Chapitre IV : L’art de la

protection des secrets

1
Sommaire
•La Cryptographie

•Stéganographie

•Contrôle d’accès
2
I. La Cryptographie
La cryptologie est la science du secret

La cryptographie est une des disciplines de la cryptologie s'attachant à protéger des

messages (assurant confidentialité, authenticité et intégrité) en s'aidant souvent
de secrets ou clés

La cryptographie : Le mot cryptographie vient des mots en grec ancien kruptos

« caché » et graphein « écrire ».

On distingue la cryptographie à clé secrète(symétrique) de la cryptographie à clé

publique (asymétrique)
3
I. La Cryptographie
Cryptographie à clé secrète

Principe : utilisation de la même clé pour le chiffrement et le déchiffrement

Avantages : rapidité des opérations (chiffrement et déchiffrement)
Inconvénients :
•Difficulté à partager le secret (la clé) de façon sécurisée sur un canal public
•Non scalabilité du nombre de clés à utiliser en fonction du nombre
d’interlocuteurs
Cas d’usage: chiffrement de gros volumes de données

4
I. La Cryptographie
Cryptographie à clé secrète
Exemples d’algorithmes
- 3DES (Triple DES) : Digital Encryption Standard (DES) est un chiffrement
par bloc symétrique avec une taille de bloc de 64 bits qui utilise une clé de 56
bits
- IDEA (International Data Encryption Algorithm) : L'algorithme international
de chiffrement des données (IDEA) utilise des blocs de 64 bits et des clés de
128 bits.
- AES : La norme de chiffrement avancé (AES : Advanced Encryption Standard)
a une taille de bloc fixe de 128 bits avec une taille de clé de 128, 192 ou 256
bits
5
I. La Cryptographie
Cryptographie à clé publique

Principe : utilisation de deux clés distinctes, l’une pour le chiffrement, l’autre

pour le déchiffrement
Avantages :
•Facilité à échanger le secret de façon sécurisée, notamment sur un canal public
•Scalabilité du nombre de clés à utiliser en fonction du nombre d’interlocuteurs
Inconvénients : lenteur des opérations (chiffrement et déchiffrement)
Cas d’usage: authentification

6
I. La Cryptographie
Cryptographie à clé publique
Exemples d’algorithmes :
- RSA (Rivest Shamir-Adleman) : il utilise une paire de clés (des
nombres entiers) composée d'une clé publique pour chiffrer et d'une clé
privée pour déchiffrer des données confidentielles.

- Diffie-Hellman : fournit une méthode d'échange électronique pour

partager la clé secrète. Les protocoles sécurisés, tels que Secure Sockets
Layer (SSL), Transport Layer Security (TLS), Secure Shell (SSH) et
Internet Protocol Security (IPsec), utilisent Diffie-Hellman.

7
II. Obscurcissement des données

La Stéganographie est l’art de la dissimulation : en effet, l’on va cacher

un message dans un autre. Il peut s’agir d’un message audio, d’une image
ou d’un fichier.
L'avantage de la stéganographie par rapport à la cryptographie est que le
message secret n'attire pas particulièrement l’attention.

8
III. Contrôle d’accès
Identification
L'identification applique les règles établies par la politique d'autorisation :
- Un sujet demande l'accès à une ressource système.
- Chaque fois que le sujet demande l'accès à une ressource, les contrôles d'accès
déterminent s'il faut accorder ou refuser l'accès.
- Les politiques de cyber-sécurité déterminent les contrôles d'identification à utiliser.
- La sensibilité de l'information et des systèmes d'information détermine le degré de
rigueur des contrôles.
- L'augmentation des violations de données a contraint de nombreuses organisations à
renforcer leurs contrôles d'identification.

9
III. Contrôle d’accès
Facteurs d’authentification
- Ce que vous savez : Les mots de passe, les phrases secrètes ou les codes PIN sont tous des exemples de quelque
chose que l'utilisateur connaît. Les mots de passe sont la méthode d'authentification la plus courante.
- Ce que vous avez - Les cartes à puce et les porte-clés de sécurité sont deux exemples de quelque chose que les
utilisateurs ont en leur possession.
- Qui vous êtes - Une caractéristique physique unique, telle qu'une empreinte digitale, une rétine ou une voix, qui
identifie un utilisateur spécifique est appelée biométrie.
Authentification multi-facteurs : L'authentification multi-facteurs utilise au moins deux méthodes de vérification.
Un porte-clés de sécurité est un bon exemple. Les deux facteurs sont quelque chose que vous connaissez, comme un
mot de passe, et quelque chose que vous avez, comme un porte-clés de sécurité.

10
III. Contrôle d’accès

L’autorisation
L'autorisation contrôle ce qu'un utilisateur peut et ne peut pas faire sur le réseau après une
authentification réussie :
 Une fois qu'un utilisateur a prouvé son identité, le système vérifie à quelles ressources réseau
l'utilisateur peut accéder et ce que les utilisateurs peuvent faire avec les ressources.
L'autorisation utilise un ensemble d'attributs qui décrivent l'accès de l'utilisateur au réseau.
 Le système compare ces attributs aux informations contenues dans la base de données
d'authentification, détermine un ensemble de restrictions pour cet utilisateur.
 La définition des règles d'autorisation est la première étape du contrôle des accès. Une politique
d'autorisation établit ces règles

11
III. Contrôle d’accès
Types de contrôle d'accès
- Mandatory Access Control (MAC) - restreint les actions qu'un sujet peut effectuer sur un objet. Un
sujet peut être un utilisateur ou un processus. Un objet peut être un fichier, un port ou un périphérique
d'entrée/sortie. Une règle d'autorisation applique si un sujet peut ou non accéder à l'objet.
- Discretionnary Access Control (DAC) - DAC accorde ou restreint l'accès aux objets déterminé par le
propriétaire de l'objet. Comme son nom l'indique, les contrôles sont discrétionnaires car un propriétaire
d'objet disposant de certaines autorisations d'accès peut transmettre ces autorisations à un autre sujet.
- Role-Based Access Control (RBAC) - est basé sur le rôle du sujet. Les rôles sont des fonctions
professionnelles au sein d'une organisation. Des rôles spécifiques nécessitent des autorisations pour
effectuer certaines opérations. Les utilisateurs acquièrent des autorisations via leur rôle.
- Rule-Based Access Control - utilise des listes de contrôle d'accès (ACL) pour aider à déterminer s'il
faut accorder l'accès. La décision d'accorder ou non l'accès dépend de ces règles. Un exemple d'une telle
règle est celui qui stipule qu'aucun employé ne peut avoir accès au fichier de paie après les heures de
travail ou le week-end.

12
III. Contrôle d’accès
Rendre comptable
La responsabilité retrace une action jusqu'à une personne ou un processus effectuant la
modification d'un système, collecte ces informations et rapporte les données d'utilisation :
• L'organisation peut utiliser ces données à des fins telles que l'audit ou la facturation.
• Les données collectées peuvent inclure l'heure de connexion d'un utilisateur, si la connexion
de l'utilisateur a réussi ou échoué, ou les ressources réseau auxquelles l'utilisateur a accédé.
• Cela permet à une organisation de retracer les actions, les erreurs au cours d'un audit ou d'une
enquête.
• La mise en œuvre de la responsabilité comprend les technologies, les politiques, les
procédures et l'éducation.
• Les fichiers journaux fournissent des informations détaillées en fonction des paramètres
choisis.
13