Bases de la Cybersécurité
Menaces, cryptographie, protection des données, RGPD et bonnes pratiques
Objectifs pédagogiques
- Identifier les principales menaces et types d'attaques informatiques
- Comprendre les principes de la cryptographie (chiffrement symétrique et asymétrique)
- Appliquer les bonnes pratiques de sécurité (mots de passe, mises à jour, sauvegardes)
- Connaître les enjeux du RGPD et la protection des données personnelles
- Sécuriser un système embarqué et ses communications IoT
1. Menaces et types d'attaques
La cybersécurité vise à protéger les systèmes informatiques, les réseaux et les données contre les accès non autorisés, les modifications ou les destructions. Les menaces évoluent constamment, rendant cette discipline essentielle dans tout projet numérique.
Les trois piliers de la sécurité (CIA)
Seules les personnes autorisées peuvent accéder aux données
Les données ne peuvent pas être modifiées sans autorisation
Les systèmes et données sont accessibles quand nécessaire
Types d'attaques courantes
| Attaque | Description | Protection |
|---|---|---|
| Phishing | Faux emails/sites pour voler des identifiants | Vérifier les URL, ne jamais cliquer sur liens suspects |
| Malware | Logiciels malveillants (virus, trojans, ransomware) | Antivirus, mises à jour, ne pas télécharger n'importe quoi |
| Brute Force | Essai systématique de tous les mots de passe | Mots de passe complexes, limitation des tentatives |
| DDoS | Saturation d'un serveur par des requêtes massives | Pare-feu, CDN, limitation de débit |
| Man-in-the-Middle | Interception des communications entre deux parties | HTTPS, VPN, certificats SSL/TLS |
| Injection SQL | Code malveillant dans les formulaires web | Validation des entrées, requêtes préparées |
Les ransomwares chiffrent vos fichiers et demandent une rançon pour les récupérer. Hôpitaux, entreprises, collectivités sont régulièrement victimes. La seule protection efficace : des sauvegardes régulières hors-ligne.
2. Cryptographie
La cryptographie est la science du chiffrement des données. Elle permet de rendre des informations illisibles pour quiconque ne possède pas la clé de déchiffrement. C'est le fondement de la confidentialité sur Internet.
Chiffrement symétrique
Une même clé secrète est utilisée pour chiffrer et déchiffrer les données. C'est rapide mais pose le problème de l'échange sécurisé de la clé.
Principe du chiffrement symétrique
Algorithmes : AES (256 bits), DES (obsolète), ChaCha20
Chiffrement asymétrique (clé publique/privée)
Utilise une paire de clés : une clé publique (diffusable) pour chiffrer, et une clé privée (secrète) pour déchiffrer. Résout le problème de l'échange de clé.
Clé publique
- • Peut être diffusée à tout le monde
- • Sert à chiffrer les messages
- • Sert à vérifier les signatures
- • Comme une adresse postale
Clé privée
- • Doit rester absolument secrète
- • Sert à déchiffrer les messages
- • Sert à signer numériquement
- • Comme la clé de votre boîte aux lettres
Algorithmes asymétriques :
• RSA : le plus répandu (2048-4096 bits)
• ECC (Elliptic Curve) : plus compact, utilisé sur mobile
• Ed25519 : signatures rapides et sécurisées
Fonctions de hachage
Une fonction de hachage transforme des données de taille variable en une empreinte de taille fixe. C'est une fonction à sens unique : on ne peut pas retrouver les données d'origine à partir du hash.
# Exemples de hachage SHA-256
"password" → 5e884898da28047d9...
"Password" → a6e514f9486b83cb4... # Totalement différent !
"password1" → 0b14d501a594442a0... # Un caractère change tout
# Le même message donne toujours le même hash
# Utilisé pour : vérification d'intégrité, stockage de mots de passeQuand vous voyez le cadenas dans votre navigateur, TLS (Transport Layer Security) utilise ces trois techniques : chiffrement asymétrique pour échanger une clé de session, chiffrement symétrique pour les données, et hachage pour vérifier l'intégrité.
3. Authentification et mots de passe
L'authentification permet de vérifier l'identité d'un utilisateur ou d'un système. Le mot de passe reste le moyen le plus courant, mais il est souvent le maillon faible de la sécurité.
Critères d'un bon mot de passe
Mots de passe FAIBLES
- • 123456
- • password
- • azerty
- • [prénom][année naissance]
- • motdepasse2024
Craqués en quelques secondes !
Mots de passe FORTS
- • 12+ caractères minimum
- • Majuscules + minuscules
- • Chiffres + caractères spéciaux
- • Pas de mots du dictionnaire
- • Unique pour chaque service
Ex: 7$kPm@Lq9#xZ
Phrase de passe (passphrase)
Une alternative plus facile à retenir : combiner plusieurs mots aléatoires.cheval-batterie-agrafe-correctest plus sécurisé et mémorisable que P@ssw0rd!.
Authentification multi-facteurs (MFA)
La MFA combine plusieurs preuves d'identité de catégories différentes :
Mot de passe, code PIN
Smartphone, clé USB, carte
Empreinte, visage, voix
Utilisez un gestionnaire de mots de passe (Bitwarden, KeePass, 1Password) pour générer et stocker des mots de passe uniques et complexes pour chaque service. Vous n'avez qu'un seul mot de passe maître à retenir.
4. Protection des données et RGPD
Le RGPD (Règlement Général sur la Protection des Données) est une réglementation européenne entrée en vigueur en 2018. Il encadre la collecte et le traitement des données personnelles, et donne des droits aux citoyens.
Qu'est-ce qu'une donnée personnelle ?
Toute information permettant d'identifier directement ou indirectement une personne :
Principes du RGPD
L'utilisateur doit accepter activement la collecte de ses données
Les données ne peuvent être utilisées que pour l'objectif annoncé
Ne collecter que les données strictement nécessaires
L'utilisateur peut demander la suppression de ses données
L'utilisateur peut récupérer ses données dans un format lisible
Le non-respect du RGPD peut entraîner des amendes jusqu'à 20 millions d'eurosou 4% du chiffre d'affaires mondial. Google a été condamné à 50M EUR en 2019, Amazon à 746M EUR en 2021.
5. Sécurité des systèmes embarqués et IoT
Les objets connectés présentent des défis de sécurité spécifiques : ressources limitées, mises à jour difficiles, exposition physique. Sécuriser un projet IoT demande une attention particulière dès la conception.
Vulnérabilités courantes en IoT
| Vulnérabilité | Risque | Solution |
|---|---|---|
| Mot de passe par défaut | Accès non autorisé | Forcer le changement au 1er démarrage |
| Communication non chiffrée | Interception des données | TLS/SSL, MQTT avec authentification |
| Firmware non signé | Injection de code malveillant | Signature cryptographique des MAJ |
| Pas de MAJ possibles | Failles non corrigées | Prévoir OTA (Over-The-Air updates) |
| Accès physique | Extraction de clés, dump firmware | Secure boot, stockage chiffré |
Bonnes pratiques de développement sécurisé
// ESP32 : Connexion WiFi + MQTT sécurisé
// 1. Ne JAMAIS stocker les credentials en clair
const char* ssid = "MonWiFi"; // OK pour prototype
// En production : stockage chiffré ou provisioning
// 2. Utiliser MQTT avec TLS (port 8883)
espClient.setCACert(ca_cert); // Certificat CA
client.setServer("broker.example.com", 8883);
// 3. Authentification MQTT
client.connect("clientID", "user", "password");
// 4. Valider les entrées (injection)
if (strlen(payload) > MAX_LENGTH) {
return; // Rejeter les données suspectes
}Checklist sécurité projet IoT
- Changer les identifiants par défaut (admin/admin)
- Chiffrer toutes les communications (TLS/SSL)
- Authentifier les appareils (certificats, tokens)
- Prévoir un mécanisme de mise à jour sécurisé
- Minimiser les données collectées (RGPD)
- Segmenter le réseau IoT du réseau principal
- Désactiver les services et ports inutiles
- Logger les événements de sécurité
À retenir
•CIA : Confidentialité, Intégrité, Disponibilité
•Symétrique : même clé (AES), rapide
•Asymétrique : clé publique/privée (RSA)
•MFA : savoir + avoir + être
•RGPD : consentement, finalité, droit à l'oubli
•IoT : chiffrer, authentifier, mettre à jour
