CHAPITRE 1 : INTRODUCTION A LA SECURITE INFORMATIQUE
1. L'architecture de sécurité OSI (X.800)
Le marché de la sécurité informatique a connu une croissance significative. L'entreprise
Gartner s'attend à ce que le marché de la cybersécurité dépasse les 100 milliards de dollars en
2019 contre 76 milliards de dollars en 2015.
Pour évaluer efficacement les besoins de sécurité d'une organisation et choisir divers produits
et politiques de sécurité, le responsable de la sécurité a besoin d'un moyen systématique lui
permettant de définir les exigences en matière de sécurité. L'architecture de sécurité OSI est
utile aux gestionnaires pour organiser la tâche de sécurité. Elle a été développée en tant que
norme internationale. Les fournisseurs d'ordinateurs et de communications ont développé des
fonctionnalités de sécurité pour leurs produits et services qui se rapportent à cette définition
structurée de services et de mécanismes.
L'architecture de sécurité OSI X.800 se concentre sur les attaques de sécurité, les mécanismes
et les services. Ceux‐ci peuvent être définis brièvement comme suit :
• Attaque de sécurité : toute action qui compromet la sécurité des informations
appartenant à une organisation.
• Mécanisme de sécurité : un processus (ou un périphérique incorporant un tel
processus) conçu pour détecter, prévenir ou récupérer une attaque de sécurité.
• Service de sécurité : un service de traitement ou de communication qui améliore la
sécurité des systèmes de traitement de données et les transferts d'informations d'une
organisation. Les services sont destinés à contrer les attaques de sécurité, et ils
utilisent un ou plusieurs mécanismes de sécurité pour fournir le service.
2. Les services de sécurité
X.800 définit un service de sécurité comme un service fourni par une couche de protocoles de
systèmes ouverts communicants, qui assure une sécurité adéquate des systèmes ou des transferts
de données. X.800 divise ces services en cinq catégories et quatorze services spécifiques,
comme présenté dans le Tableau 1.1.
Service de Description Service spécifique Description
Sécurité de sécurité
Authentification L’assurance que Authentification par Utilisé en
l'entité entité intermédiaire association avec une
communicante est connexion logique
celle qu'elle prétend pour donner
être. confiance à l'identité
des entités
connectées.
Authentification Dans un transfert
d'origine de données sans connexion, il
fournit l'assurance
que la source des
données reçues est
tel que revendiqué.
M. FAYE baayibou7@[Link]
�Contrôle d’accès La prévention de N/A N/A
l'utilisation non
autorisée d'une
ressource (c.‐à‐d., Ce
service contrôle qui
peut avoir accès à
une ressource, dans
quelles conditions
l'accès peut se
produire et ce que
les personnes qui
ont accès à la
ressource
peuvent faire).
La confidentialité La protection des Confidentialité de la La protection de
des données données contre la connexion toutes les données de
divulgation non l’utilisateur sur une
autorisée. connexion.
Confidentialité sans La protection de
connexion toutes les données de
l’utilisateur dans un
seul bloc de
données.
Confidentialité de La confidentialité
champ sélectif des champs
sélectionnés dans
les données de
l’utilisateur sur une
connexion ou dans
un seul bloc de
données.
Confidentialité du La protection de
flux de trafic l'information
pourrait être
dérivée depuis
l'observation des
flux de trafic.
L’intégrité des L'assurance que les Intégrité de Fournit l'intégrité de
données données reçues sont connexion avec toutes les données
exactement comme récupération utilisateur sur une
envoyées par une connexion et détecte
entité toute
M. FAYE baayibou7@[Link]
� autorisée (c'est‐à‐ modification,
dire ne insertion,
contiennent aucune suppression ou
modification, réponse.
insertion, Intégrité de la Comme ci‐dessus,
suppression ou connexion sans mais ne fournit
reproduction). récupération qu'une
détection sans
récupération.
Intégrité de Fournit l'intégrité
connexion des champs
du champ sélectif sélectionnés dans
les données
utilisateur d'un bloc
de données
transféré sur une
connexion et prend
la forme
de déterminer si les
champs sélectionnés
ont
été modifiés, insérés,
supprimés ou
reproduits.
Intégrité sans Fournit l'intégrité
connexion du champ des champs
sélectif sélectionnés dans
un seul bloc de
données sans
connexion ; Prend
la forme de
déterminer si les
champs
sélectionnés ont été
modifiés.
Non répudiation Fournit une Non répudiation ‐ Preuve que le
protection Origine message a été
contre le déni par envoyé par la
l'une des partie spécifiée.
entités impliquées
dans une
communication
d'avoir
M. FAYE baayibou7@[Link]
� participé à tout ou
partie de
la communication.
Non répudiation ‐ Preuve que le
Destination message a été reçu
par la partie
spécifiée.
Tableau 1.1 Les services de sécurité définit par X.800
2.1. L’authentification
Le service d'authentification est chargé d'assurer qu'une communication est authentique.
Dans le cas d'un seul message, tel qu'un signal d'avertissement ou d'alarme, la fonction du
service d'authentification est d'assurer au destinataire que le message provient de la source qu'il
prétend être. Dans le cas d'une interaction continue, comme la connexion d'un terminal à un
hôte, deux aspects sont impliqués. Tout d'abord, au moment de l'initiation de la connexion, le
service garantit que les deux entités sont authentiques, c'est‐à‐dire que chacune est l'entité
qu'elle prétend être. Deuxièmement, le service doit s'assurer que la connexion n'est pas entravée
de telle sorte qu'un tiers peut se faire passer comme l'une des deux parties légitimes aux fins
d'une transmission ou d'une réception non autorisée.
Deux services d'authentification spécifiques sont définis dans X.800:
• Authentification par entité intermédiaire
• Authentification d'origine de données
2.2. Contrôle d'accès
Dans le contexte de la sécurité du réseau, le contrôle d'accès permet de limiter et de contrôler
l'accès aux systèmes hôtes et aux applications via les liaisons de communication. Pour ce faire,
chaque entité qui tente d'accéder doit d'abord être identifiée ou authentifiée, de sorte que les
droits d'accès peuvent être adaptés à l'individu.
2.3. Confidentialité des données
La confidentialité est la protection des données transmises contre les attaques passives. En ce
qui concerne le contenu d'une transmission de données, plusieurs niveaux de protection peuvent
être identifiés. Le service le plus large protège toutes les données transmises entredeux
utilisateurs sur une période de temps. Par exemple, lorsqu'une connexion TCP est configurée
entre deux systèmes, cette protection large empêche la sortie de toute donnée utilisateur
transmise sur la connexion TCP. Des formes plus étroites de ce service peuvent également être
définies, y compris la protection d'un seul message ou même des champs spécifiques dans un
message. Ces améliorations sont moins utiles que l'approche générale et peuvent même être
plus complexes et coûteuses à mettre en oeuvre.
Il y’a un autre aspect de la confidentialité, qui est la protection des flux de trafic liés à l'analyse.
Cela nécessite qu'un attaquant ne puisse pas observer la source, la destination, la fréquence, la
longueur ou d'autres caractéristiques du trafic dans une installation de communication.
2.4. Intégrité des données
Comme pour la confidentialité, l'intégrité peut s'appliquer à un flux de messages, un seul
message ou des champs sélectionnés dans un message. Encore une fois, l'approche la plus utile
et la plus simple est la protection totale des flux.
M. FAYE baayibou7@[Link]
�Un service d'intégrité axé sur la connexion, qui traite d'un flux de messages, assure que les
messages sont reçus comme envoyés, sans : duplication, insertion, modification, réorganisation
ou répétition.
2.5. Non repudiation
La non répudiation empêche l'émetteur ou le récepteur de refuser un message transmis. Ainsi,
lorsqu'un message est envoyé, le destinataire peut prouver que l'expéditeur présumé a en effet
envoyé le message. De même, lorsqu'un message est reçu, l'expéditeur peut prouver que le
prétendu séquestre a effectivement reçu le message.
2.6. Service de disponibilité
Les deux X.800 et RFC 2828 définissent la disponibilité pour être la propriété d'un système ou
une ressource système accessible et utilisable à la demande par une entité système autorisé,
selon les spécifications de performance du système. Une variété d'attaques peut entraîner la
perte ou la réduction de la disponibilité. Certaines de ces attaques sont soumises à des
contremesures automatises, telles que l'authentification et le cryptage, tandis que d'autres
nécessitent une sorte d'action physique pour éviter ou se remettre de la perte de disponibilité
des éléments d'un système distribué.
X.800 traite en outre la disponibilité en tant que propriété d'être associée à divers services de
sécurité. Un service de disponibilité est celui qui protège un système pour assurer sa
disponibilité. Ce service répond aux problèmes de sécurité soulevés par les attaques de déni de
service.
3. Les mécanismes de sécurité
Le tableau 1.2 énumère les mécanismes de sécurité définis dans X.800. Les mécanismes sont
divisés en ceux implémentés dans une couche de protocole spécifique et ceux qui ne sont pas
spécifiques à une couche de protocole ou à un service de sécurité particulier.
• Mécanismes de sécurité spécifiques : Peuvent être incorporé dans la couche de
protocole appropriée afin de fournir certains des services de sécurité OSI.
• Mécanismes de sécurité omniprésents : Mécanismes qui ne sont pas spécifiques à un
service de sécurité OSI ou à une couche de protocole particulier.
M. FAYE baayibou7@[Link]
� Mécanisme Description
Le chiffrement L'utilisation d'algorithmes mathématiques pour transformer les
données en une forme qui n'est pas facilement intelligible. La
transformation et la récupération ultérieure des données
dépendent d'un algorithme et de clés de cryptage.
Signature Les données sont ajoutées, ou une transformation
Mécanises de sécurité spécifiques
numérique cryptographique d'une unité de données.
Contrôle d'accès Divers mécanismes qui imposent les droits d'accès aux
ressources.
Intégrité des Divers mécanismes utilisés pour assurer l'intégrité d'une unité de
données données ou d'un flux d'unités de données.
Echange Un mécanisme destiné à assurer l'identité d'une entité au moyen
d'authentification d'un échange d'informations.
Remplissage du L'insertion de bits dans des intervalles dans un flux de données
trafic pour éviter les tentatives d'analyse de trafic.
Contrôle de Permet de sélectionner des routes physiquement sécurisées
routage particulières pour certaines données et permet des modifications
de routage, en particulier lorsqu'une violation de sécurité est
suspectée.
Notarisation L'utilisation d'un tiers de confiance pour assurer certaines
propriétés d'un échange de données.
Fonctionnalité de Ce qui est perçu comme correct par rapport à certains critères
Mécanismes de sécurité omniprésents
confiance (par exemple, tel qu'établi par une politique de sécurité).
Étiquette de Le marquage lié à une ressource (qui peut être une unité de
sécurité données) qui nomme ou désigne les attributs de sécurité de cette
ressource.
Détection Détection des événements liés à la sécurité.
d'événement
Sentier d'audit de Les données recueillies et utilisées pour faciliter une vérification
sécurité de la sécurité, qui est un examen et un examen indépendants des
dossiers et des activités du système.
Récupération de Aborde les demandes de mécanismes, telles que la gestion des
sécurité événements et prend des mesures de récupération.
Tableau 1.2 Les mécanismes de sécurité définit par X.800
Le tableau 1.3 présente la relation entre les services de sécurité et les mécanismes de sécurité.
M. FAYE baayibou7@[Link]
� Mécanisme
Service Chiffrement Signature Contrôle Intégrité Echange Remplissage Routage Contrôle de
numérique d'accès des d'authentif du trafic la
données ication notarisation
Authentification X X X
Authentification X X
d'origine des
données
Contrôle X
d’accès
Confidentialité X X
Confidentialité X X X
des flux de
trafic
Intégrité des X X X
données
Non répudiation X X X
Disponibilité X X
Tableau 1.3 Relation entre les services et les mécanismes de sécurité
Figure 1.1 : Modèle de sécurité réseau
4. Un modèle pour la sécurité réseau
La figure 1.1 présente un modèle de sécurité réseau. Un message doit être transféré d'une partie
à une autre à travers l'Internet. Les deux parties, qui sont les principaux de cette transaction,
doivent coopérer pour que l'échange se produise. Un canal d'information logique est établi en
définissant un itinéraire via Internet entre la source et la destination et par l'utilisation
coopérative de protocoles de communication (par exemple, TCP / IP).
M. FAYE baayibou7@[Link]
�M. FAYE baayibou7@[Link]
