1 / 41

But du séminaire

But du séminaire. Informer sur les risques liés à l’échange d’information sécurisée sur Internet. Patrick Anthamatten Directeur administratif Ingénieur Informaticien EPFZ pan@cdi.ch Jean-Marc Jutzet Directeur technique Ingénieur Informaticien EPFZ jmj@cdi.ch. Agenda.

mikaia
Download Presentation

But du séminaire

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. But du séminaire • Informer sur les risques liés à l’échange d’information sécurisée sur Internet

  2. Patrick Anthamatten Directeur administratif Ingénieur Informaticien EPFZ pan@cdi.ch Jean-Marc Jutzet Directeur technique Ingénieur Informaticien EPFZ jmj@cdi.ch

  3. Agenda • Présentation de cdi • Les bases de la communication sur Internet • La sécurisation de la communication • Transfert de données commerciales sur Internet • Analyse des risques potentiels • Sécurité de votre infrastructure informatique • Questions

  4. cdi • Société fondée en 1994 • Composée de 13 personnes • Développeurs d’applications logicielles • Spécialistes réseaux et sécurité Internet • Graphiste

  5. Activités • Développement d’applications sur mesure • Conseil en sécurité Internet et gestion d’infrastructure • Plus d’informations sous www.cdi.ch

  6. Activités : Sécurité Internet • Intr@solution : Solution intégrée de sécurité Internet • Sécurisation de l’accès à l’Internet • Configuration des Firewalls • Etablissement de VPN (succursales et clients) • Accès distant au réseau de l’entreprise • Contrôle : • du contenu des e-mails (Virus, spam) • l’accès au Web • Gestion centralisée des antivirus pour les postes de travail

  7. Activités : Sécurité Internet Sites Web commerçants • Encryption SSL • Paiement sécurisé

  8. Clients Technologies Internet et infrastructure Développement applicatif et gestion de projet • Alexandre SA • Office du Livre Fribourg • Groupe Fiduciaire Mazars • Hubert Etter & Fils SA • Dupont Polymer Powders • Groupe Charmettes SA • Birgma Services SA • Payot SA • Bibliothèque Cantonale et Universitaire Fribourg • (www.fr.ch/bcuf) • Office du Livre Fribourg (www.olf.ch) • Naville SA (www.naville.ch) • Philip Morris International • Union Postale Universelle (ONU) • Diamed AG (www.diamed.ch) • Librairies La Fontaine (www.lelivre.ch) • Laboratoires MCL (www.mcl.ch) • Laboratoires Risch (www.lmz-risch.ch) • ICM (www.icm-magicall.ch)

  9. Les bases de la communication par Internet TCP/IP pour Transmission Control Protocol / Internet Protocol IP est la couche réseau qui gère la communication à bas niveau. TCP sert de protocole de transport de données.L’adresse IP sert à identifier des machines (ex. 195.141.100.141) Un nom logique est associé aux adresses IP (ex. www.cdi.ch) DNS est une base de données distribuée servant àtransformer le nom logique en adresse IP

  10. Les bases de la communication par Internet Les principaux protocoles de communication utilisés sur Internet sont: HTTP et HTTPS (Web), DNS (Domain Name Service), SMTP, POP3, IMAP4 (e-mail) SSH, Telnet, NTP, etc.

  11. La sécurisation de la communication par Internet • Méthodes de cryptage de la communication • Signature numérique • Infrastructure PKI (Public Key Infrastructure) • Réseaux privés virtuels (VPN) • SSL • Certificats numériques

  12. Les buts de la signature électronique • Authentification du signataire • Intégrité du document signé (empêche la falsification) • Acceptation de transaction (conséquences légales) • Quittance (garantie de livraison du document) • Efficacité du processus

  13. Comment fonctionne la signature électronique • Création d’une signature numérique Message To Verifier Digital Signature Hash Result Hash Function Message Signing Function Private Key Only Private Key Holder Can Sign

  14. Comment fonctionne la signature électronique • Vérification d’un message signé numériquement Hash Result Message Hash Function From Signer Valid Y/N? Digital Signature Verify Function Public Key Anyone Can Verify

  15. Comment fonctionne la signature électronique • Exemple

  16. Transfert de données commerciales par Internet • La certification en Suisse

  17. Transfert de données commerciales par Internet • Les principaux types de transfert de données commerciales: • Les achats sur Internet • Les échanges de messages (e-mail) • Les accès sécurisés (VPN)

  18. Transfert de données commerciales par Internet • Les achats sur Internet: • l’acheteur • Le vendeur (marchant), • l’organisme de paiement

  19. Transfert de données commerciales par Internet • La sécurisation des achats • L’identification du marchant • L’autorité de certification • L’infrastructure PKI (cryptage, authentification)

  20. Méthodes de paiement sur Internet Paiement par carte de crédit C’est le mode de paiement le plus courant sur Internet. L’acheteur fournit au commerçant en plus de son numéro de carte de crédit, la date d’expiration de celle-ci, et éventuellement le numéro au dos de la carte CVV2/CVC2. Le commerçant transmet ces données afin de vérifier si le montant chargé est accepté. Si tel est le cas, la banque émettrice de la carte de crédit va transférer l’argent sur le compte du commerçant. Visa et Mastercard ont depuis mis au point un système de paiement, basé sur la technologie « 3-D Secure », qui assure l’authentification du porteur et la non-répudiation. En fait après inscription auprès d’un service de sécurisation, le porteur de la carte utilise soit un mot de passe (pour Visa), soit un code (pour Mastercard) pour se faire authentifier lors de chaque transaction. Ces systèmes ne sont valables que pour les détenteurs de cartes Visa et Mastercard.

  21. Méthodes de paiement sur Internet Paiement par carte de débit ou de retrait Les cartes de débit permettent de déduire directement une dépense de son compte de chèque ou d’épargne. Elles nécessitent l’introduction d’un code PIN et l’adhésion par le client aux services bancaires en ligne de son institution financière. En fait le client effectue directement le paiement depuis son compte sur le site sécurisé de la banque. Pour le commerçant le gros avantage est qu’il n’y a pas de commission à payer comme avec les cartes de crédit et il n’y a pas risque de répudiation. Ce système n’est cependant pas encore très répandu mais est appeléà se développer.

  22. Méthodes de paiement sur Internet Solutions de paiement par un intermédiaire Les solutions de paiement par un intermédiaire offrent en plus de la facilitéà gérer les questions de paiement pour le commerçant, un moyen sûr qui répond aux critères de sécurité. L’intermédiaire ou prestataire de services de paiement (PSP) se place entre le commerçant, le client et les organismes financiers, et il se charge de vérifier en temps réel la validité de la carte de crédit, d’autoriser la transaction, et dans certains cas de procéder à l’encaissement. Le commerçant doit adhérer aux services proposés par l’intermédiaire. Lors d’un achat, l’internaute est envoyé par le commerçant sur le site de l’intermédiaire, et ce dernier effectue la demande d’autorisation à la banque de l’acheteur, qui est communiquée à l’acheteur et au commerçant

  23. Transfert de données commerciales par Internet • Le protocole SSL Secure Sockets Layer, ou SSL, est le plus répendu des moyens de cryptage pour les transactions commerciales sur Internet. SSL est en général disponible en 40-bit et 128-bit, en fonction de la longueur de la clé de session "session key" générée à chaque transaction cyptée. Plus la clé est longue, plus ce sera difficile de casser le code. Par exemple, une clé128-bit SSL des milliard de fois plus forte que la cléà 40-bit standard. SSL intégréà pratiquement tous les navigateurs Internet actuels. Le gouvernement américain a adopté en 2001 un nouveau système de cryptage: “Advanced Encryption Standard”, ou AES, qui est plus performant et fiable que l’ancien protocole “ Data Encryption Standard”, ou DES (56 bits), qui pouvait être craqué en quelques heures. AEF fonctionne avec des clés à 128-bit, 192-bit, et 256-bit. Il faudrait plus de 149 milliard d’années pour craquer un clé AES!

  24. Transfert de données commerciales par Internet • Accès distant aux données de l’entreprise • Tunnels (VPN) • IPSec (nécessite un logiciel client) • SSL (un navigateur web suffit)

  25. Analyse des risques potentiels • La sécurité d’un système est égale à la sécurité de son maillon le plus faible!

  26. Analyse des risques potentiels Les principaux risques liés à l’utilisation de systèmes de communication par Internet sont: Protection insuffisante de l’infrastructure de l’utilisateur (virus, key loggers, logiciels espions, vol de clé privée, etc.) Fraude de type phishing qui permettent de s’approprier des informations importantes (no de cartes de crédit, mots de passe, etc.)

  27. Analyse des risques potentiels • Usurpation d’identité • Fraude • Espionnage • Utilisation abusive de votre clé privée • Falsification de certificats racine • etc…

  28. Sécurité de votre infrastructure informatique • Sécurité physique • Sauvegarde des données • Mise en place d’un pare-feu Internet (firewall) • Sécurité de la messagerie • Anti-virus • Sécurité Web (filtrage du contenu) • Mise en place des correctifs systèmes (patchs)

  29. Configuration du navigateur Internet et certificats SSL

  30. Vérification de l’authenticité d’un site sécurisé

  31. Envoi de message signé numériquement

  32. Alerte de sécurité lors de l’ouverture d’un site dont le certificat SSL ne peut être vérifié

More Related