Déploiement d'un réseau informatique pour la transmission de données sécurisées au sein de la mairie Kananga

2.2.2.2. Sécurité par matériels et Protocoles21(*)28

Cette section traitera les notions sur quelques protocoles utilisés pour sécuriser l'échange des données ainsi que les matériels utilisés pour répondre tant soit peu au défi. En ce qui concerne les protocoles nous avons ciblé les protocoles suivants :

ü PPP (Point to Point Protocol)

Le protocole PPP assure quatre fonctions entre autres : la négociation des paramètres de connexion, l'affectation d'adresse IP, la sécurisation des échanges par authentification des communicants et enfin le transfert de données.

Lorsque les paramètres liaison et réseau sont définis, si l'entité LCP a négocié une phase d'authentification, le PPP procèdera à l'identification des entités communicantes

ü SSL

Le protocole SSL (Secure Sockets Layers) le SSL constitue une couche insérée entre la couche application et la couche TCP procède en quatre étapes :

1. le client s'identifie auprès du serveur Web

2. le serveur Web répond en communiquant sa clé publique

3. le client génère alors une clé secrète, la chiffre à l'aide de la clé publique du serveur et la communique à ce dernier

4. la clé ainsi attribuée est utilisée durant toute la session

ü IPSEC

Le protocole IPSec est un ensemble de protocoles qui permet un chiffrement en ligne de l'information, le protocole est directement implémenté sur les routeurs, les clés sont de type symétrique. IPSec est composé de :

1. Protocole

ü IKE (Internet Key Exchange)

Qui sert à authentifier les deux partenaires, Négocier les paramètres de chiffrement et de protéger la suite des échanges dont l'échange des clés de session.

ü AH (Authentification Header)

Ce protocole fournit le support pour l'intégrité des données et l'authentification des paquets IP. Pour l'authentification, l'extrémité du système/routeur peut authentifier l'utilisateur/application. Pour l'intégrité.

On se basera sur l'utilisation d'un MAC, d'où la nécessité d'une clé secrète. L'algorithme HMAC est présent, et repose sur le MD5 ou SHA-1 (les deux doivent être supportés). AH permet aussi de vérifier l'unicité des paquets pour contrer les attaques de rejet il est à signaler que le protocole AH n'assure pas la confidentialité en effet les données sont signées mais pas chiffrées.

ü ESP (Encapsulation Security Payload)

Ce protocole fournit la confidentialité du contenu du message et une protection contre l'analyse de trafic. Il peut également fournir en option des services d'authentification semblables à ceux de AH. Il supporte les chiffrements usuels (DES, Triple-DES, RC5, IDEA, CAST...), le mode CBC, et autorise le padding afin d'obtenir la taille de bloc nécessaire, le cas échéant.

2. Mode

Transport : Il se positionne entre le protocole Réseau (IP) et le protocole Transport (TCP, UDP) il permet de conserver les adresses sources et destination d'origine.

Tunnel : ce mode permet de chiffrer les adresses d'origine (c'est-à-dire tout le paquet original) et de doter le nouveau paquet ainsi obtenu de nouvelles adresses qui correspondent aux adresses des interfaces externes des routeurs.

Nesting : C'est un mode hybride. On applique successivement les deux protocoles. Il s'agit dès lors d'une encapsulation IPSec dans IPSec

3. SPD et SA

Ü La SPD (Security Policy Database) est une base de données présentée sur chaque système capable d'utiliser IPSec. Elle permet de déterminer la politique de sécurité à appliquer à un certain trafic. Chaque entrée de cette base est identifiée grâce à plusieurs "sélecteurs" tels que l'adresse IP source et destination, le numéro de port ou le protocole de transport. Ce sont ces sélecteurs qui permettent de retrouver les SAs associées à un type de trafic.

Ü Les SA (Security Association) sont le nom donné à toute communication protégée par l'intermédiaire d'IPSec. C'est une relation à sens unique entre un expéditeur et un récepteur. Elle repose sur une unique application de AH ou de ESP. Ainsi, pour une liaison protégée par AH entre 2 entités, il y aura 2 SA.

Ü WEP

C'est un protocole utilisé pour sécuriser le système au niveau de la couche liaison de données, il crypte des trames à la norme 802.11 en utilisant des algorithmes symétriques qui consiste à définir la clé secrète déclarée au niveau du point d'accès.

Ü EAP (Extended authentification Protocol)

Est un protocole qui se charge de transporter les informations, d'identifier les utilisateurs il est basé sur l'utilisation d'un contrôleur d'accès qui établit l'accès au réseau pour un utilisateur.

Ü RADIUS

Le protocole Radius est un mécanisme de transport de données, il vise à fournir aux fournisseurs d'accès internet un moyen de centraliser la base de données d'utilisateurs distant quel que soit le point d'accès auquel se connecte l'utilisateur.

Il convient de noter que la sécurité de transaction des données n'est pas non seulement assurée par des protocoles, algorithmes mais aussi par différent matériels que nous essayerons d'énumérer :

a. WAP (Wi-Fi Protected Access)^22(*)29

Ceci est la première de nos exigences, son objectif est de conditionner l'accès au réseau (par le biais de la connexion sans fil) à la présentation d'identifiants valides.

Le WPA a amélioré dès sa première mouture le chiffrement utilisé par le protocole WEP en proposant l'utilisation d'une clé plus longue, ainsi qu'un meilleur système de distribution et de dérivation, un meilleur contrôle d'intégrité et l'utilisation d'une clé à chaque paquet chiffré.

Ce dispositif introduit le protocole de chiffrement AES (Advanced Encryption Standard) en remplacement de RC4 (utilisé par WEP) avec des clés de 128 bits ainsi qu'une nouvelle collection de systèmes visant à assurer l'intégrité des messages.

b. Par- feu^22(*)30

Un firewall est un module (équipement, système) ou ensemble de modules placé à l'entrée d'un réseau interne en vue de contrôler le trafic réseau vers le monde extérieur et de permettre seulement la propagation de paquets remplissant les conditions et règles définies explicitement dans le firewall.

Dans la pratique, on conçoit (implémente) un firewall en faisant une balance entre la sécurité et le confort opérationnel. Un firewall pourrait être configuré de façon à bloquer tous les trafics sortants et entrants et assurer la sécurité totale, mais cela pècherait contre l'objectif d'avoir une connexion réseau. De la même manière, un firewall pourrait être configuré pour laisser passer tous les paquets, mais compromettrait totalement la sécurité.

Fig. II-1illustration d'un pare-feu

c. Proxy

Le serveur qui agit comme intermédiaire entre un utilisateur et internet, ou proxy, est particulièrement dans le cadre de trafics http, voire FTP, entre le réseau LAN et l'Internet. On peut considérer qu'il complète l'équipement pare-feu. Interceptant une demande vers l'extérieur, le proxy le fait en son propre nom, puis stocke les données renvoyées. Ensuite, il les retransmet au demandeur initial. L'intérêt du proxy est double. Tout d'abord il camoufle les adresses IP internes, puis la demande n'est pas prolongée jusqu'à l'Internet. Ensuite, il autorise des filtrages, par exemple pour interdire l'accès à certains sites Web.

d. Zone démilitarisée

Une zone démilitarisée (ou DMZ, pour `'Demiltarized Zone) dans le contexte des réseaux informatiques désigne une sous-réseau qui se trouve entre un réseau interne sécurisé et un réseau externe comme Internet. L'interconnexion entre le réseau public Internet et le LAN utilise très souvent, une zone publique tampon, hébergée dans l'entreprise.

Ce cas est nommé zone démilitarisée ou DiMilatarize Zone (DMZ). Elle héberge différents serveurs accessibles depuis l'Internet, tels que :

û Le serveur Proxy ;

û Le serveur Web hébergeant le site d'entreprise ;

û Le relais de messagerie, chargé de réaliser un tri des messages

Fig. II-2 : zone de DMZ

* ²¹ https://fr.m.wikipedia.org consulté le 05/04/2025 à 11h

* ²⁹ ROLIN Pierre, MARTINEAU Gilbert, TOUTAIN Laurent, LEROY Alain, Les réseaux, principes fondamentaux, hermès, décembre 1996

* ³⁰ Alexandre Berzati, Thèse : Analyse cryptographique des altérations d'algorithmes, Université de Versailles Saint-Quentin, 2010