Memoire Online - Mise en place d’une politique d’accès à un réseau sans fil avec l’authentification basée sur la norme 802.1x

« La science n'est rien d'autre que le raffinement de notre pensée quotidienne ».

À Dieu tout puissant, créateur du ciel et de la terre, source d'intelligence et de la sagesse, pour le souffle de vie qu'il nous accorde tous les jours ainsi que la protection que nous avons bénéficiée tout au long de nos études ;

maman Antoinette KANKOLONGO, pour leur affection et pour avoir fait de mes études leur préoccupation quotidienne.

À mes frères et soeurs : Jean-Paul MUTOMBO, Rosette MUANGA, Daniel KUNDA, Olivier BUKASA, Gracias MATANDA, Naomie KAMUANYA, Shekinah MUTOMBO, Merdie KAPEMBA, Evodie NGOLELA, Glonel KANKOLONGO, etc. vous faites la fierté de notre famille ; et vous qui m'avez toujours soutenu au mérite des renoncements qui ne peuvent être oubliés.

Cette oeuvre est un fruit issu d'une lutte menée pendant un nombre important d'années reflétant des nombreux efforts conjugués tant pour sa conception que pour sa réalisation. Tout ceci a l'aide du soutien de plusieurs personnes.

Pour cette raison, nous sommes contraints de nous acquitter de ce devoir, celui de montrer notre gratitude envers tous ceux qui, d'une manière ou d'une autre, de loin ou de prêt, y ont apporté une contribution matériel ou morale, nous disons merci.

Par conviction personnelle et par esprit de conformisme, qu'il me soit permis de remercier en premier lieu l'Eternel Dieu Tout Puissant pour m'avoir permis de mener à terme ce travail.

Qu'il me soit permis de remercier mes pauvres parents : MUSASA MAKAND Edmond et MUANGA Margueritte qui ont accepté que je sois né sur cette terre. Que leurs âmes se reposent en paix.

Je suis particulièrement reconnaissant à l'égard de mon oncle paternel Willy MUSWILA MUTOMBO et maman Antoinette KANKOLONGO pour avoir su changer le train de ma vie en me proposant de rebrousser le chemin et poursuivre mes études universitaires. Ce sont eux qui m'ont orienté vers cette source d'eau féconde qui altère la soif de la connaissance en déracinant l'ignorance.

Que le corps académique de l'université Notre-Dame du Kasayi en général, et de la faculté des sciences informatiques en particulier, le potier dont nous sommes l'un des vases d'honneur en pleine formation, trouve ici l'expression de nos sincères remerciements.

Ce travail n'aurait pas vu son éclosion sans le soutien de mon directeur Professeur, Docteur MABELA Rostin qui a accepté, malgré ses multiples occupations et son agenda chargé, de diriger ce travail. Sa rigueur scientifique, son goût d'un travail soigné, m'ont été d'une grande utilité. Et nous témoignons notre profonde reconnaissance à mon encadreur Chef de Travaux MUSUBAWO Patient pour avoir accepté la codirection de ce travail.

Aucune personne ne peut évaluer la gratitude qui est due aux membres de la famille d'un auteur. Je suis particulièrement redevable à l'endroit de toute famille composant la tribu de Cléophas MUTOMBO KAMITATU, mes frères et soeurs, en particulier Daniel KUNDA, Olivier BUKASA, Séraphin MUTOMBO, Shekinah MUTOMBO pour leur amour qu'ils n'ont pas cessé de me témoigner.

Ce serait pour nous une ingratitude manifeste, si nous passions sous silence sans remercier les héros dans l'ombre et témoins oculaires des souffrances académiques : Lafontaine MBUYI, Ambroise TSHILULU, Elisée MPUNGA, Patrick KASHALA, Symphorien BIDUAYA, Gérard BAKAMPAKA, Denis NKASHAMA, Justine KANKU, Fiston UTULU et Clémence THIABU pour votre attachement, votre assistance permanente, et pour votre franche collaboration, nous vous témoignons notre reconnaissance. A tous les amis et connaissances.

*ABREVIATIONS*	*SIGNIFICATION*
*A à F*
*AAA :*	Authentication, Authorization and Accounting
AD DS	Active Directory Domain Server
AD CS	Active Directory Certificate Server
ADSL :	Asymmetric Digital Subscriber Line
AES :	Advanced Encryption Standard
AP :	Access Point
APSD :	Automatic Power Save Delivery
ARPA :	Advanced Research Project Agency
ASCII :	American Standard Code for Information Interchange
ASFI :	Accès sans fil à Internet
ASK :	Amplitude Shift Keying
BLR :	Boucle locale radio
BSS :	Basic Service Set
CPL :	Courant porteur en ligne
CSMA/CA :	Carrier Sense Multiple Access/Collision Avoidance
CSMA/CD :	Carrier Sense Multiple Access /Collision Detection
DDoS :	Distributed Denial of Service
DES :	Data Encryption Standard
DFS :	Dynamic Frequency Selection
DHCP :	Dynamic Host Configuration Protocol
DoS :	Denial of Service
DPSK :	Differential Phase Shift Keying
EAP :	Extensible Authentication Protocol
EAPol :	EAP over LAN
ESSID :	Extended Service Set IDentifier
FAI :	Fournisseur d'accès à Internet
FSK :	Frequency Shift Keying
*H à P*
HTTP :	HyperText Transfer Protocol
HTTPS :	HyperText Transfer Protocol over TLS
IEEE :	Institute of Electrical and Electronics Engineers
IETF :	Internet Engineering Task Force
Internet :	Inter Networking
IP :	Internet Protocol
IPSec :	IP Security
L2TP :	Layer 2 Transport Protocol
LAN :	Local Area Network
LLC :	Logical Link Control
MAC :	Medium Access Control
MAN :	Metropolitan Area Network
MD 5 :	Message Digest 5
MiM :	Man in the Middle
NTIC : communication	Nouvelles technologies de l'information et de la

OSI :	Open Systems Interconnection
PAN :	Personal Area Network
PDA :	Personal Digital Assistant
PKI :	Public Key Infrastructure
PPP :	Point to Point Protocol
PPTP :	Point to Point Tunneling Protocol
*Q à W*
QoS :	Quality of Service
RADIUS :	Remote Authentication Dial In User Service
RC4 :	Rivest Cipher n4
RFC :	Request for Comments
RLAN :	Radio Local Area Network
RNIS :	Réseau numérique à intégration de service
RPV :	Réseau privé virtuel
RSA :	Rivest, Shamir and Adelman
RTC :	Réseau téléphonique commuté
SMTP :	Simple Mail Transfer Protocol
SNMP :	Simple Network Management Protocol
SSID :	Service Set IDentifier
TCP :	Transmission Control Protocol
UDP :	User Datagram Protocol
U.KA :	Université Notre-Dame du Kasayi
USB :	Universal Serial Bus
VLAN :	Virtual Local Area Network
VPN :	Virtual Private Network
WAN :	Wide Area Network
WAP :	Wireless Application Protocol
WDS :	Wireless Distribution System
WECA :	Wireless Ethernet Compatibility Alliance
WEP :	Wired Equivalent Privacy
WiFi :	Wireless Fidelity
WiMax :	Worldwide Interoperability for Microwave Access
WLAN :	Wireless Local Area Network
WPA :	WiFi Protected Access
WPA2 :	WiFi Protected Access 2

Figure IV.11. Zone de recherche, page d'accueil (Tuiles) d'autorisation de certification. 52

Tenant compte de l'évolution de la technologie dans ce siècle présent, l'informatique reste l'outil indispensable pour pallier à d'énormes difficultés surgissant dans le secteur socio-économique causées par l'utilisation de système de gestion manuelle, devenus archaïques et qui nécessitent d'être révisés ou soit réaménagés en vue de les adapter aux nouvelles technologies de l'information. Cependant, l'apparition des technologies sans fil modifie la manière d'appréhender la sécurité, car la morphologie des réseaux évolue vers des formes floues, puisque le medium utilisé est par nature hertzien et diffusant, donc sans frontière précise. Le WiFi peut alors devenir une porte d'entrée sur le réseau d'entreprise qui permet de déjouer les mécanismes d'authentification classiques.

En effet, dans l'objectif de garantir une meilleure accessibilité aux services réseaux, plusieurs architectures de communication modernes ont privilégié l'abandon des câbles de transmission au profit des liaisons radios. Ces liaisons peuvent être soit du type infrarouge, Bluetooth ou Hertziennes. Nous parlons des liaisons sans fils, qui ont pris une grande ampleur avec l'apparition de concentrateurs qui permettent de connecter simultanément plusieurs noeuds entre eux. Il peut s'agir d'ordinateurs, d'imprimantes, de terminaux GSM ou de périphériques divers. Les liaisons radios sont même utilisées pour interconnecter des réseaux. Les technologies dites « sans fils », la norme 802.11g en particulier, facilitent et réduisent le coût de connexion pour les réseaux de grande taille. Avec peu de matériels et un peu d'organisations, de grandes quantités d'informations peuvent maintenant circuler sur plusieurs centaines de mètres, sans avoir recours à une compagnie de téléphones ou de câblage.

La mise en oeuvre des réseaux sans fils est facile, mais la sécurité des données qui y sont transmises n'est pas toujours assurée. Ceci est dû, en grande partie, aux vulnérabilités intrinsèques de la liaison radio. Une attaque qui a pour but d'intercepter les communications sans fils entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de communication a été compromis, peut avoir lieu si le canal n'est pas sécurisé. L'intrus est alors capable d'observer, d'intercepter et de modifier les messages d'une victime à l'autre. Son intrusion est possible, quand le réseau en question n'est pas assez sécurisé, d'autant plus facile que l'accès au réseau est ouvert. Cet utilisateur malveillant peut accéder au réseau sans fil qu'il attaque, tout en utilisant une fausse identité. Il peut, par exemple, modifier un message M partant d'un expéditeur X au destinataire Y selon l'attaque dite MAN IN THE MIDDLE, qui lui permet de remplacer le message M par un autre message M après l'avoir modifié, sans que X et Y ne s'en rendent compte.

Ainsi, ce type d'attaque, et plusieurs autres, dont notamment le vol des informations du type propriétés intellectuelles, le déni de service et l'usurpation d'Identité, nous ont appelé à étudier ces vulnérabilités d'authentification des réseaux Wi-Fi, et à trouver des solutions potentielles, basées sur des protocoles d'authentification, en prenant la norme 802.1x comme solution adéquate. Pour réaliser ce travail de fin de cycle, nous avons commencé par effectuer des recherches, pour étudier :

? Les faiblesses des réseaux Wi-Fi, et notamment les possibilités techniques de se connecter sous une fausse identité ;

? Les types d'attaques qui peuvent avoir lieu dans un environnement académique ;

? Les mécanismes de protection existants des réseaux Wi-Fi, et leur efficacité par rapport aux attaques visant l'authentification.

Après avoir effectué ces recherches, et pour pouvoir choisir le protocole d'authentification qui conviendra à nos besoins, nous avons effectué :

? Une étude comparative des protocoles d'authentification pour les réseaux Wi-Fi.

? Une revue des services d'authentification applicatifs disponibles pour les réseaux Wi-Fi.

Sur base de cette étude, nous avons proposé une architecture qui permet de subvenir aux besoins de l'U.KA, en termes de protection contre l'usurpation d'identité. Le coût de la solution, en termes d'effort de déploiement, a été aussi pris en compte, lors de la conception de cette architecture.

Enfin, pour que cette étude théorique soit évaluée, nous avons effectué les étapes

? La mise en place d'un réseau de test, qui permet de simuler l'environnement réel. ? L'évaluation des performances de la solution proposée.

« Mise en place d'une politique d'accès à un réseau sans fil avec l'authentification basée sur la norme 802.1x. Cas de l'U.KA ».

Ainsi, tout au long de ce travail, nous chercherons à analyser la question de la mise en place d'une politique d'accès à un système de réseau sans fil basé sur l'authentification.

Connaissant ce qu'est la problématique, nous serons amenés à nous poser les questions suivantes :

? Quel mécanisme de sécurité peut-on appliquer pour contrôler les accès au réseau de l'U.KA?

? Quel rôle aura la politique de sécurité une fois mise en oeuvre sur le réseau de l'U.KA?

L'hypothèse se définit comme étant une proposition des réponses provisoires aux questions que l'on se pose à propos de l'objet de recherche formulé en termes tels que l'observation et l'analyse puissent fournir une réponse. Ainsi, pour mieux évoluer avec ce travail, nous tacherons tout d'abord de répondre à notre problématique :

? Le mécanisme de sécurité à appliquer pour contrôler les accès au réseau de l'U.KA serait l'authentification basée sur la norme 802.1x avant d'accéder dans ce réseau ;

? Une fois la nouvelle politique de sécurité mise en place, elle consistera de contrôler tous les accès au réseau, cette opération sera effectuée dès l'accès physique de tous les utilisateurs autorisés et non autorisés à accéder au réseau de l'U.KA, mais l'accès aux ressources du système d'information serait conditionné par une authentification. La politique mise en place aura pour rôle de sécuriser le réseau sans fil de l'U.KA contre toutes les intrusions.

Le choix et intérêt de notre sujet dépendent du domaine d'étude et rejoignent les compétences et les aptitudes de celui qui l'étudie. Notre choix de ce sujet est lié à l'importance de renforcer les mesures de sécurité, dans le but de maintenir la confidentialité, l'intégrité et le contrôle d'accès au réseau pour réduire les risques d'attaques dans le réseau 802.1x, dont son rôle primordial est l'authentification et l'identification.

L'étude et la connaissance sur la sécurité d'un système nouveau, la recherche scientifique pour l'obtention d'un diplôme de licence et la réalisation d'un ouvrage de référence, justifient notre intérêt pour ce sujet.

La mise en place d'une sécurité de réseau sans fil basée sur la norme 802.1x est le but de ce travail.

Son but primordial, est qu'à la fin de sa rédaction et sa présentation, que nous puissions présenter une politique d'accès à un réseau sans fil contrôlé capable de résoudre les failles trouvées sur terrain et de leur offrir un nouveau système.

Toute étude scientifique pour qu'elle soit plus concrète, doit se proposer des limites dans son champ d'investigation ; c'est-à-dire qu'elle doit être circonscrite dans le temps et dans l'espace. Dans le temps, notre travail couvre la période académique allant de 2018-2019, et dans l'espace, notre champ d'investigation demeure l'Université Notre-Dame du Kasayi, qui se trouve dans la République Démocratique du Congo, province du Kasaï Central, et plus précisément dans la ville de Kananga Chef-lieu de la province, dans la Commune de LUKONGA, cette institution est située à KAMBOTE.

Dans tout travail scientifique, il y a toujours une méthodologie propre afin d'atteindre ses objectifs. Dans notre travail, nous avons utilisé la méthode expérimentale qui permet d'affirmer une chose qu'après test ou expérience. Quant à la technique, qui est un ensemble d'outils indispensables utilisés pour aboutir à un résultat, nous avons utilisé la technique documentaire qui nous a permis de consulter divers documents, entre autre des ouvrages scientifiques, des livres et même des sites Internet.

Outre l'introduction générale et la conclusion générale, quatre grands chapitres permettront une prise en main rapide. En premier lieu, le premier chapitre parlera sur les réseaux sans fil, le deuxième sur la sécurité de réseau sans fil et le standard 802.1x, le troisième chapitre sur l'analyse de l'existant, le quatrième chapitre et le dernier s'expose sur le déploiement et l'installation de la solution retenue.

Ce premier chapitre a pour but de présenter brièvement l'aperçu général des réseaux informatiques, l'histoire de la technologie Wifi, son contexte technique, ses applications principales, ses catégories, les technologies concurrentes et enfin, ses avantages et ses inconvénients.

1.1. Les réseaux informatiques

Selon la définition du Petit Robert, un réseau est « un ensemble de points communiquant entre eux ». Dans le monde numérique, ces « points » ou « noeuds » du réseau sont des équipements informatiques. Il peut s'agir d'ordinateurs bien sûr, mais aussi d'imprimantes, de systèmes de vidéosurveillance, de téléphones portables ou de tout autre matériel électronique. On parlera de « périphérique », d'« hôte » ou de « station » pour désigner ces équipements. La « topologie » du réseau représente l'agencement des noeuds entre eux : des réseaux peuvent être organisés en boucle, en arborescence, en mailles, etc. Afin que ces stations puissent communiquer entre elles, il est nécessaire d'une part qu'elles sachent exploiter un média de communication adapté (des câbles électriques ou optiques, des ondes radio, la lumière infrarouge...), mais aussi et surtout qu'elles soient capables de se synchroniser et de se comprendre. Pour cela, des règles de communication doivent être définies. Le rôle d'un standard réseau est donc de définir des protocoles (c'est-à-dire des modalités précises) de communication entre les périphériques d'un réseau : quand prendre la parole, comment définir, qui s'adresse à qui, etc.

On distingue généralement cinq catégories de réseaux informatiques, différenciées par la distance maximale séparant les points les plus éloignés du réseau :

? Les réseaux personnels, ou PAN (Personal Area Network), qui interconnectent, sur quelques mètres, des équipements personnels tels que terminaux GSM, portables, organiseurs, etc., d'un même utilisateur.

? Les réseaux locaux, ou LAN (Local Area Network), qui correspondent, par leur taille, aux réseaux intra entreprise. Ils servent au transport de toutes les informations numériques de l'entreprise. En règle générale, les bâtiments à câbler s'étendent sur plusieurs centaines de mètres. Les débits de ces réseaux vont aujourd'hui de quelques mégabits à plusieurs centaines de mégabits par seconde.

? Les réseaux métropolitains, ou MAN (Metropolitan Area Network), qui permettent l'interconnexion des entreprises ou éventuellement des particuliers sur un réseau spécialisé à haut débit qui est géré à l'échelle d'une métropole. Ils doivent être capables d'interconnecter les réseaux locaux de différentes entreprises pour leur donner la possibilité de dialoguer avec l'extérieur. Ces réseaux sont examinés essentiellement pour les environnements hertziens.

? Les réseaux régionaux, ou RAN (Regional Area Network), ont pour objectif de couvrir une large surface géographique. Dans le cas des réseaux sans fil, les RAN peuvent avoir une cinquantaine de kilomètres de rayon, ce qui permet, à partir d'une seule antenne, de connecter un très grand nombre d'utilisateurs.

? Les réseaux étendus, ou WAN (Wide Area Network), sont destinés à transporter des données numériques sur des distances à l'échelle d'un pays, voire d'un continent ou de plusieurs continents. Le réseau est soit terrestre, et il utilise en ce cas des infrastructures au niveau du sol, essentiellement de grands réseaux de fibre optique, soit hertzien,

comme les réseaux satellite¹. La figure 1.1 illustre sommairement ces grandes catégories de réseaux informatiques.

1.1.1. L'architecture OSI 2

Les informations transmises à travers les réseaux de communication sont de nature très différente en fonction de l'application dont elles proviennent. D'autre part, les systèmes informatiques connectés à un réseau donné sont également de nature, de technologie et d'origine très différentes (ordinateurs, microordinateurs, périphériques, automates programmables, etc.). Il arrive que certains constructeurs proposent pour ses systèmes, un, voire plusieurs réseaux de communication qui ne sont souvent compatibles qu'avec eux-mêmes. Cet état de fait rend difficile, sinon impossible, leur connexion avec des systèmes d'origines diverses. L'intérêt d'une normalisation des réseaux permettant l'interconnexion aisée de matériels hétérogènes est évident. Cette normalisation doit être assez complète et précise afin de prendre en compte l'ensemble des problèmes liés à la communication :

? Connexion physique des systèmes (supports, connectiques, codage des signaux, etc.) ; ? Organisation et échange fiable des données organisées en trames ;

? Découpage des fichiers en paquets de longueurs compatibles avec celles des trames ; ? Contrôle des flux de données et synchronisation des entités différentes communicantes ; ? Transcodages éventuels des données pour les rendre exploitables par la station

Le modèle OSI de l'ISO est une base de référence, un modèle justement pour identifier et séparer les différentes fonctions d'un système de communication. Comme modèle, il sert donc uniquement de point de repère et n'est donc pas une norme à laquelle un système de communication doit adhérer ! Les fonctions des systèmes ouverts de communication se décomposent selon les sept couches définies par le modèle OSI. Les couches 1 à 3 sont orientées vers la transmission des données. Les couches 4 à 7 sont orientées vers le traitement des données :

2 Lacène Beddiaf, Vidéosurveillance, Principes et technologies, Ed. Dunod, Paris, 2008, pp. 158-160

La couche 1 (physique) définit les caractéristiques physiques de la partie communication d'un circuit. En particulier dans ce niveau sont définis les potentiels, les courants, les connecteurs, le système de codage électrique ou optique. Le câble proprement dit n'est cependant pas compris dans ce niveau, car le modèle OSI s'applique uniquement aux caractéristiques de communication d'un noeud d'un réseau, et pas au réseau lui-même.

La couche 2 (liaison) définit le format de la trame et son codage logique, ainsi que les mécanismes de protection, l'insertion automatique de bits pour éviter la transmission d'une séquence trop longue de signaux identiques.

Au niveau de la couche 3 (réseau) sont décrites les caractéristiques du réseau, dans le but d'assurer que les trames d'information sont acheminées selon le parcours choisi de la source au consommateur. Ce niveau est indispensable lorsque plusieurs parcours sont possibles et actifs en même temps.

Au niveau de la couche 4 (transport) est définie la façon dont on procède à la connexion et à la déconnexion, ainsi qu'à l'établissement d'un canal de communication à travers le réseau entre deux noeuds.

Au niveau de la couche 5 (session) ; une fois établi un canal logique de communication entre deux points, ceux-ci peuvent commencer à synchroniser leurs applications, respectivement à ouvrir une session de travail. Ces opérations se déterminent à ce niveau.

En ce qui concerne la couche 6 (présentation) : lorsque les deux noeuds en communication utilisent un système différent de présentation des données, comme par exemple le code ASCII et un code étendu à 16 bits, c'est à ce niveau que sont définies les correspondances.

La couche 7 (application) ; qui est le dernier niveau, concerne la description de l'interface vers l'application. Ce niveau ne comprend pas l'application elle-même, car celle-ci ne fait pas partie du système de communication.

1.1.2. L'architecture TCP/IP3

Cette architecture, dite TCP/IP, est à la source du réseau Internet. Elle est aussi adoptée par de nombreux réseaux privés, appelés Intranet. Les deux principaux protocoles définis dans cette architecture sont les suivants :

? IP (Internet Protocol), de niveau réseau, qui assure un service sans connexion.

? TCP (Transmission Control Protocol), de niveau transport, qui fournit un service fiable avec connexion.

TCP/IP définit une architecture en couches qui inclut également, sans qu'elle soit définie explicitement, une interface d'accès au réseau. En effet, de nombreux sous-réseaux distincts peuvent être pris en compte dans l'architecture TCP/IP, de type aussi bien local qu'étendu.

Il faut noter que l'apparition d'un autre protocole de niveau message (couche 4), UDP (User Datagram Protocol). Ce protocole utilise un mode sans connexion, qui permet d'envoyer des messages sans l'autorisation du destinataire.

1.2. Introduction aux réseaux sans fil

Un réseau sans fil (en anglais Wireless Network) est, comme son nom l'indique, un réseau dans lequel au moins deux terminaux peuvent communiquer sans liaison filaire. Grâce aux réseaux sans fils, un utilisateur a la possibilité de rester connecté tout en se déplaçant dans un périmètre géographique plus ou moins étendu, c'est la raison pour laquelle on entend parfois parler de «mobilité ».

Les réseaux sans fils sont basés sur une liaison utilisant les ondes radioélectriques (radio et infrarouges) en lieu et place des câbles habituels. Il existe plusieurs technologies se distinguant d'une part par la fréquence d'émission utilisée, ainsi que le débit et la portée de transmission.

Les réseaux sans fils permettent de relier très facilement des équipements distants d'une dizaine de mètres à quelques kilomètres. En contrepartie, se posent deux problèmes :

? De plus, les ondes hertziennes sont difficiles à confirmer dans une interface géographique restreinte, il est donc facile pour un pirate d'écouter le réseau si les informations circulent en clair.

1.2.1. Historique

Le « sans fil » est à la mode aujourd'hui. Pourtant, c'est déjà de l'histoire ancienne. Cette histoire commence à la fin du XIXe siècle avec la découverte des ondes électromagnétiques par le physicien allemand Heinrich Hertz en 1888. Dix ans plus tard, le 5 novembre 1898, Eugène Ducretet, assisté d'Ernest Roger, établit la première communication radio à « longue distance », sur 4 kilomètres, entre la Tour Eiffel et le Panthéon : c'est le début de la Télégraphie sans fil (TSF). En 1908, ces ondes radio transportent déjà la voix et la musique, grâce à Lee de Forest ! Deux ans plus tard, celui-ci retransmet même un opéra donné au Metropolitan Opera House à New York : c'est l'une des premières émissions de radio. En 1924, John Loggie Baird retransmet sur les ondes des images d'objets en mouvement, à la Royal Institution. Encore deux ans plus tard, il permet à un visage humain de s'afficher pour la première fois sur un écran de télévision via les ondes radio : la télévision hertzienne est née. Les techniques se perfectionnent tout au long du siècle et en particulier pendant la deuxième guerre mondiale : certaines des techniques du Wi-Fi sont d'ailleurs nées des recherches militaires.

Le premier véritable réseau numérique sans fil date de 1970 : cette année-là, des chercheurs de l'université d'Hawaï sous la direction de Norman Abramson réunissent les technologies radio et les technologies numériques de communication par paquets de données. Il s'agit du réseau sans fil AlohaNet. Pour la première fois, plusieurs ordinateurs sont reliés

entre eux grâce aux ondes radio. Ce réseau sans fil s'offre même le luxe d'une connexion par satellite à Arpanet, l'ancêtre de l'Internet créé en 1969⁴!

Les réseaux locaux sans fil sont en plein développement du fait de la flexibilité de leur interface, qui permet à un utilisateur de changer de place dans l'entreprise tout en restant connecté. Ces réseaux atteignent des débits de plusieurs mégabits par seconde, voire de plusieurs dizaines de mégabits par seconde. Bien que plusieurs de ces réseaux, tels Wi-Fi ou WiMax, ne soient pas directement des réseaux de la boucle locale, ils commencent à être utilisés pour recouvrir une ville ou une agglomération.

Les points suivants donnent une représentation de principaux réseaux disponibles ou en cours de normalisation à l'IEEE ou à l'ETSI. La norme IEEE 802.21 fait référence au passage d'une norme à une autre au milieu d'une communication, ce que l'on appelle un handover vertical.

1.2.2. Présentation du Wi-Fi (norme 802.11)

La norme IEEE 802.11 (ISO/IEC 8802.11) est un standard international décrivant les caractéristiques d'un réseau local sans fil ou WLAN. Le nom Wifi (contraction de Wireless Fidelity, parfois noté Wi-Fi) correspond initialement au nom donné à la certification délivré par la Wi-Fi Alliance, anciennement WECA (Wireless Ethernet Compatibility Alliance), organisme chargé de maintenir l'interopérabilité entre les matériels répondant à la norme 802.11.

Grâce au Wi-Fi, il est possible de créer des réseaux locaux sans fil à haut débit pour que la station à connecter ne soit pas trop distante par rapport au point d'accès. Dans la pratique, le Wi-Fi permet de relier des ordinateurs portables, des machines de bureau, des assistants personnels (PDA) ou tout type de périphérique à une liaison haut débit (11 Mbps ou supérieur) sur un rayon de plusieurs dizaines de mètres en intérieur (généralement entre une vingtaine et une cinquantaine de mètres) à plusieurs centaines de mètres en environnement ouvert.

1.2.3. Les différentes normes Wi-Fi

Les standards de l'IEEE (l'Institute of Electrical and Electronics Engineers), la normalisation du groupe de travail IEEE 802.11 pour les réseaux locaux par voie hertzienne, ou WLAN (Wireless Local Area Network) ont donné naissance au label de produits Wi-Fi. Les communications peuvent se faire soit directement de station à station, mais sans qu'une station puisse relayer les paquets vers une autre station terminale, soit en passant par une borne de concentration. Les débits s'échelonnent d'une dizaine à plusieurs dizaines de mégabits par seconde.

Le projet 802 divise le niveau physique en deux sous couches. La première est nommée contrôle d'accès au média, ou Medium Access Control (MAC). Elle est propre à chaque type de réseau. La seconde, nommée contrôle de la liaison logique, ou Logical Link

4 Aurélien Géron,Wifi professionnel. La norme 802.11, le déploiement, la sécurité. 3ème éd. Dunod, Paris, 2004, 2006, 2009, p. 3.

Control (LLC), est indépendante du type de réseau. Les différents thèmes de travaux sont répartis entre des groupes de travail. On peut citer, parmi eux⁵ :

La technique d'accès générique employée est le CSMA/CD (Collision Detection), utilisé dans les réseaux Ethernet. Toutefois, comme la détection de collision n'est pas possible dans un réseau hertzien, on recourt au CSMA/CA (Collision Avoidance). Pour éviter les collisions, plusieurs temporisateurs sont déterminés, chaque station possédant des valeurs de temporisateur qui lui sont propres. Lorsqu'une station écoute la porteuse et que le canal est vide, elle transmet avec une probabilité de collision quasiment nulle.

En effet, une collision entre deux stations émettant aléatoirement ne peut avoir lieu que si elles démarrent dans la même microseconde. À l'inverse, lorsqu'une transmission a lieu et que d'autres stations se mettent à l'écoute et y restent, la collision est inévitable. Pour empêcher la collision, il faut que les stations attendent avant de transmettre un temps aléatoire permettant de séparer leurs instants d'émission respectifs. Le débit maximal que peut espérer un utilisateur dans la première génération de réseaux Wi-Fi est théoriquement de 11 Mbit/s. En réalité, sur une fréquence partagée, la technique d'accès ne permet pas de dépasser 6 Mbit/s, même si le client est seul sur sa fréquence⁶.

1.2.4. Catégories de Wi-Fi

? Les réseaux de type Ad Hoc, où les stations communiquent directement entre elles ;

? Les réseaux de type Infrastructure, où les stations communiquent par le biais de points d'accès.

Plusieurs solutions de connectivité peuvent être envisagées. Soit la communication hertzienne s'effectue sur l'ensemble du site, et tous les terminaux sont connectés directement entre eux par un même point d'accès, encore appelé station de base ou borne d'accès, soit les communications s'effectuent à l'intérieur de microcellules de quelques dizaines de mètres de diamètre. Les points d'accès permettant aux terminaux de se connecter sont dans ce cas, reliés entre eux par un réseau filaire.

5 Philippe ATELIN, WiFi. Réseaux sans fil 802.11 : Technologie - Déploiement, Sécurisation, Seconde Ed., Paris, ENI, 2003, p. 9.

1.2.4.1. Réseaux personnels sans fils (WPAN)

Le réseau personnel (appelé également réseau individuel sans fils ou réseau domestique sans fils et noté WPAN pour Wireless Personal Area Network) concerne les réseaux sans fils d'une faible portée : de l'ordre de quelques dizaines de mètres. Ce type de réseau sert généralement à relier des périphériques (imprimante, téléphone portable, appareils domestiques,...) ou un assistant personnel (PDA, déjà expliqué) à un ordinateur sans liaison filaire ou bien à permettre la liaison sans fils entre deux machines très peu distantes. Il existe plusieurs technologies utilisées pour les WPAN, nous citons :

C'est la principale technologie WPAN, lancée en 1994, proposant un débit théorique de 1Mbps pour une portée maximale d'une trentaine de mètres à travers une liaison hertzienne. Elle possède l'avantage d'être très peu gourmande en énergie, ce qui la rend particulièrement adaptée à une utilisation au sein de petits périphériques, elle n'est pas spécialisé réseaux.

Au sein d'un réseau Bluetooth, un appareil sert de maître et jusque sept périphériques esclaves qui se partagent la bande passante. Il est possible, en théorie, de faire communiquer jusque dix groupes d'appareils. Sécurisée, cette connexion est transparente uniquement si les deux appareils se connaissent.

Elle est lancée en 1998 par le HomeRF Working Group (formé notamment par les constructeurs Compaq, HP, Intel, Siemens, Motorola et Microsoft) propose un débit théorique de 10 Mbps avec une portée d'environ 50 à 100 mètres sans amplificateur.

Elle permet d'obtenir des liaisons sans fil à très bas prix et avec une très faible consommation d'énergie, ce qui la rend particulièrement adaptée pour être directement intégrée dans de petits appareils électroniques (appareils électroménagers, hifi, jouets, ...).

Les liaisons infrarouges permettent de créer des liaisons sans fils de quelques mètres avec des débits pouvant monter à quelques mégabits par seconde. Cette technologie est largement utilisée pour la domotique (télécommandes), mais souffre toutefois des perturbations dues aux interférences lumineuses.

1.2.4.2. Réseaux locaux sans fils (WLAN)

Le réseau local sans fils (noté WPAN pour Wireless Local Area Network) est un réseau permettant de couvrir l'équivalent d'un réseau local d'entreprise, soit une portée d'environ une centaine de mètres. Il permet de relier entre eux les terminaux présents dans la zone de couverture. Il existe plusieurs technologies concurrentes, voici quelques-unes:

Elle est composée de plusieurs normes qui opèrent sur des fréquences radios différents. Elle permet de monter un réseau sans fil entre les différents équipements informatiques (PC, Consoles de jeu, PDA...) grâce au WIFI, nous pourrons partager nos fichiers et notre connexion ADSL avec nos proches sans l'encombrement des fils. Nous bénéficierons ainsi de tous les avantages du haut débit à n'importe quel endroit et n'importe quel moment.

C'est une norme européenne élaborée par l'ETSI (European Telecommunications Standards Institute). HiperLAN2 permet d'obtenir un débit théorique de 54 Mbps sur une zone d'une certaine de mètres dans la gamme de fréquence comprise entre 5150 et 5300 MHz. L'HyperLAN2 a une nette supériorité technique par rapport au Wifi, notamment en matière de qualité de service.

Figure I.5. La technologie HyperLAN2 ? Introduction aux CPL (Courants Porteurs en Ligne)

CPL, toute technologie qui vise à faire passer de l'information à bas débit sur les lignes électriques en utilisant des techniques de modulation avancées. Selon les pays, les institutions, les sociétés, les courants porteurs en ligne se retrouvent sous plusieurs mots-clés différents :

V' CPL (Courants Porteurs en Ligne) V' PLC (PowerLine Communications) V' PLT (PowerLine Telecommunication) V' PPC (Power Plus Communication)

1.2.4.3. Réseaux métropolitains sans fils (WMAN)

Il est connu sous le nom de Boucle Locale Radio (BLR). Les WMAN (Wireless Metropolitan Area Network) sont basés sur la norme IEEE 802.16. La boucle locale radio offre un débit utile de 1 à 10 Mbps pour une portée de 4 à 10 kilomètres, ce qui destine principalement cette technologie aux opérateurs de télécommunication.

1.2.4.4. Réseaux étendus sans fils (WWAN)

Ce réseau est également connu sous le nom de réseau cellulaire mobile. Il s'agit des réseaux sans fils les plus répandus, puisque tous les téléphones mobiles sont connectés à un réseau étendu sans fils. Les principales technologies sont les suivantes :

? GSM (global for mobile Communication ou en français Groupe Spécial Mobile) dont le débit est de 9 kbps ;

? UMTS (Universal Mobile Telecommunication System) dont le débit est de 1 Mbps.

Selon leur domaine d'application, on peut le ranger dans trois catégories : WPAN pour les micro-réseaux personnels, WLAN pour les réseaux locaux Ethernet, WMAN pour les réseaux à l'échelle d'une grande ville⁷.

1.2.5. Propagation des ondes radios

« Les ondes radioélectriques correspondent à des fréquences comprises entre 10 kHz et 2 GHz. Un émetteur diffuse ces ondes captées par des récepteurs dispersés géographiquement. Contrairement aux faisceaux hertziens, il n'est pas nécessaire d'avoir une visibilité directe entre émetteur et récepteur, car celui-ci utilise l'ensemble des ondes réfléchies et diffractées. En revanche, la qualité de la transmission est moindre car les interférences sont nombreuses et la puissance d'émission beaucoup plus faible⁸».

Il est nécessaire d'avoir une culture minimum sur la propagation des ondes hertziennes afin de pouvoir mettre en place une architecture réseau sans fil, et notamment de disposer les bornes d'accès (point d'accès) de telle façon à obtenir une portée optimale. Les ondes radio (notées RF pour Radio Frequency) se propagent en ligne droite dans plusieurs directions. La vitesse de propagation des ondes dans le vide est de 3.10⁸mps. Dans tout autre milieu, le signal subit un affaiblissement dû à :

? La réflexion, lorsqu'une onde radio rencontre un obstacle, tout ou partie de l'onde est réfléchie, avec une perte de puissance. La réflexion est telle que l'angle d'incidence est égal à l'angle de réflexion.

? La réfraction, c'est la déviation de l'onde lors d'un changement de milieu;

7 Jean-Luc MONTAGNIER, Réseaux d'entreprise, par la pratique, édition Eyrolles, Paris, 2008, p. 84.

8 Danièle DROMARD et Dominique SERET, Architecture des réseaux, Synthèse des cours & exercices corrigés, Université Pierre et Marie Curie (Paris 6) & Université René Descartes (Paris 5), 2009, p. 13.

? La diffraction, lorsqu'une onde arrive sur un obstacle, elle se retrouve divisée (éparpillée) en plusieurs ondes ;

? L'absorption, lorsqu'une onde radio rencontre un obstacle, une partie de son énergie est absorbée et transformée en énergie, une partie continuera à se propager de façon atténuée et une partie peut éventuellement être réfléchie (réflexion).

1.2.6. Les équipements Wi-Fi

Il existe plusieurs équipements pour la mise en place d'un réseau sans fil, nous citons quelques-uns:

? Les adaptateurs sans fil ou cartes d'accès (en anglais Wireless adapters ou Network Interface Controller, noté NIC) : il s'agit d'une carte réseau à la norme 802.11 permettant à une machine de se connecter à un réseau sans fil. Les adaptateurs WiFi sont disponibles dans des nombreux formats (carte PCI, carte PCMCIA, adaptateur USB, carte CompactFlash,...). Tout équipement possédant une telle carte réseau est appelé « station ».

? Les points d'accès (notés AP pour Access Point, parfois appelés bornes sans fil) permettent de donner un accès au réseau filaire aux différentes stations avoisinantes équipées de cartes Wifi. Certains points d'accès peuvent être alimentés en lignes (à travers le câble réseau). Ceci permet d'en faciliter le câblage. Les points d'accès sont de plusieurs types :

V' AP pont vers un réseau filaire : Un pont est en général assez malin pour ne relayer vers le réseau filaire que le trafic qui doit l'être et vice versa.

V' AP répétiteur : Il peut être relié sans fil à un ou plusieurs autres AP et étendre ainsi la couverture d'un réseau sans fil sans avoir à être relié directement au réseau filaire.

V' AP routeur : Il s'agit d'un produit deux en un : un AP et un routeur IP classique, permettant de connecter le réseau sans fil à Internet ou bien à un autre réseau IP. Il possède les fonctions habituelles d'un routeur, telles qu'un serveur DHCP, un pare-feu ou encore le NAT.

V' Hotspot-in-a-box : C'est un AP routeur intégrant un contrôleur d'accès pour hotspot. Il peut mettre en oeuvre des fonctions avancées telles que l'authentification des clients par portail captif en HTTPS (éventuellement en interrogeant un serveur RADIUS ou LDAP), la transparence SMTP ou proxy, etc.

1.2.7. Modes opératoires ? Le mode ad hoc :

Ce mode est également baptisé point à point, ou ensemble des services de base indépendants. Ce mode permet de créer rapidement et simplement un réseau sans fil là où il n'existe pas d'infrastructure filaire ou encore là où une telle infrastructure n'est pas nécessaire pour les services attendus.

Avec le WiFi, il est possible de construire de simples liens sans fil, d'un point à un autre, à haut débit. Ceci est utile pour relier entre eux deux sites difficilement joignables par voie filaire, comme deux bâtiments d'une entreprise. La distance maximale entre les deux bâtiments dépend du débit que l'on souhaite garantir (plus la distance sera grande, plus le débit sera faible) et de la bande de fréquence choisie, mais on peut atteindre plusieurs mégabits par seconde jusqu'à 2 à 3 kilomètres en vision directe, c'est-à-dire sans obstacle sur l'axe ou proche de l'axe entre l'émetteur et le récepteur⁹.

Le réseau sans fil consiste au minimum en un point d'accès connecté à l'infrastructure du réseau filaire et un ensemble de postes réseaux sans fils. Cette configuration est baptisée Basic Service Set (BBS, ou ensemble des services de base). Il s'agit généralement du mode par défaut des cartes 802.11b.

L'interface réseau est responsable de la lumière dont un client s'associe à un point d'accès. Lorsqu'un client 802.11 entre dans le rayon d'action d'un ou plusieurs points d'accès, il choisit l'un de ces points pour s'y connecter en fonction de la puissance du signal, des taux d'erreurs observés dans la transmission des paquets, et de la charge. Une fois accepté par le

point d'accès, le client règle son canal radio sur celui du point d'accès. Périodiquement, il explore tous les canaux 802.11 pour déterminer si un autre point d'accès est susceptible de lui offrir des performances supérieures. S'il détermine que c'est le cas, il s'associe au nouveau point d'accès, se réglant sur le canal radio de ce point d'accès.

Figure I.10. Associations, architectures cellulaires et itinérance 1.2.8. Programmation des canaux

Pour une transmission de 11 Mbps correcte, il est nécessaire de transmettre sur une bande de 22 MHz car, d'après le théorème de Shannon, la fréquence d'échantillonnage doit être au minimum égale au double du signal à numériser.

1.2.9. La portée et les débits

L'IEEE 802.11b définit un débit de transmission allant jusqu'à 11 Mbps. Ils communiquent donc par les structures d'un bâtiment et qu'elles peuvent se réfléchir pour contourner les obstacles. Le débit du WLAN dépend de plusieurs facteurs, qui sont les suivants :

Ils réduisent en pratique la bande passante de 4 à 5 Mbps. Bien entendu, tout ceci affecte le trafic des données sur les portions filaires du réseau.

1.2.10. Les applications du Wifi ? Les Hotspots

Un hotspot est un point d'accès sans fil à Internet (ou plus généralement à des services web), ou lieu public où l'on peut se connecter à un réseau sans fil (selon le Jargon Informatique). Il s'apparente donc à un cybercafé, le client l'utilise pour connecter son propre ordinateur équipé de la technologie WiFi (ou son « Smartphone » compatible WiFi, comme l'iPhone par exemple). Ceci lui permet de conserver, d'un hotspot à un autre, le même

environnement de travail : le sien. On trouve des hotspots dans de nombreux sites où transitent des hommes d'affaires équipés d'ordinateurs portables : des aéroports, des gares, des hôtels, des centres de conférence, mais aussi des cafés, des restaurants, des universités et plus généralement presque tout type de lieu public.¹⁰

Une des preuves de la maturité du WiFi est le fait qu'on l'utilise pour faire davantage que de simples réseaux : l'industrie emploie de plus en plus d'applications variées qui reposent sur le WiFi. En voici quelques-unes des plus significatives :

y' Les inventaires : des PDA, Smartphones ou Tablet PC sont équipés d'une connexion WiFi et permettent ainsi aux employés de réaliser des inventaires qui sont enregistrés en temps réel dans la base de données de l'entreprise. Ceci peut être utile pour les inventaires d'une grande surface, par exemple, pour gagner du temps.

y' Le positionnement : des logiciels installés sur des PDA équipés en WiFi permettent, en mesurant la puissance du signal radio provenant des différentes antennes WiFi voisines, de positionner avec une relative précision (moins de 2 mètres) le porteur du PDA, moyennant un étalonnage initial assez simple.

y' La voix : l'une des grandes promesses du Wi-Fi est sa capacité à gérer les communications audionumériques grâce aux technologies de voix sur IP (Voice over Internet Protocol, VoIP). Lorsque la VoIP est réalisée sur un réseau sans fil, on parle parfois de VoWIP (le « W» vient de Wireless), mais la technologie est absolument identique. Déjà, des sociétés proposent des téléphones VoWIP, reliés à notre réseau grâce au Wi-Fi.

1.2.11. Les standards de l'IEEE

La normalisation du groupe de travail IEEE 802.11 pour les réseaux locaux par voie hertzienne, ou WLAN (Wireless Local Area Network) a donné naissance au label de produits Wi-Fi. Les communications peuvent se faire soit directement de station à station, mais sans qu'une station puisse relayer les paquets vers une autre station terminale, soit en passant par une borne de concentration. Les débits s'échelonnent d'une dizaine à plusieurs dizaines de mégabits par seconde.

1.2.12. Les avantages et les inconvénients

? La facilité de déploiement ; ? Le faible coût d'acquisition ; ? La mobilité.

De plus, le Wi-Fi est interopérable avec les réseaux filaires existants et garantit une grande souplesse sur la topologie du réseau. La principale qualité du Wi-Fi est la simplicité. De plus, les fréquences exploitées par ses techniques de transmission sont d'usage libre et ne nécessitent pas de licence. Ainsi, tout le monde peut mettre en oeuvre un réseau de ce type, sans toutefois outrepasser certaines règles, qui seront exposées plus tard. Faire communiquer des

appareils en Wi-Fi ne présente pas de difficultés et ne demande qu'un minimum de connaissances.

Malheureusement, le principal inconvénient provient du support lui-même, l'onde radio, et de l'utilisation anarchique des fréquences utilisées. En effet, les limites de communication sont plus difficilement maîtrisables que celles d'un réseau filaire. Et bien souvent, par manque de compétence, la personne qui déploie le réseau n'est pas sensible à cette notion. Potentiellement, les ondes peuvent aller polluer les communications d'un réseau voisin, qui devient moins performant.

Conclusion partielle

Dans ce chapitre, nous avons commencé par un rappeler les réseaux informatiques, les termes et concepts fondamentaux des réseaux : les couches de protocoles, le modèle OSI, TCP/IP, et les principaux types de réseaux : PAN, LAN, MAN, WAN et leurs variantes sans fil, dont le WLAN (ou RLAN si la technologie est la radio).

Nous avons ensuite donné un aperçu historique des ondes radio, les principales applications du Wi-Fi : réseau d'entreprise, réseau familial, hotspots, réseau communautaire, connexion de point à point, inventaires, positionnement ou voix sur IP.

Nous avons présenté différentes catégories de matériels Wi-Fi : les adaptateurs, les points d'accès, les périphériques, les antennes, etc. pour le déploiement Wi-Fi. Les adaptateurs mettent en oeuvre le 802.11 pour permettre à un équipement de communiquer en Wi-Fi. Ils se présentent sous diverses formes : cartes PCMCIA, PCI ou encore Compact Flash, bundles ou sticks USB, petits boîtiers à connecter au port Ethernet, etc. Nous avons présenté les différents points d'accès : AP pont vers un réseau filaire, AP répétiteur, AP routeur et Hotspot-in-a-box. Les modes opératoires : ad hoc ou point à point, le mode infrastructure.

Enfin, nous avons également présenté les différentes applications Wi-Fi, le standard IEEE et, les avantages et inconvénients du Wi-Fi. Le chapitre (deuxième) suivant passera en revue la sécurité du réseau sans fil et le standard 802.1x.

Ce chapitre présente, les différentes solutions proposées pour sécuriser le Wi-Fi. Ces solutions ne proposent pas simultanément facilité d'utilisation et sécurité renforcée. Au cours de ce deuxième chapitre, nous commencerons par définir ce qu'est la sécurité dans un environnement sans fil, et nous ferons le tour de différentes attaques et leurs solutions de sécurité existantes. Nous détaillerons les plus importantes d'entre elles. Ce chapitre a pour but de présenter rapidement les mécanismes et la mise en oeuvre du WEP, entre autres pour nous convaincre de ses défauts, mais surtout pour mieux comprendre le WPA. Le but du protocole EAP qui est d'identifier et d'« authentifier » les utilisateurs (c'est-à-dire vérifier leur identité) avant de les laisser rentrer sur le réseau.

Enfin, nous parlerons du serveur RADIUS, ses différentes fonctions : l'authentification des utilisateurs, la définition de leurs autorisations et la comptabilisation de leur connexion.

2.1. Introduction à la sécurité

Les réseaux locaux sans fil (WLAN) envahissent notre quotidien, car la valeur ajoutée qu'ils offrent aux utilisateurs, à un coût raisonnable, est incontestable. Comme ces réseaux possèdent des frontières à géométrie variable et surtout difficilement contrôlables, il est indispensable de les protéger. Cependant, les mécanismes de sécurisation du Wi-Fi, tels que WEP sont très facilement cassables en téléchargeant des logiciels sur Internet, et la simplicité de déploiement, et le coût réduit des WLAN font que beaucoup d'individus installent ce type de réseaux, mais oublient de les administrer et les sécuriser.

2.1.1. Définition de la sécurité

Définition de base: La sécurité informatique c'est l'ensemble des moyens mis en oeuvre pour minimiser la vulnérabilité d'un système contre des menaces accidentelles ou intentionnelles¹¹.

La première fonction d'un système d'information est de stocker et de permettre l'échange de données. Sécuriser un réseau consiste donc à prendre en compte tous les risques possibles, tels que les attaques volontaires, les accidents, les défauts logiciels ou matériels, ou encore les erreurs humaines et à les réduire autant que possible¹².

La politique de sécurité informatique fixe les principes visant à garantir la protection des ressources informatiques et de télécommunications en tenant compte des intérêts de l'organisation et de la protection des utilisateurs.

Les ressources informatiques et de télécommunications doivent être protégées afin de garantir confidentialité, intégrité et disponibilité des informations qu'elles traitent, dans le respect de la législation en vigueur.

11 Michée K., Cours de sécurité informatique, L1 et L2 Réseaux, U.KA, 2017-2018. p. 11.

12 Yannick T. et Marcel K., Notes de cours de transmission de données et sécurité

informatique, première Licence Génie Informatique, UNIVERSITE DE MBUJIMAYI, 2016 - 2017, p. 35.

2.1.1.1. Les qualités CID13

Trois qualités fondamentales sont à prendre en compte pour un réseau sécurisé. On les appelle les qualités CID (d'après leurs initiales), Un réseau sécurisé assure la confidentialité, l'intégrité et la disponibilité des données:

? La confidentialité : l'accès aux données (et d'une façon générale aux ressources gérées par le système) doit être réservé aux personnes autorisées. Cela suppose un mécanisme d'identification des utilisateurs, la définition de règles d'accès, et la protection des données pendant leur transport, par le biais d'un cryptage.

? L'intégrité : les données ne doivent pas être modifiées ou perdues. Il faut en particulier pouvoir s'assurer que ce qui est reçu correspond bien à ce qui a été envoyé.

? La disponibilité : le réseau doit être accessible en tout temps et dans des conditions acceptables.

À ces trois qualités, s'ajoutent ceux qui permettent de prouver l'identité des entités (notion d'authentification) et ceux qui indiquent que des actions ou événements ont bien eu lieu (notions de non-répudiation, d'imputabilité, voire de traçabilité).

2.1.2. Les attaques d'un réseau

Lorsqu'un point d'accès est installé sur le réseau local, il permet aux stations d'accéder au réseau filaire et éventuellement à Internet si le réseau local y est relié. Un réseau sans fils, non-sécurisé, représente de cette façon un point d'entrée royal pour le pirate au réseau interne d'une entreprise ou d'une organisation. Outre le vol ou la destruction d'informations présentes sur le réseau et l'accès à internet gratuit pour le pirate, le réseau sans fils peut également représenter une possibilité pour ce dernier dans le but de mener des attaques sur Internet.

2.1.2.1. Types de programmes malveillants14

Il existe une quantité phénoménale des programmes indésirables. Tous ces programmes portent le nom générique de "malware". Mais sous cette appellation se cache des familles bien différentes les unes des autres. Nous allons les détailler afin d'y voir un peu plus clair dans cette jungle :

? Virus : Un virus est un logiciel capable de s'installer sur un ordinateur à l'insu de son utilisateur légitime.

? Ver : Un ver (worm) est une variété de virus qui se propage par le réseau.

? Cheval de Troie : Un cheval de Troie (Trojan horse) est un logiciel qui se présente sous un jour honnête, utile ou agréable, et qui une fois installé sur un ordinateur y effectue des actions cachées et pernicieuses.

? Porte dérobée : Une porte dérobée (backdoor) est un logiciel de communication caché, installé par exemple par un virus ou par un cheval de Troie, qui donne à un agresseur extérieur accès à l'ordinateur victime, par le réseau.

? Bombe logique : Une bombe logique est une fonction, cachée dans un programme en apparence honnête, utile ou agréable, qui se déclenchera à retardement, lorsque sera

14 Laurent B. et Christophe W., Sécurité informatique Principes et méthode à l'usage des DSI, RSSI et administrateurs, Éditions Eyrolles, Paris, 2007, p. 55-61.

15 Cédric L., Laurent L., Denis V., Tableaux de bord de la sécurité réseau, 2^ème éd., Eyrolles, Paris, 2006, p. 29.

atteinte une certaine date, ou lorsque surviendra un certain événement. Cette fonction produira alors des actions indésirées, voire nuisibles.

? Logiciel espion : Un logiciel espion, comme son nom l'indique, collecte à l'insu de l'utilisateur légitime des informations au sein du système où il est installé, et les communique à un agent extérieur, par exemple au moyen d'une porte dérobée.

? Courrier électronique non sollicité (spam) : Le courrier électronique non sollicité (spam) consiste en « communications électroniques massives, notamment de courrier électronique, sans sollicitation des destinataires, à des fins publicitaires ou malhonnêtes », selon Wikipédia.

2.1.2.2. Les risques sur un réseau Wi-Fi

Les risques liés à la mauvaise protection d'un réseau sans fils sont multiples : ? L'interception des données :

Par défaut un réseau sans fils est non sécurisé, c'est-à-dire qu'il est ouvert à tous et que toute personne se trouvant dans le rayon de portée d'un point d'accès peut potentiellement écouter toutes les communications circulant sur le réseau. Pour un particulier la menace est faible car les données sont rarement confidentielles, si ce ne sont pas les données à caractères personnel. Pour une entreprise en revanche, l'enjeu stratégique peut être très important.

Les ondes radios sont très sensibles aux interférences, c'est la raison pour laquelle un signal peut facilement être brouillé par une émission radio, ayant une fréquence proche de celle utilisée dans le réseau sans fils. Un simple four à micro-ondes peut ainsi rendre totalement inopérable un réseau sans fils lorsqu'il fonctionne dans le rayon d'action d'un point d'accès.

Le "Denial-of-service" ou déni de service est une attaque très évoluée visant à rendre muette une machine en la submergeant de trafic inutile. Il peut y avoir plusieurs machines à l'origine de cette attaque (c'est alors une attaque distribuée, voir fiche DDoS) qui vise à anéantir des serveurs, des sous-réseaux, etc. D'autre part, elle reste très difficile à contrer ou à éviter¹⁵. Le déni de service a plusieurs buts possibles :

? Le vandalisme gratuit ou intéressé (quand il est réalisé par un concurrent, par exemple);

Le pirate peut faire une attaque DoS assez brève dans le but de déconnecter des utilisateurs pour les forcer à se reconnecter quelques instants après. Le but est alors d'essayer de subtiliser leurs mots de passe pour pouvoir faire plus tard une attaque d'intrusion.

2.1.2.3. Le wardriving

Etant donné qu'il est très facile de réaliser des « écoutes » sur les réseaux sans fils, une pratique simple consiste à se promener en voiture avec une antenne WiFi et à noter la

position et les caractéristiques de tous les AP que l'on puisse trouver, il s'agit du wardriving (Que l'on peut traduire par : la guerre en voiture)¹⁶. Des logiciels (NetStumbler) spécialisés dans ce type d'activité, permettant même d'établir une cartographie très précise en exploitant un matériel de géolocalisation (GPS= Global Positionning System).

2.1.2.4. L'intrusion

Une intrusion réussie permet au pirate de se comporter exactement comme un utilisateur normal: au point qu'il est souvent difficile de s'apercevoir qu'une intrusion a eu lieu ou même qu'elle est en cours, car tout se passe comme si un utilisateur normal accédait au système. Il s'agit donc d'une attaque extrêmement dangereuse.

L'intrusion est bien sûr tout à fait triviale si aucune sécurité n'est mise en oeuvre : il suffit de s'associer normalement à l'un des AP du réseau, et le tour est joué. En revanche, si l'association impose un mécanisme d'identification avant d'autoriser l'ouverture d'une session sur le réseau, le pirate aura essentiellement deux options :

? Ouvrir une nouvelle session en se faisant passer pour un utilisateur légitime ; ? Détourner une session existante (hijacking).

Idéalement, les mots de passe des utilisateurs doivent être assez longs et complexes pour qu'il soit impossible de les deviner en quelques tentatives, le système doit détecter et bloquer les attaques de dictionnaire en ligne, et il doit également utiliser un protocole d'authentification invulnérable aux attaques de dictionnaire hors ligne.

2.1.2.5. La modification des messages

Un autre type d'attaque est la modification des messages échangés, à l'insu des interlocuteurs. On peut facilement voir les conséquences désastreuses que cela peut avoir : imaginez que votre lettre d'amour soit remplacée par une lettre d'insultes ! Un autre exemple, plus sérieux : imaginons qu'un employé souhaite effacer un fichier sur un serveur : il envoie alors une requête à ce serveur demandant à effacer le fichier choisi. À ce moment précis, un pirate intercepte la requête et parvient à la modifier en remplaçant le nom du fichier à effacer par un autre. On peut imaginer une foule d'autres exemples de ce type.

2.1.2.6. Les attaques MiM

C'est un type d'attaque, lors de laquelle, un pirate place sa machine sur le chemin logique entre deux autres machines qu'il veut attaquer. Une fois dans cette position, il peut alors lancer un grand nombre d'attaques, particulièrement dangereuses. Il y a plusieurs types d'attaques pour devenir « man in the middle ».

Moins connue, mais tout aussi efficace, cette attaque permet de détourner le trafic entre deux stations. Imaginons un client C communiquant avec un serveur S. Un pirate peut détourner le trafic du client en faisant passer les requêtes de C vers S par sa machine P, puis transmettre les requêtes de P vers S. Et inversement pour les réponses de S vers C.

Totalement transparente pour le client, la machine P joue le rôle de proxy. Il accédera ainsi à toutes les communications et pourra en obtenir les informations sans que l'utilisateur s'en rende compte¹⁷.

2.1.3. Les premières solutions

2.1.3.1 Limiter les débordements

Une première mesure de protection contre les attaques du réseau sans fil consiste à s'assurer que les ondes radio ne débordent pas (ou peu) sur l'extérieur de l'entreprise. Ce n'est évidemment pas une énorme protection mais elle limite la tentation des curieux ou le fait que votre réseau figure dans les cartes de WarDriving sur Internet!

Cette protection doit être pensée au moment de l'audit de site et du déploiement, en positionnant correctement les AP pour que le niveau du signal soit très faible à l'extérieur des locaux.

2.1.3.2. Éviter les AP pirates

Même si le réseau est parfaitement sécurisé, il suffit qu'un seul employé ait la mauvaise idée d'installer un AP non sécurisé et de le connecter au réseau filaire pour que toute la sécurité soit anéantie. À ce sujet, il faut rappeler que l'une des principales raisons pour lesquelles les employés peuvent être tentés d'installer des AP pirates est qu'ils ne captent pas correctement le signal WiFi du réseau sans fil ou ne savent pas comment s'y connecter. Une façon de sécuriser le réseau est donc de mettre en place un réseau WiFi de bonne qualité, avec une couverture dans l'ensemble des locaux et une capacité suffisante et d'informer correctement les employés.

2.1.3.3. La supervision radio

Il peut également être intéressant d'installer des sondes WiFi ou d'exploiter les fonctions de supervision radio offertes par certains AP, pour détecter les AP non sécurisés. La supervision radio peut permettre de détecter des AP non sécurisés, voire même certains types d'attaques WiFi, comme par exemple le spoofing d'adresse MAC ou certaines attaques DoS. Bien entendu, ce n'est qu'une mesure palliative, et non préventive : elle ne peut pas être utilisée seule. Un réseau WiFi bien sécurisé est aussi un réseau bien supervisé.

2.1.3.4. Masquer le SSID

Puisque toute requête d'authentification doit contenir le bon SSID, on voit qu'un premier niveau de sécurité pour un réseau WiFi consiste à configurer les points d'accès pour qu'ils ne diffusent pas leur SSID. Si quelqu'un ne connaît pas le SSID du réseau, il ne parviendra pas à s'y associer.

Un passant équipé d'un matériel WiFi classique ne saura pas qu'un réseau sans fil se trouve à proximité ou en tout cas ne saura pas s'y associer facilement. Toutefois, il ne s'agit que d'une protection très faible, car il suffit de sniffer les ondes radio au moment où un utilisateur légitime se connecte : le SSID se trouve alors en clair dans sa requête d'association.

En outre, chaque utilisateur légitime devra saisir manuellement le SSID du réseau sur son ordinateur. Bref, cette mesure apporte plus d'inconvénients que d'intérêts.

2.1.3.5. Le filtrage par adresse MAC

Bien que cela ne soit pas officiellement dans la norme 802.11, rien n'empêche à un AP de vérifier si l'adresse MAC de la station qui cherche à s'authentifier se trouve bien dans une liste d'adresses MAC autorisées. En effet, l'adresse MAC d'une station est présente dans tous les paquets qu'elle émet, et donc en particulier dans la requête d'authentification. On pourra, par exemple, n'autoriser que les adresses MAC des machines de l'entreprise. Ce type d'authentification peut être employé en complément d'un autre type d'authentification (WEP, WPA, WPA2...).

De nombreux AP disposent de cette fonction de filtrage par adresse MAC. Les adresses autorisées sont souvent stockées dans chaque AP, ce qui signifie qu'il faut modifier tous les AP lorsque l'on souhaite ajouter ou retirer une adresse MAC. Le filtrage par adresse MAC a deux inconvénients majeurs¹⁸:

? Il est assez lourd à mettre en oeuvre pour une moyenne ou grosse entreprise car il faut conserver la liste des adresses MAC de tous les équipements susceptibles de se connecter au réseau sans fil ;

? Plus grave encore, il est assez simple pour un pirate de sniffer le réseau, de noter les adresses MAC d'utilisateurs légitimes, puis de « spoofer » (imiter) une adresse MAC légitime. Bref, cela ne sert qu'à arrêter les petits pirates et les simples curieux.

Avec ces deux inconvénients, on peut affirmer que le filtrage par adresse MAC ne vaut pas vraiment la peine d'être mis en oeuvre.

2.1.3.6. Les VLAN

Si les AP le permettent (ou les commutateurs auxquels ils sont reliés), il est bon d'associer le trafic sans fil à un VLAN particulier. Ceci facilitera par la suite la maintenance et l'administration du réseau car tout le trafic provenant du réseau sans fil sera clairement identifié¹⁹.

En outre, certains AP peuvent associer un utilisateur donné à un VLAN particulier au moment de l'identification (grâce au protocole RADIUS que nous étudierons au point suivant).

2.1.3.7. Le cryptage WEP

Première solution de cryptage à avoir été standardisée par l'IEEE, Wired Equivalent Privacy (WEP) signifie « sécurité équivalente au filaire ». Malheureusement, dans la pratique, la solution WEP ne s'est pas montrée à la hauteur de sa définition : à peine quelques mois après sa publication, des failles importantes ont été découvertes dans le WEP et exploitées presque immédiatement dans des attaques contre des réseaux WiFi. Des outils sont même disponibles gratuitement sur Internet qui permettent de casser la clé WEP, c'est-à-dire, en possédant suffisamment de paquets cryptés, de retrouver quelle clé WEP a servi au cryptage. Il suffit alors

à un pirate de configurer son propre adaptateur avec cette clé WEP pour rendre le cryptage tout à fait inutile. Aujourd'hui, il est fort conseillé d'abandonner le WEP au profit du WPA ou du WPA2²⁰.

2.1.3.8. Isoler le réseau sans fil

On peut choisir de traiter les utilisateurs du réseau sans fil comme s'ils venaient d'Internet. Pour ce faire, on peut connecter les AP dans la DMZ (zone démilitarisée) de la passerelle d'accès à Internet ou simplement relier le réseau sans fil à une connexion à Internet complètement indépendante du réseau filaire. De cette façon, si un pirate parvient à se connecter au réseau sans fil, il ne pourra pas pour autant rentrer sur le réseau filaire. Ce réseau sans fil isolé du réseau est présenté à la Figure 2.1.

Cette stratégie est efficace pour protéger le réseau local, mais elle présente plusieurs inconvénients²¹ :

? Pour les employés, le réseau sans fil ne sert qu'à accéder à Internet (ou à se connecter entre eux) : il n'est pas possible d'accéder au réseau filaire, à moins d'établir un tunnel VPN (voir le paragraphe suivant) ;

? Les employés connectés sans fil sont en contact direct avec Internet et peuvent plus facilement être attaqués depuis Internet. Il faut donc installer un deuxième pare-feu (éventuellement intégré dans chaque AP) pour protéger les employés ;

? Un pirate peut toujours attaquer les utilisateurs connectés au réseau sans fil. Pour éviter cela, certains AP peuvent être configurés pour interdire toute communication entre les utilisateurs sans fil. Malheureusement, les employés ne pourront plus communiquer entre eux. Cela n'empêche toutefois pas le pirate d'espionner les communications ;

? S'il parvient à s'associer à un AP, un pirate peut abuser de la connexion à Internet. Pour limiter ce risque, l'AP peut être relié à un pare-feu (encore une fois, il peut être intégré dans l'AP) et à un système de contrôle de la navigation Internet.

2.1.3.9. Les réseaux privés virtuels

Pour permettre aux employés d'accéder tout de même au réseau de l'entreprise lorsque le réseau sans fil est isolé comme nous venons de le voir, il est possible de mettre en place un Réseau Privé Virtuel (RPV), plus connu sous le nom de Virtual Private Network (VPN). Cela consiste à mettre en place un serveur VPN entre les AP et le réseau local.

Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût. Il repose sur un protocole, appelé « protocole de tunnelisation (tunneling) », c'est-à-dire un protocole permettant aux données passant d'une extrémité du VPN à l'autre, d'être sécurisées par des algorithmes de cryptographie²². Il existe même des AP qui intègrent un serveur VPN. Le serveur VPN permet aux employés de créer des « tunnels » de communication sécurisés, établis au niveau des couches 2 (L2TP) ou 3 (PPTP, IPSec...), voire dans des couches supérieures (SSH, SSL...).

Toutefois, isoler le réseau sans fil et obliger les utilisateurs à passer par des tunnels VPN pose quelques problèmes :

y' Les solutions VPN du marché peuvent coûter assez cher et sont parfois complexes à mettre en oeuvre. Il faut être très attentif à leur configuration pour éviter des failles de sécurité ;

y' Il faut bien choisir la solution VPN, car toutes n'offrent pas nécessairement un bon niveau de sécurité : la solution PPTP n'est pas considérée comme très robuste ;

y' Tout le trafic doit passer par un serveur VPN qui ne gère souvent qu'un nombre limité de connexions simultanées ;

y' En passant par un tunnel VPN, le débit est parfois réduit et le temps de latence augmenté;

y' Il n'est pas très pratique pour l'employé d'avoir à établir deux connexions (association WiFi puis connexion VPN) avant de pouvoir profiter du réseau.

Malgré ces défauts, la solution VPN était la seule à, réellement, offrir un niveau important de protection avant l'arrivée du WPA et duWPA2. Si le matériel WiFi ne gère pas le WPA ou leWPA2 ou si VPN est déjà en place, cette solution est sans doute l'une des plus appropriées. Les réseaux VPN n'ont rien de spécifique au WiFi. De plus, mettre en place un réseau VPN est assez complexe et demanderait un ouvrage complet. Pour toutes ces raisons et sachant que le WPA et le WPA2 sont d'excellentes alternatives, nous ne détaillerons pas davantage les VPN.

22 Jean-François P., Jean-Philippe B., Tout sur la sécurité informatique, 3^ème éd., Dunod, Paris, 2013, p. 150.

2.1.4. Le WPA

Le WPA repose sur le cryptage Temporal Key Integrity Protocol (TKIP) qui a été conçu de telle sorte qu'il soit possible de le mettre en oeuvre dans les AP existants, par le biais d'une simple mise à jour de firmware (le microprogramme contenu dans l'AP). Tout en reposant encore sur l'algorithme RC4, comme le WEP, il corrige toutes les failles du WEP et peut être considéré comme très robuste. Toutefois, il n'a été défini que pour servir de transition vers le 802.11i, qui est la solution la plus sûre.

2.1.5. Le WPA2 (802.11i)

À la suite de WEP, les méthodes de protection WPA (Wi-Fi Protected Access) ainsi que sa version améliorée WPA2 ont vu le jour. La spécification exacte de WPA2 est inscrite dans le standard 802.11i. La différence principale entre WPA et WPA2 réside dans l'algorithme de chiffrement (RC4 pour WPA et AES pour WPA2). Le 802.11i permet d'utiliser un nouvel algorithme de cryptage, l'Advanced Encryption Standard (AES), qui est sans doute l'un des algorithmes les plus puissants aujourd'hui. Malheureusement, l'AES est plus exigeant en puissance de calcul que le RC4.²³.

2.2. Le standard 802.1x

2.2.1. Introduction au 802.1x24

Le standard 802.1x est une solution de sécurisation, mise au point par l'IEEE en juin 2001, permettant d'authentifier (identifier) un utilisateur souhaitant accéder à un réseau (filaire ou non) grâce à un serveur d'authentification.

Le 802.1x repose sur le protocole EAP (Extensible Authentication Protocol), défini par l'IETF, dont le rôle est de transporter les informations d'identification des utilisateurs. Le protocole d'authentification EAP (Extensible Authentication Protocol) a été défini par l'Internet Engineering Task Force (IETF). Avant de parler d'EAP, un petit mot sur l'IETF s'impose.

23 Michael Kofler, Linux Installation, configuration et administration des systèmes Linux, 8ème éd., Le campus, Paris, juillet 2007, p. 516.

Le protocole EAP est une extension du protocole PPP, un protocole utilisé pour les connexions à Internet, à distance (généralement, via un modem RTC classique) et permettant, notamment, l'identification des utilisateurs sur le réseau. Contrairement, à PPP, le protocole EAP permet d'utiliser différentes méthodes d'identification et son principe de fonctionnement rend très souple l'utilisation de différents systèmes d'authentification²⁵.

Les principales méthodes d'authentification EAP sont EAP/MD5 (mot de passe), EAP/MS-CHAP-v2 (mot de passe), EAP/OTC (mot de passe), EAP/GTC (carte à jeton), EAP/SIM (carte SIM) et EAP/TLS (certificat électronique).

Par ailleurs, trois autres méthodes EAP ont pour but de protéger une authentification EAP au sein d'un tunnel sécurisé : EAP/PEAP, EAP/TTLS et EAP/FAST.

2.2.2.1. Le fonctionnement d'EAP

En général, le principe d'EAP est très simple : si un client (c'est-à-dire un utilisateur) cherche à accéder au réseau, un contrôleur d'accès lui barrera le chemin jusqu'à ce qu'il s'identifie auprès du serveur d'authentification. Le contrôleur d'accès sert d'intermédiaire pour la communication entre le client et le serveur d'authentification. Il n'a pas besoin de comprendre quoi que ce soit à cette communication, à l'exception du résultat final (le succès ou échec de l'authentification) qui le décidera à ouvrir la porte du réseau ou à la laisser fermer. S'il l'ouvre, l'ensemble des trafics du client vers le réseau passera par lui. Dans le cadre du WiFi, lorsque le 802.1x est utilisé, chaque AP est un contrôleur d'accès (Figure 2.3).

Lors de l'authentification EAP, le contrôleur d'accès n'est qu'un simple intermédiaire entre l'utilisateur et le serveur. Dès que l'utilisateur est bien authentifié par le serveur, le contrôleur d'accès le laisse passer vers le réseau.

Un exemple de configuration. Pour illustrer l'architecture EAP, voici un exemple de configuration possible dans un contexte WiFi (Figure 2.4.) :

Le client possède un logiciel de connexion fourni avec son adaptateur WiFi. Ce logiciel est compatible avec le 802.1x (donc avec l'EAP) et supporte deux méthodes d'authentification : PEAP/MS-CHAP-v2 et EAP/TLS.

Le contrôleur d'accès est un AP compatible 802.1x : il n'a pas besoin de connaître PEAP/MS-CHAP-v2, EAP/TLS ou toute autre méthode d'authentification particulière. Il est toutefois capable de relayer des requêtes EAP vers le client (via la connexion WiFi) et vers le serveur d'authentification (via le réseau de l'entreprise).

Le serveur d'authentification est un serveur RADIUS compatible avec EAP. Il gère les méthodes d'authentification EAP/TLS et TTLS/PAP. Le serveur demandera au client de s'identifier selon une méthode. Si le client ne la gère pas, le serveur en suggérera une autre et ainsi de suite jusqu'à ce que le client en accepte une. Dans cet exemple, ils tomberont d'accord sur la méthode d'identification EAP/TLS.

Le logiciel de connexion du client (appelé le « client EAP ») peut être fourni avec l'adaptateur WiFi. Le Tableau 2.1 donne les différents types de logiciels clients, les systèmes d'exploitation et les principales méthodes EAP gérées :

Dans notre exemple, nous avons choisi un serveur de type RADIUS, car il s'agit de la solution presque universelle utilisée avec EAP.

Lorsque l'on met en place une architecture 802.1x, le serveur d'authentification est généralement un serveur de type RADIUS.

Il y a bien peu de choses à dire au sujet du contrôleur d'accès, du point de vue de l'identification EAP : il ne sert que d'intermédiaire, et ouvre ou ferme la porte du réseau. En WiFi, il faut juste s'assurer que chaque AP gère le 802.1x et que celui-ci soit activé.

2.2.2.2. L'EAP et le 802.1x26

Le protocole EAP ne se soucie pas de savoir comment les paquets sont acheminés entre le client, le contrôleur d'accès et le serveur d'authentification, de sorte qu'il est possible d'utiliser EAP à l'intérieur d'un lien PPP, sur TCP/IP, UDP/IP, ou encore directement dans des paquets WiFi. La seule présupposition est qu'il existe un lien de communication entre le client et le contrôleur d'accès et un lien sécurisé (peu importe comment) entre le contrôleur d'accès et le serveur d'authentification.

Puisque dans le cadre du WiFi le contrôleur d'accès est un AP, le lien entre le client et l'AP est bien sûr un lien WiFi. Les paquets EAP sont donc encapsulés dans des paquets WiFi. Plus précisément, une version légèrement améliorée d'EAP est utilisée : EAP over LAN (EAP sur LAN), notée EAPoL. Ce protocole a été défini par le standard 802.1x pour permettre l'utilisation d'EAP dans un contexte où le client et le contrôleur d'accès communiquent via un

réseau local (LAN). C'est bien le cas en WiFi. En outre, le 802.1x définit quelques nouveaux types de messages :

? EAPoL-Start : permet au client de prévenir le contrôleur d'accès qu'il souhaite se connecter ;

? EAPoL-Encapsulated-ASF-Alert : permet aux clients dont l'authentification a échoué de pouvoir tout de même être supervisés à distance (par exemple, par SNMP). Ceci peut poser des problèmes de sécurité, donc le WPA et le WPA2 n'utilisent pas ce type de messages EAPoL.

Pour résumer : le 802.1x définit le protocole EAPoL qui permet de transporter les paquets EAP sur un LAN. Il définit en outre quelques autres types de paquets bien utiles. Nous verrons en particulier que les paquets EAPoL-Key sont essentiels pour le WPA Enterprise et leWPA2 Enterprise.

2.2.2.3. La sécurité d'EAP ? Les failles

Le protocole EAP possède quelques failles bien identifiées. En faisant attention, il est heureusement possible de toutes les éviter. Voici les trois failles principales :

V' Un pirate peut essayer d'attaquer la méthode d'authentification EAP choisie (EAP/MD5 par exemple) elle a ses propres failles ;

V' Un pirate peut attendre que la session soit établie et ensuite attaquer cette session : en effet, le protocole EAP ne dit rien sur la façon de protéger la connexion au réseau, une fois qu'elle est établie ;

V' Un pirate peut s'intercaler entre le client et le contrôleur d'accès (attaque de type MiM) et être ainsi authentifié à la place du client.

2.2.3. L'authentification27

Définition de l'Authentification : il s'agit de la vérification de l'identité d'un utilisateur.

? L'authentification avec support physique : carte à puce, elle propose une capacité mémoire et peut ainsi contenir des mots de passe, voire le certificat d'identité de son professeur

? L'authentification par caractéristique humaine : empreinte digitale est une caractéristique biométrique. Elle permet de vérifier directement l'identité de la personne et ne nécessite pas le secret complémentaire, code PIN ou mot de passe

La sécurité du 802.1x peut être compromise de trois façons différentes : en attaquant la méthode EAP utilisée, en détournant une session après sa création ou encore en s'interposant

Passons en revue les quatre principales méthodes d'authentification par mot de passe prévues par le PPP :

PAP : Le Password Authentication Protocol (PAP), Il s'agit sans doute du plus simple des mécanismes d'authentification : le client envoie son mot de passe, en clair, c'est-à-dire non crypté! Dans la pratique, le PAP est si peu sûr qu'il n'est utilisé que lorsqu'un autre mécanisme permet d'assurer la sécurité de l'échange.

CHAP : Le protocole Challenge Handshake Authentication Protocol (CHAP), Le serveur commence par envoyer un « défi » au client, ainsi qu'un compteur qu'il incrémente à chaque fois qu'il lance un défi. Le client doit alors passer le compteur, son mot de passe et le défi au travers d'un algorithme de hachage, habituellement l'algorithme MD52. Le résultat est une séquence de bits pseudo-aléatoires qu'on appelle le « hash» (de 16 octets dans le cas de MD5). Ce hash est envoyé au serveur, qui peut alors effectuer le même calcul et vérifier si son résultat concorde avec celui du client. Cet algorithme permet d'éviter que le mot de passe ne soit transféré et évite également qu'un pirate ne répète simplement une authentification réussie qu'il aurait enregistrée auparavant, puisque le défi change à chaque authentification. Il ne permet cependant pas au client de s'assurer de l'identité du serveur.

MSCHAP : Ce protocole, souvent appelé MS-CHAP-v1, Il s'agit d'une variante de CHAP, destinée à en améliorer la sécurité. L'un des problèmes de CHAP est le fait qu'il soit nécessaire de stocker le mot de passe en clair sur le serveur1 : sinon, impossible de calculer le hash et de vérifier l'identité du client. Toute personne ayant accès à la base de données des utilisateurs peut donc voir les mots de passe de tout le monde ! Pour éviter cela, MS-CHAP spécifie que le serveur doit stocker non pas le mot de passe, mais le résultat d'un hash sur ce mot de passe (selon un algorithme propriétaire de Microsoft). Lorsque l'utilisateur saisit son mot de passe, celui-ci doit d'abord être passé au travers du même algorithme de hash avant de suivre la procédure habituelle de CHAP. Malheureusement, MS-CHAP comporte des failles de sécurité (dues en particulier au hash propriétaire de Microsoft) qui l'ont a rendu rapidement obsolète : seuls quelques vieux systèmes Windows 95/98 l'utilisent encore.

MSCHAPv2 : Suite à la découverte des failles de sécurité dans MS-CHAP, Microsoft a réagi en concevant cette version 2, définie dans la RFC 2759. Nettement plus robuste, ce protocole fournit notamment un mécanisme d'authentification mutuelle : le serveur s'assure de l'identité du client et vice versa, ce qui n'est pas le cas avec les méthodes d'authentification précédentes. Le MS-CHAP-v2 est largement utilisé dans les réseaux Windows, depuis la version Windows 2000.

Les limites de ces méthodes, tout cela fonctionne donc très bien. Malheureusement, la méthode PAP n'est pas sécurisée et les méthodes CHAP, MS-CHAP et MS-CHAP-v2 sont toutes vulnérables face à des attaques hors-ligne de type dictionnaire : si un pirate peut enregistrer les échanges lors de l'authentification d'un utilisateur légitime, alors hors-ligne (c'est-à-dire chez lui, déconnecté du réseau), il peut essayer de reproduire le même dialogue en essayant des milliers de mots de passe. Il suffit qu'un seul utilisateur légitime ait un mot de passe faible pour que le pirate puisse entrer sur le réseau.

2.2.4. Une bonne sécurité avec le 802.1x

entre le client et le serveur d'authentification. Pour éviter toutes ces attaques, nous avons vu qu'il fallait :

? Utiliser une des méthodes à base de tunnel : EAP/TLS, TTLS ou PEAP (voire EAP/FAST);

? S'assurer que le certificat du serveur soit toujours vérifié par les clients et qu'aucun utilisateur ne se connecte si le certificat est mauvais ;

? Utiliser si possible une méthode interne assez forte, telle qu'une carte à jeton ;

? S'assurer qu'un cryptage puissant soit mis en place au cours de l'identification : le WPA et le WPA2 sont d'excellentes options.

Pour mettre en place une architecture 802.1x avec le WiFi, il faut choisir et installer un serveur d'authentification (en général de type RADIUS), et s'assurer que tous les AP gèrent bien le 802.1x. Il faut également choisir et installer un logiciel de connexion compatible 802.1x sur le poste de chaque utilisateur. Ce logiciel peut être fourni avec l'adaptateur WiFi ou directement intégré dans le système d'exploitation : c'est le cas avec les versions récentes de Windows et de Mac OS. Il reste ensuite à choisir une ou plusieurs méthodes d'authentification EAP, s'assurer que le serveur RADIUS les gère et que les logiciels de connexion des clients soient bien compatibles avec au moins l'une de ces méthodes.

Ainsi, voici en résumé le fonctionnement global d'un réseau sécurisé avec le standard 802.1x :

? Le contrôleur d'accès, ayant préalablement reçu une demande de connexion de la part de l'utilisateur, envoie une requête d'identification ;

? L'utilisateur envoie une réponse au contrôleur d'accès, qui la fait suivre au serveur d'authentification ;

? Le serveur d'authentification envoie un « challenge » au contrôleur d'accès, qui le transmet à l'utilisateur. Le challenge est une méthode d'identification. Si le client ne gère pas la méthode, le serveur en propose une autre et ainsi de suite ;

? L'utilisateur répond au challenge. Si l'identité de l'utilisateur est correcte, le serveur d'authentification envoie un accord au contrôleur d'accès, qui acceptera l'utilisateur sur le réseau ou à une partie du réseau, selon ses droits. Si l'identité de l'utilisateur n'a pas pu être vérifiée, le serveur d'authentification envoie un refus et le contrôleur d'accès refusera à l'utilisateur d'accéder au réseau.

2.3. Le serveur RADIUS

Les serveurs RADIUS, qui servent avant tout à identifier les utilisateurs d'un service. Ce protocole ne fait pas partie de la norme 802.11 et il peut être utilisé dans bien d'autres contextes que les réseaux sans fil. Cependant, il est tout à fait central lorsque l'on met en oeuvre une architecture 802.1x, ce qui est généralement le cas dans un réseau WiFi d'entreprise protégé par les nouvelles solutions de sécurité, le WPA ou le WPA2.

En d'autres termes, sa fonction première est de centraliser l'authentification des utilisateurs qui cherchent à se connecter à un réseau ou à un service quelconque²⁸.

A la fin de la session, Lorsque l'utilisateur met fin à sa session, ou que le NAS le déconnecte (ou encore si la connexion est coupée), le NAS envoie une requête au serveur

2.3.1. Les fonctions du serveur RADIUS

2.3.1.1 L'authentification

Le serveur d'authentification (appelé parfois NAS, pour Network Authentification Service, littéralement : Service d'authentification réseau, voire Network Access Service, pour Serveur d'accès réseau) permet de valider l'identité de l'utilisateur, transmis par le contrôleur réseau, et de lui renvoyer les droits associés en fonction des informations d'identification fournies. De plus, un tel serveur permet de stocker et de comptabiliser des informations concernant les utilisateurs afin, par exemple, de pouvoir les facturer à la durée ou au volume (dans le cas d'un fournisseur d'accès par exemple).

La plupart du temps le serveur d'authentification est un serveur RADIUS (Remote Authentication Dial In User Service), un serveur d'authentification standard défini par les RFC 2865 et 2866, mais tout autre service d'authentification peut être utilisé.

2.3.1.2 L'autorisation

Le rôle du protocole RADIUS ne s'arrête pas à la simple authentification. En effet, lorsque le serveur informe le NAS que l'utilisateur est bien authentifié, il peut en profiter pour fournir au NAS toutes sortes de paramètres (on parle plutôt « d'attributs ») utiles pour configurer la connexion de cet utilisateur. Par exemple, il peut indiquer au NAS que cet utilisateur ne doit pas accéder à telle ou telle partie du réseau, qu'il doit être déconnecté au bout de 30 minutes ou encore qu'il faut lui couper sa connexion s'il télécharge plus de 200 Mo.

Le serveur RADIUS peut finement gérer les autorisations des utilisateurs, en transmettant au NAS des attributs variés. Pour cela, il suffit de configurer le serveur RADIUS en précisant les attributs à renvoyer pour chaque utilisateur ou groupe d'utilisateurs.

2.3.1.3 La comptabilisation

Au début de la session, la troisième et dernière fonction d'un serveur RADIUS, définie dans la RFC 2866, est de comptabiliser les connexions des utilisateurs. Voici comment cela fonctionne : dès qu'un NAS a reçu du serveur la confirmation de l'authentification d'un utilisateur (accompagnée d'attributs d'autorisation), il envoie une requête au serveur indiquant le début de la session de l'utilisateur. Cette requête comporte de nombreuses informations concernant la session et notamment :

? L'adresse du NAS (Called-Station-Id). Le serveur enregistre cette information (ainsi

RADIUS afin de lui indiquer que la session est terminée. Cette requête comporte à nouveau de nombreuses informations au sujet de la session, parmi lesquelles on trouve en général²⁹ :

? Le volume total de données téléchargées pendant la session, en nombre d'octets (Acct-Input-Octets) ou en nombre de paquets (Acct-Input-Packets) ;

? Le volume total de données envoyées pendant la session, en nombre d'octets (Acct-Output-Octets) ou en nombre de paquets (Acct-Output-Packets) ;

? La cause de la fin de la session (Acct-Terminate-Cause), par exemple la demande de l'utilisateur (User Request), la perte du signal (Lost Carrier), la fin de la session (Session Timeout) ou encore une inactivité trop longue (Idle Timeout) ;

? Plus tous les attributs précédents : Acct-Session-Id, User-Name, NAS-Identifier, Calling-Station-Id, Called-Station-Id...

Figure II.6. La comptabilisation des connexions. 2.3.2. Fonctionnement du protocole RADIUS

Le protocole RADIUS (Remote Authentication Dial In User Service) décrit un principe d'authentification très général : un individu souhaite accéder à un service en réseau pour lequel il lui faut s'authentifier ; pour ce faire il va envoyer ses données d'authentification (couple identifiant-mot de passe, ou certificat électronique, par exemple) à un serveur RADIUS, qui lui-même établira une transaction avec le véritable serveur d'authentification (annuaire électronique, ou système de mot de passe d'un serveur Unix...). Le protocole RADIUS permet ainsi d'utiliser des systèmes d'authentification préexistants pour de nouvelles applications en réseau, sans avoir à modifier ni le serveur ni l'application³⁰. La Figure 2.6 présente l'architecture du serveur RADIUS :

Un utilisateur souhaite accéder à un réseau et pour cela il se connecte à un équipement qui contrôle son accès : cet équipement s'appelle le Network Access Server (NAS), c'est-à-dire le « serveur d'accès au réseau ». Attention : dans le contexte du protocole RADIUS, le NAS est souvent appelé le « client », ce qui peut réellement prêter à confusion. Lorsque vous configurez un serveur RADIUS, faites attention à ne pas confondre client et utilisateur.

L'utilisateur fournit son identité au NAS, d'une manière ou d'une autre : le protocole utilisé pour cela n'est pas spécifié par RADIUS ; cela peut être n'importe quel protocole.

En utilisant le protocole RADIUS, le NAS communique alors avec le serveur1 afin de valider l'identité de l'utilisateur. Si le serveur RADIUS authentifie bien l'utilisateur, il en informe le NAS et celui-ci laisse désormais l'utilisateur accéder au réseau.

2.3.3. Le 802.1x et le RADIUS

Le protocole 802.1x décrit la même architecture que le RADIUS : un utilisateur, un contrôleur d'accès (le NAS) et un serveur d'authentification (le serveur RADIUS).

Le 802.1x décrit comment l'utilisateur et le serveur doivent communiquer : avec des paquets EAP. Il précise également que le client et le contrôleur d'accès doivent être sur un même réseau local et il impose le protocole EAPoL pour transporter les paquets EAP entre l'utilisateur et le contrôleur d'accès. En revanche, il laisse le choix du protocole qui sera utilisé pour transporter les paquets EAP entre le contrôleur d'accès et le serveur d'authentification.

De son côté, le protocole RADIUS décrit la même architecture à trois acteurs. Cependant, contrairement au 802.1x, il n'impose absolument rien au sujet de la conversation entre l'utilisateur et le NAS : ils peuvent s'échanger les informations d'authentification en utilisant le protocole PPP, avec HTTPS ou encore avec EAPoL, cela n'affecte pas le RADIUS. En revanche, le protocole RADIUS définit précisément comment le NAS et le serveur RADIUS doivent communiquer : ils doivent utiliser des paquets RADIUS et les échanger grâce au protocole UDP/IP. Voici comment les deux protocoles fonctionnent ensemble à la Figure 2.7.:

? L'utilisateur et le contrôleur d'accès dialoguent avec le protocole 802.1x, c'est-à-dire en utilisant le protocole EAPoL ;

? Les paquets EAP que le contrôleur d'accès doit échanger avec le serveur sont véhiculés

au sein de paquets RADIUS, contenant des « attributs EAP » prévus à cet effet ; ? En reposant sur les protocoles EAPoL et RADIUS pour le transport des paquets,

Conclusion partielle

Au cours de ce deuxième chapitre, nous avons défini ce qu'est la sécurité dans un environnement sans fil, et nous avons présenté les différentes attaques et leurs premières solutions de sécurité existantes. Nous avons ensuite présenté les différentes solutions proposées pour sécuriser le WiFi contre ces attaques et nous avons constaté que ces solutions ne proposent pas simultanément la facilité d'utilisation et la sécurité renforcée.

Nous avons également présenté, la première solution de cryptage avoir été standardisée, le WEP. Par ses défauts, nous avons bien compris le WPA, ainsi que sa version améliorée, le WPA2, qui repose sur le cryptage Temporal Key Integrity Protocol (TKIP), la différence principale entre WPA et WPA2 réside dans l'algorithme de chiffrement (RC4 pour WPA et AES pour WPA2). Nous avons ensuite parlé du standard 802.1x qui repose sur le protocole EAP, et qui a comme but d'identifier et d'authentifier les utilisateurs avant de les laisser rentrer sur le réseau.

Pour finir, nous avons présenté les différentes fonctions et le fonctionnement du serveur RADIUS : l'authentification des utilisateurs, la définition de leurs autorisations et la comptabilisation. Le chapitre (troisième) suivant, parlera sur l'analyse de l'existant, dans lequel nous présenterons l'organisme d'accueil, ses missions, son organisation et structure, son architecture réseau, sa sécurité et ses services.

3.1. Introduction

L'analyse préalable appelée encore analyse de l'existant ou pré-analyse, c'est la première étape d'une étude informatique consistant à analyser de manière approfondie tout ce qui existe au sein du système choisi.

Dans ce chapitre troisième, nous allons faire une analyse de l'existant en présentant d'une manière brève l'historique de l'organisme d'accueil : ses missions, son organisation et sa structure. Une étude de l'existant sera présentée dans ce chapitre. Ensuite, nous ferons une critique de l'existant et spécification de quelques besoins. Enfin, viendra une conclusion partielle de ce troisième chapitre.

3.1.1. Présentation de l'organisme d'accueil

Notre champ d'investigation est l'Université Notre Dame du Kasayi, elle est aujourd'hui à ses 23^ème années d'existence. En effet, l'U.KA a été fondée par le décret épiscopal du 21 juillet 1996 signé par les huit Evêques de l'Assemblée Episcopale provinciale de Kananga (ASSEPKA) sur la demande expresse de la centaine de l'Evangélisation de Kasaï Makulu.

Elle est une institution d'Enseignement Supérieur et de recherche scientifique au service de la population du Kasaï, de la RDC et de l'Afrique. L'UKA a été reconnu par l'Etat Congolais comme une Université et prise en charge de son personnel par le trésor publique par Arrêté Ministériel n°/MINESU/J/2004 du 28 octobre 2004 portant prise en charge par l'Etat congolais.

L'Université Notre Dame du Kasayi est aujourd'hui membre de la Fédération Internationale des Universités Catholiques, etc. Actuellement, l'U.KA dans son campus de Kananga compte cinq facultés, notamment : la Médecine, l'Informatique, le Droit, l'Economie et l'Architecture.

? La formation d'un nouveau type d'homme et de femme intellectuellement et moralement équilibrés, toujours attentifs aux multiples besoins du Kasayi et du pays, et animés du souci permanent de l'amélioration du niveau de la vie de la population ;

? La promotion de la recherche scientifique. Les sciences et les techniques à enseigner à l'U.KA. n'auront pas en elle-même leur finalité, parce que destinées à se transformer en pratique effective pour le service de la population.

? Un effort d'inculturation et d'indigénisation, c'est-à-dire d'enracinement dans la culture locale. Universelle par vocation, l'U.KA se doit cependant se revêtir des couleurs locales.

31 U.KA, Programme de cours, Ed. Universitaires du Kasayi, Kananga/Kasaï central (R.D.Congo), 2015-2016, p.14.

? La quête de l'excellence. L'U.KA opte pour l'excellence dans l'accomplissement de sa mission.

3.1.3. Organisation et structure

L'université Notre Dame du Kasayi, Campus de Kananga se trouve en République Démocratique du Congo, au Kasaï Central, dans la ville de Kananga, commune de Lukonga et localité de Kambote.

? A l'Est par la paroisse catholique YESU MWANA de Kambote ; ? A l'Ouest par la localité Appolo et le village Kanyuka.

Dans sa structure actuelle, la gestion de l'U.KA est comprise dans l'organigramme suivant : le conseil d'administration et la conférence épiscopale ; les autorités académiques regroupant le comité de gestion, le recteur, le secrétaire général académique, le secrétaire administratif et l'administrateur du budget ; les autorités facultaires, parmi lesquelles nous avons les doyens et les vice-doyens, vice doyen chargé de l'enseignement, vice doyen chargé de la recherche pour chacune des facultés.

Actuellement, l'U.KA dispose de cinq facultés, qui fonctionnent sur le campus de Kambote : la faculté de Médecine créée en 1996 ; la faculté de Sciences Informatiques créée en 2004 ; la faculté de Droit créée en 2006, la faculté de Sciences économiques et d'administration des affaires créée en 2012 ; et la faculté d'Architecture créée en 2014.

3.2. Etude de l'existant

En ce qui nous concerne, nous nous intéresserons au réseau sans fil du Cyber de l'U.KA pour la mise en place d'une politique d'accès à ce réseau. En général, l'U.KA possède dans son sein un laboratoire informatique pour les travaux pratiques et un Cyber pour les recherches scientifiques de toute la communauté de l'U.KA. Sur ce, nous mènerons notre étude pour arriver à exploiter les avantages de la norme 802.1x en remédiant à certaines difficultés que le réseau sans fil de l'U.KA rencontre.

3.2.1. Architecture réseau

Nous avons constaté que l'U.KA ne possède pas un intranet dans sa structure, mais nous n'avons trouvé que la connexion internet permanente de deux tranches, c'est-à-dire, au bâtiment administratif pour les personnels et un cyber pour les enseignants, étudiants et ceux qui ne sont pas de l'U.KA.

Dans notre audit sur l'architecture réseau du cyber, nous avons pu voir son architecture qui est une structure plane comportant un routeur et deux Switchs en cascade dont ils sont non administrables.

3.2.2. Matériels

Après l'inventaire fait aux différentes entités de l'U.KA, nous avons eu les résultats

Le cyber de l'U.KA a été créé dans le but de servir toute la communauté de l'U.KA et aux visiteurs ; de mener leurs recherches scientifiques. Il est composé des ETCD (Equipement Terminal de Circuit de Données) pour les équipements réseaux et des ETTD (Equipement Terminal de Traitement de Données) pour les utilisateurs.

? ETCD : Un routeur PlaNet (sans fils et filaire), un modem, deux switch (D-Link et TP-Link), et une petite antenne que le MICROCOM a placé afin de leur fournir l'accès à l'Internet et un récepteur qui reçoit le signal de l'antenne pour l'acheminer au routeur.

? ETTD : Ordinateurs PC, qui sont de machines clientes et servent à se connecter à l'Internet. Ils sont équipés d'un système d'exploitation Windows 10 de 32 et 64 bits, d'une mémoire RAM de 2Gb et 4Gb, et une imprimante.

Le laboratoire informatique a pour rôle d'aider aux étudiants d'effectuer leurs travaux pratiques. Il n'a que les ETTD qui travaillent indépendamment, isolés du cyber.

3.2.3. Sécurité

En observant le cyber, aucune politique de sécurité n'est mise en place, mais nous avons pu remarquer que la politique de sécurité de l'accès à l'Internet était faible. Pour le laboratoire, aucune solution de centralisation de matériels et de ressources pour une bonne administration de ce laboratoire informatique n'est mise en place.

Examinant le réseau sans fil du cyber, l'accès est sécurisé avec le SSID. Pour avoir accès à Internet, ce cyber à un contrôleur de domaine qui gère tous les utilisateurs du réseau. En raison d'exploitation de la connexion Internet non autorisée, l'accès des utilisateurs non reconnus est difficile.

3.2.4. Services

Le réseau de l'U.KA offre des services de base, pour le laboratoire informatique, nous y avons trouvé la maintenance de matériels et la préparation de travaux pratiques. Le cyber de l'U.KA offre la connexion Internet pour des recherches scientifiques, il a quelques services bureautiques entre autres : l'impression des cartes d'étudiants, la saisie et l'impression de travaux des étudiants et le site web, mais qui n'est pas en local.

3.3. Critique de l'existant

Après avoir fait l'étude de l'existant, les contraintes suivantes ont été signalées :

3.4. Spécification des besoins

Dans ce point, nous allons spécifier les besoins fonctionnels, ainsi que les besoins en sécurité de notre sujet. Nous allons répondre aux questions suivantes :

? Quels sont les services que doit fournir notre standard 802.1x ? ? Comment avoir un niveau de sécurité élevé pour ce réseau ?

3.4.1. Besoins en services

Pour répondre à la question : « Quels services doit fournir notre standard 802.1x ? », nous avons eu recourir à certaines difficultés rencontrées, qui se présente par les enseignant, les étudiants, et les personnels de l'U.KA. Les services produits de cette enquête sont que voici :

3.4.2. Besoins en sécurité

La sécurité informatique étant déjà définie au chapitre deuxième à la première page, nous allons identifier avec des explications brèves, les exigences fondamentales en sécurité informatique (d'où la notion d'ACID):

? Authentification : l'identification des utilisateurs est fondamentale pour gérer les accès aux espaces de travail pertinents et maintenir la confiance dans les relations d'échange ;

? Confidentialité : l'accès aux données (et d'une façon générale aux ressources gérées par le système) doit être réservé aux personnes autorisées. Cela suppose un mécanisme d'identification des utilisateurs, la définition de règles d'accès, et la protection des données pendant leur transport, par le biais d'un cryptage ;

? Intégrité : les données ne doivent pas être modifiées ou perdues. Il faut en particulier pouvoir s'assurer que ce qui est reçu correspond bien à ce qui a été envoyé ;

? Disponibilité : le réseau doit être accessible en tout temps et dans des conditions acceptables ;

? La non-répudiation et l'imputation ou traçabilité : aucun utilisateur ne doit pouvoir contester les opérations qu'il a réalisées dans le cadre de ses actions autorisées, et aucun tiers ne doit pouvoir s'attribuer les actions d'un autre utilisateur.

3.4.2.1. Les besoins en sécurité sont de deux sources Besoins exprimés par le centre informatique :

? Gestion d'accès centralisé ; ? Sécurisation du réseau sans fil ; ? Création de profils des utilisateurs ; ? Protection de données critiques.

Conclusion partielle

Ce chapitre a fait l'objet de présentation de notre structure d'accueil : son historique, ses missions, son organisation et structure. Nous avons étudié réseau existant en présentant les différents matériels ETTD et ETCD utilisés dans cette structure. Nous avons ensuite spécifié les différents besoins de cette structure afin d'arriver à mettre en place cette dernière.

Apres avoir fait l'étude de cette structure, le chapitre suivant parlera du déploiement et installation de la solution retenue.

4.1. Introduction

4.1.1. Présentation de la solution globale.

Dans ce chapitre, nous allons mettre en place une borne Wi-fi de la marque Cisco avec un SSID (Service Set Identifier) « UKA » en utilisant l'authentification 802.1X. Nous allons procéder à une authentification sans clef WPA, WPE. L'authentification va se faire à l'aide d'un serveur NPS (Network Policy Server) installé sur une machine Windows 2012 R2. Il y aura trois types de connexion :

? La première est les postes Windows intégrés au domaine, l'authentification sera complétement transparente pour l'utilisateur. Il lui suffira de se connecter au SSID et il sera automatiquement connecté.

? La seconde est pour les appareils de l'entreprise qui ne sont pas intégrés dans le domaine, comme par exemple les appareils sous MacOS, ou Android. Il leur suffira de rentrer le couple login/Mot de passe d'un compte Active Directory et il sera connecté au réseau de l'entreprise.

? La dernière est pour les appareils appartenant aux personnes de l'entreprise et qui souhaitent se connecter à cette borne pour pouvoir accéder à Internet sans utiliser leurs données mobiles de leur forfait mobile. Il leur suffira de renseigner le login et mot de passe de leur compte Active Directory et il pourra accéder à Internet.

4.1.2. Présentation du fonctionnement du standard 802.1X avec le rôle NPS.

Comme évoqué précédemment, nous allons utiliser l'authentification avec le standard 802.1X, ce standard permet de contrôler l'accès à des équipements. Dans notre cas, nous allons le faire à l'aide du rôle Windows Serveur « NPS (Network Policy Server) », ce dernier se base sur le protocole Radius (Remote Authentitication Dial-In User Service), ce protocole permet de faire la liaison entre la nécessité d'identification et une base de données Active Directory, d'utilisateurs principalement.

Dans notre cas, nôtre serveur Radius sera entre notre borne et le réseau de l'entreprise. L'utilisateur qui souhaitera se connecter, lancera une connexion à la borne, la borne interrogera le serveur NPS pour savoir si l'utilisateur est autorisé. Le serveur regardera dans ces différentes stratégies pour voir les groupes autorisés, puis demandera à son contrôleur de domaine si l'utilisateur est membre de ce groupe. En cas de réponse positive, le serveur NPS retourne une autorisation à la borne, qui à son tour l'enverra à l'utilisateur et l'appareil qu'il souhaite connecter.

4.2. La conception

4.1.1. Conception physique

4.1.2. Conception logique

Le diagramme ci-dessous illustre la conception de la solution choisie (authentification EAP-TLS 802.1X).

Figure IV.2. Concept de solution basé sur l'authentification EAP-TLS 802.1X Ce diagramme décrit quatre composants principaux :

Le client sans fil. Il s'agit d'un ordinateur ou d'un périphérique exécutant une application qui doit accéder à des ressources du réseau. Ce client est capable non seulement de crypter son trafic réseau, mais aussi de stocker et d'échanger des informations d'identité (clés ou mots de passe).

Le point d'accès sans fil. Dans la terminologie réseau, on parle également de service d'accès au réseau. Ce point d'accès sans fil gère l'accès au réseau et crypte le trafic sans fil. Il permet d'échanger en toute sécurité des clés de cryptage avec le client, afin de sécuriser le trafic du réseau. Enfin, il peut interroger un service d'authentification et d'autorisation pour autoriser ou refuser l'accès au réseau.

Le service NAAS (Network Authentication and Authorization Service). Ce service stocke et vérifie l'identité des utilisateurs habilités, et gère les accès conformément à la stratégie de contrôle d'accès définie. Il peut également collecter des informations de comptabilité et d'audit sur l'accès du client au réseau.

Remarque : NAAS n'est pas un acronyme officiel, il n'est utilisé dans ce travail que pour

des raisons de commodité.

Le réseau interne. Il s'agit d'une zone sécurisée de services réseau, à laquelle l'application cliente sans fil doit avoir accès.

Les numéros indiqués sur le diagramme illustrent le processus d'accès au réseau que les étapes suivantes décrivent plus en détail :

1.	Le client sans fil doit, à un moment donné, être authentifié par une autorité centrale pour se connecter au réseau sans fil.	2.
Lorsque le client demande à accéder au réseau, il transmet ses informations d'identité (ou, plus précisément, la preuve qu'il détient ces informations d'identité) au point d'accès sans fil qui, à son tour, les renvoie au NAAS pour demander l'autorisation.	3.
Le NAAS vérifie les informations d'identité, consulte sa stratégie d'accès et autorise ou refuse l'accès au client.	4.
S'il est reconnu, le client est autorisé à accéder au réseau et échange les clés de cryptage avec le point d'accès sans fil. En fait, les clés sont générées par le service NAAS et transmises au point d'accès sans fil via un canal sécurisé. Si le client n'est pas reconnu par le service NAAS, il n'est pas autorisé à accéder au réseau et la communication s'interrompt.	5.
Grâce aux clés de cryptage, le client et le point d'accès sans fil établissent une connexion sans fil sécurisée, ce qui permet au client et au réseau interne de communiquer.	6.
Le client commence à communiquer avec des périphériques du réseau interne.

Figure IV.3. Vue détaillée du processus d'accès EAP-TLS 802.1X 4.1.3. Composants logiciels et matériels nécessaires

4.1.3.1 Composants logiciels

? Superviseur VMware Workstation11: La virtualisation est un mécanisme informatique qui consiste à faire fonctionner plusieurs systèmes, serveurs ou applications, sur un même serveur physique³².

? Un système d'exploitation serveur : Windows 2012 Server R2 Datacenter. Nous l'avons choisi car il inclut la gestion des certificats, il dispose d'un serveur RADIUS intégré sous le nom d'IAS (Internet Authentication Service) pouvant gérer un nombre infini de clients RADIUS; les couples login/mot de passe pourront être gérés avec l'annuaire Active Directory.

? Un analyseur de réseau sans fil : Airmagnet, est un analyseur de réseaux sans-fil, compatible 802.11a, b et g, utile au niveau du déploiement et de la maintenance. Il permet d'évaluer la sécurité d'un réseau sans-fil (déceler les accès pirates,...), analyser la qualité du signal émis, la puissance, le nombre de paquets erronés ou la quantité de bande passante disponible (informations de la couche 1 et 2 du protocole 802.11).

4.1.3.2. Composants matériels

32 CT. KASONGO P., cours d'administration sous Windows, L1 réseaux, UKA, 2017-2018, P.145.

A l'étape Rôles de serveurs, sélectionner Services de stratégie et d'accès réseau et une fenêtre va s'afficher, sélectionner Ajouter des fonctionnalités. Après nous

4.2.1. Plan d'adressage

Nous n'allons devons pas changer l'adressage IP. Ainsi, notre réseau conserve les informations suivantes :

Par conséquent, notre réseau sans fil s'intégrera facilement dans le réseau filaire existant et le passage filaire au sans-fil se fera de manière transparente pour les utilisateurs.

4.2.2. Installation des Services

Au préalable le serveur de noms devra être installé. En effet il n'y a pas d'autorité de certification sans DNS (Domain Name System). Nous ne ferons pas mention ici de la procédure d'installation du DNS car ce dernier est déjà installé sur le serveur (mais pas encore utilisé). Notons tout simplement que le domaine se nomme uka.local

L'installation d'une autorité de certificat racine nécessite tout d'abord l'installation des services IIS (Internet Information Server).

Pour utiliser les services Radius, nous allons utiliser le Service NPS (Network Policy Server) installé sur notre contrôleur de domaine en Windows 2012 R2. Ce dernier se nomme SERVER-UKA et à comme IP : 192.168.10.0\24. Pour se faire, nous avons besoin d'installer le Service NPS, comme dit précédemment, mais aussi le Services de certificats Active Directory (AD CS) et le Rôle Web Server (IIS).

4.2.2.1. Installation du service NPS

Commençons par nous rendre dans le Gestionnaire de Serveur et de cliquer en haut à droite sur Gérer, puis Ajouter des rôles et fonctionnalités. Passons la première fenêtre en cliquant sur Suivant, puis vérifions de sélectionner notre serveur actuel (SERVER-UKA dans ce cas) et cliquer sur Suivant.

retournons sur la fenêtre précédente, cliquer sur Suivant puis Suivant, car nous ne voulons pas ajouter d'autres fonctionnalités. Arriver sur la fenêtre Service de stratégie et d'accès réseau, cliquer sur Suivant :

Finissons par vérifier les informations, puis cliquer sur Installer. Cliquer sur Fermer pour la fenêtre suivante. En allant à la page d'accueil (Tuiles), nous pouvons vérifier que le Service est bien installé :

Figure IV.6. Zone de recherche, page d'accueil (Tuiles) de NPS IV.2.2.2. Paramétrage du serveur NPS

Commencer par ouvrir une console mmc en lançant la fenêtre Exécuter (avec la combinaison de touches Windows + R) et taper mmc puis entrer. Sélectionner Fichier> Ajouter/Supprimer un composant logiciel enfichable...

Dans l'onglet Général, sélectionner la période de validité à 2 années,

Dans l'onglet Sécurité, ajouter le serveur ou le rôle NPS est installé, dans notre cas, sur le même serveur. Mettre Autoriser pour Lecture, Inscrire et Inscription Automatique :

Cliquer sur Ok. Sélectionner Serveur RAS et IAS, puis cliquer-droit, puis Dupliquer le modèle :

Dans Modèles de certificats, cliquer droit > Nouveau > Modèle de certificat à délivrer, Sélectionner notre certificat « UKA-WIFI-CERT » et cliquer sur OK. Nous

Figure IV.11. Zone de recherche, page d'accueil (Tuiles) d'autorisation de certification.

pouvons voir notre certificat dans la liste des modèles. Cliquer sur Fichier > Ajouter/Supprimer un composant logiciel enfichable...

Figure IV.12. Clic-droit sur Modèles de certificats Sélectionner Un compte d'ordinateur :

Vérifier que notre serveur UKA-SERVER-CA est bien affiché dans les Autorités de certification :

Renseigner un nom Convivial, Cisco dans notre cas. Rentrer l'adresse IP, 192.168.10.30 dans notre cas. Puis renseigner le Shared Secret, en mettant comme dans

Dans Personnel, puis Certificats. Clique-droit > Toutes les tâches> Demander un nouveau certificat..., Liser et Cliquer sur Suivant. Sélectionner le certificat UKA-WIFI-CERT et cliquer sur Inscription :

Le certificat s'inscrit, si l'opération est réussie, veuillez cliquer sur Terminer. A partir de ce moment, notre certificat est inscrit et nous allons pouvoir l'utiliser dans notre serveur NPS pour que les utilisateurs puissent se connecter en utilisant ce certificat.

Figure IV.14. Inscription de certificats 4.2.2.3. Configuration du serveur NPS

Lançons le serveur NPS (Network Policy Server), Dans Clients et serveurs RADIUS, clic-droit sur Client Radius, puis Nouveau :

la borne « UKA-SS » Puis cliquer sur OK. Dans Stratégies puis Stratégie Réseau, clic-droit puis Nouveau.

Renseigner le nom de la première stratégie, UKA-Workstation puis cliquez sur Suivant. Cliquer sur Ajouter, puis sélectionner Groupes d'ordinateurs puis Ajouter. Cliquer sur Ajouter des groupes, Sélectionner UKA-PC-E, notre groupe où les postes de l'entreprise sont répertoriés.

Nous avons besoin de renseigner seulement ce groupe, cliquer sur Ok. Nous allons à présent ajouter le groupe pour notre AppleTV. Cliquer à nouveau sur Ajouter, puis sélectionner Groupes d'utilisateurs puis Ajouter. Puis ajouter le groupe UKA-VIP-E comme nous avons fait pour UKA-PC-E. Nous pouvons voir nos deux groupes.

Cliquez sur Suivant, Sélectionner Accès accordé, puis Suivant. Nous allons à présent choisir la méthode d'authentification, dans notre cas, ce sera en PEAP (Protect EAP). Donc cliquer sur Ajouter. Sélectionner « Microsoft : PEAP (Protect EAP) » : Sélectionner le certificat créé précédemment et cliquer sur OK :

Cliquez sur Suivant : Nous n'allons pas configurer de contrainte, donc cliquez sur Suivant. Dans « configurer les paramètres » et l'onglet Attributs RADIUS > Standard, supprimer les deux attributs Framed-Protocol et Service-type. Puis cliquer sur Ajouter. Sélectionner Filter-Id, puis cliquez sur Ajouter.

Cliquez sur Ajouter Rentrez 2, puis cliquer sur OK. Ensuite, sélectionner Tunnel-Medium-Type, cliquer sur Ajouter puis Ajouter et sélectionner 802 (Includes all 802 media plus Ethernet canonical format), puis cliquer sur OK. Sélectionner Tunnel-Pvt-Group-ID, cliquer sur Ajouter puis Ajouter et rentrer la valeur 2. Sélectionner Tunnel-Type, cliquer sur Ajouter puis cocher Communément utilisé pour les connexions 802.1x et choisissez Virtual LANs (VLAN). Voici le résumé des paramètres, cliquez sur Suivant :

Vous pouvez vérifier le paramétrage puis cliquer sur Termine. Créer une nouvelle stratégie qui se nommera « UKA-Web » puis cliquer sur Suivant. Cette fois-ci, sélectionner Groupes d'utilisateurs puis Ajouter. Cliquer sur Ajouter des groupes, sélectionner UKA-USER-E, notre groupe ou les comptes de l'entreprise sont répertoriés. Nous avons besoin de renseigner seulement ce groupe, cliquer sur Ok. Cliquer sur Suivant. Puis sélectionner Accès accordé, puis Suivant.

Comme pour l'autre statégie, nous allons choisir comme méthode d'authentification : PEAP (Protect EAP). Nous n'allons pas non plus configurer de contrainte donc cliquez sur Suivant. Dans « configurer les paramètres » et l'onglet Attributs RADIUS > Standard, supprimer les deux attributs Framed-Protocol et Service-type. Puis cliquer sur Ajouter. Nous allons ajouter les mêmes attributs en modifiant les valeurs de 2 par 10. Vous pouvez vérifier le paramétrage puis cliquer sur Terminer.

4.2.2.2. Installation et paramétrage

Dans l'onglet Général, Renseigner le nom du modèle, UKA-WIFI-CERT dans notre cas. Laisser la période de validité de 2 années et cocher la case « Publier le certificat dans Active Directory », Dans l'onglet Sécurité, vérifier que le poste SERVER-UKA est bien présent avec les bonnes autorisations :

Retourner au Gestionnaire de Serveur et de cliquer en haut à droite sur Gérer, puis Ajouter des rôles et fonctionnalités. Passer la première fenêtre en cliquant sur Suivant, puis vérifiez de sélectionner votre serveur actuel (SERVER-UKA dans ce cas) et cliquer sur Suivant. A l'étape Rôles de serveurs, sélectionner Services de certificats Active Directory. Une fenêtre va s'afficher, sélectionner Ajouter des fonctionnalités.

Nous retournons sur la fenêtre précédente, cliquer sur Suivant puis Suivant, car nous ne voulons pas ajouter d'autres fonctionnalités. Sélectionner Autorité de certification et Inscription de l'autorité de certification via le Web et cliquer sur Suivant.

Comme nous avons coché Inscription de l'autorité de certification via le Web précédemment, le rôle Web Server (IIS) s'est ajouté. A cette fenêtre, cliquer simplement sur Suivant. Laisser les cases cochées par défaut et cliquer sur Suivant. Vérifier les informations, puis cliquer sur Installer. Pour finir, appuyer sur Fermer.

Revenons sur le Gestionnaire de Serveur et cliquer sur le point d'interrogation en haut à droite, puis sur Configurer les services de certificats Active Director, A la fenêtre Informations d'identification, laisser le compte par défaut et

cliquer sur Suivant ; Laisser cocher les deux rôles sélectionnés plus haut et cliquer sur Suivant.

Sélectionner le type d'installation en « Autorité de certification d'entreprise », Spécifier une Autorité de certification racine, ce sera la première. Il est quand même conseillé d'en installer une secondaire. Laisser Créer une clé privée et cliquer sur Suivant, Laisser une clé SHA1 d'une longueur de 2048, Modifier le "Nom Commun de notre AC" à votre convenance mais laisser "Suffixe du nom unique" et "Apercu du nom unique" par defaut :

Laisser une période de validité de certification de 5 ans pour l'autorité de certification. Ne rien modifier aux emplacements des bases de données. Vérifier les informations, puis cliquer sur Configurer. Vérifier que les configurations ont fonctionné et cliquer sur Fermer :

4.3. Configuration d'un client d'accès Wi-Fi sous Windows 7

4.3.1. Installation du certificat auto signé du serveur d'authentification et du certificat d'un utilisateur

Nous allons devoir récupérer un certificat émis par l'autorité de certification. Tout d'abord on ouvre une session sous le nom de l'utilisateur qui recevra le certificat sur sa machine.

Puis dans un navigateur, on se connecte sur le serveur de l'autorité de certification: http:// "nom du serveur "/certsrv. Dans notre cas http://uka.lan/certsrv.

On entre le login et le mot de passe de l'utilisateur «util1-wifi» par exemple dans la fenêtre de connexion qui surgit.

A la page d'accueil, on clique sur Télécharger un certificat d'autorité de certification, une chaine de certificats ou une liste de révocation de certificats puis sur Installer cette chaîne de certificats d'autorité de certification.

L'installation du certificat est maintenant terminée. Nous allons pouvoir passer à la configuration de la connexion réseau sans-fil :

Une fois cliquer sur « installer » cette fenêtre s'affiche, cliquer sur suivant pour continuer avec le processus d'installation:

Maintenant que le réseau sans fil a été installé, nous pensons à l'avenir afin de savoir ce que nous réserve le temps.

4.4. Observations et tests

Comme nous l'avons sûrement remarqué, la connexion au réseau Wi-Fi de l'U.KA s'effectue lors d'une ouverture de session sur le domaine uka.lan.

Ainsi, lorsqu'un utilisateur souhaite accéder au réseau, il devra ouvrir une session sur le réseau avec son compte du domaine qui lui aura été fourni préalablement par l'administrateur du réseau. Si tout a été convenablement configuré sur la machine utilisée, la connexion au réseau se fera de manière transparente. Si la connexion ne fonctionne pas, il faudra s'adresser au service technique. Ainsi, toutes les machines nécessitant se connecter au réseau devront automatiquement passer par le service technique pour être configurées et les utilisateurs aussi afin d'obtenir les informations sur leurs comptes d'accès.

Par défaut, l'adaptateur sans fil du poste client gère les déconnexions après un certain temps d'inactivité. Bien plus la fermeture de session ou l'extinction du poste client réalise la déconnexion du réseau. Nous pensons que ceci permettra de renforcer la sécurité de notre réseau sans fil.

Pour les machines disposant en plus de l'adaptateur Wi-Fi une carte Ethernet, la configuration IP de cette dernière devra être similaire avec celle de l'adaptateur Wi-Fi afin que le passage du sans fil au filaire se fasse de manière transparente. Et notons ici que la connexion au réseau se fera tout naturellement au démarrage de la machine sans passer par une authentification préalable.

Nous allons maintenant tester si les machines arrivent à communiquer entre elles. La commande utilisée est PING (Packet INternet Groper), elle sert à vérifier la connectivité IP à un autre ordinateur en envoyant des messages Requête d'écho ICMP (Internet Control Message Protocol). Si tout est bien configuré on reçoit des réponses positives signifiant que les deux machines arrivent à communiquer entre elles. On réalise ce test sur chaque ordinateur du réseau Wi-Fi.

CONCLUSION GENERALE

Notre travail a porté sur le sujet intitulé: « Mise en place d'une politique d'accès à un réseau sans fil avec l'authentification basée sur la norme 802.1x». (Cas de l'Université Notre-Dame du Kasayi). Cette oeuvre est composée de quatre chapitres. Le Chapitre premier intitulé « LES RESEAUX SANS FIL» nous a permis de présenter les réseaux sans fil. Enfin, nous avons également présenté les différentes applications Wi-Fi, le standard IEEE et, les avantages et inconvénients du Wi-Fi.

Au cours du deuxième chapitre, intitulé « SECURITE DE RESEAU SANS FIL ET LE STANDARD 802.1x», nous avons défini ce qu'est la sécurité dans un environnement sans fil. Nous avons fait le tour de différentes attaques et solutions de sécurité existantes. Nous avons ensuite présenté les différentes solutions proposées pour sécuriser le WiFi contre ces attaques et nous avons constaté que ces solutions ne proposent pas simultanément facilité d'utilisation et sécurité renforcée.

Le troisième Chapitre intitulé « ANALYSE DE L'EXISTANT », nous a permis de réaliser une analyse de l'existant en présentant l'historique de l'organisme d'accueil : ses missions, son organisation et sa structure. Une étude de l'existant était présentée dans ce chapitre. Ensuite, nous avons critiqué l'existant et donné la spécification de quelques besoins.

Le quatrième et dernier chapitre intitulé « DEPLOIEMENT ET INSTALLATION DE LA SOLUTION », nous a permis de mettre en place une borne Wi-fi de la marque Cisco avec un SSID (Service Set Identifier) « UKA » en utilisant l'authentification 802.1X. Nous avons procédé à une authentification sans clef WPA, WPE. L'authentification s'est fait à l'aide d'un serveur NPS (Network Policy Server) installé sur une machine Windows 2012 R2. Enfin, nous avons mis un terme à ce chapitre avec le test et l'observation de notre solution.

Enfin, dans ce travail, nous avons présenté et expliqué comment mettre en place une connexion Wi-Fi sécurisé en utilisant le standard 802.1X. Cette solution permet une gestion simple et sécurisée de l'accès à un réseau, car bien entendu le protocole Radius en utilisant un serveur NPS peut aussi gérer l'accès par réseau filaire, en mettant une politique de filtrage sur des ports d'un switch par exemple. Pour revenir au cas d'une connexion Wi-fi, il n'est pas possible de cracker la clé WPA2 ou WEP, la seule manière de se connecter est de posséder un poste de l'entreprise ou de connaitre le couple login et mot de passe d'une personne autorisée. En outre, la gestion de l'accès est très simple pour un administrateur réseau, dès que sa politique est faite avec les groupes Active Directory autorisés. Il lui suffit de rajouter ou supprimer les personnes membres de ce groupe. Mais aussi pleins d'autres paramètres que je n'ai pas développés dans ce travail, comme les plages horaires de connexion par exemple. La gestion des logs de connexion, elle est aussi simplifiée, car il a le login ou le nom et le mot de passe du poste que la personne a utilisé pour se connecter à cette ressource ou ce site.

BIBLIOGRAPHIE

I. Ouvrages

II. Cours

III. Webographie

4.3.1. Installation du certificat auto signé du serveur d'authentification et du certificat d'un