA Sadek YAHIAOUI 2007 2008 Master 2 Professionnel STIC Informatique Sécurisation

Plus en détail

TAGREROUT Seyf Allah TMRIM

TAGREROUT Seyf Allah TMRIM TAGREROUT Seyf Allah TMRIM Projet Isa server 2006 Installation et configuration d Isa d server 2006 : Installation d Isa Isa server 2006 Activation des Pings Ping NAT Redirection DNS Proxy (cache, visualisation

Plus en détail

Gestion des identités

Gestion des identités HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des identités 17 décembre 2004 Hervé Schauer CISSP, ProCSSI

Plus en détail

1. Présentation de WPA et 802.1X

1. Présentation de WPA et 802.1X Lors de la mise en place d un réseau Wi-Fi (Wireless Fidelity), la sécurité est un élément essentiel qu il ne faut pas négliger. Effectivement, avec l émergence de l espionnage informatique et l apparition

Plus en détail

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi Un exemple d'authentification sécurisée utilisant les outils du Web : CAS 111 L authentification CAS : «Central Authentication Service» CAS ou le service central d authentification Le système CAS, développé

Plus en détail

Gestion des utilisateurs et Entreprise Etendue

Gestion des utilisateurs et Entreprise Etendue Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 yphise@yphise.com - http://yphise.fr GUEE0009-1 Agenda Entreprise Etendue Mission

Plus en détail

ENVOLE 1.5. Calendrier Envole

ENVOLE 1.5. Calendrier Envole ENVOLE 1.5 Calendrier Envole RSA FIM 1 avril 2008 V 1.13 sur EOLE V 2.0 1 septembre 2008 EOLE V 2.1 10 octobre 2008 V 1.15 RC sur EOLE V 2.0 Modification du SSO EOLE 2.2 (PAM-CAS, CT EOLE V 2.2 RC Prise

Plus en détail

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs HASH LOGIC s e c u r i t y s o l u t i o n s Version 1.0 de Janvier 2007 PKI Server Une solution simple, performante et économique Les projets ayant besoin d'une infrastructure PKI sont souvent freinés

Plus en détail

L3 informatique TP n o 2 : Les applications réseau

L3 informatique TP n o 2 : Les applications réseau L3 informatique TP n o 2 : Les applications réseau Sovanna Tan Septembre 2009 1/20 Sovanna Tan L3 informatique TP n o 2 : Les applications réseau Plan 1 Transfert de fichiers 2 Le Courrier électronique

Plus en détail

Formation SSO / Fédération

Formation SSO / Fédération Formation SSO / Fédération CYRIL GROSJEAN (cgrosjean@janua.fr) CONSULTANT JANUA Agenda Objectifs du SSO Terminologie, acronymes et protocoles Présentation d'architectures de SSO Présentation d'architectures

Plus en détail

EMV, S.E.T et 3D Secure

EMV, S.E.T et 3D Secure Sécurité des transactionsti A Carte Bancaire EMV, S.E.T et 3D Secure Dr. Nabil EL KADHI nelkadhi@club-internet.fr; Directeur du Laboratoire L.E.R.I.A. www.leria.eu Professeur permanant A EPITECH www.epitech.net

Plus en détail

Sécurité des réseaux sans fil

Sécurité des réseaux sans fil Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification

Plus en détail

Shibboleth. David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février 2010. 5 mai 2010 1

Shibboleth. David Verdin - JOSY Authentification centralisée pour les applications web - Paris - 4 février 2010. 5 mai 2010 1 Shibboleth David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février 2010 5 mai 2010 1 Plan de l'exposé Position du problème L'architecture de Shibboleth Shibboleth

Plus en détail

Les messages d erreur d'applidis Client

Les messages d erreur d'applidis Client Fiche technique AppliDis Les messages d erreur d'applidis Client Fiche IS00313 Version document : 1.00 Diffusion limitée : Systancia, membres du programme Partenaires AppliDis et clients ou prospects de

Plus en détail

La citadelle électronique séminaire du 14 mars 2002

La citadelle électronique séminaire du 14 mars 2002 e-xpert Solutions SA 29, route de Pré-Marais CH 1233 Bernex-Genève Tél +41 22 727 05 55 Fax +41 22 727 05 50 La citadelle électronique séminaire du 14 mars 2002 4 info@e-xpertsolutions.com www.e-xpertsolutions.com

Plus en détail

TP 2 : Chiffrement par blocs

TP 2 : Chiffrement par blocs USTL - Licence et Master Informatique 2006-2007 Principes et Algorithmes de Cryptographie TP 2 : Chiffrement par blocs Objectifs du TP utiliser openssl pour chiffrer/déchiffrer, étudier le remplissage

Plus en détail

AccessMaster PortalXpert

AccessMaster PortalXpert AccessMaster PortalXpert Sommaire 1. Historique du document.....3 2. Sécuriser les ressources web...4 3. Description du produit PortalXpert.....7 Instant Secure Single Sign-on 4. Scénarios de déploiement

Plus en détail

Le protocole sécurisé SSL

Le protocole sécurisé SSL Chapitre 4 Le protocole sécurisé SSL Les trois systèmes de sécurisation SSL, SSH et IPSec présentés dans un chapitre précédent reposent toutes sur le même principe théorique : cryptage des données et transmission

Plus en détail

L'intégration de Moodle à l'université Rennes 2 Haute Bretagne

L'intégration de Moodle à l'université Rennes 2 Haute Bretagne L'intégration de Moodle à l'université Rennes 2 Haute Bretagne Intervenant : Arnaud Saint-Georges Centre de Ressources Informatiques de l'université Rennes 2 Haute Bretagne Arnaud.Saint-Georges @uhb.fr.

Plus en détail

TP2 - Conguration réseau et commandes utiles. 1 Généralités. 2 Conguration de la machine. 2.1 Commande hostname

TP2 - Conguration réseau et commandes utiles. 1 Généralités. 2 Conguration de la machine. 2.1 Commande hostname Département d'informatique Architecture des réseaux TP2 - Conguration réseau et commandes utiles L'objectif de ce TP est d'une part de vous présenter la conguration réseau d'une machine dans l'environnement

Plus en détail

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés Version destinée aux enseignants qui exercent dans des établissements

Plus en détail

Annuaire LDAP, SSO-CAS, ESUP Portail...

Annuaire LDAP, SSO-CAS, ESUP Portail... Annuaire LDAP, SSO-CAS, ESUP Portail... Patrick DECLERCQ CRI Lille 1 Octobre 2006 Plan Annuaire LDAP : - Présentation - Recommandations (SUPANN) - Architecture - Alimentation, mises à jour - Consultation

Plus en détail

1 Introduction à l infrastructure Active Directory et réseau

1 Introduction à l infrastructure Active Directory et réseau 1 Introduction à l infrastructure Active Directory et réseau Objectifs d examen de ce chapitre Ce premier chapitre, qui donne un aperçu des technologies impliquées par la conception d une infrastructure

Plus en détail

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud Sophie.Nicoud@urec.cnrs.

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud Sophie.Nicoud@urec.cnrs. Tunnels ESIL INFO 2005/2006 Sophie Nicoud Sophie.Nicoud@urec.cnrs.fr Plan Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs 2 Tunnels, pourquoi? Relier deux réseaux locaux à travers

Plus en détail

Les modules SI5 et PPE2

Les modules SI5 et PPE2 Les modules SI5 et PPE2 Description de la ressource Propriétés Intitulé long Formation concernée Matière Présentation Les modules SI5 et PPE2 BTS SIO SI5 PPE2 Description Ce document présente une approche

Plus en détail

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. 2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation

Plus en détail

Polux Développement d'une maquette pour implémenter des tests de sécurité

Polux Développement d'une maquette pour implémenter des tests de sécurité Polux Développement d'une maquette pour implémenter des tests de sécurité équipes SERES et SSIR 28 septembre 2007 2 / 55 Plan Première partie I Aspects fonctionnels 3 / 55 Plan 1 Présentation des aspects

Plus en détail

Journées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011. Projet MySafeKey Authentification par clé USB

Journées MATHRICE Dijon-Besançon DIJON 15-17 mars 2011. Projet MySafeKey Authentification par clé USB Journées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011 1/23 Projet MySafeKey Authentification par clé USB Sommaire 2/23 Introduction Authentification au Système d'information Problématiques des mots

Plus en détail

Utilisation des certificats X.509v3

Utilisation des certificats X.509v3 En pratique Utilisation des certificats X.509v3 Commerce électronique, avec HTTPS (HTTP/SSL) Authentification SSL/TLS par certificat, obligatoire pour le serveur Authentification optionnelle pour le client

Plus en détail

SAML et services hors web

SAML et services hors web SAML et services hors web SAML en bref Security Assertion Markup Language Fédération d'identités pour le web SingleSignOn (SSO) et SingleLogout (SLO) Diffusion contrôlée d'informations personnelles Ne

Plus en détail

Modèle de sécurité de la Grille. Farida Fassi Master de Physique Informatique Rabat, Maroc 24-27 May 2011

Modèle de sécurité de la Grille. Farida Fassi Master de Physique Informatique Rabat, Maroc 24-27 May 2011 Modèle de sécurité de la Grille Farida Fassi Master de Physique Informatique Rabat, Maroc 24-27 May 2011 2 Plan Introduction a la sécurité sur la Grille de Calcul Grid Security Infrastructure (GSI) Authentification

Plus en détail

Politique de Certication. Certigna ID PRIS Pro

Politique de Certication. Certigna ID PRIS Pro Dhimyotis - Référentiel documentaire RGS Politique de Certication Certigna ID PRIS Pro (Authentication et Signature) OID = 1.2.250.1.177.1.9.1.6 Entreprise et Administration Référence RD-102 Version 6.0

Plus en détail

FORMATIONS 2010. www.ineovation.fr

FORMATIONS 2010. www.ineovation.fr Infrastructures à clefs publiques/pki X.509 Sécurité de la Voix sur IP Technologie IPSec VPN Introduction à la cryptographie Sécuriser un système Unix ou Linux Version 1.0: 17 MAI 2010 1 1 Infrastructures

Plus en détail

Chapitre 2 Rôles et fonctionnalités

Chapitre 2 Rôles et fonctionnalités 19 Chapitre 2 Rôles et fonctionnalités 1. Introduction Rôles et fonctionnalités Les rôles et fonctionnalités ci-dessous ne sont qu'une petite liste de ceux présents dans Windows Server 2012 R2. 2. Les

Plus en détail

Compte-rendu de projet de Système de gestion de base de données

Compte-rendu de projet de Système de gestion de base de données Compte-rendu de projet de Système de gestion de base de données Création et utilisation d'un index de jointure LAMBERT VELLER Sylvain M1 STIC Université de Bourgogne 2010-2011 Reponsable : Mr Thierry Grison

Plus en détail

Services Réseaux - Couche Application. TODARO Cédric

Services Réseaux - Couche Application. TODARO Cédric Services Réseaux - Couche Application TODARO Cédric 1 TABLE DES MATIÈRES Table des matières 1 Protocoles de gestion de réseaux 3 1.1 DHCP (port 67/68)....................................... 3 1.2 DNS (port

Plus en détail

L identité numérique. Risques, protection

L identité numérique. Risques, protection L identité numérique Risques, protection Plan Communication sur l Internet Identités Traces Protection des informations Communication numérique Messages Chaque caractère d un message «texte» est codé sur

Plus en détail

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI Cryptologie Algorithmes à clé publique Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Cryptographie à clé publique Les principes essentiels La signature électronique Infrastructures

Plus en détail

OASIS www.oasis-open.org/committees/xacml/docs/docs.shtml Date de publication

OASIS www.oasis-open.org/committees/xacml/docs/docs.shtml Date de publication Statut du Committee Working Draft document Titre XACML Language Proposal, version 0.8 (XACML : XML Access Control Markup Language) Langage de balisage du contrôle d'accès Mot clé Attestation et sécurité

Plus en détail

Sage CRM. 7.2 Guide de Portail Client

Sage CRM. 7.2 Guide de Portail Client Sage CRM 7.2 Guide de Portail Client Copyright 2013 Sage Technologies Limited, éditeur de ce produit. Tous droits réservés. Il est interdit de copier, photocopier, reproduire, traduire, copier sur microfilm,

Plus en détail

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte UN GUIDE ÉTAPE PAR ÉTAPE, pour tester, acheter et utiliser un certificat numérique

Plus en détail

Public Key Infrastructure (PKI)

Public Key Infrastructure (PKI) Public Key Infrastructure (PKI) Introduction Authentification - Yoann Dieudonné 1 PKI : Définition. Une PKI (Public Key Infrastructure) est une organisation centralisée, gérant les certificats x509 afin

Plus en détail

Accès Mobile Sécurisé à L'aide de VPN SSL

Accès Mobile Sécurisé à L'aide de VPN SSL Accès Mobile Sécurisé à L'aide de VPN SSL Septembre 2005 Un livre blanc préparé par Peter Rysavy http://www.rysavy.com +1-541-386-7475 Rapport de synthèse L'accès à distance gagne sans cesse en complexité.

Plus en détail

Tutoriel d'introduction à TOR. v 1.0

Tutoriel d'introduction à TOR. v 1.0 Tutoriel d'introduction à TOR. v 1.0 1. Qu'est-ce que TOR 2. Quel est le principe de fonctionnement de TOR? 3. Comment utiliser TOR pour naviguer anonymement? 4. Comment aider (en seulement quelques clics)

Plus en détail