ARS - 5 - HackMD

--- title: ARS - 5 tags: C&C, ARS, Bombal, moemoea.fierin --- # Informations Rendu des DMS :::danger - Rendre à l'heure - Rendre selon l'archi donnée dans le sujet - À partir du DM3: pas de correction de l'archive - Regarder point par point (y'a pas de rattrapage) ::: # Connaître les protocoles SSL & TLS ## Problème des protocoles Il y'a eu un rattrapage des protocoles par le rajout de la couche 5: couche session SSL et TLS. Aujourdhui SSL n'est plus à utilisé. TLS dans ces premieres version est aussi a risque (avant le 1.2 au moins) **Authentification mutuel:** les servers peuvent demande aux clients de fournir leur certificats et clé public pour faire des verifications de leur coté (authentification dans les deux sens): on aura un cannal entre client-server authentifié des deux cotés. :::info Quand on a un application au dessus du server: server web on peut recuperer des elements de la session SSL/TLS pour lui presenter une applicatipn qui correspond a l'utilisateur: on peut utiliser cette couche 5 pour travailler dans la couche 7. ::: :::warning Comment on écoute ce canal: si je suis attaquant: au moment de la co, faut que j'arrive a me mettre dans la communication (maitrise d'un proxy, un equipement reseau, le dns) avec lequel je vais pouvoir oriente vers un ordinateur. Le client va croire qu'il a etablit une connexion securisé. ::: Wildcard: répondre a tous les cas de dest possible. On peut mettre une liste exhaustive de destination # Qu’est-ce qu’une Blockchain ? money virtuel premier cas d'usage ## Historique Le protocole blockchain a été créé en 2008, par un inconnu retranché derrière le pseudonyme de « Satoshi Nakamoto », à une période caractérisée par une défiance croissante envers le système bancaire et financier. Le document publié par S. Nakamoto présentait l’architecture technologique de la cryptomonnaie « Bitcoin » et précisait qu’« une version purement pair-à- pair de l’argent électronique permettrait aux paiements en ligne d’être envoyés directement d’une partie à l’autre sans passer par une institution financière ». La vocation première de la blockchain était ainsi de supprimer les intermédiaires (banques, administrations, régulateurs) dans les échanges financiers, dans un contexte post-crise économique et financière de 2007- 2008. ## Definitions --- La blockchain est un système de stockage et de partage de données, transparent, sécurisé, et fonctionnant sans organe central de contrôle. Ces échanges, auxquels il sera fait référence sous le terme générique de « transactions », ne sont pas limités au domaine monétaire et peuvent concerner des informations de toute nature. blockchain principe: Sys de stockage de partage de donnée. On va avoir une archi qui va valider les transaction et constituer une chaine de block (sera visible) permettra tel un registre de dire on a eu cette transaction a tel heure Cette blockchain peut être public ou privé. :::info Dans une banque on peut ressenser toutes les transactions financierer Ou un registre du cadastre ::: La blockchain (« chaîne de blocs ») est un système de stockage et de partage de données, transparent, sécurisé, et fonctionnant sans organe central de contrôle. Ces échanges, auxquels il sera fait référence sous le terme générique de « transactions », ne sont pas limités au domaine monétaire et peuvent concerner des informations de toute nature. ## 3 types de blockchain - Les blockchains publiques, dont la plus emblématique est celle sur laquelle repose la cryptomonnaie Bitcoin, ne sont soumise à aucun contrôle et ouvertes à tous via une plateforme en ligne. - Les blockchains privées, dont l’accès est contrôlé et restreint à des participants préalablement autorisés par l’entité qui l’administre, présentent une gouvernance centralisée qui en définit les règles de fonctionnement (droits d’écriture et de lecture). - Les blockchains hybrides, dont l’accès est également restreint et la gouvernance partiellement décentralisée entre des entités formant un consortium et pouvant appartenir à des organismes différents. L’usage de blockchains de consortium peut aussi être envisageable. ## Avantages de la blockchain - D’abord, elle offre de très fortes garanties de sécurité : la disponibilité des informations qu’elle renferme, la traçabilité des échanges via l’horodatage des transactions, l’intégrité et l’inviolabilité des données contenues dans les blocs de la chaîne, et la confidentialité assurée par l’usage du pseudonymat et d’une technologie algorithmique basée sur un chiffrement de haut niveau. - Autre avantage notable : les transactions réalisées via une blockchain sont à la fois systématisées, donc plus rapides, et sécurisées : une transaction pour des interactions complexes, par exemple dans le cas d’une chaîne logistique1 impliquant de multiples parties, peut ainsi être effectuée en quelques minutes au lieu de plusieurs jours, et le règlement des transactions est plus rapide car il ne passe pas par un intermédiaire de contrôle. --- ## Méthodes de validation des transactions Les modes de validation des transactions sont les règles qui régissent le fonctionnement de la blockchain. Dans le cas des blockchains publiques, la méthode la plus utilisée est la « preuve de travail » (proof of work, ou « preuve de calcul »). Il s’agit d’un procédé cryptographique qui consiste à résoudre un problème mathématique complexe. Ce travail est réalisé par certains nœuds du réseau appelés « mineurs », qui effectuent les calculs nécessaires à la vérification et à la validation des transactions et à l’ajout des blocs à la blockchain. Celui qui le premier résout le problème ajoute le bloc à la chaîne. Cette méthode de validation, très coûteuse puisque consommant une puissance informatique et une électricité considérables, est en revanche inutile dans le cadre d’une blockchain privée, où tous les participants sont connus et où les nœuds en charge de la validation des transactions ont été désignés par l’autorité gouvernante. ## Autres méthodes de validation Il existe une trentaine d’autres méthodes de validation des transactions, moins connues et usitées, parmi lesquelles : - La « preuve de détention » (ou « preuve d’enjeu ») : les utilisateurs de la blockchain doivent prouver la propriété d’un certain nombre d’actifs. - La « preuve d’importance » : l’utilisateur désigné pour valider un bloc est sélectionné selon des critères tels que son utilisation de la blockchain, son ancienneté, la quantité d’actifs qu’il possède... - La « preuve de possession » : plus l’utilisateur conserve sa cryptomonnaie ou ses actifs dans la durée, plus il aura de chance d’être sélectionné pour valider le bloc. - La « preuve d’autorité » : cette règle concerne uniquement les blockchains privées et de consortium. La preuve d’autorité est l’autorisation d’un ou plusieurs nœuds à ajouter des blocs. La blockchain, bien que restant distribuée, perd ainsi son caractère décentralisé. ## Garantie de sécurité La blockchain offre les garanties de sécurité suivantes : - La disponibilité des informations qu’elle renferme, puisque chaque utilisateur peut consulter à tout moment l’historique des transactions sans pour autant pouvoir modifier le contenu des blocs; - La traçabilité des échanges, via l’horodatage des transactions, qui permet à chaque participant de remonter la chaîne pour en consulter l’historique ; - L’intégrité et l’inviolabilité des données contenues dans les blocs, qui deviennent infalsifiables dès leur inscription dans un bloc qui ne peut pas être supprimé ou modifié ; - La confidentialité, assurée par l’usage du pseudonymat et d’une technologie algorithmique basée sur un chiffrement de haut niveau. La résilience de la blockchain repose également sur : - la répudiation spontanée des blocs « déviants » dans le cas des blockchains publiques : les blocs frauduleux ne sont pas validés par les nœuds ; - la règle majoritaire, dans le cas des blockchains publiques : au moins 51% des nœuds doivent valider les blocs pour qu’ils puissent être ajoutés à la chaîne ; - les barrières à l’entrée, dans le cas des blockchains privées et hybrides : tous les participants à la chaîne sont connus et validés par l’entité créatrice de la chaîne, ce qui limite le risque de fraude. --- ![](https://i.imgur.com/pWADhuo.png) **Confidentialité:** chiffrement sur la donnée/blochain, pseudo-anonyma **Resilience de la blockchain:** depend de comment la blockchain est implem. Risque sur les noeud/block frauduleux La blockchain est lié au smart-contract # Qu’est-ce qu’un « Smart Contract » Toutes les blockchains permettent par définition le transfert, le partage et le stockage de l’informations. Certaines peuvent également servir de base à l’exécution d’applications plus complexes. Celles-ci contiennent en effet des instructions conditionnelles et programmables : on parle alors de « contrats intelligents » (« smart contracts »). Un fois activés, Les smart contracts exécutent automatiquement des conditions définies au préalable, de type « if ... then... » (si telle condition est réalisée, alors ...). Ces contrats sont des protocoles informatiques autonomes qui s’exécutent automatiquement à la réalisation de certaines conditions d’engagement. Ils présentent l’avantage d’être : - automatiques : toutes les conditions du contrat sont réalisées automatiquement ; - rapides : ils sont activés en quelques secondes ; - directs : ils sont réalisés sans intervention ou vérification d’un intermédiaire ; - peu coûteux : aucun frais annexe n’est exigé ; - transparents : les informations sont consultables en temps réel sur la blockchain ; - sécurisés : les transactions sont enregistrées dans la blockchain. Donc enjeux différents en fonction du contx de l'emploie: RGS a ete mis en place # RGS ## Les origines du RGS L’administration électronique, c’est : - Une source d’amélioration de la qualité des services publics C'est un élément important qui definit vos niveaux d'exigences en fonction du service. il a ete mis dans les element d'importance vitale. ## L'homologuation on a creer un SI dont celui qui a signer a eu tout les elements lui permettant. Il y'a un risque residuels. # Qu’est-ce qu’une certification CSPN ? Une certification critères communs (ISO 15408) ? - Où trouver les produits certifiés ? - Qu’est-ce qu’un CESTI ? - Quel est le rôle de l’ANSSI de la COFRAC dans un processus de certification CC ? - Qu’est-ce qu’une cible de certification ? - Un profil de protection ? - Quelles sont les limites d’une certification CC ? ## La COFRAC - est une association chargée de délivrer les accréditations aux organismes intervenant dans l'évaluation de la conformité en France - notion de confiance: quand on fait une certification (comme SGS bureau veritas) ## CESTI - un **Centre d'Évaluation de la Sécurité des Technologies de l'Information** (CESTI), est un prestataire de service, indépendant, agréé par l'ANSSI. Il doit respecter les règles du schéma de certification français - seront habilité par la COFRAC, qui vont check que les CESTI font bien leur job et L'ANSSI agrege "tu as le droit de faire ça" - Le cesti rend un rapport a l'anssi et l'anssi qualifie ## Les critères communs ### Que sont les critères communs ? - Définissent une référence quant à la sécurité apportée (ou pas) par un produit ou système - En référence à sa cible de sécurité - Sur la base d’un niveau d’évaluation (ou niveau de confiance) - Critères génériques applicables à tout type de produit (logiciel et/ou matériel) ### Les niveaux de confiance niveau 1 à 7 Niveaux de confiance (d’assurance) prédéfinis : Evaluation Assurance Level (EAL1-EAL7) : - Niveau d’assurance de l’évaluation 2 (EAL2) : testé structurellement - Niveau d’assurance de l’évaluation 4 (EAL4) : conçu, testé et revu méthodiquement ![](https://i.imgur.com/fhrfexP.png) ### L'important c'est La cible d'évaluation = Contexte d'usage ### Les profils de protections = a quoi il repond - Définissent des objectifs et exigences de sécurité Cibles d’évaluation communes, définies dans le cadre des CC - Les PP eux-même peuvent être certifiés Communs et réutilisables : - Homogénéisation - Comparaison - Réduction des délais et des coûts Il est possible de faire certifie des version mineurs (en faisait certifie la chaine de dev et autres)