SlideShare una empresa de Scribd logo

SSL.pdf

I
Iyadtech

ssl

Educación
1 de 28
Descargar para leer sin conexión
Sécurité avancée des réseaux IUT d’Auxerre Département RT 2ème année 2013-2014 tuo.zhang@u-bourgogne.fr TR-c4-2014 1
Protocole SSL/TLS Secure Sockets Layer, un protocole de sécurisation des échanges sur Internet, devenu Transport Layer Security sur niveau 4 de Modèle OSI http TR-c4-2014 2
HTTPS • HTTPS (HTTP over SSL )  une combinaison de HTTP & SSL/TLS pour sécuriser la communication entre la navigateur(coté client) et le serveur(coté fournisseur) .  documentation dans RFC2818  pas de différente fondamentale en utilisant SSL et TLS • Utilise https:// au lieu de http://  Et port 433 au lieu de 80  Protection par rapport à l’attaque de l’homme du milieu • Chiffrements(entrypts)  URL, document contents, form data, cookies, HTTP headers TR-c4-2014 3
SSL/TLS--Les principes(1/2) • SSL/TLS  TCP: protocole à état fonctionnant par connexion qui détecte si des paquets sont perdus ou arrivent dans le désordre N’assure pas l’authentification des donnée, leur intégrité ni leur confidentialité  Service introduits dans SSL(Secure Sockets Layer). TLS= Transport Layer Security= SSL 3.1 avec quelques modifications mineures S’insère en fait entre HTTP(HTTPS) et TCP  Objectifs Authentification du serveur Confidentialité des données échangées Intégrité des données échangées Optionnellement authentification du client TR-c4-2014 4
SSL/TLS--Les principes(2/2) • SSL/TLS intégré dans les navigateurs Web.  Microsoft IE(Windows 7, 8.1), Safari  Netscape, Mozilla Firefox, Google Chrome, Opera  Apache, IIS, … • SSL comprend deux sous-couches:  Protocole SSL Record  Applique les opérations cryptographiques  Protocole « handshake »:  Fixe les paramètres cryptographique de la session courante, et effectue l’authentification  Algorithmes utilisé:  RC4-128, SHA, MD5… • SSL/TLS est composé:  d’un générateur de clés  de fonctions de hachage  de protocoles de négociation et de gestion de session  De certificats X.509 par ex. TR-c4-2014 5
Avantages et Inconvénients • Pré-requis: Utiliser des logiciels serveurs et clients SSL/TLS • Inconvénients: Si utilisation des certificat X509=>formation obligatoire des utilisateurs • Avantages: Authentification forte du client Nombreuses applications utilisent SSL/TLS Confidentialité et intégrité des échanges • Utilisation: VPN d’accès(nomades à site) Intranet, extranet(Sites à Sites) LAN TR-c4-2014 6
OpenSSL • SSL/TLS s’appuie sur OpenSSL • OpenSSL est une boîte à outil de chiffrement comportant :  libcrypto  Libssl et une interface en ligne d’un ensemble d’exécutables en commande permettant:  La forge de clefs RSA, DSA  La création de certificat X509  Le calcul d’empreinte  Le chiffrement et le déchiffrement  La réalisation de tests de clients et serveur SSL/TLS  La signature et le chiffrement de courriers TR-c4-2014 7
Vulnérabilité • Connectivité HTTPS à près de 65% des sites web. • Le bug a été découvert en avril 2014, de manière indépendante, par l’équipe sécurité de Google et par des ingénieurs de la société Codenomicon. • La NSA, était au courant de l’existence de cette vulnérabilité depuis deux ans. TR-c4-2014 8
Vulnérabilité • Quels sont les impacts?  Cette faille pourrait permette à des internautes mal intentionnés(«chapeau noir » ) de récupérer des informations situées sur les serveurs d’un site vulnérable.  Toutes les données chiffrées de l’internet  Transactions financières: commerce électronique, banque en ligne, courtage en ligne…  Courriers: email comme la consultation de données privées…  Services et logiciels impactés  Sites internet: Amazon Web Services, GitHub, wikipédia,wechat,taobao…  Applications: LastPass Password, LibreOffice, McAfee, Serveurs d’applications HP, Vmware series…  Systèmes d’exploitation: Android 4.1.1, Firmware de routeurs Cisco Systems, Firmware de routeurs Juniper Networks, Firmware de disque durs Western Digital de la gamme de produit « My Cloud » • Concrètement, c’est quoi?  La faille permet de récupérer 64KB de mémoire. TR-c4-2014 9
Serveur, tu es là? Si oui, merci de me donner une réponse « BIRD »(4 caractères) OK Serveur, tu es là? Si oui, merci de me donner une réponse « HAT »(500 caractères) Génial, Quels infos! Scénario en générale TR-c4-2014 10
Schéma en concrète TR-c4-2014 11
Navigateur web Serveur web vulnérable 1. Extraction des données sensible à partir de serveurs HTTPS vulnérable Alice Colin Donnée.com GET/monprofil Votre SSN: 5488396 Heartbeat(65535) Réponse(65535) …SSN: 5488396… Obtenir donnée sensible
Navigateur web Serveur web vulnérable 2. Extraction des « login credentials » à partir de serveurs HTTPS vulnérable Alice Colin login.com POST/login user=alice&pass=onygo Heartbeat(65535) Réponse(65535) …user=alice&pas=onygo… Obtenir login credential Serveur web Banque.com POST/login user=alice&pass=onygo POST/auth name=alice&pass=onygo
Navigateur web Serveur web vulnérable 3. « Session hijacking » à partir de serveurs HTTPS vulnérable Alice Colin mail.com GET/index.html Cookie:session=1234 Heartbeat(65535) Réponse(65535) …session: 1234… Obtenir cookie secrète GET/mail Cookie:session=1234
Navigateur web Serveur web de MITM Serveur web vulnérable 4. « Man-in-the-middle » impersonation par rapport au service sur ligne Alice boujour.com Blackhat.org Trafic hijiacking, (DNS poisonning, ICMP redirect, Routeur compromis, etc) Heartbeat(65535) Réponse(65535) …BEGIN RSA PRIVATE KEY--n0Mq59rlC9h Changer clefs de SSL Impersonates bonjour.com Patches logiciel de SSL POST/login Host:www.boujour.com User=alice&pass=onygo Obtenir credentials
code source & diagramme Type Longueur Payload data TLS1_HB_RESPONSE 65535 octets 1 octet Type Longueur Payload data TLS1_HB_RESPONSE 65535 octets 65535 octets Longueur 4 octets Heartbeat envoyé au serveur(victim) SSLv3 record Longueur 65538 octets La réponse de serveur(victim) SSLv3 record Bug fixé: http://git.openssl.org/gitweb/?p=openssl.git;a=blob;f=ssl/t1_lib.c;h=a2e2475d136f33fa26958fd192b8ace158c4899d#l3969 TR-c4-2014 16
Terminologie de la sécurité Services de sécurité •Confidentialité (Confidentiality) •- préserver le secret d’une information •- protection de l’information lors de sa conservation, du transfert ou du calcul •Intégrité (Integrity) •- préserver contre les modifications, sauf autorisation •-vérifier la non altération frauduleuse •Disponibilité (Availability) •- Garantir la possibilité d’accéder aux services •- Eviter les interruptions, les obstructions •- Pas de modèle de disponibilité(infrastructure) •Autorisation (Authorization) •- identification(nom) et authentification(garantir d’identité) •- contrôle les droits d’accès, rendre un service de sécurité •Authentification (Authentication) •- identification, contrôle d’accès, non réputation TR-c4-2014 17
Terminologie de la sécurité 1.définition de la sécurité • Définition courante: Sécurité = combinaison de Confidentialité: prévention de divulgation non autorisée de l’information Intégrité: prévention de modification non autorisée de l’information Disponibilité: prévention de rétention non autorisée de l’information ou de ressources Parfois, ajout d’autre propriétés(imputabilité, non réputation,…) • En une phrase (définition utilisée dans ce cours)  Prévention d’actions non autorisées Les actions autorisées seront définis dans la politique de sécurité. TR-c4-2014 18
Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 19
Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 20
Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 21
Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 22
Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 23
Terminologie de la sécurité Politique, objectif, fonctions, mécanisme de sécurité • Principes de conception de mécanisme de sécurité informatique 1) Contrôle orientés données, opérations ou utilisateur? 2) A quel niveau du système le mécanisme doit-il être placé? TR-c4-2014 24
Terminologie de la sécurité Bien, Vulnérabilité, Menace, Risque & Politique, objectif, fonctions, mécanisme de sécurité Vulnérabilité/faille Attaque Elément menaçant Bien Propriétaire Contre-mesure impose réduit Peut-engendrer Risque protège Scénario de menace Impact utilise exploite liée à perte produit menace TR-c4-2014 25
100% sécurité? La sécurité à travers les âges • La sécurité de l’informatique répartie  Kerberos au MIT(projet Athena 1983-91) • Les avancées en cryptologie  La génération du DES(symétrique, 1976), puis le RSA (asymétrique, 1977) • La sécurité des grands réseaux  Les infra)structures de gestion de clef publique(PKI)  Les protocole de sécurité(IPsec en 1995, SSL en 1996,…), composants (Pare-feu, VPN, IDSs…) et architectures • L’introduction de périphériques de confiance  Cartes à puces • La sécurité des contenus  DRM(Digital Right Management), Tatouage numérique( Watermarking) • La sécurité en 2010  La gestion et la fédération d’identités, le « Single-Sign-On »  Evolution de la cryptologie(AES, courbes elliptiques, fonction de hachage…)  Informatique de confiance(TCPA/TCG)  La sécurité de la vie privée(anonymat, RFID)  Sécurité du « Cloud Computing » et « IoT » TR-c4-2014 26
Références • SSL 3.0 Spécification https://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 • Transport Layer Security (TLS) Charter http://datatracker.ietf.org/wg/tls/charter/ • OpenSSL: The Open Source toolkit for SSL/TLS http://www.openssl.org • Le bug de Heartbleed http://heartbleed.com • NSA Said to exploit Heartbleed Bug for Interlligence for Years http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing- consumers.html • A Few Thoughts on Cryptographic Engineering http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html • Jean Leneutre, Telecom-paristech, INF721 « Concepts fondamentaux de la sécurité »,2012 • Michel Riguidel, ENST PARIS, « La sécurité des réseaux et des systèmes »,2008 • T.Zhang, “ Composant de sécurité---La composant autorisation pour une session « User- centric » ” Edition universitaire européennes (2012-02-14), ISBN 978-3-8417-8928-0 TR-c4-2014 27
About me • ENSEIGNANT-CHERCHEUR, IUT DIJON-AUXERRE, UNIVERSITÉ DE BOURGOGNE — 2014-PRÉSENT  Responsable du module « Sécurité avancée de Réseau » (CMs, TDs et TPs)  Enseignant du module « Technologie de l’Internet »(TPs) • ENSEIGNANT-CHERCHEUR, SUP GALILÉE, UNIVERSITE DE PARIS 13 — 09/2012-12/2013  Enseignant du module « Réseau et Transmission de données » (TDs et TPs)  Enseignant du module « Système et Réseau » (TDs et TPs) • ENSEIGNANT-CHERCHEUR, IUT VILLETANEUSE, UNIVERSITE DE PARIS 13 — 10/2011-08/2012  Enseignant du module « Outil de l’Informatique pour la Gestion » (TDs et TPs) • INGÉNIEUR DE RECHERCHE, INSTITUT GALILÉE, UNIVERSITÉ DE PARIS 13 — 12/2009-09/2011  Le projet ANR/VERSO/UBIS a pour objectif de faciliter l’intégration des usages dans le contexte de mobilité et d’ubiquité tel qu’il existe aujourd’hui et tel qu’il se développera demain dans les réseaux du futur. le projet UBIS propose un « NGN / NGS middleware » omniprésent, dénommé « Serviceware » pour favoriser la fourniture de contenus. Il sera constitué de composants de service mutualisables répartis selon un déploiement intelligent. • STAGIAIRE, TÉLÉCOM-PARISTECH — 04/2009-11/2009 • Rewards  Champion de projet Innovant (Doctoriales 2011— Sorbonne Paris Cité) TR-c4-2014 28

Recomendados

Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
Crypto camer
Crypto camerCrypto camer
Crypto camerdilan23
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptmowaffakfejja
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptChloLau
 
Plaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerPlaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerNetExplorer
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 

Recomendados

Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
Crypto camer
Crypto camerCrypto camer
Crypto camerdilan23
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptmowaffakfejja
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptChloLau
 
Plaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerPlaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerNetExplorer
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
Cours si1
Cours si1Cours si1
Cours si1Hafsa Elfassi
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCERTyou Formation
 
ssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdfssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdfIyadtech
 
SSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationSSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationIkram Benabdelouahab
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
Securite
SecuriteSecurite
SecuriteOussama Jock
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKISylvain Maret
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisAstoine.com "Gold Certified Microsoft Cloud Technology IT"​ Formation et Conseil - Maroc
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritédihiaselma
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCHILDZ Laurent
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfdepinfo
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureNis
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL FrançaisSSL247®
 
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...SmartnSkilled
 
Le protocole tls
Le protocole tlsLe protocole tls
Le protocole tlsFranck TOUNGA
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Sylvain Maret
 
Virtual Private Network
Virtual Private NetworkVirtual Private Network
Virtual Private Networkmalekoff
 
Vpn
VpnVpn
Vpnmalekoff
 
Vpn
VpnVpn
Vpnmalekoff
 
Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...
Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...
Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...Pedago Lu
 
EL KATRY Reem: Proposition de Programme Artistique et Exposition pour les Écoles
EL KATRY Reem: Proposition de Programme Artistique et Exposition pour les ÉcolesEL KATRY Reem: Proposition de Programme Artistique et Exposition pour les Écoles
EL KATRY Reem: Proposition de Programme Artistique et Exposition pour les ÉcolesSOLIANAEvelyne
 

Más contenido relacionado

Similar a SSL.pdf

Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCERTyou Formation
 
ssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdfssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdfIyadtech
 
SSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationSSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationIkram Benabdelouahab
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKISylvain Maret
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritédihiaselma
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCHILDZ Laurent
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfdepinfo
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureNis
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL FrançaisSSL247®
 
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...SmartnSkilled
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Sylvain Maret
 
Virtual Private Network
Virtual Private NetworkVirtual Private Network
Virtual Private Networkmalekoff
 

Similar a SSL.pdf (20)

Cours si1
Cours si1Cours si1
Cours si1
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
 
ssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdfssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdf
 
SSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationSSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - Présentation
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Securite
SecuriteSecurite
Securite
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZero
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL Français
 
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
 
Le protocole tls
Le protocole tlsLe protocole tls
Le protocole tls
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
 
Virtual Private Network
Virtual Private NetworkVirtual Private Network
Virtual Private Network
 
Vpn
VpnVpn
Vpn
 
Vpn
VpnVpn
Vpn
 

Último

Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...
Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...
Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...Pedago Lu
 
EL KATRY Reem: Proposition de Programme Artistique et Exposition pour les Écoles
EL KATRY Reem: Proposition de Programme Artistique et Exposition pour les ÉcolesEL KATRY Reem: Proposition de Programme Artistique et Exposition pour les Écoles
EL KATRY Reem: Proposition de Programme Artistique et Exposition pour les ÉcolesSOLIANAEvelyne
 
Webinaire Technologia | DAX : nouvelles fonctions
Webinaire Technologia | DAX : nouvelles fonctionsWebinaire Technologia | DAX : nouvelles fonctions
Webinaire Technologia | DAX : nouvelles fonctionsTechnologia Formation
 
Comment enseigner la langue française en Colombie?
Comment enseigner la langue française en Colombie?Comment enseigner la langue française en Colombie?
Comment enseigner la langue française en Colombie?sashaflor182
 
Quitter la nuit. pptx
Quitter la nuit. pptxQuitter la nuit. pptx
Quitter la nuit. pptxTxaruka
 
Quitter la nuit. pptx
Quitter la nuit. pptxQuitter la nuit. pptx
Quitter la nuit. pptxTxaruka
 
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...Technologia Formation
 
Festival de Cannes 2024. pptx
Festival de Cannes 2024. pptxFestival de Cannes 2024. pptx
Festival de Cannes 2024. pptxTxaruka
 
Système National de Santé au- Maroc-(2017)."pdf"
Système National de Santé au- Maroc-(2017)."pdf"Système National de Santé au- Maroc-(2017)."pdf"
Système National de Santé au- Maroc-(2017)."pdf"tachakourtzineb
 
Présentation sur les Risques Électriques et Leur Prévention en Algérie
Présentation sur les Risques Électriques et Leur Prévention en AlgériePrésentation sur les Risques Électriques et Leur Prévention en Algérie
Présentation sur les Risques Électriques et Leur Prévention en AlgérieSeifTech
 
PLANNING HEBDO ET CR LYCEE COUDON 21 MAI2024
PLANNING HEBDO ET CR LYCEE COUDON 21 MAI2024PLANNING HEBDO ET CR LYCEE COUDON 21 MAI2024
PLANNING HEBDO ET CR LYCEE COUDON 21 MAI2024frizzole
 

Último (12)

Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...
Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...
Fiche - Accompagnement du travail coopératif au sein d’une équipe d’enseignan...
 
EL KATRY Reem: Proposition de Programme Artistique et Exposition pour les Écoles
EL KATRY Reem: Proposition de Programme Artistique et Exposition pour les ÉcolesEL KATRY Reem: Proposition de Programme Artistique et Exposition pour les Écoles
EL KATRY Reem: Proposition de Programme Artistique et Exposition pour les Écoles
 
Traitement des eaux usées par lagunage a macrophytes.pptx
Traitement des eaux usées par lagunage a macrophytes.pptxTraitement des eaux usées par lagunage a macrophytes.pptx
Traitement des eaux usées par lagunage a macrophytes.pptx
 
Webinaire Technologia | DAX : nouvelles fonctions
Webinaire Technologia | DAX : nouvelles fonctionsWebinaire Technologia | DAX : nouvelles fonctions
Webinaire Technologia | DAX : nouvelles fonctions
 
Comment enseigner la langue française en Colombie?
Comment enseigner la langue française en Colombie?Comment enseigner la langue française en Colombie?
Comment enseigner la langue française en Colombie?
 
Quitter la nuit. pptx
Quitter la nuit. pptxQuitter la nuit. pptx
Quitter la nuit. pptx
 
Quitter la nuit. pptx
Quitter la nuit. pptxQuitter la nuit. pptx
Quitter la nuit. pptx
 
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...
Présentation Webinaire Cohésion - Concevoir et mettre en place une CMDB, comm...
 
Festival de Cannes 2024. pptx
Festival de Cannes 2024. pptxFestival de Cannes 2024. pptx
Festival de Cannes 2024. pptx
 
Système National de Santé au- Maroc-(2017)."pdf"
Système National de Santé au- Maroc-(2017)."pdf"Système National de Santé au- Maroc-(2017)."pdf"
Système National de Santé au- Maroc-(2017)."pdf"
 
Présentation sur les Risques Électriques et Leur Prévention en Algérie
Présentation sur les Risques Électriques et Leur Prévention en AlgériePrésentation sur les Risques Électriques et Leur Prévention en Algérie
Présentation sur les Risques Électriques et Leur Prévention en Algérie
 
PLANNING HEBDO ET CR LYCEE COUDON 21 MAI2024
PLANNING HEBDO ET CR LYCEE COUDON 21 MAI2024PLANNING HEBDO ET CR LYCEE COUDON 21 MAI2024
PLANNING HEBDO ET CR LYCEE COUDON 21 MAI2024
 

SSL.pdf

  • 1. Sécurité avancée des réseaux IUT d’Auxerre Département RT 2ème année 2013-2014 tuo.zhang@u-bourgogne.fr TR-c4-2014 1
  • 2. Protocole SSL/TLS Secure Sockets Layer, un protocole de sécurisation des échanges sur Internet, devenu Transport Layer Security sur niveau 4 de Modèle OSI http TR-c4-2014 2
  • 3. HTTPS • HTTPS (HTTP over SSL )  une combinaison de HTTP & SSL/TLS pour sécuriser la communication entre la navigateur(coté client) et le serveur(coté fournisseur) .  documentation dans RFC2818  pas de différente fondamentale en utilisant SSL et TLS • Utilise https:// au lieu de http://  Et port 433 au lieu de 80  Protection par rapport à l’attaque de l’homme du milieu • Chiffrements(entrypts)  URL, document contents, form data, cookies, HTTP headers TR-c4-2014 3
  • 4. SSL/TLS--Les principes(1/2) • SSL/TLS  TCP: protocole à état fonctionnant par connexion qui détecte si des paquets sont perdus ou arrivent dans le désordre N’assure pas l’authentification des donnée, leur intégrité ni leur confidentialité  Service introduits dans SSL(Secure Sockets Layer). TLS= Transport Layer Security= SSL 3.1 avec quelques modifications mineures S’insère en fait entre HTTP(HTTPS) et TCP  Objectifs Authentification du serveur Confidentialité des données échangées Intégrité des données échangées Optionnellement authentification du client TR-c4-2014 4
  • 5. SSL/TLS--Les principes(2/2) • SSL/TLS intégré dans les navigateurs Web.  Microsoft IE(Windows 7, 8.1), Safari  Netscape, Mozilla Firefox, Google Chrome, Opera  Apache, IIS, … • SSL comprend deux sous-couches:  Protocole SSL Record  Applique les opérations cryptographiques  Protocole « handshake »:  Fixe les paramètres cryptographique de la session courante, et effectue l’authentification  Algorithmes utilisé:  RC4-128, SHA, MD5… • SSL/TLS est composé:  d’un générateur de clés  de fonctions de hachage  de protocoles de négociation et de gestion de session  De certificats X.509 par ex. TR-c4-2014 5
  • 6. Avantages et Inconvénients • Pré-requis: Utiliser des logiciels serveurs et clients SSL/TLS • Inconvénients: Si utilisation des certificat X509=>formation obligatoire des utilisateurs • Avantages: Authentification forte du client Nombreuses applications utilisent SSL/TLS Confidentialité et intégrité des échanges • Utilisation: VPN d’accès(nomades à site) Intranet, extranet(Sites à Sites) LAN TR-c4-2014 6
  • 7. OpenSSL • SSL/TLS s’appuie sur OpenSSL • OpenSSL est une boîte à outil de chiffrement comportant :  libcrypto  Libssl et une interface en ligne d’un ensemble d’exécutables en commande permettant:  La forge de clefs RSA, DSA  La création de certificat X509  Le calcul d’empreinte  Le chiffrement et le déchiffrement  La réalisation de tests de clients et serveur SSL/TLS  La signature et le chiffrement de courriers TR-c4-2014 7
  • 8. Vulnérabilité • Connectivité HTTPS à près de 65% des sites web. • Le bug a été découvert en avril 2014, de manière indépendante, par l’équipe sécurité de Google et par des ingénieurs de la société Codenomicon. • La NSA, était au courant de l’existence de cette vulnérabilité depuis deux ans. TR-c4-2014 8
  • 9. Vulnérabilité • Quels sont les impacts?  Cette faille pourrait permette à des internautes mal intentionnés(«chapeau noir » ) de récupérer des informations situées sur les serveurs d’un site vulnérable.  Toutes les données chiffrées de l’internet  Transactions financières: commerce électronique, banque en ligne, courtage en ligne…  Courriers: email comme la consultation de données privées…  Services et logiciels impactés  Sites internet: Amazon Web Services, GitHub, wikipédia,wechat,taobao…  Applications: LastPass Password, LibreOffice, McAfee, Serveurs d’applications HP, Vmware series…  Systèmes d’exploitation: Android 4.1.1, Firmware de routeurs Cisco Systems, Firmware de routeurs Juniper Networks, Firmware de disque durs Western Digital de la gamme de produit « My Cloud » • Concrètement, c’est quoi?  La faille permet de récupérer 64KB de mémoire. TR-c4-2014 9
  • 10. Serveur, tu es là? Si oui, merci de me donner une réponse « BIRD »(4 caractères) OK Serveur, tu es là? Si oui, merci de me donner une réponse « HAT »(500 caractères) Génial, Quels infos! Scénario en générale TR-c4-2014 10
  • 12. Navigateur web Serveur web vulnérable 1. Extraction des données sensible à partir de serveurs HTTPS vulnérable Alice Colin Donnée.com GET/monprofil Votre SSN: 5488396 Heartbeat(65535) Réponse(65535) …SSN: 5488396… Obtenir donnée sensible
  • 13. Navigateur web Serveur web vulnérable 2. Extraction des « login credentials » à partir de serveurs HTTPS vulnérable Alice Colin login.com POST/login user=alice&pass=onygo Heartbeat(65535) Réponse(65535) …user=alice&pas=onygo… Obtenir login credential Serveur web Banque.com POST/login user=alice&pass=onygo POST/auth name=alice&pass=onygo
  • 14. Navigateur web Serveur web vulnérable 3. « Session hijacking » à partir de serveurs HTTPS vulnérable Alice Colin mail.com GET/index.html Cookie:session=1234 Heartbeat(65535) Réponse(65535) …session: 1234… Obtenir cookie secrète GET/mail Cookie:session=1234
  • 15. Navigateur web Serveur web de MITM Serveur web vulnérable 4. « Man-in-the-middle » impersonation par rapport au service sur ligne Alice boujour.com Blackhat.org Trafic hijiacking, (DNS poisonning, ICMP redirect, Routeur compromis, etc) Heartbeat(65535) Réponse(65535) …BEGIN RSA PRIVATE KEY--n0Mq59rlC9h Changer clefs de SSL Impersonates bonjour.com Patches logiciel de SSL POST/login Host:www.boujour.com User=alice&pass=onygo Obtenir credentials
  • 16. code source & diagramme Type Longueur Payload data TLS1_HB_RESPONSE 65535 octets 1 octet Type Longueur Payload data TLS1_HB_RESPONSE 65535 octets 65535 octets Longueur 4 octets Heartbeat envoyé au serveur(victim) SSLv3 record Longueur 65538 octets La réponse de serveur(victim) SSLv3 record Bug fixé: http://git.openssl.org/gitweb/?p=openssl.git;a=blob;f=ssl/t1_lib.c;h=a2e2475d136f33fa26958fd192b8ace158c4899d#l3969 TR-c4-2014 16
  • 17. Terminologie de la sécurité Services de sécurité •Confidentialité (Confidentiality) •- préserver le secret d’une information •- protection de l’information lors de sa conservation, du transfert ou du calcul •Intégrité (Integrity) •- préserver contre les modifications, sauf autorisation •-vérifier la non altération frauduleuse •Disponibilité (Availability) •- Garantir la possibilité d’accéder aux services •- Eviter les interruptions, les obstructions •- Pas de modèle de disponibilité(infrastructure) •Autorisation (Authorization) •- identification(nom) et authentification(garantir d’identité) •- contrôle les droits d’accès, rendre un service de sécurité •Authentification (Authentication) •- identification, contrôle d’accès, non réputation TR-c4-2014 17
  • 18. Terminologie de la sécurité 1.définition de la sécurité • Définition courante: Sécurité = combinaison de Confidentialité: prévention de divulgation non autorisée de l’information Intégrité: prévention de modification non autorisée de l’information Disponibilité: prévention de rétention non autorisée de l’information ou de ressources Parfois, ajout d’autre propriétés(imputabilité, non réputation,…) • En une phrase (définition utilisée dans ce cours)  Prévention d’actions non autorisées Les actions autorisées seront définis dans la politique de sécurité. TR-c4-2014 18
  • 19. Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 19
  • 20. Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 20
  • 21. Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 21
  • 22. Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 22
  • 23. Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 23
  • 24. Terminologie de la sécurité Politique, objectif, fonctions, mécanisme de sécurité • Principes de conception de mécanisme de sécurité informatique 1) Contrôle orientés données, opérations ou utilisateur? 2) A quel niveau du système le mécanisme doit-il être placé? TR-c4-2014 24
  • 25. Terminologie de la sécurité Bien, Vulnérabilité, Menace, Risque & Politique, objectif, fonctions, mécanisme de sécurité Vulnérabilité/faille Attaque Elément menaçant Bien Propriétaire Contre-mesure impose réduit Peut-engendrer Risque protège Scénario de menace Impact utilise exploite liée à perte produit menace TR-c4-2014 25
  • 26. 100% sécurité? La sécurité à travers les âges • La sécurité de l’informatique répartie  Kerberos au MIT(projet Athena 1983-91) • Les avancées en cryptologie  La génération du DES(symétrique, 1976), puis le RSA (asymétrique, 1977) • La sécurité des grands réseaux  Les infra)structures de gestion de clef publique(PKI)  Les protocole de sécurité(IPsec en 1995, SSL en 1996,…), composants (Pare-feu, VPN, IDSs…) et architectures • L’introduction de périphériques de confiance  Cartes à puces • La sécurité des contenus  DRM(Digital Right Management), Tatouage numérique( Watermarking) • La sécurité en 2010  La gestion et la fédération d’identités, le « Single-Sign-On »  Evolution de la cryptologie(AES, courbes elliptiques, fonction de hachage…)  Informatique de confiance(TCPA/TCG)  La sécurité de la vie privée(anonymat, RFID)  Sécurité du « Cloud Computing » et « IoT » TR-c4-2014 26
  • 27. Références • SSL 3.0 Spécification https://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 • Transport Layer Security (TLS) Charter http://datatracker.ietf.org/wg/tls/charter/ • OpenSSL: The Open Source toolkit for SSL/TLS http://www.openssl.org • Le bug de Heartbleed http://heartbleed.com • NSA Said to exploit Heartbleed Bug for Interlligence for Years http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing- consumers.html • A Few Thoughts on Cryptographic Engineering http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html • Jean Leneutre, Telecom-paristech, INF721 « Concepts fondamentaux de la sécurité »,2012 • Michel Riguidel, ENST PARIS, « La sécurité des réseaux et des systèmes »,2008 • T.Zhang, “ Composant de sécurité---La composant autorisation pour une session « User- centric » ” Edition universitaire européennes (2012-02-14), ISBN 978-3-8417-8928-0 TR-c4-2014 27
  • 28. About me • ENSEIGNANT-CHERCHEUR, IUT DIJON-AUXERRE, UNIVERSITÉ DE BOURGOGNE — 2014-PRÉSENT  Responsable du module « Sécurité avancée de Réseau » (CMs, TDs et TPs)  Enseignant du module « Technologie de l’Internet »(TPs) • ENSEIGNANT-CHERCHEUR, SUP GALILÉE, UNIVERSITE DE PARIS 13 — 09/2012-12/2013  Enseignant du module « Réseau et Transmission de données » (TDs et TPs)  Enseignant du module « Système et Réseau » (TDs et TPs) • ENSEIGNANT-CHERCHEUR, IUT VILLETANEUSE, UNIVERSITE DE PARIS 13 — 10/2011-08/2012  Enseignant du module « Outil de l’Informatique pour la Gestion » (TDs et TPs) • INGÉNIEUR DE RECHERCHE, INSTITUT GALILÉE, UNIVERSITÉ DE PARIS 13 — 12/2009-09/2011  Le projet ANR/VERSO/UBIS a pour objectif de faciliter l’intégration des usages dans le contexte de mobilité et d’ubiquité tel qu’il existe aujourd’hui et tel qu’il se développera demain dans les réseaux du futur. le projet UBIS propose un « NGN / NGS middleware » omniprésent, dénommé « Serviceware » pour favoriser la fourniture de contenus. Il sera constitué de composants de service mutualisables répartis selon un déploiement intelligent. • STAGIAIRE, TÉLÉCOM-PARISTECH — 04/2009-11/2009 • Rewards  Champion de projet Innovant (Doctoriales 2011— Sorbonne Paris Cité) TR-c4-2014 28