ESSEC MANAGEMENT EDUCATION MÉMOIRE

Transcription

1 ESSEC MANAGEMENT EDUCATION NOM & Prénom: DA VEIGA António Date:20 avril 2005 Directeur de Mémoire: KRIEF Serge SPÉCIALITÉ: Management des Systèmes d'information MÉMOIRE POUR L'OBTENTION DU DIPLOME HOMOLOGUE NIVEAU II Titre: RESPONSABLE EN GESTION (SECURISATION DES DONNEES SENSIBLES, CONTENUES DANS LE DISQUE DUR DES POSTES NOMADES, D'UNE FLOTTE D'ENTREPRISE) ACCORD DU COMITÉ PÉDAGOGIQUE Nom: Date: Signature: ACCORD DU DIRECTEUR DE MÉMOIRE Nom: KRIEF Serge Date: Signature:

2 Soutenance a l'enst le 20 avril Page 2/162

3 REMERCIEMENTS Un travail de cette envergure ne peut pas aboutir sans la collaboration directe ou indirecte de personnes externes au projet. En ce qui me concerne j'ai eu la chance de trouver le réconfort, le soutien et la motivation auprès de tout ceux que de près ou de loin ont participé a cette aventure. C'est pour cela et avec la plus grande sincérité que je veux dire merci à tous ceux qui ont contribué au bon déroulement de cet ouvrage. Je ne peux m'empêcher de remercier particulièrement tout le corps enseignant de l'essec et de l'enst. Je veux aussi remercier Catherine Pelhate pour les conseils, toujours si avisés, qu'elle m'a donné. Je voudrai également remercier mon ami Didier Gimel, P.D.G. de la société Strat Value, pour son soutien et sa disponibilité. Merci aussi à Eric Filatre pour ses conseils. Un remerciement sincère aussi à Dominique Briolat, Responsable Pédagogique et enseignant à L'ESSEC pour ses encouragements ainsi que pour la confiance qu'il m'a accordé. Merci à Serge Krief, mon Directeur de Mémoire, pour sa disponibilité, sa sympathie et la confiance qu'il m'a témoigné. Enfin, simplement merci à mes enfants et mon épouse, de m'encourager et de me soutenir inconditionnellement dans ma démarche. Merci Angelo, merci Sonia et merci Candida, sans vous, je ne serais pas en train d'écrire ces lignes aujourd'hui, sans aucun doute! Page 3/162

4 TABLE DES MATIERES REMERCIEMENTS...3 PLAN DU DOCUMENT...8 MOTS-CLE...8 INTRODUCTION...9 PROBLEMATIQUE...11 CHAPITRE 1-ÉTAT DE L ART PRATIQUES ACTUELLES RETOUR D EXPERIENCE NOUVELLES TECHNOLOGIES...14 CHAPITRE 2-AUTHENTIFICATION AUTHENTIFICATION AUTHENTIFICATION DES UTILISATEURS Authentification locale Authentification réseau AUTHENTIFICATION FORTE METHODES D'AUTHENTIFICATION Mots de passe Certificats à clé publique Biométrie PRINCIPAUX PROTOCOLES D'AUTHENTIFICATION Protocole PAP Protocole CHAP Protocole SPAP Protocole MS-CHAP Protocole MS-CHAP v VPN PPP Protocole EAP CONTROLE D'ACCES AUX RESSOURCES...30 CHAPITRE 3-CRYPTOGRAPHIE CRYPTOGRAPHIE INTRODUCTION A LA CRYPTOGRAPHIE...34 Page 4/162

5 3.3 CHIFFREMENT Chiffrement à clé secrète Chiffrement a clé publique P.K.C. (Public Key Cryptosystem) L authentification de documents CRYPTOGRAPHIE HYBRIDE P.G.P. Pretty Good Privacy LE SCELLEMENT LA CRYPTOGRAPHIE QUANTIQUE...46 CHAPITRE 4-ORGANISATION ET PROCEDURES INTRODUCTION OUTILS DE CRYPTAGE E. F. S P.G.P Cryptage des données avec P.G.P Décryptage des données avec P.G.P Intégration de P.G.P. à la messagerie SECURYTY BOX Utilisation de Security BOX CRYPTAGE DES DONNES SUR DISQUE DUR Crypter un dossier avec E.F.S Décrypter les dossier avec EFS Avantages Inconvénients LES VIRUS "VIRUS, VERS ET CHEVAUX DE TROIE" Les différentes familles de virus L'Antivirus Le Pare-feu Viguard...69 CHAPITRE 5-SAUVEGARDES DES DONNEES SAUVEGARDES DES DONNEES Idem Second Copy OUTILS PERTINENTS AVANTAGES...78 CONCLUSION...80 RECOMMANDATIONS...81 Page 5/162

6 L'ERREUR HUMAINE...81 PROTECTION PHYSIQUE DE VOTRE ORDINATEUR...81 PROTECTION LOGIQUE...83 LES MOTS DE PASSE...83 LES SAUVEGARDES...83 L'ANTIVIRUS...84 GESTION DES DONNEES...84 BIBLIOGRAPHIE...85 WEBOGRAPHIE...86 GLOSSAIRE...87 Page 6/162

7 Table des Figures Figure 1-Exemple d'infrastructures...11 Figure 2-Schéma simplifié d'un réseau V.P.N Figure 3-Illustration I.B.G...15 Figure 4-A) Ouverture session...18 Figure 5-B) Ouverture de session...19 Figure 6-Authentification réseau...19 Figure 7-Mécanisme d'authentification forte...22 Figure 8-Lecteur de cartes à puce...23 Figure 9-Carte à puce...23 Figure 10-Exemple d'un certificat...24 Figure 11-Acquisition caractéristiques biométriques...25 Figure 12-Authentification biométrique...25 Figure 13-Gestion d'utilisateurs et groupes locaux...31 Figure 14-Schéma simplifié de l'architecture d'un serveur de fichiers...32 Figure 15-Cryptogramme...35 Figure 16-Chiffrement à clé privée...36 Figure 17-Schéma représentant l'algorithme D.E.S Figure 18-Schéma fonctionnel simplifié, d'une P.K...39 Figure 19-Chiffrement à clé publique...41 Figure 20-Mode de fonctionnement de P.G.P...44 Figure 21-Scellement...45 Figure 22-Filtre rectiligne "cryptographie quantique"...47 Figure 23-Choix du client messagerie sous P.G.P Figure 24-Saisie de phrase secrète sous P.G.P...52 Figure 25-Exemple Clé publique copiée dans un document.txt...52 Figure 26-Barre d'outils P.G.P.Tools...53 Figure 27-Utilisation des composants de PGP à partir du menu contextuel...53 Figure 28-Barre d'outils P.G.P.Tools...54 Figure 29-Intégration P.G.P aux clients messagerie...54 Figure 30-Intégration de PGP au client de messagerie...54 Figure 32-Structure d'un Disque Dur partitionné...59 Figure 33-Création d'un nouveau dossier...59 Figure 34-Renommer le dossier "données"...60 Figure 35-Tableau récapitulatif des principales causes de perte des données..65 Figure 36-Évolution des revenus des produits et services...68 Figure 37-Positionnement des principaux acteurs de la sécurité...69 Figure 38-Tableau des fonctionnalités du Pack Sécurité ViGUARD...71 Figure 39-Paramétrage Idem...73 Figure 40-Tableau récapitulatif des prix des licences Idem...73 Figure 41-Tableau récapitulatif des prix des licences Second Copy...78 Figure 42-Câble antivol portable...82 Page 7/162

8 PLAN DU DOCUMENT Ce document débute par une Introduction suive de l exposition de la Problématique. Le premier chapitre est consacré à l'état de l'art de la sécurité informatique en ce qui concerne les moyens et techniques mis en œuvre de nos jours pour la protection des données des postes nomades. Dans le deuxième chapitre j'aborderai l'authentification et le contrôle d'accès aux données. Je présenterai quelques notions de cryptographie et scellement dans le troisième chapitre. Le quatrième chapitre sera consacré à l'organisation et aux procédures de chiffrement. Puis, nous examinerons la problématique des attaques de type virus, vers ou chevaux de Troie. Le cinquième et dernier chapitre sera dédié aux sauvegardes. Je terminerai avec une rubrique dédiée à la conclusion suivie des recommandations. MOTS-CLE: Authentification, contrôle d'accès, cryptographie, chiffrement, virus et sauvegardes. Page 8/162

9 INTRODUCTION Les Systèmes d'information (S. I.), reposent essentiellement sur un ensemble de machines reliées entre elles par des équipements intermédiaires (réseau). Elles produisent, stockent, modifient, et transmettent de l'information entre elles. Ces machines peuvent être de plusieurs types: des serveurs extrêmement sophistiqués, des ordinateurs personnels "PC" 1, fixes ou portables ainsi que d'autres périphériques comme les Assistants Personnels, "PDA" 2 par exemple. L'objectif est de donner à ces équipements la possibilité de communiquer entre eux et ainsi échanger toute sorte d informations. Autrement dit, les dossiers qu'hier étaient empilés dans des armoires, ou bien, consciencieusement rangés dans des coffres-forts, peuvent se trouver en circulation dans la maille des réseaux de l'entreprise ou même au-delà, grâce à la capacité phénoménale des nouvelles technologies comme l'internet. Se basant sur le proverbe "Le savoir, c'est le pouvoir!", il n est pas difficile de deviner qu'une partie des utilisateurs du S.I. est particulièrement gourmande en termes d'obtention et possession de cette matière première. Cette information peut se révéler primordiale, voire stratégique, pour le présent et l'avenir de la Société qui la possède. Une bonne gestion et surtout, une bonne politique de protection d un si précieux sésame, s'imposent. Dans un S.I., il y a deux éléments à prendre en compte, en ce qui concerne la sécurité: - Les utilisateurs (humains), ou les processus qui agissent à leur place. - Les objets utilisés dans le système. L'objectif de la sécurisation d'un S.I. consiste en la mise en œuvre de mécanismes et de processus qui permettent d'assurer trois points élémentaires: - La confidentialité des données. - L'intégrité des données. - La disponibilité des services. 1 -Personnal Computer 2 -Portable Digital Assistant Page 9/162

10 On appelle "base informatique de confiance", l'ensemble de mécanismes de sécurité mis en œuvre pour assurer les trois propriétés décrites précédemment, qui peuvent être partagés en trois sous-ensembles: - La sécurité logicielle. - La sécurité matérielle. - La sécurité organisationnelle. De la même façon la sécurité logicielle et la sécurité matérielle seront regroupées dans un ensemble appelé Sécurité Interne ou Sécurité Logique, la sécurité organisationnelle peut être aussi appelée Sécurité externe. La sécurité externe a pour objectif la sécurisation des accès physiques au S.I... Ces accès seront décomposés en trois parties: - La sécurité physique des installations. - La sécurité concernant le personnel. - La sécurité procédurale. Ces deux aspects de la sécurité des systèmes d'information ne peuvent être dissociés, car une mesure prise au niveau interne peut compromettre très sérieusement l'équilibre des mesures prises au niveau externe et vice-versa. Ce document a pour objectif de traiter essentiellement l'information dite "sensible", classée confidentielle contenue dans les Disques Durs des postes nomades. Je considère que les postes fixes stockent et traitent l'information au niveau des Serveurs dédiés à cet effet, (sécurité interne). Page 10/162

11 PROBLEMATIQUE De manière à mettre en évidence la problématique de la sécurité des informations contenues dans les Disques Durs des postes nomades, prenons comme exemple, un organisme ou une entreprise qui souhaitent sécuriser son S.I. Dans un premier temps il est indispensable de sécuriser le coté physique (vigile, portes et contrôle d'accès ). L'étape suivante doit privilégier la sécurité des matériaux qui produisent, traitent et stockent les données. Les serveurs (des fichiers, des sauvegardes ) pièces maîtresses d'un S.I., seront à leur tour placés au centre de la politique de sécurisation (Figure 1). Station de travail Stations de travail Serveur de messagerie Stations de travail Figure 1-Exemple d'infrastructures Cette démarche de sécurisation d'un S.I. permet de garantir la sécurité des données qui circulent à l'intérieur de l'enceinte de notre société. A contrario les périphériques "portables" plus particulièrement, les ordinateurs portables, deviennent extrêmement vulnérables, une fois le périmètre de sécurité décrit précédemment, franchi. Nous venons de mettre en évidence une grave défaillance de sécurité appelée "base informatique de confiance" dans le cas, où des mesures particulières de sécurité ne sont pas mises en œuvre. Page 11/162

12 1 CHAPITRE 1-ÉTAT DE L ART 1.1 PRATIQUES ACTUELLES Le recours à des périphériques mobiles pour se connecter à partir de l'extérieur de l'entreprise à son système d'information, est devenu une pratique quotidienne. Les ordinateurs portables en particulier, ainsi que les assistants numériques de poche (P.A.D.), les téléphones dits "intelligents" ouvrent toutes les portes d'accès aux S.I. des entreprises avec une facilité extraordinaire. Selon le Gartner Group le nombre des périphériques mobiles (téléphones portables exclus) équipés de fonctionnalités sans fil, dépassera 1,5 milliard dès Le chiffre d'affaires concernant les périphériques mobiles, est estimé à 52 milliards de dollars sur l'année Dans un passé pas très lointain, le S.I. était enfermé et cloisonné dans l'enceinte de l'entreprise, la politique de sécurité mise en place était précisément basée sur l'aspect de la maîtrise de cet environnement. Malheureusement pour le responsable de la sécurité, et heureusement pour les entreprises et l'utilisateur nomades, le S.I. s'est ouvert vers l'extérieur et il est sorti de ce cloisonnement à une vitesse extraordinaire. Si nous tenons compte de cette étude réalisée par la société Gartner la course à la mobilité ne fait que commencer. 1.2 RETOUR D EXPERIENCE Compte tenu, que la croissance de la mobilité ne peut pas être arrêtée sous couvert de sécurité, le développement et la mise en place d'outils et de processus de protection des données se sont accentués ces dernières années. La mise en place de Réseaux Privés Virtuelles (V.P.N.) associés à des méthodes d'authentification forte va permettre à la D.S.I. de mettre à disposition des dirigeants, des cadres supérieurs, des équipes nomades, et des ingénieurs en mission, entre autres, un accès au S.I., très souvent vital pour le bon déroulement de leurs missions. L association du V.P.N. et de l authentification forte va permettre à la DSI et aux responsables de la sécurité en particulier de s'assurer de l'identité de la personne qui se connecte au S.I. et que la transmission des données entre le poste nomade et le S.I. ne sera pas interceptée et ainsi garantir l'intégrité et la confidentialité des données. Une question importante reste dans l'air tout de même. Et les données embarquées, sont-elles protégées? Page 12/162

13 L'authentification et le chiffrement des communications constituent la base d'un périmètre de sécurité indispensable au bon déroulement de la "synchronisation" des données avec le S.I., mais il n'est pas suffisant d'avoir la garantie qu'il s'agit bien de "M. Dupont" qui se connecte au S.I., et que le canal qu'il utilise est sécurisé. Il est également indispensable d'assurer l'intégrité des données échangées avec le S.I.. Et pour cela il est nécessaire de sécuriser les périphériques nomades, en amont, à travers le chiffrement des données embarquées. Il convient de ne pas négliger l'aspect "domestique" du périphérique nomade car en réalité le cadre supérieur ou le commercial, entre autres, s'approprient facilement de l'ordinateur portable qui est mis à leur disposition dans le cadre de leurs différentes missions. L'installation d'applications "douteuses" non validées par le responsable de la sécurité doit être simplement proscrite. La politique de sécurité, d'intégrité et de confidentialité pourrait être dramatiquement compromise. Figure 2-Schéma simplifié d'un réseau V.P.N. La gestion locale des informations doit être réduite au maximum. Internet peut être utilisé comme un outil de travail extrêmement intéressant, cependant, son utilisation a fin de se connecter à l'entreprise comporte des risques extrêmement élevés. Les entreprises conscientes de ce risque utilisent des connexions de type V.P.N.. Le problème réside dans le fait que l'entité connectée via un "tunnel" de type V.P.N. reste aussi connectée sur Internet, et de ce fait les risques d'intrusion sont bien réels. Il me semble essentiel, d'équiper les périphériques nomades de systèmes de détection d'intrusion, de pare-feu personnel ainsi que d'un antivirus. Page 13/162

14 Une fois le périphérique nomade sécurisé dans sa globalité, l'entreprise peut, alors, envisager l'ouverture de son S.I.. Les informations alors échangées doivent être extrêmement réduites, les risques de perte d'information restent toujours très élevés, le disque dur d'un ordinateur est essentiellement constitué de pièces mécaniques très fragiles, susceptibles de tomber en panne au moment où l'ont s'y attend le moins. L'utilisation de techniques de type Client Léger 3 peuvent désormais répondre à ce souci de diminution de données embarquées, car la simple visualisation des données suffit aux besoins d'une grande partie des utilisateurs nomades. Cette pratique permet de diminuer la quantité de données sensibles stockées dans le disque dur du poste nomade, celui-ci ne pourra pas être utilisé afin de corrompre les bases de données de l'entreprise. Voir schéma fonctionnel de clients léger en annexe NOUVELLES TECHNOLOGIES La maturité des solutions de cryptage, ainsi que les produits destinés à établir les connexions des postes nomades vers les S.I. des entreprises, me laissent penser que la protection des données sensibles des postes nomades ne constitue plus un problème en soi. La conjugaison des différents produits du marché actuel (antivirus, pare-feu personnel, outils de cryptographie ) nous permet de créer un environnement de confiance acceptable. Néanmoins, I. B. G. (International Biometric Group) nous démontre en s'appuyant sur une étude de marché pour la période des années , que la biométrie peut apporter une nouvelle dimension en ce qui concerne le contrôle d'accès aux systèmes d'information (ordinateur / réseau), sans exclure toute la composante du commerce électronique. Prévision de la croissance du chiffre d'affaires de la Biométrie pour la période 1999/2005: 3 -Une session de type client léger/serveur est un modèle à partir du quel le déploiement, la gestion, le support et l exécution des applications s effectuent à 100% sur le serveur. Ce dernier utilise un système d exploitation multi-utilisateurs ainsi qu une méthode de distribution de la présentation de l interface d une application vers un poste client. Page 14/162

15 Figure 3-Illustration I.B.G. L utilisateur est de plus en plus réceptif à l utilisation de la biométrie, il n y a plus de méfiance à son égard et la demande est en forte augmentation. D'autre part la D. S. I., ou le responsable de la sécurité ne s'y opposent pas non plus à la mise en place d'un système qui leur permet de réduire drastiquement la complexité des contrôles d'accès aux S.I sera donc "l'année Biométrie" Page 15/162

16 Voici une liste non exhaustive des différentes applications pouvant utiliser la biométrie pour contrôler un accès (physique ou logique), aux applications, matériels, locaux etc. - Contrôle d'accès aux locaux. - Site sensible (service de recherche, site nucléaire). - Systèmes d'informations. - Lancement du système d'exploitation. - Accès au réseau. - Commerce électronique. - Transaction (financière "banques", données entre les entreprises). - Signature de document (lot de fabrication de médicaments). - Tous les logiciels utilisant un mot de passe. - Équipements de communication -Terminaux d'accès à Internet. - Téléphones portables. - Machines et équipements divers. - Coffre fort avec serrure électronique. - Distributeur automatique de billets. - Casier sensible (club de tir, police). - Cantine d'entreprise (pour éviter l'utilisation d'un badge par une personne extérieure). - Casier de piscine (plus d'objet à porter sur soi). -Contrôle des adhérents dans un club, carte de fidélité. - Contrôle des temps de présence. - Voiture (anti-démarrage). - État / Administration. - Fichier judiciaire. - Titres d'identité (carte nationale d'identité, passeport, permis de conduire, titre de séjour). - Services sociaux (sécurisation des règlements). - Services municipaux (sécurisation des accès aux écoles, contrôle de l'utilisation des services périscolaires). - Système de vote électronique. Page 16/162

17 2 CHAPITRE 2-AUTHENTIFICATION 2.1 AUTHENTIFICATION Organe fondamental pour le fonctionnement et le développement des entreprises, le Système d Information (S.I.) à l image d un coffre-fort, requière une gestion ainsi qu'un contrôle d accès très particuliers et quotidiens. Le développement commercial des entreprises, les besoins spécifiques du marketing, le e-commerce, la messagerie et autres techniques de communication réclament une ouverture des SI à un grand nombre d utilisateurs, internes et externes aux entreprises, y accédant depuis des postes fixes ou nomades, avec des outils multiples et variés et à partir d environnements de plus en plus hétérogènes. Cette ouverture accentuée, impose une vigilance accrue, des accès liés aux utilisateurs et/ou aux processus informatiques. Avec le déploiement des techniques de communication, comme l'internet et la Messagerie, ainsi que l'expansion plus qu'évidente du e-commerce, l identification, l authentification et les droits associés ne peuvent plus rester figés dans le temps ni dans l espace. D après le Garther Dataquest, le développement des systèmes de management du contrôle d identité et d'accès aux Systèmes d Information, a enregistré une croissance de près de 12% en Il est nécessaire de centraliser les données relatives aux authentifications et les droits associés, dans le but de réduire les coûts liés à la gestion et à la facilité de mise à jour de ceux-ci. Ce qui explique le surcroît et l engouement des entreprises dans la mise en place d outils dédiés. Intimement liés, l Identification et l Authentification constituent deux aspects complètement indépendants, malgré leur complémentarité. Il convient de rappeler que l identité d un individu est constituée par l ensemble des données, de fait et de droit, permettant d individualiser quelqu un, parmi d'autres. De ce fait: - L identification consiste en la vérification de l identité. - L authentification consiste à prouver son identité. 2.2 AUTHENTIFICATION DES UTILISATEURS Page 17/162

18 L'authentification de l'utilisateur vis-à-vis d'un ordinateur, d'un réseau ou d'un accès distant 4 complète le processus d'identification, car l'authentification permet de démontrer une identité déclarée, et de la stocker, dans une base de données destinée à cet effet Authentification locale En prenant Windows 2000 comme exemple de Système d'exploitation (OS 5 Operating System), l'utilisateur ouvre une session locale dans une station de travail au moyen des informations d'identification stockées dans le gestionnaire de compte S.A.M., (Security Accounts Manager) il s'agit de la base de données des comptes de sécurité locaux. N'importe quelle station de travail ou n'importe quel serveur membre, peut stocker les comptes d'utilisateurs locaux, ceux-ci ne peuvent l'utiliser que pour l'accès local à l'ordinateur. Figure 4-A) Ouverture session 4 -Le Service d'accès distant (RAS, Remote Access Service) Windows NT/2000 permet de relier les utilisateurs distants ou mobiles aux réseaux d'entreprise à l'aide d'un modem. 5 -Programme assurant la gestion de l'ordinateur et de ses composants. Exemples: Linux, Windows, Unix, MacOS ou encore BeOS. Page 18/162

19 Figure 5-B) Ouverture de session Authentification réseau Dans un serveur, un processus de contrôle valide l'identité et après authentification, donne l'accès aux données, aux applications, aux bases de données, aux fichiers ou à Internet, parmi un ensemble très large d'applications et processus que comporte un SI. Dans le cas contraire, si l'individu ou le processus n'est pas en mesure de prouver l'identité déclarée, l'accès au SI, lui est refusé. Exemple de fenêtre de connexion à un serveur de fichiers: Figure 6-Authentification réseau Page 19/162

20 L'authentification peut se faire de différentes manières, et notamment par la vérification des points suivants: - "Ce que je sais", un mot de passe par exemple. - "Ce que je sais faire", une signature manuscrite sur écran tactile/digital. - "Ce que je suis", une caractéristique physique comme une empreinte digitale. - "Ce que je possède", une carte à puce par exemple. Le choix d'une technique au détriment d'une autre s'effectue selon quatre critères: - Le niveau de sécurité. - Le coût de la solution retenue. - La complexité de déploiement et d administration. - L'acceptabilité de la solution retenue par les utilisateurs. Exemple de besoins d'authentifications spécifiques: - L'expéditeur d'un . - L authentification d'un utilisateur qui se connecte à distance. - L authentification d'un administrateur au système. - L authentification d'un client (e-commerce). - Payement en ligne 2.3 AUTHENTIFICATION FORTE La combinaison de plusieurs de ces méthodes (aussi appelées, facteurs d'authentification) permet de renforcer le processus d'authentification, nous parlerons alors d'authentification forte. Page 20/162

21 2.4 METHODES D'AUTHENTIFICATION Mots de passe Parmi toutes, le mot de passe est la technique la plus utilisée de nos jours, néanmoins, d'autres techniques peuvent être mises en place et utilisées pour une authentification plus "robuste" dite Authentification Forte. En ce qui concerne les mots de passe nous pouvons distinguer deux catégories: - Les mots de passe statiques. - Les mots de passe dynamiques. Les mots de passe statiques, comme leur nom l'indique, restent identiques pour plusieurs connexions sur un même compte. On rencontre ce type de mot de passe, sous des environnements Windows NT/2000 ou Unix. Cette technique d'authentification est la plus couramment utilisée dans les entreprises, par contre elle reste la plus vulnérable de toutes, car il n'est pas difficile de jeter un petit regard sur l'épaule de celui qui s'authentifie et facilement deviner son mot de passe à la saisie, sur le clavier. La restriction de ce type d'authentification, du point de vue des entreprises, serait une solution pour palier ce genre de vulnérabilités. Des solutions sont apparues pour palier cette faiblesse "relative" à l'usage du mot de passe statique. Par exemple, la combinaison de deux facteurs ("ce que je possède" et "ce que je sais") afin d'obtenir une authentification Forte. Les mots de passe sont obtenus par des générateurs de mots de passe dynamiques, (token 6 code) activés à l'aide d'un code d'identification personnel ou PIN 7 (Personal Identification Number). Ce mécanisme d'authentification forte, rend la capture du mot de passe en cours, inutile, compte tenue, que le Code PIN est personnel et confidentiel et que le Token Code est généré d'une façon aléatoire et d'une durée de vie de 60 secondes en général. 6 -Petit appareil destiné à générer des codes. Jeton en Français. 7 -Personal Identification Number. Identifiant d'un utilisateur sur un système multi utilisateur, et plus généralement, identifiant de quelqu'un dans un système quelconque. NIP en Français. Page 21/162

22 Figure 7-Mécanisme d'authentification forte Certificats à clé publique Les certificats à clés publiques PKI 8 (Public Key Infrastructure) constituent, derrière le mot de passe, l'une des techniques d'authentification les plus utilisées à ce jour, certes, loin derrière les mots de passe, mais il est certain que ce moyen d'authentification trouve de plus en plus d'adeptes. Basé sur une technologie de cryptographie asymétrique, il fait intervenir deux éléments qui sont mathématiquement liés entre eux : - La clé privée. - La clé publique. Nous aurons l'occasion de regarder plus en détail la technologie PKI dans le deuxième chapitre. Une fois les stations de travail équipées d'un lecteur de carte à puces, la personne qui souhaite se connecter, décline son identité et la prouve, via un certificat stocké dans la carte à puces. Le certificat est délivré par un tiers de confiance, et il est constitué par l'ensemble des informations relatives à la personne qui les possède. 8 -Ensemble de techniques, organisations, procédures et pratiques qui définissent l'implémentation et l'exploitation de certificat numériques basés sur la cryptographie à clés publiques Page 22/162

23 Principaux constructeurs de lecteurs de cartes à puce: Constructeur Modèle Interface American Express GCR435 USB Bull SmarTLP3 Serial Compaq Serial reader Serial Gemplus GCR410P Serial Gemplus GPR400 PCMCIA Gemplus GemPC430 USB Hewlett Packard ProtectTools Serial Litronic 220P Serial Schlumberger Reflex 20 PCMCIA Schlumberger Reflex 72 Serial Schlumberger Reflex Lite Serial SCM SCR111 Serial Microsystems SCM SCR200 Serial Microsystems SCM SCR120 PCMCIA Microsystems SCM SCR300 USB Figure 8-Lecteur de cartes à puce Microsystems Systemneeds External Serial Omnikey AG 2010 Serial Omnikey AG 2020 USB Omnikey AG 4000 PCMCIA Le prix moyen d'un lecteur est de 50 l'unité. Principaux constructeurs de cartes à puce: Gemplus GemSAFE 4k Gemplus GemSAFE 8k Infineon SICRYPT v2 Schlumberger Cryptoflex 4k Schlumberger Cryptoflex 8k Schlumberger Cyberflex Access 16k Figure 9-Carte à puce Le prix moyen d'une carte à puce est de 10 l'unité. Page 23/162

24 Exemple d'un certificat, en l'occurrence, délivré par la société VeriSing. Figure 10-Exemple d'un certificat Biométrie La biométrie est définie comme étant la science permettant l'identification d'individus à partir de leurs caractéristiques physiologiques ou comportementales. Les techniques biométriques sont classées en trois catégories: 1 - Les techniques fondées sur l'analyse de traces biologiques (ADN, sang, salive, ). 2 - Les techniques fondées sur l'analyse comportementale (dynamique du tracé de signature, frappe sur un clavier d'ordinateur,.). 3 - Les techniques fondées sur l'analyse morphologique (empreintes digitales, forme de la main, traits du visage, iris,...). Les caractéristiques doivent être universelles, autrement dit, exister chez tous les individus, elles doivent être uniques de façon à permettre l'identification d'un individu par rapport à un autre, elles doivent être Page 24/162

25 permanentes et facilement collectables, en vue d un enregistrement sur une base de données, pour une comparaison future. Enregistrement d'un utilisateur: Acquisition Extrait de la caracteristique Création fiche utilisateur Stockage Figure 11-Acquisition caractéristiques biométriques Authentification de l'utilisateur: Acquisition Extrait de la caracteristique Recherche dans la base de données comparaison fiche utilisateur Figure 12-Authentification biométrique Déroulement des différents processus d'authentification biométrique en annexe1. Page 25/162

26 L'implémentation d'un outil qui rende l'authentification unique, à l'ouverture de chaque session, permet d'éviter aux utilisateurs de retenir un nombre important de mots de passe. Le Single Sign On 9 (S.S.O.) par exemple. A noter, que la mise en place d'un S.S.O. ne contribue en aucun cas, à la robustesse du processus de contrôle d'accès au SI, il s'agit simplement d'un point d'entrée unique. Si pour une raison quelconque, cette identification unique venait à céder, les conséquences pourraient être catastrophiques pour la sécurité du S.I.. Pour pallier cette contrainte il est souhaitable de coupler le contrôle d'accès des utilisateurs au S.I., via un serveur S.S.O., à une méthode d'authentification Forte. Tableau récapitulatif des vulnérabilités des techniques d'authentification les plus utilisées: Copie Vol Oubli Perte Clé Badge Code Empreinte Solution logicielle basée sur un annuaire, qui permet aux utilisateurs d'un réseau d'entreprise d'accéder, en toute transparence, à l'ensemble des ressources autorisées. Page 26/162

27 Tableau non exhaustif des avantages et des inconvénients des techniques d'authentification les plus utilisées: Mot de passe statique Mot de passe statique stocké dans une carte magnétique activée par code PIN Mot de passe dynamique généré par un outil logiciel Avantages - peu coûteux - facile à mettre en oeuvre - facile à utiliser - robustesse du mot de passe (possibilité de choisir un mot de passe aléatoire et comprenant des caractères spéciaux) - pas de nécessité de mémoriser le mot de passe - robustesse du mot de passe (mot de passe souvent aléatoire et comprenant des caractères spéciaux) - confort d'utilisation pour l'utilisateur (absence de mémorisation du mot de passe) Inconvénients - vol du mot de passe en regardant par dessus l'épaule - oubli du mot de passe - peu robuste (facilement devinable ou "craquable") - partageable, et trop souvent partagé - mot de passe re-jouable par une personne malveillante - vol, perte ou oubli de la carte - carte partageable - durée de vie du mot de passe souvent trop longue : nécessité de renouveler régulièrement l'enregistrement dans la carte - mot de passe re-jouable - peu de confort d'utilisation (nécessité d'utiliser un logiciel à chaque nouvelle connexion) - protection de l'utilisation du logiciel par une personne non autorisée Mot de passe dynamique généré par un outil matériel Certificat X.509 dans le navigateur de l'ordinateur Certificat X.509 dans un token USB - confort d'utilisation pour l'utilisateur (absence de mémorisation du mot de passe) - robustesse du mot de passe (usage unique) - multi usage - robustesse de la méthode d'authentification - confort d'utilisation pour l'utilisateur - multi usage - robustesse de la méthode d'authentification - attitude similaire à la possession de clés (maison, voiture) - vol, perte ou oubli du générateur de mot de passe - le générateur peut se désynchroniser avec le serveur qui contrôle la vérification du mot de passe - vol ou utilisation frauduleuse de l'ordinateur et copie de la clé privée associée au certificat - vol, perte ou oubli du token 2.5 PRINCIPAUX PROTOCOLES D'AUTHENTIFICATION Page 27/162

28 2.5.1 Protocole PAP Le protocole P.A.P. (Password Authentication Protocol) utilise des mots de passe en texte brut (protocole d'authentification peu sophistiqué). Le protocole PAP est généralement utilisé, lorsque la connexion et le serveur ne peuvent négocier aucun moyen de validation plus sûr Protocole CHAP Le protocole CHAP (Challenge Handshake Authentication Protocol) négocie une forme sécurisée d'authentification cryptée à l'aide de Message Digest 5 10 (MD5), un modèle de hachage normalisé. Le hachage est une méthode de transformation des données (par exemple un mot de passe) en un résultat unique qui ne peut plus retrouver sa forme d'origine. Le protocole CHAP utilise un système de question/réponse avec hachage MD5 unidirectionnel de la réponse. Vous pouvez ainsi, démontrer au serveur, que vous connaissez le mot de passe sans envoyer réellement celui-ci sur le réseau. A l'occasion d'une connexion distante, l'accès distant de Windows 2000 peut négocier une authentification en texte brut, si l'autre produit ne prend pas en charge l'authentification cryptée. Toutefois, si la connexion est configurée pour exiger l'authentification cryptée, et que le serveur authentifiant, n'est configuré que pour l'authentification en texte brut, la connexion sera stoppée Protocole SPAP Grâce au protocole S.P.A.P. (Shiva Password Authentification Protocol), les clients Shiva 11, peuvent appeler des ordinateurs qui exécutent Windows 2000 Server, tandis que les clients Windows 2000 peuvent appeler les serveurs Shiva. Si un serveur requiert l'utilisation du protocole SPAP, vous ne pouvez pas exiger le cryptage des données. 10 -Fonction définie dans la RFC Il s'agit d'un hachage unidirectionnel, permettant d'identifier un message, car deux messages produiront deux hachages différents, et il est impossible de retrouver le message à partir de son hachage. 11 -Shiva Gold est un logiciel d'administration d'espaces multimédia, salles de jeux, cybercafés. Page 28/162

29 2.5.4 Protocole MS-CHAP Le protocole MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) a été créé par Microsoft avec l'objectif, d authentifier les stations de travail Windows distantes, en fournissant les mêmes fonctionnalités des réseaux locaux tout en intégrant les algorithmes de cryptage et de hachage utilisés sur les réseaux Windows. Ce protocole utilise un système de question/réponse avec cryptage unidirectionnel de la réponse. Son paquet de réponse, possède un format spécialement conçu pour les produits réseau Windows NT / 2000, ainsi que Windows 95 et les versions ultérieures. Le protocole, MS-CHAP n'exige pas l'utilisation de mots de passe cryptés. L'administrateur du système, peut définir les règles de modification des mots de passe et des nouvelles tentatives d authentification, pour les utilisateurs qui se connectent au serveur. Il existe une version du protocole MS-CHAP spécialement conçue pour la connexion à un serveur exécutant Windows 95. Vous devez utiliser cette version si vous vous connectez à un serveur exécutant Windows Protocole MS-CHAP v2 MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2) est un protocole d'authentification mutuelle, le client et le serveur prouvent leur identité. Ce qui signifie que, si le serveur auquel nous nous sommes connectés, ne prouve pas son identité, la connexion est arrêtée. Cette fonction nous permet de configurer la connexion, de façon à assurer une connexion au serveur spécifié. Ce nouveau protocole offre des clés de cryptage initial des données, plus robustes, ainsi que différentes clés de cryptage pour l'envoi et la réception. Pour réduire le risque d'appropriation des mots de passe au cours d'échanges MS-CHAP, MS-CHAP v2 abandonne la prise en charge de la modification des mots de passe MS-CHAP et ne transmet pas de mot de passe codé VPN Pour les connexions V.P.N. (Virtual Private Network), Windows 2000 Server propose le protocole MS-CHAP v2 plutôt que l'ancien protocole MS- CHAP. Les clients Windows mis à jour, acceptent le protocole MS-CHAP v2 lorsque celui-ci leur est proposé. Les connexions d'accès à distance ne sont pas affectées. Page 29/162

30 Les connexions V.P.N. et les connexions d'accès à distance Windows 2000 peuvent utiliser le protocole MS-CHAP v2. Les ordinateurs Windows NT 4.0 et Windows 98 ne peuvent utiliser que l'authentification MS-CHAP v2 pour les connexions VPN PPP Le P.P.P. (Point-to-Point Protocol) utilise une méthode de transmission de "packets 12 " en liens série points à points. Il s'agit de la méthode la plus populaire pour les connexions à Internet, en utilisant une ligne téléphonique régulière, car il permet l'utilisation d'autres protocoles tels que "IPX", "TCP/IP" et "Netbeui" sur une connexion téléphonique standard Protocole EAP Le protocole E.A.P. (Extensible Authentication Protocol) est une extension du protocole P.P.P. (Point-to-Point Protocol). Le protocole EAP a été développé pour répondre à la demande croissante d authentification des utilisateurs d'accès distant, employant d'autres périphériques de sécurité. Grâce au protocole EAP, il est possible d'ajouter la prise en charge de plusieurs modèles d'authentification, notamment les cartes à jeton, les mots de passe à usage unique et l'authentification par clé publique, utilisant des cartes à puce, des certificats, etc 2.6 CONTROLE D'ACCES AUX RESSOURCES Dans le cadre d'un réseau d'entreprise, la mise à disposition des salariés et des collaborateurs, d'un local de "stockage" et du partage de données, semble tout à fait normal et naturel. Toutefois, la maîtrise de ces espaces, reste indispensable, car un espace collaboratif non maîtrisé, constitue un point de faiblesse au coeur du S.I., et un point d'entrée et de sortie d'information, non maîtrisé. Dans les cas de Windows 2000 cette maîtrise peut être matérialisée à travers la gestion des utilisateurs, dans les groupes locaux et globaux. 12 -Terme commun pour désigner une unité standard de donnée expédiée à travers le réseau. Page 30/162

31 Figure 13-Gestion d'utilisateurs et groupes locaux En mettant en place des répertoires personnels et confidentiels (au niveau d'un serveur de fichiers) à la disposition des utilisateurs nous allons les inciter à sauvegarder leurs données "sensibles". En ayant une bonne politique de sauvegardes, l'utilisateur se sentira protégé. Avec la mise en place de quotas d'utilisation d'espace disque sur les serveurs, l'utilisateur se sentira "obligé" de sauvegarder vraiment le strict nécessaire et indispensable. Attention, tout de même, à ne pas "donner" des quotas trop petits, car le manque de place peut avoir un effet inverse, et le stockage des donnes "sensibles" se faire un peu partout, sauf à l'emplacement désiré. Je détaillerai cette problématique au cours du. Chapitre 5 sous le thème des sauvegardes des données. Page 31/162

32 Schéma simplifié de l'architecture d'un serveur de fichiers: Figure 14-Schéma simplifié de l'architecture d'un serveur de fichiers Page 32/162

33 3 CHAPITRE 3-CRYPTOGRAPHIE 3.1 CRYPTOGRAPHIE Depuis la nuit des temps, la transmission d'informations sensibles et confidentielles, a employé des techniques de protection et de sécurisation performantes. Le chiffre dit de "Jules César", 40 ACN en témoigne. Il s'agissait de la méthode que Jules César utilisa pour transmettre ses ordres à ses commandants sur le front de bataille. Le principe utilisé, était extrêmement simple, il s'agissait de remplacer une lettre par la lettre suivante dans l'ordre de l'alphabet. Exemple de message codé: Message d'origine Message codé = BONJOUR = CPOKPVS La technique de Jules César, dont la force résidait, dans le fait que, personne d'autre ne connaissait son utilisation, cette technique est à l'origine de nombreux systèmes cryptographiques plus complexes et plus sophistiqués. Plus récemment, en particulier depuis la Seconde Guerre Mondiale, sous un climat de Guerre Froide le développement des techniques cryptographiques a gagné une nouvelle ampleur. Les besoins militaires, ainsi que les applications civiles du chiffrement (banques, télécommunications, informatique, cartes bancaires...) se transforment en une puissante courroie de transmission du développement et d amélioration des techniques cryptographiques. Parallèlement, un nouveau type de cryptographie, qui va révolutionner et apporter une sécurité "théorique" bien supérieure, est inventé. Les grandes puissances militaires, économiques et politiques, se sont engagées dans le développement de nouvelles formes cryptographiques, en premier lieu, les codages alphabétiques et numériques simples, et ensuite des techniques cryptographiques plus musclées, et ce, grâce à l'outil mathématique. Le développement des S.I., a provoqué une explosion dans le développement cryptologie, véritable science régissant le codage de l'information, passant d'une ère plus au moins artisanale et confidentielle, à une nouvelle ère, celle des systèmes de très hautes technologies nécessitant une puissance de calcul phénoménale. Puis, l'arrivée des nouvelles technologies de communication, comme l'internet, a imposé une nécessité Page 33/162

34 absolue de protéger les données échangées au quotidien dans la "toile", avec le souci du respect de la vie privée d'autrui et de l'individu. Voici une petite enquête menée par le site à la fin du mois de novembre Pas exhaustive, très simpliste même, mais assez démonstrative de l'utilisation du cryptage des données, en milieu extra professionnel: Le cryptage de données C'est quoi çà? 7% Je le fais de temps en temps. 29 % Je crypte régulièrement. 28 % Je n'ai pas le temps de crypter. 27 % Comment on crypte des données? 7 % Source: INTRODUCTION A LA CRYPTOGRAPHIE Le cryptage ou "encryptage, chiffrage, chiffrement, encryptions" se traduit par la transformation des données, de manière à ce que, seuls ceux qui ont la clé de décryptage, puissent les exploiter. L'objectif premier est, bien sûr, d'améliorer la protection et la confidentialité de notre vie privée, en empêchant l'exploitation et les regards extérieurs indiscrets, en empêchant, ou du moins,en retardant au maximum, la prise de connaissance des informations qui nous sont strictement personnelles et confidentielles, et ce, même si ces données circulent librement dans les réseaux de l'information. Dés lors qu'on transpose cette réalité au monde du commerce, l'objectif, est de rendre les informations confidentielles, dites "sensibles", comme la comptabilité, les données des ressources humaines, les projets en cours ou à venir, etc le cryptage des données devient une pratique capitale pour le maintien et la survie de la société. Imaginons un seul instant, que la formule d'un "précieux" parfum venait à tomber dans les mains d une entreprise concurrente. Catastrophique, n'est ce pas? Le cryptage trouve aussi sa place, dans le cadre de la sécurité des communications circulant sur un réseau non sécurisé. Exemple: Sonia désire envoyer un message à Angelo tout en voulant être sûre qu'angelo sera le seul à pouvoir le lire. Sonia va crypter le message avec une clé de cryptage. Une fois ce message crypté elle l'envoie, à Angelo, qui le décryptera avec sa clé de décryptage et pourra donc, lire le message tout à Page 34/162

35 fait normalement. La question qui émane rapidement est de savoir comment Angelo connaît la clé de décryptage du message envoyé par Sonia? Est-ce Sonia qui lui a donné? Certainement, mais comment être sur que seul Angelo la connaît? Regardons ensemble les mécanismes qui permettent de répondre à ces Techniques de Cryptographie. La cryptologie, est la science qui régit la cryptographie, et elle est essentiellement basée sur l'arithmétique. Ainsi si nous prenons comme exemple un texte, son cryptage, consiste à transformer les lettres qui le composent (le message), en une succession de chiffres sous forme de bits 13, pour permettre le fonctionnement binaire des ordinateurs, et ensuite, faire des calculs sur ces chiffres, pour deux raisons: - Pour modifier le message et le rendre incompréhensible. Le résultat de cette action est appelé cryptogramme (le message chiffré). - Faire en sorte que le destinataire puisse le déchiffrer en utilisant les outils préétablis dans le protocole de communication, qui peuvent être joints aux données. Le fait de coder un message, de façon à le rendre secret, s'appelle le chiffrement. La méthode inverse, consistant à retrouver le message original, est appelée, le déchiffrement. Canal de communication Figure 15-Cryptogramme Le chiffrement, est fait à l'aide de la clef de chiffrement, le déchiffrement, l est, avec une clef de déchiffrement. 13 -Unité binaire de quantité d'information qui peut représenter deux valeurs distinctes, 0 ou 1. Page 35/162

36 Nous distinguons généralement, deux types de clés: 1 - Les clés symétriques: Des clés identiques sont utilisées, à la fois, pour le chiffrement et pour le déchiffrement. Il s'agit du chiffrement symétrique ou de chiffrement à clé secrète (Cryptographie à clé privée). 2 - Les clés asymétriques: Des clés différentes sont utilisées, pour le chiffrement et le déchiffrement. Il s'agit du chiffrement asymétrique (Cryptographie à clé publique). La cryptographie quantique, système de sécurisation basé sur la polarisation des photons, est apparue dans les années soixante-dix. Technique complètement différente des crypto-systèmes à clé, compte tenu, qu'elle fonctionne sur des propriétés physiques intrinsèques au système. 3.3 CHIFFREMENT Chiffrement à clé secrète Le chiffrement à clé symétrique, aussi appelé chiffrement à clé privée ou chiffrement à clé secrète, est basé sur l'utilisation de la même clé pour le chiffrement et le déchiffrement. Pour que Sonia puisse envoyer un message chiffré à Angelo, et que celui-ci puisse le déchiffrer et, le lire par la suite, un échange de clé privée doit être effectué auparavant. Cet échange comporte des risques, non négligeables, d'interception de la clé privée. Cette clé peut être utilisée pour l'échange de plusieurs messages et dans ce cas, le facteur confiance en l'utilisateur devient un élément capital de l'intégrité des échanges. Ou bien, la clé de chiffrement, peut être modifiée à chaque échange. Si cette deuxième solution est retenue, il reste le problème de la gestion des clés; car le nombre total de clés augmente beaucoup plus rapidement que celui des protagonistes. Figure 16-Chiffrement à clé privée Page 36/162

37 Les travaux de Gilbert Vernam et Joseph Marlogne dans les années 20, mettent au point la méthode du masque jetable (one time pad), basée sur une clé privée générée aléatoirement, et utilisée une seule fois puis, détruite. Pour la petite histoire, à noter que les communications entre la Maison Blanche et le Kremlin étaient cryptées, par une clé privée, selon la méthode du "masque jetable". La valise diplomatique était le moyen d'échange des clés, jouant ainsi le rôle de canal sécurisé. L intérêt d un tel système de chiffrement, est sérieusement remis en cause par Claude Shannon (années 80) en démontrant, que, pour être totalement sûr, les systèmes à clé privée, doivent utiliser les clés d une longueur au moins, égale à celle du message à chiffrer, et bien sur, un tel système de chiffrement impose l'existence d'un canal sécurisé pour l échange de la clé, ce qui dégrade sérieusement les communications et les échanges réseau. Le D.E.S. (Data Encryption Standard) peut être cité, comme exemple de chiffrement à clé secrète D.E.S. (Data Encryption Standard) Le N.B.S. (National Bureau of Standards) a lancé un appel dans le Federal Register (début des années 70) pour la création d un algorithme de cryptage répondant à critères très particuliers, à savoir : 1 - Ayant un haut niveau de sécurité lié à une clé. 2 - Compréhensible. 3 - Indépendant de la confidentialité de l algorithme. 4 - Adaptable et économique. 5 - Efficace et exportable. Quatre ans plus tard, I.B.M. propose une solution baptisée Lucifer. Avec le concours de la N.S.A. 14, Lucifer est modifié, pour donner naissance à D.E.S.. Standard de Cryptage de Données (Data Encryption Standard) le 23 novembre En 1978 le DES est finalement approuvé par le N.B.S. et depuis, utilisé pour la cryptographie et l authentification de données. Il a été jugé extrêmement difficile à percer, à tel point, qu'il finit par être adopté par le Ministère de la Défense des Etats-Unis qui le contrôlé par la suite. Les chercheurs d I.B.M. ont pensé et développé D.E.S. dans le but de répondre à la demande des banques en matière de chiffrement des données. I.B.M. a donc créé, des processeurs dédiés implantés directement en machine, capables de crypter et de décrypter rapidement des données avec cet 14 -National Security Agency. Page 37/162

38 algorithme. D.E.S. a été étudié intensivement depuis, et il est devenu l algorithme le mieux connu et le plus utilisé dans le monde, à ce jour. Nonobstant la robustesse de D.E.S. une grande partie des entreprises, préfère utiliser le "triple-d.e.s.". Le "triple-d.e.s." n est plus, ni moins, que l algorithme D.E.S. appliqué trois fois, avec trois clés privées différentes. Schéma représentant l'algorithme D.E.S.: Figure 17-Schéma représentant l'algorithme D.E.S. Sources: Chiffrement a clé publique P.K.C. (Public Key Cryptosystem) Moins performant que le D.E.S., certes, le P.K.C. (Public Key Cryptosystem) élimine le problème de l échange des clés, compte tenu de l'utilisation à la fois d'une clé de chiffrage publique, transmise sans cryptage, et d'une clé de déchiffrage privé, qui n est accessible qu au destinataire du message. Ce procédé, permet de résoudre le problème de confidentialité de la transmission, tout en authentifiant l émetteur du message. Page 38/162

39 Il est possible d'affirmer qu'il s'agit d une signature électronique, qui va permettre la réalisation de transactions commerciales, sur un réseau publique comme Internet. L'authentification mise en œuvre par les cartes bancaires à puce, est basée sur ce principe, l'individu possédant une carte de ce type est authentifié par le couple: - Carte à puce. - Code secret. Schéma fonctionnel, simplifié, d'une infrastructure PKI: Autorité de Certification Service de publication certificats Autorité d'enregistrement Serveur de licences Autorité de séquestre Autorité(s) de Validation demandes certificats retirer les certificats renouveler révoquer recouvrement de clés Vérification de validité des certificats et des signatures Clients Utilisateur s internes Internet Intranet Serveurs applicatifs Figure 18-Schéma fonctionnel simplifié, d'une P.K. Page 39/162

40 Whitfield Diffie et Martin Hellman, chercheurs à l Université de Stanford, introduisent en 1976, le concept de clé publique, dans le monde de la cryptologie. Partant du principe que seul le destinataire du message à déchiffrer doit posséder la clé de déchiffrement, le chiffrement du message par l'expéditeur peut être exécuté par une clé connue de tout le monde, (la clé publique) à condition, que la clé publique, ne permette pas de réduire la valeur de la clé secrète. De ce fait, pouvoir déchiffrer un message, apporte la preuve que le destinataire est en possession de la clé privée. Nous parlons alors, de Cryptographie asymétrique. Leurs travaux ralentissent, car les difficultés des deux chercheurs à proposer un véritable crypto système à clé publique, sont évidentes. Pendant ce temps, le M.I.T. (Massachusetts Institute of Technology) reprend l idée. Diffie et Hellman publient en 1978 un procédé de chiffrement, mettant en œuvre leurs idées de base. Un premier constat: - La clé publique autorise le transport des clés conventionnelles sans avoir recours à l existence d un canal sécurisé pour l'échange des clés. - Un système de chiffrement peut être utilisé comme mode d authentification. En fait, si nous reculons un peu dans l'histoire, nous trouvons un mécanisme similaire développé dans les années 50 par l Armée de l Air américaine, qui consistait à identifier les appareils "amis" par leur capacité à déchiffrer un message choisi au hasard et inclus dans le signal radar. Page 40/162

41 Figure 19-Chiffrement à clé publique Le système R.S.A. En 1978, naît R.S.A., algorithme à clé publique de Ron Rivest, Adi Shamir et Leonard Adelman. À l aube de l an 2000, il servait encore, à protéger les codes nucléaires des Armées Américaine et Soviétique. Le brevet de cet algorithme est propriété de la Société américaine R.S.A. Data Security, qui fait maintenant partie de Security Dynamics et Public Key Parteners, P.K.P. à Sunnyvale, Californie, Etats-Unis, qui possèdent les droits sur les algorithmes à clé publique en général. R.S.A. est un algorithme à clé publique qui sert aussi bien à la cryptographie de documents, qu à leur authentification. S'agissant d'un algorithme à clé publique et étant très sûr, R.S.A. s'est imposé comme standard, dans le domaine de la cryptographie L authentification de documents Authentifier un document, c est être certain de l identité de l auteur du document en question. Cette authentification se fait en général sur un document papier et elle peut se révéler indispensable, dans le cadre d'un litige sur un contrat commercial, par exemple. L authentification se fait toujours sur un contrat papier, par une signature manuscrite et reconnue par un tiers de confiance, un notaire en général. Dans le cadre de Page 41/162

42 l authentification d un document informatique, il est complètement impossible d'y apposer une signature manuscrite. La solution passe par l'apposition d'une signature "digitale". Comment? En cryptant avec notre clé privée nos noms, prénom et fonction ou statut au sein de l'entreprise. Ainsi pour vérifier que Sonia est bien l'auteur du document envoyé à Angelo, il suffit d'utiliser la clé publique de Sonia, pour le décryptage du document en question. Si le décryptage fonctionne, il est donc possible d'affirmer que la signature a été créée avec la clé privée de Sonia. Page 42/162

43 Tableau récapitulatif de la gestion des clés avec R.S.A.: Pour... nous utilisons de qui? Envoyer un document crypté à la clé publique du destinataire quelqu un Envoyer une signature cryptée à la clé privée de l expéditeur quelqu un Décrypter un document la clé privée du destinataire Décrypter une signature la clé publique de l expéditeur 3.4 CRYPTOGRAPHIE HYBRIDE P.G.P. Pretty Good Privacy P.G.P. est un crypto-système hybride, autrement dit ce crypto-système combine des fonctionnalités de la cryptographie de clé publique et de la cryptographie conventionnelle. De nos jours, la convergence entre la facilité d utilisation du chiffrement asymétrique et la vitesse du chiffrement symétrique font de P.G.P; un crypto-système extrêmement performant et d'un niveau de sécurité absolument convenable. Le chiffrement se fait en deux étapes distinctes: 1 - La première, consiste en la création d'une clé secrète I.D.E.A.15 (International Data Encryption Algorithm) de manière aléatoire, et ensuite, l'utilisation de cette même clé pour le chiffrement des données. 2 - La deuxième étape, chiffre la clé secrète I.D.E.A. créée précédemment au moyen de la clé R.S.A. publique du destinataire de notre message. Le processus inverse est mis en œuvre pour déchiffrer le message reçu par notre destinataire. 1 - A l'aide de sa clé privée R.S.A., le destinataire déchiffre la clé secrète I.D.E.A Le destinataire déchiffre les données à l'aide de la clé secrète I.D.E.A. qu'il vient d'obtenir. 15 -Algorithme de chiffrement développé par X. Lai et J. Massey en Suisse au début des années Page 43/162

44 P.G.P. utilise une fonction de hachage lors de son mécanisme de chiffrement qui permet d'alléger considérablement le taux d'occupation d'espace disque, le temps de transfert par modem et l'occupation des réseaux L.A.N.16 et W.A.N.17. Ce mode de fonctionnement permet par ailleurs, de réduire l'exploitation par les cryptanalystes des modèles trouvés dans le texte en clair, compte tenue que la fonction de hachage réduit ces modèles dans le texte en clair, améliorant ainsi la résistance à la cryptanalyse. Figure 20-Mode de fonctionnement de P.G.P. 16 -Réseau local "Local Area Network", dont les câbles ne font pas plus que quelques centaines de mètres de long, rencontré par exemple dans les entreprises. 17 -Réseau de grande taille Wide Area Network, parfois mondial. Page 44/162

45 3.5 LE SCELLEMENT L'implémentation de systèmes à clé publique a permis de mettre en place des mécanismes de signature digitale. Il est alors possible de garantir, pas simplement l'intégrité des données, mais aussi son auteur. Toutefois le coût très élevé de ces algorithmes de chiffrement, rend la solution quasi prohibitive. Des mesures de contournement sont utilisées, notamment à travers l'utilisation de la fonction de scellement. Les fonctions de scellement, sont utilisées pour la vérification des informations sensibles. Exemple de fonctionnement de la fonction de scellement: Figure 21-Scellement Comparaison des forces des algorithmes: Type Degré de sécurité * Implémentation Vitesse Idea De type militaire 128 bit Secret partagé Rapide Blowfish De type militaire 256 to 448 bit Secret Très rapide partagé DES Bas 40 to 56 bit Secret partagé Rapide RSA De type militaire 2048 bit Clé publique Très lent MD5 Elevé 128 bit Message Digest Lent SHA Elevé 160 bit Message Digest Lent * dépend de la longueur de la clé, évaluée en fonction de la longueur maximale de la clé Page 45/162

46 3.6 LA CRYPTOGRAPHIE QUANTIQUE Existe-il un crypto-système sûr? Oui! Il existe! Comme nous l'avons déjà vu, l'échange des communications dites secrètes entre la Maison Blanche et le Kremlin sont considérés sûrs, en revanche les moyens employés sont démesurés, notamment le canal utilisé pour le transport des clés, en l'occurrence la fameuse valise diplomatique. Même si ce canal n'est pas totalement inviolable, il est convenu que les moyens mis en œuvre son considérés sûrs. Ce mécanisme de chiffrement emploi des clés aussi longues que le message ce qui pose d'énormes problèmes de transmission, de ce fait nous conviendrons que la mécanique employée est quasiment impossible à mettre en place dans le cadre de l'échange des communications "sensibles" de nos entreprises. Le jeudi, 03/06/2004, des tests effectués, dans le cadre du projet Qnet 18, entre B.B.N. Technologies Cambridge, Massachusetts et l'université de Harvard, aux Etats-Unis, laissent espérer que la cryptographie quantique pourra à court terme résoudre cette problématique. Pour le moment, et en tenant compte de l'annonce de juin2004, les chercheurs sont sur la bonne voie, sachant que Qnet, (réseau constitué de plus de deux machines) a utilisé avec succès la cryptographie quantique dans les échanges de données entre les deux institutions. Cette fois, les théorèmes mathématiques et les algorithmes ne seront plus à la base de la sécurité des données, à contrario, les lois fondamentales de la physique seront les grandes ouvrières de ce vaste chantier. La mécanique mise en route par la cryptographie quantique, est basée sur le fait que les photons prennent en charge le transport des clés "quantiques". En sachant que chaque photon peut être polarisé, c'est-à-dire, que nous pouvons imposer une direction à son champ électrique il devient possible de mettre en place un filtre polarisant, suivi d'un détecteur de photons qui nous permettrait d'établir une communication binaire entre deux machines. Voir polarisation des photons en annexe Abréviation de "Quantum Net" nom du réseau qui teste la cryptographie quantique. Page 46/162

47 Figure 22-Filtre rectiligne "cryptographie quantique" Malgré son allure futuriste, cette nouvelle forme de cryptographie ne rencontre plus que quelques obstacles à son implémentation. D'une part, le coût très élevé des machines qui l'implémentent, et d'autre part, la portée relativement courte des échanges possibles (50 Km). Ce qui nous laisse croire que cette technologie est destinée (dans un premier temps) à des organismes gouvernementaux et éventuellement, a des organismes bancaires. Page 47/162

48 4 CHAPITRE 4-ORGANISATION ET PROCEDURES 4.1 INTRODUCTION Une grande majorité des ordinateurs installés dans les entreprises, sont des ordinateurs portables, au premier trimestre 2004 le marché des ordinateurs portables professionnels enregistre une croissance de 45% par rapport à la même période de l'année précédente. Une large "palette" de la population utilisatrice de ces machines utilise leur capacité de stockage (de plus en plus importante) pour le transport, le stock et la sauvegarde d une quantité non négligeable de données. Malheureusement, les escrocs le savent. Dans les gares, dans les aéroports ou dans nos locaux de travail, les disparitions de ces équipements sont très fréquentes, et bien évidemment les données disparaissent aussi. L'objectif de ce Mémoire, et en particulier de ce chapitre, est de mettre en évidence la nécessité de crypter les données dites sensibles, contenues dans les disques durs de ces équipements. Je vais donc mettre en pratique la procédure de cryptage des données et vous expliquer les choix des outils retenus pour cette opération. Je vous parlerai des avantages et des inconvénients du cryptage des données, et, en fin de chapitre, je ferai une légère incursion dans le monde des Virus, Vers et Chevaux de Troie. 4.2 OUTILS DE CRYPTAGE La liste des produits cryptologiques est vaste (détail en annexe 5) en ce qui me concerne j'ai choisi trois produits bien précis. Les critères de choix ont été les suivants: - Simplicité d'utilisation. - Valeur d'investissement (prix à l'achat). - Qualité du produit. Je tiens à souligner qu'il s'agit d'une appréciation strictement personnelle, et cela ne doit pas mettre en cause la qualité de l'ensemble des produits du marché. A titre d'exemple et si je tiens compte de l'interview donné par Samuel Barbaud, le R.S.S.I. 19 de la maison Cartier au Journal du Net le Responsable de la Sécurité du Système d'information Page 48/162

49 décembre 2002, le cryptage intégral des disques durs de leurs PC portables se fait avec la solution d'ultimaco Safeguard. Voici un tableau des produits retenus: Produit E. F.S. Système de Fichiers MCROSOFT Cryptés P. G. P. Pretty Good Privacy Security Box Entreprise Logiciel libre développé par les utilisateurs regroupés autour du groupe de travail OpenPGP 20 MSI 21 Méthodes et Solutions Informatiques E. F. S. J'ai une préférence particulière pour E.F.S. Système de Fichiers Crypté (Encrypting File System) pour le cryptage des données. E. F. S. est fourni en standard dans les Systèmes d'exploitation de Microsoft, Windows 2000 et ultérieurs. La question est: pourquoi E. F. S.? Trois raisons sont essentiellement, à la base de ce choix: - Économiques: Le système E.F.S. est fourni en standard dans les O. S. Microsoft, donc pas d'effort financier à fournir. - Pour la simplicité d'utilisation du système: Aucun effort "administratif" de la part de l'utilisateur pour crypter ou décrypter les données qu'il manipule. - Pour sa compatibilité avec l O. S. Microsoft. Compatible avec Windows 2000 et versions ultérieures. Une seule exigence: que le disque dur soit formaté 22 au format N.T.F.S Le standard OpenPGP est libre et développé par tous les utilisateurs autour du groupe de travail OpenPGP de l'ietf (Internet Engineering Task Force. 21 -MSI, éditeur spécialisé dans la sécurisation des données. 22 -Opération visant à effacer les données d'un support de stockage et le préparer à recevoir de nouvelles données. 23 -En Anglais: New Technology File System. Technologie d'archivage de l'emplacement des fichiers propre à Windows NT. Page 49/162

50 L'hégémonie de Microsoft sur les marchés des logiciels qui équipent les ordinateurs "clients" ne laisse pas trop de marge de choix. Mieux vaut assurer une compatibilité et une évolutivité au départ, que de passer une partie du temps à appliquer des "rustines" de correction. Part de marché de Microsoft sur l O. S. Parts de marché des systèmes d'exploitation sur postes clients en 2002 Microsoft Windows 93,80% MacOS 2,90% Linux 2,80% Autres 0,50% P.G.P. P.G.P., Pretty Good Privacy est probablement un des logiciels les plus connus dans le domaine de la protection des données, il est très souvent utilisé pour protéger le courrier électronique. P.G.P. est un logiciel de cryptage gratuit, il est proposé en libre téléchargement sur de nombreux sites. P.G.P. est disponible pour les platesformes Windows ainsi que pour, BeOS, Linux et MacOS Installation PGP Dès son l'installation, PGP vous demande des renseignements suivants : vos Nom et , par la suite, il vous demandera de choisir les composants à installer, et cela, en fonction du client de messagerie que vous utilisez. En ce qui me concerne, j'installe les deux produits présents dans ma configuration, cette opération ne pose pas de problèmes de compatibilité, car vous pouvez changer à tout moment de client de messagerie sans se soucier de la compatibilité. 23 -Découper (logiquement) un disque dur en plusieurs sous unités gérées comme autant de disques plus petits. Page 50/162

51 Figure 23-Choix du client messagerie sous P.G.P. L'installation suit son cours, et vous propose de lancer P.G.P.Keys.. Une fois lancée, P.G.P.Keys va créer une nouvelle paire de clefs, la clef privée et la clef publique. Si l'assistant de création ne se lance pas, cliquez sur l'icône de la barre d'outils "Générer une nouvelle paire de clés". Il suffit de suivre les instructions, pour poursuivre l'installation. Pour générer votre clé privée, P.G.P.Keys vous demande de saisir une phrase "secrète", cette phrase servira à générer votre clé privée. Une barre indicatrice permet de mesurer la complexité de la phrase secrète. Il convient d'y introduire des caractères spéciaux, accentués, des chiffres etc. vous devez mémoriser impérativement cette phrase, elle vous sera indispensable pour vous servir de P.G.P.. Dans mon cas, et à titre de test, j'ai saisi la phrase suivante: Je-M'appelle-Antonio! Page 51/162

52 Figure 24-Saisie de phrase secrète sous P.G.P. Au cours de l'installation P.G.P., vous propose de sauvegarder les deux clés créées sous deux fichiers, secring.skr (pour la clé privée) et pubring.pkr (pour la clé publique).il convient de les sauvegarder sur un "media" sûr, car elles vous seront d'une utilité élémentaire pour la récupération des données, dans le cas d'une panne du système. Toutefois, et cela, dans un souci de sécurité, il est primordial de garder ces fichiers en lieu sûr, car si quelqu'un les récupère, il pourra facilement déchiffrer vos documents. L'installation P.G.P.est désormais terminée. Voici en exemple de clé publique: Figure 25-Exemple Clé publique copiée dans un document.txt Cryptage des données avec P.G.P. Le cryptage des données se fait à partir de la barre d'outils P.G.P.Tools une fois lancée, cette barre vous donne la possibilité de chiffrer vos données, les signer seulement, ou bien de les chiffrer et de les signer. Page 52/162

53 Figure 26-Barre d'outils P.G.P. Tools En cliquant sur le 2éme bouton vous lancez le processus de cryptage simple des donnés, PGP vous demande alors d'indiquer le chemin du fichier que vous voulez chiffrer et signer. Dans mon cas, il se trouve dans le dossier de test situé dans: D:\donnes\test_PGP.txt. Une fois le chemin spécifié, une nouvelle fenêtre vous permettant de sélectionner la clé publique du destinataire s'ouvrira, et à ce moment, vous aurez la possibilité de sélectionner une ou plusieurs clés (destinataires) et de choisir le type de chiffrement. Une méthode plus rapide et simple existe pourtant, en cliquant sur le document avec le bouton droit de la souris un menu contextuel s'ouvre. Un onglet PGP vous permet d'utiliser directement P.G.P. sur le document. Figure 27-Utilisation des composants de PGP à partir du menu contextuel Décryptage des données avec P.G.P. Pour décrypter un fichier et cela à partir de P.G.P.Tools, cliquez sur le cinquième bouton "Décrypter & Vérifier" et indiquez l'endroit où se trouve le fichier à déchiffrer. Un nouveau message P.G.P. vous demandera où il doit stocker le document en cours de décryptage, vous lui spécifiez un chemin valide et le processus de décryptage se termine naturellement. Page 53/162

54 Figure 28-Barre d'outils P.G.P.Tools Intégration de P.G.P. à la messagerie Une des principales vocations de P.G.P. est de s'intégrer naturellement à tout client de messagerie et ainsi proposer la sécurisation des messages échangés sur Internet à travers le courrier électronique. Cette intégration est donc automatique lors de l'installation de P.G.P. si vous avez sélectionné les clients de messagerie. Figure 29-Intégration P.G.P aux clients messagerie Une icône apparaîtra dans la barre d'outils de votre client de messagerie, ce qui vous permet d'utiliser rapidement les fonctionnalités des outils de PGP. Figure 30-Intégration de PGP au client de messagerie Il s'intègre facilement dans les nouveaux messages, ainsi après avoir rédigé votre message comme d'habitude, avant de l'envoyer vous pouvez cliquer Page 54/162

55 sur le bouton "Chiffrer & Signer", un cadenas et un cachet s'affichent à côté des champs A et Cc. Il ne vous reste plus qu'à cliquer sur envoyer et P.G.P. s'ouvre pour chiffrer votre mail de la même façon que décrite précédemment. Une fois cette manipulation terminée, votre mail est codé et incompréhensible pour les personnes qui veulent le lire sans déchiffrement préalable. En résumé, P.G.P. est un logiciel de cryptage très puissant, gratuit et d utilisation simple. 4.3 SECURYTY BOX Security BOX est un logiciel cryptographique considéré par son éditeur comme le "coffre fort" personnel, en ce qui concerne le cryptage des données. Dans le cadre professionnel l'offre Security BOX Business Solutions de la société M. S. I comporte une suite logicielle de sécurisation des postes de travail qui va du simple cryptage des donnés à la connexion V.P.N.. Voici les détails de l offre: Chiffrement de fichiers et répertoires, Security BOX File signature électronique, effacement irréversible Security BOX Mail Confidentialité, authentification et non répudiation des s Security BOX VPN Protection des échanges via réseaux publics ou privés Security BOX Manager Administration des utilisateurs Security BOX Le module, Security BOX Safe Extension, permet le partage de fichiers sensibles sur un serveur, à destination de plusieurs collaborateurs, dans le cadre du travail collaboratif. Page 55/162

56 Voici les détails de l offre: - Permet de chiffrer des fichiers vers plusieurs Security BOX File correspondants, simultanément. - Signature électronique. Security BOX Sign - Donne la possibilité d'ouvrir à chaque fois le fichier avant de le signer. - Implémente le protocole L2TP et l'algorithme AES 256 bits y est maintenant actif. Il permet Security BOX VPN une renégociation automatique des tunnels, avant leur expiration évitant ainsi de remonter un tunnel à chaque expiration. Ces offres, sous forme de PACKS, essentiellement portées par le réseau de partenaires de Finmatica-MSI (CapSynergy, Axipe Integralis, Nexus, Arche, Ipelium, VolProtect, etc.) permettront aux P.M.E. et P.M.I. de bénéficier de solutions de sécurité flexibles, d un service associé pour le déploiement et d une assistance leur garantissant un service complet pendant un an, les libérant ainsi de toute problématique structurelle et/ou humaine. PACK 10 PACK 25 PACK 50 Entreprise Entreprise Entreprise 1 an de maintenance évolutive niveau Emeraude. 1 journée d assistance technique pour déployer la solution. 1 Security BOX Manager V5. 1 an de maintenance évolutive niveau Emeraude. 1 journée d assistance technique pour déployer la solution. 1 Security BOX Manager V5. 1 an de maintenance évolutive niveau Emeraude; 1 journée d assistance technique pour déployer la solution. Je n'ai pas d informations officielles sur les tarifs pratiqués par M.S.I. malgré cela d après mes dernières recherches le prix de "départ" (PACK Entreprise 10) démarrerait aux alentours de Dans sa version Freeware 24, Security BOX peut se révéler très utile pour un usage privé. La protection des données est assurée à travers le cryptage de celles-ci. De plus, son utilisation permet de compresser les données, il est très utile dans le cadre du transfert des fichiers ou de données à travers les réseaux, ou par mail. 24 -Par le terme "freeware" (appelé également "graticiel" ou "gratuiciel" en français) est désigné un logiciel gratuit d'utilisation sous certaines restrictions et conditions (propres à chaque freeware et définies par ses auteurs). Page 56/162

57 4.3.1 Utilisation de Security BOX Cryptage des données avec Security BOX. Le glisser/déposer, drag & drop, 25 vous permet de crypter un fichier en faisant un glisser/déposer sur l'icône de Security BOX Freeware. Le "clic droit" de la souris vous permet d utiliser les fonctions "crypter", qui crypte le fichier sélectionné et "crypter vers". Celle-ci vous permet de crypter n'importe quel type de fichier préalablement sélectionné. 1 - Vers une disquette : Sauvegarde du fichier chiffré directement sur la disquette. 2 - Vers destinataire de message: Insertion automatique du fichier chiffré (pièce jointe) dans un nouveau message. 3 - Vers disque ou répertoire: Sauvegarde du fichier chiffré dans un autre disque ou répertoire. 4 - Vers bureau: Crypte directement le fichier sur le bureau 5 - Vers mes documents: Crypte la sélection dans le dossier "mes documents" 25 -Action par laquelle l'utilisateur sélectionne avec le pointeur de la souris un objet à l'écran, le déplace jusqu'à une autre position en maintenant le bouton de la souris appuyé, puis le lâche. Page 57/162

58 A chaque fois, une fenêtre apparaît et vous demande si vous êtes certain de vouloir crypter ce fichier. En cliquant sur 'oui', une autre fenêtre s'ouvre et vous demande d'entrer le mot de passe. A la confirmation de ce dernier, le cryptage et la compression s'effectuent immédiatement. Le fichier crypté est désormais reconnaissable par l'icône Security BOX Freeware Décryptage des données avec Security BOX. Le clic droit de la souris vous permet de décrypter un fichier crypté de deux manières: 1 - Ouvrir: Décrypte le fichier sélectionné et lance l'application qui y est associée. 2 - Décrypter: décrypte uniquement le fichier sélectionné. Une fenêtre apparaît alors et vous demande si vous voulez déchiffrer. En cliquant sur 'oui', le fichier se décrypte et se décompresse automatiquement. En somme, Security BOX est simple d utilisation et d une rapidité de traitement très intéressante, il permet de concilier cryptage avec compression, ce qui facilite l envoi des pièces jointes cryptées sur Internet (messagerie électronique). 4.4 CRYPTAGE DES DONNES SUR DISQUE DUR Compte tenu de la grande capacité des disques durs qui équipent les ordinateurs portables, et pour simplifier les interventions à caractère Page 58/162

59 technique sur les machines, il est recommandé de partitionner 26 les disques durs. Créer deux partitions, est l'idéal. Une première, pour héberger l'installation du Système d'exploitation et tous les logiciels bureautiques, métier, etc Une deuxième abriterait le "stockage" des données proprement dites. Exemple de structure d'un Disque Dur de 20 Go. Figure 31-Structure d'un Disque Dur partitionné Le fait de pouvoir compter avec une partition dédiée aux données simplifie l'utilisation pour l'utilisateur final. En ce qui concerne le cryptage des données, je préconise la création d'un nouveau dossier. Il convient de lui donner un nom assez simple, explicite et en même temps pas trop attrayant par exemple, "données". Les noms du genre "top secret" ou "confidentiel" sont à proscrire. Figure 32-Création d'un nouveau dossier 26 -"Découper" un disque dur en plusieurs sous unités gérées comme autant de disques plus petits. Page 59/162

60 Figure 33-Renommer le dossier "données" Crypter un dossier avec E.F.S. Une fois le dossier crée et convenablement renommé, cliquez avec le bouton droit de la souris sur le dossier à crypter et choisissez Propriétés. Dans l'onglet Général, cliquez sur Avancé Activez la case à cocher Crypter le contenu pour sécuriser les données et cliquez sur OK. Page 60/162

61 Dans la boîte de dialogue Propriétés, cliquez sur Appliquer. Confirmer les modifications des attributs et appliquez-les au dossier en question et tous les sous-dossiers et fichiers. Page 61/162

62 Une fenêtre de l'état d'avancement de l'application des attributs doit apparaître. Une fois les attributs correctement appliqués vous constaterez que le nom du dossier change de couleur, ça permet d'identifier plus facilement les dossiers ou les fichiers cryptés. Désormais, nous disposons d'un dossier capable d'abriter les données sensibles. J'attire votre attention sur le fait que le paramétrage décrit, a été fait sous un environnement de test Windows XP. Sous Windows 2000 on obtient des fenêtres légèrement différentes, toutefois, la procédure reste strictement identique Décrypter les dossier avec EFS Pour décrypter un dossier, il suffit de suivre exactement la même procedure, en désactivant la case à cocher "Crypter le contenu pour securiser les données". Page 62/162

63 4.4.3 Avantages Hormis le fait d'obtenir une sorte de coffre-fort qui n'est accessible que par l'utilisateur authentifié auprès de la machine, le fait de crypter les données sur le disque dur, constitue un élément majeur vers l'intégrité et la confidentialité des données embarquées Récupération des données E.F.S. permet la création et la mise en place d'agents de récupération de données susceptibles de décrypter les dossiers et les fichiers lorsque le créateur original n'est pas en mesure de le faire Partage des fichiers cryptés La possibilité de partager des fichiers cryptés reste une fonctionnalité très intéressante, cependant, le paramétrage et l'échange de clefs restent assez complexes Cryptage des fichiers temporaires En temps normal, les fichiers temporaires ne sont pas cryptés, ce qui constitue un point faible en ce qui concerne la sécurité des données. Avec le Système de Fichiers Cryptés la question ne se pose pas compte tenu, que même les fichiers temporaires seront cryptés Inconvénients Protéger sa vie privée ainsi que les données professionnelles ne doit pas être considéré comme une corvée. Mais le cryptage est très souvent assimilé à une perte de temps, j'entends par là, temps nécessaire au cryptage des Page 63/162

64 fichiers qui se calcule en général en quelques secondes. Il s'agit là d'une idée reçue, car une fois le dossier marqué pour le"crypter le contenu pour securiser les données" aucun effort administratif de la part de l'utilisateur n'est necessaire. Autrement dit, un simple cliquer-deposer, suffit à crypter et à décrypter un fichier, donc pas de perte de temps, pas d'inconvenients, tout simplement. 4.5 LES VIRUS "VIRUS, VERS ET CHEVAUX DE TROIE" En Médecine, le virus est défini comme un agent microscopique, parfois pathogène, pouvant infecter une cellule. Fred Cohen a utilisé ce terme dans sa thèse publiée en 1985, dans le cadre de ses travaux et expériences de sécurité informatique à l'université du Sud de la Californie, il décrit les Virus comme étant "des programmes informatiques capables d'infecter d'autres programmes en les modifiant afin d'y intégrer une copie d euxmêmes, qui auraient pu légèrement évoluer". La similitude avec son "frère biologique" est évidente, la capacité de reproduction et d infection de l environnement qu il utilise, généralement à l'insu des utilisateurs, ainsi que les fonctions destructrices justifient ce rapprochement. Cependant, un virus ne pourra pas se propager dans un environnement informatique sans l aide de l utilisateur. Autrement dit, un programme infecté doit être exécuté, pour que le virus soit activé. Il y a d'autres programmes dangereux que l'on confond très souvent avec les virus, je pense très exactement aux Vers 27, Chevaux de Troie 28 et Bombes Logiques 29. A la différence des virus, ces programmes ne possèdent pas la capacité de se multiplier sur le système infecté. Mais certains d entre eux, sont parfois paramétrés pour accomplir automatiquement des opérations potentiellement dangereuses. 27 -Programmes capables de se répliquer à travers les terminaux connectés à un réseau, et d exécuter un certain nombre d'actions susceptibles de porter atteinte à l intégrité des systèmes d exploitation. 28 -Programme qui, introduit dans une séquence d'instructions normales, prend l'apparence d'un programme valide. Mais il contient en réalité une fonction illicite cachée, grâce à laquelle les mécanismes de sécurité du système informatique sont contournés, ce qui permet la pénétration par effraction dans des fichiers pour les consulter, les modifier ou les détruire. 29 Sont appelés bombes logiques les dispositifs programmés dont le déclenchement s`effectue à un moment déterminé en exploitant la date du système, le lancement d`une commande, ou n`importe quel appel au système. Page 64/162

65 De ce fait, la simple visualisation automatique d'un dans une machine non protégée par un anti virus, peut déclencher l ouverture du programme malveillant. Voici un tableau récapitulatif des principales causes de perte de données: Figure 34-Tableau récapitulatif des principales causes de perte des données Source: On Track Les différentes familles de virus Virus Système Appelés virus de boot, ou de zone de démarrage, les Virus Système infectent la zone de Boot 31 (amorce) d'un disque dur ou d'une disquette. L objectif de ce type de Virus est de modifier le contenu de la zone de Boot par son propre code, et bien entendu, être exécuté en priorité, au moment du démarrage de la machine infectée. La suite n est pas difficile à deviner, le Virus déplace le code original de la zone d'amorçage vers une autre partie du disque dur, et contamine par la suite toutes les disquettes ou supports amovibles insérés dans l'ordinateur. Michel Angelo, reste le plus célèbre des Virus Système, il est apparu en 1992 à la date anniversaire de l'artiste homonyme de la Renaissance Virus de Programmes Aussi appelés Virus de fichier ou encore Virus parasites, ils infectent essentiellement les fichiers exécutables et les fichiers system. La 30 On Track-société spécialisée dans la récupération des données sur disque dur. 31 Zone de démarrage d'un disque ou d'une disquette. Page 65/162

66 modification de l ordre des opérations à l exécution des fichiers infectés, leur permet de se placer en premier au moment de l exécution de ceux-ci, et ainsi s activer au lancement du fichier infecté Virus Polymorphes Les virus polymorphes ont la capacité de modifier leur propre code au moment de la "reproduction", et ils peuvent par la même occasion, modifier l'ordre d'exécution de ses instructions, en rajouter ou la supprimer. Cette particularité les rend plus difficilement détectables par l'antivirus, compte tenu que chaque copie est différente de la précédente. Étant donné que la majorité des antivirus se référent à une base de signatures de virus, les versions ainsi obtenues ne figurent pas dans ces bases, d où, la difficulté à détecter les postes infectés Virus Furtifs Ce type de Virus tente de se camoufler en se faisant passer pour un fichier sain et ainsi déjouer la surveillance des Antivirus et des utilisateurs Virus Multiforme Il s'agit de Virus utilisant à la fois la technique des Virus Polymorphes et la technique des Virus Furtifs Macros Virus Visant particulièrement les produits Microsoft, les Macros Virus vont se loger auprès des macro-commandes utilisées par les applications dans le but d'automatiser un certain nombre de tâches, comme la sauvegarde d'un fichier, par exemple Virus Scripts Ces virus utilisent les différents langages de scripts qui permettent de contrôler l'environnement d'un logiciel. Les plus courants sont: Javascript de Sun Microsystems et VB (Visual Basic) Script de Microsoft. Dérivé du VBA. Internet et la messagerie constituent le principal facteur de propagation. Page 66/162

67 4.5.2 L'Antivirus Le développement des attaques de type virus sont quotidiennes et permanentes, ne pas avoir d'antivirus et à moindre échelle ne pas faire ses mises à jour, au moins une fois par semaine, se révèle une pratique insouciante Le Pare-feu Le pare-feu 32 Firewall, associé à un antivirus, protège les machines contre toute tentative d'intrusion : d'un Cheval de Troie et autres SpyWares 33. Il est donc recommandé d'installer un Pare-feu dans le but de garantir la confidentialité et l intégrité du contenu du disque dur. Marché des solutions antivirus et de détection d'intrusion: Voici à titre d'exemple, les parts de marché des éditeurs de solutions d'antivirus et de détection d'intrusion dans le monde: Parts de marché des éditeurs de solutions d'antivirus dans le monde en 2001 Symantec 32,4% Network Associates 26,4% Trend Micro 14,2% Computer Associates 4,9% Sophos 2,5% Sybari Software 1,8% Panda Software 1,7% F-Secure 1,3% 32 -Barrière permettant d'isoler un ordinateur d'un réseau sans le débrancher complètement du réseau 33 -Logiciel qui transmet des informations généralement à des annonceurs publicitaires sur l'utilisateur ou sur ses habitudes sans son autorisation. Page 67/162

68 Parts de marché des éditeurs de systèmes de détection d'intrusion dans le monde: Parts de marché des éditeurs de systèmes de détection d'intrusion dans le monde en 2002 I.S.S. 22% Cisco 18% Symantec 13% Enterasys 7% Autres 40% Par ailleurs l'i.d.c. a dressé un bilan et des perspectives pour la période de 2001 à Voici le revenus enregistrés en 2002 s'élèvent à 753,1 millions d'euros. Répartition de ces revenus par catégories: Solutions logicielles 39,2 % Solutions appliances 10,4 % Services professionnels 50,4 % autour de la sécurité Source I.D.C. Figure 35-Évolution des revenus des produits et services Source I.D.C. Page 68/162

69 Figure 36-Positionnement des principaux acteurs de la sécurité Source I.D.C. AV-Comparatives a réalisé des tests sur les principaux logiciels antivirus du marché actuel (voir annexe 6) Viguard Il n'est pas mon intention de promouvoir un produit en particulier, bien au contraire, je me limite simplement à mettre en évidence les intérêts d'une solution par rapport à une autre. De ce fait, il me semble opportun de regarder de plus près la solution proposée par l'éditeur TEGAM International 34. De par son architecture et son mode de fonctionnement la 34 -TEGAM International est éditeur du Pack Sécurité VIGUARD, logiciel de protection antivirale. Page 69/162

70 solution antivirale (VIGUARD) offre une protection antivirus basée sur une certification des éléments sains à l'installation du produit, contrairement aux antivirus conventionnels, qui fonctionnent sur la base des mises à jour des bases de signatures spécifiques à chaque virus. Autrement dit Viguard scrute toute activité suspecte et arrête les actions à comportement viral, sans avoir à connaître au préalable la définition du virus concerné. Dans le cadre des solutions mobiles (ordinateurs portables), souvent en déplacement, l'abstraction de la notion de mise à jour me semble extrêmement intéressante. Les avantages: 1 - Pas de base de signatures, donc pas de mises à jour de signatures à effectuer. 2 - Pas d interruption de la protection jusqu au moment où arrive la nouvelle mise à jour. Voici un tableau des fonctionnalités du Pack Sécurité ViGUARD version 10: Fonctionnalités 1. Protection permanente contre les virus connus et inconnus (virus de Boot, d'exécutables, de macros, vers), les scripts et les chevaux de Troie, sans mises à jour de signatures. 2. Protection contre la modification d'exécutables, sauf par les programmes certifiés. 3. Algorithme de certification RSA Data Security MD5. 4. NetTrap : Filtrage paramétrable des téléchargements et de pièces jointes. Les versions Perso Pro Réseau X X X X X X X X X X X X 5. Analyse des fichiers compressés. X X X 6. Rapport détaillé sur chaque alerte. X X X 7. Protection contre les ouvertures de ports non autorisées. X X X Page 70/162

71 8. Possibilité d'exclure des répertoires de la vérification. 9. Protection contre l'ajout de module au démarrage du système. X X X X X X 10. ViStartup : gestion des modules de démarrage du système. 11. ViRepair : réparation automatique des fichiers importants. 12. AntiSpy : audit des programmes se connectant à Internet et analyse des Paquets. 13. FileWall : Limitation d'accès / exécution / modification / suppression de fichiers à certains programmes et/ou utilisateurs. Interdiction d'installation de logiciels non autorisés. Interdiction d'exécution de fichiers provenant de disquettes ou CD. X X X X X X X X 14. Vérifications automatiques programmables. X X 15. Protection de la configuration par mot de passe. X X 16. Console d'administration centralisée: déploiement, paramétrage, gestion des alertes et de la quarantaine. X 17. Remontée des alertes vers le serveur, y compris pour les postes nomades, lors de la reconnexion au réseau. 18. Niveau de sécurité personnalisable par groupes d'utilisateurs. 19. Génération et stockage de disquettes de secours sur le serveur. X X X 20. Base de certifications centralisée sur le serveur. X Figure 37-Tableau des fonctionnalités du Pack Sécurité ViGUARD Source: Page 71/162

72 5 CHAPITRE 5-SAUVEGARDES DES DONNEES 5.1 SAUVEGARDES DES DONNEES Partant du principe que les sauvegardes des données se font dans le cadre d'un environnement client serveur, autrement dit que la sauvegarde des données d'un ordinateur portable se fait à travers un réseau local (au minimum) vers un serveur de fichiers destiné à cet effet. J'ai cherché dans le monde des éditeurs une solution capable de procéder à une sauvegarde automatique, fiable et transparente pour l'utilisateur. Beaucoup de solutions se présentent après une courte recherche sur la "toile" du net, cependant suite à une analyse de ces différentes solutions j'ai sélectionné deux logiciels de sauvegarde automatique. Critères de sélection: 1 - Facilité de mise en œuvre (installation et paramétrage). 2 - Pérennité de la solution. 3 - Prix. Je vais donc vous présenter les deux outils que j'ai sélectionnés pour la synchronisation des données avec le serveur de fichier, à savoir Idem et Second Copy Mise en place d'outils de sauvegarde automatique sur serveur des fichiers Idem La fonction d'idem est de synchroniser des fichiers Windows ou Macintosh sur les serveurs Windows NT/2000/XP. Idem automatise la synchronisation en comparant les dossiers et sous-dossier et synchronise à intervalles réguliers le dossier source avec le dossier de sauvegardes. Très facile à paramétrer il exécute des sauvegardes de façon automatique ce qui facilite la tâche de l'utilisateur. Principales caractéristiques (données éditeur) en annexe 7. Capture d'écran paramétrage Idem: Sources: Page 72/162

73 Figure 38-Paramétrage Idem Prix annoncé sur le site de l'éditeur le 23 janvier Pack 5 licences 450 Pack 10 licences 800 Figure 39-Tableau récapitulatif des prix des licences Idem Second Copy D'une manière générale Second copy présente les mêmes caractéristique qu'idem. Cependant je le considère plus complet, car il permet un paramétrage plus précis et complet que le logiciel que nous venons de voir Paramétrage de Second Copy Une fois installé, il suffira de lancer l'interface de configuration à partir de la petite icône qui se trouve sur la barre des tâches Page 73/162

74 Voici la fenêtre de départ: Le mode de fonctionnement de Second Copy est basé sur des profils. Pour créer un profil dans la fenêtre principale, cliquez sur File puis New Profile et la fenêtre de paramétrage du profil, proprement dit, apparaît comme dans la capture d'écran suivant. A ce stade, nous allons procéder à une configuration personnalisée. Pour cela nous sélectionnons la case à cocher Custom setup et nous cliquons sur Next>. Nous voilà dans la fenêtre qui nous permet de sélectionner le dossier source, plus précisément le dossier à sauvegarder. Page 74/162

75 Dans mon cas précis, et dans le but de créer une sauvegarde du travail de rédaction de mon Mémoire, dans le dossier Mes documents, j'ai crée un sous-dossier destiné à recevoir l'ensemble des données concernant le Mémoire, et je l'ai nommé ESSEC. Le dossier ESSEC devient donc mon dossier source. Pour simplifier la recherche j'ai cliqué sur Browser je parcours l'arborescence et je retrouve mon dossier sur la partition D:\ de mon disque dur. Je sélectionne donc le dossier ESSEC et je clique sur OK. Le dossier source spécifié, je clique sur Next>. La fenêtre suivante me permet de préciser si je souhaite synchroniser l'ensemble des dossiers et fichiers, ou bien, un fichier ou un dossier précis. Je souhaite synchroniser l'ensemble du contenu du dossier ESSEC je sélectionne donc All files and folders et je clique Next>. Page 75/162

76 A ce stade je dois spécifier le "media" de destination, dans mon exemple, je vais stocker le dossier de sauvegarde dans une autre machine qui fait office de serveur. Cette machine s'appelle Ro et le dossier de destination je vais l'appeler ESSEC pour une question de cohérence entre le contenant et le contenu. La phase suivante est destinée à paramétrer un ensemble de paramètres, comme la fréquence des sauvegardes, la sélection des options de sauvegarde au démarrage et/ou l'arrêt de l'ordinateur si nécessaire. En ce qui me concerne, je choisi de sauvegarder les données au démarrage et à l'arrêt du PC. En temps normal de travail je choisi une fréquence de synchronisation de deux heures. Page 76/162

77 Je clique sur Next> et une nouvelle fenêtre me permet de choisir le type de sauvegarde. Différentes possibilités s'offrent à notre profil de synchronisation, de la copie simple à la synchronisation des modifications apportées aux fichiers en passant par la compression des données, pour ma part une copie simple me semble suffisante. Je sélectionne la fonction qui m'intéresse, je clique sur Next> et le paramétrage est terminé. Mon utilitaire de sauvegardes est désormais opérationnel. Dans cet exemple j'ai paramétré la sauvegarde d'un dossier "source" sur un ordinateur portable vers un dossier "cible" stocké sur un serveur ou, plus précisément sur un ordinateur faisant office de serveur, cependant rien Page 77/162

78 n'empêche de créer une sauvegarde sur la même machine, sur le même disque dur ou sur un media différent Prix des licences Second Copy Voici un tableau récapitulatif des prix des licences proposés par l'éditeur. Prix annoncé sur le site de l'éditeur au 23 janvier 2005 en Dollars US. Nombre de licences Prix en dollars US %réduction/nombre de licences 1 $ $ % 25 $ % 50 $ % 100 $1, % 250 $1, % Figure 40-Tableau récapitulatif des prix des licences Second Copy Sources: OUTILS PERTINENTS Il est évident que la recherche et le développement de nouvelles solutions ne s'arrête pas et il n'est pas impossible qu'à l'heure ou j'écris ces lignes la solution "miracle" vienne d'être découverte, en attendant, des solutions très intéressantes existent déjà et je pense particulièrement à Norton Ghost 9.0, entre autres, solution de sauvegarde et de restauration de PC éditée par la société Symantec. 5.3 AVANTAGES Sauvegarder des centaines d'heures de travail ou des données d'une importance stratégique ou financière, susceptibles de mettre en cause la survie de votre entreprise ne peut avoir que des avantages. Certes sauvegarde rime avec perte de temps mais si votre ordinateur portable venait à disparaître? Comment peut-on calculer la perte de temps? Pour finir, je soulève deux questions qui peuvent résumer l'importance de procéder à des sauvegardes des données Quelle est la valeur que représentent, pour vous ou pour votre société, les données contenues dans le disque dur? Page 78/162

79 Face à un incident majeur avons-nous la possibilité de récupérer les données? Et dans quels délais? Page 79/162

80 CONCLUSION Arrivé au terme de ce Mémoire, les technologies de l'information ne cessent de croître. De ce fait des nouveaux produits font éruption sur le marché de la technologie. Bien évidemment ces produits n'ont pas été abordés tout au long de mon travail je pense particulièrement à la technologie "BlackBerry " qui fait le bonheur des cadres supérieurs de nos sociétés. Le travail de recherche que j'ai entrepris m'a permis d'évoluer sur un domaine où l'information est multiple et de toute sorte. J'ai donc appris à récolter le maximum d'information sur un sujet donné puis élaborer une synthèse en faisant en sorte de garder l'information plus pertinente. Je retiens de ce travail le fait que l'information aussi simple soit-elle renferme une valeur inestimable avec plus ou moins d'importance selon les domaines aux quels elle appartient. Il est primordial de ne pas négliger ni sous-estimer le stockage et la sauvegarde d'un si précieux enseignement. L'analyse des logiciels et des protocoles cités tout au long de ce Mémoire, ainsi que la recherche de leurs valeurs marchandes applicable aux projets informatiques, m'a permis de me plonger dans le monde de la valeur pécuniaire de la donnée. J'ai compris ainsi la volonté de mettre en place des solutions de sauvegarde comme "PC Backup" de HP dirigé par Julien LEGUEVAQUES. Je regrette simplement l'éloignement de mon employeur vis-à-vis de ce projet et par conséquence mon impossibilité de le conclure avec la mise en place et la gestion d'un projet de sécurisation des données sensibles en milieu professionnel. Je voudrai terminer avec cette citation d'henri Poincaré 35 qui m'a inspiré tout au long de ce parcours. "Le monde et la science ont leurs données propres, qui se touchent et ne se pénètrent pas. L'une, nous montre quel but nous devons viser, l'autre, le but étant donné, nous donne les moyens de l'attendre." 35 -Mathématicien français Né à Nancy en 1854 Page 80/162

81 RECOMMANDATIONS Dans ce chapitre j'aborderai quelques recommandations, le but étant de : 1 - Prendre conscience des proportions catastrophiques d'un certain nombre de pratiques répétitives vis-à-vis de l'utilisation des Systèmes Informatiques au quotidien. 2 - Éveiller un esprit de responsabilité. 3 - Laisser quelques éléments de réflexion, pouvant vous orienter vers une utilisation et gestion "sans stress" de votre outil informatique. Je ne prétends pas avoir la solution miracle pour la résolution de tous les incidents, le simple fait d'y prendre conscience, constitue déjà une bonne base de départ pour leur minimisation. L'ERREUR HUMAINE Selon Ontrack Data Recovery, société spécialisée dans la récupération de données, l'erreur et la négligence humaines sont des facteurs importants et sous-estimés dans les pertes de données informatiques. Les statistiques internes d'ontrack, indiquent notamment que l'erreur humaine serait la cause de 26% des cas de perte de données. Mais ils précisent que dans la perception de ces clients, ce facteur est évalué comme étant à l'origine de seulement 11% des incidents. Ontrack révèle aussi que les pertes résultantes des attaques de virus informatiques sont également sous-estimées par ces clients. Ontrack estime à 4% les cas de pertes de données résultants des attaques de virus tandis que les sociétés l'estiment à 2% seulement. PROTECTION PHYSIQUE DE VOTRE ORDINATEUR. Sur votre lieu de travail n'oubliez pas d'attacher votre ordinateur portable. Il existe des câbles antivol de facile emploi. La mesure et plutôt dissuasive. 70% des vols d'ordinateurs ont lieu en interne (Gartner Group). Page 81/162

82 Figure 41-Câble antivol portable En cas d'absence prolongée, le plus sûr est de ranger votre ordinateur portable dans une armoire fermée à clé. En déplacement et en voyage soyez discret et vigilant, dans les gares et les aéroports quelques secondes suffisent pour que votre matériel disparaisse. Durant les 6 premiers mois de l'année 2004, des voyageurs pressés ont oublié GSM, ordinateurs portables et assistants personnels dans les taxis de Londres. (B.B.C., août 2004). Page 82/162

83 6 PROTECTION LOGIQUE LES MOTS DE PASSE Pour accroître la protection de votre ordinateur, vous devez activer le mot de passe Bios 36.A chaque démarrage, ce mot de passe vous sera alors demandé, il s'agit donc du seul moyen d'accéder au système d'exploitation. N'oubliez pas de créer un "bon" mot de passe de session. Ce mot de passe constitue la clé d'ouverture de votre système d'exploitation ainsi que l'accès à vos dossiers et vos fichiers. Un "bon" mot de passe doit être constitué d'au moins 8 caractères avec un mélange de lettres, chiffres et caractères spécieux. Ce mot doit être complexe et facile à retenir, une technique simple consiste en l'utilisation des premières lettres d'une phrase, exemple: Phrase: Angelo est né en 95! Mot de Ne l'écrivez jamais et ne le divulguez pas. Des études récentes montrent que 21% des personnes utilisent leur prénom ou celui de leur conjoint comme mot de passe, 15% utilisent leur date de naissance ou d'anniversaire et 15% utilisent les noms de leurs animaux... 33% des personnes utilisent leurs assistants personnels, pour y stocker leurs mots de passe et codes d'accès, 25% y enregistrent des données professionnelles sensibles, 25% des données relatives à leurs comptes bancaires. (PointSec's Survey). LES SAUVEGARDES Sauvegarder ses données en lieu sûr est primordial. Gardez à l'esprit que les matériaux qui constituent votre ordinateur ainsi que les logiciels ne sont pas infaillibles. Si vous avez la possibilité, sauvegardez vos données sur les serveurs bureautiques mis à votre disposition. En général les serveurs sont euxmêmes sauvegardés régulièrement. A défaut de mieux, sauvegardez vos données sur des medias du type Iomega ou CD, si vous avez un graveur de CD's à votre disposition. 36 -Basic Input Output System. Partie du système d'exploitation s'occupant exclusivement des entrées-sorties et de l'interface avec le hardware, dans un PC. Page 83/162

84 L'ANTIVIRUS L'antivirus doit être actif en permanence. Ne le désactivez pas, sous aucun prétexte. Vérifiez que les mises à jour de votre antivirus se font régulièrement, au moins une fois par semaine. Le vol d'ordinateurs portables est le second délit informatique après l'envoi de virus. (Étude CSI/FBI, Computer Security Institute/Fédéral Bureau of Investigation, sur le crime et la sécurité informatique 2003) GESTION DES DONNEES Classifier une information, nous indique sa valeur pour l'entreprise, et ainsi adapter les moyens de protection équivalents à sa "valeur". Les données doivent être classifiées sous trois critères: 1 - A usage confidentiel. 2 - A usage interne. 3 - A usage publique. Attribuez une classification dès la création d'un document et traitez-le selon sa classification. Page 84/162

85 BIBLIOGRAPHIE Julien LEGUEVAQUES Thèse fin Cursus MSI à l ESSEC - Paris PC Backup. Microsoft Press 2000 Windows 2000 server Microsoft (Kit de Formation) Matthew Danda Microsoft Press 2001 La Sécurité sur le Web Michel Laffitte Revue Banques Edition 2003 Sécurité des Systèmes d Information et Maîtrise des Risques David Harley, Robert Slade et Urs E. Gattiker Campus Press 2002 Virus Arman Danesh, Ali Mehrassa et Felix Lau, Campus Press 2001 Sécurité PC Antivirus et Firewalls Paul Oldfield Sophos Les Virus Informatiques Démystifiés Page 85/162

86 WEBOGRAPHIE Club de la Sécurité des Systèmes d Information Serveur Thématique sur la Sécurité des Systèmes d Information solutions.journaldunet.com Éditeur d Idem peccatte.karefil.com/software/idem/idemhelpfre.htm Éditeur Second Copy Éditeur Security Box Groupe de conseil et d'étude sur les marchés des technologies de l'information. Page 86/162

87 7 GLOSSAIRE A5 Algorithme cryptographique secret utilisé dans les téléphones cellulaires européens. AES Standard de chiffrement avancé (Advanced Encryption Standard) Standard approuvé par le N.I.S.T., en général valable pour les 20 ou 30 prochaines années. AKEP Protocole d échange de clé d authentification (Authentication Key Exchange Protocol) Transport de clé basé sur du chiffrement symétrique permettant à deux parties d échanger une clé privée partagée, sûr contre des adversaires passifs. Algorithme de chiffrement (encryption) Ensemble de règles mathématiques (logiques) utilisées pour le chiffrement et le déchiffrement. Algorithme symétrique (Symetric algorithm) Algorithmes conventionnels, à clé secrète, ou à clé unique; les clés de chiffrement et de déchiffrement sont identiques ou peuvent être facilement calculées l une à partir de l autre. Deux sous catégories existent par bloc ou par flux. Algorithme de hachage (hash) Ensemble de règles mathématiques (logiques) utilisées dans le processus de création d empreinte de message et la génération de clés / de signatures. ANSI Institut National de Standards Américain (American National Standards Institute) Développe des standards via divers comités de standardisation accrédités. Page 87/162

88 API Interface de programmation applicative (Application Programming).Fournit le moyen de tirer parti des fonctions du logiciel, en permettant à des produits logiciels différents d interagir. Authentification Confirmer une identité. Autorisation Transmettre une approbation officielle, un pouvoir légal ou un droit d accès à une entité. CA Autorité de Certification (Certificate Authority) Tiers de confiance (T.T.P.) qui crée des certificats composés d assertions sur divers attributs, et les associe à une entité et/ ou leurs clés publiques. Canal sûr (Secure channel) Moyen de communication entre deux entités de telle façon qu un adversaire ne puisse pas changer l ordre, supprimer, insérer ou lire de l information (exemples: SSL, IPsec, chuchoter dans l oreille de quelqu un). CAPI Crypto API l A.P.I. de crypto de Microsoft pour les systèmes et les applications basés sur Windows. CERT Équipe d intervention d urgence en informatique (Computer Emergency Response Team). Bureau qui encourage la prise de conscience en matière de sécurité. C.E.R.T. fournit une assistance technique 24 heures sur 24 sur les incidents en sécurité d ordinateurs et de réseaux. Le C.E.R.T. est situé au Software Engineering Institute dans l université Carnegie Mellon University à Pittsburgh, PA. Certificat d autorisation Document électronique qui prouve les droits d accès et les privilèges de quelqu un, et qui prouve aussi qu il est bien ce qu il prétend être. Page 88/162

89 Certificat numérique Document électronique rattaché à une clé publique par un tiers de confiance, qui fournit la preuve que la clé publique appartient à un propriétaire légitime et n a pas été compromise. CHAP Protocole d authentification par challenge (Challenge Authentication Protocol) Mécanisme d authentification par mot de passe à double sens, basé sur une session. Chiffrement (Encryption) Processus consistant à déguiser un message de façon à cacher sa substance. Clés asymétriques. Paire de clés séparées mais unifiées, composée d une clé publique et d une clé privée. Chaque clé est à sens unique, ce qui signifie que la clé utilisée pour chiffrer des informations ne peut pas être utilisée pour déchiffrer les mêmes données. Clé privée (Private key)composant gardé secret d une paire de clés asymétriques, souvent appelé clé de déchiffrement. Clé publique (Public key) Composant disponible publiquement d une paire de clés asymétriques, souvent appelé clé de chiffrement. Clé secrète (Secret key) Clé privée d un algorithme à clé publique (ou asymétrique), ou bien clé de session dans les algorithmes symétriques. Clé de session (Session key) Clé secrète (symétrique) utilisée pour chiffrer chaque jeu de données dans un système de transaction. Une clé de session différente est utilisée pour chaque session de communication. Page 89/162

90 Cookie Fichier ou information quelconque qui est envoyé par le serveur web au client (votre browser) et qui sert à vous identifier et peut enregistrer des informations personnelles comme votre identité et votre mot de passe, votre adresse e- mail, votre numéro de carte de crédit, et d autres informations. CRL Liste de révocation de certificat liste (Certificate Revocation List)en ligne, à jour, de certificats qui ont été émis précédemment et ne sont plus valides. Cryptanalyse L art ou la science de transformer des textes chiffrés en données claires sans connaissance initiale de la clé utilisée lors du chiffrement. Cryptographie L art et la science de création de messages qui sont privés, signés, non modifiés et/ ou non répudiés. Cryptosystème Système composé d algorithmes cryptographiques, de tous les textes clairs possibles, de tous les textes chiffrés et de toutes les clés. Intégrité des données (Data integrity) une méthode assurant que l information n a pas été altérée par des moyens inconnus ou non autorisés. Déchiffrement Le processus transformant le texte chiffré en texte clair. DES Standard de chiffrement de données (Data Encryption Standard) Chiffre par blocs de 64 bits. Diffie- Hellman Premier algorithme à clé publique, inventé en Il utilise les logarithmes discrets sur un corps fini. Page 90/162

91 DSA (Digital Signature Algorithm) Algorithme de signature à clé publique proposé par le NIST pour être utilisé dans DSS. DSS Standard de signature numérique (Digital Signature Standard)Standard (FIPS) proposé par le NIST pour les signatures numériques en utilisant DSA. Filtre (Filter) Fonction, ensemble de fonctions ou combinaison de fonctions qui applique un certain nombre de transformations à son espace d entrée, produisant en sortie un ensemble contenant seulement les éléments en entrée qui respectent certains critères. FIPS Standard de traitement de données fédéral (Federal Information Processing Standard) Standard gouvernemental américain publié par le NIST. Fonction de hachage (Hash function) Fonction de hachage à sens unique une fonction qui produit un résumé (une empreinte) d un message qui ne peut pas être inversé pour reproduire l original. HTTP (HyperText Transfer Protocol) [Protocole Transfert d hypertexte] Protocole commun utilisé pour transférer des documents entre serveurs ou d un serveur à un client. IDEA Standard international de chiffrement de données (International Data Encryption Standard) Chiffre symétrique par blocs de 64 bits utilisant des clés de 128 bits, basé sur des opérations de mélange dans divers groupes algébriques. Considéré comme l un des algorithmes les plus forts. Intégrité (Integrity) Assurance que les données n ont pas été modifiées (par des personnes non autorisées) pendant le stockage ou la transmission. Page 91/162

92 IPSec Couche TCP/ IP de chiffrement en cours d examen par l IETF. ISO Organisation de standardisation internationale (International Organization for Standardization) Responsable d une large gamme de standards, comme le modèle OSI et les relations internationales avec l ANSI sur le X Kerberos Protocole d authentification basé sur un tiers de confiance, développé au MIT. LDAP Protocole léger d accès à répertoire (Lightweight Directory Access Protocol) Simple protocole qui supporte des opérations d accès et de recherche dans des répertoires contenant des renseignements comme des noms, des numéros de téléphones, et des adresses, entre des systèmes qui seraient sinon incompatibles sur tout Internet. NAT Traducteur d adresse réseau (Network Address Translator) RFC 1631, un routeur connectant deux réseaux ensemble; l un désigné comme l intérieur est adressé soit avec une adresse privée soit avec une adresse obsolète qui doit être convertie en adresse légale avant que les paquets soient envoyés à l autre réseau (désigné comme l extérieur). Non- répudiation Empêche le reniement d actions ou de messages anciens. PAP Protocole d authentification par mot de passe (Password Authentication Protocol) Protocole d authentification qui permet à des pairs PPP de s identifier l un l autre, n empêche pas l accès non autorisé mais identifie juste l autre bout. Pare-Feu (Firewall) Ensemble de matériels et de logiciels qui protège le périmètre du réseau public / privé contre certaines attaques pour atteindre un bon degré de sécurité. Page 92/162

93 Password Mot de passe. Séquence de caractères ou mot qu un sujet donne à un système pour authentification, validation ou vérification. PGP Assez bonne confidentialité (Pretty Good Privacy) Application et protocole (RFC 1991) pour le courrier électronique sécurisé et le chiffrement de fichiers développé par Phil R. Zimmermann. Diffusé gratuitement à l origine, le code source a toujours été disponible et inspecté. PGP utilise divers algorithmes comme IDEA, RSA, DSA, MD5, SHA- 1 pour le chiffrement, l authentification, l intégrité des messages et la gestion de clés. PGP est basé sur le modèle de la toile d araignée de confiance et est utilisé dans le monde entier. PKI Infrastructure à clé publique (Public Key Infrastructure) Système de certificats largement disponible et accessible pour obtenir la clé publique d une entité, avec une bonne probabilité que vous ayez la bonne clé et qu elle n ait pas été révoquée. Revocation Désaveu d un certificat ou d une autorisation. RSA Abrégé de RSA Data Security, Inc.; ou bien ses principaux responsables Ron Rivest, Adi Shamir et Len Aldeman; ou bien l algorithme qu ils ont inventé. L algorithme RSA est utilisé pour la cryptographie à clé publique et est basé sur le fait qu il est facile de multiplier deux grands nombres premiers mais difficile de factoriser le produit. Signature numérique (Digital signature)identification électronique d une personne ou chose créée par un algorithme à clé publique. Destiné à vérifier l intégrité des données et l identité de l émetteur. SSO Engagement simple (Single sign- on) Une seule connexion (log- on) permet d accéder à toutes les ressources du réseau. Page 93/162

94 SSL Couche de sockets sûres (Secure Socket Layer)Développé par Netscape pour fournir sécurité et confidentialité sur Internet. Supporte l authentification du serveur et du client et assure la sécurité et l intégrité du canal de transmission. Opère au niveau de la couche de transport et imite la bibliothèque des sockets, permettant d être indépendant de l application. Chiffre complètement le canal de communication et ne supporte pas les signatures numériques au niveau du message. Triple DES Configuration de chiffrement dans lequel l algorithme DES est utilisé trois fois de suite avec trois clés différentes. VPN Réseau privé virtuel (Virtual Private Network) Etend des réseaux privés de l utilisateur final à la passerelle de son choix, tel l intranet de son entreprise, via un réseau public (Internet). Page 94/162

95 ESSEC MANAGEMENT EDUCATION NOM & Prénom: DA VEIGA António Date: 20 avril 2005 Directeur de Mémoire: KRIEF Serge SPÉCIALITÉ: Management des Systèmes d'information MÉMOIRE POUR L'OBTENTION DU DIPLOME HOMOLOGUE NIVEAU II Titre: RESPONSABLE EN GESTION (SECURISATION DES DONNEES SENSIBLES, CONTENUES DANS LE DISQUE DUR DES POSTES NOMADES, D'UNE FLOTTE D'ENTREPRISE) ANNEXES ACCORD DU COMITÉ PÉDAGOGIQUE Nom: Date: Signature: ACCORD DU DIRECTEUR DE MÉMOIRE Nom: KRIEF Serge Date: Signature: Page 95/162

96 Page 96/162

97 Index des annexes ANNEXE DIFFERENTES PHASES D'AUTHENTIFICATION BIOMETRIQUE A TRAVERS L'ANALYSE DE LA MORPHOLOGIE HUMAINE ANNEXE CRYPTOGRAPHIE QUANTIQUE POLARISATION DES PHOTONS ANNEXE CRYPTO API ANNEXE EXEMPLE D'UNE ARCHITECTURE DE TYPE CLIENT LEGER ANNEXE LEGISLATION FRANÇAISE CRYPTOLOGIE LISTE DES PRODUITS CRYPTOLOGIQUES LIBRES D'UTILISATION LISTE DES ENTREPRISES : COM ACE TIMING ALCATEL AQL ARKOON AVID TECHNOLOGY BALTIMORE TECHNOLOGIES BIODATA GmbH BROKAT BULL CANDLE France Page 97/162

98 CHECK POINT Software CISCO Systems CITRIX COMPAQ Computer CONTROL DATA CORNUT INFORMATIQUE CRYPTOGRAM DATA FELLOWS DECROS E-SECUWEB EDELWEB S.A ENFOTEC, Inc ENTRUST ERACOM TECHNOLOGIES Australia Pty Ltd ERCOM EXTENDED SYSTEMS FRANCE FREE SOFTWARE FOUNDATION Chapter France GEMPLUS GRETACODER DATA SYSTEMS AG GUARDWARE SYSTEMS HEWLETT-PACKARD France IBM France INTERNET SECURITY System ISTRI ITS SOLUTIONS MATRAnet Page 98/162

99 METHODES ET SOLUTIONS INFORMATIQUES MSI MICROSOFT FRANCE NEOL SA NETASQ NETSCREEN TECHNOLOGIES NETWORK ASSOCIATES France NEUROCOM NORMAN ASA NORTEL NETWORKS NOVINK ODS NETWORKS ORACLE PHILIPS Gand Electronique PREVIEW SYSTEMS RACAL Security and Payments RACAL-AIRTECH Ltd RAINBOW TECHNOLOGIES REDCREEK COMMUNICATIONS EMCA SAGEM SCHLUMBERGER-CP SHIVA S.A SISTECH STERLING COMMERCE SYMANTEC France THEISSEN SECURITY SYSTEMS AG THOMSON - CSF DETEXIS Page 99/162

100 THOMSON - CSF UNISYS France UTIMACO Software France VPNet Technologies Inc ANNEXE TESTS SUR LES PRINCIPAUX LOGICIELS ANTIVIRUS ANNEXE PRINCIPALES CARACTERISTIQUES IDEM (DONNEES EDITEUR): Page 100/162

101 ANNEXE DIFFERENTES PHASES D'AUTHENTIFICATION BIOMETRIQUE A TRAVERS L'ANALYSE DE LA MORPHOLOGIE HUMAINE Traits du visage: Empreintes digitales: Dessin du réseau veineux de l'œil: La voix: Source: Page 101/162

102 ANNEXE CRYPTOGRAPHIE QUANTIQUE POLARISATION DES PHOTONS La polarisation des photons est mesurée par un angle qui varie de 0 à 180. Dans le protocole que nous décrivons, dû aux canadiens CH. Bennett et G.Brassard, la polarisation peut prendre 4 valeurs : 0, 45, 90, 135. Pour les photons polarisés de 0 à 90, on parle de polarisation rectiligne, pour ceux polarisés de 45 à 135, de polarisation diagonale: Polarisation: Page 102/162

103 ANNEXE CRYPTO API 2.0 L'interface de programmation d'application (A.P.I.) de Microsoft Cryptographie (Crypto API) fournit aux développeurs les fonctions essentielles de cryptographie et de certificat. Crypto A.P.I.1.0 prend en charge les opérations sur des clés publiques et symétriques, telles que la génération de clé, la gestion de clé, l'échange de clé, le cryptage, le décryptage, le hachage, les signatures digitales et la vérification de signatures. Crypto A.P.I.2.0 inclut cette fonctionnalité cryptographique essentielle ainsi qu'une fonctionnalité basée sur les certificats. Les développeurs peuvent utiliser les certificats avec ces opérations sur les clés et effectuer les encapsulations et le codage nécessaires à l'application des certificats dans leurs applications. Crypto A.P.I.2.0 utilise un modèle fournisseur de service dans lequel la cryptographie est fournie par des fournisseurs de service cryptographique (C.S.P.). Ce modèle autorise les développeurs à adapter facilement leurs applications aux technologies de cryptographie et aux politiques d'exportation gouvernementales en constante évolution. Page 103/162

104 ANNEXE EXEMPLE D'UNE ARCHITECTURE DE TYPE CLIENT LEGER Source: Page 104/162

105 1. ANNEXE LEGISLATION FRANÇAISE Article 28 de la loi sur la réglementation des télécommunications du , modifiée par la loi du 11 juillet 1991, modifiée par la loi du 26 juillet 1996 Décret n du 24 février 1998 définissant les conditions dans lesquelles sont souscrites les déclarations et accordées les autorisations concernant les moyens et prestations de cryptologie, NOR : PRMX D, J.O. du 25 Février 1998 page 2911, modifié par le décret n du 2 mai 2002, NOR : PRMX D, JO du 3 Mai 2002 page 8055 Décret n du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie pour lesquelles la procédure de déclaration préalable est substituée à celle d'autorisation, NOR : PRMX D, J.O. Numéro 66 du 19 Mars 1999 page 4050 Décret n du 17 mars 1999 définissant les catégories de moyens et de prestations de cryptologie dispensées de toute formalité préalable, NOR : PRMX D, J.O. Numéro 66 du 19 Mars 1999 page 4051 Arrêté du 17 mars 1999 définissant la forme et le contenu du dossier concernant les déclarations ou demandes d'autorisation relatives aux moyens et prestations de cryptologie, NOR : PRMX A, J.O. Numéro 66 du 19 Mars 1999 page 4052 Arrêté du 13 mars 1998 définissant le modèle de notification préalable par le fournisseur de l'identité des intermédiaires utilisés pour la fourniture de moyens ou prestations de cryptologie soumis à autorisation, NOR : PRMX A, J.O. du 15 Mars 1998 page 3888 Décret n du 24 février 1998 définissant les conditions dans lesquelles sont agréés les organismes gérant pour le compte d'autrui des conventions secrètes de cryptologie en application de l'article 28 de la loi n du 29 décembre 1990 sur la réglementation des télécommunications, NOR : PRMX D, J.O. du 25 Février 1998 page 2915 Arrêté du 13 mars 1998 définissant les dispositions particulières qui peuvent être prévues dans les autorisations de fourniture d'un moyen ou d'une prestation de cryptologie, NOR : PRMX A, J.O. du 15 Mars 1998 page 3888 Page 105/162

106 Arrêté du 13 mars 1998 fixant la forme et le contenu du dossier de demande d'agrément des organismes gérant pour le compte d'autrui des conventions secrètes, NOR : PRMX A, J.O. du 15 Mars 1998 page 3888 Arrêté du 13 mars 1998 fixant la liste des organismes agréés pouvant recevoir dépôt des conventions secrètes, NOR : PRMX A, J.O. du 15 Mars 1998 page 3891 Arrêté du 13 mars 1998 fixant le tarif forfaitaire pour la mise en œuvre des conventions secrètes au profit des autorités mentionnées au quatrième alinéa du II de l'article 28 de la loi n du 29 décembre 1990 sur la réglementation des télécommunications, NOR : PRMX A, J.O. du 15 Mars 1998 page CRYPTOLOGIE La fourniture, l'utilisation, l'importation et l'exportation de la cryptologie sont réglementées en France. Les fonctions cryptologiques autres que la confidentialité sont soumises à déclaration simplifiée auprès de la DCSSI. La confidentialité est soumise soit au régime de la déclaration, soit au régime de l'autorisation. La DCSSI enregistre les déclarations et instruit les demandes d'autorisation des moyens et prestations de cryptologie conformément à la législation française et communautaire. En France, les prestations de cryptologie sont soumises à un cadre législatif ; les tableaux de synthèse suivants vous en donneront le détail. Les déclarations et demandes d'autorisation doivent faire l'objet d'un dossier déposé auprès du Direction Centrale de la Sécurité des Systèmes d'information. Page 106/162

107 Tableaux de synthèse: Réglementation française en matière de fourniture, d'utilisation et d'importation de moyens de cryptologie en France. Authentification Signature Intégrité Clé de chiffrement inférieure ou égale à 40 bits Clé de chiffrement strictement supérieure à 40 bits et inférieure ou égale à 128 bits Clé de chiffrement strictement supérieure à 128 bits gérée par un tiers de confiance *** Clé de chiffrement strictement supérieure à 128 bits UTILISA- TION LIBRE FOURNITURE IMPORTATION * DÉCLARATION SIMPLIFIÉE LIBRE LIBRE DÉCLARATION LIBRE LIBRE ** DÉCLARATION LIBRE ** LIBRE AUTORISATION AUTORISATION AUTORISÉE AUTORISATION **** * Uniquement des pays extérieurs à l'union européenne. AUTORISATION ** Soumise à DÉCLARATION seulement si le fournisseur ou l'importateur ne l'a pas déjà déclaré et si le moyen de cryptologie n'est pas exclusivement destiné à usage personnel. *** Un tiers de confiance est une organisation agréée par la DCSSI pour gérer les clés de chiffrement des utilisateurs. Ce tiers de confiance doit remettre les clés aux autorités judiciaires et de sécurité sur requête de leur part. **** A condition que lesdits matériels ou logiciels aient fait l'objet d'une autorisation de fourniture en vue d'une utilisation générale. Sinon, une demande d'autorisation d'utilisation personnelle doit être adressée à la DCSSI. Moyens pouvant être exemptés de contrôle quelle que soit la longueur de clé sous certaines conditions: Page 107/162

108 Cartes à puce personnalisées, équipements de réception de télévision de type grand public, moyens matériels ou logiciels spécialement conçus pour assurer la protection des logiciels contre la copie ou l'utilisation illicite, moyens de cryptologie utilisés dans les transactions bancaires, radiotéléphones portatifs ou mobiles destinés à l'usage civil, stations de base de radiocommunications cellulaires civiles, moyens de cryptologie accompagnant les personnalités étrangères sur invitation officielle de l'état. Page 108/162

109 Réglementation française en matière de contrôle à l'exportation des moyens de cryptologie TRANSFERTS INTRA EXPORT Matériel ou logiciel de cryptologie (produit grand public) remplissant toutes les conditions suivantes (article 10 du Décret du 13/12/2001) : couramment à la disposition du public, vente effectuée en magasin, par correspondance, par transaction électronique, par téléphone dont la fonctionnalité cryptographique ne peut pas être modifiée facilement par l'utilisateur qui est conçu pour être installé, par l'utilisateur sans assistance ultérieure importante de la part du fournisseur. Matériel ou logiciel de cryptologie remplissant une des conditions suivantes (sauf quelques exceptions importantes **): Clé symétrique de longueur supérieure à 56 bits Clé asymétrique de longueur supérieure à 512 bits (RSA, DH,Ö) ou supérieure à 112 bits (DH sur courbe elliptique,ö) Moyens de cryptanalyse COMMUNAU-TAIRES 7 DESTINATIONS * AUTRES DESTINATIONS PAS DE LICENCE D'EXPORTATION DÉCLARATION À LA D.C.S.S.I. PAS DE LICENCE D'EXPORTATION DÉCLARATION À LA D.C.S.S.I LICENCE GÉNÉRALE COMMUNAU TAIRE DÉCLARATI ON (C.S.S.I.). LICENCE D'EXPORTATION INDIVIDUELLE GLOBALE AUTORISATION (D.C.S.S.I). LICENCE D'EXPORTATION INDIVIDUELLE OU GLOBALE AUTORISATION (C.S.S.I.). OU

110 * - Australie, Canada, Japon, Nouvelle Zélande, Norvège, Suisse, Etats-Unis d'amérique; ** - moyens pouvant être exemptés de contrôle quelle que soit la longueur de clé mais sous certaines conditions: cartes à puce personnalisées,équipements de réception de télévision de type grand public, moyens matériels ou logiciels spécialement conçus pour assurer la protection des logiciels contre la copie ou l'utilisation illicite, moyens de cryptologie utilisés dans les transactions bancaires, radiotéléphones portatifs ou mobiles destinés à l'usage civil, moyens accompagnant leur utilisateur pour son utilisation personnelle. - moyens contrôlés quelle que soit la longueur de clé : produits utilisant des techniques cryptographiques pour générer un code d'"étalement de spectre" ou de saut de fréquences. 7.7 LISTE DES PRODUITS CRYPTOLOGIQUES LIBRES D'UTILISATION Selon le décret n du 17 mars 1999, l'utilisation et l'importation de produits de chiffrement utilisant des clés de longueur inférieure ou égale à 128 bits sont libres à condition d'avoir été déclarées. Seuls figurent sur cette liste les produits pour lesquels le fournisseur a formellement donné son accord à une telle publication. Le fait qu'un produit ne soit pas référencé dans cette liste ne signifie pas que le produit n'est pas autorisé. Le référencement dans la liste ne constitue en rien une indication sur la qualité du produit ni une recommandation de la part de la DCSSI.

111 7.8 LISTE DES ENTREPRISES : 3COM ACE TIMING ALCATEL AQL ARKOON AVID TECHNOLOGY Inc BALTIMORE TECHNOLOGIES BIODATA GmbH BROKAT BULL CANDLE France CHECK POINT Software CISCO Systems CITRIX COMPAQ Computer CONTROL DATA CORNUT INFORMATIQUE CRYPTOGRAM DATA FELLOWS DECROS E-SECUWEB EDELWEB S.A. ENFOTEC, Inc ENTRUST COM ERACOM TECHN- OLOGIES Australia Pty Ltd ERCOM EXTENDED SYSTEMS FRANCE FREE SOFTWARE FOUNDATION Chapter France GEMPLUS GRETACODER DATA SYSTEMS AG GUARDWARE SYSTEMS HEWLETT-PACKARD France IBM France INTERNET SECURITY System ISTRI ITS SOLUTIONS MATRAnet METHODES ET SOLUTIONS INFORMATIQUES MSI MICROSOFT FRANCE NEOL SA NETASQ NETSCREEN TECHNOLOGIES NETWORK ASSOCIATES France NEUROCOM NORMAN ASA NORTEL NETWORKS NOVINK ODS NETWORKS ORACLE PHILIPS Gand Electronique PREVIEW SYSTEMS RACAL Security and Payments RACAL-AIRTECH Ltd RAINBOW TECHNOLOGIES REDCREEK COMMUNICATIONS EMCA SAGEM SCHLUMBERGER- CP8 SHIVA S.A. SISTECH STERLING COMMERCE SYMANTEC France THEISSEN SECURITY SYSTEMS AG THOMSON - CSF DETEXIS THOMSON - CSF UNISYS France UTIMACO Software France VPNet Technologies Inc. Les Conquérants, 1, avenue de l'atlantique, BP 965 Les Ulis, Courtaboeuf Cedex, France Page 111/162

112 Produit Etherlink 10/100 PCI Network Interface Card Routeurs dédiés à la commutation de tunnels VPN de la famille PathBuilder sous EOS v11.1 et au-delà Routeurs de la famile OfficeConnect NETBuilder sous EOS v11.1 et au-delà Routeurs de la famille NETBuilder II sous EOS v11.1 et au-delà Routeurs de la famille SuperStack II NETBuilder sous EOS v11.1 et au-delà Catégorie Carte de chiffrement Routeur Routeur Routeur Routeur ACE TIMING 17 rue Noyer, RENNES, France Produit SIS (Système d'interconnexion Sécurisé) Catégorie Authentification + Chiffrement IP + Contrôle d'accès + Firewall ALCATEL Le Colisée B, 12 avenue de l'arche, Courbevoie Cedex, France Produit Alcatel 7132 Secure VPN Gateway version 3.x. Alcatel 7133 Secure VPN Gateway version 3.x. Alcatel 7134 Secure VPN Gateway version 3.x. Alcatel 7137 Secure VPN Gateway version 3.x. Alcatel Secure VPN Client version 3.x. Catégorie Tunnel chiffrant VPN Tunnel chiffrant VPN Tunnel chiffrant VPN Tunnel chiffrant VPN Tunnel chiffrant VPN Page 112/162

113 7.8.4 AQL Rue de la chataigneraie, BP 127, Cesson-Sévigné Cedex, France Produit Vickey v1.0 Catégorie Chiffrement de fichiers ARKOON 13 A avenue Victor Hugo, Lyon Tassin, France Produit Catégorie SSL 3DES IPSEC 3DES Arkoon Yelow, green, blue, purple Arkoon Titanium 50, 200, 500, 2000, 5000 Gestion des clés, Administration sécurisée Tunnel chifrant VPN, Firewall, Gestion des clés Tunnel chiffrant VPN, Firewall Tunnel chiffrant VPN, Firewall AVID TECHNOLOGY Inc Avid Technology Park, One Park West, Tewksbury, Massachusetts 01876, Etats-Unis Produit AvidProNet Review & Approval Services (incluant Upload/Download Manager) MediaManager Select 1.0 Avid Unity MediaNetwork 3.1 Catégorie Logiciel de chiffrement Logiciel de chiffrement Logiciel de chiffrement Page 113/162

114 7.8.7 BALTIMORE TECHNOLOGIES 68, rue du faubourg Saint-Honoré, Paris, France Produit Baltimore C/SSL TM v2.1 Baltimore Crypto Systems Toolkit v.6.0 TM v7 Baltimore J/Crypto v4.0 Baltimore J/SSL TM v2.0 Baltimore Secure Messaging Toolkit, v2.0 Baltimore W/Secure TM SDK v1.1 Baltimore Enterprise Crypto System ECS Desktop v2.2 Baltimore Enterprise Crypto System ECS Server v2.2 Baltimore PKI-Plus TM 2.0 Unicert 3.0 Baltimore HSP4000/Assure v2.2 Catégorie Bibliothèque cryptographique Bibliothèque cryptographique Bibliothèque cryptographique Bibliothèque cryptographique Bibliothèque cryptographique Bibliothèque cryptographique Gestion de clés Gestion de clés Gestion de clés Gestion de clés Processeur cryptographique BIODATA GmbH Burg Lichtenfels, Lichtenfels, Allemagne Produit Catégorie Babylon 3.0 Chiffrement de liens RNIS BROKAT Industriestr. 3, Stuttgart, Allemagne Produit Catégorie Page 114/162

115 X-Presso Security Package 1.3 Banque à domicile Page 115/162

116 BULL 68 route de Versailles, BP 434, Louveciennes, France Produit Catégorie Netwall Bull Option de Netwall Bull Remote Control 1.0 et 1.1 Module CSF Toolkit Cryptographique Trustway Software Framework BNC BNC-C et BNC-E (Boîte Noire Carte et Boîte Noire Edition Securware BNE C, v1, v2, v3, v4 et v5 Logiciel SECUR'ACCESS ISM Access Master avec confidentialité ISM Access Master de base ISM Access Master v3 Bullwark NT version 1.30 MAC'ER (Swift Authenticator) BNT (Boîte Noire Transactionnelle) internationale BNT avec TSM-R ou BNT rapide Administration sécurisée Administration sécurisée Bibliothèque cryptographique Bibliothèque cryptographique Bibliothèque cryptographique Cartes Bancaires Cartes Bancaires Chiffrement IP Contrôle d'accès applications GCOS7 Contrôle d'accès réseau Contrôle d'accès réseau Contrôle d'accès réseau Contrôle d'accès Contrôle d'intégrité réseau Swift DAB/GAB DAB/GAB Page 116/162

117 Carte Swift ECB (Equipement Cryptographique bancaire) ESM ETEBAC5 et carte TSM-R Lecteur SCR 1024 bits - Module de Sécurité SMC-SM MSCB SCP (Secure Card reading Pinpad) SRC (Serveur Référentiel Code) System Control Device Logiciel DCE, GCOS-DCE, PC-DCE Logiciel S/Prog algo DES MainWay version V3U3 128 bits MainWay version V3U3 56 bits Authentic 2 DCC Securware-CE ou BN-CE BNR 5000 BNR et BNR type 2 Produit de Sécurité ISS "MOTUS" BullSoft Proxy Serveur Operating System AIX AccessMaster Secure Remote Access/VPN DAB/GAB DAB/GAB DAB/GAB DAB/GAB DAB/GAB DAB/GAB DAB/GAB DAB/GAB DAB/GAB Distribution de services applicatifs Logiciel de chiffrement pour DPS 7000 Logiciel de communication Logiciel de communication Logiciel de sécurité PC Matériel chiffrement réseau ethernet Processeur cryptographique Réseaux X25 Réseaux X25 Serveur de sécurité Serveur proxy Système d'exploitation Tunnel chiffrant VPN Page 117/162

118 CANDLE France 13, avenue de la porte d'italie, Paris, France MQ Secure v1.1 Produit Catégorie Logiciel de communication Page 118/162

119 CHECK POINT Software 3, quai de Dion Bouton, Puteaux Cedex, France Produit VPN-1 RemoteLink DES VPN-1 Pro, VPN-1 Net VPN-1 GX, VPN-1 SmallOffice VPN-1 SecuRemote VPN-1 SecureClient VPN Client pour Macintosh VSX VPN-1 Accelerator Card III Firewall VPN-1 Version 5 next generation Firewall-1 VPN 3DES v4 et VPN-1 Appliance 3DES Firewall VPN-1 Version 5 next generation Firewall-1 VPN DES versions 3 et 4 VSX VPN-1 Certificate Manager Catégorie Chiffrement IP Chiffrement IP Chiffrement IP Chiffrement IP Chiffrement IP Chiffrement IP Chiffrement IP Chiffrement IP Firewall Firewall Firewall Firewall Gestion de clés CISCO Systems 11 rue Camille Desmoulins, Issy-Les-Moulineaux Cedex 9, France Produit Catégorie IOS 56 bits IOS Triple DES IOS 56 & 128 bits Tunnel chiffrant VPN Tunnel chiffrant VPN Tunnel chiffrant VPN Page 119/162

120 Cisco PIX & IOS 3-DES Cisco VPN 3000 Série Cisco VPN 5000 Série Cisco Secure Unix Server Cisco Aironet 340 Série Cisco Aironet 350 Série Tunnel chiffrant VPN Tunnel chiffrant VPN Tunnel chiffrant VPN Authentification Chiffrement IP Chiffrement IP CITRIX 7, place de la Défense, La Défense 4 Cedex, France Secure ICA Services Produit Catégorie Environnement distribué COMPAQ Computer 5 allée Gustave Eiffel, Issy-Les-Moulineaux, France Produit Lecteur d'empreintes digitales TaskSmart série C Altavista Tunnel 98 (56 bits) Carte de supervision Insight Lights out id2 Certificate manager v2.x.y et v3.x.y Compaq Insight Manager Apache Web Server for TRU64 Unix Apache Web Server on Open VMS DECForms Web connectors 40 bits Task Smart Server W2200 Catégorie Authentification Cache Internet Chiffrement IP Chiffrement SSL Gestion de clés Logiciel d'administration Serveur Web Serveur Web Serveur Web Serveur Web Page 120/162

121 CONTROL DATA Le capitole, 55, avenue des Champs Pierreux, Nanterre Cedex France Produit Catégorie IntraStore 2000 Rialto IMAPSP Service Providers 2000 Messagerie Messagerie CORNUT INFORMATIQUE 24, rue de la télématique, BP 702, Saint-Etienne Cedex 9, France Produit Catégorie CI-Link v Bases de données CRYPTOGRAM 24, rue de la digue, Saint-Rémy Les Cheveuses, France Produit CryptoGram Folder Professional Edition v1.40 CryptoGram Folder Smart Edition v1.40 Catégorie Chiffrement de fichiers Chiffrement de fichiers DATA FELLOWS 12 avenue de l'arche, Faubourg de l'arche, Courbevoie, France Produit F-SECURE Management Framework v3.0 F-Secure VPN+ version 4.0 F-Secure SSH F-Secure FileCrypto version 4.0 Catégorie Administration sécurisée Chiffrement IP Chiffrement SSH Chiffrement de fichiers DECROS JS Baara 40, Ceske Budejovice, Czech Republic Page 121/162

122 Produit Protect 95/98 et Protect NT (128 bits) Protect 95/98 et Protect NT (version Wincros II 160 bits) Protect 95/98 et Protect NT triple DES 40 bits Catégorie Chiffrement de fichiers Chiffrement de fichiers Logiciel de chiffrement de fichiers PC E-SECUWEB 34 avenue Foch, BP 1023, Le Havre Cedex, France Produit Crypto Inside - Version 1.0 Crypto Inside for JAVA - Version 1.0 Catégorie Chiffrement de fichiers Chiffrement de fichiers EDELWEB S.A. 33 avenue du Maine, Paris Cedex 15, France Produit Edelsafe version F-1.0 Catégorie Sécurisation messagerie ENFOTEC, Inc Les Tilleuls, Chemin de Vermillère, Cadenet, France Produit Enfotec 200 Security appliance Enfotec CSA Catégorie Tunnel chiffrant VPN, Firewall Tunnel chiffrant VPN, Firewall ENTRUST 90 avenue des Champs Elysées, Paris, France Produit Catégorie Entrust Security Toolkit for Bibliothèque cryptographique Page 122/162

123 Visual Basic v6 Entrust Session Toolkit v6 Entrust IPSEC Negociator Toolkit v6 Entrust File Toolkit v6 Entrust Security Manager Administration Toolkit v6 Entrust Security Toolkit for JAVA v6 Entrust M Validator Entrust M Register Entrust Web Plug-in v6 Entrust TruePass v6 Entrust Security Management v6 Entrust Authority Enrollment Server for VPN v6 Entrust Authority Enrollment Server for Smartcards v5 Entrust File Plug-in v6 Entrust Client Entrust Timestamp v5 Entrust Plug-in v6 Bibliothèque cryptographique Bibliothèque cryptographique Bibliothèque cryptographique Bibliothèque cryptographique Bibliothèque cryptographique Chiffrement échanges WAP Chiffrement échanges WAP Chiffrement/Signature échanges Internet Chiffrement/Signature échanges Internet Gestion de clés Gestion de clés Gestion de clés Logiciel de chiffrement de fichiers PC Logiciel de sécurité PC Logiciel d'horodatage Sécurisation messagerie ERACOM TECHNOLOGIES Australia Pty Ltd 28, Greg Chappell Drive, 4220 Burleigh Heads QLD 4220, Australie Produit Protectserver orange (CSA 8000) Catégorie Processeur cryptographique Page 123/162

124 ERCOM Immeuble Nungesser, 13 avenue Morane Saulnier, Velizy, France Produit Catégorie SmartPass /128 SmartPass /56 Chiffrement IP Chiffrement IP EXTENDED SYSTEMS FRANCE 54 route de Sartrouville, Le Pecq Produit XTNDConnect Server /128 bits Catégorie Messagerie + Transfert de fichiers Page 124/162

125 FREE SOFTWARE FOUNDATION Chapter France 8 rue de Valois, Paris Produit OpenSSL version 0.9.6d et suivantes OpenSSL version 0.9.6d et suivantes OpenSSL version 0.9.6d et suivantes GnuPG version et suivantes GnuPG version et suivantes GnuPG version et suivantes GnuPG version et suivantes Catégorie Chiffrement SSH Chiffrement SSL Chiffrement SSL/SSH Chiffrement échanges Internet Chiffrement/Signature échanges Internet Chiffrement/Chiffrement de fichiers Chiffrement/Logiciel de chiffrement GEMPLUS Parc d'activités de Gemenos, BP 100, Gemenos Cedex, France Produit carte SETCOS 4.4 et outils associés Carte à mémoire Catégorie GRETACODER DATA SYSTEMS AG Althardstr. 150, 8105 Regensdorf, Suisse Produit Gretacoder 522/524/526/605 Catégorie Matériel chiffrement X25 Page 125/162

126 GUARDWARE SYSTEMS 1089 Budapest Ulloï utc 102, Budapest, Hongrie Produit System Guard et Access Guard System Guard et Access Guard System Guard et Access Guard Catégorie Authentification Contrôle d'accès Contrôle d'accès réseau HEWLETT-PACKARD France PA du Bois Briard, 2 avenue du Lac, Evry Cedex, France Produit HP VirtualVault 4.0 serveur Web sécurisé (avec HP Speedcard) HP VirtualVault système UNIX sécurisé (avec HP Speedcard) Catégorie Serveur d'accès Internet Système d'exploitation IBM France Tour Descartes Département 2009, Paris La Défense 5 Cedex Produit Catégorie Distrib.Console Access Facility Administration sécurisée IBM Web based system manager security for AIX Lotus Organizer DSSeries Directory Server for AIX 4.3 CBT Crypto Based Transaction Administration sécurisée Agenda Annuaire électronique Banque à domicile ICSF/MVS Bibliothèque Cryptographique bibliothèque DES pour AIX v4 Bibliothèque Page 126/162

127 Cryptographique 82F5484 carte personnelle de sécurité (DES limité) Carte à mémoire 4758 Coprocesseur crypto CDMF Carte de chiffrement PC 4758 Coprocesseur cryptographique DES Carte de sécurisation PC IBM 4758 Coprocesseur cryptographique, dispositif 4800 pour AS/ B82 et B83 ARTour Mobile Clients Carte de sécurisation PC Chiffrement IP (radio) C17 ARTour Gateway for AIX Chiffrement IP (radio) A01 OS/390 IP Security CDMF Chiffrement IP IBM Cryptographic Access Provider 56 bits ou IBM 5769-AC2 IBM Secure Wireless Gateway 56 bits v5.1 IPSec pour IBM AIX v CE2 ou IBM AS/400 Client Encryption 56 bits 5769-CE3 ou IBM AS/400 Client Encryption triple DES 168 bits IBM AS/400 Client Encryption 56 bits ou IBM 5769-CE2 IBM Component Broker v3 IBM Host On Demand v4 (128 bits) IBM Host On Demand v4 TDES 168 IBM Java ORB IBM System SSL for OS/390 (40/56 bits) "Domino Go Webserver et 5.0 et HTTP Server 40b for AIX, OS/2 Warp, WinNT, Solaris, HPUX" Chiffrement IP Chiffrement IP Chiffrement IP Chiffrement SSL/SSH Chiffrement SSL/SSH Chiffrement SSL/SSH Chiffrement SSL/SSH Chiffrement SSL/SSH Chiffrement SSL/SSH Chiffrement SSL/SSH Chiffrement SSL/SSH Chiffrement SSL Page 127/162

128 AYV Transarc DE Light Chiffrement SSL D42 enetwork Host On Demand Chiffrement SSL E44 ou E45 enetwork Personnal Communications v4.3 Chiffrement SSL F34 Component Broker v1 Chiffrement SSL B40 et B63 enetwork Host On Demand NCE et NCE et NCF Internet Con.Secure Server for AS/ C58 Domino Go Webserver for OS/ D43 Domino Go Webserver 5.0 for OS/390 IBM HTTP Server 40b Chiffrement SSL Chiffrement SSL Chiffrement SSL Chiffrement SSL AC1 Crypto Access Provider 40b Chiffrement SSL A83 Contact Fusion v1 Chiffrement SSL IBM CICS Transaction Gateway v3 ou F52 ou B43 ou C B43 ou IBM CICS Transaction Gateway v3 IBM TX Series A16 Net Commerce for AIX et Win NT C60 Commerce Point Gateway for OS/390 Chiffrement SSL Client/Serveur Client/Serveur Commerce électronique Commerce électronique C61 Registry for SET for OS/390 Commerce électronique C62 Commerce Point etill Commerce électronique C80 Commerce Point Wallet Commerce électronique IBM Consumer Wallet v2r1, IBM Websphere Payment Manager v2r1, IBM Commerce électronique Page 128/162

129 Websphere Payment Gateway v2r1 IBM Websphere Payment Gateway v2r1 SSL 168 bits IBM Websphere Payment Manager v2r1 SSL 168 bits NetSP Secured Network Gateway Commerce électronique Commerce électronique Contrôle d'accès réseau 8235 Serveur d'accès réseau local via RTC Contrôle d'accès réseau "7975 Clavier chiffrant pou IBM 4731, 4738 et 4739" 42F0093 Carte personnelle de sécurité 4346 Dispositif cryptographique pour 4783/4789 DAB/GAB DAB/GAB DAB/GAB 4347 Clavier chiffrant pour 478x DAB/GAB 4656 Dispositif cryptographique pour 4731/4738/4739 DAB/GAB 4702 Serveur bancaire DAB/GAB 4737 Service dialogue DAB/GAB 4738 et 4739 Guichets automatiques de banque DAB/GAB Unité interface sécurité DAB/GAB 4755 Adaptateur cryptographique ETEBAC5 - NMT Dispositif cryptographique pour 4731/4738/4739 DAB/GAB DAB/GAB 4778 Clavier d'identification personnelle DAB/GAB 4781 Distributeur automatique de billets DAB/GAB 4782 Guichet automatique de banque DAB/GAB 4783 Distributeur automatique de billets DAB/GAB Page 129/162

130 4784 Distributeur automatique de billets DAB/GAB 4785 Guichet automatique de banque DAB/GAB 4787 Guichet automatique de banque DAB/GAB 4789 Distributeur automatique de billets DAB/GAB PBM Network Monitor DAB/GAB Enhanced Network Monitor DAB/GAB 5937 Services dialogue IBM 4737 en kit DAB/GAB 7221 Clavier chiffrant pour imprimante IBM et 7224 Claviers pour imprimante IBM Q0742 Dispositif cryptographique pour IBM 3174 SDCS Secure Distribution Control System DAB/GAB DAB/GAB DAB/GAB Distribution de logiciels D53 DCE for Win NT Environnement distribué Gradient DCE client for Windows 95/NT IBM DCE Runtimes Services for Windows 95/NT (56 bits) IBM DCE for AIX v3.1 (56 bits) IBM DCE for AS/400 (56 bits) IBM DCE for NT v2.2 (56 bits) IBM DCE for OS/2 (56 bits) IBM DCE for Solaris v3.1 (56 bits) IBM Host Publisher v2 IBM Network Station Manager v2r1ou IBM 5648-C07 Transarc DCE client for Windows 95/NT Environnement distribué Environnement distribué Environnement distribué Environnement distribué Environnement distribué Environnement distribué Environnement distribué Environnement distribué Environnement distribué Environnement distribué Page 130/162

131 A01 Version 2 Communications Server for OS/ bits FW1 et FW1 et FW2 Firewall for AS/400 Firewall Firewall F06 Firewall 3.3 DES Firewall C16 Firewall v3 CDMF Firewall C16 Firewall v3 DES Firewall C16 Firewall v3.1/3.2 DES Firewall B28 Vault Registry Gestion de clés ETX Commerce Server /400 Gestion de clés DSMIT for AIX v4 Gestion de systèmes distribués Services sécurité DCE 2.1 Gestion de systèmes distribués AIX v3.2 Logiciel d'authentification (non PC) Asynchronous terminal Server Accelerator 6000 sur Ethernet Logiciel (non PC) d'authentification AIX Asynch. Terminal Server Accelerator/6000 Logiciel d'authentification/chiffrement (non PC) XY5 Programmed crypto Facility Logiciel de chiffrement (non PC) A52 ou IBM Secure Crypto and Certificates services toolkit (40/56 bits) Logiciel chiffrement/certification de C19 FTP Software pour enetwork Com. Suite IBM Communication Server for OS/390 (56 bits) Logiciel de communication Logiciel de communication CR1 Logiciel crypto AS/400 RISC Logiciel de sécurité (non PC) Page 131/162

132 CR1 Logiciel crypto AS/400 Logiciel de sécurité (non PC) CR1 Logiciel crypto AS/400 RISC Logiciel de sécurité (non PC) DC1 DCE Base Services for AS/400 Logiciel de sécurité (non PC) DSS for OS/2 Warp Logiciel de sécurité PC E46 DCE Runtime Services for Win95/NT CDMF Transarc DCE Client Pack for Win 95/NT CDMF Lotus Notes /domino 4.6 et Editions françaises Lotus Notes R3 V4.11 et V.51 incluant Domino Lotus Notes/Domino R5 Lotus Notes/Domino R5.01 (version 40 bits SSL 56 bits) Lotus QuickPlace version 1 (40 bits) Logiciel de sécurité PC Messagerie Messagerie Messagerie Messagerie Messagerie B08 et B10 et 5648 C05 Navigateur Internet Processeur crypto CDMF pou PC OS/ Processeur Cryptographique DES pour S/ Dispositifs optionnels pour S/ Processeur crypto AS/400 (DES limité) Processeur Cryptographique Processeur Cryptographique Processeur Cryptographique Processeur Cryptographique Processeur sécurité réseau Processeur Cryptographique FC 2620 Processeur cryptographique pour AS/400 IBM 4758 ou IBM PCI Cryptographic Coprocessor Triple DES 112 bits Processeur Cryptographique Processeur Cryptographique Page 132/162

133 Processeur cryptographique pour S/390 avec chiffrement triple DES dispositif logiciel ICSF de l'ibm OS/390 Routeurs IBM 2210 MRS version 40 bits Routeurs IBM 2212 AIS version 40 bits Routeurs IBM 2216 MAS version 40 bits Routeurs IBM 2210 mrs 2212 ais 2216 mas (40 bits) Routeurs IBM 2210-MRS, 2212-AIS, MAS et NetU option tripledes Internet Connection Secure Server for AIX Internet Connection Secure Server for OS/2 Warp Internet Connection Secure Webexp. IBM HTTP Server 133 (56 bits) IBM Http Server Edition triple DES 3x56 bits IBM On-Demand server v bits IBM SecureWay Directory v3 IBM Websphere AS 2.02 (56 bits) IBM Websphere AS SE/AE/EE v3 System SSL for OS/ Internet Connection Secured Network Gateway F25 CS/NT v6 ou IBM Communication Server for Windows NT version 6 + CS/AIIX v5 + CS/OS2 v6 Processeur Cryptographique Processeur cryptographique Routeurs Routeurs Routeurs Routeur Routeur Serveur Web Serveur Web Serveur Web Serveur Web Serveur Web Serveur Web Serveur Web Serveur Web Serveur Web Serveur Web Serveur d'accès Internet Serveur de communication Page 133/162

134 Corepoint Web Collaboration (40/56 bits) IBM Site Analyzer IBM 5639-E53 IBM Suite for Windows NT (56 bits) IBM 5648-B88 ou IBM Business Suite for Windows NT (56 bits) IBM SecureWay Synchronisation (56 bits) Serveur web Serveur web Suite crypto Suite crypto Suite crypto ENT E3/CMW for AIX Système d'exploitation Lotus IBM IP Security for AIX (56 bits) Tableur Tunnel chiffrant VPN INTERNET SECURITY System Le Métropole, 84, avenue du Général Leclerc, Boulogne, France Produit RealSecure v3.1 SafeSuite Decisions v2.0 System Scanner v ISTRI Produit Catégorie Détection d'intrusion Détection d'intrusion Détection d'intrusion Catégorie Serveur Waplite version sécuriséev1.10 Chiffrement échanges WAP ITS SOLUTIONS 20 place Napoléon 1er, Tour Neptune, Paris La Défense France Produit SCUA Security vx.xxi rxx SCUA V3 SCUA v4 Catégorie Chiffrement de fichiers Logiciel de sécurité PC Logiciel de sécurité Page 134/162

135 MATRAnet 18, rue Grange Dame Rose, BP 262, Velizy Cedex Produit Catégorie M>Tunnel M>Tunnel Chiffrement IP Tunnel chiffrant VPN METHODES ET SOLUTIONS INFORMATIQUES MSI 7 rue Jean Mermoz, Versailles, France Produit Security Box SHL Security Box 2.6 Security Box 2.5 Security Box Home Security Box Work Security Box freeware Security Box Mail Service Catégorie Chiffrement échanges Internet Chiffrement de fichiers Logiciel de chiffrement de fichiers PC Logiciel de chiffrement de fichiers PC Logiciel de chiffrement de fichiers PC Logiciel de chiffrement de fichiers PC Messagerie MICROSOFT FRANCE 18 avenue du Québec, ZAC de Coutaboeuf, Villebon sur Yvette, France Produit Catégorie Windows XP Windows 2000 Windows NT 3.5, Windows NT 4.0 Windows CE.NET4.x, Windows CE 3.0 Microsoft Money 2003 et versions précédentes Annuaire électronique Annuaire électronique Annuaire électronique Annuaire électronique Banque à domicile Page 135/162

136 SQL serveur 2000 et versions précédentes Dotnet Framework Microsoft CryptoAPI Microsoft CAPICOM Internet security and Acceleration Server 2000 et versions précédentes Windows Smart Card Exchange 2000 Exchange 5.0 Outlook 97 Outlook 98 Outlook XP (2002) Mobile Information Server 2002 Office 2000 Office XP Office 97 Biztalk Server 2002 et versions précédentes Commerce Server 2002 et versions précédentes Internet Information Server 6.0 et versions précédentes Windows NT 3.5, Windows NT 4.0 Windows XP Windows 2000 Base de données Bibliothèque cryptographique Bibliothèque cryptographique Bibliothèque cryptographique Cache Internet Carte de chiffrement Chiffrement échanges Internet Chiffrement échanges Internet Chiffrement échanges Internet Chiffrement échanges Internet Chiffrement échanges Internet Chiffrement échanges Internet Chiffrement de fichiers Chiffrement de fichiers Chiffrement de fichiers Commerce électronique Commerce électronique Commerce électronique Commerce électronique Commerce électronique Commerce électronique Windows Millenium, Windows 98, Commerce électronique Page 136/162

137 Windows 95 Windows CE.NET4.x, Windows CE 3.0 XBox Internet security and Acceleration Server 2000 et versions précédentes Project 2002 et versions précédentes Exchange 5.0 Exchange 5.5 Exchange 2000 obile Information Server 2002 Windows CE.Net 4.x, Windows CE 3.0 Windows Millenium, Windows 98, Windows 95 Windows NT 3.5, Windows NT 4.0 Windows XP Windows 2000 Outlook 97, Outlook 98, Outlook 2000, Outlook XP (2002) Mobile Information Server 2002 Exchange 5.5 Exchange 2000 Office XP Office 2000 Commerce électronique Console de jeux Firewall Gestion de projet sécurisée Gestion de clés Gestion de clés Gestion de clés Gestion de clés Gestion de politiques de sécurité Gestion de politiques de sécurité Gestion de politiques de sécurité Gestion de politiques de sécurité Gestion de politiques de sécurité Logiciel de chiffrement Logiciel de chiffrement Logiciel de chiffrement Logiciel de chiffrement Logiciel de chiffrement de fichiers PC Logiciel de chiffrement de fichiers PC Page 137/162

138 Office 97 Dotnet Framework Clavier/souris Wireless Optical Desktop for Bluetooth Office 97 Office 2000 Office XP Exchange 5.0 Exchange 5.5 Exchange 2000 Outlook 97 Outlook 98 Outlook 2000 Outlook XP (2002) Internet Explorer 4.0, 5.0, 5.01, 5.5, 6.0 Outlook Express 4.0, 5.0, 5.05, 5.5, 6.0 Mobile Information Server 2002 Internet Explorer 4.0, 5.0, 5.01, 5.5, 6.0 Outlook Express 4.0, 5.0, 5.01, 5.5, 6.0 Host Integration Server 2000 et versions précédentes (SNA Server) Mobile Information Server 2002 Logiciel de chiffrement de fichiers PC Logiciel de développement Matériel sans fil Messagerie Messagerie Messagerie Messagerie Messagerie Messagerie Messagerie Messagerie Messagerie Messagerie Messagerie Messagerie Messagerie Navigateur Internet Navigateur Internet Passerelle SNA Sécurisation messagerie Page 138/162

139 Exchange 5.0 Exchange 5.5 Exchange 2000 Internet Security and Acceleration Server 2000 et versions précédentes Internet Information Server 6.0 et versions précédentes Windows XP Windows 2000 Windows Millenium, Windows 98, Windows 95 Windows CE.Net 4.x, Windows CE 3.0 Sharepoint Portal Server 2003 et versions précédentes Content Management Server 2002 Office 97 Windows XP Windows 2000 Windows Millenium, Windows 98, Windows 95 Windows CE.Net 4.x, Windows CE 3.0 Windows NT 3.5, Windows NT 4.0 Pocket PC 2002 et versions précédentes Pocket PC Phone Edition Smartphone Windows Sécurisation messagerie Sécurisation messagerie Sécurisation messagerie Serveur proxy Serveur Web Serveur Web, Portail Internet Serveur Web, Portail Internet Serveur Web, Portail Internet Serveur Web, Portail Internet Serveur Web, Portail Internet Serveur Web Signature électronique Système d'exploitation Système d'exploitation Système d'exploitation Système d'exploitation Système d'exploitation Système d'exploitation Système d'exploitation Système d'exploitation Page 139/162

140 Windows Smart Card Office 97 Office XP Office 2000 Pocket PC Phone Edition Pocket PC 2002 et précédentes Smartphone Windows Windows CE.Net 4.x, Windows CE 3.0 Windows XP Windows 2000 Windows Millenium, Windows 98, Windows 95 Windows NT 3.5, Windows NT 4.0 Système d'exploitation Tableur Tableur Tableur Téléphonie Téléphonie Téléphonie Tunnel chiffrant VPN Tunnel chiffrant VPN Tunnel chiffrant VPN Tunnel chiffrant VPN Tunnel chiffrant VPN NEOL SA 4 rue Nationale, BP 11, Bisheim Cedex Produit Catégorie Wibu key Chiffrement de fichiers NETASQ 3 rue Archimède, Villeneuve d'ascq, France Produit Catégorie F50 F100 F100C F500 Firewall Firewall Firewall Firewall Page 140/162

141 V100 VPN Box Tunnel chiffrant VPN NETSCREEN TECHNOLOGIES 120 rue Jean Jaurès, Levallois Perret Produit Catégorie Boîtier NS-5XP Boîtier NS-5XT Boîtier NS 25 Boîtier NS 50 Boîtier NS 204 Boîtier NS 208 Boîtier NS 5200 Boîtier NS 5400 Screen OS 4.0 Boîtier NS-5XP Boîtier NS-5XT Boîtier NS 25 Boîtier NS 50 Boîtier NS 204 Boîtier NS 208 Boîtier NS 5200 Boîtier NS 5400 Screen OS 4.0 Boîtier NS-5XP Boîtier NS-5XT Chiffrement IP Chiffrement IP Chiffrement IP Chiffrement IP Chiffrement IP Chiffrement IP Chiffrement IP Chiffrement IP Chiffrement IP Firewall Firewall Firewall Firewall Firewall Firewall Firewall Firewall Firewall Tunnel chiffrant VPN Tunnel chiffrant VPN Page 141/162

142 Boîtier NS 25 Boîtier NS 50 Boîtier NS 204 Boîtier NS 208 Boîtier NS 5200 Boîtier NS 5400 Screen OS 4.0 Boîtier NS-5XP Boîtier NS-5XT Boîtier NS 25 Boîtier NS 50 Boîtier NS 204 Boîtier NS 208 Boîtier NS 5200 Boîtier NS 5400 Screen OS 4.0 Tunnel chiffrant VPN Tunnel chiffrant VPN Tunnel chiffrant VPN Tunnel chiffrant VPN Tunnel chiffrant VPN Tunnel chiffrant VPN Tunnel chiffrant VPN Tunnel chiffrant VPN, Firewall Tunnel chiffrant VPN, Firewall Tunnel chiffrant VPN, Firewall Tunnel chiffrant VPN, Firewall Tunnel chiffrant VPN, Firewall Tunnel chiffrant VPN, Firewall Tunnel chiffrant VPN, Firewall Tunnel chiffrant VPN, Firewall Tunnel chiffrant VPN, Firewall NETWORK ASSOCIATES France 50, rue de Londres, Paris, France Produit Event Orchestrator v1.02 et 1.03 PGP SDK version 1.x PGP desktop utilities v5.5.5 et v6.0.2 PGP desktop utilities v6.5.1 et v6.5.2 CyberCop Suite scanner 5.0/5.5 et Monitor 1.x/2.x Catégorie Administration sécurisée Chiffrement de fichiers Chiffrement de fichiers Chiffrement de fichiers Détection d'intrusion Page 142/162

143 Gauntlet NT v5.0 v5.5 et antérieures Gauntlet Unix v4.2 v5.0 v5.5 et antérieures E-Policy Orchestrator NetTools PKI Server v1.0 PGP Certificate Server v2.5 et v2.5.1 Gauntlet GVPN pour Gauntlet UNIX et NT, v5.0 v5.5 Firewall Firewall Gestion d'antivirus Gestion de clés Gestion de clés Tunnel chiffrant VPN NEUROCOM avenue Charles de Gaulle, Neuilly sur Seine, France Produit Net Secure File v2.3 NetSecure java v2 Catégorie Chiffrement de fichiers Serveur Web NORMAN ASA BP 43, 1324 Lysaker, Norvège Produit Norman Privacy version 3.0 Norman Access Control pour Windows 95/98 version 4.11 Norman Access Control pour Windows NT version 5.01 Catégorie Chiffrement de fichiers PC Logiciels de sécurité PC Logiciels de sécurité PC NORTEL NETWORKS 1 place des Frères Montgolfier, Guyancourt Cedex 9, France Produit Catégorie Baystack Instant Internet 1000 & 4, version 7.0 et Tunnel chiffrant VPN Page 143/162

144 suivantes Contivity 128 bits Extranet Switch (600/1000/2000/ /2500/4500) version 2 et suivantes Contivity 56 bits Extranet Switch (600/1000/2000/ /2500/4500) version 1.5 et suivantes Shasta 5000 BSN, version 2.0 et suivantes mode DES et 3DES (168 bits) Tunnel chiffrant VPN Tunnel chiffrant VPN Tunnel chiffrant VPN Page 144/162

145 NOVINK 19 rue de l'aubrac, Paris, France Produit Novlink Diskprivacy Catégorie Logiciel de chiffrement de fichiers PC ODS NETWORKS 115 avenue de Paris, Saint-Mande, France Produit CryptoWatch v5.x Catégorie Tunnel chiffrant VPN ORACLE 65, rue des 3 Fontanots, Nanterre Cedex, France Produit Catégorie ANO v8.0 et 2.3 ANO v8.1 Oracle Life R3.0 v Oracle Developer/2000 Server v1.6 et v2.0 Oracle Internet Commerce Server v1.0 et 1.1 Internet Messaging v4.2 Oracle Mobile Agents v3.0 Bases de données Bases de données Bases de données Commerce électronique Commerce électronique Messagerie Messagerie PHILIPS Gand Electronique 58 rue Carnot, BP 301, Suresnes, France Produit Catégorie ComPORT CP 1100, CP2100, CP3100 versions A,B,C,D,E,FT et comcontroller CC0210, CC0211, CCX0110, CC2100, CC2110 Modem Page 145/162

146 PREVIEW SYSTEMS 1000, SW Broadway, Suite 1850, PORT-LAND, OR 97205, Etats-Unis Produit Ziplock ESD System v3 Catégorie Distribution de logiciels RACAL Security and Payments Meadow View House, Crendon Industrial Estate, Long Crendon, Aylesbury, Buckinghamshire HP189EQ England Produit Catégorie Datacryptor 2000 Datacryptor 2000 frame relay Chiffrement IP Chiffrement IP RACAL-AIRTECH Ltd Meadow View House, Crendon Industrial Estate, Long Crendon, Aylesbury, Buckinghamshire HP189EQ England Produit Catégorie SafeDial v34 Datacryptor 64 modèle E Safe X25 "Datacryptor modèles LS, MS, HS" Safe 64K Safe Megabit 2 Carte de chiffrement PC modèle RG721 "Datacryptor 64 modèles F, HSF" "HSM modèles RG7000, RG7010" Chiffrement RTC Chiffrement X25 Chiffrement X25 Chiffrement d'artères Chiffrement d'artères Chiffrement d'artères Chiffrement de fichiers Chiffrement frame relay Processeur cryptographique RAINBOW TECHNOLOGIES 122 avenue Charles de Gaulle, Neuilly sur Seine Cedex, France Page 146/162

147 Produit Catégorie ikey 1000 Carte accélératrice CryptoSwift ikey 2000 Authentification Chiffrement SSL/SSH Sécurisation messagerie REDCREEK COMMUNICATIONS EMCA Verlengde Poolseweg 34-36, 4818 CL Breda, The Netherlands Produit Famille de produits Ravlin 3.x (168 bits) Famille de produits Ravlin 3.x (56 bits) Chiffrement IP Chiffrement IP Catégorie SAGEM Produit Logiciel cryptographique S4320 Serveur TPC Confidence Carte cryptographique PC Card S4200 Coffret S4300 Logiciels cryptographiques S4100 et S4150 Equipement de chiffrement pour téléphone filaire C500 (compatible Mosart) GSM chiffrant RD 900S C850 avec module MOSART Logiciel cryptographique S4370 Catégorie Chiffrement IP Gestion de clés Messagerie Messagerie Messagerie Téléphonie Téléphonie firewall SCHLUMBERGER-CP rue de la Princesse, BP 45, Louveciennes, France Produit Carte Odyssey 2 PKL Carte à mémoire Catégorie Page 147/162

148 Crypto Builder v1.2 Crypto Safe Pro base Crypto Safe Pro enhanced Crypto Safe base Crypto Safe enhanced Kit OdysseyLab version 1.1 Kit de produits CRYPTO BUILDER Kit de produits SMART BUILDER carte TBC 80 "Cartes TBC 80S, TBC80SL" Carte Odyssey 2 PK version 2 Carte TB 100 Carte TB 1000 Carte TB 98S Cartes CC200 et CC400 Kit OdysseyLab v2 Modules SCOT et M4 Modules de Sécurité TB Scot 300, Scot 400 (masque M9) TBC 41 - TBC 41L carte CP8 avec sécurité TB Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire Carte à mémoire SHIVA S.A. Les Taissounières Bât.B3, 1681 route des Dolines, Sophia Antipolis France Produit Catégorie Page 148/162

149 Shiva LanRover VPN Express & VPN Client DES 56 bits Shiva LanRover VPN Gateway & VPN Client DES 56 bits Chiffrement IP Chiffrement IP Lanrover VPN Gateway et Shiva VPN Client v6.5 Tunnel chiffrant VPN SISTECH 28 rue de Caumartin, Paris, France Produit TGB::MAX (triple-des 128 bits) Catégorie Chiffrement de fichiers PC STERLING COMMERCE Tour Franklin, La Défense 8, Paris La Défense Cedex, France Produit Connect : Enterprise IDX S/MIME ; Secure FTP SSL, X509 V3, PKI Catégorie Transferts fichiers de Connect : Direct option Secure+ version 2 SSL et STS Transferts de fichiers Connect : Enterprise RDX option secure FTP v3.2 (40, 56, 128 bits) Connect Express for Tandem v2.1.4 (option ETEBAC5) Transferts fichiers Transferts fichiers de de SYMANTEC France Le River Seine, 25 quai Gallieni, SURESNES, France Produit Catégorie Net Prowler Intruder Alert 3.6 Détection d'intrusion Détection d'intrusion Page 149/162

150 Symantec web security 2.5 Symantec antivirus for SMTP gateway 3.0 Gestion d'antivirus Gestion d'antivirus Entreprise security manager 5.1 Gestion de politiques de sécurité Symantec firewall / VPN appliance Symantec entreprise firewall 7.0 VelociRaptor 1.5 Symantec entreprise VPN 7.0 Symantec entreprise client VPN 7.0 Symantec entreprise VPN 7.0 Symantec entreprise client VPN 7.0 VelociRaptor 1.5 Firewall Firewall Firewall Chiffrement IP Chiffrement IP Tunnel chifrant VPN, Gestion des clés Tunnel chifrant VPN, Gestion des clés Tunnel chifrant VPN, Gestion des clés THEISSEN SECURITY SYSTEMS AG Gewerbestrasse 10, 4450 Sissach, Suisse Produit Besecure Enterprise Edition version Catégorie Chiffrement de fichiers PC Page 150/162

151 THOMSON - CSF DETEXIS 55 Quai Marcel Dassault, BP 301, Saint-Cloud Cedex, France Produit Dedicace Firewall Access Dedicace VPN Gateway 1.0 (128 bits) Dedicace VPN Gateway 1.0 (56 bits) Dedicace VPN Mobile 1.0 (128 bits) Dedicace VPN Mobile 1.0 (56 bits) Dedicace Secure File (128 bits) Dedicace Secure Mail 4.2 (128 bits) Dedicace VPN Gateway 1.0 (192 bits) Dedicace VPN Mobile 1.0 (192 bits) Catégorie Authentification Chiffrement IP Chiffrement IP Chiffrement IP Chiffrement IP Chiffrement de fichiers Sécurisation messagerie Tunnel chiffrant VPN Tunnel chiffrant VPN THOMSON - CSF 66 rue du Fossé blanc, BP156, Gennevilliers Cedex, France Produit Catégorie TRC 7945 TRC 7930/7935 TRC 7535 TRC 7806 TRC ELAC TRC 7720 TRC 7755 TRC 7607 Carte de chiffrement PCMCIA Carte de chiffrement pour PC Chiffrement IP Chiffrement d'artères Chiffrement d'artères Chiffrement pour E/R radio Chiffrement pour fax Logiciel de sécurité PC Page 151/162

152 MICA MICN A MICN I TRC H TRC 7667 Téléphonie Téléphonie Téléphonie Téléphonie Transferts de fichiers UNISYS France 7, boulevard des Bouvets, Nanaterre, France Produit Orbit Security v1 Banque à domicile Catégorie UTIMACO Software France 8, place Boulnois, Paris, France Produit SafeGuard Lan Crypt XL v1.5 et v1.6 Safeguard Easy Win95 XL v1.02a SafeGuard VPN et SUN Solaris 2.5/2.6 v2.3 SafeGuard VPN v2.0 Safeguard Easy v1.14 Safeguard Sign&Crypt v2.10 Safeguard Lan Crypt v1.20 Safeguard PKI v2.40 KryptoGuard Lan v3.2 Safeguard Sign&Crypt pour Outlook v3.0 Safeguard Sign&Crypt pour Lotus Notes v3.1 Catégorie Chiffrement de fichiers PC Chiffrement de fichiers PC Tunnel chiffrant VPN Tunnel chiffrant VPN Chiffrement de fichiers PC Chiffrement de fichiers PC Chiffrement de fichiers PC Gestion de clés Tunnel chiffrant VPN Sécurisation messagerie Sécurisation messagerie Page 152/162

153 Safeguard SSL v2.1 Chiffrement SSL VPNet Technologies Inc. 1530, Meridian Avenue, SAN JOSE, Ca, Etats-Unis Produit VSU-10, VSU-1010, VPN Manager, VPN Remote Catégorie Tunnel chiffrant VPN Source : Page 153/162

154 2. ANNEXE TESTS SUR LES PRINCIPAUX LOGICIELS ANTIVIRUS Voici les résultats des tests effectués par AV-Comparatives 37. AV-Comparatives, évalue de façon indépendante les performances techniques de la plupart des antivirus du marché. L'ensemble de ces informations a été récolté sur le site d'av-comparatives 37 -Lien Internet Page 154/162

155

156 Page 156/162

157 Page 157/162

158 Summary results Here are the results reached by each scanner on each category, sorted by detection rate. (a) Results over Windows viruses, Macros, Worms and Scripts detection: 1. McAfee 99.80% 2. Kaspersky 99.58% 3. Panda 97.91% 4. Symantec 97.49% 5. RAV 97.03% 6. F-Prot 95.56% 7. Dr.Web 94.24% 8. Sophos 93.16% 9. BitDefender 93.14% 10. NOD % 11. Avast 89.17% 12. TrendMicro 88.80% 13. H+BEDV 82.61% (b) Results over Backdoors, Trojans and other malware detection: 1. Kaspersky 99.70% 2. Panda 96.49% 3. RAV 93.78% 4. F-Prot 94.52% 5. McAfee 93.21% 6. BitDefender 89.50% 7. Dr.Web 80.01% 8. NOD % 9. Symantec 77.05% 10. Avast 73.42% 11. Sophos 72.79% 12. TrendMicro 63.89% 13. H+BEDV 51.94% (c) Results over DOS virus detection: 1. Kaspersky 99.96% 2. McAfee 99.94% 3. F-Prot 99.90% 4. Panda 99.77% 5. RAV 99.44% 6. Dr.Web 98.82% 7. NOD % 8. Sophos 97.39% 9. Symantec 97.06% 10. BitDefender 96.82% 11. Avast 96.72% 12. H+BEDV 95.77% 13. TrendMicro 94.43% (d) Resu1ts over Dialer detection: 1. McAfee 99.60% 2. Kaspersky 99.19% 3. RAV 99.03% 4. H+BEDV 94.09% 5. Sophos 84.06% 6. Symantec 61.49% 7. BitDefender 40.28% 8. Panda 29.99% 9. a11 the others < 1 %

159 (e) Results over `OtherOS malware' detection: 1. Kaspersky 96.73% 2. McAfee 96.54% 3. Panda 91.68% 4. RAV 82.99% 5. Symantec 76.26% 6. F-Prot 74.67% 7. Sophos 72.43% 8. Avast 63.93% 9. Trendmicro 61.21% 10. Dr.Web 54.86% 11. NOD % 12. BitDefender 34.39% 13. H+BEDV 31.59% Credits After each comparative products will receive "credits" based on the rankings reached in each single category: a b c d e T¹/5 Avast BitDefender Dr.Web F-Prot H+BEDV Kaspersky McAfee NOD Panda RAV Sophos Symantec TrendMicro Page 159/162

160 All the tested products are already a selection of very good Anti Virus scan engines. Anyway, based on this test, I would rank the products as follow: 1 er place: Kaspersky (1.40) 2 em place: McAfee (2.20) 3 em place: Panda (4.00) 3 em place: RAV (4.00) 4 em place: F-Prot (5.60) 5 em place: Symantec (6.60) 6 em place: Dr.Web (7.80) 6 em place: Sophos (7.80) 7 em place: BitDefender (8.80) 8 em place: NOD32 (9.00 ) 9 em place: Avast (9.80) luth place: TrendMicro (11.0) loch place: H+BEDV (11.0) Page 160/162

161 3. ANNEXE PRINCIPALES CARACTERISTIQUES IDEM (DONNEES EDITEUR): Fonctionne sur Windows 95/98, NT 4.0, Windows 2000 et Windows XP Idem est conçu pour être aussi installé et lancé comme un Service de Windows NT 4.0, 2000 ou Windows XP. Synchronisation de répertoires avec un serveur ou en local simplifiée par le choix de listes de dossiers sources et cibles paramétrables. Les dossiers peuvent être désignés à l'aide de la convention UNC (Universal Naming Convention) sous la forme \\Serveur\Partage\Dossier. Possibilité de répliquer les arborescences de dossiers, c'est-à-dire d'inclure les sous-dossiers dans le miroir. Vous pouvez reproduire un répertoire racine vers une autre unité, la copie prend en charge à la demande la reproduction des sous répertoires. Préserve totalement le nom et la structure des fichiers Macintosh stockés sur un serveur NT 4.0 /2000 avec MacFile/SFM (Services For Macintosh) ou avec un serveur compatible MacFile/SFM comme MacServerIP.Le programme duplique correctement les fichiers dont les noms comportent des caractères interdits sur Windows mais qui sont autorisés sur Macintosh (\, /, <, >, etc.) ; il conserve également la structure particulière des fichiers Macintosh ("data fork", "resource fork", informations du "Finder"). Note: cette caractéristique existe uniquement sur NT avec MacFile/SFM ou compatible - opérant sur des partitions NTFS ; elle n est pas opérationnelle lorsque le programme s exécute sur Windows 95/98. Idem est compatible avec Open File Handler (Swat Consulting Inc.). Leur association permet de répliquer les fichiers ouverts sur un serveur NT/2000 par une application Windows ou Macintosh. Site en anglais et téléchargement: Swat Consulting Inc Idem est compatible avec WebDrive (RiverFront). Leur association permet d'utiliser Idem pour répliquer des fichiers stockés sur des serveurs FTP et de mettre à jour ainsi des sites Web miroirs. Idem permet de vérifier et copier les informations de sécurité des fichiers et dossiers répliqués (les permissions ACL - access-control lists de Windows NT) ainsi que les attributs classiques (caché, système, archive, etc.) lors des tâches de copie ou transfert. Page 161/162

162 Chaque dossier peut être répliqué selon deux modes: - Mise à jour si les fichiers sources sont différents des fichiers cibles. - Mise à jour si les fichiers du dossier source sont plus récents que ceux du dossier cible. Ce dernier mode permet de maintenir équivalents deux dossiers évolutifs (dual way mirroring). Intervalle de mise à jour paramétrable par dossier. Chaque dossier peut être répliqué en utilisant son propre intervalle de mise à jour. Performance paramétrable vis-à-vis des autres applications. Suppression optionnelle des fichiers devenus obsolètes dans les dossiers cibles lorsque les fichiers des dossiers sources sont supprimés ou renommés. Possibilité de déplacer les fichiers d'un dossier source vers un dossier cible, c'est-à-dire d'effacer les fichiers du dossier source après copie dans le dossier cible. Cette fonction peut être utilisée pour transférer tout fichier arrivant sur un répertoire où les utilisateurs déposent leurs données vers un répertoire accessible uniquement avec des droits administrateur; c'est Idem qui aura accès au dossier final et pas l'utilisateur. Possibilité de renommer les fichiers Macintosh déplacés pour les rendre "Windows-conforme"; le programme transforme en tirets les caractères /, \, <, >, etc. de leurs noms et génère une extension à 3 caractères pour les applications les plus courantes:.doc,.qxd,.xls, etc.: un document XPress Annonce 18/08/99 devient Annonce qxd. Cette option permet d'utiliser des utilitaires comme Adobe Distiller sur NT pour "distiller" des fichiers Macintosh sans se soucier de leurs noms. Journalisation des opérations effectuées par le programme dans un fichier de log. Lorsqu un dossier source ou cible devient invalide (dossier supprimé ou renommé, perte de connexion avec un serveur, etc.), Idem permet plusieurs types d'alertes: sonore, visuelle, message envoyé à un administrateur réseau, message dans le journal des opérations, message dans l'observateur des événements (si Idem est lancé comme un service NT/2000). Page 162/162