Le télétravail et la sécurité

Sécurité de Licence Pro 1

 Le problème...
●
Le télétravailleur doit avoir accès aux données de l'entreprise
et cela pose un problème de partage de données.
●
La solution actuelle consiste a utiliser l'Internet.
●
Mais l'Internet pose un gros problème de sécurité :
- toutes les données passent en clair
- n'importe quel administrateur sans vergogne ayant accès à
une machine sur laquelle transitent les informations sera
capable de lire ces informations voire pire, de les modifier
ou de les effacer !

Sécurité de Licence Pro 2

●
Les entreprises cherchent donc à avoir est un Virtual
Private Network (V.P.N.), un réseau privé "par
dessus" le réseau publique Internet.
●
Ce réseau doit permettre l'échange de données entre
un point de l'Internet et un autre sans que personne
de l'extérieur ne puisse avoir accès à ces
informations.
●
L'idée est d'utiliser la cryptographie pour chiffrer les
données au point de départ et les déchiffrer à
l'arrivée par le destinataire. Selon ce que l'on cherche
à faire, plusieurs solutions s'offrent a nous.

Sécurité de Licence Pro 3

●
Envoyer des e-mails confidentiels :
- PGP
- fonction de chiffrage du mailer
●
Mais le mail ne peut pas être utilisé pour répandre
massivement des données sur un intranet.

Sécurité de Licence Pro 4

 Accéder à un intranet avec un navigateur
●
L'intranet permet de relier aussi bien les filiales à la maison mère que
les télé-travailleurs à leur entreprise ou plus simplement un service
interne à un autre service interne.
●
Dans les deux premiers cas, l'information échangée passe sur
l'Internet.
●
La majeure partie des intranets offrent un service de consultation ou
modification de données via un serveur web. Les utilisateurs désireux
d'accéder à ces données utilisent donc leur navigateur.
●
Pour que l'information échangée entre le navigateur et le serveur web
reste confidentielle, il faut utiliser un protocole sécurisé comme
HTTPS/TLS . Ce protocole vient en remplacement du protocole
HTTP qui n'est pas sécurisé.
Sécurité de Licence Pro 5
●
HTTPS (HyperText Transfer Protocol Secure) est un protocole sécurisé
combinant HTTP et une couche de chiffrement comme TLS ( anciennement
SSL)
●
Il chiffre les données avant de les envoyer au serveur et déchiffre celles
reçues du serveur
●
SSL (Secure Socket Layer) a été la première couche de chiffrement utilisé,
développé par Netscape, puis l’IETF (Internet Engineering Task Force) a
poursuivi le développement en le renommant Transport Layer Security.
SSL n’est plus considéré comme sécurisé depuis 2014 et la découverte
d’une faille
●
TLS permet
- La confidentialité et l’intégrité des échanges
- l’authentification du serveur
Sécurité de Licence Pro 6
 TLS
●
Authentification du serveur par le client
●
Négociation des algorithmes de cryptographie
●
Authentification du client par le serveur (optionnel)
●
Génération de secrets partagés par algorithme à clés publiques
●
Établissement de connexion TLS chiffrées
●
d’autres protocoles applicatif utilisent la couche TLS comme
FTP dans sa version FTPS.

HTTP FTP SMTP

TLS

TCP

Sécurité de Licence Pro 7

 Travailler à distance sur une machine
●
Les informaticiens ont souvent besoin de travailler sur une
machine distante:
- telnet
- rsh
- rlogin...
●
Le problème est que toutes les informations échangées avec la
machine distante passent en clair (nom d'utilisateur, mot de
passe).
●
SSH Communication Security a mis au point le protocole SSH.
●
Secure SHell permet de se connecter en ligne de commande sur
une machine distante en toute sécurité.
Sécurité de Licence Pro 8
 SSH
●
Celui-ci utilise principalement les algorithmes RSA, IDEA, DES, et
triple DES.
●
Lors d'une connexion, les machines se mettent d'accord sur une clé
commune:
- Le serveur va envoyer sa clef publique RSA (généralement de
2048 bits), signée à l'aide de sa clé privée. Le client pourra ainsi
vérifier à l'aide de la clé publique du serveur que c'est bien lui qui
a renvoyé l'information.
- Ensuite, le client va lui aussi renvoyer sa clé publique signée (le
serveur pourra l'identifier de manière unique dans sa base de
données) accompagnée d'un nombre aléatoire de 256 bits qui
servira de clé commune (privée).
Sécurité de Licence Pro 9
 SSH
●
Une fois que l'identification des hôtes ainsi que l'échange d'une clé
commune ont été effectués, les transactions peuvent commencer.
●
Chaque échange de données sera ensuite crypté dans les deux sens
par SSH avec soit de l'IDEA, soit du DES, soit du triple DES.
●
Le mélange des algorithmes à clé publique (RSA) et à clé privée
(IDEA, DES, triple DES) confèrent à SSH une rapidité et une
fiabilité inégalée dans son domaine.
●
SSH fait référence pour l'accès distant sur les stations Linux et Unix.
Il est également utilisable sur d’autres systèmes (Windows avec
PuTTY ou cygwin avec OpenSSH)

Sécurité de Licence Pro 10

 SSH
●
$ ssh ssh-server.example.com
●
The authenticity of host 'ssh-server.example.com
(12.18.429.21)' can't be established.
●
RSA key fingerprint is
98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d.
●
Are you sure you want to continue connecting
(yes/no)? yes
●
Warning: Permanently added 'ssh-
server.example.com,12.18.429.21' (RSA) to the list of
known hosts.
●
Password: (enter password)
●
ssh-server.example.com $

Sécurité de Licence Pro 11

 SSH
●
SUR LE CLIENT:
$ tail -1 $HOME/.ssh/known_hosts
ssh-server.example.com,12.18.429.21 ssh-rsa
AAAAB3NzaC1yc2EAAAABIwAAAIEA06jFqviLMMJ/GaJNhGx/P6Z7+4aJIfUq
cVjTGQasS1daDYejcfOAWK0juoD+zS3BsGKKYKPA5Gc5M8v+3NHLbPn1yTpD
Bgl6UzA0iiMPCbwnOLx61MrBTk+/
qJI9kyDaJf4LEY6Chx4IJP0ZN5NmAlCtXQsca3jwFAF72mqPbF8=
●
SUR LE SERVEUR:
ssh-server.example.com $ cd /etc/ssh
ssh-server.example.com $ ls *.pub
ssh_host_dsa_key.pub ssh_host_rsa_key.pub ssh_host_key.pub
ssh-server.example.com $ ssh-keygen -l -f
/etc/ssh/ssh_host_rsa_key.pub
1024 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d
ssh_host_rsa_key.pub
Sécurité de Licence Pro 12
 SSH
●
Une configuration un peu particulière de SSH ne nécessite pas
l'utilisation de mot de passe ou de phrase secrète.
●
Cela permet à un utilisateur ayant un compte sur 2 machines
différentes de se connecter de l'une à l'autre facilement.
●
Mais bien sûr, cela fragilise la sécurité mise en place.
●
En effet, l'accès au compte source donne accès au compte cible.

Sécurité de Licence Pro 13

 SSH
●
Voici les étapes de sa mise en place:
- Créer une clef publique et une clef privée sans phrase secrète et en
utilisant les noms de fichiers par défaut sur le compte source: ssh-
keygen
- Ajouter la clef publique provenant du compte source à la liste des clefs
autorisées à se connecter sur le compte cible: cat id_rsa.pub >>
~/.ssh/authorized_keys
- Vérifier que le répertoire ~/.ssh du compte cible ne soit modifiable
que par l'utilisateur: chmod -R go-w ~/.ssh
●
Cette configuration profite aussi à SCP et à SFTP qui se connectent au même
serveur que SSH.
●
Dans le cas particulier de deux comptes sur 2 ordinateurs partageant le même
répertoire HOME, cette configuration marchera pour une connexion sans mot de
passe dans les deux sens.
Sécurité de Licence Pro 14
 Tunnels SSH
●
Tous les protocoles d’applications ne sont pas sécurisés. Que faire si l’on souhaite
les utiliser
- Tunnels SSH
●
Un tunnel SSH permet de faire passer n'importe quel protocole dedans (SMTP,
POP3, HTTP, NNTP...).
●
Toutes les données échangées sont automatiquement chiffrées.
●
On peut faire cela avec des outils comme SSH.
●
Exemple avec le protocole POP3:

- Mais cela nécessite d'installer le tunnel sur le client et sur le

serveur.
Sécurité de Licence Pro 15
 Tunnels SSH
●
Une application utilisant le réseau se connecte à un serveur donné sur un port
donné, correspondant à un service spécifique.
●
Les clients SSH offrent la possibilité de créer des tunnels SSH. On peut spécifier
le serveur et le port (service) de ce serveur qui seront la cible du tunnel.
●
Notons que ce serveur est en général différent du serveur SSH sur lequel le client
a ouvert une session interactive.

Int
e rdi
t

Sécurité de Licence Pro 16

 Tunnels SSH
●
Le logiciel client SSH ouvre ce même port sur la machine cliente SSH.
●
Quand une application se connecte à ce port, ouvert sur le client SSH, le logiciel
SSH sur le client SSH et sur le serveur SSH collaborent pour que les données
transmises sur ce port parviennent au serveur cible du tunnel, et inversement, les
données émises par ce serveur parviennent à l'application connectée sur le port
source du tunnel.

Int
erd
i t

Sécurité de Licence Pro 17

 Tunnels SSH
●
quelques exemples simples:
- L'utilisateur ouvre un tunnel pour le port 23 (telnet) vers le serveur cible de son
choix. Alors, en entrant telnet localhost il se trouvera connecté au
serveur cible et verra le prompt l'invitant à entrer son username et son mot de
passe pour la procédure de login sur le serveur cible.
- L'utilisateur ouvre un tunnel pour le port 80 (HTTP ou Web) par exemple sur le
serveur cible www.univ-orleans.fr. En demandant à son navigateur de visiter
l'URL http://localhost/, il accédera en fait à la page d'accueil du serveur Web de
l'Université d'Orléans.
●
Comme on le voit, l'utilisation des tunnels SSH passe par une connexion locale (sur
le client SSH) pour atteindre le serveur cible.

Sécurité de Licence Pro 18

 Tunnels SSH en pratique

●
ssh -L machineIntermediaire portLocal:machineCible:portDistant
●
ssh -N -f [email protected] - L1025:smtp.univ-orleans.fr:25 -
L1143:imap.univ-orleans.fr:143 -L3128:squid.univ-orleans.fr:3128 sleep 60
●
-N: pas de commande a exécuter -f: en arrière plan

Sécurité de Licence Pro 19