Sécurité des Réseaux

Dr. Lamia Ben Azzouz

Maitre de Conférence ENSIT
 Plan

– Chapitre 1: Les menaces

– Chapitre 2: Les schémas cryptographiques anciens
– Chapitre 3: Les mécanismes de sécurité
– Chapitre 4: sécurité Wi-Fi
– Chapitre 5: Protocoles de sécurité

2
Chapitre 1
Les menaces

3
La Sécurité
La sécurité sur un réseau consiste à s’assurer que celui qui modifie
ou consulte les données en a l’autorisation et qu’il peut le faire car
le service est disponible

 les risques
 croissance de l’Internet
 caractéristiques des réseaux sans fils
 failles des protocoles et des implémentations
 failles des configurations
 failles des politiques de sécurité
 changement du profil des pirates
 Diversité des informations
 données financières
 données techniques
 données médicales 4
etc
La Sécurité

– les attaques

– les services

– les mécanismes

5
 Les attaques
Attaque: n’importe quelle action qui compromet la sécurité de
l’information
2 types d’attaques
– Passives
l'attaquant écoute le réseau dans un but d'analyser le
traffic
– Actives
l'attaquant fait généralement recours à l'injection, la
modification ou la suppression de données circulant
dans le réseau dans un but de perturber le bon
fonctionnement des services de ce dernier. 6
Les attaques

– Le spamming
envoi de contenu non pertinent (publicité) et non sollicité

– Virus
un prog informatique qui se propage à l’aide d’un autre programme

– Chevaux de Troie
donne un accès à l’ordinateur sur lequel il est exécuté en ouvrant
une porte dérobée (backdoor). Le principe ouvrir un port sur la
machine pour permettre au pirate d’en prendre contrôle
– Les vers
se réplique d’ordinateur à ordinateur par exple à travers le réseau
consomme des ressources mémoires et de la bande passante
7
Vers

Pour attaquer un réseau d’entreprise, l’attaquant envoie

un message, à un utilisateur de ce réseau d’entreprise par le
client de messagerie Outlook , grâce à des fichiers attachés
contenant des programmes permettant de récupérer l'ensemble
des adresses de courrier contenues dans le carnet d'adresse et
en envoyant des copies d'eux-mêmes chaque seconde à tous ces
destinataires. Ce message reproduisait trop vite et crée une
saturation au niveau de la bande passante, ce qui a obligé
l’entreprise à arrêter les connexions réseaux pendant une
journée.

8
 Les attaques
– Brute-force attack (BF Attack)
tester exhaustivement toutes les valeurs possibles d’une clef
quelconque jusqu’à ce que le texte clair ait un sens
– Chosen-plaintext attack
L’attaquant dispose des textes chiffrés et leurs correspondants
en clair pour différents messages, et peut utiliser les deux
informations pour retrouver la clef de chiffrement .
– Man-In-the-Middle attack (MiM)
L’attaquant s’interpose entre deux parties d’une
communication sans qu’aucune des parties n’en ait conscience
et se fait passer pour l’autre parti pour chacune des deux
entités légitimes 9
Chosen Plain text attack:Cas
du WEP
Une autre faille provient de la séquence d'authentification
où un texte en clair est envoyé par l'AP et sa version
codée renvoyée par la station.
Si on appelle G le challenge et R sa réponse
R = RC4(IV||K) XOR (G||ICV(G))
RC4(IV||K) = R XOR (G||ICV(G))

S'il reçoit un nouveau challenge G', il calculera sa réponse R'

en réutilisant le même IV et donc cette sortie de RC4 :

R' = RC4(IV||K) XOR (G'||ICV(G'))

10
 Les attaques
– Replay attack (attaque de rejeu)

rejouer un message valable après l’avoir

capturé

– Dictionary Attack
l’établissement d’une base de données de
toutes les possibilités d’un mot de passe, et
les vérifier par la suite.
11
 Snifing
– Prendre connaissance du contenu des données
transitant sur le réseau.
– Ethernet classique diffusion des données ( hub).
– Difficile sur Ethernet Commuté (Switch).
– Saturer la table CAM du switch avec des entrées factices
pour qu’il fonctionne comme un hub.
– les commutateurs d’entreprise pourraient supporter cette
charge.

– Attaque passive
12
 Spoofing
– Se faire passer pour quelqu'un d'autre
Usurpation d’identité

Exemple: IP spoofing (blind spoofing)

– Usurpation de l'adresse IP d'une autre machine.
– Permet de cacher la source d’une attaque ou
d'obtenir un accès à des systèmes sur lesquels
l'authentification est fondée sur l'adresse IP (exple
rlogin ou rsh).
– un routeur ou un firewall peut laisser passer des
paquets dont l'adresse source indique qu'ils
proviennent d'un site ami (relation de confiance).
13
 Exemple IP Spoofing
l’attaque pourrait ne pas être blind (aveugle)
– Utilisation du source routing du paquet IP
indiquer un chemin de retour jusqu’à un routeur que le
pirate contrôle

– Reroutage
– Les tables de routage RIP peuvent être modifiées
– par envoi de messages RIP avec de nouvelles
indications

– Techniques difficilement réalisables

14
 Exemple ARP Spoofing

– Résolution d’une adresse IP en une adresse MAC

Ethernet
– Rediriger le trafic d’une ou plusieurs machine vers
celle du pirate
– requête ARP en broadcast sur le réseau physique:
Qui possède cette @ IP?
– envoyer des ARP reply à la machine cible indiquant
l’@MAC du pirate comme @IP du routeur par
exple (passerelle)
– Selon ARP, il est possible d’envoyer un ARP Reply
sans sollicitation au préalable (Gratuitous ARP
Exemple ARP (ARP Poison Routing)
– Attaque MiM. Empoisonner le cache ARP des victimes avec
l’adresse MAC du pirate

[Link]

– Comment éviter une attaque ARP spoofing ? Configurer

statiquement la table ARP. 16

– Configuration sur les switchs

 ARP Spoofing
– L’attaquant s’insère entre deux intervenants IP au
niveau Ethernet → Man-in-the-middle.
– Gratuitous ARP Reply avec l’adresse MAC de
l’attaquant [Link] et l’adresse IP du routeur
vers Host A et Host B.
– Pour B et A, l’attaquant possède l’adresse IP du routeur.

17
Exemple MAC Spoofing
l’attaquant usurpe une adresse MAC

– Une carte réseau a une adresse MAC unique sur 6 octets.

– substituer l'adresse MAC du périphérique réseau (adaptateur réseau).
Pourquoi?

– Pénétrer dans un réseau qui autorise certaines adresses MAC.

– Faire une attaque DoS sur un poste en modifiant la table CAM .

Attaque qui peut être détectée par

– Reverse Adresse Resolution Protocol RARP
– Firewalls
– Sécurité des ports du Switch
18
 Exemple DHCP Spoofing
Attaque DHCP Spoofing
– Serveur DHCP non autorisé (rogue) se connecte au réseau et fournit des
paramètres de configuration IP incorrects aux clients légitimes.

Passerelle par défaut incorrecte - Le serveur non autorisé fournit une

passerelle non valide qui peut être son adresse (Man In the Middle).

Serveur DNS incorrect - Le serveur non autorisé fournit une adresse de

serveur DNS incorrecte pointant l'utilisateur vers un site Web néfaste.

Adresse IP incorrecte - Le serveur non autorisé fournit une adresse IP

invalide et donc le Host ne pourra pas se connecter ( DoS sur le client
DHCP).

Solution commutateur CISCO: DHCP Snooping. empêche les serveurs DHCP

19
non autorisés de distribuer des adresses IP aux clients DHCP.
Déni de service - Denial of Service(DoS)

– Attaque destinée à rendre indisponible une

machine ou un service.
– plus simple de paralyser un réseau que d'en
obtenir un accès.
– provoquer une saturation ou un état instable de
la machine
– Attaque relativement simple à mettre en œuvre.

20
Exemple: DoS par« SYN flood »

– Exploite le mécanisme d’établissement de TCP en 3 phases

(Three Way Handshake).
– Attaque par envoi d’un très grand nombre de demande de
connexion (SYN à 1) avec une adresse source usurpée
(spoofée) et inaccessible.
– Les connexions semi-ouvertes consomment les ressources
mémoires et empêche la cible d'accepter de nouvelles
connexions.
– Les systèmes d'exploitation récents et les firewalls sont
munis de protections contre ce type d'attaque.
21
Exemple: DoS par smurf
– noyer la cible sous un flot de trafic le plus grand possible
sans révéler l'adresse du pirate.
– Utilise le protocole ICMP
– Une machine reçoit un paquet echo-request , elle envoie un
paquet echo-response à l'adresse source de la requête.
– Pour attaquer une cible, le pirate place l'adresse de la cible
comme adresse source d'une requête ICMP.
– le pirate envoie sa requête a une adresse broadcast d'un
réseau.

22
DoS par Smurf attack

[Link] 23
Attaque DoS: MAC Address Flooding

– Content Addressable Memory (CAM) table:

Association numéro de port et adresse MAC.

Source; Netacad CCNAv7

24
Attaque DoS: MAC Address Flooding

– Saturer la table d’association @MAC numéro de port du

switch Content Addressable Memory (CAM) table .
– Envoyer plusieurs trames avec des @MAC différentes.
– lorsque la table est saturée, le switch peut basculer en
mode hub lorsque les adresses ne sont pas dans la
table ou enlevées après rafraichissement

– [Link]

25
Attaque DoS: MAC Address Flooding

 Ce qui rend les outils tels que macof si dangereux, c'est qu'un attaquant peut créer une attaque
de débordement de table MAC très rapidement. Par exemple, un commutateur Catalyst 6500
peut stocker 132,000 adresses MAC dans sa table d'adresse MAC. Un outil tel que macof peut
inonder un commutateur avec jusqu'à 8,000 faux trames par seconde ; créant une attaque de
débordement de table d'adresse MAC en quelques secondes.

 Une autre raison pour laquelle ces outils d'attaque sont dangereux est qu'ils n'affectent pas
seulement le commutateur local, ils peuvent aussi affecter les autres commutateurs de couche 2
connectés. Lorsque la table d'adresse MAC d'un commutateur est pleine, il commence à inonder
tous les ports, y compris ceux qui sont connectés aux autres commutateurs de couche 2.

Pour atténuer les attaques de débordement de table d'adresse MAC, les administrateurs réseau
doivent implémenter la sécurité des ports. La sécurité des ports ne permettra d'apprendre qu'un
nombre spécifié d'adresses MAC sources sur le port. La sécurité des ports est discuté plus en
détail dans un autre module.
Source Chapitre 10 CCNA 2v7
26
 Attaque DoS: MAC spoofing

– Peut causer un Déni de Service au poste dont on a

usurpé l’adresse MAC .
– Le switch n’admet pas une même adresse MAC sur 2
ports différents.
– Met à jour la table CAM avec la dernière demande.

– [Link]

27
 Attaque DoS: DHCP starvation

– Peut causer un Déni de Service sur le serveur DHCP en

envoyant des messages DHCP discover .
– L’attaquant usurpe à chaque fois une adresse MAC
pour demander une adresse IP.
– Solution DHCP snooping: limiter le nombre de
message DHCP discover venant des ports qui ne sont
pas de confiance.

28
Attaques DDoS
– Distributed Denial of Service DDoS

– utiliser plusieurs sources (esclaves) pour l’attaque

et des maîtres (masters) qui les contrôlent

– 3 participants

– Le maître est la source initiale de l'attaque

– L‘esclave est l'hôte ou le réseau qui a été précédemment

compromis par le Maître

– la Victime est le site ou le serveur cible attaqué.

29
Les services de sécurité
– Authentification
assure que seules les entités autorisés ont accès au système
– Disponibilité
Information et ressources informatiques sont disponibles quand un user légitime en a
besoin
– Intégrité
Assure que les données n’ont pas été modifiées durant le transfert
– Confidentialité
Protège l’information contre sa divulgation non autorisée
– Non répudiation
Expéditeur ne peut pas nier avoir envoyer le message et destinataire ne peut pas nier
l’avoir reçu
– Contrôle d’accès
donner aux utilisateurs exactement les droits dont ils ont besoin
– Privacy (droit à la vie privée)
30
Les mécanismes de sécurité

Mécanisme de sécurité: Un mécanisme qui est conçu pour

détecter, prévenir et lutter contre une attaque de sécurité

– Les firewalls
– Le chiffrement
– Les fonctions de hachage
– Les signatures numériques
– Les certificats et PKI
31
 Firewalls
– Le contexte typique qui nécessite l'utilisation d'un firewall est
l'interconnexion d'un réseau d'entreprise a Internet.

– filtrer le trafic entre les différentes zones auxquelles il est

connecté

– Règles (traduisent une politique de sécurité concernant des

communications IP) définies par l'administrateur du firewall.
–
– Le filtrage peut se faire d'après différents critères:
– Adresse IP source ou destination
– Protocole (TCP, UDP, ICMP, ...) et port
– Flags et options: TCP syn, ack, ICMP, ...
– Trafic applicatif
32
 Firewalls

– Empêcher les requêtes broadcast ou multicast dans un

sens ou dans l'autre (éviter DDoS et Dos attacks)
– Interdire les requêtes internes venant de l'extérieur
– une machine qui prétend avoir une @IP du réseau, et
qui se trouverait sur l'internet (éviter IP spoofing)

– Filtrer des ports et donc des protocoles

– interdire port 139 celui du partage de windows par
exple

33
Datagramme IP (Segment TCP)

34
Firewalls
– Stateless
 Interdire ou on autoriser une @IP, un port sans prendre en compte
des cas d’exception
 filtrage restrictif

– Statefull
 prend des décisions en fonction de l’état des connections
 un paquet entrant est-il une réponse à une requête sortante.
 consommation de ressources et baisse de performance

– Proxy Applicatif
 analyse du trafic échangé en couche 7 du modèle OSI
Un processus proxy pour chaque protocole(HTTP,FTP, etc)
 Exemple: filtrer sur le nom d’un usager dans un accès
35
distant ou dans un transfert de fichier
 lenteur d’inspection
Firewalls

Différents types de firewalls

– hardware
– Les switchs
– les routeurs

– software

36
Chapitre 2: Schémas cryptographiques
anciens

37
 La cryptologie
– La cryptologie est la science du secret. Elle
comprend
– la cryptographie : ensemble des méthodes
permettant de préserver le secret des
informations
– la cryptanalyse : ensemble des techniques
permettant de décrypter des échanges sans
posséder la clé de chiffrement.

38
 Définitions
– Le chiffrement est une opération qui consiste à transformer à
l’aide d’une convention de chiffrement (appelée clé), des
informations claires en informations intelligibles par des tiers
n’ayant pas connaissance de la convention de déchiffrement.
– Le résultat du chiffrement est appelé un cryptogramme.

– Chiffrer est l’action de réaliser le chiffrement.

– Le déchiffrement est l’action inverse qui consiste à retrouver le
texte clair, à partir du texte chiffré en utilisant la convention de
déchiffrement liée à la convention de chiffrement.
.
39
Schémas Cryptographiques anciens
Chiffrement par transposition

C’est un chiffrement qui consiste à changer l’ordre des lettres.

Soit la clé Compter et soit le message « Je vais manger ».
On classe les lettres de la clé par ordre alphabétique. 1, 4, 3,5, 7, 2, 6

j e v a i s m
a n g e r x x

Le message chiffré: j a a e v g i rm x e n s x

40
 Schémas Cryptographiques anciens
Chiffrement par substitution
Chiffrement par substitution monoalphabitique
Dans le message en clair , on remplace (substitution) chaque
lettre par une lettre différente. Il s’agit de remplacer chaque
symbole par un autre symbole de l’alphabet
Il existe 26! Permutation possible. 26!≈ 4.10 26
ce système est cassé par la cryptanalyse statistique car dans une langue
usuelle telle que le français, les lettres n’apparaissent pas toutes avec les
mêmes fréquences

Supposons le message BONJOUR ….

Clé de chiffrement ULOIDTGKXYCRHBPMZJQVWNFSAE (AU,
BL, CO, …
Le message chiffré est: LPBYPWJ 41
Schémas Cryptographiques anciens
Chiffrement Affine

Le chiffrement affine est un cas spécial du chiffrement par

substitution mono-alphabétique

La clé consiste en un couple d’entiers (a, b) ∈ (Z/26Z)∗ × (Z/26Z).

une lettre du texte clair de rang x ∈ {0, . . . , 25} est remplacée

dans le texte chiffré par la lettre de rang a · x + b mod 26.

a = 1 est dit chiffrement par translation (Décalage). Aussi

appelé chiffrement de césar

42
Schémas Cryptographiques anciens
Chiffrement par Décalage
Le message en clair :
RENDEZ VOUS DEMAIN MIDI TUNIS
K=3
Devient :
UHQGHC YRXV GHPDLQ PLGL WXQLV

Attaques par cryptanalyse

statistique

43
Schémas Cryptographiques anciens
Chiffrement par Substitution Poly-alphabétiques

Exemple: Le chiffrement de Vigénère :

Le procédé de Vigenère repose sur plusieurs alphabets de
substitution.
– Alphabets représenté sous forme de Carré de 26x26
– Les 26 lignes contiennent chacune l'alphabet complet
décalé de un rang vers la gauche par rapport à la ligne
précédente.

44
45
Schémas Cryptographiques anciens
Chiffrement par Substitution Poly-alphabétiques
.
– Le chiffrement part d’un mot clé. Par exemple TRIAGE.

Pour coder la première lettre C du message en clair COULER, on

considère la colonne correspondante et pour la lettre de la clé
la ligne correspondante( la ligne 10 commençant par T),

le C doit être chiffré par son correspondant sur cette ligne, soit
V. La seconde lettre O doit être chiffré en prenant la ligne
commençant par R et ainsi de suite.

46
Schémas Cryptographiques anciens
Chiffrement par Substitution Poly-alphabétiques

47
Schémas Cryptographiques anciens
Chiffrement par Substitution Poly-alphabétiques

Le chiffrement de Hill (Exemple)

1. On prend comme clef de cryptage la matrice (9 4; 5 7)
2. Le message M= ‘’je vous aime’’

3. Le résultat

48
Schémas Cryptographiques anciens
Chiffrement par Substitution Poly-alphabétiques

Déchiffrement

Pour l’exemple précédent:

Quel est l’inverse de : 43 mod 26

49
, 2002
Chapitre 3
Mécanismes de sécurité
Chiffrement Moderne
Le chiffrement inclut le concept de clé, qui est utilisée par un
algorithme pour chiffrer ou déchiffrer un message
 casser la clé (brute force attack) ou exploiter des faiblesses
mathématiques de l’algorithme

Chiffrement
_ Symétrique
_ Asymétrique
_ Hybride
51
Chiffrement Moderne

Chiffrement symétrique
Le chiffrement symétrique (ou le chiffrement à clé secrète) utilise
la même clé pour chiffrer et déchiffrer un message .
2 catégories
– par flot (exple RC4): les données sont
traitées bit par bit ou octet par octet.
– par bloc (exple DES, AES): les données
sont traités par blocs de données (ex: 64
bits, 128 bits, etc)

52
Exemple chiffrement par flot
RC4

53
Source: [Link]
Exemple Chiffrement par flot
RC4
RC4 (Rivest Cipher 4)
Tableau K, initialisé avec les octets de la clé, composé de x
mots de n bits, K[0], …, K[x−1].
Initialisation. Etat initial de RC4 est formé d'un tableau S de 2n
éléments de n bits. n=8
Pour i de 0 à 2n−1, S[i] ← i.
j←0
Pour i de 0 à 2n−1 faire
– j ← j + S[j] + K[i mod x]
– échanger S[i] et S[j] permutation des mots à l’aide de la clé
secrète
Génération de la suite chiffrante.
i ← 0, j ← 0
Répéter
– i ← i+1 (mod 256)
– j ← j+S[i] (mod 256)
54
– échanger S[i] et S[j].
– Retourner S[S[i] + S[j] ]
Exemple Algorithme Symétrique
DES (Data Encryption Standard)

L’un des algorithmes les plus connu pour le

chiffrement symétrique est le DES (Data Encryption
Standard). Adopté en 1977 (proposé par IBM et
modifié par le NIST)

_ Chiffrement par bloc

_ Taille du bloc 64 bits
_ Longueur de la clé: 56 bits (64 bits avec les bits de
parité)
_ Structure: schéma de feistel
_ Nombre de tours: 16 avec des sous clés de 48 bits
55
Schéma de feistel

G D

xor f

G D

Transformation bijective: D=G et G=D xor f(G) 56

 DES

G0 D0
Clé Partielle
K1 calculée à partir de
clé initiale (48 bits)
xor f

f(Di−1,Ki) = P(S(E(Di−1), Ki))

G1 D1= G0+f(D0,K1)
La clé: 16 blocs de 4 bits de K1 à k16
Table d’Expansation E: Di-1 de 32 bits à 48 bits
8 Boites de substitution: Si 57

P: permutation
Source : National Institute of Standards and Technology 58
[Link]
La permutation initiale

58 50 42 34 26 18 10 2
60 52 44 36 28 20 12 4
62 54 46 38 30 22 14 6
64 56 48 40 32 24 16 8
57 49 41 33 25 17 9 1
59 51 43 35 27 19 11 3
61 53 45 37 29 21 13 5
63 55 47 39 31 23 15 7

58 ème bit à la 1ère posisition 59

50 ème bit à la 2ème position

‒ f est une fonction de 32 bits  32 bits
‒ Expansion de 32 bits à 48 bits
‒ XOR avec 48 bits dérivés de la clé
‒ concaténation de 8 fonction 6 bits vers
4 bits appelés boites S
‒ une permutation des 32 bits

60
 Expansion et permutation

1er bloc de 6 bits: 32ème bits ensuite 1, 2, 3, 4, 5 1er bit envoyé à la 16 position
2 ème bit à la 7ème position
61
 Boites S
a2+2a3 +4a4+8a5

S1 (110101)= 9

a1+2a6

62
 Transformation des clés
– Transformer la clé de 64 bits en une clé de 56 bits en enlevant
chaque 8ème bit de la clé.
– de cette clé de 56 bits sont générés des clés partielles pour chaque
tour (48 bits):
– Clé divisée en 2 moitiés de 28 bits. Chaque moitié, on applique
une rotation circulaire gauche de 1 ou 2 positions en fonction du
numéro de tour

– Compresser la clé en 48 bits

63
 Algorithme DES

Un chiffrement DES offre 256 possibilités de clés.

un nombre de combinaisons «Réaliste » pour
une grosse puissance de calcul.

En 1998. Deep Crack un ordinateur conçu par IBM pour

cet usage pouvait casser ‘clé DES en moins d'une
semaine.

Utilisation du calcul distribué sut Internet pourrait casser

la clé en moins de 24 heures.
64
DES

‒ 3DES (Triple DES) plus sécurisé que DES

(enchainement de 2 ou 3 clés différentes )
‒ le standard: Ek1 (Dk2 (Ek3 (M)))
K1=k3 112-bit DES

‒ Remplacé par l’algorithme AES

(Advanced Encryption Standard)
En 1997 le NIST a lancé un appel pour la création
d’un algorithme destiné à remplacé DES
65
 AES Advanced Encryption
Standard
– AES algorithme de chiffrement symétrique
– Chiffrement par bloc
– Bloc de 128 bits
– clé de 128 bits, 192 , 256

– Principes de Shanon réseaux de Substitution/Permutation

– Confusion : Rend la relation entre le ciphertext et la clé aussi

complexe que possible (apparence aléatoire). Un symbole du texte
clair est remplacé par un autre symbole. Cf tables de
substitution du DES (S-Boxes)
– Diffusion : Chaque bit du texte en clair affecte tous les bits
66
du
texte chiffré
 AES Advanced Encryption
Standard
Les schémas sont pris du lien suivant: [Link]

clé de 128 bits 10

répétitions

67
 AES Advanced Encryption
Standard-SubBytes()

Matrice 4x4 octets

68
AES Advanced Encryption
Standard-ShiftRows()

69
AES Advanced Encryption
Standard-Mixclomns()

70
Exemples

Algorithme Longueur de clé

AES 128, 192, 256 bits
DES 56 bits
3DES 112,168 bits
IDEA 128 bits
RC4 variable

71
Chiffrement symétrique

Deux problèmes essentiels pour les méthodes

de cryptographie à clés secrètes.

‒ L'échange de clés entre des sites

=> Pb de distribution des clés.
‒ Pour communiquer dans un groupe de n
participants, il faut n(n-1)/2 clés.

72
Echange de clés Diffie helman
M et N veulent communiquer sur un canal non
sécurisé

Ils choisissent 2 nombres premiers g et p avec p

grand (> 512 bits) et g racine primitive de p

P et g sont Publiques (peuvent être envoyés en clair

sur le réseau).

g (usually called a generator) is an integer less than p, with

the following property: for every number n between 1 and p-1
inclusive, there is a power k of g such that n = gk mod p.

73
Echange de clés Diffie helman

M et N choisissent chacun un grand nombre

aléatoire (resp. a et b) secret.
– M calcule A = ga mod p et l’envoie a N
– N calcule B = gb mod p et l’envoie a M
La clé privée
– M: K=Ba mod p = (gb)a mod p
– N: K=Ab mod p = (ga)b mod p
74
 Echange de clés Diffie helman

La fonction f(x) = g x mod p est une

fonction à sens unique : retrouver x à partir
de f (x), g et p est très délicat.
(si y = g x mod p , on dit que x est le
logarithme discret de y de base g modulo p).

75
Attaque Man In the Middle

Avantage: assurer la confidentialité persistente (ou PFS pour

Perfect Forward Secrecy). Si une clé est retrouvée, les anciennes
communications ne sont pas exposées.

Diffie-Hellman peut subir des attaques Man In the

Middle

A K1 K2 B
M

76
 Chiffrement asymétrique

ou à clé publique
‒ Introduit en 1978 par Diffie et Hellman
– Une paire de clé ( publique et privée )
‒ Le chiffrement asymétrique (ou à clé publique) utilise
deux clés différentes pour le chiffrement et le
déchiffrement.

‒ Une clé est utilisée pour déchiffrer ce que l’autre clé a

chiffré.

77
RSA (Rivest Shamir Adleman)

RSA : création des clés

• Choix aléatoire de deux nombres premiers p et q très grand
• Calcul de n = p x q et de e un nombre
premier avec ф(n)= (p-1) x (q-1) 3<=e<=f
PGCD(e, ф(n))=1
La sécurité du système repose sur la difficulté de factoriser un
grand entier n en deux entiers premiers p et q
la clé publique est constituée de n et e
• Calcul de d tel que e x d = 1 modulo ф(n)
• sa clé privée est d

78
RSA

_ Chiffrement du message en utilisant la clé

publique de X (n et e) et la formule y = M e
modulo n

_ X déchiffre le message y en utilisant sa clé

privée d pour calculer z = yd modulo n

79
Sureté de RSA

– La factorisation des entiers est un problème

difficile. La clé privée est la décomposition
en facteurs premiers de la clé publique.
– Retrouver d à partir de n
– si on connaît la factorisation de n, on en
déduit ф(n)=(p-1)(q-1) et donc on peut
calculer la clef privée, ф(n) inverse de la
clef publique (e).

80
Sureté de RSA

RSA face aux ordinateurs Quantiques

Algorithme de Shor: factoriser un nombre entier N
en un temps O((logN)3) et en espace O(logN).
Source:[Link]
ion/link/5b2293a5a6fdcc697460e881/download

Avec un ordinateur quantique, la clé RSA ou de tout

autre algorithme basé sur le problème
mathématique du logarithme discret peut être cassé.

81
Source; Jean-Philippe Javet, « Quelques éléments de Cryptographie », [Link]
82
Exemple

– p = 41 et q = 17
– e1=32 e2=49. Quel paramètre e est
correct?
– Appliquez RSA sur x avec les
paramètres suivants
 p = 3, q = 11, d = 7, x = 5, e = 3
 p = 5, q = 11, d = 3, x = 9, e = 27
83
84
Chiffrement Hybride

Les chiffrements asymétriques sont très

lents comparés aux chiffrements
symétriques, mais ils sont plus
sécurisés.

Chiffrement hybride

85
 Chiffrement Hybride

– Le chiffrement hybride combine l’usage des

– chiffrements symétriques
– chiffrements asymétriques.

– Clé de session pour chiffrer le message et chiffrer

la clé de session par un chiffrement asymétrique

86
 Empreinte
_ une empreinte numérique est un « résumé » (digest,hash) d’un
document électronique (appelé aussi condensat)

_ elle est de taille fixe

_ deux documents très légèrement différents ont des empreintes

différentes (propriété de « non collusion »)

_ il est très difficile de produire un message à partir d’une empreinte

(propriété de «sens unique »)

_ exemple: MD5 (128 bits), SHA-2(Secure Hash Algorithm) (224, 256,

384, 512 bits, etc).

_ ces algorithmes sont appelés fonctions de hachage

87
 Fonction de Hachage
_ B∗ l’ensemble des suites finies d’octets
_ K nbre fixe d’octets
_ h : B∗ → Bk h: fct de hachage
_ résistance à la préimage : soit y ∈ Bk. Il est
difficile de trouver un x tel que h(x) = y en un
temps raisonnable.
_ résistance aux collisions : il est difficile de
calculer u et v tels que h(u) = h(v) en un temps
reasonable.
Source P. Barthelemy, R. Rolland, P. Veron, Cryptographie, principes et mises en œuvre, Hermes-Lavoisier, 2005 88
Exemple hachage

Fig.: [Link]/wiki/Fonction_de_hachage
89
 HMAC
_ Message Authentication Code MAC
_ HMAC est un MAC construit avec une fonction de hashage
_ Fonction de hachage + clé secrète
_ intégrité + authentification des messages basées sur une
clé partagée.
_ pas de non répudiation
_ fonction de hachage sur le message et le secret.
_ RFC 2104 HMACK(M)==Hash[(K+ XOR opad) || Hash[(K+ XOR ipad) ||M]]

_ Utilisé dans plusieurs protocoles de sécurité tels que SSL,

IPsec, SSH. 90
Authentification et Confidentialité

Source :[Link] 91
 Signature Electronique

_ L’émetteur chiffre le condensat du document avec sa

clé privée ; le résultat constitue la signature
électronique du document ; elle est ajouté à la fin du
document
_ Le destinataire du document déchiffre la signature
avec la clé publique de l’auteur
_ il calcule le condensat du document. Il compare
ces deux résultats; s’ils sont identiques la signature
est valide
92
 Exemple: Signature RSA
Génération de la signature RSA
A signe un message M
– calcul h = H(M) (on suppose 0< h < n)
– calcul s = hd mod n
Signature de M : s
Le document signé est alors [M; s]:
Vérification d'une signature RSA
B reçoit un document signé [M0; s] de A.
Il récupère la clé publique de X (n; e)
Il calcule h0 = H(M0)
Il calcule : se mod n=h
le document est authentique : h = h0
93

Source: A. Menezes, P. van Oorschot, and S. Vanstone, Handbook of Applied Cryptography, CRC Press, 1996.
Chiffrement asymétrique : Problème
‒ Comment s’assurer de la provenance

d’une clé publique ?

Ou : comment s’assurer qu’une clé publique
appartient bien à une personne ou une entité
donnée ?

94
 Certificat

_ Les certificats électroniques: certifier qu’une clé publique est

bien celle d’une personne ou une entité identifiée
_ un certificat électronique (normalisé par l’UIT certificats
X509) contient les informations suivantes :
_ Numéro de série: permet d’identifier le certificat (sert en
révocation)
_ une clé publique et l’algorithme à utiliser avec cette clé.
_ le nom du propriétaire de cette clé (le propriétaire peut être une
personne, une machine, un logiciel…)
_ la durée de validité du certificat
_ la signature de l’AC
_ d’autres informations

95
 Certificat X509

96
Source: [Link]
Exemple

97
Source: Sunit Chauhan, Digital Signatures
 Autorité de Certification

– Qui certifie que dans un certificat le nom du

titulaire est bien celui du propriétaire de la
clé publique ? Autorité de Certification
– organisme chargé de délivrer des certificats
en vérifiant l’identité du demandeur du
certificat

98
 Autorité de certification
– un certificat est signé par l’AC qui le Certifie.
– une Autorité de Certification possède donc une clé
privée et une clé publique.
Chaque CA possède un certificat
Ce certificat est signé par un autre CA etc...
=) Chaine de certificat
Le dernier certificat de la chaine est signé par lui-
même
On parle de certificat auto-signé ou certificat
racine
99
 PKI

– PKI Public Key Infrastructure

– La PKI est constituée de l'ensemble de

matériels, logiciels, personnes, règles et
procédures nécessaires à une autorité de
certication (AC) pour créer, gérer et distribuer
des certificats

100
 Services PKI
– vérifier l’identité du titulaire lors de
l’émission de certificat
– publier le certificat
– assurer le renouvellement d’un certificat
– révoquer les certificats compromis
– publier la liste de révocation de chaque AC
– assurer parfois le recouvrement de la clé
– privée
101
Architecture PKI

IETF:
– L'autorité de certification (AC) : signer les demandes de
certificats ainsi que les listes de révocation (CRL :Certicate
Revocation List).

– L'autorité d'enregistrement (AE) : génération de certificats et

vérification d’identité de l'utilisateur .

– L'autorité de dépôt : sauvegarde des certificats numériques

ainsi que les listes de révocation (CRL).

– L'entité finale : c'est l'utilisateur ou le système qui demande

un certificat.
102
 Architecture
Publie le certificat
Autorité de Annuaire
certification
Certificat
+
CRL
Vérifie la Autorité
demande
de certificat
d’enregistrement

Utilisateur

103
Chapitre 5
Sécurité du Wi-Fi
Attaques
– 4 types d’attaques

– écoute clandestine
aisée dans les réseaux sans fils du fait du caractère « ouvert
»

– Usurpation d’identité

– Le brouillage radio

– Les dénis de services

105
Attaques
La procédure d’évaluation du canal libre « Clear Channel
Assessment » (CCA), utilisée dans tous les dispositifs
conformes aux normes et exécutée par une couche
physique (PHY) (DSSS).
Attaque au moyen CCA au niveau de la couche physique et fait en
sorte que tous les nœuds WLAN dans la portée , ceux des clients et
des points d’accès, reportent de façon permanente la transmission des
données.

Lors d’une attaque, le dispositif réagit comme si le canal était toujours

occupé, empêchant la transmission de toutes données par réseau sans
fil.

106
Wardriving (attaque
passive)
– Le Wardriving consiste à rechercher des réseaux sans fil
(wireless). en voiture, d'où son nom

– Ordinateur portable, carte réseau, sniffeur

– Des logiciels spécialisés dans ce type d'activité

permettent même d'établir une cartographie très précise
en exploitant un matériel de géolocalisation (GPS, Global
Positionning System).

– Intérêt: SSID, @MAC du PA, débit utilisation des

ressources du réseau victime
107
attaques

– Bloquer un point d’accès en

l’innondant de requêtes (association,
désassosiation, etc)

Attaques DoS
– disposer un point d’accès malicieux à
proximité des autres PA légitimes. Écouter le
trafic, récupérer les @MAC de stations et PA et
autres info et s’intercaler au milieu ( Man in the
Middle) 108
Attaques DoS
– saturer le point d'accès par un grand nombre
de demandes d'association (en général max 256
associations )

– Usurper l’adresse MAC du point d’accès et

Envoyer à une station une trame de
deauthentification: attaque Deauth .
Évitée par un MIC (Message Integrity Code)dans les
trames de management: L’extension 802.11w
« Protected Management Frames »
109
WEP
– Wired Equivalent Privacy protocol
(WEP) (1999)
– La confidentialité
prévenir les écoutes mal vaillantes à travers les ondes
radio.

– L’authentification
– Open system authentication
– Shared key authentication

– L’intégrité des données: calcul d'une somme

CRC32 110
WEP
– Clé de 40 bits (version constructeur clé de 104
bits)
– clé secrète partagée entre les parties de la
communication (toutes les stations et point
d’accès)
– chiffrement symétrique
– Clé concaténée avec un code aléatoire de 24 bits
(l’Initialization Vector).
– L’IV est régénérée à chaque transmission de
trame.

111
WEP Chiffrement

RC4
Keystream
64 bits

IV Clé partagée
XOR

Données ICV Données chiffrées ICV

112
WEP

Texte chiffré = ( texte en clair | ICV ) XOR RC4 (( IV | K ))

| : Opérateur de concaténation,
ICV : Integrity Check Value (Cyclic
Redundancy Code sur 32 bits)
IV: vecteur d’initialisation sur 24 bits
K : clé secrète partagée entre l’AP et les
clients (40 ou 104 bits)
Key-stream: RC4 (IV | K): résultat de
l’algorithme RC4 initialisé par IV et K
113
Format du message WEP

Source: Nguyen Thi Mai Trang,, ’sécurité ‘, LIP6/PHARE

114
 Vulnérabilités WEP
– Clefs statiques partagées(40, 128, parfois 256 bits)
– Problème de gestion et administration de clé
– - Rarement changées
– - Vol de machine => vol de clef
– - Les autres qui partagent la clef peuvent lire vos trames
– - Possède une durée de vie longue
– - Diffusion d’une nouvelle clé difficile si le parc de mobile est
important.

– Clé de 40 bits: attaque par force brute: le pirate essaie

toutes les clés.
Avec une clé de 5 bytes et un jeu de 70 caractères :
~ 1.500 millions de combinaisons différentes.
115
Vulnérabilités WEP

La faille de base dans le WEP provient

du non respect de la règle suivante
concernant tout algorithme de
chiffrement par flot basé sur le XOR :

"Défense de réutiliser le même

keystream plus d’une seule fois".
116
Vulnérabilités WEP

c1 = p1  b c2 = p2  b

Then:
c1  c2 = (p1  b)  (p2  b) = p1  p2

[Link]

– IV est trop court (24 bits), donc il a beaucoup de chances d’être

réutilisé. (paquet de 1500 octets à un débit de 5 Mbits, réutilisation de
l’IV en moins de 2h)

– Pas de mécanisme pour renouveler k.

117
Vulnérabilités WEP
En août 2001, Fluhrer et al. a publié une analyse cryptologique qui
exploite la manière selon laquelle l'algorithme RC4 et l'IV sont utilisés
dans le WEP. Fluhrer, Mantin et Shamir présentent 2 faiblesses dans la
spécification de l'algorithme RC4.

il existe de larges ensembles de clés dites faibles, c'est-à-dire des clés dont
quelques bits seulement suffisent à deviner la keystream
Produites en sortie ; c'est l'attaque nommée «invariance weakness».

Il est possible de déterminer si une trame est chiffrée par des

clés faibles, il suffit de regarder l’IV qui est en clair IV ajouté
avant la clé

la «known IV attack ». Elle nécessite la connaissance de l'IV ce qui est le cas

puisqu'il circule en clair sur le réseau, et la connaissance du premier octet de M
(à deviner). Dans un certain nombre de cas (« les cas résolus », suivant
l'expression de Fluhrer, Mantin et Shamir ) , la connaissance de ces 2 éléments
118
permet de déduire des informations sur la clé K.
 Vulnérabilités WEP
Les 8 premiers octets de toute trame contenant un trafic IP
et ARP est connu: en-tête LLC
– 0xAAAA030000000800 pour IP
– 0xAAAA030000000806 pour ARP
– On peut récupérer la clé K à partir de capture de 1 à 2 millions de
paquets chiffrés avec des clés faibles différentes.

– Améliorations de ces attaques: H1Kari ou Korek ont améliorés ces

attaques
– Simuler le réseau par: * injection de trame
* rejeu:
– Détecter des trames ARP, les rejouer pour découvrir de
nouveaux IV
119
Vulnérabilités WEP
Une autre faille provient de la séquence d'authentification
où un texte en clair est envoyé par l'AP et sa version
codée renvoyée par la station.
Si on appelle G le challenge et R sa réponse
R = RC4(IV||K) XOR (G||ICV(G))
RC4(IV||K) = R XOR (G||ICV(G))

S'il reçoit un nouveau challenge G', il calculera sa réponse R'

en réutilisant le même IV et donc cette sortie de RC4 :

R' = RC4(IV||K) XOR (G'||ICV(G'))

120
Contrôle d’accès
SSID
– Le SSID (Service Set Identifier):
– Le client et le point d’accès doivent avoir le même
SSID (identifiant du réseau) pour s’associer.
– Émis régulièrement par les points d’accès lors
des trames de contrôle (beacon frame).
– N’offre aucune sécurité même si certains points
d'accès permettent la non émission de ces
trames.
– lors de la phase d‘association entre une station et
un point d'accès, le SSID est transmis en clair.
– Possibilité de le sniffer; les points d'accès
possèdent un SSID par défaut propre à chaque
constructeur, si cet SSID n'est pas modifié par
l'utilisateur,il est facilement trouvable.
122
Filtrage par adresse
MAC
– Access Control Lists ACL
– fixer une liste d’adresses physiques autorisées à
s’associer au point d’accès
– Inconvénients:
– Rarement utilisé
– MAC spoofing
– Authentification matérielle et non de l’utilisateur
– usurpation d’adresses MAC une écoute du traffic permet de
prendre connaissance d'adresses MAC autorisées (l'en-tête de
trame contenant les adresses MAC ne sont pas encryptés par
le WEP) et de les réutiliser
– perte d’un utilisateur autorisé de sa carte

– Administration pénible
– réactualiser la liste de contrôle d’accès de chaque point d’accès à
chaque nouvelle adresse à insérer ou retirer de la liste

123
Authentification 802.11

Les techniques d’authentification utilisées

sont de deux sortes :
– Open system authentication
aucune authentification explicite : un terminal peut s’associer avec
n’importe quel point d’accès

– Shared Key authentication

meilleur système d’authentification puisqu’il utilise un mécanisme de clé
partagée

124
Shared Key authentication
– Une station voulant s’associer à un point d’accès lui envoie une
requête d’authentification.
– Lorsque le point d’accès reçoit cette trame, il envoie à la station
une trame contenant 128 bits d’un texte aléatoire généré par
l’algorithme WEP appelé trame Challenge.
– Après avoir reçu la trame challenge, la station la copie dans
une trame d’authentification et la chiffre avec la clé secrète
partagée avant d’envoyer le tout au point d’accès.
– Le point d’accès déchiffre le message réponse à l’aide de la
même clé secrète partagée et compare avec celui envoyé plus
tôt. Il confirme son authentification au client en cas de
succès, sinon il renvoie une trame d’échec d’authentification.
125
Shared Key authentication
Station

Authentication Request

Seq #1

Authentication Challenge

Seq #2

Chiffrer le Authentication Response

challenge en Déchiffrer le
Seq #3
utilisant RC4 challenge en
Authentication Result utilisant RC4 et
la clé partagée
Seq #4

126
802.11i
– La Robust Security Network (RSN)
architecture de sécurité

– Objectifs de la sécurité RSN

– Contrôle d’accès et Authentification

mutuelle
contrôle d’accès puissant basé idéalement sur le contrôle par trame

– Forte confidentialité

127
Objectifs

– Scalabilité: en mobilité et nombre d’utilisateurs :

ré -authentification rapides et sécurisées

– Omniprésence de la sécurité et mobilité

fournir une authentification du client indépendamment du fait qu’il se trouve dans
son réseau home ou dans un autre étranger (foreign network )

– Flexibilité
divers environnements d’utilisation s’étendant des réseaux
d’entreprise (utilisation restreinte, nécessité d’une forte
confidentialité), à un réseau sans fil publique (abonnés seulement,
pas de chiffrement) déployé dans des aéroports et des hôtels .

128
 802.11i

Contexte de sécurité

– Accord sur la politique de sécurité

– Authentification 802.1x
– Dérivation et distribution de clés
– Chiffrement et intégrité

129
802.11i Confidentialité

– Solution transitoire TKIP

– Basé sur RC4

– ne nécessite pas un changement de matériel
– Une mise à jours logicielle pour les équipements supportant
WEP est suffisante

– Solution CCMP normalisée 802.11i

– Basé sur AES
– Un changement au niveau hardware est nécessaire.

130
 Hiérarchie de clés
802.11 i utilise des clés différentes pour l’authentification et
la confidentialité qui sont souvent rafraichis

Master Key MK

Pairwise Master Key

PMK

Pairwise Transient Key

PTK

Signature Confidentialité
Key Confirmation Key encryption key Temporal Key 131
Key
128 bits 128 bits 128 bits
802.1X
– 802.1X se base sur le concept de ports réseaux (Port-Based
Network Access Control) pour le contrôle d’accès.
– standard supporte divers réseaux physiques 802 (Ethernet,
Token Ring, FDDI, IEEE 802.11…). RSN a donné donc une
impulsion au mécanisme 802.1X pour les réseaux 802.11 sans
fil.
– Port non contrôlé:
– permet à l’authentificateur (point d’accès) de communiquer avec le
serveur d’authentification
– Trame users jamais envoyées par ce port
– Port contrôlé:
– permet au client d’échanger des trames sur l’intranet
uniquement si il a été authentifié par le serveur
d’authentification 132
802.1X

Port contrôlé

IEEE 802.1x

Distribution
System

Client Wi-Fi Port non contrôlé

Serveur d’authentification
133
EAP
– L’Extensible Authentication Protocol (EAP)

– standard IETF protocole transporteur générique de

méthodes d’authentification. N’importe quel
mécanisme d’authentification, peut être encapsulé à
l’intérieur d’un message EAP request/response

– prévu pour l'authentification d'utilisateurs se

connectant par modem via PPP (Point-to-Point
Protocol) sur des serveurs d'accès téléphoniques

– véhiculer des informations d'authentification à

destination d'un serveur chargé de contrôler l'accès
d'un équipement au réseau.
134
EAP

– Quatre types de messages EAP:

– EAP Request : demandes

d’authentification
– EAP Response: réponses à une requête
d’authentification
– EAP Success
– EAP Failure

135
Authentification Radius
Client Point d’accès RADIUS
EAP Req/Id

EAP Resp/Id RAD Access Req (EAP Id)

EAP Req 1 RAD Acces Chal (EAP Req 1)

EAP Resp 1
.
. .
. .
EAP Resp N .

RAD Accept (EAP Success)

RAD Reject (EAP Fail)

136
 Radius
– Le point d’accès, après détection du client lui envoie un message
EAP REQUEST-ID. c’est la requête d’authentification.

– En réponse, le client renvoie un message EAP RESPONSE-ID

contenant les données d’identification de l’utilisateur.

– Cette réponse passe à travers le point d’accès qui fournit le

message EAP sous forme d’un paquet RADIUS Access Request
contenant cet EAP comme attribut.

– Le serveur RADIUS renvoie un RADIUS Access Challenge vers le

client.

– Le client doit transmettre un EAP Response correspondant à

chaque Challenge. La réponse peut être transmise sous forme de
plusieurs EAP Response. 137
 Radius
– Durant l’échange des messages EAP(requêtes et réponses) entre
le serveur d’authentification et la station mobile, le point d’accès
agit comme un simple relais passif.

– Le serveur d’authentification prend la décision d’accepter ou de

refuser l’accès au réseau et il indique le succès ou l’échec de la
procédure d’authentification via le message EAP-Success ou EAP-
Failure.

– Si le serveur d’authentification accepte le client, alors l’état du

port change. Il passe à l’état autorisé, sinon, le port reste dans
l’état non autorisé.
– La fin de la phase d’authentification, si elle est réussie, peut être
suivie par la transmission de la clef EAPOL au point d’accès. C’est
cette clef qui sera utilisée par le point d’accès pour crypter les
données envoyées au client 138
Authentification RADIUS

139

Source: [Link]
Authentification 802.1x

140
 4-way Handshake
– client et le point d’accès déduisent une clé PTK
[Message 1: Authenticator→ Supplicant]
 AA@, ANonce, sn, msg1

[Message 2: S → A] : peut calculer PTK et dériver les clés

PTK=EAPoL-PRF(PMK, ANonce| SNonce| AP MACAddr|
STA MACAddr)

SP@, SNonce, sn, msg2, MICKCK{SNonce, sn, msg2}


[Message 3: A→ S]: peut calculer PTK et dériver les clés et
s’assurer que le client connaît la PMK

 A@, ANonce, sn+1, msg3, MICkck{ANonce, sn+1, msg3}

[Message 4: S→ A] s’assurer que l’authenticathor connaît la PMK

 SPA, sn+1, msg4, MICPTK{sn+1, msg4}
– PRF(ANonce, SNonce, le secret partagé PMK,@MAC du client, @MAC du point 141
d’accès)
4-way Handshake
Supplicant AP

ANonce

Calcul
de PTK Snonce + MIC

Calcul
de PTK
GTK + MIC

Ack

142
Faiblesses WEP

– La collision de vecteurs d’initialisation.

– Les clefs faibles.
– La falsification des paquets.
– Les attaques de re-jeu.
– Faible intégrité des Données

143
TKIP(Temporal Key Integrity
Protocol)

– Un mécanisme d’établissement de clefs temporaires.

– Une nouvelle fonction de distribution des clefs par Paquets avec

un large vecteur d’initialisation (IV) (48 bits au lieu de 24 bits).

– Un mécanisme de séquencement de trames utilisant les

vecteurs initialisation (IV). L’IV (TSC – TKIP Sequence Counter)
joue le rôle d’un compteur.

– L’IV est commencé par 0 et incrémenté pour chaque paquet.

Les messages reçus avec les TSC déjà utilisés sont considérés comme
rejeu.
144
TKIP

128 bits 48 bits 48 bits

Base Key Vecteur
Adresse
temporal key d’Initialisation
Emetteur (TA)
(IV)

32 bits de poids fort de l’IV

Phase 1 : Processus de « Re-Key »

16 bits de poids fort de l’IV

Phase 2 : Dérivation de la clef par paquet

Clef par paquet 145

 solutions
– WPA (Wi-Fi Protected Access) 2003

Le WPA a été défini par la Wi-Fi alliance en collaboration avec IEEE afin de
répondre aux besoins des industriels après avoir découvert les failles du WEP.

– solution intermédiaire pour remplacer le WEP en attendant

que la norme 802.11i soit terminée.

– 2 modes
– WPA-Personal pre-shared key (PSK)

– WPA-Enterprise en association avec un serveur

d’authentification
– 802.11i 2004 WPA 2 CCMP 146
WPA
2 modes
– WPA-Personal pre-shared key (PSK)
Partage une même clé secrète Chaque utilisateur
doit saisir une phrase secrète pour accéder au
réseau. La phrase secrète peut contenir de 8 à 63
caractères ASCII ou 64 symboles hexadécimaux
(256 bits ); Elle est convertit en une clé PMK
– WPA-Enterprise en association avec un serveur
d’authentification
– TKIP
– 802.1x et EAP
147
 Négociation de la politique de
sécurité

– L'AP diffuse dans les Beacons les RSN IE

(Information Elements)
Liste des authentification supportées (802.1x,
PSK)
Liste des protocoles de sécurité (CCMP, TKIP,
...)
Liste des méthodes de chiffrement pour la
diffusion
des clefs de groupes (GTK)
– Choix client trame Association Request
148
Négociation de la politique de
sécurité

149
Guy Pujolle, Sécurité du Wi -Fi, Edition Eyrolles, 2004.
Chapitre 5
Protocoles de Sécurité

150
SSL (Secure Socket Layer)

151
SSL (Secure Socket Layer)
– Se situe entre la couche application et la couche transport.

Application

SSL
TCP
IP
Network Access

– Développer par netscape et largement utilisé pour la

sécurisation des sites www (https).

– 1996 : standardisation de SSL v3.0 par IETF

– 1999 : TLS v1.0

Services de sécurité
Authentification:
– Serveur (Obligatoire). Le client doit pouvoir s’assurer
de l’identité du serveur. Authentification à base de
certificat.
– Client (Optionnelle)
Confidentialité: Chiffrement Symétrique avec une
clé de session
Intégrité: génération d’une empreinte MAC (Message
Authentication Code) par l’utilisation d’une fonction de
hachage. 153
154
 Les protocoles SSL
SSL est composé des protocoles suivants :

Record Protocol :Ce sous protocole communique avec la

couche transport. Il chiffre et authentifie (calcule un MAC)
l’information en utilisant les paramètres négociés lors du
handshake Protocol.

Handshake Protocol : Négociation des paramètres de

sécurité entre le client et le serveur et calcul des clés.

ChangeCipher Protocol : Un message ou une entité

annonce à l’autre un changement de cipher_spec tel que
négocié précédemment.

Alert Protocol : permet d’indiquer les erreurs

155
Les protocoles SSL

Source: [Link]

156
Le Protocole SSL Record
Fonctionnalités:
– Fragmentation: fragmenté en bloc de
SSL Fragmentation
taille maximum 214 octets Record

– Compression: Les données sont Compression

Compressés suivant l’algorithme choisi lors de
la négociation Authentication

– Calcul MAC: utilisation d’une fonction de

hachage et clé Encryption

– Chiffrement: chifrement symétrique du

message+MAC
157
Le Protocole SSL Record

Source: [Link]
158
Le Protocole SSL Handshake
Négociation des paramètres de sécurité

159

[Link]
Le Protocole SSL Handshake
Client hello
– SSL version: liste des versions supportées.
– Random: 32-byte random number. Utilisé dans la
génération de la clé.
– Session ID: identificateur de la session.
– Cipher suite: liste de méthodes d’échange de clés,
d’algorithmes de chiffrement et fonction de hachage.
– Compression method
Serveur hello

– SSL version: version sélectionnée par le serveur.

– Random: 32-byte random number. Utilisé dans la
génération de la clé.
– Session ID: identificateur de la session.
– Cipher suite: sélection du serveur parmi la liste 160

– Compression method
 Le Protocole SSL Handshake
Méthodes d’échange de clés
– RSA: La clé secrète est chiffrée par la clé publique du
serveur
– Diffie-Hellman fixe : Secret partagée construit à
partir des paramètres de clés publiques D-H qui ont été
certifiés.
– Diffie-Hellman éphémère: Secret partagée
temporaire construit à partir des paramètres de clés
publiques D-H. Ces paramètres sont signés
– Diffie-Hellman anonyme: Possibilité d ’attaques Man
In the Middle.
161
 162

Source: [Link]
IPsec

163
IPsec (RFC 4301)
– Sécurité niveau IP
– 2 sous protocoles
– Authentication Header (AH)
- Authentification
- intégrité d’un paquet IP
- anti rejeu.
– Encapsulation Security Header (ESP)
- Authentification Authenticité des données
- Intégrité d’un paquet IP
- Anti rejeu.
- Confidentialité 164
 Scénarios d’utilisation

Les services de sécurité peuvent

être fournis:
– entre passerelles de sécurité
communicantes,
– entre une passerelle de sécurité
et un hôte.
– des hôtes communicants

Source: [Link]/cours/csii3/Securite%20info/[Link]

165
 2 modes
– mode transport
 les mécanismes de sécurité s’intercalent entre l’en-tête
IPv6 et les en-têtes transport.
 protège uniquement le contenu du paquet IP en laissant
l’en-tête IP en clair.

– mode tunnel
 Création de tunnels par encapsulation de chaque paquet
IP dans un nouveau paquet.
 nouvel en-tête ajouté au paquet, contient les adresses IP
des extrémités du tunnel 166
IPsec: 2 modes
Transport
Mode

Tunneling
Mode

167

Source: [Link]/~tawalbeh/aabfs/presentations/[Link]
AH (mode Transport)

En-tête IP
d’origine
Données

En-tête IP
d’origine AH Données

168
En-tête AH
– Entête suivant: prochaine en-tête
– Longueur : taille du paquet AH, exprimé en mots de 32
bits,
– Réservé (16 bits) : réservé pour une utilisation future. fixé
à0
– Indice de paramètres de sécurité SPI (32 bits) : valeur
arbitraire.
– Numéro de séquence (32 bits) : utilisé pour éviter les
attaques de rejeu.
– Données d'authentification (multiple de 32 octets) : ce
champ contient l’Integrity Check Value (ICV).
169
Paquet ESP

170
En-tête ESP
- Indice de paramètres de sécurité SPI (32 bits) : valeur aléatoire
- Numéro de séquence (32 bits) : protection contre les attaques de
rejeu.
- Charge utile : Contient les données décrites dans entête suivant. si
l'algorithme choisi le nécessite le paramètre IV « Initialization Vector », ces
données peuvent alors être portées explicitement dans le champ charge
utile.
- Bourrage (0-255 bits) : La nécessité du bourrage peut intervenir lors de
l'utilisation d'algorithmes de chiffrement par blocs comme DES. Longueur
des données à crypter soit un multiple entier de la longueur du bloc de
chiffrement
- Longueur bourrage : longueur du champ précédent.
- En-tête suivant (8 bits) : champ identifiant l'en-tête suivant,
- Données authentification 171
Mode Tunnel

Paquet IP chiffré

Nouvel Entête IP Entête ESP Entête IP Données Trailer ESP Authen.

authentifié

Nouvel Entête IP AH Entête IP Données

Authentifié
172
Les associations de sécurité
– Adresse de destination,
– le protocole de sécurité (AH ou ESP)
– Index de paramètre de sécurité (SPI): permet d'identifier de
façon unique l'association,
– l'algorithme de chiffrement,
– la méthode d'authentification,
– les clés de chiffrement,
– la durée de vie de l’association
– le mode du protocole IPsec (tunnel ou transport).
Les associations sont enregistrées dans une base d'associations
Security Association Data base (SAD). 173
Association de Sécurité SA

• Négotiation des paramètres de sécurité

– Algorithme de chiffrement
– Méthode d’authentification
– Clés partagés
– Durée de vie
• Unidirectionelle
– 1 SA en entrée et 1 SA en sortie quand on a une
communication bidirectionnelle
• Gestion de clé
– Manual mode
– Automatic mode (via IKE)
174
IKE Internet Key Exchange
IKE: 2 phases
• Phase 1 négociation de l’association ISAKMP
• Phase 2 négociation de IPsec SA

IKE IKE
ISAKMP (1) ISAKMP SA ISAKMP
UDP UDP
IPSec (2) IPSec SA IPSec
IP IP
175
Source:[Link]/cours/csii3/Securite%20info/[Link]
IKE Internet Key Exchange
– IKE Phase 1: négociation de l’association ISAKMP
utilisée pour protéger (authentification, confidentialité, anti-rejeu) toutes les
communications entre deux nœuds durant la phase de négociation de
l'association d'IPsec
– Authentiification des entités
– Negotiation des paramètres
– Clé pour la confidentialité de négociation SA
– Deux modes: Main mode ou Aggressive mode

– Main Mode IKE (6 messages)

1. Négotiation paramètres de sécurité.
2. Géneration de la clé par Diffie-Hillman exchange.
3. Vérification des identités.
– Aggressive Mode IKE (3 messages)
– Avantage: moins de traffic et plus rapide 176
– Inconvénient: Vulnerable à l’écoute
IKE mode agressif

Paramètres de sécurité
Noeud 1 Association ISAKMP, AUTH, DH Noeud 2

DH, AUTH

Paramètres proposées, DH

Associations unicast , AUTH, DH

AUTH, DH

177
 Références
– [Link]/~rodier/Cours/[Link], dernier accès 10/04/2021.
– A. Menezes, P. van Oorschot, and S. Vanstone, Handbook of Applied
Cryptography, CRC Press, 1996.
– Paul Mühlethaler, 802.11 et les réseaux sans fils, Groupe Eyrolles, 2002.
– Guy Pujolle, Sécurité du Wi -Fi, Edition Eyrolles, 2004.
– Fluhrer, Scott & Mantin, Itsik & Shamir, Adi. (2001). Weaknesses in the Key
Scheduling Algorithm of RC4. 2259. 10.1007/3-540-45537-X_1.
– Nguyen Thi Mai Trang, cours ’sécurité ‘, LIP6/PHARE.
– J. R. Walker, « Overview of 802.11 Security (version PPT, ko) », Intel Corp.,
Hillsboro, OR, mars 2000. Doc.: IEEE 802.15-01/154.
– Mohamed Ali Kaafar, « Nouvelle sapproche Kerberos pour les réseaux 802.11b:
W-Kerberos » master soutenu à l’ensi, 2004.
– Adlen Ksontini, « Qualité de service dans les réseaux sans fils basés sur la
technologie IEEE 802.11, Thèse de doctorat, 2005.
– RFC 5246, The Transport Layer Security (TLS) Version 1.2, 2008.
– RFC 2406, Incorporation de charge utile de sécurité sur IP (ESP), 1998.
178