Sécurité Informatique: Certificat Numérique

Questions and Answers

Quelle classe de certificat numérique garantit l'existence d'une adresse e-mail, sans toutefois vérifier l'identité du titulaire?

• Classe IV
• Classe I (correct)
• Classe II
• Classe III

Quel est le principal objectif d'un certificat numérique?

• Accélérer la navigation web.
• Stocker des données personnelles de l'utilisateur.
• Garantir l'authenticité d'une clé publique. (correct)
• Crypter les communications vocales sur IP.

Parmi les éléments suivants, lequel n'est pas inclus dans un certificat numérique?

• Numéro de série
• Période de validité
• Adresse IP de l'utilisateur (correct)
• Nom de l'émetteur

Quel type de certificat est généralement utilisé pour chiffrer les communications entre un serveur web et un navigateur?

Certificat SSL (A)

Quelle information n'est pas directement incluse dans le fichier d'un certificat numérique?

Clé privée de l'utilisateur (A)

Dans le contexte de la sécurité des réseaux, que permet l'échange de clé Diffie-Hellman?

L'échange d'une clé secrète sur un canal non sécurisé. (A)

Quel est le principal inconvénient de l'échange de clés Diffie-Hellman?

Il est vulnérable à l'attaque de l'homme du milieu. (D)

Quelle est la fonction d'une racine primitive dans l'algorithme de Diffie-Hellman?

Elle permet de générer des résultats uniques pour chaque calcul. (A)

Où étaient stockés les mots de passe sous UNIX avant l'amélioration de la sécurité?

/etc/passwd (C)

Dans le contexte du stockage des mots de passe sous Linux, quel fichier est uniquement accessible par le superutilisateur (root)?

/etc/shadow (B)

Pourquoi un 'salt' est-il utilisé lors du cryptage des mots de passe?

Pour perturber le cryptage et rendre les attaques plus difficiles. (B)

Quel algorithme est recommandé pour le hachage des mots de passe aujourd'hui?

SHA-512 (C)

Quelle commande permet d'installer OpenSSL sous Linux?

sudo apt install openssl (B)

Quelle commande permet de modifier la date d'expiration d'un mot de passe pour un utilisateur spécifique sous Linux?

chage (D)

Lequel des paramètres suivants dans /etc/login.defs définit la durée maximale pendant laquelle un mot de passe peut être utilisé avant d'être changé?

PASS_MAX_DAYS (C)

Flashcards

Qu'est-ce qu'un certificat numérique ?

Carte d'identité numérique. Utilisé pour identifier, authentifier et chiffrer les échanges.

Classe I des certificats numériques

Garantit l'existence de l'adresse e-mail. Identité du titulaire non vérifiée.

Classe II des certificats numériques

Garantit l'identité du titulaire et de son entreprise. Autorité de certification vérifie pièces justificatives.

Classe III des certificats numériques

Garantit la vérification de l'identité du titulaire du certificat. Présentation physique requise.

Quel est le rôle du certificat numérique ?

Document électronique qui garantit l'authenticité d'une clé publique.

Quelles informations contient un certificat numérique ?

Le nom de l'autorité de certification, nom et prénom de la personne, entreprise, adresse électronique, clé publique, dates de validité, signature électronique.

Certificat Personnel

Hébergé sur un PC, carte à puce, jeton USB. Usage privé: messagerie, chiffrement, achat en ligne.

Certificat Serveur

Hébergé sur un serveur Web, lié à une adresse de type Internet (http://... ), sécuriser les échanges électroniques (SSL).

Certificat Développeur

Intégré à certains browser (IE, Firefox....); donne le droit à certaines applications de se lancer.

Certificat IPSEC

Hébergé sur des routeurs, chiffre les flux transitant entre lui et un autre équipement réseau, VPN, Tunnel IPSEC.

Diffie-Hellman (DH)

DH permet l'établissement d'une clé privée ou secrète entre deux parties, via l'échange de messages sur un canal non sécurisé.

Diffie-Hellman (DH)--Attaque

Les intervenants n'a aucune preuve qu'il est en train de communiquer directement avec le bon interlocuteur.

Stockage et cryptage des mots de passe sous Linux

Premièrement, la sécurité des mots de passes sous UNIX étaient fonder sous un algorithme de chiffrement symétrique DES. Ils étaient stocker dans le deuxième champ de chaque ligne de /etc/passwd.

Pouvoirs du superutilisateur (root) :

La seule personne qui as le pouvoir de changer les informations propres à un utilisateur dans le fichier /etc/passwd est le superutilisateur (root).

Interpréteur de commandes

Est l'interpréteur des commandes par défaut après connexion au système : /bin/bash;.

Study Notes

Sécurité Informatique : Certificat Numérique

• Un certificat numérique est une carte d'identité numérique utilisée pour identifier, authentifier des individus ou pour chiffrer des échanges.
• Classes de certificats numériques :
  • Classe I : Garanties limitées à l'existence d'une adresse e-mail.
  • Classe II : Garantit l'identité du titulaire et de son entreprise par des vérifications de l'autorité de certification.
  • Classe III : Identité vérifiée physiquement en plus des garanties de la classe II.
• Un certificat numérique garantit l'authenticité d'une clé publique via une autorité de confiance.
• Utilité :
  • Certifier une clé publique
  • Identifier et authentifier une personne physique ou morale.
  • Chiffrer des données.
  • Assurer des communications sécurisées (SSL).
  • Signature numérique sécurisée.
• Un certificat est similaire à une carte d'identité et est délivré par une Autorité de Certification.

Création d'un Certificat Numérique

• Composants d'un certificat :
  • Numéro de série
  • Algorithme de signature
  • Nom de l'émetteur
  • Période de validité
  • Nom du sujet
  • Information clé publique
  • Identifiants uniques de l'émetteur et du sujet
• Le processus inclut la création d'une empreinte et le chiffrement avec la clé privée de l'autorité de certification.

Caractéristiques d'un Certificat Numérique

• Les informations comprennent la version, le numéro de série, l'algorithme de signature, les détails de l'émetteur, la période de validité, les informations sur le sujet et la clé publique du sujet.
• Les extensions X509 v3 peuvent être incluses.

Types de Certificats en Sécurité Informatique

• Certificat Personnel :
  • Stocké sur un ordinateur, carte à puce ou jeton USB.
  • Usage privé (e-mails, chiffrement et achats en ligne).
• Certificat Serveur :
  • Hébergé sur un serveur web.
  • Lié à une adresse Internet (URL).
  • Sécurisation des échanges électroniques (SSL).
• Certificat Développeur :
  • Intégré à certains navigateurs (IE, Firefox).
  • Autorise des applications à être lancées avec des droits spécifiques.
• Certificat IPSEC :
  • Utilisé sur les routeurs.
  • Chiffre le trafic entre équipements réseau (VPN, tunnel IPSEC).

Informations Contenues dans un Fichier de Certificat Numérique

• Nom de l'autorité de certification
• Nom et prénom de la personne physique
• Entreprise
• Adresse e-mail
• Clé publique
• Dates de validité
• Signature électronique

Échange de Clé Diffie-Hellman: Principe

• Diffie-Hellman(DH) est un algorithme de chiffrement asymétrique permettant d'échanger une clé secrète sur un canal non sécurisé sans secret préalable.
• Alice et Bob conviennent de deux nombres :
  • Un nombre premier n, et sa racine primitive g, transmis en clair.
  • Alice choisit un grand nombre aléatoire x et calcule A = gx mod n
  • Bob fait de même avec y et B = gy mod n
  • Alice calcule ensuite K1 = Bx mod n, Bob calcule K2 = Ay mod n, aboutissant à une clé partagée.

Attaque de l'intercepteur (Man-in-the-Middle) contre Diffie-Hellman

• Un attaquant, Eve, intercepte ou modifie les messages échangés pour se faire passer pour Alice ou Bob.
• Eve trompe Alice et Bob dans une attaque de l'intercepteur.

Racine Primitive et Sécurité des Réseaux

• La racine primitive d'un nombre premier n est un nombre a où an et suit les critères suivants:
  • a' mod n donne des résultats uniques pour chaque a = 1 à n-1 et i = 1,2,3,4....;
• Les racines primitives de n=11 sont : 2,6,7,8;

Sécurité des Mots de Passe sous Linux et le Stockage

• Les systèmes UNIX utilisaient un algorithme de chiffrement symétrique DES pour stocker les mots de passe dans le fichier /etc/passwd.
• Désormais, les mots de passe sont stockés dans /etc/shadow, avec chiffrement MD5.
• Seul le superutilisateur (root) peut modifier les informations du fichier /etc/passwd.
• /etc/shadow contient le mot de passe chiffré(X)

Fichier /etc/passwd ou /etc/shadow

Les seuls avec les droits d'écrire dans sont le superutilisateur (root)

• Login : nom du compte utilisateur
• X : mot de passe utilisateur chiffré
• UID : identificateur d'utilisateur pour le système d'exploitation
• GID : identificateur du groupe de l'utilisateur Commentaire : informations sur l'utilisateur Répertoire de connexion : répertoire par défaut après connexion Interpréteur de commandes : interpréteur par défaut après connexion.

Les Défis de Sécurité et le Cryptage Avancé des mots de passe

• Le cryptage donne : $1$s1f5m5j4$oLyi.z6g6/.Fx4x0y6nxD0.
• Composé de deux parties :
  • Le salt : identifiant d'un algorithme, chaîne aléatoire non secrète.
  • Le mot de passe crypté : résultat du hachage MD5.

Outils de Sécurité et configuration

• Openssl Créé un certificat numérique contenant la cle publique de façon sécurisée, transtert physique ou session cryptée

Gestion des Mots de Passe

• Utiliser la commande openssl passwd avec des options variées pour crypter les mots de passe en utilisant des algorithmes comme CRYPT, AES, MD5, SHA256, SHA512.

Stockage sécurisé du fichier Shadow

Seuls root et certains services spécifiques y ont accès: root,$6$abc123salt$hashedpassword:19234:7:90:10:30:20000

• Caractéristiques du fichier /etc/shadow*
• Asimi:$6$abc123salt$hashedpassword:19234:7:90:10:30:20000:
  • nom_utilisateur: Asimi
  • mot_de_passe_chiffré
  • date_de_dernière_modif
  • âge_min:Durée de 7 jours minimum entre deux changements des mots de pass
  • âge_max: Le mot de passe expire après 90 jours

Outils PAM PAM et login.defs pour les configurer avec leur fonction

• Pour configurer de bonnes pratiques:
  • Minimum de 12 caractères -Au moins 3 classes
    • La limite de répétition des caractères doivent être 2

Comment protéger le nombre de tentatives pour les utilisateurs

• CREATE_HOMEIndique : Si un répertoire par défaut est créé pour un nouvel utilisateur, alors oui
• Avec LOGIN_RETRIES : Définir le nombre limite de tentatives de connexion et LOGIN_TIMEOUT indique la durée d'attente
• Utilisez Erasechar désignant le caractère utilisé pour supprimer le dernier caractère saisi: Ctrl + H