THEME: Protocole OpenSSL et La Faille Heartbleed

Documents pareils
Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

Cours 14. Crypto. 2004, Marc-André Léger

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Service de certificat

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Par KENFACK Patrick MIF30 19 Mai 2009

EMV, S.E.T et 3D Secure

Le protocole sécurisé SSL

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

IPS-Firewalls NETASQ SPNEGO

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

SSL. Secure Socket Layer. R. Kobylanski janvier version 1.1 FC INPG. Protocole SSL Application avec stunnel

Présentation. LogMeIn Rescue. Architecture de LogMeIn Rescue

1 L Authentification de A à Z

Projet de Conception N 1 Automatisation d'un processus de paiement. Livrable: Spécification du système de compensation

La sécurité des réseaux. 9e cours 2014 Louis Salvail

CS REMOTE CARE - WEBDAV

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

AccessMaster PortalXpert

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

1. Présentation de WPA et 802.1X

Information sur l accés sécurisé aux services Baer Online Monaco

Protocoles cryptographiques

Du 03 au 07 Février 2014 Tunis (Tunisie)

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Faille dans Internet Explorer 7

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

[ Sécurisation des canaux de communication

Option site e-commerce

La Technologie Carte à Puce EAP TLS v2.0

FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières

La sécurité dans les grilles

PORTAIL INTERNET DECLARATIF. Configuration du client Mail de MICROSOFT VISTA

LES SECURITES DE LA CARTE BANCAIRE

Single Sign-On open source avec CAS (Central Authentication Service)

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

CERTIFICATS ÉLECTRONIQUES

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Le protocole SSH (Secure Shell)

A. À propos des annuaires

C ONVENTION D UTILISATION DES SERVICES EN LIGNE RÉUNICA. Espace Membre Entreprises Compte Gestionnaire

Installation et utilisation d'un certificat

Gestion des certificats digitaux et méthodes alternatives de chiffrement

Management et Productivité des TIC

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Manuel des logiciels de transferts de fichiers File Delivery Services

Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client léger

Sécurisation des accès au CRM avec un certificat client générique

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Sage CRM. 7.2 Guide de Portail Client

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

Public Key Infrastructure (PKI)

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

L identité numérique. Risques, protection

Espace Numérique Régional de Santé Formation sur la messagerie sécurisée. Version Auteur : Nathalie MEDA

Extraction de données authentifiantes de la mémoire Windows

Vulnérabilités et sécurisation des applications Web

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

Le rôle Serveur NPS et Protection d accès réseau

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

25 septembre Migration des accès au Registre national en protocole X.25 vers le protocole TCP/IP, pour les utilisateurs du Registre national

Sécurité des réseaux wi fi

Les principes de la sécurité

Solutions Microsoft Identity and Access

Action Spécifique Sécurité du CNRS 15 mai 2002

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Coupez la ligne des courriels hameçons

Les certificats numériques


Le contexte. 1) Sécurité des paiements et protection du consommateur

Conception de sites web marchands: TP 1

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

LA CARTE D IDENTITE ELECTRONIQUE (eid)

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Contrat de Souscription : CA Certificat + Conditions Générales d Utilisation Annexe 2 : Guide de souscription

Accès réseau Banque-Carrefour par l Internet Version /06/2005

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

La mémorisation des mots de passe dans les navigateurs web modernes

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse

L'AAA, késako? Bruno Bonfils, fr.org>, Novembre Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

Sécurité WebSphere MQ V 5.3

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Politique de Référencement Intersectorielle de Sécurité (PRIS)

HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

Transcription:

THEME: Protocole OpenSSL et La Faille Heartbleed Auteurs : Papa Kalidou Diop Valdiodio Ndiaye Sene Professeur: Année: 2013-2014 Mr, Gildas Guebre

Plan Introduction I. Définition II. Fonctionnement III. Heartbleed : C est quoi? IV. Gravité de la faille V. Origine de la faille Conclusion

Introduction Depuis sa création, le réseau Internet a tellement évolué qu'il est devenu un outil essentiel de communication. Cependant, cette communication met de plus en plus en jeu des problèmes stratégique liés à l'activité des entreprises sur le Web. Les transactions faites à travers le réseau peuvent être interceptées, d'autant plus que les lois ont du mal à se mettre en place sur Internet, il faut donc garantir la sécurité de ces informations, c'est la cryptographie qui s'en charge a travers des protocoles qui aident à préserver la confidentialité des données mais aussi à garantir leur intégrité et leur authenticité. Notre étude aujourd'hui va porter sur Open SSL.

I. Définition 1/2 SSL (Secure Sockets Layers, que l'on pourrait traduire par couche de sockets sécurisée) est un procédé de sécurisation des transactions effectuées via Internet. Le standard SSL a été mis au point par Netscape, en collaboration avec Mastercard, Bank of America, MCI et Silicon Graphics. Il repose sur un procédé de crytographie par clef publique afin de garantir la sécurité de la transmission de données sur internet. Son principe consiste à établir un canal de communication sécurisé (chiffré) entre deux machines (un client et un serveur) après une étape d authentification. De cette manière, SSL est transparent pour l'utilisateur (entendez par là qu'il peut ignorer qu'il utilise SSL). Par exemple un utilisateur utilisant un navigateur internet pour se connecter à un site de commerce électronique sécurisé par SSL enverra des données chiffrées sans aucune manipulation nécessaire de sa part.

I. Définition 2/2 La quasi intégralité des navigateurs supporte désormais le protocole SSL. Netscape Navigator affiche par exemple un cadenas verrouillé pour indiquer la connexion à un site sécurisé par SSL et un cadenas ouvert dans le cas contraire, tandis que Microsoft Internet Explorer affiche un cadenas uniquement lors de la connexion à un site sécurisé par SSL. Un serveur web sécurisé par SSL possède une URL commençant par https://, où le "s" signifie bien évidemment secured(sécurisé). Au milieu de l'année 2001, le brevet de SSL appartenant jusqu'alors à Netscape a été racheté par l'ietf (Internet Engineering Task Force) et a été rebaptisé pour l'occasion TLS (Transport Layer Security).

II. Fonctionnement de SSL 2.0 1/2 La sécurisation des transactions par SSL 2.0 est basée sur un échange de clés entre client et serveur. La transaction sécurisée par SSL se fait selon le modèle suivant : Dans un premier temps, le client se connecte au site marchand sécurisé par SSL et lui demande de s'authentifier. Le client envoie également la liste des crypto systèmes qu'il supporte, triée par ordre décroissant selon la longueur des clés. Le serveur a réception de la requête envoie un certificat au client, contenant la clé publique du serveur, signée par une autorité de certification (CA), ainsi que le nom du crypto système le plus haut dans la liste avec lequel il est compatible (la longueur de la clé de chiffrement - 40 bits ou 128 bits - sera celle du crypto système commun ayant la plus grande taille de clé).

II. Fonctionnement de SSL 2.0 2/2 Le client vérifie la validité du certificat (donc l'authenticité du marchand), puis crée une clé secrète aléatoire (plus exactement un bloc prétendument aléatoire), chiffre cette clé à l'aide de la clé publique du serveur, puis lui envoie le résultat (la clé de session). Le serveur est en mesure de déchiffrer la clé de session avec sa clé privée. Ainsi, les deux entités sont en possession d'une clé commune dont ils sont seuls connaisseurs. Le reste des transactions peut se faire à l'aide de clé de session, garantissant l'intégrité et la confidentialité des données échangées. Nous avons aussi le SSL 3.0 qui vise à authentifier le serveur vis-à-vis du client et éventuellement le client vis-à-vis du serveur. Malgré toutes ces choses que l on vient d évoquer concernant la fiabilité du protocole OPEN SSL, il existe quand même une faille à ne pas négliger : Heartbleed.

III. Heartbleed : C est quoi?

IV. Gravité de la faille

V. Origine de la faille

Conclusion Malgré ses défaillances au niveau de l'authentification, son utilisation est très répandue et cela prouve sa robustesse. OPEN SSL ne cesse d évoluer, et peut être qu'un jour ne présentera plus aucune faille et sera le protocole parfait pour échanger des données dans un réseau, de manière sécurisée.

Webographie http://fr.wikipedia.org/wiki/openssl http://www.01net.com/editorial/618076/tout-savoir-sur-l-enorme-faille-heartbleed-en-7-questions/ http://www.lefigaro.fr/secteur/high-tech/2014/04/16/01007-20140416artfig00044-reparer-heartbleed-va-ralentir-internetdans-le-monde-entier.php http://www.dailymotion.com/video/x1orqvl_heartbleed-que-faire-face-a-la-faille-de-securite-qui-fait-mal-au-coeur_tech Fin et Merci de votre Attention!!!

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back