Sécurité des réseaux 2018-2019 – Semestre 2 Université Constantine 2

Université Abdelhamid Mehri – Constantine 2

2018-2019. Semestre 2

Sécurité des réseaux

– Cours 3 –
Chapitre 2 : Menaces et mesures de protection (2/2)
Mécanismes de défense

Staff pédagogique
Nom Grade Faculté/Institut Adresse e-mail
Radja Boukharrou MCB Nouvelles technologies radja.boukharrou@univ-constantine2.dz

Etudiants concernés
Faculté/Institut Département Année Spécialité
Nouvelles Technologies IFA Master 1 Réseaux et Systèmes Distribués (RSD)

Objectifs du cours 2
Connaître les types de services de sécurités
Apprendre les mécanismes de défense contre les menaces possibles

© Dr. R. Boukharrou Page 1 sur 6

Sécurité des réseaux 2018-2019 – Semestre 2 Université Constantine 2

1. Services de sécurité
Aujourd’hui dans un monde ultra-informatisé, les entités en communication peuvent se trouver à de grandes
distances grâce notamment à Internet. Les réseaux utilisés pour connecter ces entités offrent des qualités de
service variables en terme de rapidité, fiabilité et de confidentialité. En effet, les échanges d’informations sont
de plus en plus nombreux et importants, et la sécurité de ces échanges a pris une importance particulière.
La sécurité informatique consiste à assurer que les ressources matérielles ou logicielles d’une organisation
sont uniquement utilisées dans le cadre prévu. Elle vise généralement à préserver cinq principaux services de
sécurité, les voici :

1.1. Confidentialité
En partant sur le principe que les informations d’une entité n’appartiennent pas à tout le monde, c’est-à-dire
seuls ceux qui en ont le droit peuvent y accéder. Ceci signifie que le système doit empêcher les utilisateurs
non-autorisés de lire une information confidentielle, et aussi empêcher les utilisateurs autorisés de divulguer
une information à d’autres utilisateurs non-autrisés.
Le service de confidentialité fournit des mesures de protection contre une divulguation non-autorisée
d’informations. Dans une communication réseau, ce type de service consiste à protéger les données transmises
contre les attaques, et protéger les flux de données contre l’analyse. Certaines informations sensibles sont les
adresses, la longueur des messages, et le contenu des messages. Les mécanismes utilisés pour ce service sont
le chiffrement et le contrôle d’accès.

1.2. Authenticité
Le service d’authentité des entités consiste à vérifier l’identité des parties participant à une communication,
cela est effectué par un contrôle d’accès par exemple des techniques traditionnelles : un mot de passe
(Something you know), une carte à puce (Something you have), ou une empreinte digitale (Something you
are) [1]. Ces techniques permettent de s’assurer de la non usurpation de l’identité d’une entité, dans le but de
vérifier que le message provient de la source réelle du message, et aussi d’empêcher la perturbation de la
connexion par une tierce partie qui se fait passer pour une entité légitime.

1.3. Intégrité
Dans un système sein, les informations ne peuvent être modifiées que par les personnes autorisées. Cela
signifie que le système, à travers le service de l’intégrité des données, doit empêcher toute modification par
des utilisateurs non-autorisés ou toute modification incorrecte par des utilisateurs autorisés.
Dans une communication réseau, ce service consiste à assurer que les données transmises n’ont pas été
altérées, c’est-à-dire garantir que le message reçu est bien celui qui a été envoyé, et celui-ci n’a pas été modifié
ou fabriqué.
Parmi les mécanismes utilisés, on distingue le chiffrement, la signature numérique, le contrôle d’accès, et
le contrôle d’intégrité.

1.4. Non-répudiation
La répudiation en informatique, définit le comportement d’une entité qui nie malhonnêtement avoir reçu ou
envoyé certaines informations au cours d’une transaction ou une communication au travers d’un réseau [2].
Donc, le service de non-répudiation consiste à assurer que les acteurs impliqués dans la communication ne
peuvent nier y avoir participer, en d’autres termes, il vérifie que l’emetteur et le récepteur sont bien les parties
qui ont respectivement envoyé ou reçu le message. Ce service permet aussi de s'assurer qu'un contrat
électronique, par exemple un achat en ligne, ne peut être remis en cause par l'une des parties, c’est-à-dire
garantir l’identité des deux parties.

© Dr. R. Boukharrou Page 2 sur 6

Sécurité des réseaux 2018-2019 – Semestre 2 Université Constantine 2

La non-répudiation est extrêmement importante dans l’internet d’aujourd’hui, notamment pour le

commerce électronique. Actuellement, elle ne peut être assurée qu’en utilisant les mécanismes du certificat et
de la signature numériques.

1.5. Disponibilité
En assurant tous les services de sécurité précités, le système protégé doit assurer l’accès autorisé aux données
dans de bonnes conditions, c’est-à-dire l'accès permanent et sans faille durant les plages d'utilisation prévues.
De ce fait, le service de disponiblité des données permet de maintenir le bon fonctionnement du système en
fournissant de l’information aux utilisateurs autorisés aux moments où ils en ont besoin, grâce notamment aux
mécanismes de sauvegardes (répliquats) et de partage de charge.
D'autres service peuvent s’ajouter à celles précitées afin d’améliorer la qualité de sécurité d’un système,
tel que le service de traçabilité qui consiste à garantir que les accès aux données soient tracés et que ces traces
soient conservées et exploitables, pour le reporting.

2. Mécanismes de défense
Un mécanisme de sécurité, est un ensemble de stratégies conçues pour détecter, prévenir et lutter contre une
attaque de sécurité [3]. Avec l'évolution des systèmes et des réseaux, il existe une panoplie de mécanismes de
sécurité servant à protéger les systèmes ainsi que les services qu’ils offrent. Nous abordons dans ce qui suit,
les principaux mécanismes utilisés :

2.1. Audit de sécurité

L'audit de sécurité d’un réseau offre une image complète du réseau sous forme d’un rapport détaillé qui donne
un aperçu instantané et en temps réel du statut du réseau. Une analyse peut être faite sur le résultat du balayage
en utilisant des filtres dans les rapports, ce qui permet de sécuriser le réseau de manière proactive, par exemple,
en fermant les ports ouverts, en supprimant les comptes utilisateurs qui ne sont plus utilisés ou en désactivant
les points d'accès sans fil. En terme de sécurité, il permet d’dentifier des points de vulnérabilité du réseau,
cepdendant, il ne permet pas de détecter les attaques qu’a déjà subit le réseau ou que subira dans le futur.

2.2. Journalisation
La journalisation consiste à enregistrer les activités et les connexions de chaque acteur utilisant un réseau. En
effet, les journaux d’évènements (logs) constituent une brique technique indispensable à la gestion de la
sécurité des réseaux et plus généralement des systèmes. En effet, les journaux sont une source d’information
riche permettant de constater si des attaques ont eu lieu, de les analyser et potentiellement de faire en sorte
qu'elles ne se reproduisent pas.
Dans ce cas, les évènements constituant les journaux sont consultés et analysés en temps réel. Les
journaux peuvent également être employés a posteriori pour retrouver les traces d’un incident de sécurité ;
l’analyse des journaux d’un ensemble de composants (postes de travail, équipements réseaux, serveurs, etc.)
peut alors permettre de comprendre le cheminement d’une attaque et d’évaluer son impact.

2.3. Antivirus
Un antivirus est un logiciel permettant de protéger une machine contre les programmes/logiciels néfastes ou
les fichiers potentiellement exécutables. De nos jours, les antivirus sont aussi des anti-malware c’est-à-dire il
protègent aussi les machine contre tous les autres types de malware à savoir les vers et les chevaux de Troie.
Il consiste à chercher les codes malveillants dans les logiciels infectés. Cependant, un antivirus ne protège pas
le réseau contre un intrus qui emploie un logiciel légitime, ou contre un utilisateur légitime accédant à une
ressource alors qu'il n'est pas autorisé à le faire.

© Dr. R. Boukharrou Page 3 sur 6

Sécurité des réseaux 2018-2019 – Semestre 2 Université Constantine 2

2.4. Systèmes de détection d'intrusion

Un système de détection d'intrusions (ou IDS1) est un appareil ou une application qui alerte l'administrateur en
cas de faille ou de violation de règles de sécurité dans un réseau, permettant ainsi de prévenir les risques
d'intrusion. Ce système consiste à surveiller et analyser les activités d’un réseau en repérant celles qui sont
anormales ou suspectes, cependant, il ne permet pas de détecter les accès incorrects mais autorisés par un
utilisateur légitime. Par ailleurs, certaines mauvaises détections peuvent arriver tels que les taux de faux positifs
et les taux de faux négatifs.
Il existe deux grandes familles distinctes d’IDS : (1) Les N-IDS (Network-based IDS), qui assurent la
sécurité au niveau du réseau en se basant sur un équipement dédié ; ainsi que (2) les H-IDS (Host-based IDS),
qui sont des logiciels résidant sur les hôtes permettant d’assurer leur sécurité [6].

2.5. Pare-feu
Un pare-feu (ou Firewall en anglais) est un système logiciel ou matériel installé sur une machine ou un routeur,
permettant de contrôler les communications qui traversent un réseau donné. Ce mécanisme permet de protéger
un réseau privé de certaines intrusions provenant d’un réseau externe (par exemple internet), tels que les
communications sortantes déclenchées par un malware installé. Par ailleurs, il a pour fonction de faire respecter
la politique de sécurité du réseau, qui définit quelles sont les communications autorisés ou interdits.
Concrètement, il s’agit d’une passerelle qui consiste à filtrer les paquets entrants et sortants en se basant
sur une interface pour le réseau à protéger, et une autre pour le réseau externe (souvent c’est internet) [4].
Néanmoins, le pare-feu ne protège pas le réseau contre une attaque venant du réseau intérieur (c’est-à-dire
celui qui ne le traverse pas), et il n'empêche pas un attaquant d'utiliser une connexion autorisée pour attaquer
le système.

2.6. Contrôle d’accès

Le mécanisme du contrôle d'accès au réseau (NAC2) permet de renforcer sa sécurité en limitant les ressources
réseau accessibles aux terminaux selon une stratégie de sécurité définie. En effet, il permet de vérifie les droits
d’accès aux données d'un utilisateur, toutefois, il n'empêche pas l'exploitation d'une vulnérabilité par un
assaillant. Le NAC convient particulièrement aux grands organismes et entreprises qui exercent un contrôle
strict sur leur réseau. Les solutions existantes possibles pour gérer les accès autrosés sont l’utilisation des VPN
ou des tunnels.

2.7. Authentification réseau

L’authentification réseau permet d’authentifier une machine quand elle essaie de se connecter sur le réseau et
savoir avec précision si elle est déjà connecté en lui donnant les autorisations nécessaires pour l’usage du
réseau. L'authentification réseau est nécessaire au bon fonctionnement des autres mécanismes de défense, et
elle est indépendante des autres méthodes d’authentifications vers les systèmes d’exploitation ou les
applications.
Il existe deux catégories de protocoles qui peuvent être utilisés pour l’authentification réseau, il y a
d’une part, (1) les protocoles propriétaires comme VMPS de Cisco Authentification qui est seulement
valable sur une adresse MAC et réseau filaire ; et d’autre part, (2) il y a les protocoles ouverts comme
RADIUS et 802.1x Authentification sur adresse MAC [5].

1
IDS : Intrusion Detection Systems
2
NAC : Network Access Control ou Network Admission Control

© Dr. R. Boukharrou Page 4 sur 6

Sécurité des réseaux 2018-2019 – Semestre 2 Université Constantine 2

2.8. Bourrage de trafic

Le bourrage de trafic est destiné à protéger un réseau contre les attaques passives qui consistent à capturer et
à analyser le trafic circulant dans le réseau. Ce mécanisme consiste à injecter des messages inutiles pour faire
échouer les tentatives d’analyse du trafic. Cette pratique permet d’améliorer la confidentialité des données,
notamment au niveau du volume du trafic.

2.9. Chiffrement des données

Le chiffrement consiste à transformer un message en clair en un message incompréhensible, en utilisant
généralement un algorithme basé sur des clés. Essencielement, deux techniques de cryptographie sont utilisées:
(1) Le chiffrement symétrique qui consiste à utiliser la même clé dite secrète pour chiffrer et déchiffrer un
message, tandis que (2) le chiffrement asymétrique qui se base sur une paire de clés, c'est-à-dire une clé
publique pour le chiffrement du message, et une clé privée pour le déchiffrer, sachant que seul le destinataire
du message qui possède la clé privée lui permettant de déchiffrer le message. Ce mécansime sera abordé en
détail dans le cours 9 de ce module.

2.10. Signature numérique

La signature numérique est un mécanisme permettant de garantir l'intégrité et la non-répudiation d'un message
ou d’un document électronique. Analogiquement à la signature manuscrite d'un document papier, la signature
numérique permet d’authentifier un document ou un contrat électronique.

2.11. Protection physique

La protection physique d’un réseau consiste à rendre inaccessible tous ses équipements, pour fournir une
protection totale, mais qui peut être excessive, car le réseau n’aura aucun accès de l’extérieur. Par exemple, le
fait d’isoler complètement le réseau d’un organisme sensible telle que une centrale nucléaire, toutefois, cette
solution peut paraître trop radicale dans le cas des entreprises.

3. Conclusion
Comme conclusion, aucun des mécanismes de sécurité précités n’est suffisant par lui-même. Afin de mieux
sécuriser son réseau, il faut non seulement appliquer tous ces mécanismes mais aussi les faire évoluer de jour
en jour !

Liens utiles
Les étudiants peuvent consulter les liens suivants pour approfondir leurs connaissances dans ce cours :
Top 10 Antivirus : https://www.leblogduhacker.fr/le-top-10-antivirus/
Comment faire une signature électronique ? https://www.clubic.com/antivirus-securite-informatique/
article-837828-1-signature-electronique-comment.html
Comment le virus Stuxnet s'en est pris au programme nucléaire iranien ? http://www.slate.fr/story
/30471/stuxnet-virus-programme-nucleaire-iranien

Références

[1] D. Gibson, «Understanding the Three Factors of Authentication,» 2011. [En ligne]. Available:
http://www.pearsonitcertification.com/articles/article.aspx?p=1718488.
[2] O. Markowitch, «Thèse de doctorat : Les protocoles de non-répudiation,» Université libre de
bruxellles, Bruxelles, 2001.
[3] M. Choisnard, «Réseaux et sécurité informatique,» Université de Bourgogne, 2015.

© Dr. R. Boukharrou Page 5 sur 6

Sécurité des réseaux 2018-2019 – Semestre 2 Université Constantine 2

[4] Y. Daldoul, «Techniques avancées de sécurité et de cryptographie,» Université de Monastir,

2016.
[5] Authentification.eu, «Qu’est ce que l’authentification réseau ?,» [En ligne]. Available:
http://www.authentification.eu/quest-ce-que-lauthentification-reseau/. [Accès le 2019].
[6] Red Hat, Inc., «Red Hat Enterprise Linux 4: Guide de sécurité - Chapitre 9. Détection
d'intrusions,» 2005. [En ligne]. Available: http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-fr-
4/ch-detection.html.

© Dr. R. Boukharrou Page 6 sur 6