Initiation

1
Initiation à la sécurité Informatique
Frédéric Gava (MCF) gava_at_univ-paris12.fr LACL,
bâtiment P2 du CMC, bureau 223 Université de
Paris XII Val-de-Marne 61 avenue du Général de
Gaulle 94010 Créteil cedex
2
Introduction
3
Problèmes de sécurité (1)

• Internet
• confidentialité
• anonymat
• authentification (sagit-il bien du site de ma
  banque ?)
• Signature électronique
• vérifiable
• authentique
• non-répudiation (je nai jamais signé ce
  texte...)
• Vote électronique
• Chaque vote est confidentiel
• On ne peut pas connaître des résultats partiels
• Seuls les électeurs peuvent voter et une seule
  fois

4
Problèmes de sécurité (2)

• Paiement par carte bleue
• Est-ce quil sagit dune vraie carte ?
• Est-ce que le montant débité sera égal au
  montant crédité ?
• Est-ce que le code secret est bien protégé ?
• Décodeur, Vérification de labonné
• Impossibilité de retransmettre les données
  décodées à une tierce personne
• Mise à jour de labonnement

5
Problèmes de sécurité (3)

• Porte monnaie électronique
• Pas de création de fausse monnaie
• Pas de création de faux porte-monnaie
• Base de données sécurisée
• Seules les personnes habilitées ont accès à la
  vue partielle à laquelle elles ont droit
• Les données peuvent être échangées entre un
  médecin, un laboratoire, un hôpital
• Mise à jour possible des données

6
Propriétés de la sécurité

• Secret Est-ce quun participant malhonnête
  peut connaître une donnée confidentielle ?
• Authentification À qui parle-t-on vraiment ?
• Anonymat Peut-on savoir qui communique avec
  qui ?
• Équité Lors de la signature dun contrat,
  est-ce que lun des signataires peut obtenir un
  avantage sur lautre ?
• Bon délais le temps de faire la transaction
  est il résolu ou non ?
• Comment faire ?
• primitives cryptographiques
• Quelques protocoles simples avec chiffrement
  (protocoles cryptographiques, on suppose un
  réseau non sûr)
• La vérification de la sûreté des protocoles
  lanalyse de logiciels critiques en général

7
Chiffrement et clés
8
Principe du chiffrement

• Chiffrement symétrique on utilise la même clés
  pour chiffrer et pour déchiffrer
• Chiffrement asymétrique on chiffre avec la
  clés publique et on déchiffre avec la clés privée

9
Histoire du chiffrement

• Le chiffrement de César (décalage de lettres)
• Disque de chiffrement (Léone Battista Alberti en
  1466)
• Mais sujet à des analyses statiques
• 1940, le chiffrement par machine, exemple
  Enigma. Début de la cryptanalyse.

10
Chiffrement aujourdhui

• Utilisation de problème algorithmique dure (en
  temps de calcul). Essentiellement basé sur les
  nombres premiers (divisible que par 1 et par
  eux-même)
• Exemple, le chiffrement RSA
• Soit n pq avec p et q qui sont premiers
• Soit e qui est publique et un d qui sera privé
• Chiffrement pour tout x on calcul (xe modulo
  n)
• Déchiffrement pour tout y on calcul yd modulo
  n
• Casser le chiffrement revient à calculer un d
  tel que xyd où de(-1) modulo ?(n)
• Exemple, le chiffrement de Diffie-Hellman
• étant donné Aga et Bgb (a,b,g sont
  premiers)
• calculer DH(a,b)g(ab)

PECA
11
Conséquences

• Casser ce type de cryptage est très très très
  très très long, exponentiel en la taille de la
  clés
• Exemple (taille de la clés, temps logarithmique)
  
• (512 bits, 58)
• (1024 bits, 80)
• (2048 bits, 111)
• (4096 bits, 149)
• (8192 bits, 156)
• Environ 260 ans pour une clés de 1024 bits soit
  environ 11529215046 milliards dannées

12
La signature électronique
13
Les protocoles
14
Échange de secret
Ah ah, la clés est 12897897 donc peux déchiffrer
et jaccuse le Colonel Moutarde davoir tué
Madame Rose avec un chandelier !
15
Chiffrement commutatif
Mauvaise idée si on peut chiffrer et déchiffrer
dans nimporte quel ordre
Danger, le procureur peut lire la donnée
confidentielle si lintercepte la communication
16
Paiement par CB

• Lacheteur introduit sa carte
• Le commerçant saisit le montant m de la
  transaction sur le terminal.
• Le terminal authentifie la carte
• Lacheteur donne son code à la carte
• Si m dépasse 100 Euros (et dans seulement 20 des
  cas) le terminal demande lauthentification de
  la carte à la banque
• La banque donne lautorisation.

17
Protocole à clés publique

• Protocole dauthentification (prouvé lun et
  lautre leurs identités respectives dans un
  réseau non sûr) inventé par Needham-Schroeder en
  1978
• Longtemps utilisé par les CB
• Possède une faille terrible mais heureusement
  résolue
• Cette attaque est  man in the middle 
• Il a fallu 17 ans pour limaginer et ce rendre
  compte que létude des protocoles
  cryptographiques est un vrai challenge (pas un
  protocole au monde nest à 100 sûr)
• Regardons cela de plus près un peu dattention
  SVP (non demandé à lexamen mais très intéressant)

18
Le protocole dorigine
PECA

• On note
• A pour Alice, B pour Bob et P pour le méchant
  procureur
• NA la signature électronique dAlice (idem pour
  Bob et le procureur)
• ClésAlice pour la clés publique de chiffrement
  de Alice (idem pour Bob et le procureur)
• Le fonctionnement
• Questions
• Est-ce que NB est secret entre Alice et Bob ?
• Lorsque Bob reçoit le message de Alice, est-ce
  que le message provient réellement dAlice ?
• Voyons comment biaiser le système, lattaque
   man in the middle 

A, NAClefBob
NA, NBClefAlice
NBClefBob
19
Lattaque (1)
PECA
20
Lattaque (2)

• En fait, Maître Alice souhaite parler au
  Procureur et celui-ci va se faire passer pour
  Alice auprès de Maître Bob  à linsu de son
  plein grès . Il peut ensuite lui soutirer ce
  quil désiregnark gnark
• Une solution ?
• Oui, il faut rajouter le nom du destinateur
  (Bob) dans la réponse du destinateur

21
Sûreté et sécurité

• Des tests ne suffisent pas car on peut ne pas
  tester un cas sensible. Penser au
• régulateurs de vitesse des voitures
• régulateurs cardiaques
• Ariane 5 (explosion pour le vol inaugurale le
  11/12/2002 à cause dun bug logiciel et dune
  faille dans le protocole)
• Il faut donc des preuves formelles pour la
  sûreté et la sécurité des logiciels (et donc des
  vies humaines)
• Très difficile de prouver toutes les propriétés
• Impossible de savoir sil lon a pas oublié une
  dernière propriété
• Même si lon sait très bien crypté, on ne sait
  pas encore très bien dire (on connaît déjà des
  exemples) si on ne peut pas casser le chiffrement
  grâce à plusieurs messages dans le protocole
• Exemples
• Le système de protection par zones des DVD 1
  semaine pour trouver des kit tout fait de cassage
  sur Internet
• Les protocoles WIFI on trouve des logiciels
  tout fait sur Internet qui vous donne la clés du
  réseau en environ 1hmême celui de la fac de
  Droit -)

22
Futur ?

• La recherche en Informatique actuel sintéresse
  de très près à ce type de problèmes avec
• des logiciels de preuves formelles (automatique
  ou assisté par le programmeur pour les cas
  difficiles
• lutilisation de machines parallèles
• La définition de nouveau protocole et
  chiffrement de plus en plus sophistiqué et donc
  de plus en plus dure à casser
• Elle ne pourra jamais (mais qui sait ?)
  contrecarrer les pirates informatiques qui
  utilisent
• la force pour obtenir les mots de passes
• la bêtise des gens à donner des mots de passes
  trop simples (nom du chat, date de naissance,
  etc.)
• le baratin pour tromper les gens (jsuis
  inspecteur des impôts, donnez moi pour que je
  puisse bien vérifier vos comptes)

23
Prévention et résolution des pannes
24
Prévention (1)

• Passer périodiquement un logiciel antivirus
  récent sur son PC
• Passez cet anti-virus sur les disques (clés USB,
  CD/DVD etc.) introduit dans votre PC, même ceux
  de vos proches
• Enregistrer régulièrement son document de
  travail
• Effectuer des sauvegardes de ses documents sur
  différents supports (tout support magnétique ou
  CD/DVD finira inexorablement par se détériorer)
• Toujours éteindre son PC par le menu
  Démarrer/Arrêter ne pas léteindre avec le
  bouton On/Off sauf sil est bloqué et que
  Control-Alt-Suppr ne fonctionne pas
• Évitez davoir trop de documents ou programmes
  ouverts à la fois ce qui peut surcharger la
  mémoire

25
Prévention (2)

• Se méfier des fichiers attachés reçus par
  courrier électronique (un document Word ou Excel
  peut contenir des virus macros, un programme
  exécutable nimporte quel type de virus) ne
  jamais lancer un programme reçu par un expéditeur
  inconnu
• Dune manière générale, respecter le matériel,
  ne pas lui demander de faire trop de choses à la
  fois
• Désinstallez proprement vos logiciels
  (Ajout/Suppression de programmes dans le panneau
  de configuration)

26
Résolution (1)

• Dysfonctionnement dun logiciel enregistrer
  son travail, quitter le logiciel et le relancer
• Dysfonctionnement grave arrêter lordinateur
  par le menu Démarrer/Arrêter, attendre 30
  secondes et le rallumer
• Blocage si la souris fonctionne, essayer de
  quitter le logiciel pressez Alt-Tab pour
  changer dapplication si vous avez un document à
  sauver si rien ne marche appuyer sur les touches
  Control-Alt-Suppr (1 seconde au moins). La liste
  des programmes actifs saffiche alors.
  Sélectionnez celui indiquant (pas de réponse) et
  cliquez sur fin de tâche. Les travaux en cours
  sur ce logiciel risquent dêtre perdus.
• Apparition de lécran bleu Erreur
  fatale...(plantage du noyau de Windows) appuyez
  sur une touche si lécran bleu reste, pressez
  Control-Alt-Suppr

27
Résolution (2)

• Si Control-Alt-Suppr ne marche pas, il ne reste
  plus quà arrêter lordinateur (bouton On/Off ou
  mieux bouton Reset) à ne faire quen dernière
  extrémité (si le disque dur est en cours
  d utilisation lorsque vous appuyez sur Off, vous
  pouvez perdre son contenu ou avoir à réinstaller
  Windows...)
• Si un document ne simprime pas
• vérifiez que l imprimante est online (appuyer
  sur On/Off), essayez d appuyer sur continue
• en cas de bourrage papier (paper jam), ouvrir le
  capot de l imprimante et retirer délicatement la
  feuille coincée, surtout sans la déchirer
• les autres problèmes peuvent être un câble ou
  une connexion défectueuse, ou alors un problème
  de pilote d imprimante
• Pour éviter les bourrages, aérer la liasse que
  vous insérez dans le chargeur de papier.

28
Résolution (3)

• Si votre disquette (ou clès USB ou CD/DVD) est
  illisible essayez avec un autre PC si çà ne
  marche pas, des secteurs de la disquette sont
  probablement détériorés (lavez-vous reformattée
  avant utilisation ?) il existe des logiciels
  utilitaires (Norton Utilities...) qui peuvent
  réparer votre disquette (?50 de chance...)
• Si vous avez un virus désinfectez tous les
  supports infectés (disque dur, disquettes) et
  affichez le descriptif du virus (il peut être
  bénin ou très dangereux) prévenez les personnes
  avec qui vous avez échangé récemment des données
• Si Windows ne démarre pas démarrez en mode
   sans échec  (touche F8 ou Control sous
  Windows) si le PC démarre il sagit dun
  problème de pilote de périphérique utiliser
  laide de Windows et les programmes utilitaires

29
En général

• autre problème de manière générale, il ne sert
  à rien de solliciter un spécialiste si vous ne
  pouvez pas décrire précisément votre problème
  (environnement de travail, versions de logiciels,
  messages derreurs précis)
• Réessayez plusieurs fois en simplifiant votre
  manipulation afin disoler le problème lisez la
  documentation et si nécessaire réinstallez le
  logiciel incriminé (attention la réinstallation
  dun SE comme Windows réinitialise le disque dur
  il faut auparavant sauver vos documents,
  messages, signets, etc.).