COURS CULTURE

NUMÉRIQUE
Dominique Vaufreydaz
Compétences Numériques
Faculté d’Economie de Grenoble – L1
Pix
• Le remplaçant du c2i
• https://pix.beta.gouv.fr/

• Des nouveautés
• Plus de petits travaux à rendre tout au long de l’année
• Plus couvrant que le c2i
• En ligne et géré au niveau du ministère

• Certification
• Soit par vous-même
• Soit à l’Université
• Aucun impact de Pix sur votre diplôme de Licence
Amphis de culture numérique
• Augmenter votre culture numérique
• Sécurité informatique
• Usages
• Améliorer vos pratiques
• Pas uniquement avec les outils bureautiques
• En contexte
• sécurité passive et active
• Illustration
• Cas concrets
• Actualités
• En complément des travaux dirigés
Thèmes abordés
• Protections des données personnelles
• Sécurisation
• de son ordinateur
• de ses données
• de ses accès distants

• Gestion des traces

• Utilisation des données personnelles
• Recherche d’information
• Qualités des informations sur Internet
Que peut-on craindre ?
(source polycopier c2i)
• La perte de données suite à une défaillance matérielle ou
humaine,
• L'indiscrétion ou l'atteinte volontaire à l'intégrité des
données par une personne,
• La révélation des habitudes de navigation,
• L'attaque du système par un logiciel malveillant ou un
pirate.
Sécurisation
(source polycopier c2i)

• Espace de travail local

• En sauvegardant régulièrement ses données sur des supports
amovibles ou distants,
• En limitant l'accès à son espace de travail et ses fichiers,
• En maîtrisant ses traces,
• En protégeant son système des logiciels malveillants,
• En identifiant les situations à risques,
• En étant capable de restaurer l'intégrité de son système,
• Espace de travail distant
• En déposant ses fichiers dans un espace privé,
• En limitant tout risque d'usurpation d'identité (mot de passe
complexe ; déconnexion de sa session ; etc.,)
Protection des données locales
• Accès aux données
• Sauvegarde des données
1ère protection : mot de passe
• Protection primordiale !
• Identification/mot de passe correspondent à un utilisateur unique

• Plusieurs « lieux » stratégiques

• Protection du BIOS
• Boot de l’ordinateur
• Login
• Protection de fichiers
• Cryptage
• Fichiers, partitions
• Accès aux ressources « en ligne »
• Réseau sociaux, sites marchants, réseaux sociaux, …
 9

Compte utilisateur ?
 10

Compte utilisateur ?
• Numéro d’identifiant
• uid ou SID
• S-1-5-21-7723441915-3361004348-033306820-1006 (sous Windows)
• Utilisé dans de nombreux cas, notamment pour les droits d’accès

• Des groupes d’appartenance

• Les groupes donnent des droits (accès fichiers, périphériques, …)

• Des informations supplémentaires

• Répertoire utilisateur, nom, prénom, numéro de téléphone, bureau,
etc.,

• Gestion
• Locale (votre ordinateur)
• Centralisée (serveur central à l’Université)
Règles pour un bon mot de passe
• Longueur suffisante
• Ne contient pas d’informations personnelles
• Nom/surnom/nom d’animaux de compagnie
• Date de naissance
• …
• Pas de mot du dictionnaire
• Utilisation de plusieurs types de caractères
• majuscules, minuscules, chiffres, caractères spéciaux
• Validité limitée dans le temps
• Quelques mois, pas de réutilisation
• Unique par service
→ Utilisation d’un moyen mnémotechnique
• Phrase code, algorithme…
Limitation et mauvais usages
• Un bon mot de passe…
• se conforme aux règles du service
• Règles Windows
• Règles des services Web
• Est pragmatique
• Compromis sécurité/règles/mémorisation

• Et un mauvais mot de passe…

Mots de passe les plus utilisés
• Liste de mauvais mots de passe (suite à des piratages de
comptes en 2015)
1 123456 13 abc123

2 password 14 111111

3 12345 15 1qaz2wsx

4 12345678 16 dragon

5 qwerty 17 master

6 123456789 18 monkey

7 1234 19 letmein

8 baseball 20 login

9 696969 21 princess

10 football 22 qwertyuiop

11 welcome 23 solo

12 1234567890 24 passw0rd

25 starwars
Hameçonnage (phishing)
• But
• Vol d’identité numérique et d’informations personnelles

• Moyen
• Se faire passer pour un tiers de confiance
• Banque
• Administration (impôts, préfectures, etc.)
• Entreprise…
• Voler des informations
• Par le biais de faux email et/ou de faux sites web

• Classe
• Ingénierie sociale : l’humain est le maillon faible !
Hameçonnage à l’UGA (08/2016++)
• Plusieurs compagnes à l’Université
Coffre fort numériques ?
• Logiciels pour stocker ses mots de passes
• Un mot de passe pour accéder à tous les autres
• Exemples de logiciels
• Approche locale
• Keypass
• Approche « online »
• LastPass
• Dashlane
Authentification à 2 facteurs
• Authentification usuelle
• Identifiant (login)/mot de passe
• Sécurité bonne mais 1 seul vol de données suffit
• Authentification à 2 facteurs
• Identifiant (login)/mot de passe
• Seconde option:
• Utilisation du téléphone mobile : code par SMS, application
• Biométrie
• Empreintes digitales
• Reconnaissance de visage
• …

• Authentification à n-facteurs
• Renforce la sécurité sir les facteurs sont très différents
2ème protection : protection des fichiers
• Tous les OS permettent la protection des fichiers
• Accès selon l’utilisateur ou le groupe d’utilisateurs

• Utilisateurs avec privilèges

• Administrateur et les membres du groupes Administrateurs sous
Windows
• root et certains groupes (sudoers, wheel, …) sous Linux
• Idem sous Mac OSX

• Protection à plusieurs niveaux

• Attributs de fichiers
• Access Control List
 19

Attributs de fichiers
• Assez peu connus et utilisés
• Windows les montrent dans les propriétés de fichiers
• Lecture seule est le plus connu
• Différents selon les systèmes

• Accessible soit par l’interface soit en ligne de commande

• attrib sous Windows
• chattr sous Linux
• chflags sous Mac OS X

• Priorité sur les permissions

 20

Attributs de fichiers (Windows)

• Différents attributs
• Archive (a)
• Fichier caché (h)
• Lecture seul (r)
• Fichier system (s)
• Fichier indexé sans contenu (l)
• Commande
• attrib <+/->[ahrsI] <fichier>
 21

Attributs de fichiers (Linux)

• Beaucoup plus complet que Windows
• Dépend du système de fichiers
• Quelques exemples :
• i pour immutable
• c pour compressé
• j données journalisées avant sauvegarde sur disque
• S pour accès synchrone sur disque
• s ‘safe delete’
• u undeletable …
• Commande
• chattr <+/-><flag> <fichier>

• Un fichier immutable ne peut pas être modifié/effacé par root !

 22

Access Control List (ACL)

• Linux
• Modèle d’ACL à géométrie variable

• Windows
• Modèle d’ACL très complet
• Héritage de permission complexe mais prévisible
 23

Access Control List

(Linux)
• Modèle standard
• rwx pour Read Write Execute
• Défini pour 3 entités : utilisateur, son groupe et tout le monde
• Possibilité de faire plus finement les choses
• Si le noyau le permet (~tous ??)
• Par utilisateur ou par groupe
• Commandes
• getfacl et setfacl
• setfacl -m u:vaufreyd:r file
 24

Access Control List (exemple Windows)

• Autorisations d’accès basées sur une liste de contrôle
• Qui a accès à quoi

• 13 permissions utilisables
• Traverse Folder/Execute File *
• List Folder/Read Data*
• Read Attributes
• Read Extended Attributes
• Create Files/Write Data*
• Create Folders/Append Data Write *
• Attributes Write Extended
• Attributes Delete Subfolders and Files
• Delete Read Permissions
• Change Permissions
• Take Ownership

• D’autres ACL sont possibles mais doivent se faire au niveau du système

d’exploitation
• Existent dans des versions différentes sous Linux/Mac OSX
3ème protection : cryptage
• Chiffrement des données
• Rendre les données illisibles pour celui qui n’a pas la ou les clés
• Supporté dans Windows/Linux/Mac OSX (et d’autres)

• Différentes applications du cryptage

• Fichiers
• Mot de passe sur des documents LibreOffice par exemple
• Partition
• Disque dur/une clé USB
• Communications électronique
• Transaction Web (https)/bancaires/messagerie…

• Performance du cryptage (sécurité et accès lecture /écriture)

• Longueur de la clé (ou des clés)
• Algorithme utilisé
Historique du chiffrement en France
• Jusqu’en 1996
• Cryptage considéré comme arme de guerre

• 1996/2004
• Cryptage limité à 96 au début puis à 128 bits
• PGP (Pretty Good Privacy) usage limité en France
• Windows NT4 => version spécifique pour la France
• Augmentation progressif de la taille de clé tolérée

• Loi pour la confiance dans l'économie numérique du 21

juin 2004
• Libéralisation du cryptage en France
Généralités sur le cryptage
• De nombreuses recherches dans le domaine
– De nombreux algorithmes sont nés aux cours des 30
dernières années

• 2 principaux types de cryptage

– Symétrique
• Rapide mais moins sûr
– Asymétrique
• Augmente le niveau de sécurité
→ il n’est pas nécessaire de donner toute sa clef pour
communiquer (clé privé/clé publique)
Cryptage symétrique
• 1 seule clé
– L’encodeur et le décodeur partagent une seule et
même clef
→ problème : il faut s’échanger la clef !!!!!
• Exemple de DES (Data Encryption Standard)
– La clef fait 56 bits + 8 bits de parité (7+1 octets)
– On applique 16 permutations à des blocs de 64 bits
• Variantes
– 3DES : on applique 3 fois de suite l’algorithme DES
Cryptage asymétrique
(RSA1 - RIVEST, SHAMIR et ADLEMAN)

• Choix de 2 nombres premiers (très grand)

– a et b
• On calcule pub1 = a.b
– 1ère partie clé publique
• On choisit pub2 premier avec (a-1)(b-1)
– 2nde partie de la clé publique
• On détermine priv
– On résout pub2.priv modulo (a-1)(b-1) = 1
Cryptage des données
(RSA2)

• Pour transmettre un message msg, il faut la clef

publique du correspondant (pub1, pub2)
– On crypte : msg’ = msg^pub2 modulo pub1

• Avec la clé privée, on peut récupérer le

message
– On décrypte : msg = msg’^priv modulo pub1
Actualité en lien avec le cryptage

Actualité de janvier 2016

Un nombre premier de 22 millions de chiffres découvert par des
chercheurs à l’aide d’un supercalculateur. Le précédent avait
« seulement » 17 Millions de chiffres (2013).

274 207 281 – 1

Problème avec le cryptage
• Failles
• Découvertes de failles dans les algorithmes
• Failles mathématiques ou logicielles
• Attaque « brute » possible (mais très difficile) avec des fermes
d’ordinateurs pour « casser » des clefs
• Hameçonnage !

• Pertes de données
• Perte de sa clé => perte des données pour un utilisateur lambda
• Perte de secteurs sur le support de stockage => perte de données

• Conflit libertés individuelles/cryptage/sécurité

• Exemple de l’utilisation de la messagerie Telegram
Exemple de TrueCrypt
• TrueCrypt était un logiciel libre/Open Source pour le
cryptage
• Multiplateforme (Windows, Linux, Mac OSX)
• Support de nombreux algorithmes

• Largement utilisé
• Par les professionnels
• Par les particuliers

• Arrêt brutal du logiciel en mai 2014

• Pendant un audit

• Remplacé par Vera Crypt

Exemple de TrueCrypt
• TrueCrypt était un logiciel libre/OpenSource pour le
cryptage
• Multiplateforme (Windows, Linux, Mac OSX)
• Support de nombreux algorithmes

• Largement utilisé
• Par les professionnels
• Par les particuliers

• Arrêt brutal du logiciel en mai 2014

• Pendant un audit

• Remplacé par Vera Crypt

L’affaire iPhone/FBI
• Problème
• Le FBI voulait accéder aux données d’un téléphone
• Cet iPhone possède des capacités de cryptage
• Apple a les moyens d’accès au téléphone mais ne veut pas
coopérer
• Ils ont la possibilité de décrypter ???
• Ils ne veulent pas coopérer pour « protéger la vie privée »

• Solution
• Attaque « brute force » ?
• Utilisation d’une faille dans le cryptage ?
• Solution utilisée par le FBI
• Payer 1 Million de $ à une entreprise pour accéder aux données
• On ne sait pas comment ils ont fait !
Telegram - messagerie cryptée
• Application de messagerie cryptée
• Créée par 2 frères Russes Nikolai et Pavel Durov
• Pour contrer toute tentative d’intrusion (même des Etats)
• Messages échangés de manière cryptée
• Messages à durée de vie limitée possibles
• Chaînes/abonnements comparable aux réseaux sociaux
• Problèmes
• Nébuleuse d’entreprises et de serveurs
• Difficulté d’action en justice
• Algorithme de cryptage « maison »
• Qui peut décrypter ? Quelle est la vraie sécurité ?
• Messagerie aussi utilisée à des fins non louables
• Pédophilie, espionnage, banditisme, terrorisme, …
Stockage des mots de passe
• Les mots de passe sont normalement stockés sous la
forme d’un hash (forme de cryptographie)
• « motdepasse » => « b6edd10559b20cb0a3ddaeb15e5267cc »
• La comparaison se fait sur le hash pas sur le mot de passe
• Plusieurs mots de passe peuvent avoir le même hash
• La fonction n’est pas réversible mais il est possible de calculer le ou les
mots de passe qui donne ce hash par attaque brute
• « Salage » de mot de passe
• Pour éviter les doublons de hash et augmenter la complexité des
attaques, on « sale » les mots de passe en ajoutant un « mot » au
hasard
• « motdepassebchdr » => « 49f08bc64f568ae1b1f507622c0c8f0e »
• Cela fait une augmentation artificielle de la taille du mot de passe
et de la complexité à calculer le mot de passe textuel
4ème protection : sauvegarde
• Besoin de pérenniser les données en cas de
problème
• Copie de secours
• Versionnement

• Problématique
• Définir la fréquence des sauvegardes
• Besoins/activité/criticité des données
• Définir le type de sauvegarde
• Définir le support de sauvegarde
 39

Pourquoi faire des sauvegardes ?

• Défaillance matériel
• Disques, carte mère, alimentation
• Destruction de matériel
• Feu
• Inondation
• …
• Vol de matériel
• Penser au cryptage en plus
• Historiques de données
• Possibilité de récupérer des versions antérieurs de fichiers
• Réplications de service
• Sites distants répliqués pour améliorer la performance
 40

Que sauvegarder ?
• Plusieurs solutions
• Images disques
• Plutôt locale
• Ensemble de fichiers
• Différence entre les systèmes
• Plus simple sous Linux
• Hormis pour les systèmes de base de données
• Windows contient des fichiers systèmes non copiable directement
• Base de registre par exemple

• Gestion des spécificités des systèmes de fichiers

• ACL/Attributs/propriétaires/…
 41

Où sauvegarder ?
• Disque externe local
• Solution à la maison
• Technologies RAIDx
• garantit seulement la perte d’un ou plusieurs disques
• N’est pas une sauvegarde
• Network Access Storage (NAS)
• Machine dédiée sur le réseau
• Support des différents OS
• Cloud
• Données dans le nuage
Type de sauvegarde - 1
• Complète à chaque fois
– Intérêts
• La plus rapide à restaurer
– Inconvénients
• Utilise beaucoup d’espace pour la sauvegarde (si l’on conserve un historique)

• Différentielle
– Complète plus changement depuis la dernière complète
– Intérêts
• Nécessite moins d’espace pour la sauvegarde
• Rapide à la récupération
– Inconvénients
• Sauvegarde de plus en plus longue
Type de sauvegarde - 2
• Incrémentielle
– Complète puis changement depuis la dernière incrémentielle
– Intérêts
• Espace limité pour la sauvegarde
• Sauvegarde rapide (juste les changements depuis la dernière
incrémentielle)
– Inconvénients
• Lent à la récupération (reconstruction de l’image à partir de la
dernière complète plus toutes les incrémentielles intermédiaires)
Pérennité des supports
Courant/Théorique/Maximum théorique (conditions optimums /sans utilisation)

• CD-RW
• 2 à 3 ans / 2 à 3 ans / 100 ans
• Clé USB/Carte mémoire
• Quelques mois (perte) / 30 ans / 75 ans
• DVD-R
• 2 à 3 ans / 30 ans / 100 ans
• Disque dur
• 5 à 7 ans / 30 ans / 50 ans
• Disque dur SSD
• 2 à 3 ans / ??? / ???
Info en lien avec le stockage

Startup Grenobloise Arnano

Sauvegarde sur saphir synthétique gravé de données. Disque
« inaltérable et infalsifiable résistant à l’eau et aux flammes jusqu’à
1200°C » d’après ses concepteurs. Prix du disque allant jusqu’à 10000€.
Cas spécifique du Cloud
• Propriété du Cloud
• Distribué
• Évolutif
• Normalement pérenne (selon votre contrat, bien le lire)

• Problème du Cloud
• Où sont stockées les données ?
• Qui a accès à ces données ?
• Comment récupérer les données en fin de contrat ?
Information en lien avec le Cloud

Actualité du 19 janvier 2012

Fermeture par le gouvernement américain du site Mega Upload. Site
utilisés par les entreprises pour héberger leurs données. Problème : il était
aussi utilisé massivement pour héberger de façon anonyme de films ou de
la musique piratés. Des milliers d’entreprises ont perdus de l’argent et des
données stockées dans les serveurs de Mega Upload.
Information en lien avec le Cloud

Actualité du 19 janvier 2012

Fermeture par le gouvernement américain du site Mega Upload. Site
utilisés par les entreprises pour héberger leurs données. Problème : il était
aussi utilisé massivement pour héberger de façon anonyme de films ou de
la musique piratés. Des milliers d’entreprises ont perdus de l’argent et des
données stockées dans les serveurs de Mega Upload.
Vous utilisez le cloud !
• Type
• Stockage
• Logiciels
• Messagerie, logiciels métiers, bureautiques, …

• Services
• Google
• Facebook
• Twitter
• DropBox
• …
• Même à l’UGA !!
Versionnement
(cas spécifique de la sauvegarde incrémentielle)
• Attention, ce n’est pas une sauvegarde au sens propre !
• But
• Garder un historique
• Pouvoir récupérer une version ancienne ou une partie de celle-ci
• Très utilisé par les informaticiens
• Versionnement simple
• Enregistrement
• Enregistrement sous un nom en ajoutant un numéro de version
• MonRapport-1.0.odt => MonRapport-1.1.odt => MonRapport-2.0.odt
• Travail sur la nouvelle version
• Gestion des numéros de version
• Le système le plus connu x,y : x version majeur, y version mineure
Logiciel de versionnement
• Versionnement intégré
• NAS par exemple

• Logiciel de versionnement
• CVS
• Subversion
• Mercurial
• Git…
• L’un des plus utilisé

• Plateforme en ligne
• Type réseau sociaux
• Github est le plus connu
5ème protection : gestion des logiciels
• Tous les logiciels peuvent présenter des failles
• Failles du système d’exploitation
• Failles d’un logiciel installé
• L’ouverture d’un document « anodin » peut suffire
• Failles dans un protocole utilisé
• Communication Web (HTTP), etc.
• Faille matérielles
• Matériel réseau, …
• Problèmes
• Installation/propagation de virus/chevaux de Troyes
• Vols de données personnelles
• Différents types de failles
• Non découvertes/connues du découvreur/connues
• Critiques/non critiques
• En cours/Résolues
• « zero day »
Cert-fr

• http://www.cert.ssi.gouv.fr/
Protections
• Mises à jour de son système d’exploitation
• De manière automatique
• Impératif !!!!!
• Cela peut comporter quelques problèmes
• Matériel plus reconnu, perte de fonctionnalités, …

• Installation de logiciel
• Depuis des sources de confiance
• Site de l’éditeur de logiciel, pas ailleurs

• Mise à jour de logiciel

• Idem
• Veille technologique
• Se tenir informé des problèmes connus, faire de la vieille
Exemple de FileZilla
• FileZilla
• Logiciel de transfert de fichier sur Internet
• FTP, SSHFS,…,
• Logiciel libre

• Comment l’installer ?
• Recherche Google
• Téléchargement
• Installation
Exemple de FileZilla
Exemple de FileZilla
Cas de Pokemon Go
(Gestion des smartphones en général)
• Pokemon Go (2016)
• Engouement pour le nouveau jeu Pokemon
• Problème, l’entreprise qui l’a développé est spécialisée
dans l’exploitation des données personnelles

• Autres problèmes
• Au départ, installation de version depuis des dépôts non
officiels
• Application Pokemon Go contenant des chevaux de Troie
• Application « Guide » pour Pokemon Go
• Contient des virus et chevaux de Troie
Démo validation de logiciel
 Logiciel malveillant (maliciel ou malware)
• But
• Nuire à un système informatique ou ses utilisateurs
• Prendre le contrôle d’un ordinateur
• Récupérer des données personnelles
• Se servir de la puissance de calcul de cet ordinateur (machine zombie)

• Types de logiciels malveillants

• Virus et ver
• Chevaux de Troie (Troyen)
• Spyware
• Adware
• Ransonware
• …
Virus et ver
• Définition
• Programme malveillant se propageant par mail, support amovible,
réseaux, failles dans les OS…
• Types
– Virus de boot
– Virus d’application
– Macro virus…
• Risque
– Perte de données
– Vol de données personnelles (accès bancaire, …)
– Servir de rebond pour attaquer d’autres ordinateurs
• Parfois des machines importantes (gouvernementales, bancaires)
Chevaux de Troie
• Définition
• Programme caché à l’intérieur d’un autre programme
• Installation par des applications tierces

• Risque
– Perte de données
– Vol de données personnelles (accès bancaire, …)
– Servir de rebond pour attaquer d’autres ordinateurs

62
Protection passive
• Type de protection
• Antivirus
• Antispyware
• Firewall
• Mise à jour de son système d’exploitation
• Vérifier régulièrement les extensions de son navigateur

• Mise en place
– Dès le début des installations de logiciels non sûrs/navigation Internet
– Avant même (si possible) le branchement au réseau local
Firewall
• Risque
– Tentative d’intrusion sur la machine en utilisant des failles
de sécurité connues
• Protection
– Firewall, ou firewall d’accès au réseau local
– Protection complémentaire à la mise à jour automatique
• Installation
– Au cas par cas
• Évaluer le rapport risque/embêtement
→ Donner le droit à l’utilisateur de définir les règles de
filtrage est risqué

64
Actualité : Clé USB piégée (09/2017)
• Faits
• Clés USB « offertes » et distribuées dans les boîtes aux lettres en
Australie
• Idée prise dans la série Mr Robot ?

• Problèmes
• Curiosité des gens !!
• Clé piégée avec un virus ou destructrice
• Nouvelle idée qui va se répandre…

• Risques
• Vol d’identifiants, codes bancaires, données personnelles
• Destruction de matériel
Actualité : Cas du virus Eko (Facebook, 09/2016)

• Virus propagé par Facebook Messenger

• Mode de propagation
• Vidéo provenant d’un ami
• Icone avec votre photo de profil
• Nom de la vidéo contenant votre prénom
• Renvoie vers une fausse vidéo YouTube
• La page vous demande d’installer une extension (Eko) pour lire la vidéo
• Risque
• Vol d’identifiants, données bancaires, données personnelles
• Votre compte sert à repropager le virus
• Elimination
• Supprimer l’extension Eko de votre navigateur
• Scanner avec un anti-virus complètement votre ordinateur
• Changer tous vos mots de passe, surveiller vos pages/comptes
Ransonware
• But
• Récolter de l’argent (et des données personnelles)

• Moyens
• Attaque via virus, ver ou macro virus
• Cryptage des données sur le disque dur
• Demande de rançon pour obtenir la clé de décryptage

• Problèmes
• Très à la mode actuellement
• Demande le paiement de la rançon par carte bancaire
• Vol du numéro de carte au passage
• Achat nombreux et instantanés de divers objets sur le Web
• La plupart du temps, le rançonné ne reçoit pas la clé de décryptage
Botnet
• But
• Gagner de l’argent (majoritairement)

• Moyens
• Attaques informatiques (virus, faille de sécurité)
• Transformation des machines en « zombie »
• Puissance de calcul
• Débit disponible

• Vente de l’usage (frauduleux) du botnet

• Envoi de SPAM
• Attaque d’autres machines
• déni de service par exemple
• Attaque brute force (mots de passe, clés de cryptage, …)
• …
Top 10 des botnets
(source https://fr.wikipedia.org/wiki/Botnet)
Capacité en mails par
Nom du botnet Nombre de machines
minute
Rustock 540 000 à 810 000 14 000 000
Cutwail 1 100 000 à 1 600 000 12 800 000
Bagle 520 000 à 780 000 12 000 000
Bobax 110 000 à 160 000 10 000 000
Grum 580 000 à 860 000 6 800 000
Maazben 240 000 à 360 000 1 500 000
Festi 140 000 à 220 000 900 000
Mega-D 50 000 à 70 000 690 000
Xarvester 20 000 à 36 000 615 000
Gheg 50 000 à 70 000 300 000
Attaque par déni de service
• Denial of Service attack (DoS)
• But
• Surcharger un ordinateur/service/réseau
• Gagner de l’argent/agir pour une cause (bonne/mauvaise)

• Moyens
• Utilisation d’une faille
• Envoie massif de données en direction d’une machine

• Protection
• Firewall intelligent, mises à jour, …
Actualité

Actualité du 09/2016
L’hébergeur OVH a été victime d’une attaque par déni de service
impactant fortement tous les sites et les services qu’il propose (cloud,
hébergement mail, etc.). L’attaque a utilisé des caméras de surveillance
avec un ordinateur embarqué. Cette attaque a généré un trafic réseau de
1TiB/s (1 Terra octet second). Cela pose le problème de l’Internet des
Objets (IoT pour Internet of Things) et de leur sécurité.
SIGNATURE
NUMÉRIQUE
Signature numérique ?
• But
• Remplacer la signature manuscrite mais pour les documents
numériques
• Authentifier la personne qui a réalisé/validé un document
• Avoir un identifiant spécifique permettant d’associer signataire
numérique/personne physique (ou entité morale).
• Signature visible ou invisible
• Production de document purement numérique ou avec vue d’une
signature manuscrite également
• Détecter toute modification postérieure
• Si on modifie le document la signature devient caduque
• Ce que l’on a signé n’est pas ce qu’il y a actuellement dans le
document.
Fondement technologique
• Cryptage asymétrique
• Avec distribution de la clé publique
• Fonction de « hashage »
• Produire un « condensat », une clé associé à un contenu
• C’est ce que l’on appelle une empreinte
• Nombreuses fonctions disponibles
• MD5
• SHA
• …

• La signature est donc la synergie des 2

• Le cryptage permets de garantir le signataire
• La fonction de « hashage » permet de garantir le contenu
Illustration
Que dit la loi en France ?
• 2000
• Signature numérique de même valeur que la signature manuscrite
• Peut-être visible ou invisible
• Mais nécessité que la méthode de signature soit en conformité
avec les exigences de l’Etat français
• 2010
• La signature numérique peut être recueillie depuis un écran tactile
• Réception de colis par exemple
• Pour les administrations, un cahier des charges est données pour
gérer leurs besoins
Exercice
• Comprendre la clé de Hashage
• Allez sur le site https://www.convertstring.com/fr/Hash
• Faites des tests de différentes clés de hashage
• Regardez l’usage sur la verification des logiciels
• https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/

• Signer numériquement un document Word

• Suivez le tutorial suivant :
• http://office.microsoft.com/fr-ca/word-help/signer-numeriquement-
un-document-office-HA010099768.aspx
INTERNET
Qu’est-ce qu’Internet ?
• Inter-net(work)
• Interconnexion de réseaux
• Histoire
• Ancêtre : ARPANET (année 1960)
• Projet militaire américain
• 4 nœuds en 1969
• Apparition début des années 1980
• Institution publiques
• Généralisation
• Fin 80/début 1990
• Internet
• ≠ World Wide Web (WWW)
• Support aux autres services
• WWW, SMTP, VOD, … et même le Darknet !
Principe de fonctionnement
(vulgarisation)
• Topologie
• Réseau hiérarchique mais maillé
• Plusieurs chemins possibles entre 2 machines
• But
• Trouver une machine destination
• Chaque machine à une adresse Internet Protocol - IP
• Envoyer des données d’une machine à une autre
• Avec n’importe quel protocole (HTTP, FTP, SSH, …)
• Trouver un/des chemins
• Solutions
• Domain Name System (DNS)
• Résolution de noms (www.google.com => adresses IP)
• Routage (« commutation » de paquets d’une IP à une autre)
• Choix dynamique du chemin en fonction de la charge/topologie du réseau
Réseau local

Réseau
supérieur

Source https://fr.wikipedia.org/wiki/R%C3%A9seau_informatique#/media/File:Computernetwork,png
Auteur Joshap, Domaine public (dernière consultation 20/08/2016)
1ère interconnexion de réseau
2nd niveau d’interconnexion
Visualisation partielle d’Internet

Source https://fr.wikipedia.org/wiki/R%C3%A9seau_informatique#/media/File:Internet_map_1024,jpg
Auteur Matt Britt, License CC BY 2,5 (dernière consultation 20/08/2016).
Réseau NAT
(vulgarisation)
• Réseau habituel
• Chez vous “derrière” votre box ADSL
• En entreprise
• À l’Université
• Localement
• Adresse IP privée au réseau
• Machine interconnecté sur un ou plusieurs sous-
réseaux
• Vue de l’extérieur
• Toutes les connexions sont vue comme venant
d’une seule et même IP
• Protection contre les connexions entrantes
Quelques protocoles
• Ethernet
• Echange entre plusieurs machines sur le réseau local
• Machines définies par leur adresse MAC
• Autres protocoles existent : token ring, ATM,
• Internet Protocol (IP)
• Echange sur le réseau local et/ou entre les réseaux
• Adresse IP => adresse permettant
• Transmission Control Protocol (TCP/IP)
• Communication contrôlée et « garantie » sans perte et dans l’ordre
• Autre : User Datagram Protocol (UDP) n’a pas les mêmes garanties
• HyperText Transfert Protocol (HTTP)
• Protocole d’échange de données hypermédia du Web
• Autres : SMTP, IMAP, POP pour le mail par exemple, FTP pour
l’échange de fichiers, SSH pour les connexions sécurisées …
Couches de communications

HTTP par exemple

TCP

IP

Ethernet

• Source de l’image :
• http://tomwiki.wikidot.com/local--files/wiki:osi-et-tcpip/OSI%20Vs%20TCP%20IP.png
Récupération d’une image pour l’affichage dans une
page Web

• Comment le navigateur récupère l’image du logo en

couleur de l’UGA dans la page (dernière vue 15/01/2018) :
• https://www.univ-grenoble-alpes.fr/medias/photo/logo-uga-vo-
cmjn_1486741770160-jpg

• Le navigateur identifie plusieurs éléments :

• Serveur Web : www.univ-grenoble-alpes.fr
• Protocole : HTTPS (S pour sécurisé)
• Port du serveur : 443 (https://fr.wikipedia.org/wiki/Liste_de_ports_logiciels)
• Fichier image : /medias/photo/logo-uga-vo-cmjn_1486741770160-jpg
Récupération d’une image pour l’affichage dans une
page Web
• 1ère étape :
• Le navigateur se connecte pour une connexion HTTP sur la
machine :
• www.univ-grenoble-alpes.fr
• Son adresse IP est 195.83.24.194

• 2ème étape :
• Il envoie sa demande en « parlant » HTTP
GET /medias/photo/logo-uga-vo-cmjn_1486741770160-jpg HTTP/1.1
xxx
• xxx sont des informations supplémentaires (votre IP, votre système
d’exploitation, votre navigateur, sa version, la langue, …)
• 3ème étape
• Il reçoit en plusieurs morceaux l’image qu’il a demandé
Exercice et brainstorming
• Qu’est-ce que OpenDNS ?

• Comment fonctionne Zimbra ?

• Conclusion 1ère partie

• Où se trouvent les problèmes de sécurisation
de vos données dans le contexte du réseau
d’entreprise et d’internet ?