SlideShare ist ein Scribd-Unternehmen logo

SSL.pdf

I
Iyadtech

ssl

Bildung
1 von 28
Downloaden Sie, um offline zu lesen
Sécurité avancée des réseaux IUT d’Auxerre Département RT 2ème année 2013-2014 tuo.zhang@u-bourgogne.fr TR-c4-2014 1
Protocole SSL/TLS Secure Sockets Layer, un protocole de sécurisation des échanges sur Internet, devenu Transport Layer Security sur niveau 4 de Modèle OSI http TR-c4-2014 2
HTTPS • HTTPS (HTTP over SSL )  une combinaison de HTTP & SSL/TLS pour sécuriser la communication entre la navigateur(coté client) et le serveur(coté fournisseur) .  documentation dans RFC2818  pas de différente fondamentale en utilisant SSL et TLS • Utilise https:// au lieu de http://  Et port 433 au lieu de 80  Protection par rapport à l’attaque de l’homme du milieu • Chiffrements(entrypts)  URL, document contents, form data, cookies, HTTP headers TR-c4-2014 3
SSL/TLS--Les principes(1/2) • SSL/TLS  TCP: protocole à état fonctionnant par connexion qui détecte si des paquets sont perdus ou arrivent dans le désordre N’assure pas l’authentification des donnée, leur intégrité ni leur confidentialité  Service introduits dans SSL(Secure Sockets Layer). TLS= Transport Layer Security= SSL 3.1 avec quelques modifications mineures S’insère en fait entre HTTP(HTTPS) et TCP  Objectifs Authentification du serveur Confidentialité des données échangées Intégrité des données échangées Optionnellement authentification du client TR-c4-2014 4
SSL/TLS--Les principes(2/2) • SSL/TLS intégré dans les navigateurs Web.  Microsoft IE(Windows 7, 8.1), Safari  Netscape, Mozilla Firefox, Google Chrome, Opera  Apache, IIS, … • SSL comprend deux sous-couches:  Protocole SSL Record  Applique les opérations cryptographiques  Protocole « handshake »:  Fixe les paramètres cryptographique de la session courante, et effectue l’authentification  Algorithmes utilisé:  RC4-128, SHA, MD5… • SSL/TLS est composé:  d’un générateur de clés  de fonctions de hachage  de protocoles de négociation et de gestion de session  De certificats X.509 par ex. TR-c4-2014 5
Avantages et Inconvénients • Pré-requis: Utiliser des logiciels serveurs et clients SSL/TLS • Inconvénients: Si utilisation des certificat X509=>formation obligatoire des utilisateurs • Avantages: Authentification forte du client Nombreuses applications utilisent SSL/TLS Confidentialité et intégrité des échanges • Utilisation: VPN d’accès(nomades à site) Intranet, extranet(Sites à Sites) LAN TR-c4-2014 6
OpenSSL • SSL/TLS s’appuie sur OpenSSL • OpenSSL est une boîte à outil de chiffrement comportant :  libcrypto  Libssl et une interface en ligne d’un ensemble d’exécutables en commande permettant:  La forge de clefs RSA, DSA  La création de certificat X509  Le calcul d’empreinte  Le chiffrement et le déchiffrement  La réalisation de tests de clients et serveur SSL/TLS  La signature et le chiffrement de courriers TR-c4-2014 7
Vulnérabilité • Connectivité HTTPS à près de 65% des sites web. • Le bug a été découvert en avril 2014, de manière indépendante, par l’équipe sécurité de Google et par des ingénieurs de la société Codenomicon. • La NSA, était au courant de l’existence de cette vulnérabilité depuis deux ans. TR-c4-2014 8
Vulnérabilité • Quels sont les impacts?  Cette faille pourrait permette à des internautes mal intentionnés(«chapeau noir » ) de récupérer des informations situées sur les serveurs d’un site vulnérable.  Toutes les données chiffrées de l’internet  Transactions financières: commerce électronique, banque en ligne, courtage en ligne…  Courriers: email comme la consultation de données privées…  Services et logiciels impactés  Sites internet: Amazon Web Services, GitHub, wikipédia,wechat,taobao…  Applications: LastPass Password, LibreOffice, McAfee, Serveurs d’applications HP, Vmware series…  Systèmes d’exploitation: Android 4.1.1, Firmware de routeurs Cisco Systems, Firmware de routeurs Juniper Networks, Firmware de disque durs Western Digital de la gamme de produit « My Cloud » • Concrètement, c’est quoi?  La faille permet de récupérer 64KB de mémoire. TR-c4-2014 9
Serveur, tu es là? Si oui, merci de me donner une réponse « BIRD »(4 caractères) OK Serveur, tu es là? Si oui, merci de me donner une réponse « HAT »(500 caractères) Génial, Quels infos! Scénario en générale TR-c4-2014 10
Schéma en concrète TR-c4-2014 11
Navigateur web Serveur web vulnérable 1. Extraction des données sensible à partir de serveurs HTTPS vulnérable Alice Colin Donnée.com GET/monprofil Votre SSN: 5488396 Heartbeat(65535) Réponse(65535) …SSN: 5488396… Obtenir donnée sensible
Navigateur web Serveur web vulnérable 2. Extraction des « login credentials » à partir de serveurs HTTPS vulnérable Alice Colin login.com POST/login user=alice&pass=onygo Heartbeat(65535) Réponse(65535) …user=alice&pas=onygo… Obtenir login credential Serveur web Banque.com POST/login user=alice&pass=onygo POST/auth name=alice&pass=onygo
Navigateur web Serveur web vulnérable 3. « Session hijacking » à partir de serveurs HTTPS vulnérable Alice Colin mail.com GET/index.html Cookie:session=1234 Heartbeat(65535) Réponse(65535) …session: 1234… Obtenir cookie secrète GET/mail Cookie:session=1234
Navigateur web Serveur web de MITM Serveur web vulnérable 4. « Man-in-the-middle » impersonation par rapport au service sur ligne Alice boujour.com Blackhat.org Trafic hijiacking, (DNS poisonning, ICMP redirect, Routeur compromis, etc) Heartbeat(65535) Réponse(65535) …BEGIN RSA PRIVATE KEY--n0Mq59rlC9h Changer clefs de SSL Impersonates bonjour.com Patches logiciel de SSL POST/login Host:www.boujour.com User=alice&pass=onygo Obtenir credentials
code source & diagramme Type Longueur Payload data TLS1_HB_RESPONSE 65535 octets 1 octet Type Longueur Payload data TLS1_HB_RESPONSE 65535 octets 65535 octets Longueur 4 octets Heartbeat envoyé au serveur(victim) SSLv3 record Longueur 65538 octets La réponse de serveur(victim) SSLv3 record Bug fixé: http://git.openssl.org/gitweb/?p=openssl.git;a=blob;f=ssl/t1_lib.c;h=a2e2475d136f33fa26958fd192b8ace158c4899d#l3969 TR-c4-2014 16
Terminologie de la sécurité Services de sécurité •Confidentialité (Confidentiality) •- préserver le secret d’une information •- protection de l’information lors de sa conservation, du transfert ou du calcul •Intégrité (Integrity) •- préserver contre les modifications, sauf autorisation •-vérifier la non altération frauduleuse •Disponibilité (Availability) •- Garantir la possibilité d’accéder aux services •- Eviter les interruptions, les obstructions •- Pas de modèle de disponibilité(infrastructure) •Autorisation (Authorization) •- identification(nom) et authentification(garantir d’identité) •- contrôle les droits d’accès, rendre un service de sécurité •Authentification (Authentication) •- identification, contrôle d’accès, non réputation TR-c4-2014 17
Terminologie de la sécurité 1.définition de la sécurité • Définition courante: Sécurité = combinaison de Confidentialité: prévention de divulgation non autorisée de l’information Intégrité: prévention de modification non autorisée de l’information Disponibilité: prévention de rétention non autorisée de l’information ou de ressources Parfois, ajout d’autre propriétés(imputabilité, non réputation,…) • En une phrase (définition utilisée dans ce cours)  Prévention d’actions non autorisées Les actions autorisées seront définis dans la politique de sécurité. TR-c4-2014 18
Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 19
Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 20
Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 21
Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 22
Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 23
Terminologie de la sécurité Politique, objectif, fonctions, mécanisme de sécurité • Principes de conception de mécanisme de sécurité informatique 1) Contrôle orientés données, opérations ou utilisateur? 2) A quel niveau du système le mécanisme doit-il être placé? TR-c4-2014 24
Terminologie de la sécurité Bien, Vulnérabilité, Menace, Risque & Politique, objectif, fonctions, mécanisme de sécurité Vulnérabilité/faille Attaque Elément menaçant Bien Propriétaire Contre-mesure impose réduit Peut-engendrer Risque protège Scénario de menace Impact utilise exploite liée à perte produit menace TR-c4-2014 25
100% sécurité? La sécurité à travers les âges • La sécurité de l’informatique répartie  Kerberos au MIT(projet Athena 1983-91) • Les avancées en cryptologie  La génération du DES(symétrique, 1976), puis le RSA (asymétrique, 1977) • La sécurité des grands réseaux  Les infra)structures de gestion de clef publique(PKI)  Les protocole de sécurité(IPsec en 1995, SSL en 1996,…), composants (Pare-feu, VPN, IDSs…) et architectures • L’introduction de périphériques de confiance  Cartes à puces • La sécurité des contenus  DRM(Digital Right Management), Tatouage numérique( Watermarking) • La sécurité en 2010  La gestion et la fédération d’identités, le « Single-Sign-On »  Evolution de la cryptologie(AES, courbes elliptiques, fonction de hachage…)  Informatique de confiance(TCPA/TCG)  La sécurité de la vie privée(anonymat, RFID)  Sécurité du « Cloud Computing » et « IoT » TR-c4-2014 26
Références • SSL 3.0 Spécification https://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 • Transport Layer Security (TLS) Charter http://datatracker.ietf.org/wg/tls/charter/ • OpenSSL: The Open Source toolkit for SSL/TLS http://www.openssl.org • Le bug de Heartbleed http://heartbleed.com • NSA Said to exploit Heartbleed Bug for Interlligence for Years http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing- consumers.html • A Few Thoughts on Cryptographic Engineering http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html • Jean Leneutre, Telecom-paristech, INF721 « Concepts fondamentaux de la sécurité »,2012 • Michel Riguidel, ENST PARIS, « La sécurité des réseaux et des systèmes »,2008 • T.Zhang, “ Composant de sécurité---La composant autorisation pour une session « User- centric » ” Edition universitaire européennes (2012-02-14), ISBN 978-3-8417-8928-0 TR-c4-2014 27
About me • ENSEIGNANT-CHERCHEUR, IUT DIJON-AUXERRE, UNIVERSITÉ DE BOURGOGNE — 2014-PRÉSENT  Responsable du module « Sécurité avancée de Réseau » (CMs, TDs et TPs)  Enseignant du module « Technologie de l’Internet »(TPs) • ENSEIGNANT-CHERCHEUR, SUP GALILÉE, UNIVERSITE DE PARIS 13 — 09/2012-12/2013  Enseignant du module « Réseau et Transmission de données » (TDs et TPs)  Enseignant du module « Système et Réseau » (TDs et TPs) • ENSEIGNANT-CHERCHEUR, IUT VILLETANEUSE, UNIVERSITE DE PARIS 13 — 10/2011-08/2012  Enseignant du module « Outil de l’Informatique pour la Gestion » (TDs et TPs) • INGÉNIEUR DE RECHERCHE, INSTITUT GALILÉE, UNIVERSITÉ DE PARIS 13 — 12/2009-09/2011  Le projet ANR/VERSO/UBIS a pour objectif de faciliter l’intégration des usages dans le contexte de mobilité et d’ubiquité tel qu’il existe aujourd’hui et tel qu’il se développera demain dans les réseaux du futur. le projet UBIS propose un « NGN / NGS middleware » omniprésent, dénommé « Serviceware » pour favoriser la fourniture de contenus. Il sera constitué de composants de service mutualisables répartis selon un déploiement intelligent. • STAGIAIRE, TÉLÉCOM-PARISTECH — 04/2009-11/2009 • Rewards  Champion de projet Innovant (Doctoriales 2011— Sorbonne Paris Cité) TR-c4-2014 28

Empfohlen

Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
Paulin CHOUDJA
 
Crypto camer
Crypto camerCrypto camer
Crypto camer
dilan23
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
mowaffakfejja
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
ChloLau
 
Plaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerPlaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorer
NetExplorer
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
Microsoft Technet France
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
Cyber Security Alliance
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
TECOS
 

Empfohlen

Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
Paulin CHOUDJA
 
Crypto camer
Crypto camerCrypto camer
Crypto camer
dilan23
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
mowaffakfejja
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
ChloLau
 
Plaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerPlaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorer
NetExplorer
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
Microsoft Technet France
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
Cyber Security Alliance
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
TECOS
 
Cours si1
Cours si1Cours si1
Cours si1
Hafsa Elfassi
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
CERTyou Formation
 
ssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdfssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdf
Iyadtech
 
SSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationSSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - Présentation
Ikram Benabdelouahab
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
BarcampCameroon
 
Securite
SecuriteSecurite
Securite
Oussama Jock
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
Sylvain Maret
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
Astoine.com "Gold Certified Microsoft Cloud Technology IT"​ Formation et Conseil - Maroc
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
dihiaselma
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZero
CHILDZ Laurent
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
depinfo
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
Nis
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
Charif Khrichfa
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL Français
SSL247®
 
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
SmartnSkilled
 
Le protocole tls
Le protocole tlsLe protocole tls
Le protocole tls
Franck TOUNGA
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Sylvain Maret
 
Vpn
VpnVpn
Vpn
malekoff
 
Vpn
VpnVpn
Vpn
malekoff
 
Virtual Private Network
Virtual Private NetworkVirtual Private Network
Virtual Private Network
malekoff
 
La nouvelle femme . pptx Film français
La nouvelle femme . pptx Film françaisLa nouvelle femme . pptx Film français
La nouvelle femme . pptx Film français
Txaruka
 
Cours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdfCours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdf
achrafbrahimi1
 

Weitere ähnliche Inhalte

Ähnlich wie SSL.pdf

Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
CERTyou Formation
 
ssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdfssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdf
Iyadtech
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
Sylvain Maret
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
Astoine.com "Gold Certified Microsoft Cloud Technology IT"​ Formation et Conseil - Maroc
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
depinfo
 
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
SmartnSkilled
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Sylvain Maret
 

Ähnlich wie SSL.pdf (20)

Cours si1
Cours si1Cours si1
Cours si1
 
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatiqueCy9808 formation-les-fondamentaux-de-la-securite-informatique
Cy9808 formation-les-fondamentaux-de-la-securite-informatique
 
ssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdfssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdf
 
SSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationSSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - Présentation
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Securite
SecuriteSecurite
Securite
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Cours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZeroCours HTTPS pour UnPointZero
Cours HTTPS pour UnPointZero
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
 
Webinar SSL Français
Webinar SSL FrançaisWebinar SSL Français
Webinar SSL Français
 
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
Support formation vidéo : Préparez votre certification Sophos UTM v9.5 Engine...
 
Le protocole tls
Le protocole tlsLe protocole tls
Le protocole tls
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
 
Vpn
VpnVpn
Vpn
 
Vpn
VpnVpn
Vpn
 
Virtual Private Network
Virtual Private NetworkVirtual Private Network
Virtual Private Network
 

Kürzlich hochgeladen

Bilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdfBilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdf
AmgdoulHatim
 
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
Faga1939
 
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptxCopie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
ikospam0
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
ssuserc72852
 

Kürzlich hochgeladen (18)

La nouvelle femme . pptx Film français
La nouvelle femme . pptx Film françaisLa nouvelle femme . pptx Film français
La nouvelle femme . pptx Film français
 
Cours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdfCours ofppt du Trade-Marketing-Présentation.pdf
Cours ofppt du Trade-Marketing-Présentation.pdf
 
Boléro. pptx Film français réalisé par une femme.
Boléro. pptx Film français réalisé par une femme.Boléro. pptx Film français réalisé par une femme.
Boléro. pptx Film français réalisé par une femme.
 
Les roches magmatique géodynamique interne.pptx
Les roches magmatique géodynamique interne.pptxLes roches magmatique géodynamique interne.pptx
Les roches magmatique géodynamique interne.pptx
 
Formation échiquéenne jwhyCHESS, parallèle avec la planification de projet
Formation échiquéenne jwhyCHESS, parallèle avec la planification de projetFormation échiquéenne jwhyCHESS, parallèle avec la planification de projet
Formation échiquéenne jwhyCHESS, parallèle avec la planification de projet
 
COURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdf
COURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdfCOURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdf
COURS SVT 3 EME ANNEE COLLEGE 2EME SEM.pdf
 
Bilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdfBilan énergétique des chambres froides.pdf
Bilan énergétique des chambres froides.pdf
 
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
L'ÉVOLUTION DE L'ÉDUCATION AU BRÉSIL À TRAVERS L'HISTOIRE ET LES EXIGENCES DE...
 
Apolonia, Apolonia.pptx Film documentaire
Apolonia, Apolonia.pptx Film documentaireApolonia, Apolonia.pptx Film documentaire
Apolonia, Apolonia.pptx Film documentaire
 
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptxCopie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
Copie de Engineering Software Marketing Plan by Slidesgo.pptx.pptx
 
Chapitre 2 du cours de JavaScript. Bon Cours
Chapitre 2 du cours de JavaScript. Bon CoursChapitre 2 du cours de JavaScript. Bon Cours
Chapitre 2 du cours de JavaScript. Bon Cours
 
Formation qhse - GIASE saqit_105135.pptx
Formation qhse - GIASE saqit_105135.pptxFormation qhse - GIASE saqit_105135.pptx
Formation qhse - GIASE saqit_105135.pptx
 
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...
GIÁO ÁN DẠY THÊM (KẾ HOẠCH BÀI DẠY BUỔI 2) - TIẾNG ANH 6, 7 GLOBAL SUCCESS (2...
 
Sidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film françaisSidonie au Japon . pptx Un film français
Sidonie au Japon . pptx Un film français
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
 
L application de la physique classique dans le golf.pptx
L application de la physique classique dans le golf.pptxL application de la physique classique dans le golf.pptx
L application de la physique classique dans le golf.pptx
 
Computer Parts in French - Les parties de l'ordinateur.pptx
Computer Parts in French - Les parties de l'ordinateur.pptxComputer Parts in French - Les parties de l'ordinateur.pptx
Computer Parts in French - Les parties de l'ordinateur.pptx
 
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
Conférence Sommet de la formation 2024 : Développer des compétences pour la m...
 

SSL.pdf

  • 1. Sécurité avancée des réseaux IUT d’Auxerre Département RT 2ème année 2013-2014 tuo.zhang@u-bourgogne.fr TR-c4-2014 1
  • 2. Protocole SSL/TLS Secure Sockets Layer, un protocole de sécurisation des échanges sur Internet, devenu Transport Layer Security sur niveau 4 de Modèle OSI http TR-c4-2014 2
  • 3. HTTPS • HTTPS (HTTP over SSL )  une combinaison de HTTP & SSL/TLS pour sécuriser la communication entre la navigateur(coté client) et le serveur(coté fournisseur) .  documentation dans RFC2818  pas de différente fondamentale en utilisant SSL et TLS • Utilise https:// au lieu de http://  Et port 433 au lieu de 80  Protection par rapport à l’attaque de l’homme du milieu • Chiffrements(entrypts)  URL, document contents, form data, cookies, HTTP headers TR-c4-2014 3
  • 4. SSL/TLS--Les principes(1/2) • SSL/TLS  TCP: protocole à état fonctionnant par connexion qui détecte si des paquets sont perdus ou arrivent dans le désordre N’assure pas l’authentification des donnée, leur intégrité ni leur confidentialité  Service introduits dans SSL(Secure Sockets Layer). TLS= Transport Layer Security= SSL 3.1 avec quelques modifications mineures S’insère en fait entre HTTP(HTTPS) et TCP  Objectifs Authentification du serveur Confidentialité des données échangées Intégrité des données échangées Optionnellement authentification du client TR-c4-2014 4
  • 5. SSL/TLS--Les principes(2/2) • SSL/TLS intégré dans les navigateurs Web.  Microsoft IE(Windows 7, 8.1), Safari  Netscape, Mozilla Firefox, Google Chrome, Opera  Apache, IIS, … • SSL comprend deux sous-couches:  Protocole SSL Record  Applique les opérations cryptographiques  Protocole « handshake »:  Fixe les paramètres cryptographique de la session courante, et effectue l’authentification  Algorithmes utilisé:  RC4-128, SHA, MD5… • SSL/TLS est composé:  d’un générateur de clés  de fonctions de hachage  de protocoles de négociation et de gestion de session  De certificats X.509 par ex. TR-c4-2014 5
  • 6. Avantages et Inconvénients • Pré-requis: Utiliser des logiciels serveurs et clients SSL/TLS • Inconvénients: Si utilisation des certificat X509=>formation obligatoire des utilisateurs • Avantages: Authentification forte du client Nombreuses applications utilisent SSL/TLS Confidentialité et intégrité des échanges • Utilisation: VPN d’accès(nomades à site) Intranet, extranet(Sites à Sites) LAN TR-c4-2014 6
  • 7. OpenSSL • SSL/TLS s’appuie sur OpenSSL • OpenSSL est une boîte à outil de chiffrement comportant :  libcrypto  Libssl et une interface en ligne d’un ensemble d’exécutables en commande permettant:  La forge de clefs RSA, DSA  La création de certificat X509  Le calcul d’empreinte  Le chiffrement et le déchiffrement  La réalisation de tests de clients et serveur SSL/TLS  La signature et le chiffrement de courriers TR-c4-2014 7
  • 8. Vulnérabilité • Connectivité HTTPS à près de 65% des sites web. • Le bug a été découvert en avril 2014, de manière indépendante, par l’équipe sécurité de Google et par des ingénieurs de la société Codenomicon. • La NSA, était au courant de l’existence de cette vulnérabilité depuis deux ans. TR-c4-2014 8
  • 9. Vulnérabilité • Quels sont les impacts?  Cette faille pourrait permette à des internautes mal intentionnés(«chapeau noir » ) de récupérer des informations situées sur les serveurs d’un site vulnérable.  Toutes les données chiffrées de l’internet  Transactions financières: commerce électronique, banque en ligne, courtage en ligne…  Courriers: email comme la consultation de données privées…  Services et logiciels impactés  Sites internet: Amazon Web Services, GitHub, wikipédia,wechat,taobao…  Applications: LastPass Password, LibreOffice, McAfee, Serveurs d’applications HP, Vmware series…  Systèmes d’exploitation: Android 4.1.1, Firmware de routeurs Cisco Systems, Firmware de routeurs Juniper Networks, Firmware de disque durs Western Digital de la gamme de produit « My Cloud » • Concrètement, c’est quoi?  La faille permet de récupérer 64KB de mémoire. TR-c4-2014 9
  • 10. Serveur, tu es là? Si oui, merci de me donner une réponse « BIRD »(4 caractères) OK Serveur, tu es là? Si oui, merci de me donner une réponse « HAT »(500 caractères) Génial, Quels infos! Scénario en générale TR-c4-2014 10
  • 12. Navigateur web Serveur web vulnérable 1. Extraction des données sensible à partir de serveurs HTTPS vulnérable Alice Colin Donnée.com GET/monprofil Votre SSN: 5488396 Heartbeat(65535) Réponse(65535) …SSN: 5488396… Obtenir donnée sensible
  • 13. Navigateur web Serveur web vulnérable 2. Extraction des « login credentials » à partir de serveurs HTTPS vulnérable Alice Colin login.com POST/login user=alice&pass=onygo Heartbeat(65535) Réponse(65535) …user=alice&pas=onygo… Obtenir login credential Serveur web Banque.com POST/login user=alice&pass=onygo POST/auth name=alice&pass=onygo
  • 14. Navigateur web Serveur web vulnérable 3. « Session hijacking » à partir de serveurs HTTPS vulnérable Alice Colin mail.com GET/index.html Cookie:session=1234 Heartbeat(65535) Réponse(65535) …session: 1234… Obtenir cookie secrète GET/mail Cookie:session=1234
  • 15. Navigateur web Serveur web de MITM Serveur web vulnérable 4. « Man-in-the-middle » impersonation par rapport au service sur ligne Alice boujour.com Blackhat.org Trafic hijiacking, (DNS poisonning, ICMP redirect, Routeur compromis, etc) Heartbeat(65535) Réponse(65535) …BEGIN RSA PRIVATE KEY--n0Mq59rlC9h Changer clefs de SSL Impersonates bonjour.com Patches logiciel de SSL POST/login Host:www.boujour.com User=alice&pass=onygo Obtenir credentials
  • 16. code source & diagramme Type Longueur Payload data TLS1_HB_RESPONSE 65535 octets 1 octet Type Longueur Payload data TLS1_HB_RESPONSE 65535 octets 65535 octets Longueur 4 octets Heartbeat envoyé au serveur(victim) SSLv3 record Longueur 65538 octets La réponse de serveur(victim) SSLv3 record Bug fixé: http://git.openssl.org/gitweb/?p=openssl.git;a=blob;f=ssl/t1_lib.c;h=a2e2475d136f33fa26958fd192b8ace158c4899d#l3969 TR-c4-2014 16
  • 17. Terminologie de la sécurité Services de sécurité •Confidentialité (Confidentiality) •- préserver le secret d’une information •- protection de l’information lors de sa conservation, du transfert ou du calcul •Intégrité (Integrity) •- préserver contre les modifications, sauf autorisation •-vérifier la non altération frauduleuse •Disponibilité (Availability) •- Garantir la possibilité d’accéder aux services •- Eviter les interruptions, les obstructions •- Pas de modèle de disponibilité(infrastructure) •Autorisation (Authorization) •- identification(nom) et authentification(garantir d’identité) •- contrôle les droits d’accès, rendre un service de sécurité •Authentification (Authentication) •- identification, contrôle d’accès, non réputation TR-c4-2014 17
  • 18. Terminologie de la sécurité 1.définition de la sécurité • Définition courante: Sécurité = combinaison de Confidentialité: prévention de divulgation non autorisée de l’information Intégrité: prévention de modification non autorisée de l’information Disponibilité: prévention de rétention non autorisée de l’information ou de ressources Parfois, ajout d’autre propriétés(imputabilité, non réputation,…) • En une phrase (définition utilisée dans ce cours)  Prévention d’actions non autorisées Les actions autorisées seront définis dans la politique de sécurité. TR-c4-2014 18
  • 19. Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 19
  • 20. Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 20
  • 21. Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 21
  • 22. Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 22
  • 23. Terminologie de la sécurité 1.définition de la sécurité TR-c4-2014 23
  • 24. Terminologie de la sécurité Politique, objectif, fonctions, mécanisme de sécurité • Principes de conception de mécanisme de sécurité informatique 1) Contrôle orientés données, opérations ou utilisateur? 2) A quel niveau du système le mécanisme doit-il être placé? TR-c4-2014 24
  • 25. Terminologie de la sécurité Bien, Vulnérabilité, Menace, Risque & Politique, objectif, fonctions, mécanisme de sécurité Vulnérabilité/faille Attaque Elément menaçant Bien Propriétaire Contre-mesure impose réduit Peut-engendrer Risque protège Scénario de menace Impact utilise exploite liée à perte produit menace TR-c4-2014 25
  • 26. 100% sécurité? La sécurité à travers les âges • La sécurité de l’informatique répartie  Kerberos au MIT(projet Athena 1983-91) • Les avancées en cryptologie  La génération du DES(symétrique, 1976), puis le RSA (asymétrique, 1977) • La sécurité des grands réseaux  Les infra)structures de gestion de clef publique(PKI)  Les protocole de sécurité(IPsec en 1995, SSL en 1996,…), composants (Pare-feu, VPN, IDSs…) et architectures • L’introduction de périphériques de confiance  Cartes à puces • La sécurité des contenus  DRM(Digital Right Management), Tatouage numérique( Watermarking) • La sécurité en 2010  La gestion et la fédération d’identités, le « Single-Sign-On »  Evolution de la cryptologie(AES, courbes elliptiques, fonction de hachage…)  Informatique de confiance(TCPA/TCG)  La sécurité de la vie privée(anonymat, RFID)  Sécurité du « Cloud Computing » et « IoT » TR-c4-2014 26
  • 27. Références • SSL 3.0 Spécification https://tools.ietf.org/html/draft-ietf-tls-ssl-version3-00 • Transport Layer Security (TLS) Charter http://datatracker.ietf.org/wg/tls/charter/ • OpenSSL: The Open Source toolkit for SSL/TLS http://www.openssl.org • Le bug de Heartbleed http://heartbleed.com • NSA Said to exploit Heartbleed Bug for Interlligence for Years http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing- consumers.html • A Few Thoughts on Cryptographic Engineering http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html • Jean Leneutre, Telecom-paristech, INF721 « Concepts fondamentaux de la sécurité »,2012 • Michel Riguidel, ENST PARIS, « La sécurité des réseaux et des systèmes »,2008 • T.Zhang, “ Composant de sécurité---La composant autorisation pour une session « User- centric » ” Edition universitaire européennes (2012-02-14), ISBN 978-3-8417-8928-0 TR-c4-2014 27
  • 28. About me • ENSEIGNANT-CHERCHEUR, IUT DIJON-AUXERRE, UNIVERSITÉ DE BOURGOGNE — 2014-PRÉSENT  Responsable du module « Sécurité avancée de Réseau » (CMs, TDs et TPs)  Enseignant du module « Technologie de l’Internet »(TPs) • ENSEIGNANT-CHERCHEUR, SUP GALILÉE, UNIVERSITE DE PARIS 13 — 09/2012-12/2013  Enseignant du module « Réseau et Transmission de données » (TDs et TPs)  Enseignant du module « Système et Réseau » (TDs et TPs) • ENSEIGNANT-CHERCHEUR, IUT VILLETANEUSE, UNIVERSITE DE PARIS 13 — 10/2011-08/2012  Enseignant du module « Outil de l’Informatique pour la Gestion » (TDs et TPs) • INGÉNIEUR DE RECHERCHE, INSTITUT GALILÉE, UNIVERSITÉ DE PARIS 13 — 12/2009-09/2011  Le projet ANR/VERSO/UBIS a pour objectif de faciliter l’intégration des usages dans le contexte de mobilité et d’ubiquité tel qu’il existe aujourd’hui et tel qu’il se développera demain dans les réseaux du futur. le projet UBIS propose un « NGN / NGS middleware » omniprésent, dénommé « Serviceware » pour favoriser la fourniture de contenus. Il sera constitué de composants de service mutualisables répartis selon un déploiement intelligent. • STAGIAIRE, TÉLÉCOM-PARISTECH — 04/2009-11/2009 • Rewards  Champion de projet Innovant (Doctoriales 2011— Sorbonne Paris Cité) TR-c4-2014 28