Introduction À La Sécurité Des Systèmes D'informations
Total Page:16
File Type:pdf, Size:1020Kb
Université de Paris Saclay Polytech Paris Saclay – Département d’informatique Introduction à la sécurité des systèmes d’informations Document réalisé par : Polytech Paris Saclay Département d’informatique Université Paris Saclay Maison de l'Ingénieur Bâtiment 620 91405 Orsay Cedex Gilles Soufflet, Ingénieur Système Version janvier 2020 Université de Paris Saclay Sécurité informatique Polytech Paris Saclay – Département d’informatique Table des matières 1 Avant-propos ________________________________________________________________ 7 2 Notions de cryptographie _____________________________________________________ 10 2.1 Introduction _________________________________________________________________ 10 2.1.1 Principe de Kerckhoffs _______________________________________________________________ 10 2.2 Fonctions de hachage __________________________________________________________ 11 2.2.1 MD5 _____________________________________________________________________________ 11 2.2.2 SHA-1 ____________________________________________________________________________ 12 2.2.3 SHA-2 ____________________________________________________________________________ 12 2.2.4 SHA-3 ____________________________________________________________________________ 13 2.2.5 Whirpool __________________________________________________________________________ 13 2.3 Cryptographie à masque jetable _________________________________________________ 13 2.4 Cryptographie symétrique ou à clé secrète ________________________________________ 14 2.4.1 Chiffrement par bloc _________________________________________________________________ 14 2.4.1.1 DES _________________________________________________________________________ 15 2.4.1.2 Triple DES (3DES) _____________________________________________________________ 15 2.4.1.3 AES _________________________________________________________________________ 16 2.4.1.4 Blowfish ______________________________________________________________________ 16 2.4.1.5 Camellia ______________________________________________________________________ 16 2.5 Cryptographie asymétrique ou à clé publique _____________________________________ 16 2.5.1 Chiffrement d’un message ____________________________________________________________ 17 2.5.2 Authentification de l'origine, signature ___________________________________________________ 17 2.5.3 RSA ______________________________________________________________________________ 18 2.5.4 DSA _____________________________________________________________________________ 19 2.6 Chiffrement par flot ___________________________________________________________ 19 2.7 Cryptographie hybride ________________________________________________________ 19 2.8 Stéganographie _______________________________________________________________ 20 2.9 Cryptographie post-quantique __________________________________________________ 20 3 Menaces et intrusions ________________________________________________________ 21 3.1 Menaces et risques matériels ____________________________________________________ 21 3.2 Risques liées aux personnes _____________________________________________________ 22 Scam ou Fraude aux avances sur commission __________________________________________________ 23 3.3 Cycle de vie d’un exploit _______________________________________________________ 23 3.4 Risques et attaques sur les systèmes ______________________________________________ 25 Keylogger, Enregistreurs de frappe et dérobeurs de mots de passe __________________________________ 26 Outil d'indexation de recherche _____________________________________________________________ 26 Pharming ______________________________________________________________________________ 27 Spyware et Hijackers _____________________________________________________________________ 29 3.5 Les attaques WEB les plus courantes _____________________________________________ 30 3.5.1 Attaques côté client XSS ______________________________________________________________ 31 3.5.2 Failles d’injection ___________________________________________________________________ 34 3.5.3 Exécution de fichier Malicieux _________________________________________________________ 34 3.5.4 Référence non sécurisée à un objet ______________________________________________________ 34 3.5.5 Falsification de requête inter-site CRSF __________________________________________________ 35 3.5.6 Fuite d’information __________________________________________________________________ 35 3.5.7 Violation de gestion d’authentification et de session ________________________________________ 35 3.5.8 Stockage Cryptographique non sécurisé __________________________________________________ 36 3.5.9 Communications non sécurisées ________________________________________________________ 36 3.5.10 Manque de restrictions d’accès URL __________________________________________________ 36 3.5.11 Autres problèmes en dehors du top 10 owasp____________________________________________ 36 3.6 Organismes collectant des informations __________________________________________ 37 3.7 Traitement d’une intrusion _____________________________________________________ 38 4 Authentification ____________________________________________________________ 40 2 Université de Paris Saclay Sécurité informatique Polytech Paris Saclay – Département d’informatique Table des matières 4.1 Authentification forte _________________________________________________________ 40 4.2 Authentification usuelle par mot de passe _________________________________________ 41 4.2.1 Stockage du mot de passe _____________________________________________________________ 41 4.2.1.1 Mot de passe fort _______________________________________________________________ 41 4.2.1.2 Les différentes attaques sur les mots de passe _________________________________________ 41 4.2.1.2.1 Attaques par force brute _______________________________________________________ 41 4.2.1.2.2 Attaques par dictionnaires ______________________________________________________ 42 4.2.1.2.3 Attaques par compromis temps/mémoire __________________________________________ 42 4.2.2 Créer un bon mot de passe ____________________________________________________________ 42 4.2.2.1 Méthode phonétique _____________________________________________________________ 42 4.2.2.2 Méthode des premières lettres _____________________________________________________ 42 4.2.3 Gestion des mots de passe _____________________________________________________________ 42 4.2.3.1 Politique de gestion des mots de passe _______________________________________________ 43 4.2.3.1.1 Sensibilisation à l’utilisation de mots de passe forts __________________________________ 43 4.2.3.1.2 Renouvellement de mots de passe ________________________________________________ 43 4.2.3.2 Les critères prédéfinis pour les mots de passe _________________________________________ 43 4.2.3.3 Confidentialité du mot de passe ____________________________________________________ 43 4.2.3.4 Configuration des logiciels ________________________________________________________ 43 4.2.3.5 Utilisation de mots de passe différents _______________________________________________ 43 4.2.4 Mettre en place un contrôle systématique des mots de passe __________________________________ 44 4.3 Authentification sous Linux ____________________________________________________ 44 4.3.1 Notion de base ______________________________________________________________________ 44 4.3.2 Base de données des utilisateurs ________________________________________________________ 45 4.3.2.1 Fichiers texte local ______________________________________________________________ 45 4.3.2.2 Protocole LDAP ________________________________________________________________ 45 4.3.2.3 Serveur NIS ___________________________________________________________________ 45 4.3.2.4 Protocole smb __________________________________________________________________ 45 4.3.2.5 Kerberos ______________________________________________________________________ 45 4.3.3 Modules d’authentification (PAM) ______________________________________________________ 46 4.3.3.1 Configuration des programmes ____________________________________________________ 46 4.3.3.2 Configuration des modules ________________________________________________________ 46 4.3.4 Gestion des utilisateurs en local ________________________________________________________ 48 4.3.4.1 Fichier /etc/passwd ______________________________________________________________ 48 4.3.4.2 Fichier /etc/group _______________________________________________________________ 48 4.3.4.3 Fichier /etc/shadow _____________________________________________________________ 49 5 Contrôle d’accès standard des fichiers sous unix __________________________________ 51 5.1 Protections de base standard ___________________________________________________ 51 5.2 Contrôle des droits par liste d’accès ______________________________________________ 54 5.2.1 Utilisation sous linux ________________________________________________________________ 54 5.2.1.1 Ajout/Modification des droits utilisateur/groupe _______________________________________ 54 5.2.1.2 Suppression d’une ACL __________________________________________________________ 55 5.2.1.3 ACL par défaut _________________________________________________________________ 55 6 Mécanisme d’accès par rôle : Selinux ___________________________________________ 56 6.1 Présentation _________________________________________________________________ 56 6.1.1 Mode de fonctionnement______________________________________________________________