MERY-TG-CH-LL
Télécharger le fichier pdf d’un mémoire de fin d’études
Objectif Spécifique
Fluidité : Vous allez dynamiser votre activité en fluidifiant les échange entre votre société et vos clients mais aussi le rythme des décisions internes. C’est un réel gain de temps pour vos process. Vous gagnerez en rapidité. Vous allez pouvoir par exemple mieux relancer vos clients grâce à la signature électronique. Donnez une impulsion à votre entreprise en accélérant les flux. Vous verrez vos contrats signés par vos clients en quelques heures et non plus en plusieurs jours.
Qualité : Avec comme objectif d’améliorer vos processus et d’en obtenir une meilleure traçabilité, la signature électronique vous permet de suivre l’état d’avancement d’une procédure, vous savez donc à tout moment où vous en êtes. Vous allez accroitre votre productivité et voir vos taux de transformation augmenter. En plus de faire progresser le suivi des documents à signer, vous allez pouvoir identifier de plusieurs manières le signataire d’un document. Grâce au code sms, à la prise de photo en live ou encore par la vérification directe en quelques secondes d’une pièce d’identité (passeport, carte d’identité, titre de séjour), vous vous assurez que la signature est le bon.
Simplicité : La signature électronique vous permet de faire signer plus vite et cela coutera moins cher que si c’était fait sur papier. Si vous restez sur de la signature classique, vous aurez des frais qui correspondent à la gestion sous-jacente et les relances qu’elle nécessitera.
Pensez à vos frais de gestion et au temps de traitement consacrés à ces tâches annexes… Tout devient plus simple et plus économique. Vous vous recentrez sur des activités à valeur ajoutée. Sécurité : Cet aspect est primordial pour garantir une fiabilité des procédures et un service de confiance de haut niveau. En plus de garantir l’identité du signataire, la signature électronique va aussi garantir l’intégrité du document. Scellé de manière cryptographique toutes modification sur ce dernier seront détectables. Dernier élément, l’horodatage au moment de la signature qui est la garantie de l’exactitude des données d’un document à un instant T.
Avantages et Inconvénients
La signature électronique offre principalement des bénéfices surs :
La possibilité de signer un document sans l’imprimer donc de faire une économie de papier
La possibilité d’envoyer le document par mail ce qui procure une économie d’affranchissement (voir l’article sur la facture dématérialisée)
La possibilité de signer un document sans se rencontrer permet une économie de frais de déplacement
La possibilité de conserver le document au format numérique ce qui simplifie l’archivage.
Un certain nombre de logiciels comme Adobe Reader vérifie automatiquement chaque signature à l’ouverture du document et affiche un message visuel de validation.
La signature électronique devient de plus en plus présente, notamment sur les services 100% en ligne.
DIFFERENCE ENTRE SIGNATURE ELECTRONIQUE ET SIGNATURE MANUSCRITE
D’un point de vue intuitif, la signature électronique est l’équivalent d’une signature manuscrite, la différence portant sur la nature du document signé : une signature manuscrite porte sur un document papier ; une signature électronique porte sur un document électronique. Les différences techniques qui en découlent seront détaillées dans la définition technique.
Le parallèle entre les deux formes de signatures peut être réalisé assez simplement : dans les deux cas, il y a un individu, le signataire, qui va marquer son engagement sur les termes du document à signer ; dans les deux cas, il y a un document, dont la nature change (un papier ou un fichier informatique) ; dans les deux cas, la signature sera réalisée à l’aide d’un instrument, qui sera un stylo dans le cas de la signature manuscrite, et un « outil de signature » et, dans le cas de la signature électronique, un logiciel appelé «outil de signature» et un certificat; dans les deux cas, il y a un secret détenu par le signataire : le geste qu’il est le seul à pouvoir réaliser, dans le cas de la signature manuscrite, et le code d’utilisation de son certificat dans le cas de la signature électronique
Signature électronique
La signature électronique est un procédé technique permettant de garantir l’authenticité d’un document, d’un message ou d’autres données électroniques et de s’assurer de l’identité du signataire. Elle repose sur une infrastructure de certification gérée par des tiers de confiance, les fournisseurs de services de certification. Leur infrastructure permet également de fournir des solutions pour s’identifier à des services en ligne et sécuriser des données à transmettre. Afin d’encourager le développement du commerce électronique, le législateur donne aux fournisseurs de services de certification la possibilité de se faire reconnaître sur une base volontaire. Ils peuvent ainsi démontrer que la qualité, la fiabilité et la sécurité des services fournis sont conformes aux normes applicables. A certaines conditions, la loi assimile en outre la signature électronique à la signature manuscrite.
Techniquement, la signature numérique est basée sur la cryptographie asymétrique. Elle permet de prouver que le document n’a pas été altéré (intégrité) et que la personne qui a signé le document est celui qui détient la clé privée associée à la clé publique qui permet de vérifier la signature (authentification).
En fait, la signature numérique est basée sur deux algorithmes : le condensat (souvent appelé hachage par anglicisme) et le chiffrement (généralement appelé à tort « cryptage »).
Une fonction de condensat permet pour une donnée fournie en entrée d’associer une empreinte quasi-unique. Cette opération n’est pas réversible : il n’est pas possible de déduire la donnée originale à partir de l’empreinte. Les algorithmes les plus connus de condensat sont md5 et sha.
Le chiffrement asymétrique permet quant à lui de coder une donnée avec une clé privée de façon que le détenteur de la clé publique associée puisse le décoder
La signature numérique (parfois appelée signature électronique) est un mécanisme permettant de garantir l’intégrité d’un document électronique et d’en authentifier l’auteur, par analogie avec la signature manuscrite d’un document papier.
Elle se différencie de la signature écrite par le fait qu’elle n’est pas visuelle, mais correspond à une suite de caractères.
La signature électronique est invisible : elle se constitue d’une suite de caractères cryptée qui n’apparaît pas dans le contenu du document à signer. Ce n’est donc pas un « scan » de la signature manuscrite.
La signature électronique permet d’authentifier de manière fiable l’auteur du fichier et de s’assurer que le contenu de celui -ci n’a pas été altéré ou modifié. Tout type de document numérique (doc, jpg, XML…) peut être signé de manière électronique. Une opportunité pour le chef d’entreprise de numériser les devis, bons de commande, contacts, fiches de paie… et de gagner ainsi en temps, puisque grâce à la signature électronique, les papiers peuvent être signés.
Signature numérique et vérification
La signature numérique est un mécanisme qui permet d’authentifier un message, autrement dit de prouver qu’un message provient bien d’un expéditeur donné, à l’instar d’une signature sur un document papier. Supposons, par exemple, qu’Alice veut signer numériquement un message destiné à Bob. Pour ce faire, elle utilise sa clé privée pour chiffrer le message, puis elle envoie le message accompagné de sa clé publique (habituellement, la clé publique est jointe au message signé). Étant donné que la clé publique d’Alice est la seule clé qui puisse déchiffrer ce message, le déchiffrement constitue une vérification de signature numérique, ce qui signifie qu’il n’y a aucun doute que le message ait été chiffré à l’aide de la clé privée d’Alice.
Signature par la clé privée
Il a été montré précédemment qu’il était possible de chiffrer un message de manière sure avec la clé publique, et que seule la personne possédant la clé privée pouvait le déchiffrer. Mais de cette manière, il est également possible de chiffrer un message avec sa clé privée, ainsi le message peut être authentifié avec sa clé publique, c’est-à-dire par tout le monde. Chiffrer un document avec sa clé privée engendre une signature numérique sure du document, car seul le propriétaire de la clé privée a été capable de le chiffrer.
Cette méthode est efficace car elle respecte les contraintes énoncées précédemment, l’authenticité est respectée. La signature est infalsifiable car c’est la clé privée qui la générée. La signature n’est pas réutilisable car elle fait partie intégrante du document. Le document est immuable car ma moindre falsification sur le document provoquerait une erreur lors du déchiffrement du document. L’algorithme a clé publique RSA permet d’effectuer de telles signatures.
Dans les applications pratiques, les algorithmes à clé publique sont souvent trop inefficaces pour signer de longs documents. Pour gagner du temps, les protocoles de signatures numériques sont souvent réalisés avec des fonctions de hachage à sens unique pour réduire la taille du message et garantir l’intégrité, avant d’appliquer la clef privée de l’émetteur.
Signature par fonction de hachage et clé privée
Au lieu de signer le document, on signe l’empreinte du document (Fig1). La vitesse de ce procédé est beaucoup plus élevée et comme les chances d’avoir deux documents différents ayant la même empreinte est très fiable, signer l’empreinte est aussi fiable que signer le document tout entier.
En résumé, Alice dont Bob désire vérifier son identité un document dont Bob a une copie. Celle-ci calcule son empreinte à l’aide d’une fonction de hachage à sens unique, puis le chiffre avec sa clé privée. Connaissant le document original, Bob calcule son empreinte par la fonction de hachage, déchiffre le document d’Alice avec sa clé publique, puis compare celui-ci avec l’empreinte calculée, si l’empreinte est la même, c’est que l’identité d’Alice est correcte
Définition juridique
La loi du 13 mars 2000 a fait entrer la signature électronique dans le droit français en la définissant à l’article 1316-4 du code civil :
La signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l’authenticité à l’acte.
Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. […]
On se reportera au chapitre « Les textes juridiques applicables » pour plus de détail.
Définition technique
Comme nous l’avons vu ci-dessus, la réalisation d’une signature électronique nécessite :
• la garantie de l’intégrité du document ;
• un lien certain avec l’identité du signataire.
Ces propriétés sont obtenues par l’usage de la cryptographie. La réalisation technique d’une signature électronique consiste en un calcul mathématique réalisé à partir :
• du document à signer (ce qui garantira son intégrité) ;
• de la clef privée du signataire (ce qui garantira le lien avec son identité au travers du certificat).
Les deux concepts de cryptographie employés pour la signature électronique sont
Le hachage, ou calcul d’empreinte
La fonction standard recommandée pour cette opération s’appelle SHA256. Une fonction de hachage est une fonction à sens unique qui permet, à partir d’un document, d’en obtenir un condensé de taille réduite qui dépend de l’ensemble des bits contenus dans le document d’origine. À partir d’une empreinte, il est impossible de reconstituer un document qui lui correspondrait. Les fonctions de hachage sont très dépendantes de l’entrée : ainsi, deux documents très proches auront des empreintes très différentes.
La cryptographie à clé symétrique
Les algorithmes à clé symétrique ou secrété sont des algorithmes ou la clé de chiffrement peut être calculée à partir de la clé de déchiffrement ou vice versa. Dans la plupart des cas, la clé de chiffrement et la clé de déchiffrement sont identiques. Pour de tels algorithmes, l’émetteur et le destinataire doivent se mettre d’accord sur une clé à utiliser avant d’échanger des messages chiffrés (Figure 1). Cette clef doit être gardée secrète.
La cryptographie à clef symétrique est efficace, elle permet de garantir la confidentialité. Les algorithmes symétriques modernes, tels que l’AES, sont très rapides et très robustes. Ces algorithmes peuvent également être utilisés pour authentifier l’intégrité et l’origine des données. Cette méthode est appelée authentification par scellement. En effet, Alice peut utiliser sa clé pour chiffrer un texte entier, comme ci-dessus. Elle envoie ensuite le texte clair et une portion du texte chiffré à Bob. Cette portion du texte chiffré ou sceau est appelée Code d’Authentification de Message, ou MAC. Bob utilise sa clé pour générer le texte chiffré, puis il sélectionne la même portion du texte chiffré et la compare au sceau ou MAC reçu (figure2). Si elles correspondent, alors Bob saura que c’est Alice qui l’a envoyé le message. Cependant, cette méthode ne garantit pas la non-répudiation car, Alice peut nier d’être l’auteur du message, et que Bob l’a produit lui-même. Alice et Bob doivent partager une clé symétrique auparavant avant de chiffrer un message ou de générer un MAC. La réalisation de ce partage de clef, appelée gestion des clés, est un problème difficile. Elle est souvent réalisée avec d’autres mécanismes. Si Alice communique avec une grande communauté, l’établissement des relations devient un sérieux obstacle pour la sécurité. Toutefois, de problème peut être résolu grâce à l’introduction d’un Tiers de Confiance (TTP). La sécurité d’un algorithme à clef symétrique repose intégralement sur la non-divulgation de la clef. Si celle-ci est dévoilée, n’importe qui peut chiffrer ou déchiffrer les messages
La cryptographie asymétrique
La fonction standard la plus employée s’appelle RSA.
La fonction standard la plus employée s’appelle RSA. Nous avons vu dans le chapitre sur le certificat que le signataire dispose d’une « clef privée », qui est sous son contrôle exclusif, et d’une « clef publique », qui est incluse dans son certificat, qui sera joint à chacune de ses signatures. Ces deux clefs sont liées mathématiquement et permettent de faire les calculs inverses l’une de l’autre. Il est bien entendu impossible de reconstituer la clef privée lorsqu’on ne dispose que de la clef publique.
Lorsque l’on clique sur le bouton « signer », les opérations techniques suivantes sont réalisées, conformément à l’illustration ci-dessous : le document à signer est haché de manière à en obtenir un condensé (SHA256) ; le condensé du document et la clef privée du signataire sont employés pour effectuer un calcul mathématique (RSA) : le résultat de ce calcul est, du point de vue technique, la signature électronique ; la signature est jointe au document, ainsi que le certificat du signataire, qui permettra sa vérification.
La vérification technique d’une signature électronique passe par les opérations suivantes, illustrées dans la figure ci-dessous :
• le destinataire du document signé sépare le document lui-même de sa signature.
• il extrait du certificat du signataire sa clef publique et s’en sert pour réaliser sur la signature le calcul RSA inverse : il obtient ainsi le condensé du document initialement signé ;
• il réalise à son tour le calcul du condensé du document reçu ;
• il compare les deux condensés ainsi obtenus : s’ils sont identiques, la signature portait bien sur le document reçu (lien avec le document), et a bien été réalisée par le porteur du certificat (lien avec l’identité du signataire).
Il ne s’agit ici que d’une définition technique des opérations réalisées. Nous verrons plus bas dans le chapitre sur la réalisation et la vérification de signature électronique que les aspects purement techniques sont insuffisants à garantir la validité d’une signature électronique.
Quelques dispositifs et standards utilisés dans la Cryptographie asymétrique
L’utilisation de normes et/ou standards permet d’assurer l’interopérabilité entre différents acteurs et facilite grandement l’usage d’une technologie.
Outre la normalisation des schémas cryptographiques (à l’ISO, l’IETF …), il existe des standards pour faciliter l’échange des données.
En plus, pour des besoins de transports et de stockage sécurisés des clefs cryptographiques ou encore pour la mise en œuvre d’une authentification forte, un certain nombre d’Objets Cryptographique Personnels peuvent être utilisés.
Standards et outils cryptographiques sont utilisés pour faciliter le déploiement de la cryptographie à clef publique.
La notation ASN.1
L’ISO décrit à travers le modèle OSI (Open System Interconnections) une architecture standardisée régisse les interconnexions de systèmes informatiques. La description de ce système complexe nécessite un haut niveau d’abstraction. La méthode utilisée dans le cadre de l’OSI pour spécifier des objets abstraits est appelée ASN.1(Abstract Syntaxe Notation One). L’ensemble de règles utilisé pour représenter des objets tels que des chaines de « 1 » et de « 0 » est « BER » (Basic Encoding Rules). ASN.1 est une notation souple qui permet de définir un grand nombre de types de données, qu’ils soient simples, tels que des entiers ou des chaines de bits, basés sur des structures telles que des ensembles ou des séquences, ou complexes, c’est -à-dire définis à partir de types simples et de structures. BER décrit comment représenter ou coder les valeurs de chaque type ASN-1 comme par exemple un octet (une chaine de 8 bits). Il y’a le plus souvent plusieurs façons de coder en BER une valeur donnée.
Un autre ensemble de règles, le « DER » (Distinguished Encoding Rules), sous-ensemble du BER, donne une manière unique de coder les valeurs ASN.1 L’ensemble de règles DER est utilisé pour des applications dans lesquelles une seule manière de coder une valeur est requise, comme c’est le cas pour la signature numérique lorsqu’elle est codée à partir des valeurs ASN.1. En effet, une même information codée par deux méthodes différentes rendra deux signatures différentes, et empêchera toute vérification d’intégrité. Des spécifications telles que les RFC, les PKCS et même les certificats sont écrits en ASN.1.
Les PKCS
Les PKCS (Public-Key Cryptography Standards) sont des spécifications développées par les laboratoires de la société RSA en vue d’accélérer le déploiement de la cryptographie à clé publique. Publiés initialement en 1991, les PKCS sont devenus des standards de fait et sont largement utilisés par le monde. La société garde le contrôle sur l’élaboration et l’évolution de ces textes, aussi il ne s’agit pas de normes à proprement parler.
Numérotées de 1 à 15 ans les PKCS#2, 4 et 14, ces spécialisations répondent à des problèmes techniques et sont largement employées. Les #2 et #4 sont classés obsolètes et inclus dans le PKCS#1 (RSA).
Certains des PKCS sont maintenant intégrés dans un processus de normalisation, notamment par le groupe de travail PKIX de l’IETF qui les a repris dans le RFC (les standards Internet).
Le PKCS#7
Le PKCS#7 (RFC 2315) définit un format d’encapsulation des données pour la signature et le chiffrement de messages. En effet, pour traiter des données brutes issues d’un schéma cryptographique, indique au receveur quelle opération a été effectué (signature, chiffrement), avec quel algorithme, quelle clé publique (en encapsulant un certificat X509), quelle fonction de hachage, et tous les autres éléments nécessaires pour le traitement. Ce format supporte la multi-signature et le chiffrement pour plusieurs destinataires. on se sert de ce format pour délivrer des certificats aux utilisateurs.
Le PKCS#10
Le standard PKCS#10 définit une syntaxe pour la demande d’un certificat. Une demande de certificat comprend un nom d’utilisateur, une clé publique et optionnellement un ensemble d’attributs, l’ensemble signé par l’entité émettrice de la requête de certification. Les requêtes de certification sont envoyées à une Autorité de Certification, qui transforme la requête en un certificat à clé publique au format x509.
Le PKCS#11
Le PKCS#11 définit une API (Application Programming Interface) de services cryptographiques. Il existe une implémentation de PKCS#11 pour chaque technique de cryptographie. Ces implémentations peuvent être appelées par un programmeur d’applications sans que celui-ci ait connaissance des détails bas-niveau de la technique cryptographique employée. Mozilla Firefox fait appel, pour faire de la cryptographie, à des modules répondant à la spécification PKCS#11.
Le PKCS#12
Ce standard décrit la syntaxe d’échange des informations d’identité personnelle, incluant les clés privées, les certificats, divers secrets, et les extensions. Les machines, applications, navigateurs etc.., qui supportent ce standard, permettront à l’utilisateur d’importer, d’exposer et de paramétrer des informations d’identité personnelles.
Ce standard supporte le transfert direct des informations personnelles sous une haute intégrité et confidentielle. Ce niveau de sécurité exige aux plateformes de la source et de la destination d’avoir chacune une paire de clefs publique/privée certifiée utilisable pour la signature et le chiffrement, respectivement. Ce standard peut supporter aussi un niveau de sécurité plus faible, un mode d’intégrité et de confidentialité géré par un mot de passe, dans les cas où les paires de clef publique/privée certifiées ne sont pas disponibles.
Microsoft CAPI
La CAPI (Cryptographic Application Programming Interface) de Microsoft (aussi connue sous le nom de CryptoAPI, MS CAPI ou simplement CAPI) est une interface de programmation pour les langages C et C++ présente dans le système d’exploitation Windows de Microsoft et qui permet d’utiliser les fonctions cryptographiques implémentées par les Fournisseurs de Services Cryptographiques (Cryptographic Service Provider). Il s’agit d’une alternative du pseudo -protocole PKCS#11 cités en haut et qui est couramment utilisé dans le monde Unix /Linux.
Les primitives fournies par la CAPI permettent de chiffrer et déchiffrer des données en utilisant des clés de chiffrement symétriques et asymétriques. Elles permettent aussi de réaliser des opérations de signature de documents numériques, de vérification de signature, de génération de nombre pseudo-aléatoire ou de calcul de hash. L’intérêt de la CAPI est de fournir une interface de programmation unifiée pour tous les Fournisseurs de Service Cryptographiques dans les plateformes de Windows.
Cependant, il est à noter que cette CAPI présente des manquements. En effet, certains champs apportés par les extensions X509v3 des certificats à clef publique X.509 tels que le bit KeyUsage et les champs basic Constraints, sont ignorés. Ces deux champs ont leur importance, car le premier renseigne sur l’utilisation qui doit être faite de la clef et le second indique si le certificat est celui d’une Autorité de Certification ou utilisateur final.
Les Hardware Security Module (HSM)
Un HSM est un matériel de sécurité qui génère, stocke et protège les clefs cryptographiques. A l’opposé des modules logiciels qui, à eux seuls ou combinés aux barrières physiques, présentent un certain nombre d’inconvénients.
Les logiciels sont vulnérables aux virus, aux suppressions accidentelles, aux pirates, et aux erreurs systèmes. Les barrières physiques sont difficiles à mettre en place, leur maintenance coute chère, et sont inefficaces face à des attaques internes. De plus les sauvegardes des bases de données des infrastructures (un AC par exemple) pourraient exposer la copie de la clef privée sur chacun des disques de sauvegarde non sécurisés et faciles à copier.
Les HSM sont des modules matériels qui permettent de contenir la clé privée et respectent un standard de sécurité définit par le NIST13, leurs formes peuvent varier. Dans tous les cas, la clé privée est générée à l’intérieur du HSM et n’est jamais extraire telle quelle de ce support. Les données qui nécessitent un déchiffrement ou une signature numérique sont passées au HSM par une interface standard.
Tout le processus cryptographique est effectué à l’intérieur du module. Ce processus permet de ne jamais laisser le logiciel utiliser la clé privée de façon directe.
En effet, ils peuvent être moins susceptibles aux erreurs et corruptions systèmes, tels que les virus. Et si un des matériels est détruit, la copie peut être retrouvée dans un autre périphérique de duplication. Les traces des nombres et les locations des copies des clefs qui existent, peuvent être gardées.
Enfin, les HDM peuvent protéger contre des intrus en interne comme en externe par l’utilisation d’une authentification forte à 2 facteurs combinée à une gestion des autorisations.
Tokens PKI
Les tokens PKI offrent un stockage sécurisé pour les certificats numériques et les clés privées. Ils permettent d’utiliser la cryptographie à clé publique et les signatures numériques de façon parfaitement sécurisée, sans risque de fuite des clés privées.
Système d’Information et Sécurité des Systèmes d’Informations
Système d’information
Un Système d’information (SI) est un ensemble de machines connectés entre elles de façon permanente ou temporaire permettant à une communauté de personne physique ou morales d’échanger des données (sons, images, texte, etc.). Selon cette définition, des systèmes aussi variés que le réseau d’un opérateur de téléphonie, le site Internet d’un ministère, l’ordinateur individuel du particulier, le réseau de commandement des forces armées sont des systèmes d’information.
La Sécurité des Systèmes d’Information
Dans les faits, de nos jours, l’essentiel du système d’information est porté par la sécurité des systèmes d’information (SSI). Cette notion recouvre un ensemble de moyens techniques, organisationnels, juridique et humains qu’on peut mettre en œuvre pour protéger les systèmes d’information afin d’assurer les services de base de la SSI.
Une politique de sécurité permet d’atteindre ces objectifs, car elle indique l’ensemble des mesures à prendre, des structures à définir et l’organisation à mettre en place afin :
-D’empêcher (ou tout au moins freiner) la détérioration, l’utilisation anormale ou la pénétration des systèmes et réseaux ;
-De détecter toute atteinte, malveillante ou non, à l’intégrité la disponibilité et la confidentialité des informations ;
-D’intervenir afin d’en limiter les conséquences et, le cas échéant, poursuivre l’auteur du délit ;
Les services de base de la sécurité
Il y’a quatre services de base de la sécurité : l’intégrité des données, la confidentialité L’authentification et l’identification, la non-répudiation. Quand on parle de la Sécurité des Systèmes d’information, on ajoute un cinquième qui est aussi important : il s’agit de la disponibilité su service.
L’intégrité des données
Il s’agit de garantir que les données transmises ne soient modifiées ou forgées par un adversaire. Plus précisément : l’intégrité est la prévention d’une modification non autorisée de l’information. L’intégrité du système et de l’information garantit que ceux-ci ne sont pas modifiés que par une action volontaire et légitime. Les attaques contre l’intégrité sont appelées substitution.
La confidentialité
La confidentialité est la propriété qu’une information n’est disponible ni divulguée aux personnes, entités ou processus non autorisés (norme ISO 7498-2). Lors d’une communication, il s’agit d’empêcher un tiers de prendre connaissance de l’information contenue dans un message transmis sur un canal non sécurisé.
L’authentification et l’identification
L’authentification consiste à vérifier l’identité des différents éléments impliqués dans un dialogue. Il peut s’agir d’authentifier une personne : on parle dans ce cas d’identification. On parlera alors d’identification de l’expéditeur, ou du destinataire. Il peut s’agir aussi d’authentifier une machine, notamment dans le cadre d’une relation client-serveur à travers un réseau ouvert ou un réseau fermé. On peut vouloir également authentifier un document, son auteur, le serveur sur lequel on l’a récupéré, etc. Aujourd’hui, les enjeux de la sécurité exigent une authentification forte à 2 facteurs. C’est une procédure d’identification qui requiert la concaténation d’au moins deux éléments ou « facteurs » d’authentification qui sont :
Ce que l’entité connait (un mot de passe, un code PIN, une phrase secrète, etc…).
Ce que l’entité détient (une carte magnétique, RFID, une clé USB, un PDA, une carte à puce, un « Authentifier » ou « Token », etc..).
Ce que l’entité est, soit une personne physique (empreinte digitale, empreinte rétinienne, structure de la main, structure osseuse du visage ou tout autre élément biométrique).
Ce que l’entité sait faire soit une personne physique (biométrie comportementale, tels que signature manuscrite, reconnaissance de la voie, un type de calcul connu de lui seul).
La non-répudiation
C’est un mécanisme qui vise à interdire à une entité de pouvoir nier avoir pris part à une action (cela est fortement lié à la notion juridique d’imputabilité). Elle consiste à prouver par exemple qu’un message a bien été émis par son expéditeur ou a bien été reçu par son destinataire. L’auteur d’un message ne peut nier l’avoir écrit ou transmis. Cette fonctionnalité doit donc permettre à un tiers de juger un conflit éventuel entre l’expéditeur et le destinataire.
La disponibilité du service
Il s’agit de garantir qu’une ressource sera accessible au moment précis où quelqu’un souhaitera s’en servir. L’évaluation d’une solution de sécurité n’est possible que si on le base sur ces services de sécurité qui sont les principaux indicateurs. Néanmoins, une attaque sur un système d’information vise souvent à porter atteinte à un ou plusieurs de ces services pour paralyser son bon fonctionnement ou le contrôle son contenu.
|
Table des matières
INTRODUCTION
PREMIÈRE PARTIE CADRE DE RÉFÉRENCE ET MÉTHODOLOGIE DU TRAVAIL
I CADRE DE RÉFÉRENCE
I-1 PRÉSENTATION DU MASTER
II MÉTHODOLOGIE DE TRAVAIL
II.1 PROBLÉMATIQUE
II-2 Objectifs Généraux
II-3 Objectif Spécifique
II.4 Avantages et Inconvénients
II-5 DIFFERENCE ENTRE SIGNATURE ELECTRONIQUE ET SIGNATURE MANUSCRITE
II.5.1 Signature électronique
II.5.2 Signature numérique et vérification
II-5-3 Signature par la clé privée
II-5-4 Signature par fonction de hachage et clé privée
II-5-5 Définition juridique
II-5-6 Définition technique
II-5-6-1 Le hachage, ou calcul d’empreinte
II-5-6-2 La cryptographie à clé symétrique
II-5-6-3 La cryptographie asymétrique
II.5.7 Quelques dispositifs et standards utilisés dans la Cryptographie asymétrique
II-5-7-1 La notation ASN.1
II-5-8 Les PKCS
II-5-8-1 Le PKCS#7
II-5-8-2 Le PKCS#10
II-5-8-3 Le PKCS#11
II-5-8-4 Le PKCS#12
II-5-9 Microsoft CAPI
II-2-10 Les Hardware Security Module (HSM)
II-5-10 Tokens PKI
DEUXIÈME PARTIE Etude Conceptuelle et implémentation de la solution
I-1 Introduction
I-2 Etude de l’existence
II-1 Système d’Information et Sécurité des Systèmes d’Informations
II-1-1 Système d’information
II-1-2 La Sécurité des Systèmes d’Information
II-2 Les services de base de la sécurité
II-2-1 L’intégrité des données
II-2-2 La confidentialité
II-2-3 L’authentification et l’identification
II-2-4 La non-répudiation
II-2-5 La disponibilité du service
III IMPLEMENTATION DE LA SIGNATURE ELECTRONIQUE
III -1 INTRODUCTION
III -2 LES PRES-REQUIS
III -3 Sur les outils choisis
III -3-1 Spring Boot (2.2.2)
III -3-2 Spring Security
III -3-3 Spring MVC
III -3-4 JPA
III -3-5 Thymeleaf
III -3-6 Lombok
III -3-7 MySQL
III -3-8 Maven
III -3-9 La journalisation d’événements du serveur
CONCLUSION
LISTE DES FIGURES
GLOSSAIRE
Télécharger le rapport complet
