[PDF] TIW4 – Sécurité des Systèmes dInformations Livret dexercices

View - Download TIW4 – Sécurité des Systèmes dInformations Livret dexercices

Previous PDF

Next PDF

TIW4 - Sécurité des Systèmes d"Informations

Livret d"exercices

Romuald Thion

Master 2Technologies de l"Information et Web (TIW)- 2019-2020

Table des matières

1 Politique de sécurité et analyse de risques 7

1.1 Analyse de risquesEbios: généralités . . . . . . . . . . . . . . . . . . . . . . . . .7

1.2 Analyse de risquesEbios: cas d"étude UCBL . . . . . . . . . . . . . . . . . . . . .8

1.3 Analyse de risquesEbios: cas d"étude @RCHIMED . . . . . . . . . . . . . . . . . .8

1.4 Politique de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11

2 Principes de la cryptographie 13

2.1 Principes de la cryptographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

13

2.2 Analyse d"algorithmes de chiffrement simples . . . . . . . . . . . . . . . . . . . . . .

15

2.3 Authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

16

2.4 Protocoles cryptographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

17

2.5 Cas d"étude : sauvegarde de clef pour un dossier médical . . . . . . . . . . . . . . .

19

3 Exploitation de vulnérabilités logicielles 23

3.1 Bonnes pratiques de développement logiciel . . . . . . . . . . . . . . . . . . . . . .

23

3.2 Reconnaissance et réseaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

26

3.3 Étude d"exploits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

27

4 Gestion des autorisations 31

4.1 Modèles de contrôle d"accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

31

4.2 Modèles à rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

33

4.3 Contrôle d"accès dansweb.xml. . . . . . . . . . . . . . . . . . . . . . . . . . . . .36

4.4 Contrôle d"accès XACML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

38

4.5 Filtrage par pare-feux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

39

5 Protection de la vie privée 41

5.1 Bases de données hippocratiques . . . . . . . . . . . . . . . . . . . . . . . . . . . .

41

A Appendice43

A.1 Tracesnmap. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43 A.2 Syntaxe concrèteweb.xml. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43 A.3 Exemple XACML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
A.4 Délibérations de la CNIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

A.5 Grille de critères pour l"analyse de la vie privée . . . . . . . . . . . . . . . . . . . . .

52
3

Liste des exercices

Exercice 1Bien supports et menaces génériques. . . . . . . . . . . . . . . . . . . . . .7 Exercice 2Évaluation des risques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7 Exercice 3Étude du contexte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8 Exercice 4Détermination des objectifs de sécurité. . . . . . . . . . . . . . . . . . . . .8 Exercice 5étude du contexte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

Exercice 6étude des événements redoutés. . . . . . . . . . . . . . . . . . . . . . . . .10

Exercice 7étude des scénarios de menaces. . . . . . . . . . . . . . . . . . . . . . . . .10

Exercice 8détermination des objectifs de sécurité. . . . . . . . . . . . . . . . . . . . .10

Exercice 9Critères non-fonctionnels des systèmes. . . . . . . . . . . . . . . . . . . . .11

Exercice 10Rentabilité d"une politique de sécurité. . . . . . . . . . . . . . . . . . . . .11

Exercice 11Niveau de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 Exercice 12Audit de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11 Exercice 13Principe de Kerckhoffs. . . . . . . . . . . . . . . . . . . . . . . . . . . . .13 Exercice 14Recherche exhaustive de clefs symétriques. . . . . . . . . . . . . . . . . . .13 Exercice 15Chiffrement symétrique et asymétrique. . . . . . . . . . . . . . . . . . . .13 Exercice 16Certificats x509 avec openssl. . . . . . . . . . . . . . . . . . . . . . . . . .13 Exercice 17Chiffrement de César. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15 Exercice 18Analyse du chiffrement de Vigenère. . . . . . . . . . . . . . . . . . . . . .15 Exercice 19Chiffrement et déchiffrement avec RSA. . . . . . . . . . . . . . . . . . . .16

Exercice 20Catégorie de procédés d"authentification. . . . . . . . . . . . . . . . . . . .16

Exercice 21Authentification par mots de passe. . . . . . . . . . . . . . . . . . . . . . .16 Exercice 22Protocole imparfait. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17 Exercice 23Vulnérabilité du protocoleWide Mouthed Frog . . . . . . . . . . . . . . . .17 Exercice 24Protocole d"échange de clefs de Diffie-Hellman. . . . . . . . . . . . . . . .17 Exercice 25Protocole d"authentification. . . . . . . . . . . . . . . . . . . . . . . . . .18 Exercice 26Andrew Secure RPC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Exercice 27Déploiement de PGP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18 Exercice 28Serveur de clef Kerberos. . . . . . . . . . . . . . . . . . . . . . . . . . . .19 Exercice 29Sauvegarde de la clef maître d"untoken . . . . . . . . . . . . . . . . . . . .20 Exercice 30Authentification en PHP. . . . . . . . . . . . . . . . . . . . . . . . . . . .23 Exercice 31Bonnes et mauvaises pratique du PhP. . . . . . . . . . . . . . . . . . . . .23 Exercice 32Conseils pour du code sûr. . . . . . . . . . . . . . . . . . . . . . . . . . .24 Exercice 33Guide de style pour du code robuste. . . . . . . . . . . . . . . . . . . . . .24 Exercice 34SYNflooding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26 Exercice 35Analyse de ports avecnmap. . . . . . . . . . . . . . . . . . . . . . . . . .26 Exercice 36Vulnérabilité logicielledirectory traversal . . . . . . . . . . . . . . . . . . .27 Exercice 37La faille CVE-2011-4029. . . . . . . . . . . . . . . . . . . . . . . . . . . .27 Exercice 38Analyse du bulletin MS10-092. . . . . . . . . . . . . . . . . . . . . . . . .29 Exercice 39Modèle Harrison-Ruzo-Ullman. . . . . . . . . . . . . . . . . . . . . . . . .31 Exercice 40Modèles mandataires à niveaux. . . . . . . . . . . . . . . . . . . . . . . .32 Exercice 41Hiérarchisation des rôles. . . . . . . . . . . . . . . . . . . . . . . . . . . .33 Exercice 42Erreurs dans une politique. . . . . . . . . . . . . . . . . . . . . . . . . . .33

Exercice 43Propriétés de l"exclusion mutuelle entre rôles. . . . . . . . . . . . . . . . .34

Exercice 44Modélisation avec les rôles : département informatique. . . . . . . . . . . .34 Exercice 45Modélisation avec les rôles : entreprise de plâtrerie & peintures. . . . . . .35 Exercice 46Implémentation de RBAC avec un SGBD-R. . . . . . . . . . . . . . . . . .35 Exercice 47Modélisation des droits d"accès à la FST. . . . . . . . . . . . . . . . . . .36 Exercice 48Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37 Exercice 49Combinaisons de politiques XACML. . . . . . . . . . . . . . . . . . . . . .38 Exercice 50Principes de la configuration. . . . . . . . . . . . . . . . . . . . . . . . . .39 Exercice 51Règles de filtrage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39 Exercice 52Analyse de décisions de la CNIL. . . . . . . . . . . . . . . . . . . . . . . .41 Exercice 53Bases de données hippocratiques. . . . . . . . . . . . . . . . . . . . . . . .41

Chapitre 1

Politique de sécurité et analyse de

risques

1.1 Analyse de risques Ebios : généralités

Exercice 1 : Bien supports et menaces génériques ([Age10a, Chapitres 1, 2, 4]) 1. Classer les bien supp ortssuivants s elonles catégo ries: matériels (MAT), logiciels (LOG), canaux informatiques et de téléphonie (RSX), personnes (PER), supports papier (PAP), canaux interpersonnels (CAN), locaux (LOC): fib reoptique do cumentimp rimé ca rtouchede sauvega rde commutateur téléphonique assistant p ersonnel(PD A)

SGBD Oracle

discussions de c ouloir salle de réu nion Linux client de courrier é lectronique p ostede travail salle de confér ence ligne téléphonique 2. Prop oserdes exemples d"impacts génériques : sur le fonctionnement, les humains, les bie ns. Quels autres impacts ne rentrent pas dans les catégories précédentes? 3.

P ourles catégo riesLOG et CAN p récentes,p roposerdes menaces génériques en p récisantle(s)

critère(s) de sécurité concernés et les vulnérabilités exploitables. Par exemple pour PER on

proposerait "Dissipation de l"activité d"une personne" par l"exploitation du temps de travail, du blocage de l"accès d"une personne ou l"exploitation d"une personne en dehors de ses

prérogatives. Cette menace porte atteinte à la disponibilité de la personne et sera efficace sur

les sujets à la dissipation. Exercice 2 : Évaluation des risques ([Age10c, p. 62]) L"action 4.1.1. de la méthodeEbios" Analyser les risques » consiste à mettre en évidence

l"ensemble des risques qui pèsent réellement sur le périmètre de l"étude et à déterminer leur gravité

et leur vraisemblance, une première fois sans tenir compte des mesures de sécurité existantes, et

une seconde fois en les prenant en compte. On fait ainsi le lien entre les événements redoutés et les

scénarios de menaces, c"est-à-dire entre ce que l"organisme craint et ce à quoi il est exposé.7

1.Connaissant les résultats p roduitspa rles étap esp récédentesde la métho de,expliq uercom-

ment identifier les risques.

1.2 Analyse de risques Ebios : cas d"étude UCBL

Description du casLa Direction du Système d"Information (DSI) de l"UCBL désire mettre en place

une Politique de Sécurité du Système d"Information (PSSI). La complexité du SI impose d"utiliser

une méthode pour recenser et classifier exactement ce qu"il faut sécuriser. La méthode Expression

des Besoins et Identification des Objectifs de Sécurité (EBIOS) est retenue pour conduire cette étude

et aboutir à la définition de la PSSI. Parmi les services de l"UCBL, notons celui desfinances, en

charge de la comptabilité, de la gestion des budgets, des marchés et des payes. Les services financiers

s"appuient sur le logiciel SIFAC (Système d"Information, Financier Analytique et Comptable) hébergé

sur un serveur du bâtiment Braconnier. Notons que l"activité services financiers n"est pas régulière,

en effet, ces services sont particulièrement sollicités chaque fin de mois pour les payes et de façon

intense aux mois de novembre et de début décembre avec la clôture de l"exercice budgétaire.

Exercice 3 : Étude du contexte ([Age10a, Age10c]) 1. Les sourc esde menaces au sens Ebiossont les sources non humaines (code malveillant,

phénomène naturel, catastrophe naturelle ou sanitaire, activité animale, événement interne)

ou humaines. Les humaines sont décomposées en interne/externe, avec/sans intention de

nuire et selon leur capacité (faibles, importantes, illimitées). Indiquer quelles sont les sources

de menaces qui peuvent raisonnablement être écartées du contexte de l"étude. 2. Donner de sexemples de sources de menaces p ourles t ypesde sources de menaces suivants : 1. Source humaine interne, sans intention de nuire, avec de faibles c apacités; 2. Source humaine interne, sans intention de nuire, avec des capacités illimitées ; 3. Source humaine externe, sans intention de nuire, avec de faibles capa cités; 4. Source humaine externe, malveillante, avec de fa iblescapacités ; 5.

Événement interne.

3.

Quels sont les critères traditionnels de la sécu rité?La DSI souhaite ajouter le critère de

traçabilitédans le périmètre de son étude. Proposer une définition de ce critère et justifier

l"inclusion de ce nouveau critère dans le contexte. Exercice 4 : Détermination des objectifs de sécurité ([Age10a, Age10c])

Dans le module d"étude des risquesEbios, les risques intolérables du service des finances sont :

risque lié à l"a rrêtde SIF ACen p ériodede clôture ; risque lié l"usurpation d"identité sur la m essagerieélectronique ; 1.

Quelles sont, en général, les différentes p ossibilitésd etraitement des risques ?Lesquelles sont

envisageables dans le contexte de l"étude? 2. Prop oserdes mesures de sécurité p ourréduireles risques.

1.3 Analyse de risques Ebios : cas d"étude @RCHIMED

Description du casLa société @RCHIMED est un bureau d"ingénierie en architecture. Cette PME toulonnaise est constituée d"une douzaine de personnes.

La société @RCHIMED réalise des plans d"usines ou d"immeubles avec l"établissement préalable

de devis. Pour cela, elle calcule des structures, élabore des plans techniques pour ses architectes et

propose des maquettes virtuelles pour ses clients. Le suivi des constructions est aussi assuré par le

cabinet, qui met à jour les plans et calculs si des modifications sont nécessaires.

Le cabinet d"architecture bâti sa réputation grâce à des solutions architecturales originales basées

quotesdbs_dbs7.pdfusesText_5

[PDF] tp de biologie végétale

[PDF] tp de chimie 1er année st

[PDF] tp diffraction des ondes lumineuses correction

[PDF] tp diffraction et interference corrigé

[PDF] tp disparition des reliefs google earth

[PDF] tp dureté de l'eau contrex

[PDF] tp extraction par solvant corrigé

[PDF] tp hacheur série pdf

[PDF] tp informatique bac technique

[PDF] tp le cristallin une lentille vivante

[PDF] tp le métabolisme cellulaire et son contrôle correction

[PDF] tp le role des pigments chlorophylliens

[PDF] tp maintenance informatique pdf

[PDF] tp matériel de laboratoire de microbiologie

[PDF] tp mécanique de sol*pdf