But du séminaire
description
Transcript of But du séminaire
![Page 1: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/1.jpg)
![Page 2: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/2.jpg)
But du séminaire
Informer sur les risques liés à l’échange d’information sécurisée sur Internet
![Page 3: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/3.jpg)
Patrick AnthamattenDirecteur administratifIngénieur Informaticien [email protected]
Jean-Marc JutzetDirecteur techniqueIngénieur Informaticien [email protected]
![Page 4: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/4.jpg)
Agenda
• Présentation de cdi
• Les bases de la communication sur Internet
• La sécurisation de la communication
• Transfert de données commerciales sur Internet
• Analyse des risques potentiels
• Sécurité de votre infrastructure informatique
• Questions
![Page 5: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/5.jpg)
cdi
• Société fondée en 1994
• Composée de 13 personnes • Développeurs d’applications logicielles • Spécialistes réseaux et sécurité Internet• Graphiste
![Page 6: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/6.jpg)
Activités
• Développement d’applications sur mesure
• Conseil en sécurité Internet et gestion d’infrastructure
• Plus d’informations sous www.cdi.ch
![Page 7: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/7.jpg)
Activités : Sécurité Internet
Intr@solution : Solution intégrée de sécurité Internet
Sécurisation de l’accès à l’Internet• Configuration des Firewalls• Etablissement de VPN (succursales et clients)• Accès distant au réseau de l’entreprise
Contrôle :• du contenu des e-mails (Virus, spam)• l’accès au Web
Gestion centralisée des antivirus pour les postes de travail
![Page 8: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/8.jpg)
Activités : Sécurité Internet
• Encryption SSL
• Paiement sécurisé
Sites Web commerçants
![Page 9: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/9.jpg)
Clients
- Alexandre SA- Office du Livre Fribourg- Groupe Fiduciaire Mazars- Hubert Etter & Fils SA- Dupont Polymer Powders- Groupe Charmettes SA- Birgma Services SA- Payot SA
- Bibliothèque Cantonale et Universitaire Fribourg
(www.fr.ch/bcuf)- Office du Livre Fribourg (www.olf.ch) - Naville SA (www.naville.ch)- Philip Morris International- Union Postale Universelle (ONU)- Diamed AG (www.diamed.ch)- Librairies La Fontaine (www.lelivre.ch)- Laboratoires MCL (www.mcl.ch)- Laboratoires Risch (www.lmz-risch.ch)- ICM (www.icm-magicall.ch)
Technologies Internet et infrastructure
Développement applicatif et gestion de projet
![Page 10: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/10.jpg)
Les bases de la communication par Internet
TCP/IP pour Transmission Control Protocol / Internet Protocol
IP est la couche réseau qui gère la communication à bas niveau.TCP sert de protocole de transport de données.L’adresse IP sert à identifier des machines (ex. 195.141.100.141)Un nom logique est associé aux adresses IP (ex. www.cdi.ch) DNS est une base de données distribuée servant à transformer le nom logique en adresse IP
![Page 11: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/11.jpg)
Les bases de la communication par Internet
Les principaux protocoles de communication utilisés sur Internet sont :
HTTP et HTTPS (Web), DNS (Domain Name Service), SMTP, POP3, IMAP4 (e-mail)SSH, Telnet, NTP, etc.
![Page 12: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/12.jpg)
- Méthodes de cryptage de la communication
- Signature numérique
- Infrastructure PKI (Public Key Infrastructure)
- Réseaux privés virtuels (VPN)
- SSL
- Certificats numériques
La sécurisation de la communication par Internet
![Page 13: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/13.jpg)
- Authentification du signataire
- Intégrité du document signé (empêche la falsification)
- Acceptation de transaction (conséquences légales)
- Quittance (garantie de livraison du document)
- Efficacité du processus
Les buts de la signature électronique
![Page 14: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/14.jpg)
Création d’une signature numérique
Comment fonctionne la signature électronique
MessageHash Function
HashResult
Signing Function
PrivateKey
DigitalSignature
Message ToVerifier
Only Private KeyHolder Can Sign
![Page 15: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/15.jpg)
Vérification d’un message signé numériquement
Comment fonctionne la signature électronique
HashResult
Verify Function
PublicKey
DigitalSignature
MessageFromSigner
Anyone Can Verify
Hash Function
Valid Y/N?
![Page 16: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/16.jpg)
Exemple
Comment fonctionne la signature électronique
<Signed SigID=1> Promissory Note I, Mary Smith, promise to pay to the order of First Western Bank five thousand dollars and no cents ($5,000) on or before June 10, 1998, with interest at the rate of fifteen per cent (15%) per annum.
Mary Smith, Maker </Signed> <Signature SigID=1 PsnID=smith082> 2AB3764578CC18946A29870F40198B240CD2302B2349802DE002342B212990BA5330249C1D20774C1622D39</Signature>
![Page 17: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/17.jpg)
La certification en Suisse
Transfert de données commerciales par Internet
![Page 18: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/18.jpg)
Les principaux types de transfert de données commerciales:
Transfert de données commerciales par Internet
Les achats sur InternetLes échanges de messages (e-mail) Les accès sécurisés (VPN)
![Page 19: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/19.jpg)
Les achats sur Internet:
Transfert de données commerciales par Internet
l’acheteurLe vendeur (marchant), l’organisme de paiement
![Page 20: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/20.jpg)
La sécurisation des achats
Transfert de données commerciales par Internet
L’identification du marchantL’autorité de certificationL’infrastructure PKI (cryptage, authentification)
![Page 21: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/21.jpg)
Paiement par carte de crédit
Méthodes de paiement sur Internet
C’est le mode de paiement le plus courant sur Internet. L’acheteur fournit au commerçant en plus de son numéro de carte de crédit, la date d’expiration de celle-ci, et éventuellement le numéro au dos de la carte CVV2/CVC2. Le commerçant transmet ces données afin de vérifier si le montant chargé est accepté. Si tel est le cas, la banque émettrice de la carte de crédit va transférer l’argent sur le compte du commerçant.
Visa et Mastercard ont depuis mis au point un système de paiement, basé sur la technologie « 3-D Secure », qui assure l’authentification du porteur et la non-répudiation. En fait après inscription auprès d’un service de sécurisation, le porteur de la carte utilise soit un mot de passe (pour Visa), soit un code (pour Mastercard) pour se faire authentifier lors de chaque transaction. Ces systèmes ne sont valables que pour les détenteurs de cartes Visa et Mastercard.
![Page 22: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/22.jpg)
Paiement par carte de débit ou de retrait
Méthodes de paiement sur Internet
Les cartes de débit permettent de déduire directement une dépense de son compte de chèque ou d’épargne. Elles nécessitent l’introduction d’un code PIN et l’adhésion par le client aux services bancaires en ligne de son institution financière. En fait le client effectue directement le paiement depuis son compte sur le site sécurisé de la banque. Pour le commerçant le gros avantage est qu’il n’y a pas de commission à payer comme avec les cartes de crédit et il n’y a pas risque de répudiation. Ce système n’est cependant pas encore très répandu mais est appelé à se développer.
![Page 23: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/23.jpg)
Solutions de paiement par un intermédiaire
Méthodes de paiement sur Internet
Les solutions de paiement par un intermédiaire offrent en plus de la facilité à gérer les questions de paiement pour le commerçant, un moyen sûr qui répond aux critères de sécurité. L’intermédiaire ou prestataire de services de paiement (PSP) se place entre le commerçant, le client et les organismes financiers, et il se charge de vérifier en temps réel la validité de la carte de crédit, d’autoriser la transaction, et dans certains cas de procéder à l’encaissement. Le commerçant doit adhérer aux services proposés par l’intermédiaire. Lors d’un achat, l’internaute est envoyé par le commerçant sur le site de l’intermédiaire, et ce dernier effectue la demande d’autorisation à la banque de l’acheteur, qui est communiquée à l’acheteur et au commerçant
![Page 24: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/24.jpg)
Le protocole SSL
Transfert de données commerciales par Internet
Secure Sockets Layer, ou SSL, est le plus répendu des moyens de cryptage pour les transactions commerciales sur Internet.
SSL est en général disponible en 40-bit et 128-bit, en fonction de la longueur de la clé de session "session key" générée à chaque transaction cyptée.
Plus la clé est longue, plus ce sera difficile de casser le code. Par exemple, une clé 128-bit SSL des milliard de fois plus forte que la clé à 40-bit standard.
SSL intégré à pratiquement tous les navigateurs Internet actuels.
Le gouvernement américain a adopté en 2001 un nouveau système de cryptage: “Advanced Encryption Standard”, ou AES, qui est plus performant et fiable que l’ancien protocole “ Data Encryption Standard”, ou DES (56 bits), qui pouvait être craqué en quelques heures. AEF fonctionne avec des clés à 128-bit, 192-bit, et 256-bit. Il faudrait plus de 149 milliard d’années pour craquer un clé AES!
![Page 25: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/25.jpg)
Accès distant aux données de l’entreprise
Transfert de données commerciales par Internet
Tunnels (VPN)
-IPSec (nécessite un logiciel client)
-SSL (un navigateur web suffit)
![Page 26: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/26.jpg)
La sécurité d’un système est égale à la sécurité de son maillon le plus faible!
Analyse des risques potentiels
![Page 27: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/27.jpg)
Analyse des risques potentiels
Les principaux risques liés à l’utilisation de systèmes de communication par Internet sont:
Protection insuffisante de l’infrastructure de l’utilisateur (virus, key loggers, logiciels espions, vol de clé privée, etc.)
Fraude de type phishing qui permettent de s’approprier des informations importantes (no de cartes de crédit, mots de passe, etc.)
![Page 28: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/28.jpg)
Analyse des risques potentiels
Usurpation d’identité
Fraude
Espionnage
Utilisation abusive de votre clé privée
Falsification de certificats racine
etc…
![Page 29: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/29.jpg)
Sécurité de votre infrastructure informatique
1. Sécurité physique2. Sauvegarde des données3. Mise en place d’un pare-feu Internet (firewall)4. Sécurité de la messagerie5. Anti-virus6. Sécurité Web (filtrage du contenu)7. Mise en place des correctifs systèmes (patchs)
![Page 30: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/30.jpg)
Configuration du navigateur Internet et certificats SSL
![Page 31: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/31.jpg)
![Page 32: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/32.jpg)
![Page 33: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/33.jpg)
![Page 34: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/34.jpg)
Vérification de l’authenticité d’un site sécurisé
![Page 35: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/35.jpg)
![Page 36: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/36.jpg)
![Page 37: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/37.jpg)
Envoi de message signé numériquement
![Page 38: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/38.jpg)
![Page 39: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/39.jpg)
![Page 40: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/40.jpg)
![Page 41: But du séminaire](https://reader035.fdocument.pub/reader035/viewer/2022081603/568141ff550346895dade035/html5/thumbnails/41.jpg)
Alerte de sécurité lors de l’ouverture d’un site dont le certificat SSL ne peut être vérifié