sécurité sur le web - université du littoral côte...

Sécurité sur le web

Table des matièresQuels sont les risques ?..............................................................................................2

L’écoute des échanges............................................................................................2Le faux site.............................................................................................................3La modification des échanges................................................................................4

Qu’est-ce qu’un site sécurisé ?...................................................................................5Le protocole https...................................................................................................5Le chiffrement........................................................................................................6

Le chiffrement symétrique.......................................................................................................7Le chiffrement asymétrique.....................................................................................................8Le chiffrement hybride............................................................................................................9Le hachage..............................................................................................................................9La signature numérique........................................................................................................10

Le certificat numérique.........................................................................................11Les autorités de certification.................................................................................................11Le contenu d’un certificat.....................................................................................................12La vérification d’un certificat...............................................................................................13

Qu’est-ce qu’un wifi sécurisé ?................................................................................15Les bornes wifi.....................................................................................................15Le réseau wifi public............................................................................................16L’utilisation d’un VPN.........................................................................................17

Protection et sécurité

Sécuriser l’environnement

numérique

Protection et sécurité

Sécuriser l’environnement

numérique

*.univ-littoral.frOrganisation :

Université du Littoral Côte d’OpaleDunkerque

Nord-Pas de CalaisFrance

Clé publique :30 82 01 0a 02 82 01 …

Empreinte :75ed657f4dd2...

Karine SiliniMaître de Conférences

Université du Littoral Côte d’Opale

Licence Creative Commons Attribution - Partage dans les Mêmes Conditions

http://creativecommons.org/licenses/by-sa/4.0/

http://creativecommons.org/licenses/by-sa/4.0/

Quels sont les risques ?

Quand on navigue sur le web, on se connecte au réseau internet et on échange des données avec un serveur web.

L’écoute des échanges

Une personne malintentionnée pourrait espionner le réseau et « écouter » les échanges afin de récupérer des données confidentielles.

Cette situation pourrait se produire si l’internaute se connecte via un réseau wifi non sécurisé ou si un équipement du réseau internet a été piraté.

Pour éviter ce problème, les données peuvent être chiffrées avant d’être envoyées sur le réseau : même si elles sont interceptées, elles ne pourront pas être exploitées.

Utilisez une connexion sécurisée pour envoyer des données sensibles.

Karine Silini 09/09/19 /17




Clé publique :30 82 01 0a 02 82 01 …


Échange de données :téléchargement de pages web,

connexion avec identifiant et mot de passe,consultation de comptes,

réservation de billets,achat et paiement en ligne, etc.

Serveur webInternautesur le réseau internet

Identifiant, mot de passe, adresse postale et électronique, numéro téléphone, numéro

CB, soldes bancaires, etc.

Le faux site

Le site pourrait être un faux site se faisant passer pour un site web connu (banque, commerce en ligne, etc.) afin de récupérer des données confidentielles : identifiant, mot de passe, coordonnées bancaires, etc.

Cette situation pourrait se produire si l’internaute clique sur un faux lien reçu par courriel (phishing) ou si le serveur des noms de domaines a été piraté pour rediriger vers un site frauduleux.

Soyez vigilant aux adresses des sites web consultés.

Le typosquattage consiste à acheter des noms de domaine proches de sites connus.

Par exemple, l'encyclopédie en ligne Wikipédia a contré le typosquattage en acquérant l'adresse wikiepdia.org et en la redirigeant vers wikipedia.org.

On peut vérifier l’authenticité d’un site en consultant son certificat numérique visible en cliquant sur le cadenas de la barre d’adresse du navigateur.


Identifiant, mot de passe, numéro CB

mabanque.com

ma_banque.com




Clé publique :30 82 01 0a 02 82 01 …


La modification des échanges

Une personne malintentionnée pourrait intercepter les échanges et les relayer sans que l’internaute ne s’en aperçoive. Elle pourrait non seulement lire les données mais également les modifier. Il s’agit de l’attaque de l’homme du milieu.

Cette situation pourrait se produire si l’internaute se connecte à une fausse borne wifi ou si dans un réseau local, un pirate réussit à forcer les communications à transiter par son ordinateur.

Vérifiez bien le nom de la borne wifi avant de vous connecter.

Par exemple, un pirate pourrait se positionner à proximité d’un restaurant ou d’un hôtel et créer un point d’accès wifi avec un nom similaire.

Avec cette attaque, même les échanges chiffrés peuvent être compromis car le pirate a pu remplacer la clé de chiffrement par la sienne. La solution serait de pouvoir vérifier la clé par un autre moyen (téléphone, etc.).


Envoi de données

Données modifiées ou non

Données modifiées ou non

Envoi de données




Clé publique :30 82 01 0a 02 82 01 …


Qu’est-ce qu’un site sécurisé ?

Un site est sécurisé si :

- la connexion est sécurisée par des échanges chiffrés entre l’internaute et le serveur ;

- l’identité du site est vérifiée par un certificat électronique délivré par une autorité de confiance.

Le protocole httpsQuand on consulte une page web, des données sont échangées entre le navigateur de l’internaute et le serveur web selon un protocole de transfert hypertexte HTTP (HyperText Transfer Protocol).

Avec ce protocole, les informations sont envoyées « en clair » sur le réseau : tous les équipements entre le navigateur et le serveur peuvent voir la requête et la réponse.

Illustration du MOOC de l'ANSSI





Clé publique :30 82 01 0a 02 82 01 …


Le navigateur envoie une requête :demande d’une page web ;

le serveur envoie la réponse :texte, image, résultat, etc.

Protocole HTTP

Il est possible de combiner le protocole HTTP avec un chiffrement SSL/TLS : c’est le protocole HTTPS (S pour sécurisé) qui garantit que :

• les échanges entre le navigateur et le serveur sont chiffrés ;

• l’identité du site est vérifié.

Un dialogue entre le navigateur web de l’internaute et le serveur web s’effectue avant l’échange des données.


Le chiffrement

Le chiffrement est un procédé de cryptographie qui permet de rendre un message incompréhensible si on ne connaît pas la clé de chiffrement/déchiffrement.

Attention, ne pas confondre chiffrer et crypter !• on chiffre un message avec une clé de chiffrement ;

• on déchiffre un message avec une clé de déchiffrement ;• on décrypte un message si on retrouve le message sans la clé de déchiffrement ;

Dans cette logique, crypter un message sans la clé de chiffrement n’a pas de sens !

Dans la suite, quelques méthodes simples sont présentées pour expliquer le chiffrement. Les algorithmes utilisés de nos jours sont beaucoup plus complexes et évoluent rapidement.





Clé publique :30 82 01 0a 02 82 01 …


Le chiffrement symétrique

Le chiffrement symétrique utilise la même clé pour chiffrer et déchiffrer.

Quelques exemples :

• Le chiffrement de César décale les lettres vers la droite de la valeur de la clé.

Par exemple, pour une clé de valeur 3, on a la correspondance :

en clair : ABCDEFGHIJKLMNOPQRSTUVWXYZ

en chiffré : DEFGHIJKLMNOPQRSTUVWXYZABC

CHEVAL sera chiffré en FKHYDO

Pour déchiffrer, il suffit de décaler les lettres vers la gauche de la valeur de la clé.

• Le chiffrement de Vigenère utilise un mot comme clé de chiffrement. Chaque lettre du mot indique le décalage à faire.

Par exemple, avec la clé FACE, le décalage sera de 6, 1, 3 et 5.

en clair : CHEVAL

clé : FACEFA on répète la clé sur la longueur du mot

décalage : 613561

en chiffré : IIHAGM

Le premier I est obtenu en décalant C de 6 lettres vers la droite et le second I en décalant H de 1 lettre.

Le chiffrement AES (Advanced Encryption Standard) avec une clé de 128, 192 ou 256 bits est un chiffrement symétrique actuellement utilisé pour les échanges du web.

Le chiffrement symétrique est un chiffrement efficacemais il faut réussir à échanger la clé sans qu’elle soit interceptée !





Clé publique :30 82 01 0a 02 82 01 …


Le chiffrement asymétrique

Le chiffrement asymétrique utilise une clé publique pour chiffrer et une clé privée pour déchiffrer.

Les deux clés sont liées par des équations mathématiques extrêmement difficiles à résoudre : il est relativement facile de générer ces deux clés mais pratiquement impossible de retrouver la clé privée à partir de la clé publique.

• La clé publique sera largement diffusée et sera utilisée pour chiffrer les messages.

• La clé privée sera gardée secrète par son propriétaire et sera utilisée pour

déchiffrer les messages.

• Dans certains cas, la clé privée pourra être utilisée pour chiffrer et la clé publique pour déchiffrer.

Par exemple, Alice veut envoyer un message à Bob.Bob envoie sa clé publique à Alice.Alice chiffre le message avec la clé publique de Bob et envoie le message chiffré sur le réseau.Bob pourra déchiffrer le message avec sa clé privée.La clé privée de Bob n’ayant jamais été envoyée sur le réseau, elle n’est pas susceptible d’avoir été interceptée.


Les chiffrements RSA (2048 bits) ou ECC (256 bits) sont des algorithmes de cryptographie asymétrique.





Clé publique :30 82 01 0a 02 82 01 …


Le chiffrement hybride

Le chiffrement symétrique permet de chiffrer rapidement les données mais l’échange de la clé symétrique pose problème.

Le chiffrement asymétrique a résolu le problème d’échange de clés mais les opérations de chiffrement sont plus complexes et moins performantes.

La solution est d’utiliser un chiffrement hybride : on utilise un chiffrement asymétrique pour diffuser la clé symétrique, puis on utilise un chiffrement symétrique pour la suite des échanges.

Le hachage

Une fonction de hachage est une fonction sans réciproque qui associe à un message de taille quelconque, une valeur de longueur fixe appelée empreinte telle que :

• l’empreinte d’un message se calcule rapidement ;

• il est impossible de reconstituer le message à partir de son empreinte ;

• toute modification du message implique une modification de l’empreinte.

Les fonctions de hachage peuvent être utilisées pour comparer rapidement des fichiers ou des mots de passe.





Clé publique :30 82 01 0a 02 82 01 …


Document important

Bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla

bla bla bla

Hachageg45ju84hytd57mpl

Document important

Bla bla bla bla bla bla bla bla blo bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla bla

bla bla bla

k3j58yt2r6df8h9b

Hachage

Empreinte

Empreinte

Par exemple, la fonction Sha256 retourne toujours une valeur de 256 bits• Sha256(bonjour)=

2cb4b1431b84ec15d35ed83bb927e27e8967d75f4bcd9cc4b25c8d879ae23e18

• Sha256(bon jour)=43337fd55e56debeebd6fd7e980fa37ce7769fe872c10400e91ad6f015277ae9

• Sha256(Je vous souhaite bonjour)=849f44d0972bc911ac479022182a18214270c2f12224d17e6190fde6252cb541

Les fonctions SHA256 et SHA512 sont des fonctions de hachage donnant une valeur de 256 ou 512 bits.

La signature numérique

La signature numérique permet de garantir l’intégrité d’un document et d’en authentifier l’auteur.

Pour signer un document, on associe une fonction de hachage à un chiffrement asymétrique de la façon suivante :

• on applique une fonction de hachage au document ;

• on chiffre la valeur obtenue avec la clé privée de l’auteur ;

• on envoie le document avec sa signature.

Pour vérifier l’intégrité et l’authenticité, il suffit de déchiffrer la signature avec la clé publique et de la comparer à l’empreinte du document.





Clé publique :30 82 01 0a 02 82 01 …


Document important


bla bla bla


k5hog4t5f8v2bh14

Chiffrement avec clé privée

Signature

Document important


bla bla bla

k5hog4t5f8v2bh14


Déchiffrementavec clé publique

Signature

?

g45ju84hytd57mpl

L’authenticité est assurée car seule la clé privée de l’auteur a pu chiffrer la signature.

L’intégrité est vérifiée car le document n’a pas été modifié depuis sa signature.

Empreinte

Empreinte

Le certificat numérique

Un certificat numérique ou électronique est une « carte d’identité numérique » permettant d’authentifier une organisation.

Les autorités de certification

Les autorités de certification sont des tiers de confiance qui vérifient les informations d’une organisation et lui délivre un certificat.

Les sites web disposant d’un certificat numérique affiche un cadenas et/ou https dans la barre d’adresse du navigateur.

Il existe différents types de certificat :

• le certificat de domaine ou d’organisation qui vérifie le nom de domaine ou de l’organisation associée ;

• le certificat à validation étendue qui vérifie plus précisément les coordonnées de l’organisation et l’affiche dans la barre d’adresse du navigateur.

Si le certificat d’une organisation n’est pas valide (périmé ou ayant subi une modification), un avertissement est affiché :





Clé publique :30 82 01 0a 02 82 01 …


Le contenu d’un certificat

Un certificat numérique contient :

- des informations d’identification de l’organisation (nom, localisation, etc.) ;

- la clé publique de l’organisation ;

- la signature de l’autorité de certification attestant des renseignements précédents.

L’organisation désirant un certificat numérique contacte une autorité de certification en lui fournissant ses coordonnées et sa clé publique.

L’autorité de certification contrôle les informations fournies et calcule son empreinte qu’il chiffre avec sa clé privée.

On peut consulter le contenu d’un certificat en cliquant sur le cadenas.

Dans l’onglet Général, on constate que le certificat est délivré :

• à un nom de domaine (univ-littoral.fr)

• par une autorité de certification

(TERENA SSL CA3)

• pour une période donnée (du 01/06/2018 au 03/09/2020)





Clé publique :30 82 01 0a 02 82 01 …


Cliquer pour consulter le

certificat

Dans l’onglet Détails, on retrouve :

• des informations sur l’organisation (dans la rubrique Objet)

• la clé publique de l’organisation (de

type RSA 2048 bits)

• la signature de l’autorité de certification (Empreinte)

• l’algorithme de hachage et de

signature (Sha256 et RSA)

Dans l’onglet Chemin d’accès de certification, on peut consulter l’autorité de certification.

On distingue les autorités racines et les autorités intermédiaires formant une chaîne de confiance pour la certification.

La vérification d’un certificat

Les navigateurs web (Google Chrome, Mozilla Firefox, etc.) disposent d’une liste d’autorités de certification dans leurs paramètres.


Pour chaque autorité de certification de cette liste, on peut consulter son certificat numérique contenant sa clé publique.


www.univ-littoral.fr

Demande de connexion à www.univ-littoral.fr

Envoi du certificat

Vérification du certificatCelui-ci ayant été signé avec la clé privée

de l’autorité de certification, on vérifie que le certificat n’a pas été modifié en

déchiffrant la signature à l’aide de la clé publique de l’autorité présente dans le

navigateur.

OK

Mise en place du chiffrement symétrique à l’aide du chiffrement asymétrique pour l’échange de clés

Une attaque de l’homme du milieu qui tenterait de remplacer la clé

publique de l’univ-littoral.fr par la sienne serait détectée car la signature

du certificat numérique émis par l’autorité de certification ne

correspondrait plus aux informations contenues dans le certificat !

Qu’est-ce qu’un wifi sécurisé ?

Quand on se connecte à une borne wifi (box du domicile, hotspot d’un lieu public, etc.), les données transitent de l’équipement de l’internaute à la borne sous forme d’ondes radios faciles à intercepter.

Les bornes wifi

Une borne wifi ou hotspot est un matériel qui donne accès à un réseau sans fil permettant de se connecter à Internet.

Ces bornes peuvent donner accès à :

• un réseau wifi privé protégé par une clé

de sécurité (WEP ou WPA/WPA2) qui permet de chiffrer les échanges.Un équipement n’est autorisé à se connecter au réseau qu’après avoir fourni la clé de sécurité.

• un réseau wifi public accessible à tous : il y a pas de clé de sécurité pour protéger les échanges.Les informations circulent « en clair » entre l’équipement et la borne wifi : elles peuvent être écoutées, interceptées et modifiées.


Dans certains cas, un portail captif demande à l’usager de s’authentifier. Il s’agit une page web qui s’affiche à l’ouverture du navigateur et demande des identifiants.

Cela permet de gérer les accès au wifi public mais ne sécurise pas les échanges !

Le réseau wifi public

Dans un réseau wifi public ou ouvert, les informations entre les équipements et la borne wifi circulent en clair. Une personne à proximité et malintentionnée pourrait :

• écouter les échanges, les intercepter et les modifier ;

• accéder aux espaces partagés des équipements ;

• introduire des logiciels malveillants sur les équipements connectés.

Conseils lors de l’utilisation d’un wifi public :

• masquer l’équipement dans les paramètres de

la connexion ;

• privilégier les sites en https car les échanges seront chiffrés au départ de l’équipement ;

• éviter d’installer des mises à jour proposées dans des fenêtres surgissantes ;

• préférer une connexion 3G/4G si c’est possible.


Installation d’un logiciel malveillant ?

Accès à l’espace

partagé ?Interception des échanges

L’utilisation d’un VPN

Un VPN (Virtual Private Network) est un réseau privé virtuel : les données transitent sur le réseau internet mais dans une sorte de « tunnel sécurisé ».

En réalité, les données transitent par un serveur VPN :

• l’internaute se connecte à un serveur VPN de façon sécurisée ;

• le serveur VPN interroge les pages web à la place de l’internaute et les renvoie chiffrées à l’internaute.

Un VPN permet de sécuriser les échanges d’un réseau wifi public.

BibliographieANSSI, « MOOC SecNumacadémie, qui rend la cybersécurité accessible à tous », consulté en août 2019, se former sur https://www.secnumacademie.gouv.fr/

Micode, « SE FAIRE HACKER AU MCDO - SAFECODE », 23 avril 2017, vidéo disponible sur https://www.youtube.com/watch?v=cUrmG335e7o

L’informateur, « Sécurité 1 : Introduction à la Cryptographie », 25 janvier 2018, vidéo disponible sur https://www.youtube.com/watch?v=V9bTy0gbXIQ

Grafikart, « Comprends le SSL/HTTPS », consulté le 5 août 2019, tutoriel disponible sur https://www.grafikart.fr/tutoriels/comprends-ssl-tls-745

Cookie connecté, « Le chiffrement SSL / TLS expliqué en emojis », 20 février 2018, vidéo disponible sur https://www.youtube.com/watch?v=7W7WPMX7arI


https://www.youtube.com/watch?v=7W7WPMX7arI

https://www.grafikart.fr/tutoriels/comprends-ssl-tls-745

https://www.youtube.com/watch?v=V9bTy0gbXIQ

https://www.youtube.com/watch?v=cUrmG335e7o

https://www.secnumacademie.gouv.fr/

sécurité sur le web - université du littoral côte...

Documents