Université Abdelmalek Essaâdi

Faculté des Sciences et Techniques d’Al-Hoceima

Département de Mathématiques et Informatique
Filière : MST-CSI – S3
Année universitaire : 2024 - 2025

Module : Sécurité des Usages TIC

Chapitre 1 : Introduction sur les Menaces des TIC
(partie 1)

Professeure : Sara OUALD CHAIB

Date : 03/10/2024
Pr. O.C. Sara FSTH
 Objectifs

 Comprendre ce que sont les

menaces des TIC.
 Identifier les principaux types de
menaces.
 Appréhender les bonnes pratiques
pour limiter ces menaces.

Pr. O.C. Sara 2 FSTH

 Les TIC

Pr. O.C. Sara 3 FSTH

 Introduction aux TIC
Qu'est-ce que les TIC ?

 Selon P. Charpentier, « les TIC sont un ensemble de technologies utilisées pour

traiter, modifier et échanger de l'information, plus spécifiquement des données
numérisées. la naissance de ces TIC est due notamment à la convergence de trois
activités (télécommunications, informatique et audiovisuel) »
 Les Technologies de l'Information et de la Communication (TIC) désignent les
outils technologiques et les systèmes permettant de communiquer et gérer
l'information.

 Cela inclut :
 Ordinateurs
 Internet
 Téléphones
 logiciels
 etc.
‣ P. Charpentier : économie et gestion de l'entreprises p 133

Pr. O.C. Sara 4 FSTH

 Introduction aux TIC
Composantes des TIC

Pr. O.C. Sara 5 FSTH

 Introduction aux TIC
Bref historique

Années 2000 et
au-delà : L'ère
Années 90 : des
Explosion smartphones,
d’internet, réseaux sociaux,
développement IoT, Cloud.
Années 80 : du World Wide
Informatique Web.
personnelle,
premiers réseaux.

Années 60-70 :
Naissance de
l'informatique,
premiers
ordinateurs.

Pr. O.C. Sara 6 FSTH

 Introduction aux TIC
Bref historique : évolution d’applications

 année 2006-2015:
 dématérialisation
 informatique préavise (ubiquitous
computing)
 technologies et applications mobiles
 année 2016-2025 :
 géo localisation
 web 3.0  internet of things
 cloud computing (informatique de nuages)  imprimantes 3D
 bases de connaissances  Big Data
 machine learning
 Univers virtuels
 augmente reality
 Smart cities
 .....

Pr. O.C. Sara 7 FSTH

 Introduction aux TIC
Rôle des TIC dans les Entreprises

 Communication interne : Emails, messageries instantanées.

 Gestion des processus : ERP, CRM, logiciels de gestion des projets.

 Sécurité des données : Outils de protection, cloud sécurisé.

 Transformation numérique : Automatisation, intelligence artificielle.

Pr. O.C. Sara 8 FSTH

 Usage des TIC

Pr. O.C. Sara 9 FSTH

 Usage des TIC

Questions

 Dans quelle mesure les employés peuvent-ils utiliser des outils

numériques personnels (réseaux sociaux, plateformes en ligne)

 pendant l'exécution de son contrat de travail

 et / ou avec le matériel mis à disposition par son employeur

 Quels en sont les avantages et les risques ?

Pr. O.C. Sara 10 FSTH

 Usage des TIC
Risques Liés à l'Usage des TIC

Problèmes de Dépendance Inégalités

Cybercriminalité :
confidentialité : technologique : numériques :
• Piratage • Vol de données • Obsolescence • Fracture
• ransomware • surveillance rapide numérique
• phishing • dépendance à entre pays
internet. développés et
en
développement.

Pr. O.C. Sara 11 FSTH

 Usage des TIC
Motivations pour attaquer un SI

 Il existe différentes motivations pour attaquer un SI, dont :

 bénéfices financiers (vol d'argent, vol de numéro de carte de crédit, …)
 satisfaction personnelle (plaisir/jeu, fierté maladive, concurrence entre
hackers, …)
 vengeance (salarié licencié et/ou sous-estimé, ….)
 convictions politiques et/ou idéologiques (partisans d'un parti,
terroristes, ….)
 espionnage d'État (le ballon chinois)

Pr. O.C. Sara 12 FSTH

 Terminologie
Actif ou bien

 Information ou composant d'un système, qui possède une valeur ou un

intérêt ;
 il conviendra donc de le protéger.

Pr. O.C. Sara 13 FSTH

 Terminologie
Vulnérabilités

 Sont des faiblesses ou des failles du SI qui pourraient être exploitées pour
obtenir un accès non autorisé;
 Une faiblesse ou une faille dans les protocoles, la topologie, les mécanismes
de sécurité d'un réseau, etc;
 L'absence d'une politique de sécurité (ou à son inefficacités);
 L'absence de formation et de sensibilisation des utilisateurs du réseau.

Pr. O.C. Sara 14 FSTH

 Terminologie
Pentest

 Un domaine pour étudier les failles.

 [Link]
 Les failles
 Leurs impactes
 La solution proposée

Pr. O.C. Sara 15 FSTH

 Terminologie
Menaces

 Tout ce qui peut exploiter une vulnérabilité sur un actif pour enfreindre la
sécurité
 Si cette menace se concrétisait, elle pourrait entrainer des dommages sur un
actif.

Pr. O.C. Sara 16 FSTH

 Terminologie
Risque

 Peut se définir comme étant la probabilité qu'une menace particulière

puisse exploiter une vulnérabilité donnée (il est fonction de la menace et
des vulnérabilités.

 Risque peut-être représenté par « l'équation » suivante:

RISQUE = MENACE * VULNÉRABILITÉ * ACTIF

 Que l'un des facteurs soit nul, le risque n'existe pas !

Pr. O.C. Sara 17 FSTH

 Terminologie
Attaque

 Action volontaire et malveillante visant à causer un

dommage aux actifs.

 La concrétisation d’une menace, et nécessite

l’exploitation d’une vulnérabilité.

 Elle peut être

 Passive (contre uniquement la confidentialité)
 Active (contre l’intégrité, l’authentification, le
contrôle d’accès).

Pr. O.C. Sara 18 FSTH

 Terminologie
Contre-mesure

 Mesure de sécurité informatique défensive prenant la forme d’une technique, un

dispositif ou une procédure.

 Objectif : Contrer une attaque susceptible de porter atteinte aux actifs.

Pr. O.C. Sara 19 FSTH

 Objectifs des attaques
Pour quels buts?

 Empêcher l'accès à une ressource

 Prendre le contrôle d'une ressource

 Récupérer de l'information présente sur le système

 Utiliser le système compromis pour rebondir

Pr. O.C. Sara 20 FSTH

 Objectifs des attaques
Cibles des pirates

 Les états
 Serveurs militaires
 Banques
 Universités
 Tout le monde
 …

Pr. O.C. Sara 21 FSTH

 Déroulement d’une Attaque
Phase 1

 une menace nait de la présence d'un bien ou d'un actif. cette menace, de par
son existence, engendre des craintes et des inquiétudes.

Pr. O.C. Sara 22 FSTH

 Déroulement d’une Attaque
Phase 2
 cette menace pourra se concrétiser en agression. Cela n'est possible que s'il
existe des vulnérabilités dans le SI.

 cette dernière va engendrer des dysfonctionnements, des détériorations ou de

la divulgation de service ou de données

 Agression
attaque portée au système qu'ellle soit réussie ou non.

Pr. O.C. Sara 23 FSTH

 Déroulement d’une Attaque
Phase 3

 si le SI n'est pas protégé, des dégâts vont apparaître.

 et ceux-ci vont occasionner des pertes financières.

 Dégâts
pertes irrécupérables de service ou de données.

Pr. O.C. Sara 24 FSTH

 Les modèles d’Attaques
Attaques

Pr. O.C. Sara 25 FSTH

 Les modèles d’Attaques
Attaques

Pr. O.C. Sara 26 FSTH

 D’où viennent les attaques?
Attaques

Pr. O.C. Sara 27 FSTH

 Classification des Attaques
1ere classification

selon l'origine d'attaque

 Attaques internes: un employeur copie des fichiers secrets de

l'organisme dans son flash disque.

 Attaques externes: un pirate réussit à avoir les mots de passe du

caissier de la banque.

Pr. O.C. Sara 28 FSTH

 Classification des Attaques
2eme classification

selon l'objectif visé

 Confidentialité: un employeur connaître la liste des

informations personnelles de ses collègues.

 L'intégrité: un employeur modifie son salaire dans le système.

 La disponibilité: le serveur de site web tombe en panne.

 L'authenticité: un dirigeant envoie un ordre au nom de son

directeur aux autres employeurs.

Pr. O.C. Sara 29 FSTH

 Classification des Attaques
3eme classification

selon l'impact de l'attaque

 passives: des attaques qui ne causent pas un changement dans le

système (vol des mots de passe, lecture des informations, ...etc.)

 Actives: des attaques qui provoquent un changement accidentel

ou délibérées au système (arrêt de service, modification des
données, ..etc.)

Pr. O.C. Sara 30 FSTH

 Classification des Attaques
4eme classification

selon l'emplacement de l'attaque (la cible)

 Réseaux: ne s'exécutent que dans un réseau. Ils ont un large

effet (peuvent cibler plusieurs machines à la fois). e.i,:
ouverture des sessions à distant.

 Système: s'exécutent dans un système d'exploitation même s'ils

sont éte transporté à travers un réseau (virus..etc.)

 Physique: visant la sécurité physique du système (voleur casse

la porte de l'entreprise).

Pr. O.C. Sara 31 FSTH

 Classification des Attaques

Exercice de rafraîchissement

Classez les attaques suivantes selon les 4 classifications vues précédemment.

 1. Inondation du réseau par des paquets vides.

 2. Un étudiant réussit à modifier sa note lorsque le professeur a laissé

son PC allumé à la salle.

 3. Agent de bureau utilise l'agrément de son chef pour ses

justifications d'absence.

 4. L'affaire juridique entre Appel et Samsung (cas d'expulsion du

designer - copie des design)

Pr. O.C. Sara 32 FSTH

 Classification des Attaques

Exemple

Pr. O.C. Sara 33 FSTH

 Classification des Attaques

Exercice de rafraîchissement

2eme 3eme 4eme

Attaque 1ere classification
classification classification classification

01

02

03

04

Pr. O.C. Sara 34 FSTH

 Menaces des TIC

Pr. O.C. Sara 35 FSTH

 Menaces des TIC
Les Principales Menaces des TIC

 Les virus et malware : logiciels malveillants qui peuvent

infecter un système.
 Le phishing : tentatives de vol d'identité par email ou sites
web frauduleux.
 Les ransomwares : logiciels qui bloquent l’accès aux
données jusqu’à paiement d'une rançon.
 Les attaques DDoS : tentative de rendre un service en ligne
indisponible.

Pr. O.C. Sara 36 FSTH

 Usage des TIC
Études de Cas : Attaques Célèbres

 WannaCry : Une attaque massive de ransomware qui a

touché plus de 200 000 ordinateurs dans 150 pays en 2017.

 Stuxnet : Un ver informatique ciblant des infrastructures

critiques, découvert en 2010.

 Yahoo Data Breach: L'une des plus grandes fuites de

données, affectant 3 milliards de comptes en 2013.

Pr. O.C. Sara 37 FSTH

Pr. O.C. Sara FSTH 39
 Menaces des TIC

Pr. O.C. Sara 40 FSTH

 Usage des TIC

Les menaces sur les systèmes d'information

Un système d'information se définit à l'aide de trois composantes :

 la composante humaine,
 l'infrastructure informatique et
 les données.
 La composante humaine comprend les informaticiens et les utilisateurs
 L'infrastructure informatique comprend le matériel, le logiciel et les
réseaux de communication.

IMPORTANT :
Le terme « système informatique » souvent rencontré désigne tout système dont le
fonctionnement fait appel, d'une façon ou d'une autre, à l'électricité et destiné à
élaborer, traiter, stocker, acheminer ou présenter de l'information.

Pr. O.C. Sara 41 FSTH

 Usage des TIC

Les menaces sur les systèmes d'information

 Les données peuvent être des données relatives aux clients, au personnel,
aux dossiers, etc.
Différents types de menaces pèsent sur les systèmes d'information. Dés lors, la
sécurité informatique d'un système d'information doit être considérée en se
rapportant à chacune de ces composantes :
 sécurité organisationnelle et juridique
 sécurité physique
 sécurité de l'exploitation
 sécurité logique
 sécurité applicative
 sécurité des télécommunications
Pr. O.C. Sara 42 FSTH
 Les attaques informatiques

Introduction

Même si les attaques informatiques relèvent plus de la cybercriminalité, un

domaine prévu dans le référentiel du c2i métiers du droit, il est utile d'en
rappeler ici les principales attaques auxquelles peuvent être exposés les
professionnels du droit assorties d'exemples et de quelques mesures de
protection.
Une attaque informatique est une action qui vise à exploiter les failles
éventuelles d'un système d'information pour un accès frauduleux au système
informatique. Le but peut être
 de voler des données personnelles ou des documents classés secrets
 ou encore d'entraver le bon fonctionnement du système ou l'utiliser pour
mener d'autres attaques.
Pr. O.C. Sara 43 FSTH
 Les attaques informatiques

Introduction

Une attaque peut être directe ou indirecte.

ATTENTION :
Elle est indirecte quand le système attaqué est utilisé pour mener d'autre
attaques ou activités illégales telles que le téléchargement ou la mise à
disposition de contenus protégés par la propriété intellectuelle.
C'est alors l'IP du système attaqué qui est directement mise en cause, d'où
la nécessité de protéger son système. Les attaques informatiques quand elles
sont commises via l'Internet relèvent de la cybercriminalité (voir le module
correspondant).

Pr. O.C. Sara 44 FSTH

 Les attaques informatiques

La recherche des mots de passe

La première tâche d'un pirate qui cherche à s'introduire dans un système

informatique est la recherche du mot de passe qui le protège. Plusieurs

procédures peuvent mener à la découverte d'un mot de passe:

 des enregistreurs de frappes (keyloggers),

 l'ingénierie sociale ou l'espionnage

 mais aussi des techniques utilisant des dictionnaires et la force

brute.

Les parades contre ces attaques relèvent plus de la bonne conduite .

Pr. O.C. Sara 45 FSTH
 Les attaques informatiques

La recherche des mots de passe

CONSEILS, TRUCS ET ASTUCES :

Bien choisir les mots de passe :

 Une longueur minimale de 8 caractères

 La présence de caractères particuliers

 Un changement de casse (minuscules et majuscules)

 Modifier régulièrement le mot de passe

 Mots de passe différents pour des comptes différents

Pr. O.C. Sara 46 FSTH

 Les attaques informatiques

La recherche des mots de passe

Pr. O.C. Sara 47 FSTH

 Les attaques informatiques

Attaque de l'homme du milieu (Man in the Middle)

La plupart des attaques de type HDM consistent à écouter le réseau à l'aide

d'un logiciel appelé sniffer.
Exemple :
Les attaques dites « par rejeu »

Le pirate intercepte les paquets et les réutilise même si le contenu est chiffré .
Exemple :

Le rejeu d'un mot de passe chiffré.

Le vol de sessions est un autre exemple d'attaque HDM

Pr. O.C. Sara 48 FSTH

 Les attaques informatiques

Attaque de l'homme du milieu (Man in the Middle)

Pour mener à bien son attaque, le pirate doit en général avoir le contrôle

sur un élément de la route empruntée par le trafic de la session. Ainsi le

pirate pourra se faire passer pour l'un des interlocuteurs de la session après

que l'authentification des deux parties ait eu lieu.

Pr. O.C. Sara 49 FSTH

 Les attaques informatiques

Attaques par déni de service

ATTENTION :
Une attaque DoS (Denial of Service ou déni de service) vise à entraver le
bon fonctionnement d'un système informatique pour rendre l'organisation
incapable de rendre le service attendu. Lors de cette attaque l'accès au
système devient impossible.
Remarque

Cela peut nuire à la fois à la réputation de l'organisation et éventuellement

aussi à son chiffre d'affaire.
Exemple

Messagerie, Moteurs de recherche, Sites Marchands.

Pr. O.C. Sara 50 FSTH

 Les attaques informatiques

Attaque par usurpation

ATTENTION :
Dans cette attaque l'adresse IP source des paquets constituants une requête
envoyée au système informatique est remplacée par une adresse IP
autorisée à traverser le pare-feu protégeant le système.

Les parades consistent essentiellement à se protéger contre un quelconque

sniffer en chiffrant le contenu. Par ailleurs il existe des outils permettant de
détecter un sniffer sur le réseau. Un « scanner de vulnérabilité » est un
utilitaire qui permet de réaliser un audit de sécurité d'un réseau en
effectuant un balayage des ports ouverts sur une machine donnée ou sur le
réseau. Le balayage se fait en envoyant des requêtes au système pour
déterminer les services actifs.
Pr. O.C. Sara 51 FSTH
 Les attaques informatiques

Ingénierie sociale

IMPORTANT :
L'ingénierie sociale désigne l'ensemble des techniques visant à obtenir
des informations pouvant servir à mener un acte frauduleux.

L'ingénierie sociale est basée sur l'utilisation de la force de persuasion

et l'exploitation de la naïveté des utilisateurs en se faisant passer pour
une personne autorisée à recevoir l'information. Parmi les techniques :
la mise en confiance ou l'alerte. L'hameçonnage (phising) est une forme
d'ingénierie sociale.

Pr. O.C. Sara 52 FSTH

 Les attaques informatiques

Ingénierie sociale

Pr. O.C. Sara 53 FSTH

 Les enjeux de la cryptographie
Introduction

La cryptographie est devenue aujourd'hui presque banalisée et

beaucoup de monde l'utilise sans le savoir.
Exemple:

Les chaînes de télévision payantes, les cartes bancaires et les moyens

de communication téléphonique en sont des exemples de tous les jours.

CONSEILS, TRUCS ET ASTUCES :

Le recours à la cryptographie pour sécuriser les échanges et créer la
confiance a lieu à l'entreprise, à l'administration tout comme chez le
particulier.

L'objet de ce chapitre est d'apprendre à mettre en œuvre quelques techniques et

à utiliser des outils pour la sécurisation des données et des échanges numériques
Pr. O.C. Sara 54 FSTH
 Les enjeux de la cryptographie
Chiffrement des fichiers

Remarque :

Le caractère mobile de l'ordinateur portable et des mémoires

amovibles (disque dur externe, carte mémoire ou clé USB) les expose

au risque de perte ou de vol plus que les appareils fixes.

Le danger encouru lors d'un tel incident est d'autant plus grand que

certains documents revêtent un caractère confidentiel notamment dans

un cadre professionnel.

Pr. O.C. Sara 55 FSTH

 Les enjeux de la cryptographie
Chiffrement des fichiers

Certaines mesures de protections sont souvent immédiatement disponibles

dans le système d'exploitation et les logiciels bureautiques, à savoir :
 La protection des sessions par mot clé ;
 Le chiffrement des dossiers et des fichiers dans les menus
contextuels ;
 La protection d'un document bureautique par mot de passe.

Remarque

Notons que les protections par mot de passe sont toujours accompagnées
par le chiffrement des dossiers ou fichiers protégés.

Pr. O.C. Sara 56 FSTH

 Les enjeux de la cryptographie
Chiffrement des fichiers

Les fonctionnalités ci-dessus pouvant varier d'un système d'exploitation à

un autre, nous recommandons le recours à un logiciel libre multi-plateforme
tel que le logiciel TrueCrypt téléchargeable sur le site officiel et dont nous
résumons les fonctionnalités principales ici :
 Création de disques virtuels
 Chiffrement d'une partition entière ou d'une mémoire amovible,
éventuellement du système d'exploitation
 Le chiffrement est automatique, rapide et transparent.
 La possibilité d'opposer un déni plausible à un adversaire qui vous oblige de
divulguer le mot de passe protégeant le système ou le volume chiffré grâce à
un deuxième mot de passe qui fera ressortir un autre contenu non
confidentiel.
Pr. O.C. Sara 57 FSTH
 Les enjeux de la cryptographie
Chiffrement des transmissions

Un texte qui circule sur Internet passe par plusieurs supports sur lesquels
les sujets concernés n'ont pas de contrôle direct. La confidentialité d'un
texte clair est en jeu car il peut être intercepté et lu par un tiers. La
solution consiste alors à chiffrer le texte pour qu'il ne soit lu que par les
seules personnes autorisées. Le chiffrement peut être symétrique ou
asymétrique.
1. La notion de chiffrement des données

IMPORTANT :
Le chiffrement est un procédé cryptographique permettant de rendre la
compréhension d'un document impossible en l'absence d'une clé de
déchiffrement

Pr. O.C. Sara 58 FSTH

 Les enjeux de la cryptographie
Chiffrement des transmissions

Ce procédé n'est pas apparu avec le développement des TIC. La

science qui le définit est la cryptologie. La cryptologie a longtemps été
considérée comme une arme militaire utilisée exclusivement par l'État.
Le développement du commerce électronique -qui nécessite un
système de paiement sécurisé- a entraîné une libéralisation progressive
de la cryptologie à partir de la fin des années 1990. Diverses lois et
textes réglementaires sont intervenus pour établir un cadre juridique de
l'utilisation des moyens cryptographiques ; cadre qui a connu un
dernier assouplissement avec la loi n° 2004- précitée, telle qu'elle a été
modifiée en 2008.

Pr. O.C. Sara 59 FSTH

 Les enjeux de la cryptographie
Chiffrement des transmissions

Il existe deux types principaux de chiffrement :

Le chiffrement à clé secrète consiste à appliquer un algorithme sur les

données à chiffrer à l'aide de la clé partagée. Le principal inconvénient du
chiffrement symétrique est qu'il impose un canal d'échange de clés
suffisamment sécurisé. Il existe ainsi un système basé sur une clé privée
générée aléatoirement et utilisée une seule fois avant d'être détruite.
L'inconvénient du canal sécurisé ne se retrouve pas dans un
chiffrement à clé publique.
Pr. O.C. Sara 60 FSTH
 Les enjeux de la cryptographie
Chiffrement des transmissions

CONSEILS, TRUCS ET ASTUCES :

Chaque message sera chiffré au moyen de la clé publique du
destinataire qui sera le seul en mesure de le déchiffrer grâce à sa clé
privée.

Si l'écueil de la transmission de la clé de déchiffrement n'existe plus,

la difficulté dans un chiffrement asymétrique est d'être certain que la
clé publique récupérée provient de la personne à qui l'on fait parvenir
une information chiffrée. La longueur des clés est calculée en bits.
Plus ce chiffre est important, plus faible est le risque de voir la clé
découverte par un tiers.

Pr. O.C. Sara 61 FSTH

 Les enjeux de la cryptographie
Chiffrement des transmissions

Appropriation des concepts :

 Le chiffrement symétrique
 La force brute
 Exemples d'algorithmes : AES, RC4
 Le chiffrement asymétrique
 Une paire de clés : une clé privée et une clé publique
 Exemples d'algorithmes : RSA, ELG, DSA
 Inconvénients et avantages des chiffrements symétrique
et asymétrique
 Cryptosystème mixte.

Pr. O.C. Sara 62 FSTH

 Les enjeux de la cryptographie
Chiffrement des transmissions
Exemple

Pr. O.C. Sara 63 FSTH

 Les enjeux de la cryptographie
Chiffrement des transmissions
Remarque
Une clé publique a une structure
similaire.
La sécurité informatique repose sur des principes considérés comme des
critères: La disponibilité, la confidentialité, l'intégrité et la non
répudiation. Ce dernier critère implique des notions telles que :
 l'imputabilité,
 la traçabilité ou encore
 l'auditabilité.
ATTENTION :
Sous certaines conditions, ces propriétés sont assurées par la signature
électronique qui met en œuvre le chiffrement asymétrique.

Pr. O.C. Sara 64 FSTH

 Les enjeux de la cryptographie
La signature électronique

IMPORTANT :

Un message est signé quand il est accompagné de son empreinte chiffrée

à l'aide de la clé privée de l'émetteur. L'empreinte numérique met en

œuvre une fonction de hachage.

Le hachage d'un fichier consiste à générer à partir de celui-ci un

message plus court appelé empreinte pour ce fichier et qui change au

moindre changement dans le fichier. Le hachage est une fonction à sens

unique : L'empreinte d'un fichier ne permet pas sa reconstitution.

Pr. O.C. Sara 65 FSTH

 Les enjeux de la cryptographie
La signature électronique

Exemple

Algorithmes de hachage courants : MD5, SHA, DSA.

ATTENTION :

Selon le droit européen, une signature électronique est « une donnée

sous forme électronique, qui est jointe ou liée logiquement à d'autres

données électroniques et qui sert de méthode d'authentification ».

Pr. O.C. Sara 66 FSTH

 Les enjeux de la cryptographie
La signature électronique
La loi française de transposition du 13 mars 2000 insère l'
article 1316-4 dans le Code civil qui confère à la signature électronique la même
valeur juridique qu'une signature manuscrite : « La signature nécessaire à la
perfection d'un acte juridique identifie celui qui l'appose. Elle manifeste le consentement
des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un
officier public, elle confère l'authenticité à l'acte. Lorsqu'elle est électronique, elle consiste
en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle
s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la
signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte
garantie, dans des conditions fixées par décret en Conseil d'État ». Cette définition ne

prend pas en compte les aspects techniques qui sont laissés à l'appréciation du
pouvoir réglementaire jugé plus à même de réagir face à « la fugacité de l'état de la
technique ».
Pr. O.C. Sara 67 FSTH
 Les enjeux de la cryptographie
La signature électronique

Le décret du 30 mars 2001 donne une définition du signataire, et

distingue la signature électronique simple de la signature électronique
sécurisée. La signature sera présumée juridiquement fiable si elle est
sécurisée au sens du décret, ou avancée au sens de la directive de 1999 ;
les deux expressions étant synonymes. Si elle n'a pas de force probante,
la signature électronique simple peut néanmoins valoir commencement
de preuve par écrit. Le décret distingue deux types de certificats qui
correspondent aux deux catégories de signatures électroniques : le
certificat électronique simple et le certificat électronique dit qualifié
lorsqu'il contient certains éléments.

Pr. O.C. Sara 68 FSTH

 Les enjeux de la cryptographie
La signature électronique

La signature électronique s'appuie sur une infrastructure de gestion de

clés publiques (IGC) qui désigne à la fois un cadre organisationnel et une
infrastructure technique. La technologie employée est celle de la
cryptographie asymétrique. Le dispositif de création de la signature va
émettre deux clés générées par un algorithme mathématique : une clé
privée -qui est connue du seul signataire- et une clé publique -qui est
accessible par tous. Le dispositif permet le chiffrement des données,
c'est-à-dire leur transformation dans le but de les rendre inintelligibles.
La clé privée -qui est personnelle- permet de signer électroniquement un
document. Elle est stockée sur un support physique comme un disque
dur d'ordinateur, une carte à puce ou une clé électronique.
Pr. O.C. Sara 69 FSTH
 Les enjeux de la cryptographie
La signature électronique

Son utilisation peut être combinée avec l'emploi d'un mot de passe, ou

d'un système de reconnaissance des caractéristiques biométriques du

signataire afin d'accroître le niveau de sécurisation. Lorsque l'on signe

électroniquement un message, la signature électronique est créée grâce

à la clé privée correspondant à la clé publique contenue dans le

certificat. La personne qui a signé son message avec sa clé privée sera

donc authentifiée, et ne pourra pas nier l'avoir envoyé.

Pr. O.C. Sara 70 FSTH

 Les enjeux de la cryptographie
La signature électronique

Remarque

La signature électronique ne
saurait se confondre avec une
signature numérisée, c'est-à
dire avec une signature
scannée ou photographiée,
puisqu'elle ne permet pas
d'assurer le lien avec l'acte
auquel elle s'attache ni
l'intégrité du message.

Pr. O.C. Sara 71 FSTH

 Les enjeux de la cryptographie
Les certificats SSL

Pour les transactions

sécurisées sur Internet, le
protocole SSL est souvent
utilisé (https et cadenas).
Le dialogue SSL a lieu
entre le navigateur et le
serveur web.

Pr. O.C. Sara 72 FSTH

 Les enjeux de la cryptographie
Les certificats SSL

Les trois propriétés requises pour une communication sécurisée :

 L'authentification : celle du serveur est obligatoire mais pas

celle du client

 La confidentialité : assurée par des chiffrements symétriques

 L'intégrité : Hachage des données

Pr. O.C. Sara 73 FSTH

 Les enjeux de la cryptographie
Les autorités de certification

L'autorité de certification atteste de l'identité du détenteur des clés en lui

délivrant un certificat numérique après qu'elle s'en soit assuré de l'identité à
l'aide de moyens conventionnels (courrier, téléphone, pièces d'identités...).
Pour que le certificat puisse être validé il faut notamment que :
 Sa date d'expiration soit valide,
 Le nom du serveur soit correct,
 Le CA figure dans la liste des autorités dans lesquelles le client a
confiance,
 Le certificat soit authentifié sur la base de son empreinte et de la clé
publique du CA.
Passée cette étape, un canal sécurisé est mis en place entre les deux machines
Pr. O.C. Sara 74 FSTH
 Les enjeux de la cryptographie
L'infrastructure de gestion de clés publiques

IMPORTANT :
Une infrastructure de gestion de clés publiques (IGC) est un ensemble
de moyens matériels, de logiciels, et de procédures humaines, mis en
oeuvre par des textes juridiques et des pratiques, dans le but de gérer
le cycle de vie des certificats électroniques basés sur la cryptographie
asymétrique.

Cette définition s'inspire des travaux menés par l'Internet Engineering

Task Force (IETF). Ce groupe informel élabore des RFC, c'est-à-dire
des documents appelés à devenir des standards de l'Internet.

Pr. O.C. Sara 75 FSTH

 Les enjeux de la cryptographie
L'infrastructure de gestion de clés publiques

Selon l'IETF, une IGC est composée de cinq entités lui permettant

de mettre en oeuvre ses compétences :

 les autorités de certification,

 d'enregistrement,

 de dépôt, et

 de séquestre,

 ainsi que l'entité finale.

Pr. O.C. Sara 76 FSTH

 Les enjeux de la cryptographie
L'infrastructure de gestion de clés publiques

D'autres entités, ou personnes physiques, interagissent avec l'IGC,

comme le responsable du certificat du serveur informatique, du

mandataire de certification, de l'utilisateur du certificat, et enfin, de
toute personne autorisée. Les compétences de l'IGC doivent favoriser
la confiance des usagers dans les téléservices publics. Depuis la
libéralisation de la cryptologie, l'IGC peut être assurée par des
prestataires privés selon une procédure formalisée. Les téléservices
publics étant des prestations d'intérêt général, la constitution de leur
IGC doit laisser une place prééminente à la personne publique.

Pr. O.C. Sara 77 FSTH

 Les enjeux de la cryptographie
L'infrastructure de gestion de clés publiques

Remarque

La définition de l'IGC montre l'importance des normes et

recommandations techniques, ainsi que des documents référents en la
matière. Tout comme son utilisation, la création du certificat est
dominée par la normativité technique

Pr. O.C. Sara 78 FSTH

 Les enjeux de la cryptographie
Les compétences d'une infrastructure de gestion de clés publiques

Si le rôle principal d'une IGC est de produire des certificats

électroniques, elle a également en charge des activités connexes, en
rapport avec la sécurité informatique.
1. La création de certificats électroniques
La création des certificats électroniques des téléservices publics se conforme au
standard X.509 établi par l'Union internationale des télécommunications (UIT).
C'est l'autorité de certification (AC) qui peut créer et attribuer des certificats à la
demande d'un ou plusieurs utilisateurs. Le droit français parle de prestataire de
services de certification électronique (PSCE) pour désigner l'AC .
Exemple
Il s'agit d'un tiers de confiance situé entre le demandeur du certificat -
une administration par exemple- et son utilisateur -l'usager.

Pr. O.C. Sara 79 FSTH

 Les enjeux de la cryptographie
Les compétences d'une infrastructure de gestion de clés publiques

La demande de certificat est adressée, sous la forme d'un fichier

numérique appelé CSR710, à une autorité d'enregistrement (AE) qui
l'examine. L'AE a la responsabilité des tâches administratives relatives à
la gestion des demandeurs et des porteurs de certificats, comme le
contrôle de l'identité des porteurs de certificat. Les différents niveaux de
ce contrôle entraînent la création de quatre types de certificats. Les
certificats de classe 1 sont obtenus sans vérification d'identité, à l'aide
d'un courriel. La classe 2 désigne les certificats qui font l'objet d'un
contrôle des informations à caractère personnel fournies par le
Exemple :
demandeur.
Il peut s'agir, par exemple, du numéro d'identifiant fiscal qui permet
au contribuable de déclarer en ligne ses impôts sur le revenu .
Pr. O.C. Sara 80 FSTH
 Les enjeux de la cryptographie
Les compétences d'une infrastructure de gestion de clés publiques

Les certificats de classe 3 donnent lieu à une vérification physique

des informations données et à un contrôle face à face. La classe 3+

est identique à la précédente, sauf que le certificat est stocké sur un

support physique. Les certificats de classe 3 et 3+ sont nécessaires

dans le cadre de la dématérialisation des procédures de contrôle de

légalité et des circuits comptables et financiers alors que le

certificat de classe 2 est admis pour l'achat public dématérialisé.

Pr. O.C. Sara 81 FSTH

 Les enjeux de la cryptographie
Les compétences d'une infrastructure de gestion de clés publiques

Les quatre classes entraînent quatre degrés de confiance des destinataires

dans le certificat : plus le contrôle est élevé, plus on a l'assurance que le

certificat est utilisé par la bonne personne. Si la demande est retenue par

l'AE, elle est transmise à l'AC qui vérifie sa validité, et qui la signe avec sa

propre clé privée. La signature a pour conséquence de transformer la CSR

en un certificat électronique. Le certificat est ensuite publié par l'autorité de

dépôt (AD) qui gère également la liste des certificats révoqués.

Pr. O.C. Sara 82 FSTH

 Les enjeux de la cryptographie
Les compétences d'une infrastructure de gestion de clés publiques

CONSEILS, TRUCS ET ASTUCES :

Un certificat peut être révoqué à tout moment, durant sa période de
validité. La période de validité est variable ; s'agissant du certificat servant
à la déclaration de l'impôt sur le revenu par exemple, sa durée est de trois
ans. À l'expiration du délai de validité, le certificat peut être renouvelé, soit
automatiquement, soit à la demande de son porteur. Les raisons d'une
révocation sont multiples et peuvent tenir à la divulgation ou à la perte de
la clé privée, ainsi qu'à l'existence d'informations fausses contenues dans le
certificat. L'AC révoque alors le certificat en cause et transmet
l'information au service de publication. L'utilisateur d'un certificat doit
vérifier qu'un certificat qu'il entend utiliser n'a pas été révoqué.

Pr. O.C. Sara 83 FSTH

 Les enjeux de la cryptographie
Les compétences d'une infrastructure de gestion de clés publiques

2. Les services connexes

ATTENTION :
Outre la délivrance de certificats électroniques, une IGC offre des services
complémentaires qui favorisent la confiance des usagers : l'horodatage et
l'archivage.
La possibilité de dater avec exactitude un acte unilatéral ou un contrat est
primordiale pour la sécurité juridique des individus.
Exemple :
La date d'une décision administrative qui ouvre le délai de recours
contentieux.

Pr. O.C. Sara 84 FSTH

 Les enjeux de la cryptographie
Les compétences d'une infrastructure de gestion de clés publiques

ATTENTION :
La dématérialisation des échanges ne modifie pas l'impératif de
datation.

Exemple :
La procédure de déclaration des impôts sur le revenu doit ainsi disposer
d'un système permettant de dater avec certitude les déclarations. À
défaut, les usagers risqueraient de devoir des pénalités à
l'administration fiscale, ce qui aurait pour conséquence de porter
atteinte à leur confiance dans cette téléprocédure. Le système
permettant de dater avec certitude les échanges dématérialisés est
l'horodatage.
Pr. O.C. Sara 85 FSTH
 Les enjeux de la cryptographie
Les compétences d'une infrastructure de gestion de clés publiques

Ce système « permet d'attester qu'une donnée existe à un instant donné ».

Exemple :

Pour cela, il convient d'associer une représentation sans équivoque d'une

donnée, par exemple une valeur de hachage associée à un identifiant

d'algorithme de hachage, à un instant dans le temps. La garantie de cette

association est fournie au moyen d'une contremarque de temps qui est

une structure signée.

Pr. O.C. Sara 86 FSTH

 Les enjeux de la cryptographie
Les compétences d'une infrastructure de gestion de clés publiques

Il peut être réalisé selon différentes solutions techniques.

L'horodatage est assuré par l'autorité d'horodatage (AH). Il s'agit
d'« une composante de l'IGC qui délivre et signe des contremarques de
temps sur des données qui lui sont présentées ».

ATTENTION :
L'AH est neutre par rapport aux opérations techniques et elle ne vérifie pas
l'identité des personnes demandant l'horodatage.

Pr. O.C. Sara 87 FSTH

 Les enjeux de la cryptographie
Les compétences d'une infrastructure de gestion de clés publiques

Ce tiers de confiance peut également assumer les fonctions d'archivage

électronique. Il peut être utile dans le cadre d'un contentieux de prouver
l'existence des pièces relatives à la certification. Cette possibilité est
offerte grâce à l'archivage électronique de ces données.
ATTENTION :
Les archives peuvent être définies comme « l'ensemble des documents,
quels que soient leur date, leur forme et leur support matériel, produits ou
reçus par toute personne physique ou morale et par tout service ou
organisme public ou privé dans l'exercice de leur activité ».

Pr. O.C. Sara 88 FSTH

 Les enjeux de la cryptographie
Les compétences d'une infrastructure de gestion de clés publiques

La notion d'archives s'applique donc quelle que soit la nature du

document concerné. Malgré des travaux de normalisation portant sur

l'intégrité et la fiabilité des documents archivés, et de quelques

dispositions juridiques figurant dans des textes concernant la

certification au sens large, il n'y a pas de cadre juridique spécifique pour

les archives électroniques.

Pr. O.C. Sara 89 FSTH

 Les enjeux de la cryptographie
Les compétences d'une infrastructure de gestion de clés publiques

La directive européenne du 13 décembre 1999 dispose ainsi que les

prestataires de services doivent « enregistrer toutes les informations
pertinentes concernant un certificat qualifié pendant le délai utile, en
particulier pour pouvoir fournir une preuve de la certification en justice.
Ces enregistrements peuvent être effectués par voie
électronique » et « utiliser des systèmes fiables pour stocker les
certificats ».
Remarque :
La directive ne donne cependant pas de précision sur la fiabilité exigée
pour le stockage des certificats.

Pr. O.C. Sara 90 FSTH

 Les enjeux de la cryptographie
Les compétences d'une infrastructure de gestion de clés publiques

Le décret du 30 mars 2001 est tout aussi vague en énonçant qu'un

PSCE doit « conserver, éventuellement sous forme électronique,
toutes les informations relatives au certificat électronique qui
pourraient s'avérer nécessaires pour faire la preuve en justice de la
certification électronique ». C'est donc aux référentiels qu'incombe la
définition des précisions techniques relatives à l'archivage
électronique. La matière constitue un défi juridique et technique
majeur, dans la mesure où il faut que l'acte archivé conserve sa valeur
juridique dans le temps.

Pr. O.C. Sara 91 FSTH

 Les enjeux de la cryptographie
Les compétences d'une infrastructure de gestion de clés publiques

ATTENTION :

Le référentiel parle d'ailleurs d'archivage électronique sécurisé. Il s'agit

de « l'ensemble des modalités de conservation et de gestion des archives

électroniques ayant une valeur juridique lors de leur établissement ; cet

archivage garantissant la valeur juridique jusqu'au terme du délai durant

lequel des droits y afférents peuvent exister ».

Pr. O.C. Sara 92 FSTH

 Les enjeux de la cryptographie
Cadre juridique

Le Code civil (article 1316-4) accorde la même valeur juridique

(probante) pour la signature électronique que pour la signature
manuscrite sous réserve que le procédé de signature électronique soit
fiable. Le décret 2001-272 relatif à la signature électronique définit les
conditions dans lesquelles une signature électronique est présumée
fiable. Parmi ces conditions, l'autorité de certification doit répondre
aux exigences de l'arrêté du 26 juillet 2004 relatif à la qualification
des prestataires de services de certification électronique. Cette
qualification est certifiée par un organisme certificateur indépendant.

Pr. O.C. Sara 93 FSTH

 Les enjeux de la cryptographie
Cadre juridique

Respect des lois nationales en matière d'exportation, d'utilisation ou de

détention des logiciels de cryptographie (pays exerçant un contrôle au
motif de sécurité intérieure : Chine, Russie et autres Cryptography and
Liberty 2000)
« l'écrit sur support électronique a la même force probante que l'écrit sur
support papier » (Article 1316-4 du Code civil).

La loi du 13 mars 2000 pose les conditions essentielles que doit remplir
un écrit électronique pour être admis à titre de preuve au même titre
qu'un écrit papier :

Pr. O.C. Sara 94 FSTH

 Les enjeux de la cryptographie
Cadre juridique

 Permettre l'identification du signataire ;

 Être créé dans des conditions à en garantir l'intégrité ;
 Être conservé dans des conditions à en garantir l'intégrité.
Remarque
La signature électronique devient une preuve pré constituée : il y a
renversement de la charge de la preuve en défaveur de celui qui répudie
sa signature.

« La fiabilité d'un procédé de signature électronique est présumée jusqu'à

preuve contraire lorsque ce procédé met en œuvre une signature
électronique sécurisée... » (Article 2 du décret 2001-272 du 30 mars 2001).

Pr. O.C. Sara 95 FSTH

 Les enjeux de la cryptographie
L'exemple du Journal officiel électronique authentifié

Depuis l'ordonnance n° 2004-164 du 20 février 2004, relative aux

modalités et effets de la publication des lois et de certains actes
administratifs, le Journal officiel électronique authentifié a la même
valeur légale que le Journal officiel sous forme papier.
Tous les textes publiés au Journal officiel, sauf ceux concernant l'état et
la nationalité des personnes, sont consultables sur l'Internet.
CONSEILS, TRUCS ET ASTUCES :
L'authenticité des textes du Journal officiel est attesté par le certificat
racine de la Direction des Journaux officiels. C'est la différence avec
les textes consultables sur [Link] dont l'authenticité n'est pas
assurée
Pr. O.C. Sara 96 FSTH