Ecole Nationale

d’Economie Appliquée et
de Management
(ENEAM)

CRYPTOGRAPHIE &

EU
SÉCURITÉ INFORMATIQUE
Partie 2

Domaine : Informatique
Mention : Informatique de gestion (IG3)
Spécialité : ARI / AIP
Grade : Licence 3

Ing N. Janvier AHOUANSOU ENEAM / UAC

2024 - 2025
Qui suis-je ?
• >16 années d’expérience dans l’Administrateurs des infrastructures
informatiques et des systèmes d’information
• Auditeur Sécurité des systèmes d’information;
• Administrateur des outils de sécurité (FortiGate 81E, …);
N Janvier AHOUANSOU,
Béninois • Management des projets: ITIL, PMI;
• Spécialiste des règles de la PSSI/PSSIE;
• Data Protection Officer (DPO);
• Candidat à la certification ISO-27001 –LI
• Chef de la Cellule Informatique à l’ANSSFD / MEF

Tél: +229 97 21 26 82
Mail: [email protected]
Objectif général de l’UE

Découvrir les principes fondamentaux de la cryptographie dont les applications dans la

sécurisation des systèmes informatiques.
A la fin du cours, les étudiants comprendront les principaux algorithmes
cryptographiques et les techniques utilisées pour sécuriser les réseaux et les données.

Objectifs spécifiques :
 Comprendre les concepts de base de la cryptographie.
 Analyser et implémenter les principaux algorithmes de chiffrement.
 Explorer les techniques de gestion des clés et les infrastructures à clés publiques.
 Maîtriser les méthodes de sécurisation des systèmes d'information.
 Identifier et protéger contre les menaces et vulnérabilités courantes.
Prérequis :
 Connaissance des protocoles de communications utilisés sur internet.

 Le cours s'inscrit dans une logique de connaissance de base ;

 l'apprenant doit avoir une connaissance de base en programmation ainsi que

des notions d'algèbre et de mathématiques discrètes.
Contenu

Chapitre 4: Fonctions de hachage et authentification

Chapitre 5: Infrastructures à clés publiques (PKI)

Chapitre 6: Sécurisation des réseaux et des systèmes d'information

Chapitre 7: Cryptographie moderne et perspectives

5
• Application et Travaux pratiques :

- création de signature électronique

- génération de paires de clés avec PUTTY;

- Analyse du contenu d’un certificat de site web ou clé public du site web

6
Méthodes d’enseignement / apprentissage
 Cours magistral / Projections de vidéos/ Auditions de
documents audio

 Applications et Travaux pratiques

 Présentation par chacun de son code / programme

7
Matériel pédagogique Modes d’évaluation
 Notes de cours / Polycopiés
 Contrôle continu
 Fichiers vidéo ;  Examen final
 Fichiers audios

8
Références bibliographiques indicatives
 Stallings, William, Cryptography and Network Security: Principles and Practice.
 Schneier, Bruce, Applied Cryptography: Protocols, Algorithms, and Source Code in C.
 Katz, Jonathan, et Lindell, Yehuda, Introduction to Modern Cryptography.
 Ferguson, Niels, Schneier, Bruce, et Kohno, Tadayoshi, Cryptography Engineering.

9
 Chapitre 7:

Cryptographie moderne
et perspectives
 Introduction
Exploration des technologies émergentes et des tendances actuelles en cryptographie.

▸ 1. Cryptographie ▸ 2. Cryptographie
basée sur les courbes ▸ 3. Chaînes de blocs
quantique: principes
elliptiques (ECC). (blockchain) et
et menaces pour les
sécurité
systèmes actuels.

▸ 4. Confidentialité et ▸ 5. Enjeux éthiques et légaux liés

anonymisation des données à la cryptographie
(Zero Knowledge Proof).

11
 Utilisations courantes de la
cryptographie
Les mots de passe La cryptomonnaie
La cryptographie est Les cryptomonnaies comme le
souvent utilisée pour Bitcoin et l'Ethereum reposent sur
valider l'authenticité des chiffrements de données
des mots de passe complexes dont le déchiffrement
tout en masquant les nécessite une puissance de calcul
mots de passe importante. Grâce à ces
stockés. De cette processus de déchiffrement, de
manière, les services nouvelles pièces sont
peuvent authentifier « frappées » et entrent en
les mots de passe sans circulation. Les cryptomonnaies
avoir à conserver une s'appuient également sur une
base de données en cryptographie avancée pour
clair de tous les mots protéger les portefeuilles de
cryptomonnaies, vérifier les 12
La navigation sécurisée sur
Les signatures
le Web
électroniques
Lors de la navigation sur des
Les signatures électroniques,
sites web sécurisés, la
ou e-signatures, sont
cryptographie protège les
utilisées pour signer des
utilisateurs contre les écoutes et
documents importants en
les attaques de type « homme
ligne et ont souvent valeur
du milieu » (MitM). Les
légale. Les signatures
protocoles SSL (Secure Sockets
électroniques créées à l'aide
Layer) et TLS (Transport Layer
de la cryptographie peuvent
Security) reposent sur la
être validées afin d'éviter les
cryptographie à clé publique
fraudes et les falsifications.
pour protéger les données
envoyées entre le serveur web
et le client et établir des canaux
de communication sécurisés. 13
L'authentification Les communications
sécurisées
Dans les situations où
l'authentification de Qu'il s'agisse de partager des
l'identité est nécessaire, secrets d'État ou simplement
comme la connexion à d'avoir une conversation privée,
un compte bancaire en le chiffrement de bout en bout est
ligne ou l'accès à un utilisé pour l'authentification des
réseau sécurisé, la messages et pour protéger les
cryptographie peut communications bidirectionnelles
aider à confirmer telles que les conversations vidéo,
l'identité d'un utilisateur les messages instantanés et les e-
et à authentifier ses mails. Le chiffrement de bout en
privilèges d'accès. bout offre un niveau élevé de
sécurité et de confidentialité aux
utilisateurs et est largement utilisé
14
 Les types de cryptographie
2 principaux
Un système types de
cryptographique : chiffrement : la
cryptographie
symétrique si chaque symétrique et la
partie (expéditeur et cryptographie
asymétrique.
destinataire) utilise la
même clé pour chiffrer et
Il existe
déchiffrer les données.
également des
AES et DES systèmes
La cryptographie cryptographique
asymétrique utilise s hybrides qui
plusieurs clés, certaines combinent les
deux.
partagées et d'autres
privées. Les deux types
utilisent des clés pour
RSA chiffrer et déchiffrer
les données envoyées
et reçues.

15
▸ 1. Cryptographie basée sur les courbes elliptiques (ECC).

La cryptographie à courbe elliptique (ECC) est une forme de

cryptographie à clé publique basée sur les mathématiques des
courbes elliptiques.

Elle fournit un moyen sécurisé d’effectuer des opérations

cryptographiques telles que l’échange de clés, les signatures
numériques et le chiffrement.

L’ECC est une alternative au chiffrement Rivest-Shamir-Adleman

(RSA), qui a été mis sur le marché pour la première fois en 1977.

16
Quelle est la différence entre ECC et RSA ?

Avant d’examiner les différences entre ECC et RSA, il est important

de comprendre le fonctionnement des algorithmes
cryptographiques à clé publique. Dans leur forme la plus
élémentaire, les algorithmes cryptographiques robustes sont des
« fonctions de trappe ».

Il est très facile de tomber dans une trappe, mais très difficile d’en
ressortir, car les trappes ne s’ouvrent que dans une seule direction.
Ainsi, pour qu’un algorithme cryptographique soit efficace et sûr, il
doit permettre de chiffrer facilement un message, mais rendre
presque impossible son déchiffrement sans la clé de déchiffrement.

17
L’ECC et le RSA sont des algorithmes de chiffrement à clé publique
qui s’appuient sur des fonctions mathématiques très avancées. Le
chiffrement à clé publique comporte deux composants : une clé
publique et une clé privée. La clé publique permet de chiffrer un
message en appliquant un algorithme mathématique qui le
transforme en un très grand chiffre d’apparence aléatoire. Le
message ne peut être déchiffré que grâce à la clé privée, qui
applique au nombre aléatoire un algorithme différent qui « annule »
l’original.

18
Les mathématiques à l’origine de l’ECC et du RSA sont si
complexes qu’elles ne peuvent être résolues que par des
ordinateurs. Les mathématiques qui sous-tendent l’algorithme
RSA dépassent le cadre de ce blog, mais l’essentiel à retenir est
que la sécurité du RSA dépend de l’immense difficulté à
factoriser de très grands nombres en leurs nombres premiers
composés.

Petit rappe : la factorisation d’un nombre comme 20 ressemble à

ceci :
Cela a l’air simple, n’est ce pas ? Imaginez maintenant que vous
devez
20 = 4le* faire
5 = 2avec
* 2 *un
5=nombre
22 * 5 de plus de 100 chiffres. C’est pourquoi,
même avec une clé publique, il est extrêmement difficile de calculer
la clé privée sans connaître les facteurs premiers.

19
ECC

20
Comment fonctionne la cryptographie à courbe elliptique ?

L’ECC se fonde sur un autre domaine des mathématiques avancées :

les courbes elliptiques. Une courbe elliptique est définie par une
équation de la forme y2 = x3 + ax + b, où a et b sont des constantes
et où la courbe est définie sur un corps fini. La représentation
graphique est la suivante :

21
Les courbes elliptiques ont des
propriétés spéciales qui les rendent
intéressantes et utiles pour les
mathématiciens et les
cryptographes. Tout d’abord, les
courbes elliptiques sont à symétrie
horizontale. Lorsque l’image est
réfléchie sur l’axe des x (la ligne
horizontale), les deux côtés sont
identiques, comme une image
miroir.

En outre, toute ligne droite non

verticale tracée à travers une
courbe elliptique l’intersectera
toujours en trois points au
maximum. Dans l’exemple ci-
22
La sécurité de la cryptographie à courbe elliptique repose sur la
difficulté de résoudre ce que l’on appelle le problème du
logarithme discret de la courbe elliptique. Étant donné un point
P sur la courbe et un scalaire k, il est incroyablement difficile de
déterminer le point Q tel que Q = k*P. Beaucoup plus difficile
que de factoriser même un très grand nombre.

Cette propriété signifie que l’ECC peut fournir une sécurité

comparable, voire meilleure, que l’algorithme RSA avec des clés
de taille bien inférieure.
23
Les avantages de la cryptographie à courbe elliptique

Le fait que l’ECC offre un très haut niveau de sécurité avec des longueurs de
clés courtes lui confère des avantages par rapport au chiffrement RSA et à
d’autres algorithmes de cryptographie à clé publique.

Voici deux avantages liés à l’utilisation de la cryptographie à courbe

elliptique.

•L’ECC nécessite moins de ressources informatiques et moins de bande

passante pour la génération de clé, le chiffrement et le déchiffrement.

•En raison de la taille réduite de la clé ECC, les opérations ECC (telles que la
génération de clés, le chiffrement et le déchiffrement) peuvent être
effectuées plus rapidement qu’avec la cryptographie RSA, ce qui signifie
moins de temps de latence pour l’utilisateur final.

Ces avantages rendent l’ECC particulièrement utile dans les environnements

à ressources limitées, tels que les appareils mobiles et ceux de l’Internet des 24
La cryptographie à courbe elliptique est-elle sécurisée ?

L’algorithme de chiffrement RSA est certes extrêmement sécurisé, mais

l’algorithme ECC est sans doute encore meilleur.

Les ordinateurs quantiques ont théoriquement la possibilité de décoder le système

RSA en résolvant efficacement le problème de factorisation sur lequel repose le
système RSA. La question de savoir si cela se produira dans un avenir proche fait
l’objet d’un débat intense. Toutefois, nous pouvons dire avec certitude qu’en raison
de sa complexité, l’algorithme ECC est plus résistant aux attaques par informatique
quantique que l’algorithme RSA.

À quel point la cryptographie ECC est-elle résistante ? Le mathématicien

néerlandais Arjen Lenstra a coécrit une étude qui comparait le fait de décoder des
algorithmes cryptographiques à faire bouillir de l’eau. L’idée est de calculer la
quantité d’énergie nécessaire pour décoder un algorithme cryptographique donné,
puis de calculer la quantité d’eau que cette énergie pourrait faire bouillir. Pour
reprendre cette métaphore, il faut moins d’énergie pour décoder une clé RSA de
228 bits que pour faire bouillir une cuillère à café d’eau, tandis que l’énergie
dépensée pour décoder une clé ECC de 228 bits pourrait faire bouillir toute l’eau de 25
Quelques cas d’usage courants de l’ECC :

•Les protocoles de communication sécurisés : l’ECC est utilisée dans divers

protocoles de communication sécurisés pour assurer le chiffrement, les
signatures numériques et l’échange de clés. Il s’agit par exemple de la
sécurité de la couche de transport (TLS) utilisée pour sécuriser la navigation
sur le Web, de Secure Shell (SSH) pour sécuriser la connexion à distance et
des réseaux privés virtuels (VPN) pour sécuriser la communication réseau.

•Les crypto-monnaies et la technologie blockchain : de nombreuses

crypto-monnaies, dont le Bitcoin, l’Ethereum et le Litecoin, utilisent la
cryptographie à courbe elliptique pour générer des paires de clés publiques et
privées, ainsi que pour signer les transactions. L’ECC fournit la sécurité
cryptographique nécessaire pour sécuriser les actifs numériques et garantir
l’intégrité des réseaux de blockchain.
26
•Les cartes à puce et les systèmes intégrés : l’ECC est couramment
utilisée pour sécuriser les systèmes de paiement, les systèmes de
contrôle d’accès, les passeports électroniques et d’autres applications qui
nécessitent des solutions cryptographiques sûres et compactes.

•Les signatures numériques et les certificats : l’ECC peut être utilisée pour
générer des signatures numériques, qui servent à vérifier l’authenticité et
l’intégrité des documents et des messages numériques. Les signatures
numériques basées sur l’ECC sont également utilisées dans les systèmes
d’infrastructure à clé publique (PKI) pour émettre et valider les certificats
numériques.

27
 ▸ 3. Chaînes de blocs (blockchain) et sécurité

La blockchain est également connue Ces cryptomonnaies se

pour ses applications en distinguent par leurs
cybersécurité et protection des caractéristiques spécifiques. Le
données, elle reste étroitement liée à Bitcoin, première monnaie
l'univers des cryptomonnaies. Ces numérique décentralisée, est
actifs numériques fonctionnent sur la souvent utilisé comme réserve
base de réseaux blockchain et de valeur. L’Ethereum, quant à
permettent des transactions lui, se démarque grâce à ses
sécurisées, transparentes, et sans capacités de prise en charge
intermédiaire. Parmi les de contrats intelligents et
cryptomonnaies les plus populaires, d’applications décentralisées
on retrouve le Bitcoin, l’Ethereum et (dApps).
le Dogecoin.

28
Chaque cryptomonnaie utilise la blockchain de manière distincte,
mais toutes partagent le même objectif : offrir une alternative
sécurisée et décentralisée aux systèmes financiers et transactionnels
traditionnels.

29
La décentralisation, un bouclier contre les cyberattaques

• Le principal atout de la blockchain réside dans sa décentralisation.

• Contrairement aux systèmes classiques qui reposent sur un serveur central, la
blockchain fonctionne via un réseau distribué de milliers d'ordinateurs appelés «
nœuds ».
• Chaque transaction ou donnée est vérifiée et validée par ces nœuds avant d’être
enregistrée.
• Ainsi, pour qu’un pirate puisse altérer ou falsifier une information, il devrait
simultanément pirater une grande partie de ces nœuds — un exploit pratiquement
impossible à réaliser sur un réseau bien conçu et distribué.

Ce modèle se révèle particulièrement efficace pour contrer les attaques de type

ransomware, qui sont souvent dirigées contre des entreprises. Ces attaques
consistent à verrouiller l'accès aux systèmes d'une organisation pour exiger une
rançon en échange du déblocage des données. Dans un réseau basé sur la
blockchain, les informations sont fragmentées et réparties sur plusieurs nœuds,
ce qui rend la prise de contrôle beaucoup plus complexe et réduit
considérablement l'efficacité des attaques.
30
Protection des données sensibles

La blockchain ne se limite pas à la Ce même principe peut être

protection des transactions appliqué à d'autres secteurs où la
financières, elle s'impose aussi comme confidentialité des données est
essentielle. Par exemple, dans les
un outil indispensable pour la
entreprises manipulant des
sécurisation des données sensibles informations sensibles telles que
dans des secteurs variés. des brevets, des secrets
Dans le domaine médical, par industriels ou des contrats
exemple, des entreprises utilisent déjà confidentiels, la blockchain peut
la blockchain pour stocker et protéger assurer une traçabilité totale et
des dossiers médicaux électroniques. éviter toute altération
Chaque enregistrement est non frauduleuse. Cela crée un
environnement sécurisé où les
seulement chiffré, mais aussi rendu
informations critiques sont
immuable, ce qui signifie qu’aucune protégées
modification ne peut être faite sans contre le vol et la falsification.
être immédiatement détectée
et tracée dans le registre.
31
Le secteur des objets connectés (IoT), qui est en
constante expansion, est également une cible
privilégiée des cyberattaques. Les appareils connectés,
souvent vulnérables, peuvent bénéficier des avantages
de la blockchain pour améliorer la robustesse des
systèmes d’authentification. En intégrant cette
technologie, les entreprises peuvent mettre en place des
processus plus solides et difficiles à compromettre,
minimisant ainsi les risques d'intrusions malveillantes.

32
Un système fondé sur la vérification, pas sur la confiance

L’une des grandes forces de la blockchain repose sur son modèle de

fonctionnement qui élimine le besoin de faire confiance à une entité
centrale. Dans les systèmes traditionnels, les utilisateurs placent leur
confiance dans un tiers, comme une banque ou une autorité centrale,
pour valider et sécuriser les transactions. La blockchain change cette
dynamique en se basant sur un processus de vérification
décentralisée.

Chaque participant au réseau blockchain est impliqué dans le

processus de validation, et les transactions ne sont inscrites dans le
registre que lorsque l'ensemble du réseau les a vérifiées. Cette
approche diminue considérablement les risques de fraude et de
falsification des données, car il devient pratiquement impossible pour
un individu ou un groupe malveillant de manipuler le système sans
être détecté.
33
Une technologie à fort potentiel pour la cybersécurité

Bien que la blockchain en soit encore à ses premiers stades de

développement, son potentiel pour transformer le paysage de
la cybersécurité est immense. Ses applications ne se limitent
pas aux transactions financières, mais s’étendent également à
la protection des informations sensibles et à la sécurisation des
identités numériques.

34
4. Confidentialité et anonymisation des données (Zero Knowledge Proof).

• Confidentialité

35
• anonymisation des données

•L’anonymisation répond aux exigences du RGPD car elle permet

de transformer des données de manière irréversible, tout en
restant exploitables
•L’anonymisation concerne toutes les données, personnelles ou
sensibles, en exploitant des algorithmes
•Si l’anonymisation est bien anticipée et les exigences bien
définies, les impacts sur la performance seront minimisés
•Une anonymisation peut être nécessaire dans un
environnement de production dans le cadre du droit à l’oubli

36
 Quelles techniques d’anonymisation pour protéger
vos données personnelles ?
• Les techniques d’anonymisation
Avant de parler anonymisation des données, notons qu’il est nécessaire en premier lieu de
procéder à une pseudonymisation afin de retirer tout caractère directement identifiant du jeu de
données : c’est une première étape de sécurité indispensable.
Les techniques d’anonymisation permettent de prendre en charges les attributs quasi
identifiants.
En les combinant à une étape de pseudonymisation préalable, on s’assure de prendre en
charge les identifiants directs et ainsi protéger l’intégralité des informations personnelles liées à
un individu.
Ensuite, pour rappel, l’anonymisation consiste à utiliser des techniques de façon à rendre
impossible, en pratique, la réidentification des individus à l’origine des données personnelles
anonymisées. Cette technique a un caractère irréversible qui implique que les données
anonymisées ne soient plus considérées comme des données personnelles, sortant ainsi du
cadre d’application du RGPD.

37
Pour caractériser l’anonymisation, le CEPD (Comité Européen de la Protection des
Données), anciennement le groupe de travail G29, a énoncé 3 critères à respecter, à savoir :

1. L’individualisation : est-il toujours possible d’isoler un

individu ?

2_ La corrélation : est-il toujours possible de relier entre

eux
2. les enregistrements relatifs à un individu ?

3_ L’inférence : peut-on déduire des informations

concernant un individu ?

38
39
40
 Chacune des techniques d’anonymisation peut être appropriée,
selon les circonstances et le contexte, pour atteindre la finalité
souhaitée sans compromettre le droit des personnes
concernées au respect de leur vie privée.
La famille
▸ L’ajout de randomisation :
bruit : ▸ Points forts :
Principe : Modification • Si l’ajout de bruit est appliqué efficacement, un
des attributs de tiers ne sera pas en mesure d’identifier un
l’ensemble des individu ni ne pourra restaurer les données ou
données pour les discerner de quelque autre façon comment les
rendre moins précis. données ont été modifiées.
Exemple : à la suite
d’une anonymisation • Pertinent quand des attributs peuvent avoir un
par ajout de bruit, l’âge effet négatif important sur des individus.
▸ des
Points faibles
patients est : • Conserve la distribution générale.
• modifié
Le bruitde plus oualtère la qualité des données, ainsi les analyses réalisées
introduit
moins
sur le 5jeu
ans.
de données sont moins pertinentes.
• Le niveau de bruit dépend du niveau d’information requis et de l’impact
que la divulgation des attributs aurait sur le respect de la vie privée des
41
2. La permutation :
▸ Principe : Consiste à mélanger les valeurs des attributs dans un tableau
de telle sorte que certaines d’entre elles sont artificiellement liées à des
personnes concernées différentes. La permutation altère donc les valeurs
au sein de l’ensemble de données en les échangeant simplement d’un
enregistrement à un autre. Exemple : à la suite d’une anonymisation par
permutation, l’âge du patient A a été remplacé par celui du patient J.

▸ Point faible :
▸ Points forts : • Ne permet pas de conserver
• Utile quand il est important les corrélations entre les
de conserver la distribution valeurs et les individus, rend
exacte de chaque attribut donc impossible la
dans l’ensemble de données. réalisation d’analyses
• Garantie que la fourchette et statistiques poussées
la distribution des valeurs (régression, machine
resteront les mêmes. learning, etc.)
42
 La famille
1 Agrégation et k-anonymat :
généralisation
Principe : des attributs dans une mesure telle
: Généralisation des valeurs
que tous les individus partagent la même valeur. Ces deux techniques
visent à empêcher qu’une personne concernée puisse être isolée en la
regroupant avec, au moins, k autres individus. Exemple : pour qu’il y ait au
moins 20 individus partageant la même valeur, l’âge de tous patients
entre 20 et 25 ans est ramené à 23 ans.
Point fort :
•Individualisation : Dès lors que les mêmes attributs sont partagés par k
utilisateurs, il ne devrait plus être possible d’isoler un individu au sein
d’un groupe de k utilisateurs.
Points faibles :
•Inférence : Le k-anonymat n’empêche pas un quelconque type d’attaque
par inférence. En effet, si tous les individus font partie du même groupe,
pour peu que l’on sache à quel groupe appartient un individu, il est facile
d’obtenir la valeur de cette propriété.
•Perte de granularité : Les données issues d’un traitement de 43
44
45
En pratiques

▸ Signature ▸ Gestion des paires ▸ RSA et ses

numérique de clés applications

▸ Définir selon la loi ▸ Cas des certificats ▸ Cas des certificats

▸ Outils adobe de site web
▸ PKI ▸ Gestion des boites
aux lettres

46
LES ATTAQUES SUR LES
CHIFFREMENTS

47