Académique Documents
Professionnel Documents
Culture Documents
Cryptographie, authentification,
protocoles de sécurité, VPN
III
Cet ouvrage fait par tie de
Sécurité des systèmes d'information
(Réf. Internet ti440)
composé de :
Sécurité des SI : organisation dans l'entreprise et législation Réf. Internet : 42458
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
IV
Cet ouvrage fait par tie de
Sécurité des systèmes d'information
(Réf. Internet ti440)
Maryline LAURENT
Professeur à Télécom SudParis
Laurent LEVIER
CISM (Certified Information Security Manager), CISSP (Certified Information
Systems Security Professional), Officier de sécurité du réseau interne, Equant
Télécommunications, CGEIT (Certified in the Governance of Entreprise IT).
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
V
Les auteurs ayant contribué à cet ouvrage sont :
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
VI
Cryptographie, authentification, protocoles de sécurité,
VPN
(Réf. Internet 42314)
SOMMAIRE
IP Mobile TE7515 41
Gestion du roaming par AAA pour les services PPP et Mobile IP TE7555 43
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
VII
Sécurité dans les réseaux 802.11 TE7377 81
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
Cryptographie, authentification, protocoles de sécurité,
VPN
(Réf. Internet 42314)
1
1– Cryptographie et stéganographie Réf. Internet page
2– Protocoles de sécurité
3– Technologies de VPN
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
9
1
10
Référence Internet
H5210
Cryptographie appliquée
1
par Pierre-Alain FOUQUE
Ingénieur télécoms, docteur en cryptographie
Chercheur au Laboratoire de cryptographie de la direction centrale de la Sécurité
des systèmes d’information (DCSSI)
5. Conclusion ................................................................................................. — 18
Bibliographie ...................................................................................................... — 18
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité des systèmes d’information H 5 210 − 1
11
Référence Internet
H5210
1 utilisée sur Internet, Secure Socket Layer (SSL), ont ainsi été largement
annoncées dans la presse et sur Internet. Ces attaques ne remettent pas en
cause les preuves de sécurité des systèmes mais montrent que la modélisation
des adversaires n’est pas idéale. En effet, pour traiter un problème de manière
théorique, les scientifiques ont besoin de modéliser la réalité. En cryptogra-
phie, il est nécessaire de représenter les buts de l’adversaire et ses moyens,
c’est-à-dire ce qu’il cherche à faire et la manière dont il interagit avec le sys-
tème. C’est ici que la cryptographie montre ses limites face à la réalité : il est
difficile d’étudier de manière exhaustive tous les adversaires possibles.
Après avoir rappelé les principes de conception des schémas cryptogra-
phiques de chiffrement et de signature électronique, nous décrirons quelques
limites des systèmes actuels montrant ainsi la difficulté à concevoir des systè-
mes sûrs. Cette difficulté est aujourd’hui liée à l’implémentation des schémas
cryptographiques dans des systèmes informatiques tels que des cartes à puce,
des cartes accélératrices, etc. Enfin, nous donnerons des exemples de stan-
dards de communications sécurisées.
(0)
Glossaire
Attaque : opération qui tente de violer les objectifs de sécurité d’un cryptosystème.
Authentification : preuve d’identité ou preuve de l’origine des données. Ce terme regroupe l’identification, les signatures et les MAC.
Cassage (total) : calcul de la clé secrète d’un utilisateur.
Chiffrement : transformation appliquée à un message pour assurer sa confidentialité. Il peut être déterministe ou probabiliste.
Clé : valeur qui paramètre un cryptosystème. Si elle est confidentielle, on parle alors de clé secrète ou privée, sinon on parle de clé publique.
Confidentialité : assurance que seules les personnes autorisées ont accès à l’information. Pour cela, on utilise des systèmes de chiffrement.
Contrefaçon : fabrication d’un objet sans en avoir le pouvoir légitime (connaissance de la clé secrète). Contrefaire une signature ou un MAC.
Cryptanalyse : étude des procédés de décryptage, ou plus généralement de la sécurité des cryptosystèmes.
Cryptographie : étude des procédés permettant d’assurer la confidentialité, l’intégrité et l’authentification.
Cryptosystème (mécanisme cryptographique) : système de chiffrement et plus généralement tout schéma de signature, de MAC ou de
générateur pseudo-aléatoire.
Déchiffrement : transformation inverse du chiffrement qui consiste à retrouver, à l’aide d’une clé secrète, l’information initiale contenue
dans le message chiffré.
Décryptage : action de « casser » le chiffrement, et donc de retrouver le texte clair d’un chiffré, sans connaître la clé secrète.
Fonction à sens unique : fonction simple à calculer mais difficile à inverser.
Fonction à sens unique à trappe : fonction à sens unique pour laquelle une information supplémentaire, appelée « trappe », facilite
l’inversion.
Fonction de hachage : transformation déterministe d’une chaîne de bits de taille variable en une chaîne de bits de taille fixe, telle que toute
modification de la valeur d’entrée modifie la valeur de sortie.
Générateur pseudo-aléatoire : transformation déterministe permettant de produire une chaîne de bits apparaissant aléatoire à partir d’une
entrée de petite taille.
Identification : preuve d’identité lors d’un contrôle d’accès.
Intégrité : assurance qu’un message n’a pas subi de modifications volontaires ou non.
MAC : donnée de taille fixe jointe à un message qui prouve l’identité de l’émetteur et qui garantit l’intégrité du message. Contrairement aux
signatures, seules les personnes possédant la clé secrète peuvent vérifier un MAC.
Objectifs de sécurité : les services assurés par les systèmes cryptographiques sont la confidentialité, l’intégrité et l’authentification.
Primitive : opération mathématique de base à partir de laquelle des cryptosystèmes pourront être construits. Par exemple, la primitive de
chiffrement RSA consiste à calculer c = me mod N où pk = (e, N ) est la clé publique.
Protocole : ensemble de messages échangés entre plusieurs entités.
Système (ou schéma) : ensemble d’opérations reliées combinant une ou plusieurs primitives entre elles avec d’autres techniques afin d’aug-
menter la sécurité et éventuellement traiter des messages de taille variable. Le système de chiffrement RSA consiste à rajouter un pad-
ding puis à utiliser la primitive de chiffrement RSA. Il est d’usage de parler de schéma de signature et de système de chiffrement.
Signature : donnée de taille fixe jointe à un message et qui prouve l’identité de l’émetteur, garantit l’intégrité du message et assure la
non-répudiation. Tout le monde ayant accès à la clé publique peut vérifier la signature.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
H 5 210 − 2 © Techniques de l’Ingénieur, traité Sécurité des systèmes d’information
12
Référence Internet
H5210
1
accompagnèrent César dans ses conquêtes, firent arrêter et déca-
La confidentialité garantit que les données transmises ne sont piter Marie Stuart, décidèrent Wilson à rejoindre les Alliés et per-
pas dévoilées à une tierce personne. mirent d’épargner des milliers de vies pendant la Seconde Guerre
mondiale [5] [6] [7].
L’intégrité assure que ces données n’ont pas été modifiées entre
l’émission et la réception. L’invention de la radio a donné un nouvel élan à la cryptogra-
phie, car il est devenu encore plus facile d’intercepter une commu-
Enfin, l’authentification de message assure qu’elles proviennent nication longue distance. La Seconde Guerre mondiale a été
bien de la bonne entité et l’authentification de personne, aussi profondément affectée par l’utilisation de la cryptographie et le
appelée identification, garantit qu’une entité qui cherche à s’iden- cassage des systèmes cryptographiques utilisés pour les commu-
tifier vis-à-vis d’un système informatique est bien celle qu’elle pré- nications radio. Il est intéressant de voir que les premières
tend être. machines calculatoires conçues et construites par les Britanniques
pour casser le système de chiffrement allemand, Enigma, sont les
On distingue traditionnellement les systèmes symétriques et premiers exemples réels d’« ordinateurs », si bien que l’on peut
asymétriques. En cryptographie conventionnelle, aussi appelée dire que la cryptographie est à l’origine de l’informatique.
cryptographie symétrique (ou à clé secrète), les correspondants
La révolution d’Internet et l’utilisation de plus en plus massive
partagent la même clé pour chiffrer et déchiffrer. L’histoire de la
d’informations sous forme numérique facilitent les communi-
cryptographie symétrique est très ancienne, mais les connais-
cations et rendent de ce fait plus fragiles les informations que l’on
sances académiques dans ce domaine sont assez récentes et
détient. En effet, les réseaux « ouverts » créent des brèches de
remontent à l’invention du système de chiffrement par bloc appelé
sécurité car il est plus aisé pour un adversaire d’accéder aux infor-
Data Encryption Standard (DES) au début des années 1970. En
mations. De même, le remplacement de l’Homme par des
1976, Diffie et Hellman ont révolutionné la cryptographie en inven-
machines rend les relations beaucoup plus anonymes alors qu’en
tant des systèmes asymétriques dans lesquels émetteur et récep-
même temps, l’accès aux données demande des moyens d’authen-
teur ne partagent plus de clé commune : une clé, rendue publique,
tification forts. De plus, la dématérialisation des documents change
permet de chiffrer un message, la seconde est gardée secrète et
les moyens de preuve juridique : les signatures numériques
permet au destinataire de déchiffrer [1]. Cette découverte a modifié
doivent remplir certaines exigences que nous ne connaissions pas
la cryptographie car jusqu’alors, pour envoyer un message chiffré,
avec les signatures manuscrites. Ainsi, la révolution numérique
les correspondants devaient s’échanger au préalable une informa-
des communications et de l’information a ouvert de nombreux
tion secrète : la clé. En inventant la cryptographie asymétrique, Dif-
champs d’investigation à la cryptographie, différents du seul
fie et Hellman ont conçu un système où les correspondants
besoin de confidentialité, de sorte que celle-ci a envahi notre vie
peuvent s’échanger une information secrète sans se rencontrer.
quotidienne : carte à puce, transaction bancaire, Internet, télé-
phone cellulaire, télévision à péage...
Exemple : cela permet aujourd’hui d’échanger un code de carte
bleue avec un site marchand sans avoir besoin de rencontrer aupara- Dans le même temps, la cryptologie est devenue une science. La
vant le responsable du site. cryptologie, la science du secret d’après son étymologie grecque,
comprend d’une part la cryptographie, art de la conception de sys-
Dans leur article [1], ils montrent aussi comment la cryptogra- tèmes sécurisés, et d’autre part la cryptanalyse, art du cassage des
phie à clé publique permet de résoudre le problème des signatures systèmes. Par abus de langage, nous emploierons souvent le
électroniques, sans toutefois proposer un tel système. Cependant, terme cryptographie à la place de cryptologie. Les différentes tech-
ils décrivent les propriétés des fonctions permettant la création de niques employées, mélangeant mathématiques classiques du
tels schémas. Trois chercheurs du MIT (Massachusetts Institute of XVIIIe siècle et informatique théorique, lui confèrent aujourd’hui
Technology) ont alors tenté de prouver que de telles fonctions une place à part parmi les sciences. Depuis les années 1970, on a
n’existent pas jusqu’au jour où en 1977, ils en ont trouvé une. Cette assisté à une explosion de la recherche en cryptographie. Beau-
fonction est aujourd’hui appelée RSA des noms des chercheurs coup de systèmes ont été proposés, et beaucoup ont été détruits.
Rivest, Shamir et Adleman. Notre compréhension de la notion subtile de « sécurité cryptogra-
phique » a constamment progressé et, de nos jours, les cryptosys-
Aujourd’hui, la cryptographie à clé publique a permis de tèmes sont prouvés sûrs (sous certaines hypothèses plausibles).
résoudre de nombreux problèmes pratiques mais elle reste beau- Les relations fascinantes entre la cryptographie, la théorie de la
coup moins utilisée que la cryptographie à clé secrète. En effet, elle complexité et la théorie algorithmique des nombres ont petit à
demande la mise en place d’infrastructures à clé publique petit enrichi ces trois domaines de recherche.
(Public-Key Infrastructure : PKI). De plus, les systèmes symétriques
offrent de bien meilleures performances et ne requièrent pas l’uti-
lisation d’une infrastructure spécifique. Comme nous allons le voir
dans la suite, l’association des deux types de cryptographie per- 1.2 Objectifs de sécurité
met de concevoir des systèmes sûrs, efficaces et pratiques.
Mais la cryptographie moderne a aussi permis de résoudre des Commençons par voir quels services de sécurité peut garantir la
problèmes complètement nouveaux. Par exemple, elle a développé cryptographie et quelles sont ses applications dans la vie « quoti-
des techniques permettant de convaincre quelqu’un que l’on dienne ».
connaît un secret sans révéler la moindre information sur ce secret. La cryptographie ne permet pas de résoudre tous les problèmes
Ces méthodes, appelées à divulgation nulle de connaissance de sécurité informatique. Cependant, elle apporte des garanties et
(zero-knowledge ) [2], ont permis la création de systèmes d’identi- des briques de base sur lesquelles des produits peuvent être
fication [3] [4] et se sont aussi avérées très utiles pour prouver la construits. Il est bien connu que la sécurité d’un système se
sécurité de protocoles cryptographiques. mesure à son maillon le plus faible. En général, le maillon le plus
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité des systèmes d’information H 5 210 − 3
13
Référence Internet
H5210
faible d’un système informatique n’est pas le système cryptogra- manière qu’en théorie de la complexité, où des relations entre des
phique mais, par exemple, son implémentation informatique. problèmes différents sont établies [9] [10]. On dit qu’un problème
est difficile s’il n’existe pas d’algorithme pour le résoudre en temps
En outre, il existe diverses attaques contre lesquelles la crypto- polynomial.
graphie n’est pas d’un grand secours, comme les virus informa-
tiques ou les chevaux de Troie logiciels qui profitent de la Nota : la complexité en temps est polynomiale si le nombre d’étapes de calcul T
qui dépend du paramètre de sécurité k s’exprime comme un polynôme en k : il existe
confiance exagérée des utilisateurs dans les messages qu’ils reçoi- une constante c > 0 telle que T (k) < k c pour k suffisamment grand.
vent ou dans les logiciels qu’ils utilisent (voir l’article [H 5 440]).
1
La complexité des problèmes difficiles (nombre d’opérations
La cryptographie participe à la sécurité informatique en propo- pour les résoudre) est donc au moins superpolynomiale ou bien
sant des primitives et des mécanismes permettant d’atteindre les même exponentielle : le temps nécessaire pour les résoudre est
objectifs de confidentialité, de protection en intégrité et d’authenti- proportionnel à 2 k si k représente la taille des entrées en bits. Ces
fication. Pour assurer le service de confidentialité, la cryptographie problèmes sont difficiles car le temps de calcul est multiplié par 2
propose des systèmes de chiffrement à clé secrète ou à clé publi- chaque fois que la taille des entrées augmente d’un bit ! En théorie
que. La protection en intégrité et l’authentification de l’origine des de la complexité, on distingue la classe de complexité appelée ᏼ,
données peuvent être assurées en utilisant des codes d’authentifi- pour polynomiale, qui regroupe l’ensemble des problèmes ayant
cation de messages (cryptographie à clé secrète) ou des signatures des algorithmes efficaces pour les résoudre et la classe ᏺᏼ des
électroniques (cryptographie à clé publique). Enfin, le service problèmes pour lesquels aucun algorithme efficace (polynomial)
d’identification peut être garanti par l’utilisation de preuves d’iden- n’est connu pour les résoudre. Enfin, si la célèbre conjecture
tité. ᏼ ≠ ᏺᏼ s’avérait fausse, toute construction théorique de cryptosys-
tèmes sûrs et efficaces serait vouée à l’échec.
Il est d’usage de distinguer les algorithmes cryptographiques
1.3 Cryptographie moderne en deux catégories : les primitives et les cryptosystèmes ou méca-
nismes cryptographiques. Les primitives (§ 2.2) sont des briques
La cryptographie ne se contente plus aujourd’hui de construire de base ayant certaines propriétés et qui permettent de concevoir
des systèmes. On demande bien souvent qu’une preuve de sécu- des mécanismes. Les cryptosystèmes sont censés garantir la con-
rité soit apportée, permettant d’estimer la sécurité du schéma. fidentialité, l’intégrité et/ou l’authentification. Si l’on montre qu’il
Ainsi, pendant de nombreuses années, cryptographes et cryptana- existe une attaque contre ces mécanismes, alors cette attaque doit
lystes se sont combattus et tour à tour les uns prenaient le dessus aussi permettre de montrer que les primitives ne vérifient pas les
sur les autres. De nos jours, il est rare qu’un nouveau système soit propriétés qu’elles étaient supposées satisfaire.
proposé sans preuve. Mais qu’est-ce qu’une preuve de sécurité ? Enfin, il est important de voir que la cryptographie moderne fait
Comment évalue-t-on la force des adversaires ? Que cherchent-ils son entrée depuis quelques années dans les organismes de stan-
à casser ? Et quels sont leurs moyens ? dardisation tels que l’Organisation internationale de normalisation
Les travaux de Shannon dans les années 1940 sur les communi- (ISO), l’American National Standards Institute (ANSI), l’Internet
cations (théorie de l’information) sont précurseurs des futurs tra- Engineering Task Force (IETF) et le National Institute of Standards
vaux théoriques en cryptographie. En particulier, l’article intitulé and Technology (NIST). En effet, il existe différents projets inter-
Communication Theory of Secrecy Systems [8] a dégagé et étudié nationaux (P1363 [11]), européens (NESSIE [12]) ou japonais
la notion d’entropie et a prouvé la sécurité parfaite du schéma de (Cryptrec [13]) visant à évaluer la sécurité de certains algorithmes.
chiffrement de Vernam (§ 2.1.2). Shannon a aussi présenté des Jusqu’à présent, les normes en matière de sécurité étaient conçues
notions importantes sur la sécurité d’un protocole cryptographique à partir de schémas heuristiquement sûrs, c’est-à-dire pour les-
en distinguant sécurité inconditionnelle et sécurité calculatoire. quels il n’existait pas d’attaques connues. Cependant, comme de
Dans le premier cas, on suppose que l’adversaire a une ressource nombreux standards ont été cassés par la communauté crypto-
de temps infini, alors que dans le second cas, l’adversaire est graphique, les organismes de standardisation sont demandeurs de
borné dans le temps. Il ne peut effectuer qu’un nombre fini tels projets au cours desquels les schémas sont évalués par des
d’étapes de calcul, d’où le nom de sécurité calculatoire. Il est en spécialistes du domaine.
effet raisonnable de penser que si, pour casser un système, il faut
utiliser un million de machines pendant un million d’années, alors
le système est sûr. En pratique, on suppose que pour casser un
système cryptographique, l’adversaire a accès à plusieurs ordina-
teurs. On peut quantifier le nombre d’opérations qu’il peut faire
ainsi que le nombre d’informations qu’il est capable de stocker. Par 2. Cryptographie symétrique
exemple, un ordinateur cadencé à 1 GHz effectue un milliard de
cycles par seconde, soit environ 2 30 opérations élémentaires en
1 s. Si un million d’ordinateurs à 1 GHz fonctionnent pendant cent La cryptographie symétrique est très souvent utilisée bien
mille ans, alors ils sont capables d’effectuer environ 2 92 opéra- qu’elle souffre de problèmes inhérents au fait qu’émetteur et
tions. D’un point de vue pratique, on dira qu’un système est sûr si récepteur doivent partager la même clé.
le nombre d’opérations minimales pour le casser nécessite plus de
2 80 opérations. Si on veut se protéger de manière plus sûre, on Le premier argument en faveur des systèmes symétriques est
augmentera le niveau de sécurité à 2128. qu’ils sont plus rapides que les systèmes asymétriques car ils uti-
lisent directement les instructions câblées des processeurs du
La formalisation de la sécurité d’un protocole n’a pas été sans commerce. En effet, la cryptographie à clé publique requiert l’utili-
difficulté. On verra (§ 2.2.1) que plusieurs définitions sont possibles sation de l’arithmétique sur les grands nombres qui n’est pas
pour définir la confidentialité d’un système de chiffrement. Les implémentée dans les processeurs des ordinateurs usuels.
preuves de sécurité permettent de relier le cassage d’un système
à un problème réputé difficile. Par conséquent, pour l’attaquant, il Dans un premier temps, nous présentons quelques primitives
n’existe pas de méthode permettant de casser le système crypto- (algorithmes de chiffrement par bloc, par flot et fonctions de
graphique sans savoir aussi résoudre le problème conjecturé diffi- hachage) qui permettent de construire les protocoles ou méca-
cile. Ainsi, il a tout intérêt à tenter de résoudre le problème nismes garantissant la confidentialité, l’intégrité et l’authentifi-
sous-jacent. D’un point de vue théorique, les cryptographes éta- cation de l’origine des données (systèmes de chiffrement et codes
blissent des relations entre différents problèmes de la même d’authentification de message : MAC).
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
H 5 210 − 4 © Techniques de l’Ingénieur, traité Sécurité des systèmes d’information
14
Référence Internet
H5214
15
Référence Internet
H5214
16
Référence Internet
H5214
17
Référence Internet
H5214
Exemple :
Le quantum-bit se trouve dans une superposition (quanti-
que) linéaire des deux états de base notés |0> et |1>. On l’écrit Aujourd’hui, on dispose d’offres commerciales [IDQ14] offrant
sous forme d’un vecteur complexe de dimension 2 normé. Les jusqu’à plusieurs dizaines de Gb/s de débit de données chiffrées sur
fonctions d’onde, c’est-à-dire les distributions de probabilité de 80 km en effectuant une combinaison de protocoles DQC + AES-256
présence, à la base de la théorie quantique, sont issues de cal- sur une fibre optique dédiée à la DQC et un multiplexage en longueur
culs totalement déterministes. La source d’aléa est dans l’acte d’onde (WDM, wavelength division multiplexing) comme offerte par
d’observation lui-même, c’est-à-dire la mesure. Suite à une le produit Cerberis d’ID Quantique (IDQ).
mesure, le système quantique se fixe dans un état avec une
certaine probabilité, liée au carré de l’amplitude de l’état. Si – les réseaux de nœuds de confiance de DQC (QKD trusted
l’état est |Ψ> = α·|0> + β·|1> la probabilité de mesurer la valeur nodes) (§ 1.4.6) tels que définis par le projet SECOQC, ou bien des
|0> est |α|^2 et celle de mesurer |1> est |β|^2, avec α et β, des réseaux de DQC pouvant utiliser une technologie quantique
nombres complexes. comme les répéteurs quantiques (§ 1.4.7) [NM 2 400], alors au
stade expérimental mais aujourd’hui opérationnelle avec le projet
de recherche QuRep. En juillet 2014, une équipe de chercheurs
– la sécurité inconditionnelle introduite par la DQC car elle ne suisses et américains ont démontré la possibilité d’échanger des
dépend pas des moyens de calcul des espions ; clés avec un protocole quantique de DQC, et non pas des nœuds
de confiance de DQC (§ 1.4.6), sur 307 km [5] ;
– les risques exposés à moyen et long termes par les chiffre- – la description détaillée du protocole de DQC BB84 utilisant des
ments actuels : photons uniques polarisés sur deux bases différentes ; depuis
• asymétriques à échange de clés publiques – avec partage divers autres protocoles de sécurité [6] ont été proposés, tels que
d’informations sur les clés en clair à travers Internet, mais notamment la distribution quantique de clé utilisant la DPS (diffe-
cachées dans de très grands nombres – (comme RSA, Ronald rential phase shift quantum key distribution), le partage du secret
Rivest, Adi Shamir et Leonard Adleman, sur 2 048 bits ) avec quantique (differential-phase-shift quantum secret sharing), la
une dépendance de la sûreté du chiffrage aux capacités des communication quantique directe sécurisée (quantum entangle-
espions à factoriser rapidement les très grands entiers en ment for secret sharing and secret splitting) et les requêtes
produit de deux très grands nombres premiers, quantique privés QPQ (quantum private queries) ;
– la description physique très détaillée des moyens de générer
• et symétriques (comme AES, advanced encryption standard, (à l’époque) des photons uniques avec la mention de la possibilité
sur 128 ou 256 bits ) à clé privée avec le risque d’une intercep- d’effectuer (en théorie), une attaque sur le canal quantique
tion des valeurs de clés par Eve lors de l’échange des clés lorsqu’il y a deux photons (aléatoirement, il peut y en avoir 0,1 ou
(par courrier sécurisé /DVD ou par Internet avec RSA par 2) ; cette attaque est bien connue depuis 2000 sous le nom PNS
exemple) ; (photon number splitting attack) [7] [8] et les constructeurs savent
la contourner avec des protocoles améliorés ;
– l’algorithme de chiffrement « one-time pad » [3] aussi désigné
sous le nom de « chiffre de Vernam » ou « masque jetable », et – la description détaillée du codage « time-bin » inventé en
démontré inviolable par Shannon et la théorie de l’information. 1999 [9] qui a permis d’améliorer les distances utilisables du proto-
Notons que l’inviolabilité d’un algorithme par la théorie de l’infor- cole de DQC BB84, de nouveaux protocoles discrets ou états leur-
mation repose sur le principe ITS (information-theoretically res (decoy states) [10], COW (coherent one way) [11] et DPS
secure ). (differential phase shift) [12] ;
18
Référence Internet
H5870
Introduction à la stéganographie
1
par Fabien GALAND
Docteur Ingénieur R&D
Ministère de la Défense, laboratoire d’expertise, Paris, France
19
Référence Internet
H5870
Le premier argument que nous avons mentionné pour motiver l’intérêt d’une
étude de la stéganographie lui donne le beau rôle : assurer la confidentialité.
Certes, lorsque cette confidentialité sert à dissimuler aux yeux de la justice des
actions illégales, ce rôle est déjà moins clairement positif. Mais le réel pro-
blème que pose la stéganographie est celui de la fuite d’information : l’objet
même de la stéganographie est de dissimuler l’existence du message, ce qui
est en contradiction évidente avec toute politique raisonnable de sécurité, un
– le tatouage (watermarking ) ;
1. Terminologie – les filigranes (fingerprinting ).
La stéganographie se réfère à la dissimulation de messages, La question de l’anonymat fait appel à des techniques un peu dif-
mais cela peut prendre plusieurs formes qu’il est, dans certains férentes et nous n’aborderons pas ce thème ici, mais il est usuelle-
cas, nécessaire de distinguer. L’expression anglo-saxonne infor- ment admis que cette problématique relève de l’information hiding.
mation hiding désigne l’ensemble de ce qui touche à la dissimula- Le tatouage correspond à l’insertion de marques destinées à identi-
tion d’information, ce qui comprend essentiellement : fier le propriétaire de droit sur un document (copyright ) et les fili-
– la stéganographie à proprement parler, c’est-à-dire la dissimu- granes ont pour objet de tracer les copies d’un document (numéro
lation avec pour but la confidentialité de l’existence de la de série). En fait, le tatouage et les filigranes ont comme problème
communication ; commun l’insertion de données dans le document et les techniques
– les techniques pour rendre anonymes les communications ; utilisées sont fort semblables à celles de la stéganographie.
20
Référence Internet
H5870
Bien que n’étant qu’un domaine d’étude récent, la stéganogra- Un autre type de technique consiste à créer le message anodin
phie est un art ancien dont l’origine remonte au moins à l’Antiquité. à partir du secret. L’acrostiche, qui consiste à cacher un message
Hérodote explique dans son ouvrage Histoires (environ 440 avant dans les premières lettres de chaque vers, a été très employé,
notre ère) que pour organiser une révolte contre les Perses, on avait l’exemple classique étant du poète italien Boccace (XIVe siècle) :
rasé la tête d’un esclave pour y tatouer un message : une fois les Amorosavisione est un recueil de poèmes dont les premières let-
cheveux repoussés, le message était devenu invisible. Signalons
que cette technique fut employée au début du siècle dernier par des
espions allemands. Hérodote mentionne une autre technique, utili-
tres de chaque tercet révèlent trois sonnets. À leur tour, les son-
nets cachent un mot que l’on peut lire en ne prenant que la
première lettre des vers et en sautant un vers sur deux. Un autre
1
sée par Démarate, roi de Sparte qui fut destitué, pour prévenir exemple célèbre est la lettre que George Sand envoya à Alfred de
Sparte de l’intention d’invasion de son voisin, l’Empire perse, à la Musset (XIXe siècle). Il faut lire ici une ligne sur deux, ce qui
tête duquel se trouvait Xerxès. À l’époque, des tablettes de bois révèle un message pour le moins plus direct :
recouvertes de cire étaient utilisées pour envoyer des messages. Le
message à envoyer était inscrit sur la cire, une fois arrivée à destina- Je suis très émue de vous dire que j’ai
tion, la tablette pouvait être réutilisée ; il suffisait d’enlever la cire et bien compris, l’autre jour, que vous avez
de mettre une nouvelle couche prête à accueillir un nouveau mes- toujours une envie folle de me faire
sage. Démarate eut l’idée de graver le message à même le bois danser. Je garde un souvenir de votre
avant de recouvrir les tablettes de cire. Une fois recouvertes, les baiser et je voudrais que ce soit
tablettes paraissaient vierges. là une preuve que je puisse être aimée
Peu après, on trouve les traces de différentes techniques stéga- par vous. Je suis prête à vous montrer mon
nographiques dans La défense des places fortes d’Énée le Tacti- affection toute désintéressée et sans cal-
cien datant du IIIe siècle avant notre ère. Citons l’idée de marquer cul. Si vous voulez me voir ainsi
certaines lettres d’un message anodin par de petits trous ou dévoiler, sans aucun artifice, mon âme
encore par la hauteur des lettres, permettant ainsi de dissimuler toute nue, daignez donc me faire une visite.
un secret : dans le premier cas, le message caché est obtenu en Et nous causerons en amis et en chemin.
relevant les lettres au-dessous desquelles se trouve un petit trou ; Je vous prouverai que je suis la femme
dans le second cas, deux tailles de caractères sont utilisées, le sincère, capable de vous offrir l’affection
message étant constitué des lettres soit de petite taille, soit de la plus profonde et la plus étroite
grande taille selon la convention adoptée pour l’échange. amitié, en un mot, la meilleur amie
que vous puissiez rêver. Puisque votre
Plus proche de nous, signalons l’utilisation de l’encre sympathi-
âme est libre, alors que l’abandon où je
que. Sous cette dénomination se cache tout liquide nécessitant
vis est bien long, bien dur, et bien souvent
une action pour devenir visible, comme par exemple le jus de
pénible, ami très cher, j’ai le cœur
citron révélé par la chaleur. L’encre sympathique était encore utili-
gros, accourez vite et venez me le
sée au début du XXe siècle pour marquer les lettres d’un mes-
faire oublier. À l’amour, je veux me sou-
sage, à la manière d’Énée le Tacticien.
mettre.
Dans un style proche des exemples déjà donnés se trouve le
microfilm. À l’initiative du photographe français René Dagron, qui Dans un style plus musical, on trouve dans Schola Steganogra-
avait déjà déposé un brevet sur ce procédé à la fin des années phica, ouvrage datant du XVIIe siècle et dû au physicien allemand
1850, le microfilm fut utilisé, lors du siège de Paris, pendant la Gaspar Schott, la description d’un système pour dissimuler un
guerre franco-prussienne, pour faire passer des informations par message dans une partition musicale, une lettre étant simplement
pigeon voyageur au-delà des lignes ennemies. Cependant, ce transformée en une note. Clairement, le simple fait de connaître le
n’est véritablement que durant la Première Guerre mondiale que solfège détruit tout espoir de dissimulation, mais ce n’était pas
l’idée atteint sa maturité avec un usage intensif des micropoints une chose courante à l’époque.
dans les communications avec les espions. Les messages fai-
saient l’objet de réductions successives jusqu’à obtenir des tailles Dans cette catégorie de techniques visant à créer le message
de l’ordre du signe de ponctuation, les micropoints. Ils étaient anodin autour du secret, on peut inclure les systèmes par
alors simplement publiés dans la presse où les destinataires pou- convention. Un exemple fréquemment cité est celui d’un message
vaient en prendre librement connaissance. envoyé durant la Seconde Guerre mondiale, « Father is dead »,
qui fut transformé par la censure de l’époque en « Father is
Dans les années 1980, il semble que Margaret Thatcher, alors deceased ». La réponse fut éloquente : « is Father dead or
Premier ministre britannique, ait demandé de faire modifier le deceased ? ».
logiciel de traitement de texte utilisé par les membres du gouver-
nement, cela afin de dissimuler, dans les espaces séparant les Nota : respectivement « Père est mort », « Père est décédé », « Père est-il mort ou
mots, l’identité de la personne utilisant le traitement de texte. décédé ? ».
21
Référence Internet
H5870
– introduire des éléments qui nous serviront à donner des 2.1.2 Exécutables
exemples concrets des concepts théoriques que nous aborderons
dans la partie suivante, principalement autour de la stéganogra- Une autre possibilité est d’exploiter de l’espace effectivement
phie dans les images. alloué mais qui, dans les faits, n’est pas utilisé. Dans le code
assembleur des exécutables, il arrive que l’on trouve des « nop » à
la fin des fonctions (figure 2). Ces « nop » sont des instructions fai-
sant partie intégrante du code. Ils sont donc également stockés,
2.1 Dans les systèmes informatiques mais, d’une part, ils ne sont pas exécutés car ils sont situés après
1
l’instruction rendant la main à la fonction appelante, et, d’autre
Les systèmes informatiques sont le média de transit par excel- part, ils signifient no operation et donc, quand bien même ils
lence des informations numériques, mais peuvent également abri- seraient effectués, ils ne feraient rien. Il est donc possible de les
ter directement en leur sein des mécanismes propices à la remplacer par ce que l’on veut sans modifier ni le comportement
stéganographie. du programme, ni l’espace occupé. L’inconvénient est qu’un
simple affichage du code assembleur modifié indiquera la pré-
sence d’une information qui a priori n’a rien à y faire. En effet, s’il
2.1.1 Systèmes de fichiers est normal de trouver une série de « nop » dans un code, une suite
de bits aléatoires éveille fortement les soupçons.
La manière dont les données sont stockées au travers de systè-
mes de fichiers laisse la possibilité d’utiliser des techniques Une technique différente, mais utilisant également les program-
stéganographiques : l’espace physique utilisé pour garder des mes informatiques est de modifier le code source sans que cela
données est rarement égal à la taille réelle des données. Si on aboutisse à un comportement différent : il est par exemple facile
prend l’exemple d’un disque dur, ce dernier est découpé en blocs, d’ajouter des tests inutiles dont une partie n’est jamais effectuée. La
par exemple 4 096 bits par défaut pour les systèmes de fichiers structure de l’imbrication des tests permet alors de dissimuler de
ext2 (utilisés par le système d’exploitation Linux) et NTFS l’information. Cependant, cela ne peut se faire sans une réécriture
(Windows), mais la taille des blocs peut être augmentée jusqu’à profonde du code source avec les problèmes que cela peut soulever.
64 ko pour NTFS. Pour stocker un fichier, le système le découpe en
un nombre de morceaux tel que chaque morceau puisse être logé
dans un bloc. Comme un fichier a rarement une taille multiple de 2.2 Dans les protocoles
la taille des blocs, le dernier bloc utilisé pour stocker le fichier n’est et dans l’authentification
pas, en général, totalement rempli. Ainsi, un fichier de 6 ko stocké
sur un système utilisant une taille de bloc de 4 ko occupera deux
blocs, soit en pratique 8 ko. L’espace restant, appelé « espace 2.2.1 Protocoles réseaux
interstitiel » (8 – 6 = 2 ko ici), n’est pas utilisé par le système qui le
Nous avons donné quelques exemples montrant comment on
considère malgré tout comme occupé car il est pratique de ne pas
pouvait utiliser des informations stockées sur une mémoire de
avoir un bloc utilisé par deux fichiers différents. Cependant, cela
masse pour dissimuler des données. Un inconvénient est qu’il faut
ne signifie en rien que cette place ne puisse pas être utilisée. Il est
pouvoir disposer d’un accès à cette mémoire, ce qui n’est pas tou-
possible d’écrire des données dans cette partie du bloc. Si la taille
jours simple, et ce qui, de toute façon, restreint le domaine d’utili-
des données dépasse l’espace interstitiel disponible dans un seul
sation. Bien qu’il soit concevable de ménager un accès aux
bloc, il faut découper les données, les écrire sur autant de blocs
informations modifiées (il est certes possible de mettre des exécu-
que nécessaire, et garder une trace des blocs utilisés et de l’ordre
tables en téléchargement libre sur le Web), il est probablement
dans lequel ils doivent être lus pour récupérer les données. Autre-
plus pratique de recourir à une communication préexistante
ment dit, cela revient à employer une sorte de second système de
lorsque cette dernière est disponible. Cette communication
fichiers. Le problème de cette technique vient du fait que les
préexistante, par exemple une connexion Internet, peut alors être
fichiers peuvent être modifiés, déplacés, effacés, etc., et par
utilisée de manière indépendante des données qui y transitent par
conséquent, l’espace interstitiel d’un bloc peut évoluer sans préve-
une simple adaptation du protocole ou encore en profitant des
nir, écrasant ainsi l’information qu’on y aura dissimulée. Remar-
failles de ce dernier. Nous illustrons ces principes pour les proto-
quons que cela ne s’applique qu’à des supports réinscriptibles, et
coles IP et TCP, mais le champ d’application est plus large et, au
donc pas à un CD-Rom non réinscriptible. Une variante consiste à
moins sur le principe, tout protocole peut s’y prêter.
utiliser directement des blocs vierges. Elle souffre bien entendu du
même problème, voire, y est même légèrement plus sensible puis- § IP (Internet Protocol )
que, au vu du système de fichiers, les blocs étant vides, ils sont
susceptibles d’être alloués, et donc modifiés à la moindre écriture Le format des données échangées dans le protocole Internet (IP)
de données sur le disque. Il existe différents outils disponibles sur est représenté sur la figure 3. Parmi les champs potentiellement
le Web, de bas niveau comme bmap et slacker, qui permettent intéressants se trouvent les champs 5, 6, 7 et 10.
d’analyser en détail les blocs utilisés et de récupérer l’espace Les champs 5 à 7 sont relatifs à la fragmentation : la longueur de
interstitiel à la main (fonctionnent pour le système de fichiers ext2 la trame d’origine peut s’avérer trop importante, la trame doit alors
utilisé par Linux). On peut utiliser aussi des outils plus « clefs en être découpée en plusieurs trames de plus petite longueur. Ces
main » comme stegFS, qui est un véritable système de fichiers trois champs permettent de reconstruire la trame d’origine à partir
stéganographique [19]. des fragments.
Le champ 6 est constitué de trois bits x1x2x3 :
Bmap permet de connaître la taille de l’espace interstitiel via
– x1 est purement inutile à l’heure actuelle, il est demandé de le
l’option –mode slackbytes. Dans l’exemple de la figure 1, on obtient
mettre à 0 ;
4 030 octets pour le fichier fichier_quelconque.nk. Cela est conforme
– x2 interdit une éventuelle fragmentation (x2 = 1) quitte à devoir
à la taille de bloc utilisée par la partition (4 096 octets) et à celle du
détruire la trame ;
fichier puisque la commande ls indique une taille de 66 octets pour
fichier_quelconque.nk, on a donc bien 4 096 – 66 = 4 030. L’option – x3 indique si la trame n’est pas dernier fragment (x3 = 1).
–mode checkslack permet de détecter une utilisation de l’espace Le bit x1 peut donc être utilisé directement pour dissimuler des
interstitiel. Enfin, les options –mode putslack et –mode slack servent données – il existe plusieurs bits dans le même cas, prévus pour
respectivement à mettre des données dans l’espace interstitiel et à des utilisations futures. D’autre part, si x3 est à 0, c’est-à-dire en
les afficher. Précisons également qu’il est possible de vider l’espace l’absence de fragmentation, le protocole IP requiert que les
intertisitiel avec bmap en utilisant l’option –mode wipeslack. champs 5 et 7 soient nuls. Une première solution pour dissimuler
22
Référence Internet
H5870
loki% ls -l
-rw-r--r-- 1 root root 14 Sep3 12:51 data.txt
-rw- -- - - - 1 root root 66 Sep3 12:52 fi chier_quelconque.nk
loki% cat data.txt
message cache
loki% bmap -mode sla ckbytes fi chier_quelconque.nk
4030
loki% bmap -mode checkslack fichier_quelconque.nk
1
fichier_quelconque.nk does not have sla ck
loki% cat data.txt | bmap -mode putsla ck fichier_quelconque.nk
stu ffing blo ck 167 1696
file si ze was: 66
slack size: 4030
block size: 4096
loki% bmap -mode checkslack fichier_quelconque.nk
fichier_quelconque.nk has sla ck
loki% bmap -mode sla ckbytes fi chier_quelconque.nk
getting from blo ck 167 1696
file si ze was: 66
slack size: 4030
block size: 4096
message cache
loki% bmap -mode wipeslack fichier_quelconque.nk
stu ffing blo ck 167 1696
file si ze was: 66
slack size: 4030
block size: 4096
write error
write error
write error
loki% bmap -mode checkslack fichier_quelconque.nk
fichier_quelconque.nk does not have sla ck
de l’information consiste à ne pas respecter ces recommandations, fiables, ces fonctions nécessitent plus que les 16 bits de sortie qui
mais cela est très visible, une simple analyse du trafic montrera constituent le champ 10 (au moins 80 bits en l’état actuel), ce qui
que des données anormalement formatées circulent. allonge beaucoup l’en-tête.
En fait, la faiblesse est ailleurs. Lorsqu’une trame est fragmentée § TCP (Transport Control Protocol )
par un module Internet, ce module attribue un identifiant à la
trame et le copie dans le champ 5. Lorsque plusieurs trames sont Une situation fort semblable est également présente dans le pro-
fragmentées, cet identifiant permet de recombiner les différents tocole de contrôle de transmission qui peut être utilisé comme une
fragments sans mélanger les trames. Le problème provient du fait surcouche du protocole IP et dont le but est de fournir une
que rien n’empêche de tirer ces identifiants au hasard ou bien d’y connexion fiable entre deux éléments d’un réseau. Le protocole
placer des données. C’est exactement ce que fait cover_tcp dont on débute par un échange de trois trames destinées à synchroniser
peut trouver le code source en langage C dans l’article présentant l’émetteur et le récepteur. La première trame comporte un entier id
ce type de détournement du protocole IP [16]. qui va servir à numéroter les trames de manière à pouvoir réor-
donner correctement ces dernières à l’arrivée. Le récepteur envoie
Le champ 10 est également susceptible de véhiculer des infor-
une trame d’acquittement, comportant l’entier id + 1 pour signaler
mations. Le but de ce champ est de pouvoir s’assurer tout au long
la bonne réception de la première trame, et enfin, l’émetteur
du transfert de la trame sur le réseau que l’en-tête est valide,
envoie un acquittement pour la réception de la seconde trame.
qu’elle n’a pas subi d’erreurs de transmission. Malheureusement,
Ensuite commence l’échange de données. C’est dans le choix de
il est assez simple d’y mettre n’importe quelle valeur et de calculer
l’entier id que l’on peut dissimuler de l’information.
les autres paramètres en fonction de cette valeur, notamment en
utilisant le champ d’options [1]. C’est un problème bien connu en
cryptographie où, lorsque l’on souhaite s’assurer de l’intégrité 2.2.2 Signatures numériques
d’un message, on utilise une fonction de hachage à sens unique,
c’est-à-dire telle qu’il est difficile de calculer un message pour L’authentification (cf. article [H 5 510]) est une fonctionnalité de
lequel la fonction renvoie une valeur donnée. Utiliser une fonction plus en plus importante pour les communications numériques. De
de ce type pourrait résoudre le problème, mais hélas, pour être façon générale, c’est un algorithme de chiffrement à clef publique
23
1
24
Référence Internet
E3440
Cartes à puces
Technologie et cybersécurité
par Jean-Pierre TUAL
Ancien directeur des relations industrielles,
1
Direction technologie et innovation, Gemalto
Auteur de la version originale de l’article 2007
Stéphane GRELLIER
Mobile software security & services manager ,
Gemalto, Meudon, France
Auteur de la version actualisée de 2019
Joseph LEIBENGUTH
Physical document security R&D product director – Technical advisor,
Gemalto, Saint-Cloud, France
Auteur de la version actualisée de 2019
et Philippe PROUST
Embedded & core security director,
Gemalto, Géménos, France
Auteur de la version actualisée de 2019
25
Référence Internet
E3440
e nom de carte à puces est couramment utilisé pour désigner des supports
L de sécurité en matière plastique aux mêmes dimensions qu’une carte de
crédit et qui contiennent un circuit électronique intégré capable de mémoriser
ou de traiter les informations. L’AFNOR (Association Française de Normalisa-
tion) a retenu le terme de cartes à microcircuits à contacts, car l’interface élec-
trique de ces cartes est assurée par des liaisons galvaniques. Des cartes à inter-
face sans contact, basée sur la liaison radiophonique, se sont imposées depuis
1
plusieurs années, et ont permis l’adoption de nouveaux facteurs de forme
comme le passeport électronique. Ils sont aujourd’hui au cœur de la croissance
avec l’adoption du paiement sans contact par un nombre croissant de pays.
La carte à puces, dont la gestation a pu sembler très longue, est à la base de la
sécurité des systèmes informatiques. Elle a désormais fait ses preuves dans de
nombreux secteurs de l’activité humaine en tant que moyen de paiement,
d’identification sur les réseaux fixes (de type Internet), mobiles (GSM ou
UMTS) ou multimédia (télévision à péage), d’authentification pour les services
gouvernementaux (cartes d’identité, passeports électroniques). La carte SIM, ou
USIM, clé d’accès aux réseaux de téléphonie mobile, et son équivalent Secure
Element (SE) pour l’internet des objets (IoT), au facteur de forme plus petit,
constitue probablement le composant électronique intelligent le plus utilisé
dans le monde (5,6 milliards d’unités vendues en 2017 !). De même, la carte
bancaire à microcalculateur, dont l’utilisation s’est généralisée en France depuis
1992, a connu une croissance quasi exponentielle avec une généralisation de
son utilisation en Europe, au Japon, en Chine, ainsi qu’aux États-Unis en ver-
sion sans contact.
Grâce aux progrès continuels des semi-conducteurs, des technologies de
fabrication et de l’évolution des techniques de programmation utilisables, des
développements considérables de la carte à puces ont pu avoir lieu et se pour-
suivent. La carte à puces et ses variantes constituent, pour beaucoup d’applica-
tions, une solution particulièrement bien adaptée aux enjeux socio-économi-
ques de notre société.
L’objet de cet article est d’apporter une vue d’ensemble sur les briques tech-
nologiques développées spécifiquement pour les cartes à puces et sur leur
importance dans la fiabilité et la sécurité physique et logique de ce produit. La
diversité des compétences requises pour concevoir les cartes à puces, produire
le composant électronique et la carte dans son ensemble, fabriquer les cartes à
plusieurs milliards d’unités par an, explique la force de cette industrie et le
potentiel qu’elle offre dans le futur.
En électronique et en informatique, il existe un grand nombre d’abréviations
et de termes anglais, ils sont repris en tant que tels en fin d’article.
26
Référence Internet
E3440
était composée de deux puces, et elle fut essentielle pour prouver Le Conseil des Communautés européennes adopta en 1987 une
la faisabilité des concepts, convaincre les utilisateurs potentiels et recommandation (87/371/CEE), pour l’introduction coordonnée de
lancer des expérimentations. communications mobiles terrestres publiques numériques paneu-
La Direction générale des télécommunications (DGT) commença ropéennes, et une directive (87/372/CEE), relative aux bandes de
alors à jouer un rôle moteur, multipliant les expériences, lançant fréquence à réserver au système cellulaire. Les recommandations
dès 1980 des actions de normalisation et mettant à contribution de l’époque spécifièrent, en outre, que les services commerciaux
ses propres organismes de recherche sur cette nouvelle technolo- devaient démarrer en 1991. Le programme prit en fait un peu de
gie, dont le Centre national d’études des télécommunications retard. Ce n’est en effet qu’au 1er juillet 1991 qu’eut lieu en Belgique
la première communication entre un mobile GSM et le réseau télé-
1
(CNET), le Centre commun d’études de télédiffusion et télécommu-
nications (CCETT) puis, plus tard, le Service d’études communes de phonique fixe. Le démarrage s’accéléra rapidement en France, en
la poste et de France télécom (SEPT). Sous cette impulsion, les Italie et dans les Pays Scandinaves. Dès 1992, tout en conservant
sociétés Schlumberger et Philips se lancèrent à leur tour dans la son abréviation, le GSM fut rebaptisé « Global System for Mobile
course en explorant des voies différentes. Communications ». Un changement de nom symbolique, illustrant
parfaitement le passage du concept de laboratoire à celui de pro-
En 1980, le CCETT et Bull mirent au point la première carte duit commercial. Dès 1995, Gemplus avançait des ventes cumulées
d’abonnement « Antiope », et la première expérience mondiale de de plus de 120 millions de cartes SIM…
télépaiement à domicile fut réalisée en 1981 à Vélizy avec la Poste
en utilisant la carte CP8 bi-puces. & Avec ces deux segments de marché bien établis, les innovations
technologiques ont depuis connu une accélération sans précédent :
& Dans le monde de la téléphonie, les premières télécartes mises première carte à coprocesseur RSA développée par Philips en 1992,
au point par Schlumberger et Thomson virent le jour dans les introduction de la carte de santé SESAM-Vitale en France par Bull
publiphones en 1983. En 1988, cinq ingénieurs de la société Thom- CP8 dès fin 1996, introduction des premiers systèmes de porte-
son quittèrent la société pour fonder Gemplus Card International, monnaie électronique par Bull-CP8 en 1996, démonstration de la
qui obtiendra dès l’année suivante sa première commande d’un première carte Java par Schlumberger en 1997 (ce qui allait avoir
million de télécartes de France Télécom. Dopé par la formidable une importance considérable pour l’ensemble du marché, nous y
demande des opérateurs, notamment en France, au Mexique et en reviendrons plus loin), première carte Internet par Bull-CP8 en
Chine, le marché atteint vite les 30 millions d’unités en 1990 pour 2000, première carte à l’interface USB par Schlumberger en 2002,
dépasser 200 millions de cartes en circulation en 1992, et culminer pour ne mentionner que quelques exemples significatifs.
à plus du milliard d’unités à la fin des années 1990. En 2018, plus de Au-delà d’un signe indiscutable de grande vitalité de l’industrie,
10 milliards d’unités, tous types d’applications et facteurs de forme ces innovations annoncent aussi un changement radical de pers-
confondus, ont été mis sur le marché. pective : la carte à puces est désormais de plus en plus intégrée à
& Au niveau technologique, la coopération entre Bull et Motorola l’environnement informatique personnel et professionnel de tout
un chacun, constituant la ramification la plus fine du vaste réseau
se concrétisa par une deuxième étape clé en 1981, avec la nais-
qui est en train de se constituer autour de la convergence des télé-
sance du SPOM (Self Programmable One Chip Microcomputer),
communications, du grand public et de l’informatique. Elle consti-
premier microcalculateur autoprogrammable monolithique pour
tue, et constituera de plus en plus, le lien privilégié entre un utilisa-
carte à puces. C’est probablement l’événement déclenchant pour
teur et ses prestataires de services : clé d’accès aux différents types
le marché de la carte à puces.
de réseau, mais aussi coffre-fort digital garantissant la sécurité
L’ensemble des banques françaises, représentées au sein d’un informatique et les données privées des individus.
GIE (Groupement d’intérêt économique) Carte à mémoire, décidè-
rent en effet de tester dès 1982 les trois techniques développées
par chacun des trois constructeurs : carte CP8 à microcalculateur 1.2 Applications et marchés de la carte
monolithique de Bull à Blois, carte bi-puces de TRT-Philips à Caen à puces
et carte à logique câblée de Flonic-Schlumberger à Lyon. En 1985,
le GIE devient GIE Carte bancaire et, à la suite de ces expériences, Parmi les cartes à microcircuits, on peut distinguer deux familles
commanda finalement 16 millions de cartes à microcalculateur de de cartes :
type CP8. Ainsi, la carte à puces bancaire se généralisa en France – les cartes à logique câblée, dans lesquelles quelques fonctions
en 1992. C’est incontestablement à partir de cette période que date simples sont fixées par les circuits électroniques interposés entre la
le véritable démarrage du marché de la carte à puces. mémoire non volatile et l’interface extérieure. Dans le bas de
& À côté du développement du marché de la carte bancaire, un gamme, il existe aujourd’hui de multiples cartes à logique câblée
centrées sur le prépaiement de services tels que le téléphone, le
autre événement allait en effet se révéler particulièrement impor-
parking, le cinéma ou le lavage des voitures. Certaines cartes utili-
tant par la suite : la démonstration de la première carte SIM en
sent des composants standards contenant une simple mémoire
1989 par Gemplus.
non volatile à accès sérialisé et sans aucune protection sécuritaire.
Dès 1987, treize pays européens s’étaient accordés sur les options Ces cartes supportent essentiellement des fonctions d’identification
de la future norme de téléphonie mobile européenne, suivant en utilisées principalement par des applications implémentant des
cela les recommandations et spécifications du Groupe Spécial programmes de fidélisation, plus rarement par des services à
Mobiles, ou GSM, créé en 1982 par le CEPT. Initialement, fortement haute valeur ajoutée (ce fut par exemple longtemps le cas en Alle-
influencé par l’amélioration des systèmes analogiques, celui-ci magne dans le domaine de la santé, jusqu’à ce que les niveaux de
avait finalement reçu, en 1986, la mission de spécifier un système fraude constatés remettent en cause cette solution peu sécuritaire) ;
numérique, qui devait être « aussi performant qu’un système ana- – les cartes à microcalculateur, quant à elles, possèdent la même
logique ». France Télécom était à l’origine de cette forte impulsion, structure qu’un ordinateur. Elles permettent non seulement de
et fut rapidement rejoint par ses homologues en Allemagne, stocker des données mais aussi, et surtout, de traiter des informa-
Grande-Bretagne et Italie. Le système finalement proposé, tions de manière sécurisée : en effet, ces deux fonctions sont réali-
dénommé GSM, adopta en matière de transmission radio le prin- sées à l’aide d’un programme exécuté par un processeur central
cipe d’un accès multiple à répartition dans le temps, système dit implanté sur un composant silicium. L’avantage évident de la carte
« TDMA ». Il retint également l’idée des « sauts de fréquence » : à microcalculateur comparée à d’autres appareils électroniques –
l’émetteur et le récepteur changent de fréquence à intervalles défi- smartphone, ordinateur portable…, est que l’ensemble du compo-
nis au début de la communication. Finalement, il proposa un sys- sant est exclusivement dédié à la cryptographie et à la sécurité. Le
tème d’identification/authentification des abonnés basé sur une logiciel embarqué est de taille réduite, ce qui permet une validation
carte à puce : le concept de carte SIM était né. poussée et donc un niveau de fiabilité élevé. Les interfaces
27
Référence Internet
E3440
1
grande sécurité de traitement des informations : le microcalcula-
teur et son programme embarqué permettent, par exemple,
d’authentifier la carte et son porteur, de chiffrer et de déchiffrer
des messages, ou de calculer des signatures électroniques appor- Silicium
tant la preuve de l’effective réalisation d’une transaction licite. Les
deux applications majeures de la carte à puces concernent d’une
part l’authentification et l’identification sur les réseaux mobiles Figure 1 – Schéma de principe d’un transistor CMOS
(GSM ou UMTS), et d’autre part le paiement électronique. La prin-
cipale raison en est le compromis optimal offert par la technologie Dans les cartes à puces, il faut pouvoir mémoriser des informa-
entre le coût de déploiement et le niveau de sécurité atteint pour tions confidentielles, y compris en l’absence d’alimentation des cir-
une lutte efficace contre la fraude. Ces deux segments de marché cuits. Cette caractéristique constitue l’un des éléments fondamen-
(téléphonie mobile et paiement) représentaient en 2018 environ taux des composants pour cartes à puces : en plus d’un
85 % du marché global (en volume) de la carte à puces. microprocesseur spécialisé, les cartes doivent embarquer différents
types de mémoires spécialisées. Celles-ci sont utilisées selon la
D’autres applications, actuellement en émergence, sont appelées nature de la mémorisation considérée, la vitesse de fonctionne-
à devenir à court ou moyen terme des relais de croissance pour le ment et la volatilité des informations stockées.
marché de la carte à puces : les applications gouvernementales
(cartes d’identité, passeports électroniques, cartes de santé…),
l’Internet des Objets incluant le M2M (Machine to Machine), la pro-
2.1.1 Mémoires à accès aléatoire
tection des smartphones et des ordinateurs d’entreprise, la télévi- Les mémoires à accès aléatoire, appelées RAM (Random Access
sion cryptée, la protection des droits d’auteur, les transports en Memory), sont utilisées en tant que registres de travail temporaire
commun… Signalons que, dans le cas de ces autres applications, et perdent leurs informations dès qu’elles ne sont plus alimentées.
la puce électronique est le plus souvent pourvue d’une interface Les mémoires RAM dynamiques (DRAM) sont bâties à partir d’un
sans contact, lui permettant, via une antenne, un transpondeur seul transistor et il faut renouveler leur contenu périodiquement,
inclus dans la carte, la couverture ou la page de données du passe- tandis que les mémoires RAM statiques (SRAM), à quatre ou six
port, de communiquer par radio avec le monde extérieur. transistors, possèdent deux états stables permettant de stocker un
élément binaire. Dans les cartes à puces, les registres de travail
sont des mémoires SRAM, avec un impact important sur le prix
des composants, puisqu’une telle cellule occupe environ 20 fois
2. Semi-conducteurs plus de place qu’une cellule ROM (Read Only Memory). L’optimisa-
tion des coûts explique donc les tailles RAM relativement faibles
pour cartes à puces que l’on trouve dans ces composants : les tailles typiques de
mémoires RAM embarquées varient entre quelques kilooctets (ko)
et quelques dizaines de kilooctets.
Le cœur d’une carte à puces est constitué d’un composant élec- 2.1.2 Mémoires non volatiles
tronique monolithique en silicium introduit dans l’épaisseur d’une
carte en plastique. Avant d’aborder les deux grandes familles de Les mémoires non volatiles (NVM) gardent les informations en
composants utilisés pour les cartes à logique câblée et celles à l’absence d’alimentation électrique. Il existe deux types principaux
microprocesseur, donnons un aperçu des technologies qui permet- de mémoires NVM disponibles sur les composants pour carte à
tent de réaliser ces puces. puce :
– les mémoires mortes (ROM), inaltérables, contiennent des
informations permanentes telles que les programmes. Elles ne
2.1 Technologies sont accessibles qu’en lecture. L’inscription de la ROM est réalisée
par masquage ou par implantation ionique dans le silicium pen-
À la genèse des cartes à puces, deux filières technologiques dant la fabrication du circuit intégré ; les tailles des mémoires
étaient en présence selon le type de transistor utilisé pour réaliser ROM embarquées dans le composant pour carte à puces varient
les circuits logiques. D’un côté, la technologie dite bipolaire réali- en général entre quelques dizaines et quelques centaines de
sant un effet d’amplification de courant par la diffusion de porteurs kilooctets ;
majoritaires à travers les jonctions adjacentes de trois semi- – les mémoires mortes programmables (PROM) peuvent être
conducteurs dopés. De l’autre, la technologie MOS (Metal Oxide programmées (ou écrites) par l’utilisateur. Dans la technologie
Semiconductor) fondée sur des transistors unipolaires utilisant la MOS, les niveaux d’isolement sont tels que l’on peut enregistrer
conduction d’un seul type de porteurs dans un mince canal des informations en piégeant des charges électriques dans une
contrôlé par une électrode isolée. Suivant en cela la logique écono- électrode flottante. L’évacuation de ces charges permet d’effacer ce
mique reprise par l’ensemble de l’industrie électronique, l’industrie type de mémoire. À l’origine, l’effacement était réalisé à l’aide d’un
de la carte à puces s’est ralliée massivement, dès l’origine, à la rayonnement ionisant EPROM (Erasable Programmable ROM) ne
filière MOS. Les raisons principales sont, d’une part, des puissan- permettant qu’un petit nombre de re-programmations des cellules
ces consommées beaucoup plus faibles qu’en bipolaire, et d’autre mémoire. Aujourd’hui, la quasi-totalité des composants utilisent
part de très grandes capacités d’intégration. Au cours des deux der- des mémoires à effacement et re-programmation par application
nières décennies, un autre avantage déterminant est l’évolution de d’une tension électrique, ou EEPROM (Electrically Erasable
la technologie CMOS (Complementary MOS), qui se traduit par une Programmable ROM). Pour programmer une cellule, on fait circuler
très faible consommation et une bonne immunité au bruit. La un courant intense entre la source et le drain. Certains électrons
figure 1 montre le schéma de principe d’un transistor CMOS. acquièrent une énergie leur permettant d’atteindre la grille
28
Référence Internet
E3440
flottante, ils y sont alors piégés. Lorsque la charge piégée est suffi- 2.2 Composants en logique câblée
sante, elle masque le champ électrique induit par la grille et le tran-
sistor est bloqué. Le courant de fuite étant très faible, cette charge Ces composants, généralement très simples, sont des NVM à
peut se conserver très longtemps. Il est également possible de accès sériel synchrone, contrôlés par des circuits logiques intercon-
décharger la grille flottante par effet tunnel en appliquant des ten- nectés entre la mémoire et l’interface externe. Les commandes dis-
sions suffisamment élevées entre la grille, la source et le drain. Cet ponibles sur ces composants sont très limitées et figées par cons-
effacement est plus rapide et n’impose pas de retirer le circuit du truction. Les cartes à logique câblée sont principalement utilisées
système dans lequel il est installé. La différence entre les EEPROM comme jetons électroniques ou comme identifiants. L’exemple le
et les mémoires vives réside essentiellement dans la vitesse d’écri- plus répandu était la télécarte utilisée dans les téléphones publics
ture. Le cycle d’écriture d’une EEPROM est environ 1 000 fois plus
long que celui d’une RAM. Les mémoires EEPROM sont par ailleurs
trois fois plus encombrantes que les mémoires SRAM. Les capaci-
et dont le composant, fabriqué à plusieurs centaines de millions
d’exemplaires, détenait longtemps le record du monde en termes
de quantité, maintenant supplanté par les cartes SIM.
1
tés des mémoires EEPROM embarquées dans les cartes à puces se Dans ce domaine, il n’y a malheureusement aucun véritable stan-
situent entre 2 et 400 ko, avec, pour des raisons essentiellement dard et les composants offerts sont très souvent incompatibles
technologiques, une limite supérieure prévisible autour de 512 ko entre eux.
à 1 Mo ;
Les limitations des mémoires EEPROM ont favorisé leur rempla- La famille des jetons électroniques est déjà assez riche et s’est
cement par des mémoires flash. Celles-ci fonctionnent par stockage développée en deux générations.
d’électrons dans une couche mince de polysilicium en suspension & La première génération (1G) correspond au lancement de la
dans un oxyde, sous une grille de contrôle « on-off » d’un transis- télécarte en France et en Allemagne, elle se compose essentielle-
tor. Le principe de lecture de la cellule flash est simple : il s’agit de ment de mémoires sérialisées possédant une zone protégée par
mesurer si une tension appliquée à la grille de contrôle allume ou un fusible ;
non le transistor. L’écriture est en revanche plus complexe et
s’effectue en deux phases : tout d’abord, il faut enlever les charges Dans la première télécarte, la mémoire EPROM possède 256 bits,
d’un bloc de cellules mémoires (un bloc peut comporter plusieurs avec une zone protégée de 96 bits qui stocke une référence. Par contre,
milliers de transistors), puis la cellule est programmée par injection la carte allemande, développée plus tard, contenait 416 bits de
(ou non) d’électrons dans la grille flottante. Cette opération néces- mémoire EEPROM recyclable 64 fois, incluait 208 bits de mémoire de
site une énergie élevée pour faire passer les électrons à travers la travail et un contrôle d’accès par un code. Ces deux réalisations ont
barrière d’oxyde isolante. Elle endommage à la longue la couche engendré deux lignées d’interfaces électriques incompatibles entre
isolante, ce qui explique l’altération des performances des mémoi- elles : d’une part, une interface nécessitant 8 contacts externes, utilisée
res flash avec le temps. Les mémoires flash présentent l’avantage par France Télécom, et d’autre part, deux interfaces à 8 et 6 contacts
d’un faible encombrement (la densité est comparable à celle de la utilisées par la Bundespost (DBP). La figure 2 illustre les trois types
mémoire ROM) et des performances en écriture sensiblement meil- d’interfaces utilisées par France Télécom, Bundespost et recomman-
leures que celles des mémoires EEPROM. Leur granularité d’accès dées par la norme ISO, ainsi que leurs commandes associées.
plus faible que celle des EEPROM pose toutefois des problèmes de La méthode d’accès à ces mémoires consiste à adresser bit à bit
programmation complexes. L’introduction des mémoires flash dans chaque cellule comme dans un registre à décalage. La remise à
les composants cartes à puces est cependant devenue une réalité zéro du circuit permet de se positionner sur la première adresse
depuis 2005, et c’est imposé depuis comme un véritable standard. mémoire et la lecture se fait sur le plot OUT, après la remontée du
signal d’horloge.
L’industrie des semi-conducteurs et les industriels de la carte à
puces ont mis en place des concepts de sécurité spécifiques sur Lorsque le signal RST de remise à zéro n’est plus actif, une impul-
les mémoires flash pour les amener au même niveau que les sion d’horloge sur CLK incrémente le compteur d’adresse du com-
mémoires ROM et obtenir les mêmes certifications de sécurités posant. Les commandes de lecture, d’écriture ou d’effacement cor-
par des laboratoires indépendants. Il en résulte qu’il est même pos- respondent aux combinaisons de signaux des figures 2d et 2e, et
sible de remplacer les mémoires ROM complètement. sont prises en compte sur un front montant de l’horloge. Dans le
cas de l’interface de type FT, il faut utiliser une combinaison de
Cela ouvre la possibilité non seulement de corriger une erreur deux signaux, RST et B, tandis que dans la première télécarte alle-
dans le système d’exploitation (OS) de la puce (code patching), mande (DBP), il s’agit des signaux RST et PROG. Dans le cas de
mais de reporter l’implémentation du système d’exploitation et de l’interface à 5 contacts, inspirée par le standard ISO, toutes les com-
son verrouillage à l’étape de la personnalisation. Les mémoires mandes sont assurées par le plot RST. Dans ce cas, une impulsion
flash apportent donc flexibilité et rapidité pour la mise en place de sur RST en maintenant CLK à zéro permet de passer en mode pro-
nouvelles applications sur le terrain. grammation, tout en restant sur l’adresse sélectionnée, et l’impul-
Le tableau 1 résume les principales propriétés des mémoires uti- sion suivante sur CLK permet de programmer le bit correspondant.
lisables dans les composants pour cartes à puces. & Dans les composants de seconde génération (2G) apparais-
Le lecteur pourra aussi consulter l’article [E 2 430]. sent deux caractéristiques nouvelles. D’une part, une fonction
29
Référence Internet
E3440
d’authentification dynamique, qui délivre un résultat sur 4 bits l’organisation de la mémoire des composants ST 1335 et 1336 de
lorsque l’on fournit à la carte une donnée aléatoire de 64 bits et, STMicroelectronics, qui rassemblent pratiquement toutes les carac-
d’autre part, une mémoire de travail constituée par des compteurs téristiques rencontrées dans les divers autres composants à logique
fonctionnant suivant un mécanisme de boulier. La figure 3 donne câblée.
Une première zone protégée de 64 bits contient un code d’identi-
fication inscrit en usine et des informations sur l’application intro-
Vcc GND Vcc GND Vcc GND duite par l’émetteur. Cinq registres de 8 bits constituent les
compteurs et sont associés à une autre zone de quatre registres
1
RST Vpp RST Vpp RST Vpp d’indicateurs témoins qui permettent les reprises, en cas de rupture
de séquence à la suite d’une extraction intempestive. La carte peut
CLK OUT CLK OUT CLK I/O aussi contenir une signature électronique attestant les droits de la
carte et une clé cryptographique pour l’authentification.
B FUS FUS PROG
Connecteur
Zone
Lecture GND
d’identification Vcc
Lecture RST
5 compteurs Écriture
Effacement
CLK I/O
Zone réservée
Écriture
Certificat
Lecture
Clé
d’authentification
Adresses
ROM
Zone réservée
Signature
EEPROM CPU
Inutilisée
4 registres
témoins
RAM
Données
Zone Écriture Puce
utilisateur Lecture
30
Cryptographie, authentification, protocoles de sécurité,
VPN
(Réf. Internet 42314)
1– Cryptographie et stéganographie 2
2– Protocoles de sécurité Réf. Internet page
IP Mobile TE7515 41
Gestion du roaming par AAA pour les services PPP et Mobile IP TE7555 43
3– Technologies de VPN
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
31
2
32
Référence Internet
H5230
Protocoles SSL/TLS
2
1. Contexte ..................................................................................................... H 5 230 - 2
1.1 Biens, environnement, menaces ................................................................ — 2
1.2 Services de sécurité souhaitables .............................................................. — 3
2. Sécurité et modèle en couche.............................................................. — 4
2.1 Des services en fonction du niveau ........................................................... — 4
2.2 Intérêts de la sécurité au niveau transport/applicatif ............................... — 5
3. Cryptosystèmes hybrides ...................................................................... — 5
3.1 Définition ...................................................................................................... — 5
3.2 Intérêt............................................................................................................ — 6
3.3 Description ................................................................................................... — 6
4. SSL, TLS : de la genèse au standard ................................................... — 7
4.1 Netscape : la naissance de SSL .................................................................. — 7
4.2 Extension dans l’industrie : le standard de fait ......................................... — 7
5. Description du protocole ....................................................................... — 8
5.1 Protection des données............................................................................... — 9
5.2 Construction d’un segment ........................................................................ — 9
5.3 Authentification ........................................................................................... — 9
5.4 Standards et normes ................................................................................... — 10
5.5 Aléa, dérivation des clefs ............................................................................ — 11
5.6 Structure intrinsèque................................................................................... — 12
5.7 Déroulement d’une session ........................................................................ — 13
5.8 Gestion et protection de la gestion ............................................................ — 13
6. Applications .............................................................................................. — 14
6.1 HTTP ............................................................................................................. — 15
6.2 Messagerie ................................................................................................... — 15
6.3 SSO ............................................................................................................... — 15
6.4 VPN TLS ........................................................................................................ — 16
7. Quelques attaques ................................................................................... — 16
8. Conclusion ................................................................................................. — 18
Parution : avril 2005 - Dernière validation : février 2016
ire qu’Internet prospère est aujourd’hui une affirmation des plus en vogue.
D Mais au-delà de la constatation, il est intéressant de remarquer que l’essor
d’Internet se caractérise par la généralisation d’un mode de fonctionnement qui
existait auparavant dans les systèmes de terminaux : un nombre limité de ser-
veurs concentre et traite des requêtes provenant d’une multitude de clients. Là
où le réseau des réseaux se distingue de ce modèle, c’est par la nature de ses
clients : non pas un parc homogène de terminaux bien connus, dédiés à une
seule fonction, mais une foule hétérogène et anonyme d’ordinateurs exécutant
pele-mêle toutes sortes d’applications. La mixité inhérente des informations, la
vulnérabilité du commun ingénu suscitant la malveillance du profiteur habile,
l’improbabilité de modéliser finement les usagers du réseau, effacent alors défi-
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur H 5 230 − 1
33
Référence Internet
H5230
2 3DES
Sigles et abréviations
Triple DES (ANSI X9.52) RC2
Sigles et abréviations
Rivest Cipher, version 2 (RFC 2268)
AC Autorité de certification RFC Request For Comments
CBC Cipher Bloc Chaining RSA
Cryptosystème asymétrique de MM. Rivest, Shamir et
Adleman
CCS Change Cipher Spec
SHA-1 Secure Hash Algorithm, révision 1 (NIST FIPS 180-2)
CKL Compromised Key List
SMTP Simple Mail Transfer Protocol (RFC 788)
CRL Certificate-Revocation List
SSL Secure Socket Layer
DDoS Distributed Denial of Service
SSO Single Sign On
DES Data Encryption Standard (ANSI INCITS 92)
STS Station To Station
DH Schéma asymétrique d’élaboration de clef de MM.
Diffie et Hellman TCP Transport Control Protocol (RFC 793)
DSS Digital Signature Scheme (NIST FIPS 186-2) TLS Transport Layer Security (RFC 2246)
FTP File Transfer Protocol (RFC 959) USB Universal Serial Bus
Keyed-Hashing for Message Authentication Codes VPN Virtual Private Network
HMAC
(RFC 2104)
HTML HyperText Markup Language
HTTP HyperText Transfer Protocol (RFC 2616) 1. Contexte
IETF Internet Engineering Task Force
IMAP4 Internet Message Access Protocol, version 4 En préambule et en guise de définition, l’utilisation des appli-
(RFC 1730) cations de type client-serveur sur Internet se manifeste souvent par
IP Internet Protocol (sous-entendu version 4, RFC 791) un fonctionnement en deux étapes. Dans un premier temps, le
client récupère de l’information publique sur les prestations offer-
IRC Internet Relay Chat tes par le serveur, comme par exemple son catalogue produit, afin
ISO International Standard Organization de préparer une commande : en termes plus courants, il « remplit
son panier ». Dans un second temps, il officialise la transaction –
IV Initialization Vector l’achat en ligne – qui est l’objectif et la conclusion de sa connexion
LCA Liste de contrôle d’accès au serveur.
X.500 Lightweight Directory Access Protocol Toute la valeur ajoutée est dans cette transaction ponctuelle, qui
LDAP se trouve noyée dans un flot de données purement informatif, ne
(RFC 1487)
contenant en soi rien de crucial. C’est ce premier constat qui guide
MAC Message Authentication Code toute la démarche consistant à apporter la fiabilité et la sûreté sur
MD5 Message Digest, version 5 (RFC 1321) lesquelles on ne saurait faire l’impasse. En effet, l’intérêt est évi-
demment de reporter tout ce qui peut être considéré comme
MSS Maximum Segment Size critique sur un acte éphémère, détouré, caractérisé, plutôt que sur
NAT Network Address Translation (RFC 1631) le cheminement incertain, nébuleux, qui le précède – et qui justifie
à lui seul l’image canadienne de « butinage ».
NIST National Institute of Standards and Technology
NNTP Network News Transfer Protocol
OSI Open System Interconnection 1.1 Biens, environnement, menaces
PFS Perfect Forward Secrecy
C’est pourquoi, lorsqu’on en arrive à la démarche de sécurité, il
PGP Pretty Good Privacy convient d’identifier les biens et les acteurs. Plus précisément, il
PKCS Public Key CryptoSystem (RSA Laboratories) importe de discerner les biens qui doivent être protégés et les
acteurs hostiles dont il faut se prémunir. Dans l’environnement
PKI Public Key Infrastructure considéré, Internet, de nombreux clients hétéroclites et non cloison-
POP3 Post Office Protocol, version 3 (RFC 1081) nés peuvent accéder à de grands systèmes ouverts et inter-
opérables. Parmi la multitude de clients potentiels et de serveurs
PRF Pseudo-Random Function déclarés, certains peuvent se révéler malveillants sans qu’ils soient
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
H 5 230 − 2 © Techniques de l’Ingénieur
34
Référence Internet
H5230
identifiables a priori, mais le client honnête comme le serveur légi- prestation (informations du serveur fournies au client) et une
time doivent être en mesure de se prémunir contre leurs agressions. commande (du client au serveur), associées aux identités des
Leurs biens sensibles, et donc susceptibles d’êtres visés par une acteurs. Ces biens sont assortis de propriétés de sécurité –
attaque, sont de deux ordres : les ressources et les échanges. En confidentialité, intégrité et disponibilité – contre lesquelles des
premier lieu, les ressources désignent ce qui est stocké en propre menaces sont considérées. Le tableau 1 en liste quelques exem-
tant chez le client que sur le serveur : il convient d’y interdire les ples simples à titre d’illustration.
accès indésirables par un filtrage approprié. Cela relève en parti- Nota : pour simplifier, on s’affranchit ici de la distinction entre la menace, qui est le
potentiel, et l’attaque, qui est la réalisation.
culier de la mise en place de pare-feu (firewalling ) qui est un
domaine à part et ne sera que peu abordé ici, sauf à remarquer
qu’il est crucial de toujours se préoccuper d’installer et maintenir
convenablement un firewall (personnel ou d’entreprise), faute de 1.2 Services de sécurité souhaitables
quoi la solution de sécurité dans son ensemble ne serait qu’un
placebo ou, pire encore, une supercherie [TE 7 550]. L’énoncé des menaces permet de constater la vulnérabilité intrin-
sèque du système et guide vers les solutions qui les déjoueront.
En second lieu, les échanges considérés comme sensibles sont Mais avant de poursuivre, il faut garder à l’esprit que la sécurité ne
ceux qui induisent d’une façon ou d’une autre une évolution à peut jamais être parfaite. Alors même qu’elle s’appuie sur des
terme des ressources du client et du serveur. Il s’agit ici de l’ordre théories étayées et solides, elle exploite des résultats de nature
de transaction à proprement parler, qui contient des informations probabiliste. La cryptographie est une science construite sur la
privées du serveur et du client (pour résumer, la prestation vendue théorie statistique, et les réseaux ne s’appréhendent convenable-
et la commande de l’acheteur). N’entrent donc pas dans cette caté- ment qu’avec elle. On oppose à l’adversaire des impossibilités cal-
gorie les informations publiques du serveur. Quand bien même culatoires, des difficultés d’accès, mais rares sont les situations
leur disponibilité serait un problème, il ne serait évidemment pas dans un réseau où l’on peut se protéger de façon absolue, où l’on
nécessaire de se pencher sur leur confidentialité. Il n’est pas non peut réduire la probabilité à une certitude. Cela n’est pas une fai-
plus utile de se préoccuper de leur intégrité. Car si, du fait d’un blesse due aux méthodes employées ou au manque d’inventivité
attaquant, la communication est corrompue de quelque manière des chercheurs, mais une propriété inéluctable – et démontrable –
que ce soit, il suffit que chaque partie puisse détecter et éviter une de tout système. Aussi, et c’est un fait, la théorie ne saurait omettre
anomalie dans l’ordre de transaction pour mettre en échec toute le cas du chanceux qui parviendrait à trouver par hasard la bonne
malversation préalable. clef ou le port vulnérable au premier essai. Quoi qu’il en soit, la
Ainsi détouré, le problème de sécurité se réduit à contrer les probabilité est à ce point infinitésimale que le candidat ferait mieux
attaques sur les messages constituant la transaction. Pour affiner de réserver sa chance au jeu : il s’enrichirait incommensurable-
l’analyse, on considère que la transaction se décompose en une ment plus vite et en toute légalité... En cela, la sécurité est une
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur H 5 230 − 3
35
Référence Internet
H5230
affaire de compromis : elle réduit les probabilités en dessous d’un Chacune de ces quatre tâches est traitée indépendamment des
seuil, elle ramène les risques à un niveau jugé inoffensif. Elle vise autres, ce qui offre simplicité et interchangeabilité. Ce système
à décourager l’attaquant en rendant ses efforts disproportionnés au stratifié est appelé le modèle en couches. Les données (paquets
gain qu’il peut espérer de son forfait. d’informations) qui sont à envoyer sur le réseau sont traitées suc-
Nota : on distingue « l’impossibilité théorique », pour un problème pour lequel aucune cessivement par chaque couche, chacune venant ajouter un élé-
solution n’existe (chiffrement à masque jetable, ou One-Time Pad, de Vernam), de ment d’information (en-tête) qui lui est propre puis transmettant
« l’impossibilité calculatoire », relative à un problème qui admet une solution, mais au prix l’ensemble à la couche appropriée : c’est l’encapsulation. Par cette
de temps de calcul ou de quantités de mémoire rédhibitoires (cas de la recherche exhaus-
tive d’une clef). hiérarchie, chaque couche ne peut communiquer qu’avec une cou-
che adjacente (notions « inférieure », vers le lien, et « supérieure »,
Dès lors, quelles que soient les hypothèses, certaines menaces vers l’application) : chacune utilise les services des couches infé-
ne peuvent être complètement contrées, par exemple en termes de rieures et en fournit à celle de niveau supérieur.
disponibilité, d’où :
— une sélection d’objectifs de sécurité en fonction de menaces
2 retenues par rapport à des hypothèses réalistes ; Il existe deux modèles en couches. Le plus complet est le
— l’estimation d’une vulnérabilité résiduelle (c’est l’équilibre modèle OSI, d’initiative européenne et normalisé par l’ISO. Il
classique entre le « coût de la protection » et le « coût du risque »). distingue sept couches (1 – Physique ; 2 – Liaison ; 3 – Réseau ;
4 – Transport ; 5 – Session ; 6 – Présentation ; 7 – Application).
Pour le cas de la transaction, les objectifs de sécurité restent Le modèle TCP/IP, standard originaire des États-Unis, en par-
simples à formuler : il faut assurer l’authentification mutuelle des tage la philosophie mais découpe différemment les couches ISO
acteurs, la confidentialité, l’intégrité spatiale et temporelle des tran- pour n’en retenir que quatre au final (Physique ; Réseau ;
sactions. De même, la mise en œuvre des services de sécurité est Transport ; Application).
somme toute classique : la confidentialité est assurée par le chif-
frement, l’intégrité par l’adjonction de motifs de contrôle aux mes-
sages, l’authentification par l’utilisation de signature (du serveur et
si possible du client). 2.1 Des services en fonction du niveau
Nota : soulignons que le cas de la disponibilité est particulier. Assurer la confidentialité
comme l’intégrité ne réclame que l’intervention du client et du serveur (l’un fait et l’autre Si chacune des différentes couches du modèle offre des services
contrôle et défait) et l’opération porte uniquement sur la donnée à protéger. Au contraire,
la disponibilité est par essence distribuée : tous les éléments sur un chemin de données
différents, elle impose en même temps ses propres contraintes. De
doivent être également disponibles. Ce service ne peut donc être garanti que par l’infras- fait, un service de sécurité doit s’inscrire dans ce découpage et se
tructure de réseau toute entière, ce qui demande de prendre en compte tous les flux poten- retrouve donc confiné dans une couche, dont il doit satisfaire les
tiels, y compris indésirables. Ainsi, il est bien évident qu’il n’est pas possible de l’obtenir en contraintes tout en essayant d’exploiter au mieux et en toute sécu-
concentrant l’effort de sécurisation en un point focal : les services de sécurité associés sont
tout autant distribués et impliquent tous les acteurs. Dans un réseau public non maîtrisé, il rité les services. On constatera par la suite que l’introduction de la
est donc vain d’espérer atteindre la disponibilité parfaite : on ne peut qu’essayer d’amélio- sécurité dans un modèle en couches non prévu initialement pour
rer la robustesse face à des dénis de service et diminuer ainsi l’efficacité des attaques l’accueillir réclame certaines entorses et il est possible de se rendre
connues de l’état de l’art.
compte dès à présent que les mécanismes de sécurité sont forte-
Les services de sécurité suivants sont donc retenus pour obtenir ment liés au niveau.
une confiance satisfaisante dans une transaction :
Par exemple, certains services de sécurité sont intrinsèquement
— la confidentialité, qui permet d’assurer que personne hormis applicatifs, comme l’authentification d’un utilisateur, puisque ce
l’émetteur et le destinataire ne peut lire les données transmises ; dernier n’est censé interagir qu’avec une application. D’autres sont
— l’intégrité (sous-entendu : de données), ou intégrité spatiale, liés à la transmission physique, comme par exemple la saturation
qui garantit que les données reçues par le destinataire sont bien de ligne qui consiste à émettre du bruit même lorsque les corres-
identiques à celles qui ont été produites par l’émetteur et n’ont pas pondants ne communiquent pas (en cryptophonie par exemple,
été modifiées par un tiers à l’insu des correspondants ; afin d’empêcher un espion d’évaluer l’activité des utilisateurs). Cer-
— l’intégrité de séquence, ou intégrité temporelle, qui permet tains services comme l’anti-usurpation s’appliquent à toutes les
d’assurer qu’une information n’a pas été supprimée ou insérée illi- couches mais sont strictement confinés à leur niveau : ils ne peu-
citement dans une transaction, qu’une information déjà transmise vent s’appliquer aux données qu’ils encapsulent.
ne l’est pas de nouveau (rejeu) ou qu’une séquence n’est pas per-
turbée par l’interversion de certains de ses messages ; Il existe aussi des services qui sont incompatibles avec certaines
— l’authentification (sous-entendu : de l’origine), qui est la capa- couches. C’est le cas du niveau IP dont le routage permet d’inter-
cité de garantir que l’interlocuteur est bien celui qu’il prétend être. vertir et de supprimer des paquets à la discrétion des routeurs :
Formulée différemment, l’authentification consiste à prouver l’inté- cela est par nature antagoniste de l’intégrité de séquences complè-
grité de l’identité déclarée par l’interlocuteur. tes, de sorte que seule la gestion des rejeux (doublons illicites) y
est applicable.
À l’inverse, certains services de sécurité sont indépendants de
2. Sécurité et modèle l’abstraction des couches : les données encapsulées peuvent être
chiffrées à tous les niveaux. (0)
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
H 5 230 − 4 © Techniques de l’Ingénieur
36
Référence Internet
H5235
Le protocole SSH
2
Architecte « Sécurité informatique et réseaux » – Groupe ACTI
et Mohamad BADRA
Docteur en informatique et réseaux
Chercheur à l’ENST, Paris
e protocole SSH (Secure Shell) est utilisé pour établir un accès sécurisé per-
L mettant d’effectuer des opérations sensibles sur des machines distantes et
d’effectuer des transferts de fichiers à travers un réseau publique tout en garan-
tissant l’authentification, la confidentialité et l’intégrité des données.
Le principal objectif de SSH était de résoudre le problème de transmission en
Parution : octobre 2006
clair de toutes les informations sur le réseau (LAN ou Internet) ouvrant la porte à
toutes les attaques de type homme du milieu (Man-in-The-Middle).
37
Référence Internet
H5235
Depuis l’apparition de SSH, son rôle a évolué pour ne pas se limiter à une sim-
ple fonctionnalité de connectivité à distance pour le shell. La version 2 de ce pro-
tocole, normalisée en janvier 2006, propose la sécurisation de n’importe quel
protocole applicatif et ceci grâce à ses mécanismes de « port forwarding » et de
« tunneling ».
Dans ce dossier, nous allons expliquer les différents services de sécurité mis
en place dans SSH tout en se focalisant sur sa version 2, normalisée en 2006 à
l’IETF. Nous présenterons par la suite, les sous-protocoles de SSHv2, sa phase
d’initialisation et les différentes méthodes d’authentification qui y sont inté-
grées. Nous aborderons aussi la solution SSH VPN en la comparant à IPSec et
SSL. Nous discuterons ensuite de l’avenir du protocole SSH et des nouveaux
2 standards TLS qui influencent l’avenir de ce protocole et son actuelle utilisation
dans l’accès aux équipements distants. Nous terminerons le dossier par une
conclusion.
Remerciements :
Nous remercions le Pr. Maryline Maknavicius-Laurent et le Dr. Ouahiba Fouial
pour l’attention qu’elles ont accordée à ce dossier, pour le temps qu’elles ont
bien voulu consacrer à sa lecture et enfin, pour leurs remarques constructives et
intéressantes.
(0)
Principaux sigles
AC : Autorité de Certification PPTP : Point-to-Point Tunneling Protocol (RFC 2647)
3DES : Triple DES (ANSI X9.52) PKI : Public Key Infrastructure
Arcfour : Allegedly RC4 (version publique de RC4) PFS : Perfect Forward Secrecy
CRC : Cyclic Redundancy Check PRF : Pseudo-Random Function
DES : Data Encryption Standard (ANSI INCITS 92) RC2 : Rivest Cipher, version 2 (RFC 2268)
DSA : Digital Signature Algorithm (FIPS 186-2) RFC : Request For Comments
HMAC : Keyed-Hashing for Message Authentication Codes RSA : Rivest, Shamir et Adleman (entré dans le domaine publique depuis
(RFC 2104) sept. 2000)
HTTP : HyperText Transfer Protocol (RFC 2616) RSH : Remote Shell
DH : Diffie et Hellman SHA-1 : Secure Hash Algorithm, version 1 (NIST FIPS 180-2)
FTP : File Transfer Protocol (RFC 959) SFTP : Secure File Transfer Protocol
IETF : Internet Engineering Task Force SFTP : Secure File Transfer Protocol
IP : Internet Protocol (sous-entendu version 4, RFC 791) (IETF draft http://www.ietf.org/internet-drafts/draft-ietf-secsh-filexfer-12.txt)
38
Référence Internet
H5235
1. Introduction et évolution L’authentification de la source des données sert à prouver que les
données reçues viennent bien de l’émetteur déclaré. Dans les sys-
du protocole SSH tèmes Unix, le moyen le plus commun d’authentifier des utilisateurs
est d’utiliser des mots de passe.
Les protocoles tels que telnet, ftp, et rsh, transmettent en clair les
Le protocole SSH [1], ou Secure Shell, a été développé en 1995 par mots de passe des utilisateurs. Cela signifie qu’ils peuvent facile-
Tatun Ylönen, un professeur finlandais qui, à l’époque, souhaitait ment être espionnés et exploités par n’importe quelle personne
sécuriser les connexions distantes vers un serveur Unix via des écoutant le réseau. SSH améliore la sécurité en chiffrant n’importe
commandes telles que telnet, rlogin, copy, etc. quel trafic utilisé pendant l’authentification. Les mots de passe ne
SSH est à la fois un protocole et un ensemble de programmes uti- sont pas transférés en clair sur le réseau public. De plus, l’avantage
lisant ce protocole. Il permet aux utilisateurs d’ouvrir, depuis une significatif de SSH est l’utilisation des clefs publiques RSA (dans la
machine cliente, des sessions interactives avec des serveurs dis- version 1 du protocole) puis de l’algorithme DSA (dans la version 2
2
tants et de transférer des fichiers entre les deux. SSH utilise le pro- de SSH) pour l’authentification des entités en communication. Ce
tocole SOCKS v5 intégré dans la plupart des équipements réseaux, mécanisme de chiffrement asymétrique (encadré 1) est plus sûr que
pour établir des communications sécurisées de bout en bout. Les l’authentification simple du couple nom de l’utilisateur/mot de
applications basées sur SOCKS v5 [7] offrent de nombreux avantages passe (user name/password). SSH supporte cependant d’autres
reposant sur son architecture protocolaire robuste et flexible. méthodes d’authentification qui seront détaillées dans les paragra-
La dernière version de SSH, normalisée en janvier 2006 à l’IETF, phes suivants.
est la version 2.0. Elle intègre notamment de nouveaux algorithmes
et des services comme le transfert de fichiers SFTP, le tunneling, le Encadré 1 – Le chiffrement asymétrique
port forwarding, l’authentification via des clefs privées sécurisées et
bientôt l’utilisation des certificats X.509.
Le chiffrement asymétrique, également appelé chiffrement à
SSH fournit principalement trois services de sécurité : l’authentifi- clef publique, repose sur une paire de clefs : une clef publique
cation, la confidentialité et l’intégrité des données. L’objectif de SSH (pour réaliser le chiffrement de données confidentielles et la
est en effet de protéger tous ses échanges contre : vérification de signature) et une clef privée (pour le déchiffre-
— les écoutes effectuées sur le canal de communication, et cela ment de données et la génération de signature). Les deux clefs
grâce au chiffrement des flux ; sont reliées mathématiquement, de sorte qu’un message chiffré
— les manipulations des données transmises à travers le canal de avec une clef ne peut être déchiffré qu’avec la deuxième clef. Les
communication ; deux algorithmes asymétriques les plus utilisés sont RSA et
— l’IP spoofing (usurpation d’une adresse IP) où une machine DSA.
attaquante prétend être une autre machine de confiance, et ceci
grâce à des clefs asymétriques permettant d’authentifier les
machines client et serveur SSH ;
— le DNS spoofing où l’attaque vise à faire parvenir de fausses 1.2 La confidentialité des données
réponses aux requêtes DNS émises par une victime, de manière à
rediriger des connexions vers une machine contrôlée par
l’attaquant ; La confidentialité est un service de sécurité qui consiste à
— l’IP Source Routing où une machine attaquante peut faire assurer que seules les personnes autorisées peuvent prendre
croire qu’un paquet provient d’un autre hôte ; connaissance des données échangées.
— le TCP hijaking (vol de connexion) grâce au contrôle d’intégrité
de SSH qui permet de détecter si une session a été modifiée ;
— les attaques de type Man-in-The-Middle grâce à l’authentifica- Pour obtenir ce service, on utilise généralement le chiffrement des
tion du serveur hôte. données concernées à l’aide d’un algorithme cryptographique.
Dans la suite de ce dossier, nous allons expliquer les différents SSH1 emploie le DES, 3DES, IDEA, ou Blowfish tandis que SSH2
services de sécurité mis en place dans SSH, puis les différences emploie 3DES, blowfish, Twofish, Arcfour, ou Cast128. Ces algo-
entre les deux versions 1 et 2 de SSH. Le paragraphe 2 présente rithmes sont employés pour fournir un canal sécurisé pour le trans-
ensuite l’organisation en sous-protocoles de SSH v2 et le fonction- fert des données.
nement du protocole SSH v2 avec une description détaillée de la
phase d’initialisation de ce protocole ainsi que les différentes
méthodes d’authentification qui y sont intégrées. Dans la seconde
partie, nous décrivons les fonctionnalités offertes par ce protocole. 1.3 L’intégrité des données
Puis, nous abordons la solution SSH VPN en la comparant à IPSec et
SSL, les limites du protocole SSH ainsi que les principales distribu-
tions de ce protocole. Nous discutons ensuite de l’avenir du proto- L’intégrité se rapporte à la protection contre les changements
cole SSH et des nouveaux standards TLS qui influencent l’avenir de et les altérations. L’intégrité est assurée si les données émises
ce protocole et son actuelle utilisation dans l’accès aux équipements sont identiques à celles reçues. Des différences peuvent apparaî-
distants. Nous terminons l’article par une conclusion. tre si quelqu’un tente de modifier ces données ou tout simple-
ment si un problème de transmission/réception intervient.
1.1 L’authentification
Les techniques utilisées pour détecter l’altération des données
comprennent classiquement les bits de parité, les checksums (CRC)
Le service d’authentification permet d’assurer qu’une commu- ou encore les fonctions de hachage (encadré 2) à sens unique [12]
nication est authentique. On peut distinguer deux types telles que MD5 ou SHA-1. Ces mécanismes ne peuvent cependant
d’authentification : l’authentification d’un tiers et l’authentifica- pas garantir l’intégrité dans l’absolu. En effet, il est possible que les
tion de la source des données. données altérées aient la même somme de contrôle et qu’ainsi que
leur altération passe inaperçue. Il est aussi possible qu’un attaquant
modifie les données et recalcule le résultat de la fonction de
L’authentification d’un tiers consiste, pour ce dernier, à prouver hachage (empreinte). Pour que seul l’expéditeur soit capable de
son identité. modifier l’empreinte, on utilise des fonctions de hachage à clefs
39
2
40
Référence Internet
TE7515
IP Mobile
2
Université Louis Pasteur de Strasbourg
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Télécoms TE 7 515 − 1
41
Référence Internet
TE7515
IP MOBILE ____________________________________________________________________________________________________________________________
2 il a été défini pour le support de la mobilité sur les réseaux IP actuel. Une version
de ce protocole est en cours de normalisation pour l’utilisation des terminaux
mobiles sur l’Internet future génération : IPv6. C’est notamment cette version
du protocole qui devrait être utilisée avec les terminaux mobiles UMTS. Enfin,
de nouveaux protocoles comme IP Cellulaire voient le jour afin d’assurer une
convergence entre le monde des réseaux cellulaires et le monde IP.
Nous allons dans la suite de cet article présenter le protocole DHCP qui offre
aux équipements nomades des fonctionnalités de reconfiguration automatique
à l’Internet, puis nous allons décrire le protocole IP Mobile pour l’Internet actuel
et sa future version. Enfin, nous présenterons le protocole IP Cellulaire.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
TE 7 515 − 2 © Techniques de l’Ingénieur, traité Télécoms
42
Référence Internet
TE7555
1. Problématique........................................................................................... TE 7 555 – 2
2. Protocole de base de Diameter............................................................ — 3
2.1 Format de l’en-tête Diameter...................................................................... — 3
2.2 Format des AVP............................................................................................ — 3
2.3 Extensions de Diameter .............................................................................. — 4
2.4 Protocole de transport sélectionné ............................................................ — 4
2.5 Problèmes non résolus de Diameter.......................................................... — 4
3. AAA et la connexion à distance via le réseau commuté .............. — 5
3.1 Authentification de l’utilisateur .................................................................. — 5
3.2 RADIUS......................................................................................................... — 5
3.3 Extension NASREQ de Diameter................................................................ — 6
4. AAA et la mobilité IPv4 ......................................................................... — 7
4.1 Mobilité IPv4 ................................................................................................ — 7
4.2 Architecture .................................................................................................. — 7
4.3 Prérequis sur les associations de sécurité................................................. — 8
4.4 Fonctionnement du roaming ...................................................................... — 9
4.4.1 Affectation dynamique d’un agent mère .......................................... — 9
4.4.2 Associations de sécurité .................................................................... — 9
4.4.3 Mobile IPv4 et la réauthentification .................................................. — 10
4.5 Nouveaux messages et AVP liés à l’extension de mobilité IPv4 ............. — 10
4.6 Traitement du handover.............................................................................. — 10
5. Diameter dans les réseaux cellulaires de troisième génération — 11
6. D’autres utilisations possibles............................................................. — 11
7. Perspectives de standardisation.......................................................... — 11
7.1 Protocole PANA............................................................................................ — 11
7.2 Extension Mobile IPv6 de Diameter........................................................... — 12
8. Conclusions sur les perspectives d’exploitation de Diameter.... — 12
Bibliographie ...................................................................................................... — 12
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Réseaux et télécommunications TE 7 555 − 1
43
Référence Internet
TE7555
GESTION DU ROAMING PAR AAA POUR LES SERVICES PPP ET MOBILE IP _________________________________________________________________________
services. Toutes ces vérifications sont bien entendu obligatoires pour que le FAI
soit sûr d’être payé pour les ressources réseau consommées par l’utilisateur.
Pour une gestion facilitée des abonnements, les FAI centralisent toutes les
données relatives aux abonnés (mot de passe, type d’abonnement, facture) dans
des serveurs d’accès protégé. À chaque demande de connexion, l’un de ces ser-
veurs est interrogé. Les protocoles permettant de réaliser au sein des FAI les
opérations d’authentification, d’autorisation et de comptabilité sont dénommés
AAA pour Authentication, Authorization, Accounting.
Si les protocoles AAA sont particulièrement bien adaptés aux abonnés se
connectant à un FAI par le RTC, il est prévu qu’ils soient utilisés dans un contexte
2
de mobilité basé sur le protocole Mobile IP. Ces deux domaines d’application
sont décrits dans cet article en se limitant aux aspects authentification et autori-
sation du AAA, c’est-à-dire en laissant de côté les aspects liés à la facturation
(Accounting). D’autres applications naturelles du AAA sont également présen-
tées, comme la protection de l’accès Wi-Fi, les VPN...
(0)
Sigles 1. Problématique
3GPP2 Third Generation Partnership Project 2
AAA Authentication, Authorization, Accounting
Les concepts AAA (Authentication, Authorization, Accounting)
AAP Agent d’Authentification PANA sont apparus au début des années 1990 avec la volonté des fournis-
AS Association de sécurité seurs FAI d’offrir à leurs clients en déplacement la possibilité de se
connecter à l’Internet depuis le réseau commuté téléphonique
AVP Attribute-Value Pair (RTC). Il fallait en effet proposer une authentification fiable des utili-
CDMA Code Division Multiple Access sateurs, l’authentification ne pouvant plus reposer sur la connais-
CHAP Challenge-Handshake Authentication Protocol sance de la position géographique des utilisateurs (par exemple,
numéro de téléphone). Ce service d’authentification est d’autant
CMS Cryptographic Message Syntax plus crucial que le système de facturation ou d’accès à certains ser-
DNS Domain Name Service vices comme le VPN (Virtual Private Network) reposent sur une
bonne authentification. Pour éviter toute fraude, il est donc néces-
EAP PPP Extensible Authentication Protocol
saire que les équipements du réseau sachent mettre en œuvre les
FAI Fournisseur d’Accès Internet fonctions AAA, c’est-à-dire :
GPRS General Packet Radio Service — s’authentifier et s’identifier les uns les autres ;
GSM Global System for Mobile communications — gérer les droits des utilisateurs mobiles ;
— collecter et stocker des informations sur les connexions de ces
IETF Internet Engineering Task Force utilisateurs.
ISP Internet Service Provider Deux protocoles – RADIUS et Diameter – sont décrits ci-après. Le
NAS Network Access Server protocole AAA le plus connu est RADIUS (cf. § 3) pour Remote
NASREQ Network Access Server Requirements Authentication Dial In User Service. Il est très couramment utilisé
par les FAI aujourd’hui mais il oblige un abonné à se connecter à son
OTP One-Time-Password authentication FAI de souscription, ce qui peut induire des coûts élevés. En effet, si
PANA Protocol for carrying Authentication for Network l’abonné est en déplacement à l’étranger et que le FAI ne dispose
Access pas de point d’accès dans ce pays, il devra s’acquitter de communi-
PAP Password Authentication Protocol cations téléphoniques longue distance. Un autre protocole appelé
Diameter et en cours de définition à l’IETF permet de s’affranchir de
PPP Point-to-Point Protocol cette limitation en définissant des échanges inter-FAI. Ainsi, sauf cas
RADIUS Remote Authentication Dial In User Service particuliers, un abonné pourra se connecter au réseau Internet ou
Intranet de son entreprise au prix d’une communication locale en
RNIS Réseau Numérique à Intégration de Services passant par un FAI local, et ce quelle que soit sa localisation.
RTC Réseau Téléphonique Commuté Diameter n’est cependant pas une simple évolution du protocole
SCTP Stream Control Transmission Protocol RADIUS utilisé dans un contexte de connexion depuis le RTC
SNMP Simple Network Management Protocol (cf. § 3). Il vise également le marché des réseaux cellulaires de troi-
sième génération où la mobilité peut être gérée par le protocole de
TACACS Terminal Access Controller Access Control System mobilité IPv4 ([TE 7 515]). Pour cela, Diameter définit le domaine
TCP Transmission Control Protocol d’application Mobile IPv4 (cf. § 4). Il permet en particulier à des
mobiles de se connecter à un réseau visité géré par un domaine
UDP User Datagram Protocol
d’administration autre que le sien.
UMTS Universal Mobile Telecommunications System
Dans la suite de cet article, le protocole de base Diameter est tout
USB Universal Serial Bus d’abord décrit. Les extensions de Diameter sont ensuite présentées,
VPN Virtual Private Network l’une dans un contexte de connexion à distance depuis un réseau com-
muté par PPP (Point-to-Point Protocol) et l’autre dans un environne-
Wi-Fi Wireless Fidelity ment où la gestion de la mobilité est réalisée par le protocole de
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
TE 7 555 − 2 © Techniques de l’Ingénieur, traité Réseaux et télécommunications
44
Référence Internet
TE7555
_________________________________________________________________________ GESTION DU ROAMING PAR AAA POUR LES SERVICES PPP ET MOBILE IP
mobilité IPv4. Une réflexion est ensuite menée sur l’utilisation possible Le tableau 1 donne quelques exemples de messages Diameter
de Diameter dans les réseaux cellulaires de troisième génération, voire définis dans [1] avec leur code de commande respectif. Noter que
les réseaux Wi-Fi. Enfin, sont présentés les travaux de standardisation la distinction entre un message de requête ou de réponse ne se fait
actuels qui ne pourront que favoriser l’émergence de Diameter, et quel- pas au travers du code de commande mais par le biais du champ
ques informations sur les perspectives d’exploitation de Diameter. Flags décrit précédemment. Les messages Capabilities-Exchange
sont les premiers échanges Diameter effectués entre agents ; ils
leur permettent de connaître les caractéristiques d’un agent Dia-
meter comme le numéro de version Diameter utilisé, les protoco-
les de sécurité supportés, les applications Diameter disponibles... ;
2. Protocole de base ainsi, les agents sauront s’il leur est possible de communiquer
de Diameter entre eux. Les messages Disconnect-Peer permettent de fermer
une connexion. Les messages Re-Auth permettent aux serveurs
Diameter de réauthentifier/réautoriser un utilisateur/machine.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Réseaux et télécommunications TE 7 555 − 3
45
2
46
Référence Internet
IN130
INNOVATION
SecSIP : un environnement
de protection pour la voix sur IP
2
par Adelkader LAHMADI
Docteur en Informatique
Maître de conférences à l’École nationale supérieure d’électricité et de mécanique
(ENSEM), une école d’ingénieur de l’Institut nationale polytechnique de Lorraine
Membre de l’équipe de recherche MADYNES au LORIA
et Olivier FESTOR
Docteur en Informatique
Directeur de recherche à l’Institut national de recherche en informatique
et en automatique (INRIA)
Responsable de l’équipe MADYNES au Centre de recherche INRIA Nancy-Grand
Est et au LORIA
Résumé : SecSIP est un environnement dédié à la protection des services basés sur
le protocole SIP contre l’exploitation de vulnérabilités d’implémentation ou de spécifi-
cation pour mener des attaques envers ces systèmes. Il s’appuie sur un modèle à états
pour identifier les événements impliqués dans l’occurrence et/ou l’exploitation d’une
vulnérabilité. L’environnement applique à partir des automates inférés et en fonction
d’une cible, des contre-mesures adaptées. SecSIP possède un langage spécifique,
nommé VeTo, pour la spécification des règles de protection. Ce langage permet éga-
lement d’associer un contexte à toute protection contre une vulnérabilité particulière
ciblant un équipement dans un réseau SIP.
Points clés
Domaine : Techniques de la sécurité sur réseaux IP
Degré de diffusion de la technologie : Émergence | Croissance | Maturité
Technologies impliquées : Voix sur IP, SIP, Pare-feu
Domaines d’application :
Principaux acteurs français :
Centres de compétence : INRIA, INPL
Parution : février 2011
47
Référence Internet
IN130
INNOVATION
1. Voix sur IP, vulnérabilités (i) la spécification sous forme de règles des vulnérabilités et
de leur contexte dans un langage dédié nommé VeTo ;
et attaques (ii) un moteur d’inspection qui exécute cet ensemble de
règles sur les messages SIP qui traversent le réseau. Ce moteur
Les services liés à la Voix sur IP, se sont largement identifie les messages ou séquences de messages qui exploitent
déployés ces dernières années dans l’Internet et représentent une vulnérabilité et applique les contre-mesures associées. Ces
aujourd’hui une part importante des communications, aussi techniques permettent d’aboutir à un environnement flexible
bien dans les entreprises que chez les particuliers. Cette tech- dans lequel il est facile d’intégrer des nouvelles protections et
2
nologie repose essentiellement sur le protocole SIP [TE 7 533] les associer aux équipements qui les concernent.
pour la gestion des sessions entre les différentes parties impli-
quées dans un échange des données, de voix ou de vidéo.
1.1 Protocole SIP et vulnérabilités associées
Plusieurs travaux de recherche, des contributions à l’IETF
(Internet Engineering Task Force ), ainsi que des bulletins de Le protocole SIP est un protocole à base de transactions uti-
sécurité émis ces dernières années ont montré que le proto- lisé pour la gestion des sessions multimédias. Les sessions de
cole SIP, ainsi que la plupart des implémentations de celui-ci voix représentent un type principal dans le contexte SIP. Le
sont exposés à de nombreux types d’attaques. protocole repose sur deux entités principales qui sont l’agent
utilisateur et le serveur SIP. L’agent se place à différents
niveaux de l’architecture et assure l’initiation des transactions.
Exemple Le second se place au niveau d’un terminal, au niveau du
Le monde de la voix sur IP connaît depuis peu des réseau d’accès et joue le rôle de répondeur à des demandes
attaques à grande échelle issues de fermes de serveurs de de transactions. Différentes entités implémentant les fonctions
type EC2 [SIP Abuse]. Ces attaques exploitables à des fins à la fois d’agent client et agent serveur sont déployées sur
malveillantes d’ordre social et/ou économique sont essentiel- une infrastructure de services SIP : les terminaux, les proxys
lement possibles grâce à des erreurs de configuration, à la qui assurent différentes fonctions d’enregistrement, d’authen-
présence de vulnérabilités d’implémentation non corrigées tification de facturation... S’ajoutent à cette faune, différentes
et/ou à des faiblesses dans les spécifications des standards passerelles vers d’autres réseaux et services (par exemple,
de communication, y compris dans le protocole SIP utilisé des passerelles vers le réseau téléphonique commuté).
dans de nombreux services. En raison de son déploiement
extrêmement fort et de l’augmentation d’attaques à grande Les services utilisant ce protocole sont depuis peu la cible
échelle, il est devenu indispensable de définir des méthodes d’un nombre croissant d’attaques. SIP subit, comme nombre
de protection pour ce protocole intégrant sa sémantique et d’autres protocoles de l’Internet, des attaques classiques
ses états pour déceler ces attaques et mettre en place des (dénis de service, inondations, brute-force...). Les plus
contre-mesures adaptées. Des associations d’industriels tels dangereuses et les plus efficaces sont cependant celles qui
que VoIPSA [VoIPSA] se penchent d’ailleurs sur ce problème exploitent directement des faiblesses présentes dans ses
important de la sécurité dans le monde de la voix sur IP. implantations ou dans sa spécification.
Nous avons identifié trois éléments qui favorisent les
Les mécanismes actuellement déployés, notamment les attaques au niveau de la spécification du protocole SIP. Le
pare-feux traditionnels de niveaux IP et/ou transport sont premier élément est le format textuel de ses messages les
inadaptés pour garantir une protection du protocole SIP contre rendant particulièrement facile à manipuler. Cette caractéris-
l’exploitation des vulnérabilités découvertes sur les différents tique qui n’est bien sûr pas une faille en soi est aussi présente
équipements d’un service voix sur IP. Ces pare-feux ne dans d’autres protocoles comme HTTP ou SMTP. Le deuxième
tiennent en effet pas compte de la sémantique du protocole élément est l’absence d’authentification et d’intégrité fortes
SIP. Aussi sont-ils incapables de déceler une attaque exploi- imposées. Dans la spécification normative du protocole SIP,
tant une vulnérabilité reposant sur des données ou des états les concepteurs ne proposent pas, ni n’imposent de mécanis-
du protocole. Une vulnérabilité SIP est généralement relative mes particuliers pour assurer un service d’authentification des
à un ou plusieurs équipements particuliers. Une protection différents éléments intervenants dans d’un échange. La spéci-
efficace contre l’exploitation d’une vulnérabilité requiert la fication ne fait que recommander certains mécanismes comme
connaissance des équipements et celle des vulnérabilités qui y l’authentification à base de HTTP digest. De même, aucun
sont associées. Cette caractéristique n’est pas supportée par mécanisme d’intégrité ne fait partie des fonctions imposées
les pare-feux généralistes qui opèrent souvent au niveau IP. par le standard. La troisième faiblesse se situe au niveau du
mécanisme de routage des messages SIP. SIP possède son
Afin de protéger les équipements et services contre l’exploi- propre routage applicatif entre les différents relais (proxy) lors
tation de vulnérabilités connues, les implémentations doivent de l’acheminement de ses messages. Ces proxys possèdent la
évoluer et les correctifs doivent être appliqués aux implémen- capacité de modifier certains champs de ces messages pour
tations (application de patchs par exemple). Dans certains des besoins de routage ou en raison de contraintes particuliè-
cas, la révision des spécifications des standards utilisés est res du service voix. Cette capacité peut être exploitée par une
nécessaire. Cependant, les délais de production de nouveaux entité malveillante intermédiaire, afin de modifier ces champs
standards et/ou de nouvelles versions d’un logiciel souvent et introduire des exploits de types dénis ou vol de service.
embarqué dans un hardphone et les délais d’application de
Au niveau des implantations du protocole SIP, les agents utili-
correctifs sont généralement longs voire parfois infinis (dans
sateurs, ainsi que des serveurs possèdent un nombre important
le cas d’un système non maintenu par un équipementier). De
de vulnérabilités. Celles-ci sont découvertes par différentes
ce fait, les implantations restent à découvert sans mécanisme
méthodes dont notamment des techniques de Fuzzing.
de protection pour prévenir l’exploitation de ces vulnérabilités
non corrigées. Nota : le fuzzing est une technique d’injection de données malformées vers une
cible pour en tester la robustesse.
Pour offrir une réponse à ce cas de figure fréquent, nous
avons conçu et développé SecSIP, un environnement de pro- Ces vulnérabilités sont essentiellement dues à des erreurs
tection dédié aux services basés sur le protocole SIP. Cet de programmation introduites dans les phases de dévelop-
environnement s’appuie principalement sur deux techniques : pement des couches logicielles des équipements.
48
Référence Internet
TE7506
Sécurité IPv6
Adressage et auto-configuration
49
Référence Internet
TE7506
Engineering Task Force (IETF) a lancé des travaux en 1994 afin de spécifier le
protocole Internet qui remplacera IPv4 : ce protocole est IPv6.
Dans cet article, sont décrits :
– les différents types et classes d’adresses IPv6 spécifiés à l’IETF ;
– le protocole de découverte des voisins, Neighbor Discovery Protocol
(NDP), ainsi que le mécanisme d’auto-configuration d’adresses IPv6, Stateless
Address Autoconfiguration (SLAAC), reposant sur ce dernier ;
– le mécanisme de NDP, nécessaire pour le bon fonctionnement de NDP
dans certaines architectures.
Enfin, sont successivement abordés :
■ Lien-local
Le mécanisme NDP est le cœur du protocole IPv6. Il est Lorsque le préfixe réseau de l’adresse source ou destination est
nécessaire dès qu’un nœud IPv6 désire s’attribuer une « FE80::/64 », cela indique que la communication est restreinte au
adresse. Il permet à un nœud IPv6 de communiquer avec lien réseau local (c’est-à-dire, le paquet ne doit pas être acheminé
d’autres nœuds IPv6, y compris des routeurs. Aussi, la via un routeur) et ce genre d’adresse est appelé adresse IPv6
sécurité de ce mécanisme est cruciale pour IPv6. lien-local, Link-local Unicast Address (LUA).
■ Privée
Comme en IPv4 [3], IPv6 spécifie un adressage « privé ». Une
1. Classes d’adresses IPv6 adresse IPv6 de ce genre est appelée Unique Local Address
(ULA) [4] et son préfixe réseau commence par « FC00::/7 ». Elle ne
peut être « routée » qu’à l’intérieur d’un périmètre spécifique.
Les adresses IPv6 [1] sont codées sur 128 bits, alors que les
adresses IPv4 l’étaient sur 32 bits, comme le montre la figure 1 ■ Globale
illustrant les en-têtes IPv4 et IPv6.
Une adresse IPv6 est dite « globale », équivalente à l’adresse
Il existe plusieurs classes d’adresses IPv6, correspondant à la IPv4 dite « publique », lorsque le préfixe réseau commence par
portée de l’adresse, et plusieurs types d’adresses IPv6, correspon- « 2000::/3 » (voir le site de l’IANA dans le Pour en savoir plus).
dant à la procédure ayant servi à générer l’adresse IPv6. La
figure 3 résume les propriétés de ces différentes classes
d’adresses.
1.2 Multicast
IPv6 définit 3 types de classes [2] : unicast, anycast et multi- Une adresse multicast IPv6 a la même propriété qu’en IPv4 : un
cast. paquet, dont l’adresse destination est multicast, sera réceptionné
par un groupe de nœuds dont l’adresse multicast a été assignée.
La classe multicast remplace la classe broadcast en IPv4 et la
classe anycast est une nouvelle classe par rapport à IPv4.
Au passage, IPv6 définit « ::0/128 » comme l’adresse non 1.3 Anycast
spécifiée, unspecified address, et « ::1/128 » comme l’adresse
dite de « loopback », équivalente à 127.0.0.1 en IPv4.
Cette nouvelle classe d’adresse en IPv6 désigne une adresse qui
est utilisée par plusieurs nœuds à la fois. Contrairement à la classe
multicast, via des mécanismes non explicités ici, un paquet dont
1.1 Unicast l’adresse destination est anycast ne sera reçu que par un des
nœuds possédant cette adresse.
Une adresse unicast IPv6 a la même propriété qu’en IPv4 : un
paquet, dont l’adresse destination est unicast, sera réceptionné par
un seul nœud, le nœud dont cette adresse a été assignée. Remarque
Le format d’une adresse anycast est le même que celui
Une adresse unicast est constituée de 2 parties, comme illustré à d’une adresse unicast.
la figure 2 : la première renseignant sur le préfixe réseau et la
seconde indiquant ce qui est appelé Interface Identifier (IID ). Sauf Il est donc impossible de différencier une adresse anycast
d’une adresse unicast. Seul le nœud, dont l’adresse est assi-
exceptions (par exemple, pour les liens réseau de type
gnée, sait s’il s’agit d’une adresse anycast ou unicast.
Point-to-Point présentés § 6.2), chacune de ces parties fait 64 bits.
50
Référence Internet
TE7506
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
2
Destination Address
Options Padding
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
Destination Address
51
Référence Internet
TE7506
Adresse IP = @IP
2
Adresse IP = @IPn
Adresse IP = @IP
Adresse IP = @IP
Adresse IP = @IP
MAC
0 1 2 3 4
012345678901234567890 123456789012345678901234567
ug
Identifiant du constructeur Numéro de série
EUI-64
0 1 2 3 4 5 6
0 1 2 3 4 5 6 7 8 9 01 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 01 2 3
ug OxFFFE
Identifiant du constructeur Numéro de série
EUI-64 modifié
0 1 2 3 4 5 6
0 1 2 3 4 5 6 7 8 9 01 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 01 2 3
10 OxFFFE
Identifiant du constructeur Numéro de série
52
Référence Internet
TE7506
Démarrage du nœud
non
2
non IID conforme ?
Génération et assignation
de l’adresse
Cette méthode est résumée à la figure 5 : – « F (x) » est une fonction PRF ;
– « rand(n) » est une fonction retournant aléatoirement une – « bit7(x) » est une fonction mettant le 7e bit de x à 0 ;
valeur de n bits ;
– « mod_EUI-64() » est une fonction retournant un IID de type – « firt64(x) » est une fonction retournant les 64 premiers bits de
EUI-64 modifié ; la valeur x.
– « md5(x) » est une fonction appliquant la fonction de hachage
MD5 sur la valeur x ;
– « bit7(x) » est une fonction mettant le 7e bit de x à 0 ; 2.4 Cryptographiques
– « firt64(x) » est une fonction retournant les 64 premiers bits de
la valeur x ;
Une autre méthode [9] de génération d’adresses IPv6 se
– « last64(x) » est une fonction retournant les 64 derniers bits de
rapproche de la méthode précédente. En effet, elle utilise la clé
la valeur x.
publique d’une paire de clés publique/privée pour générer l’IID. Les
adresses produites ainsi s’appellent des adresses générées crypto-
graphiquement, Cryptographically Generated Addresses (CGA) [10].
2.3 Aléatoire et stable
Chaque adresse CGA est associée à des paramètres qui ont
La méthode précédente génère à chaque fois un IID différent permis sa génération :
même si le nœud IPv6 reste dans le même réseau. Cela peut ne pas
faciliter la tâche de l’administrateur de ce dernier si celui-ci effectue – le paramètre « Sec » détermine la robustesse de l’adresse CGA
une surveillance de son réseau. Aussi, récemment, une autre contre les attaques de type brute-force et sa valeur varie de 0 à 7 ;
méthode a été proposée [7] qui permet de générer un IID aléatoire – le paramètre « Modifier » permet d’améliorer l’effet aléatoire
mais stable pour un même réseau (c’est-à-dire, préfixe réseau). lors de la phase de génération de l’adresse CGA ;
– le paramètre « Subnet Prefix » est le préfixe réseau utilisé lors
Remarque de la génération de la CGA ;
Cette méthode est encore en cours de spécification, et – le paramètre « Collision Count » indique le nombre de colli-
donc, pourrait être modifiée dans le futur. sions rencontrées lors des procédures Duplicate Address Detection
(DAD) (§ 4.2) pendant la génération de l’adresse CGA et sa valeur
varie de 0 à 2 ;
Pour générer un IID, le nœud applique dans un premier temps – le paramètre « Public Key » est la clé publique de la paire de
une fonction pseudo-aléatoire (par exemple, MD5 comme précé- clés publique/privée générée grâce à RSA [11] par le possesseur de
demment ou « SHA-1 » [8]), Pseudo-Random Function (PRF ), sur la l’adresse CGA ;
concaténation du préfixe réseau, de l’IID basé sur EUI-64 modifié, – le paramètre « Extension Fields », optionnel, contient les
l’identifiant du réseau s’il existe (par exemple, IEEE 802.11 SSID) et potentiels futurs paramètres rajoutés pour la spécification CGA.
une clé secrète qui a été générée au moment du démarrage du
nœud IPv6. Ensuite, il prend les 64 premiers bits en sortie et met le
7e bit du premier octet à 0.
Remarque
Cette méthode est résumée à la figure 6 :
– « gen() » est une fonction générant une clé secrète ; Tous ces paramètres, à part le paramètre « Sec » direc-
– « mod_EUI-64() » est une fonction retournant un IID de type tement codé dans l’adresse CGA, sont associés à une struc-
ture nommée CGA Parameters, illustrée à la figure 7.
EUI-64 modifié ;
53
2
54
Cryptographie, authentification, protocoles de sécurité,
VPN
(Réf. Internet 42314)
1– Cryptographie et stéganographie
2– Protocoles de sécurité
3
3– Technologies de VPN Réf. Internet page
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
55
3
56
Référence Internet
H5610
Technologies VPN
1.
1.1
Réseau privé virtuel VPN .......................................................................
Définition ......................................................................................................
H 5 610 - 2
— 2
3
1.2 Classification ................................................................................................ — 3
1.2.1 VPN CE Based ..................................................................................... — 3
1.2.2 VPN Network Based ........................................................................... — 3
2. VPN IPSec .................................................................................................. — 3
2.1 Principes généraux ...................................................................................... — 3
2.2 Architecture générique................................................................................ — 4
2.3 Exemple d’architecture dans un environnement Intranet/Extranet......... — 4
2.4 Cohabitation avec l’accès Internet et firewall............................................ — 5
2.5 Accès centralisé des télétravailleurs .......................................................... — 5
3. VPN basés sur d’autres technologies de tunnels ........................... — 5
3.1 VPN basés sur L2TP..................................................................................... — 5
3.2 VPN basés sur GRE...................................................................................... — 6
4. VPN MPLS .................................................................................................. — 6
4.1 Architecture d’un réseau MPLS .................................................................. — 6
4.2 Distribution des étiquettes MPLS............................................................... — 7
4.3 Utilisation du protocole MPLS pour construire des VPN ......................... — 7
5. Récapitulatif .............................................................................................. — 8
6. Conclusion ................................................................................................. — 8
Références bibliographiques ......................................................................... — 8
virtuels connus sous le terme VPN (Virtual Private Network). Une classifica-
tion des VPN est proposée en identifiant ceux qui nécessitent une interaction
avec le réseau d’un opérateur des télécommunications et ceux pouvant être
construits indépendamment du réseau de transport.
L’article se concentre sur les principales technologies agissant au niveau de la
couche 2 ou de la couche 3 du modèle OSI : IPSec, L2TP, GRE et MPLS. Les archi-
tectures et les services liés à ces architectures sont également analysés.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur H 5 610 − 1
57
Référence Internet
H5610
(0)
Principaux sigles
AH Authentication Header LNS L2TP Network Server
ATM Asynchronous Transfer Mode LSP Label Switch Protocol
BGP Border Gateway Protocol LSR Label Switch Router
CA Certification Authority MPLS Multiprotocol Label Switching
CE Customer Edge NAT Network Address Translation
CoS Class of Service OSI Open System Interconnect
ESP Encapsulating Security Payload OSPF Open Shortest Path First
FW Firewall PE Provider Edge
GRE Generic Routing Encapsulation PPP Point to Point Protocol
IBGP Ingress BGP PPTP Point to Point Tunneling Protocol
3
IETF Internet Engineering Task Force PS Passerelle de Sécurité
IKE Internet Key Exchange RC4 Rivest Cryptography 4
IP Internet Protocol RIPv2 Routing Information Protocol version 2
IPSec IP Security Protocol SLA Service Level Agreement
L2F Layer 2 Forwarding protocol SPD Security Policy Database
L2TP Layer Two Tunneling Protocol SSL Secure Socket Layer
LAC L2TP Access Concentrator TCP Transmission Control Protocol
LDAP Lightweight Directory Access Protocol TTL Time To Live
LDP Label Distribution Protocol UDP User Data Protocol
LER Label Edge Router VPN Virtual Private Network
LIB Label Information Base VRF VPN Routing and Forwarding Table
Entreprise A, site 1
1.1 Définition
VPN B Réseau VPN C
transport
Les réseaux privés virtuels sont souvent désignés par le terme Entreprise B,
site 2 Entreprise C,
anglais VPN (Virtual Private Network). Le service VPN permet la con- site 2
nectivité de plusieurs réseaux privés par l’intermédiaire d’une VPN C VPN B
infrastructure publique partagée. L’objectif principal du service VPN
est de faciliter les communications internes d’une entreprise multi- Entreprise C, site 1 Entreprise B, site1
sites et les communications entre des entreprises partenaires
(clients, fournisseurs). Avant la généralisation des technologies IP,
ce service était assuré par des réseaux de type X25, Frame-Relay ou Plate-forme
ATM. d'administration
Les caractéristiques d’un réseau privé virtuel doivent être compa-
rées à celles d’un réseau réellement privé en terme de débit, de Figure 1 – Modélisation des VPN avec l’exemple de trois VPN,
temps de latence, de la jigue, de fiabilité et de sécurité. correspondants à trois entreprises, souhaitant connecter leurs sites
répartis géographiquement
La figure 1 donne une représentation de trois VPN qui permettent
d’interconnecter les sites, répartis géographiquement, de trois
entreprises via une infrastructure partagée. Ainsi, le VPN A intercon- rateurs peuvent y participer. Ceux du niveau 3 impliquent des
necte les sites 1 et 2 de l’entreprise A ; le VPN B interconnecte les configurations au niveau des équipements d’interconnexion des
sites 1 et 2 de l’entreprise B, etc. entreprises. Ils peuvent également impliquer des configurations au
La figure 2 donne une autre représentation logique d’un autre niveau du réseau de transport si la qualité de service (bande-pas-
réseau, où tous les sites appartenant au même VPN sont virtuelle- sante) fait partie des besoins.
ment regroupés. Les VPN de niveau 4 sont transparents par rapport au réseau de
La connectivité des sites peut se faire au niveau de l’une des transport, mais ces derniers n’apportent pas de garantie en terme de
couches du modèle OSI. Elle se fait généralement au niveau de la qualité de service (débit, jigue, temps de latence) et sont utilisables
couche lien (niveau 2), de la couche réseau (niveau 3) ou de la cou- avec un seul protocole de transport (TCP pour les VPN utilisant SSL).
che session (niveau 4). Dans cet article, nous nous limitons aux VPN de technologie IP
Les services de VPN niveau 2 impliquent la configuration d’équi- (de niveau 3) qui sont aujourd’hui les plus courants. Ils sont parfois
pements au niveau du réseau de transport, et un ou plusieurs opé- désignés dans la littérature par le terme IPVPN.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
H 5 610 − 2 © Techniques de l’Ingénieur
58
Référence Internet
H5240
3
1.1 VPN ............................................................................................................... — 2
1.2 Protocoles SSL/TLS ..................................................................................... — 2
2. Principes des VPN SSL........................................................................... — 2
3. Interconnexion de sites.......................................................................... — 3
4. Nomadisme................................................................................................ — 3
4.1 Architecture.................................................................................................. — 4
4.2 Authentification et autorisation.................................................................. — 4
4.3 Applications ................................................................................................. — 4
4.3.1 Applications clientless ....................................................................... — 4
4.3.2 Applications non clientless ................................................................ — 5
4.4 Fonctions avancées ..................................................................................... — 6
4.4.1 Contrôle du terminal .......................................................................... — 6
4.4.2 Nettoyage du terminal ....................................................................... — 7
4.4.3 Single Sign-On : SSO ......................................................................... — 7
5. Limites intrinsèques des VPN SSL...................................................... — 7
6. Synthèse et conclusion .......................................................................... — 7
Références bibliographiques ......................................................................... — 8
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur H 5 240 − 1
59
Référence Internet
H5240
3 IP
IPsec
Internet Protocol
Internet Protocol Security
dessus de la couche transport (TCP). Ce protocole garantit
l’intégrité, le non-rejeu et la confidentialité des données. Il peut éga-
lement assurer l’authentification des extrémités et renégocier pério-
L2TP Layer Two Tunneling Protocol diquement les paramètres de sécurité.
LDAP Lightweight Directory Access Protocol Du fait de la nature applicative de ces protocoles, il est courant
MITM Man In The Middle pour un client d’avoir plusieurs connexions ouvertes vers un ser-
MPLS MultiProtocol Label Switching veur. Afin de réduire la durée de négociation et la consommation de
ressources, une session est créée lors de l’ouverture de la première
NAPT Network Address Port Translation connexion. Cette session permet de réaliser une seule fois l’authen-
NFS Network File System tification des extrémités et l’échange sécurisé d’un secret maître qui
sera utilisé par toutes les connexions d’une application entre un
NTLM NT LAN Manager client et un serveur.
OS Operating System Il existe trois principaux modes d’authentification des extrémités :
PPP Point-to-Point Protocol — anonyme : aucune des extrémités n’est authentifiée. Ce méca-
Radius Remote Authentication Dial-In User nisme ne doit pas être utilisé car il est très vulnérable aux attaques
Service MITM (Man In The Middle). Les attaques MITM consistent pour
SMB Server Message Block protocol l’attaquant à se mettre en coupure des flux ;
— serveur uniquement : le serveur est authentifié par le client à
SSH Secure Shell l’aide d’un certificat signé par une autorité reconnue par le client. Il
SSL Secure Socket Layer existe encore quelques risques d’attaques MITM ;
SSO Single Sign-On — client et serveur : le client et le serveur s’authentifient mutuel-
lement à l’aide de certificats. Ce mode d’authentification est de loin
TCP Transmission Control Protocol le plus sécurisé.
TLS Transport Layer Security
UDP User Datagram Protocol
URL Uniform Resource Locator
2. Principes des VPN SSL
VPN Virtual Private Network
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
H 5 240 − 2 © Techniques de l’Ingénieur
60
Référence Internet
TE7590
1.
1.1
Introduction d’IPv6 dans les réseaux IP/MPLS ................................
Principes génériques de routage dans les réseaux IP/MPLS ...................
TE 7 590 - 2
— 2
3
1.2 Nouvelle version du protocole IP : IPv6 ..................................................... — 4
1.3 Présentation de l’architecture VPN BGP/MPLS pour l’IPv6 ...................... — 4
2. Relation PE-CE dans les VPN MPLS IPv6 .......................................... — 5
2.1 Protocole de routage IPv6 PE-CE ................................................................ — 5
2.2 Cas des VRF dual-stack................................................................................ — 6
3. L3VPN IPv6 sur un cœur MPLS IPv4 .................................................. — 6
3.1 Signalisation des routes IPv6 des VPN BGP/MPLS ................................... — 6
3.2 Commutation du trafic VPN IPv6 ................................................................ — 8
3.3 Options avancées......................................................................................... — 9
4. Autres méthodes d’encapsulation
pour les VPN BGP/MPLS IPv6 ............................................................... — 10
4.1 Signalisation MP-BGP pour d’autres solutions d’encapsulation ............. — 10
4.2 Déploiement et impacts sur les réseaux .................................................... — 10
4.3 Évolution des mécanismes de transition ................................................... — 11
5. VPN BGP/MPLS IPv6 Inter-AS............................................................... — 12
5.1 Option « a » .................................................................................................. — 12
5.2 Option « b » .................................................................................................. — 12
5.3 Option « c »................................................................................................... — 13
6. Conclusion.................................................................................................. — 14
Pour en savoir plus ........................................................................................... Doc. TE 7 590
61
Référence Internet
TE7590
3
construire l’architecture de VPN MPLS ont été adaptés ou remplacés pour inté-
grer cette problématique et acheminer des trafics IPv6 clients. Ce dossier
présente les solutions VPN BGP/MPLS pour l’IPv6 aussi appelées 6VPE, dans
laquelle les réseaux privés virtuels IPv6 reposent sur un cœur de réseau MPLS
IPv4 (normalisée et implémentée avant les premiers travaux du groupe
softwire).
Après une rapide présentation des réseaux VPN BGP/MPLS IPv4 et du proto-
cole IPv6, cet article décrit les extensions protocolaires de signalisation et de
plan de transfert nécessaires à la mise en place de l’infrastructure 6VPE. Il
aborde également quelques fonctions avancées de 6VPE pour les réseaux
privés virtuels inter-domaines, ainsi que les extensions de la solution VPN
BGP/MPLS IPv6 à d’autres méthodes d’encapsulation non MPLS.
Le lecteur trouvera un tableau des sigles et abréviations à la fin de l’article
(cf. tableau 1).
1. Introduction d’IPv6 Sur les réseaux IP, un certain nombre de protocoles de routage
coexistent, chacun étant dédié à une fonction bien particulière. En
dans les réseaux IP/MPLS effet, dans les réseaux IP, un ensemble d’équipements de niveau 3
ou routeurs exploités par une même entité administrative peuvent
être regroupés dans un domaine de routage appelé système auto-
nome ou AS (Autonomous System). Les AS sont identifiés par un
1.1 Principes génériques de routage numéro unique ou ASN (Autonomous System Number ). Au sein
d’un même domaine de routage, des protocoles de routage interne
dans les réseaux IP/MPLS ou IGP (Interior Gateway Protocol ) permettent l’échange des infor-
mations d’accessibilité, comme représenté sur la figure 1.
1.1.1 Rappels routage sur les réseaux cœur Les protocoles de routage sont notamment décrits dans
[H 1 428]. Ces protocoles IGP sont :
Le processus d’acheminement des paquets d’information sur un – RIP (Routing Information Protocol) ;
réseau IP est réalisé de proche en proche (hop-by-hop) jusqu’à la – IGRP ou EIGRP (Interior Gateway Routing Protocol/Enhanced
destination. Pour chaque paquet reçu, un équipement de niveau 3 IGRP) ;
ou routeur doit savoir déterminer le prochain saut vers lequel – OSPF (Open Shortest Path First) ;
envoyer ce paquet. Pour ce faire, les routeurs échangent des infor- – IS-IS (Intermediate System to Intermediate System).
mations sur les chemins disponibles pour joindre chaque destina- Entre deux domaines de routage, les protocoles de routage
tion afin de déterminer leur propre table de routage (aussi appelée dynamique externe ou EGP (Exterior Gateway Protocol) réalisent
RIB, pour Routing Information Base), et ce selon un certain nombre les échanges d’information de chemins. En pratique, un seul proto-
de protocoles. cole de routage EGP est déployé : le protocole BGP ou Border
Ces protocoles de routage sont qualifiés de dynamiques : en Gateway Protocol. Le protocole BGP est décrit dans [TE 7 525].
effet, contrairement au routage statique, en cas d’événements Si les protocoles de routage dynamique peuvent se distinguer
réseaux (pannes, apparition d’un nouveau nœud ou de nouvelles selon leur champ d’application intra-domaine (IGP) versus
destinations), ces protocoles de routage véhiculent plus ou moins inter-domaine (BGP), il existe également une différence de
rapidement les nouvelles informations de disponibilité des che- conception notable entre les protocoles dits « distance vector » et
mins entre les routeurs, ainsi que les coûts de chaque chemin. les protocoles dits « à états de lien » (ou link state). Avec les proto-
C’est à partir de cette table de routage que le routeur calcule les coles de type « distance vector », les équipements réseau de
meilleurs chemins vers chacune des destinations, pour ensuite en niveau 3 échangent une liste vectorielle des destinations acces-
déduire sa table de transfert (aussi appelée FIB, ou Forwarding sibles, à chaque destination étant associé le coût du chemin pour
Information Base), qui, pour chaque destination IP, associe une la joindre (cas de RIP). Les protocoles à états de liens permettent à
interface de sortie vers le prochain saut IP. chacun des routeurs d’échanger non seulement leur vision des
62
Référence Internet
TE7590
R
R AS2 R R
R IGP
R AS3 R R
R
IGP
Session EGP
(eBGP)
AS1
R R IGP R
R
R
R
3
R R
R R
coûts des chemins, mais également les informations d’adjacence, alors sur les labels et non plus sur les en-têtes IP, et ce, le long
de manière à ce que chaque routeur puisse recalculer la vision d’un chemin labélisé ou LSP (Labeled Switched Path).
complète de l’ensemble de la topologie ; c’est le cas d’OSPF ou
Nota : cet article ne traite que des VPN BGP/MPLS unicast et donc décrit les LSP
IS-IS. point-à-point. Les extensions multicast ne sont pas décrites ici.
En pratique, les réseaux IP cœur sur lesquels reposent des archi-
tectures MPLS sont de taille relativement « grande » (composés de Pour les routeurs de cœur MPLS, la commutation est grande-
plusieurs nœuds IP), et supportent des applications (VPN, intranet, ment simplifiée : la table de transfert MPLS ou LFIB – Label
voix sur IP, vidéoconférence) nécessitant des temps de Forwarding Information Base – associe directement à un label
convergence rapides. Le protocole RIP ne répondant pas de MPLS le couple interface de sortie et le label MPLS de sortie
manière favorable à ces critères (cf. [H 1 428]), la plupart des correspondant (ainsi potentiellement que des informations de
réseaux cœur IP/MPLS reposent sur un protocole de routage niveau 2 sur l’interface de sortie). Dans un réseau MPLS, ce sont
interne OSPF ou IS-IS, voire EIGRP. les routeurs de bordure ou LER – Labeled Egress Router – qui sup-
portent la complexité de l’architecture notamment en établissant
Le rôle du protocole BGP sur de tels réseaux est, quant à lui, les chemins labélisés et en aiguillant les paquets entrant dans les
double : LSP, les routeurs de cœur ou LSR – Labeled Switched Router – se
– au sein d’un même AS, on utilise iBGP (internal Border contentant de commuter les paquets selon les labels.
Gateway Protocol) pour l’annonce des routes externes entre les
La technologie MPLS a connu rapidement un grand succès grâce
routeurs ; en effet, les protocoles à états de liens ne sont pas adap-
à sa simplicité et sa facilité de passage à l’échelle mais aussi pour
tés pour l’échange d’un trop grand nombre de routes, ils restent
ses applications dans les domaines de la qualité de service et
donc limités à l’échanges des préfixes internes ;
l’ingénierie de trafic. D’une part, outre le label codé sur 20 bits,
– entre différents AS, les sessions eBGP (external Border
l’en-tête MPLS est composé d’un champ de 3 bits, anciennement
Gateway Protocol) établies entre les routeurs de bordures (ou
appelé EXP et désormais renommé classe de trafic (TC ou « Traffic
ASBR, AS Border Router) permettent l’annonce des préfixes de
Class field », comme représenté sur la figure 2). Le champ TC est
chaque AS.
utilisé dans l’architecture DiffServ pour marquer les paquets
MPLS : il traduit le marquage DSCP (Differentiated Service Code
1.1.2 Rappels sur les VPN MPLS Point, codé sur 6 bits) de différenciation des flux, interprété par
chaque équipement pour l’application des traitements de QoS.
La technologie MPLS, ou MultiProtocol Label Switching C’est ce que l’on appelle le PHB ou Per-Hop Behavior. Il peut éga-
[RFC 3031], a été à l’origine développée pour améliorer les perfor- lement servir au marquage de notification de congestion (ECN,
mances des réseaux IP, et plus particulièrement optimiser la Explicit Congestion Notification).
vitesse de commutation des équipements de niveau 3 dans les
réseaux de transit. Lorsqu’un paquet IP entre sur un routeur de
transit, celui-ci doit recopier le paquet sur l’interface de sortie adé-
quate vers la destination, et, pour cela, faire un « lookup » ou réso- En-tête L2 En-tête MPLS Payload (paquet IP)
lution IP dans sa table de transfert pour identifier l’interface de
32 bits
sortie. À l’époque, le temps de recherche de l’entrée dans la table
de transfert était très pénalisé par le nombre d’entrées dans cette
table (limitation des performances des ASIC et des mémoires). Label (20 bits) TC S TTL
L’architecture MPLS permettait alors d’agréger de nombreuses
destinations en une seule entrée : les flux dont les traitements de Champs : Label : codé sur 20 bits
transfert sont équivalents sont regroupés en une FEC (Forwarding Classe de Trafic : codé sur 3 bits
Equivalence Class), ce qui raccourcit les temps de traitement lors Fin de la pile (Bottom of Stack) : codé sur 1 bit
de la commutation. Sur un réseau MPLS, les paquets IP sont ainsi Time To Live : codé sur 8 bits
labélisés en fonction de leur appartenance à une FEC : une éti-
quette ou label MPLS est insérée avant l’en-tête de niveau 3, Figure 2 – Insertion de l’en-tête MPLS pour un paquet IP (un seul
comme représenté sur la figure 2 ci-contre ; la commutation se fait niveau de label)
63
3
64
Référence Internet
TE7545
3
1. Problématique de sécurité et premiers éléments de réponse ..... TE 7545v2 – 3
2. Caractéristiques et fonctionnement général de la suite – 4
de protocoles IPsec .................................................................................
3. Politique de sécurité : les associations de sécurité ....................... – 5
3.1 Contenu d’une association de sécurité ...................................................... – 5
3.2 Choix de l’association de sécurité .............................................................. – 5
3.3 Bases de données SPD et SAD ................................................................... – 6
3.4 Traitement des paquets dans le sens sortant............................................ – 6
3.5 Traitement des paquets dans le sens entrant............................................ – 6
4. En-tête d’authentification AH............................................................... – 7
4.1 Deux modes de protection .......................................................................... – 7
4.2 Contenu......................................................................................................... – 7
4.3 Calcul de l’authentificateur.......................................................................... – 8
5. En-tête ESP................................................................................................. – 8
5.1 Deux modes.................................................................................................. – 8
5.2 Contenu......................................................................................................... – 8
5.3 Construction de l’en-tête ESP ..................................................................... – 9
5.4 Extraction de l’en-tête ESP .......................................................................... – 9
6. Protocole IKE de gestion dynamique des associations
de sécurité.................................................................................................. – 9
6.1 Protocole IKE (IKEv1) ................................................................................... – 10
6.2 Protocole IKEv2 ............................................................................................ – 10
6.3 Distribution de clés publiques .................................................................... – 11
7. IPsec appliqué au protocole IPv6 ........................................................ – 11
8. Pour une meilleure compatibilité entre IPsec et NAT ................... – 11
8.1 Problèmes de compatibilité ........................................................................ – 12
8.2 Solutions préconisées ................................................................................. – 12
9. Usage de IPsec dans la construction de VPN .................................. – 12
9.1 VPN – interconnexion de réseaux privés distants..................................... – 13
9.2 VPN – accès distant depuis un terminal nomade...................................... – 13
10. Positionnement des VPN IPsec par rapport aux VPN SSL
et SSH .......................................................................................................... – 14
11. IPsec au service de la mobilité IPv6 ................................................... – 15
12. Conclusion.................................................................................................. – 16
65
Référence Internet
TE7545
3
De plus, qu’est-ce qui assure que le trafic reçu provient bien du terminal
déclaré et qu’il n’est pas issu d’un terminal malveillant ayant usurpé l’identité
d’un terminal légitime ? Cette dernière question s’avère d’autant plus problé-
matique qu’à terme il est fort probable qu’un utilisateur pourra se connecter à
son réseau d’entreprise depuis tout type de terminaux. Réponses et évolutions
Pour répondre à cette problématique de sécurité, le protocole IPsec (IP secu-
rity), la version sécurisée d’IP, s’avère être la solution la plus complète
répondant au plus grand nombre de scénarii.
Ce protocole, standardisé par l’IETF, permet en effet d’authentifier les entités
communicantes, d’assurer l’authenticité, l’intégrité et la confidentialité des
données échangées, et de maintenir un niveau de sécurité acceptable, tout au
long des connexions, par la mise à jour périodique des paramètres de sécurité.
IPsec est largement employé aujourd’hui, dans un contexte de VPN, pour
sécuriser l’interconnexion de réseaux privés distants et, dans une moindre
mesure, pour sécuriser l’accès distant opéré par un nomade à son réseau privé
d’entreprise. Sur ce dernier point, l’offre IPsec est concurrencée par l’offre VPN
SSL (Secure Socket Layer).
Si la tendance se confirme, les infrastructures réseaux des opérateurs
devraient progressivement évoluer vers le « tout IP » et la solution IPsec
devrait ainsi connaître de nouveaux usages. Précisions
Ce dossier décrit la suite de protocoles IPsec, en particulier les trois sous-
protocoles : AH ( Authentication Header), ESP (Encapsulating Security Pay-
load), et IKE (Internet Key Exchange).
Les problèmes de compatibilité de la suite IPsec avec les mécanismes de
base, comme la traduction d’adresses, sont exposés. L’usage qui est fait
d’IPsec pour sécuriser les VPN, dans le cas de l’interconnexion de réseaux
privés distants et de l’accès distant s’y trouve décrit de manière détaillée. En
particulier, le fonctionnement de la solution standard « L2TP over IPsec », dans
le cas de l’accès distant, y est expliqué.
Une comparaison avec d’autres solutions de VPN basées sur les protocoles
SSL ou SSH est présentée, de manière à permettre aux lecteurs de placer
chacun de ces protocoles dans leurs usages et limites. Le dossier conclut en
décrivant le rôle fondamental que devrait jouer IPsec dans la sécurisation des
réseaux mobiles futurs basés sur le protocole de mobilité IPv6 et présente les
nouveaux défis à relever.
66
Référence Internet
TE7545
3
SHTTP (Secure HTTP) Message M
original
SSH (Secure Shell) +
Message M Message M
SSL (Secure Socket Layer) original
Passerelle Passerelle
original
de sécurité de sécurité
VPN (Virtual Private Network) Réseau privé virtuel Insertion de Réseau Vérification de
l´authentificateur Internet l´authentificateur
■ Le trafic IP en transit peut être la cible d’attaques malveillantes du site émetteur (A) chiffre les données M émises par un terminal
[39], parmi lesquelles on peut citer classiquement : de A. Les données chiffrées obtenues, notées “#&@” sur la
– l’écoute (IP sniffing). Une personne malveillante se place à un figure 1, n’ont de signification que pour la passerelle de sécurité
endroit du réseau et se met à « écouter » le trafic échangé. Pour du site récepteur (B). À la réception des données chiffrées, la pas-
réaliser cette attaque, il faut classiquement parvenir à introduire un serelle de B les déchiffre, obtient les données originales M et les
analyseur de protocoles sur un réseau, ce qui permettra d’espion- transmet au terminal destinataire de son site.
ner les communications et de récupérer des informations confi- Le chiffrement utilise des outils cryptographiques, c’est-à-dire
dentielles en transit, comme des mots de passe. Une autre généralement des algorithmes de chiffrement qui sont publique-
solution consiste à modifier le comportement d’un équipement de ment connus.
réseau (exemple : routeur IP) de manière à récupérer une copie de
certains flux vers une machine choisie par l’espion ; La confidentialité des données émises est obtenue en fai-
– l’usurpation d’identité (IP spoofing). Une personne contacte un sant dépendre le résultat du chiffrement de l’algorithme uti-
équipement en se faisant passer pour quelqu’un d’autre. L’équipe- lisé, mais, surtout, des informations secrètes qui doivent être
ment contacté croit être en communication avec la personne dont connues uniquement des équipements de sécurité réalisant le
l’identité est usurpée et fournit alors des informations pouvant être chiffrement/déchiffrement. Ces dernières sont appelées clés
confidentielles. Cela consiste généralement à remplacer l’adresse de chiffrement et sont notées KAB sur la figure 1 car elles
IP d’une station par l’adresse IP d’un terminal légitime ; sont connues des passerelles A et B.
– la modification des données en cours de transfert (IP tampe-
ring). Ces données peuvent être modifiées de façon accidentelle ou
• L’authentificateur est ajouté aux données émises M par la
de façon malveillante. Dans ce dernier cas, une personne mal-
passerelle de sécurité du site émetteur A dans le cas de l’intercon-
veillante peut réussir à détourner un flux vers une machine sous
nexion de deux réseaux privés distants (cf. figure 2).
son contrôle, à effectuer les modifications souhaitées et à réé-
mettre ce flux vers le bon destinataire en faisant croire qu’il pro- Cet authentificateur garantit à la passerelle du site B que les
vient de la source originale. données reçues proviennent bien de l’équipement attendu. Il per-
met ainsi de se prémunir des usurpations d’identité. Il a également
■ Afin de se prémunir contre ce type d’attaque, il existe différents pour rôle de garantir l’intégrité des données, c’est-à-dire d’offrir la
mécanismes fréquemment utilisés en sécurité [36]. garantie que les données reçues n’ont subi aucune modification
lors de leur transfert sur le réseau.
• Le chiffrement permet à l’émetteur de se prémunir des écou-
tes en ne rendant ses données compréhensibles que par les équi- Le calcul d’un authentificateur repose sur une fonction de
pements du réseau autorisés. Il fait appel à deux équipements de hachage qui permet de limiter la taille de l’authentificateur et une
sécurité, l’un se chargeant de chiffrer les données émises et l’autre clé cryptographique qui garantit qu’un authentificateur valide ne
de les déchiffrer à la réception. peut être généré que par l’émetteur déclaré.
Dans le cas typique où deux réseaux privés sont interconnectés Contre les attaques portant sur le trafic IP, la solution décrite
par l’Internet, comme l’illustre la figure 1, les équipements placés consiste à modifier le protocole IP pour réaliser le chiffrement des
à l’entrée des sites sont appelées des passerelles de sécurité. Celle paquets IP et à y introduire un authentificateur.
67
Référence Internet
TE7545
La version protégée du protocole IP fait appel à la suite de proto- Le protocole ESP, offrant un panel de services de sécurité plus
coles IPsec qui comprend les protocoles : AH (Authentication Hea- complet que le protocole AH, est obligatoirement implémenté
der), ESP (Encapsulating Security Payload) et le protocole de dans tout produit conforme à IPsec, tandis que AH est un proto-
gestion dynamique de la sécurité IKE (Internet Key Exchange). Ces cole optionnel. Cette décision de rendre AH optionnel permet
trois protocoles, tels que proposés par l’IETF dans les RFC [22], [23], d’alléger les implémentations d’IPsec et de simplifier quelque peu
[25], [26] et [27], sont décrits § 4, 5 et 6. Ils reposent sur la définition les produits IPsec du marché.
d’une politique de sécurité liée aux besoins de sécurité du réseau et
présentée § 3. Les paragraphes qui suivent se focalisent sur les ■ Les protocoles IPsec peuvent servir à protéger des échanges IP :
points précis suivants : particularités d’IPsec appliquées à un envi- – de bout en bout où ce sont les entités en communication (réa-
ronnement IPv6, solution choisie afin de rendre compatibles IPsec et lisant des échanges d’informations utiles) qui mettent en place les
les mécanismes de traduction d’adresses, usage des IPsec dans les protocoles IPsec, c’est-à-dire qui ont la charge de construire et
VPN, et positionnement de IPsec face à d’autres protocoles de com- d’analyser les en-têtes de sécurité IPsec. Ces entités sont ordinaire-
munication sécurisés tels que SSH, SSL (1). ment des terminaux ; dans ce cas, par rapport aux schémas des
(1) Les protocoles SSL et TLS sont très proches dans leur fonctionnement. À chaque
fois qu’il est fait référence à SSL, TLS est, tacitement, sous-entendu. figures 1 et 2, les logiciels, réalisant la protection des paquets IP
dans les passerelles de sécurité, sont en fait déportés dans les ter-
minaux source et destinataire des sites A et B. Cependant, ces enti-
tés, pouvant aussi être présentées comme les points de
2. Caractéristiques
3
terminaison d’une connexion, peuvent également l’être sous la
forme de passerelles de sécurité, du fait que celles-ci sont aussi
et fonctionnement général aptes à recevoir du trafic qui leur est destiné. Il peut s’agir de trafic
de gestion des passerelles de sécurité.
de la suite de protocoles – sur des segments de réseau, chacun des segments étant
constitué d’une, voire de deux passerelle(s) de sécurité. Ces seg-
IPsec ments protégés peuvent opérer entre un terminal et une passe-
relle, ou bien entre deux passerelles (comme le schématisent les
Afin de se prémunir des écoutes et des usurpations d’identité, le figures 1 et 2).
groupe IPsec de l’IETF a intégré des mécanismes de sécurité dans Comme le précise le RFC 4301 [21], deux modes de protection
les protocoles IPv4 et IPv6 afin de : par IPsec existent.
– chiffrer les paquets IP (leur contenu seul ou le paquet entier) ;
– introduire un authentificateur permettant de certifier l’équipe- • Le mode tunnel qui s’applique toujours à un tunnel IP, ce der-
ment émetteur et de contrôler l’intégrité de tout ou parties du nier étant directement géré par IPsec. L’équipement-tunnelier réa-
paquet IP. lisant le tunnel IP a pour fonction d’encapsuler le paquet IP émis
par un terminal local a, destiné au terminal b et contenant des
■ Les mécanismes de sécurité étant identiques pour IPv4 et IPv6, données (DATA) dans un nouveau paquet IP (cf. figure 3). Celui-ci
nous nous intéresserons dans un premier temps à IPv4 ; les particu- porte, dans son nouvel en-tête IP, les adresses IP source et desti-
larités de IPsec, dans un environnement IPv6, étant présentées § 7. nation des extrémités du tunnel A et B, ces dernières servant au
La suite de protocole IPsec comprend trois sous-protocoles. Les routage correct de ces paquets par le réseau public.
deux premiers servent directement à la protection des paquets IP Si le tunnelier émetteur A décide de la protection de ce paquet, il
et consistent en deux nouveaux en-têtes (encore appelés protège le paquet obtenu avec IPsec en ajoutant un en-tête adé-
« extensions » pour la nouvelle génération IPv6 du protocole IP). quat IPsec (AH ou ESP). La protection mise en place porte sur tout
Le troisième intervient au niveau applicatif afin de gérer dynami- le paquet IP émis par a, ainsi que sur certains champs du nouveau
quement la sécurité. paquet IP construit. Le tunnelier B vérifie alors que les en-têtes de
• L’en-tête d’authentification (Authentication Header ou AH) sécurité sont corrects ; il décapsule les paquets IP et transmet ces
contient, entre autre, un authentificateur. Il permet donc de vérifier paquets originaux vers le terminal destinataire b.
l’identité de l’équipement de sécurité émetteur et de contrôler Ce mode peut être indifféremment utilisé pour une protection
l’intégrité des données. sur des segments de réseau ou de bout en bout.
Il permet optionnellement de détecter si les données reçues
n’ont pas été précédemment reçues (ceci pour éviter qu’une per- • Le mode transport, par opposition au mode tunnel, s’applique
sonne malveillante ayant réussi à capturer un paquet légitime sur à tous les autres scénarios et fait porter la protection sur certains
le réseau ne puisse rejouer un paquet vers le même destinataire). champs des paquets IP. Il peut s’agir d’une protection de bout en
bout, comme l’illustre la figure 4, où seul le chiffrement des don-
• L’en-tête ESP (Encapsulating Security Payload) permet de nées est requis.
transporter un paquet IP, tout ou en partie chiffré, ainsi qu’un
authentificateur offrant la même gamme de services que l’en-tête
d’authentification. IKE
• Le protocole IKE (Internet Key Exchange) assure une gestion Oakley/SKEME Applications
dynamique de la sécurité en permettant aux équipements de sécu- (HTTP, FTP,
ISAKMP, DOI
rité de s’authentifier et de convenir de la manière de protéger leurs SMTP)
échanges IP.
Ce protocole se présente sous la forme d’une application (ou
« démon ») hébergée sur chaque équipement de sécurité et qui se TCP/UDP
met à dialoguer avec son homologue, à chaque fois qu’une con-
nexion IPsec sécurisée est à initier.
IPsec
• Ces en-têtes, présentés § 4 et 5, permettent tous deux d’authen-
tifier l’équipement de sécurité émetteur. En fait, suivant l’en-tête Couche Physique
choisi, l’authentificateur ne protège pas les mêmes champs. Cela
s’avère particulièrement utile selon le mode de protection utilisé Figure 3 – Mode tunnel mis en œuvre entre deux tunneliers
(voir ci-après) ou si une traduction d’adresse est réalisée (cf. § 8). de sécurité
68
Cryptographie, authentification, protocoles de sécurité,
VPN
(Réf. Internet 42314)
1– Cryptographie et stéganographie
2– Protocoles de sécurité
3– Technologies de VPN
4
4– Réseaux sans fil Réf. Internet page
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
69
4
70
Référence Internet
IN77
INNOVATION
capacité à connecter plusieurs appareils : il permet appliquées. Ainsi, les informations transmises dans
d’effectuer des connexions point-à-point mais aussi l’air sont chiffrées. L’attaquant n’ayant pas accès à la
point-à-multipoint, avec une intervention minimale clé secrète utilisée pour le chiffrement, il est inca-
de l’utilisateur. Les canaux infrarouges ont besoin pable de les décrypter. Une autre sorte d’attaque
d’une vue directe, ou liaison visuelle, ce qui est consiste à se faire passer pour une entité à laquelle la
71
Référence Internet
IN77
INNOVATION
victime fait confiance et donne une autorisation dans le mode avec infrastructure, l’entité de
d’accès à ses données. Ces attaques sont contrées en base d’un réseau sans fil est la cellule contrôlée par
utilisant des méthodes d’authentification. Il existe un point d’accès. Ce dernier est généralement muni
différents types de clés dans Bluetooth. La clé de lien de deux interfaces réseaux :
est un nombre aléatoire de 128 bits. Elle est utilisée – une interface sans fil par laquelle il reçoit toutes
dans la procédure d’authentification et sert comme les trames échangées dans sa cellule et sur laquelle
paramètre durant la dérivation d’une clé de chiffre- il retransmet les trames à destination des stations
ment. Le temps de vie d’une clé dépend de son de la cellule ;
type : une clé de type semi-permanent peut être uti- – la seconde interface, généralement filaire, utili-
lisée après la clôture d’une session et peut servir à sée pour communiquer avec d’autres points d’accès
authentifier les unités Bluetooth qui la partagent ; la ou même utilisée pour accéder à l’Internet.
durée de vie d’une clé temporaire est limitée à une
session. Ce type de clé est, en général, utilisé pour Comme tous les standards de l’IEEE, 802.11 cou-
des connexions point-à-multipoints. vre les deux premières couches du modèle de réfé-
rence OSI, c’est-à-dire physique et liaison. L’une de
Le code secret PIN (Personal Identification Num- ses caractéristiques essentielles est qu’il définit une
ber) joue un rôle majeur dans la sécurité du proto- couche MAC commune à toutes les couches physi-
cole Bluetooth. Il sert à authentifier l’utilisateur. La ques de la même famille 802.11. De la sorte, de
4
longueur du code PIN peut varier de 1 à 16 octets ; futures couches physiques pourront être ajoutées
il se compose fréquemment de 4 octets. Pour des sans qu’il soit nécessaire de modifier la couche
applications nécessitant un plus haut niveau de MAC. Plusieurs normes 802.11 ont été standardi-
sécurité, il est conseillé d’augmenter ce nombre. sées. Elles présentent différentes caractéristiques
Bluetooth définit trois différents modes de sécurité : surtout de bande passante et de couverture.
• Mode de sécurité 1 : mode non-sécurisé. Ni
l’authentification des utilisateurs, ni le chiffre- 2.1 IEEE 802.11a, b, g
ment des données ne sont assurés. Ce mode
Sur IEEE 802.11 :
d’opération est utilisé lorsqu’on ne s’attend à La norme IEEE 802.11 a été publiée en quatre
Standard pour réseau
sans fil : IEEE 802.11 aucune attaque malicieuse, et que la commo- phases. La première, simplement appelée 802.11,
[TE 7 375] de dité est considérée supérieure à la sécurité. inclut MAC et trois spécifications de couches physi-
D. TREZENTOS ques dont deux dans la bande des 2,4 GHz et une
• Mode de sécurité 2 : mode sécurisé au
dans la portion infrarouge, toutes opérant à 1 ou
IEEE 802.11 : niveau de la couche service. Dans le mode 2,
http:// 2 Mbit/s. La norme IEEE 802.11b a été ensuite
les procédures de sécurité sont initialisées
www.ieee802.org/11/ publiée – celle-ci opère dans la bande des 2,4 GHz
et suite à l’établissement d’un canal au niveau de
avec des débits de 5,5 et 11 Mbit/s – puis la norme
http://standards.ieee. la couche Logical Link Control and Adaptation
org/getieee802/ IEEE 802.11g, également dans la bande des
Protocol (L2CAP).
802.11.html 2,4 GHz, mais avec des débits atteignant 54 Mbit/s.
• Mode de sécurité 3 : mode sécurisé au
Les réseaux 802.11b et 802.11g sont compatibles
niveau de la couche liaison. Dans le mode 3,
dans le sens ascendant. Une carte 802.11g peut
CSMA/CA : les procédures de sécurité sont initialisées
Méthode d’accès multi- donc se connecter à un réseau 802.11b à la vitesse
avant l’établissement d’un canal de communi-
ple à détection de por- de 11 Mbit/s, mais l’inverse n’est pas possible.
teuse et évitement de
cation. C’est un mode de sécurité intégré dans
collision Bluetooth et il est indépendant des Pour la partie physique, les propositions suivantes
Sur l’IEEE 802.11e : mécanismes de sécurité au niveau de l’appli- ont été retenues pour les réseaux 802.11a : fré-
Protocole IEEE 802.11 : cation. Ce mode supporte l’authentification et quence de 5 GHz dans la bande de fréquences sans
qualité de service le chiffrement des données. Ces fonctionnali- licence d’utilisation, modulation OFDM (Orthogonal
[TE 7 379] de tés reposent sur une clé secrète partagée par Frequency Division Multiplexing) avec 52 porteuses,
C. CHAUDET
chaque paire d’appareils ayant besoin de com- autorisant d’excellentes performances en cas de
DCF : Distributed Coor-
dination Function muniquer. Une procédure appelée « pairage » trajet multiple et haut débit de 6 à 54 Mbit/s. Le
est utilisée afin de générer cette clé secrète débit sélectionné par la carte d’accès dépend de la
PCF : Point Coordination
Function lorsque deux appareils communiquent pour la puissance de réception. Les niveaux supérieurs sont
EDCA : Enhanced Distri- première fois. la couche MAC qui gère l’algorithme de CSMA/CA.
buted Channel Access
HCCA : HCF Controlled
2. WLAN (Wireless Local Area 2.2 IEEE 802.11e et f
Channel Access
La norme IEEE 802.11e modifie la couche MAC
Network) afin d’apporter la qualité de service dans 802.11. En
effet, CSMA/CA fournit un partage équitable du
La norme IEEE 802.11 décrit les caractéristiques
médium sans fil et offre un service Best Effort. Dans
d’un réseau local sans fil (WLAN). Le nom Wi-Fi
une station qui implémente IEEE 802.11e, appelée
(Wireless Fidelity) correspond initialement au nom
« station QoS » ou QSTA (QoS Station), les modu-
QoS : qualité de service donné à la certification délivrée par la Wi-Fi Alliance,
les DCF et PCF sont remplacés par une fonction de
qui est chargée de maintenir l’interopérabilité entre
coordination hybride ou HCF (Hybrid Coordination
les matériels répondant à la norme 802.11.
Function) ; celle-ci repose sur deux nouveaux
La norme IEEE 802.11 offre deux modes de mécanismes de contrôle d’accès : EDCA et HCCA.
fonctionnement : un mode avec infrastructure et un L’EDCA fonctionne en mode DCF, il prévoit un
mode ad hoc. Dans le mode ad hoc, deux stations contrôle d’accès différentié au support permettant
sans fil peuvent communiquer directement entre ainsi une meilleure QoS. Les mécanismes d’accès
elles lorsqu’elles sont physiquement dans le même avec ou sans contention sont mis en œuvre par le
rayon de propagation (voir section 4). En revanche, HC (Hybrid Controller) pendant la période de trame
72
Référence Internet
TE7375
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Télécoms TE 7 375 − 1
73
Référence Internet
TE7375
4 AP
BSS
Access Point
Basic Service Set
LLC
MAC
Logical Link Control
Medium Access Control
CCA Clear Channel Assessment MPDU MAC Protocol Data Unit
CRC Cyclic Redundancy Code NAV Network Allocation Vector
CSMA/CA Carrier Sense Multiple Access with Collision Avoidance OFDM Orthogonal Frequency Division Multiplexing
CTS Clear To Send OSI Open System Interconnection
DCF Distributed Coordination Function NS Network Simulator
DECT Digital Enhanced Cordless Telecommunications PCF Point Coordination Function
DIFS DCF IFS PDA Personal Digital Assistant
DS Distribution System PHY Physical
DSSS Direct Sequence Spread Spectrum PIFS PCF IFS
EIFS Extended IFS PLCP Physical Layer Convergence Protocol
ETSI European Telecommunications Standards Institute PMD Physical Medium Dependent
FCS Frame Check Sequence PPDU PLCP Protocol Data Unit
FHSS Frequency Hopping Spread Spectrum QoS Quality of Service
HIPERLAN HIgh PErformance Radio Local Area Network RTS Ready To Send
HR/DSSS High Rate Direct Sequence Spread Spectrum SIFS Short IFS
IAPP Inter Access Point Protocol WEP Wired Equivalent Privacy
IBSS Independant Basic Service Set WiFi Wireless Fidelity
IEEE Institute of Electrical and Electronics Engineers WLAN Wireless local Area Network
IFS Inter Frame Space WMAN Wireless Metropolitan Area Network
IR Infra Red WPAN Wireless Personal Area Network
ISM Industrial Scientific and Medical Frequency Band
1. Standard 802.11 ondes infrarouges IR (Infra Red) permettant des débits allant jusqu’à
2 Mbit/s et les deux autres couches utilisent les ondes radio à
2,4 GHz, l’une avec l’étalement de spectre à séquence directe DSSS
(Direct Sequence Spread Spectrum) et l’autre avec l’étalement de
La première version du standard 802.11 date de 1997. En 1999, spectre par saut de fréquence FHSS (Frequency Hopping Spread
deux extensions, a et b, sont venues la compléter [1]. Spectrum) permettant l’une comme l’autre d’atteindre des débits
Le standard initial définit trois couches physiques PHY (PHYsical) allant jusqu’à 2 Mbit/s. Les extensions a et b définissent respective-
et une couche de contrôle de l’accès au médium de transmission ment une couche PHY OFDM (Orthogonal Frequency Division Multi-
MAC (Medium Access Control). Une des couches PHY utilise les plexing) à 5 GHz permettant des débits allant jusqu’à 54 Mbit/s brut
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
TE 7 375 − 2 © Techniques de l’Ingénieur, traité Télécoms
74
Référence Internet
TE7375
(32 Mbit/s net) et une couche PHY à 2,4 GHz permettant des débits L’exposé des différentes couches physiques est réalisé au para-
allant jusqu’à 11 Mbit/s. C’est avec cette dernière que le standard graphe 4. Une attention particulière est portée sur la couche PHY
802.11 s’est imposé. correspondant à l’extension b du standard.
La figure 1 précise les couches du modèle OSI (Open System
Le standard définit également un plan de contrôle (management
Interconnection) spécifiées par le standard 802.11. La couche MAC
layer) responsable des opérations d’administration. Certaines fonc-
fonctionne avec la couche LLC IEEE 802.2 également utilisée au-
tions d’administration seront évoquées au paragraphe 5.
dessus du standard pour réseau local Ethernet. La figure 2 récapi-
tule les détails du standard. Le standard 802.11 n’est pas figé. Il continue à être mis à jour
Le standard spécifie également deux architectures réseaux sus- régulièrement en vue d’offrir toujours plus de services ou d’amélio-
ceptibles de supporter les services de communication sans fil. rer les services existants. Les évolutions du standard seront discu-
L’étude de ces deux architectures est l’objet du paragraphe 2. tées au paragraphe 6.
La couche MAC et ses mécanismes sont étudiés au paragraphe 3.
5 Session
3
Transport
Figure 2 – Récapitulatif des détails du standard 802.11 Figure 3 – Réseau ad hoc minimal
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Télécoms TE 7 375 − 3
75
4
76
Référence Internet
TE7376
Évolution du standard
pour réseaux sans fil : IEEE 802.11
par Isabelle GUÉRIN LASSOUS
Professeur des Universités, Université Lyon 1/LIP
4
des 5 GHz ...................................................................................................... — 5
2.3 IEEE 802.11g : vers un débit de 54 Mbit/s dans la bande de fréquence
des 2,4 GHz ................................................................................................... — 5
2.4 IEEE 802.11e : mise en place de la qualité de service ............................... — 6
2.5 Quelques mots sur les autres amendements ............................................ — 8
3 Quelques sous-groupes de travail IEEE 802.11 en cours .............. — 9
3.1 IEEE 802.11k : gestion de la ressource radio ............................................. — 9
3.2 IEEE 802.11n : vers des débits encore plus élevés .................................... — 10
3.3 IEEE 802.11p : environnements véhiculaires ............................................. — 10
3.4 IEEE 802.11r : pour un changement rapide de point d’accès ................... — 10
3.5 IEEE 802.11s : réseaux maillés .................................................................... — 11
4 Conclusion.................................................................................................. — 11
Pour en savoir plus ........................................................................................... Doc. TE 7 376
es réseaux WiFi, très souvent ainsi appelés par les utilisateurs, ont envahi
L les espaces privé et public. Avec l’arrivée des boîtiers multiservices, les
particuliers, tout du moins les derniers équipés, ont un accès WiFi. Un grand
nombre de sociétés, ainsi que les universités ou institutions publiques, se sont
équipées d’un réseau WiFi. Il permet aux employés d’être facilement connectés
sans pour autant devoir rester dans leur bureau, mais aussi de fournir facile-
ment une connexion réseau aux visiteurs. Les gares, les aéroports ou les
hôtels offrent aussi aux voyageurs un accès WiFi en accès libre (ce qui devient
de plus en plus rare) ou en accès payant.
Derrière ce terme – WiFi – se cache un standard important qui a révolutionné
l’accès sans fil aux réseaux de données. Ce standard, dénommé IEEE 802.11, a
été conçu par l’Institute of Electrical and Electronics Engineer et définit les
couches physiques et accès au médium (Medium Access Control, MAC) pour
les réseaux locaux sans fil. Parler au passé est un peu abusif car ce standard
est en constante évolution. Si vous cherchez actuellement à vous équiper
d’une carte sans fil IEEE 802.11, vous allez devoir choisir parmi des cartes
802.11b, 802.11a, 802.11g ou même encore 802.11n. La petite lettre se trouvant
après 802.11 est importante car elle correspond à différents amendements du
standard IEEE 802.11 et implique un accès sans fil présentant des caractéristi-
ques spécifiques.
Cet article a pour but de faire le point sur l’évolution du standard
IEEE 802.11. Certains amendements seront décrits plus en détail. Certains
travaux du groupe de travail IEEE 802.11, en cours mais n’ayant pas encore
débouché sur un amendement, seront aussi discutés.
Parution : avril 2010
77
Référence Internet
TE7376
1. Historique du standard – la couche physique radio basée sur la technique FHSS (Fre-
quency Hopping Spread Spectrum) permet d’obtenir un débit phy-
IEEE 802.11 sique de 1 Mbit/s et un débit physique optionnel de 2 Mbit/s ;
– la couche physique radio basée sur la technique DSSS (Direct
Spread Sequence Spectrum) permet d’obtenir des débits physi-
Avant de décrire l’historique de ce standard, il est important de ques de 1 et 2 Mbit/s.
clarifier la notion de standard et d’amendement. La couche DSSS est la plus implantée dans les cartes sans fil et
Il n’y a qu’un seul standard IEEE 802.11 en cours. Celui-ci est les points d’accès.
suivi de la date où il a été publié. Ce standard peut être mis à jour Une couche physique se décompose en deux parties :
grâce à des amendements.
– la sous-couche PMD (Physical Medium Dependent) qui implé-
Les amendements sont réalisés par les sous-groupes du groupe mente toutes les fonctions dont a besoin une couche physique
de travail IEEE 802.11. Ils sont dénotés par IEEE 802.11 suivi d’une donnée ;
lettre minuscule (correspondant à la dénomination du sous-groupe – la sous-couche PLCP (Physical Layer Convergence Protocol )
de travail associé). Le sous-groupe « m » a pour objectif la mise à qui réalise une correspondance entre les fonctions de la sous-
jour du standard. C’est lui qui combine le standard courant et les couche PMD et la couche MAC. La couche radio DSSS, couche la
différents amendements qui ont suivi afin de produire le nouveau plus populaire et implantée dans les cartes, ajoute notamment à
standard IEEE 802.11. chaque trame provenant de la couche MAC, un préambule PLCP
Le premier standard a été publié en 1997. Une nouvelle version afin de se synchroniser sur un signal détecté et déterminer le
a vu le jour en 1999. Il a été remis à jour en 2007 : il combine le début d’une trame, ainsi qu’un en-tête PLCP indiquant la modula-
standard précédent 802.11-1999 avec huit amendements. tion utilisée pour transmettre cette trame, la durée de la transmis-
Il n’y a qu’un seul standard IEEE 802.11 en cours. Ce standard sion de la trame ainsi qu’un champ de détection/ correction
d’erreur pour protéger le contenu de cet en-tête. L’en-tête PLCP est
4
(s’il n’est pas initial) est une mise à jour du standard précédent
avec les amendements qui l’ont suivi. IEEE 802.11-2007 est le stan- transmis avec un débit de 1 Mbit/s (on parle alors d’en-tête long,
dard en cours. voir figure 3).
Les couches physiques radio opèrent dans la bande de fré-
quence des 2,4 GHz (2,4835 GHz pour l’Europe et les États-Unis)
1.1 IEEE 802.11-1997 appartenant à la bande ISM (Industrial, Scientific and Medical Fre-
et IEEE 802.11-1999 quency Band), bande sans licence. Elle est découpée en 13 canaux
(14 pour le Japon) de 22 MHz. Deux canaux consécutifs sont sépa-
Le premier standard IEEE 802.11 a vu le jour en 1997. Il a ensuite rés de 5 MHz. Dans un tel système, des canaux se recouvrent donc
été révisé en 1999, donnant lieu au standard IEEE 802.11-1999. Un et seulement trois sont complètement indépendants.
certain nombre de règles présentes dans la version de 1997 et Le standard indique qu’il est possible d’utiliser deux canaux
redondantes ont été supprimées. simultanément si ceux-ci sont séparés d’au moins 30 MHz.
Les principales caractéristiques de ce standard sont :
– une description des architectures réseaux pouvant être mises 1.1.3 Couche MAC
en œuvre avec ce standard ;
– une description de plusieurs couches physiques qui Le standard IEEE 802.11 définit aussi le contrôle d’accès au
permettent la communication sur le médium radio ; médium (MAC) pour les points d’accès ainsi que pour les stations
– une description de couche MAC (Medium Access Control ). mobiles. Ce contrôle comprend l’authentification, l’association,
l’accès au médium ainsi qu’une procédure de chiffrement option-
nelle.
1.1.1 Architectures réseaux
L’accès au médium est une fonction très importante car elle
Dans ce standard, deux architectures sont possibles : indique à la station si elle peut émettre ou non. Deux modes sont
– l’architecture ad hoc qui permet à toutes stations à portée de définis dans ce standard :
communication de pouvoir transmettre entre elles. Un tel réseau – le mode PCF (Point Coordination Function) qui peut être utilisé
est autonome et ne nécessite aucune infrastructure. Il est aussi uniquement dans les architectures basées sur une infrastructure ;
dénommé, dans le jargon 802.11, IBSS pour Independent Basic – le mode DCF (Distributed Coordination Function) qui peut être
Service Set ; utilisé dans n’importe quelle architecture 802.11.
– l’architecture basée sur une infrastructure qui nécessite la
présence de points d’accès interconnectés par un système de C’est ce dernier mode qui est surtout implanté dans la plupart
distribution. Dans un tel réseau, les stations mobiles doivent pas- des cartes sans fil et points d’accès.
ser par le point d’accès auquel elles sont rattachées afin de pou-
voir communiquer. Les communications peuvent se faire entre des 1.1.3.1 DCF
stations hors portée de communication. Cette architecture permet Dans le mode DCF, le protocole d’accès au médium fait partie de
aussi aux stations mobiles de pouvoir accéder à d’autres réseaux, la famille des protocoles CSMA/CA (Carrier Sense Multiple Access/
par exemple Internet. Le réseau constitué d’un point d’accès et des Collision Avoidance). Avant d’envoyer ses données, la station
mobiles se trouvant sous sa zone de couverture est appelé BSS commence par attendre un temps (IFS, Inter Frame Space) fixe,
pour Basic Service Set. La combinaison de différents BSSs et du appelé DIFS (DCF IFS ), puis un temps aléatoire, appelé temps de
système de distribution permet de construire un réseau étendu. On backoff. Le backoff est initialement tiré aléatoirement dans un
parle alors d’ESS (Extended Service Set ). intervalle appelé fenêtre de contention dénotée [0;CWmin] pendant
lequel le médium doit rester libre. Si, au bout de tout ce temps, le
1.1.2 Couches physiques médium est effectivement resté libre, la station envoie sa trame,
sinon elle attend que le médium se libère et reprend le processus
La couche physique permet la transmission sur les liens de d’attente (fixe et aléatoire) quand le médium s’est libéré.
communication. Ce standard définit trois couches physiques : une Les données envoyées en mode point-à-point entre deux sta-
couche infrarouge et deux couches radio : tions sont acquittées. Si le récepteur reçoit correctement les don-
– la couche physique infrarouge permet d’obtenir un débit nées qui lui sont destinées, il envoie alors une trame de contrôle
physique de 1 Mbit/s avec une extension possible à 2 Mbit/s ; appelée trame d’acquittement (ACK), après un temps d’attente fixe
78
Référence Internet
TE7376
A B CFP
(durée variable) Trame balise
Figure 1 – Communication 802.11 entre deux stations A et B Figure 2 – Alternance des deux modes d’accès dans le mode PCF
dans le mode DCF de 802.11
appelé SIFS (Short IFS ). Si la source ne reçoit pas, au bout d’un Le mode PCF cohabite donc avec le mode DCF en alternant une
certain temps, la trame d’acquittement associée à la trame de don- période d’accès sans contention (appelée CFP, Contention Free
nées qu’elle vient d’envoyer, elle considère qu’il y a eu collision. Period, et gérée via la mode PCF) et une période d’accès avec
Elle va alors retransmettre sa trame selon l’algorithme BEB (Binary contention (appelée CP, Contention Period, et gérée via le mode
Exponential Backoff ). Cet algorithme consiste à doubler la taille de DCF). Chaque période sans contention démarre avec l’envoi d’une
la fenêtre de contention pour le tirage aléatoire, et ce à chaque trame balise par le coordinateur. L’émission de cette dernière se
retransmission. Si au bout de plusieurs essais de retransmissions fait périodiquement, ce qui définit le début de chaque période sans
(avec plusieurs tirages dans la fenêtre de contention maximale contention. La durée de la période sans contention est contrôlée
4
dénotée [0;CWmax]), la trame n’est toujours pas transmise avec par le coordinateur.
succès, l’émetteur la détruit. Les données envoyées en mode diffu-
La figure 2 illustre cette alternance. À la réception d’une trame
sion locale (mode broadcast dans lequel les données sont desti-
balise, les stations vont mettre à jour leur NAV afin de s’empêcher
nées à toutes les stations à portée de communication) ne sont pas
d’émettre selon le mode DCF pendant cette période sans
acquittées.
contention. À partir de ce moment, les communications se font du
La figure 1 donne un exemple de transmission entre les stations coordinateur vers une station ou d’une station vers le coordinateur
A et B. Pour la première trame, la station A tire un backoff de 0, et celui-ci contrôle toutes les transmissions. Il va donc envoyer des
donc le temps d’attente aléatoire est nul. Une fois la première paquets aux stations s’il en a ou inviter les stations à émettre. Une
trame acquittée, A peut émettre sa deuxième trame présente dans station invitée (via une trame de contrôle Poll) peut envoyer sa
son interface sans fil. Pour celle-ci, elle tire une valeur de 2 pour son trame de données juste après un temps fixe SIFS déclenché après
backoff. Elle attendra donc deux unités de temps pour son temps la réception de la trame de contrôle. La station, pas nécessaire-
aléatoire. La lettre S correspond au temps d’attente fixe SIFS. ment le coordinateur, recevant la trame de données peut l’acquit-
Ce standard définit aussi un mécanisme pour gérer les ter si cela est nécessaire.
configurations de stations cachées. Dans ces configurations, deux
stations qui ne s’entendent pas, et donc qui ne détectent pas leur Pour pouvoir inviter les stations à émettre, le coordinateur main-
activité réciproque et considèrent que le médium est libre, tient à jour une liste de stations à contacter. Chaque station
cherchent à envoyer des données à un même destinataire. Avant indique si elle veut être invitée durant la période d’accès sans
d’envoyer sa trame de données, la station émettrice envoie, selon contention pendant l’étape d’association (ou de réassociation). Le
le mécanisme décrit précédemment, un paquet de contrôle appelé coordinateur doit inviter au moins une station dans sa liste pen-
paquet RTS (Request To Send ) en mode diffusion locale qui indique dant la période d’accès sans contention. Si toutes les stations de
à tous ses voisins qu’elle cherche à communiquer avec un destina- cette liste ont été contactées pendant la période sans contention et
taire donné. Toutes les stations recevant ce paquet, sauf le destina- que le temps de cette dernière n’a pas expiré, il est possible d’invi-
taire concerné, vont s’empêcher d’émettre pendant toute la durée ter une nouvelle fois des stations dans la liste.
de la communication spécifiée dans ce paquet RTS en mettant à
jour son NAV (Network Allocation Vector ). Le destinataire, s’il n’est 1.1.3.3 Autres services
pas déjà bloqué par son NAV, répondra par un paquet de contrôle
CTS (Clear To Send ) s’il reçoit correctement le RTS. Ce paquet CTS La couche MAC comprend aussi d’autres services, comme des
est envoyé en mode diffusion locale et indique à toutes les stations services de sécurité (authentification et chiffrement par un méca-
à portée qu’une communication doit avoir lieu pendant le temps nisme WEP), la détection de réseau, l’association/dé-association à
indiqué dans ce paquet. Les stations touchées par le CTS mettent un réseau ou encore la fragmentation.
alors leur NAV à jour. L’émetteur, s’il reçoit avec succès le CTS,
considère que le médium est alors réservé dans son voisinage et Enfin, une trame 802.11 est constituée d’un en-tête MAC et des
dans celui du récepteur et qu’il peut donc envoyer ses données données utilisateurs. L’en-tête MAC indique, entre autres, le type
sans craindre une émission concurrente d’une station cachée. de la trame transmise (données, contrôle ou gestion), la durée cal-
culée pour la transmission, les adresses du destinataire et de la
1.1.3.2 PCF source et un numéro de séquence. La trame se termine par un
champ de détection d’erreur. La figure 3 décrit les différents
Le mode PCF fournit un transfert sans contention. Ce mode est champs d’un paquet de données IEEE 802.11.
optionnel et ne peut être utilisé que dans des réseaux sans fil
basés sur une infrastructure. Il nécessite donc la présence d’au Ces définitions constituent le socle de base des réseaux sans fil
moins une station de base qui va jouer le rôle de coordinateur. Ce IEEE 802.11. Par la suite, ce standard a très vite été complété par
dernier peut ainsi inviter les stations, rattachées à son réseau, à des amendements qui décrivent des technologies sans fil plus
transmettre leurs paquets (mécanisme de polling). Les trames de performantes, notamment en termes de débit physique. Certains
contrôle du coordinateur sont envoyées après un temps fixe, de ces amendements ont été très fortement suivis par les
appelé PIFS (PCF Inter Frame Space ) qui est plus petit que le constructeurs de cartes sans fil et de points d’accès et sont deve-
temps DIFS. Ceci assure que le coordinateur est prioritaire dans nus les recommandations à suivre de facto. Une mise à jour du
l’accès au médium sur des stations se trouvant dans un autre standard IEEE 802.11 en 2007 était donc plus que justifiée afin d’y
réseau recouvrant et fonctionnant selon le mode DCF. intégrer certains des amendements devenus très populaires.
79
4
80
Référence Internet
TE7377
81
Référence Internet
TE7377
1. Introduction aux réseaux terminaux eux-mêmes qui relaient le trafic d’un terminal à un autre
dans le cas où les terminaux sont trop éloignés l’un de l’autre pour
802.11 communiquer en direct. De par sa nature, ce réseau n’est pas
administré par un administrateur. Les terminaux peuvent quitter le
réseau ad hoc, ou d’autres le rejoindre. Le réseau ainsi créé est dit
La norme IEEE 802.11 est définie par différents amendements « sans infrastructure ». Il ne fait intervenir que des terminaux sans
802.11 (a, b, d, e, g, h, i, j) [1] [2]. Certains d’entre eux précisent fil dans son fonctionnement. Dans la norme 802.11, un terminal
l’utilisation de certaines bandes de fréquence avec les débits asso- sans fil est appelé STA pour station (cf. encadré 1), et ce mode
ciés, les autres la gestion de la qualité de service ou de l’itinérance est référencé sous le nom de IBSS pour Independent Basic
d’un terminal mobile. Ces amendements sont présentés plus en Service Set.
détail dans l’article [TE 7 376] des Techniques de l’Ingénieur. Quant
à l’amendement 802.11i dont l’objectif est de traiter de la sécurité
des réseaux IEEE 802.11, il se trouve détaillé dans la suite de cet
article.
Un autre amendement IEEE 802.11s est en cours de définition à
l’IEEE. Il s’intéresse aux réseaux mesh (ou maillés) qui s’appa- Internet
rentent à des réseaux quasi statiques filaires ou sans fil composés
de routeurs mesh qui peuvent servir de passerelles vers l’Internet,
ou bien, de relais au sein du réseau mesh. Le paragraphe 6 pré-
sente succinctement les réseaux mesh ainsi que les approches de Réseau
sécurisation de ces réseaux qui sont entrevues. d'accès
Le standard IEEE 802.11 définit deux modes de fonctionnement
d’un réseau sans fil : Serveur d'applications
STA AP
– le mode « avec infrastructure » (cf. figure 1) permet à un termi-
nal sans fil de se connecter à une infrastructure de réseau,
c’est-à-dire un réseau administré (par un administrateur d’un
réseau opérateur ou d’un réseau privé), en général filaire et dont Imprimante
l’accès est généralement contrôlé de façon stricte. Ce mode fait
intervenir un équipement qui réalise le filtrage de tout le trafic
issu/à destination du terminal, le terminal cherchant en général à Figure 1 – Réseau 802.11 – mode infrastructure
se connecter à Internet ou à des ressources locales au réseau. Cet
équipement est appelé « point d’accès » ou AP (Access Point ) dans
la terminologie IEEE 802.11 (cf. encadré 1). Dans la norme 802.11,
ce mode est également référencé sous le nom de ESS pour Exten-
ded Service Set ;
– le mode « ad hoc » (cf. figure 2) permet à des terminaux de
communiquer directement sans passer par une infrastructure STA STA
de réseau. Cela suppose que les terminaux sont physiquement
dans le même rayon de couverture. En mode ad hoc, les termi-
naux peuvent s’organiser pour former un réseau. Ce sont les Figure 2 – Réseau 802.11 – mode ad hoc
82
Référence Internet
TE7377
■ AP (Access Point) : point d’accès à un réseau auquel un ter- RSN (Robust Security Network ) ou RSNA (Robust Security
minal souhaite accéder pour se connecter à Internet ou pour Network Association ) font référence aux nouvelles fonctions
avoir accès à certaines applications gérées localement à ce de sécurité introduites dans la norme 802.11i, à savoir le chif-
réseau. Il s’agit d’un équipement doté généralement de deux frement des échanges sur le lien radio, l’authentification
interfaces réseau, une interface sans fil permettant de commu- 802.1X ou PSK (cf. § 3.3 et 3.4), l’établissement d’associations
niquer avec les terminaux sans fil (STA), et une interface le de sécurité entre les équipements (STA, AP) en vue de la sécu-
plus souvent filaire branchée sur un réseau. Si l’administrateur risation de leurs échanges, et le maintien du niveau de sécu-
du réseau d’accès (un opérateur, un administrateur d’un rité sur ces échanges.
réseau privé) veut contrôler l’accès à son réseau, il doit
configurer l’AP de telle sorte que le terminal doit s’authentifier
préalablement avant d’accéder aux ressources du réseau (par encadrés répertoriant l’un les clés cryptographiques (encadré 5) et
exemple : Internet, serveurs, imprimantes...). En cas d’authenti- l’autre, les associations de sécurité (encadré 4).
fication réussie, l’administrateur peut décider de limiter l’accès
Comme le montre la figure 3, la sécurité dans IEEE 802.11i se
à son réseau à certaines ressources. Pour cela, seront mises en
découpe en plusieurs étapes. Qu’un STA veuille se connecter au
œuvre au niveau de l’AP des règles de filtrage qui autoriseront
réseau d’accès par le biais de l’AP pour bénéficier des ressources
ou interdiront au terminal d’accéder aux ressources.
de ce réseau (imprimantes locales, serveurs d’applications, accès
Un AP intervient uniquement dans les réseaux IEEE 802.11 Internet...), ou bien qu’il veuille communiquer en direct avec un
en mode 802.11 « infrastructure ». autre STA, IEEE 802.11i prévoit que le STA s’authentifie préalable-
4
■ STA (pour STAtion) : terminal sans fil dont l’objectif est ment auprès de AP. L’AP effectue la vérification des éléments
d’établir une communication, soit directement avec un autre d’authentification fournis par le STA auprès d’un serveur d’authen-
terminal sans fil (situé dans sa zone de couverture), soit avec tification AS (Authentication Server ) qui a pour fonction de centra-
des équipements accessibles au travers du point d’accès. liser les demandes de vérification.
Notons que deux STA peuvent également communiquer au Cette authentification peut être réalisée de deux façons :
travers d’un autre STA s’ils sont trop éloignés l’un de l’autre – soit le STA dispose d’une clé partagée avec AS et l’authentifi-
pour établir une communication en direct. cation se fera sur la base de ce secret commun. Ce mode d’authen-
Un STA intervient dans les deux modes 802.11 tification est référencé dans 802.11i par PSK pour Pre-Shared Key ;
« infrastructure » et « ad hoc ». – soit le STA échange des messages 802.1X et emploie l’une des
méthodes d’authentification préconisées par 802.11i. Le protocole
en support à cette authentification est connu sous le nom EAP
(Extended Authentication Protocol ). Le rôle associé aux différents
2. Vue d’ensemble acteurs de 802.1X est présenté dans l’encadré 2.
83
Référence Internet
TE7377
Authentification
Échanges entre STA-AS au travers de AP
Transmission sécurisée
de PMK à AP par AS
Mode
ad hoc
STA-STA
Négociation de l’association
de sécurité STKSA entre STA-STA
4-Way Handshake protégés avec SMKSA
Clé STK
Paramètres Clé GTK
Extraction depuis la clé STK
RSN de STKSA et GTKSA
des clés SKCK, SKEK et TK
84
Référence Internet
TE7377
Figure 5 – Group Key Handshake pour mettre à jour la clé GTK (entre AP-STA à gauche/entre 2 STA à droite)
85
4
86
Référence Internet
H5325
1.
1.1
À retenir ......................................................................................................
Contexte et cadre techniques......................................................................
H 5 325 - 2
— 2
4
1.2 Bénéfices et risques ..................................................................................... — 3
2. Architecture des RFID et technologie ................................................ — 3
2.1 Étiquettes RFID ............................................................................................. — 3
2.2 Antennes....................................................................................................... — 5
2.3 Lecteur RFID ................................................................................................. — 5
2.4 Intergiciel ...................................................................................................... — 5
3. Standard EPCGlobal ................................................................................ — 5
3.1 Système de codification EPC ...................................................................... — 6
3.2 Classification des étiquettes RFID............................................................... — 6
3.3 Réseau EPCGlobal........................................................................................ — 6
3.4 Standard EPC de seconde génération (EPC Gen2).................................... — 7
4. Usages des RFID ....................................................................................... — 8
5. Risques et besoins en technologie RFID............................................ — 8
5.1 Atteinte à la vie privée ................................................................................. — 8
5.2 Problèmes de sécurité ................................................................................. — 9
5.3 Besoins de services de sécurité .................................................................. — 10
6. Verrous technologiques ......................................................................... — 10
7. État des lieux des solutions de sécurité ............................................ — 10
7.1 Standard EPCGen2....................................................................................... — 10
7.2 Solutions symétriques légères ................................................................... — 11
7.3 Solutions asymétriques ............................................................................... — 15
7.4 Analyse et synthèse ..................................................................................... — 15
8. Conclusions et perspectives ................................................................. — 16
Pour en savoir plus ........................................................................................... Doc. H 5 325
87
Référence Internet
H5325
Mais aussi, elle permet d’améliorer la traçabilité des produits, de mieux lutter
contre la contrefaçon, les vols dans un entrepôt, par exemple...
Cependant, de nombreux autres usages sont prometteurs, et pourraient
transformer le quotidien de notre société par l’automatisation de certaines
tâches de notre vie courante, par une meilleure adaptation de notre environne-
ment à nos besoins personnels...
Cet article présente les RFID sous l’angle technologique, mais aussi :
– de l’architecture réseau dans laquelle elles évoluent ;
– du standard EPCGlobal ;
– des différents usages possibles ;
– des risques encourus pour notre vie privée ;
– des verrous technologiques à lever ;
– des familles de solutions de sécurité aujourd’hui préconisées.
88
Référence Internet
H5325
1.2 Bénéfices et risques raison du manque de ressources de calcul sur les étiquettes RFID,
les solutions de sécurité qui ont fait leur preuve dans les systèmes
L’une des premières applications connues de la technologie d’information ne sont pas applicables. Les solutions de sécurité
RFID (Radio Frequency IDentification ) remonte à la seconde guerre pour RFID sont vulnérables à l’identification et traçage clandestin
mondiale, et servait comme système d’identification des avions de des marchandises, le clonage, les écoutes, et les attaques par
combats « friend or foe » (« ami ou ennemi »). relais. La technologie RFID nécessite donc que la communauté
scientifique s’intéresse à ce domaine pour améliorer la sécurité et
■ Avantages des systèmes RFID la protection des données personnelles des usagers.
L’intérêt pour cette technologie a resurgi plusieurs décennies
après, en vue de remplacer les codes-barres optiques, dans le
secteur de la logistique [1], et ce, pour automatiser les C’est en ce sens que la commission européenne a émis une
traitements : recommandation demandant que les applications RFID soient
– inventaire ; sécurisées, et que plus de recherches soient menées sur des
– contrôle d’expédition ; solutions de sécurité RFID à hautes performances et bas-coût.
– contrôle de réception ;
– suivi industriel en chaîne de montage.
• Les enjeux sont de taille, puisque, de la bonne résistance de
Ces mêmes traitements avec les codes-barres sont, en effet, ces parades techniques, découlera l’émergence possible de
beaucoup plus coûteux en temps, en main-d’œuvre et en flexibilité l’Internet des Objets (Internet of Things – IoT), c’est-à-dire : la pos-
d’usages. sibilité que chaque objet soit identifié, référencé et puisse interagir
avec un réseau de type Internet [RE 165], voire avec l’environne-
Exemple ment physique immédiat dans lequel il évolue.
4
Wal-Mart, qui est l’un des plus gros détaillants précurseurs de l’uti-
lisation de la technologie RFID, estime pouvoir réaliser des écono-
mies de plusieurs centaines de millions de dollars en limitant le
volume de ses marchandises perdues, et ce principalement, grâce à
la localisation de marchandises par RFID [NET].
2. Architecture des RFID
et technologie
• La petite taille des étiquettes RFID leur permet d’être implan-
tées à l’intérieur des objets, et l’identification par radio fréquence
L’architecture classique d’un système RFID, comme l’illustre la
permet de lire un très grand nombre d’étiquettes simultanément,
figure 1, est constituée de trois composants principaux :
et ce, dans des conditions visuelles ou environnementales diffi-
ciles. Grâce au facteur d’échelle, les étiquettes RFID sont très peu – une étiquette RFID ;
coûteuses (quelques centimes d’euros pour des étiquettes – un lecteur RFID ;
passives, contre plusieurs euros pour des étiquettes actives). – une base de données appelée très souvent « back-end » en
• Enfin, les 96 bits disponibles pour coder les identifiants RFID anglais.
permettent à chaque objet d’être identifié de façon unique. Cette Cette base de données sert à répertorier l’ensemble des
particularité rend possible le suivi d’un produit marchand dans ses étiquettes du système avec un ensemble d’informations associées
changements de localisation, et ce, dans le but premier à ces étiquettes. Les éléments d’informations sont propres au
d’améliorer la gestion de la chaîne logistique d’approvisionnement domaine d’application et peuvent contenir la localisation d’une
et de fabrication. étiquette RFID, le prix du produit porteur de l’étiquette, etc.
• De ces particularités des RFID, émergent deux familles d’appli-
cations selon le type d’étiquetage. Ainsi, pour les étiquettes visi-
bles et personnalisables, résultent essentiellement des Notons que le véritable apport des systèmes RFID ne vient
applications d’identification et de paiement : pas de la simple lecture des étiquettes, mais de l’obtention des
– les passeports ; informations attenantes à l’objet et dans un format exploitable,
– les cartes de télépéage ; et ce, pour servir une application particulière.
– cartes de crédits ;
– cartes d’accès ;
– dispositifs de suivi des animaux de compagnie et du bétail. Plusieurs standards ont été définis par l’ISO/IEC dans les années
2000 pour caractériser les technologies RFID sans contact en fonc-
• Les étiquettes furtives incrustées dans des produits visent, en
tion de leur portée, leurs fréquences, le protocole de transport
plus de faciliter les opérations de logistique à mieux lutter contre
(modulation, et techniques d’anti-collision). Les principaux
les vols et la contrefaçon de produits tels que : vêtements, médica-
standards sont rassemblés dans le tableau 1.
ments... À savoir, d’après Verisign [2], l’ensemble des vols commis
sur les chaînes d’approvisionnement représentent une perte de 30 Cette architecture à trois composants, qui correspond au modèle
milliards de dollars US par an. Un meilleur suivi des produits dans fonctionnel d’un système RFID au sein d’une entreprise, a été
la chaîne d’approvisionnement s’avère indispensable pour étendue par l’organisation mondiale, EPCGlobal pour organiser les
identifier et limiter les vols. informations à l’échelle mondiale, et répondre aux besoins de
La contrefaçon de produits est un problème économique localiser et tracer les objets (§ 3 et figure 1 [3]).
majeur, mais aussi de santé publique quand il s’agit de la
contrefaçon de produits pharmaceutiques. Devant la complexité
des chaînes d’approvisionnement que nous connaissons, l’authen- 2.1 Étiquettes RFID
ticité des médicaments est difficile à prouver. Les étiquettes RFID
peuvent être un moyen efficace d’atténuer la contrefaçon. Les étiquettes sont attachées à tout objet que le système RFID a
besoin d’identifier ou de tracer. Les étiquettes peuvent être placées
■ Risques et enjeux directement sur un objet individuel, ou bien sur le
• Les risques liés à l’utilisation des étiquettes RFID sont connus. conditionnement des objets (cartons, containers). Les étiquettes
La sécurité et la confidentialité des données est le principal existent en différentes formes et tailles. En anglais, les étiquettes
obstacle à leur adoption dans de nombreuses applications. En RFID sont désignées sous le terme de « tag ».
89
Référence Internet
H5325
ILE
AG
FR
Antenne
4 ISO/IEC18000-2
ISO/IEC 14443
40 mm
40 mm
125 KHz et 134,2 KHz (LF)
• Étiquettes passives
Elles n’ont pas de batterie intégrée. Elles sont composées
d’une micropuce et d’une antenne. La mémoire est utilisée
uniquement pour stocker un identifiant unique et quelques
informations supplémentaires. Les informations du tag
peuvent être lues par un lecteur RFID à une distance raison-
nable et sans nécessiter de visibilité directe. Ces étiquettes
sont alimentées par le champ électromagnétique du lecteur
pour communiquer et, éventuellement, pour effectuer des
Figure 2 – Étiquette RFID embarquée sur un ePassport calculs. De cette façon, puisqu’aucune énergie n’est localisée
sur l’étiquette passive, elle porte la mention d’« étiquette
passive ». Ainsi cette étiquette n’est pas en mesure de
■ Les étiquettes RFID sont classées en trois grandes familles –
communiquer, ni de calculer en l’absence d’un lecteur à proxi-
passives, actives, semi-passives – selon la source d’énergie qui les
mité.
alimente (cf. encart « Classifications des étiquettes RFID »). Ces
dernières années, ce sont les étiquettes RFID passives qui ont • Étiquettes actives
connu le plus vif succès du fait de leurs très faibles coûts. Le Elles disposent d’une batterie à partir de laquelle elles
passeport électronique, illustré à la figure 2, [1] en est un exemple peuvent effectuer des calculs et émettre un signal vers des
d’utilisation. lecteurs (ou d’autres étiquettes).
• Étiquettes semi-passives
■ L’étiquette qui a pour fonction première de transmettre des
données au reste du système RFID, contient généralement les Elles disposent aussi d’une source d’énergie qui est exclusi-
trois éléments suivants : vement utilisée pour effectuer des calculs (et non pour
émettre). Ce type d’étiquette combine les spécificités des tech-
– un circuit intégré électronique ; nologies RFID passive et active. Pour leurs communications,
– une antenne miniature ; les étiquettes semi-passives prennent l’énergie nécessaire des
signaux radio fréquence transmis par le lecteur.
– un substrat qui assemble le circuit intégré, l’antenne à l’objet.
90
Référence Internet
S8650
La technologie NFC
Principes de fonctionnement et
applications
par Ali BENFATTOUM
Ingénieur projet R&D
91
Référence Internet
S8650
European association for standardizing information and communication systems (anciennement European
ECMA
4
Computer Manufacturers Association)
GP Global Platform
HF High Frequency
NRZ Non-Return-to-Zero
92
Référence Internet
S8650
RZ Return-to-Zero
SE Secure Element
SP Service Provider
4
UHF Ultra High Frequency
1. Les principes et normes normes, dans lesquelles sont introduits de nouveaux modes de
communication, reposent en grande partie sur les normes déjà
du NFC existantes : ISO 14443A et JIS X6319-4.
Ces normes évolueront par la suite intégrant le type B de la
norme ISO 14443, utilisée notamment dans quelques réseaux de
transports publics. Aujourd’hui, la technologie NFC s’intègre dans
Interagir avec son environnement, échanger de l’information,
toutes sortes d’accessoires et d’équipements électroniques : télé-
valider son titre de transport et effectuer ses achats depuis son
phone mobile, téléviseur, haut-parleur, podomètre, etc.
mobile et d’un simple geste, sont quelques-uns des usages que
permet la technologie NFC. Le NFC est une technologie de commu-
nication sans contact à très courte portée fonctionnant à la fré-
quence de 13,56 MHz. Elle permet la communication et l’échange
1.2 De la RFID à la technologie NFC
d’informations à courte distance (< 10 cm) entre deux objets : un Comme nous l’avons vu précédemment, ces technologies sans
lecteur et une carte sans contact par exemple. Les principaux avan- contact, reposant sur le principe d’identification par radiofréquence
tages de cette technologie sont la rapidité, la simplicité d’utilisation (RFID), sont à l’origine de la technologie NFC. En effet, les normes
et la sécurité. Intégrée dans un téléphone mobile, elle permet de et les spécifications définissant une communication NFC héritent
lire le contenu de cartes sans contact ou d’étiquettes sans contact de normes et de standards issus de la RFID. D’ailleurs, le principe
(appelées « tag » ou « transpondeur »), de dématérialiser sur de communication en champ proche est déjà présent dans une par-
mobile les cartes sans contact : cartes bancaires, billets de trans- tie des systèmes RFID.
port ou cartes de fidélité, et d’échanger des données entre deux
terminaux. La RFID consiste en l’utilisation d’ondes électromagnétiques
rayonnantes ou d’un couplage de champ magnétique pour commu-
niquer vers ou à partir d’une étiquette selon différents schémas de
1.1 Origine du concept de NFC modulation et de codage afin de lire l’identité d’une étiquette de
radiofréquence ou d’autres données stockées sur celle-ci. Comme le
Le concept NFC voit le jour au début des années 2000. Sony et montre la figure 1, il existe plusieurs bandes de fréquences disponi-
Philips Semiconductors (devenu NXP Semiconductors) sont alors bles pour l’utilisation de systèmes RFID. Pour chaque fréquence de
les deux principaux fabricants de puces sur le marché des techno- ce spectre, il existe une multitude de normes définissant différents
logies sans contact. Philips domine largement le marché avec sa types de systèmes RFID fonctionnant à des distances plus ou moins
famille de produits Mifare, qui repose sur la norme ISO 14443A, importantes et avec des modulations et des codages différents.
appelée « type A » (nous verrons qu’il existe également Parmi les normes de communication existantes dans la bande de
l’ISO 14443B, appelée « type B »). La technologie de Sony, nommée fréquence 13,56 MHz (RFID HF), nous retrouvons les normes
« Felica », n’est quant à elle, pas reconnue par l’ISO (Organisation ISO 14443 et JIS X6319-4 (desquelles découle la technologie NFC)
internationale de normalisation) et doit se contenter d’une standar- et la norme ISO 15693. Cette dernière, appelée « vicinity », permet
disation japonaise : JIS X6319-4. une distance de communication plus importante (de l’ordre du
Sony et NXP (Philips) proposent alors en 2002, avec d’autres mètre) que les normes ISO 14443 et JIS X6319-4 (appelée « proxi-
industriels tels que Nokia et Sony Ericsson, les premières normes mity »). Ainsi, malgré une fréquence de fonctionnement commune
relatives au NFC : ECMA 340 (ECMA : European association for (13,56 MHz), ces normes ont chacunes des codages, des modula-
standardizing information) puis ISO 18092, cette dernière reprenant tions et des formats de trame différents (ces informations seront
quasiment à l’identique le contenu de la norme ECMA 340. Ces explicitées par la suite).
93
Référence Internet
S8650
RFID LF : 125 kHz - 134,2 kHz RFID UHF : 860 MHz - 960 MHz
Données
f0 = 13,56 MHz
4 Antenne Antenne
Couplage magnétique
Énergie
94
Référence Internet
H5390
4
1.3 Services de sécurité dans les RCSF......................................................... — 3
2. Gestion de clés dans les réseaux de capteurs sans fil ............... — 4
2.1 Classification des protocoles de gestion de clés dans un RCSF ........... — 5
2.2 Exemple d’un protocole probabiliste de gestion de clés....................... — 6
2.3 Exemple de protocole hybride de gestion de clés ................................. — 6
3. Sécurité du routage dans les RCSF .................................................. — 8
3.1 Attaques sur le routage dans un RCSF ................................................... — 8
3.2 Classification des solutions de sécurité du routage dans les RCSF ..... — 9
3.3 Exemple d’une solution centralisée ........................................................ — 9
4. Sécurité de l’agrégation des données dans un RCSF ................. — 10
4.1 Classification des solutions d’agrégation sécurisée dans un RCSF ..... — 10
4.2 Exemple de protocole de sécurité de bout en bout de l’agrégation..... — 10
4.3 Exemple de protocole de sécurité de proche en proche
de l’agrégation .......................................................................................... — 11
5. Conclusion............................................................................................... — 12
Pour en savoir plus ........................................................................................ Doc. H 5 390
95
Référence Internet
H5390
Cet article présente un état de l’art de la sécurité dans les RCSF. Nous mon-
trons que les principales causes de vulnérabilité de cette technologie découlent
des propriétés qui ont fait son succès. Nous présentons ensuite les attaques
qui résultent de ces propriétés, ainsi que les solutions proposées dans la litté-
rature. Ces solutions couvrent : la gestion de clés, la sécurité du routage et la
sécurité de l’agrégation. Elles sont analysées à la lumière des contraintes de
cette technologie.
1. Propriétés, vulnérabilités traitement des données. La station de base a deux interfaces : une
lui permettant de communiquer avec le RCSF et une autre avec
et sécurité des RCSF la station de traitement des données. Cette station joue un rôle
central dans les protocoles de sécurité vu ses ressources souvent
moins limitées que les autres nœuds du RCSF, et sa proximité au
système de contrôle et de traitement des données récoltées.
1.1 Architecture d’un RCSF
La figure 1 illustre l’architecture d’un RCSF. Les nœuds effec-
4 tuent des mesures grâce aux capteurs contrôlés par des program- 1.2 Genèse de la vulnérabilité des RCSF
mes embarqués dans la mémoire des nœuds et exécutés par leur
CPU. Ces données sont ensuite transmises via le réseau en pas-
sant par d’autres nœuds. On parle alors de communication en Les propriétés des réseaux de capteurs sans fil sont à double
multi-sauts ou routage. Un nœud, parfois plusieurs, appelé par la tranchant. Certes, elles permettent une grande facilité de déploie-
suite station de base (SB), joue le rôle de passerelle (commu- ment, mais elles rendent le système global de communication
nément appelée sink en anglais) entre le RCSF et une station de assez vulnérable à un certain nombre d’attaques.
Station de traitement
Lien Radio
Nœud
Station de base
96
Référence Internet
H5390
En effet, les principaux problèmes de sécurité dans les RCSF res ennemis dans des applications militaires, surveillance des feux
sont issus des propriétés qui les rendent efficaces et attrayants, à de forêts, monitoring d’activité volcanique, surveillance de niveaux
savoir : de radiation dans des installations nucléaires, etc.).
• Coûts réduits et miniaturisation Malheureusement, la communication sans fil multi-sauts intro-
duit de nombreuses failles de sécurité à deux niveaux différents :
4
Un des objectifs de conception des réseaux de capteurs sans fil
attaques sur la construction et la maintenance des routes, et atta-
est la surveillance de territoires épars, difficiles d’accès, tout en
ques sur les données, par écoute, injection, modification ou sup-
facilitant le déploiement de ces réseaux. Pour atteindre cet objectif,
pression de paquets de données. Ces attaques sont rendues
la taille d’un RCSF doit être suffisamment grande pour assurer une
relativement faciles à mener par la nature diffuse de la communi-
large couverture. De ce fait, le coût unitaire d’un nœud du réseau
cation sans fil. En outre, cette communication introduit d’autres
doit être suffisamment réduit pour que l’usage d’un RCSF
vulnérabilités au niveau des couches basses du réseau en ouvrant la
comportant des centaines, voire des milliers de nœuds soit écono-
porte à des attaques par brouillage du signal et de déni de service.
miquement viable. Ce choix économique couplé à un choix ergo-
nomique et opérationnel de miniaturisation de la taille des nœuds • Déploiement au sein de l’environnement physique
se traduit techniquement par une réduction des capacités des La plupart des applications de RCSF exigent un déploiement
nœuds : CPU, mémoire, alimentation énergétique, radio, etc. étroit des nœuds à l’intérieur ou à proximité des phénomènes à
Le tableau 1 illustre les capacités réduites de nœuds typique- surveiller. Cette proximité physique avec l’environnement conduit
ment utilisés dans des plateformes de RCSF. Cette rareté des res- à de fréquentes compromissions intentionnelles ou accidentelles
sources, de l’énergie tout en particulier, rend ce type de réseau des nœuds. Pour des raisons économiques, les nœuds d’un RCSF
une proie privilégiée des attaques par déni de service. Ce type ne peuvent être conçus pour garantir une protection physique
d’attaque peut cibler l’épuisement des batteries alimentant les inviolable. Par conséquent, un adversaire « bien équipé » peut
nœuds du réseau, la communication sans fil, ou toute autre res- extraire des informations cryptographiques des nœuds capteurs.
source du réseau afin de le rendre inopérant. Par ailleurs, la limita- Comme un RCSF est généralement sans surveillance humaine, le
tion des capacités (énergie, bande passante, mémoire) dans les risque d’attaquer les nœuds et de récupérer leur contenu est élevé.
RCSF a motivé le développement d’un mode de transport de don-
nées par agrégation.
L’agrégation permet aux nœuds du réseau d’effectuer des opé-
1.3 Services de sécurité dans les RCSF
rations sur les données reçues pour n’en transmettre que des
La figure 2 résume les problèmes de sécurité qui découlent des
informations utiles, et ainsi économiser les ressources qui auraient
propriétés des RCSF, ainsi que les fonctionnalités requises pour
été utilisées à la transmission des données brutes. Néanmoins, ces
une meilleure sécurité et robustesse de cette technologie.
données agrégées deviennent naturellement une cible privilégiée
des attaques, puisque leur falsification permet de nuire, non pas à Sont distingués quatre blocs fonctionnels de sécurité :
une mesure physique singulière effectuée par un capteur du • Gestion de clés cryptographiques
réseau, mais à une information agrégée issue d’une coopération
Il s’agit d’un service essentiel pour le fonctionnement des autres
d’un ensemble de capteurs du réseau.
services de sécurité. La gestion des clés permet d’assurer les fonc-
• Communication sans fil multi-sauts tions de génération, partage ou transport, renouvellement et révo-
Il s’agit d’un choix de conception économique et opérationnel cation des clés cryptographiques utilisées dans les différentes
visant la facilité et la réduction des coûts de déploiement et de opérations de chiffrement, d’authentification, de signature et vérifi-
maintenance de ce type de réseaux. En effet, les réseaux de cation utilisées dans les autres services de sécurité [H 5 210].
capteurs filaires ont été utilisés pendant des décennies dans des • Sécurité du transport des données
domaines divers comme l’agriculture, l’industrie et la santé. Ce service garantit une construction de routes sécurisées et un
Cependant, ces réseaux filaires présentaient l’inconvénient d’être transport sécurisé des paquets de données. Il s’appuie sur l’authenti-
difficiles à déployer et à maintenir avec un câblage encombrant. La fication des acteurs participants à l’opération de construction de rou-
transmission sans fil (par ondes électromagnétiques ou acousti- tes, le contrôle et la vérification des champs de signalisation du
ques pour les RCSF sous-marins) permet alors à ces réseaux de routage, comme le nombre de sauts (nombre de nœuds intermédiai-
s’affranchir du câblage et de ses inconvénients. La communication res entre une source et une destination d’une route) et autres métri-
sans fil multi-sauts, qui consiste à utiliser des nœuds intermédiai- ques, et l’authentification de l’origine des données.
res pour atteindre des destinations lointaines via un mécanisme de
routage, permet d’étendre la portée et la couverture de ces • Sécurité de l’agrégation de données
réseaux. En plus de fournir un déploiement simple et économique, Ce service typique aux réseaux de capteurs protège les données
elle possède l’avantage d’offrir l’accès à des endroits difficilement agrégées, qui sont une proie privilégiées des attaques vu leur
accessibles tels que des terrains accidentés et/ou hostiles (territoi- richesse informationnelle. On y distingue deux grandes catégories
97
4
98
Cryptographie, authentification, protocoles de sécurité,
VPN
(Réf. Internet 42314)
1– Cryptographie et stéganographie
2– Protocoles de sécurité
3– Technologies de VPN
Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
99
5
100
Référence Internet
H5510
Certification électronique
5
3.2 Objectif de la certification .......................................................................... — 5
3.3 Contenu d’un certificat............................................................................... — 5
3.4 Processus de certification .......................................................................... — 6
3.5 Hiérarchies de certification et vérification d’une chaîne
de certification ............................................................................................ — 6
3.6 Vérification d’un certificat.......................................................................... — 7
3.7 Révocation des certificats .......................................................................... — 8
3.8 Éléments de l’Infrastructure de Gestion de Clés...................................... — 8
3.9 Standardisation .......................................................................................... — 8
3.10 Aspects juridiques et réglementaires ....................................................... — 8
4. Sécurité et support des bi-clés et certificats ........................................... — 9
4.1 Dispositifs sécurisés de création de signature......................................... — 9
4.2 Vers la carte d’identité électronique ......................................................... — 9
5. Mise en œuvre d’une IGC .......................................................................... — 9
6. Utilisation des certificats........................................................................... — 10
6.1 Protocoles et formats utilisant les certificats ........................................... — 10
6.2 Applications employant des certificats..................................................... — 12
7. Conclusion .................................................................................................. — 14
8. Sigles, notations et symboles................................................................... — 14
Pour en savoir plus .............................................................................................. Doc. H 5 510v3
101
Référence Internet
H5510
5
d’illustrer notre propos, nous présenterons quelques protocoles standards de
communication ainsi que des applications pratiques faisant usage des certificats.
Nous insistons sur Internet parce que c’est le mode d’utilisation du réseau
présentant le plus de risques en termes de sécurité. Cependant, puisque la cer-
tification s’applique à tout mode d’utilisation et à tout protocole de réseau, elle
peut très bien être employée pour assurer l’identification d’utilisateurs d’une
même entreprise sur un réseau Intranet.
102
Référence Internet
H5510
1.1 Moyens classiques d’authentification Ce type de protection du contenu des échanges vis-à-vis des
tiers ne protège pourtant pas suffisamment un partenaire par rap-
Nous savons que l’authentification de l’auteur d’un document port à l’autre. En effet, l’un des deux partenaires peut ultérieure-
écrit s’appuie traditionnellement sur la signature manuscrite. À ment réfuter (« répudier ») le contenu des messages qu’il a
moins qu’il ne s’agisse d’un document authentique, nous connais- envoyés. Pour se protéger contre une telle contestation, il faut
sons tous le faible degré de fiabilité d’une telle signature. ajouter une signature électronique aux messages échangés. Nous
pouvons même obtenir une protection supplémentaire en faisant
Pour ce qui est de l’authentification des utilisateurs d’un sys- établir un acte authentique sous la supervision d’un notaire (voir
tème informatique, les organisations enregistrent, de façon tradi- § 6.2).
tionnelle, leurs utilisateurs et contrôlent leur accès aux
applications (sur un réseau Intranet généralement) à l’aide d’iden-
tificateurs (identifiants) et de mots de passe. L’identificateur per-
met de relier l’utilisateur à un individu, le mot de passe étant la
1.4 Intégrité des échanges
preuve de ce lien. Cependant, un mot de passe n’assure pas tou- Le maintien de l’intégrité des données échangées est un autre
jours la sécurité demandée car il présente les inconvénients élément important de la confiance. Il faut pouvoir s’assurer que
suivants : ces données n’ont pas pu être modifiées entre l’envoi par l’expé-
1/ il peut être observé au moment de sa frappe ; diteur et la réception par le destinataire, ni après que le destina-
2/ il peut être intercepté sur le réseau s’il n’est pas chiffré ; taire aura reçu le message. Nous verrons que la signature
3/ il ne permet une authentification que dans un seul sens car il ne électronique, en plus de fournir la non-répudiation (donc la
permet pas à l’utilisateur d’authentifier le serveur auquel il se preuve de l’origine du message), garantit aussi l’intégrité des
connecte ; données.
4/ il peut souvent être découvert par essai/erreur ;
5/ une fois l’authentification terminée sur le réseau, l’information
échangée par la suite n’est pas protégée contre une modification
éventuelle. Les données reçues ultérieurement par le serveur ne
proviennent pas forcément de l’utilisateur ayant présenté initiale-
2. Cryptographie à clé
ment son mot de passe ; publique
5
6/ les mots de passe doivent être stockés sur un serveur. Même
chiffrés, ils restent vulnérables car les utilisateurs assignent sou-
vent des mots de passe triviaux.
2.1 Techniques utilisées
Les points énumérés ci-dessus sont valables quel que soit le par la certification
type de réseau utilisé. Toutefois, Internet augmente encore le dan-
ger d’utilisation des mots de passe car le réseau utilisé est acces- Afin d’assurer la confiance dans les échanges dématérialisés et
sible à tous. Ainsi les fraudeurs peuvent soit « écouter » la ligne en particulier le commerce (au sens large) sur Internet, des tech-
de communication (point 2), soit modifier le contenu des mes- niques de cryptographie sont utilisées. Parmi celles-ci, la tech-
sages (point 5), soit se substituer à un vrai serveur pour en nique de cryptographie dite à clé publique est essentielle. Nous
extraire des informations confidentielles (point 3). allons rappeler ici quelques-unes des techniques utilisées
Enfin, avec Internet, les entreprises souhaitent fournir un accès [H 5 210] :
à un grand nombre d’utilisateurs qu’elles ne connaissent pas – le chiffrement et le déchiffrement de données par des tech-
nécessairement. Comment attribuer un nom d’utilisateur et un niques à clé secrète et/ou à clé publique ;
mot de passe à une personne que vous ne connaissez pas ? Nous – la technique de création de condensés d’informations obtenus
allons voir qu’il peut être plus simple, et plus sûr, de faire certifier par des opérations de hachage ;
l’identité de ces personnes par un tiers auquel l’entreprise peut se – la signature des messages échangés afin de permettre
fier. l’authentification de leurs émetteurs.
103
Référence Internet
H5510
des ordinateurs, c’est le 3-DES à clé de 128 bits qui est souvent uti- 2.2.4 Signature
lisé aujourd’hui ;
– l’AES (Advanced Encryption Standard) successeur du DES, La notion de signature numérique d’un message est fondamen-
adopté en 2001 par le NIST américain (National Institute of Stan- tale dans l’authentification de l’émetteur d’une transaction ainsi
dards and Technology). que dans la garantie de non-répudiation qu’elle procure. Elle
s’obtient en associant une opération de hachage et une opération
Le chiffrement symétrique permet de chiffrer de grandes quantités de chiffrement asymétrique, comme indiqué dans la figure 1 et le
de données avec des performances raisonnables. Toutefois il a pour processus décrit ci-dessous :
inconvénient de devoir partager la même clé entre l’émetteur et le
1/ création par l’émetteur d’un condensé du message par une opé-
destinataire du message. Il faut donc disposer de méthodes pour
ration de hachage ;
transmettre de façon sûre, à l’abri des écoutes indiscrètes, la clé utili-
2/ chiffrement asymétrique du condensé par la clé privée de
sée pour les échanges. Deux méthodes existent :
l’émetteur. Ceci constitue la signature, sorte de sceau numérique ;
– le transport de clés par chiffrement asymétrique décrit ci- 3/ envoi des deux informations (message et signature) au destina-
dessous ; taire.
– la méthode de Diffie-Hellmann dans laquelle chacun des parte-
naires génère, de façon cachée, une partie de la clé symétrique Le destinataire, à la réception de ces deux informations doit,
[H5210]. pour vérifier la signature, procéder ainsi :
4/ calcul à nouveau du condensé du message par le même algo-
rithme que celui utilisé par l’émetteur ;
2.2.2 Chiffrement asymétrique 5/ déchiffrement de la signature en utilisant la clé publique de
l’émetteur, ce qui permet de reconstituer le condensé créé par
Le chiffrement asymétrique porte aussi le nom de « chiffrement
l’émetteur ;
à clé publique ». L’un des partenaires de l’échange de messages
6/ vérification de la signature par comparaison des deux conden-
génère une bi-clé : une clé publique et une clé privée. La clé
sés ainsi obtenus. S’ils sont identiques, seul l’émetteur (le posses-
publique peut être donnée à tout le monde ; la clé privée est gar-
seur de la clé privée) a pu signer et envoyer ce message.
dée secrète par celui qui a créé la bi-clé.
L’opération de vérification de la signature suppose que le desti-
Dans le chiffrement à clé publique, les deux clés (privée et
5
nataire possède la clé publique de l’émetteur. Ce dernier pourrait
publique) sont reliées mathématiquement entre elles de telle sorte
la lui transmettre manuellement ou par courrier électronique sécu-
que tout message chiffré avec l’une des clés ne peut être déchiffré
risé. Si ce processus est envisageable à petite échelle quand les
que par l’autre clé. En outre, il est quasiment impossible (si la clé
interlocuteurs se connaissent, il n’est plus possible à grande
est suffisamment « longue ») de déduire la clé privée à partir de la
échelle car, alors, émetteur et destinataire ne se connaissent pas.
seule connaissance de la clé publique.
C’est pourquoi, le plus souvent, l’émetteur envoie sa clé publique
On voit ainsi que le chiffrement asymétrique simplifie la distri- en même temps que le message signé.
bution des clés, la clé publique pouvant être distribuée à tout le
Comment alors s’assurer que la clé publique ainsi échangée est
monde. Par contre, son utilisation est plus consommatrice de
bien celle de l’émetteur ? Nous voyons donc ici l’importance
puissance de calcul et de mémoire que le chiffrement symétrique.
d’une autorité externe, fiable, permettant de certifier la clé
Le chiffrement asymétrique est utilisé dans deux cas intéres- publique fournie par l’émetteur d’un message. Produire et signer
sants, bases de l’utilisation pratique des certificats que nous décri- un certificat contenant cette clé publique est précisément le rôle
rons plus loin : de la fonction de certification. La signature de cette autorité
– pour transporter une clé symétrique entre l’émetteur et le des- externe constitue cette preuve.
tinataire d’un message, facilitant ainsi l’utilisation du chiffrement Un sous-produit important de la signature est la conservation
symétrique ; de l’intégrité du message. En effet, un tiers qui modifierait le
– pour créer des signatures numériques. contenu d’un message signé serait, du fait qu’il ne possède pas
L’algorithme asymétrique le plus connu porte le nom de R.S.A. la clé privée du véritable émetteur, dans l’impossibilité d’y asso-
(du nom de leurs auteurs : Rivest, Shamir et Adleman, voir cier une signature valable. Sa vérification, exécutée comme
normes PKCS). Les tailles des clés utilisées peuvent aller de
512 bits à 2 048 bits suivant le degré de sécurité que l’on veut
atteindre (à ne pas comparer avec la taille des clés DES).
2.2.3 Hachage
Le hachage d’un message consiste en l’application d’une fonc-
tion mathématique qui permet d’en créer un condensé de taille
beaucoup plus petite que le message lui-même. La fonction de
hachage n’est donc pas réversible : il n’est pas possible de recons-
tituer le message à partir de son condensé.
La technique de hachage est utilisée pour préserver l’intégrité
d’une information en associant celle-ci à son condensé, ce dernier
étant éventuellement chiffré. La fonction de hachage est telle qu’il
est pratiquement impossible statistiquement de produire deux
messages dont les condensés seraient identiques. Le message et
son condensé sont donc liés : on ne peut pas modifier l’un sans
devoir modifier l’autre.
L’association du hachage et du chiffrement permet de réaliser la
fonction de signature décrite au § 2.2.4. C’est la technique essen-
tielle utilisée par l’infrastructure de gestion de clés. Figure 1 – Principe de la signature électronique
104
Référence Internet
H5530
La biométrie
Techniques et usages
par Bernadette DORIZZI
Chef du département électronique et physique
Institut national des télécommunications (INT)
Jean LEROUX LES JARDINS
Maître de conférences
École nationale supérieure des télécommunications (ENST)
Philippe LAMADELAINE
Chef de projet, Thales Security Systems
et Claudine GUERRIER
Maître de conférences, INT
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur H 5 530 − 1
105
Référence Internet
H5530
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
H 5 530 − 2 © Techniques de l’Ingénieur
106
Référence Internet
H5530
Apprentissage
Base
Extraction de
Capture de données
des paramètres
la caractéristique ou
les plus représentatifs
stockage
sur carte
Reconnaissance
Extraction
Capture de Comparaison
des paramètres
la caractéristique et décision
les plus représentatifs
5
Seuil de décision Vraisemblance être ajusté en fonction des caractéristiques souhaitées pour l’appli-
cation considérée (haute ou basse sécurité). En effet, plus le seuil
est bas, plus le système acceptera d’imposteurs. Plus il est élevé,
Figure 2 – Taux de vraisemblance des utilisateurs légitimes plus le système sera robuste aux imposteurs mais il rejettera alors
et des imposteurs d’un système de vérification biométrique plus de vrais utilisateurs. Chaque application nécessite de recal-
culer ce seuil pour l’adapter à la population spécifique considérée.
La courbe ROC (receiver operating characteristic) de la figure 3
permet de représenter la performance d’un système de vérification
FRR en termes de couples (FAR, FRR) en fonction des différentes
Haute sécurité valeurs possibles du seuil. Le taux d’erreur égale EER (equal error
rate ) correspond au point FAR = FRR et est souvent utilisé pour
mesurer la performance du système.
EER
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur H 5 530 − 3
107
Référence Internet
H5530
un taux de fiabilité suffisant pour permettre d’identifier les indivi- 2.1.1 Acquisition de l’image
dus dans de grandes bases de données. Utilisée depuis longtemps
dans le contexte policier, elle n’est pas toujours très bien acceptée
Ces dernières années ont vu l’apparition de différents types de
par les utilisateurs mais présente néanmoins un bon compromis
capteurs plus ou moins perfectionnés et coûteux [1] :
entre les contraintes d’utilisation et la fiabilité recherchée. Son uti-
lisation dans des applications identifiées est cependant quelquefois — optique : une source lumineuse diffuse de la lumière sur
refusée par la Commission nationale de l’informatique et des liber- le côté gauche d’un prisme sur lequel un doigt est placé. Les diffé-
tés (CNIL) qui craint un détournement possible des systèmes asso- rences de réflexion entre les crêtes et les vallées fournissent une
ciés. Elle est constituée par les dessins des crêtes et des vallées de image du dessin papillaire à destination d’un capteur après focali-
la peau des doigts dans des orientations particulières. Le motif sation par une lentille. Les images obtenues sont de bonne qualité
obtenu présente également des variations limitées permettant mais ce type de capteur ne permet pas de différencier les vrais
d’opérer une classification. Le FBI, par exemple, utilise plusieurs doigts des bonnes imitations. De plus, la personne laisse des
classes pour caractériser les dessins obtenus : arche (arch ), boucle traces sur la vitre qui peuvent être réutilisées ;
(loop ) à gauche ou à droite, spirale ou tourbillon (whorl ). La bou- — capacitif : le doigt est placé sur un maillage de pixels sen-
cle représente les deux tiers de la population mondiale, le tour- sibles aux petites charges électriques créées entre le capteur et la
billon moins d’un tiers et les arches entre cinq et dix pour-cent. surface des crêtes (constituées d’eau) et des vallées (air). Une
image de bonne qualité peut alors être construite. Ces capteurs
Quelles sont les caractéristiques qui rendent une empreinte
sont sensibles aux décharges électrostatiques, mais très largement
unique ? À la base, une empreinte présente des crêtes (ridges ) ou
utilisés en raison de leur taille réduite ;
monts et des vallées (valleys ) ou sillons (furrows ). Ces deux struc-
tures sont duales l’une de l’autre. La structure de ces éléments est — ultrasons : une onde radio ultrasonore impulsionnelle de
visible sur chaque image d’empreinte (figure 4). faible intensité est transmise au doigt et un récepteur analyse le
signal réfléchi. Le doigt reste en contact avec une plaque. Cette
Pour permettre les traitements de comparaison ( matching ), technologie reposant sur la couche de peau présente sous la sur-
l’objectif est de repérer des caractéristiques particulières appelées face du doigt est résistante aux attaques par doigts artificiels. Ces
minuties, consistant en terminaisons (ridge endings ) ou ramifica- capteurs sont coûteux et volumineux ;
tions de crêtes (bifurcations) (figure 5). Chaque empreinte est ainsi — piézo-électrique : on peut élaborer un capteur sensible à la
caractérisée par la position et le type de ses minuties. On cherche pression qui produit un signal électrique quand le doigt appuie sur
également à trouver l’orientation locale (sous la forme d’un angle) la surface. Les distances variables des crêtes et des vallées de la sur-
5
du sillon sur lequel se trouve le point. L’extraction des minuties face créent des courants variables. Cette technique présente une
permet non seulement de caractériser efficacement une empreinte assez mauvaise sensibilité ;
digitale mais aussi d’obtenir un condensé de l’empreinte occupant — thermique : des matériaux pyroélectriques qui convertissent
presque mille fois moins de place que l’image initiale. une différence de température en une différence de tension sont uti-
Le processus de vérification des empreintes digitales comporte lisés. La différence de température entre les crêtes et les vallées
plusieurs étapes. La première consiste en l’acquisition d’une image donne un dessin de l’empreinte. Cette technique présente de
de l’empreinte réalisée avec un capteur. La deuxième étape est nombreux avantages en terme de fiabilité et de facilité d’utilisation
l’extraction des minuties (qui correspondent aux gabarits pour et elle permet de détecter facilement les moulages. Mais l’image
cette modalité) à partir de cette image. Pour procéder ensuite à la obtenue disparaît très vite : en un dixième de seconde, le doigt et
vérification, il faut pouvoir comparer la minutie extraite à un le détecteur arrivent à la même température.
échantillon de référence préalablement obtenu pour décider si les
Deux procédés peuvent être utilisés lors de la capture : soit le
deux minuties représentent bien la même empreinte. Cette étape
doigt est statique, posé sur un support qui englobe toute
est celle de la comparaison des minuties.
l’empreinte et l’image est acquise en une fois, soit le doigt glisse
sur un support beaucoup plus petit et l’image est acquise par tran-
ches pour être ensuite reconstituée.
Exemple : pour donner une idée des temps d’acquisition, prenons
Image
le cas d’un lecteur connectable à un port USB qui comporte un capteur
capacitif sur silicium de dimensions 15 mm × 15 mm doté d’une réso-
Doigt lution de 500 dpi. Sa masse est de 85 g.
Capacités
L’acquisition d’une nouvelle empreinte se réalise en un temps de
l’ordre de la seconde. Un capteur de type optique pourrait être utilisé
dans les même conditions.
Silicium
L’acquisition de l’image de l’empreinte digitale correspond à la
génération sur l’ordinateur hôte d’un fichier d’une taille de 90 ko
Figure 4 – Image d’empreinte digitale obtenue correspondant à 300 pixels × 300 pixels sur 256 niveaux de gris
à l’aide d’un capteur capacitif sur silicium (codés sur 8 bits). L’étape suivante consiste à extraire les caracté-
ristiques essentielles de cette image sous la forme la plus compacte
possible en terme de capacité mémoire.
Terminaison
Bifurcation 2.1.2 Extraction des minuties
L’extraction automatique des minuties [2] [3] correspond à un
traitement particulièrement critique, en particulier avec des cap-
teurs de qualité moyenne où le bruit et l’absence de contraste peu-
vent générer des configurations de pixels similaires aux minuties
ou aussi cacher de vraies minuties. Plusieurs traitements successifs
sont nécessaires : normalisation du contraste, détermination des
orientations locales, estimation de la distance entre crêtes, élimi-
Figure 5 – Éléments caractéristiques visibles nation du fond. Puis, l’image obtenue est filtrée à l’aide de filtres
sur l’image agrandie d’une empreinte de Gabor, qui rendent l’empreinte plus robuste au bruit et aux
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
H 5 530 − 4 © Techniques de l’Ingénieur
108
Référence Internet
H5530
acquisitions de faible qualité en accentuant les différences. Ces fil- réalisée accepte toutes les rotations du doigt sur le capteur et tou-
tres agissent comme des passe-bande éliminant le bruit et préser- tes les translations verticales et horizontales pourvu qu’il existe
vant la véritable structure des crêtes et des vallées. Ils sont sélectifs une surface commune à deux empreintes.
sur les fréquences et les orientations. Le traitement de la comparaison consiste à calculer un score
L’image est ensuite binarisée par utilisation d’effets de seuil. On représentant la probabilité pour que les deux jeux de minuties pro-
procède alors à un traitement d’amincissement (squelettisation) viennent du même doigt. On définit pour chaque minutie un cercle
réduisant l’épaisseur des traits (de crête) à un pixel, ce qui permet de décision à l’intérieur duquel on détermine la proximité relative
par la suite de trouver plus facilement les extrémités et les ramifi- ou le recouvrement des deux points supposés homologues à l’aide
cations des crêtes. d’une métrique (étude sur les positions) : plus les points sont pro-
ches dans la mise en correspondance, plus le score attribué est
L’opération précédente laisse intactes les imperfections structu-
élevé. Le même procédé est appliqué à l’orientation de chaque
relles de l’empreinte originale : crêtes morcelées ou interrompues,
minutie. Plus la direction est semblable, meilleur est le score. On
crêtes parasites, trous. Il est nécessaire de reconnecter les lignes
totalise le score obtenu pour l’ensemble des minuties, ce qui
de crêtes brisées et de supprimer les imperfections restantes. Cette
conduit à prendre la décision d’appartenance ou non des deux jeux
amélioration utilise des connaissances générales sur les emprein-
de minuties au même doigt. La valeur du seuil utilisé pour prendre
tes révélées par les experts à partir d’études statistiques.
la décision influence les résultats statistiques obtenus ainsi que le
Les minuties sont faciles à localiser dans une image squelettisée. type d’application visé. Toute comparaison obtenant un score supé-
Les points caractéristiques des minuties sont les points terminaux rieur ou égal à un seuil correspond à une authentification réussie.
et les points de bifurcation. En général, 10 à 50 minuties sont La vitesse d’obtention (inférieure à la seconde) du résultat est le
extraites d’une image brute d’empreinte digitale. Chaque minutie principal atout de cette solution implantée sur un ordinateur per-
est caractérisée par sa position et son orientation (angle existant sonnel. La figure 7 présente deux empreintes d’un même doigt
entre la principale crête et l’axe horizontal). Seules les positions et que l’on cherche à comparer. On observe pour chaque minutie
les orientations des minuties trouvées sont stockées car elles ont détectée les cercles de décision associés.
la propriété de bien caractériser ou représenter l’empreinte L’aptitude d’un système de vérification basé sur les empreintes
originale. digitales à prendre une décision est caractérisée par deux
paramètres : le taux de fausse acceptation FAR et le taux de faux
rejet FRR.
2.1.3 Comparaison des minuties
Ce traitement correspond à la comparaison de deux jeux de
minuties : celui de référence (template ) acquis lors de la phase
Dans cette perspective, il est important d’avoir une idée de l’effi-
cacité des traitements que l’on met au point. L’université de
Bologne en Italie a pris l’initiative de mettre sur pied une compé-
5
d’enrôlement (enrollment ) et celui d’essai (test ) acquis lors de tition permettant de quantifier les performances des algorithmes
l’authentification (figure 6). Le traitement automatisé mis en œuvre au niveau international. Cette compétition nommée FVC (Finger-
doit fournir une évaluation de la probabilité, sous la forme d’un print Verification Competition) [4] regroupe des participants appar-
score, que ces jeux représentent la même empreinte. La tâche est tenant aussi bien à l’université qu’à l’industrie.
relativement complexe pour plusieurs raisons : certaines minuties La comparaison effective des minuties peut s’effectuer soit sur le
peuvent manquer, l’image de l’empreinte peut avoir tourné ou terminal de saisie de l’empreinte, soit sur une carte à puce, soit
avoir été translatée, de « fausses » minuties peuvent être apparues. également dans les deux dispositifs à la fois. Ces aspects seront
On essaie de mettre en relation toute paire de minuties (l’une développés dans le paragraphe 3.
appartenant au jeu de référence et l’autre au jeu d’essai) pour
déterminer le nombre d’entre elles qui rentrent en correspondance.
Le score final qui traduit la ressemblance des deux empreintes est
une fonction du nombre de minuties en correspondance et du
nombre de minuties total. On cherche à obtenir que l’implémentation
Référence
Extraction Comparaison
Image Score
des Minuties
initiale
Essai minuties
Figure 6 – Méthode de comparaison d’empreintes Figure 7 – Comparaison de deux empreintes d’un même doigt
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur H 5 530 − 5
109
Référence Internet
H5530
2.1.4 Perspectives J. Daugman [6]. L’iris est la zone colorée visible entre le blanc de
l’œil et la pupille. Les stries apparentes ainsi que leur répartition
L’empreinte digitale représente déjà 50 % du marché de la bio- sont stables durant la vie de l’individu. Les observations et les tra-
métrie. Les projections à 10 ans prévoient une augmentation. Plu- vaux de biologie ont confirmé l’unicité de l’iris et sa stabilité, une
sieurs technologies sont en concurrence pour réaliser l’acquisition fois l’adolescence passée. L’iris n’est pas lié à l’ADN : les deux iris
de l’empreinte digitale. La plus répandue mais aussi la plus d’un même individu ou de jumeaux sont différents.
coûteuse s’appuie sur l’optique mais elle est concurrencée par une
Certaines maladies peuvent toutefois affecter l’apparence de
nouvelle génération de capteurs, aux dimensions réduites, dits
l’iris. Celui-ci offre la possibilité de détecter des tentatives de
capacitifs, qui enregistrent les modifications du champ électrique
fraude en raison de muscles en action permanente provoquant une
entre les crêtes et les vallées grâce à des puces de silicium bon
oscillation au niveau du diamètre de la pupille. Ce mouvement
marché. La menace des faux doigts en résine synthétique amène
peut être testé lors de l’acquisition de l’image de l’iris.
les industriels à développer sans cesse, dans le domaine des lec-
teurs d’empreintes, une palette très large de solutions susceptibles Alphonse Bertillon s’était déjà intéressé à cet organe dès 1893.
de sécuriser cette acquisition. Ce qui caractérise l’emploi des Deux ophtalmologues, Safir et Flom, brevetèrent le concept de
empreintes digitales, c’est leur facilité d’acquisition qui entraîne l’identification par l’iris en 1987. Ils ont créé en 1990 la société
une bonne acceptation de la part des utilisateurs, surtout Iriscan, propriétaire de l’algorithme de reconnaissance élaboré par
lorsqu’elle n’est pas associée à leur identité (cas des systèmes de J. Daugman de l’université de Cambridge. La figure 8 présente
contrôle d’accès qui travaillent sur les gabarits d’empreinte sans des images d’iris acquises respectivement en lumière visible et
faire le lien avec l’identité associée). Aucune difficulté particulière infrarouge. On remarque la meilleure qualité de l’infrarouge
n’est relevée pour placer un doigt sur le capteur qui procède à la (figure 8b ).
lecture de l’empreinte. Comme la procédure est simple, le taux Bien que de dimension réduite (11 mm de diamètre), la texture
d’erreur dans cette phase d’acquisition est faible. Toutes ces rai- de l’iris possède l’immense avantage de présenter une variabilité
sons expliquent le succès de cette modalité biométrique. considérable entre tous les individus.
5
visage des personnes qui l’entourent. C’est pourquoi cette moda- Les algorithmes décrits par John Daugman à partir de 1993
lité nous apparaît comme tout à fait naturelle, d’autant plus que servent de base aux systèmes de reconnaissance d’iris disponibles
des photos ornent nos documents d’identité. Différents types au niveau commercial. Ils concernent le codage de la texture de l’iris
de caméras et d’appareils photo, de qualité et de coût variables, en une signature appelée iriscode et les traitements de comparaison
sont apparus sur le marché, permettant d’adapter la qualité des que l’on souhaite effectuer entre les iriscodes calculés. On se
images aux conditions d’usage. Pourtant, aujourd’hui, c’est contentera ici d’une description simplifiée du matériel employé et
seulement lorsque le sujet est fixe et que les conditions d’environ- des traitements mis en œuvre dans la reconnaissance d’iris.
nement sont standards (fond uniforme, éclairage suffisant) que les
systèmes informatiques donnent de bons résultats. Si l’acquisition ■ Acquisition de l’image de l’iris : la petite taille de l’iris impose des
a lieu en environnement naturel, sans contraintes imposées, les contraintes au niveau de l’acquisition : la caméra est située à une
performances se dégradent considérablement car les variations certaine distance, fixe, de l’œil et les conditions d’enregistrement
personnelles (lunettes, chapeaux, moustaches) ou environnemen- doivent être figées de manière stricte, en particulier pour éviter
tales (éclairement, éloignement) sont encore mal prises en compte
par les systèmes informatiques. Ainsi, les résultats des évaluations
proposées par le National Institute of Standards and Technology
(NIST) [5] sur les bases de données collectées lors du Facial
Recognition Vendor Test (FRVT) montrent que les systèmes
sont très sensibles aux variations d’illumination et de pose. C’est
certainement le domaine sur lequel la recherche va se concentrer
dans les années à venir, compte tenu d’une demande importante
du marché.
Schématiquement, les technologies s’appuient sur deux méthodes :
— la recherche des caractéristiques principales du visage (écart
entre les yeux, largeur de la bouche, triangle nez-bouche-yeux). A
priori, ces informations devraient être mesurables et relativement
insensibles aux variations personnelles ; a caméra CCD
— l’analyse globale de l’image du visage par des techniques sta-
tistiques.
L’identification fonctionnant sur la reconnaissance faciale, inté-
grée dans les systèmes de vidéosurveillance, permettra d’alerter
les opérateurs sur la reconnaissance dans l’image d’un individu
recherché et préalablement répertorié dans un serveur de base de
données. Un suivi de la personne ainsi identifiée, au moyen de
caméras situées sur son passage, pourra alors être envisagé. Il faut
toutefois noter que les premiers essais, avec la technologie
actuelle, de ce genre de système s’avèrent très décevants et loin de
pouvoir conduire à une utilisation réelle.
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
H 5 530 − 6 © Techniques de l’Ingénieur
110
Référence Internet
H5535
Méthodes d’authentification
Description, usages et enjeux
111
Référence Internet
H5535
5
codage (matrice), une représentation mathématique
fiés au préalable. d’empreinte digitale, etc. Le crédentiel est généralement stocké
• Le contrôle d’accès englobe les fonctions : sur un support physique d’authentification individuel côté utili-
sateur et dans une base de données des utilisateurs autorisés
– d’identification ; côté serveur.
– d’authentification ;
– d’autorisation ;
– de journalisation ou comptabilité (accounting, logs ). La quatrième catégorie est l’ingénierie sociale qui vise à tromper
la vigilance de l’utilisateur en l’amenant astucieusement à révéler
• La signature numérique, quant à elle, est une technique volontairement ses mots de passe, ses codes ou ses secrets, ou
cryptographique qui permet d’assurer l’intégrité d’un message ou bien encore à les deviner. En effet, les utilisateurs choisissent sou-
document et l’authentification de l’émetteur de ce message ou vent des mots de passe faibles (courts, simples, classiques) ou qui
document. leur correspondent (prénom des enfants, dates de naissance, nom
• Le SSO (Single Sign On ) ou « authentification une fois » du chien de la maison, nom de l’artiste ou du sportif préféré...) afin
n’est pas une fonction de sécurité comme on le croit souvent, mais de les retenir plus facilement.
un service de propagation de l’authentification valide d’un utilisa- Enfin, la cinquième est l’attaque dite « à force brute » qui
teur auprès d’applications multiples. Lorsque ces applications font consiste, par exemple, à essayer systématiquement et automati-
partie d’un même système d’information (ensemble régi par une quement tous les mots de passe possibles ou toutes les clés de
politique de sécurité commune), on parle de SSO intra-domaine. chiffrement jusqu’à trouver les bons. Comme les mots de passe
Lorsque ces applications font partie de systèmes d’information dif- utilisés sont souvent courts (moins de 8 caractères) et simples
férents (ensemble régi par des politiques de sécurité différentes), (lettres et chiffres), l’attaque à force brute est souvent très efficace.
on parle de SSO inter-domaine.
Le SSO diminue les contraintes et facilite la vie de l’utilisateur.
Le SSO renforce la sécurité lorsqu’un dispositif d’authentification 1.3 Facteurs d’authentification
forte remplace une multitude de couples identifiant-mot de passe. des personnes
Le SSO affaiblit la sécurité en ce qu’une usurpation d’identité réus-
sie par un pirate lui donne accès à l’ensemble des applications Les quatre facteurs d’authentification des personnes sont :
concernées. En effet, une seule authentification valide suffit pour
que l’utilisateur soit ensuite automatiquement authentifié auprès – ce que l’on est (la biométrie comme une empreinte digitale,
des autres applications. La propagation automatique d’une authen- palmaire, iris oculaire, voix, ADN...) ;
tification valide à l’ensemble des ressources disponibles ne favo- – ce que l’on possède (un support d’authentification physique
rise pas la protection par cloisonnement du système. Ce dernier comme une clé) ;
cas s’applique notamment lorsque c’est l’identité centrale de l’utili- – ce que l’on sait (un code, un mot de passe...) ;
sateur gérée par un fournisseur d’identité ou IDP (ID Provider ) qui – ce que l’on sait faire (une signature manuscrite).
est usurpée. La combinaison de deux facteurs au minimum est l’une des
conditions (mais pas la seule) d’une authentification forte.
L’authentification sera réputée forte s’il est difficile d’usurper
1.2 Principales attaques l’identité d’un utilisateur autorisé à qui l’on a fourni au préalable
contre l’authentification un moyen d’authentification. S’il est relativement facile pour un
attaquant de contourner, de biaiser, de tromper ou de casser le
La façon la plus simple et la plus utilisée par les utilisateurs pour procédé d’authentification, comme c’est le cas pour les couples
s’authentifier est la saisie d’un identifiant unique (pseudo, adresse identifiant-mot de passe, on parlera plutôt d’authentification
courriel...) et d’un mot de passe dans un formulaire présenté par faible.
112
Référence Internet
H5535
Un mot de passe est associé à un identifiant. Un code (comme le théorie de traitement spécial. Par contre, les clés privées sont
code PIN de nos cartes à puce bancaires) est associé à un élément confidentielles et doivent rester secrètes. Afin d’éviter qu’un atta-
personnel. PIN est d’ailleurs l’acronyme de Personal Identification quant ne puisse utiliser la clé privée contenue dans un fichier,
Number. Le terme français utilisé est « code secret » (parfois celle-ci est souvent chiffrée avec un algorithme symétrique et un
« code confidentiel »). Un code d’accès n’est pas personnel, il est mot de passe : l’utilisateur doit saisir le bon mot de passe pour
associé à l’objet ou au lieu qu’il sécurise. Le même code d’accès pouvoir utiliser la clé privée, c’est-à-dire avant un déchiffrement ou
est commun à toutes les personnes autorisées. C’est le cas des une signature. Dans la pratique, même les clés publiques doivent
« digicodes » qui protègent l’accès de nos immeubles. faire l’objet d’un traitement spécial. L’appartenance de la clé
Le mot de passe à usage unique ou OTP (One-Time Password ) publique par son propriétaire légitime doit être certifiée par une
est un cas particulier. Une des principales attaques sur un réseau, autorité de certification, clé de voûte des IGCP (infrastructures de
qu’il soit local ou étendu, est l’écoute de ligne. Elle est facile à réa- gestion de clés publiques) plus connues sous le terme anglais de
liser, peu coûteuse et difficile à détecter. Tous les couples PKI (Public Key Infrastructure ).
identifiant-mot de passe qui sont envoyés depuis un terminal vers
un serveur peuvent être lus par un analyseur réseau, stockés et/ou 1.4.3 Tables de codages
envoyés à l’attaquant. Une fois en possession du précieux sésame,
l’attaquant n’a plus qu’à rejouer le même couple pour se faire pas- Les tables de codages sont des dictionnaires de caractères géné-
ser pour l’utilisateur légitime et ainsi usurper son identité. Que le rés de façon pseudo-aléatoire. Elles permettent d’authentifier les
mot de passe qui transite sur ce réseau soit haché ou chiffré ne utilisateurs en mode défi-réponse suivant le principe dit de la
change pas grand-chose à l’affaire. En effet, le mot de passe chiffré « bataille navale » : le défi correspond à des coordonnées de la
peut être lu, puis rejoué directement dans un paquet IP et sa valeur table tirées au hasard et la réponse correspond à la valeur trouvée
sera déchiffrée à l’arrivée par le serveur. L’attaquant ignore simple- dans la table aux coordonnées de ce défi.
ment la valeur en clair du mot de passe et ne peut donc pas la sai-
sir dans le formulaire d’authentification prévu à cet effet. Mais il Par exemple : si la valeur trouvée aux coordonnées A8 de la table
peut quand même forger un paquet IP avec le cryptogramme (la est W, alors W est le mot de passe à usage unique qui correspond à
valeur chiffrée) du mot de passe et tromper le serveur. Par contre, ce défi particulier A8.
si le mot de passe utilisé est généré ou calculé à chaque fois, sa
valeur n’est pas réutilisable pour la transaction suivante. La récu- Lors de la prochaine transaction, un nouveau défi sera généré
5
pération de ce mot de passe par l’attaquant lors de la transaction (nouvelles coordonnées) et donc une nouvelle réponse sera calcu-
en cours ne lui est plus d’aucune utilité. C’est pourquoi on parle de lée (valeur(s) trouvée(s) dans la table à ces coordonnées) et ainsi
« mot de passe à usage unique ». de suite. Les tables de codage permettent également de chiffrer
des clés de session de façon probabiliste, c’est-à-dire que le cryp-
togramme d’une même clé sera différent d’une fois sur l’autre,
1.4 Principes cryptographiques même si la table de codage et le code secret utilisés sont les
mêmes.
La cryptographie sert de base aux méthodes d’authentification.
Les principes cryptographiques utilisés permettent de distinguer
les différentes méthodes.
1.5 Protocoles d’authentification
Les trois principes cryptographiques sont :
– l’algorithmie symétrique ;
1.5.1 Liste des protocoles d’authentification
– l’algorithmie asymétrique ;
– les tables de codage. Il existe de nombreux protocoles d’authentification.
Les acronymes les plus souvent rencontrés sont :
1.4.1 Algorithmie symétrique – PAP (Password Authentication Protocol ) est le protocole clas-
sique avec utilisation d’un mot de passe statique ;
L’algorithmie symétrique (aussi appelée « chiffrement à clé
– CHAP (Challenge Handshake Authentication Protocol ) désigne
secrète partagée ») [H 5 210] consiste à utiliser la même clé pour le
le protocole défi-réponse où le défi envoyé est un nombre aléa-
chiffrement et le déchiffrement. Le chiffrement consiste à appliquer
toire et la réponse dépend d’un mot de passe ;
une opération (algorithme) sur les données à chiffrer à l’aide de la
– MSCHAP est la version CHAP de Microsoft pour ses réseaux
clé secrète, afin de les rendre inintelligibles sous la forme d’un
Windows ;
cryptogramme. Cette opération est réversible pour permettre le
déchiffrement par les personnes qui détiennent cette clé secrète. À – S/Key (Sequence Key ) désigne les OTP générés dynamique-
l’issue du déchiffrement, le texte original ou texte en clair est de ment par une succession séquentielle de hachages à sens unique
nouveau lisible. d’un secret d’origine appelé « graine » (ou seed en anglais) ;
– HTTP Basic Authentication désigne le protocole PAP sur HTTP ;
L’algorithme symétrique actuellement le plus utilisé pour chiffrer – HTTP Digest Authentication est le PAP avec hachage à sens
les données est l’AEA (Advanced Encryption Algorithm ), plus unique sur HTTP, avec ou sans chiffrement SSL ;
connu sous le nom d’AES (Advanced Encryption Standard ). – TLS (Transport Layer Security ) anciennement SSL (Secure
Sockets Layer ) est le protocole utilisé pour assurer la confidentia-
1.4.2 Algorithmie asymétrique lité des échanges (HTTPS, FTPS, POPS...) avec un « s » pour
secure. Ce protocole peut aussi être utilisé pour authentifier les
L’algorithmie asymétrique [H 5 210] utilise une paire de clés serveurs à l’aide d’un certificat serveur (facile et répandu). Il peut
(publique et privée). Cette paire de clés est utilisée dans le cadre aussi être utilisé pour authentifier les utilisateurs à l’aide d’un cer-
du chiffrement asymétrique et de la signature numérique. Elles tificat utilisateur (peu répandu). Le protocole TLS version 1,
sont appariées : pour le chiffrement asymétrique, la clé privée per- authentification par certificat, correspond à SSLv3 (version 3) ;
met de déchiffrer des messages chiffrés avec la clé publique – EAP-* (Extensible Authentication Protocol ). Dans un environ-
correspondante ; pour la signature, la clé publique permet de véri- nement 802.1X [TE 7 377], EAP est un protocole générique qui ne
fier la signature calculée grâce à la clé privée correspondante. Les fait qu’indiquer que les données transportées dans le protocole
paires de clés sont générées ensemble, grâce à un calcul dépen- sont des données utiles à l’authentification. Ces données sont for-
dant de l’algorithme utilisé (RSA, ECC...). Les clés publiques matées selon la méthode EAP choisie. Ainsi EAP permet de déter-
peuvent (et doivent) être divulguées, et n’ont donc pas besoin en miner quelle méthode d’authentification est utilisée ;
113
Référence Internet
H5535
– LEAP (Lightweight EAP ) est une solution propriétaire proposée norme 802.11i et nécessite une évolution du matériel. AES-CCMP
par CISCO et choisie par d’autres fournisseurs en raison de sa faci- est considéré comme plus sûr que RC4-TKIP. C’est le WPA2 en
lité d’implémentation sur les équipements 802.11. Il s’agit d’une mode clé partagée avec chiffrement CCMP (basé sur AES). Il a ten-
authentification mutuelle à base de mot de passe avec hachage à dance à se généraliser pour les usages professionnels ;
sens unique ; – SASL (Simple Authentication and Security Layer ) ajoute le
– EAP-MD5 (EAP-Message Digest 5 ) est un protocole support de l’authentification aux protocoles basés sur la
défi-réponse à base de mot de passe avec hachage à sens unique. connexion ;
Il n’authentifie pas le serveur ; – WS-Security (Web Services ) assure l’intégrité, la confidentialité
– EAP-TLS est une authentification mutuelle basée sur SSL. Elle et l’authentification de la source des messages SOAP (plusieurs
utilise les certificats serveur et clients et intègre la génération architectures cryptographiques supportées) ;
dynamique et la distribution de clés symétriques pour la confiden- – GSSAPI (Generic Security Service Application Program
tialité des échanges ultérieurs ; Interface ) décrit de façon très générique la fourniture de services
– EAP-TTLS (EAP-Tunneling TLS ) est une authentification du ser- de sécurité à des applications ;
veur avec un certificat serveur, authentification du client avec PAP, – Kerberos est le protocole d’authentification qui assure le plus
CHAP ou MS-CHAPv2. Elle intègre la génération dynamique de une fonction de SSO dans un environnement distribué. Il est né
clés symétriques ; dans le monde Unix et a été adopté ensuite par Microsoft depuis
– EAP-SIM (EAP-Subscriber Identity Module ) est une authentifi- Windows 2000.
cation mutuelle utilisant la puce SIM de l’environnement GSM Nota : 2e génération (2G), 3e génération (3G).
(2G). Elle intègre la génération dynamique de clés symétriques ;
– EAP-AKA (EAP-Authentication and Key Agreement ) est une
authentification mutuelle qui utilise la puce SIM de l’environne- 1.5.2 Protocoles d’authentification
ment UMTS (3G), reste compatible avec l’environnement GSM par mot de passe statique
(2G) et intègre la génération dynamique de clés symétriques ;
Afin de rendre les choses plus concrètes, étudions quelques-uns
– WEP (Wired Equivalent Privacy ) est utilisé pour authentifier un
de ces protocoles.
équipement dans les réseaux locaux sans fil (802.11) ;
– WPA (Wi-Fi Protected Access) est le successeur du WEP avec
une meilleure sécurité, il utilise le protocole RC4-TKIP (Temporal 1.5.2.1 Protocole du mot de passe statique en clair
5
Key Integrity Protocol ). RC4-TKIP est utilisé pour l’échange de clé, Comme le montre la figure 1, l’utilisateur demande tout d’abord
afin de chiffrer et déchiffrer les messages entre le client et le point à accéder à une ressource (0). Le terminal prend en charge cette
d’accès. C’est le WPA en mode clé partagée (PSK) avec le chiffre- demande et contacte le serveur (1). Le serveur vérifie si la res-
ment TKIP ; source demandée est libre ou protégée (2). Si la ressource est pro-
– WPA2 utilise le protocole AES-CCMP (Advanced Encryption tégée (c’est-à-dire accessible seulement aux utilisateurs autorisés)
Standard-Counter mode with CBC Mac Protocol ). Il correspond à la alors le serveur envoie au terminal un formulaire d’identification
(8.1) Si NON (MDP = KO) : Message = Erreur d’authentification > retour vers 3.2
Figure 1 – Schéma PAP du processus d’authentification par mot de passe statique en clair
114
Référence Internet
H5535
(3.2). L’utilisateur saisit son identifiant et son mot de passe dans le dans la base des utilisateurs autorisés (figure 3). Mais l’écoute de
formulaire et clique sur le bouton « Envoi » (4) pour que le termi- ligne en (6) permet également le rejeu par un envoi direct de (6),
nal communique les éléments au serveur (5). Le serveur vérifie les sans passage par l’étape (4).
valeurs identifiant et mot de passe (crédentiels) dans la base de
données des utilisateurs autorisés (6 et 7.2). Le serveur envoie un 1.5.2.4 Protocole du mot de passe statique chiffré
message au terminal pour informer l’utilisateur que son authentifi- par une session TLS-SSL
cation a réussi ou a échoué (8.1 ou 8.2). En cas d’authentification
réussie (7.2 et 8.2), le serveur délivre la ressource au terminal sui- C’est encore, à l’heure actuelle, le moyen d’authentification le
vant les droits propres à l’utilisateur (9). plus utilisé en France pour consulter son compte bancaire en ligne
et y effectuer quelques opérations. La sécurité n’est malheureuse-
C’est à l’heure actuelle le moyen d’authentification le plus utilisé ment que moyenne.
dans le monde. La sécurité est faible. Par exemple, il est plutôt
facile pour une personne malveillante ou tout simplement curieuse Le cadenas qui s’affiche dans votre navigateur pour indiquer que
de se connecter sur certaines messageries Internet de type web- vous êtes dans une session HTTP sécurisée (HTTPS) est un vrai
mail et de lire votre correspondance. gage de sécurité concernant la confidentialité des échanges, mais
cette sécurité n’est pas à toute épreuve pour ce qui concerne
1.5.2.2 Protocole du mot de passe statique chiffré l’authentification du serveur. De plus, l’authentification de l’utilisa-
teur n’est pas garantie non plus. En effet, le mot de passe statique
Cette fois-ci, ce n’est pas le mot de passe fourni par l’utilisateur de l’utilisateur est chiffré sur son terminal avec la clé publique du
qui transite sur le réseau, mais le mot de passe chiffré. L’algo- serveur, récupérée lors de l’exécution du protocole. Le serveur est
rithme de chiffrement utilisé est établi de façon concertée entre le alors le seul à détenir la clé privée correspondante capable de
terminal et le serveur (figure 2). déchiffrer correctement ce mot de passe. Mais rien n’empêche un
Du point de vue de la sécurité, les mots de passe ne sont pas pirate de rejouer cette séquence (le mot de passe chiffré) après
stockés en clair sur le serveur dans la base des utilisateurs autori- une écoute de ligne. Il sera correctement déchiffré à l’arrivée par le
sés. Mais l’écoute de ligne en (6) permet le rejeu par un envoi serveur qui validera l’authentification. Pour que la sécurité soit
direct de (6) après écoute, même si (4) n’est pas possible. assurée, il faut faire varier un paramètre de l’équation à chaque
transaction afin que le cryptogramme du même mot de passe
change d’une fois sur l’autre et empêche le rejeu.
1.5.2.3 Protocole du mot de passe statique haché
Dans ce cas, c’est l’empreinte (hash ) du mot de passe statique
qui transite sur le réseau.
1.5.3 Protocoles d’authentification
par mot de passe à usage unique
5
Du point de vue de la sécurité, les empreintes des mots de passe
sont stockées à la place des mots de passe en clair sur le serveur Quelques-uns de ces protocoles sont présentés ci-après.
(9.1) Si KO (MDP < > MDP’) : Message = Erreur d’authentification > retour vers 3.2
(9.2) Si OK (MDP = MDP’) : Message = Authentification réussie
Figure 2 – Schéma PAP du processus d’authentification par mot de passe statique chiffré
115
Référence Internet
H5535
(9.1) Si NON (MDP = KO) : Message = Erreur d’authentification > retour vers 3.2
Figure 3 – Schéma PAP du processus d’authentification par mot de passe statique haché à sens unique
1.5.3.1 Protocole du mot de passe Si le mot de passe n’est valable qu’une seule fois, écouter la
à usage unique dynamique ligne pour le rejouer par la suite n’est plus d’aucune utilité. Le ser-
veur attend un nouveau mot de passe à chaque transaction (7.2 et
Le calcul d’un mot de passe à usage unique – ou OTP (One-Time
8, figure 5).
Password ) – peut se faire dynamiquement par synchronisation
temporelle (date-heure du système) ou événementielle (compteur
du numéro de l’authentification). 1.5.3.2 Protocoles du mot de passe à usage unique
en mode défi-réponse
La semence (figure 4) correspond au secret initial propre à Le calcul d’un mot de passe à usage unique peut également se
chaque utilisateur, à la graine (seed ). Le nombre de séquences, n, faire en mode défi-réponse. À chaque transaction, un nouveau défi
correspond au nombre d’authentifications déjà réalisées. À chaque est généré de façon pseudo-aléatoire par le serveur. La réponse
nouvelle séquence, un nouvel OTP est calculé. calculée dépend bien évidemment du défi et change donc à
chaque fois. C’est un mot de passe à usage unique.
Le protocole défi-réponse peut être opéré par du chiffrement
symétrique, comme le montre la figure 6. Le serveur peut traiter
Semence Mot de passe trois niveaux d’authentification de l’utilisateur. Le serveur retour-
utilisateur nera la ressource demandée, soit par la fourniture du simple iden-
tifiant ID de l’utilisateur (8), soit par la fourniture d’un identifiant ID
et d’un mot de passe (8.1), soit par la fourniture d’un mot de passe
Fonction de préparation complété par un échange défi-réponse où le défi se trouve chiffré
avec la clé partagée.
n fois (n = nombre Le protocole défi-réponse peut aussi être opéré par du chiffre-
de séquences) ment asymétrique, comme exposé à la figure 7.
Hachage (MD4 ou MD5)
Les trois niveaux sont toujours considérés par le serveur. Le plus
élevé consiste à chiffrer le défi avec la clé privée de l’utilisateur
« Kpri ». Le serveur n’a plus qu’à vérifier que le déchiffrement de la
Formatage 64 bits → ASCII réponse fournie avec la clé publique de l’utilisateur « Kpub » abou-
tit bien au même défi.
La sécurité est renforcée car il n’y a pas de secret partagé entre
l’utilisateur et le serveur. L’utilisateur possède Kpri. Le serveur uti-
OTP
lise Kpub (certificat ITU-T X.509).
Enfin, le protocole défi-réponse peut être opéré par des tables de
Figure 4 – Génération dynamique d’un OTP à partir d’un secret codage, avec ou sans code secret associé aux tables, comme
utilisateur (synchronisation sur le nombre d’authentifications) exposé à la figure 8.
116
Référence Internet
H5065
a signature électronique est entrée dans le Code civil en l’an 2000 avec
L l’article 1316-1. Pour la première fois, l’écrit électronique se voyait recon-
naître la même valeur que l’écrit scriptural sur support papier. (Depuis
mars 2017, l’art 1316-1 est devenu l’article 1366 du Code civil).
Cette entrée faisait suite à l’adoption et à l’entrée en vigueur de la directive
européenne n° 1999/93/CE du 13 décembre 1999.
Cette directive avait pour but de lever les incertitudes juridiques et tech-
niques et de donner une valeur à la signature électronique.
Outre la reconnaissance juridique de la signature électronique, les États
Membres ont mis en place un cadre pour promouvoir la signature électronique.
Celle-ci est en effet présumée fiable lorsqu’elle est créée avec un dispositif
sécurisé de création de signature électronique et qu’elle utilise un certificat de
signature qualifié.
Cette présomption de fiabilité donne un caractère authentique à la signature.
La fiabilité du procédé de signature électronique utilisé est présumée. Le signa-
taire n’aura alors rien à prouver, mais ne pourra pas non plus répudier sa
signature, ce qui constitue une garantie pour son cocontractant.
En revanche, si ce dernier entend contester la validité de la signature, ce sera
à lui qu’il incombera de prouver que le procédé utilisé n’est pas fiable et une
expertise sera nécessaire pour apporter cette preuve.
Les objectifs du dispositif de la directive étaient doubles. D’une part aug-
Parution : octobre 2020
117
Référence Internet
H5065
118
Référence Internet
H5065
Schéma d’identification électronique : un système pour l’identifi- En France, la carte à puce pourrait être privilégiée compte tenu
cation électronique en vertu duquel des moyens d’identification du savoir-faire national dans ce domaine. Cependant, on ne peut
électronique sont délivrés à des personnes physiques ou morales, pas s’interdire l’emploi d’autres moyens comme le téléphone
ou à des personnes physiques représentant des personnes mobile. Par ailleurs le déploiement d’un schéma d’identification
morales. électronique peut être l’occasion de diffuser de nouveaux docu-
ments officiels d’identité lesquels intégreront une puce électro-
Authentification : un processus électronique qui permet de nique permettant de se connecter au schéma. Enfin le moyen
confirmer l’identification électronique d’une personne physique d’identification peut aussi être installé sur plusieurs supports en
ou morale, ou l’origine et l’intégrité d’une donnée sous forme même temps.
électronique.
Quelle que soit la technologie mise en œuvre pour le moyen
On voit que les points de départ de l’identification électronique sont d’identification, ce dernier doit atteindre l’un des trois niveaux de
les données d’identification personnelle. L’État Membre ou la per- garantie définis par le règlement.
sonne chargée de mettre en place un schéma d’identification électro-
nique est libre de déterminer les données qui seront utilisées par le
moyen d’identification électronique. Cependant, toutes les données 1.1.2 Niveaux de garantie
personnelles ne pourront pas être utilisées car il s’agit là d’identifier la L’article 8 du règlement eIDAS leur est entièrement consacré.
personne de façon certaine. Ainsi un profil sur un réseau social ou
des données de géolocalisation, ne seront vraisemblablement pas Le règlement prévoit trois niveaux de garantie pour les schémas
suffisants pour établir l’identité d’une personne. d’identification électronique : faible, substantiel et élevé.
L’article 8 du règlement eIDAS énonce 6 éléments de référence
Si le schéma d’identification électronique est mis en œuvre par un qui permettent de différencier les niveaux de garantie :
État, il est très probable que l’identification personnelle s’appuiera 1/ la procédure visant à prouver et vérifier l’identité des personnes
sur des pièces d’identité officielles attestant la citoyenneté de la physiques ou morales demandant la délivrance de moyens d’iden-
personne. tification électronique ;
Néanmoins, d’autres données pourront être utilisées en plus des 2/ la procédure de délivrance des moyens d’identification électro-
données officielles de citoyenneté. En effet, le règlement eIDAS nique demandés ;
permet par exemple l’utilisation de pseudonymes à l’article 5-2. Un 3/ le mécanisme d’authentification au moyen duquel la personne
physique ou morale utilise le moyen d’identification électronique
5
pseudonyme pourra soit s’ajouter aux données officielles soit en
faire partie intégrante en fonction de la façon dont sont reconnus pour confirmer son identité à une partie utilisatrice ;
ces pseudonymes dans la législation de l’État Membre. 4/ l’entité délivrant les moyens d’identification électronique ;
5/ tout autre organisme associé à la demande de délivrance de
Le moyen d’identification électronique contiendra les données moyens d’identification électronique ;
d’identification personnelles. Le règlement évite de le définir afin 6/ et les spécifications techniques et de sécurité des moyens
de laisser le choix du schéma d’identification électronique au d’identification électronique délivrés.
maître d’œuvre ou à l’État Membre. Cependant, c’est le règlement d’exécution 2015/1502 du
Il peut très bien se résumer à un login et mot de passe si le niveau 8 septembre 2015, qui affine ces trois niveaux de garantie
de garantie prévu par l’article 8 du règlement eIDAS est atteint. (Tableau 1).
Tableau 1 – Niveaux de garantie, tels que définis par le règlement d’exécution 2015/1502
du 8 septembre 2015
Demande La demande doit permettre Identique niveau faible Identique niveau faible
et enregistrement de recueillir les données d’identité
et d’informer le demandeur
des conditions d’utilisation
du moyen d’identification
électronique
Preuve et vérification Le demandeur est présumé En plus du niveau faible, En plus du niveau substantiel,
d’identité posséder un élément l’élément d’identification l’élément d’identification
des personnes d’identification authentique est vérifié. Il doit se rapporter doit comporter un élément
physiques et reconnu dans un État Membre. à une personne réelle. biométrique ou photographique
L’identité du demandeur Des mesures doivent être prises reconnu par l’État Membre
est présumée pour limiter le risque d’usurpation. qui reçoit la demande de moyen
Ou, une pièce d’identité est exigée d’identification électronique.
et vérifiée. L’élément est vérifié
Si un élément d’identification matériellement et auprès
ou un moyen d’identification d’une l’autorité de délivrance.
de niveau substantiel a déjà Si un élément d’identification
été délivré au demandeur ou un moyen d’identification
dans un autre État Membre, de niveau substantiel a déjà
alors il n’est pas nécessaire été délivré au demandeur
de procéder à la vérification dans un autre État Membre,
de la pièce d’identité alors il n’est pas nécessaire
de procéder à la vérification
de la pièce d’identité
119
GAGNEZ DU TEMPS ET SÉCURISEZ VOS PROJETS
EN UTILISANT UNE SOURCE ACTUALISÉE ET FIABLE
RÉDIGÉE ET VALIDÉE MISE À JOUR 100 % COMPATIBLE SERVICES INCLUS
PAR DES EXPERTS PERMANENTE SUR TOUS SUPPORTS DANS CHAQUE OFFRE
NUMÉRIQUES
www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com
LES AVANTAGES ET SERVICES
compris dans les offres Techniques de l’Ingénieur
ACCÈS
SERVICES ET OUTILS PRATIQUES
Archives Impression à la demande Alertes actualisations
Technologies anciennes et versions Commandez les éditions papier Recevez par email toutes les nouveautés
antérieures des articles de vos ressources documentaires de vos ressources documentaires
*Questions aux experts est un service réservé aux entreprises, non proposé dans les offres écoles, universités ou pour tout autre organisme de formation.
www.techniques-ingenieur.fr
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com
Powered by TCPDF (www.tcpdf.org)