Sécurité sur le web - Université du Littoral Côte...
Transcript of Sécurité sur le web - Université du Littoral Côte...
Sécurité sur le web
Table des matièresQuels sont les risques ?..............................................................................................2
L’écoute des échanges............................................................................................2Le faux site.............................................................................................................3La modification des échanges................................................................................4
Qu’est-ce qu’un site sécurisé ?...................................................................................5Le protocole https...................................................................................................5Le chiffrement........................................................................................................6
Le chiffrement symétrique.......................................................................................................7Le chiffrement asymétrique.....................................................................................................8Le chiffrement hybride............................................................................................................9Le hachage..............................................................................................................................9La signature numérique........................................................................................................10
Le certificat numérique.........................................................................................11Les autorités de certification.................................................................................................11Le contenu d’un certificat.....................................................................................................12La vérification d’un certificat...............................................................................................13
Qu’est-ce qu’un wifi sécurisé ?................................................................................15Les bornes wifi.....................................................................................................15Le réseau wifi public............................................................................................16L’utilisation d’un VPN.........................................................................................17
Protection et sécurité
Sécuriser l’environnement
numérique
Protection et sécurité
Sécuriser l’environnement
numérique
*.univ-littoral.frOrganisation :
Université du Littoral Côte d’OpaleDunkerque
Nord-Pas de CalaisFrance
Clé publique :30 82 01 0a 02 82 01 …
Empreinte :75ed657f4dd2...
Karine SiliniMaître de Conférences
Université du Littoral Côte d’Opale
Licence Creative Commons Attribution - Partage dans les Mêmes Conditions
Quels sont les risques ?
Quand on navigue sur le web, on se connecte au réseau internet et on échange des données avec un serveur web.
L’écoute des échanges
Une personne malintentionnée pourrait espionner le réseau et « écouter » les échanges afin de récupérer des données confidentielles.
Cette situation pourrait se produire si l’internaute se connecte via un réseau wifi non sécurisé ou si un équipement du réseau internet a été piraté.
Pour éviter ce problème, les données peuvent être chiffrées avant d’être envoyées sur le réseau : même si elles sont interceptées, elles ne pourront pas être exploitées.
Utilisez une connexion sécurisée pour envoyer des données sensibles.
Karine Silini 09/09/19 Page 2/17
*.univ-littoral.frOrganisation :
Université du Littoral Côte d’OpaleDunkerque
Nord-Pas de CalaisFrance
Clé publique :30 82 01 0a 02 82 01 …
Empreinte :75ed657f4dd2...
Échange de données :téléchargement de pages web,
connexion avec identifiant et mot de passe,consultation de comptes,
réservation de billets,achat et paiement en ligne, etc.
Serveur webInternautesur le réseau internet
Identifiant, mot de passe, adresse postale et électronique, numéro téléphone, numéro
CB, soldes bancaires, etc.
Le faux site
Le site pourrait être un faux site se faisant passer pour un site web connu (banque, commerce en ligne, etc.) afin de récupérer des données confidentielles : identifiant, mot de passe, coordonnées bancaires, etc.
Cette situation pourrait se produire si l’internaute clique sur un faux lien reçu par courriel (phishing) ou si le serveur des noms de domaines a été piraté pour rediriger vers un site frauduleux.
Soyez vigilant aux adresses des sites web consultés.
Le typosquattage consiste à acheter des noms de domaine proches de sites connus.
Par exemple, l'encyclopédie en ligne Wikipédia a contré le typosquattage en acquérant l'adresse wikiepdia.org et en la redirigeant vers wikipedia.org.
On peut vérifier l’authenticité d’un site en consultant son certificat numérique visible en cliquant sur le cadenas de la barre d’adresse du navigateur.
Karine Silini 09/09/19 Page 3/17
Identifiant, mot de passe, numéro CB
mabanque.com
ma_banque.com
*.univ-littoral.frOrganisation :
Université du Littoral Côte d’OpaleDunkerque
Nord-Pas de CalaisFrance
Clé publique :30 82 01 0a 02 82 01 …
Empreinte :75ed657f4dd2...
La modification des échanges
Une personne malintentionnée pourrait intercepter les échanges et les relayer sans que l’internaute ne s’en aperçoive. Elle pourrait non seulement lire les données mais également les modifier. Il s’agit de l’attaque de l’homme du milieu.
Cette situation pourrait se produire si l’internaute se connecte à une fausse borne wifi ou si dans un réseau local, un pirate réussit à forcer les communications à transiter par son ordinateur.
Vérifiez bien le nom de la borne wifi avant de vous connecter.
Par exemple, un pirate pourrait se positionner à proximité d’un restaurant ou d’un hôtel et créer un point d’accès wifi avec un nom similaire.
Avec cette attaque, même les échanges chiffrés peuvent être compromis car le pirate a pu remplacer la clé de chiffrement par la sienne. La solution serait de pouvoir vérifier la clé par un autre moyen (téléphone, etc.).
Karine Silini 09/09/19 Page 4/17
Envoi de données
Données modifiées ou non
Données modifiées ou non
Envoi de données
*.univ-littoral.frOrganisation :
Université du Littoral Côte d’OpaleDunkerque
Nord-Pas de CalaisFrance
Clé publique :30 82 01 0a 02 82 01 …
Empreinte :75ed657f4dd2...
Qu’est-ce qu’un site sécurisé ?
Un site est sécurisé si :
- la connexion est sécurisée par des échanges chiffrés entre l’internaute et le serveur ;
- l’identité du site est vérifiée par un certificat électronique délivré par une autorité de confiance.
Le protocole httpsQuand on consulte une page web, des données sont échangées entre le navigateur de l’internaute et le serveur web selon un protocole de transfert hypertexte HTTP (HyperText Transfer Protocol).
Avec ce protocole, les informations sont envoyées « en clair » sur le réseau : tous les équipements entre le navigateur et le serveur peuvent voir la requête et la réponse.
Illustration du MOOC de l'ANSSI
Karine Silini 09/09/19 Page 5/17
*.univ-littoral.frOrganisation :
Université du Littoral Côte d’OpaleDunkerque
Nord-Pas de CalaisFrance
Clé publique :30 82 01 0a 02 82 01 …
Empreinte :75ed657f4dd2...
Le navigateur envoie une requête :demande d’une page web ;
le serveur envoie la réponse :texte, image, résultat, etc.
Protocole HTTP
Il est possible de combiner le protocole HTTP avec un chiffrement SSL/TLS : c’est le protocole HTTPS (S pour sécurisé) qui garantit que :
• les échanges entre le navigateur et le serveur sont chiffrés ;
• l’identité du site est vérifié.
Un dialogue entre le navigateur web de l’internaute et le serveur web s’effectue avant l’échange des données.
Illustration du MOOC de l'ANSSI
Le chiffrement
Le chiffrement est un procédé de cryptographie qui permet de rendre un message incompréhensible si on ne connaît pas la clé de chiffrement/déchiffrement.
Attention, ne pas confondre chiffrer et crypter !• on chiffre un message avec une clé de chiffrement ;
• on déchiffre un message avec une clé de déchiffrement ;• on décrypte un message si on retrouve le message sans la clé de déchiffrement ;
Dans cette logique, crypter un message sans la clé de chiffrement n’a pas de sens !
Dans la suite, quelques méthodes simples sont présentées pour expliquer le chiffrement. Les algorithmes utilisés de nos jours sont beaucoup plus complexes et évoluent rapidement.
Karine Silini 09/09/19 Page 6/17
*.univ-littoral.frOrganisation :
Université du Littoral Côte d’OpaleDunkerque
Nord-Pas de CalaisFrance
Clé publique :30 82 01 0a 02 82 01 …
Empreinte :75ed657f4dd2...
Le chiffrement symétrique
Le chiffrement symétrique utilise la même clé pour chiffrer et déchiffrer.
Quelques exemples :
• Le chiffrement de César décale les lettres vers la droite de la valeur de la clé.
Par exemple, pour une clé de valeur 3, on a la correspondance :
en clair : ABCDEFGHIJKLMNOPQRSTUVWXYZ
en chiffré : DEFGHIJKLMNOPQRSTUVWXYZABC
CHEVAL sera chiffré en FKHYDO
Pour déchiffrer, il suffit de décaler les lettres vers la gauche de la valeur de la clé.
• Le chiffrement de Vigenère utilise un mot comme clé de chiffrement. Chaque lettre du mot indique le décalage à faire.
Par exemple, avec la clé FACE, le décalage sera de 6, 1, 3 et 5.
en clair : CHEVAL
clé : FACEFA on répète la clé sur la longueur du mot
décalage : 613561
en chiffré : IIHAGM
Le premier I est obtenu en décalant C de 6 lettres vers la droite et le second I en décalant H de 1 lettre.
Le chiffrement AES (Advanced Encryption Standard) avec une clé de 128, 192 ou 256 bits est un chiffrement symétrique actuellement utilisé pour les échanges du web.
Le chiffrement symétrique est un chiffrement efficacemais il faut réussir à échanger la clé sans qu’elle soit interceptée !
Karine Silini 09/09/19 Page 7/17
*.univ-littoral.frOrganisation :
Université du Littoral Côte d’OpaleDunkerque
Nord-Pas de CalaisFrance
Clé publique :30 82 01 0a 02 82 01 …
Empreinte :75ed657f4dd2...
Le chiffrement asymétrique
Le chiffrement asymétrique utilise une clé publique pour chiffrer et une clé privée pour déchiffrer.
Les deux clés sont liées par des équations mathématiques extrêmement difficiles à résoudre : il est relativement facile de générer ces deux clés mais pratiquement impossible de retrouver la clé privée à partir de la clé publique.
• La clé publique sera largement diffusée et sera utilisée pour chiffrer les messages.
• La clé privée sera gardée secrète par son propriétaire et sera utilisée pour
déchiffrer les messages.
• Dans certains cas, la clé privée pourra être utilisée pour chiffrer et la clé publique pour déchiffrer.
Par exemple, Alice veut envoyer un message à Bob.Bob envoie sa clé publique à Alice.Alice chiffre le message avec la clé publique de Bob et envoie le message chiffré sur le réseau.Bob pourra déchiffrer le message avec sa clé privée.La clé privée de Bob n’ayant jamais été envoyée sur le réseau, elle n’est pas susceptible d’avoir été interceptée.
Illustration du MOOC de l'ANSSI
Les chiffrements RSA (2048 bits) ou ECC (256 bits) sont des algorithmes de cryptographie asymétrique.
Karine Silini 09/09/19 Page 8/17
*.univ-littoral.frOrganisation :
Université du Littoral Côte d’OpaleDunkerque
Nord-Pas de CalaisFrance
Clé publique :30 82 01 0a 02 82 01 …
Empreinte :75ed657f4dd2...
Le chiffrement hybride
Le chiffrement symétrique permet de chiffrer rapidement les données mais l’échange de la clé symétrique pose problème.
Le chiffrement asymétrique a résolu le problème d’échange de clés mais les opérations de chiffrement sont plus complexes et moins performantes.
La solution est d’utiliser un chiffrement hybride : on utilise un chiffrement asymétrique pour diffuser la clé symétrique, puis on utilise un chiffrement symétrique pour la suite des échanges.
Le hachage
Une fonction de hachage est une fonction sans réciproque qui associe à un message de taille quelconque, une valeur de longueur fixe appelée empreinte telle que :
• l’empreinte d’un message se calcule rapidement ;
• il est impossible de reconstituer le message à partir de son empreinte ;
• toute modification du message implique une modification de l’empreinte.
Les fonctions de hachage peuvent être utilisées pour comparer rapidement des fichiers ou des mots de passe.
Karine Silini 09/09/19 Page 9/17
*.univ-littoral.frOrganisation :
Université du Littoral Côte d’OpaleDunkerque
Nord-Pas de CalaisFrance
Clé publique :30 82 01 0a 02 82 01 …
Empreinte :75ed657f4dd2...
Document important
Bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla
Hachageg45ju84hytd57mpl
Document important
Bla bla bla bla bla bla bla bla blo bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla
k3j58yt2r6df8h9b
Hachage
Empreinte
Empreinte
Par exemple, la fonction Sha256 retourne toujours une valeur de 256 bits• Sha256(bonjour)=
2cb4b1431b84ec15d35ed83bb927e27e8967d75f4bcd9cc4b25c8d879ae23e18
• Sha256(bon jour)=43337fd55e56debeebd6fd7e980fa37ce7769fe872c10400e91ad6f015277ae9
• Sha256(Je vous souhaite bonjour)=849f44d0972bc911ac479022182a18214270c2f12224d17e6190fde6252cb541
Les fonctions SHA256 et SHA512 sont des fonctions de hachage donnant une valeur de 256 ou 512 bits.
La signature numérique
La signature numérique permet de garantir l’intégrité d’un document et d’en authentifier l’auteur.
Pour signer un document, on associe une fonction de hachage à un chiffrement asymétrique de la façon suivante :
• on applique une fonction de hachage au document ;
• on chiffre la valeur obtenue avec la clé privée de l’auteur ;
• on envoie le document avec sa signature.
Pour vérifier l’intégrité et l’authenticité, il suffit de déchiffrer la signature avec la clé publique et de la comparer à l’empreinte du document.
Karine Silini 09/09/19 Page 10/17
*.univ-littoral.frOrganisation :
Université du Littoral Côte d’OpaleDunkerque
Nord-Pas de CalaisFrance
Clé publique :30 82 01 0a 02 82 01 …
Empreinte :75ed657f4dd2...
Document important
Bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla
Hachageg45ju84hytd57mpl
k5hog4t5f8v2bh14
Chiffrement avec clé privée
Signature
Document important
Bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla
bla bla bla
k5hog4t5f8v2bh14
Hachageg45ju84hytd57mpl
Déchiffrementavec clé publique
Signature
?
g45ju84hytd57mpl
L’authenticité est assurée car seule la clé privée de l’auteur a pu chiffrer la signature.
L’intégrité est vérifiée car le document n’a pas été modifié depuis sa signature.
Empreinte
Empreinte
Le certificat numérique
Un certificat numérique ou électronique est une « carte d’identité numérique » permettant d’authentifier une organisation.
Les autorités de certification
Les autorités de certification sont des tiers de confiance qui vérifient les informations d’une organisation et lui délivre un certificat.
Les sites web disposant d’un certificat numérique affiche un cadenas et/ou https dans la barre d’adresse du navigateur.
Il existe différents types de certificat :
• le certificat de domaine ou d’organisation qui vérifie le nom de domaine ou de l’organisation associée ;
• le certificat à validation étendue qui vérifie plus précisément les coordonnées de l’organisation et l’affiche dans la barre d’adresse du navigateur.
Si le certificat d’une organisation n’est pas valide (périmé ou ayant subi une modification), un avertissement est affiché :
Karine Silini 09/09/19 Page 11/17
*.univ-littoral.frOrganisation :
Université du Littoral Côte d’OpaleDunkerque
Nord-Pas de CalaisFrance
Clé publique :30 82 01 0a 02 82 01 …
Empreinte :75ed657f4dd2...
Le contenu d’un certificat
Un certificat numérique contient :
- des informations d’identification de l’organisation (nom, localisation, etc.) ;
- la clé publique de l’organisation ;
- la signature de l’autorité de certification attestant des renseignements précédents.
L’organisation désirant un certificat numérique contacte une autorité de certification en lui fournissant ses coordonnées et sa clé publique.
L’autorité de certification contrôle les informations fournies et calcule son empreinte qu’il chiffre avec sa clé privée.
On peut consulter le contenu d’un certificat en cliquant sur le cadenas.
Dans l’onglet Général, on constate que le certificat est délivré :
• à un nom de domaine (univ-littoral.fr)
• par une autorité de certification
(TERENA SSL CA3)
• pour une période donnée (du 01/06/2018 au 03/09/2020)
Karine Silini 09/09/19 Page 12/17
*.univ-littoral.frOrganisation :
Université du Littoral Côte d’OpaleDunkerque
Nord-Pas de CalaisFrance
Clé publique :30 82 01 0a 02 82 01 …
Empreinte :75ed657f4dd2...
Cliquer pour consulter le
certificat
Dans l’onglet Détails, on retrouve :
• des informations sur l’organisation (dans la rubrique Objet)
• la clé publique de l’organisation (de
type RSA 2048 bits)
• la signature de l’autorité de certification (Empreinte)
• l’algorithme de hachage et de
signature (Sha256 et RSA)
Dans l’onglet Chemin d’accès de certification, on peut consulter l’autorité de certification.
On distingue les autorités racines et les autorités intermédiaires formant une chaîne de confiance pour la certification.
La vérification d’un certificat
Les navigateurs web (Google Chrome, Mozilla Firefox, etc.) disposent d’une liste d’autorités de certification dans leurs paramètres.
Karine Silini 09/09/19 Page 13/17
Pour chaque autorité de certification de cette liste, on peut consulter son certificat numérique contenant sa clé publique.
Karine Silini 09/09/19 Page 14/17
www.univ-littoral.fr
Demande de connexion à www.univ-littoral.fr
Envoi du certificat
Vérification du certificatCelui-ci ayant été signé avec la clé privée
de l’autorité de certification, on vérifie que le certificat n’a pas été modifié en
déchiffrant la signature à l’aide de la clé publique de l’autorité présente dans le
navigateur.
OK
Mise en place du chiffrement symétrique à l’aide du chiffrement asymétrique pour l’échange de clés
Une attaque de l’homme du milieu qui tenterait de remplacer la clé
publique de l’univ-littoral.fr par la sienne serait détectée car la signature
du certificat numérique émis par l’autorité de certification ne
correspondrait plus aux informations contenues dans le certificat !
Qu’est-ce qu’un wifi sécurisé ?
Quand on se connecte à une borne wifi (box du domicile, hotspot d’un lieu public, etc.), les données transitent de l’équipement de l’internaute à la borne sous forme d’ondes radios faciles à intercepter.
Les bornes wifi
Une borne wifi ou hotspot est un matériel qui donne accès à un réseau sans fil permettant de se connecter à Internet.
Ces bornes peuvent donner accès à :
• un réseau wifi privé protégé par une clé
de sécurité (WEP ou WPA/WPA2) qui permet de chiffrer les échanges.Un équipement n’est autorisé à se connecter au réseau qu’après avoir fourni la clé de sécurité.
• un réseau wifi public accessible à tous : il y a pas de clé de sécurité pour protéger les échanges.Les informations circulent « en clair » entre l’équipement et la borne wifi : elles peuvent être écoutées, interceptées et modifiées.
Karine Silini 09/09/19 Page 15/17
Dans certains cas, un portail captif demande à l’usager de s’authentifier. Il s’agit une page web qui s’affiche à l’ouverture du navigateur et demande des identifiants.
Cela permet de gérer les accès au wifi public mais ne sécurise pas les échanges !
Le réseau wifi public
Dans un réseau wifi public ou ouvert, les informations entre les équipements et la borne wifi circulent en clair. Une personne à proximité et malintentionnée pourrait :
• écouter les échanges, les intercepter et les modifier ;
• accéder aux espaces partagés des équipements ;
• introduire des logiciels malveillants sur les équipements connectés.
Conseils lors de l’utilisation d’un wifi public :
• masquer l’équipement dans les paramètres de
la connexion ;
• privilégier les sites en https car les échanges seront chiffrés au départ de l’équipement ;
• éviter d’installer des mises à jour proposées dans des fenêtres surgissantes ;
• préférer une connexion 3G/4G si c’est possible.
Karine Silini 09/09/19 Page 16/17
Installation d’un logiciel malveillant ?
Accès à l’espace
partagé ?Interception des échanges
L’utilisation d’un VPN
Un VPN (Virtual Private Network) est un réseau privé virtuel : les données transitent sur le réseau internet mais dans une sorte de « tunnel sécurisé ».
En réalité, les données transitent par un serveur VPN :
• l’internaute se connecte à un serveur VPN de façon sécurisée ;
• le serveur VPN interroge les pages web à la place de l’internaute et les renvoie chiffrées à l’internaute.
Un VPN permet de sécuriser les échanges d’un réseau wifi public.
BibliographieANSSI, « MOOC SecNumacadémie, qui rend la cybersécurité accessible à tous », consulté en août 2019, se former sur https://www.secnumacademie.gouv.fr/
Micode, « SE FAIRE HACKER AU MCDO - SAFECODE », 23 avril 2017, vidéo disponible sur https://www.youtube.com/watch?v=cUrmG335e7o
L’informateur, « Sécurité 1 : Introduction à la Cryptographie », 25 janvier 2018, vidéo disponible sur https://www.youtube.com/watch?v=V9bTy0gbXIQ
Grafikart, « Comprends le SSL/HTTPS », consulté le 5 août 2019, tutoriel disponible sur https://www.grafikart.fr/tutoriels/comprends-ssl-tls-745
Cookie connecté, « Le chiffrement SSL / TLS expliqué en emojis », 20 février 2018, vidéo disponible sur https://www.youtube.com/watch?v=7W7WPMX7arI
Karine Silini 09/09/19 Page 17/17