Audit de sécurité du système téléphonique IP de l'IUC.

4. Tests d'intrusions et de vulnérabilités

Un test de vulnérabilités est un test d'identification de failles connues. Le résultat de ce test est un tableau synthétique dressant la liste des équipements concernés pour chaque faille trouvée. Les tests d'intrusions consistent à éprouver les moyens de protection d'un système d'information en essayant de s'introduire dans le système en situation réelle. Les résultats du test de vulnérabilités pourront être exploités pour atteindre ce but.

On distingue généralement deux méthodes distinctes :

? La méthode dite «boîte noire» consistant à essayer d'infiltrer le réseau sans aucune Connaissance du système, afin de réaliser un test en situation réelle.

? la méthode dite «boîte blanche» consistant à tenter de s'introduire dans le système en ayant connaissance de l'ensemble du système, afin d'éprouver au maximum la sécurité du réseau.

Une telle démarche doit nécessairement être réalisée avec l'accord du plus haut niveau de la hiérarchie de l'entreprise, car elle peut aboutir à des dégâts éventuels d'autant que ces méthodes sont interdites par la loi sans l'autorisation du propriétaire du système. Un test d'intrusions, lorsqu'il met en évidence une faille, est un bon moyen de sensibiliser les acteurs d'un projet. A contrario, il ne permet pas de garantir la sécurité du système, puisque des vulnérabilités peuvent être identifiées.

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

26

26

Le déroulement d'un test d'intrusion

Préconisations

Risques résiduels

Plan d'action

Diagnostic Identification des Dia_gnostic vulnérabilités

Validation

Evaluation des risques

Validation, tests de vulnérabilité

Evaluation des risques

Synthèse technique

Synthèse

Figure 7 : test d'intrusion

5. Authentification des utilisateurs

L'une des méthodes les plus importantes pour anticiper une attaque sur un système de téléphonie est de déterminer clairement l'identité des périphériques ou des personnes participant à la conversation. On parlera d'authentification. L'authentification est généralement basée sur un secret partagé par les différentes parties (vous êtes authentifié(e) si vous connaissez le secret) ou sur un système de clés publiques et de certificats (vous êtes authentifié(e) si vous possédez la clé correcte). Plusieurs méthodes peuvent etre utilisés pour sécuriser son système téléphonique via une authentification ; nous citerons :

a. Le protocole 802.1X

Permet de restreindre l'accès au LAN en empêchant les clients non autorisés de se connecter. En effet, ces derniers devront d'abord être authentifiés, puis autorisés par un serveur d'authentification, un RADIUS par exemple, avant que le port du commutateur ne soit ouvert et que le réseau ne soit accessible.

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

Client à authentifier

Serveur

D'authentification

Réseau

Point D'accès

27

Trafic autorisé après authentification

r

Trafic autorisé avant authentification Figure 8 : L'authentification 802.1

b. Les PKI (Public Key Infrastructure)

Une PKI (Public Key Infrastructure) est un système de gestion des clés publiques qui permet de gérer des listes importantes de clés publiques et d'en assurer la fiabilité, pour des entités généralement dans un réseau. La PKI offre un cadre global permettant d'installer des éléments de sécurité tels que la confidentialité, l'authentification, l'intégrité et la non-répudiation tant au sein de l'entreprise que lors d'échanges d'information avec l'extérieur.

c. Séparation et sécurisation des flux

La séparation des flux voix et data peut être réalisée via l'utilisation de techniques comme

les VLAN, la mise en place de qualité de service ou encore de filtrage. Plusieurs autres procédures peuvent être utilisées pour la sécurité des accès au flux donnée tell que :

? Les firewalls ? Le chiffrement

? Access control List