Introduction Générale Belkhir

ChapitreII:Etatdel’artsurlessystèmesd’authentification
Introduction générale
Les réseaux informatiques sont un ensemble d’équipements reliés entre
euxpour échanger des informations. Ils ont fait irruption dans le quotidien des
entreprisespermettant ainsi une amélioration des services qui y sont offerts.
Entreautres : le partage de ressources, la gestion centralisée de ces
ressources ainsiqu’une meilleure circulation des informations au sein de
l’entreprise.
Les réseaux informatiques sont à l’origine de la révolution de la
communicationet à l’émergence d’une société multimédia. Ils sont la
conséquence d’unpartage équitable des ressources technologiques.
L’information recherchée sur les réseaux de communication doit être
localiséetrès rapidement et dans son intégralité. Ainsi pour bénéficier des
grandsavantages que l’interconnexion des réseaux apporte, de plus en plus
d’entreprisesouvrent leurs systèmes d’informations à leurs partenaires ou
leurs fournisseursafin de satisfaire leurs besoins en matière d’échange
d’information et faire faceaux insuffisances de l’utilisation des réseaux locaux
en termes de communication.
Dans ce cas, lorsque la sécurité d’un réseau est compromise, de très
gravesconséquences peuvent en résulter, comme l’atteinte à la vie privée, le
vol d’informationset même l’engagement de la responsabilité civile.
Pour rendre cette situation encore plus difficile, les types de menaces
potentiellessont en évolution constante. De plus, la difficulté que représente la
sécuritédans son ensemble est de trouver un compromis entre deux besoins
essentiels :le besoin d’ouvrir des réseaux pour profiter de nouvelles
opportunités commercialeset le besoin de protéger des informations privées
ou publiques et des informationsstratégiques.
Pour cela la sécurité se place actuellement au premier plan de la mise
enœuvre et de l’administration réseau. L’application d’une stratégie de
sécurité efficaceest l’étape la plus importante qu’une entreprise doit franchir
pour protégerson réseau. Faisant partie de cette stratégie de sécurisation, le
contrôle de l’accèsphysique au réseau s’avère une opération efficace pour
limiter les possibilitésd’accès au réseau des entités non désirées. L’un des
moyens pour réaliserce contrôle est l’authentification des utilisateurs et
l’application de droits utilisateurs.
Notre objectif dans ce projet est de mettre en place une solution
d’authentificationpermettant de sécuriser l’accès des utilisateurs au réseau de Direction de
la reconstruction et de la construction de wilaya de Naama.Notre mémoire est organisé en
Trois chapitres : Le premier consiste à définirles notions de bases des réseaux
informatiques. Le deuxième chapitrea pour butd’étudier la solution proposée pour le
direction en se basant sur la présentationde protocole d’authentification Radius, ses
principes son fonctionnement, ainsique les protocoles sur lesquels il est épaulé, tel que la
norme 802.1X et le standardEAP. Le troisième chapitre est consacré à la mise en œuvre de
service d’authentificationRadius pour le réseau de direction de la reconstruction et de la
Page25
construction de wilaya de Naama.On présente les différents moyenset outils déployés
pour l’implémentation de cette solution (Windows 10, le simulateur GNS3,...), ainsi les
étapes de configurationmises en place pour pouvoir tester l’authentification des
utilisateurs par lemécanisme de sécurité retenu.
Finalement, nous terminerons ce mémoire par une conclusion générale qui résume notre
étude dans sa partie théorique et simulation des résultats.
Page26
Chapitre 1
Généralités sur les réseaux et

sécurité informatique
Page27
Introduction
De nos jours, Le monde connaît des avancées très significatives dans ledomaine
informatique, les besoins en matière de sécurité sont un peu plus impérieux,et la
prédisposition n’est forcément pas à la baisse. Depuis quelques années,on participe
à un changement constant des techniques, qu’il s’agisse destechniques visant à
sécuriser l’échange des données ou des techniques de miseau point pour contourner
les systèmes sécurisés. D’où, la sécurité des donnéestend à s’améliorer. Et comme
prône ce proverbe chinois : « l’art de la guerre estbasé sur la tromperie », de même
par analogie, la sécurité informatique doit représenterune stratégie qui éradique
cette tromperie.
Le besoin de communication et de partage a poussé les entreprises à
s’orientervers les réseaux informatiques et travailler d’avantage pour les améliorer
etpour les sécuriser.
La sécurité consiste à assurer que les ressources matérielles ou logiciellesd’une
organisation soient uniquement utilisées dans le cadre prévu.
Ce chapitre a pour objectif de comprendre les notions de base sur les réseaux
informatiques . Nous allons montrer les moyens et les dispositifs de sécurité utilisés
pour l’assurer afin de bien maîtriser notre sujet.
Définition d’un réseau informatique
Un réseau informatique est un ensemble de matériel et de logiciels interconnectés
les uns avec les autres dans le but de partager des ressources (équipements,
Programmes,...). Ces équipements peuvent être éloignés ou rapprochés.
En fonction de la distance entre ces appareils, nous distinguons les réseaux et les
classons comme suit:
WAN : Wide Area Network : Les réseaux étendus appelés WAN (Wide Area Network) sont destinés,
comme le nom l'indique, à transporter des données numériques sur des distances à l'échelle d'un pays,
d'un continent. Ce sont, par exemple, les réseaux des fournisseurs d'accès internet (Free, Orange, SFR...), de
grandes sociétés...
Le réseau WAN est soit terrestre en utilisant des infrastructures au niveau du sol, soit par liaison satellite.
Page28
MAN : Metropolitan Area Network :Les MAN (réseaux métropolitains) interconnectent plusieurs
réseaux locaux LAN géographiquement proches (au maximum quelques dizaines de kilomètres) à des débits
importants. Ainsi, un MAN permet à deux nœuds distants de communiquer comme si ils faisaient partie
d'un même réseau local. Ces réseaux MAN peuvent être publics ou privés.
Un MAN est formé de commutateurs ou de routeurs interconnectés par des liens hauts débits (en général
en fibre optique).
LAN : Local Area Network :Les réseaux locaux, appelés LAN (Local Area Network) sont constitués des
moyens de communication internes à un établissement, une entreprise, donc entièrement maîtrisés et
privés. La zone servie peut être un simple bâtiment, un complexe de bâtiments ou un campus.
C'est un système de communication de données limité à une zone géographique restreinte et utilisant des
débits de l'ordre de quelques Mbits/s jusqu'au Gigabits/s.
Le réseau n'emploie pas les circuits des opérateurs publics, mais peut contenir des passerelles ou des ponts
vers d'autres réseaux comme Internet.
Page29
Les topologies des réseaux :
Topologie : décrit la manière dont les périphériques réseau communiquent entre eux. NousDistinguer
les topologies physiques et décrire comment les équipements sont connectésTopologies multimédias et
logiques, qui décrivent la manière dont les équipements communiquent. Ils sont classés comme suit :
La topologie en bus :
Perspective physique : Tous les hôtes sont connectés directement à une liaison
Perspective logique : Tous les hôtes voient tous les signaux provenant de tous les autres équipements
Topologie en bus
La topologie en anneau :
Perspective physique : Les éléments sont chaînés dans un anneau fermé

Perspective logique : Chaque hôte communique avec ses voisins pour véhiculer l’information
Topologie enanneau
Page30
Une variante de cette topologie est le double anneau ou chaque hôte est connecté à 2 anneaux. Ces deux anneaux
ne communiquent pas entre eux. Le deuxième anneau est utilisé comme lien redundant en cas de panne sur le
premier.
La topologie en étoile :
Perspective physique : Cette topologie comporte un nœudcentral d’où partent toutes les liaisons avec les autres
nœuds.
Perspective logique : Toutes les informations passent par un seul équipement, par exemple un concentrateur
Topologie enétoile
Définition Méthode d'accès :

Une méthode d'accès peut être décomposée en deux parties. La première est la partie de l'ordinateur
responsable de la transmission et de la réception des données, principalement vers les dispositifs de stockage. Il
peut s'agir d'une carte réseau, d'un modem ou d'un adaptateur sans fil. La seconde partie est le logiciel qui gère
les données accédées et utilisées. Il s'agit de programmes tels que les systèmes d'exploitation, les traitements de
texte et les bases de données.Ils sont classés comme suit :
La méthode CSMA/CD : La méthode CSMA/CD (Carrier Sense Multiple Access / Collision Detection) est
dérivée d'un système de transmission radio appelé Aloha. Son principe est de laisser chacun libre de gérer ses
émissions en fonction de ses besoins et de la disponibilité du média.
Page31
Topologie de CSMA/CD
La méthode FDDI (Fiber Distributed Data Interface) : FDDI est un réseau en anneau (double anneau), il
utilise la fibre optique multimode, le débit nominal est de 100 Mbps et la distance maximale couverte de 100
kilomètres. FDDI supporte jusqu'à 1000 stations distantes l'une de l'autre de moins de 2 kilomètres.
Topologie FDDI
La méthode Token Ring : Le TOKEN ring est le protocole le plus répandu après Ethernet. Il a été
développé par IBM. Sa popularité est due au fait qu'il fonctionne avec les produits IBM et les produits non IBM. Le
TOKEN ring utilise la technologie du jeton non adressé sur anneau.
L'anneau se présente sous la forme d'un bis unidirectionnel fermé.
Dans le cas d'Ethernet s'était bidirectionnel.
De façon simple, un anneau à jeton consiste en un ensemble de station connecté en série par un seul support de
transmission, le jeton passe d'une station active en une autre en suivant l'unique sens de transmission prédéfini.
Topologie TOKEN RING

Page32
L’architecture de réseau :
LE RÉSEAU CLIENT/SERVEUR : L'architecture client/serveur désigne un mode de communication entre

plusieurs ordinateurs d'un réseauqui distingue un ou plusieurs clients du serveur : chaque logiciel client peut
envoyer des requêtes à unserveur. Un serveur peut être spécialisé en serveur d'applications, de fichiers ou
encore de messagerieélectronique.Les postes de travail n’ont seulement besoin que d’un petit bout de
logiciel (appelé client) pour seconnecter au serveur et ce quel que soit le système d’exploitation installé sur
les postes de travail.
Schéma de fonctionnement d'un système client/serveur
LE RÉSEAU POSTE À POSTE (PEER TO PEER) : Un autre type d'architecture réseau est le poste à
poster (peer-to-peer en anglais, ou P2P), dans lequelchaque ordinateur ou logiciel est à la fois client
et serveur. Cette architecture ne convient que pour unpetit réseau.
Schéma réseau Peer-to-peer
Modèle OSI
Page33
un ensemble de spécifications pour une architecture réseau permettant la connexion d’équipements
hétérogènes. Le modèle OSI normalise la manière dont les matériels et les logiciels coopèrent pour
assurer la communication réseau, il est organisé en 7 couches successives.
Modèle OSI
L’architecture en 7 couches du modèle OSI : Le modèle OSI est constitué de 7 couches successives. Chacune de
ces 7 couches
est spécialisée dans une tâche bien précise. Les données de l’ordinateur émetteur
traversent chacune de ces 7 couches (de haut en bas) avant d’être transmises (sous
la forme de trames) au support de communication, puis, arrivées à la destination.
La couche Physique (couche 1) : Fournit les moyens mécaniques, optiques, électroniques,

fonctionnels et procéduraux nécessairesà l’activation, au maintien et à la désactivation des
connexions physiques nécessaires à la transmissionde trains de bits.
Note : les systèmes sont interconnectés réellement au moyen de supports physiques de

communication. Ces derniers ne font pas partie de la couche Physique.
La couche Liaison de données (couche 2) : Assure la transmission d’informations entre (2

ou plusieurs) systèmes immédiatement adjacents.Détecte et corrige, dans la mesure du
possible, les erreurs issues de la couche inférieure. Les objets échangés sont souvent
appelés trames (“frames”).
Page34
La couche Réseau (couche 3) : Achemine les informations à travers un réseau pouvant être
constitué de systèmes intermédiaires(routeurs). Les objets échangés sont souvent appelés
paquets (“packets”).
La couche Transport (couche 4) :Assure une transmission de bout en bout des données.
Maintient une certaine qualité de la transmission, notamment vis-à-vis de la fiabilité et de
l’optimisation de l’utilisation des ressources. Les objets échangés sont souvent appelés
messages (de même pour les couches supérieures).
La couche Session (couche 5) :Fournit aux entités coopérantes les moyens nécessaires pour
synchroniser leurs dialogues, les interrompre ou les reprendre tout en assurant la
cohérence des données échangées.
La couche Présentation (couche 6) :Se charge de la représentation des informations que les
entités s’échangent. Masque l’hétérogénéité de techniques de codage utilisées par les
différents systèmes.
Page35
La couche Application (couche 7) : Donne aux processus d’application les moyens

d’accéder à l’environnement de communication del’OSI. Comporte de nombreux
protocoles adaptés aux différentes classes d’application.
Note : les fonctionnalités locales des applications proprement dites sont hors du champ de
l’OSI donc de la couche Application .
Le modèle TCP/IP : Le protocole TCP/IP (Transmission Control Protocol/Internet Protocol) est la langue de
communication élémentaire qu'utilise Internet. TCP/IP sert aussi de protocole de communication sur les
réseaux privés, de type intranet ou extranet. Le modèle TCP/IP peut en effet être décrit
comme une architecture réseau à 4 couches :
La couche hôte réseau :Cette couche est assez "étrange". En effet, elle semble "regrouper" les
couches physique et liaisonde données du modèle OSI. En fait, cette couche n'a pas vraiment été
spécifiée ; la seule contraintede cette couche, c'est de permettre un hôte d'envoyer des paquets IP
sur le réseau. L'implémentationde cette couche est laissée libre. De manière plus concrète, cette
implémentation est typique de latechnologie utilisée sur le réseau local. Par exemple, beaucoup de
réseaux locaux utilisent Ethernet;Ethernet est une implémentation de la couche hôte-réseau.
La couche internet : Cette couche est la clé de voûte de l'architecture. Cette couche réalise
l'interconnexion des réseaux(hétérogènes) distants sans connexion. Son rôle est de permettre
l'injection de paquets dansn'importe quel réseau et l'acheminement des ces paquets
indépendamment les uns des autres jusqu'à destination. Comme aucune connexion n'est établie au
préalable, les paquets peuvent arriver dans ledésordre ; le contrôle de l'ordre de remise est
éventuellement la tâche des couches supérieures.
Du fait du rôle imminent de cette couche dans l'acheminement des paquets, le point critique de
cette
couche est le routage. C'est en ce sens que l'on peut se permettre de comparer cette couche avec
la couche réseau du modèle OSI.
La couche internet possède une implémentation officielle : le protocole IP (Internet Protocol).
Remarquons que le nom de la couche ("internet") est écrit avec un i minuscule, pour la simple et
bonne raison que le mot internet est pris ici au sens large (littéralement, "interconnexion de
réseaux"), même si l'Internet (avec un grand I) utilise cette couche.
Page36
La couche transport :Son rôle est le même que celui de la couche transport du modèle OSI :
permettre à des entités paires de soutenir une conversation.
Officiellement, cette couche n'a que deux implémentations : le protocole TCP (Transmission Control
Protocol) et le protocole UDP (User Datagram Protocol). TCP est un protocole fiable, orienté
connexion, qui permet l'acheminement sans erreur de paquets issus d'une machine d'un internet à
une autre machine du même internet. Son rôle est de fragmenter le message à transmettre de
manière à pouvoir le faire passer sur la couche internet. A l'inverse, sur la machine destination, TCP
replace dans l'ordre les fragments transmis sur la couche internet pour reconstruire le message
initial. TCP s'occupe également du contrôle de flux de la connexion.
UDP est en revanche un protocole plus simple que TCP : il est non fiable et sans connexion. Son
utilisation présuppose que l'on n'a pas besoin ni du contrôle de flux, ni de la conservation de l'ordre
de remise des paquets. Par exemple, on l'utilise lorsque la couche application se charge de la
remise en ordre des messages. On se souvient que dans le modèle OSI, plusieurs couches ont à
charge la vérification de l'ordre de remise des messages. C'est là une avantage du modèle TCP/IP
sur le modèle OSI, mais nous y reviendrons plus tard. Une autre utilisation d'UDP : la transmission
de la voix. En effet, l'inversion de 2 phonèmes ne gêne en rien la compréhension du message final.
De manière plus générale, UDP intervient lorsque le temps de remise des paquets est prédominant.
La couche application :Contrairement au modèle OSI, c'est la couche immédiatement supérieure à

la couche transport, tout simplement parce que les couches présentation et session sont apparues
inutiles. On s'est en effet aperçu avec l'usage que les logiciels réseau n'utilisent que très rarement
ces 2 couches, etfinalement, le modèle OSI dépouillé de ces 2 couches ressemble fortement au
modèle TCP/IP.
Cette couche contient tous les protocoles de haut niveau, comme par exemple Telnet, TFTP (trivial
File Transfer Protocol), SMTP (Simple Mail Transfer Protocol), HTTP (HyperText Transfer Protocol).
Le point important pour cette couche est le choix du protocole de transport à utiliser. Par exemple,
TFTP (surtout utilisé sur réseaux locaux) utilisera UDP, car on part du principe que les liaisons
physiques sont suffisamment fiables et les temps de transmission suffisamment courts pour qu'il
n'y ait pas d'inversion de paquets à l'arrivée. Ce choix rend TFTP plus rapide que le protocole
FTP qui utilise TCP. A l'inverse, SMTP utilise TCP, car pour la remise du courrier électronique, on
veut que tous les messages parviennent intégralement et sans erreurs.
Encapsulation de données :
Lorsque les données d'application descendent la pile de protocoles en vue de leur transmission sur le support
réseau, différents protocoles ajoutent des informations à chaque niveau. C'est ce qu'on appelle communément
l'encapsulation.
La forme que prend une donnée sur n'importe quelle couche est appelée unité de données de protocole. Au cours
de l'encapsulation, chaque couche suivante encapsule l'unité de données de protocole qu'elle reçoit de la couche
supérieure en respectant le protocole utilisé. À chaque étape du processus, une unité de données de protocole
possède un nom différent qui reflète ses nouvelles fonctions. Bien qu'il n'existe aucune convention universelle
d'attribution des noms pour les unités de données de protocole, dans ce cours, les unités de données de protocole
sont nommées en fonction des protocoles de la suite TCP/IP, comme illustré dans la figure :
Page37
 Donnée : terme générique attribué à l'unité de données de protocole utilisée à la couche application
 Segment : unité de données de protocole de la couche transport
 Paquet : unité de données de protocole de la couche réseau
 Trame : unité de données de protocole de la couche liaison de données
 Bits : unité de données de protocole de la couche physique utilisée lors de la transmission physique des
données via le support
Routage IP :
Le routage est le processus de sélection du chemin dans un réseau. Un réseau informatique est composé de
nombreuses machines, appelées nœuds, et de chemins ou de liaisons qui relient ces nœuds. La communication
entre deux nœuds d'un réseau interconnecté peut s'effectuer par de nombreux chemins différents. Le routage est
le processus qui consiste à sélectionner le meilleur chemin à l'aide de certaines règles prédéterminées.Il existe trois
types de routage différents, qui dépendent de la manière dont le routeur crée ses tables de routage :
Par défaut (chemins directement connectés) :La route par défaut est la route qui prend effet
lorsqu'aucune autre route n'est disponible vers une adresse IP de destination.
La route par défaut dans IPv4 est définie sur 0.0.0.0/0 ou simplement 0/0. De même, dans IPv6, la route par
défaut est spécifiée comme ::/0. Le masque de sous-réseau /0 identifie tous les réseaux et constitue la
correspondance la plus courte possible. La recherche d'une route qui ne correspond à aucune autre route
utilise cette route si elle est configurée et activée dans la table de routage. Pour être active, l’adresse du
saut suivant configurée doit être accessible.
Routage statique :Dans le routage statique, un administrateur réseau configure et définit manuellement
les routes réseau à l'aide de tables statiques. Le routage statique est utile dans les situations où la
conception ou les paramètres du réseau doivent rester constants.
Page38
La nature statique de cette technologie de routage laisse présager des inconvénients, tels que la congestion
du réseau. Alors que les administrateurs peuvent configurer des routes de sauvegarde en cas de défaillance
de la liaison, le routage statique réduit généralement l'adaptabilité et la résilience des réseaux, ce qui
entraîne des performances réseau limitées.
Routage dynamique :Dans le routage dynamique, les routeurs créent et mettent à jour les tables de
routage au moment de l'exécution, en fonction des conditions réelles du réseau. Ils essaient de trouver le
chemin le plus rapide entre la source et la destination à l'aide du protocole de routage dynamique, qui est
un ensemble de règles qui crée, gère et met à jour la table de routage dynamique.
Le principal avantage du routage dynamique est qu’il s’adapte aux conditions changeantes du réseau,
notamment le volume du trafic, la bande passante et les pannes du réseau.
Sécurité informatique :
Définition : C’est l’ensemble des moyens et techniques mis en œuvre afin de minimiser les
vulnérabilités d’un système, en prévention des menaces accidentelles ou intentionnelles .
Critères de la sécurité :
Ces Critères représentent des services de sécurité, en effet un service utilise un ou plusieurs mécanismes de
sécurité. Il convient de distinguer:
Confidentialité : consiste à assurer que seuls les tiers autorisés aient accès aux
Page39
informations (sur le réseau ou en transit) considérées comme étant discrètes, et empêcher
par cela toute divulgation de celle-ci.
Disponibilité : consiste à toujours garantir la continuité de l’accès àun service, à des
informations ou à des ressources, c’est-.-dire maintenir le bon fonctionnement du
syst.me d’information.
Intégrité : consiste à garantir que les donn.es stockées ou en transit sur le réseau ne
soient pas altérées (de manière intentionnelle ou fortuite), et que celles-ci sont bien celles
que l’on croit être.
Authentification : consiste à garantir la justesse de l’identité d’un utilisateur ou d’un équipement.
En effet, un système doit être sûr de l’identité d’une entité pour lui données un accès, il doit
vérifier que le sujet est bien celui qu’il prétend être.
Contrôle d’accès : permet de contrôler les autorisations d’une entité en se basant sur son identité
ou son rôle dans le but de limiter les accès à des ressources ou services protégés. Le contrôle
d’accès ne peut être efficace sans une authentification.
Non-répudiation : consiste à garantir l’inaptitude de nier une transaction entre des
correspondants, donc la transmission sur le réseau ne pourra pas être remise en cause.
Terminologie de la sécurité informatique
La sécurité informatique utilise un vocabulaire bien défini donc il est nécessaire de définir certains
termes :
 Les vulnérabilités : ce sont les failles de sécurité dans un ou plusieurs systèmes. Tout système vu dans sa
globalité présente des vulnérabilités, qui peuvent être exploitables ou non.
 Les attaques (exploits): elles représentent les moyens d’exploiter une vulnérabilité. Il peut y avoir plusieurs
attaques pour une même vulnérabilité mais toutes les vulnérabilités ne sont pas exploitables.
 Les contre-mesures : ce sont les procédures ou techniques permettant de résoudre une vulnérabilité ou de
contrer une attaque spécifique (auquel cas il peut exister d’autres attaques sur la même vulnérabilité).
 Les menaces : ce sont des adversaires déterminés capables de monter une attaque exploitant une
vulnérabilité.
Types de menaces :
Les menaces sont divisées en deux parties (types d’attaques, techniques d’attaque) comme suit :
Les attaques réseaux :
Les attaques directes :C'est la plus simple des attaques. Le hacker attaque directement sa victime à
partir de son ordinateur. La plupart des "script kiddies" utilisent cette technique. En effet, les
programmes de hack qu'ils utilisent ne sont que faiblement paramétrables, et un grand nombre de
ces logiciels envoie directement les packets à la victime.
Page40
Lorsque l'on se fait attaquer de la sorte, il y a de grandes chances pour que l'on puisse remonter à
l'origine de l'attaque, identifiant par la même occasion l'identité de l'attaquant.
Les attaques indirectes par rebond :Cette attaque est très prisée des hackers. En effet, le rebond a
deux avantages :
• Masquer l'identité (l'adresse IP) du hacker

• Eventuellement, utiliser les ressources de l'ordinateur intermédiaire car il est plus puissant (CPU,
bande passante...) pour attaquer
Le principe en lui même, est simple : Les paquets d'attaque sont envoyés à l'ordinateur
intermédiaire, qui répercute l'attaque vers la victime. D'où le terme de rebond.
Si vous êtes victime de ce genre d'attaque, il n'est pas facile de remonter à la source. Au plus
simple, vous remontrez à l'ordinateur intermédaire.
Les attaques indirectes par réponses :Cette attaque est un dérivé de l'attaque par rebond. Elle offre
les mêmes avantages, du point de vue du hacker. Mais au lieu d'envoyer une attaque à l'ordinateur
intermédiaire pour qu'il la répercute, l'attaquant va lui envoyer une requête. Et c'est cette réponse
à la requête qui va être envoyée à l'ordinateur victime.
Page41
Là aussi, il n'est pas aisé de remonter à la source...
Techniques d’attaques :
Les techniques d'attaque sont divisées en deux parties :
Attaques réseaux:Ce type d'attaque se base principalement sur des failles liées aux
protocoles ou à leur implémentation. Les RFC ne sont parfois pas assez spécifiques, et un
choix particulier d'implémentation dans les différents services ou clients peut entraîner un
problème de sécurité.Observons quelques attaques bien connues.
Les techniques de scan :Les scans de ports ne sont pas des attaques à proprement
parler. Le but des scans est de déterminer quels sont les ports ouverts, et donc en
déduire les services qui sont exécutés sur la machine cible (ex. : port 80/TCP pour
un service HTTP). Par conséquent, la plupart des attaques sont précédées par un
scan de ports lors de la phase Probe qui est comme nous l'avons vu, la première
phase des 5P's dans le déroulement d'une attaque.
IP Spoofing :est usurper l'adresse IP d'une autre machine. se faire passer pour une
autre machine en truquant les paquets IP. Cette technique peut être utile dans le
cas d'authentifications basées sur une adresse IP (services tels que rlogin ou ssh par
exemple).
ARP Spoofing (ou ARP Redirect) : est rediriger le trafic d'une machine vers une
autre. ET grâce à cette redirection, une personne mal intentionnée peut se faire
passer pour une autre. De plus, le pirate peut rerouter les paquets qu'il reçoit vers
le véritable destinataire, ainsi l'utilisateur usurpé ne se rendra compte de rien. La
finalité est la même que l'IP spoofing, mais on travaille ici au niveau de la couche
liaison de données.
DNS Spoofing : permet fournir de fausses réponses aux requêtes DNS, c'est-à-dire
indiquer une fausse adresse IP pour un nom de domaine. Et rediriger, à leur insu,
des internautes vers des sites pirates. Grâce à cette fausse redirection, l'utilisateur
peut envoyer ses identifiants en toute confiance par exemple.
TCP Session Hijacking : est de rediriger un flux TCP afin de pouvoir outrepasser une
protection par mot de passe. Le contrôle d'authentification s'effectuant
Page42
uniquement à l'ouverture de la session, un pirate réussissant cette attaque parvient
à prendre possession de la connexion pendant toute la durée de la session.
Attaques applicatives : Les attaques applicatives se basent sur des failles dans les
programmes utilisés, ou encore des erreurs de configuration. Toutefois, comme
précédemment, il est possible de classifier ces attaques selon leur provenance.
Les problèmes de configuration :Il est très rare que les administrateurs réseau
configurent correctement un programme. En général, ils se contentent d'utiliser les
configurations par défaut. Celles-ci sont souvent non sécurisées afin de faciliter
l'exploitation du logiciel (ex. : login/mdp par défaut d'un serveur de base de
données).De plus, des erreurs peuvent apparaître lors de la configuration d'un
logiciel. Une mauvaise configuration d'un serveur peut entraîner l'accès à des
fichiers importants, ou mettant en jeu l'intégrité du système d'exploitation. C'est
pourquoi il est important de bien lire les documentations fournies par les
développeurs afin de ne pas créer de failles.
Les scripts :Principalement web (ex. : Perl, PHP, ASP), ils s'exécutent sur un serveur
et renvoient un résultat au client. Cependant, lorsqu'ils sont dynamiques (i.e. qu'ils
utilisent des entrées saisies par un utilisateur), des failles peuvent apparaître si les
entrées ne sont pas correctement contrôlées.
L'exemple classique est l'exploitation de fichier à distance, telle que l'affichage du
fichier mot de passe du système en remontant l'arborescence depuis le répertoire
web.
Les injections SQL :Tout comme les attaques de scripts, les injections SQL profitent
de paramètres d'entrée non vérifiés. Comme leur nom l'indique, le but des
injections SQL est d'injecter du code SQL dans une requête de base de données.
Ainsi, il est possible de récupérer des informations se trouvant dans la base
(exemple : des mots de passe) ou encore de détruire des données.
Man in the middle :Moins connue, mais tout aussi efficace, cette attaque permet
de détourner le trafic entre deux stations. Imaginons un client C communiquant
avec un serveur S. Un pirate peut détourner le trafic du client en faisant passer les
requêtes de C vers S par sa machine P, puis transmettre les requêtes de P vers S. Et
inversement pour les réponses de S vers C.
Totalement transparente pour le client, la machine P joue le rôle de proxy. Elle
accédera ainsi à toutes les communications et pourra en obtenir les informations
sans que l'utilisateur s'en rende compte.
Le Déni de service :Évoqué précédemment, le déni de service est une attaque
visant à rendre indisponible un service. Ceci peut s'effectuer de plusieurs
manières : par le biais d'une surcharge réseau, rendant ainsi la machine totalement
injoignable ; ou bien de manière applicative en crashant l'application à distance.
Le cheval de Troie (Trojan horse en anglais) :est un type de logiciel malveillant, qui
ne doit pas être confondu avec les virus ou autres parasites. Le cheval de Troie est
un logiciel en apparence légitime, mais qui contient une fonctionnalité
malveillante. Son but est de faire entrer cette fonctionnalité malveillante sur
l'ordinateur et de l'installer à l'insu de l'utilisateur.
Attaques de mots de passe : Les attaques de mot de passe constituent l’une des
formes les plus courantes de violation des données d’entreprise et personnelles.
Page43
Une attaque de mot de passe est tout simplement une tentative de vol de mot de
passe par un hacker. En 2020, 81 % des violations de données étaient dues à des
informations d’identification compromises. Dans la mesure où les mots de passe ne
peuvent comporter qu’un nombre limité de lettres et de chiffres, ils deviennent de
moins en moins sécurisés. Les hackers savent que beaucoup de mots de passe sont
mal conçus. C’est la raison pour laquelle les attaques de mot de passe
continueront, et ce tant que les mots de passe seront utilisés.
Les virus :Un virus est un programme informatique situé dans le corps d'un autre
programmequi modifie le fonctionnement de l’ordinateur à l’insu de l’utilisateur.Il
se propage par duplication pour cela, il va infecter d’autres
programmesd'ordinateurs en les modifiant de façon à ce qu'ils puissent à leur tour
se dupliquer. Il agitlorsqu’il est chargé en mémoire au moment de l’exécution du
logiciel infesté.
Le ver :Un ver informatique est un programme malveillant qui se reproduit sur
plusieurs19 ordinateurs en utilisant un réseau informatique comme Internet.
Contrairement à un virus informatique, un ver n'a pas besoin d'un programme pour
se reproduire. Il exploite les différentes ressources de l'ordinateur qui l'héberge
pour assurer sa reproduction.
Moyens et techniques de sécurité :
IPS (Intrusion Prevention System)
L’IPS est un Système de Prévention/Protection contre les intrusions et non plus
seulement de reconnaissance et de signalisation des intrusions comme la plupart des
IDS le sont. La principale différence entre un IDS (réseau) et un IPS (réseau) tient
principalement en 2 caractéristiques :
Le positionnement en coupure sur le réseau de l’IPS et non plus seulement en écoute
sur le réseau pour l’IDS (traditionnellement positionné comme un sniffer sur le réseau).
La possibilité de bloquer immédiatement les intrusions et ce quel que soit le type de
protocole de transport utilisé et sans reconfiguration d’un équipement tierce, ce qui
induit que l’IPS est constitué en natif d’une technique de filtrage de paquets et de moyens de
blocage (drop connection, drop offending packets, block intruder, …).
Système de détection d’intrusion (IDS)

• Même si l’intrus parvient à franchir les barrières de protection (coupe-feu,
systèmed'authentification, etc.), il est encore possible de l’arrêter avant qu'il n’attaque. Lesoutils de
détection d'intrusion décèlent tout comportement anormal ou trafic suspect.
• Un IDS (Intrusion Detection System) est un système informatique, composégénéralement de
logiciel et éventuellement de matériel, dont le rôle est la détectiond’intrusions.
• C’est un mécanisme écoutant le trafic réseau de manière furtive afin de repérer desactivités
anormales ou suspectes et permettant ainsi d'avoir une action de prévention surles risques
d'intrusion.
• Il existe deux grandes familles distinctes d’IDS : les N-IDS (Network Based Intrusion Detection
System) et les H-IDS (Host Based Intrusion Detection System).
Logiciels antivirus :
• Les antivirus sont des logiciels conçus pour identifier, neutraliser et éliminer des logicielsmalveillants (ex.
les virus informatique).
Page44
• Un logiciel antivirus vérifie les fichiers et courriers électroniques, les secteurs dedémarrage (afin de
détecter les virus de boot), mais aussi la mémoire vive de l'ordinateur, lesmédias amovibles (clefs USB, CD,
DVD, etc.), les données qui transitent sur leséventuels réseaux (dont internet), etc.
• Parmi les méthodes utilisées :
- Les principaux antivirus se concentrent sur des fichiers et comparent alors la signature
virale du virus aux codes à vérifier. La base des signatures doit donc être très régulièrement miseà jour sur
le site de l’éditeur.
- Une autre approche pour localiser les virus consiste à détecter les comportements suspectsdes
programmes. Par exemple, si un programme tente d’écrire des données sur un programmeexécuté ou
modifier/supprimer des fichiers système, l’antivirus détectera ce comportementsuspect et en avisera
l’utilisateur qui choisira les mesures à suivre.
Pare-feu (Firewall)
• Un pare-feu (firewall en anglais), est un système physique (matériel) ou logique(logiciel) servant
d'interface entre un ou plusieurs réseaux afin de contrôler etéventuellement bloquer la circulation des
paquets de données, en analysant lesinformations contenues dans les couches 3, 4 et 7 du modèle OSI.
• Il s'agit donc d'une machine (machine spécifique dans le cas d'un firewall matériel oud'un ordinateur
sécurisé hébergeant une application particulière de pare-feu) comportant au minimum deux interfaces
réseau :
- Une interface pour le réseau à protéger (réseau interne).
-Une interface pour le réseau externe.
• Le pare-feu représente ainsi généralement dans les entreprises un dispositif à l'entrée du réseau qui
permet de protéger le réseau interne d'éventuelles intrusions en provenance des réseaux externes
(souvent internet).
Réseau privé virtuel (VPN)

• Dans les réseaux informatiques, le réseau privé virtuel (Virtual Private Network en anglais, abrégé en
VPN) est une technique permettant aux postes distants de communiquer de manière sûre, tout en
empruntant des infrastructures publiques (internet).
Page45
• Un VPN repose sur un protocole, appelé protocole de tunnelisation, c'est-à-dire un protocole permettant
aux données passant d'une extrémité à l'autre du VPN d'être sécurisées par des algorithmes de
cryptographie.
VLAN (Virtual Local Area Network) :
Un Virtual Local Area Network (VLAN) est un sous-réseau logique créé à l’intérieur d’un réseau physique.
Contrairement à un réseau local traditionnel où tous les appareils sont sur le même segment de réseau, un VLAN
permet de regrouper des appareils en fonction de critères comme la fonction, le département ou la
sécurité.Chaque VLAN est indépendant des autres. Ceci permet de les configurer ou de les gérer de manière
séparée.
Leur fonctionnement repose sur l’étiquetage des trames Ethernet, imaginé en 1998 par la Digital Equipment
Corporation (DEC) avec la publication du protocole IEEE 802.1Q.
Chaque trame est marquée avec une étiquette spécifique qui indique à quel VLAN elle appartient. Les
commutateurs réseau utilisent ces étiquettes, afin d’acheminer les trames uniquement vers les ports appropriés.
Ceci garantit que seuls les appareils du même VLAN puissent communiquer entre eux. Il s’agit d’une méthode
efficace d’isolation logique des groupes d’appareils au sein du réseau.
Proxy :
Un serveur proxy est à l'origine d'une machine faisant fonction d'intermédiaire entre les
ordinateurs d'un réseau local et Internet. La plupart du temps le serveur proxy est utilisé pour le
Page46
web, il s'agit donc d'un proxy HTTP, toutefois il peut exister des serveurs proxy pour chaque
protocole applicatif (FTP).
Le principe de fonctionnement basique d'un serveur proxy est assez simple. Il s'agit d'un
serveur «mandaté» par une application pour effectuer une requête sur Internet à sa place. Ainsi,
lorsqu'un utilisateur se connecte à Internet à l'aide d'une application cliente configurée pour utiliser
un serveur proxy, celle-ci va se connecter en premier lieu au serveurproxy et lui donner sa requête. Le
serveur proxy va alors se connecter au serveur que l'application cliente cherche à joindre et lui transmettre
la requête. Le serveur va ensuitedonner sa réponse au proxy, qui va à son la transmettre tour à l'application
cliente .
L’authentification :
C’est la vérification d’informations relatives à une personne ou à un processus informatique.
L’authentification permet de prouver une identité déclarée. Dans un serveur, un processus de contrôle
valide l’identité et après authentification, donne l’accès aux données, applications, bases de données,
fichiers ou sites Internet.
Cryptographie :
la cryptographie est une technique d'écriture où un message chiffré est écrit à l'aide de codes secrets ou de clés
de chiffrement. La cryptographie est principalement utilisée pour protéger un message considéré comme
confidentiel. Cette méthode est utilisée dans un grand nombre de domaines, tels que la défense, les technologies
de l'information, la protection de la vie privée, etc.
Cryptographie symétrique : Les algorithmes de chiffrement symétrique se fondent sur une même
clé pour chiffrer et déchiffrer un message. L'un des problèmes de cette technique est que la clé, qui
doit rester totalement confidentielle, doit être transmise au correspondant de façon sûre. La mise
en œuvre peut s'avérer difficile, surtout avec un grand nombre de correspondants car il faut autant
de clés que de correspondants.
Cryptographie asymétrique : La cryptographie asymétrique, ou cryptographie à clé publique est un
domaine relativement récent de la cryptographie. Elle permet d'assurer la confidentialité d'une
communication, ou d'authentifier les participants, sans que cela repose sur une donnée secrète
partagée entre ceux-ci, contrairement à la cryptographie symétrique qui nécessite ce secret partagé
préalable.
Signature:
Signature numérique : Une signature numérique ou un ID est plus communément appelé certificat
numérique. Pour signer numériquement un document Office, vous devez disposer d’un certificat
Page47
numérique actuel (qui n’a pas expiré). Les certificats numériques sont généralement émis par une
autorité de certification, qui est une entité tierce approuvée qui émet des certificats numériques pour
une utilisation par d’autres parties. Il existe de nombreuses autorités de certification tierces
commerciales auprès desquelles vous pouvez acheter un certificat numérique ou obtenir un certificat
numérique gratuit. De nombreuses institutions, gouvernements et entreprises peuvent également
émettre leurs propres certificats.
Certificats: Un certificat numérique est nécessaire pour une signature numérique, car il fournit les clé
publique qui peuvent être utilisés pour valider la clé privée associée à une signature numérique. Les
certificats numériques permettent d’utiliser des signatures numériques comme moyen d' authentifier
des informations numériques.
Conclusion
Le proverbe dit : « Mieux vaut prévenir que guérir ». Au terme du parcours
des divers aspects de la sécurité des systèmes d’information, nous pouvons dire
qu’en ce domaine prévenir est impératif, parce que guérir est impossible et de toute
façon ne sert à rien. Lorsqu’un accident ou un pirate détruit les données de
l’Entreprise et que celle-ci n’a ni sauvegarde ni site de secours. La dépendance des
particuliers et des organisations aux réseaux informatiques et aux technologies
internet amènent ces dernières à se confronter à différents degrés de vulnérabilités
qui sont loin d’être négligeables. La maîtrise des nouvelles technologies par le grand
public engendre un accroissement des menaces et une diversification d’outils
d’attaques qui ne cessent de se perfectionner.
Il devient donc urgent de mettre en place des mécanismes pour satisfaire au mieux
les besoins de la sécurité. L’un des mécanismes incontournables est la mise en place
d’une politique de sécurité qui doit être au préalable bien réfléchie et étudiée selon
l’entreprise.
La politique de sécurité comprend un ensemble de bases définissant une stratégie,
des directives, des procédures, des codes de conduite, des règles organisationnelles
et techniques.
Dans ce chapitre, nous avons présenté quelques généralités sur les réseaux
informatiques.
Dans le chapitre qui suit nous allons aborder une présentation générale de
l’organisme d’accueil.
Page48
Introduction
Le réseau informatique de tout établissement ou de toute entreprise est le premier maillon d’une grande chaîne qu’un
utilisateur rencontre dès qu’il veut bénéficier des services qui lui sont proposés localement ou à distance dans les méandres
d’Internet.
De nos jours,L’accès à un réseau est un service très convoité notamment depuis l’expansion des réseaux ubiquitaires
reposant sur des appareils nomades (portable, PDA, tablettes, Smart phone...).Il est donc primordial de mettre en place une stratégie
de contrôle d’accès et un système d’authentificationfiable regroupant ces trois aspect essentiels qui sont l’authentification,
l’attribution des interdictions ou de permissions une fois authentifié, etenfin garder une traçabilité sur les utilisateurs du réseau.
De tels enjeux nécessitent une connaissance des usages en matière de système d'authentification. Dans l'optique de consolider
cette connaissance, nous allons aborder dans cette partie :
- L’authentification(Définition,lestechniquesexistantes,exemplede protocoles)
- LeAAAoutriple-A
- Etudedequelquesprotocolestriple-A
Définitiondel’authentification
L’authentification est un mécanisme qui permet de prouver l’identité dont se réclame une entité (utilisateur, application,
équipement…) ayant à interagir avec les autres objets du système d’informations, elle sert donc à valider l'authenticité de l'entité en
question. Selon le mécanisme d’authentification mis en œuvre, il existe quatre principaux facteurs pouvant être utilisés pour assurer
cette fonction qui sont:
 Facteurmémoriel:Cequel’onsait(motdepasse,login)
 Facteurcorporel:Cequel’onest(empreintedigitale,reconnaissance vocale)
 Facteurmatériel:Ceque l’onpossède(carte àpuce,certificatnumérique)
 Facteurréactionnel:Cequel’onsaitfaire(signature manuscrite)
Figure2.1 :Authentificationparempreinte digitale
Page49
Lestechniquesd’authentificationsfaibles
Toute procédure d'authentification inclue au moins deux parties : un demandeur, qui présente une identité, et un
vérificateur, qui s'assure de sa validité. L’authentification faibleest un système de vérification utilisant un seul facteur parmi les
quatre (mémoriel, corporel, matériel, réactionnel). La méthode la plus répondu est l'authentification par mot de passe. Il constitue
donc un «secret partagé entre l'utilisateur et le système auprès duquel il s'authentifie» : prouver qu'il connaît ce secret donne
l'assurance que son identité est correcte. Toutefois, la principale faiblesse de cette technique provient justement de ce que les mots de
passe peuvent facilement être dévoilés ou découverts et font objet de plusieurs typesd'attaques telle que la recherche exhaustive de
mots de passe à partir de leur texte chiffré, le rejeu de mots de passe, l’usurpation de l’identité du demandeur légitime…etc.
Lestechniquesd’authentificationfortes
Cette technique apparaît comme étant une alternative et apporte des solutions pour pallier les faiblesses de l'authentification
faible et de corroborer l'identité affichée par un demandeur d’un service. Son concept repose sur la combinaison de deux facteurs
d'authentification (double vérification). A partir de là, il devient possible d'imaginer toute combinaison de ces
facteurstantquesaréalisationrestetechniquementfaisableparexempleunecartemagnétique et une identification par l'iris. Ces
informations sont mises en relation avec une solution de gestion des identités et des accès, elle-même en relation avec un annuaire de
l'entreprise qui référencie tous les utilisateurs du parc informatique ainsi que leurs droits .
L’authentificationfortereposesurlesservicesdesécuritésuivants:
 La cryptographie
 Lescertificatsnumériques
 Lemot depasseàusage uniquele(OneTimePassword)
 Labiométrie
Page50
Lacryptographie
Les données qui peuvent être lues et comprises sans mesures spéciales sont appelées texte clair. Le procédé qui consiste à
dissimuler du texte clair de façon à cacher sa substance est appelée cryptographie ou chiffrement. Le chiffrement des données
futinventé pour assurer la confidentialité des données. Il est assuré par un système de clé (algorithme) appliqué sur le message.
Ce dernier est décryptable par une clé unique correspondant au cryptage.
Ilexisteàl’heureactuelledeux grandsprincipes decryptage:lecryptage symétrique basé sur l’utilisation d’uneclé privée et
le cryptage asymétrique qui repose sur un codageà deux clés, une privée et l’autre publique. [09]
Lecryptage symétrique
Lecryptageàcléprivéeousymétriqueestbasésuruneclé(oualgorithme)partagée entre les deux parties communicantes.
Cette même clé sert à crypter et décrypter les messages exemple d’algorithme de cryptage symétrique : DES, le Triple DES
et l'AES.
Figure2.2:Cryptage symétrique.
Lecryptage asymétrique
Pour pallier la complexité induite par la gestion de la distribution des clés par cryptographie symétrique. Un autre
type de cryptage qualifié d’asymétrique a été conçuet utilisé largement dans le monde de l’internet.Ce système de cryptage
utilise deux clés différentes pour chaque utilisateur, une privée et n’est connue que de l’utilisateur, l’autre publique et donc
accessible par tout le monde.
Les clés publiques et privées sont mathématiquement liées par l’algorithme de cryptage de telle manière qu’un
message crypté avec une clé publique ne puisse être décrypté qu’avec la clé privée correspondante. Une clé est donc utilisée
pour le cryptage etl’autrepourledécryptage.Cecryptageprésentel’avantagedepermettreleplacement
Page51
designaturesnumériquesdanslemessageetainsipermettrel’authentificationde l’émetteur.
Figure2.3:Lecryptageasymétrique.
Exempled’algorithmedecryptageasymétrique:leRSA.
Lecryptageàclémixte
Il combine la cryptographie symétrique et asymétrique. La cryptographieasymétrique est intrinsèquement lente à cause
des calculs complexes qui y sont associés, alors que la cryptographie symétrique brille par sa rapidité. Toutefois, cette dernière
souffre d'une grave lacune, on doit transmettre les clés de manière sécurisée (sur un canal authentifié). Pour pallier ce défaut,
la cryptographie hybride combine les deux systèmes afin de bénéficier des avantages (rapidité de la cryptographie symétrique
pour le contenu du message) et utilisation de la cryptographie lente uniquement pour la clé.
Lescertificatsnumériques
Pour assurer l’intégrité des clés publiques, celles-ci sont publiées avec un certificat. Un certificat (ou certificat de clés
publiques) est une structure de données qui est numériquement signée par une autorité certifiée (CA : Certification Authority).
Il contient une série de valeurs, comme le nom du certificat et son utilisation, des informations identifiant le propriétaire de la clé
publique et la clé publique elle-même, la date d’expiration et le nom de l’organisme de certificat. La CA utilise sa clé privée pour
signer le certificat et assurer ainsi une sécurité supplémentaire.
Si le récepteur connaît la clé publique de la CA, il peut vérifier que le certificat provient vraiment de l’autorité
concernée etassurerque le certificat contient des informations viables et une clé publique valide. [11]
Page52
L’authentificationparmotdepasseàusageunique
Les mots de passe à usage unique (one time password ou OTP en anglais) sont basés sur le principe de
challenge/réponse. Le concept est simple : Utiliser un mot de passe pour une et une seule session. De plus, ce derniern'est plus
choisi par l'utilisateur mais généré automatiquement par un serveur qui pré calcule les mots de passes, aussi, le serveur et le
client doivent utiliser le même algorithme de chiffrement (principe de la clé symétrique). Cela supprime les contraintes de :
 Longévitédumotdepasse,Lemotdepasse estutiliséuneseulefois
 Simplicité du mot de passe, Le mot de passe est calculé par l'ordinateur et non pas
choisi par un utilisateur
 Attaque par dictionnaire ou par force brute : Pourquoi essayer de cracker un mot de
passe obsolète ?
 Sniffer et chiffrement du mot de passe : Le mot de passe à usage unique peut être
envoyé en clairsurle réseau : Lorsqu'un sniffer en détecteun, il est déjàtrop tard, caril est
utilisé, et non exploitable.
Voicidanslafigure ci-dessousunexempled’unchallenge/réponseOTPasynchrone:
Figure2.4:Exempled’unchallenge/réponsed’unOTPasynchrone
Page53
La biométrie
En informatique, c’est un système d’authentification forte basée sur les caractéristiques biologiques uniques de
l'utilisateur applées aussi attributs biométriques, afin de déterminer son identité de manière irréfutable, par exemple: un
système de reconnaissancebiométriquepeutassurerl'authentification des utilisateurs du réseau grâce aux empreintes digitales. À
l'aide d'un lecteur spécial, l'utilisateur enregistre la marque laissée par un ou plusieurs de ses doigts. Les données récupérées,
servant d'identifiant, sont par la suite chiffrées dans un espace privé du disque dur et accessibles uniquement par l'utilisateur
authentifié.
Figure2.5 :Authentificationparsignature biométrique
LesProtocolesd’authentification
Les protocoles ou les mécanismes d’authentification décrits dans cette partie, ont tout d’abord été des protocoles de la
deuxième couche du model OSI (appelée liaison), puisqu’ils ont été initialisés par le Protocole PPP qui permet l’ouverture de session
sur le réseau RTC. Actuellement, ils sont également utilisés dans la couche réseau grâce au passage de PPP à PPPoA (over ATM) et
PPPoE (over Ethernet) qui sont principalement utilisés pour ouvrir des connexions ADSL.
Cependant, ces mécanismes sont les briques de nombreux serveurs et applications d’authentifications comme RADIUS, TACACS+,
Kerberos,…etc.
PAP
Le protocole PAP (Password Athentication Protocol), utilisé avec le Protocole PPP, permet d’identifier un utilisateur auprès
d’un serveur PPP en vue d’une ouverture de connexion sur le réseau. Après une phase de synchronisation entre le client et le serveur
pour le définir l’utilisation duProtocole PPP et PAP,leprocessus d’authentification se fait en deux étapes :
Page54
1. Leclientenvoiesonnom PAPainsiquesonmotdepasseenclair.
2. Le serveur qui détient une table de noms d’utilisateurs et de mots de passe vérifie
que le mot de passe correspond bien à l’utilisateur et valide ou rejette la connexion.
Figure2.6:Les2étapes d'authentificationduprotocolePAP
PAP est le plus simple des Protocoles d’authentification, il est donc très facile à implémenter. Mais étant donné que le mot de passe
circule en clair sur le réseau, c’est aussi le moins sécurisé, il est donc fortement déconseillé. D’autre part, même si le mot de passe est
crypté, il est toujours possible d’utiliser un sniffer afin de capturer la requête d’authentification et la réutiliser pour s’authentifier.
CHAP
Contrairement au Protocole PAP, le Protocole CHAP (Challenge Handshake Authentification Protocole) permet une authentification
sécurisée par hachage MD5 (Message Digest 5). MD5 et une fonction de hachage cryptographique permettant d’obtenir l’empreinte
numérique d’un messageàpartirduquelleilestimpossiblederetrouverlemessageoriginal.Ainsi,en envoyant l’empreinte du mot de passe
au serveur, le client peut montrer qu’il connaît bien le mot de passe sans avoir à réellement l’envoyer sur le réseau.
AprèslemêmetypedesynchronisationquepourleProtocolePAP,lemécanismed’authentification est basé sur un CHALLENGE en 3 étapes :
 Le serveur envoie au client un nombre aléatoire de 16 bits ainsi qu’un compteur

incrémenté à chaque envoi.
 Le client génère une empreinte MD5 de l’ensemble constitué reçu puis il envoie cette
empreinte.
 Le serveur calcule également de son coté l’empreinte MD5 grâce au mot de passe du
client stocké localement puis il compare son résultat à l’empreinte envoyée par le
client. Si les deux empreintes sont identiques, le client est bien identifié et la
connexion peut s’effectuersinon, elle est rejetée.
Page55
Figure2.7 :les3étapes d'authentificationduprotocoleCHAP
Cemécanismed’authentificationprocureàCHAPdeux avantages:
Tout d’abord, si la requête d’authentification envoyée par le client est interceptée, elle ne
pourrapasêtrerejouée,eneffetchaqueempreinte calculéeparleclientest uniqueenvoiparle serveur.
D’autre part, lors d’une session établie par le Protocole CHAP, le serveur envoie régulièrement des challenges au client de façon à
identifier son identité, cette mesure de TACACS supplémentaire permet donc de se prémunir des détournements de session.
MS-CHAP
MS-CHAP (Microsoft Challenge Handshake Authentification Protocol) est la version spécifique de CHAP mise au point par
Microsoft. Plus qu’unesimple version prioritaire, MS- CHAP apporte également quelquesaméliorations à CHAP. Un des principaux
inconvénientsde CHAP est que leserveur doit détenir les mots de passe des utilisateurs en clair pourpouvoir
vérifierl’empreinteMD5envoyéeparlesclients,cequiconstitueunevulnérabilitépotentielle en cas de compromission du serveur.
Pourremédier à cette faiblesse, le Protocole MS-CHAP intègre une fonction dehachage propriétaire permettant de stocker sur le
serveur un hashintermédiaire du mot de passe.
Ainsi, en travaillant uniquement avec ce hash intermédiaire au lieu du mot de passe, le client et le serveur peuvent réaliser le même
type de procédure que celle du CHAP, ainsi, le mot de passe e clair n’a plus besoin d’être stocké sur le serveur.
Puismalgrél’avancéedu ProtocoleMS-CHAPparrapportà CHAP,
Microsoft créa une seconde version su Protocole (MS-CHAP-v2) pour résoudre deux principalesfaiblessesdeMS-CHAP-
v1,d’unepartlefaitqueleclientnepuissepasvérifier
Page56
l’authenticitéduserveursurlequelilveutseconnecteretd’autrepartquel’algorithmede hachage propriétaire utilisé soit très vulnérable à des
attaques par brute-force.
Voicilefonctionnementduprocessusd’authentificationmutuellefournitparMS-CHAP-v2:
□ Leserveurd’accèsdisantenvoieunedemandedevérificationauclientcontenantune
identification de session I et une chaine C1 générée aléatoirement.
 Le client envoie alors une réponse contenant : son nom d’utilisateur, une chaîne
aléatoire C2 et un hash de l’ensemble formépar la chaîne C1, l’identificateur
desession I et son mot de passe.
 Le serveur vérifie la réponse du client et il renvoie une réponse contenant : une
chaîne indiquant le succès ou l’échec de l’authentification, et un hash de l’ensemble
formépar 3 éléments : la chaîne C2, l’identificateur de session I et son mot de passe.
 Le client vérifie à son tour la réponse d’authentification et établit la connexion en cas
de réussite.
Figure2.8:Lesétapesd'authentificationduprotocoleMS-CHAP-v2
Cette méthode d’authentification est bien mutuelle car elle permet effectivement au client d’être sûr de l’identité du serveur car seul
le serveur peut lui renvoyer son mot de passe dans le hash à l’étape 3.
Lestandard802.1X/EAP
Ce standard a été mis au point par l'IEEE en juin 2001, il a comme objectif de réaliser une authentification de l'accès au
réseau au moment de la connexion physique à ce dernier et ce en s’appuyant sur le protocole EAP ( Extensible Authentication
Protocol) il ne nécessiteque très peu de ressources pour fonctionner, dans le cas d'un réseau sans fil, c'est le point d'accès qui joue le
rôle de contrôleur d'accès.
Page57
Cette authentification intervient avant tout mécanisme d'auto configuration (ex. DHCP, PXE...). Dans la plupart des cas, le
service autorisé en cas de succès est le service Ethernet. L’objectif de ce standard est donc uniquement de valider un droit d’accès
physique au réseau, indépendamment du support de transmission utilisé, et en s’appuyant sur des mécanismes d’authentification
existants.
Dans lefonctionnement du protocole, les trois entités qui interagissent sont lesystèmeà authentifier le système
authentificateur et un serveur d’authentification. Le système authentificateur contrôle une ressource disponible via le point d’accès
physique au réseau, nommé PAE (Port Access Entity).
Figure2.9 :lestroisentitésquiinteragissentdans802.1X
Laplupartdutempsleserveurd'authentificationagissantaveclestandard802.1Xest le
serveur RADIUS (Remote Authentication Dial In User Service)
Protocolesd’authentificationutilisantunserveurd’application
Leprotocole KERBEROS
Kerberosest un protocole d'authentificationréseau Créé au Massachusetts Institute of Technology et standardisé par l’IETF,
il porte le nom grec du Cerbère gardien des Enfers le chien à trois têtes.Ce protocole repose sur un mécanisme decléssecrètes
(chiffrement symétrique) et l'utilisation de tickets, et non demots de passeen clair, évitant ainsi le risque d'interception frauduleuse
des mots de passe des utilisateurs.
Page58
L’objectifdeKerberosestdouble:sécuriserunéchangesurunréseaunonsécuriséet avoir une authentification fiable de
l’utilisateur. Il est basé sur deux entités :
 Unserveurd’authentification(AS:AuthenticationServer)quiprendenchargetoute la
partie authentification pur du client. C’est lui seul qui peut permettre au client de
communiquer au TGS (grâce à un ticket d’accès).
 Leserveurdedistributiondetickets–TGS:(TicketGrantingServer)prendencharge les
demandes d’accès aux services des clients déjà authentifiés. L’ensemble des
infrastructures serveurde Kerberos AS et TGS est appeléle centrededistribution de
clés (KDC : KeyDistribution Center). Ils sont généralement regroupés sur le même
serveur.
Fonctionnement
Voicidanslafigureci-dessousunscénariod’authentificationKerberosd’unedemande de service par un client(figure 2.10) :
Figure2.10:Fonctionnementduprotocole Kerberos
Page59
Lesentitésintervenantesdanscettedemandedeservicesont :
 leclient(C),asapropre clésecrèteKc
 leserveur(S),disposeaussid'uneclésecrèteKs
 leserviced'émissiondetickets(TGSpourTicket-GrantingService),auneclésecrète KTGS
et connaît la clé secrète Ks du serveur.
 lecentrede distributiondeclés (KDC pourKey DistributionCenter),connaîtlesclés
secrètes Kc et Ktgs
LeclientCveutaccéder àunserviceproposépar leserveurS.
Dans Kerberos, tous les tiers doivent prouver leur identité : on utilise des mécanismes d’authentification mutuelle. Le protocole est
basé sur des tickets horodatés et chiffrés. Les échanges reposent sur un système de cryptographie (algorithme DES) à base de clés
symétriques.
Kerberos partage avec chaque client du réseau une clé secrète faisant office de preuve d’identité.
1. La première étape pour le client consiste à s'identifier auprès ducentre de

distribution de clés (KDC). Le client a une clé secrète , celle-ci est également
connue par le serveur de distribution. Le client envoie son nom au serveur de
distribution et lui indique le TGS qui l'intéresse.
2. Après vérification sur l'identité du client (cette partie dépend des implémentations,
certains serveurs utilisent des mots de passe à usage unique), le serveur de
distribution lui envoie alors un ticket . Ce ticket autorise le client à faire des
requêtes auprès du TGS.
3. Ce ticket est chiffré par le serveur de distribution avec la clé du TGS ( ). Il

contient des informations sur le client mais également la clé utilisée pour établir la
communication entrele client et leTGS. Cetteclé desession . Le client reçoit
égalementcetteclédesession ,elleatoutefoisétéchiffréeaveclaclé secrète

du client.À ce stade, le client possède un ticket (qu'il ne peut pas déchiffrer) et
une clé .
4. La deuxième étape est l'envoi par le client d'une demande de ticket auprès du TGS.
Cette requête contient un identifiant (des informations sur le client ainsi que la date
d'émission)chiffréaveclaclédesession (quiesttrouvéeparleclienten
Page60
déchiffrant les informations reçues depuis le serveur de distribution avec sa clé secrète). Le client envoie aussi le ticket qui
lui avait été transmis par le serveur de distribution.
5. Le TGS reçoit alors son ticket et il peut le déchiffrer avec sa clé secrète . Il
récupèrelecontenuduticket(laclédesession)etpeutainsidéchiffrerl'identifiantque lui a
envoyé le client et vérifier l'authenticité des requêtes.
6. Le TGS peut alors émettre un ticket d'accès au serveur. Ce ticket est chiffré grâce à la
clé secrète du serveur . Le TGS envoie aussi ce ticket chiffré avec la clé secrète du
serveur etlaclédesession chiffréeàl'aidedelaclé auclient pour les

communications entre le serveur final et le client.
7. La troisième étape est le dialogue entre le client et le serveur. Le client reçoit le ticket
pour accéder au serveur ainsi que l'information chiffrée contenant la clé de session
entre lui et le serveur. Il déchiffre cette dernière grâce à la clé . Il génère un
nouvel identifiant qu'il chiffre avec et qu'il envoie au serveur accompagné du

ticket.
8. Le serveur vérifie que le ticket est valide (il le déchiffre avec sa clé secrète ) et
autorise l'accès au service si tout est correct.
LespointsfortsdeKerberos
 Le transit des mots de passe sur le réseau est chiffré. Il permet aux utilisateurs de
s’authentifier une fois pour toutes lors du login. Ils pourront après utiliser tous les
services d’accès à distance sans avoir à fournir à chaque fois leur login et mot
depasse. Ils sont en fait toujours authentifiés de manière transparente par Kerberos
pour eux.
 Séparationdesrôles:l’AS etTGT.C’est labasedeKerberos.Maisdanslaréalité,ces deux
rôles sont regroupés en une même entité (KDC).
 Impossible de rejouer un échange deux fois de la même manière (grâce
autimestamps).
Lesfaiblessesde Kerberos
 Lechiffrementsymétriquenécessiteunpartagedesclésentrel’ASetle client.
 Les horloges doivent être parfaitement synchronisées : en effet, l’anti-rejeu s’appuie
sur le « timestamps ».
Page61
 L’authentification mutuelle n’est pas disponible lors du premier échange entre l’AS et
le client. Le client ne peut pas certifier que l’AS et bien celui qu’il prétend être.
En revanche, le client peut exiger que le serveur d’application s’authentifie à son tour (lors de la dernière étape). Ce dernier
s’exécute en renvoyant la date courante (plus récente que celle du précédent message du client) chiffrée avec Kc,s. Etant donné que
seuls le client et le serveur connaissent Kc,s, le client peut raisonnablement penser que c’est bien le serveur qui lui répond.
Kerberos est le mécanisme d’authentification par défaut dans Windows pour vérifier
l’identité d’un utilisateur ou d’un ordinateur. Les rôles de l’AS et TGS sont pris en
compte par le contrôleur de domaine, en s’appuyant sur l’annuaire Active Directory.
Letriple-A
Triple-A ou AAA est une abréviation de l’expression en englais Authentication (authentification), Authorization
(autorisation) et Accounting (journalisation ou comptabilisation) c’est un modèle de protocole de sécurité réalisant ces trois
principales fonctions :
 L'authentification (Authentification): comme définis précédemment,elle consiste à

vérifier qu'une entité est bien celle qu'elle prétend être.
 L'autorisation (Authorization): l'autorisation permet de déterminer ce que
l’utilisateur authentifié a le droit de faire, le type de service ou de ressource qu’il
peut utiliser.
 La comptabilisation (Accounting/Auditing): Le modèle triple-A offre la possibilité de

collecter des informations sur les utilisateurs et d’enregistrer toutes les actionsfaites
depuis l’authentification jusqu'à la fin de sa session dans le système et de mesurer les
ressources consommées en terme d’échange réseau, de ressources système...etc.
Le triple-A est implémenté dans certains équipementsCisco, HP et Alcatel mais peut également être utilisé sur toute machine
qui fait office d’un serveur d'accès distant (NAS).
Les protocoles implémentant le concept triple-A sont essentiellement utilisés par des opérateurs offrant des services de
télécommunications à des utilisateurs. Ces protocoles leur permettent notamment de :
Page62
 Contrôlerl'accèsau réseau.
 Administreretconfigurerleurs ressources.
 Assurerlatraçabilitédesactions.
 Facturerl'utilisationdesleursressourcesselonletempsdeconnexionouselonla quantité
d'informations téléchargées.
En effet, dans le cas de l'administration et de la configuration des ressources, si l'on effectue une administration individuelle
sur chaque ressource, le changement d'un simple mot de passe peut devenir, à lui seul, un travail monumental, sans parler des
risques d'erreur de configuration liés à la répétition des procédures.
Ainsi,l'intérêtdesprotocolestriple-Aestdepermettreunfonctionnementsurunmodèle client/serveur, lequel résout par

construction même les problèmes liés à la répétition de configuration sur chaque équipement. En pratique, une architecture client-
serveur triple-A permet de rendre l'ensemble de ces services, comme il est établi ci-dessous et illustré en la (figure 2.2) :
FIGURE2.11:Exempled’Architecturetriple-A.
 Les serveurs triple-A: sont en charge de la gestion des utilisateurs et du traitement de la

problématique triple-A pour tous les équipements du réseau.
 les clients triple-A: hébergés sur des équipements réseau (routeurs, serveurs d'accès au
réseau, commutateurs..etc.), sont en charge de la récupération des informations de
connexion et de leur transmission par l'intermédiaire de protocoles triple-A au serveur.
Page63
Lesprotocolestriple-A
Les deux principaux protocoles pour la communication entre un client et un serveur triple-A sont RADIUS et TACACS+.
Toutefois nous pouvons mentionner d'autres, notamment DIAMETER et TACACS.
LeprotocoleRADIUS
RADIUS (Remote Authentification Dial In User Service) est un protocole d'authentification client/serveur
habituellement utilisé pour l'accès distant, défini par la RFC 2865. Ce protocole permet de sécuriser les réseaux contre des accès à
distance non autorisés. Ce protocole est indépendant du type de support utilisé. [14]
Le protocole Radius repose principalement sur un serveur (serveur Radius), relié à une base d’identification (fichier local,
base dedonnées, annuaire LDAP, etc.) et un client Radius, appelé NAS (Network Access Server), faisant office d’intermédiaire entre
l’utilisateur final et le serveur. Le mot de passe servant à authentifier les transactions entre le client Radius et le serveur est chiffré et
authentifié grâce à un secret partagé.
Il est à noter que le serveur Radius peut faire office de proxy, c’est-à-dire transmettre les requêtes du client a d’autres serveurs
Radius
 Principedefonctionnement
Le fonctionnementdeRadiusestbasésurunscénarioprochedecelui-ci :
1. UnutilisateurenvoieunerequêteauNASafind'autoriserune connexionàdistance;
2. LeNASacheminelademandeauserveurRadius;
3. Le serveur Radius consulte la base de données d'identification afin de connaître le type
des scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit
une autre méthode d'identification est demandée à l'utilisateur.
LeserveurRadiusretourneainsiunedesquatreréponsessuivantes :
- ACCEPT:l'identificationa réussi.
- REJECT:l'identificationa échoué.
- CHALLENGE : le serveur RADIUS souhaite collecter des informations supplémentairesde la
part de l'utilisateur et propose un « défi » (en anglais « challenge »).
- CHANGEPASSWORD:leserveurRadiusdemandeàl’utilisateurunnouveaumotde passe.
Suite à cette phase d’authentification débute une phase d’autorisation ou le serveur retourneles autorisations aux utilisateurs.
Page64
Figure2.12:Principedefonctionnementde Radius
 LePaquetRadius
UnpaquetRadiusestinclusdansunetunseulpaquetUDP.Leschémasuivant représente un paquet Radius standard, les unités étant
exprimées en octets :
Figure2.13 :PaquetRADIUS
Dansletableau suivantsetrouveunedescriptiondétailléedeschampsdecode[tab 2.1]:
Code Description
Access– Request Demandeaccèsàunservice
Access–Accept Réponsefavorableàlademandedu client
Access– Reject Réponsenégativeauclient
Accounting-Request Demandelesinformationsd’authentification
Accounting-Response Informationsd’authentification
Sollicitedesinformationssupplémentaires
Access– challenge
pourl’autorisationduclient
Tableau2.1:descriptiondeschampscode.
1- Code:identifieletypedemessage
2- Identifiant:permetdereconnaitrelesmessages(requêtesetréponses)d’une mêmesession
d’authentification.
Page65
3- Longueur(taille):définielalongueurdelatrame.
4- Authentificateur : permet au client d’authentifier la réponse de serveur Radius et de
protéger les mots de passe (évite le phénomène « man in the middle » par exemple). Il
contient également la méthode d’authentification à utiliser avec le client.
5- Attributs : ce champ est utilisé pour véhiculer toutes les informations nécessaires, il a
pour format :
Type Longueur Valeur
Figure2.14:Formatdes attributsRadius.
 Diagrammedeséquence:
Ci-dessousunschémad’undiagrammedeséquencelorsqu’unutilisateuraccèdeau réseau à travers un NAS (Network Access
Server) et se déconnecte lui-même :
Figure2.15:Fluxdemessages RADIUS
1. Le NAS récupère le login/password d’un utilisateur à distance, crypte ces informations
avec une clé partagée et envoie cela avec une “access-request” à un serveur (phase
Authentification).
2. Lorsque la combinaison login/password est valide, alors le serveur RADIUS envoie un
message “accept-accept” avec des informations supplémentaires (par exemple : adresse IP,
masque de réseau, etc.) au NAS (phase Autorisation).
3. Le NAS envoie un message “accounting-request (start)” pour indiquer que l’utilisateur est
connecté sur le réseau (phase Comptabilité).
Page66
4. LeserveurRADIUS répondavecunmessage“Accounting-response”lorsquel’information de
comptabilité est stockée.
5. Lorsqu’un utilisateur se déconnecte, le NAS va envoyer un message ”Accounting-request
(Stop)” avec les informations suivantes :
1. Delaytime: letempsd’essai d’envoi decemessage.
2. Inputoctets:lenombre d’octetsreçusparle client.
3. Outputoctets:lenombre d’octetsenvoyésparle client.
4. Sessiontime: lenombredesecondesqueleclients’est connecté.
5. Inputpackets:lenombre depaquetsreçusparleclient.
6. Outputpackets :lenombredepaquetsenvoyés parleclient.
7. Reason:laraisonpourlaquelleleclients’est déconnecté.
6. Leserveur RADIUS répond avecun message“accounting-response”lorsquel’information de
comptabilité est stockée.
 Néanmoins,LeprotocoleRADIUSprésentequelqueslimitesnotamment:
 Lenombred'équipementsprisenchargeestlimité,aussinombred'utilisateur supporté.
 unelimitationduchiffrement desmotsdepasseà 16 bits.
 un manque de prise en charge explicite des communications inter-

domaines(utilisateurs venant d'opérateurs différents);
 un manque de mécanisme d'identification du serveur, favorisant l'usurpation de

l'identité de ce dernier dans le but d'une collecte de couples nom utilisateur, mot de
passe;
 une insuffisance de sécurité car la sécurité relative du protocole repose sur le seul
secretpartagé (shared secret)qui impose la sécurisation des échanges entre client et
serveur par sécurité physique ou VPN.
 des problèmes de disponibilité ou de timeout sur les périphériques, lorsqu'ils tentent
de contacter le serveur.
Leprotocole DIAMETER
DIAMETER est un protocole permettant à des domaines administratifs différents de collaborer pour réaliser les
fonctionnalités AAA. Il est constitué d’un protocole de base qui
définitleformatdesmessages,commentilssonttransportés,lesmessagesd’erreursainsique
Page67
les services de sécurité que toutes les implémentations doivent supporter. À ce protocole debase s’ajoutent les applications : Mobile
IP, NAS et CMS.
 L’applicationDiameter MobileIPv4:permetd’appliquerletriple-Aavecunutilisateur
Mobile sur le protocole IPv4.
 l’applicationDiameterNAS:permetl’accèsauréseauviaPPP/EAP,ils’agitde l’amélioration
de RADIUS.
 l’applicationDiameterCMS:permetdeprotégerleséchangesDiameterauniveau
applicatif entre serveurs ou entre un serveur et son client.
Diametera étéconçudansl’idéed’êtrefacilementextensible
 Formatdes paquets
Les données sont échangées entre client et serveur en paquets DIAMETER. En fait, un paquet est encapsulé dans le champ de
données UDP. Chaque paquet contient lesinformations suivantes :
Figure2.16:Formatd’unpaquetDIAMETER Les Commandes du
protocoleDIAMETER :
· Message-Reject-Ind(serveur->client)
· Device-Reboot-Ind(serveur->client)
· Device-Watchdog-Ind(serveur->client)
Page68
· AA-Request (client->serveur), requête d’authentification et/ou d’autorisation pour un

utilisateur.
Leserveurpeutrépondreàune“AA-Request”aveclesmessagessuivants:
.AA-Answer(serveur->client),requêteacceptéeourefuséeparle serveur.
.AA-Challenge-Ind (serveur->client), réponseà une“AA-request”, oùleserveur attend une réponse du client encapsulée dans
une “AArequest”.
 Diagrammedeséquence
Ci-dessous un diagramme de séquence où un utilisateur accède au réseau par le biais d’un NAS et se déconnecte. Les
messages affichés dans le diagramme de séquence sont envoyés en utilisant le protocole de transport UDP. Un protocole de fenêtrage
est utilisé par- dessus ce protocole non-fiable. Pour garantir une transmission correcte, ce protocole introduit un message ZLB
(ZeroLength Body, un message DIAMETER sans commande) qui est utilisé pour envoyer un acquittement du message reçu. Ces
messages n’ont pas été inclus au diagramme de séquence.
Figure2.17:FluxdemessagesDIAMETER.
1. Le NAS récupère le login/password d’un utilisateur distant, et cette combinaison avec

unmessage “AA-Request” vers le serveur DIAMETER (phase Authentification).
2. Sicettecombinaisonestvalide,alorsleserveurDIAMETERenvoieunmessage“AA- Response”
avec une information d’autorisation au NAS (phase Autorisation).
3. Le NAS envoie un message de comptabilité en format ADIF (AccountingDataInterchange
Format) au serveur AAA .
Page69
4. LeserveurAAArépondavecunmessagedecomptabilitépouracquitterlarequêtede
comptabilité.
5. Lorsque l’utilisateur se déconnecte, le NAS envoie un message de comptabilitéen
formatADIF au serveur AAA.
6. Le serveur AAA répond avec un message de comptabilité pour acquitter la requête de
comptabilité.
Leprotocole TACACS
TACACS (Terminal Access Controller Access-Control System) est un protocoled'authentification distant utilisé pour
communiquer avec un serveur d'authentification, généralement utilisé dans des réseaux UNIX. TACACS permet à unserveur d'accès
distant de communiquer avec un serveur d'authentification dont l'objectif est de déterminer si l'utilisateur a le droit d'accéder au
réseau. Sa définition complète est faitedans la RFC 1492.
LeprotocoleTACACS+:
TACACS+ (Terminal Access Controller Access-Control SystemPlus) est la dernière version
du protocole TACACS. Développé à l’origine par BBN puis repris par Cisco, il a été étendu une
première fois avec XTACACS (eXtended TACACS).
TACACS+ utilise le protocole TCP et le port 49 pour son transport, contrairement à TACACS qui s’appuie sur UDP. Il gère
séparément les trois fonctions AAA (Authentication, Authorization, Accounting):
• Authentification:, TACACS+ hérite des méthodes d’authentification du protocole PPP,

c’est-à-direPAP,CHAP etEAP,incluantpourladernièreméthodelapossibilitéd’utiliserdes cartes,
ou tokens. Les échanges d’authentification sont élémentaires. Ils s’appuient sur des
demandes d’authentification de la part du client et des réponses d’authentification de la
partdu serveur. Une base de données située sur le serveur d’accès distant sur lequel
s’exécute le serveur TACACS+ gère l’ensemble des utilisateurs.
• Autorisation: Les échanges d’autorisation sont également élémentaires, Ils s’appuient sur
des demandes d’autorisation de la part du client AAA et des réponses de la part du serveur
TACACS+. Un profil d’autorisation sur des ressources réseau contient à la fois la liste des
équipements autorisés àl’accès et les commandes autorisées àexécuter pour les
configuration
Page70
(degrédeprivilèges). Il s’agitd’uneoptiontrèsimportantepourattribuerdesdroitsdelecture sans possibilité de modification. Les profils
sont stockés sur le système hébergeant le serveur TACACS+.
• Journalisation des événements :Le serveur TACACS+ enregistre Les informations

concernantles demandes d’authentification afin d’ouvrir une session, les fermetures de
session ainsi que les actions exécutées durant une session donnée. Si plusieurs serveurs
TACACS+ sont déployés, une consolidation des journaux d’activité doit être réalisée afin de
corréler les événements entre eux.
Les transactions entre un client TACACS+ et un serveur TACACS+ sont authentifiées par le biais d’un secret partagé, qui n’est
jamais transmis sur le réseau. Les données échangées lors de ces transactions sont chiffrées à l’aide d’une fonction XOR appliquée
sur les données et une empreinte calculée à l’aide du secret partagé. Ces protections ne s’appliquent pas entre le client d’accès distant
et le point d’accès réseau si c’est ce dernier qui exécute le client TACACS+.
Figure2.18:Exempledesession TACACS+.
 Formatd’unPaquetTACACS+:
La figure suivante représente un format d’un paquet TACACS+ qui est transporté sur le port 49 càd le protocole TCP :
Page71
Figure 2.19 : Format d’un paquet TACACS+

Majorversion:donneleNumérodelaversionMajeuredeTACACS+ Minor
version : donne le Numéro de la version Mineure de TACAS+
Type: définit s’ils’agit d’un paquet d’authentification, d’autorisation, oudecomptabilisation (conformément au triple-A)
Seq_no:numérodeséquences’incrémentantde1pourchaquepaquetenvoyélorsd’une session.
Flags:différentsdrapeauxpermettantentreautredecrypterlepaquetentiergrâceà l’algorithme MD5.
Length:tailledu paquet.
Tableau2.2:ComparaisonentreleprotocoleRADIUSetTACACS+
TACACS+ RADIUS
Protocole de couche transport Utilise leprotocole UDP orienté
Protocole de orienté connexion TCP, non-connexion, échange de
transmission transmissiondedonnéesenfull- datagrammesansaccusésde
duplexfiable. réceptionoudelivraisongaranti.
Portsutilisés 49 Authentification et autorisation:
ports 1645 et 1812
Accounting:1646et1813.
Chiffrement Cryptagedupaquetentier. Chiffreseulementlesmotsdepasse
jusqu'à16octets.
AAAArchitecture Lacommandeséparéedechaque Authentification et autorisation
service: l'authentification, combinées en un seul service.
l'autorisationetlacomptabilité.
Rôlesprincipal lagestiondes périphériques. contrôled'accèsdesutilisateurs.
Page72
Conclusion
Au cours de ce chapitre, nous avons abordé l’authentification d’une manière générale puis nous avons effectué une étude
comparative sur les protocoles utilisant une authentification avec un serveur d’application qui sont le Kerberos le RADIUS et le
TACACS+ ces deux derniers offre une fonction de journalisation en plus de l’authentification et de l’autorisation contrairement à
kerberos.
Les deux protocoles AAA RADIUS et TACACS sont les mieux adaptés à notre politiquedesécurité, àprésent nous allons
penseràunesolution d’authentification qui permet d’exploiter les avantages de ces protocoles et leur mise en place dans un même
serveur.
Page73
74

Introduction Générale Belkhir

Transféré par

Droits d'auteur :

Formats disponibles

Introduction Générale Belkhir

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Introduction Générale Belkhir

Transféré par

Droits d'auteur :

Formats disponibles

ChapitreII:Etatdel’artsurlessystèmesd’authentification

Généralités sur les réseaux et

Les topologies des réseaux :

Perspective physique : Les éléments sont chaînés dans un anneau fermé

Définition Méthode d'accès :

Topologie TOKEN RING

LE RÉSEAU CLIENT/SERVEUR : L'architecture client/serveur désigne un mode de communication entre

Schéma de fonctionnement d'un système client/serveur

Schéma réseau Peer-to-peer

La couche Physique (couche 1) : Fournit les moyens mécaniques, optiques, électroniques,

Note : les systèmes sont interconnectés réellement au moyen de supports physiques de

La couche Liaison de données (couche 2) : Assure la transmission d’informations entre (2

La couche Application (couche 7) : Donne aux processus d’application les moyens

La couche application :Contrairement au modèle OSI, c'est la couche immédiatement supérieure à

 Segment : unité de données de protocole de la couche transport

 Paquet : unité de données de protocole de la couche réseau

 Trame : unité de données de protocole de la couche liaison de données

Terminologie de la sécurité informatique

Les attaques réseaux :

• Masquer l'identité (l'adresse IP) du hacker

Là aussi, il n'est pas aisé de remonter à la source...

Système de détection d’intrusion (IDS)

Réseau privé virtuel (VPN)

VLAN (Virtual Local Area Network) :

Figure2.1 :Authentificationparempreinte digitale

 Lemot depasseàusage uniquele(OneTimePassword)

Figure2.5 :Authentificationparsignature biométrique

 Le serveur envoie au client un nombre aléatoire de 16 bits ainsi qu’un compteur

Figure2.7 :les3étapes d'authentificationduprotocoleCHAP

Puismalgrél’avancéedu ProtocoleMS-CHAPparrapportà CHAP,

1. La première étape pour le client consiste à s'identifier auprès ducentre de

3. Ce ticket est chiffré par le serveur de distribution avec la clé du TGS ( ). Il

communication entrele client et leTGS. Cetteclé desession . Le client reçoit

égalementcetteclédesession ,elleatoutefoisétéchiffréeaveclaclé secrète

serveur etlaclédesession chiffréeàl'aidedelaclé auclient pour les

entre lui et le serveur. Il déchiffre cette dernière grâce à la clé . Il génère un

nouvel identifiant qu'il chiffre avec et qu'il envoie au serveur accompagné du

 L'authentification (Authentification): comme définis précédemment,elle consiste à

 La comptabilisation (Accounting/Auditing): Le modèle triple-A offre la possibilité de

Ainsi,l'intérêtdesprotocolestriple-Aestdepermettreunfonctionnementsurunmodèle client/serveur, lequel résout par

 Les serveurs triple-A: sont en charge de la gestion des utilisateurs et du traitement de la

Dansletableau suivantsetrouveunedescriptiondétailléedeschampsdecode[tab 2.1]:

 un manque de prise en charge explicite des communications inter-

 un manque de mécanisme d'identification du serveur, favorisant l'usurpation de

Figure2.16:Formatd’unpaquetDIAMETER Les Commandes du

· AA-Request (client->serveur), requête d’authentification et/ou d’autorisation pour un

1. Le NAS récupère le login/password d’un utilisateur distant, et cette combinaison avec

• Authentification:, TACACS+ hérite des méthodes d’authentification du protocole PPP,

• Journalisation des événements :Le serveur TACACS+ enregistre Les informations

Figure 2.19 : Format d’un paquet TACACS+

Vous aimerez peut-être aussi