Séance 11 - comment se protéger (chiffrement,certificat et clé) Flashcards
Qu’est ce que le chiffrement symétrique
1) Nous utilisons une seule clé pour le chiffrement et le déchiffrement
2) Utilisateur utilise la clé secrète pour chiffrer les données confidentielles (mdp ou nom d’utilisateur) –> Ces données chiffrées sont envoyés au serveur de l’entreprise
3) Pour déchiffrer, l’entreprise utilise une copie de la clé secrète envoyé par l’utilisateur
4) L’utilisateur doit partager sa clé secrète avec chaque serveur auquel il doit transmettre des données confidentielles. Il doit gérer plusieurs copier de sa clé
Les avantages du chiffrement symétrique
- Simple et rapide –> une seule clé
Désavantages: Il y a multiple copies de clé secrète à gérer
Qu’est ce que le chiffrement asymétrique
1) Le serveur web de l’entreprise a deux clés:
- Clé privée qui n’est jamais partager sert à déchiffrer
- Clé publique: peut être connu de ceux qui en font la demande - Sert à chiffrer
Les deux clés sont mathématiquement liée.
Clé publique est calculé à partir de la clé privé
2) Si un message est chiffré avec une clé publique, seul celui qui détient la clé privée qui lui est lié peut déchiffrer le message
3) Afin de ne pas avoir à gérer plusieurs copies de la clé secrète nous avons une clé de session (générer pour chaque session et a la fin de session est détruite)
Comment le chiffrement asymétrique à contré les faiblesses du chiffrement symétrique et quelles sont ses faiblesses
Il permet l’échange sécuritaire d’une clé de session donc on n’a plus le problème d’avoir bcp de copie de secrète.
Faiblesses:
Quand on reçoit la clé de l’organisation on est tu vrm sur de que c’est elle de l’org et non d’un pirate? ça pourrait être elle de n’importe qui. Pour régler ça –> Certificat numérique.
Qu’est ce que le chiffrement asymétrique avec l’attaque d’un intercepteur (men in the middle, pirate)
Le pirate intercepte la clé publique de l’institution et l’échange avec la sienne.
- Le cyberpirate a lui aussi une clé privée, publique et de session
- Il se fait passé pour l’institution pour avoir les données confidentielles de l’individu et il se fait passé par l’individu pour avoir les données confidentielles de l’institu/organisation
Pour s’assurer que la clé publique est bien la bonne et pas celle du pirate –> certificat numérique
Quelles sont les étapes du chiffrement asymétrique
1) L’utilisatuer demande au serveur web de l’entreprise de lui envoyer sa clé publique. Celui-ci lui envoie
2) L’utilisateur reçoit la clé. Celui-ci chiffre sa clé de session avec la clé publique de l’entrprise et le transmet au serveur web de l’entreprise
3) L’entreprise reçoit le mesage chiffré et dechiffre avec sa clé avec sa clé privée pour obtenir la clé de session
4) À partir de cette étape: Alex et le serveur peuvent s’échanger des données confidentielles de manière sécuritaire
Qu’est ce que le certificat numérique
Une garantie d’échange sécuritaire des données entre l’internaute et l’institut
- Il atteste qu’une clé publique provient du serveur web qui l’a envoyé ex: banque
- Est émis par un organisme de certification
- Est valide pour une durée de 1 à 3 ans
1) Pour atténuer le risque d’interception d’un cyber pirate, la banque s’achète un certificat numérique auprès d’une autorité de certification
- Elle envoie des informations sur son identité ainsi que sa clé publique à l’autorité et celli-ci fait certaines vérification sur l’identité de l’entreprise et emet le certificat
2) L’autorité de certification chiffre le certificat avec sa clé privé comme une signature apposé sur le certificat de la banque
- Si un cyberpirate intercepte le certificat pour inclure sa clé publique à la place de la clé publique de la banque. Il ne peut pas cacher son geste puisqu’il ne possède pas la clé privée de l’autorité de certification pour rechiffrer le certificat modifié
Quelles sont les étapes de la certification numérique
1) L’utilisateur veut se connecte, il demande la clé publique du marchand.
2) Le marchand envoie le certificat numérique chiffré (inclut la clé publique de la banque) –> les échanges se font maintenant en mode asymétrique
3) Le client prend la clé publique de l’autorité de certification pour déchiffrer le certificat numérique.
4) Le client génère une clé de session
5) Le client chiffre la clé de session avec la clé publique du marchand trouvée dans le certificat numérique
6) Le marchand déchiffre les données avec sa clé privée et trouve la clé de session. –> les échanges se font maintenant en mode symétrique
7) Les échanges sont maintenant sécurisés et le signe HTTPS:// s’affiche
À retenir
1) Le cahier des charges doit inclures toutes les mesures de contrôle de l’environnement TI nécessaires pour la solution technologique que l’on veut se procurer en soutien au processus cible
2) La signature numérique: clé privée (unique, ne se partage pas)
3) Toute entreprise ayant des activités numériques est exposée au risque lié au maillon le plus faible
Qu’est ce que ça veux dire si je chiffre avec la clé publique et déchiffre avec la clé privée ?
On assure la confidentialité des données transmises
N’importe qui peut chiffrer avec la clé publique, tout le monde y a accès. Cependant, seulement celui avec la clé privée de cette clé publique peut déchiffrer
Qu’est ce que ça veut dire si je chiffre avec la clé privée et je déchiffre avec la clé publique?
Cas du certificat numérique
preuve ou signature électrique, on s’assure que c’est la bonne personne
assurer l’identité
Cmt on get le certificat?
1) Serveur web envoie clé publique à l’autorité de certification et autre info
2) Autorité de certification fait un background check et approuve le certificat
3) Pour se protéger contre le vol et autres, autorité de certification chiffre certificat avec clé privée (signature)
4) Donc, il faudrait la clé privée de certification pour déchiffrer le certificat
