Cet article est une version résumée du cour de M. Fouad BENSGHIR, sur la sécurité des affaires éléctroniques.
d'abord, en quoi consistent les affaires électroniques et de quoi se différencient-t-elles du commerce électronique?
Les affaires électroniques désignent l’échange en ligne de produits et services, ou l’échange de renseignements entre entreprises. Les affaires électroniques regroupent les stratégies de fusions, d'alliances ou d'impartition visant à optimiser les échanges d'affaires par l'utilisation des nouvelles technologies d'information. tandis que le commerce électronique se rapporte essentiellement à un processus d'achat et de vente en utilisant Internet.
Le commerce électronique représente la plus grande partie des affaires électroniques, du fait que ces dernieres sont aussi des procédés d'affaires comme l'approvisionnement électronique, le paiement électronique, la vente en ligne, le suivi électronique de la livraison ou l'encaissement électronique.
Les réseaux de communication électroniques les plus couramment utilisées dans les affaires électroniques sont les suivantes :
- L’EDI, designe l'échange de données informatisées, est un réseau de communication électronique fermé et sécurisé, visant à transférer d'application à application, à l'aide d'ordinateurs, connectés sur un ou plusieurs réseaux des données structurées selon un langage normalisé. La mise en place d'un dialogue EDI entre plusieurs partenaires nécessite l'utilisation d'un langage commun et le respect de règles communes. En fait, L'EDI est aujourd'hui une des formes les plus élaborées de commerce électronique entre organisations car il s'agit d'une relation automatisée sans intervention humaine. Le coût d'une solution EDI classique est souvent prohibitif pour des entreprises de petite taille.
- Internet. Le réseau Internet constitue une méthode rapide et peu coûteuse à laquelle on pourrait éventuellement faire appel pour la livraison des messages par courrier électronique ou par transfert de fichiers. Or, contrairement à l'EDI, Internet est un réseau de communication ouvert non sécurisé, dont l’utilisation ne respecte pas toujours les objectifs de la sécurité informatique qui sont :
•La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux ressources échangées ;
•L'intégrité, fonction permettant d'assurer que l'information n'a pas subi de modification et garantit que les données sont bien celles que l'on croit être
•L'authentification, identification de l'origine de l'information.
•La non répudiation, permettant de garantir que l'émetteur des données ne pourra pas nier être à l'origine du message.
L’absence ou le manque de ces mesures de sécurité font l’objet d’un handicap devant le développement du commerce électronique, et eventuellement les affaires électroniques. pour cette raison, des outils et techniques diponibles sont mis en place, assurant la sécurité des affaires électroniques contre le fishing, le pharming et le hameçonnage, à savoir la signature électronique et la cryptographie.
I- La cryptographie :
La cryptographie est l’étude des méthodes permettant de transmettre des données de manière confidentielle. Afin de protéger un message, on lui applique une transformation qui le rend incompréhensible ; c’est ce qu’on appelle le chiffrement, qui à partir d’un texte en clair donne un texte chiffré ou cryptogramme. Inversement, le déchiffrement est l’action qui permet de reconstruire le texte en clair à partir du texte chiffré.
Dans la cryptographie moderne, les transformations en question sont des fonctions mathématiques, appelées algorithmes cryptographiques, qui dépendent d’un paramètre appelé clé.
Donc, la cryptographie est une manière de dissimuler le contenu d’un message, tout comme la stéganographie qui consiste à cacher des informations dans une image.
Deux types de chiffrement existent:
Chiffrement symétrique ou à clé secrète :
Les algorithmes de chiffrement symétrique se fondent sur une même clé pour chiffrer et déchiffrer un message. L’émetteur utilise une clé pour chiffrer le message et le destinataire utilise la même clé (le même algorithme mais en sens inverse) pour déchiffrer le message. cette technique est rapide et efficace mais son problème est que la clé, qui doit rester totalement confidentielle, doit être transmise au correspondant de façon sûre, en plus de quelques difficultés de gestion des clés (surtout sur des réseaux ouverts)
Quelques algorithmes de chiffrement symétrique très utilisés : DES (Data encryption standard), AES (Advanced encryption standard)
Chiffrement asymétrique ou à clé publique:
Un message chiffré avec une clé publique donnée ne peut être déchiffré qu’avec la clé privée correspondante. Par exemple si A souhaite envoyer un message chiffré à B, il le chiffrera en utilisant la clé publique de B (qui peut être publié dans l'annuaire). La seule personne qui déchiffre le message est le détenteur de la clé privée de B.
Principaux algorithmes: RSA (Rivest Shamir Adleman), DSA (Digital Signature Algorithm).
Le principal inconvénient de RSA et des autres algorithmes à clés publiques est leur grande lenteur par rapport aux algorithmes à clés secrètes.
Chiffrement mixte :
Le chiffrement mixte se définit par l’utilisation conjointe d’algorithmes symétriques et asymétriques pour chiffrer des données. Pourquoi procède-t-on ainsi ?
Premièrement parce que les algorithmes symétriques sont plus rapides que les algorithmes asymétriques . De plus, dans le processus de chiffrement mixte, l’algorithme asymétrique ne chiffre qu’une clé symétrique... ce qui représente peu de bits.
Deuxièmement, cette méthode permet de chiffrer un même document pour plusieurs destinataires sans doubler à chaque fois la taille des données chiffrées. Si on ne chiffrait qu’avec les clés asymétriques, il faudrait en effet rechiffrer les données pour chaque nouveau destinataire.
Le chiffrement mixte se déroule sur cinq étapes:
Etape 1: L’expéditeur chiffre tout d’abord ses données à l’aide d’un algorithme symétrique dont la clé est aléatoire.
Etape 2: Il chiffre ensuite cette clé symétrique avec la clé publique du destinataire.
Etape 3: Il envoie ensuite les données chiffrées, auxquelles il joint la clé symétrique chiffrée du destinataire.
Etape 4: Chaque destinataire déchiffre la clé symétrique qui lui correspond à l’aide de sa clé privée correspondant à la clé publique utilisée par l’expéditeur.
Etape 5: Ayant obtenu la clé symétrique en clair, il déchiffre ensuite les données en utilisant l’algorithme symétrique spécifié dans le format envoyé par l’expéditeur.
II- La signature éléctronique:
la signature électronique est définie comme "une donnée sous forme électronique qui est jointe ou liée électroniquement à d’autres données électroniques et qui sert de méthode d’authentification."
Un mécanisme de signature électronique doit présenter les propriétés suivantes :
• Il doit permettre au lecteur d'un document d'identifier la personne ou l'organisme qui a apposé sa signature.
• Il doit garantir que le document n'a pas été altéré entre l'instant où l'auteur l'a signé et le moment où le lecteur le consulte.
La signature électronique repose sur trios grands piliers: système de chiffrement, fonction de hachage et une autorité de certification.
1- Système de chiffrement:
la signature électronique peut etre basée sur un chiffrement symétrique ou bien asymétrique (voir cryptographie), l’inconvénient de la première application réside dans sa vulnérabilité aux tentatives d’interception lors de la transmission de la clé, tandis que la signature numérique basée sur la cryptographie asymétrique repose sur une bi-clé, une clé (privée) pour la création de signature et une clé (publique) pour la vérification de signature.
2- Fonction de hachage:
la signature se fait par la clé privée, mais la difficulté réside dans la signature de longs messages. Une fonction de hachage prend en entrée un message de taille quelconque, applique une série de transformations et réduit ces données. On obtient à la sortie une chaîne de caractères, le condensé qui résume en quelque sorte le fichier. Cette sortie a une taille fixe qui varie selon les algorithmes (128 bits pour MD5 et 160 bits pour SHA-1).
3- Autorité de certification électronique :
pour que B puisse lire le msg de A, il doit vérifier la signature grâce à la clé publique de A, mais comment le vérificateur sera-t-il certain que la clé publique appartient vraiment à A ? c le rôle du tiers confiance qui sont les prestataires de certification, ils fournissent un certificat numérique reconnu par tous sur la clé publique.
Donc la signature vérifie bien l'intégrité du message ainsi que l'identité de l'expéditeur.
Avec l'avénement d'internet et notamment le développement du commerce et des affaires électroniques, les entreprises se trouvent de plus en plus dans le risque d'ouvrir leurs systèmes d'information à leurs partenaires ou leurs fournisseurs, il est donc essentiel dans les affaires électroniques de tenir compte des questions touchant la sécurité et la protection de la confidentialité. Il est important de mettre en place des mesures de protection pour préserver les renseignements personnels des clients et les renseignements commerciaux de nature délicate.
d'abord, en quoi consistent les affaires électroniques et de quoi se différencient-t-elles du commerce électronique?
Les affaires électroniques désignent l’échange en ligne de produits et services, ou l’échange de renseignements entre entreprises. Les affaires électroniques regroupent les stratégies de fusions, d'alliances ou d'impartition visant à optimiser les échanges d'affaires par l'utilisation des nouvelles technologies d'information. tandis que le commerce électronique se rapporte essentiellement à un processus d'achat et de vente en utilisant Internet.
Le commerce électronique représente la plus grande partie des affaires électroniques, du fait que ces dernieres sont aussi des procédés d'affaires comme l'approvisionnement électronique, le paiement électronique, la vente en ligne, le suivi électronique de la livraison ou l'encaissement électronique.
Les réseaux de communication électroniques les plus couramment utilisées dans les affaires électroniques sont les suivantes :
- L’EDI, designe l'échange de données informatisées, est un réseau de communication électronique fermé et sécurisé, visant à transférer d'application à application, à l'aide d'ordinateurs, connectés sur un ou plusieurs réseaux des données structurées selon un langage normalisé. La mise en place d'un dialogue EDI entre plusieurs partenaires nécessite l'utilisation d'un langage commun et le respect de règles communes. En fait, L'EDI est aujourd'hui une des formes les plus élaborées de commerce électronique entre organisations car il s'agit d'une relation automatisée sans intervention humaine. Le coût d'une solution EDI classique est souvent prohibitif pour des entreprises de petite taille.
- Internet. Le réseau Internet constitue une méthode rapide et peu coûteuse à laquelle on pourrait éventuellement faire appel pour la livraison des messages par courrier électronique ou par transfert de fichiers. Or, contrairement à l'EDI, Internet est un réseau de communication ouvert non sécurisé, dont l’utilisation ne respecte pas toujours les objectifs de la sécurité informatique qui sont :
•La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux ressources échangées ;
•L'intégrité, fonction permettant d'assurer que l'information n'a pas subi de modification et garantit que les données sont bien celles que l'on croit être
•L'authentification, identification de l'origine de l'information.
•La non répudiation, permettant de garantir que l'émetteur des données ne pourra pas nier être à l'origine du message.
L’absence ou le manque de ces mesures de sécurité font l’objet d’un handicap devant le développement du commerce électronique, et eventuellement les affaires électroniques. pour cette raison, des outils et techniques diponibles sont mis en place, assurant la sécurité des affaires électroniques contre le fishing, le pharming et le hameçonnage, à savoir la signature électronique et la cryptographie.
I- La cryptographie :
La cryptographie est l’étude des méthodes permettant de transmettre des données de manière confidentielle. Afin de protéger un message, on lui applique une transformation qui le rend incompréhensible ; c’est ce qu’on appelle le chiffrement, qui à partir d’un texte en clair donne un texte chiffré ou cryptogramme. Inversement, le déchiffrement est l’action qui permet de reconstruire le texte en clair à partir du texte chiffré.
Dans la cryptographie moderne, les transformations en question sont des fonctions mathématiques, appelées algorithmes cryptographiques, qui dépendent d’un paramètre appelé clé.
Donc, la cryptographie est une manière de dissimuler le contenu d’un message, tout comme la stéganographie qui consiste à cacher des informations dans une image.
Deux types de chiffrement existent:
Chiffrement symétrique ou à clé secrète :
Les algorithmes de chiffrement symétrique se fondent sur une même clé pour chiffrer et déchiffrer un message. L’émetteur utilise une clé pour chiffrer le message et le destinataire utilise la même clé (le même algorithme mais en sens inverse) pour déchiffrer le message. cette technique est rapide et efficace mais son problème est que la clé, qui doit rester totalement confidentielle, doit être transmise au correspondant de façon sûre, en plus de quelques difficultés de gestion des clés (surtout sur des réseaux ouverts)
Quelques algorithmes de chiffrement symétrique très utilisés : DES (Data encryption standard), AES (Advanced encryption standard)
Chiffrement asymétrique ou à clé publique:
Un message chiffré avec une clé publique donnée ne peut être déchiffré qu’avec la clé privée correspondante. Par exemple si A souhaite envoyer un message chiffré à B, il le chiffrera en utilisant la clé publique de B (qui peut être publié dans l'annuaire). La seule personne qui déchiffre le message est le détenteur de la clé privée de B.
Principaux algorithmes: RSA (Rivest Shamir Adleman), DSA (Digital Signature Algorithm).
Le principal inconvénient de RSA et des autres algorithmes à clés publiques est leur grande lenteur par rapport aux algorithmes à clés secrètes.
Chiffrement mixte :
Le chiffrement mixte se définit par l’utilisation conjointe d’algorithmes symétriques et asymétriques pour chiffrer des données. Pourquoi procède-t-on ainsi ?
Premièrement parce que les algorithmes symétriques sont plus rapides que les algorithmes asymétriques . De plus, dans le processus de chiffrement mixte, l’algorithme asymétrique ne chiffre qu’une clé symétrique... ce qui représente peu de bits.
Deuxièmement, cette méthode permet de chiffrer un même document pour plusieurs destinataires sans doubler à chaque fois la taille des données chiffrées. Si on ne chiffrait qu’avec les clés asymétriques, il faudrait en effet rechiffrer les données pour chaque nouveau destinataire.
Le chiffrement mixte se déroule sur cinq étapes:
Etape 1: L’expéditeur chiffre tout d’abord ses données à l’aide d’un algorithme symétrique dont la clé est aléatoire.
Etape 2: Il chiffre ensuite cette clé symétrique avec la clé publique du destinataire.
Etape 3: Il envoie ensuite les données chiffrées, auxquelles il joint la clé symétrique chiffrée du destinataire.
Etape 4: Chaque destinataire déchiffre la clé symétrique qui lui correspond à l’aide de sa clé privée correspondant à la clé publique utilisée par l’expéditeur.
Etape 5: Ayant obtenu la clé symétrique en clair, il déchiffre ensuite les données en utilisant l’algorithme symétrique spécifié dans le format envoyé par l’expéditeur.
II- La signature éléctronique:
la signature électronique est définie comme "une donnée sous forme électronique qui est jointe ou liée électroniquement à d’autres données électroniques et qui sert de méthode d’authentification."
Un mécanisme de signature électronique doit présenter les propriétés suivantes :
• Il doit permettre au lecteur d'un document d'identifier la personne ou l'organisme qui a apposé sa signature.
• Il doit garantir que le document n'a pas été altéré entre l'instant où l'auteur l'a signé et le moment où le lecteur le consulte.
La signature électronique repose sur trios grands piliers: système de chiffrement, fonction de hachage et une autorité de certification.
1- Système de chiffrement:
la signature électronique peut etre basée sur un chiffrement symétrique ou bien asymétrique (voir cryptographie), l’inconvénient de la première application réside dans sa vulnérabilité aux tentatives d’interception lors de la transmission de la clé, tandis que la signature numérique basée sur la cryptographie asymétrique repose sur une bi-clé, une clé (privée) pour la création de signature et une clé (publique) pour la vérification de signature.
2- Fonction de hachage:
la signature se fait par la clé privée, mais la difficulté réside dans la signature de longs messages. Une fonction de hachage prend en entrée un message de taille quelconque, applique une série de transformations et réduit ces données. On obtient à la sortie une chaîne de caractères, le condensé qui résume en quelque sorte le fichier. Cette sortie a une taille fixe qui varie selon les algorithmes (128 bits pour MD5 et 160 bits pour SHA-1).
3- Autorité de certification électronique :
pour que B puisse lire le msg de A, il doit vérifier la signature grâce à la clé publique de A, mais comment le vérificateur sera-t-il certain que la clé publique appartient vraiment à A ? c le rôle du tiers confiance qui sont les prestataires de certification, ils fournissent un certificat numérique reconnu par tous sur la clé publique.
Donc la signature vérifie bien l'intégrité du message ainsi que l'identité de l'expéditeur.
source : http://sihamonblog.over-blog.com
Aucun commentaire:
Enregistrer un commentaire
ajouter votre commentaire: n'oubliez pas votre commentaire nous intéresse