Wifi ESSS

Télécharger au format docx, pdf ou txt
Télécharger au format docx, pdf ou txt
Vous êtes sur la page 1sur 56

SIGLES ET ABREVIATIONS

1G : Première Génération
2G : Deuxième génération
3,5G : Troisième génération et demi
3G : Troisième génération
4G : Quatrième génération
AES : Advanced encryption Standard
AMPS : Advanced Mobile Phone System
AP : Access Point
BLR : Boucle Local Radio
BSS : Basic Service Set
CDMA : Code Division Multiple Access
CPL : Courant Porteur en ligne
CSMA/CA : Carrier Sense Multiple Access/Collision Avoidance
dBi : Décibel Isotrope
DMT : Discrete Mutitone Modulation
DSSS : Direct Sequence Spread Spectrum
ESS : Extended Service Set
ETACS : Extended Total Access Communication System
FDM : Frequency Division Multiplexing
FHSS : Frequency Hopping spread Spectrum
GPRS : General Paquet Radio Service
GSM : Global system for Mobile communication
HSDPA : High-Speed Downlink Packet Access
HSUPA : High-Speed Uplink Packet Access
IBSS : Independent Basic Service Set
IEEE : Institue of Electrical and Electronics Engineers
IMT : International Mobile Telecommunications
IrDA : Infrared date Association
ISO : International Organization for Standardization
LTE : Long term Evolution
MAC : Media Access Control
MIMO : Multiple-Input Multiple-Output
ODMA : Orthogonal Division Multiple Access
OFDM : Orthogonal Frequency Division Multiplixing
OSI : Open System Interconnexion
PGP : Pretty Good privacy
PIRE : Puissance isotropique rayonnée effective
PKI : Public Key Infrastructure
RADIUS : Remote Authentication Dial-In User Service
SSID : Service Set Identifier
TACS : Total Access Communication System
TDMA : Time Division Multiple Access
TKIP : Temporal Key Integrity protocol
UMB : Ultra Mobile Broadband
UMTS : Universal Mobile Telecommunications
WECA : Wireless Ethernet Compatibility Alliance
WEP : Wired Equivalent privacy
Wifi : Wireless Fideliy
WLAN : Wireless Local Area Network
WMAN : Wireless Metropolitan Area Network
WPA : Wi-Fi protected Access
WPAN : Wireless Personal Area Network
WWAN : Wireless Wide Area Network

INTRODUCTION

1. Problématique
Les réseaux sans fil ont été créés pour permettre aux utilisateurs
d'effectuer des communications de tel sorte à garder la connectivité
des équipements, tout en ayant gain de mobilité et sans avoir re-
cours aux fils' utilisés dans les réseaux traditionnels et qui en-
combrent ces derniers.
Pour étendre la portée de la transmission plusieurs points d’accès
sont utilisés pour former un Extended service qui en fait le
déploiement d’un réseau Wifi en mode infrastructure mais étendu,
vu les enjeux dans domaine communication, les entreprises veulent
accroitre de plus en plus leur performance d’où la nécessité
d’informatiser leurs activités. Voilà pourquoi nous avons voulu
accroitre sa productivité. Le choix se fait par déploiement d’un
réseau informatique de type Wifi pour faciliter les échanges entre les
points finaux du système et la sécurisation du dit réseau un élément
majeur pour un rendement de bonne qualité.

Face à ceux enjeux, plusieurs questions sont posées qui feront


l’objet de notre travail scientifique :

- Qu’est-ce que un réseau Wifi de type extended service set?


- Quels sont les mécanismes de sécurisation d’un Wifi ? Com-
ment déploiement un réseau Wifi en multiple Point d’accès
- Comment sécuriser un réseau Wifi?

Les réponses à ces questions vont constituer l’ensemble des


réflexions que nous menons dans le fond de ce travail scientifique.

2. Hypothèse

Au regard des questions posées à la problématique, nous pouvons


dire ceci ; IEEE 802.11 est un ensemble de normes concernant les
réseaux sans fil qui ont été mises au point par le groupe de travail
11 du Comité de normalisation LAN/MAN de l'IEEE (IEEE 802). Le
terme 802.11x est également utilisé pour désigner cet ensemble de
normes et non une norme quelconque de cet ensemble comme
pourrait le laisser supposer la lettre « x » habituellement utilisée
comme variable. Il n'existe donc pas non plus de norme seule
désignée par le terme 802.11x. Le terme IEEE 802.11 est également
utilisé pour désigner la norme d'origine 802.11, et qui est
maintenant appelée parfois 802.11legacy (legacy en anglais veut
dire héritage).

IEEE 802.11 fait partie d'un ensemble de normes édictées sous


l'égide du comité de standardisation IEEE 802. Celui-ci constitue un
tout cohérent servant de base de travail aux constructeurs dévelop-
pant des équipements et les services chargés de l'implémentation
des infrastructures réseaux à liaison filaire et sans fil

3. Choix et Intérêt du sujet

Du point de vue scientifique il nous permet de concilier toutes les


théories acquis dans différente disciplines et plus particulièrement
dans les domaines de l’informatique et de la sécurité.

Du point de vue technique et pratique, il met à la disposition de


chercheurs un outil de travail comme guide qui pourra les aider à
comprendre le monde informatique dans environnement
multidimensionnelle.

4. Méthodes et technique utilisées

Comme tout travail scientifique, nous avions employé des méthodes


et techniques de recherche, ci-après :

4.1. Méthodes utilisées

 Analytique
Cette première nous aidera après récolte de données, de parvenir à
une décomposition de manière détaillée de ces dernières pour mieux
procéder à l’examen avec précision de notre étude.

 Statistique
Cette dernière méthode nous prêtera son assistance pour recueillir
quelques éléments, de les regrouper et de les analyser
techniquement afin d’appuyer notre argument.

4.2. Techniques utilisées

Cette technique servira de grand apport pour nous, car les différents
entretiens au cours desquels nous allons recueillir les opinions des
différents ingénieurs travaillant dans ce domaine, dans plusieurs
entreprises de la place vont nous permettre de pouvoir bien
circonscrire notre étude.
 Observation :
L’autorisation de recherche et la lettre de stage académiques
obtenues auprès de notre institut, nous permettront d’effectuer des
visites d’observation. Ainsi nous puiserons d’autres éléments de
source, pour que nous parvenions à bien réaliser ce projet.
 Documentation :
Cette technique par laquelle nous puiser les informations à travers
des supports, qui peuvent être des documents écrits, édités ou non
édités, va nous amener à recourir aux différentes bibliothèques de
la ville afin de trouver d’autres éléments nécessaires au projet.
 Internet :
Le déficit de documentation sur les technologies sans fils, qui inclut
des exigences variées, nous amène à recourir aux sites web
appropriés, et des livres édités à télécharger qui constituent une
bibliothèque mondiale.
5. Délimitation du sujet

Notre étude se focalise sur Sécurisation d’un réseau Wifi de


type Extended Service Set. Nos recherches ont porté sur la
période allant de Février à septembre 2021.

6. Canevas du Travail

Hormis l’introduction et la conclusion, notre travail scientifique se


subdivise en trois chapitres et qui se présentent comme suit :

 Chapitre I : Etat de l’Art de la norme IEEE 802.11


 Chapitre II : Sécurité Réseau et Wifi
 Chapitre III : Déploiement d’un ESS sécurisé

CHAPITRE I. ETAT DE L’ART DE LA NORME IEEE 802.11

I.1. Historique1
Le sans-fil est à la mode aujourd’hui. Pourtant, c’est déjà de l’histoire
ancienne. Cette histoire commence à la fin du XIX ème siècle avec la
découverte des ondes électromagnétiques par le physicien allemand
Heinrich Hertz en 1888. Dix ans plus tard, le 5 novembre 1898,
Eugène Ducretet, assisté d’Ernest Roger, établit la première
1
Aurélien GERON, Wifi : notions fondamentales, éd. Donud, Paris, 2008, pg 156 - 200
communication radio à longue distance, sur 4 Kilomètres, entre la
Tour Eiffel et le Panthéon : c’est le début de la Télégraphie sans fil.
Le premier véritable réseau numérique sans fil date de 1970 : cette
année-là, des chercheurs de l’université d’Hawaï sous la Direction de
Norman Abramson réunissent les technologies radio et les
technologies numériques de communication par paquets de
données. Il s’agit du réseau sans fil Alohanet. Pour la première fois,
plusieurs ordinateurs reliés entre eux grâce aux ondes radio. Ce
réseau sans fil s’offre même le luxe d’une connexion par satellite à
Arpanet, l’ancêtre de l’Internet crée en 1969.

C’est en 1997 que l’Institue of Electrical and Electronics Engineers


(IEEE) ratifiait son premier standard 802.11 qui promettait des débits
théoriques de 1 à 2 Mbit/s avec une fréquence de 2,4 GHz. Cette
bande de fréquence radio a l’avantage d’être utilisable sans licence
dans de très nombreux pays. Dès la fin 1999, la Wireless Ethernet
Compatibility Alliance (WECA) vit le jour. Il s’agit d’une association à
but non lucratif composée de plus de 200 acteurs du marché sans fil
et dont le but est de promouvoir les produits respectant les normes
sans fil de la série 802.11. Comme aujourd’hui sous le nom de WiFi
Alliance, cette association a eu un rôle majeur dans le succès actuel
du WiFi (Wireless Fidelity). L’une de ses premières actions a été de
définir un ensemble de contrôles de qualité et des tests
d’interopérabilité permettant de garantir qu’un produit respecte bien
les normes IEEE et qu’il peut s’interconnecter avec des produits
d’autres fournisseurs. Un produit passant ces tests avec succès
reçoit le label de WiFi qui est un gage de qualité et d’interopérabilité.
Notons qu’à l’origine, le terme WiFi désignait uniquement le label de
qualité, mais par extension, il est à présent employé pour désigner la
technologie elle-même.

I.2. La couche physique

I.2.1. Une vue d’ensemble

La toute première version du 802.11, publiée en 1997, s’appelait


simplement 802.11. La dénomination portant maintenant à
confusion (car on utilise maintenant ce nom pour désigner
l’ensemble des protocoles de la série), on lit 802.11 legacy pour
désigner cette première version, ce qui signifie littéralement 802.11
hérité ou encore 802.11 historique. Les 802.11 legacy définit trois
couches physiques : l’une sur l’infrarouge et les deux autres ondes
Radio de fréquences 2,4 GHz, avec un débit théorique de 1 ou 2
Mbit/s. La couche physique reposant sur l’infrarouge n’a jamais
connu le succès, sans doute parce que de meilleurs produits, basés
sur l’infrarouge et standardisés par IrDA existaient déjà. Sur les deux
couches radio, l’une utilise la modulation radio de type DSSS et
l’autre de type FSSS. On appelle donc simplement les couches
802.11 DSSS et 802.11 FHSS. La couche 802.11 DSSS a connu des
améliorations (802.11b et 802.11g), alors que la couche 802.11
FHSS a plus ou moins été abandonnée.

I.2.2. Les Trames 802.11

Lorsqu’un paquet de données doit être envoyé sur les ondes,


l’adaptateur WiFi commence par le traiter au niveau de la couche
MAC. En bref le paquet est éventuellement fragmenté et les
fragments sont encapsulés dans des paquets appelés des MAC
Protocol Data Unit (MPDU). La couche physique a pour responsabilité
de transmettre sur les ondes les MPDU fournis par la couche MAC et
inversement de fournir à la couche MAC les paquets reçus sur les
ondes. Au niveau de la couche physique, le MPDU est incluse dans
une trame 802.11 dont la structure est la suivante :

I.3. La Couche liaison de données 2

En effet, l’IEEE divise la couche liaison de données en deux couches


superposées : en haut la couche de contrôle de liaison logique
(Logical Link Control : LLC) et la couche de contrôle d’accès au
support (MAC).

La couche LLC est standardisée par IEEE sous le nom 802.2 depuis le
débit des années 1980. Son but est de permettre aux protocoles
réseaux de niveaux 3 (exemple IP) de reposer sur une couche unique
(la couche LLC) quel que soit le protocole sous-jacent utilisé, dont le
WiFi, l’Ethernet ou le Token Ring. L’en – tête du paquet LLC indique
le type du protocole de niveau qu’il contient (IP ou IPX). De son côté,
la couche MAC est le cerveau du WiFi. La première version 802.11
(802.11 legacy publié en 1997), a défini la couche MAC en y
intégrant un certain nombre de fonctionnalités cruciales, telles que
le partage de la parole entre utilisateurs, les modalités de connexion
2
Philippe ATELIN, Wifi professionnel : 802.11 : sécurisation & déploiement, éd.
DUNOD, Paris, 2010
au réseau, le contrôle au réseau, le contrôle d’erreur ou encore la
sécurité. Cette couche définit également les adresses du réseau,
tous périphériques possèdent un identifiant de 48 bits (6 octets)
connu sous le nom d’adresse MAC. Les trois premiers octets
désignent le fabricant du matériel réseau. Par exemple, en notation
hexadécimale, 00-00-0C correspond au constructeur Cisco, 00-O4-23
correspond à Intel Corporation.

Tableau 1.1 : Présentation du WiFI

Couche Liaison de 802.2


données (MAC) 802.11
Couche Physique (PHY DSSS FHSS Infrarouge

I.4. Les évolutions du 802.113

I.4.1. Définitions et normes

La norme IEEE 802.11 ou WiFi est en réalité la norme initiale


offrant des débits de 1 ou 2 Mbit/s. Des révisions ont été apportées à
la norme originale afin d’améliorer le débit ; (c’est le cas des normes
802.11a, 802.11b et 802.11g, appelées normes 802.11 physique) ou
des détails de sécurité ou d’interopérabilité.

Tableau 1.2 : Présentation des différentes révisions de la


norme 802.11 et leur signification
Norme Nom Description
802.11a WiFI 5 La norme 802.11a (baptisée WiFi 5) permet
d’obtenir un haut débit (dans un rayon de 10
m : 54 Mbit/s théoriques, 27 Mbit/s réels). La
norme 802.11a spécifie 52 Canaux de sous
porteuses radio dans la bande de fréquence
des 5 GHz (bande U-NII ou Unlicensed –
National International Infrastructure), huit
combinaisons, non superposées sont
utilisables pour le canal principal
802.11b WiFI La norme 802.11b est la norme la plus
répandue en base installée actuellement. Elle
propose un débit théorique de 11 Mbit/s (6
Mbit/s réels) avec une portée pouvant aller

3
Fabrice LEMAINQUE, Tout sur les réseaux sans fils, p. 5 – 56, éd. Dunod, Paris,
2006
jusqu’à 300 m (en théorie) ; dans un
environnement dégagé. La plage de
fréquences utilisées est la bande des 2,4 GHz
(bande ISM, Industrial Scientific Medical)
802.11c Pontage La norme 802.11c n’a pas d’intérêt pour le
802.11 grand public. Il s’agit uniquement d’une
vers modification de la 802.1d afin de pourvoir
802.1d établir un pont avec les trames 802.11
(niveau liaison de données)
802.11d Internation La norme 802.11d est un supplément à la
alisation norme 802.11 dont le but est de permettre
une utilisation internationale des réseaux
locaux 802.11. Elle consiste à permettre aux
différents équipements d’échanger des
informations sur les plages de fréquences et
les puissances autorisées dans le pays
d’origine du matériel
802.11e Améliorati La norme 802.11e vise à donner des
on de la possibilités en matière de qualité de service
qualité de (Qos, quality of service) au niveau de la
service couche liaison de données. Ainsi, cette norme
à pour but de définir les besoins des
différents paquets en termes de bande
passante et de délai de transmission de
manière à permettre ; notamment, une
meilleure transmission de la voix et de la
vidéo
802.11f Itinérance La norme 802.11 est une recommandation à
(roaming) l’intention des vendeurs de points d’accès
pour une meilleure interopérabilité des
produits. Elle propose le protocole IPRP (Inter-
access Point Roaming Protocol) permettant à
un utilisateur itinérant de changer de point
d’accès de façon transparente lors d’un
déplacement, quelles que soient les marques
des points d’accès présentes dans
l’infrastructure réseau. Cette possibilité est
appelée itinérance (roaming)
802.11g La norme 802.11g est actuellement la plus
répandue dans le commerce. Elle offre un
haut débit (54 Mbit/s théoriques, 25 Mbit/s
réels) sur la bande de fréquences des 2,4
GHz et propose une compatibilité ascendante
avec la norme 802.11b, ce qui signifie que
des matériels conformes à la norme 802.11g
peuvent fonctionner en 802.11b. Cette
aptitude permet aux nouveaux équipements
de proposer le 802.11g tout en restant
compatibles avec des réseaux existants
souvent encore en 802.11b. Il est possible
d’utiliser au maximum 4 canaux non
superposés (1-5-9-13)
802.11h La norme 802.11h vise à rapprocher la norme
802.11 du standard européen (HiperLAN 2,
d’où le h de 802.11h) et être en conformité
avec la réglementation européenne en
matière de fréquence et d’économie
d’énergie
802.11i La norme 802.11i a pour but d’améliorer la
sécurité des transmissions (gestion et
distribution des clés, chiffrement et
authentification). Cette norme s’appuie sur
l’AES (Advanced Encryption Standard) et
propose un chiffrement des communications
pour les transmissions utilisant les
standards802.11a, 802.11b et 802.11g
802.11IR La norme 802.11IR a été élaborée de
manière à utiliser des signaux infrarouges.
Cette norme est désormais techniquement
dépassée
802.11j La norme 802.11j est à la réglementation
japonaise ce que le 802.11 est à la
réglementation européenne
802.11n WWiSE La norme 802.11n est attendue fin 2008. Le
(World débit théorique atteint les 600 Mbit/s (débit
Wide réel de 100 Mbit/s dans un rayon de 90 m)
Spectrum grâce aux technologies MIMO (Multi Input
Efficiency) Multi Output) et OFDM (Orthogonal
ou TGn Frequency Division Multiplexing). En avril
Sync 2006, des périphériques à la norme 802.11n
commencent à apparaitre, fondés sur le Draft
1.0 (brouillon 1.0) ; le Draft 2.0 est sorti en
mars 2007, les périphériques basés sur ce
brouillon seront compatibles avec la version
finale attendue pour septembre 2008. Des
équipements qualifiés de pré-N sont
disponibles depuis 2006 : ce sont des
techniques MIMO d’une propriétaire, sans
rapport avec la norme 802.11n. le 802.11n a
été conçu pour pouvoir utiliser les fréquences
2,4 GHZ ou 5 GHz. Les premiers adaptateurs
802.11n actuellement disponibles sont
généralement simple bande à 2,4 GHz, mais
des adaptateurs double bande (2,4 GHz ou 5
GHz au choix) ou même double radio (2,4
GHz et 5 GHz simultanément) sont
également disponibles. Le 802.11n saura
combiner jusqu’à 8 canaux non superposés,
ce qui permettra en théorie d’atteindre une
capacité totale effective de presque 1 Gbit/s
802.11s Réseau La norme 802.11s est actuellement en cours
maillé d’élaboration. Le débit théorique atteint
(mesh) aujourd’hui 10 à 20 Mbit/s. Elle vise à mettre
en œuvre la mobilité sur les réseaux de type
ad hoc tout point qui reçoit le signal est
capable de le retransmettre. Elle constitue
ainsi une toile au-dessus du réseau existant.
Un des protocoles utilisé pour mettre en
œuvre son routage est OLSR

I.4.2. Portées et débits

Les normes 802.11a, 802.11b et 802.11g appelées normes physique,


correspondant à des révisions standard 802.11 et proposant des
modes de fonctionnement, permettant d’obtenir différents débits en
fonction de la portée.

Tableau 1.3 – bande de fréquence et débits


Standard Bande de Débit
fréquence
WiFI a (802.11a) 5 GHz 54 Mbit/s
WiFi b (802.11b) 2,4 GHz 11 Mbit/s
WiFi g (802.11g) 2,4 GHz 54 Mbit/s
WiFi ac (802.11ac) 5 GHz 450 Mb/s à 1,3 Gb/s (1 300 Mb/s
WiFi ad (802.11ad) 2,4 GHz,
WiGig 5 GHz et
60 GHz

Différentes implémentations de la norme IEEE 802.11 ont été


développées au fil des ans. Voici les principales :
 802.11 : diffusée en 1997 et désormais obsolète, il s'agit de la
norme WLAN originale fonctionnant dans la bande 2,4 GHz ;
elle offrait des débits jusqu'à 2 Mb/s. Lorsque cette norme a été
créée, les LAN filaires fonctionnaient à 10 Mb/s ; la nouvelle
technologie sans fil n'a donc pas été adoptée avec
enthousiasme. Les périphériques sans fil disposent d'une
antenne destinée à l'émission et à la réception des signaux
sans fil.
 IEEE 802.11a : diffusée en 1999, cette norme est utilisée sur
la bande de fréquences 5 GHz, peu utilisée, et offre des débits
jusqu'à 54 Mb/s. Cette norme s'appliquant à des fréquences
élevées, elle possède une zone de couverture plus petite et est
moins efficace pour pénétrer des structures de bâtiments. Les
périphériques sans fil disposent d'une antenne destinée à
l'émission et à la réception des signaux sans fil. Il n'existe pas
d'interopérabilité entre les périphériques fonctionnant sous
cette norme et les normes 802.11b et 802.11g.
 IEEE 802.11b : diffusée en 1999, cette norme est utilisée sur
la bande de fréquences 2,4 GHz et offre des débits jusqu'à
11 Mb/s. Les périphériques mettant en oeuvre cette norme ont
une portée plus longue et sont davantage capables de pénétrer
les structures de bâtiments que les périphériques basés sur la
norme 802.11a. Les périphériques sans fil disposent d'une
antenne destinée à l'émission et à la réception des signaux
sans fil.
 IEEE 802.11g : diffusée en 2003, cette norme est utilisée sur
la bande de fréquences 2,4 GHz et offre des débits jusqu'à
54 Mb/s. Les périphériques implémentant cette norme
fonctionnent par conséquent aux mêmes portées et
radiofréquences que la norme 802.11b mais avec la bande
passante de la norme 802.11a. Les périphériques sans fil
disposent d'une antenne destinée à l'émission et à la réception
des signaux sans fil. Elle offre une rétrocompatibilité avec la
norme 802.11b. Cependant, lors de la prise en charge d'un
client 802.11b, la bande passante globale est réduite.
 IEEE 802.11n : diffusée en 2009, elle fonctionne dans les
bandes 2,4 GHz et 5 GHz ; on parle alors de périphériques
double bande. Les débits de données standard attendus varient
de 150 Mb/s à 600 Mb/s, sur une distance maximale de
70 mètres. Toutefois, pour atteindre des débits supérieurs, les
clients sans fil et les points d'accès doivent recourir à plusieurs
antennes, en utilisant la technologie MIMO. Celle-ci fait appel à
plusieurs antennes utilisées à la fois comme émetteur et
comme récepteur, pour améliorer les performances de
communication. La configuration peut compter jusqu'à quatre
antennes. La norme 802.11n offre la rétrocompatibilité avec les
périphériques 802.11a/b/g. Toutefois, la prise en charge d'un
environnement mixte limite les débits de données attendus.
 IEEE 802.11ac : diffusée en 2013, elle fonctionne sur la bande
de fréquences 5 GHz et offre des débits de données allant de
450 Mb/s à 1,3 Gb/s (1 300 Mb/s). Elle utilise la technologie
MIMO pour améliorer les performances de communication. La
configuration peut compter jusqu'à huit antennes. La norme
802.11ac offre la rétrocompatibilité avec les périphériques
802.11a/n ; toutefois, la prise en charge d'un environnement
mixte limite les débits de données attendus.
 IEEE 802.11ad : prévue pour un lancement en 2014 et
baptisée « WiGig », cette norme utilise une solution Wi-Fi
tribande sur les bandes de fréquences de 2,4 GHz, 5 GHz et
60 GHz et permet des débits théoriques jusqu'à 7 Gb/s.
Cependant, la bande 60 GHz exige une portée optique et ne
peut donc passer les murs. Lorsqu'un utilisateur est itinérant, le
périphérique passe aux bandes inférieures 2,4 GHz et 5 GHz.
Cette norme offre la rétrocompatibilité avec les périphériques
Wi-Fi existants. Toutefois, la prise en charge d'un
environnement mixte limite les débits de données attendus.

I.5. Les équipements 4

I.5.1. Les adaptateurs WiFi

4
Guy POJOLLE, Les réseaux 6ème édition, Eyrolles, Paris, 2008
L’adaptateur WiFi est le composant matériel qui permet à un
équipement quelconque de communiquer en WiFi. Par exemple, pour
fonctionner, un AP utilise un adaptateur WiFi (voire plusieurs). Dans
certains AP, l’adaptateur peut même être détaché et remplacé, ce
qui permet de l’adapter à une nouvelle norme WiFi, telle que le
802.11n ou le 802.11i, sans avoir à changer tout l’AP. Il existe des
adaptateurs WiFi pour tous les goûts : certains sont présentés sous
la forme de cartes externes pouvant être branchées à un port de
type PCMCIA ou à un port Compact Flash. Certains adaptateurs sont
des cartes destinées à être branchées à l’intérieur d’un ordinateur,
sur un port PCI, Mini-PCI ou ISA. D’autres se présentent sous la forme
de boîtiers ou bâtonnets (dongle ou stick) connectés au port USB ou
FireWire d’un ordinateur fixe ou portable. De petits AP « ponts » (voir
paragraphes suivants), peuvent servir d’adaptateur WiFi à brancher
sur le port Ethernet d’un ordinateur. Enfin, certains adaptateurs sont
conçus spécialement pour être « embarqués » dans des ordinateurs
portables qui intègrent la technologieWiFi (par exemple les
ordinateurs portables Centrino d’Intel), dans des modules
spécifiques à certains PDA, dans des AP, ou encore dans des
machines industrielles, résistant à la température, aux chocs, à
l’humidité ou encore aux interférences.

Figure 1.2 – Différents Modèles d’adaptateurs WiFI

I.5.2. Le Point d’accès

Le point d’accès est le principal composant d’infrastructure d’un


réseau WiFi. Les points d’accès (AP) sont le cœur d’un réseau sans fil
de type Infrastructure. Ils gèrent de nombreuses fonctions telles que
l’authentification et l’association des stations, ou encore
l’acheminement des paquets WiFi entre les stations associées.
D’autres fonctions sont optionnelles mais très fréquentes, par
exemple :

- La gestion du hand-over : un utilisateur peut alors passer sans


déconnexion d’un AP à un autre. Pour cela, les AP concernés
doivent communiquer entre eux via le système de distribution
(DS) qui est le plus souvent un réseau filaire ;
- Le filtrage des périphériques autorisés, en fonction de leur
adresse MAC ;
- Le cryptage des données échangées et l’authentification des
périphériques grâce aux protocoles WEP, WPA ouWPA2.

Figure 1.3 – Le Point d’accès


I.5.3. Le Pont sans fil

Les ponts WiFi (bridge) permettent aux périphériques sans fil de se


connecter à un réseau filaire (en général Ethernet) : ils se contentent
pour cela de relayer les paquets reçus sur l’interface WiFi (on parle
de « port WLAN ») en paquets adaptés au réseau filaire (via le « port
LAN ») et vice versa. Les ponts simples se situent donc au niveau de
la couche OSI numéro 2 : en particulier, ils ne s’occupent pas de
routage IP (couche 3). Notons que le réseau filaire est en général
utilisé comme système de distribution pour gérer le hand-over entre
plusieurs AP d’un même réseau sans fil.

Deux types de communications sont possibles avec de tels


équipements :

- Point à point, entre 2 ponts seulement, avec des antennes


directionnelles ;
- Point à multipoints, d’un pont vers plusieurs, là encore avec les
antennes adéquates.
Figure 1.4 – Interconnexions entre Bâtiment par Pont Sans
Fil
I.5.4. Les périphériques WiFi

Les terminaux WiFi les plus courants restent les ordinateurs,


particulièrement portables, et les périphériques mobiles, types
assistants personnels communiquant. Dans les bureaux, d’autres
équipements communiquent désormais en WiFi : les
vidéoprojecteurs, les imprimantes, les caméras... Au niveau
industriel ou dans les entrepôts, les douchettes de lecture de code-
barres, depuis longtemps sans fil, se sont standardisées en adoptant
le WiFi.

Le succès de la téléphonie sur IP (VoIP) a même conduit des


constructeurs à proposer des solutions sans fil exploitant le réseau
WiFi (VoWiFi). Celles-ci ont actuellement plutôt recours à des
fonctionnements propriétaires, par exemple pour le roaming, en
attendant les standards.

Figure 1.5 – La Téléphonie sur WiFi

I.6. Les Antennes

I.6.1. Comprendre les antennes


Les antennes servent à la fois à l’émission et à la réception du signal
électromagnétique : à l’émission, elles transforment en ondes
électromagnétiques les signaux électriques générés par l’émetteur ;
à la réception, elles transforment en courant électrique une onde
électromagnétique émise par une autre antenne, de sorte qu’un
récepteur pourra l’interpréter.

Les antennes se classent en deux catégories : les antennes passives


et les antennes actives.

- Les antennes passives n’augmentent pas la puissance du


signal, mais peuvent le concentrer dans une ou plusieurs directions.

- Les antennes actives peuvent également concentrer le


signal mais elles contiennent, en plus, un amplificateur qui
peut augmenter la puissance du signal reçu ou émis. Les
caractéristiques d’une Antenne sont :

- La Directivité ;
- Le Gain ;
- Le pire ;
- Le Diagramme de Rayonnement ;
- La bande Passante ;
- La Polarisation.

1. La Directivité

Une antenne peut rayonner de plusieurs façons, ce qui détermine sa


catégorie :

- Directionnelle : elle concentre le signal dans une direction


donnée ;
- Bidirectionnelle : elle concentre le signal dans deux
directions (en général opposées) ;
- Omnidirectionnelle (ou isotrope) : elle ne concentre
théoriquement pas du tout le signal et l’émet dans toutes les
directions de l’espace, de façon homogène. Dans la pratique,
de telles antennes n’existent pas. Le rayonnement n’est jamais
homogène. Les antennes omnidirectionnelles concentrent en
général le signal, non pas selon un axe, mais en l’aplatissant
comme on écrase un ballon ;
- Sectorielle : elle est à mi-chemin entre l’antenne
directionnelle et l’antenne omnidirectionnelle en concentrant le
signal dans une demi-sphère, ou un faisceau très large

2. Le Gain

Lorsqu’on est dans l’axe d’une antenne directionnelle, on observe un


gain de puissance par rapport à un émetteur isotrope. Ce gain est
mesuré en décibels isotropes, notés dBi. Plus une antenne passive
concentre le signal dans un faisceau étroit, plus le gain de l’antenne
est élevé. Il est important de retenir que le gain d’une antenne
s’applique autant au signal émis qu’au signal reçu.

3. Le pire

La puissance du signal perçu par un observateur est plus grande si


ce signal est concentré en direction de l’observateur grâce à une
antenne directionnelle et non diffusé de façon homogène dans
l’espace. Si l’on remplace une antenne directionnelle par une
antenne parfaitement omnidirectionnelle, il faut alors augmenter la
puissance de l’émetteur pour que le récepteur perçoive la même
puissance qu’auparavant. La puissance de cet émetteur
omnidirectionnel équivalent est appelée la Puissance isotrope
rayonnée équivalente (PIRE).

4. Le Diagramme de rayonnement

Dans la réalité, les antennes n’ont jamais un profil de rayonnement


aussi simple qu’un faisceau homogène. Le cœur du faisceau est plus
dense que la périphérie. La limite du faisceau n’est pas nette. Il y a
souvent des lobes de rayonnement multiples. Ainsi, pour mieux
connaître une antenne, on peut consulter son diagramme de
rayonnement. Celui-ci montre avec précision une projection du
rayonnement de l’antenne dans un plan (horizontal ou vertical).
Figure 1.8 – Les Différentes Digrammes de Rayonnements

5. La Bande Passante
La dimension et la structure d’une antenne déterminent sa
fréquence de résonance, c’est-à-dire la fréquence qu’elle émettra et
qu’elle captera le mieux. Autour de cette fréquence de résonance,
les fréquences voisines seront légèrement atténuées en émission
comme en réception. La bande passante de l’antenne est la portion
du spectre radio située autour de cette fréquence de résonance et
pour laquelle l’atténuation est inférieure à une limite qu’on s’est
fixée.

6. La Polarisation

La forme et le positionnement physique des éléments de


l’antenne orientent le champ électrique de l’onde. Cette polarisation
est une combinaison de directions horizontales, c'est-à-dire
parallèles à la surface de la terre et verticales, soit perpendiculaires.
L’antenne isotrope, ce fameux modèle théorique de référence
possède une polarisation de 360°, horizontalement comme
verticalement.

I.6.2. Les Connecteurs et Câbles

Pour relier une antenne à un adaptateur WiFi ou à un AP, on utilise


en général des câbles coaxiaux (du fait de leur faible impédance). Il
est recommandé de limiter autant que possible la distance entre
l’émetteur et l’antenne, afin d’éviter de perdre une trop grande
partie du signal dans le câble, mais aussi car plus le câble est long,
plus il est sensible au bruit électromagnétique ambiant. En fonction
des constructeurs de matériels, les connectiques sont différentes.
Les principaux modèles sont les suivants :

- MMCX
- RP-SMA
- RP-TNC

Figure 1.9 – Les Différents Connecteurs


I.6.3. Formats d’Antennes

1. L’antenne Fouet

L’antenne fouet est une simple tige métallique Sa longueur


est un facteur simple de la longueur d’onde (par exemple le quart de
la longueur d’onde) Elle est omnidirectionnelle, mais le signal est
atténué verticalement. Elle peut ainsi aider à mieux couvrir un étage
dans un bâtiment tout en limitant le débordement du signal aux
étages voisins. On la place en général au centre d’une pièce, plutôt
en hauteur (accrochée au plafond) pour éviter les obstacles. La
plupart des AP sont vendus avec une ou deux petites antennes de ce
type.

Figure 1.10 – Les Différents formats d’antenne fouet

2. L’antenne Patch

Cette antenne est formée par une plaque de métal,


généralement rectangulaire, mais qui peut prendre d’autres formes.
Elle contient des éléments rayonnants, placés par paires, en
diversité. Assez plats, ces modèles s’utilisent généralement à
l’intérieur, où ils peuvent être quelque peu camouflés. Le produit le
plus utilisé en entreprise est le patch de 6 dBi avec un faisceau de
60◦ horizontalement et 30◦ verticalement.
Figure 2.9 – Antenne Patch
3. Les Paraboles

Les paraboles sont des antennes directionnelles ayant un


gain compris-le plus souvent entre 13 et 24 dBi. Ce sont les mêmes
types d’antennes utilisées pour la télévision par satellite par
exemple. Il existe des variantes grillagées, moins coûteuses, offrant
moins de prise au vent. Elles ont souvent entre 30 cm et 1 m de
diamètre, ce qui les rend difficiles à installer et à régler. Elles servent
donc essentiellement à établir des liaisons de point à point entre des
bâtiments distants. Leur polarisation est à nouveau axiale.

4. Les antennes Yagi

Les antennes Yagi sont des antennes directionnelles en


forme de « râteau » : elles sont constituées d’une tige à laquelle sont
accrochées perpendiculairement plusieurs tiges métalliques de
longueur variable. La bande passante et le diagramme de
rayonnement sont déterminés par la longueur de ces tiges et leur
espacement. Elles sont peu coûteuses et offrent un gain assez
important. Ce type d’antennes est souvent utilisé pour capter la
télévision hertzienne, par exemple. Leur polarisation est encore une
fois axiale.
I.7. L’architecture de WiFI5

I.7.1. Le Mode Ad Hoc

Dans les réseaux de type Ad Hoc, chaque périphérique communique


directement avec les périphériques situés à sa portée, sans passer
par un intermédiaire. Ce mode est pratique pour l’échange de
données entre quelques stations en l’absence d’une quelconque
infrastructure réseau (aucun point d’accès). Le réseau ainsi constitué
s’appelle un Independent Basic Service Set (IBSS).
Malheureusement, le mode Ad Hoc a deux inconvénients majeurs.
Premièrement, il peut parfois être assez pénible à configurer.
Deuxièmement, ce mode Ad Hoc ne spécifie pas comment deux
stations peuvent communiquer entre elles par l’intermédiaire d’une
troisième : aucun protocole de routage n’est prévu. Autrement dit, le
mode Ad Hoc ne permet que de parler avec ses voisins directs, et il
ne permet pas, tout seul, la mise en place ce qu’on appelle un «
réseau maillé » (en anglais, « mesh network »), c’est-à-dire un
réseau où les stations peuvent communiquer les unes avec les
autres par l’intermédiaire d’autres stations. Pour y parvenir, on doit
rajouter au mode Ad Hoc un protocole de routage adapté aux
réseaux maillés.

IBSS

5
LUKELE KALUNGA, Notes de cours de réseaux II, G2 RTM, ESMICOM, 2018 –
2019, inédit
Figure 1.11 – Plusieurs stations reliées entre elles en mode Ad Hoc
(IBSS)
I.7.2 Le mode Infrastructure

Dans les réseaux de type Infrastructure, chaque périphérique est


relié au réseau via un point d’accès (AP) WiFi. On dit que le
périphérique est le « client » et l’AP le « maître ». Un réseau de ce
type s’appelle un Basic Service Set (BSS) et couvre un espace
qu’on appelle une « cellule » ou Basic Service Area (BSA). L’AP sert
de relais entre les périphériques, mais il peut aussi servir de relais
vers un réseau filaire, par exemple votre réseau d’entreprise.

BSS

Figure 1.11 – Un réseau infrastructure composé d’une seule cellule


(BSS)

Plusieurs points d’accès peuvent être déployés pour


atteindre une plus large couverture WiFi. Ces BSS multiples peuvent
être reliés par un système de distribution (Distribution System, DS)
de façon à former un unique réseau sans fil étendu. Le DS peut être
un réseau filaire Ethernet (cas le plus fréquent), un câble de point à
point, ou encore une liaison sans fil ! Il est alors possible à un
utilisateur de se déplacer dans l’ensemble de la zone de couverture
sans souffrir de ralentissement ou d’interruption de sa connexion :
en cas de besoin, la liaison bascule automatiquement (c’est le hand-
over) vers le point d’accès offrant la meilleure connexion. On parle
dans ce cas d’Extented Service Set qui couvre naturellement un
espace appelé l’Extended Service Area (ESA), composé de plusieurs
cellules.
Système de Distribution

(Ethernet – WiFi)

SSID=ESMICOM
SSID=ESMICOM

BSS BSS

ESS

EBB
Figure 1.13 – Un réseau infrastructure comportant plusieurs cellules
(ESS)
I.7.3. Mode répéteur

Ce mode permet d’étendre la portée d’un réseau WIFi, lors que la


portée d’un point d’accès est insuffisante pour permettre à tous les
utilisateurs de se connecter. Le répéteur en lui-même est un point
d’accès muni d’un émetteur qui réémet le signal amplification.

Internet

Figure 1.12 – Mode répéteur

I.8. Les modulations radio

I.8.1. Quelques rappels sur les ondes radio

Les ondes radio, également appelées ondes hertziennes car


elles furent découvertes par le physicien allemand Heinrich Hertz en
1888, sont des ondes électromagnétiques, c’est-à-dire des
oscillations combinées d’un champ électrique et d’un champ
magnétique dont la fréquence varie de 3Hz à 3000GHz. Les ondes
radio, les infrarouges, la lumière visible, les ultraviolets, les rayons X
ou encore les rayons gammas sont tous des exemples d’ondes
électromagnétiques. Ces ondes transportent de l’énergie sans avoir
besoin d’un quelconque support matériel (contrairement au son, par
exemple) : autrement dit, elles peuvent se propager dans le vide.

- La Fréquence de l’onde (F) : est le nombre d’oscillation par


seconde, mesurée en Hz.
- La Période (T) : est la durée d’une oscillation complète, elle
se mesure en seconde (s), elle est simplement l’inverse de la
fréquence.
- La vitesse de propagation de l’onde dans l’espace : on
parle de célérité notée c et mesurée en mètres par seconde
(m/s). Dans le vide, elle est égale à la vitesse de la lumière :
C= 299 792 458 m/s soit environ
300. 000 Km/s.
- La longueur d’onde notée λ et est mesurée en mètres (m),
est la distance parcourue par l’onde pendant une oscillation.
(λ= ).
- L’amplitude : est la hauteur de l’onde, elle s’exprime en
(Teslas : T)
- La puissance : dépend de l’amplitude et de la fréquence. Elle
se mesure en Watt (W). On parle également de décibels de
milliwatt notés dBm.

- La phase de l’onde notée φ est la position de l’onde dans le


temps (en degrés).

I.8.2. Modulation

1. Notions fondamentales
La modulation consiste à faire varier l’un des paramètres
(amplitude, fréquence et phase) de la porteuse au rythme du signal
modulant.
Dans un système analogique, on utilise trois types de
modulations à savoir :
- Modulation d’amplitude ou Amplitude modulation (AM)
- Modulation de fréquence ou frequency modulation (FM)
- Modulation de phase ou phase modulation (PM)

La porteuse sinusoïdale est produite localement dans l’équipement


de transmission (Emetteur) par un générateur de signal appelé
Oscillateur Local ou Maitre Oscillateur.

2. Modulation WiFi
Le Wifi utilise trois types de modulations à savoir :
- Frequency Hopping spread spectrum (FHSS);
- Direct Sequence Spread Spectrum (DSSS) ;
- Orthogonal Frequency Division Multiplexing (OFDM).
Le FHSS n’est utilisé que dans la première version du
standard 802.11.

Le 802.11a repose exclusivement sur l’OFDM, le 802.11b


exclusivement sur le DSSS et le 802.11g utilise le DSSS ou l’OFDM,
en fonction du débit souhaité. Le 802.11n repose sur l’OFDM
exclusivement lorsqu’on le règle sur un canal à 5 GHz, et sur le DSSS
ou l’OFDM à 2,4 GHz.

3. Le FHSS

La modulation FHSS (Frequency Hopping Spread Spectrum)


a été inventée et brevetée en 1942 par l’actrice Hedy Lamarr et le
pianiste George Antheil, qui étaient assez polyvalents ! Le principe
du FHSS est assez simple : une large bande de fréquences est
divisée en de multiples canaux et les communications se font en
sautant (hopping) successivement d’un canal à un autre, selon une
séquence et un rythme convenus à l’avance entre l’émetteur et le
récepteur.Le FHSS offre également une résistance importante aux
interférences voire même aux brouillages volontaires car les canaux
pour lesquels le bruit est trop important peuvent être simplement
évités. Toutefois, le 802.11 FHSS n’exploite pas cette capacité,
contrairement au Bluetooth et au HomeRF qui sont deux
technologies sans fil utilisant la modulation FHSS. Un dernier
avantage du FHSS est que plusieurs communications peuvent avoir
lieu en même temps sur la même bande de fréquences pourvu
qu’elles utilisent des séquences de canaux ne rentrant pas en
collision les unes avec les autres.

4. Les DSSS
La modulation DSSS (Direct Sequence Spread Spectrum) est
également une technique d’étalement de spectre, mais
contrairement au FHSS, aucun saut de fréquence n’a lieu : le DSSS
provoque des transitions d’état très rapides (chipping) qui tendent à
étaler le spectre du signal. Pour ce faire, l’émetteur envoie une
séquence de plusieurs bits, appelés des chips, pour chaque bit
d’information à transmettre.

Le DSSS présente deux intérêts importants :


- tout d’abord, comme nous l’avons dit, le spectre de fréquences
du signal est étalé, avec tous les avantages (et les
inconvénients) que cela apporte, en particulier une meilleure
résistance au bruit ;
- le fait que l’on émette plusieurs chips pour chaque bit
d’information signifie que l’on peut avoir une redondance
importante, qui permet de corriger des erreurs de
transmission.
5. L’OFDM

La modulation OFDM (Orthogonal Frequency Division


Multiplexing), parfois appelée Discrete Multitone Modulation (DMT),
est sans doute la plus puissante des trois modulations du WiFi car
elle permet à la fois les débits les plus importants, la meilleure
résistance au multipath, mais aussi la plus grande capacité de
partage du spectre : elle est donc particulièrement indiquée en
intérieur avec une densité importante d’antennes WiFi. On la trouve
à la fois dans le 802.11g, le 802.11a et dans le 802.11n. D’autres
technologies l’exploitent, dont en particulier la technologie Digital
Subscriber Line (DSL) ou encore le Wimax.

L’OFDM repose sur le principe du multiplexage : permettre


la transmission simultanée de plusieurs communications sur une
même bande de fréquences. Il existe le multiplexage par division
des communications au cours du temps, qu’on appelle le Time
Division Multiplexing (TDM) : chaque communication dispose de sa
tranche de temps pour émettre des données et peut utiliser
l’ensemble du spectre. Le multiplexage peut également se faire en
partageant les différentes communications par fréquences : c’est le
Frequency Division Multiplexing (FDM). Un spectre assez large est
divisé en de multiples sous-porteuses (sub-carriers) et les données
sont émises simultanément sur chaque sous-porteuse. L’OFDM
utilise une fonction mathématique assez complexe pour rendre les
sous-porteuses « orthogonales », c’est-à-dire pour qu’elles
n’interfèrent pas les unes avec les autres. Dans le cas du 802.11, il
s’agit d’une transformation de Fourier inverse rapide (Inverse Fast
Fourier Transform, IFFT). Grâce à cette fonction, les porteuses sont
placées dans le spectre de fréquences de telle sorte que les pics de
puissance d’une porteuse donnée correspondent aux zéros des
autres porteuses.

CHAPITRE II. SECURITE RESEAUX ET WIFI

II.1. Définition 6

En informatique, le terme sécurité recouvre tout ce qui concerne la


protection des informations. L’ISO s’est attachée à prendre toutes
les mesures nécessaires à la sécurité des données durant leur
transmission. Ces travaux ont donné naissance à un standard
d’architecture international, ISO 7498-2 (OSI Basic Reference Model-
Part 2: Security Architecture).Cette architecture est très utile pour

6
PUKUTA MAMBUKU, Note de cours de sécurité réseaux, G3 RTM, ESMICOM, 2018 – 2019, inédit
tous ceux qui veulent implémenter des éléments de sécurité dans un
réseau car elle décrit en détail les grandes fonctionnalités et leur
emplacement par rapport au modèle de référence. Trois grands
concepts ont été définis :

 Les fonctions de sécurité, qui sont déterminées par les actions


pouvant compromettre la sécurité d’un établissement.
 Les mécanismes de sécurité, qui définissent les algorithmes à
mettre en œuvre.
 Les services de sécurité, qui représentent les logiciels et les
matériels mettant en œuvre des mécanismes dans le but de
mettre à la disposition des utilisateurs les fonctions de sécurité
dont ils ont besoin.

Les Cinq types de service de sécurité ont été définis :

 La confidentialité, qui doit assurer la protection des données


contre les attaques non autorisées.
 L’authentification, qui doit permettre de s’assurer que celui
qui se connecte est bien celui qui correspond au nom indiqué.
 L’intégrité, qui garantit que les données reçues sont exacte-
ment celles qui ont été émises par l’émetteur autorisé.
 La non-répudiation, qui assure qu’un message a bien été en-
voyé par une source spécifiée et reçu par un récepteur spécifié.
 Le contrôle d’accès, qui a pour fonction de prévenir l’accès à
des ressources sous des conditions définies et par des utilisa-
teurs spécifiés.
II.2. La protection des données

D’une manière générale, la confidentialité est assurée par le


chiffrement des messages, l’authentification des correspondants par
un échange de mots de passe plus ou moins simple, enfin le non-
désaveu est garanti par un système d’accusé de réception ou par
l’intervention d’un tiers (le notaire) qui mémorise et authentifie les
transactions (notarisation).

Le chiffrement est un mécanisme issu d’une transformation


cryptographique. Le mécanisme inverse du chiffrement est le
déchiffrement.
Les principaux mécanismes de chiffrement normalisés par l’ISO sont
les suivants :

 Le mécanisme de bourrage de trafic consiste à envoyer de


l’information en permanence en complément de celle déjà
utilisée de façon à empêcher les fraudeurs de repérer si une
communication entre deux utilisateurs est en cours ou non.
 L’authentification utilise un mécanisme de cryptographie
normalisé par la série de normes ISO 9798 à partir d’un
cadre conceptuel défini dans la norme ISO 10181-2.Dans
cette normalisation, des techniques de chiffrement symé-
trique et à clés publiques sont utilisées.
 L’intégrité est également prise en charge par l’ISO. Après
avoir défini les spécifications liées à la normalisation de l’au-
thentification dans la norme ISO 8730, cet organisme a dé-
crit le principal mécanisme d’intégrité, le CBC (Cipher Block
Chaining), dans la norme ISO 8731. La norme ISO 9797 en
donne une généralisation. La norme ISO 8731 décrit un se-
cond algorithme, le MAA (Message Authenticator Algorithm).
 La signature numérique est un mécanisme appelé à se déve-
lopper de plus en plus. Pour le moment, la normalisation
s’adapte aux messages courts, de 320 bits ou moins. C’est
l’algorithme RSA, du nom de ses inventeurs (Rivest, Shamir,
Adleman), qui est utilisé dans ce cadre (ISO 9796). Le gou-
vernement américain possède son propre algorithme de si-
gnature numérique, le DSS (Digital Signature Standard), qui
lui a été délivré par son organisme de normalisation, le NIST
(National Institute for Standards and Technology).

La gestion des clés peut également être mise en œuvre dans les
mécanismes de sécurité. Elle comprend la création, la distribution,
l’échange, le maintien, la validation et la mise à jour de clés
publiques ou secrètes. En matière d’algorithmes symétriques, la
norme ISO 8732 fait référence. De même, la norme ISO 11166 fait
référence pour les algorithmes asymétriques.

Figure 2.1. Principe de chiffrement des informations

II.3. Quelques concepts

1. Cryptographie :est une des disciplines de la cryptologie s'at-


tachant à protéger des messages (assurant confidentialité, au-
thenticité et intégrité) en s'aidant souvent de secrets ou clés.
Elle se distingue de la stéganographie qui fait passer inaperçu
un message dans un autre message alors que la cryptographie
rend un message inintelligible à autre que qui-de-droit.
2. Cryptanalyse : est la science qui consiste à décrypter un mes-
sage chiffré, c’est-à-dire tenter de déchiffrer ce message sans
posséder la clé de chiffrement. Le processus par lequel on
tente de comprendre un message en particulier est appelé une
attaque.
3. Cryptologie : étymologiquement la science du secret, ne peut
être vraiment considérée comme une science que depuis peu
de temps. Cette science englobe la cryptographie — l'écriture
secrète – et la cryptanalyse – l'analyse de cette dernière.
4. Cryptogramme : Un cryptogramme est une énigme basée sur
un message chiffré. On en trouve principalement dans les mé-
dias imprimés comme les livres, les magazines ou les journaux.
Le chiffrement est souvent simple, comme une substitution
(Chiffre de César) ou une permutation des lettres, le but du jeu
étant de retrouver le message en « clair ». Parmi les méthodes
possibles, l'analyse fréquentielle d'apparition des lettres est
celle qui est privilégiée si le chiffrement est une simple substi-
tution (substitution monoalphabétique).
5. crypto système : est un terme utilisé en cryptographie pour
désigner un ensemble composé d'algorithmes cryptogra-
phiques et de tous les textes en clair, textes chiffrés et clés
possibles

II.4. Les algorithmes de sécurité 7

Les algorithmes de chiffrement permettent de transformer un


message écrit en clair en un message chiffré, appelé cryptogramme.
Cette transformation se fonde sur une ou plusieurs clés.

II.4.1. Algorithme de chiffrement à clé sécrète (symétrique)

Les systèmes à clés secrètes sont caractérisés par une


transformation f et une transformation inverse f –1, qui s’effectuent
à l’aide de la même clé. C’est la raison pour laquelle on appelle ce
système « à chiffrement symétrique ». Le plus connu des
algorithmes de chiffrement est le DES
Les systèmes à clés symétriques ou secrètes utilisent une clé de
chiffrement et une clé de déchiffrement identiques, convenues par
avance et conservées secrètes. Ce système ne permet pas
7
Guy PUJOLLE, Op.Cit, édition Eyrolles, Paris. 872 - 876
d’identifier l’interlocuteur distant. Ces algorithmes utilisent deux
techniques : la substitution et la transposition indépendamment ou
successivement.

Le DES (Data Encryption Standard) d’origine IBM (Karl Meyer 1977)


est l’algorithme à clé symétrique le plus connu. Il consiste en une
suite de substitutions (DES-S) et de transpositions, ou permutations
(DES-P), par bloc de 64 bits.

II.4.2. Algorithme de Chiffrement à clé Publique (Asymé-


trique)

Les algorithmes de chiffrement à clé publique sont des algorithmes


asymétriques. Le destinataire est le seul à connaître la clé de
déchiffrement. La sécurité s’en trouve accrue puisque même
l’émetteur ne connaît pas cette clé. L’algorithme le plus classique et
le plus utilisé est RSA, qui utilise la quasi-impossibilité d’effectuer la
fonction d’inversion d’une fonction puissance. La clé permettant de
déchiffrer le message et que seul le destinataire connaît est
constituée de deux nombres, p et q, d’environ 250 bits chacun. La
clé publique est n = pq. Comme n est très grand, il est quasiment
impossible de trouver toutes les factorisations possibles. La
connaissance de n ne permet pas d’en déduire p et q. À partir de p
et de q, on peut choisir deux nombres, e et d, tels que ed= 1 mod (p
– 1) (q – 1). De même, la connaissance de e ne permet pas de
déduire la valeur de d. L’algorithme de chiffrement s’effectue de la
façon suivante : si M est le message à chiffrer, le message chiffré est
obtenu par Me mod n et l’algorithme de déchiffrement par(Me)d.

Figure 2.2. Principe d’algorithme de chiffrement asymétrique

Le système de cryptographie à clé asymétrique le plus répandu, le


RSA du nom de ses inventeurs (Rivest, Shamir et Adleman) repose
sur l’arithmétique des grands nombres. La fonction de chiffrement
est de la forme :

II.4.2.1. Solutions de chiffrement


Le chiffrement représente la méthode suivie pour que l’information
ne puisse pas être lue par une autre personne que le destinataire.
Les techniques de chiffrement que l’on utilise sont tout a priori
volables, mais il faudrait pour cela utiliser une machine de calcul
extrêmement puissante et la faire tourner pendant plusieurs années.

II.4.2.2. Les certificats

Une difficulté qui s’impose à la station d’un réseau qui communique


avec beaucoup d’interlocuteurs consiste à se rappeler de toutes les
clés publiques dont elle a besoin pour récupérer les clés secrètes de
session. Pour cela, il faut utiliser un service sécurisé et fiable, qui
délivre des certificats. Un organisme offrant un service de gestion de
clés publiques est une autorité de certification, appelée tiers de
confiance. Cet organisme émet des certificats au sujet de clés
permettant à une entreprise de les utiliser avec confiance. Un
certificat est constitué d’une suite de symboles (document M) et
d’une signature. Le format de certificat le plus courant provient du
standard X.509 v2 ou v3. La syntaxe utilisée est l’ASN.1.

II.5. Les algorithmes d’authentification8

L’authentification est une fonction de sécurité essentielle. Le


protocole d’authentification utilisé le plus souvent provient de la
norme IEEE 802.1x. Cette norme est très générale et s’applique
aussi bien aux réseaux terrestres qu’aux réseaux hertziens. IEEE
802.1x s’appuie essentiellement sur le protocole EAP. EAP est un
protocole d’authentification général, qui supporte de multiples
méthodes d’authentification, telles que Kerberos, TLS, MS-Chap, SIM,
etc. De nouveaux mécanismes d’authentification peuvent ainsi être
définis au-dessus d’EAP. La norme IEEE 802.1x met en présence un
supplicant, que l’on appelle client, un authenticator, qui est un
contrôleur de communication, et un serveur d’authentification. Le
client est un équipement terminal relié par une liaison filaire ou sans
fil. Le contrôleur est un équipement intermédiaire qui peut être
intégré dans un routeur ou dans un commutateur.

8
Solange GHERNAOUTI, Sécurité informatique et Réseaux, éd. Dunod, Paris, 2008, p.157-163
Figure 2.3. Principe d’authentification

II.5.1. Kerberos

Kerberos est un algorithme d’authentification fondé sur une


cryptographie. L’utilisation de cet algorithme ne permet pas à une
personne qui écoute le dialogue d’un client à l’insu de ce dernier de
se faire passer pour lui plus tard. Ce système permet à un processus
client travaillant pour un utilisateur donné de prouver son identité à
un serveur sans avoir à envoyer de données dans le réseau.
Kerberos a été développé à partir des années 1980 et en est
aujourd’hui à la version v5, qui peut être considérée comme le
standard Kerberos. L’idée sous-jacente est que le processus client
doit prouver qu’il possède la clé de chiffrement qui est connue des
seuls utilisateurs de base et du serveur.

II.6. Environnements de sécurité

Un environnement de sécurité fait référence à un ensemble


d’équipements qui peuvent se faire confiance grâce à des
mécanismes de sécurité qui leur permettent d’entrer dans le même
cercle de confiance.

II.6.1. PGP

PGP est un algorithme permettant de sécuriser la messagerie


électronique en lui apportant authentification et confidentialité. PGP
permet le chiffrement et la signature de documents par le biais d’un
chiffrement symétrique avec IDEA ou DES, d’une fonction de
hachage MD5 ou SHA-1 et d’une clé RSA.

II.6.2. L’infrastructure PKI

La distribution sécurisée de clés publiques est une question cruciale


pour un système global sécurisé, à laquelle l’infrastructure PKI
(Public Key Infrastructure) offre une solution. Les principales
fonctions réalisées par une infrastructure PKI pour la gestion des
certificats sont les suivantes :

 Enregistrement de demandes et vérification des critères pour


l’attribution d’un certificat. L’identité du demandeur est vérifiée
ainsi que le fait qu’il soit bien en possession de la clé privée as-
sociée.
 Création des certificats.
 Diffusion des certificats entraînant la publication des clés pu-
bliques.
 Archivage des certificats pour assurer la sécurité et la pérenni-
té.
 Renouvellement des certificats en fin de période de validité.
 Suspension des certificats : cette fonction peut être utile si le
propriétaire estime ne pas avoir besoin temporairement de son
certificat. Cependant, n’étant pas aisée à mettre en œuvre, elle
est essentiellement administrative, et il n’existe pas de stan-
dard d’implémentation.
 Révocation de certificats pour péremption, perte, vol ou com-
promission de clés.
 Création et publication des listes de révocation des certificats.
 Délégation de pouvoir à d’autres entités reconnues de
confiance.

II.7. Sécurité Wifi9

La difficulté de préserver la sécurité d’un réseau filaire est amplifiée


avec un réseau sans fil. La sécurité doit être une priorité pour tout
utilisateur ou administrateur de réseaux.

Un WLAN n’est ouvert à toute personne située à proximité d'un point


d'accès et disposant des données d'identification nécessaires pour
s'y associer. Moyennant une carte réseau sans fil et une
connaissance des techniques de piratage, un pirate n’a pas
forcément besoin de pénétrer physiquement dans l’espace de travail
pour pouvoir accéder à un réseau local sans fil.

Les risques de sécurité sont encore plus importants lorsqu'il s'agit de


réseaux d'entreprise, car le fonctionnement d'une entreprise repose
sur la protection de ses informations. Pour une entreprise, les failles
de sécurité peuvent avoir de graves répercussions, surtout si elle
possède des informations financières relatives à ses clients. Les
réseaux sans fil sont de plus en plus courants dans les entreprises
et, dans de nombreux cas, ils sont passés de simple confort à un
composant critique du réseau. Bien que les WLAN aient toujours été
la cible d'attaques, leur popularité croissante en a fait une cible
majeure pour les criminels.

Les attaques peuvent être le fait de personnes extérieures à


l'entreprise et d'employés mécontents, mais aussi la conséquence
accidentelle de l'action d'un employé. Les réseaux sans fil sont
particulièrement sensibles à certaines menaces, notamment :

9
Philippe ATELIN, Op.cit, éd. DUNOD, Paris, 2010
 intrusions sans fil ;

 applications criminelles ;

 interception de données ;

 attaques DoS.

II.7.1. Type d’attaques sans fil

1.Attaque par déni de service (DoS)

Les attaques DoS sans fil peuvent avoir les conséquences suivantes :

 Configuration incorrecte des périphériques : des erreurs


de configuration peuvent désactiver le WLAN. Par exemple, un
administrateur peut modifier accidentellement une configura-
tion et désactiver le réseau, ou encore un intrus disposant de
privilèges d'administrateur peut intentionnellement désactiver
un WLAN.

 Perturbation volontaire des communications sans fil par


un utilisateur malveillant : l'objectif de ce type d'attaque est
de désactiver le réseau sans fil totalement, ou suffisamment
pour qu'aucun périphérique légitime ne puisse accéder au sup-
port.

 Interférences accidentelles : les WLAN fonctionnent sur des


bandes de fréquence libres ; par conséquent, tous les réseaux
sans fil, quelles que soient leurs caractéristiques de sécurité,
sont sujets aux interférences avec d'autres appareils sans fil.
Une interférence accidentelle peut se produire avec des appa-
reils tels que les fours à micro-ondes, les téléphones sans fil,
les babyphones, etc. La bande 2,4 GHz est plus sujette aux in-
terférences que la bande 5 GHz.

Pour minimiser les risques d'attaque DoS due à une configuration


incorrecte des périphériques et à des attaques malveillantes,
renforcez tous les périphériques, protégez les mots de passe, créez
des sauvegardes et assurez-vous que toutes les modifications de
configuration sont appliquées en dehors des heures de bureau.

Des interférences accidentelles se produisent uniquement avec


l'introduction d'un appareil sans fil. La meilleure solution consiste à
surveiller le WLAN afin de détecter et de résoudre rapidement tout
problème d'interférence. La bande 2,4 GHz étant plus sujette aux
interférences, il est préférable d'utiliser la bande 5 GHz dans les
zones elles-mêmes sujettes aux interférences. Certaines solutions
WLAN permettent aux points d'accès d'ajuster automatiquement les
canaux et d'utiliser la bande 5 GHz pour compenser les
interférences. Par exemple, certaines solutions 802.11n/ac/ad
s'adaptent automatiquement pour contrebalancer les interférences.

2.Points d’accès non autorisés

Un point d'accès non autorisé est un point d'accès ou un routeur


sans fil :

 Qui a été connecté à un réseau d'entreprise sans autorisation


explicite et en violation de la stratégie de l'entreprise. Toute
personne ayant accès aux locaux peut installer (de manière
malveillante ou non) un routeur sans fil bon marché qui peut
potentiellement donner accès aux ressources d'un réseau sécu-
risé.

 Qui a été connecté ou activé par un pirate pour capturer les


données des clients, par exemple l'adresse MAC (des clients
sans fil et filaires), ou encore capturer et déguiser des paquets
de données, de manière à obtenir l'accès aux ressources du ré-
seau ou à lancer des attaques Man-in-the-Middle.

Autre élément à prendre à compte, le degré de facilité à créer un


hotspot de réseau personnel. Par exemple, un utilisateur ayant accès
au réseau sécurisé autorise son hôte Windows (qui dispose des
droits requis) à devenir un point d'accès Wi-Fi. Cette action
contourne les mesures de sécurité et permet à d'autres
périphériques non autorisés d'accéder aux ressources du réseau, en
tant que périphériques partagés.

Pour empêcher l'installation de points d'accès non autorisés, les


entreprises doivent utiliser un logiciel de surveillance afin de
contrôler activement le spectre radio à la recherche de tout point
d'accès indésirable.

3.Attaque Man-in-the-Middle

L'une des attaques les plus sophistiquées qu'un utilisateur


malveillant peut lancer est appelée attaque Man-in-the-Middle
(MITM). Il existe plusieurs méthodes pour créer une attaque MITM.

L'une des formes les plus populaires de l'attaque MITM sans fil est
appelée « hameçonnage au point d'accès » : le pirate introduit un
point d'accès non autorisé et le configure avec le même identifiant
SSID qu'un point d'accès légitime. Les lieux offrant une connexion
Wi-Fi gratuite, tels que les aéroports, les cafés et les restaurants,
sont de véritables foyers d'infection pour ce type d'attaque en raison
du mode d'authentification ouvert.

Les clients sans fil qui se connectent se retrouvent face à deux


points d'accès offrant une connectivité sans fil. Les clients placés à
proximité du point d'accès non autorisé détectent un signal plus
fort ; il est donc plus vraisemblable qu'ils s'y connectent. Le trafic
utilisateur est désormais envoyé au point d'accès non autorisé, qui à
son tour capture les données et les transmet au point d'accès
légitime. Le trafic de retour en provenance du point d'accès légitime
est envoyé au point d'accès non autorisé, capturé, puis réacheminé
vers la station à son insu. Le pirate peut dérober le mot de passe de
l'utilisateur et ses informations personnelles, accéder au réseau et
compromettre la sécurité du système de l'utilisateur.
II.7.2. Présentation de la sécurité d'un réseau sans fil10
La sécurité a toujours été une préoccupation majeure concernant le
Wi-Fi, car les frontières du réseau se sont déplacées. Les signaux
sans fil peuvent traverser les matériaux solides, tels que les plafonds
et les planchers, pour se retrouver à l'extérieur de la maison ou des
locaux professionnels. Sans l'application de mesures strictes de
sécurité, l'installation d'un WLAN peut revenir à placer des ports
Ethernet dans des lieux publics.

Pour faire face aux menaces, tenir les intrus à distance et protéger
les données, deux fonctions de sécurité préliminaires ont été
appliquées :

 Masquage SSID : les points d'accès et certains routeurs sans


fil permettent de désactiver la trame de balise SSID. Les clients
sans fil doivent alors identifier manuellement le SSID pour se
connecter au réseau.
 Filtrage des adresses MAC : un administrateur peut manuel-
lement autoriser ou refuser l'accès à des clients sans fil, sur la
base de l'adresse matérielle MAC physique.

Bien que ces deux fonctions puissent arrêter la plupart des


utilisateurs, en réalité, le masquage SSID et le filtrage des adresses
MAC ne sont pas capables de dissuader un intrus astucieux. Les
identifiants SSID sont faciles à trouver, même lorsque les points
d'accès ne les diffusent pas ; et les adresses MAC peuvent être
Jean François CARPENTIER, la sécurité informatique dans la petite entreprise,
10

éd. ENI
usurpées. Le meilleur moyen de sécuriser un réseau sans fil est
d'utiliser des systèmes d'authentification et de chiffrement.

La norme 802.11 d’origine avait établi deux types


d’authentification :

 Authentification système ouverte : tous les clients sans fil


peuvent se connecter facilement. Cette option est à utiliser uni-
quement lorsque la sécurité n'est pas une préoccupation, par
exemple dans les endroits offrant un accès Internet gratuit, tels
que les cafés et les hôtels, et dans les régions reculées.
 Authentification par clé partagée : fournit des mécanismes,
tels que WEP, WPA et WPA2, pour authentifier et chiffrer les
données entre un client sans fil et un point d'accès. Cependant,
le mot de passe doit être partagé au préalable entre les deux
parties à connecter.

Il existe trois techniques d'authentification par clé partagée :

 WEP (Wired Equivalent Privacy) : spécification 802.11 d'ori-


gine conçue pour offrir un degré de confidentialité similaire à
une connexion réseau filaire. Les données sont sécurisées à
l'aide de la méthode de chiffrement RC4, par le biais d'une clé
statique. Toutefois, la clé ne change jamais lors de l'échange
des paquets, ce qui la rend facile à pirater.

 WPA (Wi-Fi Protected Access) : norme Wi-Fi Alliance utili-


sant la technologie WEP, mais qui sécurise les données à l'aide
d'un algorithme de chiffrement TKIP (Temporal Key Integrity
Protocol) bien plus robuste. Le protocole TKIP modifie la clé
pour chaque paquet, rendant très difficile son piratage.

 IEEE 802.11i/WPA2 : IEEE 802.11i est la norme industrielle de


sécurisation des réseaux sans fil. La version Wi-Fi Alliance est
appelée WPA2. Les normes 802.11i et WPA2 utilisent toutes
deux l'Advanced Encryption Standard (AES) pour le chiffre-
ment. Le mode de chiffrement AES est actuellement considéré
comme étant le protocole de chiffrement le plus puissant.

La spécification WEP n'est plus recommandée aujourd'hui. Les clés


WEP partagées n'offrent pas une protection suffisamment robuste et
ne doivent donc jamais être utilisées. Pour contrebalancer la
faiblesse de la clé partagée WEP, la toute première approche
adoptée par les entreprises a été d'essayer d'autres techniques,
telles que le masquage SSID et le filtrage des adresses MAC. Mais
ces techniques ne se sont pas avérées non plus suffisantes.
Suite au constat de faiblesse de la sécurité WEP, des mesures de
sécurité provisoires ont vu le jour pendant un certain temps. Les
fournisseurs comme Cisco, souhaitant répondre à la demande pour
une sécurité améliorée, ont donc mis au point leurs propres
systèmes tout en aidant à faire évoluer la norme 802.11i. Dans ce
processus, l'algorithme de chiffrement TKIP a été créé, en liaison
avec la méthode de sécurité WPA de la Wi-Fi Alliance.

Les réseaux sans fil modernes doivent toujours utiliser la norme


802.11i/WPA2. WPA2 est la version Wi-Fi de la norme 802.11i ; c'est
pourquoi les termes WPA2 et 802.11i sont souvent utilisés de
manière interchangeable. Depuis 2006, tout périphérique portant le
logo de certification Wi-Fi est également certifié WPA2.

II.7.2.1. Méthodes de chiffrement

Le chiffrement est une technique utilisée pour protéger les données.


Si un intrus capture des données chiffrées, il sera incapable de les
déchiffrer pendant un délai raisonnable.

Les normes IEEE 802.11i, WPA et WPA2 (Wi-Fi Alliance) utilisent les
protocoles de chiffrement suivants :

 Protocole TKIP (Temporal Key Integrity Protocol) : TKIP


est la méthode de chiffrement utilisée par la norme WPA. Il
offre une prise en charge de l’équipement de réseau LAN sans
fil hérité en palliant les déficiences initiales inhérentes à la mé-
thode de chiffrement WEP 802.11. Le protocole TKIP est basé
sur la technique WEP, mais chiffre les données utiles de
couche 2 en TKIP et effectue un contrôle MIC (Message Integri-
ty Check) au niveau du paquet crypté pour s'assurer que le
message n'a pas été altéré.

 AES (Advanced Encryption Standard) : AES est la méthode


de chiffrement utilisée par la norme WPA2. Cette méthode a
été préférée car elle est alignée sur la norme sectorielle IEEE
802.11i. AES exécute les mêmes fonctions que le protocole
TKIP, mais offre un chiffrement bien plus solide. Elle utilise le
mode Counter Cipher (contre-chiffrement) avec le protocole
CCMP (Block Chaining Message Authentication Code Protocol),
ce qui permet aux hôtes de destination de savoir si les bits
chiffrés et non chiffrés ont été altérés.

La liste déroulante Security mode (mode de sécurité) du


réseau 2,4 GHz contient les méthodes de sécurité disponibles sur le
routeur Linksys EA6500. Elle répertorie les plus faibles (None,
aucune) comme les plus robustes (WPA2/WPA Mixed Enterprise,
WPA2/WPA mixte entreprise). La section du réseau 5 GHz contient le
même type de liste.

Les normes WPA et WPA2 prennent en charge deux types


d'authentification :

 Particulier : destinée aux réseaux domestiques et de PME/PMI,


les utilisateurs s'authentifient à l'aide d'une clé prépartagée
(PSK). Les clients sans fil s'authentifient auprès du point d'ac-
cès à l'aide d'un mot de passe prépartagé. Aucun serveur d'au-
thentification spécial n'est requis.

 Entreprise : destinée aux réseaux d'entreprise, elle requiert


un serveur d'authentification RADIUS (Remote Authentication
Dial-In User Service). Bien que plus compliquée à configurer,
cette méthode offre une sécurité renforcée. Le périphérique
doit être authentifié par le serveur RADIUS, puis les utilisateurs
doivent s'authentifier à l'aide de la norme 802.1X, qui utilise le
protocole EAP (Extensible Authentication Protocol) pour l'au-
thentification.

II.7.2.2. Authentification au sein de l'entreprise

Dans les réseaux présentant des besoins de sécurité très stricts, une
authentification ou une identification supplémentaire est requise
pour octroyer l'accès aux clients sans fil. Les options du mode de
sécurité Enterprise nécessitent l'utilisation d'un serveur RADIUS AAA
(Authentication, Authorization, and Accounting).

Reportez-vous à l'exemple présenté dans la figure. Notez les


nouveaux champs qui s'affichent lors de la sélection d'une version
entreprise de la norme WPA ou WPA2. Ces champs sont nécessaires
pour fournir au point d'accès les informations requises pour
contacter le serveur AAA :

 RADIUS Server IP address (Adresse IP du serveur RA-


DIUS) : adresse à laquelle le serveur RADIUS est accessible.
 UDP port numbers (Numéros de port UDP) : le port UDP
1812 est officiellement réservé à RADIUS Authentication et le
port 1813 à RADIUS Accounting, mais ces options peuvent éga-
lement fonctionner sur les ports UDP 1645 et 1646.
 Shared key (Clé partagée) : utilisée pour authentifier le
point d'accès auprès du serveur RADIUS.
La clé partagée n'est pas un paramètre à configurer sur une STA. Il
est obligatoire uniquement sur le point d'accès, pour
l'authentification auprès du serveur RADIUS.

Le processus de connexion 802.1X utilise le protocole EAP pour


communiquer avec le point d'accès et le serveur RADIUS. EAP est un
protocole d’authentification de l’accès réseau. Il peut fournir un
mécanisme d'authentification sécurisé et négocier une clé privée
sécurisée pouvant être utilisée pour une session de chiffrement sans
fil via TKIP ou AES.

CHAPITRE III ETUDE DE DEPLOIEMENT


III.1 Présentation

Les réseaux sans fil sont utilisés pour faciliter la mobilité des
utilisateurs surtout dans des environnements difficile d’accès. Le Wifi
est une technologie des réseaux locaux sans fil fonctionnant avec
plusieurs normes physique pour sa mise en place parmi lesquelles,
nous pouvons citer 802.11a, b, g, n, ac et ad. Pour le cas de cette
étude, on utilise la norme 802.11n.

La zone courte par un point d’accès est appelée cellule dont la


portée varie par rapport à la norme utilisée. Pour accroitre la zone de
couverture plusieurs point d’accès peuvent être utilisés pour former
ce qu’on appelle l’ESS : Extended Service set qui un réseau
fonctionnant en mode infrastructure mais le champ de couvertures a
été gonflé par l’utilisation des plusieurs points d’accès ; la mobilité
est assurée aussi des algorithmes de sécurité sont utilisés pour
sécuriser le réseau en question.

III.2. cahier de charge

N° Equipements Caractéristiq Quantité Prix Prix


ue unitaire totale
1 Point d’accès Type WTR300N 3 pour 150$ 450$
sans fil fonctionnant former un
avec la norme ESS
IEEE 802.11n
2 Laptop De type dell 4 700$ 2.800$
core duo avec
carte réseau
sans fil
fonctionnant
avec la norme
IEEE 802.11n
3 Ordinateur de Pentium 4 avec 10 350$ 3.500$
bureau de type un HDD de 200
HP GB et la RAM de
4 GiB
4 Carte réseau sans Type Hp pour 10 25$ 250$
fil les ordinateurs
fixes
fonctionnant
avec la norme
IEEE 802.11
Cout total 7.000$

III.3. schéma synoptique

Figure 3.1Schema de principe

III.4. configuration

On ouvre Internet Explorer sur une machine connectée sur un


autre port du commutateur (dans ce cas c'est notre serveur) et on
saisit l'adresse par défaut du point d'accès, http://192.168.10.1.
Une fenêtre de connexion s'affiche. Alors, on entre notre login et
notre mot de passe (ce login et ce mot de passe sont fournis avec
l'équipement) puis on va dans le menu paramètres sans fil.

Première opération de sécurité : on désactive la diffusion du


nom SSID. Puis on clique sur le bouton configuration de la liste
d'accès.
Deuxième opération de sécurité : on change le mot de passe par
défaut de l'AP et on en prend un qui soit compliqué.

Troisième opération de sécurité : on active le contrôle d'accès et


on va à la section liste d'accès. Là, on entre les adresses MAC des
clients autorisés à accéder au réseau Wi-Fi.

Figure 3.2. Accès au Point d’accès Wifi


L’écran Basic Setup est le premier écran à s’afficher lorsque vous accédez
à l’utilitaire Web. Cliquez sur l’onglet Wireless et sélectionnez l’onglet
Basic Wireless Settings.

Paramètres sans fil de base

 Mode (Network Mode) - Si votre réseau est équipé de périphé-


riques sans fil N, G et 802.11b, conservez le paramètre par défaut,
Mixed. Si vous disposez de périphériques sans fil G et 802.11b, sé-
lectionnez l’option BG-Mixed. Si vous n’avez que des périphériques
sans fil N, sélectionnez l’option Wireless-N Only. Si vous n’avez que
des périphériques sans fil G, sélectionnez l’option Wireless-G Only. Si
vous n’avez que des périphériques sans fil B, sélectionnez l’option
Wireless-B Only. Si vous souhaitez désactiver la mise en réseau sans
fil, sélectionnez Disable.
 SSID (Network Name (SSID)) - Le SSID correspond au nom de ré-
seau partagé par tous les points d’un réseau sans fil. Il doit être
identique pour tous les périphériques du réseau sans fil. Il est sen-
sible à la casse et ne doit pas dépasser 32 caractères (vous pouvez
utiliser n’importe quels caractères du clavier). Pour une sécurité ac-
crue, vous avez tout intérêt à remplacer le SSID par défaut (linksys)
par un nom unique.
 Bande radio (Radio Band) - Pour optimiser les performances dans
un réseau utilisant des périphériques sans fil N, G et B, conservez le
paramètre par défaut, Auto. Dans le cas des périphériques sans fil N
uniquement, sélectionnez Wide - 40MHz Channel. Pour la mise en ré-
seau de périphériques sans fil G et B uniquement, sélectionnez Stan-
dard - 20MHz Channel.
 Canal large (Wide Channel) - Si vous avez sélectionnez l’option
Wide - 40MHz Channel pour le paramètre Radio Band, ce paramètre
est disponible pour votre canal sans fil N. Sélectionnez un canal dans
le menu déroulant.
 Canal standard (Standard Channel) - Sélectionnez le canal pour
la mise en réseau de périphériques sans fil N, G et B. Si vous avez
sélectionné l’option Wide - 40MHz Channel pour le paramètre Radio
Band, le canal standard est un canal secondaire pour périphérique
sans fil N.

Figure 3.3. Paramétrage du SSID

Ces paramètres permettent de configurer la sécurité de votre réseau sans


fil. Le WTR300N prend en charge sept modes de sécurité sans fil, ici
répertoriés dans l’ordre de leur apparition dans l’interface graphique, du
plus faible au plus fort, hormis la dernière option (Disabled) :

 WEP
 PSK-Personal ou WPA-Personal dans le progiciel v0.93.9 ou ultérieur
 PSK2-Personal ou WPA2-Personal dans le progiciel v0.93.9 ou ulté-
rieur
 PSK-Enterprise ou WPA-Enterprise dans le progiciel v0.93.9 ou ulté-
rieur
 PSK2-Enterprise ou WPA2-Enterprise dans le progiciel v0.93.9 ou ul-
térieur
 RADIUS
 Désactivé

Pour configurer la sécurité, procédez comme suit :

 Mode (Security Mode) - Sélectionnez le mode que vous souhaitez


utiliser : PSK-Personal, PSK2-Personal, PSK-Enterprise, PSK2-Enter-
prise, RADIUS ou WEP.
 Paramètres de mode - Les modes PSK et PSK2 proposent chacun
des paramètres que vous pouvez configurer. Si vous sélectionnez le
mode de sécurité PSK2-Enterprise, votre point d’accès doit être rat-
taché à un serveur RADIUS. Si vous avez opté pour cette configura-
tion, vous devez configurer le point d’accès de sorte qu’il pointe vers
le serveur RADIUS. Adresse IP du serveur RADIUS (Radius Server) -
Entrez l’adresse IP du serveur RADIUS. Port du serveur RADIUS (Ra-
dius Port) - Entrez le numéro de port utilisé par le serveur RADIUS.
La valeur par défaut est de 1812.
 Chiffrement (Encryption) - Sélectionnez l’algorithme que vous
voulez utiliser : AES ou TKIP. (La méthode de chiffrement AES est
plus fiable que TKIP.)
 Clé pré-partagée (Pre-shared Key) - Entrez la clé partagée par le
routeur et les autres périphériques de votre réseau. Elle doit com-
porter entre 8 et 63 caractères. Renouvellement de clé (Key Rene-
wal) - Entrez la période de renouvellement de clé pour indiquer au
routeur la fréquence de remplacement des clés de chiffrement.
Figure 3.4. Configuration des paramètres de sécurité

Enfin on choisit l'option de sécurité WPA-802.1X. On entre


l'adresse IP de notre Serveur Radius et le port de
communication (par défaut 1812 pour l'authentification et 1813
pour l'accounting). Puis on entre la clé partagée qu'on a saisie
sur le serveur Radius.

La configuration de la borne d'accès terminée, nous allons pouvoir


passer à la configuration des clients d'accès Wi-Fi.

III.5 CONFIGURATION D'UN CLIENT D'ACCÈS WI-FI

L'installation du certificat est maintenant terminée. Nous allons


pouvoir passer à la configuration de la connexion réseau sans-fil.

Configuration de la connexion réseau sans-fil

On va dans Panneau de Configuration puis Connexions


réseaux.
Configuration des paramètres de base
Figure 3.5. Configuration des Paramètres IP et Connexion aux
réseaux Wifi

A partir des propriétés de la carte réseau WiFi, dans l’onglet


Configuration réseaux sans fil, bouton Afficher les réseaux
sans fil ; l à partir de l’icône d’état de l’interface WiFi, dans la barre
de notification, à côté de l’heure.
Figure 3.6. Connexion au réseau Wifi

Dans MS Windows Vista la configuration est effectuée à partir du


Centre Réseau et partage, accessible depuis le Panneau de
configuration ou de l’icône de l’interface WiFi de la barre de
notification. Il est nécessaire ensuite d’appeler "Connexion à un
réseau".

Si la station a détecté le réseau, un double clic sur l’élément suffit à


déclencher la demande association. Si des paramètres
complémentaires sont à saisir, tels qu’une clé de chiffrement, ils
pourront l’être à partir d’une boîte de dialogue proposée.
Figure 3.7. Accès au réseau Wifi

L’association manuelle

Quel que soit le logiciel de configuration de l’interface radio utilisé,


Windows ou dépendant du constructeur de la carte, il est possible
d’ajouter manuellement des caractéristiques réseaux, cette
configuration est possible à partir du Centre Réseau et partage.
Une authentification ouverte (Open System Authentication) peut ne
pas utiliser de chiffrement. Dans les cas de configuration chiffrée de
type personnelle, une clé statique doit être saisie manuellement
(WEP, WPAPSK ou WPA/WPA2 Personnel). Cette clé sert pour
l’authentification. Son numéro d’index doit correspondre à celui du
point d’accès, ou dans le mode adhoc, à celui des autres stations.

Figure 3.8. Activation de la clé de sécurité

CONCLUSION
Au terme de ce travail scientifique ayant pour intituler «Sécurisa-
tion d’un réseau Wifi de type Extended Service Set», nous
avions commencé par présenter les réseaux dans son aspect géné-
ral, ensuite nous avions donné une brève présentation de la norme
IEEE802.11 qui définit le réseau sans fil de type Wifi et s’en est sui-
vie de la sécurité réseau et Wifi ou nous avons donné les différents
objectifs de la sécurité réseau tels que la confidentialité, l’intégrité,
l’authentification et la non désaveu aussi les concepts sur la sécurité
Wifi ont été abordée avec le différentes clés Wifi (WEP, WPA, WPA2
et 802.1X ).
Nous avons fini avec le déploiement d’un réseau Wifi fonctionnant en
mode infrastructure étendu en utilisant plusieurs points d’accès pour
étendre la zone de couverture du réseau auquel nous avons implé-
menter des solutions de sécurité par la clé WPA2 d’entreprise.
Les réseaux Wi-Fi sont aujourd’hui bien implantés, et leur succès ne
se dément pas. Après avoir envahi les domiciles, ils s’attaquent à
l’entreprise. Les solutions de téléphonie IP et de télévision (IPTV) sur
Wi-Fi se développent également très vite, malgré une qualité de ser-
vice encore déficiente.
Nous ne pouvons finir ce travail sans demander votre indulgence aux
erreurs qui seront décelées tout au long de la lecture de ces notes
car comme toute œuvre humaine, elle est soumise aux imperfec-
tions de la science.

BIBLIOGRAPHIE
1. Ouvrages
[1]. Aurélien GERON, Wifi : notions fondamentales, éd. Donud, Paris,
2008, pg 156 – 200
[2]. Fabrice LEMAINQUE, Tout sur les réseaux sans fils, p. 5 – 56, éd.
Dunod, Paris, 2006
[3]. Guy POJOLLE, Les réseaux 6ème édition, Eyrolles, Paris, 2008
[4]. Jean François CARPENTIER, la sécurité informatique dans la pe-
tite entreprise, éd. ENI
[5]. Philippe ATELIN, Wifi professionnel : 802.11 : sécurisation & dé-
ploiement, éd. DUNOD, Paris, 2010
[6]. Solange GHERNAOUTI, Sécurité informatique et Réseaux, éd. Du-
nod, Paris, 2008, p.157-163
2. Notes de cours
[7]. LUKELE KALUNGA, Notes de cours de réseaux II, G2 RTM,
ESMICOM, 2018 – 2019, inédit

[8]. PUKUTA MAMBUKU, Note de cours de sécurité réseaux, G3 RTM,


ESMICOM, 2018 – 2019, inédit

Vous aimerez peut-être aussi