Sécurité des données et authentification

Questions and Answers

Quelle est la définition de l'intégrité dans le contexte de la sécurisation des données?

Maintenir l'accès aux services et données.

Vérifier l'identité des utilisateurs et des appareils.

Assurer l'absence de modifications non autorisées. (correct)

Protéger les données sensibles contre l'accès non autorisé.

Quel mécanisme est utilisé pour sécuriser les communications réseau?

Utilisation de SSL/TLS. (correct)

Obfuscation du code.

Chiffrement des fichiers sensibles.

Mise en œuvre d'authentification à deux facteurs.

Quel type de protection peut être utilisé contre l'ingénierie inverse?

Chiffrement des données.

Validation des certificats SSL.

Protéger les clés de chiffrement avec le Keystore Android.

Utilisation d'obfuscation du code. (correct)

Quel est l'objectif principal de l'authentification à deux facteurs (2FA)?

Vérifier l'identité des utilisateurs de manière plus sécurisée.

Quel est un risque associé à l'utilisation des réseaux publics comme le Wi-Fi?

Attaques Man-in-the-Middle (MiTM).

Quel algorithme est couramment utilisé pour garantir la confidentialité des communications tout en préservant le « Forward Secrecy » ?

ECDHE

Quelles sont les principales composantes de SSL/TLS ?

Générateur de clés, algorithmes de chiffrement, certificats X.509

Quel outil de chiffrement s'appuie sur SSL/TLS ?

OpenSSL

Quelle fonction est précise pour créer un certificat X.509 dans OpenSSL ?

Création de certificat

Parmi les éléments suivants, lequel n'est pas un algorithme utilisé dans SSL/TLS ?

Fermat

Quelles sont des méthodes non-biométriques pour verrouiller un smartphone?

Code PIN

Quel type de biométrie est considéré comme une caractéristique comportementale?

Frapes de clavier

Quel est le processus qui consiste à enregistrer les caractéristiques d'un utilisateur dans un système biométrique?

Enrôlement

Parmi les caractéristiques suivantes, laquelle n'est pas une méthode biométrique physiologique?

Mouvements de la souris

Dans un système biométrique, que se passe-t-il lors de la phase de vérification de l'identité?

Les caractéristiques sont comparées avec une base de référence

Quel exemple caractérise une méthode biométrique physiologique?

Motif veineux

Quelles de ces caractéristiques sont utilisées en biométrie physiologique?

Iris et ADN

Quel aspect des systèmes biométriques concerne l'identification du sujet?

Recherche par égalité ou similitude

Quel est le rôle principal d'une autorité de certification ?

Établir et signer des certificats numériques

Quelle affirmation est vraie concernant la hiérarchie d'une autorité de certification ?

Une hiérarchie est indispensable pour la sécurité.

Qu'est-ce qu'une Web of Trust ?

Un réseau de confiance où les clés publiques sont signées par d'autres

Quel service une structure PKI offre-t-elle pour traiter les certificats ?

Révocation des certificats

Quel est l'objectif principal de Google Play Protect ?

Protéger les utilisateurs contre les malwares et menaces potentielles

Comment Google Play Protect avertit-il les utilisateurs concernant les applications dangereuses ?

En désactivant ou supprimant les applications dangereuses

Quels éléments sont généralement contenus dans un annuaire PKI ?

Les clés publiques et les certificats distribués

Pourquoi est-il important de vérifier plusieurs individus de confiance dans une Web of Trust ?

Pour renforcer la sécurité par une confiance partagée

Quelle fonctionnalité Google Play Protect utilise-t-il pour protéger les utilisateurs lors de la navigation web ?

Safe Browsing intégré dans Chrome

Quelles alertes les utilisateurs reçoivent-ils à propos des applications suspectes ?

Alertes de confidentialité concernant les autorisations des applications

Quel est le rôle d'une autorité d'enregistrement dans une PKI ?

Valider les demandes de certificats

Quels services ne sont pas fournis par une structure PKI ?

Développement de logiciels de gestion

Quel dispositif permet aux utilisateurs de localiser leur appareil en cas de perte ou de vol ?

Localiser Mon Appareil

Quel type d'applications Google Play Protect contrôle-t-il avant téléchargement ?

Applications du Google Play Store

Quel type de menaces Google Play Protect ne vise-t-il pas à détecter ?

Mises à jour de sécurité des applications

Que peut faire Google Play Protect sur certaines versions d'Android pour protéger la confidentialité ?

Réinitialiser les autorisations des applications

Quel est l'objectif principal d'authentification du protocole SSL/TLS ?

Authentification du serveur

Quel protocole a été standardisé par l'IETF en 1996 ?

SSL v3.0

Quelles sont les deux grandes catégories d'algorithmes utilisés dans la cryptographie mentionnée ?

Algorithmes symétriques et asymétriques

Quel était le principal changement introduit avec TLSv1.3 par rapport à la version précédente ?

Échange de clé avec Ephemeral Diffie-Hellman

Quel est le but de l'intégrité des données échangées dans le protocole SSL/TLS ?

S'assurer que les données ne sont pas altérées

Dans quelle couche le protocole SSL/TLS s'insère-t-il lors de la transmission des données ?

Couche session

Quel protocole a été développé par Netscape en 1994 ?

SSL v1.0

Quelle fonctionnalité est optionnelle dans le protocole SSL/TLS ?

Authentification du client

Study Notes

Google Play Protect

• Google Play Protect est une suite complète de services de sécurité fournie par Google pour les appareils Android.
• Son objectif est de protéger les utilisateurs contre les logiciels malveillants, les applications potentiellement indésirables et autres menaces potentielles.
• Google Play Protect effectue un contrôle de sécurité sur les applications téléchargées à partir du Google Play Store avant leur téléchargement.
• Il détecte sur l'appareil les applications potentiellement dangereuses issues d'autres sources.
• Google Play Protect avertit l'utilisateur lorsqu'il détecte des applications potentiellement dangereuses.
• Il peut désactiver les applications dangereuses ou les supprimer de l'appareil.
• Google Play Protect avertit l'utilisateur si des applications ne respectent pas les règles relatives aux logiciels indésirables.
• Ces applications peuvent masquer ou présenter de façon trompeuse des informations importantes.
• Google Play Protect envoie des alertes de confidentialité concernant les applications qui tentent d'obtenir frauduleusement des autorisations pour accéder aux informations personnelles des utilisateurs.
• Sur certaines versions d'Android, Google Play Protect peut réinitialiser les autorisations des applications pour protéger la confidentialité de l'utilisateur.

Google Play Protect (autres fonctionnalités)

• Navigation sécurisée avec Safe Browsing:
  • Intégré à Chrome, Safe Browsing protège les utilisateurs contre les sites Web malveillants et les tentatives de phishing lors de la navigation sur Chrome.
• Localiser Mon Appareil:
  • Permet aux utilisateurs de localiser, verrouiller ou effacer à distance leur appareil en cas de perte ou de vol.

Sécurité biométrique et verrouillage d'écran

• Les méthodes non-biométriques de verrouillage d'un smartphone, incluent le code PIN, le mot de passe et le motif.
• Ces méthodes traditionnelles sont les plus utilisées à ce jour.
• Cependant, ces méthodes ne sont pas considérées comme suffisamment sécurisées par de nombreux experts.

Biométrie

• La biométrie se base sur "ce que vous êtes".
• Les caractéristiques utilisées en biométrie sont :
  • Physiologiques : Empreinte digitale, main, iris, rétine, visage.
  • Comportementales : Signature, voix, frappes de clavier, marche.

Autres exemples de caractéristiques

• Physiologiques: Motif veineux, ADN, Géométrie de la main, Motif des ondes du cerveau, Spectrographie de la peau, Forme de l'oreille.
• Comportementales: Mouvements de la souris, Mouvement des lèvres

Système biométrique

• Un système biométrique comprend deux phases :
  • Enrôlement : Enregistrement des caractéristiques discriminantes de l'utilisateur.
  • Vérification : Identification de l'utilisateur aux points de contrôle du système en comparant ses caractéristiques avec celles de la base de référence.
• À partir des données collectées, le système effectue une identification du sujet. Cette identification se fait par égalité ou similitude, selon la reconnaissance du système.

Scanner d'empreintes digitales

• Le scanner d'empreintes digitales a été introduit en 2011 par Motorola Atrix et démocratisé en 2013 par l'iPhone 5s avec la technologie Touch ID.
• Actuellement, même les smartphones d'entrée de gamme intègrent cette technologie.
• La plupart des scanners d'empreintes de smartphones sont capacitifs. Cependant, il existe aussi des capteurs à ultrasons considérés comme plus sécurisés.
• Les scanners d'empreintes digitales ne sont pas infaillibles.

Reconnaissance faciale

• La reconnaissance faciale est moins répandue que le scanner d'empreintes sur les smartphones Android, bien que Samsung l'intègre dans certains modèles haut de gamme, comme le Galaxy Note 7.
• Cette méthode est pratique et rapide à utiliser, mais elle est malheureusement facile à contourner actuellement.
• Une simple photo peut suffire à contourner la reconnaissance faciale.

Reconnaissance vocale

• La reconnaissance vocale est une méthode d'authentification biométrique de plus en plus utilisée.
• L'exemple cité est la fonctionnalité "Trusted Voice" de Google sur Android, où il suffit de prononcer "OK Google" pour déverrouiller le smartphone.
• Malheureusement, un enregistrement vocal suffit pour contourner cette sécurité.

Le scanner d'iris

• Samsung a introduit le scanner d'iris en 2016 avec le Galaxy Note 7.
• D'autres constructeurs comme Nokia, Vivo et ZTE intègrent cette technologie dans leurs smartphones récents.
• Les experts le considèrent actuellement comme la meilleure méthode de verrouillage des smartphones.
• Cependant, le scanner d'iris du Galaxy S8 a été trompé par des hackers allemands moins d'un mois après son lancement.

Sécurisation des données et de la communication

• Cette section aborde les principes fondamentaux de la sécurisation des données et des communications.

Principes de base de la sécurisation des données

• Confidentialité: Protéger les données sensibles.
• Intégrité: Assurer l'absence de modifications non autorisées.
• Disponibilité: Maintenir l'accès aux services et données.
• Authenticité: Vérifier l'identité des utilisateurs et des appareils.

Sécurisation des communications

• Utilisation de SSL/TLS pour sécuriser les communications réseau.
• Validation des certificats SSL (SSL Pinning).
• Protection contre les attaques Man-in-the-Middle (MiTM).
• Recommandations sur l'usage des réseaux publics (Wi-Fi).
• Sécurité des communications Bluetooth.

Sécurisation des API et des services web

• Utilisation de jetons d'authentification (JWT, OAuth).
• Chiffrement des données lors de la communication avec l'API.
• Validation et filtrage des données côté serveur.
• Mise en œuvre d'authentification à deux facteurs (2FA).

Sécurisation des données stockées

• Chiffrement des fichiers sensibles (API de chiffrement).
• Utilisation du Keystore Android pour protéger les clés de chiffrement.
• Protection contre l'ingénierie inverse (obfuscation du code, ProGuard).
• Réduction de l'usage des stockages non sécurisés (carte SD, etc.).

Certificats numériques et PKI

• Comment s'assurer de la validité des clés publiques.
• Comment les obtenir ?
• Importance du mécanisme de gestion et d'authentification des clés publiques.
• Le rôle des Structures PKI et des Autorités de certification.
• La limite de la cryptographie à clé publique réside dans la confiance accordée aux informations échangées (clés publiques).
• Importance de définir une identité numérique pour les utilisateurs et les éléments du monde numérique, permettant une communication sécurisée, authentique et fiable.

L'identité et le certificat numérique

• L'identité numérique doit permettre aux utilisateurs de signer les documents numériquement et de communiquer en toute sécurité, en préservant la confidentialité.
• Elle permet aussi aux utilisateurs de s'identifier aux fournisseurs de services publics ou privés.
• Les utilisateurs doivent pouvoir prouver leur identité d'une manière fiable et sécurisée pour effectuer des actions ou obtenir des services.

Qui va faire l'association est comment?

• Une Autorité de confiance établit un document qui atteste que la paire de clés appartient à l'individu et le signe numériquement (en utilisant sa propre clé privée).
• Cette référence possède une identité numérique fiable.
• Ce document est le Certificat numérique.

Que contient un certificat numérique ?

• Le certificat atteste que la clé publique correspond bien à l'individu.
• Il est auto-protégé : il ne peut pas être modifié.
• Le certificat est vérifiable en utilisant la clé publique de l'autorité.

Types de certificats numériques

• Certificat personnel (hébergé sur un PC, carte à puce, jeton USB, usage privé, messagerie, chiffrement, achat en ligne).
• Certificat de serveur (hébergé sur un serveur Web, lié à une adresse Internet, sécuriser les échanges électroniques SSL).
• Certificat développeur (intégrer aux navigateurs, droit à lancer des applications, applets, scripts, DLLs, Exes).
• Certificat IPSec (sur des routeurs, chiffre les échanges entre équipements réseaux, VPN, tunnels IPSec).

Cycle de vie des clés et certificats

• Un certificat n'est pas valide indéfiniment ; il a un cycle de vie et une période de validité.
• Le certificat est créé avec la paire de clés correspondante.
• Il est ensuite délivré à l'utilisateur.
• Après une certaine durée, le certificat expire.
• Il peut être renouvelé ou régénéré si nécessaire. Il peut également être révoqué si la clé privée est perdue.

Autorités de certification

• Une autorité de certification gère l'établissement et la validation des certificats numériques.
• Deux modèles principaux existent :
  • Autorités de certification hiérarchiques : Modèle centralisé gérant l'établissement, la validation, la livraison, la révocation et la sauvegarde des certificats.
  • Web of Trust : Modèle distribué basé sur la confiance entre individus.

Web of Trust

• La clé publique d'un individu est signée par ceux qui lui font confiance (relation transitive).
• Un certificat contient plusieurs signatures.
• La vérification implique plusieurs individus et plusieurs clés publiques.

Protocoles de sécurité

• Les protocoles de sécurité constituent la base de la sécurité réseau.
• Ils interviennent à différents niveaux :
  • Niveau applicatif (ex : PGP, SSH).
  • Niveau session (ex : SSL/TLS).
  • Niveau réseau (ex : IPsec).

Pourquoi les protocoles de sécurité ?

• Pour assurer l'authentification mutuelle entre les utilisateurs.
• Pour échanger et établir des clés.
• Pour se mettre d'accord sur les opérations et les algorithmes cryptographiques.

Le protocole SSL/TLS (Secure Sockets Layer/Transport Layer Security)

• SSL/TLS est un sous-module qui se trouve juste en dessus de la couche TCP.
• Il assure l'authentification du serveur, la confidentialité et l'intégrité des données, et optionnellement l'authentification du client.

Historique de SSL/TLS

• Les différentes versions de SSL/TLS à travers le temps.

Le protocole Record

• Format des paquets pour les autres sous-protocoles (Content Type, Version, Length, Data, MAC, Padding).

Le protocole Handshake (TLS 1.2 et 1.3)

• Les deux protocoles Handshake pour TLS 1.2 et 1.3 contiennent plus de détails.

Structure d'un certificat X.509

• Description des parties d'un certificat X.509.

Structures PKI (Public Key Infrastructure)

• Une autorité de certification est responsable de l'établissement et de la signature des certificats.
• Une structure PKI gère la distribution, la validation, le maintien et le suivi d'un système de certification numérique.
• Les services d'une structure PKI comprennent l'enregistrement, la certification, le stockage et la récupération des clés. Elle gère également la mise à jour et la révocation des clés, ainsi que la gestion des cartes à puce.

Composantes d'une PKI

• Autorité de certification
• Autorité d'enregistrement 
• Autorité de validation 
• Annuaire des clés publiques, certificats distribués et liste des certificats révoqués.

Description

Ce quiz examine les concepts fondamentaux de la sécurité des données, y compris l'intégrité, l'authentification à deux facteurs et le chiffrement. Vous serez interrogé sur les mécanismes de protection des communications et les techniques de verrouillage pour les appareils. Testez vos connaissances sur les algorithmes utilisés pour SSL/TLS et les stratégies pour se protéger contre les risques de sécurité.