FAQ SécuritéConsultez toutes les FAQ
Nombre d'auteurs : 11, nombre de questions : 34, dernière mise à jour : 6 mai 2014 Ajouter une question
Cette faq a été réalisée pour répondre aux questions les plus fréquemment au sujet de la sécurité au sens large, que ce soit sécurité des développements ou des systèmes.
Je tiens à souligner que cette faq ne garantit pas que les informations qu'elle contient sont correctes. Les auteurs font le maximum, mais l'erreur est humaine. Si vous trouvez une erreur, ou que vous souhaitez devenir redacteur n'hésitez pas à contacter les responsables de la rubrique sécurité.
Sur ce, je vous souhaite une bonne lecture de cette foire aux questions.
- Qu'est-ce que le chiffrement ?
- Qu'est-ce que le chiffrement symétrique / asymétrique ?
- Le chiffrement est-il une protection efficace ?
- Qu'est-ce qu'une signature numérique ?
- Qu'est-ce que le protocole SSL ?
- Comment bien choisir un mot de passe ?
- Qu'est-ce qu'un "réseau privé virtuel" (VPN) ?
- Qu'est-ce qu'un "honeypot" ou "pot de miel" ?
- Qu'est-ce qu'un "bac à sable" ?
Le chiffrement est l'action de transformation d'un texte "lisible" en un texte "illisible", via une clé de chiffrement. Seule une personne disposant de la clé de déchiffrement (qui peut être la même que celle de chiffrement) sera en mesure de déchiffrer et donc de "lire" le texte.
Un procédé de chiffrement est dit "symétrique" si les clés de chiffrement et de déchiffrement sont les mêmes. Il est dit asymétrique si les clés sont différentes.
Le chiffrement symétrique est aussi appelé "chiffrement à clé secrète", puisque cette clé ne doit être connue que des personnes censées avoir le droit de chiffrer / déchiffrer le message.
Le chiffrement asymétrique est aussi appelé "chiffrement à clé publique". En effet, si une personne souhaite que ses correspondants lui envoie des messages chiffrés, elle devra alors générer 2 clés :
- Une première clé servant à chiffrer les messages, qui devra être communiquée à ses correspondants, pour que ceux-ci l'utilisent pour chiffrer leurs messages.
- Une seconde clé, servant quant à elle au déchiffrement, et qui devra rester privée, afin que seule la personne émettrice des clés puisse déchiffrer les messages.
Une fois votre système de chiffrement mis en place, vous avez tout de même des doutes ? Un pirate peut-il déchiffrer mon message sans y être autorisé (i.e. sans connaître la clé) ?
Un système de chiffrement n'est jamais complètement inviolable ! Il faut même partir du principe que quelque soit l'algorithme employé, trouver une faille ou un moyen de déchiffrer les données protégées n'est qu'une question de temps. Selon la taille de la clé (qui se mesure en bits), il existe un nombre fini de combinaisons qu'un pirate peut essayer pour tenter de déchiffrer le message.
Et la robustesse du système est directement proportionnelle au temps nécessaire qu'il faudrait pour le cracker, donc à la taille de la clé. En résumé, pour qu'un message chiffré soit correctement protégé, il faut que le temps de crackage estimé soit supérieur à la pérénité du contenu du message protégé.
Par exemple, si une information est censée rester secrète un mois, et qu'elle est protégée par un système de chiffrement pouvant résister 5 ans, il est clair que vos pouvez dormir tranquille, la sécurité de votre message est en théorie assurée !
Aujourd'hui, il est fréquent d'utiliser des clés de 128 bits dans le chiffrement symétrique, ce qui signifie qu'elle est composée d'une suite de 128 "0" ou "1", ce qui donne 2^128 possibilités de clés.
Concernant le chiffrement asymétrique, des clés publiques de 1024 bits sont maintenant conseillées, l'opération de déchiffrement ne relevant pas du même procédé que le chiffrement symétrique, il faut dans ce cas utiliser des clés beaucoup plus importantes.
La signature numérique d'un document éléctronique a pour vocation de répondre aux mêmes exigences que la signature manuscrite d'un document papier :
- permettre d'authentifier l'auteur d'un document,
- garantir qu'une fois signé, le document ne sera plus modifié (falsifié),
- donner une valeur juridique (sous certaines conditions, voir ci-dessous) au document.
En pratique, une signature numérique est nettement plus fiable qu'une signature manuscrite, puisque cette technologie utilise la technique du chiffrement asymétrique : vous signez numériquement un document à l'aide de votre clé privée, et la lecture du document se fait par l'intérmédiaire de la clé publique correspondante, en général transmise avec le document puisque contrairement au chiffrement classique, le but n'est pas de rendre secret le contenu du message.
Vos clés font partie de ce qu'on appelle un certificat d'authentification : la valeur juridique du document n'est reconue que si votre certificat d'authentification vous a été fourni par un organisme certifié et agréé (et bien entendu payant). Il existe des logiciels gratuits pour vous permettre de signer numériquement vos document (le plus connu étant PGP), mais vos documents n'auront donc pas de valeur légale.
Tout d'abord, SSL signifie Secure Sockets Layer. Il s'agît d'un protocole réseau très utilisé permettant de sécuriser des communications au travers de réseaux, entre par exemple un navigateur Internet et un serveur Web. Le protocole SSL est couramment utilisé pour sécuriser les transactions de commerces électroniques sur Internet. Il garantit par exemple, qu'en cas d'interception des trames échangées entre votre machine et le serveur du commerçant, il ne sera pas possible d'en déchiffrer le contenu. Ce protocole offre des garanties de sécurité en termes d'authentification, de confidentialités et d'intégrité des données chiffrées. A ses débuts, SSL fut mis au point par la société Netscape.
Tout le monde s'est déjà posé la question de savoir si tel ou tel mot de passe était assez robuste. Quelles sont les caractéristiques d'un bon mot de passe ? Je vous en propose plusieurs ci-dessous :
1) Un mot de passe n'étant pas censé être écrit ou stocké dans vos fichiers, sa première caractéristique est d'être relativement facile à retenir pour la personne qui l'a choisi.
2) J'insiste sur le terme "relativement", puisque vos proches ne sont pas non plus censés le deviner trop facilement ! Ce doit être sa deuxième caractéristique : ne constituez pas votre mot de passe avec des informations "publiques" : nom, date de naissance, téléphone, etc.
Par extension, il est préférable qu'un mot de passe ne soit pas un mot présent dans un dictionnaire, afin d'éviter les attaques du même nom.
3) La longueur d'un mot de passe est importante : on imagine sans peine qu'un mot de passe de 2 ou 3 caractères peut beaucoup plus facilement être deviné qu'un mot de passe plus long. Pensez que quand vous saisissez votre mot de passe au clavier, il est facile pour une personne voisine d'en déterminer la longueur en vous regardant/écoutant taper. La longueur minimum fréquemment conseillée est de 6 caractères, il va de soi qu'il est préférable de voir un peu plus grand.
4) Il est communément admis que pour être suffisamment complexe, un mot de passe doit comporter des caractères d'au moins 3 des 4 catégories suivantes :
- 1- Les 26 lettres de l'alphabet en majuscule [A-Z],
- 2- Les 26 lettres de l'alphabet en minuscule [a-z],
- 3- Les chiffres [0-9]
- 4- les caractères non alphanumériques (# @ _ = & etc.)
Certains OS permettent de mettre en place une exigence de complexité, prenant en compte (entre autres) ces 2 dernières caractéristiques.
Autres conseils de bon sens :
- La complexité du mot de passe doit être d'autant plus complexe que les données qu'il protège sont importantes !
- Il est préférable de changer vos mots de passe sensibles régulièrement. Cette règle vous assurera en effet une sécurité optimale : même si un petit malin arrive à le trouver un jour (et qu'il ne souhaite pas le changer lui-même), il n'aura qu'un accès temporaire à vos données.
- Vous devez "être à l'aise" en tapant votre mot de passe : si vous hésitez, que vous mettez du temps entre chaque frappe, ou que vous devez le ressaisir plusieurs fois suite à des erreurs de saisie, un voisin mal intentionné pourra d'autant plus facilement essayer de le deviner.
- Si vous doutez de la complexité d'un mot de passe, il est facile de le tester : il existe des outils en ligne permettant de "noter" la complexité d'un mot de passe.
Un "réseau privé virtuel", plus communément appelé VPN, est une extension d'un réseau informatique privé au travers d'un réseau publique, comme Internet par exemple. On parle de réseaux virtuels, car ceux-ci relient des réseaux ou des hôtes, non pas par l'intermédiaire de réseaux locaux, mais grâce à des réseaux publics, Internet en étant l'exemple le plus connu.
Pour assurer la sécurité de cette extension de réseau un mécanisme de tunneling est employé, de manière à ce que les données échangées sur ce réseau soient chiffrées. Le "tunneling" consiste donc à chiffrer des données avant de les faire pénétrer sur un réseau public (entrée du "tunnel"), puis de les déchiffrer à l'autre extrémité du tunnel ou se trouve la machine connectée au VPN, ainsi, durant tout le trajet des données sur le réseau public, même si ces données sont interceptées elles ne sont pas "lisibles".
Un "réseau privé virtuel" permet donc d'étendre des réseaux locaux d'entreprise au-delà des limites physiques de celle-ci en empruntant des réseaux publics. Les VPN emploient divers mécanismes et protocoles de sécurité pour palier à l'insécurité inhérente à un réseau public pour relier des éléments physiques au travers d'un réseau virtuel.
La sécurisation des réseaux et programmes informatiques demande de plus en plus d'investissements (en ressoucres matérielles humaines et financières) : firewalls, anti virus etc...
Le honeypot a plusieurs buts :
- détourner l'attention d'attaquants vers des cibles qui semblent plus intéressantes et plus faciles.
- permettre l'analyse des méthodes d'attaques par l'observation.
Le honey pot est un piège à pirates, c'est la reproduction d'un systèmes / programme / point d'accès wifi. Il simule un système potentiellement intéressant pour une attaque mais n'a aucune interraction avec le système réel qui est ainsi plus sur. Il se contente de simuler l'activité / les services système / l'activité d'utilisateurs d'un système en activité.
Un "bac à sable" est un environnement restreint dans lequel tourne généralement une (des fois plusieurs) application. Cet environnement est compartimenté par rapport au reste du système. Un utilisateur dans un bac à sable n'a accès qu'à une certaine liste d'opération. Ainsi si une personne malintentionnée arrive à lancer un bout de code via une application dans un bac, les effets seront restreints parce que l'utilisateur propriétaire de l'application (généralement root) ne pourra effectuer aucune modification au système.
Proposer une nouvelle réponse sur la FAQ
Ce n'est pas l'endroit pour poser des questions, allez plutôt sur le forum de la rubrique pour çaLes sources présentées sur cette page sont libres de droits et vous pouvez les utiliser à votre convenance. Par contre, la page de présentation constitue une œuvre intellectuelle protégée par les droits d'auteur. Copyright © 2024 Developpez Developpez LLC. Tous droits réservés Developpez LLC. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents et images sans l'autorisation expresse de Developpez LLC. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.