Université Paris II & LRI Michel de Rougemont [email protected] http://www.lri.fr/~mdr M2:Introduction à la Sécurité Informatique 1. Sécurité informatique • Protection d’un site • Chiffrement, Signature Electronique • Parefeux, Virus 2. Gestion de projets • Spécification • Valeur de l’Information Sécurité • Gestion d’accès par mot de passe – Login – Protection d’un sous-répertoire • Chiffrement de cette information – Protection de login/passwd – Protection des messages – SSL (https) • Signature : authentification – Théorie unifiée du chiffrement à clé publique : schéma RSA – S/MIME – Gestion des certificats Restriction d’accès php phpsec sec1 • Technique APACHE Fichier .htaccess dans phpsec PerlSetVar AuthFile sec1/passlist.txt AuthName "Acces Restreint" AuthType Basic require valid-user Protège l’accès selon passlist.txt Restriction d’accès php phpsec sec1 • Technique APACHE sur free Fichier passlist.txt dans sec1 mdr:mdrmdr sportp2:sportp2 Vérifie login/password Restriction d’accès php phpsec sec1 • APACHE sur free Fichier .htaccess dans sec1 Deny to all Protège l’accès. Visible en ftp seulement. Accès général php phpsec • Technique APACHE Fichier .htaccess dans phpsec PerlSetVar AuthFile .htpasswd AuthName "Acces Restreint" AuthType Basic require valid-user Protège l’accès selon .htpasswd Restriction d’accès php phpsec • Technique APACHE générale Fichier .htpasswd mdr:gPLnApjqJXZKk sportp2:igvkRCx4yedNA Vérifie login/password (valeur hâchée) Fonction de hâchage Outil important. h : D I Conditions sur h(x) Facile à calculer Difficile à inverser h(x+dx) =/= h(x) T.D. 1 M2-1 • Formulation du projet M1 • Concevoir les tables Mysql • Protéger query.php sur votre site à l’aide de .htaccess • Pour les projets informatiques Spécifications de la partie 1 en PHP. Autres aspects de la sécurité Applications pratiques: Gestion des certificats de mail sous Netscape et Outlook et signature électronique. S/MIME Certificats de mail : www.thawte.com Certificats SSL sous openSSL. Gérer HTTPS . Exemples www.google.fr www.lri.fr , Etat civil francais, .... To: Georges W. Subject : Confidentiel. Georges.cert Ci-joint le message secret ................. Mdr.cert Autres aspects de la sécurité Gestion des Droits Digitaux. Marquage de données DRM (Digital Rights Management) Valeur de l’Information. Pagerank de Google Information relative à une source XML Valeur d’un site Valeur d’un service: applications à l’administration électronique. Modèles de valeur Adwords de Google: Publicité ciblée, par mots clé. Quel est le coût des mots: {droit, Internet} ? Enchères de Vickrey: •Gagnant a proposé le meilleur prix •Prix est celui de la 2ème meilleure enchère. Projet M1-M2 Projet Pratique: Concevoir un site serveur: Architecture HTML Base de Données MySQL Scripts PHP Exemples: Gestion de films et cinémas Inscription à des cours Gestion de contenu d’un portail Questions: Sécuriser le site. Aspects juridiques? Valeur du site? Gestion de Projets: • Aspect Ressources Humaines (M4-1) – – – – Equipe Objectif Evaluation de la qualité Evaluation des coûts ….. • Projets informatiques – Éléments de base à assembler – Classes, méthodes • Méthode Merise • U.M.L (Unified Modeling Language) – Langages informatiques : PHP Projets: • Présentation – Objectif – Quels services? – Quels usagers? • Schéma de la Base de données Mysql – Combien de tables – Structures des tables • Architecture HTML – Page d’index, pages principales, liens – Feuilles de style • Scripts PHP – Liens entre page HTML et Base de données. Exemple : gestion de résultats de compétition sportive • Présentation: – offrir la possibilité de gérer des résultats de compétitions de sport. Afficher les résultats sur une page par sport. – Possibilité de s’abonner aux résultats : envoi hebdomadaire. • Schéma B.D. – Table R ( sport, lieu, date, e1,e2,score…) – Table L (nom, email, sport) • Architecture HTML – – – – – Sélection sport sur page d’index Abonnement: lien de la page d’index vers une nouvelle page Entrer de nouveaux résultats sur la page de chaque sport. Feuilles de style : Menu colonne gauche. Select/option pour chaque sport. • Scripts PHP – Insertion d’un formulaire abonnement vers L – Affichage de R sur la page de chaque sport par sélection du sport Gestion de résultats de compétition sportive sur www.sportassas.fr • Présentation: – Powerpoint • Schéma B.D. – Powerpoint et MYSQL (via query.php) • Architecture HTML – Powerpoint : Arborescence et liens – Fichiers sur sportassas.free.fr puis sur www.sportassas.fr • Scripts PHP – Powerpoint : fonction des scripts – Réalisation sur www.sportassas.fr Itérations chaque semaine