but du séminaire
DESCRIPTION
But du séminaire. Informer sur les risques liés à l’échange d’information sécurisée sur Internet. Patrick Anthamatten Directeur administratif Ingénieur Informaticien EPFZ [email protected] Jean-Marc Jutzet Directeur technique Ingénieur Informaticien EPFZ [email protected]. Agenda. - PowerPoint PPT PresentationTRANSCRIPT
But du séminaire
Informer sur les risques liés à l’échange d’information sécurisée sur Internet
Patrick AnthamattenDirecteur administratifIngénieur Informaticien [email protected]
Jean-Marc JutzetDirecteur techniqueIngénieur Informaticien [email protected]
Agenda
• Présentation de cdi
• Les bases de la communication sur Internet
• La sécurisation de la communication
• Transfert de données commerciales sur Internet
• Analyse des risques potentiels
• Sécurité de votre infrastructure informatique
• Questions
cdi
• Société fondée en 1994
• Composée de 13 personnes • Développeurs d’applications logicielles • Spécialistes réseaux et sécurité Internet• Graphiste
Activités
• Développement d’applications sur mesure
• Conseil en sécurité Internet et gestion d’infrastructure
• Plus d’informations sous www.cdi.ch
Activités : Sécurité Internet
Intr@solution : Solution intégrée de sécurité Internet
Sécurisation de l’accès à l’Internet• Configuration des Firewalls• Etablissement de VPN (succursales et clients)• Accès distant au réseau de l’entreprise
Contrôle :• du contenu des e-mails (Virus, spam)• l’accès au Web
Gestion centralisée des antivirus pour les postes de travail
Activités : Sécurité Internet
• Encryption SSL
• Paiement sécurisé
Sites Web commerçants
Clients
- Alexandre SA- Office du Livre Fribourg- Groupe Fiduciaire Mazars- Hubert Etter & Fils SA- Dupont Polymer Powders- Groupe Charmettes SA- Birgma Services SA- Payot SA
- Bibliothèque Cantonale et Universitaire Fribourg
(www.fr.ch/bcuf)- Office du Livre Fribourg (www.olf.ch) - Naville SA (www.naville.ch)- Philip Morris International- Union Postale Universelle (ONU)- Diamed AG (www.diamed.ch)- Librairies La Fontaine (www.lelivre.ch)- Laboratoires MCL (www.mcl.ch)- Laboratoires Risch (www.lmz-risch.ch)- ICM (www.icm-magicall.ch)
Technologies Internet et infrastructure
Développement applicatif et gestion de projet
Les bases de la communication par Internet
TCP/IP pour Transmission Control Protocol / Internet Protocol
IP est la couche réseau qui gère la communication à bas niveau.TCP sert de protocole de transport de données.L’adresse IP sert à identifier des machines (ex. 195.141.100.141)Un nom logique est associé aux adresses IP (ex. www.cdi.ch) DNS est une base de données distribuée servant à transformer le nom logique en adresse IP
Les bases de la communication par Internet
Les principaux protocoles de communication utilisés sur Internet sont :
HTTP et HTTPS (Web), DNS (Domain Name Service), SMTP, POP3, IMAP4 (e-mail)SSH, Telnet, NTP, etc.
- Méthodes de cryptage de la communication
- Signature numérique
- Infrastructure PKI (Public Key Infrastructure)
- Réseaux privés virtuels (VPN)
- SSL
- Certificats numériques
La sécurisation de la communication par Internet
- Authentification du signataire
- Intégrité du document signé (empêche la falsification)
- Acceptation de transaction (conséquences légales)
- Quittance (garantie de livraison du document)
- Efficacité du processus
Les buts de la signature électronique
Création d’une signature numérique
Comment fonctionne la signature électronique
MessageHash Function
HashResult
Signing Function
PrivateKey
DigitalSignature
Message ToVerifier
Only Private KeyHolder Can Sign
Vérification d’un message signé numériquement
Comment fonctionne la signature électronique
HashResult
Verify Function
PublicKey
DigitalSignature
MessageFromSigner
Anyone Can Verify
Hash Function
Valid Y/N?
Exemple
Comment fonctionne la signature électronique
<Signed SigID=1> Promissory Note I, Mary Smith, promise to pay to the order of First Western Bank five thousand dollars and no cents ($5,000) on or before June 10, 1998, with interest at the rate of fifteen per cent (15%) per annum.
Mary Smith, Maker </Signed> <Signature SigID=1 PsnID=smith082> 2AB3764578CC18946A29870F40198B240CD2302B2349802DE002342B212990BA5330249C1D20774C1622D39</Signature>
La certification en Suisse
Transfert de données commerciales par Internet
Les principaux types de transfert de données commerciales:
Transfert de données commerciales par Internet
Les achats sur InternetLes échanges de messages (e-mail) Les accès sécurisés (VPN)
Les achats sur Internet:
Transfert de données commerciales par Internet
l’acheteurLe vendeur (marchant), l’organisme de paiement
La sécurisation des achats
Transfert de données commerciales par Internet
L’identification du marchantL’autorité de certificationL’infrastructure PKI (cryptage, authentification)
Paiement par carte de crédit
Méthodes de paiement sur Internet
C’est le mode de paiement le plus courant sur Internet. L’acheteur fournit au commerçant en plus de son numéro de carte de crédit, la date d’expiration de celle-ci, et éventuellement le numéro au dos de la carte CVV2/CVC2. Le commerçant transmet ces données afin de vérifier si le montant chargé est accepté. Si tel est le cas, la banque émettrice de la carte de crédit va transférer l’argent sur le compte du commerçant.
Visa et Mastercard ont depuis mis au point un système de paiement, basé sur la technologie « 3-D Secure », qui assure l’authentification du porteur et la non-répudiation. En fait après inscription auprès d’un service de sécurisation, le porteur de la carte utilise soit un mot de passe (pour Visa), soit un code (pour Mastercard) pour se faire authentifier lors de chaque transaction. Ces systèmes ne sont valables que pour les détenteurs de cartes Visa et Mastercard.
Paiement par carte de débit ou de retrait
Méthodes de paiement sur Internet
Les cartes de débit permettent de déduire directement une dépense de son compte de chèque ou d’épargne. Elles nécessitent l’introduction d’un code PIN et l’adhésion par le client aux services bancaires en ligne de son institution financière. En fait le client effectue directement le paiement depuis son compte sur le site sécurisé de la banque. Pour le commerçant le gros avantage est qu’il n’y a pas de commission à payer comme avec les cartes de crédit et il n’y a pas risque de répudiation. Ce système n’est cependant pas encore très répandu mais est appelé à se développer.
Solutions de paiement par un intermédiaire
Méthodes de paiement sur Internet
Les solutions de paiement par un intermédiaire offrent en plus de la facilité à gérer les questions de paiement pour le commerçant, un moyen sûr qui répond aux critères de sécurité. L’intermédiaire ou prestataire de services de paiement (PSP) se place entre le commerçant, le client et les organismes financiers, et il se charge de vérifier en temps réel la validité de la carte de crédit, d’autoriser la transaction, et dans certains cas de procéder à l’encaissement. Le commerçant doit adhérer aux services proposés par l’intermédiaire. Lors d’un achat, l’internaute est envoyé par le commerçant sur le site de l’intermédiaire, et ce dernier effectue la demande d’autorisation à la banque de l’acheteur, qui est communiquée à l’acheteur et au commerçant
Le protocole SSL
Transfert de données commerciales par Internet
Secure Sockets Layer, ou SSL, est le plus répendu des moyens de cryptage pour les transactions commerciales sur Internet.
SSL est en général disponible en 40-bit et 128-bit, en fonction de la longueur de la clé de session "session key" générée à chaque transaction cyptée.
Plus la clé est longue, plus ce sera difficile de casser le code. Par exemple, une clé 128-bit SSL des milliard de fois plus forte que la clé à 40-bit standard.
SSL intégré à pratiquement tous les navigateurs Internet actuels.
Le gouvernement américain a adopté en 2001 un nouveau système de cryptage: “Advanced Encryption Standard”, ou AES, qui est plus performant et fiable que l’ancien protocole “ Data Encryption Standard”, ou DES (56 bits), qui pouvait être craqué en quelques heures. AEF fonctionne avec des clés à 128-bit, 192-bit, et 256-bit. Il faudrait plus de 149 milliard d’années pour craquer un clé AES!
Accès distant aux données de l’entreprise
Transfert de données commerciales par Internet
Tunnels (VPN)
-IPSec (nécessite un logiciel client)
-SSL (un navigateur web suffit)
La sécurité d’un système est égale à la sécurité de son maillon le plus faible!
Analyse des risques potentiels
Analyse des risques potentiels
Les principaux risques liés à l’utilisation de systèmes de communication par Internet sont:
Protection insuffisante de l’infrastructure de l’utilisateur (virus, key loggers, logiciels espions, vol de clé privée, etc.)
Fraude de type phishing qui permettent de s’approprier des informations importantes (no de cartes de crédit, mots de passe, etc.)
Analyse des risques potentiels
Usurpation d’identité
Fraude
Espionnage
Utilisation abusive de votre clé privée
Falsification de certificats racine
etc…
Sécurité de votre infrastructure informatique
1. Sécurité physique2. Sauvegarde des données3. Mise en place d’un pare-feu Internet (firewall)4. Sécurité de la messagerie5. Anti-virus6. Sécurité Web (filtrage du contenu)7. Mise en place des correctifs systèmes (patchs)
Configuration du navigateur Internet et certificats SSL
Vérification de l’authenticité d’un site sécurisé
Envoi de message signé numériquement
Alerte de sécurité lors de l’ouverture d’un site dont le certificat SSL ne peut être vérifié