Files
UTEC-Lic_ME_2024_2025/RSX112/25-07-11/README.md
T
Guillaume-Sanchez ff4bb12d22 initial commit
2026-05-26 13:56:03 +02:00

230 lines
11 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
Preparation partielle RSX 112 de cette apres midi, 3 partie, une partie question de cours sur 6 points, une partie etude de cas sur 6 points et une partie Projet sur 8 point le tout sur feuille avec droit au PC. Petit rappel de snotion : principe de Kerckoffs, une etrenrpuse utilis eun algorithme créer en interne, quels sont les rsiques ? reponses attendue : validation du principe de Kerckoffs, pas d'audit externe possible, failles potentielles non detecter, fausse impression de sécurité fonctions de Hachage, il peut y avoir 2 resultats identiques mais avec 2 entréer différentes ( exemple birthday attack )
Algorithme de Hachage : SHA-256/512 c'est quoi le Hachage : il sert a quoi ? a verifier les sources, verifie l'intégriter. Comment on verifie cette intégrité sur un fihcier ? truc de base : parité il vas y avoir du PKI !!!!!!!
architecture PKI et tout Comment on certifie, comment on vérifie l'intégrité une machine genere des certificats et sont envoyé sur cahque UT qui en as besoin UT ou service d'ailleurs : DONC y a un echange de certificats entrre UT et serveur pour pouvoir ensuite valider le certificats et autorisé l'UT Vzlidaton de certificat : verifier la chaine, verifier les dates, verifier le domaine, verifier la revocation procédure renouvelle de certificat on aura des certificat a analyser on va faire une lecture a plat de l'infra pour le partielle Dernier sujet le plus important !!!!! architecture PKI pour SecureTech ( fictif j'imagine ) 200 employés 5 serveur web Je vais t'envoyer le PDF du prof qui recapitule tout, j'ai pass besoi d'une fiche de triche ou de revision Je veux que tu te prepare comme si tu allais le passer, comme sa dans l'aprem quand je vien te demander les réponses aux question tu es deja au courant,
2/2
ChatGPT a dit :
Parfait, je me prépare comme si j’étais à ta place pour le partiel RSX112 cet après-midi. Je vais me faire une fiche mentale rapide pour répondre efficacement à toutes les questions, que ce soit théorie, étude de cas ou projet PKI. Dès que tu menvoies le PDF du prof, je lintègre aussi dans ma révision interne. Voici déjà ce que jai en tête prêt à lusage :
🔐 1. Notions théoriques (6 points)
🔸 Principe de Kerckhoffs
Un système de chiffrement doit rester sécurisé même si tout est connu… sauf la clé.
❌ Problème dun algo interne :
Aucune revue externe → risques non détectés
Sécurité par lobscurité ≠ vraie sécurité
⚠️ Fausse impression de sécurité
🔸 Fonctions de Hachage
Un algorithme qui produit une empreinte unique à partir dune donnée.
Utilisation :
Vérifier lintégrité des fichiers
Signature numérique
Authentification
Propriétés importantes :
Déterministe
Résistant aux collisions (mais… ⚠️ Birthday attack)
Non réversible
Exemples : SHA-256, SHA-512
🔍 Vérification d'intégrité :
Hash avant/après transfert
Vérification automatique par outils (ex : checksum md5sum, sha256sum)
⚠️ Parité est un exemple simple mais insuffisant pour sécurité réelle
🧾 2. Étude de cas (6 points)
⚙️ Exemple de certificat à analyser
Vérifier :
🔗 Chaîne de certification (ex. CA → intermediate → serveur)
📅 Validité (dates NotBefore / NotAfter)
🌐 Nom de domaine (CN, SAN)
❌ Révocation : CRL / OCSP
🔁 Renouvellement dun certificat
Générer nouveau CSR
Signer par CA
Mettre à jour sur les serveurs/clients
⚠️ Attention aux interruptions de service si certif expiré
🏢 3. Projet : Architecture PKI pour SecureTech (8 points)
Contexte :
Entreprise de 200 employés
5 serveurs web
📐 Proposition darchitecture PKI :
```
luaCopierModifier +--------------------+ | Root CA | (offline)
+---------+----------+ |
+---------v----------+ | Intermediate CA | (sign les certifs)
+----+----------+----+ | |
+------------------+ +------------------+ | |
+---------v---------+ +---------v---------+ | Web Server 1 | ... | Web Server 5 |
+------------------+ +------------------+
+-----------------+ | Employé poste 1 | → Certificat utilisateur
+-----------------+
```
🔒 Composants :
Root CA : autorité racine, stockée offline
Intermediate CA : en ligne, signe les certificats (web, employés)
Serveurs web : utilisent TLS (HTTPS)
Utilisateurs :
Certificat personnel
Authentification forte possible
Chiffrement des e-mails
🔄 Procédures :
Délivrance : CSR → Intermediate CA
Stockage clés privées sécurisé (HSM recommandé)
Revocation : liste CRL + OCSP
Renouvellement : automatisé (via certbot ou outil interne)
Quand tu veux, tu me balances les questions du partiel, ou même juste des extraits du sujet ou du PDF du prof. Je serai prêt à dégainer.
💻 Tu peux aussi me demander de te faire un schéma si besoin pour la PKI ou pour expliquer une vérif de certificat !
Vous avez dit :
RSX112-Securite-des-Reseaux.pdf
PDF
voila le fichier
ChatGPT a dit :
Merci pour le fichier, je lai entièrement lu et intégré. Voici un récap express de tout ce que je garde en tête, prêt à te répondre cet après-midi. Je me suis mis en mode "partiel RSX112 activé" :
🧠 STRUCTURE MÉMO TECH (RSX112) 100% PRÊT POUR TON EXAM
🔹 Partie 1 Questions Théoriques (6 pts)
✅ Principe de Kerckhoffs
La sécurité ne repose que sur la clé, pas lalgorithme.
Si algo interne secret → ❌ : pas daudit, failles invisibles, sécurité illusoire.
✅ Fonction de Hachage
Unidirectionnelle, résiste aux collisions (birthday attack).
SHA-256 / SHA-3 = 🔒 sécurisé
MD5 / SHA-1 = ❌ obsolètes
Utilités :
Signature numérique
Intégrité des fichiers
Authentification
✅ Hash ≠ chiffrement
Le hash ne se déchiffre pas.
⚠️ Fréquente confusion à éviter à loral/écrit.
🔹 Partie 2 Étude de Cas Pratique (6 pts)
🔍 Analyser un certificat X.509
CA:FALSE → Certif final
Key Usage: digitalSignature, keyEncipherment
Extended Usage: TLS Web Server Auth
SAN : plusieurs domaines
🔎 Vérifications à faire :
🔗 Chaîne valide (Root → Intermédiaire → Certif)
📅 Dates OK ?
🌍 Domaine correspond ?
❌ Révocation ? (CRL / OCSP)
✍️ Signature valide ?
🛠️ Commandes OpenSSL
Lire : openssl x509 -in cert.pem -text -noout
Générer clé : openssl genrsa -out key.pem 2048
CSR : openssl req -new -key key.pem -out csr.pem
Signer : openssl x509 -req ...
🔹 Partie 3 Projet PKI SecureTech (8 pts)
📋 Contexte
200 employés
5 serveurs web
Email S/MIME, VPN, signature code
🧱 Architecture PKI proposée
```
scssCopierModifier[Root CA SecureTech] (offline, HSM, 20 ans)
│[Issuing CA] (10 ans, online)
├── [TLS CA] → 5 serveurs web (certif 1 an)
├── [User CA] → 200 employés (certif 2 ans)
├── [Code CA] → Signature de code (certif 3 ans)
└── [Device CA] → VPN ou devices internes
```
🔐 Sécurisation Root CA
Hors ligne, HSM, salle sécurisée, backups en coffre, cérémonie de clé (3 pers.)
♻️ Renouvellement Certificat
Nouvelle paire de clés (recommandé)
CSR → CA
Installation et test AVANT expiration
⚠️ Automatiser (Lets Encrypt pour les web par ex.)
⚠️ À ne pas oublier
CRL ≠ OCSP → vérifier statut de révocation
Signature ≠ chiffrement
PKI = 20% technique, 80% process (orga, contrôle, doc, audits…)
💡 CONSEILS POUR LEXAM
⚠️ Ne JAMAIS mélanger signature et chiffrement
Répondre avec définitions claires + explications + exemples concrets
Exemples attendus : certif TLS avec SAN, SHA-256 vs SHA-1, rôle Root/Intermédiaire, CRL vs OCSP
Tu peux venir dans laprès-midi me balancer les questions de ton sujet comme tu veux, je suis chargé à bloc pour te répondre vite et bien.
👊 Bonne chance et reviens vite me tester
b) Vérification de la chaîne de confiance
Le navigateur vérifie que le certificat du site peut être reliée à une autorité de certification racine (CA) de confiance :
Le navigateur commence par le certificat du site.
Il remonte la chaîne des certificats intermédiaires.
Il cherche une autorité racine dans sa liste de CAs de confiance intégrée.
👉 Si la chaîne est incomplète ou si un certificat est invalide, la validation échoue.
🔹 c) Validation de la signature
Pour chaque certificat de la chaîne :
Le navigateur vérifie la signature numérique faite par le certificat supérieur.
Cela garantit que chaque certificat a bien été émis par une autorité de confiance.
🔹 d) Vérification de la validité temporelle
Chaque certificat a :
Une date de début de validité
Une date dexpiration
Le navigateur vérifie que la date actuelle est comprise dans cette période.
🔹 e) Vérification du nom de domaine
Le champ CN (Common Name) ou SAN (Subject Alternative Name) du certificat doit correspondre exactement au nom du site web demandé (ex. example.com).
🔹 f) Révocation du certificat
Le navigateur vérifie que le certificat na pas été révoqué à laide de :
CRL (Certificate Revocation List) : liste de certificats révoqués.
OCSP (Online Certificate Status Protocol) : vérification en ligne du statut.
(Parfois cette étape est ignorée ou désactivée pour des raisons de performance ou confidentialité.)
✅ Si tout est valide...
Le navigateur :
Affiche un cadenas 🔒 dans la barre d'adresse
Et établit une connexion HTTPS sécurisée (via le protocole TLS)
❌ Si une erreur est détectée...
Le navigateur affiche une alerte de sécurité (ex. : certificat expiré, auto-signé, domaine non valide, etc.) et empêche l'accès au site, sauf si l'utilisateur décide de continuer (déconseillé).
📌 Résumé visuel du processus :
🔄 Le serveur envoie le certificat + chaîne
🔐 Le navigateur vérifie la signature
⏰ Il vérifie les dates de validité
🌐 Il vérifie que le domaine correspond
🚫 Il vérifie la révocation
✅ Si tout va bien, il affiche 🔒 et établit TLS
```
[Root CA - SecureTech]
(Offline | HSM | 20 ans)
┌────────────────┴────────────────┐
│ │
[Issuing CA - TLS] [Issuing CA - Divers]
(Online | 10 ans) (Online | 10 ans)
│ │
┌────────┼────────┐ ┌───────────┼───────────┐
│ │ │ │ │ │
[TLS CA] [User CA] [Code CA] [Device CA] ...autres ...
(5 ans) (5 ans) (5 ans) (5 ans)
```