LISTE DES FIGURES
FIGURE 1.1 Structure du Département Technique de Ringo
S.A. 7
FIGURE 1.2 Architecture Réseau de Ringo S.A. 8
FIGURE 1.3 Procédure d'authentification par portail captif
10
FIGURE 2.1 Protocole de Nedham/Schroeder 17
FIGURE 2.2 Architecture triple-A 19
FIGURE 2.3 Format d'un paquet RADIUS 21
FIGURE 2.4 Disposition des composants du protocole PPP 26
FIGURE 2.5 Les étapes de fonctionnement du protocole PPP
27
FIGURE 2.6 Pile protocolaire PPPoE 30
FIGURE 2.7 Processus d'authentification du protocole PPPoE au
protocole RA-
DIUS 33
FIGURE 3.1 Isolement d'un hôte par corruption de cache ARP
40
FIGURE 3.2 Cohabitation hackeur/hôte par corruption de
cache ARP 40
FIGURE 4.1 Déploiement de RingoDialer 43
FIGURE 4.2 Schéma de communication
RingoDialer/Système d'authentification 46
FIGURE 4.3 Organisation des composantes logicielles du
RingoDialer . . . . 48
FIGURE 4.4 Diagramme de conception du Framework MVCFramework . .
. 52
FIGURE 4.5 Interface de communication dialeur/NAS-ISP 54
FIGURE 4.6 Diagramme de conception du composant connexion 56
FIGURE 4.7 Transitions nominales du diagramme d'états du
composant Connexion 58
FIGURE B.1 Organigramme Ringo S.A. 70
FIGURE C.1 Principe général de fonctionnement d'un
protocole question/réponse 71
FIGURE E.1 Flux de messages RADIUS 76
FIGURE F.1 Mise en oeuvre du roque AP 77
LISTE DES ANNEXES
ANNEXE A LE CAHIER DES CHARGES DU STAGE 65
A.1 La Mise en oeuvre d'un client d'authentification PPPoE
66
A.1.1 Le contexte 66
A.1.2 Le « Dialeur PPPoE » 66
A.1.3 Le cahier des charges 66
A.2 La Proposition d'une politique de sécurité des
serveurs 67
A.2.1 Le Contexte 67
A.2.2 Le cahier des charges 67
ANNEXE B L'ORGANIGRAMME DE L'ENTREPRISE RINGO S.A.... 69
ANNEXE C LE PRINCIPE DES PROTOCOLES QUESTION/RÉPONSE .
71
ANNEXE D L'EXEMPLE D'UN PROTOCOLE AVEC SECRET PARTAGÉ
72
ANNEXE E L'AUTHENTIFICATION VIA LE PROTOCOLE RADIUS . . 74
E.1 Les généralités 74
E.2 Le processus de connexion au réseau 74
E.3 Le processus de déconnexion au réseau 75
E.4 Le schéma récapitulatif des flux de messages
RADIUS 75
ANNEXE F LE ROQUE AP 77
INTRODUCTION
Dans le cadre de sa politique d'expansion, de
sécurisation et d'amélioration de l'accessibilité de son
réseau par ses différents clients-utilisateurs, l'entreprise
Ringo S.A. a entrepris de migrer son système d'authentification par
portail captif vers un système assurant :
- d'une part, l'authentification de l'utilisateur avant
accès au réseau;
- et d'autre part, la confidentialité des échanges
de données de ce dernier.
En effet, l'authentification par portail captif, qui est une
technique d'authentification consistant à forcer un client
HTTP1 à afficher une page web spéciale dans le but
d'une authentification avant accès à l'Internet, présente
une faille majeure : un utilisateur est identifié sur la base de son
adresse MAC2 et de son adresse IP 3, deux
paramètres facilement falsifiables. Ainsi, en scannant les adresses IP
et MAC transitant par le réseau, puis en clonant l'adresse MAC d'un
abonné entrain de surfer, est-il aisé pour un hackeur d'usurper
l'identité de l'abonné et de se faire attribuer le trafic
Internet de l'adresse MAC clonée.
De plus, le médium utilisé comme support des
échanges est de type Ethernet qui assure peu la confidentialité
tout en étant vulnérable aux attaques de la couche de niveau 2 du
modèle ISO, à la corruption de la mémoire cache du
système donné et à l'usurpation d'adresse IP.
Dans l'optique de pallier ce type de failles, le
Département technique de Ringo S.A. opte
pour l'implémentation
du protocole PPP au-dessus du protocole Ethernet afin de garantir :
1. Un client HTTP est une application interagissant avec un
serveur HTTP (HyperText Transfer Protocol). Le cas peut être donné
des navigateurs Web suivants : Internet Explorer, Safari, Mozilla Firefox et
Google Chrome.
2. Une adresse MAC (Medium Access Control) est un numéro
unique qui identifie une carte réseau. Elle porte aussi les noms
d'adresse physique, d'adresse Ethernet et d'adresse matérielle.
3. Une adresse IP (Internet Protocol) est un numéro qui
identifie chaque ordinateur connecté à l'Internet.
- à l'usager, le respect de son identité et la
confidentialité de ses échanges; - à l'entreprise, un
coût de migration relativement peu onéreux.
Ce choix, bien que stratégique, pose un
problème de migration. En effet, comment mettre en oeuvre une interface
d'authentification pour les clients, au couleur de Ringo S.A., prenant en
compte le protocole PPPoE (Point-to-Point over Ethernet); mettant à
disposition les services phares de l'entreprise (connexion à l'Internet,
consultation de droits d'accès...) et conservant en partie l '
architecture réseau déjà
implémentée?
Ainsi, l'objectif principal du stage est-il de mettre en
oeuvre une « application-cliente » d'authentification via protocole
PPPoE au couleur de Ringo S.A., qui permet, à «
l'utilisateur-client », d'accéder à un ensemble de services,
notamment ceux de la connexion et de la déconnexion rapide d' Internet,
dans un environnement doté d'une infrastructure sécurisée,
assurant l'authentification des utilisateurs et la confidentialité des
échanges de données. Dans cette optique, l'application-client
d'authentification intègre les fonctionnalités suivantes :
- une interface de connexion conviviale, «
customisée » aux couleurs de l'entreprise, permettant à un
client utilisateur de se connecter par simple validation de son nom
d'utilisateur et de son mot de passe;
- une procédure de déconnexion, tout aussi simple
que celle de connexion;
- une interface bilingue, Anglais et Français, s'adaptant
automatiquement à la langue d'usage de l'utilisateur, avec l'Anglais
comme langue par défaut;
- une procédure de mémorisation des
paramètres de connexion de l'utilisateur;
- une procédure de visualisation de l'état de la
connexion, en termes de temps écoulé
depuis l'établissement de la connexion, du taux de
transfert effectif, d'octets transmis
et reçus;
- un ensemble de menu assurant l'accessibilité à
certains services phares de l'entreprise.
Toutefois, il est à noter que les aspects tels que la
non répudiation, la disponibilité et l'intégrité
des ressources ne sont pas abordés dans le cadre de cette étude
et pourraient faire l'objet d'une étude approfondie
ultérieurement. La présente étude s'est bornée
à l'analyse des aspects d'authentification et de
confidentialité.
Aussi, le reste de ce mémoire est-il organisé comme
suit:
- Le chapitre 1 est consacré à l'entreprise
d'accueil. Nous y abordons d'une part, sa raison sociale en spécifiant
ses missions, sa structure et son fonctionnement, tout en nous appesantissant
sur notre département d'accueil, et d'autre part, l'état de lieux
de son système d'authentification.
- Le chapitre 2 est consacré au point sur l'état
de l'art des systèmes d'authentification. Nous y abordons, d'abord la
problématique triple-A à laquelle les systèmes
d'authentification sont soumis; ensuite les techniques d'authentification; puis
les protocoles triple-A et enfin les protocoles complémentaires aux
protocoles triple-A.
- Le chapitre 3 est consacré à l'analyse critique
du système d'authentification de Ringo S.A.
- Le chapitre 4 est consacré au processus de conception
et de mise en oeuvre de l'applicationcliente d'authentification.
- Et enfin, le dernnier chapitre qui est consacré
à la conclusion du mémoire; tout en introduisant les perspectives
d'amélioration de l'application développée; notamment en
abordant sommairement, les aspects liés à la
non-répudiation, à l'intégrité des données
et à la disponibilité des ressources.
| 
