Sécurité informatique
-
Upload
nicolas-lhoest -
Category
Documents
-
view
493 -
download
1
Transcript of Sécurité informatique
Sécurité Informatique
Quels sont les composants de la sécurité ?
Disponibilité
Confidentialité Intégrité
Disponibilité
Les données doivent être disponibles en permanence.
Pour garantir cette disponibilité, les données doivent être stockées sur un matériel « FAULT TOLERANT ».
Elles doivent être protégées contre les erreurs de manipulation.
Les moyens d’accès (réseau, modem, …) seront toujours opérationnels.
Confidentialité
Les données ne doivent être accessibles qu’aux personnes autorisées, de la manière autorisée.
Afin de permettre ces accès discriminatoires, il est nécessaire de :
•Pouvoir identifier les utilisateurs.
•Définir des niveaux d’accès aux données.
•Associer les utilisateurs aux droits d’accès.
•Vérifier les tentatives d’accès
Intégrité
Les données ne doivent pas être altérées.
La confidentialité ne peut s’appliquer en milieu ouvert ; les données doivent être protégées d’une autre manière (cryptage).
Lors d’échange d’informations entre tiers, l’intégrité est essentielle. Il est aussi indispensable de garantir l’identité des intervenants : NON REPUDIATION.
Les 3 ‘A’
INT
EG
RIT
E
CO
NF
IDE
NT
IAL
ITE
AAuthentification
AAutorisation AAudit
Règles
de
l’entreprise
Degrés de sécurité
AXIOME : 100% de sécurité n’existe pas !!!
« Le SEUL système qui est vraiment sûr est celui qui est mis hors tension et débranché, enfermé dans un coffre-fort en titane, enterré dans un bunker, entouré de gaz asphyxiant et de gardes très bien payés. Même avec ceci, je ne risquerai pas ma vie dessus…. »
Gene Spafford—Director, Computer Operations, Audit, and Security Technology (COAST), Purdue University
Politique de sécurité
Chaque entreprise devrait établir une politique de sécurité informatique.
Cette politique sera établie comme suit :
Analyse des risques
Mise en place des Outils et procédures
Tests Définition solutions
Analyse des risques
Que faut-il protéger ?
De quoi et de qui faut-il se protéger ?
Quels sont les risques d’apparition ?
Pertes maximales en cas d’apparition ?
Analyse : que faut-il protéger ?
Les données.
Protéger les données implique :
•Protéger les machines sur lesquelles elles se trouvent. (Physical access means Data access !).
•Protéger le média par lequel elles transitent.
•Protéger tout support sur lequel elles se trouvent (backup, swap file, …).
•Protéger les impressions.
Analyse : que faut-il protéger ?
Les applications
Les applications dont les sources d’installation ne sont plus disponibles sont à considérer comme des données.
Le code source des applications développées en interne. Problématique du copyright.
Analyse : de quoi se protéger ?
Des défaillances matérielles. Hardware fault tolerant
Des utilisateurs (maladresse, malveillance, …) Backup, journalisation
Des attaques Anti-virus, firewall, Nat, Relay, Sniffers, …
Du vol. Niveau d’accès, procédure…
Analyse : probabilité d’apparition
AXIOME : Le risque est toujours SOUS ESTIMÉ.
Menée auprès de 739 entreprises réparties dans 15 pays, l'enquête du cabinet Ernst & Young révèle que plus de 60 % de ces sociétés ont subi une fraude de leur système informatique sur les 12 derniers mois. Or, seules 42 % d'entre elles sont assurées contre ces risques (36 % en 1998).
D'après l'étude, 82 % des fraudes identifiées ont été commises en interne : la moitié des personnes mises en cause travaillait dans l'entreprise depuis plus de 5 ans !
Analyse : Evaluation des pertes.
Les pertes peuvent être de plusieurs types :
•Secrets d’entreprises amenés à la concurrence.
•Coût de la remise en état d’un système corrompu.
•Perte de productivité pendant la remise en état.
•Perte de confiance des fournisseurs / clients informés d’une intrusion.
•Dédommagement des clients…
Définition des solutions
La définition d’une solution doit inclure :
•Les outils pour parer aux risques.
•Les procédures de fonctionnement (attribution des tâches).
•Les procédures de secours.
•Les procédures de retour en situation standard.
•Les procédures juridiques.
Définition des solutions
Le facteur humain.
• Qui vérifiera les logs ? • Qui mettra à jour les Firewalls ? • Qui analysera et mettra en place les corrections logicielles et
les recommandations de sécurité (www.cert.org) ?• Qui générera et supprimera les clefs et certificats ?• Qui autorisera les modifications ? • Qui donnera les instructions à suivre en cas d’attaque ou de
sinistre ? • Qui validera les formations nécessaires, etc ?
Si les solutions ou principes ne sont pas acceptés lors de la phase de définition - ils ne seront probablement jamais mis
en place ou appliqués
Mise en place des solutions.
La mise en place des solutions est une étape critique. En effet, les plus sérieuses brèches en terme de sécurité ne proviennent pas de bugs, de systèmes sophistiqués, de détournements de trafic (backcross) ou d’oublis de corrections de faiblesses techniques (patch) mais …
Tout simplement d’erreurs de paramétrage
Les meilleurs outils sont inutiles si leur utilisation est incorrecte. La sécurité est affaire de spécialistes.
Test et …Analyse des risques
Avant de mettre en production une solution, il est indispensable de la tester.
Par ailleurs, chaque jour, de nouvelles failles de sécurité sont découvertes et de nouveaux correctifs pallient à celles-ci. Il est indispensable de comprendre que la sécurité nécéssite une gestion quotidienne.
Disponibilité : Hardware.
Aucun matériel ne garantit une fiabilité totale.
De ce fait, il est nécessaire de disposer de matériel de remplacement.
Ce matériel peut être utilisé, il ne doit pas être « dormant ».
EVITER LES SPOF (Single Point Of Failure).
REDONDANCE.
Redondance : Disques durs
RAID : Redundant Array of Independant Disks.
Principe : l’information est distribuée sur plusieurs disques. Il existe divers niveaux de RAID.
RAID I
Aussi appellé MIRRORING.
Ce qui est écrit sur un disque est aussi écrit sur l’autre.
Avantages.
Améliore la lecture sans pénaliser l’écriture.
Inconvénients.
Coût (50%) de l’espace est perdu pour assurer la sécurité.
RAID III
L’information est distribuée sur plusieurs disques avec un contrôle de parité.
Avantages.
Vitesse de lecture.
Coût (sécurité demande 1 disque).
Inconvénients.
Vitesse d’écriture (calcul parité)
RAID V
Idem RAID III mais avec distribution de la parité sur tous les disques
Avantages.
Idem RAID III
Inconvénients.
Vitesse d’écriture (calcul parité) mais moindre que sous RAID III
Autres niveaux RAID
Il existe d’autres niveaux de RAID.
RAID IV
RAID VI
RAID 10
RAID 30
RAID 50
NAS … SAN
Les NAS (Network Attached Storage) et les SAN (Storage Area Network) intègrent généralement des notions de redondance RAID.
Le stockage est une technologie en pleine évolution.
Redondance : électricité
Une défaillance de l’alimentation électrique peut survenir :
• Au niveau du secteur.
• Au niveau du circuit interne.
• Au niveau de l’alimentation de l’ordinateur.
Redondance : électricité - interne
Pour se prémunir contre une défaillance de l’alimentation interne de l’ordinateur, nous choisirons un ordinateur équipé d’alimentations redondantes.
ALIM 1 ALIM 2
SERVEUR
Redondance : électricité - circuit
Pour se prémunir contre une défaillance du circuit d’alimentation, nous utiliserons plusieurs circuits séparés. Ces circuits seront topologiquement séparés.
ALIM 1 ALIM 2
SERVEUR
Circuit A
Circuit B
Redondance : electricité - secteur
Pour se prémunir contre une défaillance du secteur, nous devons disposer de matériel fournissant une source d’électricité alternative. Deux types de matériels existent :
Les UPS. Ils visent à suppléer au secteur le temps d’arrêter les ordinateurs correctement. Ils peuvent être actifs ou passifs.
Les générateurs. Ils fournissent l’électricité tant que le secteur n’est pas disponible. Ils nécéssitent généralement des UPS pour assurer l’alimentation le temps de leur mise en route.
Redondance : électricité - résumé
ALIM 1 ALIM 2
SERVEUR
ALIM 1 ALIM 2
SERVEUR
ALIM 1 ALIM 2
SERVEUR
UPS UPS
Redondance : NICs
Les NICs (Network Inteface Cards) connectent les ordinateurs entre eux. Très souvent, d’autres composants interviennent dans le transport des données (Hubs, Switches, …).
Afin de se prémunir contre une défaillance d’un de ces éléments, on mettra en place un réseau full redondant.
Des impératifs budgétaires restreindront souvent celui-ci à une redondance au niveau serveurs. Divers fabricants de NICs présentent des modèles ‘teamable’ permettant de disposer de Fail-Over ou de Load-Balancing.
Redondance : Hot Pluggable
Les différents composants énoncés ci-dessus existent en versions ‘Hot-Pluggable’.
Ceci signifie que le composant défectueux peut être remplacé sans éteindre l’ordinateur. Ceci permet de réduire considérablement le ‘DOWN TIME’ et donc les pertes pour l’entreprise.
Redondance : Cluster
Un cluster est un groupe de machines considérées comme une seule. Il existe deux méthodes de clustering
Actif – Passif. Une des deux machines est active et exécute toutes les tâches dévolues au cluster. L’autre est ‘dormante’. Elle surveille la disponibilité de la première. En cas de non présence de la première, elle reprend toutes les tâches du cluster. On dispose de fonctionnalité de Fail-Over.
Actif – Actif. Les machines se partagent les tâches dévolues au cluster. On dispose de Load-Balancing.
Généralement le clustering demande une configuration matérielle spécifique.
Redondance considérations pratiques
Même si l’on dispose de matériel redondant, le matériel défectueux doit être remplacé au plus vite. En effet, tant qu’il n’est pas remplacé, on ne dispose plus de sécurité.
Un peu vaut mieux que rien.
Disponibilité : Facteur humain
Disposer de matériel full redondant ne suffit pas. En effet, toute la redondance du monde ne protège pas un fichier contre un effacement par un utilisateur !
Pour pallier à l’effacement par un utilisateur, il est nécessaire de conserver plusieurs versions de chaque fichier. Pour ce faire, deux méthodes :
•Le backup.
•Un système de fichiers journalisés.
AXIOME : L’UTILISATEUR N’A JAMAIS RIEN FAIT !
Backup
Le backup est une copie des données.
Il est nécessaire de mettre en place une politique de backup. Cette politique de backup doit gérer les questions suivantes :
• Quel média sera utilisé ?
• Quelle(s) méthode(s) ?
• Quelle est la fenêtre de temps disponible ?
• Qui va gérer les bakups ?
• Où seront stockés les backups ?
• Quels logiciels spécifiques sont-ils utilisés et devons-nous intégrer dans notre politique ?
Backup : médias
Les bandes magnétiques.
Divers formats existent : travan, dat, DLT, LTO, AIT, Magstar. Ceux-ci offrent des niveaux de performances et de fiabilité variables.
Le type et la capacité des appareils sont eux aussi très diversifiés allant du simple lecteur à la librairie multi-lecteurs avec robot de chargement.
Les bandes magnétiques constituent à l’heure actuelle le média le plus largement utilisé.
Backup : médias
Les graveurs.
Moins rapides et de moindre capacité que les bandes magnétiques, ils complètent celles-ci.
En effet, ils disposent de certains avantages :
• Facilité de relecture (le lecteur est universel).
• Durée de conservation.
Les magnéto-optiques
Entre les deux médias ci-dessus.
Backup : méthodes
Diverses manières de réaliser le backup sont envisageables.
Complet. Un backup complet copie toutes les données.
Incrémental. Consiste à copier les données modifiées depuis le dernier backup complet ou incrémental.
Différentiel. Copie les données modifiées depuis le dernier backup complet.
Une politique de backup comportera certainement plusieurs méthodes.
Backup : fenêtre de disponibilité
Diverses données telles :
Utilisateurs non connectés fichiers non ouverts,
Optimisation de disques,
Maintenance,
vont définir quand il est permis de procéder au backup.
La période pendant laquelle il est permis d’effectuer un backup est appelée « Fenêtre de Backup ».
Backup : choix
Capacité média >= volume à sauvegarder.
Vitesse média >= volume / fenêtre.
Backup : facteur humain
Une personne sera désignée pour gérer les médias.
Cette fonction essentielle sera assurée en cas d’absence de la personne responsable. Des remplaçants seront prévus.
Backup : stockage
Le lieu de stockage des backups est essentiel. Il doit cependant obéir à certaines règles.
–Eloigné des données (en cas de destruction des données, il est indispensable que le backup soit intact).
–Garantir la bonne conservation (ex : pas de bandes magnétiques proches des champs magnétiques…).
Backup : logiciel
Divers logiciels de backup existent.
Les meilleurs d’entre eux permettent en option:
•Le backup de bases de données sans arrêt du serveur.
•Le backup des fichiers en cours d’utilisation.
•Le backup des serveurs de messagerie.
•La restauration accélérée (disaster recovery)
•…
Comme spécifié précédemment, ils est nécessaire de procéder à un inventaire logiciel avant de choisir un outil.
Backup : Réflexions
Le backup n’est pas votre objectif. Votre objectif est la RESTAURATION.
Il est indispensable de procéder périodiquement à des tests permettant de vérifier que la récupération des données s’effectue sans problème.
La politique de backup doit être clairement définie. Les différents intervenants doivent y souscrire. Rappellez-vous:
Si les solutions ou principes ne sont pas acceptés lors de la phase de définition - ils ne seront probablement jamais mis en place ou appliqués
Disponibilité : journalisation
Un système d’exploitation avec système de fichier journalisé conserve x versions de chaque fichiers.
La plupart des outils NAS ou SAN utilisent ce type de gestion de fichiers.
Parmi les systèmes d’exploitation « classiques » des PME, cette fonction n’est offerte que par Novell et Linux (REISERFS).
Confidentialité
Les données ne doivent être accessibles qu’aux personnes autorisées, de la manière autorisée.
Afin de permettre ces accès discriminatoires, il est nécéssaire de :
•Pouvoir identifier les utilisateurs.
•Définir des niveaux d’accès aux données.
•Associer les utilisateurs aux droits d’accès.
•Auditer les tentatives d’accès.
Confidentialité : identification
Pour s’identifier, trois méthodes existent.• Ce que je sais. (login + password).• Ce que j’ai et ce que je sais (smartcard + pin code).• Ce que je suis et ce que je sais (biometrics).
Identification : ce que je sais
Cette méthode d’identification est la moins sûre.
Premièrement, la majorité des mots de passe peuvent être ‘devinés’. En effet, un mot de passe ne peut en aucun cas correspondre à :
• Nom ou prénom du conjoint, des enfants, des animaux.• Numéros de téléphone du conjoint, …• Plaque minéralogique, numéro de tva, …• Marque de l’ordinateur, de l’écran, de tout appareil visible
depuis l’ordinateur.
Or, ce type de mot de passe correspond à près de 70% des mots de passe utilisés.
Identification : ce que je sais
De plus, divers outils de forçage des mots de passe existent. Tous les mots de passe sont vulnérables à une BFA (Brute Force Attack, essayer tous les mots de passe possibles).
Le choix du mot de passe va directement influencer la durée nécessaire à la BFA. Ce délai passé, il est certain que le mot de passe sera trouvé. Il est est donc indispensable de chercher à augmenter cette durée jusqu’à son maximum.
Même alors, le mot de passe finira par être décodé. Il faut imposer le changement périodique du mot de passe. De même, il faut forcer la mémorisation des mots de passe pour éviter la bascule.
Identification : ce que je sais
Un mot de passe répondant aux caractéristiques suivantes : Longueur 15 caractères et constitué uniquement de chiffres demande 1015 essais. Un mot de passe contenant chiffres, minuscules, majuscules et caractères spéciaux 12515.
Attention, les utilisateurs répugnent à utiliser des mots de passe complexes.
Il est possible d’imposer l’utilisation de ce type de mots de passe. Attention au phénomène des post-it.
Identification : ce que je possède
Une SmartCard est un mini-ordinateur qui peut :
•Stocker des données.
•Calculer.
Cela permet de stocker un ‘super mot de passe’ tout en n’exigeant de l’utilisateur que la mémorisation d’un code simple. En effet, le pin-code n’est utilisé que pour autoriser la carte à envoyer le super mot de passe dans le système.
Ceci constitue un net progrès par rapport au login + password.
Identification : ce que je suis
Les mesures biométriques constituent le sommet des méthodes d’identification. Elles mesurent des caractéristiques physiques difficilement falsifiables :
•Empreinte digitale.
•Empreinte vocale.
•Empreinte rétinienne.
Leur mise en œuvre n’est cependant pas encore très répandue du fait du coût élevé des appareillages impliqués.
Il s’agit toutefois d’un secteur en pleine explosion.
Identification : reciprocité
De nombreux systèmes n’incluent qu’une identification de l’utilisateur par le réseau.
D’autres systèmes demandent une identification mutuelle. L’utilisateur prouve son identité au réseau et les serveurs prouvent leur identité à l’utilisateur. Ce type d’identification est nettement supérieur.
Le protocole d’identification mutuelle le plus utilisé est KERBEROS.
Confidentialité : droits d’accès
La notion de droit d’accès recouvre plusieurs points.• Autorisation d’accès aux fichiers, répertoires et
imprimantes.• Droits des utilisateurs.• Autorisation d’accès aux machines.• Autorisation d’accès à certains segments du réseau.• Autorisation Emails.
CHAQUE UTILISATEUR DOIT DISPOSER DU NIVEAU D’ACCES MINIMUM INDISPENSABLE.
Droits d’accès : accès ressources
Les droits d’accès doivent être soigneusement planifiés.
Les attributions des droits d’accès seront généralement faites sur des groupes plutôt que sur des utilisateurs.
Pour permettre une gestion correcte de ces attributions, il est nécessaire de documenter au moyen des matrices suivantes :
Utilisateurs / GroupesGroupes / GroupesRessources / Groupes niveau d’accès.
Accès ressources : matrices
Matrice des utilisateurs / groupes
Groupe 1 Groupe 2 Groupe 3
Utilisateur 1 X X
Utilisateur 2 X
Utilisateur 3 X X
Utilisateur … X
Accès ressources : matrices
Groupe 1 Groupe 2 Groupe 3
Groupe A X X
Groupe B X X
Groupe C X
Groupe X… X X
Matrice des groupes / groupes
Accès ressources : matrices
Matrice des (ressources / groupes) Droits
Groupe 1 Groupe 2 Groupe 3
C:\truc Lire Modifier
D:\direction Modifier
C:\toto Ajouter Lire
Printer 1 Imprimer Gerer document
Droits d’accès - droits utilisateurs
Les droits des utilisateurs définissent des tâches que les utilisateurs peuvent accomplir. Ces droits sont par exemple :
•Changer l’heure.
•Partager une ressource.
•Changer la priorité d’un process.
•Arrêter la machine.
Pour le reste, la mise en œuvre sera identique aux droits d’accès aux ressources. Les matrices utilisateur / groupe, groupe / groupe et droits / groupe seront nécessaires.
Droits utilisateurs : matrices
Matrice des utilisateurs / groupes
Groupe 1 Groupe 2 Groupe 3
Utilisateur 1 X X
Utilisateur 2 X
Utilisateur 3 X X
Utilisateur … X
Droits utilisateurs : matrices
Groupe 1 Groupe 2 Groupe 3
Groupe A X X
Groupe B X X
Groupe C X
Groupe X… X X
Matrice des groupes / groupes
Droits utilisateurs : matrices
Matrice des (ressources / groupes) Droits
Groupe 1 Groupe 2 Groupe 3
Changer heure X
Arrêter X
Créer partage X X
Changer priorité X X
Confidentialité : audit
Une correcte définition des droits d’accès ne permet pas de répondre à certaines question indispensables :
• Des tentatives d’accès non autorisées se sont-elles produites ?
• Qui a modifié l’appartenance à ce groupe ?• Quels sont les utilisateurs qui ont accédé à cette
ressource au cours des dernières 24h ?
Les réponses à ces différentes questions seront fournies par l’audit.
L’audit consiste à enregistrer l’utilisation qui est faite des différentes autorisations.
Audit : notions de base
L’audit enregistre QUAND, QUI fait QUOI à QUELLE RESSOURCE.
Pour permettre un audit efficace, il est nécessaire de pouvoir identifier de manière précise les différents utilisateurs. Ainsi, si différents utilisateurs doivent agir en temps qu’administrateur, on créera un utilisateur avec le niveau administrateur pour chacun.
De même, les utilisateurs devant disposer du privilège d’administrateur possèderont un autre compte avec des privilèges standards. Ils n’utiliseront leurs comptes administrateurs que lorsque c’est obligatoire.
Audit : objectifs
L’audit permet de :
Vérifier l’accès autorisé aux ressources
Prouver que quelqu’un a fait quelquechose. Il s’agit par exemple de définir parmi tous les utilisateurs disposant des droits d’accès nécessaires, lequel a effacé un fichier.
Vérifier les tentatives d’accès à des ressources
Voir que l’utilisateur X a essayé d’accéder au répertoire comptabilité 5 fois par jour pendant deux mois alors qu’il ne possède pas de droits d’accès.
Vérifier l’accès non autorisé aux ressources
X a accédé une ressource. Selon les matrices, il ne peut pas !
Audit : gestion
L’enregistrement de l’utilisation des permissions est inutile si personne ne le consulte. Or, dans 95% des sociétés, il n’y a pas de réelle gestion de l’audit.
Une politique d’audit est aussi nécéssaire qu’une politique de backup. Elle doit définir :
Qui est responsable de l’analyse des logs.Qui le remplace quand il est absent.La fréquence de cette analyse.Comment est archivé l’audit, Où, …
Dans certains cas l’audit et son archivage sont obligatoires
Droits d’accès : accès machines
AXIOME : « PHYSICAL ACCESS MEANS DATA ACCESS »
Pour un spécialiste, l’accès physique à une machine est synonyme d’accès aux données qu’elle contient. Le plus simple pour voler des données informatiques est de voler la machine qui les contient.
L’ACCÈS PHYSIQUE À TOUTE MACHINE CONTENANT DES DONNÉES DOIT ÊTRE SÉCURISÉ.
Les données seront donc centralisées sur des serveurs. Ceux-ci seront placés dans un local sécurisé. Les accès à ce local seront restreints et enregistrés.
Droits d’accès : accès machines
Les workstations, n’étant pas sécurisées, ne doivent pas contenir de données. Cependant, il n’est pas aussi simple de s’assurer de l’absence de données sur les stations.
Premièrement, il sera nécessaire d’éduquer les utilisateurs au fonctionnement réseau, voire même de leur interdire de stocker des données « en local ».
Ensuite, il faudra gérer la problématique de l’environnement utilisateur.
Enfin, il faudra vider les fichiers et répertoires temporaires de leurs contenus.
Droits d’accès : accès machines
Les ordinateurs portables posent de nombreux problèmes. En effet, de par leur nature, ils doivent souvent contenir des copies des données de l’entreprise. Ils sont aussi les plus facilement accessibles.
Des solutions existent (mot de passe sur le bios, le disque dur; encryptage des données, …). Elles sont très rarement mises en œuvre et font de ce fait des ordinateurs portables une des failles de sécurité des plus classiques.
Droits d’accès : accès machines
Une parfaite mise en œuvre des droits d’accès ne suffit pas. Il est en outre INDISPENSABLE d’éduquer les utilisateurs. En effet, la grande majorité des intrusions est due à une erreur humaine.
L’exemple le plus classique est celui d’un utilisateur disposant d’autorisation élevées qui s’absente en laissant sa session ouverte! N’importe qui peut s’installer à son poste et ainsi bénéficier des droits de cette personne. Imaginez si c’est l’administrateur qui commet l’erreur!!!
Droits d’accès : réseau
Les données sont stockées sur des serveurs et sont exploitées sur des workstations. Conséquence, lors de l’exploitation, elles vont être transmises aux workstations à partir du serveur.
Est-il possible de récupérer ces données lors de ce transfert ? Oui, pour cela, il est nécessaire de disposer d’un outil permettant « d’écouter ce qui passe sur la ligne ». Ce type d’outil s’appelle un sniffer.
De très nombreux sniffers existent. Certains sont gratuits ou fournis avec le système d’exploitation.
Comment dès lors se protéger ?
Réseau : segmentation
Pour se protéger des sniffers, une première approche consiste à segmenter le réseau; à le diviser en plusieurs sous-réseaux.
Chaque sous réseau ne pouvant communiquer qu’avec lui-même, les sniffers ne seront capables d’intercepter les données que de leur sous-réseau.
Cette approche présente un inconvénient majeur : plus de communication inter-réseau. Une forme plus sophistiquée devra donc être mise en place.
Réseau : segmentation et routage
Internet
Computer
Com puter
F irewall
M in icom puter
ServerF irewal
l
Zone partagée
DMZ
Computer
Administrateur
Siège
Commerciaux
Computer
Production
W eb
MailDatabase
Réseau : segmentation et routage
Les politiques à mettre en place sur le routeur sont relativement simples :
• Aucune des quatre zones d’utilisateurs n'a accès a une autre zone d'administration.
• Aucune des quatre zones d’utilisateurs n'a accès a la machine d'administration.
• Toutes les zones ont accès à l'espace partagé (derrière le firewall).
• La machine d'administration a accès à toutes les zones.• La zone d'espace partagé, n'a accès à aucune zone, sauf
en réponse à une requête.
Réseau : segmentation et routage
• Cette configuration permet qu'aucune donnée ne soit directement visible d'une zone à l'autre tout en permettant la communication entre ces zones via l'espace partagé.
• Autre avantage, le routeur jouant aussi le rôle de filtre, il devient impossible de scanner les ports d'une machine hors-zone ou même de sniffer le réseau d'une autre zone que la sienne. La liberté d'un poste s'arrête au routeur.
• La gestion de la zone d'espace partagé est plus délicate. Comme elle permet les échanges entre les autres zones, c'est un point sensible. C'est pourquoi il vaut lieux placer un Firewall à l'entrée afin d'effectuer ici un filtrage par IP.
Réseau : segmentation et routage
• L'espace partagé ne doit pas héberger toutes les ressources partagées de l'entreprise, bien au contraire. Son utilité est de partager ce que l'on veut faire passer d'une zone à une autre.
• Le Firewall permet quant à lui quelques astuces comme de donner des accès à des serveurs de mail spécifiques pour chaque groupe (soit plusieurs machines, soit plusieurs serveurs tournant sur des ports différents), ou tout simplement de surveiller et de journaliser tout ce qui ce passe.
• Bien penser le réseau, élimine les problèmes dus au partage de disques ou de fichiers ainsi que les insécurités relatives au courrier électronique.
Réseau : encryptage
L’autre approche consiste à encoder tout le traffic réseau. De cette manière, le sniffer permet d’obtenir une information incompréhensible.
Les techniques d’encryptage sont utilisées depuis longtemps. Jusqu’il y a peu, ces techniques étaient toujours mises en œuvre au niveau applicatif.
Une nouvelle approche se met maintenant en place : IPSEC.
IPSEC est généralement implémenté dans le stack IP, il agit dans les couches IP de base, permettant l’encryptage sans devoir redévelopper les applications.
Droits d’accès : EMails
Les Emails constituent à l’heure actuelle un des points les plus critiques de la sécurité.
Par la source d’information qu’ils peuvent représenter.
Par les programmes qu’ils permettent d’introduire.
Par le potentiel usage qu’un pirate pourrait en faire.
Par les « fausses » informations qu’il permet d’introduire ou d’émettre.
Cette problématique sera étudiée plus en détail plus tard.
Intégrité : Concepts.
L’intégrité garantit que les données n’ont pas été corrompues. Elle est de ce fait très dépendante des méthodes visant à assurer la confidentialité.
Cependant, l’intégrité va aussi intégrer les problèmes de signature et donc de non-répudiation.
Attaques : niveaux
Une entreprise peut être victime d’une attaque à trois niveaux.
L’ attaque externe. L’attaque est réalisée depuis l’extérieur et utilise les points d’ouverture (serveur mail, serveurs Web, serveurs Ras, …). Très médiatisée, elle est délicate et ne produit que très rarement un résultat.
L’attaque interne. Elle se produit depuis l’intérieur du réseau, elle est généralement le fait d’un collaborateur. « Pour hacker, fais-toi engager ». Elle représente 87% des attaques efficaces.
L’attaque physique. Partir avec les machines reste toujours la méthode la plus efficace.
Attaques : auteurs
Les attaques peuvent être l’œuvre de plusieurs types de profiles:
L’employé curieux. Il est ‘intèressé’ par l’informatique et ‘chipotte’ pour voir ce qu’il peut trouver. Il n’est pas malveillant et communiquera souvent les éventuelles failles qu’il découvre.
L’employé vengeur. Il s’estime floué par l’entreprise (renvoi ‘non justifié’, pas de promotion, ….). Il veut causer un maximum de dégâts, parfois même sans se cacher. S’il s’agit d’un informaticien, il peut causer des dégâts considérables. S’il s’agit d’un responsable sécurité, il peut causer des dégâts irrémédiables.
Attaques : auteurs
Un hacker. Le hacker est un spécialiste de très haut niveau. Généralement programmeur, il porte un énorme intérêt à maîtriser tous les mécanismes de fonctionnement interne d’un système. Il peut découvrir des failles dans un système et leur origine. Il cherche à améliorer ses connaissances, partage généralement ses découvertes et ne CHERCHE PAS A NUIRE.
Les hackers sont fréquemment amenés à concevoir des outils d’analyse des systèmes.
Un hacker produit des attaques pour mettre au point la sécurité.
Attaques : auteurs
Le Cracker. Il s’agit d’un individu qui cherche à forcer l’intégrité d’un système à des fins malveillantes (vol de données, destruction de données, corruption de données, destruction de matériel, …).
Il peut posséder un degré de connaissances élevé, parfois équivalent à celui d’un hacker Il peut aussi ne pas être spécialiste et se contenter d’utiliser les outils développés par un Hacker (script kitties).
Le language commun assimile parfois les deux activités sous le terme de hackers. On parle alors d’ancienne école (hacker) et de nouvelle école (cracker).
Attaques : types
Les attaques informatives.
Elles visent à obtenir des informations sur le système. Ces informations seront ensuite utilisables pour définir des failles dans la sécurité.
Les attaques de deny de service.
Elles visent à surcharger le système avec des requêtes inutiles. Elles permettent de remplir les logs et de rendre l’audit ingérable. Elles peuvent aussi masquer d’autres attaques.
Les attaques destructrices.
Elles visent à rendre inopérant soit les applications, soit le système. Elles peuvent rendre le système inopérant.
Attaques informatives – « Social engineering »
Il ne s’agit nullement d’une technique informatique. Il s’agit d’essayer d’obtenir des informations sur le réseau en … posant des questions!
Exemples :
Je suis truc, le nouveau membre du service informatique, j’ai besoin de votre mot de passe pour ….
Je procède à un sondage pour Datatrucinfo, pouvez-vous me dire si vous utilisez un firewall, si oui quel type, …
Cette technique est très efficace !
PARADE : Education des utilisateurs
Attaques informatives – « sniffing »
Ecouter tout ce qui passe sur le réseau. Méthode très efficace pour collecter des données.
PARADE : • Segmentation et routage.• Réseau switché.• Cryptage.
Attaques informatives - « Internet queries »
Requêtes HOST
Requêtes WHOIS
Requêtes FINGER
Requêtes PING
…
Attaques informatives – « Port Scanning »
Le port scanning permet de compléter les informations obtenues précédemment. Il permet d’obtenir la liste de tous les ports ‘ouverts’.
Cette liste va permettre :• De savoir quelles sont les applications qui sont
exécutées par les systèmes cible.• D’estimer correctement le système d’exploitation, et
donc d’essayer les attaques spécifiques connues pour celui-ci.
Attaques de deny de service – « Consommation de bande »
Cette attaque vise à saturer la bande passante d’un réseau avec du traffic pirate, ne laissant plus de place au traffic ‘normal’.
Ce type d’attaque peut être interne ou externe.
Dans le cas d’attaque externe, il faut: • Soit disposer d’une connexion supérieure à celle que
l’on veut saturer.• Soit utiliser plusieurs connexions dont le débit cumulé
sera supérieur à celui de la connexion à saturer.
Attaques de deny de service – « Epuisement des ressources »
Plutôt que de saturer la ligne, on vise ici à saturer la machine (CPU, méméoire, disques).
Attaques de deny de service – « Défaut de programmation »
Défaut de programmation
AXIOME : tous les systèmes d’exploitation, les cpu, les logiciels d’applications ont présentés ou présentent un ou plusieurs défauts.
Les hackers ont analysés ceux-ci et établi des correctifs. Cependant, si ces correctifs ne sont pas mis en place, ces défauts permettent de bloquer le système.
Rappellez-vous : la sécurité est affaire de spécialistes et demande un travail quotidien.
Attaques de deny de service – « Routage et DNS »
Ce type d’attaque vise à modifier les entrées d’un serveur DNS pour faire pointer un nom ‘dans le vide’ ou vers une machine incorrecte.
Cette attaque frappe X(cible) en attaquant Y(responsable DNS).
Attaques de deny de service – « Smurf »
Une attaque smurf inclus trois acteurs : la cible, le pirate et le réseau amplificateur.
Le pirate envoie au réseau amplificateur une requête demandant une réponse (type ICMP ECHO ou UDP ECHO). Cette requête est fabriquée pour sembler provenir de la cible. Chaque machine du réseau amplificateur va donc répondre à la machine source (la cible).
La cible va donc être submérgée.
Attaques de deny de service – « Inondation Syn »
L’attaque en ‘syn flood’ s’appuie sur le mécanisme d’étalissement de connexion réseau.
Ce mécanisme est le suivant :
Demande de connexion (Syn)
Confirmation réception (Syn/Ack)
Confirmation (Ack)
Attaques de deny de service – « Inondation Syn »
Syn flood (suite)
Si la machine qui émet le paquet de demande de connexion le fait avec une adresse source correspondant à une machine inexistante;
La machine contactée répond à cette demande et envoie la réponse ‘à la machine qui a demandé la connexion’; donc vers nulle part.
Comme personne ne répond , la machine reste en attente (de 75 secondes à 23 minutes).
Si les machines acceptent des centaines de connexions simultanées, elles ne supportent que quelques demandes.
Attaques de deny de service – « Email Bombs »
Les ‘Email Bombs’
Il s’agit d’envoyer un volume énorme de courrier électronique vers une boîte aux lettres ou vers un serveur.
La plupart des administrateurs constituent leurs adresses Email sous la forme prénom.nom@domaine ; il est donc facile de ‘deviner’ vers quelles boîtes aux lettres envoyer du courrier.
Les liaisons de liste
Le principe est d’inscrire la cible sur des dizaines de listes de distribution. De ce fait, il est surchargé de courrier provenant de plusieurs sources.
Attaques de deny de service – « Spamming »
Mail Spamming
Le mail spamming consiste à envoyer quantité de messages adressés à xcvdfgetr@domain ; xcvdfgetr pouvant varier. Le serveur va ainsi consommer des ressources pour répondre ‘xcvdfgetr’ est inconnu.
Attaques destructrices – « Virus »
Les Virus
AXIOMES :
Personne n’est à l’abri des virus.
Tous les points d’entrée doivent être équipés d’un anti-virus.
Aucun anti-virus n’est totalement efficace.
Les logiciels anti-virus doivent être mis à jour en permanence. Il faut idéalement disposer d’un anti-virus qui peut fonctionner par comportement en plus des recherches de signatures.
Attaques destructrices – « Virus »
Virus (suite)
La mise à jour de l’anti-virus peut se faire de manière automatique. Soit par connexion distante, soit via Web.
Les points d’entrée classiques des virus sont : • Les lecteurs de disquette.• Les lecteurs de cd, de dvd• Les courriers électroniques et les messages attachés.• Les sites Internet.
Les virus constituent actuellement la préoccupation majeure des entreprises en Europe.
Attaque destructrices – « Virus »
Le coût de protection contre les virus est important. Il est cependant très inférieur aux coûts résultants des dégâts que le virus peut entraîner.
Rappellez-vous le récent « I Love You ».
Attaques destructrices – « Cheveaux de troie »
Un cheval de troie est un programme ou un code non autorisé placé dans un programme « sain ».
Ceci rend le cheval de troie difficile à détecter. De plus, les fonctions ‘non attendues’ des cheveaux de troie peuvent ne s’exécuter qu’après une longue phase de ‘sommeil’.
Les cheveaux de troie peuvent effectuer toute action. Ils peuvent donc être des attaques informatives, des attaques de deny de service ou des attaques destructrices.
Ils sont particulièrement dévastateurs car ils s’exécutent souvent de l’intérieur du réseau.
Pour se protéger des cheveaux de troie : checksum, MD5
Attaques destructrices – « Password Attacks »
Les attaques de mots de passe visent à obtenir une information permettant l’accès à un système (Login + Password)
Le password est toujours le point le plus faible d’une infrastructure de sécurité. Différents outils existent selon les environnements.
L’obtention d’un mot de passe induit des failles de sécurité directement proportionnelles aux privilèges de l’utilisateur ainsi visé.
L’obtention d’un mot de passe administrateur permet de TOUT faire sur le réseau.
Défenses : Méthodes
•Firewalls•Anti-Virus•Sniffers, scanners•Nat•Cryptage
•Informations
•Outils d’attaques
Défenses : Firewalls
Qu’est ce qu’un Firewall ?
Un Firewall est un ‘gardien’ qui règlemente le traffic réseau. Tout traffic est interdit sauf le traffic explicitement autorisé.
Trois types de firewalls existent :• Le filtrage de paquet.• Le proxy.• Le statefull inspection.
Firewalls : Filtrage de paquets
Le filtrage de paquets examine le trafic TCP/IP jusqu'à la couche 3 (Réseau). Les 4 couches restantes ne sont pas prises en compte. Le filtre de paquets examine chaque paquet entrant ou sortant et l’accepte ou le rejette en fonction de règles de sécurité définies par l’administrateur.
Avantages• Peu coûteux• Transparent pour
l’application• Rapide
Inconvénients• Faible niveau de sécurité• Examen d’une petite partie des
paquets• Pauvre en information sur le traffic
et les alertes• Complexe à configurer et à gérer• Sujet au « leurre » (IP spoofing)
Firewalls : Proxy
Un Proxy (mandataire) ou passerelle d’applications implémente le système de sécurité au niveau de la couche 7 (application). Chaque application dialogue avec un « mandataire » qui à son tour retransmet le dialogue vers le destinataire si les règles de sécurité l’autorisent.
Avantages Bonne sécurité Tient compte du
contexte applicatif
Inconvénients Un proxy par application Implémentation au niveau application au
détriment de la performance Ne convient pas pour tous les protocoles
(UDP, RDP) Interrompt la connexion vers l’application
(pas transparent) Système d’exploitation exposé
Firewall : Statefull Inspection
Ce système de protection intervient dès la couche 2 (Data Link). Il reconstitue dans des tables dynamiques le contexte de la communication ainsi que celui de l’application. Grâce à ces 2 contextes, des règles de sécurité très fines peuvent être appliquées au trafic entrant et sortant.
Avantages Bonne sécurité Tient compte du contexte applicatif Tient compte de l’historique de la
communication Bonnes performances Connexion transparente avec
l’application
Inconvénient Coût
Firewall : Statefull Inspection
Application
Présentation
Session
Transport
Liaison
Physique
Liaison
Physique
Application
Présentation
Session
Transport
Liaison
Physique
Réseau Réseau
Réseau
Présentation
Session
Transport
Application
Tables d’état dynamique
Tables d’état dynamique
Tables d’état dynamique
RéseauRéseau
Défenses : Anti-Virus
•Voir Attaques destructrices : Virus
Défenses : Sniffers, scanners
Ces outils sont classiquement utilisés par les attaquants. Le principe premier est simple, attaquez-vous vous même afin de déterminer vos faiblesses.
Des versions sophistiquées de scanners existent. Ces outils permettent de réagir automatiquement à une attaque.
Certains peuvent collaborer avec les firewalls pour modifier les rêgles en cas d’attaque.
Défenses : Nat
Network Adress Translation.
Il s’agit d’une technique de modification d’adresse. Elle permet de masquer les adresses des machines du réseau en les faisant apparaître comme une adresse unique de l’extérieur.
Cette méthode complique la tâche du cracker. Les attaques informatives sont plus délicates à mettre en œuvre.
Défenses : cryptage
Le cryptage est une technique qui vise à déformer un message de manière à le rendre incompréhensible.
Une fois déformé, ce message pourra être transmis via un média non-sécurisé.
Le récepteur devra ensuite le ramener à sa forme initiale.
Le cryptage se base sur deux techniques : • La substitution• La permutation
Cryptage : Substitution
La substitution est une technique qui consiste à remplacer un symbole par un autre.
Exemples:•Décallage de trois lettres dans l’alphabet•Remplacement en utilisant une grille de correspondance.•Décallage variable.
Cryptage : Permutation
La permutation est une technique qui consiste à changer l’ordre des caractères.
La méthode la plus simple consiste à utiliser une grille X/Y, à placer le message dans cette grille de gauche à droite, de haut en bas; puis de le recopier de haut en bas, de gauche à droite.
Cryptage : Clefs.
La méthode utilisée pour modifier le message est appellée clef de cryptage.
La méthode utilisée pour restituer sa forme initiale à un message encodé est appellée clef de décryptage.
Si la clef de cryptage est identique à la clef de décryptage (appliquée à l’envers), on parle de clefs symétriques.
Si les deux clefs sont différentes, on parle de clefs asymétriques. L’une est appellée clef privée, l’autre la clef publique.
CE QUI EST ENCODÉ PAR UNE DES CLEFS NE PEUT ÊTRE DÉCODÉ QUE PAR L’AUTRE.
Cryptage : Clef secrète
SecretSecretSecretSecret
Voici un Voici un message message ultra secretultra secret
U93ç”à%U93ç”à%%¨*µ£2”Ja%¨*µ£2”Jand”938Qçénd”938QçéDé&ùfdéDé&ùfdé
Voici un Voici un message message ultra secretultra secret
SecretSecretSecretSecret
DES DES
Cryptage : Clef secrète
La cryptographie par clef secrète utilise des algorithmes très performants.
Deux problèmes se posent : • Le nombre de clefs nécessaires• L’obligation de transmettre les clefs de manière
sécurisée.
Cryptage : Clef publique / privée
PublicPublicPublicPublic
Voici un Voici un message message ultra secretultra secret
U93ç”à%U93ç”à%%¨*µ£2”Ja%¨*µ£2”Jand”938Qçénd”938QçéDé&ùfdéDé&ùfdé
Voici un Voici un message message ultra secretultra secret
PrivatePrivatePrivatePrivate
RSA RSA
Cryptage : Clef publique / privée
Le cryptage par clef publique-clef privée présente un avantage certain : l’échange des clefs publiques peut se faire de manière non sécurisée. Le nombre de clefs est aussi réduit.
Cependant, le cryptage par clefs asymétriques présente un inconvénient majeur : la durée d’encryptage / de décryptage.
Pour pallier à cet inconvénient, on utilisera une combinaison des deux techniques.
Les documents seront encodés au moyen d’une clef symétrique pour la vitesse. Ensuite, la clef symétrique sera encodée au moyen d’une clef asymétrique.
Clef symétrique + clefs asymétriques
Voici un Voici un message message ultra secretultra secret
U93ç”à%U93ç”à%%¨*µ£2”Ja%¨*µ£2”Jand”938Qçénd”938QçéDé&ùfdéDé&ùfdé
Voici un Voici un message message ultra secretultra secret
SecretSecretSecretSecret
Aléatoire
DES DES
§5er9é§5er9é§5er9é§5er9é
RSA
SecretSecretSecretSecret
RSA
PublicPublicPublicPublic PrivatePrivatePrivatePrivate
Cryptage : Signature
Voici un Voici un message message ultra secretultra secret
U93ç”à%U93ç”à%%¨*µ£2”Ja%¨*µ£2”Jand”938Qçénd”938QçéDé&ùfdéDé&ùfdé
Voici un Voici un message message ultra secretultra secret
PublicPublicPublicPublicPrivatePrivatePrivatePrivate
RSA RSA
Cryptage : Signature
Le principe est le suivant :
Si je peux décoder un message au moyen de la clef publique de A, c’est qu’il a été encodé au moyen de la clef privée de A ; donc qu’il provient de A.
Cependant, le pur encodage au moyen des clefs asymétriques n’est pas possible (trop lent)…
On génère donc une empreinte du message, cette empreinte est encodée et jointe au message.
Cryptage : Signature par clef asymétriques
Voici un Voici un message message très très sensiblesensible
Voici un Voici un message message très très sensiblesensible
Voici un Voici un message message très très sensiblesensible
RSA
87R8E7R87R8E7R
87R8E7R87R8E7R 87R8E7R87R8E7R
PublicPublicPublicPublicPrivatePrivatePrivatePrivate
RSA
Voici un Voici un message message ultra secretultra secret
U93ç”à%U93ç”à%%¨*µ£2”Ja%¨*µ£2”Jand”938Qçénd”938QçéDé&ùfdéDé&ùfdé
§5er9é§5er9é§5er9é§5er9é
SecretSecretSecretSecretSecretSecretSecretSecret
Aléatoire
DES DES
RSA RSA
PublicPublicPublicPublic PrivatePrivatePrivatePrivate
PublicPublicPublicPublicPrivatePrivatePrivatePrivateRSA87R8E7R87R8E7R
MD587R8E7R87R8E7R
MD5
Voici un Voici un message message ultra secretultra secret
RSA
87R8E7R87R8E7R
Cryptage : Clefs asymétriques : sécurité.
Le cryptage par clefs asymétriques est-il totalement inviolable ?
NON ! Il est possible de procéder à une ‘MAN IN THE MIDDEL ATTACK’.
Pour parer à cette vulnérabilité il est nécessaire de pouvoir GARANTIR L’IDENTITÉ DU PROPRIÉTAIRE D’UNE CLEF PUBLIQUE.
Comment obtenir ou vérifier la clé publique?
PublicPublic
PublicPublic
Un seul GRAND répertoire de référence? Où ...
… Certificats!
PublicPublicPublicPublic PrivatePrivatePrivatePrivate
Nom sujet: “Internet, Organisation, Alice”
Expire le: 6/18/98
N° #: 29483756
Clé publique:
Autres données: 10236283025273
PublicPublic
7ru9AEçSHA
Signé: votre CA,
RSA
Contrôler la signature à l’aide de la clef publique de la CA
Listes des Certificats Révoqués (CRL) (listes noires)
PublPublicic
PublicPublic
• Avant d’accepter un certificat, vérifiez la liste CRL de l ’autorité de certification (CA)
• Si un certificat a été révoqué, refusez sa signature (ou envoyez un message codé)
• Un certificat peut être retiré de la CRL après sa date d’expiration.
Défenses : Connaissances
Comme exposé précédemment, de nouvelles failles de sécurité sont découvertes quotidiennement. Les correctifs permettant de pallier à ces failles sont publiés tout aussi régulièrement.
IL EST INDISPENSABLE DE SE TENIR À JOUR. SE TENIR À JOUR EST UNE TÂCHE QUOTIDIENNE.
Les informations peuvent se trouver sur les sites des éditeurs de logiciels, dans des sites ou des magazines spécialisés, sur les sites de pirates, …
Défenses : Outils d’attaque
Comme déjà indiqué, un des meilleurs moyens pour tester votre sécurité est … de l’attaquer.
Pour un résultat probant, il faut que l’attaquant soit un spécialiste.
LA SÉCURITÉ EST AFFAIRE DE SPÉCIALISTES !
Kerberos
Kerberos est le protocole d’authentification par défaut de Windows 2000.
Il s’agit d’un standard de fait. Il a été mis au point par le MIT
(Massaschuset Institute of Technology).
Kerberos : Context
Les serveurs sont considérés comme fiables et protégés.
Les stations de travail et le câblage sont considérés comme non protégés.
Kerberos : Fonctionnement
Les trois intervenants d’un système Kerberos sont : – Le KDC (Kerberos Distribution Centre).– La worksations et le user qui s’y connecte.– Le serveur qui fournit un service.
SERVICE TICKET« Mail »UsernameMac adressIP adressTimestampLifestamp
Kerberos : Fonctionnement
KDC WKS
(1) User login(2) KDC send TGT to user (encrypted with user public key)
TGTTGT
Mail Service Request
(3) User ask for a mail service ticket Using the decrypted TGT(4) KDC generate session key(4’) KDC generate mail service ticket encrypted with server mail key.(4 ’’) KDC copy session key into service ticket(5) KDC group session key and service ticket(5’) And encrypt them with user’s public key(6) KDC send them to user(7) User decrypt them
AuthenticatorUsernameMac adressIP adressTimestampLifestamp
(8) User create authenticator
AuthenticatorUsernameMac adressIP adressTimestampLifestamp
(9) User encrypt the authenticator using session key(10) User send both authenticator and service ticket to mail server(11) Server Mail decrypt ticket service using it key.
SERVICE TICKET« Mail »UsernameMac adressIP adressTimestampLifestamp
SERVICE TICKET« Mail »UsernameMac adressIP adressTimestampLifestamp
SERVICE TICKET« Mail »UsernameMac adressIP adressTimestampLifestamp
SERVICE TICKET« Mail »UsernameMac adressIP adressTimestampLifestamp
SERVICE TICKET« Mail »UsernameMac adressIP adressTimestampLifestamp
(12) Serveur mail get session key from ticket service(13) Server mail decrypt authenticator using session key
AuthenticatorUsernameMac adressIP adressTimestampLifestamp(14) Serveur Mail compare data in authenticator and in ticket service.
(15) If Match bewteen data, serveur mail send OK to user encrypted by session key (server authentication).
GO