نبييل الساحلي مدير عام وحدة تطوير السلامة الإعلامية...

الساحلي نبييلاإلعالمية  السالمة تطوير وحدة عام مدير

والنقل اإلتصال تكنولوجيات وزارة n.sahli@sei.gov.tn

الشبكات تأمين و حماية تقنيات و

سالمة النظم اإلعالميةاإلستراتجية التونسية فى مجال

PLAN

•Mécanismes de Sécurité•Confidentialité •Intégrité•Contrôle d’accès(Disponibilité)•Authentification•Autorisation

•Aspects de Gestion de la sécurité,

سالمة النظم اإلعالميةاإلستراتجية التونسية فى مجال

•Sophistication

GENERALISATIONRESEAUX PRIVES INTRANETs /Extranets

Monopole Technologique TCP/IP (Uniformité)

•Vide Juridique (Internet)/«Immatérialisme » des Intrusions•Impunité

•Hackers(Challenge)

• Criminalité (Métier)

« S.M.Intrus »

•Terrorisme (Warefare) •Espionnage

+ de Succès

SUCCES D’INTERNET

INTERNET

SMI

ENJEUX CONSIDERABLES:•Economiques(Commerce electronique)•Scientifiques/Culturels•Sociaux/Politiques

=Centre névralgique de l’émergente SMI :

•Convoitise

INTRUS

?? PHENOMENE DES INTRUSIONSCOLLABORATION «ANONYME »

ENRICHISSEMENT « Abusif » DES SERVICES TCP/IP

-SECURITE +COMPLEXITE

Essai

S

+ Failles +

INTRUS

INTERNET

PASSIVES

Attaques

• Comptes/Ports dangereux

•Fichiers de mots clés...

•Erreurs de CONFIG

•Versions à PBs

SONDAGE

AutomatiquesCiblés

INTERNET

RADIOSCOPIE D ’ UNE INTRUSION : 2 PHASES

Sniffeurs

ESPIONNAGE

«ABUS»•Analyse des Flux•Récolte de Passwords•Récolte de séquences à rejouer

ANALYSE

& Edification d’Attaques Combinées et Réflechies

NOC I VES

ATTAQUES « ACTIVES »

confidentialité, Corruption Intégrité

Disponibilité

• Implantation de Chevaux de Troie, Sniffeurs,

•IMMOBILISATION sélective ou GLOBALE (DENI DE SERVICE )

• Usurpation de droits et abus des interlocuteurs

• Implantation de Codes Malicieux (Virus, Vers ...)

. . .

Vol de Données

EXEMPLES D ’ ATTAQUES SIMPLES

« PING of DEATH » Taille (Paquet IP)> 65536

DDOS (Smurf attack)

Une moyenne de 25 attaques par semaine et par entreprise

•Le Virus SirCam = 1.15 Milliards $US,

•Le virus Code Red (Toutes les variantes) = 2.62 Milliards $US

(250000 systèmes infectés en moins de 9 heures)

•Le Virus NIMDA = 635 Million $US

Dommages financiers dus aux Dommages financiers dus aux seuls virusseuls virus

Préjudices « Moraux » (réputation, …..)

Site de la CIA :

Site de l’UNICEF

www.chirac.net (Janvier 2001) :

MECANISMES DE SECURITE

•Confidentialité •Intégrité•Disponibilité(Contrôle d ’accès)

•Authentification & Non-répudiation•Autorisation

1-CONFIDENTIALITE

CHIFFREMENT

I- SYMETRIQUES

1 Clé SECRETE

Secrète

Publique

Message Clair1

Message Clair1

II- ASYMETRIQUES

(Clé PUBLIQUE , Clé PRIVEE)

Message Clair

S

S

Message Clair

P

+ Authentification

PPubliée sans risque (Répertoires PUBLICS)

Algos Symétriques :PLUSRapides (~1000xAsym)

Algos ASYMETRIQUES•PLUS PRATIQUES:Conviennent à des Env MULTI-UT « Anonymes » (Publication des clés)

SClé de session(aléatoire)

INTERNET : UT ALGOS HYBRIDES(SYM+ASYM)

S

Message Clair

S

INTERNET

SMessage Clair

P

SPS

(Enveloppe Digitale)

2-

INTEGRITE

FONCTIONS DE HASHAGE

Taille QUELCONQUE Taille FIXE (128 /160 bits)

MESSAGE SCELLE FONCTION DEHASHAGE

FONCTION DEHASHAGE

MODIFICATIONUN BIT IMPOSSIBLEIMPOSSIBLE

SCELLE MESSAGE +MESSAGE INTEGRE SI IDENTIQUES

3-AUTHENTICITE

SIGNATURE DIGITALE

MESSAGE FONCTION DEHASHAGE

SCELLE SIGNATURE

DONNEES

Chiffrement ASYM

SClé Privée

+ SIGNATUREMESSAGE + P

CERTIFICATs

4-NON

REPUDIATION

SIGNATURE DIGITALE et Notaires Electroniques

MESSAGE FONCTION DEHASHAGE

SCELLE

Chiffrement

S

HORDOTAGE

+ Autres Infos

(selon Notaire)

SIGNATURE

NOTAIRE

SIGNATURE

SIGNATUREMESSAGE +

RECEPTEUR

RESEAU

MESSAGE

5-AUTORISATION

CLES DE SESSION DYNAMIQUES

Réseau

ChallengeCLE DE SESSION

COMPARAISON

OK

Challenge S

SS

SERVEUR

D’AUTHENTIFICATION

6-CONTROLE

D ’ ACCES

I –CONNEXIONS EXTERNES : LES FIREWALLS

• VPN: Encapsulation, Chiffrement et Authentificationdes Communications entre EXTRANETs

+ •Contrôle du CONTENU :

•Contrôle Viral, • Filtrage E-Mail ( @ ,mots-clés), • Filtrage Web ( @ ,mots-clés,labels),FTP,Telnet

Serveurs WebMail...

ZoneDémilitarisée (DMZ)

Système FIREWALL

F Internet+VPN

Serveurs

PC

PC RESEAU EXTERNE Firewall

Classique

INCAPABLES de Contrôler les Attaques INTERNES ( Aveugles )

FirewallsClassiques

Hackers Saboteurs

Firewalls DISTRIBUES

Modem

Inconscience

II – PROTECTION DES RESEAUX INTERNES :

III - CONTROLE DES ATTAQUES :

DetecteurD’Intrusions

InternetSANS LES RETARDER

DETECTEURS D’INTRUSION

1°

Établissement METHODIQUE d’un PLAN et d’une POLITIQUE DE SECURITE EVOLUTIFS :

GESTION DE LA SECURITE

SECURITE = UN TOUT{1-Stratégie+ 2-Règles de gestion+3-Mécanismes}

AUDIT(Quoi Protéger, Contre QUOI, RISQUES)

Etablissement d’unSHEMA DIRECTEUR SECURITE

•Structure chargée de la de sécurité • Etablir une Politique de sécurité•Politique de sensibilisation et de formation•Plan de réaction et de continuité de fonctionnement• Audit

Mesures OrganisationnellesMesures TECHNIQUES

•Mesures Physiques•Mécanismes de Protection•Mécanismes d ’Audit