Implantation d'un système de gestion des utilisateurs et monitoring des taches dans un réseau d'entreprise

1.16 3.4. PROTOCOLES D'AUTHENTIFICATION COURAMMENT UTILISES

3.4.1. Protocole RADIUS

Le protocole RADIUS (RemoteAuthentication Dial-In User Service) développé par Livingston Enterprise et standardisé par l'IETF (cf. RFC 2865 et 2866) s'appuie sur une architecture client/serveur et permet de fournir des services d'authentification, d'autorisation et de gestion des comptes lors d'accès à distance.

Prenons le cas pratique d'un utilisateur nomade, souhaitant se raccorder via Internet au réseau interne d'une entité du CNRS par un canal protégé (circuit virtuel protégé CVP - virtualprivate network VPN). Le principe de l'authentification de cet utilisateur avec RADIUS est le suivant :

1. L'utilisateur exécute une requête de connexion. Le routeur d'accès à distance (client RADIUS) récupère les informations d'identification et d'authentification de l'utilisateur (son identifiant et son mot de passe par exemple).

2. Le client RADIUS transmet ces informations au serveur RADIUS.

3. Le serveur RADIUS reçoit la requête de connexion de l'utilisateur, la contrôle, et retourne l'information de configuration nécessaire au client RADIUS pour fournir ou non l'accès au réseau interne à l'utilisateur.

4. Le client RADIUS renvoie à l'utilisateur un message d'erreur en cas d'échec de l'authentification ou un message d'accès au réseau si l'utilisateur a pu être authentifié avec succès.

3.4.2. Protocole SSL

Le protocole SSL (Secure Socket Layer) développé par Netscape Communications Corp. avec RSA Data Security Inc. permet théoriquement de sécuriser tout protocole applicatif s'appuyant sur TCP/IP i.e. HTTP, FTP, LDAP, SNMP, Telnet, etc. mais en pratique ses implémentations les plus répandues sont LDAPS et HTTPS.

Le protocole SSL permet non seulement de fournir les services d'authentification du serveur, d'authentification du client (par certificat à partir de SSL version 3) mais également les services de confidentialité et d'intégrité.

Le principe d'une authentification du serveur avec SSL est le suivant :

1. Le navigateur du client fait une demande de transaction sécurisée au serveur.

2. Suite à la requête du client, le serveur envoie son certificat au client.

3. Le serveur fournit la liste des algorithmes cryptographiques qui peuvent être utilisés pour la négociation entre le client et le serveur.

4. Le client choisit l'algorithme.

5. Le serveur envoie son certificat avec les clés cryptographiques correspondantes au client.

6. Le navigateur vérifie que le certificat délivré est valide.

7. Si la vérification est correcte alors le navigateur du client envoie au serveur une clé secrète chiffrée à l'aide de la clé publique du serveur qui sera donc le seul capable de déchiffrer puis d'utiliser cette clé secrète. Cette clé est un secret uniquement partagé entre le client et le serveur afin d'échanger des données en toute sécurité.

Afin d'éviter des attaques, il est recommandé d'utiliser la double authentification c'est-à-dire non seulement l'authentification du serveur mais également celle du client, bien que l'authentification du client avec SSL soit facultative.

Le protocole TLS version 1.0 (Transport Security Layer) est la version normalisée de SSL version 3.0 (cf. RFC 2246 de l'IETF). Les versions de TLS sont amenées à évoluer, au moins au fur et à mesure que de nouvelles attaques apparaissent. En Février dernier, une faiblesse majeure a été identifiée dans le protocole SSL : des chercheurs de l'Ecole Polytechnique de Lausanne ont montré qu'il est possible en moins d'une heure de trouver le mot de passe d'un internaute connecté à un service d'e-Commerce. Que l'URL (Uniform Resource Locator) soit « sûre » ou pas, c'est-à-dire qu'une société dont la réputation n'est plus à faire héberge ce site Internet ou bien qu'il s'agisse d'une compagnie dont la sécurité des transactions n'est pas une priorité, la faille de sécurité basée sur une usurpation d'identité était bien présente pour les plates-formes Linux, Unix, Solaris et dérivés. L'information a été rapidement transmise à l'organisation OpenSSL afin de mettre à jour le protocole et développer une nouvelle Version de SSL qui résiste à cette attaque (cf. le site www.openssl.org pour les différentes mises à jour).