Dans les réseaux IP, la grande partie de traitement
nécessaire à l'établissement des communications est
déléguée aux équipements terminaux chez les
usagers. De ce fait, l'intelligence est déportée aux
extrémités et non plus aux noeuds du réseau comme c'est le
cas dans les réseaux télécoms.
Donc, il est bien clair que les services de
sécurités seront eux aussi assurés en grande partie par
les usagers, et éventuellement les routeurs d'extrémités
et non pas par les équipements du coeur du réseau.
Deux cas de figures s'imposent lors de l'examen des
problèmes de sécurités sur les réseaux IP. Le
premier est celui d'un réseau propriétaire, on dit souvent
réseau géré, pour lequel les fonctions de gestion, de
maintenance et d'exploitation sont à la charge d'un opérateur.
Dans ce cas, le responsable de réseau pourrait implémenter de
protocoles et des équipements afin d'introduire des services de
sécurités au sein de son réseau et la charge de la
sécurisation des communications sera supportée en partie par le
réseau. Le deuxième cas est celui de l'Internet, qui est, en
fait, l'interconnexion d'un grand nombre de réseaux IP à
l'échelle mondiale. L'absence d'une partie responsable de ce «
réseau des réseaux » impose aux usagers de se charger
totalement de la sécurisation qui n'a pas été pris en
compte lors de la phase de conception du protocole IP. C'est pourquoi, afin
d'assurer la protection des communications sur de tels réseaux, deux
solutions ont prévalu, pour la sécurité du trafic
transporté sur IP : le TLS (Transport Level Security), protocole de
sécurisation de la couche transport et le protocole IPSec. Le premier
est mis en oeuvre audessus du protocole de contrôle de transmission (TCP)
et ne peut donc protéger que le trafic applicatif transporté sur
TCP. Tandis que IPsec s'applique au niveau IP. Ainsi, il est plus
générique que TLS peut donc être utilisé pour
sécuriser n'importe quel type de trafic sur IP en l'occurrence les
transmissions UDP utilisées par la téléphonie sur IP.
Il existe deux modes de sécurisation des paquets IP en
utilisant IPSec : le mode transport et le mode tunnel.
· Le mode transport applique une ou
plusieurs fonctions de sécurisation (essentiellement l'authentification
et le cryptage) au paquet IP à envoyer. Ces fonctions ne
protègent pas complètement les champs d'en-tête. Le mode de
transport n'est applicable qu'aux équipements terminaux, notamment les
routeurs d'extrémité. Un routeur intermédiaire pourrait ne
pas appliquer le mode transport IPSec à un paquet IP qu'il relaye
à cause des problèmes de fragmentation et réassemblage.
· En mode tunnel, un nouveau paquet IP
est créé par une méthode d'ouverture de tunnel IP dans IP.
Les fonctions de sécurisation, qui sont appliquées au paquet IP
extérieur, protègent donc l'intégralité du paquet
IP intérieur originel (en-tête et données) puisque ce
dernier constitue la partie « données » du paquet IP
extérieur. Ce mode est, de toute évidence, le meilleur pour
créer des réseaux privés virtuels (VPN),
sécurisés et offre une meilleure protection contre l'analyse des
flux de trafic. Avec l'utilisation du protocole IPSec dans des réseaux
IP gérés et les réseaux privés virtuels ont rejoint
l'approche télécoms qui consiste à concéder les
services de sécurité au réseau, sans toutefois
décharger complètement les usagers qui restent responsables
d'assurer une partie de ces services au niveau applicatif.
Erich MAROGA-AZOCHRY Mémoire de fin de cycle 35
