Fiche de Révision

Cybersécurité • USSI7C

Entropie des Mots de Passe

E = log₂(R^L)
R = nombre de caractères uniques possibles • L = longueur du mot de passe
80 Bits minimum requis
28 Bits pour "azerty" (R=26, L=6)

Règle de robustesse

12 caractères minimum incluant majuscules, minuscules, chiffres et caractères spéciaux pour atteindre 80 bits d'entropie

À éviter

  • Mots de passe courants
  • Données personnelles
  • Mots présents dans des fuites
Exemple de calcul d'entropie :
• Minuscules uniquement (R=26) : 26 caractères
• Majuscules + minuscules (R=52) : 52 caractères
• + Chiffres (R=62) : 62 caractères
• + Caractères spéciaux (R=37) : 37 caractères
• Total complet (R=95+) : 95+ caractères
Outils de vérification :
• haveibeenpwned.com : vérifier si un mot de passe a fait partie d'une fuite
• Outils d'entropie pour tester la "devinabilité" d'un mot de passe

Droit Numérique : Vie Privée/Professionnelle

Présomption Professionnelle

Connexions Internet

Présumées professionnelles au bureau. Usage personnel toléré dans des limites raisonnables si la sécurité n'est pas compromise

Courriels et fichiers

Présumés professionnels sauf mention "personnel" ou "privé" explicite du salarié

Droits de l'employeur :
• Analyse des connexions pour vérifier l'absence d'abus (sans avertissement)
• Validé par CEDH 2016 et Cour de cassation 2008
• Accès aux documents non marqués "personnel/privé" hors présence du salarié
• Extension aux objets connectés au SI (BYOD)
• Sites pornographiques : faute si usage abusif, sites illicites ou interdiction règlement intérieur

Documents "personnel/privé"

  • Accès en présence du salarié
  • En absence : après avoir "dûment appelé"
  • En cas de "risque particulier" prouvé

Protection légale

  • Article 9 Code civil : respect vie privée
  • Article 226-15 Code pénal : secret correspondances
  • Protection renforcée salariés protégés (représentants personnel, délégués syndicaux)
Exemple BYOD :
Une clé USB personnelle connectée à un outil professionnel est présumée utilisée à des fins professionnelles. L'employeur peut accéder aux fichiers non marqués "personnel" qu'elle contient, même en l'absence du salarié.

Obligations des Opérateurs

1 an Durée conservation données techniques
3 Types d'entités concernées

Opérateurs télécoms, FAI et fournisseurs Wi-Fi public doivent conserver les données d'identification des connexions

Menaces Courantes (CIS)

Vol de données

Exfiltration illégale d'informations sensibles de l'entreprise

Vol de mots de passe

Acquisition d'identifiants par vol ou achat pour accéder aux systèmes

Hameçonnage (Phishing)

Courriels frauduleux avec ingénierie sociale pour installer des malwares

Rançongiciel (Ransomware)

Blocage d'accès, chiffrement des données et demande de rançon. "Double extorsion" : exfiltration + chiffrement pour faire pression

Catastrophes naturelles

Perte de données par incendies, inondations, séismes

Defacement / DDoS

Perturbation/défiguration de sites web pour raisons politiques, activisme ou nuire à la réputation

Menaces émergentes :
• Prépositionnement : compromission furtive en amont d'opérations d'espionnage/sabotage
• Espionnage, déstabilisation, sabotage (au-delà de la cybercriminalité)

Protection Messagerie/Navigateur (CIS IG1)

Logiciels à jour

Navigateurs et clients de messagerie non obsolètes avec derniers correctifs de sécurité

Filtrage DNS

Services de filtrage DNS pour bloquer l'accès aux domaines malveillants connus

Niveau "Raisonnable" de Sécurité (CIS Control 09)

Mise en œuvre des principes de base d'un guide reconnu :
• Contrôles CIS IG1 (Implementation Group 1) : 77-86% des sous-techniques d'attaque
• Guide d'hygiène de l'ANSSI

Criticité : Navigateur et messagerie sont directement manipulés par les utilisateurs, aggravant la vulnérabilité si la sensibilisation est insuffisante

Cryptographie : Fonctions de Hachage

Définition

Primitive cryptographique qui condense un long message en une courte séquence (hash/empreinte/condensat)

  • Irréversibilité : Fonction à sens unique, impossible de retrouver le message original
  • Rapidité : Vérification rapide qu'un message produit un hash spécifique
  • Taille fixe : Hash de longueur constante (ex: SHA256 = 256 bits)
  • Unicité statistique : Résistance aux collisions (paradoxe des anniversaires : 2^(n/2))

Usages courants

  • Authentification (HMAC-MD5)
  • Vérification authenticité message
  • Validation mots de passe (MD4/NT)
  • Blockchain Bitcoin (SHA256)
  • Identification fichiers malveillants

Vulnérabilités

  • MD5 : vulnérable aux collisions (2^21 hashs ≈ 2^64 opérations)
  • SHA1 : vulnérable aux collisions (2^61 hashs ≈ 2^80 opérations)
  • Paradoxe anniversaires : 2^(n/2) ≠ 2^n
Usage blockchain :
Bitcoin utilise SHA256 comme identificateur de bloc. Miner un Bitcoin = générer un hash SHA256 respectant un seuil de difficulté spécifique.

HMAC (Hash-based Message Authentication Code)

Principe

Combine algorithme MAC + fonction de hachage pour garantir intégrité et authenticité
⚠ Ne garantit PAS la confidentialité

128 Bits MAC (probabilité forge : 1/2^128)
256 Bits HMAC-SHA256

Fonctionnement

Alice (émetteur)

  • Clé secrète partagée avec Bob
  • Génère tag MAC du message
  • Envoie message + tag

Bob (récepteur)

  • Recalcule tag avec même clé
  • Compare les tags
  • Correspondance = intégrité + authenticité
Processus clé (détails techniques) :
1. Ajustement clé K → K' (remplissage zéros ou hachage si K > taille bloc)
2. Création clés dérivées : K' XOR opad (0x5C répété) et K' XOR ipad (0x36 répété)
3. Double hachage : H((K' XOR opad) || H((K' XOR ipad) || message))
4. Génération de clés "indépendantes" pour opérations successives
Recommandations :
• Pour AES-192 (clé 192 bits) → HMAC-SHA384 ou HMAC-SHA3-384 (sortie 384 bits = 2x clé)
• Pour confidentialité : combiner HMAC + chiffrement (AES) ou utiliser "Authenticated Encryption" (AE)