Vous êtes sur la page 1sur 77

~1~

INTRODUCTION GENERALE
1. PRESENTATION DU SUJET
Actuellement dans le monde, la scurit informatique est
devenue un problme de plus en plus srieux, ainsi nous voyons des
gouvernements, des entreprises et des hommes qui cherchent crer des
infrastructures pour protger leurs ressources en toute scurit, du fait le
21iemesicle a connu un avancement technologique trs considrable dans
presque tous les domaines et cela grce un outil indispensable qui est
linformatique.
Du point de vue informatique, les rseaux sans fil (Wi-Fi)
connaissent un engouement important, cependant scuriser un rseau nest
plus une option mais une obligation du fait que les rseaux sans fil sont de
nos jours victimes de plusieurs attaques provenant de lintrieur tout comme
de lextrieur.
De ce fait toutes entreprises, universits digne de nom ou de
grand renom doit ncessairement se doter dun rseau bien scuris afin de
pouvoir partager ses diffrentes ressources en toute scurit de telle manire
ne pas empcher les utilisateurs de bien dvelopper les usages qui leurs
sont ncessaires.
De ce fait dans le cadre de notre travail nous mettrons un rseau
sans fil (Wi-Fi) dans lequel lauthentification des utilisateurs se fera travers
un serveur Free Radius.
Ce dernier se basera sur la mthode EAP-TLS (Extensible
Authentification Protocol-Transport Layer Security) pour lmission des
certificats chaque tentative des connexions ou test daccs. Nous
utiliserons aussi une infrastructure cls publiques autrement appele
PKI Public Key Infrastructure qui est un systme bas sur les certificats
numriques la place des cls de cryptages WEP, WPA et WPA2 car ces
derniers sont victimes de plusieurs attaques en ce sens que toute personne
dtenteur dune cl peut facilement accder au sein du rseau et pourrait
ainsi jouir des ressources.
Cependant, il est prfrable dutiliser un serveur Free Radius
pour lauthentification des utilisateurs et une infrastructure cls
publiques car avec ce systme il nest plus question de laisser la porte de
tous les informations sensibles, il nous dlivre aussi une paire des cls

~2~
cryptographiques et un certificat associ cette paire de cls , rendant ainsi
possible lchange des diffrentes informations sensibles et la signature
numrique qui offrent les garanties lors des transactions lectroniques.

~3~

2. CHOIX ET INTERET DU SUJET


En vue dapporter notre pierre ldifice de lchiquier
scientifique, nous avons opt de porter notre choix sur une thmatique en
rapport avec notre domaine de formation savoir les sciences informatiques.
En effet dans le souci de pouvoir mettre en pratique les connaissances
acquises durant ces trois annes dtudes Universitaires et dapporter notre
contribution la rsolution des diffrents problmes scuritaires rencontrs
au sein de la Division Provinciale du Budget en utilisant le rseau sans fil
(Wi-Fi).
Ainsi, il se dgage lintrt de pouvoir bien partager les
informations en toute scurit dans un milieu professionnel avec
lauthentification des utilisateurs base sur des certificats, pour une scurit
renforce.
Notre sujet quant lui sintresse l environnement sans fil et de
lauthentification des utilisateurs et encore faut-il ajouter que notre travail
peut servir comme documentation pour bon nombre dutilisateurs intresss
la vulnrabilit des rseaux sans fil et les mesures de scurits mettre en
place afin de sassurer dune scurit plus ou moins accrue.
3. ETAT DE LA QUESTION
Dans notre travail nous nous sommes fixs pour objectifs de
faire une tude dont lintitul est : Mise en place dun rseau wifi avec
authentification base sur des certificats.
En effet une question reste alors savoir, sommes-nous les
premiers pouvoir travailler sur ce thme ? la rponse est non parce quil y
nos prdcesseurs qui de loin ou de prs ont aussi travaill sur ce thme et
parmi tant dautres, nous avons mis la main sur le travail de fin de cycle
(TFC) de Madame PERROS EBONDO Jessica de lUniversit Protestante de
Lubumbashi (UPL) et son sujet est intitul comme suit : Etude de la mise
en place des stratgies de protection et de rponses aux attaques des pirates
dans une infrastructure Wi-Fi ,anne 2013.
En fait sa problmatique est didentifier dans les rseaux sans fil
les points dintrusion, les mthodes et techniques utilises par les attaques
et de proposer des rponses spcifiques chacune des failles trouves dans
les plates-formes Windows.

~4~
Cependant dans notre travail nous allons mettre en place un rseau sans fil
dans lequel lauthentification des utilisateurs se fera travers un serveur
Free Radius.

~5~
Ce dernier se basera sur la mthode EAP-TLS (Extensible Authentification
Protocol-Transport Layer Security) pour lmission des certificats chaque
tentative des connexions ou test daccs.
4. PROBLEMATIQUE ET HYPOTHESE
4.1.1 PROBLEMATIQUE
Selon le petit Larousse, la problmatique est lensemble
des questions quune science, une philosophie se pose relativement un
domaine particulier.
La problmatique est la prsentation dun problme sous diffrents aspects,
elle est la question laquelle ltudiant va tenter de rpondre. Elle consiste
poser le problme de recherche (nonc), en faire ressortir les informations
pertinentes (termes) et tre dans le bon cadre spatio-temporel. Cest une
question complexe qui demande dtre capable de conjuguer plusieurs
informations, parfois divergentes, en les justifiant, tout en restant neutre.
De ce qui suit, la problmatique est la question principale ou lensemble des
questions auxquelles un chercheur est appel rpondre
Les rseaux sans fil (Wi-Fi) qui sont scuriss par des cls
de cryptages WEP,WPA et WPA2 que nous trouvons aujourdhui dans des
universits, entreprises, institutions de ltat, souffrent de plusieurs maux
en ce sens que toute personne dtenteur dune cl peut se connecter
facilement au sein de notre rseau et peut ainsi jouir de tout soit pour nuire
au bon fonctionnement de nos ressources par les diffrents attaques comme
par exemple : lattaque par injection des paquets, par force-brute,
La division provinciale du budget as un rseau wifi
scuris par une cl WAP-PSK est victime des attaques par dictionnaire
venant des utilisateurs non autoriss. Dtenant la cl, les utilisateurs ne
faisant partie de lInstitution se connectent pour bnficier de la connexion
Internet et ventuellement accder au dossier partag du rseau... Elle
manque aussi un systme dauthentification qui permet didentifier les
utilisateurs qui ont droit daccder au rseau ainsi quaux donnes
partages.
Les problmes relev ci-haut nous amne nous poser les questions
suivantes :1
1 Paul Robert, Le Petit Robert, Paris, 1984, p.11172
http://fr.wikipedia.org/wiki/Problematique

~6~
Quel moyen nous permettrait dauthentifier les utilisateurs dans un rseau
sans fil (Wi-Fi) ?

~7~

4.1.2 HYPOTHESE
Lhypothse se dfinit comme tant une proposition des
rponses provisoires aux questions que lon propos de lobjet de recherche
formule en des termes telles que lobservation et lanalyse puissent fournir
une rponse.
En effet, la questions pose dans la problmatique
ncessite une rponse provisoire comme canevas infirmer ou confirme la
question la fin du travail, aprs une analyse profonde et minutieuse.
Plu2sieurs solutions sont envisageables, mais dans le cadre de ce travail de
fin de cycle, nous envisageons de mettre en place un rseau sans fil dans
lequel lauthentification des utilisateurs se fera travers un serveur Free
Radius ; car il basera sur la mthode EAP-TLS (Extensible Authentification
Protocol-Transport Layer Security) pour lmission des certificats chaque
tentative des connexions ou test daccs.
5. METHODES ET TECHNIQUES
5.1.1 METHODES
La mthode est dfinie comme tant une marche rationnelle de
lesprit afin darriver la connaissance ou la dmonstration dune vrit.
La valeur scientifique de tout travail est fonction de la mthode et outils aux
quels le chercheur a fait recours pour analyser et expliquer les phnomnes
observs.
Pour mener bon port de notre travail, nous avons recouru son
laboration la mthode suivante :
La mthode analytique
Selon RWIGAMBA, B. cette mthode est dfinit comme
une analyse systmatique des toutes les informations ainsi que les donnes
rcoltes
Cette mthode nous a permis danalyser des nombreuses
donnes qui ont t recueillies grce au questionnaire et aux entretiens avec
certains responsables et dirigeants de la division provinciale du
budget/Katanga.
2http://lesdefinitions.fr/methode

~8~
5.1.2 TECHNIQUES
Pour rendre notre travail plus explicite, la mthode ellemme ne suffit pas, il faut en plus des outils de travail trs efficaces pour la
rcolte de donnes.
Ces outils sont des techniques, voici quelques techniques
auxquelles nous avons fait appelles :
La technique documentaire
Elle consiste en la consultation des diffrents ouvrages et
des documents ncessaires la comprhension des certains concepts de
base ainsi que de thories sinscrivant dans le cadre de notre travail.
Cette technique nous a permis consulter diffrents
ouvrages cadrant avec notre travail.
Linterview
Linterview institue un procs de communication verbal
entre intervieweur et interview. Cest une technique au cours duquel le
premier tente dobtenir du second les informations dont il a besoin pour
llaboration dun travail scientifique prcis.
Cette technique nous a permis de rcolter les donnes au
sein de linstitution pour lamlioration de notre travail.
6. DELIMITATION DU TRAVAIL
Vue le vaste champ dinvestigation auquel notre tude est
soumis, ce travail nas pas la prtention de lexhaustivit. Ce pourquoi, nous
lavons dlimit dans le temps et dans lespace.
Notre travail se limitera au sein de la Division Provinciale
du Budget /Katanga qui est notre champ dinvestigation se trouvant sur
lavenue Des Chutes et nous nous focalisons sur la plate-forme Windows
server 2008 car celui-ci inclut la gestion des certificats, il dispose dun
serveur RADIUS et la technologie Wifi pour la mise en place dun rseau
Wi-Fi avec authentification base sur des certificats au sein de cette
institution. Notre recherche se fera tout au long de lanne acadmique 20142015.

~9~

~ 10 ~

7. SUBDIVISION DU TRAVAIL
Hormis lintroduction gnrale et la conclusion, notre
travail se subdivisera en deux approches telles que tayes ci-dessous :
Premire Partie : Partie thorique
Cette approche est constitue de deux chapitres :
Le Chapitre premier : Gnralits
Dans ce chapitre on parlera sur les gnralits sur sans fil
(Wi-Fi) en gnrale, les gnralits sur les attaques dans un rseau Wi-Fi, les
gnralits sur les certificats, les gnralits sur le protocole Radius, en
attaquant diffrents points savoir son historique, ses utilisations, son
fonctionnement, ses diffrentes architectures, nous voquerons aussi ses
performances, ses avantages et ses inconvnients.
Le Chapitre deuxime : Prsentation de la structure daccueil
Dans ce chapitre on donnera lhistorique de la Division
Provinciale du Budget /Katanga, on parlera sur son organisation, son
fonctionnement, ses activits, son infrastructure rseau et nous
dboucherons par des critiques ainsi que des suggestions.
Deuximes Partie : Partie thorique
Le Chapitre troisime : conception et implmentation de la solution
retenue
Concernant ce dernier chapitre de notre travail il sagira de
prsenter un cahier de charge, dinstaller une autorit de certificat racine,
dinstaller et configurer le serveur Radius, dinstaller et scuriser le point
daccs Wi-Fi, de configurer les clients daccs Wi-Fi sous Windows7 et pour
terminer on verra leurs implmentations.

~ 11 ~

PARTIE THEORIQUE : ETUDE


THEORIQUE

~ 12 ~

CHAPITRE PREMIER : GENERALITES


SECTION 1 : DEFINITION DE CONCEPTS FONDAMENTAUX
I.1.

GENERALITE SUR LE RESEAU SANS FIL (WIFI)


I.1.1.

DEFINITION

Un rseau sans fil (en Anglais Wireless network) est un rseau


informatique ou numris qui connecte diffrents postes ou systmes entre eux par
ondes radio. Il peut tre associ un rseau de tlcommunications pour raliser
des interconnexions entre nuds.
Les rseaux informatiques sont devenus en quelques annes,
des possibilits majeures de communication. Aujourdhui, les principaux
dveloppements des rseaux sans fil visent favoriser la mobilit dans le but de
rpondre aux nouveaux besoins des assistants personnels, des tlphones et
ordinateurs portables, qui sont mobiles et quon retrouve de plus en plus dans une
organisation. Les rseaux sans fil permettent leurs utilisateurs de se connecter de
nimporte o et accder aux ressources de leurs rseaux.

I.1.2.

TECHNOLOGIE SANS FIL

Les technologies dites sans fil , la norme 802.11 en


particulier, facilitent et rduisent le cot de connexion pour les rseaux de grande
taille. Avec peu de matriel et un peu dorganisation, de grandes quantits
dinformations peuvent circuler sur plusieurs centaines de mtres, sans avoir
recours une compagnie de tlphone ou de cblage.
Ces technologies peuvent tre classes en quatre parties :

Les
Les
Les
Les

I.1.3.

rseaux personnels sans fil : Wireless Personal Area Network (WPAN)


rseaux locaux sans fil : Wireless Local Area Network (WLAN)
rseaux mtropolitains sans fil : Wireless Metropolitain Area Network (WMAN)
larges rseaux sans fil : Wide Area Network (WWAN)

HISTORIQUE

La premire norme des rseaux locaux sans fil est valide


en 1997 sous la norme 802.11 et connu du grand public sous le nom de
WLAN (Wireless Local Area Network) ou RLAN (Radio LAN).
A ce jour, plusieurs variantes de la norme 802.11 ont t dfinies pour
apporter des amliorations aux performances et la scurit. En voici
quelques-unes :

802.11a : WLAN haut dbit (54Mbits/s) dans la bande 5Ghz ;

~ 13 ~

802.11b : Wifi 11Mbits/s dans la bande de 2.4Ghz ;


802.11d : adaptation du WLAN aux aspects rglementaires dans chaque
pays ;3
802.11e : amlioration de la couche MAC du 802.11 pour supporter la
qualit de service(QoS) ;
802.11f : amlioration de linteroprabilit des systmes ; comptabilit des
Access Point ou IAPP (Inter Access Point Protocol) ;
802.11g : extension du 802.11b (wifi) pour gre le haut dbit identique
celui du 802.11a tout en utilisant la bande ISM de 2.4GHZ (54Mbits/s) ;
802.11h : amlioration du 802.11a pour la gestion et le contrle du spectre
(Spectrum managed) ;
802.11i : amlioration du mcanisme de la scurit de la scurit (WPA2) sur
le Wi-Fi ;
802.11j : version japonaise de la norme 802.11.
Comme on peut le constater partir du 802.11b le WECA qui est le groupe
de travail en charge des rseaux locaux sans fils au sein de lIEEE a dfini le
label Wi-Fi (Wireless Fidelity).
On utilise le terme Wi-Fi5 pour dsigner le 802.11a ou encore le Wi-Fi dans
la bande des 5 GHZ.
Ainsi le Wi-Fi est utilis dans le langage courant pour dsigner les rseaux
de donnes (rseaux locaux) sans fils, devant ainsi le symbole de
linformatique et de lInternet nomades.

I.1.4.

QUELLE UTILISATION POUR LE WI-FI ?

Couverture dune sale difficile daccs par cble.


Interconnexion de btiments.
Mise en place de rseau urbain de type communautaire.
Point dAccess public Internet de type Hots Spot .
Extension des rseaux filaires de bureau pour les utilisateurs nomades.

I.1.5.

AVANTAGES DU WI-FI

Internet haut dbit avec mobilit garantie au bureau domicile ou dans les
espaces publics ;
Possibilit de dplacer les postes de travail nimporte o dans le btiment
sans perdre la connectivit au (sans contrainte de recalages),
Redploiement facile du rseau en cas de dmnagement ;

3 http://www.wikipedia.com/reseau sans fil en ligne le 16 Mars 2015

~ 14 ~
Intgration facile au rseau existant pour offrir de la mobilit aux
utilisateurs ;
Flexibilit damnagement des locaux.
I.1.6.

INCONVENIENTS DU WI-FI

Solution quelque un peu plus onreuse que le cble ;


Bande passante partag ce qui est consquence des dbits encore rduits ;
Scurisation complexe.
I.1.7.

LA SECURITE SUR LE WIFI

Diffrents mcanismes sont mis en uvre pour garantir minimum de


scurit sur le rseau Wi-Fi da base :

Le cryptage WEP dont la philosophie de base est doffrir sur le rseau Wi-Fi
une scurit quivalente celle du rseau filaire. Mais trop des failles ont t
trouves sur ce mcanisme.
Le filtrage par adresse MAC permettant de dfinir une liste dquipements
autoriss se connecter au rseau ou une liste interdite sur le rseau.
Des mcanismes dauthentifications (RADIUS,) sont aussi mis en uvre
sur certains quipements ou dans une partie du rseau.
Pour pallier aux failles du WEP, et renforcera la scurit dune manire
gnrale dautres normes sont adopts ou en cours dadoption : WAP,
802.11i,

I.1.8.

LES PERFORMANCES DUN RESEAU WI-FI


Les performances thoriques sont :

Porte
Jusqu 300m de rayon de couverture sans obstacle ( la
propagation des ondes).
Dbit
Variable de 1 108 Mbits/s (jusqu 11Mbits/s pour le 802.11b,
22Mbits/s pour le 802.11b+, 54Mbits/s pour le 802.11g et 108Mbits/s pour
le 802.11g+).
Mais dans la pratique ces donnes sont fonction :

De la qualit des quipements ;


De lenvironnement dans lequel les quipements sont dploys ;
Du nombre de clients Wi-Fi connects la fois au rseau.

~ 15 ~
I.1.9.

LES DIFFERENTES ARCHITECTURES DUN RESEAU WI-FI

Dabord, de base, il existe deux modes darchitectures dun rseau Wi-Fi :


Le mode ad hoc : tous les clients (terminaux ou postes) des rseaux Wi-Fi
communiquent entre eux sans passer par un quipement central.
Le mode Infrastructure : dans ce mode un quipement central appel
Access Point est indispensable pour grer la communication entre les
diffrents clients Wi-Fi.
Il est possible de construire son rseau Wi-Fi avec une
architecture
plus complexe combinant des AP (avec des fonctions
diffrentes) et des quipements de rseaux filaires pour des raisons de
couverture ou de scurit.
I.1.10.

LES EQUIPEMENTS WI-FI

a. Access Point ou Point dAccess (AP)


Cest lquipement central qui gre laspect radio du rseau
sans fil. Il joue souvent le rle de routeur, modem et gre la connexion avec le
rseau filaire(Internet). Certains peuvent aussi assurer les fonctions de pont
et de rpteur.
b. Les interfaces disponibles sur un AP :
RJ45 : utilis gnralement pour interconnecter le rseau sans fil un autre
rseau (filaire) ou un terminal ne disposant pas de carte WI-FI ;
RJ11 : sert pour les accs ADSL ;
RJ14 : utilis pour laccs console (administration) ;
Port USB : pour connecter dautres priphriques.
I.1.11.

LES ACCESSOIRES POUR LES POSTES CLIENTS DU WI-FI

Pour quun poste soit connect un rseau Wi-Fi, il est


indispensable quil soit quip de lun des lments suivants :
1.

Matriels
Carte PCMCIA Wi-Fi gnralement utilis pour les PC portable ;
Carte PCI Wi-Fi pour les PC ou autres ;
Une cl USB Wi-Fi pour tout priphrique quip dun port USB ;
Un adaptateur Wi-Fi quelconque : Ethernet/Wi-Fi ou port parallle/Wi-Fi
ou4 port srie/wifi.
2. Logiciels
4 AIT LAASARI MHAND, Guide pratique du rseau sans fil, Edition Ayrolle, France 2006
http://www.wikipedia.com/reseau sans fil en ligne le 16 Mars 2015

~ 16 ~
Les interfaces clients sont gnralement vendues avec des pilotes/utilitaires
(sur
CD)
pour
leur
configuration
sous
diffrents
OS
(WINDOWS98/2000/Me/XP ou MAC OS). Par ailleurs, dautres terminaux
peuvent tre pr-quip Wi-Fi ce qui dispense lusager dacquisition de
matriel supplmentaire :
Exemple : camera Wi-Fi, pc portable Centrino, imprimante Wi-Fi, agenda
lectronique Wi-Fi.
I.1.12.

PRINCIPE DE FONCTIONNEMENT DU WI-FI

Une fois lAccs Point convenablement install, certains mcanismes


sont indispensables avant quun poste client Wi-Fi se trouvant dans la zone
de couverture de lAccess Point puisse changer les informations sur le
rseau :
Dabord ces postes clients et lAccess Point doivent utiliser un canal radio
identique choisie une liste allant de 1 14 ;
Ensuite se droule lauthentification et lassociation afin que le poste client
Wi-Fi soit logiquement connect au rseau. Pendant cette phase
dassociation et dauthentification, lAccess Point et les postes clients
changent un identifiant le nom du rseau(SSID) sur lequel ils se trouvent
ainsi que la nature du cryptage utilis ;
Cest aprs lchange de ces informations indispensables que les postes
clients seront connects au rseau Wi-Fi.
I.1.13.

QUELQUES OUTILS DANALYSE DES RESEAUX WI-FI

Air Magnet Handheld Ou Air Magnet Duo a/b


Air Snort fluke networks wave runner
NAI Sniffer Wireless
Nets tumbler
Wire shark

I.1.14.

QUELQUES CONSTRUCTEURS

3Com,Bewan,Invertel,n Linksys, Loiter, Net gear, SMC,


Apple, Asus, Comet labs, D-Link, Sonic wall, Symbol, Cisco, Belkin, ZyxelWest Modem, Siemens, Sagem ,Netopia, Thomson, US-Robotics,
I.1.15.

ASPECT REGLEMENTAIRES

Le cadre rglementaire de dploiement et dutilisation dun


rseau wifi varie dun pays lautre. Avant de mettre en uvre son rseau
wifi il faut se renseigner sur les aspects rglementaires : les canaux
autoriss, les procdures de dclaration obligatoire. Pour le faire, il faut

~ 17 ~
sadresser lOCPT (Office Congolais des Postes de Tlcommunication).
Daprs nos renseignements, la rglementation congolaise autorise le
dploiement du wifi en intrieur ou en extrieur. Seulement, pour un
dploiement en extrieur une lettre dinformation devra tre adresse
lOCPT pour information .

~ 18 ~

I.2.

GENERALITES SUR LES ATTAQUES DANS UN RESEAU SANS FIL


On peut classifier les attaques dans un rseau sans fil wifi en
deux groupes principaux : les attaques passives et les attaques actives, qui
sont bien videment plus dangereuses.

I.2.1.

Attaques passives
Dans un rseau sans fil, lcoute passive est dautant plus facile
que le media air est difficilement maitrisable. Bien souvent, la zone de
couverture radio dun point daccs dborde du domaine priv dune
entreprise ou dun particulier. Lattaque passive la plus rpandue est la
recherche de point daccs. Cette attaque (appele wardriving) est devenu le
jeu favori de nombreux pirates informatique, les points daccs sont
facilement dtectables grce un scanner (portable quip dune carte Wi-Fi
et dun logiciel spcifique de recherche de PA) ces directives permettant
dcouter le trafic radio distance hors de la zone de couverture du point
daccs. Il existe deux types de Pas de traces (signature), quasiment
indtectables en cas dcoute, ils envoient des probe request. Seul
Netstumber fonctionne sous Windows, les autres fonctionnent sous Linux.
Les sites dtects sont ensuite indiqus par un marquage extrieur ( la
craie) suivant un code (warchalking) :

Figure 1 : le wardring

Une premire analyse du trafic permet de trouver le SSID (nom du rseau),


ladresse MAC du point daccs, le dbit, le type de cryptage utilis et la
qualit du signal. Associ un GPS, ces logiciels permettent de localiser
(latitude, longitude) ces points daccs.
A un niveau suprieur, des logiciels (Aisnort ou Wepcrack) permettent en
quelques heures (suivant le trafic), de dchiffrer les cls WEP et ainsi avec
des outils danalyse de rseaux conventionnels la recherche dinformations
pour aller plus loin. Le pirate peut alors passer une attaque dite active.
5

5 http://www.wikipedia.com/reseau sans fil en ligne le 16 Mars 2015AIT LAASARI MHAND,


Guide pratique du rseau sans fil, Edition Eyrolles, France 2006

~ 19 ~

~ 20 ~

I.2.2.

Attaques actives

Les diffrentes attaques connues dans les rseaux sans fil Wi-Fi sont :
DoS (Denial of Service)
Le dni de service rseau est souvent lalternative dautres
formes dattaques car dans beaucoup de cas il est plus simple mettre en
uvre, ncessite moins de connaissances et est moins facilement traable
quune attaque directe. Cette attaque a pour but dempcher des utilisateurs
lgitimes daccder des services en assurant de fausses requtes ces
services. Elle se base gnralement sur des bugs logiciel. Dans le domaine
du WIFI, cela consiste notamment bloquer des points daccs soit en
linondant de requtes de des authentifications (programme Air jack) ou de
dsassociassions, ou plus simplement en brouillant les signaux hertziens.
Spoofing (usurpation didentit)
LIP spoofing est une technique permettant un pirate denvoyer
une machine des paquets semblant provenir dune adresse IP autre que
celle de la machine du pirate. LIP spoofing nest pas pour autant un
changement dadresse IP. Plus exactement il sagit dune mascarade (il sagit
du terme technique) de ladresse IP au niveau des paquets mis, cest--dire
que les paquets envoys sont modifis afin quils semblent parvenir dune
autre machine.
Man in the middle (home au milieu)
Cette attaque consiste pou 6r un rseau WIFI, disposer un point daccs
tranger proximit des autres PA lgitimes. Les stations dsirant se
connecter au rseau livreront au PA flon leurs informations ncessaires
la connexion. Ces informations pourront tre utilises par une station pirate,
il suffit tout simplement une station pirate coutant de rcuprer ladresse
MAC dune station lgitime et de son PA, et sintercaler au milieu.

6 http://www.wikipedia.com/reseau sans fil en ligne le 16 Mars 2015 AIT LAASARI MHAND,


Guide pratique du rseau sans fil, Edition Eyrolles, France 2006

~ 21 ~

~ 22 ~

I.3.

GENERALITES SUR LES CERTIFICATS

Un certificat de cl publique, gnralement appel simplement un


certificat est une instruction signe numriquement qui lie la valeur dune
cl publique lidentit de la personne, de la machine ou du service qui
contient la cl prive correspondante. La plus part des certificats
communment utiliss sont bas sur la norme de certificat X509v3 (version
3 de la recommandation X.509 de lIUT-T relative la syntaxe et au format
des certificats).
Des certificats peuvent tre mis pour une varit des fonctions
telles que lauthentification dutilisateurs web, lauthentification de serveur
web, la scurisation dune messagerie, la scurit IP (IP Sec), transport layer
Security(TLS). Des certificats sont galement dlivrs par une certification
autority (CA) une autre afin dtablir une hirarchie de certification.
Lentit qui reoit le certificat est appele le sujet du certificat, lmetteur et
signataire du certificat est une autorit de certification.
En gnrales certificats contiennent les informations suivantes :
La valeur de la cl publique du sujet
Des informations identifiant le sujet par exemple son nom et son adresse
de messagerie.
La priode de validit (dure pendant laquelle le certificat est valide)
Des informations identifiant lmetteur
La signature numrique de lmetteur qui atteste la validit de la liaison
entre la cl publique du sujet et les informations du didentification de ce
dernier.
Un certificat nest valide que pour la dure spcifie lintrieur,
chaque certificat contient les date valides partir du et valide jusquau qui
dfinissent les limites de la priode de validit, une fois que la priode de
validit dun certificat est dpasse, un nouveau doit tre demand par le
sujet du certificat expir.
Dans le cas o il devient ncessaire de faire la liaison dclare
dans un certificat, ce dernier peut tre rvoqu par lmetteur. Chaque
metteur gre une liste de rvocation de certificat qui peut tre utilise par
des programmes lors de la vrification de la validit de nimporte quel
certificat.

~ 23 ~
Lun des principaux avantages des certificat est que les htes
nont plus besoin de grer un jeu des mots de passe pour des sujets
individuels quils doivent tre authentifier avant dobtenir un accs. Il suffit
dsormais lhte dtablir une relation dapprobation avec un metteur de
certificats.
Lorsquun hte, tel quun serveur web scuris, dsigne un
metteur en tant quautorit racine approuve, lhte approuve implicitement
les stratgies que lmetteur a utilises pour tablir les liaisons de certificats
quil met. En fait lhte fait confiance lmetteur en ce qui concerner la
vrification de lidentit du sujet du certificat. Un hte dsigne un metteur
en tant quautorit racine de confiance en plaant le certificat auto-sign de
lmetteur contenant sa cl publique dans le magasin de certificats de
lautorit de la certification racine de confiance de lordinateur hte. Les
autorits de certification intermdiaires ou secondaires ne sont approuves
que si elles ont un chemin daccs de la certification valide partir dune
autorit de certification racine de confiance.
Lorsque deux entits (machines, personnes, applications ou
services) essaient dtablir leur identit et leur relation dapprobation, le fait
que les deux entits approuvent la mme autorit de certification permet
dtablir entre elles le lien didentit et dapprobation. Une fois quun sujet de
certificat a prsent un certificat mis par une autorit de certification
approuve, lentit qui essaie dtablir la relation dapprobation peut
entreprendre un change dinformations en stockant le certificat du sujet
dans son propre magasin de certificats et, le cas chant, en utilisant la cl
de session afin de scuriser toutes les communications suivantes avec le
certificat.

7 http://www.microsoft.com/Imlementer une infrastructure cls publiques, en


ligne le 20 mars 2015.

~ 24 ~

~ 25 ~

I.4.

GENERALITES SUR LE PROTOCOLE RADIUS

I.4.1.

PRESENTATION

Lauthentification est lopration par laquelle le destinataire et/ou


lmetteur dun message sassure(nt) de lidentit de son interlocuteur.
Lauthentification est une phase cruciale pour la scurisation de
la communication. Les utilisateurs doivent pouvoir prouver leur identit
leurs partenaires de communication et doivent galement pouvoir vrifier
lidentit des utilisateurs. Lauthentification de lidentit sur un rseau est
une opration complexe, car les parties qui communiquent ne se rencontrent
pas physiquement lors de la communication. Un utilisateur malveillant peut
ainsi intercepter des messages ou emprunter lidentit dune autre personne
ou entit.
I.4.1.1. Historique
Le protocole RADIUS (Remote Authentification Dial-In User
Service) en franais service dauthentification distante des utilisateurs
daccs distance , mis au point initialement par la socit Livingston,
dfini par les RFC 2865(pour authentification) et 2866 (pour la comptabilit).
I.4.1.2. Fonctionnement
Le fonctionnement de RADIUS est bas sur un systme
client/serveur charg de dfinir les accs dutilisateurs distants un rseau
en utilisant le protocole UDP et les ports 1812 et 1813. Le protocole RADIUS
repose principalement sur un serveur (le serveur RADIUS), reli une base
didentification (base de donnes, annuaire LDAP etc.) et un client RADIUS,
appel NAS (Network Access Server), faisant office dintermdiaire entre
lutilisateur final et le serveur.
Lensemble des transactions entre le client RADIUS et le serveur
RADIUS est chiffre et authentifie grce un secret partag.
I.4.1.3. Le scenario du principe de fonctionnement
Le scnario du principe de fonctionnement est le suivant :
Un utilisateur envoie une requtes eu NAS afin dautoriser une connexion
distance ;
Le NAS achemine la demande au serveur RADIUS ;

~ 26 ~
Le serveur RADIUS consulte la base de donnes didentification afin de
connaitre le type de scnario actuel convient, soit une autre mthode
didentification est demande lutilisateur.
Le serveur RADIUS retourne ainsi une des quatre rponses suivantes :
ACCEPT : lidentification a russi ;
REJECT : lidentification a chou ;
CHALLENGE :
le
serveur
RADIUS
souhaite
des
informations
supplmentaires de la part de lutilisateur et propose un dfi (en
anglais challenge ) ;
CHANGE PASSWORD : le serveur RADIUS demande lutilisateur un
nouveau mot de passe.
Suite cette phase dit dauthentification, dbute une phase dautorisation
o le serveur retourne les autorisations de lutilisateur.

Figure 2 : RADIUS

Il est noter que le serveur RADIUS peut faire office de proxy, cest--dire
transmettre les requtes du client dautres serveurs RADIUS.
Len-tte du paquet RADIUS comporte 5 champs :

Code : dfinit le type de trame (acceptation, rejet, challenges, requtes)


Identifier : associe les rponses reues aux requtes envoyes.
Lengh : champ longueur.
Authentificator : champ dauthentification comprenant les lments
ncessaires.
Attributes : ensemble de couples (attribut, valeur).

Figure 3 : Entte d'un paquet RADIUS

~ 27 ~

8Auteur : Serge Bordires, Authentification rseau avec Radius 802.1X EAP-Free Radius,
Edition : EYROLLES, collection : Blanche. Edit http://www.guill.net en ligne le 20 avril 2015.

~ 28 ~
CHAPITRE DEUXIEME : PRESENTATION DU CHAMP DETUDE
ET ANALYSE DE LEXISTANT
SECTION 1 : PRESENTATION DE LA DIVISION PROVINCIALE DU
BUDGET/Katanga
La division provinciale du budget est un dpartement du ministre de
budget national qui est rgit par lordonnance loi n : 86/263 de 31/10/1986
portant cration du dpartement du budget tel que complt et modifi par
lordonnance loi n86 du 25 mars 1988 portant organisation du dpartement
du budget, ainsi que le dcret-loi N02/07 du 15 septembre 2003 fixant des
attributions du ministre du budget.
II.3.

APPERCU HISTORIQUE

Le dpartement du budget tait attach au ministre de


finance : cest--dire le dpartement tait un service de finance, depuis la
cration du dit ministre, cest alors que vu que lconomie du pays tait
marqu par une srie de difficult dordre structurel d aux effets
dfavorable de lenvironnement conomique, national et international.
Cest ainsi que les autorits politico-administratives de la deuxime
rpublique de notre pays ont jug bon de crer au sein du gouvernement le
ministre du budget enfin de pallier cette situation, envie dune meilleur
gestion de finance publique de lEtat.
Le 31 octobre 1986 sur la proposition du commissaire dEtat du budget, fut
cr par lordonnance prsidentielle N86/263, cit haut.

Situation gographique
La division provinciale du budget/Katanga est situe sur
lavenue des chutes au N105 de la commune-ville de Lubumbashi, dans la
province du Katanga en rpublique dmocratique du Congo.
II.2.

OBJECTIFS

Le chapitre1 de la loi N10/10 du 27 avril 2010 relative au


march public dans son article portant sur lobjectif dapplication, prcise les
rles et les missions suivantes :
De fixer les rgles rgissant a passation : lexcution, le contrle , ainsi que le
contentieux des dmarches de travaux , de fourniture , de service et
prestation intellectuel pass par lEtat, les provinces , les entits territoriales
dcentralises, entreprises publiques et tablissement publique ; aussi
larticle 1 et 2 de lordonnance loi N86/263 prcise les missions ci-aprs :
Une mission dtude et de programmation budgtaire,

~ 29 ~
Une mission de prparation et suivi du budget et contrle de marchs
publics,
Une mission de contrle de lexcution du budget.

~ 30 ~
II.3.

ORGANIGRAMME

CHEF DE DIVISION

14

CHEF DE DIVISION

SECRETARIAT

BUREAU

BUREAU

BUREAU

BUREAU

BUREAU

BUREAU

BUREAU

BUREAU

SGX

PRESS.S.
BUG

PAIE

SUIVI BUG

CONT BUG

INTEND.

INFORMATIQ
UE

ETU&PLAN

VERIFICAT

VERIFICAT

VERIFICAT

VERIFICAT

VERIFICAT

VERIFICAT

VERIFICAT

VERIFICAT

ASS PROV

GOUVR DU KATANGA

V.L/SHI

COMMUNE

V.L/SI

COMMUNE

V.K/ZI

COMMUNE

Source : secrtariat, fvrier 2015

DISTRICT
DU

DISTRICT
DE

DISTRICT
DU

DISTRICT
DU

H/KATANGA

LUALABA
TERRITOIR
E

H/LOMAMI

TANGANIKA
TERRITOIR
E

TERRITOIR
E

TERRITOIR
E

~ 31 ~
II.4.
ORGANISATION GENERALE ET
DIVISION PROVINCIALE DU BUDGET

FONCTIONNEMENT

DE

LA

La division provinciale du budget est reprsente dans


toute la province du
Katanga notamment dans le district, le territoire, et
les communes, comme mission il soccupe de finance publique de lEtat au
niveau de la province du Katanga.
II.4.1.

Le finance publique

Ce lensemble de recettes et de dpense de lEtat, a pour


mission dlaboration, de prparation de contrle et de suivi.
II.4.2.

La structure de la division provinciale du budget Katanga

La division provinciale du budget Katanga est dirige par


un chef de division second par des chefs des bureaux de chaque service.
Leur organisation se prsente de la manire suivante :

Le chef de division provinciale du budget et un secrtariat


Le bureau des services gnraux
Le bureau de prparation et suivi budgtaire
Le bureau de contrle budgtaire
Le bureau de march public
Le bureau de la paie
Le bureau de lintendance gnral
Le bureau de linformatique
Le bureau du secrtariat
Le bureau dtude.
Chef de division provinciale du budget : Il soccupe de la supervision et de
la coordination toutes les activits des services provinciaux, des districts ou
villes, des territoires.

Bureau des services gnraux :

Il soccupe de la gestion du personnel des services


du budget, des districts, des villes, des territoires et communes il soccupe
galement de la tenue de comptabilit de matire, ainsi que de lorganisation,
de la formation professionnelle en province.
Bureau du contrle budgtaire
Lorganisation de la division provinciale du budget tel
que repris par lordonnance loi N89 du mars 1988, portant lorganisation du
ministre du budget prvoit lexistence dun bureau du contrle budgtaire
au sein de son administration.
Au terme de cet organigramme, les attributions de ce bureau sont :

~ 32 ~
La transmission aux services provinciaux et aux entits administratives
dcentralises(ETD) des directives concernant les modalits dexcution des
procdures des dpenses et de recettes budgtaire manant du ministre.
Le contrle de la rgularit des engagements des dpenses.
La surveillance des recettes budgtaire.
La participation la prparation du budget des services provinciaux et des
EAD.
Louverture des fiches budgtaires : modle 31.1 et 31.1.
La vrification des pices justificatives de la dpense.
Le contrle de lauthenticit de la signature du gestionnaire des crdits.
Sassurer de lexistence des crdits de lexactitude de limputation
budgtaire, de la validit de la pice dengagement et du respect de la
rglementation sur le march publics avis du (CPA).
Sassurer du cout rel de la dpense par rapport au prix sur le march.
Sassurer de la qualit de la marchandise et du caractre moins distant.
Procde mensuellement la conciliation des chiffres des dpenses rellement
effectues.
Daccorder son visa pralable toute dpense engage et juge rgulire.
De contrler les dpenses engages et surveille les recettes.
Rceptionner les fournitures de bureau et constates les travaux effectus.
Bureau de lintendance gnrale : Il soccupe de la gestion des matires
administratives, de lapprovisionnement en carburant et viser des dpenses
communes en charge du trsor public. Ce bureau tien galement les
inventaires des biens immeubles et meubles, de matriels roulants, de
matriels de bureau de services publics, des autonomies (arme, la police,
etc.).Ce bureau vise des dpenses communes en charge du trsor publics
avec comme objectif dassainir les dpenses de lEtat relatif aux
consommations des services publics, conformment larrt ministriel
N003/CAB.MIN.BUDGET/2006 du 06 avril 2006 dterminant le critre
dligibilit la charge commune de lEtat.
Bureau des marches publics
Un march public est un procd par lequel lEtat gre les
finances publiques. Cest la procdure de passation des marchs de
lexcution, de contrle, ainsi que les contentieux des marchs des travaux,
de fournitures, des services des gestions et de prestations intellectuelles
passes par lEtat.
Ce service a pour rle de contrle de passation des travaux, la coordination
de commande de tous les travaux.

~ 33 ~
Bureau de la paie : Il soccupe la paie des agents de la fonction publique ;

tous les fonctionnaires de lEtat de tous les services confondus au niveau de


la province du Katanga.
Cest ainsi que nous allons parler du droulement de la paie qui se passe et
qui se fait en quatre tapes :
Lengagement : qui se fait au niveau de la de la fonction publique, la
vrification des agents par leurs noms et numros matricule.
La liquidation
Lordonnancement : est lorsque la banque envoie ses agents pour la paie,
accompagne de leurs tableaux synoptiques.
Le paiement : cest une opration majeure dans toute cette procdure. Le
budget vrifie le paiement des agents et leur contrle physique.
Tout agent uvra la fonction publique droit une prime, suivi de son
salaire de base. Avant de payer les agents de la fonction publique, on procde
par la vrification de toutes les listes qui contrlent les effectifs des agents :
ces listes sont dposes au bureau de la paie qui va soccuper de la
vrification pour voir si les grades des agents ont t respect ou
correspondant au salaire payer.
II.4.3. Catgorie des agents :
CD : Chef de Division
CB : Chef de Bureau
ATB1 : attach au bureau de 1ere classe
ATB2 : attach de bureau de 2ieme classe
AGB1 : agent de bureau de 1ere classe
AAA1 : agent auxiliaires 1ere classe
AA2 : agent auxiliaires de 2ieme classe
Bureau informatique : Cest un bureau qui fonctionne en partenariat avec
le secrtariat. Ce bureau est charg du saisi de toutes les lettres
administratives et impressions de tous les documents traits au niveau de
diffrents bureaux de la division.
Bureau dtude et planification

Ce bureau poursuit le but suivant :


Elaboration du diagnostique
Les dfinitions de stratgies sectorielles et provinciales
Programmer et budgtiser les projets sectoriel et provincial
Do ce bureau a pour mission : le suivi du personnel de la fonction
publique ; la recherche et davoir un changement tel est lobjectif de toute
planification.
Ce bureau est constitu de trois sections :

~ 34 ~
Analyse et tude
Planification stratgique
Analyse et valuer des projets
Les missions de ce bureau sont un peu double : linterne et lexterne.
A linterne, nous voyons les analyses de budget
A lextrieur, nous voyons les entits loignes.
Pour procder une tude ou planification, cela doit toujours se faire en
commission, la mthodologie doit tre toujours participative pour viter le
sabotage des projets dune partir ; cest--dire dune manire dmocratique
pour tisser de bonne relation avec les autres. Ce bureau est sous la
coordination du ministre de plan.

~ 35 ~

II.5.

PRESENTATION

DE

LINFRASTRUCTURE

DU

RESEAU

INFORMATIQUE DE LA DIVISION PROVINCIALE DE BUDGET


II.5.1. Le bureau informatique
Ce bureau compte plus de 6 ordinateurs de marques diffrentes.
II.5.2.

Ressources matrielles

Nombre

Type de matriel

Caractristiques

01

Ordinateur
bureau

de

Pentium 4 2.4GHZ,RAM 512,H DD : 250Go

04

Ordinateur
bureau

de

Pentium 3 de 733 MHZ, RAM :128Mo,H DD : 30Go

02

Ordinateur
bureau

de

Pentium 3 de 733 MHZ, RAM:128Mo DD :250Go

03

Laptop

P4 de 2GHZ,RAM:512Mo, DD : 300Go

03

Imprimantes

Deux HP jet dencre et une HP Laser

01

Photocopieuse

HP multifonctions (scanner, photocopieuse)

01

Local technique

2 DLink 8 ports

03

Point daccs

DLink 8 ports

Tableau 1: Ressources matrielles


II.5.3.

Ressources logiciels

Comme ressources logiciels on peut citer :


Les systmes dexploitation : Windows XP professionnel, seven(7) ;
Antivirus : A vast, Smadav, Kaspersky, AVG ;
Applications: Adobe Photoshop, MS office 2007, 2010 (word, excel, access,
outlook)
II.5.4. Connexion lInternet
La division provinciale de budget Lubumbashi a une connexion
internet grce un signal via lantenne outdoor.
A la rception du signal par lantenne outdoor, il passe par un MODEM,
celui-ci renvoie le signal un Access Point .ce dernier partage la connexion
internet de la manire que voici :
Au bureau informatique via un switch de 8 ports,
Chez le chef de division et le secrtaire,
Il y a une connexion qui va jusquau bureau dtude et planification et au bureau
des services gnraux,
Une autre au bureau dintendance gnrale.

~ 36 ~

Figure 4 : schma du rseau existant

Source : secrtariat, fvrier 2015


Le bureau du chef de division et du secrtaire sont cbls en paires
torsades partir de 2 baies de brassage. Les baies de brassage sont
interconnectes via une liaison cble.
Actuellement 7 quipements (Pc ou Lap tops) sont connects au rseau.
Deux autres machines restent encore isoles du rseau. La salle des
formations nest pas encore relie au rseau de la division.

~ 37 ~

~ 38 ~

II.6.
II.6.1.

CRITIQUE ET SUGGESTION
CRITIQUES

Les points forts


La division provinciale du budget dispose dune mme
plateforme Windows, les priphriques (imprimantes) sont centraliss. Tous
les postes client sont adresss manuellement. Il existe une connexion
Internet au sein de la dite division qui peut tre exploite pour lchange de
mails.
Les points faibles
Nous remarquons quau sein de la division provinciale de budget,
il nexiste pas des quipements dadministration rseau importante et
qualifie comme des serveurs, commutateurs intelligents (Switch
manageables), routeurs professionnels. Elle manque un systme de scurit
(pare feu), la connexion Internet est mal gre et toute ladministration est
seulement limite au routeur Access Point. Les bureaux actuellement
connects au rseau local, aucune politique de contrle daccs na t mise
en place.

~ 39 ~

II.1.

SUGGESTIONS

Nous suggrons la division provinciale de budget de mettre en place


une nouvelle architecture rseau pouvant permettre une bonne gestion des
matriels rseaux et dassurer la scurit de la connexion Wifi dans laquelle
lauthentification des utilisateurs se fera travers un serveur Free Radius
pour lmission des certificats chaque tentative des connexions ou test
daccs au rseau.

~ 40 ~

CONCLUSION PARTIELLE
Dans ce chapitre, il a t question de faire une prsentation
fonctionnelle de notre milieu de recherche, en ressortissant tout aspect
pouvant permettre de bien comprendre sur quoi sest bas nos
investigations.

~ 41 ~

PARTIE PRATIQUE : ETUDE


PRATIQUE

~ 42 ~

~ 43 ~
CHAPITRE TROIXIEME : CONCEPTION ET IMPLEMENTATION
DE LA SOLUTION RETENUE
III.1.

CAHIER DES CHARGES

Plusieurs choses taient primordiales pour avoir une ligne directrice


dur ce travail. En voici quelques caractristiques principales de rseau
implmenter ;
a. La technologie Wifi
Lquipement envisag doit tre simple et peu orneux, ce qui
implique lutilisation dune technologie assez rpandue. En outre, toutes les
installations doivent utiliser la mme technologie. En somme, nous avons
prfr le 802.11g ou 802.11b.
b. La scurit
Le principal problme des rseaux Wifi est leur fragilit vis--vis
des attaques externes. Le cryptage et lauthentification devront tre simples
pour les personnes connectes et trs difficiles casser. De prfrence, les
certificats pourront tre utiliss pour lauthentification.
c. La couverture
La couverture minimale du rseau aura une porte denviron une

cinquantaine de mtres en intrieur et jusqu 200 mtre en extrieur doit


correspondre tous les bureaux ainsi quaux salles de formations. Une tude devra
tre mene pour 14 machines au mois et 30 au plus.

d. Linteraction avec le rseau existant


Le passage de la connexion sans-fil au rseau filaire doit tre
transparent pour lutilisateur. Tous les quipements de la division doivent
pouvoir se connecter avec une grande facilit. De mme, ladressage du
rseau ne devra pas tre modifi afin de ne pas pnaliser les utilisateurs de
rseau pendant le dploiement du sans-fil. Une rutilisation de
linfrastructure en place est recommande.
e. La scurisation des bornes
Les bonnes doivent tre protges contre le viol et les incidents
divers. Elles doivent tre physiquement et logiquement inaccessibles, sans
autorisation ou laccs rserv aux personnes autorises.
III.2.

CHOIX DE LA SOLUTION A DEPLOYER

~ 44 ~
Le dploiement dun rseau sans fil doit passer par une tude dtaille des
solutions architecturales, matrielles et scuritaire existantes pour tre en
accord avec les principes voques dans le cahier de charge.

~ 45 ~

III.3.

CHOIX DE LARCHITECTURE ET DE LA NORME DE RESEAU

Sur ces points, nous avons retenu les mesures suivantes :


A. Le mode de fonctionnement
Mode infrastructure : Dans ce mode, nous nous basons sur un Point
d'Accs qui permet un client Wi-Fi de se connecter un autre client Wi-Fi
pour former un Ensemble de services tendus (ESS Extended Service
Set). Il y a aussi une fonction d'itinrance (roaming) qui permet
chaque station de se connecter au point d'accs le plus proche. L'ensemble
des stations porte radio du PA forme

un

BSS (Basic

Service

Set).

Chaque BSS est identifi par un BSSID (BSS Identifier) de 6 octets qui
correspond souvent l'adresse MAC du PA. Tout ceci permet de contrler les
connexions au rseau afin d'y appliquer des politiques scuritaires. Ainsi
notre choix s'est port sur le mode infrastructure.
La norme de Wifi
Les normes de Wifi sont diverses. De toutes ces normes, les plus
connues sont 802.11a, 802.11b et 802.11g qui sont les principales du
standard 802.11 ceci grce leur large intgration dans les matriels et
logiciels. En somme, nous avons prfr le 802.11g ou 802.11b. Cependant,
notre objectif est le 802.11g+. Cest pourquoi, nous ferons tout le possible
pour obtenir du matriel rpondant cette norme.

B. Le nombre de point daccs


Notre tude se fera pour un nombre de clients compris entre 10
et 30. Avec 10 clients Wifi et trois points daccs satisfaisant la norme
802.11g on obtient en pratique un dbit de lordre de 8 Mbits/s pour
chacun. Si ce nombre de clients doit voluer par exemple jusqu 30, on aura
alors sensiblement 3 Mbits/s pour chacun ce qui reste totalement acceptable
et de qualit. Ainsi hors mis les problmes demplacements, un maximum
de 3 points daccs serait suffisant pour la solution finale.
C. Emplacement du point daccs
Nous savons quavec la norme 802.11g, pour un dbit thorique
de 54 Mbits/s on peut atteindre une trentaine de mtres en intrieur, or
cette distance dlimite parfaitement la zone couvrir par le rseau. Nous
retenons lutilisation de trois points daccs, nous utiliserons le premier au
couloir, le second dans la salle de formations et le troisime dans le bureau
de services gnraux. Afin de scuriser nos points daccs, nous utiliserons

~ 46 ~
des boites de barres mtalliques avec cadenas que nous fixerons au mur. Ils
devront tre fixs de sorte que personne ne puisse avoir facilement accs
sans laide dune chelle.

III.4.

CHOIX DES PARAMETRES DE SECURITE

La scurit des rseaux sans fil est l'lment essentiel qui


dcourage plusieurs personnes de dployer cette technologie. En effet, les
ondes radios ne pouvant pas tre rserves dans un espace dlimite,
nimporte quelle personne se trouvant porte de ces ondes peut s'y
connecter et utiliser le rseau des fins malfaisantes. Ainsi, il est essentiel
de dployer de gros moyens pour scuriser notre rseau sans-fil Wi-Fi. Pour
cela on a ainsi retenu les points suivants:
a- Modifier et Cacher le nom par dfaut du rseau
Un rseau Wi-Fi porte toujours un nom d'identification afin que
les ordinateurs puissent le dtecter et se connecter dessus. Ce nom s'appelle
le SSID (Service Set IDentifier). Si on ne configure pas le point d'accs, le
SSID est dfini par dfaut. Ainsi on le modifiera, afin de le reconnatre plus
facilement par la suite.
Le SSID est une information importante pour se connecter au
rseau sans fil. Le point d'accs diffuse continuellement cette information
pour permettre aux ordinateurs de le dtecter. Le SSID n'est pas une
fonction de scurisation mais permet de rendre "cach" son point d'accs la
vue de tout le monde. Une fois le rseau configur avec les ordinateurs, on
activera la fonction "cacher le SSID", prsente dans le point d'accs, afin de
rendre ce dernier "invisible" au monde extrieur.
b- Choisir un mot de passe d'accs au point d'accs
L'administration du point d'accs se fait par l'intermdiaire
dune Interface Web accessible par n'importe quel ordinateur connect par
cble ou par Wifi. Il suffit de saisir une adresse IP (fournie par le
constructeur) dans le navigateur Web et le mot de passe par dfaut (fourni
par le constructeur) pour accder l'administration. A ce stade, toute
personne pouvant accder au rseau, peut faire les changements ou modifier
d'autres paramtres du point d'accs. On changera donc le mot de passe par
un nouveau. Ce mot de passe devra rpondre au principe de mots de passe
forts.
c- Filtrer les quipements par adressage MAC

~ 47 ~
Une adresse MAC (Media Access Control) permet d'identifier
matriellement un ordinateur grce son adaptateur rseau. Cette adresse
est unique et dfinie par le fabriquant de l'adaptateur. Chaque point d'accs
offre la possibilit d'utiliser le filtrage MAC. L'adaptateur qui n'a pas son
adresse MAC dans la liste autorise ne sera pas autoris se connecter sur
le rseau. Notons tout de mme que le filtrage d'adresses MAC est
contournable. En effet, une adresse Mac peut tre mule sous un
environnement Linux ou mme Windows.

~ 48 ~

d- Choisir une cl de chiffrement hautement scurise


Deux types de cryptage de donne existent actuellement : WEP
(Wired Equivalent Privacy) et WPA (Wi-Fi Protected Access).
- Le cryptage WEP : est un protocole de scurit pour les rseaux sans fil.
WEP offre un niveau de scurit de base mais satisfaisant pour la
transmission de donnes sans fil.
- Le cryptage (WPA et WPA2) : est un mcanisme pour scuriser les rseaux
sans-fil de type Wi-Fi. Il a t cr en rponse aux nombreuses et svres
faiblesses que des chercheurs ont trouves dans le mcanisme prcdent, le
WEP, le WPA scurise la transmission de donnes sans fil en utilisant une
cl similaire la cl WEP, mais sa force est que cette cl change
dynamiquement. Il est donc plus difficile pour un pirate de la dcouvrir et
d'accder au rseau.
On choisira donc WPA pour le chiffrement puisqu il est compatible avec nos
quipements existants. On aurait pu utiliser le WPA2 mais bien que son
implmentation puisse engendrer des problmes de compatibilit, on la
vit.
e- Choisir une mthode d'authentification base sur des certificats
L'EAP (Extensible Authentification Protocol) n'est pas un protocole
d'authentification proprement parler, mais un protocole de transport de
protocoles d'authentification tels que TLS, MD5, PEAP, LEAP, etc. En effet,
avec cette mthode, les paquets du protocole d'authentification sont
encapsuls dans les paquets EAP.
Son but est l'authentification d'un utilisateur sur un rseau non ouvert, car
dans un premier temps, dans ce type de rseau, seul les trafics EAP sont
permis (pour permettre l'authentification). Ce n'est qu'aprs authentification
que le rseau est ouvert. Une mthode d'authentification EAP utilise
diffrents lments pour identifier un client tels que : le couple login/mot
de passe , les certificats lectroniques , les cartes puces (SIM) , etc....
En plus de l'authentification, EAP gre la distribution dynamique des cls de
chiffrement (WEP ou WPA). Les deux mthodes d'authentification
EAP utilisant des certificats sont :

PEAP (Protected EAP): Le processus d'authentification de PEAP consiste


tablir un tunnel scuris TLS entre le client et le serveur d'authentification,

~ 49 ~
en authentifiant le serveur RADIUS l'aide d'un certificat. Ensuite, il est
possible de choisir entre la mthode MS-CHAPv2 (Microsoft Challenge
Handshake Authentification Protocol version 2) ou TLS pour authentifier
l'utilisateur. Quand la mthode PEAP est utilise c'est souvent pour viter
d'utiliser les certificats client, il est donc logique que sur les deux mthodes
proposes par PEAP, l'utilisation de Login/Password, via MS-CHAP, soit

largement privilgie.
EAP-TLS (EAP-Transport Layer Security): EAP-TLS est une mthode
d'authentification mutuelle, ce qui signifie que le client et le serveur se
prouvent respectivement leur identit. Lors de l'change EAP-TLS, le client
d'accs distance envoie son certificat d'utilisateur et le serveur d'accs
distance envoie son certificat d'ordinateur. Si l'un quelconque des certificats
n'est pas envoy ou n'est pas valide, la connexion est interrompue.
Rappelons que TLS, la version normalise de SSL (Secure Socket Layer), est
un protocole de transport scuris (chiffrement, authentification mutuelle,
contrle d'intgrit).
Nous utiliserons donc la mthode EAP-TLS qui propose le plus de scurit.
Avec la mthode EAP-TLS l'authentification du client d'accs peut se faire de
diffrentes faons :
a.

l'aide

d'un

certificat

personnel

associ

la

machine,

l'authentification a lieu au dmarrage de la machine.


b.

l'aide

d'un

certificat

personnel

associ

l'utilisateur,

l'authentification a lieu aprs l'entre en session de l'utilisateur.


Nous avons opt pour la seconde mthode car elle augmente le niveau de
scurit.

~ 50 ~

Le diagramme ci-dessous illustre la conception de la solution


choisi (Authentification EAP-TLS 802.1X).

Figure 5 : Conception de solution base sur l'authentification EAPTLS 802.1X


Ce diagramme dcrit quatre composants principaux :
Le client sans fil : il sagit dun ordinateur ou dun priphrique excutant
une application qui doit accder des ressources du rseau. Ce client est
capable non seulement de crypter son trafic rseau, mais aussi de stocker et
dchanger des informations didentit (cls ou mots de passe).
Le point daccs sans fil : dans la terminologie rseau, on parle galement
de service daccs au rseau. Ce point daccs sans fil gre laccs au rseau
et crypte le trafic sans fil. Il permet dchanger en toute scurit des cls de
cryptages avec le client, afin de scuriser le trafic du rseau. Enfin, il peut
interroger un service dauthentification et dautorisation pour autoriser ou
refuser laccs au rseau.

~ 51 ~
Le service NAAS (Network Authentification and Authorization Service) :
Ce service stocke et vrifier lidentit des utilisateurs habilits, et gre les
accs conformment la stratgie de contrle daccs dfinie. Il peut
galement collecter des informations de compatibilit et daudit sur laccs
du client au rseau.

Le rseau interne : Il sagit dune zone scurise de services


rseau, laquelle lapplication cliente sans fil doit avoir accs.

~ 52 ~

III.4.1.

Composants matriels et logiciels


1- Identification des composants matriels :
a- Les adaptateurs de rseau client sans fil
Les cartes rseaux PCI installs ont les caractristiques techniques Carte
rseau PCI suivantes :
- Compatible Linux, MAC OSxxx et Windows XP/2000/98 SE/ME,
certifi pour Windows Vista ;
- Standard 802.11g et compatibilit rtrograde avec les produits en
802.11b ;
- Taux de transfert des donnes sans fil pouvant atteindre 54
Mbps;
- Cryptages WEP, WPA et WPA2 supports ;
- Antenne externe

Figure 6 : Carte rseau PCI


Pour les priphriques qui nont pas de carte rseau Sans fil intgre ; ils
peuvent utiliser :

Carte PCMCIA Wi-Fi gnralement utilis pour les PC Portable


Carte PCI Wi-Fi pour les PC ou autres
Une cl USB Wi-Fi pour tout priphrique quip dun port USB
Un adaptateur Wi-Fi quelconque : Ethernet/ Wi-Fi ou Port parallle/Wi-Fi
ou Port srie/Wi-Fi.

~ 53 ~

a- Les points d'accs sans fil Wi-Fi


Nous disposons des points daccs de rfrence D-Link DWL3200APayant les caractristiques suivantes :
* Standard 802.11g 2,4GHz (108Mbps).
* Taux de transfert des donnes : connexion sans fil 11 Mbits/s
(Norme IEEE 802.11b), 54 Mbits/s (norme IEEE 802.11g) et 108
Mbits/s avec les appareils compatibles Super G de la gamme D-Link.
* Port Ethernet sur RJ-45 compatible Q802.3af PoE.
* Compatible avec les quipements 802.11b sans fil existants.
* Compatible rseau filaire.
* Power Over Ethernet (PoE) intgr.
* Encryptage de donnes WEP 64/128/152 bits.
* Scurit WPA avec authentification RADIUS 802.1x de l'utilisateur.
* Configuration et gestion partir du web.

Figure 7 : D-Link DWL-32001AP


b- Le serveur
Le serveur utilis a les caractristiques suivantes :
Ressource
Processeur
Mmoire vive
Carte rseau
Disque dur

Configuration minimale
Intel Dual core 1,6 Gigahertz (GHz)
1 Go (giga-octets)
Deux cartes rseau
1 disque dur de 250 Go

~ 54 ~

Figure 8 : Serveur DELL 1800

~ 55 ~

2- Identification des composants logiciels :


Comme logiciels, nous aurons besoin :
-

Un systme d'exploitation serveur : Windows 2008 Server Entreprise


Edition. Nous l'avons choisi car il inclut la gestion des certificats, il dispose
d'un serveur RADIUS intgr sous le nom de NPS (Network Policy Server)
pouvant grer un nombre infini de clients RADIUS; les couples login/mot
de passe pourront tre grs avec l'annuaire Active Directory.
L'autre solution aurait t d'utiliser une distribution Linux, avec ce choix,
nous aurons utiliser Free Radius pour l'authentification. Mais cette
solution stant avre compromettante vis--vis du cahier des charges du
projet (par souci de devoir rutiliser linfrastructure matrielle et logicielle
dj en place nous lui avons prfr Windows 2008 Server.
Un analyseur de rseau sans fil : wireshark
Wireshark est un analyseur de rseau sans-fil, compatible 802.11a, b et g
utile au niveau du dploiement et de la maintenance. Il permet dvaluer la
scurit dun rseau sans-fil (dceler les accs pirates,), analyser la qualit
du signal mis, la puissance, le nombre de paquets errons, ou la quantit
de bande passante disponible (informations de la couche 1 et 2 du protocole.
Plan dadressage
Notre tude va conserver le mme plan dadressage de la division
provinciale afin dviter la perturbation ou rupture de laccs au rseau et
aux ressources.
Adresse du sous rseau : 192.168.1.0
Masque du sous rseau : 255.255.255.0
Adresse du serveur : 192.168.1.100
Adresse des points daccs : 192.168.1.2, 192.168.1.3, 192.168.1.4
Adresse des postes clients : 192.168.1.10 - 192.168.1.40

~ 56 ~

III.4.2. Prsentation de la solution retenue


1- Conception physique
En dfinitive, la solution retenue aura pour topologie physique le schma
suivant:

Figure 9 : schma du rseau dfinit

Description :

Comme nous pouvons le remarquer, la mise en place du rseau


sans fil et du serveur RADIUS ne va pas modifier larchitecture de rseau existant.
Tous les ordinateurs de bureau et portables du rseau seront dsormais connects
grce au Wi-Fi. En effet, tous les ordinateurs portables rcents incluent dj
ladaptateur sans fil et ceux de la division provinciale de budget nchappent pas
la rgle et sont quips par des adaptateurs de rseau client sans fil compatible
802.1x.

~ 57 ~

ESTIMATION DU COUT DE DEPLOIEMENT


Daprs ce qui prcde nous valuons la solution envisage :
Nombr
e

Dsignation

Marque/modle

PU

Cot

Points daccs

D-Link DIR-615

41.63

124.89

01

Boitier mtallique

28.21

28.21

10

Cl USB sans fil 802.11g 54


Mbps

DLink DWA-121

11.27

112.7

Machine

HP Pavilion 17-f228nf

455.99

455.99

Systme dexploitation rseau

Windows serveur 2008

1037.41

1037.41

Wireshark

/
Cout total

0
1759.2 $

Tableau 2 : Estimation du cot de dploiement


Remarque: nous navons pas mentionn le prix de lanalyseur du rseau wifi, car
cest tlchargeable. De plus, le choix dune solution avec 10 cls USB sans fil est
d au fait que nous supposons que tous les lap tops disposent de nos jours intgr
un adaptateur Wi-Fi. Ainsi avec 10 PCs et une dizaine de Laptops nous restons
dans les prvisions. Seulement a ne poserait aucun problme si ce nombre venait
augmenter car le point daccs choisi a une capacit de satisfaction pour une
trentaine de postes. Toutefois il faudra videment prvoir des adaptateurs pour les
nouveaux clients nen disposant pas.
Le point daccs est livr avec son cble Ethernet et son kit dalimentation. Si le
cble offert lachat venait tre insuffisant, nous trouverons bien sur place avec
quoi laugmenter.
Quant lalimentation du point daccs, il y a une prise murale juste ct de
lemplacement que nous avons choisi pour linstaller. Ainsi nous naurons pas
besoin dvaluer le cout du cblage lectrique.
En ce qui concerne les couts, nous nous sommes rendus dans les principales
boutiques informatiques de la ville de Lubumbashi et l nous avons recens les prix
ci-dessus.
Sur ce, nous pensons quune fois le matriel acquis, nous pourrons nous lancer la
ralisation effective des travaux dinstallation de notre rseau sans fil Wi-Fi.

~ 58 ~

III.5.

MISE EN PLACE DE LA SOLUTION RETENUE

1. INSTALLATION ET CONFIGURATION DE LAUTORITE DE


CERTIFICATION ET DU SERVEUR WEB
Au pralable le serveur de noms devra tre install. En effet il ny a pas
dautorit de certification sans DNS (Domain Name System). Nous ne
ferons pas mention ici de la procdure dinstallation du DNS car ce dernier
est dj install sur le serveur. Notons simplement que le domaine de la
DPB se nomme divprovbudget.cd.
Linstallation dune autorit de certificat ncessite
linstallation des services IIS (Internet Information Server).

tout

dabord

1.1. INSTALLATION DU SERVEUR WEB(IIS)

Figure 10 : Choix des rles dsirs.


Cette capture nous permet de crocher le rle serveur web (IIS) qui nous
permet dinstaller le serveur web.

~ 59 ~

Figure 11 : Ajout des fonctionnalits d'ASP.NET


Cette capture nous montre linstallation des extensions du serveur
FrontPage et/ou la structure ASP.Net. Dans notre cas nous utiliserons
ASP.NET car lautorit de certificat ncessite cette technologie pour
permettre aux services de certificats de fournir un service dinscription par
le web.
1.2. INSTALLATION DUNE AUTORITE DE CERTIFICATION RACINE

Figure 12 : Choix des rles dsirs Services de certificats Active


Directory.
Cette capture nous permet de crocher le rle Services de certificats
Active Directory pour linstallation du serveur dautorit de certification
racine.

~ 60 ~

Figure 13 : Type de choix d'installation.


Nous slectionnons le type dinstallation Entreprise car il sagit dune
entreprise.

Figure 14 : Type de choix de CA.


Puis nous slectionnons le type dautorit de certification. Nous
choisissons Autorit de certification racine car il sagit de la premire
autorit installe.

~ 61 ~

Figure 15 : Nom commun pour le CA.

Nous faut alors choisir le nom de notre autorit. Dans le cas prsent
nous choisissons : certificat-divprovbudget.

.
Figure 16 : Dcision de la priode de validit.

~ 62 ~
Cette capture nous permet de dfinir la priode de validit de notre
certificat

Figure 17 : Endroit o la base de donnes de CA sera accueillie.


Cette capture nous montre lemplacement de la base de donnes et le
journal de certificats
dans notre cest dans la partition
C:\WINDOWS\system32\Certlog.

~ 63 ~
2. INSTALLATION ET CONFIGURATION DU SERVEUR RADIUS
2.1. INSTALLATION DU SERVEUR RADIUS

Figure 18 : Ajout du rle Services de stratgie et d'accs rseau.


Cette capture nous montre la slection du rle Services de stratgie et
daccs rseau linstallation de notre serveur Radius.

Figure 19 : Choix du Serveur NPS.


Dans
le
complment
dinstallation,
dajouter Serveur NPS

il

nous

sera

ncessaire

~ 64 ~
Apres linstallation, nous allons crer des comptes utilisateurs et un
groupe dans Active Directory pour les utilisateurs du rseau Wi-Fi, avant
de passer la configuration du serveur Radius.

~ 65 ~

2.2. CREATION DUN UTILISATEUR ET DUN GROUPE DANS ACTIVE


DIRECTORY

Figure 20 : Cration d'un utilisateur util1-wifi.


Cette capture nous as permis de crer un utilisateur nomm util1-wifi.
Nous entrons ensuite le mot de passe, ainsi que les options concernant
le compte.

Figure 21 : Cration du groupe-wifi.


Nous crons un groupe dutilisateurs qui contiendra les utilisateurs
autoriss accder au rseau Wi-Fi, nous la donnons le nom groupe-wifi.

Figure 22 : Ajout de l'utilisateur util1-wifi dans le groupe-wifi.


Cette fentre, nous montre lajout de notre utilisateur dans le groupe que
nous avons cr. Lutilisateur util1-wifi fait donc maintenant partie de

~ 66 ~
groupe-wifi, nous rpterons la procdure autant de fois pour crer
dautres utilisateurs. Maintenant nous pouvons donc passer la
configuration du serveur Radius.

~ 67 ~

2.3. CONFIGURATION DU SERVEUR RADIUS


Nous allons crer une nouvelle stratgie que nous nommons accs-wifi.

Figure 23 : Spcification du nom de la stratgie et du type de


connexion
Cette fentre nous permet de spcifier le nom de notre nouvelle stratgie

Figure 24 : Spcification des groupes d'utilisateurs qui


bnficieront de la connexion sans fil.

~ 68 ~
Cette fentre nous montre le groupe dutilisateurs qui auront droit la
connexion sans fil.

Figure 25 : Configuration du Client Radius


La fentre suivante nous montre la configuration du Client Radius, qui
est notre point daccs. Nous entrons un nom convivial qui sera celui de
notre point daccs Wi-Fi ainsi que son adresse IP. Nous choisissons le
nom budget-wifi et le mot de passe ; nous dfinissons le secret partag
entre le point daccs et le serveur Radius.

Figure 26 : Apparition du point d'accs dans le client Radius.


Cette fentre si Le point daccs apparait alors dans la liste des clients
Radius.

Figure 27 : Autorisation du serveur NPS interroger notre AD.

~ 69 ~
Cette fentre nous permet que nous autorisions notre serveur NPS
interroger notre AD. La configuration du serveur Radius est maintenant
termine.

~ 70 ~

3. INSTALLATION ET SECURISATION DU POINT DACCES WI-FI


Nous lanons le navigateur sur la machine serveur et nous saisissons
ladresse par dfaut du point daccs, http://192.168.1.2. Une fentre de
connexion saffiche. Alors, nous mettons notre login et notre mot de passe
(ce login et ce mot de passe sont fournis avec lquipement) puis nous
allons dans le menu paramtres sans fil.
Premire opration de scurit : nous dsactivons la diffusion du nom
SSID. Puis nous cliquons sur le bouton configuration de la liste daccs.

Figure 28 : Dsactivation de la Diffusion du nom SSID.


Deuxime opration de scurit : nous changeons le mot de passe par
dfaut de lAP et nous en prendrons un qui soit compliqu.
Troisime opration de scurit : nous activons le contrle daccs et
nous allons la section liste daccs. L, nous entrons les adresses MAC
des clients autoriss accder au rseau Wi-Fi. En fin nous choisissons
loption de scurit WPA-802.1X. Nous entrons ladresse IP de notre
Serveur Radius et le port de communication (par dfaut 1812 pour
lauthentification et 1813 pour laccounting). Puis nous entrons la cl
partage que nous avons saisie sur le serveur Radius.

~ 71 ~

Figure 29 : Choix du type de scurit WPA2 et partage de la cl


pr-partage entre le serveur Radius et le point d'accs.
4. CONFIGURATION DUN CLIENT DACCES WI-FI SOUS WINDOWS 7
A. Installation du certificat auto sign du serveur dauthentification
et du certificat dun utilisateur
Nous allons devoir rcuprer un certificat mis par lautorit de
certification. Tout dabord nous ouvrons une session sous le nom de
lutilisateur qui recevra le certificat cette machine. Puis dans un
navigateur, nous nous connectons sur le serveur de lautorit de
certification : http://nom du serveur/certcrv. Dans notre cas
http://192.168.1.100/certsrv.
Nous allons entrer le login et mot de passe de lutilisateur util1-wifi par
exemple dans la fentre de connexion qui surgit.

Figure 30 : Page d'accueil du tlchargement du CA.

~ 72 ~

Figure 31 : Certificat utilisateur.

~ 73 ~

B. Configuration de la connexion rseau sans-fil


Nous allons dans panneau de configuration puis connexions rseaux.
Nous faisons un clic droit sur connexion rseaux sans-fil puis nous
entrons dans les proprits. Dans longlet configuration rseaux sansfil nous cliquons sur ajouter. Nous entrons le nom de notre rseau et on
choisit la mthode dauthentification de type WPA et un cryptage de type
TKIP.

Figure 32 : Choix de la mthode d'authentification et de cryptage.


Dans
longlet
authentification
nous
slectionnons
Activer
lauthentification IEEE 802.X pour ce rseau et nous cliquons sur
proprits du type EAP. Nous dcrochons loption connexion ces
serveurs. Puis nous slectionnons notre serveur de certificat dans la
liste des autorits de certification racine de confiance.
La connexion est configure et oprationnelle sur cette machine, nous
pouvons donc dsormais nous connect au rseau sans-fil dessus. Nous
allons rpter la procdure pour toutes les autres machines clientes
tournant sous Windows7.

~ 74 ~

~ 75 ~

OBSERVATIONS ET TESTS
Comme vous lavez surement remarqu, la connexion
au rseau Wi-Fi de la division provinciale du budget seffectue lors dune
ouverture de session sur le domaine divprovbudget.com.
Ainsi lorsquun utilisateur souhaite accder au
rseau, il devra ouvrir une session sur le rseau avec son compte du
domaine qui lui aura t fourni probablement par ladministrateur du
rseau. Si tout a t convenablement configur sur la machine utilise, la
connexion au rseau se fera de manire transparente. Si la connexion ne
fonctionne pas, il faudra sadresser au service technique. Ainsi, toutes les
machines ncessitant se connecter au rseau devront automatiquement
passer par le service technique pour tre configures et les utilisateurs aussi
afin dobtenir les informations sur leurs comptes daccs.
Par dfaut, ladaptateur sans fil Wi-Fi du poste client gre les dconnexions
aprs un certain temps dinactivit. Bien plus la fermeture de session ou
lextinction du poste client ralise la dconnexion du rseau. Nous pensons
que ceci permettra de renforcer la scurit de notre rseau sans fil Wi-Fi.
Pour les machines disposant en plus de ladaptateur Wi-Fi une carte
Ethernet, la configuration IP de cette dernire devra tre similaire avec celle
de ladaptateur Wi-Fi afin que le passage du sans fil au filaire se fasse de
manire transparente. Et nous ici que la connexion au rseau se fera tout
naturellement

au

dmarrage

de

la

machine

sans

passer

par

une

authentification pralable.
Nous allons maintenant tester si les machines arrivent
communiquer entre elles.

~ 76 ~
CONCLUSION GENERALE
Comme lexige les normes scientifiques disent
que toute tude doit avoir une dlimitation en temps et en espace , ainsi
nous sommes arriv la borne suprieure de notre travail par rapport au
temps dont le sujet a port sur MISE EN PLACE DUN RESEAU Wi-Fi
AVEC AUTHENTIFICATION BASEE SUR DES CERTIFICATS (cas de la
Division Provinciale de Budget/Katanga).
Partant des difficults que rencontrent le rseau wifi
de la dite division qui est scuris par une cl WAP-PSK est victime des
attaques par dictionnaire venant des utilisateurs non autoriss. Dtenant la
cl, les utilisateurs ne faisant partie de lInstitution se connectent pour
bnficier de la connexion Internet et ventuellement accder au dossier
partag du rseau...
Elle manque aussi un systme dauthentification qui
permet didentifier les utilisateurs qui ont droit daccder au rseau ainsi
quaux donnes partages, cest ainsi que nous avons pens que la mise en
place dun un systme de scurit performant dans lequel lauthentification
des utilisateurs se fera travers un serveur Free Radius, qui se basera sur
la mthode EAP-TLS pour lmission des certificats chaque tentative des
connexions ou teste daccs permettra de remdier aux problmes
quauraient le rseau sans fil de la division provinciale de budget et de
rsoudre les difficults cite ci-haut.
De ce qui suit, nous avons utilis la mthode
analytique qui nous a permis danalyser des nombreuses donnes qui ont
t recueillies grce au questionnaire et aux entretiens avec certains
responsables et dirigeants de la division provinciale du budget/Katanga et la
technique documentaire qui nous as permis consulter diffrents ouvrages
cadrant avec notre travail et celle de linterview qui nous a permis par le jeu
de question rponse de rcolter les donnes pour lamlioration de notre
travail. Nous avons subdivis notre travail en deux approches dont la
premire est thorique qui contient deux chapitres savoir un chapitres sur
les gnralits des concepts fondamentaux et un autre sur la prsentation
du champ dtude et analyse de lexistant, et la seconde qui est une approche
pratique qui contient un chapitre intitul conception et implmentation de la
solution retenue.
Ainsi nous atterrirons en disant que la question que nous
nous sommes pose dans la problmatique tait la suivante :
-

Quel moyen nous permettrait dauthentifier les utilisateurs dans un rseau


sans fil (Wi-Fi) ?
Et nous confirmons en sens :

~ 77 ~
-

58 mais dans le cadre de ce travail de


Plusieurs solutions sont envisageables,
fin de cycle, nous envisageons de mettre en place un rseau sans fil dans
lequel lauthentification des utilisateurs se fera travers un serveur Free
Radius ; car il basera sur la mthode EAP-TLS (Extensible Authentification
Protocol-Transport Layer Security) pour lmission des certificats chaque
tentative des connexions ou test daccs.

Enfin, avec la solution des cybercafs virtuels, nous


pensons pouvoir produire des devises la division provinciale de budget et
par la mme occasion participer au mieux la rduction du foss numrique
qui existe entre le Nord et le Sud.
De ce fait la solution propose la Division
Provinciale de Budget/Katanga certifie nos suppositions de dpart selon
lesquelles la mise en place dun systme dauthentification permettrait de
protger son rseau sans fil vu que ce systme permet laccs seulement aux
personnes dtenant les cls publiques dlivres par lautorit des
certifications.
Nous ne dirons pas avoir puis toutes les matires
portant sur cette tude, car dautres brches peuvent voir jour sous dautres
angles.