Slide 1:E. Herschkorn & P. Barrabé De la Sécurité Informatique à l’Identité Numérique 2.0 Devoir de mémoire d’Eric Herschkorn & Patrick Barrabé de Mai 1968 à Mai 2008Slide 2:E. Herschkorn & P. Barrabé De la Sécurité Informatique à l’Identité Numérique 2.0 Devoir de mémoire d’Eric Herschkorn & Patrick Barrabé De Mai 1968 à Mai 1998 De 1998 à 2008 Mai 2008Slide 3:E. Herschkorn & P. Barrabé La Sécurité de l'information Internet et Intranet Mai 1998 Prendre conscience et mesurer les risques liés à la sécurité du système d'information Introduction La sécurité informatique Les risques Les solutions Le chiffrement (cryptage) Démonstration / DébatSlide 4:E. Herschkorn & P. Barrabé Ce qui a changé en 1998 ? a77 89/90 : Le gouvernement US autorise l'usage commercial de l’Internet a77 92 : Le "World Wide Web" => ouverture au monde PC => ouverture au commerce électronique !? a77 Explosion des réseaux IP (97) a77 Réalité industrielle (98) Le phénomène Internet a fait prendre conscience aux décideurs des problèmes existants de la sécurité 1998Slide 5:E. Herschkorn & P. Barrabé Avancée rapide des technologies Des besoins qui murissent Reconnaissance du marché Publication d’information …l’utilisation évolue 1968 1998 Applications métiers Fonctionnalités  Amélioration de la bande passante  Administrabilité  Performance des services Fonctionnalités  Publication facile  Accès simplifié à l’information  Contenu riche Exemples  Marketing  Jeux  Commerce électronique  Téléphonie et visio Exemples d’applications  Rapports d’activités  Liste de prix, catalogues 1998Slide 6:E. Herschkorn & P. Barrabé Pourquoi se Protéger en 1998 ? a77 Protéger le SI de l’entreprise pour lutter contre le piratage informatique a77 Identifier les collaborateurs (authentification) a77 Échanges avec vos partenaires (confidentialité) a77 Virus (intégrité) a77 Messagerie (pollution des boites Email ) a77 Commerce électronique 1998Slide 7:E. Herschkorn & P. Barrabé Les risques par domaine 50% des risques viennent de l’intérieur des entreprises 1998Slide 8:E. Herschkorn & P. Barrabé La sécurité d'accès logique Id : mon prénom Password : toto 1988Slide 9:E. Herschkorn & P. Barrabé La sécurité d'accès logique 1998Slide 10:E. Herschkorn & P. Barrabé La sécurité des messagerie (email) 1998Slide 11:E. Herschkorn & P. Barrabé La sécurité des messagerie en ligne (hotmail) Et Microsoft inventa le compte Passport a73 Ma 1ere adresses de messagerie Microsoft : herschkorn@msn.com 1998Slide 12:E. Herschkorn & P. Barrabé La sécurité informatique Le phénomène "Internet" a fait ressurgir les problèmes de sécurité informatique de l’entreprise Prise de conscience de la direction DG Le responsable sécurité : RSSI La sécurité est un problème de culture et non de technologie 1998Slide 13:E. Herschkorn & P. Barrabé Maîtres mots de la sécurité Interdire tout ce qui n’est pas explicitement autorisé Réagir aux actions anormales ou hostiles Journaliser toute l’activité Éduquer les administrateurs et les utilisateurs Nommer un responsable sécurité et lui donner les pouvoirs nécessaires 1998Slide 14:E. Herschkorn & P. Barrabé Internet / Intranet / Extranet Intranet : ensemble des technologies de l’Internet appliquées au domaine privé de l’entreprise. (réseau local IP) Internet / Intranet : à la frontière entre Internet et Intranet doit exister une machine qui met en œuvre la politique de sécurité de l’entreprise Extranet : doit exister une solution qui met en œuvre l'identification des partenaires 1998Slide 15:E. Herschkorn & P. Barrabé Serveur Web Internet : la vision du public Réseau Téléphonique ou d’Entreprise Internet BanquesIntermédiaires (tiers de confiance) Client Web Commerce Consommateurs POP 1998Slide 16:E. Herschkorn & P. Barrabé Intranet et Internet : La vision de l’entreprise Serveurs Web privés : Communication, Travail en groupe Client Web Collaborateur Intranet Internet Applicatifs et Bases de données existantes Serveur Web public Partenaires Accès à l’existant 1998Slide 17:E. Herschkorn & P. Barrabé Les risques de l’Internet par service Messagerie (email) Virus PJ+Id Consultation de pages (http) Intru+Intégrité Groupes de discussion (News) Identification Transfert de fichiers (FTP) Virus+$ Visioconférence Authentification Vidéo à la demande $ Commerce électronique $ 1998Slide 18:E. Herschkorn & P. Barrabé Définition de l’Internet : les standards Un réseau de réseaux Unifiés par un ensemble de protocoles et de standards TCP/IP (16.189.208.252), DNS, PPP, RAS, ... NNTP, SMTP, POP, LDAP, X500, SNMP, ... HTTP/HTML, MIME, FTP, VRML, SQL, ... SSL, SET, CSET, EDI, … RSA 1998Slide 19:E. Herschkorn & P. Barrabé Solutions de Sécurité l’Internet Technologie des «firewalls» (murs pare-feu) Serveur Proxy Hébergement du serveur chez un prestataire externe Gestion de la stratégie de la sécurité (Mdp + Id) Contrôle d'accès logique : Smartcard Cryptographie Tiers de confiance 1998Slide 20:E. Herschkorn & P. Barrabé Qu’est ce qu’un Serveur de proxy ? Proxy Server Résea u d e l’ Ent rep rise ~50% De traffic en moins Connexion à l’Internet Premier browser Deuxième browser Contenu caché Gestion optimisée du cache Internet 1998Slide 21:E. Herschkorn & P. Barrabé Cache hiérarchique Paris Lyon Marseille Internet 1998Slide 22:E. Herschkorn & P. Barrabé FIRE WALL Internet Agence de l'entreprise Réseau privé LAN distant Utilisateur en accès distant SI de l'Entreprise Utilisateur en accès local 1998Slide 23:E. Herschkorn & P. Barrabé Virtual Private Network Internet AltaVista Tunnel, ed. groupe Réseau privé LAN distant AltaVistal Tunnel, ed. personnelle AltaVista Tunnel, ed. groupe 1998Slide 24:E. Herschkorn & P. Barrabé La carte à puce Une solution d’identification sur le système d’information a73 La carte se substitue à l'identifiant a73 Le PIN code au mot de passe 1998 Single Sign-on et log-on unique pour authentifier chaque utilisateurSlide 25:E. Herschkorn & P. Barrabé La sécurité d’accès logique par Smartcard 1998Slide 26:E. Herschkorn & P. Barrabé Solutions de Cryptage a77 Technologies a73 Clef secrète ou symétrique (DES, 3DES, ...) a73 Clef publique / clef privée ou asymétrique (RSA) a77 Le chiffrage des transmissions a73 La Signature : contrôle d'accès logique ex: Mdp + Id par Smartcard "CAPSUL®«  a77 Transaction financière a73 cryptographie via tiers de confiance délivrant des certificats 1998Slide 27:E. Herschkorn & P. Barrabé Le Cryptage en France en 1998 a77 SCSSI a73 Organisme indépendant contrôlé par l'état Fr (Décret n°98-101 du 24 février 1998) a73 Il agrée les dépositaires candidats faisant du chiffrage de transmissions a77 TCP : tiers de confiance délivrant des certificats et détenteur des clés privées a77 Signature électronique par Smartcard a73 ne nécessite pas d'autorisation 1998Slide 28:E. Herschkorn & P. Barrabé A Cryptographie à clef symétrique 1. A crée un message et le chiffre avec la clef connue de lui et de B 2. A envoi le message sur le réseau à B 3. B reçoit le message chiffre et le déchiffre avec la clef Message Message B 1998Slide 29:E. Herschkorn & P. Barrabé Cle publique de A Cryptographie à clef Asymétrique 1. B crée 2 clés : 1 privée et 1 publique qu'il diffuse 2. A crée un message et le chiffre avec la clef publique de B 3. A envoi le message sur le réseau à B 4. B reçoit le message chiffré et le déchiffre avec sa clef privée 5. Si B veut répondre, il utilisera la clé publique de A Message   Message Cle privée de B RSA 1998Slide 30:E. Herschkorn & P. Barrabé Positionnement des mode de chiffrement AsymetriqueSymetrique Ric hes se Ric hes se Mo ins Mo ins Pl usPlus La clef est unique pas de certificat Rapide Lent robuste 1998Slide 31:E. Herschkorn & P. Barrabé Commerce électronique a77 Le commerce électronique a besoin de sécurité a73 (accès, transport, transactions) a77 Les technologies correspondantes sont connues et disponibles, mais contrôlées par le gouvernement a73 Le SCSSI impose un tiers de confiance a77 Leur déploiement sur l’Internet est en cours a73 SSL (Netscape), https a73 SET,CSET (Microsoft, Netscape, IBM, Visa, Mastercard) » ( signature et chiffrement ) 1998Slide 32:E. Herschkorn & P. Barrabé Connexion à Internet en mode paiement sécurisé Modem RTC, RNIS, câble Client équipé d'un lecteur de carte INTERNET Tiers de confiance délivrant des certificats Fournisseur de services Architecture commerce électronique en 1998 1998Slide 33:E. Herschkorn & P. Barrabé 1998 / 2008 What’s upSlide 34:E. Herschkorn & P. Barrabé Bienvenue dans l’économie numérique! a73 « L’Entreprise 2.0 désigne l’usage de plateformes collaboratives et sociales au sein d’une entreprise ou de plusieurs entreprises et ses partenaires et clients » (Collaborative Attitude par Fred Cavazza) a73 « Donner de la vitesse aux Entreprises 2.0 qui possèdent de la valeur sur un modèle de PRM» (Run your Network par Eric Herschkorn) Le véritable patrimoine est informationnel et identitaire (marques, usages, compétences) le nouvel axe stratégique de la sécurité en entrepriseSlide 35:E. Herschkorn & P. Barrabé Nouvelles spheres d’influence IdentikSlide 36:E. Herschkorn & P. Barrabé S’inscrire, pour avoir une identité numérique !Slide 37:E. Herschkorn & P. Barrabé Identité: 2.0 ? La part de l’entreprise Personnelle Professionnelle PubliquePrivée ID contrôle fonction - rôle statut libertéSlide 38:E. Herschkorn & P. Barrabé Viralité 2.0 et NetRep: maîtrise de son identité numérique Source Viadéo Celle de l’entreprise Celle des dirigeants Celle des salariésSlide 39:E. Herschkorn & P. Barrabé Un risque pour la maîtrise de l’identité! a77 Des services et des usages 2.0 a73 Chat on line a73 Gestion de Contact a73 Courrier électronique a73 Courrier mensuel (newsletter) a73 Applications a77Portabilité des services multi réseauxSlide 40:E. Herschkorn & P. Barrabé Identité numérique & NetRep a77 De nouvelles failles de sécurité informatique ? a77 Qu’est-ce que la sécurité dans ce nouvel environnement d’usages?Slide 41:E. Herschkorn & P. Barrabé Second Life identité ? a77 Une identité physique = des identités numériqueSlide 42:E. Herschkorn & P. Barrabé Identité numérique & NetRep a77 Une simple réponse dans un blog ! avec usurpation d’identité a73 Mais vous n’avez jamais répondu !!! a77 Quelle confiance dans ce nouvel environnement d’usages?Slide 43:E. Herschkorn & P. Barrabé Besoin d’identité, mais pour quelles sites ? B2B B2C BusinessLoisirs RSP Medi a Alumni Rencontre s Cadran Magic RSP 2.0 by Sparinc –mars 2008Slide 44:E. Herschkorn & P. Barrabé Googlez l’identité des auteurs sur le web Eric HERSCHKORN Patrick BARRABE What else