La sécurité des échanges sur les réseaux
BTS CGO 2eme année la sécurité sur les réseaux page 1/3
La sécurité des échanges sur les réseaux
72
I Pourquoi et comment sécuriser ?
A. L’enjeu
Au-delà du commerce électronique, toute opération sur un réseau doit aujourd’hui être sécurisée, pour
éviter l’introduction des pirates ou le développement des virus.
Par exemple, le processus d’authentification sur un réseau doit garantir que la personne est bien celle
qu’elle prétend être et doit être confidentiel. Les programmes installés sur un poste doivent certifier
qu’ils font bien ce qu’ils sont censés faire et qu’ils n’ont pas été infectés.
B. Les objectifs
1. La confidentialité
Lors d’un transfert d’informations entre 2 entités à travers le réseau, cette information ne doit pas être
intelligible pour une tierce personne qui serait à l’écoute ou récupérerait le message.
Deux logiciels qui communiquent des informations sensibles sur un réseau doivent aussi bénéficier
d’un canal confidentiel.
2. L’authentification
Lorsque deux entités dialoguent à travers le réseau, il faut qu’elles soient sûres de l’identité de l’autre,
ceci pour éviter toute usurpation. Une telle exigence se fait particulièrement sentir lors de transactions
commerciales, mais aussi dans un échange entre un logiciel client et un logiciel serveur sur un réseau.
3. La non-répudiation
Elle concerne la validité juridique des signatures.
Il faut être sûr qu’un client qui passe une commande ne va pas se rétracter au dernier moment.
4. Le contrôle d’intégrité
Il faut pouvoir être sûr que l’information n’a pas été modifiée par une tierce personne lors d’un
transfert d’informations. Il faut également être sûr que le logiciel n’a pas été modifié.
C. Les moyens
Deux techniques sont utilisées :
le cryptage, qui permet de transformer un message de telle sorte qu’il ne soit intelligible que
pour la personne sachant opérer la transformation inverse,
le hachage, qui permet de signer un message et de vérifier son intégrité.
Les certificats sont utilisés pour garantir la confiance dans les transactions et les échanges.
La mise en oeuvre de l’ensemble de ces éléments est appelée architecture PKI (Public Key
Infrastructure) ou, en français, ICP (Infrastructure à Clés Publiques).
BTS CGO 2eme année la sécurité sur les réseaux page 2/3
II Le cryptage
Pour le cryptage, 2 méthodes sont utilisées :
les clés symétriques ou
les clés asymétriques.
Les avantages de ces deux méthodes sont repris dans une solution intermédiaire : la clé de session.
A. Les clés symétriques ou privées
On utilise la même clé pour crypter et décrypter le message.
Avantage : les algorithmes de cryptage et décryptage sont rapides.
Inconvénient : il faut transmettre la clé privée sur le réseau ; or, cette clé peut être interceptée
par une personne malveillante.
B. Les clés asymétriques ou publiques
On utilise deux clés : une pour crypter, l’autre pour décrypter.
L’une est transmise sur le réseau : la clé publique, l’autre est conservée par son propriétaire : la clé
privée.
Avantage : seule la clé publique est transmise.
Inconvénient : les algorithmes de cryptage et de décryptage sont lents.
C. La clé de session
Pour pallier la lenteur de l’algorithme à clés publiques, on va utiliser celui-ci pour déterminer une clé
symétrique entre deux interlocuteurs.
Cette clé sera elle-même cryptée par des clés asymétriques avant d’être transmise sur le réseau.
Puis elle sera ensuite utilisée pendant l’échange à la place des clés asymétriques.
III Le hachage
Une technique pour obtenir une signature numérique et respecter l’intégrité d’un message est celle qui
utilise les résumés de messages (messages digests, en anglais).
Le résumé de message est obtenu en sortie d’un algorithme de hachage.
Cet algorithme prend un texte de longueur variable en entrée et sort une séquence de bits de longueur
fixe.
La particularité d’un tel algorithme est qu’il est impossible de générer deux messages qui ont la même
valeur de sortie pour l’algorithme de hachage.
Ces algorithmes couplés avec les algorithmes à clés asymétriques permettent de vérifier l’authenticité
et l’intégrité (et, de fait, empêchent la répudiation).
Ex :
A transmet un message à B. Il calcule un résumé de message, crypte le message et le résumé de
message avec sa clé privée et transmet le tout à B.
B pourra décrypter le résumé de message (avec la clé publique de A) et le comparer avec celui qu’il
calculera lui-même en utilisant le même algorithme. Il pourra ainsi être sûr que le message provient
bien de A et qu’il n’a pas été modifié. Cela garantit également la non-répudiation puisque A est la
seule entité qui possède la clé privée.
BTS CGO 2eme année la sécurité sur les réseaux page 3/3
IV Les certificats
A. Principe
Tout ceci fonctionne très bien entre deux entités qui se connaissent, mais le commerce électronique
suppose une confiance réciproque entre deux acteurs qui, a priori, ne se sont jamais rencontrés.
De même, la distribution des traitements sur les réseaux peut mettre en relation des machines qui,
jusqu’alors, n’avaient aucun lien entre elles.
Tout cela exige des garanties supplémentaires.
En effet, le fait d’avoir un canal sécurisé de transmission entre A et B ne préjuge en rien de l’honnêteté
de A et B. Mais aussi, il peut y avoir entre A et B une personne qui se fait passer pour A auprès de B
et pour B auprès de A, en utilisant ses propres clés asymétriques.
Lorsque A et B veulent commercer ensemble (ou échanger des informations), ils vont faire appel à un
acteur tiers en qui ils ont tout deux confiance et qui va garantir l’échange entre A et B en certifiant
que A et B sont dignes de confiance, et qu’ils sont bien ceux qu’ils prétendent être.
B. Le contenu d’un certificat
Le certificat est un lien entre les données d’identification d’une personne et les données enregistrées et
garanties par l’autorité de certification.
Le contenu d’un certificat est aujourd’hui normalisé par la norme X509, version 3.
On trouve les informations suivantes :
– la version du certificat ;
– le numéro de série attribué par l’autorité de certification ;
– l’algorithme de signature utilisé par l’autorité de certification pour signer le certificat ;
– le code de l’autorité de certification ;
– la validité du certificat ;
– le nom du propriétaire du certificat ;
– la clé publique du propriétaire du certificat ;
– la signature du certificat par l’autorité de certification (emprunte numérique à l’aide
d’une fonction de hachage).
C. Les autorités de certification
Une autorité de certification commerciale est utilisée pour fournir des certificats dans lequel des
clients, ou des services externes à l’entreprise, ont confiance.
On fait appel à une société dont l’activité est la gestion de certificats. Les plus connues sont Verisign,
Thawte, Securenet, Globalsign.
Une autorité de certification privée ou autonome sert à générer des certificats internes au réseau de
l’entreprise pour sécuriser ses échanges.
72
1
/
3
100%
