Vous êtes sur la page 1sur 20
Université De Bretagne Du Sud Ecole Nationale Supérieure D'ingénieurs De Bretagne-Sud Architecture technique de

Université De Bretagne Du Sud

Ecole Nationale Supérieure D'ingénieurs De Bretagne-Sud

Architecture technique de sécurité :

Vote électronique

Dossier 2 : Sécurité des systèmes d’information

Dossier 2 : Sécurité des systèmes d’informati on Réalisé par Encadré par  Adnane AL ECHCHEIKH

Réalisé par

Encadré par

Adnane AL ECHCHEIKH EL ALOUI

M. Charles PREAUX

Année Universitaire 2011/2012

1
1

Sommaire

I. L’architecture technique générale

3

II. le principe de fonctionnement du mécanisme de sécurité associé

7

1)

sécurisation des postes de travail y compris des nomades :

7

2)

Mécanismes de TLS :

7

3)

Mécanismes de Signature électronique et scellement des données :

8

4)

Mécanisme d’Authentification au serveur web CAS

10

5)

Mécanisme d’Authentification des votants au serveur web

11

6)

Mécanisme d’intra-connexion des sites (VPN)

11

7)

Mécanisme d’interconnexion de site (DMZ)

13

8)

Mécanisme d’Authentification des Administrateurs

14

9)

Modes de fonctionnement dégradés qui garantissent la disponibilité globale du système

15

10)

Mécanisme de protection locale des données

15

11)

gestion de la sécurité avec service d’archivage, service de répartition de charge et service d’horodatage

12)

sécurisation et garanti de bon acheminement des Listes Electorales (LE) & Bulletins de Vote (BV) et les

 

résultats de Vote

18

13)

Le déroulement du vote

19

2
2

I. L’architecture technique générale

Notre choix d'architecture générale du système se présente sur 4 zones de vote, interconnectées entre elles suivant le principe de sécurité VPN (Virtual Private Network) qui repose sur un protocole, appelé protocole de tunnelisation, c'est-à-dire un protocole permettant aux données passant d'une extrémité à l'autre du VPN d'être sécurisées par des algorithmes de cryptographie.

sécurisées par des algorithmes de cryptographie. Figure1 : Répartition du système de vote au niveau

Figure1 : Répartition du système de vote au niveau national

3
3
Figure2 : Zoom sur l’i nterconnexion entre les 4 sites. Ce schéma donne un aperçu

Figure2 : Zoom sur l’interconnexion entre les 4 sites.

Ce schéma donne un aperçu général (zoomé sur la carte comme indiqué ci-dessus) sur les différents composants dans chaque zone, et l’interconnexion entres les 4 zones en utilisant un protocole de Tunneling reposant sur le principe de VPN, pour permettre une meilleure circulation des informations entres les sites et la sauvegarde de la confidentialité. Ce service assure aussi la rapidité et la fluidité de circulation des données dans une confidentialité totale via les routeurs Cisco reconnus par la fiabilité et la performance.

4
4

On verra par la suite ce que contient chaque zone à part. Ici dans ce schéma on zoom sur l'une des 4 zones pour voir de prêt son architecture.

Zoom sur une zone :

pour voir de prêt son architecture. Zoom sur une zone : Figure3 : Zo om sur

Figure3 : Zoom sur l’architecture d’un site.

Dans chacune des 4 zones, les votants s'authentifient à partir de leurs postes en passant par le réseau Internet via des routeurs, au site web qui permet le vote électronique, les votants n'ont accès qu'à la zone DMZ «zone démilitarisé» représentant une 'zone' contenant des applications qu'on a jugé publics et accessibles par les votants telle que (l'authentification, le vote).Sur le schémas on représenté un Client (VPN), qui fait partie de l'équipe ayant le droit de consulter le déroulement du vote, ou à titre d'exemple avoir une idée sur le nombre de votants

La zone DMZ contient les équipements suivant:

a. Un serveur d'authentification: qui est un moyen de sécurité permettant de filtrer (selon le couple: login/Password), l’accès au servie de vote électronique.

5
5

b. Un serveur Web: contenant l'application (le site web), permettant de choisir la région (le votant est directement redirigé vers la zone qui correspond à son emplacement via le serveur DNS), l'authentification, et le vote.

c. Serveur d'annuaire: regroupant les informations sur l'ensemble des votants./

Le cadre bleu contenant l'ensemble de serveurs:

a. Serveur de vote: ne garde pas les traces de ceux qui ont déjà voté (ces traces seront stockées sur le serveur d'émargement).

b. Serveur de sauvegarde: qui va servir à dupliquer et à mettre en sécurité les données contenues dans le serveur de stockage en réseau (NAS: Network Attached Storage). De cette manière on aura toujours un backup des données de vote pendant toute sa durée.

un backup des données de vote pendant toute sa durée. Le firewall isole la zone DMZ

Le firewall isole la zone DMZ de la zone contenant les différents serveurs !

la zone DMZ de la zone contenant les différents serveurs ! Figure4 : Synchronisation des données

Figure4 : Synchronisation des données entre les différentes zones.

Pour des raisons de sécurité nous avons envisagé une mise à jour synchrone des données stockées dans les serveurs de stockage, ce qui nous permettra d’éviter, à titre d’exemple, qu’un utilisateur vote plusieurs fois, si jamais il change sa position géographique (d’une zone à une autre).

Cette mise à jour fera en sorte d’avoir les mêmes données, d’une manière synchrone, dans les quatre zones en question.

6
6

II. le principe de fonctionnement du mécanisme de sécurité associé

1) sécurisation des postes de travail y compris des nomades :

Les nomades doivent faire l'objet d'un traitement séparé au sein du SI. La politique de sécurité doit prévoir les mesures qui leur sont spécifiques.

doit prévoir les mesures qui leur sont spécifiques. Risque : Quels que soient les dispositifs de

Risque :

Quels que soient les dispositifs de sécurité utilisés pour authentifier un poste nomade à distance, ces dispositifs peuvent faillir car le poste nomade est moins protégé.

Par exemple, les secrets utilisés par le client nomade pour se connecter peuvent être dérobés et exploités par un clone frauduleux de ce client.

Il faut donc toujours distinguer l'accès nomade d'un accès interne : seules des données exportables vers les clients nomades doivent être accessibles au niveau du serveur, placé dans un segment d'interface (DMZ) et dédié à ces accès.

Même lorsqu'ils sont utilisés au sein de l'organisme, les postes nomades doivent continuer à accéder aux informations internes via leur accès distant. Dans le cas contraire, ces postes pourraient devenir des vecteurs d'attaque interne par cheval de Troie.un segment d'interface (DMZ) et dédié à ces accès. La bonne configuration et le maintien à

La bonne configuration et le maintien à jour de son poste de travail sont la meilleure défense contre les menaces externes.

sont la meilleure défense contre les menaces externes. Remarque Dans le cas d'un poste nomade, cette

Remarque Dans le cas d'un poste nomade, cette politique est souvent à appliquer par l'utilisateur, car le poste n'appartient pas au réseau d'infrastructure.

2) Mécanismes de TLS :

Transport Layer Security (TLS), anciennement nommé Secure Socket Layer (SSL), est un protocole de sécurisation des échanges sur Internet. Il utilise 2 éléments dans sa communication :

- la clef privée

- le certificat.

Le certificat contient les informations sur le certificat (autorité de certification / propriétaire / algo / validité), la clef publique liée au certificat et la signature du certificat (hash de la clef et des informations signé par la clef privée de l'autorité).

7
7
Figure5 : Mécanismes de TLS. 3) Mécanismes de Signature électronique et scellement des données :

Figure5 : Mécanismes de TLS.

3) Mécanismes de Signature électronique et scellement des données :

Signature électronique est un procédé permettant de garantir l'authenticité de l'expéditeur et de vérifier l'intégrité du message reçu. La signature électronique assure également une fonction de non-répudiation, c'est-à-dire qu'elle permet d'assurer que l'expéditeur a bien envoyé le message.

L'utilisation d'une fonction de hachage permet de vérifier que l'empreinte correspond bien au message reçu, mais rien ne prouve que le message a bien été envoyé par celui que l'on croit être l'expéditeur.

8
8

Ainsi, pour garantir l'authentification du message, il suffit à l'expéditeur de chiffrer (on dit généralement signer) le condensé à l'aide de sa clé privée (le haché signé est appelé sceau) et d'envoyer le sceau au destinataire

appelé sceau ) et d'envoyer le sceau au destinataire Figure6 : Mécanismes de signature eléctronique et

Figure6 : Mécanismes de signature eléctronique et scellement des données .

On va utiliser ce mécanisme pour vérifier l’intégrité des données (Listes électorales) envoyées par le ministère, et aussi pour transmettre les résultats de vote de la CCI centrale.

9
9

4) Mécanisme d’Authentification au serveur CAS

Le principe d'authentification est le suivant :

Les données d’authentifications (Identifiant/Mot de passe) personnalisés pour les votants, seront transmis à ces derniers via des courriers postaux, et lors de l’authentification, un code de validation sera envoyé par téléphone.

un code de validation sera envoyé par téléphone. Figure7 : mécanisme d’authenfication au serveur web 1.

Figure7 : mécanisme d’authenfication au serveur web

1. Un internaute accède à une ressource web.

2. Le navigateur est redirigé vers le serveur cas

3. Le serveur envoie le formulaire d'authentification

4. Réponse de l'internaute.

5. Le serveur vérifie le couple compte / mot de passe.

6. Le serveur CAS crée un cookie de session (TGC) et redirige le navigateur vers la ressource

web avec un Service Ticket (ST) à utilisation unique

7. L'application valide le ST en contactant directement le serveur cas qui retourne

l'identifiant de la personne.

8. L'internaute accède à la ressource demandée

CAS : est un système d'authentification unique : on s'authentifie sur un site Web, et on est alors

authentifié sur tous les sites Web qui utilisent le même serveur CAS. Il évite de s'authentifier à

chaque fois qu'on accède à une application en mettant en place un système de ticket.

10
10

5) Mécanisme d’Authentification des votants au serveur web

Mécanisme d’Authentification des votants au serveur web 6) Mécanisme d’ intra-connexion des sites (VPN) Figure8

6) Mécanisme d’intra-connexion des sites (VPN)

web 6) Mécanisme d’ intra-connexion des sites (VPN) Figure8 : Mécanisme d’intra -connexion des sites (VPN)

Figure8 : Mécanisme d’intra-connexion des sites (VPN)

Le VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en œuvre des équipements terminaux .Le VPN vise à apporter certains éléments essentiels dans la transmission de données : l'authentification (et donc l'identification) des interlocuteurs, la confidentialité des données (le chiffrement vise à les rendre inutilisables par quelqu'un d'autre que le destinataire).

11
11

On va utiliser les deux protocoles de tunnelisation.

L2TP (Layer Two Tunneling Protocol) Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.

IPsec est un protocole de niveau 3, permettant de transporter des données chiffrées pour les réseaux IP.

Authentification VPN

de transporter des données chiffrées pour les réseaux IP. Authentification VPN Figure9 : Authentification VPN. 12

Figure9 : Authentification VPN.

12
12

7) Mécanisme d’interconnexion de site (DMZ)

7) Mécanisme d’ interconnexion de site (DMZ) Figure10 : Mécanisme d’interco nnexion de site (DMZ). La

Figure10 : Mécanisme d’interconnexion de site (DMZ).

La zone démilitarisée est un sous-réseau séparé du réseau local et isolé de celui-ci et d'Internet par un pare-feu. Ce sous-réseau contient les machines étant susceptibles d'être accédées depuis Internet.

Le pare-feu bloquera donc les accès au réseau local pour garantir sa sécurité. Et les services susceptibles d'être accédés depuis Internet seront situés en DMZ.

En cas de compromission d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non au réseau local.

13
13

8) Mécanisme d’Authentification des Administrateurs

Le schéma suivant présente le processus d’authentification d’un administrateur du système afin d’effectuer des modifications au niveau des différents serveurs.

des modifications au niveau des différents serveurs. Figure11 : Mécanisme d’authent ification des

Figure11 : Mécanisme d’authentification des administrateurs.

Une fois une connexion sécurisée quelconque (SSL) établie entre l’administrateur et le serveur, le protocole d'authentification mutuelle commence :

1. Après avoir demandé à l'utilisateur d'entrer son nom d'utilisateur et son mot de passe dans

des champs correspondants, le client envoie son nom d'utilisateur au serveur, ainsi qu'une

valeur aléatoire qui fait office de challenge.

2. Ce dernier ressort de sa base client le hash du mot de passe, et encrypte le challenge avec ce

hash. Il envoie au client le résultat de cette encryption ainsi qu'une autre valeur aléatoire,

14
14

qui est le challange du client.

3. Le client décrypte la réponse du serveur et le compare avec la valeur envoyée. Si les 2

concordent, le client est alors sûr de parler au bon serveur et peut donc encrypter le

challenge du serveur avec le hash de son mot de passe et retourner le tout au serveur.

4. Le serveur reçoit le hash du client, et le compare avec la valeur de sa base client. Si les 2

correspondent, le client est alors identifié sûrement.

système

La disponibilité est aujourd'hui un enjeu important des infrastructures informatiques, et encore plus dans un système critique tel que le vote électronique. Pour notre système nous allons mettre en place les mécanismes suivants pour garantir sa haute disponibilité :

Redondance des matériels : La mise en place d'une infrastructure matérielle dédiée, généralement en se basant sur de la redondance matérielle, donc on trouvera la même infrastructure dans chacune des 4 zones, ce qui nous garantira la disponibilité de notre système en permanence même dans le pire des cas où 3 zones sont en pannes.

Sauvegarde & Backup : chacune des 4 zones possède un serveur de sauvegarde dans le lequel on sauvegarde l’ensemble des données des 4 sites (zones).

10)

Mécanisme de protection locale des données

Le serveur NAS a pour vocation d'être accessible depuis les serveurs à travers le réseau pour y stocker des données. La gestion centralisée sous forme de fichiers a plusieurs avantages :

centralisée sous forme de fichiers a plusieurs avantages : Figure12 : Mécanisme de protection locale des

Figure12 : Mécanisme de protection locale des données.

15
15

9) Modes

9) Modes de fonctionnement dégradés qui garantissent la disponibilité globale du

de

fonctionnement

dégradés

qui

garantissent

la

disponibilité

globale

du

faciliter la gestion des sauvegardes des données d'un réseau ;

prix intéressant des disques de grande capacité par rapport à l'achat de disques en grand nombre sur chaque serveur du réseau ;

accès par plusieurs postes clients aux mêmes données stockées sur le NAS ;

réduction du temps d'administration des postes clients en gestion d'espace disques.

RAID 5 : volume agrégé par bandes à parité répartie

Le RAID 5 combine la méthode du volume agrégé par bandes (striping) à une parité répartie. Il s'agit là d'un ensemble à redondance. La parité, qui est incluse avec chaque écriture se retrouve répartie circulairement sur les différents disques. Chaque bande est donc constituée de blocs de données et d'un bloc de parité. Ainsi, en cas de défaillance de l'un des disques de la grappe, pour chaque bande il manquera soit un bloc de données soit le bloc de parité. Si c'est le bloc de parité, ce n'est pas grave, car aucune donnée ne manque. Si c'est un bloc de données, on peut calculer son contenu à partir des autres blocs de données et du bloc de parité. L'intégrité des données de chaque bande est préservée. Donc non seulement la grappe est toujours en état de fonctionner, mais il est de plus possible de reconstruire le disque une fois échangé à partir des données et des informations de parité contenues sur les autres disques.

partir des données et des informations de parité contenues sur les autres disques. Figure13 : schéma

Figure13 : schéma d’un Raid5.

16
16

gestion de la sécurité avec service d’archivage, service de répartition de charge

et service d’horodatage L’architecture générale adoptée pour ce système de vote électronique est répartie, mais pour la récupération des résultats du vote, la gestion d’horodatage, et l’archivage des données, on met en place une CCI centrale dans laquelle s’effectue le traitement de ces opérations.

11)

laquelle s’effectue le traitement de ces opérations. 11) Figure14 : L’interconnexion entre la CCI centrale avec

Figure14 : L’interconnexion entre la CCI centrale avec les 4 zones.

17
17

12)

sécurisation et garanti de bon acheminement des Listes Electorales (LE) Bulletins de Vote (BV) et les résultats de Vote (RV).

&

Le schéma suivant décrit le mécanisme d’acheminement des listes électorales, dès leur réception du ministère de commerce, après le passage par le mécanisme de scellement des données décrit précédemment.

par le mécanisme de scellement des données décrit précédemment. Figure15 : Acheminement des listes eléctorales. 18

Figure15 : Acheminement des listes eléctorales.

18
18

13)

Le déroulement du vote

13) Le déroulement du vote . 2) le SE (Serveur émargement) récupère toutes les clés de
13) Le déroulement du vote . 2) le SE (Serveur émargement) récupère toutes les clés de
13) Le déroulement du vote . 2) le SE (Serveur émargement) récupère toutes les clés de

. 2) le SE (Serveur émargement) récupère toutes les clés de SV (des votants).

1) le SV (Serveur de vote) crée paires de clés publique

/privée

SV (Serveur de vote) crée paires de clés publique /privée 3) le SV récupère clé publique

3) le SV récupère clé publique

de l’SD (serveur de dépouillement).

clé publique de l’SD (serve ur de dépouillement). 4) le SV(Serveur de vote) crée une clé

4) le SV(Serveur de vote) crée une clé secrète 5) le SV hache le bulletin de vote 6) le SV fait le brouillage du bulletin de vote.

pour le bulletin de vote.

le brouillage du bulletin de vote. pour le bulletin de vote. . correspondante. 7) le SV

.

correspondante.

7) le SV crée aussi une signature du bulletin brouillé avec sa clé privée 8) le SV envoie bulletin + signature au SE.

sa clé privée 8) le SV envoie bulletin + signature au SE. 9) le SE vérifie

9) le SE vérifie la signature du SV avec la clé publique

10)le SE marque le votant comme ayant voté ou réfuse son vote s’il a déjà voté. 11)le SE signe en aveugle le bulletin brouillé

19
19

12)le SE renvoie le bulletin signé au SV.

13)SV dé-brouille le bulletin.

le bulletin signé au SV. 13)SV dé-brouille le bulletin. . 15)SV envoie au SD(serveur de dépouillement).

. 15)SV envoie au SD(serveur de dépouillement). le bulletin de vote haché et signé, ainsi que le bulletin de vote chiffré. 16)SD(serveur de dépouillement). vérifie la signature du bulletin haché et place le bulletin crypté dans la liste des votes à compter. 17)SD renvoie le bulletin haché, signé par l’SD même. 18)SV vérifie signature de l’SD, la garde comme accusé de réception, et renvoie sa clé

14)SV chiffre le bulletin de vote avec la clé secrète

clé 14)SV chiffre le bulletin de vote avec la clé secrète secrète à l’ SD. 19)SD

secrète

à l’SD.

19)SD décrypte les bulletins avec les clés secrètes

secrète secrète à l’ SD. 19)SD décrypte les bulletins avec les clés secrètes reçues et fait

reçues et fait les décomptes.

20
20