Extrait 42314210

T E C H N O LO G I E S D E L' I N F O R M AT I O N
Ti440 - Sécurité des systèmes d'information
Cryptographie, authentification,
protocoles de sécurité, VPN
Réf. Internet : 42314 | 2nde édition
Actualisation permanente sur

www.techniques-ingenieur.fr
Tec h n ique s de l ’I n gé ni eur
La plus impor tante ressource documentaire scientifique
et technique en français
Une information fiable, claire et actualisée

Validés par un comité scientifique et mis à jour en permanence sur Internet,
les articles Techniques de l’Ingénieur s’adressent à tous les ingénieurs et
scientifiques, en poste ou en formation.
Outil d’accompagnement de la formation et de la carrière des ingénieurs,
les ressources documentaires Techniques de l’Ingénieur constituent le socle
commun de connaissances des acteurs de la recherche et de l’industrie.
Les meilleurs experts techniques et scientifiques

Plus de 200 conseillers scientifiques et 3 500 auteurs, industriels, chercheurs,
professeurs collaborent pour faire de Techniques de l’Ingénieur l’éditeur
scientifique et technique de référence.
Les meilleurs spécialistes sont réunis pour constituer une base de
connaissances inégalée, vous former et vous accompagner dans vos projets.
Une collection 100 % en ligne

• Accessibles sur www.techniques-ingenieur.fr, les dernières nouveautés et
actualisations de votre ressource documentaire
• Les articles téléchargeables en version PDF
Des services associés

Rendez-vous sur votre espace « Mon compte » en ligne pour retrouver la liste
des services associés à vos droits d’accès et les utiliser.
 Des services associés

Pour toute information, le service clientèle reste à votre disposition :
Tél : 01 53 35 20 20 l Fax : 01 53 26 79 18 l Mail : infos.clients@teching.com
III
Cet ouvrage fait par tie de
Sécurité des systèmes d'information
(Réf. Internet ti440)
composé de :
Sécurité des SI : organisation dans l'entreprise et législation Réf. Internet : 42458
Cryptographie, authentification, protocoles de sécurité, VPN Réf. Internet : 42314
Sécurité des SI : services et applications Réf. Internet : 42315
Attaques et mesures de protection des SI Réf. Internet : 42313
 Sur www.techniques-ingenieur.fr
• Saisissez la référence Internet pour accéder directement aux contenus en ligne
• Retrouvez la liste complète des ressources documentaires
IV
Cet ouvrage fait par tie de
Sécurité des systèmes d'information
(Réf. Internet ti440)
dont les exper ts scientifiques sont :
Maryline LAURENT
Professeur à Télécom SudParis
Laurent LEVIER
CISM (Certified Information Security Manager), CISSP (Certified Information
Systems Security Professional), Officier de sécurité du réseau interne, Equant
Télécommunications, CGEIT (Certified in the Governance of Entreprise IT).
V
Les auteurs ayant contribué à cet ouvrage sont :
Mohammed ACHEMLAL Pierre-Alain FOUQUE Jean LEROUX LES JARDINS

Pour l’article : H5610 Pour l’article : H5210 Pour l’article : H5530
Mohamad BADRA Fabien GALAND Nicolas MAGNIN

Ali BENFATTOUM Stéphane GRELLIER Sarah NATAF

Pour l’article : S8650 Pour l’article : E3440 Pour l’article : TE7590
Aymen BOUDGUIBA Isabelle GUÉRIN-LASSOUS Thomas NOËL

Pour l’article : TE7377 Pour l’article : TE7376 Pour l’article : TE7515
Yacine CHALLAL Claudine GUERRIER Philippe PROUST

Pour l’article : H5390 Pour l’article : H5530 Pour l’article : E3440
Hakima CHAOUCHI Patrick GUILLEMIN Wilfrid RABOT

Pour l’article : IN77 Pour l’article : H5214 Pour l’article : H5240
Jean-Michel COMBES Ibrahim HAJJEH Gérard RIBIÈRE

Pour l’article : TE7506 Pour l’article : H5235 Pour l’article : H5510
Bernadette DORIZZI Abdelkader LAHMADI Cyril TESSEREAU

Pour l’article : H5530 Pour l’article : IN130 Pour l’article : H5230
Michel DUDET Philippe LAMADELAINE Pascal THONIEL

Ethmane EL MOUSTAINE Maryline LAURENT Daniel TREZENTOS

Pour l’article : H5325 Pour les articles : TE7555 – Pour l’article : TE7375
TE7545 – IN77 – TE7377 – H5325
Olivier FESTOR Jean-Pierre TUAL
Pour l’article : IN130 Joseph LEIBENGUTH Pour l’article : E3440
Pour l’article : E3440
VI
Cryptographie, authentification, protocoles de sécurité,
VPN
(Réf. Internet 42314)
SOMMAIRE
1– Cryptographie et stéganographie Réf. Internet page
Cryptographie appliquée H5210 11
Distribution quantique de clés cryptographiques DQC H5214 15
Introduction à la stéganographie H5870 19
Cartes à puces. Technologie et cybersécurité E3440 25
2– Protocoles de sécurité Réf. Internet page
Protocoles SSL/TLS H5230 33
Le protocole SSH H5235 37
IP Mobile TE7515 41
Gestion du roaming par AAA pour les services PPP et Mobile IP TE7555 43
SecSIP : un environnement de protection pour la voix sur IP IN130 47
Sécurité IPv6. Adressage et auto-configuration TE7506 49
3– Technologies de VPN Réf. Internet page
Technologies VPN H5610 57
Technologies VPN SSL H5240 59
VPN MPLS IPv6 TE7590 61
Suite de protocoles IPsec au service des VPN et de la mobilité TE7545 65
4– Réseaux sans fil Réf. Internet page
Les réseaux sans fil et la sécurité IN77 71
Standard pour réseaux sans fil : IEEE 802.11 TE7375 73
Evolution du standard pour réseaux sans fil : IEEE 802.11 TE7376 77
VII
Sécurité dans les réseaux 802.11 TE7377 81
Systèmes et techniques RFID . Risques et solutions de sécurité H5325 87
La technologie NFC : principes de fonctionnement et applications S8650 91
Sécurité des Réseaux de Capteurs sans Fil H5390 95
5– Authentification des utilisateurs et des machines Réf. Internet page
Certification électronique H5510 101
La biométrie. Techniques et usages H5530 105
Méthodes d'authentification. Description, usages et enjeux H5535 111
Signature électronique eIDAS H5065 117
VPN
1
1– Cryptographie et stéganographie Réf. Internet page
Cryptographie appliquée H5210 11
Distribution quantique de clés cryptographiques DQC H5214 15
Introduction à la stéganographie H5870 19
Cartes à puces. Technologie et cybersécurité E3440 25
2– Protocoles de sécurité
3– Technologies de VPN
4– Réseaux sans fil
5– Authentification des utilisateurs et des machines
9
1
10
Référence Internet
H5210
Cryptographie appliquée
1
par Pierre-Alain FOUQUE
Ingénieur télécoms, docteur en cryptographie
Chercheur au Laboratoire de cryptographie de la direction centrale de la Sécurité
des systèmes d’information (DCSSI)
1. Contexte ..................................................................................................... H 5 210 - 3

1.1 Évolution vers une science ......................................................................... — 3
1.2 Objectifs de sécurité .................................................................................... — 3
1.3 Cryptographie moderne.............................................................................. — 4
2. Cryptographie symétrique..................................................................... — 4
2.1 Généralités sur le chiffrement .................................................................... — 5
2.1.1 Types d’attaques d’un système de chiffrement ............................... — 5
2.1.2 Premiers systèmes de chiffrement.................................................... — 5
2.2 Primitives...................................................................................................... — 6
2.2.1 Algorithmes de chiffrement par bloc ................................................ — 6
2.2.2 Algorithmes de chiffrement par flot.................................................. — 7
2.2.3 Fonction de hachage .......................................................................... — 8
2.3 Mécanismes cryptographiques .................................................................. — 9
2.3.1 Modes opératoires de chiffrement.................................................... — 9
2.3.2 Code d’authentification de messages............................................... — 10
2.3.3 Authentification de personne ............................................................ — 10
2.3.4 Génération d’aléas.............................................................................. — 11
3. Cryptographie asymétrique .................................................................. — 11
3.1 Rappels de mathématiques et d’algorithmique........................................ — 12
3.1.1 Calcul modulaire................................................................................. — 12
3.1.2 Exponentiation modulaire ................................................................. — 12
3.2 Système de chiffrement asymétrique........................................................ — 12
3.2.1 Types d’attaque sur les schémas de chiffrement............................. — 12
3.2.2 Cryptosystème RSA............................................................................ — 13
3.3 Mécanisme d’échange de clé et chiffrement hybride............................... — 14
3.3.1 Échange de clé Diffie-Hellman........................................................... — 14
3.3.2 Chiffrement hybride ........................................................................... — 14
3.4 Signature ...................................................................................................... — 14
3.4.1 Généralités sur les schémas de signature........................................ — 15
3.4.2 Types d’attaques ................................................................................. — 15
3.4.3 Schémas de signature RSA, DSA et ECDSA .................................... — 15
3.4.4 Applications des signatures à l’authentification d’entité ................ — 16
4. Applications de la cryptographie :
protocoles de communication ............................................................. — 16
4.1 Avantages et inconvénients des méthodes symétriques
et asymétriques ........................................................................................... — 16
4.1.1 Avantages de la cryptographie symétrique...................................... — 16
4.1.2 Inconvénients de la cryptographie symétrique................................ — 17
4.1.3 Avantages de la cryptographie asymétrique.................................... — 17
4.1.4 Inconvénients de la cryptographie asymétrique.............................. — 17
4.2 SSL/TLS ........................................................................................................ — 17
4.3 IPsec.............................................................................................................. — 17
4.4 S/MIME ......................................................................................................... — 18
Parution : novembre 2003
5. Conclusion ................................................................................................. — 18
Bibliographie ...................................................................................................... — 18
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie est strictement interdite.
© Techniques de l’Ingénieur, traité Sécurité des systèmes d’information H 5 210 − 1
11
H5210
CRYPTOGRAPHIE APPLIQUÉE _____________________________________________________________________________________________________________
ujourd’hui, les cryptographes ont défini des objectifs et des notions de

A sécurité répondant aux besoins des utilisateurs en matière de sécurité
comme la confidentialité, l’intégrité et l’authentification. La cryptographie est
devenue une discipline scientifique à part entière qui utilise des concepts
mathématiques et informatiques pour prouver la sécurité des schémas. Cepen-
dant, de nouvelles attaques viennent périodiquement ébranler la confiance des
utilisateurs. Deux attaques sur la norme de communications sécurisées
1 utilisée sur Internet, Secure Socket Layer (SSL), ont ainsi été largement
annoncées dans la presse et sur Internet. Ces attaques ne remettent pas en
cause les preuves de sécurité des systèmes mais montrent que la modélisation
des adversaires n’est pas idéale. En effet, pour traiter un problème de manière
théorique, les scientifiques ont besoin de modéliser la réalité. En cryptogra-
phie, il est nécessaire de représenter les buts de l’adversaire et ses moyens,
c’est-à-dire ce qu’il cherche à faire et la manière dont il interagit avec le sys-
tème. C’est ici que la cryptographie montre ses limites face à la réalité : il est
difficile d’étudier de manière exhaustive tous les adversaires possibles.
Après avoir rappelé les principes de conception des schémas cryptogra-
phiques de chiffrement et de signature électronique, nous décrirons quelques
limites des systèmes actuels montrant ainsi la difficulté à concevoir des systè-
mes sûrs. Cette difficulté est aujourd’hui liée à l’implémentation des schémas
cryptographiques dans des systèmes informatiques tels que des cartes à puce,
des cartes accélératrices, etc. Enfin, nous donnerons des exemples de stan-
dards de communications sécurisées.
(0)
Glossaire
Attaque : opération qui tente de violer les objectifs de sécurité d’un cryptosystème.
Authentification : preuve d’identité ou preuve de l’origine des données. Ce terme regroupe l’identification, les signatures et les MAC.
Cassage (total) : calcul de la clé secrète d’un utilisateur.
Chiffrement : transformation appliquée à un message pour assurer sa confidentialité. Il peut être déterministe ou probabiliste.
Clé : valeur qui paramètre un cryptosystème. Si elle est confidentielle, on parle alors de clé secrète ou privée, sinon on parle de clé publique.
Confidentialité : assurance que seules les personnes autorisées ont accès à l’information. Pour cela, on utilise des systèmes de chiffrement.
Contrefaçon : fabrication d’un objet sans en avoir le pouvoir légitime (connaissance de la clé secrète). Contrefaire une signature ou un MAC.
Cryptanalyse : étude des procédés de décryptage, ou plus généralement de la sécurité des cryptosystèmes.
Cryptographie : étude des procédés permettant d’assurer la confidentialité, l’intégrité et l’authentification.
Cryptosystème (mécanisme cryptographique) : système de chiffrement et plus généralement tout schéma de signature, de MAC ou de
générateur pseudo-aléatoire.
Déchiffrement : transformation inverse du chiffrement qui consiste à retrouver, à l’aide d’une clé secrète, l’information initiale contenue
dans le message chiffré.
Décryptage : action de « casser » le chiffrement, et donc de retrouver le texte clair d’un chiffré, sans connaître la clé secrète.
Fonction à sens unique : fonction simple à calculer mais difficile à inverser.
Fonction à sens unique à trappe : fonction à sens unique pour laquelle une information supplémentaire, appelée « trappe », facilite
l’inversion.
Fonction de hachage : transformation déterministe d’une chaîne de bits de taille variable en une chaîne de bits de taille fixe, telle que toute
modification de la valeur d’entrée modifie la valeur de sortie.
Générateur pseudo-aléatoire : transformation déterministe permettant de produire une chaîne de bits apparaissant aléatoire à partir d’une
entrée de petite taille.
Identification : preuve d’identité lors d’un contrôle d’accès.
Intégrité : assurance qu’un message n’a pas subi de modifications volontaires ou non.
MAC : donnée de taille fixe jointe à un message qui prouve l’identité de l’émetteur et qui garantit l’intégrité du message. Contrairement aux
signatures, seules les personnes possédant la clé secrète peuvent vérifier un MAC.
Objectifs de sécurité : les services assurés par les systèmes cryptographiques sont la confidentialité, l’intégrité et l’authentification.
Primitive : opération mathématique de base à partir de laquelle des cryptosystèmes pourront être construits. Par exemple, la primitive de
chiffrement RSA consiste à calculer c = me mod N où pk = (e, N ) est la clé publique.
Protocole : ensemble de messages échangés entre plusieurs entités.
Système (ou schéma) : ensemble d’opérations reliées combinant une ou plusieurs primitives entre elles avec d’autres techniques afin d’aug-
menter la sécurité et éventuellement traiter des messages de taille variable. Le système de chiffrement RSA consiste à rajouter un pad-
ding puis à utiliser la primitive de chiffrement RSA. Il est d’usage de parler de schéma de signature et de système de chiffrement.
Signature : donnée de taille fixe jointe à un message et qui prouve l’identité de l’émetteur, garantit l’intégrité du message et assure la
non-répudiation. Tout le monde ayant accès à la clé publique peut vérifier la signature.
H 5 210 − 2 © Techniques de l’Ingénieur, traité Sécurité des systèmes d’information
12
H5210
____________________________________________________________________________________________________________ CRYPTOGRAPHIE APPLIQUÉE
1. Contexte 1.1 Évolution vers une science

L’histoire de la cryptographie a été pendant longtemps l’histoire
La cryptographie a pour but de garantir la protection des des codes secrets et depuis l’Antiquité, ils ont décidé du sort des
communications transmises sur un canal public contre différents hommes et des nations. En effet, jusqu’aux années 1970, l’unique
types d’adversaires. La protection des informations se définit en objectif de la cryptographie était de construire des systèmes de
termes de confidentialité, d’intégrité et d’authentification. chiffrement. Les cryptosystèmes sauvèrent les Grecs des Perses,
1
accompagnèrent César dans ses conquêtes, firent arrêter et déca-
La confidentialité garantit que les données transmises ne sont piter Marie Stuart, décidèrent Wilson à rejoindre les Alliés et per-
pas dévoilées à une tierce personne. mirent d’épargner des milliers de vies pendant la Seconde Guerre
mondiale [5] [6] [7].
L’intégrité assure que ces données n’ont pas été modifiées entre
l’émission et la réception. L’invention de la radio a donné un nouvel élan à la cryptogra-
phie, car il est devenu encore plus facile d’intercepter une commu-
Enfin, l’authentification de message assure qu’elles proviennent nication longue distance. La Seconde Guerre mondiale a été
bien de la bonne entité et l’authentification de personne, aussi profondément affectée par l’utilisation de la cryptographie et le
appelée identification, garantit qu’une entité qui cherche à s’iden- cassage des systèmes cryptographiques utilisés pour les commu-
tifier vis-à-vis d’un système informatique est bien celle qu’elle pré- nications radio. Il est intéressant de voir que les premières
tend être. machines calculatoires conçues et construites par les Britanniques
pour casser le système de chiffrement allemand, Enigma, sont les
On distingue traditionnellement les systèmes symétriques et premiers exemples réels d’« ordinateurs », si bien que l’on peut
asymétriques. En cryptographie conventionnelle, aussi appelée dire que la cryptographie est à l’origine de l’informatique.
cryptographie symétrique (ou à clé secrète), les correspondants
La révolution d’Internet et l’utilisation de plus en plus massive
partagent la même clé pour chiffrer et déchiffrer. L’histoire de la
d’informations sous forme numérique facilitent les communi-
cryptographie symétrique est très ancienne, mais les connais-
cations et rendent de ce fait plus fragiles les informations que l’on
sances académiques dans ce domaine sont assez récentes et
détient. En effet, les réseaux « ouverts » créent des brèches de
remontent à l’invention du système de chiffrement par bloc appelé
sécurité car il est plus aisé pour un adversaire d’accéder aux infor-
Data Encryption Standard (DES) au début des années 1970. En
mations. De même, le remplacement de l’Homme par des
1976, Diffie et Hellman ont révolutionné la cryptographie en inven-
machines rend les relations beaucoup plus anonymes alors qu’en
tant des systèmes asymétriques dans lesquels émetteur et récep-
même temps, l’accès aux données demande des moyens d’authen-
teur ne partagent plus de clé commune : une clé, rendue publique,
tification forts. De plus, la dématérialisation des documents change
permet de chiffrer un message, la seconde est gardée secrète et
les moyens de preuve juridique : les signatures numériques
permet au destinataire de déchiffrer [1]. Cette découverte a modifié
doivent remplir certaines exigences que nous ne connaissions pas
la cryptographie car jusqu’alors, pour envoyer un message chiffré,
avec les signatures manuscrites. Ainsi, la révolution numérique
les correspondants devaient s’échanger au préalable une informa-
des communications et de l’information a ouvert de nombreux
tion secrète : la clé. En inventant la cryptographie asymétrique, Dif-
champs d’investigation à la cryptographie, différents du seul
fie et Hellman ont conçu un système où les correspondants
besoin de confidentialité, de sorte que celle-ci a envahi notre vie
peuvent s’échanger une information secrète sans se rencontrer.
quotidienne : carte à puce, transaction bancaire, Internet, télé-
phone cellulaire, télévision à péage...
Exemple : cela permet aujourd’hui d’échanger un code de carte
bleue avec un site marchand sans avoir besoin de rencontrer aupara- Dans le même temps, la cryptologie est devenue une science. La
vant le responsable du site. cryptologie, la science du secret d’après son étymologie grecque,
comprend d’une part la cryptographie, art de la conception de sys-
Dans leur article [1], ils montrent aussi comment la cryptogra- tèmes sécurisés, et d’autre part la cryptanalyse, art du cassage des
phie à clé publique permet de résoudre le problème des signatures systèmes. Par abus de langage, nous emploierons souvent le
électroniques, sans toutefois proposer un tel système. Cependant, terme cryptographie à la place de cryptologie. Les différentes tech-
ils décrivent les propriétés des fonctions permettant la création de niques employées, mélangeant mathématiques classiques du
tels schémas. Trois chercheurs du MIT (Massachusetts Institute of XVIIIe siècle et informatique théorique, lui confèrent aujourd’hui
Technology) ont alors tenté de prouver que de telles fonctions une place à part parmi les sciences. Depuis les années 1970, on a
n’existent pas jusqu’au jour où en 1977, ils en ont trouvé une. Cette assisté à une explosion de la recherche en cryptographie. Beau-
fonction est aujourd’hui appelée RSA des noms des chercheurs coup de systèmes ont été proposés, et beaucoup ont été détruits.
Rivest, Shamir et Adleman. Notre compréhension de la notion subtile de « sécurité cryptogra-
phique » a constamment progressé et, de nos jours, les cryptosys-
Aujourd’hui, la cryptographie à clé publique a permis de tèmes sont prouvés sûrs (sous certaines hypothèses plausibles).
résoudre de nombreux problèmes pratiques mais elle reste beau- Les relations fascinantes entre la cryptographie, la théorie de la
coup moins utilisée que la cryptographie à clé secrète. En effet, elle complexité et la théorie algorithmique des nombres ont petit à
demande la mise en place d’infrastructures à clé publique petit enrichi ces trois domaines de recherche.
(Public-Key Infrastructure : PKI). De plus, les systèmes symétriques
offrent de bien meilleures performances et ne requièrent pas l’uti-
lisation d’une infrastructure spécifique. Comme nous allons le voir
dans la suite, l’association des deux types de cryptographie per- 1.2 Objectifs de sécurité
met de concevoir des systèmes sûrs, efficaces et pratiques.
Mais la cryptographie moderne a aussi permis de résoudre des Commençons par voir quels services de sécurité peut garantir la
problèmes complètement nouveaux. Par exemple, elle a développé cryptographie et quelles sont ses applications dans la vie « quoti-
des techniques permettant de convaincre quelqu’un que l’on dienne ».
connaît un secret sans révéler la moindre information sur ce secret. La cryptographie ne permet pas de résoudre tous les problèmes
Ces méthodes, appelées à divulgation nulle de connaissance de sécurité informatique. Cependant, elle apporte des garanties et
(zero-knowledge ) [2], ont permis la création de systèmes d’identi- des briques de base sur lesquelles des produits peuvent être
fication [3] [4] et se sont aussi avérées très utiles pour prouver la construits. Il est bien connu que la sécurité d’un système se
sécurité de protocoles cryptographiques. mesure à son maillon le plus faible. En général, le maillon le plus
© Techniques de l’Ingénieur, traité Sécurité des systèmes d’information H 5 210 − 3
13
H5210
CRYPTOGRAPHIE APPLIQUÉE _____________________________________________________________________________________________________________
faible d’un système informatique n’est pas le système cryptogra- manière qu’en théorie de la complexité, où des relations entre des
phique mais, par exemple, son implémentation informatique. problèmes différents sont établies [9] [10]. On dit qu’un problème
est difficile s’il n’existe pas d’algorithme pour le résoudre en temps
En outre, il existe diverses attaques contre lesquelles la crypto- polynomial.
graphie n’est pas d’un grand secours, comme les virus informa-
tiques ou les chevaux de Troie logiciels qui profitent de la Nota : la complexité en temps est polynomiale si le nombre d’étapes de calcul T
qui dépend du paramètre de sécurité k s’exprime comme un polynôme en k : il existe
confiance exagérée des utilisateurs dans les messages qu’ils reçoi- une constante c > 0 telle que T (k) < k c pour k suffisamment grand.
vent ou dans les logiciels qu’ils utilisent (voir l’article [H 5 440]).
1
La complexité des problèmes difficiles (nombre d’opérations
La cryptographie participe à la sécurité informatique en propo- pour les résoudre) est donc au moins superpolynomiale ou bien
sant des primitives et des mécanismes permettant d’atteindre les même exponentielle : le temps nécessaire pour les résoudre est
objectifs de confidentialité, de protection en intégrité et d’authenti- proportionnel à 2 k si k représente la taille des entrées en bits. Ces
fication. Pour assurer le service de confidentialité, la cryptographie problèmes sont difficiles car le temps de calcul est multiplié par 2
propose des systèmes de chiffrement à clé secrète ou à clé publi- chaque fois que la taille des entrées augmente d’un bit ! En théorie
que. La protection en intégrité et l’authentification de l’origine des de la complexité, on distingue la classe de complexité appelée ᏼ,
données peuvent être assurées en utilisant des codes d’authentifi- pour polynomiale, qui regroupe l’ensemble des problèmes ayant
cation de messages (cryptographie à clé secrète) ou des signatures des algorithmes efficaces pour les résoudre et la classe ᏺᏼ des
électroniques (cryptographie à clé publique). Enfin, le service problèmes pour lesquels aucun algorithme efficace (polynomial)
d’identification peut être garanti par l’utilisation de preuves d’iden- n’est connu pour les résoudre. Enfin, si la célèbre conjecture
tité. ᏼ ≠ ᏺᏼ s’avérait fausse, toute construction théorique de cryptosys-
tèmes sûrs et efficaces serait vouée à l’échec.
Il est d’usage de distinguer les algorithmes cryptographiques
1.3 Cryptographie moderne en deux catégories : les primitives et les cryptosystèmes ou méca-
nismes cryptographiques. Les primitives (§ 2.2) sont des briques
La cryptographie ne se contente plus aujourd’hui de construire de base ayant certaines propriétés et qui permettent de concevoir
des systèmes. On demande bien souvent qu’une preuve de sécu- des mécanismes. Les cryptosystèmes sont censés garantir la con-
rité soit apportée, permettant d’estimer la sécurité du schéma. fidentialité, l’intégrité et/ou l’authentification. Si l’on montre qu’il
Ainsi, pendant de nombreuses années, cryptographes et cryptana- existe une attaque contre ces mécanismes, alors cette attaque doit
lystes se sont combattus et tour à tour les uns prenaient le dessus aussi permettre de montrer que les primitives ne vérifient pas les
sur les autres. De nos jours, il est rare qu’un nouveau système soit propriétés qu’elles étaient supposées satisfaire.
proposé sans preuve. Mais qu’est-ce qu’une preuve de sécurité ? Enfin, il est important de voir que la cryptographie moderne fait
Comment évalue-t-on la force des adversaires ? Que cherchent-ils son entrée depuis quelques années dans les organismes de stan-
à casser ? Et quels sont leurs moyens ? dardisation tels que l’Organisation internationale de normalisation
Les travaux de Shannon dans les années 1940 sur les communi- (ISO), l’American National Standards Institute (ANSI), l’Internet
cations (théorie de l’information) sont précurseurs des futurs tra- Engineering Task Force (IETF) et le National Institute of Standards
vaux théoriques en cryptographie. En particulier, l’article intitulé and Technology (NIST). En effet, il existe différents projets inter-
Communication Theory of Secrecy Systems [8] a dégagé et étudié nationaux (P1363 [11]), européens (NESSIE [12]) ou japonais
la notion d’entropie et a prouvé la sécurité parfaite du schéma de (Cryptrec [13]) visant à évaluer la sécurité de certains algorithmes.
chiffrement de Vernam (§ 2.1.2). Shannon a aussi présenté des Jusqu’à présent, les normes en matière de sécurité étaient conçues
notions importantes sur la sécurité d’un protocole cryptographique à partir de schémas heuristiquement sûrs, c’est-à-dire pour les-
en distinguant sécurité inconditionnelle et sécurité calculatoire. quels il n’existait pas d’attaques connues. Cependant, comme de
Dans le premier cas, on suppose que l’adversaire a une ressource nombreux standards ont été cassés par la communauté crypto-
de temps infini, alors que dans le second cas, l’adversaire est graphique, les organismes de standardisation sont demandeurs de
borné dans le temps. Il ne peut effectuer qu’un nombre fini tels projets au cours desquels les schémas sont évalués par des
d’étapes de calcul, d’où le nom de sécurité calculatoire. Il est en spécialistes du domaine.
effet raisonnable de penser que si, pour casser un système, il faut
utiliser un million de machines pendant un million d’années, alors
le système est sûr. En pratique, on suppose que pour casser un
système cryptographique, l’adversaire a accès à plusieurs ordina-
teurs. On peut quantifier le nombre d’opérations qu’il peut faire
ainsi que le nombre d’informations qu’il est capable de stocker. Par 2. Cryptographie symétrique
exemple, un ordinateur cadencé à 1 GHz effectue un milliard de
cycles par seconde, soit environ 2 30 opérations élémentaires en
1 s. Si un million d’ordinateurs à 1 GHz fonctionnent pendant cent La cryptographie symétrique est très souvent utilisée bien
mille ans, alors ils sont capables d’effectuer environ 2 92 opéra- qu’elle souffre de problèmes inhérents au fait qu’émetteur et
tions. D’un point de vue pratique, on dira qu’un système est sûr si récepteur doivent partager la même clé.
le nombre d’opérations minimales pour le casser nécessite plus de
2 80 opérations. Si on veut se protéger de manière plus sûre, on Le premier argument en faveur des systèmes symétriques est
augmentera le niveau de sécurité à 2128. qu’ils sont plus rapides que les systèmes asymétriques car ils uti-
lisent directement les instructions câblées des processeurs du
La formalisation de la sécurité d’un protocole n’a pas été sans commerce. En effet, la cryptographie à clé publique requiert l’utili-
difficulté. On verra (§ 2.2.1) que plusieurs définitions sont possibles sation de l’arithmétique sur les grands nombres qui n’est pas
pour définir la confidentialité d’un système de chiffrement. Les implémentée dans les processeurs des ordinateurs usuels.
preuves de sécurité permettent de relier le cassage d’un système
à un problème réputé difficile. Par conséquent, pour l’attaquant, il Dans un premier temps, nous présentons quelques primitives
n’existe pas de méthode permettant de casser le système crypto- (algorithmes de chiffrement par bloc, par flot et fonctions de
graphique sans savoir aussi résoudre le problème conjecturé diffi- hachage) qui permettent de construire les protocoles ou méca-
cile. Ainsi, il a tout intérêt à tenter de résoudre le problème nismes garantissant la confidentialité, l’intégrité et l’authentifi-
sous-jacent. D’un point de vue théorique, les cryptographes éta- cation de l’origine des données (systèmes de chiffrement et codes
blissent des relations entre différents problèmes de la même d’authentification de message : MAC).
H 5 210 − 4 © Techniques de l’Ingénieur, traité Sécurité des systèmes d’information
14
H5214
Distribution quantique de clés

cryptographiques DQC
1
par Patrick René GUILLEMIN
Ingénieur innovation, recherche et normalisation – ETSI Services
European Telecommunications Standards Institute / Institut européen des normes
de télécommunications, Sophia Antipolis, France
1. Connaissances nécessaires à la compréhension de la DQC ..... H 5 214 - 4

1.1 Rappel des bases en cryptographie quantique ..................................... — 4
1.2 Évolution de la DQC depuis 2008 ........................................................... — 5
1.3 Rappels sur le chiffre de Vernam et généralités sur la DQC ................ — 5
1.4 Principes et notions ardues de la DQC................................................... — 6
2. DQC et problématique de la cryptographie................................... — 10
2.1 Problème soulevé avec le chiffrement................................................... — 11
3. Quantum Safe Cryptography ............................................................. — 12
3.1 Livre blanc sur la sécurité et cryptographie résistante aux ordinateurs
quantiques................................................................................................ — 12
3.2 Outils cryptographiques à écarter .......................................................... — 12
3.3 Outils cryptographiques à retenir........................................................... — 13
3.4 Essais comparatifs ................................................................................... — 13
3.5 Évoluer vers la DQC................................................................................. — 14
4. Importance de la normalisation dans la DQC pour la QSC ....... — 4
4.1 Quel sont les enjeux ? ............................................................................. — 14
4.2 ETSI ........................................................................................................... — 14
4.3 Normalisation........................................................................................... — 15
4.4 Normes DQC à l’ETSI............................................................................... — 15
4.5 Contenu technique du programme de travail de la normalisation QKD — 15
5. Préparer le futur .................................................................................... — 15
6. Conclusion .............................................................................................. — 15
7. Glossaire – Définitions......................................................................... — 16
Pour en savoir plus ......................................................................................... Doc. H 5 214
et article est un état de l’art synthétique de la DQC (Distribution Quantique

C de Clés cryptographiques) vue sous l’angle de la normalisation, et en
particulier celui de l’ETSI (European Telecommunications Standards Institute).
Il présente des informations actualisées et élargies de la DQC normalisée,
suivies de l’introduction de la QSC (Quantum Safe Cryptography), venant ainsi
compléter l’article [NM 2 400] paru en 2008 sur la distribution quantique.
L’ETSI est un organisme officiel de normalisation dans les télécommunica-
tions, surtout connu pour ses standards GSM (4G/5G aujourd’hui). Composé
de 770 membres dans 62 pays, il regroupe aussi les acteurs majeurs de la DQC
dans l’ISG QKD (Industry specification Group, Quantum Key Distribution) en
assurant une collaboration internationale entre les experts.
L’échange sécurisé le plus critique sur les réseaux publics (Internet, courrier
physique) est celui permettant la mise en place de clés de chiffrement symé-
triques entre Alice et Bob. Cette étape préalable aux échanges de données est
primordiale. Sur Internet aujourd’hui, la cryptographie est une rude compéti-
tion entre les responsables de la sécurité des systèmes d’information
Parution : avril 2015
Copyright © –Techniques de l’Ingénieur –Tous droits réservés H 5 214 – 1
15
H5214
DISTRIBUTION QUANTIQUE DE CLÉS CRYPTOGRAPHIQUES DQC _____________________________________________________________________________
(gouvernementaux, militaires, industriels, financiers, médicaux) et les hackers

qui peuvent être des ennemis, des concurrents, des enquêteurs, des pirates
ayant de mauvaises intentions, ou parfois seulement des personnes qui aiment
relever des défis et partager leurs résultats sur Internet.
L’enjeu est donc de sécuriser globalement les communications de données,
ainsi que les informations stockées (et chiffrées) dans nos bases de données.
Nos systèmes d’information contiennent parfois des secrets à protéger pour
1 des dizaines d’années. Certaines données ont besoin d’une sécurité pérenne
dans le temps. En effet, grâce aux capacités de stockage gigantesques disponi-
bles à faibles coûts, les communications de données chiffrées et considérées
sûres aujourd’hui (surtout les plus sensibles) peuvent être conservées par les
hackers pour être décryptées ultérieurement. Ils peuvent en effet patienter
jusqu’à la découverte de failles de conception, ou de défauts de fonction-
nement. Le risque de décryptage devient de plus en plus important avec le
temps et surtout avec l’augmentation de la puissance de calcul informatique,
les découvertes mathématiques, les améliorations et innovations algorithmi-
ques et l’apparition progressive d’ordinateurs quantiques.
La puissance de calcul des ordinateurs en réseaux (grilles de calculs, de
services et de données, Cloud) est en augmentation permanente. De ce fait, les
algorithmes de déchiffrement utilisés (parfois faillibles) sont rendus de moins en
moins résistants à la cryptanalyse, d’autant moins résistants du fait de certaines
découvertes mathématiques (imprévisibles) concernant notamment la décompo-
sition de très grands nombres entiers en facteurs premiers. En cryptographie, le
temps énorme de calcul nécessaire à la décomposition de très grands nombres
entiers en produits de facteurs premiers permet dans la plupart des cas d’identi-
fier un niveau de complexité, et donc de mesurer le niveau de confiance que l’on
est en droit d’accorder à la solidité d’un moyen de chiffrement « classique ».
L’arrivée de la cryptographie quantique vient bouleverser tous les principes
précédemment décrits. On connaît en effet l’existence de certains prototypes
expérimentaux et peut-être (selon D-Wave Systems Inc.) l’avènement de nou-
veaux types d’ordinateurs spécialisés, mais déjà disponibles à la vente, capables
de réaliser très rapidement des calculs jusqu’ici inaccessibles aux ordinateurs
dits « classiques ». Lorsque les ordinateurs quantiques généralistes seront acces-
sibles en masse (à des prix accessibles), la question sera posée des dispositions à
prendre avec les systèmes de sécurisation globaux existants et des modifications
à apporter pour éviter la révélation de nos secrets par les ordinateurs quantiques.
Si l’informatique quantique n’en est qu’au stade expérimental, la crypto-
graphie quantique est, elle, une réalité. La distribution quantique des clés
cryptographiques (DQC) est un exemple de réalisation concrète de la crypto-
graphie quantique ayant déjà des applications dans les domaines de la sécurité
gouvernementale (sécurisation des élections), financière (sécurisation des clés
de chiffrement utilisées pour les transactions bancaires), militaire, informatique
(backup sécurisés entre des centres de calculs stratégiques) et médicale
(confidentialité à long terme des données médicales stockées).
À quel stade de maturité se trouve la cryptographie quantique (la DQC par
exemple) et pouvons-nous l’utiliser aujourd’hui pour garantir la sécurité
pérenne (forward-secure) de nos échanges et du stockage de nos données ?
Voici les questions auxquelles répond positivement cet article. Peut-on dire
aujourd’hui que nous utilisons des systèmes cryptographiques quantum-safe,
c’est-à-dire capables de résister aux attaques utilisant l’informatique
quantique ? La réponse est oui pour certains et non pour d’autres. L’article
indique également comment et pourquoi il est urgent d’améliorer dès mainte-
nant certains chiffrements et décrit quelles primitives cryptographiques sont
concernées. Quand cela est possible, il est précisé comment leur robustesse
quantique pourrait être renforcée et également comment nous pouvons déjà
utiliser la DQC pour offrir une sécurité pérenne dans le temps et dans les
limites actuelles des possibilités de déploiement.
Le manque de connaissances sur la cryptographie quantique et sa
complexité multidisciplinaire auraient pu freiner son développement. Nous
H 5 214 − 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés
16
H5214
______________________________________________________________________________ DISTRIBUTION QUANTIQUE DE CLÉS CRYPTOGRAPHIQUES DQC
verrons que c’est grâce à la métrologie, la certification et la normalisation de la

DQC dans le groupe de normalisation ETSI ISG QKD que ce risque a pu être
maîtrisé. Aujourd’hui, nous pouvons avoir confiance dans la DQC et dans son
déploiement. Afin de se familiariser avec cette nouvelle technologie incontour-
nable, il est important de s’informer maintenant, en suivant notamment
l’évolution du livre blanc sur la QSC et des normes sur la DQC, une manière
efficace de garder le contact avec la recherche spécialisée, l’industrie de pointe
et les hackers quantiques qui collaborent.
Pour en savoir plus sur la cryptographie « classique » (RSA, AES, DES), le 1
lecteur intéressé peut se référer à l’article [H 5 210].
Un glossaire présenté au paragraphe 7 apporte les définitions des termes et
expressions les plus utilisées dans l’article.
Sigles Significations Sigles Significations

AES Advanced encryption standard LI Lawful interception
APD Avalanche photo diodes M2M Machine-to-machine
BB84 Bennett et Brassard 1984 MAC Message authentication code
BBO β-Barium Borate NFC Near field communications
CFS Courtois, Finiasz et Sendrier NTRU N-th degree truncated polynomial ring
ou number theory research unit
COW Coherent one way
PKI Public key infrastructure
CRM Customer relationship management
PNS Photon number splitting
DARPA Defense advanced research projects agency
QBER Quantum bit error rate
DH Diffie-Hellman
QKD Quantum key distribution
DPS Differential phase shift
Qmeme Quantum memory
DQC Distribution quantique de clés cryptographiques
QMes Quantum measurement
DRM Digital rights management
QPQ Quantum private queries
DSA Digital signature algorithm
QRNG Quantum random number generator
E91 Artur Ekert 1991
QSC Quantum safe cryptography
ECC Elliptic curve cryptography
qubit Quantum-bit
ECDH Elliptic curve Diffie-Hellman
QuRep Quantum repeater
ECDSA Elliptic curve digital signature algorithm
RSA Ronald Rivest, Adi Shamir et Leonard Adleman
EPR Einstein-Podolsky-Rosen
SAGE Security algorithms group of experts
ESI Electronic signatures and infrastructures
SARG04 Scarani Acin Ribordy Gisin 2004
ETSI European telecommunications standards
SCP Smart card platform
institute
SECQOC Secure communication based on quantum
FTP File transfer protocol
cryptography
GHZ Greenberger-Horne-Zeilinger SKR Secret key rate
GNFS General number field sieve SMTP Simple mail transfer protocol
GS Group specification SPDC Spontaneous parametric down-conversion
GSM Global system for mobile communications SSH Secure shell
or group special mobile
SSL Secure sockets layer
HFE Hidden field equations
SSO Single sign on
IKE/IPsec Internet key exchange/ internet protocol security
SVP Shortest vector problem
IoT Internet of things
TC Technical committee
IQC Institute for quantum computing
TIC Technologies de l’Information
ISG Industry specification group de la Communication
ISI Information security indicators TLS Transport layer security
ISO International organization for standardization VoD Video-on-demand
ITS Information-theoretically secure VPN Virtual private network
JRC Joint research center WDM Wavelength division multiplexing
17
H5214
DISTRIBUTION QUANTIQUE DE CLÉS CRYPTOGRAPHIQUES DQC _____________________________________________________________________________
1. Connaissances nécessaires Que signifie le principe ITS ?

à la compréhension Un système de chiffrement est « sécurisé d’après la théorie
de l’information » si sa résistance découle purement de la théo-
de la DQC rie de l’information sans dépendre de moyens externes.
L’adversaire ne possède pas assez d’informations pour casser
le chiffrement. Ces systèmes cryptographiques sont considérés
incassables par cryptanalyse, même si l’adversaire a une puis-
1 1.1 Rappel des bases en cryptographie sance de calcul illimitée.

quantique
– la sécurité pérenne [4] portant sur un classement des proto-
L’article [NM 2 400], rédigé à l’époque de la finalisation du projet coles sécurisés d’échange de données suivant la pérennité de
européen [SECOQC] (Secure communication based on quantum l’information dans le temps (de la sécurité la moins pérenne à la
cryptography) permet de découvrir les principes physiques très plus pérenne) :
détaillés nécessaires à la compréhension de la DQC telle qu’elle • échange de générateurs de nombre aléatoires clés publiques
était connue en 2008. avec RSA, puis utilisation de clés privées symétriques avec
Les notions essentielles (dont les mises à jour sont présentées AES à travers Internet,
en italique) développées dans l’article [NM 2 400] portent chrono- • utilisation de chiffrement symétrique AES avec les clés pri-
logiquement sur : vées échangées par courrier sécurisé de DVD, préservant
l’information pour 5 ans,
– le quantum-bit (qubit) utilisé par le protocole de codage et
d’échange de clés BB84 (Bennett et Brassard d’IBM publié en • utilisation d’AES, mais avec un échange de clés avec la DQC
1984) [1] incluant le principe de détection d’espions grâce à la – potentiellement sûr pour 10 ans – sauf si des ordinateurs
mesure d’un taux d’erreur induit (par Eve sur le canal quantique quantiques sont disponibles avant,
dédié) devenant supérieur à 11% [2]. L’histoire a confirmé le suc- • et, le plus sûr, des échanges de clés du chiffre de Vernam [3]
cès du protocole BB84 (et ses variantes comme SARG04), il fallait (aléatoires) en continu avec la DQC et chiffrement / déchiffre-
aussi introduire l’intrication quantique et le protocole E91 qui a ment symétrique utilisant un XOR (ou exclusif bit par bit
pris aujourd’hui beaucoup d’importance ; entre les données et la clé jetable aléatoire de même taille) ;
Exemple :
Le quantum-bit se trouve dans une superposition (quanti-
que) linéaire des deux états de base notés |0> et |1>. On l’écrit Aujourd’hui, on dispose d’offres commerciales [IDQ14] offrant
sous forme d’un vecteur complexe de dimension 2 normé. Les jusqu’à plusieurs dizaines de Gb/s de débit de données chiffrées sur
fonctions d’onde, c’est-à-dire les distributions de probabilité de 80 km en effectuant une combinaison de protocoles DQC + AES-256
présence, à la base de la théorie quantique, sont issues de cal- sur une fibre optique dédiée à la DQC et un multiplexage en longueur
culs totalement déterministes. La source d’aléa est dans l’acte d’onde (WDM, wavelength division multiplexing) comme offerte par
d’observation lui-même, c’est-à-dire la mesure. Suite à une le produit Cerberis d’ID Quantique (IDQ).
mesure, le système quantique se fixe dans un état avec une
certaine probabilité, liée au carré de l’amplitude de l’état. Si – les réseaux de nœuds de confiance de DQC (QKD trusted
l’état est |Ψ> = α·|0> + β·|1> la probabilité de mesurer la valeur nodes) (§ 1.4.6) tels que définis par le projet SECOQC, ou bien des
|0> est |α|^2 et celle de mesurer |1> est |β|^2, avec α et β, des réseaux de DQC pouvant utiliser une technologie quantique
nombres complexes. comme les répéteurs quantiques (§ 1.4.7) [NM 2 400], alors au
stade expérimental mais aujourd’hui opérationnelle avec le projet
de recherche QuRep. En juillet 2014, une équipe de chercheurs
– la sécurité inconditionnelle introduite par la DQC car elle ne suisses et américains ont démontré la possibilité d’échanger des
dépend pas des moyens de calcul des espions ; clés avec un protocole quantique de DQC, et non pas des nœuds
de confiance de DQC (§ 1.4.6), sur 307 km [5] ;
– les risques exposés à moyen et long termes par les chiffre- – la description détaillée du protocole de DQC BB84 utilisant des
ments actuels : photons uniques polarisés sur deux bases différentes ; depuis
• asymétriques à échange de clés publiques – avec partage divers autres protocoles de sécurité [6] ont été proposés, tels que
d’informations sur les clés en clair à travers Internet, mais notamment la distribution quantique de clé utilisant la DPS (diffe-
cachées dans de très grands nombres – (comme RSA, Ronald rential phase shift quantum key distribution), le partage du secret
Rivest, Adi Shamir et Leonard Adleman, sur 2 048 bits ) avec quantique (differential-phase-shift quantum secret sharing), la
une dépendance de la sûreté du chiffrage aux capacités des communication quantique directe sécurisée (quantum entangle-
espions à factoriser rapidement les très grands entiers en ment for secret sharing and secret splitting) et les requêtes
produit de deux très grands nombres premiers, quantique privés QPQ (quantum private queries) ;
– la description physique très détaillée des moyens de générer
• et symétriques (comme AES, advanced encryption standard, (à l’époque) des photons uniques avec la mention de la possibilité
sur 128 ou 256 bits ) à clé privée avec le risque d’une intercep- d’effectuer (en théorie), une attaque sur le canal quantique
tion des valeurs de clés par Eve lors de l’échange des clés lorsqu’il y a deux photons (aléatoirement, il peut y en avoir 0,1 ou
(par courrier sécurisé /DVD ou par Internet avec RSA par 2) ; cette attaque est bien connue depuis 2000 sous le nom PNS
exemple) ; (photon number splitting attack) [7] [8] et les constructeurs savent
la contourner avec des protocoles améliorés ;
– l’algorithme de chiffrement « one-time pad » [3] aussi désigné
sous le nom de « chiffre de Vernam » ou « masque jetable », et – la description détaillée du codage « time-bin » inventé en
démontré inviolable par Shannon et la théorie de l’information. 1999 [9] qui a permis d’améliorer les distances utilisables du proto-
Notons que l’inviolabilité d’un algorithme par la théorie de l’infor- cole de DQC BB84, de nouveaux protocoles discrets ou états leur-
mation repose sur le principe ITS (information-theoretically res (decoy states) [10], COW (coherent one way) [11] et DPS
secure ). (differential phase shift) [12] ;
H 5 214 – 4 Copyright © –Techniques de l’Ingénieur –Tous droits réservés
18
H5870
Introduction à la stéganographie
1
par Fabien GALAND
Docteur Ingénieur R&D
Ministère de la Défense, laboratoire d’expertise, Paris, France
1. Terminologie ........................................................................................... H 5 870v2 - 2

2. Petite taxinomie des techniques numériques classiques .......... — 3
2.1 Dans les systèmes informatiques ............................................................ — 4
2.1.1 Systèmes de fichiers........................................................................ — 4
2.1.2 Exécutables....................................................................................... — 4
2.2 Dans les protocoles et dans l’authentification........................................ — 4
2.2.1 Protocoles réseaux........................................................................... — 4
2.2.2 Signatures numériques ................................................................... — 5
2.3 Dans les données numériques de type multimédia............................... — 7
2.3.1 Images............................................................................................... — 7
2.3.2 Audio................................................................................................. — 11
2.3.3 Vidéo ................................................................................................. — 11
3. Cadre théorique ..................................................................................... — 12
3.1 Premier modèle abstrait ........................................................................... — 12
3.2 Second modèle plus réaliste .................................................................... — 13
4. Insertion adaptative.............................................................................. — 14
4.1 Code de Hamming .................................................................................... — 15
4.2 Efficacité d’insertion et matrix embedding — 15
4.3 Wet paper codes ....................................................................................... — 16
4.4 Codes pour la minimisation de la distorsion .......................................... — 17
5. Conclusion............................................................................................... — 19
6. Glossaire – Définitions ......................................................................... — 19
Pour en savoir plus ........................................................................................ Doc. H 5 870v2
e contrôle des flux d’information est un problème central pour la sécurité

L d’un système quel qu’il soit : une entreprise, un État, un particulier ; tous
ont des documents à préserver du regard d’autrui. Cela entraîne, par exemple,
la volonté de s’assurer de la confidentialité du transfert d’informations, de nos
jours pris en charge via des mécanismes cryptographiques. À défaut de savoir
exactement ce qui peut arriver à la communication, on peut se prémunir des
indiscrétions en chiffrant les données. Cependant, ces mécanismes cryptogra-
phiques peuvent ne pas être disponibles, comme c’était encore le cas en
France jusqu’à la fin des années 1990, où seule une cryptographie faible
pouvait être utilisée sans disposition spéciale. Dans ces conditions, assurer la
confidentialité relève d’autres techniques, notamment de la stéganographie.
Étymologiquement, « stéganographie » a pour signification « écriture cachée ».
Autrement dit, l’objectif principal est de communiquer sans que cela se voie. Pour
cela, il n’y a pas de mystère, il doit déjà exister une communication que la stéga-
nographie va détourner de son utilisation classique afin de pouvoir inclure de
l’information additionnelle aussi discrètement que possible. Malheureusement,
les algorithmes stéganographiques sont très dépendants de la structure des
données dans lesquelles se fait l’insertion : c’est assez logique, les modifications
devant être imperceptibles, il faut altérer les données dans les endroits les plus
discrets, ce qui dépend fortement du type des données (audio, image…) et de
leur format de représentation (JPEG, GIF, MP3…). Donc, contrairement à la cryp-
Parution : février 2015
tographie, nous avons affaire à un ensemble de techniques très variées

dépendant des différents formats, même si certaines caractéristiques peuvent
perdurer d’un format à l’autre pour un même type de données.
Copyright © –Techniques de l’Ingénieur –Tous droits réservés H 5 870v2 – 1
19
H5870
INTRODUCTION À LA STÉGANOGRAPHIE ________________________________________________________________________________________________
Le premier argument que nous avons mentionné pour motiver l’intérêt d’une
étude de la stéganographie lui donne le beau rôle : assurer la confidentialité.
Certes, lorsque cette confidentialité sert à dissimuler aux yeux de la justice des
actions illégales, ce rôle est déjà moins clairement positif. Mais le réel pro-
blème que pose la stéganographie est celui de la fuite d’information : l’objet
même de la stéganographie est de dissimuler l’existence du message, ce qui
est en contradiction évidente avec toute politique raisonnable de sécurité, un
1 système devant être en mesure de savoir quel type d’information circule (à

défaut d’en connaître exactement le contenu) de manière à éviter la divulga-
tion de données sensibles.
C’est précisément à ce problème que les États-Unis et l’Union soviétique ont
été confrontés lors d’un traité sur la prolifération des armes nucléaires
(SALT 2). Les protagonistes étudiaient un dispositif devant permettre de
détecter la présence de missiles dans les silos, sans révéler les emplacements
des silos. Parmi les contraintes imposées au système, il devait empêcher une
manipulation de l’information à transmettre et également ne pas pouvoir
transmettre plus d’information que nécessaire. Gustavus Simmons, qui a parti-
cipé à l’évaluation du système proposé, explique [17] comment il était possible
d’exploiter une faille du système pour transmettre une dizaine de bits de façon
sûre, c’est-à-dire indétectable.
Ce type d’étude constitue la stéganalyse, en d’autres termes la contrepartie
de la stéganographie, dont l’objet est la détection de l’utilisation de la stégano-
graphie. L’idéal serait bien entendu de pouvoir empêcher l’utilisation de la
stéganographie, mais c’est probablement une tâche trop ambitieuse, et être
capable d’identifier la présence de messages cachés est déjà en soi une vic-
toire sur la stéganographie.
Nous aborderons le problème de la dissimulation dans trois catégories de
données numériques : les données liées au fonctionnement des systèmes
informatiques ; les données échangées par ces systèmes ; et enfin les données
multimédias. Le nombre de techniques de dissimulation étant très important,
nous avons fait des choix cherchant à concilier, d’une part, l’illustration de la
diversité des supports possibles et, d’autre part, les concepts récurrents uti-
lisés en stéganographie. Cependant, l’image ayant toujours été un support de
prédilection dans ce domaine, la partie correspondante est un peu plus déve-
loppée. Nous présenterons ensuite un cadre théorique permettant de définir
formellement les attentes sur un système stéganographique. Enfin, pour ter-
miner, nous présenterons les techniques actuellement utilisées pour réduire la
détectabilité de la dissimulation, que cela soit en minimisant le nombre de bits
modifiés, en assurant que certains bits, déterminés en fonction du document,
ne soient pas modifiés, ou encore en prenant en compte une mesure fine de la
détectabilité induite par chaque modification potentielle. Ce sera également
l’occasion de revenir sur les algorithmes stéganographiques dédiés aux
images en illustrant l’usage que ces algorithmes font de ces techniques et les
améliorations qui en résultent.
Un glossaire est présenté à la fin de l’article.
– le tatouage (watermarking ) ;
1. Terminologie – les filigranes (fingerprinting ).
La stéganographie se réfère à la dissimulation de messages, La question de l’anonymat fait appel à des techniques un peu dif-
mais cela peut prendre plusieurs formes qu’il est, dans certains férentes et nous n’aborderons pas ce thème ici, mais il est usuelle-
cas, nécessaire de distinguer. L’expression anglo-saxonne infor- ment admis que cette problématique relève de l’information hiding.
mation hiding désigne l’ensemble de ce qui touche à la dissimula- Le tatouage correspond à l’insertion de marques destinées à identi-
tion d’information, ce qui comprend essentiellement : fier le propriétaire de droit sur un document (copyright ) et les fili-
– la stéganographie à proprement parler, c’est-à-dire la dissimu- granes ont pour objet de tracer les copies d’un document (numéro
lation avec pour but la confidentialité de l’existence de la de série). En fait, le tatouage et les filigranes ont comme problème
communication ; commun l’insertion de données dans le document et les techniques
– les techniques pour rendre anonymes les communications ; utilisées sont fort semblables à celles de la stéganographie.
H 5 870v2 − 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés
20
H5870
________________________________________________________________________________________________ INTRODUCTION À LA STÉGANOGRAPHIE
Aperçu historique de quelques techniques
Bien que n’étant qu’un domaine d’étude récent, la stéganogra- Un autre type de technique consiste à créer le message anodin
phie est un art ancien dont l’origine remonte au moins à l’Antiquité. à partir du secret. L’acrostiche, qui consiste à cacher un message
Hérodote explique dans son ouvrage Histoires (environ 440 avant dans les premières lettres de chaque vers, a été très employé,
notre ère) que pour organiser une révolte contre les Perses, on avait l’exemple classique étant du poète italien Boccace (XIVe siècle) :
rasé la tête d’un esclave pour y tatouer un message : une fois les Amorosavisione est un recueil de poèmes dont les premières let-
cheveux repoussés, le message était devenu invisible. Signalons
que cette technique fut employée au début du siècle dernier par des
espions allemands. Hérodote mentionne une autre technique, utili-
tres de chaque tercet révèlent trois sonnets. À leur tour, les son-
nets cachent un mot que l’on peut lire en ne prenant que la
première lettre des vers et en sautant un vers sur deux. Un autre
1
sée par Démarate, roi de Sparte qui fut destitué, pour prévenir exemple célèbre est la lettre que George Sand envoya à Alfred de
Sparte de l’intention d’invasion de son voisin, l’Empire perse, à la Musset (XIXe siècle). Il faut lire ici une ligne sur deux, ce qui
tête duquel se trouvait Xerxès. À l’époque, des tablettes de bois révèle un message pour le moins plus direct :
recouvertes de cire étaient utilisées pour envoyer des messages. Le
message à envoyer était inscrit sur la cire, une fois arrivée à destina- Je suis très émue de vous dire que j’ai
tion, la tablette pouvait être réutilisée ; il suffisait d’enlever la cire et bien compris, l’autre jour, que vous avez
de mettre une nouvelle couche prête à accueillir un nouveau mes- toujours une envie folle de me faire
sage. Démarate eut l’idée de graver le message à même le bois danser. Je garde un souvenir de votre
avant de recouvrir les tablettes de cire. Une fois recouvertes, les baiser et je voudrais que ce soit
tablettes paraissaient vierges. là une preuve que je puisse être aimée
Peu après, on trouve les traces de différentes techniques stéga- par vous. Je suis prête à vous montrer mon
nographiques dans La défense des places fortes d’Énée le Tacti- affection toute désintéressée et sans cal-
cien datant du IIIe siècle avant notre ère. Citons l’idée de marquer cul. Si vous voulez me voir ainsi
certaines lettres d’un message anodin par de petits trous ou dévoiler, sans aucun artifice, mon âme
encore par la hauteur des lettres, permettant ainsi de dissimuler toute nue, daignez donc me faire une visite.
un secret : dans le premier cas, le message caché est obtenu en Et nous causerons en amis et en chemin.
relevant les lettres au-dessous desquelles se trouve un petit trou ; Je vous prouverai que je suis la femme
dans le second cas, deux tailles de caractères sont utilisées, le sincère, capable de vous offrir l’affection
message étant constitué des lettres soit de petite taille, soit de la plus profonde et la plus étroite
grande taille selon la convention adoptée pour l’échange. amitié, en un mot, la meilleur amie
que vous puissiez rêver. Puisque votre
Plus proche de nous, signalons l’utilisation de l’encre sympathi-
âme est libre, alors que l’abandon où je
que. Sous cette dénomination se cache tout liquide nécessitant
vis est bien long, bien dur, et bien souvent
une action pour devenir visible, comme par exemple le jus de
pénible, ami très cher, j’ai le cœur
citron révélé par la chaleur. L’encre sympathique était encore utili-
gros, accourez vite et venez me le
sée au début du XXe siècle pour marquer les lettres d’un mes-
faire oublier. À l’amour, je veux me sou-
sage, à la manière d’Énée le Tacticien.
mettre.
Dans un style proche des exemples déjà donnés se trouve le
microfilm. À l’initiative du photographe français René Dagron, qui Dans un style plus musical, on trouve dans Schola Steganogra-
avait déjà déposé un brevet sur ce procédé à la fin des années phica, ouvrage datant du XVIIe siècle et dû au physicien allemand
1850, le microfilm fut utilisé, lors du siège de Paris, pendant la Gaspar Schott, la description d’un système pour dissimuler un
guerre franco-prussienne, pour faire passer des informations par message dans une partition musicale, une lettre étant simplement
pigeon voyageur au-delà des lignes ennemies. Cependant, ce transformée en une note. Clairement, le simple fait de connaître le
n’est véritablement que durant la Première Guerre mondiale que solfège détruit tout espoir de dissimulation, mais ce n’était pas
l’idée atteint sa maturité avec un usage intensif des micropoints une chose courante à l’époque.
dans les communications avec les espions. Les messages fai-
saient l’objet de réductions successives jusqu’à obtenir des tailles Dans cette catégorie de techniques visant à créer le message
de l’ordre du signe de ponctuation, les micropoints. Ils étaient anodin autour du secret, on peut inclure les systèmes par
alors simplement publiés dans la presse où les destinataires pou- convention. Un exemple fréquemment cité est celui d’un message
vaient en prendre librement connaissance. envoyé durant la Seconde Guerre mondiale, « Father is dead »,
qui fut transformé par la censure de l’époque en « Father is
Dans les années 1980, il semble que Margaret Thatcher, alors deceased ». La réponse fut éloquente : « is Father dead or
Premier ministre britannique, ait demandé de faire modifier le deceased ? ».
logiciel de traitement de texte utilisé par les membres du gouver-
nement, cela afin de dissimuler, dans les espaces séparant les Nota : respectivement « Père est mort », « Père est décédé », « Père est-il mort ou
mots, l’identité de la personne utilisant le traitement de texte. décédé ? ».
D’autre part, la stéganographie (dans le sens de la confidentialité

de l’existence de la communication) est découpée en différents 2. Petite taxinomie
domaines de manière plus ou moins claire. des techniques
Certains auteurs préfèrent parler de covert channel (cf. l’article
Canaux cachés [H 5 860]) à la place de stéganographie lorsqu’il
numériques classiques
s’agit de protocoles de communication, et on trouve également
subliminal channel pour les communications authentifiées. De nos jours, l’essentiel de l’information transite sous une forme
numérique. Nous allons porter un intérêt tout particulier aux techni-
On trouve aussi la distinction entre stéganographie sémantique ques utilisant ce format. Cette partie a trois principaux objectifs :
et physique, respectivement pour la création du document anodin
autour du message (du type de l’acrostiche) et pour la modification – illustrer la diversité des supports stéganographiques ;
d’un document anodin déjà existant. Nous ne ferons pas ce type – illustrer la dépendance des techniques aux types de données
de distinction. et aux formats utilisés pour les représenter ;
21
H5870
INTRODUCTION À LA STÉGANOGRAPHIE ________________________________________________________________________________________________
– introduire des éléments qui nous serviront à donner des 2.1.2 Exécutables
exemples concrets des concepts théoriques que nous aborderons
dans la partie suivante, principalement autour de la stéganogra- Une autre possibilité est d’exploiter de l’espace effectivement
phie dans les images. alloué mais qui, dans les faits, n’est pas utilisé. Dans le code
assembleur des exécutables, il arrive que l’on trouve des « nop » à
la fin des fonctions (figure 2). Ces « nop » sont des instructions fai-
sant partie intégrante du code. Ils sont donc également stockés,
2.1 Dans les systèmes informatiques mais, d’une part, ils ne sont pas exécutés car ils sont situés après
1
l’instruction rendant la main à la fonction appelante, et, d’autre
Les systèmes informatiques sont le média de transit par excel- part, ils signifient no operation et donc, quand bien même ils
lence des informations numériques, mais peuvent également abri- seraient effectués, ils ne feraient rien. Il est donc possible de les
ter directement en leur sein des mécanismes propices à la remplacer par ce que l’on veut sans modifier ni le comportement
stéganographie. du programme, ni l’espace occupé. L’inconvénient est qu’un
simple affichage du code assembleur modifié indiquera la pré-
sence d’une information qui a priori n’a rien à y faire. En effet, s’il
2.1.1 Systèmes de fichiers est normal de trouver une série de « nop » dans un code, une suite
de bits aléatoires éveille fortement les soupçons.
La manière dont les données sont stockées au travers de systè-
mes de fichiers laisse la possibilité d’utiliser des techniques Une technique différente, mais utilisant également les program-
stéganographiques : l’espace physique utilisé pour garder des mes informatiques est de modifier le code source sans que cela
données est rarement égal à la taille réelle des données. Si on aboutisse à un comportement différent : il est par exemple facile
prend l’exemple d’un disque dur, ce dernier est découpé en blocs, d’ajouter des tests inutiles dont une partie n’est jamais effectuée. La
par exemple 4 096 bits par défaut pour les systèmes de fichiers structure de l’imbrication des tests permet alors de dissimuler de
ext2 (utilisés par le système d’exploitation Linux) et NTFS l’information. Cependant, cela ne peut se faire sans une réécriture
(Windows), mais la taille des blocs peut être augmentée jusqu’à profonde du code source avec les problèmes que cela peut soulever.
64 ko pour NTFS. Pour stocker un fichier, le système le découpe en
un nombre de morceaux tel que chaque morceau puisse être logé
dans un bloc. Comme un fichier a rarement une taille multiple de 2.2 Dans les protocoles
la taille des blocs, le dernier bloc utilisé pour stocker le fichier n’est et dans l’authentification
pas, en général, totalement rempli. Ainsi, un fichier de 6 ko stocké
sur un système utilisant une taille de bloc de 4 ko occupera deux
blocs, soit en pratique 8 ko. L’espace restant, appelé « espace 2.2.1 Protocoles réseaux
interstitiel » (8 – 6 = 2 ko ici), n’est pas utilisé par le système qui le
Nous avons donné quelques exemples montrant comment on
considère malgré tout comme occupé car il est pratique de ne pas
pouvait utiliser des informations stockées sur une mémoire de
avoir un bloc utilisé par deux fichiers différents. Cependant, cela
masse pour dissimuler des données. Un inconvénient est qu’il faut
ne signifie en rien que cette place ne puisse pas être utilisée. Il est
pouvoir disposer d’un accès à cette mémoire, ce qui n’est pas tou-
possible d’écrire des données dans cette partie du bloc. Si la taille
jours simple, et ce qui, de toute façon, restreint le domaine d’utili-
des données dépasse l’espace interstitiel disponible dans un seul
sation. Bien qu’il soit concevable de ménager un accès aux
bloc, il faut découper les données, les écrire sur autant de blocs
informations modifiées (il est certes possible de mettre des exécu-
que nécessaire, et garder une trace des blocs utilisés et de l’ordre
tables en téléchargement libre sur le Web), il est probablement
dans lequel ils doivent être lus pour récupérer les données. Autre-
plus pratique de recourir à une communication préexistante
ment dit, cela revient à employer une sorte de second système de
lorsque cette dernière est disponible. Cette communication
fichiers. Le problème de cette technique vient du fait que les
préexistante, par exemple une connexion Internet, peut alors être
fichiers peuvent être modifiés, déplacés, effacés, etc., et par
utilisée de manière indépendante des données qui y transitent par
conséquent, l’espace interstitiel d’un bloc peut évoluer sans préve-
une simple adaptation du protocole ou encore en profitant des
nir, écrasant ainsi l’information qu’on y aura dissimulée. Remar-
failles de ce dernier. Nous illustrons ces principes pour les proto-
quons que cela ne s’applique qu’à des supports réinscriptibles, et
coles IP et TCP, mais le champ d’application est plus large et, au
donc pas à un CD-Rom non réinscriptible. Une variante consiste à
moins sur le principe, tout protocole peut s’y prêter.
utiliser directement des blocs vierges. Elle souffre bien entendu du
même problème, voire, y est même légèrement plus sensible puis- § IP (Internet Protocol )
que, au vu du système de fichiers, les blocs étant vides, ils sont
susceptibles d’être alloués, et donc modifiés à la moindre écriture Le format des données échangées dans le protocole Internet (IP)
de données sur le disque. Il existe différents outils disponibles sur est représenté sur la figure 3. Parmi les champs potentiellement
le Web, de bas niveau comme bmap et slacker, qui permettent intéressants se trouvent les champs 5, 6, 7 et 10.
d’analyser en détail les blocs utilisés et de récupérer l’espace Les champs 5 à 7 sont relatifs à la fragmentation : la longueur de
interstitiel à la main (fonctionnent pour le système de fichiers ext2 la trame d’origine peut s’avérer trop importante, la trame doit alors
utilisé par Linux). On peut utiliser aussi des outils plus « clefs en être découpée en plusieurs trames de plus petite longueur. Ces
main » comme stegFS, qui est un véritable système de fichiers trois champs permettent de reconstruire la trame d’origine à partir
stéganographique [19]. des fragments.
Le champ 6 est constitué de trois bits x1x2x3 :
Bmap permet de connaître la taille de l’espace interstitiel via
– x1 est purement inutile à l’heure actuelle, il est demandé de le
l’option –mode slackbytes. Dans l’exemple de la figure 1, on obtient
mettre à 0 ;
4 030 octets pour le fichier fichier_quelconque.nk. Cela est conforme
– x2 interdit une éventuelle fragmentation (x2 = 1) quitte à devoir
à la taille de bloc utilisée par la partition (4 096 octets) et à celle du
détruire la trame ;
fichier puisque la commande ls indique une taille de 66 octets pour
fichier_quelconque.nk, on a donc bien 4 096 – 66 = 4 030. L’option – x3 indique si la trame n’est pas dernier fragment (x3 = 1).
–mode checkslack permet de détecter une utilisation de l’espace Le bit x1 peut donc être utilisé directement pour dissimuler des
interstitiel. Enfin, les options –mode putslack et –mode slack servent données – il existe plusieurs bits dans le même cas, prévus pour
respectivement à mettre des données dans l’espace interstitiel et à des utilisations futures. D’autre part, si x3 est à 0, c’est-à-dire en
les afficher. Précisons également qu’il est possible de vider l’espace l’absence de fragmentation, le protocole IP requiert que les
intertisitiel avec bmap en utilisant l’option –mode wipeslack. champs 5 et 7 soient nuls. Une première solution pour dissimuler
H 5 870v2 – 4 Copyright © –Techniques de l’Ingénieur –Tous droits réservés
22
H5870
________________________________________________________________________________________________ INTRODUCTION À LA STÉGANOGRAPHIE
loki% ls -l
-rw-r--r-- 1 root root 14 Sep3 12:51 data.txt
-rw- -- - - - 1 root root 66 Sep3 12:52 fi chier_quelconque.nk
loki% cat data.txt
message cache
loki% bmap -mode sla ckbytes fi chier_quelconque.nk
4030
loki% bmap -mode checkslack fichier_quelconque.nk
1
fichier_quelconque.nk does not have sla ck
loki% cat data.txt | bmap -mode putsla ck fichier_quelconque.nk
stu ffing blo ck 167 1696
file si ze was: 66
slack size: 4030
block size: 4096
fichier_quelconque.nk has sla ck
loki% bmap -mode sla ckbytes fi chier_quelconque.nk
getting from blo ck 167 1696
file si ze was: 66
slack size: 4030
block size: 4096
message cache
loki% bmap -mode wipeslack fichier_quelconque.nk
stu ffing blo ck 167 1696
file si ze was: 66
slack size: 4030
block size: 4096
write error
write error
write error
fichier_quelconque.nk does not have sla ck
Figure 1 – Exemple d’utilisation de bmap
de l’information consiste à ne pas respecter ces recommandations, fiables, ces fonctions nécessitent plus que les 16 bits de sortie qui
mais cela est très visible, une simple analyse du trafic montrera constituent le champ 10 (au moins 80 bits en l’état actuel), ce qui
que des données anormalement formatées circulent. allonge beaucoup l’en-tête.
En fait, la faiblesse est ailleurs. Lorsqu’une trame est fragmentée § TCP (Transport Control Protocol )
par un module Internet, ce module attribue un identifiant à la
trame et le copie dans le champ 5. Lorsque plusieurs trames sont Une situation fort semblable est également présente dans le pro-
fragmentées, cet identifiant permet de recombiner les différents tocole de contrôle de transmission qui peut être utilisé comme une
fragments sans mélanger les trames. Le problème provient du fait surcouche du protocole IP et dont le but est de fournir une
que rien n’empêche de tirer ces identifiants au hasard ou bien d’y connexion fiable entre deux éléments d’un réseau. Le protocole
placer des données. C’est exactement ce que fait cover_tcp dont on débute par un échange de trois trames destinées à synchroniser
peut trouver le code source en langage C dans l’article présentant l’émetteur et le récepteur. La première trame comporte un entier id
ce type de détournement du protocole IP [16]. qui va servir à numéroter les trames de manière à pouvoir réor-
donner correctement ces dernières à l’arrivée. Le récepteur envoie
Le champ 10 est également susceptible de véhiculer des infor-
une trame d’acquittement, comportant l’entier id + 1 pour signaler
mations. Le but de ce champ est de pouvoir s’assurer tout au long
la bonne réception de la première trame, et enfin, l’émetteur
du transfert de la trame sur le réseau que l’en-tête est valide,
envoie un acquittement pour la réception de la seconde trame.
qu’elle n’a pas subi d’erreurs de transmission. Malheureusement,
Ensuite commence l’échange de données. C’est dans le choix de
il est assez simple d’y mettre n’importe quelle valeur et de calculer
l’entier id que l’on peut dissimuler de l’information.
les autres paramètres en fonction de cette valeur, notamment en
utilisant le champ d’options [1]. C’est un problème bien connu en
cryptographie où, lorsque l’on souhaite s’assurer de l’intégrité 2.2.2 Signatures numériques
d’un message, on utilise une fonction de hachage à sens unique,
c’est-à-dire telle qu’il est difficile de calculer un message pour L’authentification (cf. article [H 5 510]) est une fonctionnalité de
lequel la fonction renvoie une valeur donnée. Utiliser une fonction plus en plus importante pour les communications numériques. De
de ce type pourrait résoudre le problème, mais hélas, pour être façon générale, c’est un algorithme de chiffrement à clef publique
23
1
24
E3440
Cartes à puces
Technologie et cybersécurité
par Jean-Pierre TUAL
Ancien directeur des relations industrielles,
1
Direction technologie et innovation, Gemalto
Auteur de la version originale de l’article 2007
Stéphane GRELLIER
Mobile software security & services manager ,
Gemalto, Meudon, France
Auteur de la version actualisée de 2019
Joseph LEIBENGUTH
Physical document security R&D product director – Technical advisor,
Gemalto, Saint-Cloud, France
et Philippe PROUST
Embedded & core security director,
Gemalto, Géménos, France
1. Développements des cartes à puces et leurs applications .... E 3 440v2 – 2

1.1 Évolution des cartes à puces ............................................................. — 2
1.2 Applications et marchés de la carte à puces ..................................... — 3
2. Semi-conducteurs pour cartes à puces ...................................... — 4
2.1 Technologies ....................................................................................... — 4
2.2 Composants en logique câblée ......................................................... — 5
2.3 Microcalculateurs ............................................................................... — 6
3. Cryptologie et sécurité .................................................................. — 7
3.1 Cryptographie ..................................................................................... — 7
3.2 Sécurité physique et logique des cartes à puces .............................. — 10
3.3 Certification ........................................................................................ — 12
4. Construction .................................................................................... — 12
4.1 Principes de construction .................................................................. — 12
4.2 Interconnexion des composants ........................................................ — 13
4.3 Encartage ............................................................................................ — 13
4.4 Connectique........................................................................................ — 14
4.5 Évolution vers le « sans contact » ..................................................... — 14
4.6 Contraintes particulières des documents d’identité gouvernementale — 14
4.7 Aperçu de l’écosystème industriel .................................................... — 15
5. Systèmes d’exploitation ................................................................ — 15
5.1 Explication globale et mécanismes de base ..................................... — 15
5.2 Systèmes d’exploitation fermés ........................................................ — 17
5.3 Systèmes d’exploitation ouverts ....................................................... — 18
6. Normalisation .................................................................................. — 20
6.1 Information globale et situation ........................................................ — 20
6.2 Caractéristiques physiques des cartes et position des contacts
électriques .......................................................................................... — 21
6.3 Interface électrique des cartes ........................................................... — 21
6.4 Protocoles d’échanges ....................................................................... — 21
6.5 Jeu de commandes inter-industries .................................................. — 22
7. Perspectives d’avenir ..................................................................... — 23
8. Termes ou abréviations.................................................................. — 24
Parution : décembre 2019
Pour en savoir plus.................................................................................. Doc. E 3 440v2
Copyright © - Techniques de l’Ingénieur - Tous droits réservés E 3 440v2 – 1
25
E3440
CARTES À PUCES ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
e nom de carte à puces est couramment utilisé pour désigner des supports
L de sécurité en matière plastique aux mêmes dimensions qu’une carte de
crédit et qui contiennent un circuit électronique intégré capable de mémoriser
ou de traiter les informations. L’AFNOR (Association Française de Normalisa-
tion) a retenu le terme de cartes à microcircuits à contacts, car l’interface élec-
trique de ces cartes est assurée par des liaisons galvaniques. Des cartes à inter-
face sans contact, basée sur la liaison radiophonique, se sont imposées depuis
1
plusieurs années, et ont permis l’adoption de nouveaux facteurs de forme
comme le passeport électronique. Ils sont aujourd’hui au cœur de la croissance
avec l’adoption du paiement sans contact par un nombre croissant de pays.
La carte à puces, dont la gestation a pu sembler très longue, est à la base de la
sécurité des systèmes informatiques. Elle a désormais fait ses preuves dans de
nombreux secteurs de l’activité humaine en tant que moyen de paiement,
d’identification sur les réseaux fixes (de type Internet), mobiles (GSM ou
UMTS) ou multimédia (télévision à péage), d’authentification pour les services
gouvernementaux (cartes d’identité, passeports électroniques). La carte SIM, ou
USIM, clé d’accès aux réseaux de téléphonie mobile, et son équivalent Secure
Element (SE) pour l’internet des objets (IoT), au facteur de forme plus petit,
constitue probablement le composant électronique intelligent le plus utilisé
dans le monde (5,6 milliards d’unités vendues en 2017 !). De même, la carte
bancaire à microcalculateur, dont l’utilisation s’est généralisée en France depuis
1992, a connu une croissance quasi exponentielle avec une généralisation de
son utilisation en Europe, au Japon, en Chine, ainsi qu’aux États-Unis en ver-
sion sans contact.
Grâce aux progrès continuels des semi-conducteurs, des technologies de
fabrication et de l’évolution des techniques de programmation utilisables, des
développements considérables de la carte à puces ont pu avoir lieu et se pour-
suivent. La carte à puces et ses variantes constituent, pour beaucoup d’applica-
tions, une solution particulièrement bien adaptée aux enjeux socio-économi-
ques de notre société.
L’objet de cet article est d’apporter une vue d’ensemble sur les briques tech-
nologiques développées spécifiquement pour les cartes à puces et sur leur
importance dans la fiabilité et la sécurité physique et logique de ce produit. La
diversité des compétences requises pour concevoir les cartes à puces, produire
le composant électronique et la carte dans son ensemble, fabriquer les cartes à
plusieurs milliards d’unités par an, explique la force de cette industrie et le
potentiel qu’elle offre dans le futur.
En électronique et en informatique, il existe un grand nombre d’abréviations
et de termes anglais, ils sont repris en tant que tels en fin d’article.
nombreux brevets qui ont pavé le chemin de la carte à puces.

1. Développements des cartes Parmi les pionniers, on peut citer les Américains Pomeroy (1967),
à puces et leurs Ellingboe (1970), Castrucci (1971), Halpern (1972), le Japonais Ari-
mura (1970), et les Français Moreno (1974), Ugon (1977) et Guillou
applications (1979). La plupart de ces brevets n’ont pas donné lieu immédiate-
ment à des réalisations, car ils anticipaient souvent sur les techni-
ques disponibles.
& En France, Cll-Honeywell-Bull consacra des moyens de recher-
1.1 Évolution des cartes à puces che importants, dès 1975, afin de définir l’architecture des compo-
sants et de trouver les moyens de réalisation des cartes. Ces recher-
& Dès 1967, l’utilisation d’un composant électronique doté d’une ches débouchèrent le 21 mars 1979 sur la carte à microprocesseur,
mémoire dans une carte de crédit a fait l’objet de réflexions aux après une coopération étroite avec Motorola. Ce fut la première
États-Unis, au Japon et en Europe, comme en témoignent les très carte à puces fonctionnant réellement. Appelée CP8, cette carte
E 3 440v2 – 2 Copyright © - Techniques de l’Ingénieur - Tous droits réservés
26
E3440
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– CARTES À PUCES
était composée de deux puces, et elle fut essentielle pour prouver Le Conseil des Communautés européennes adopta en 1987 une
la faisabilité des concepts, convaincre les utilisateurs potentiels et recommandation (87/371/CEE), pour l’introduction coordonnée de
lancer des expérimentations. communications mobiles terrestres publiques numériques paneu-
La Direction générale des télécommunications (DGT) commença ropéennes, et une directive (87/372/CEE), relative aux bandes de
alors à jouer un rôle moteur, multipliant les expériences, lançant fréquence à réserver au système cellulaire. Les recommandations
dès 1980 des actions de normalisation et mettant à contribution de l’époque spécifièrent, en outre, que les services commerciaux
ses propres organismes de recherche sur cette nouvelle technolo- devaient démarrer en 1991. Le programme prit en fait un peu de
gie, dont le Centre national d’études des télécommunications retard. Ce n’est en effet qu’au 1er juillet 1991 qu’eut lieu en Belgique
la première communication entre un mobile GSM et le réseau télé-
1
(CNET), le Centre commun d’études de télédiffusion et télécommu-
nications (CCETT) puis, plus tard, le Service d’études communes de phonique fixe. Le démarrage s’accéléra rapidement en France, en
la poste et de France télécom (SEPT). Sous cette impulsion, les Italie et dans les Pays Scandinaves. Dès 1992, tout en conservant
sociétés Schlumberger et Philips se lancèrent à leur tour dans la son abréviation, le GSM fut rebaptisé « Global System for Mobile
course en explorant des voies différentes. Communications ». Un changement de nom symbolique, illustrant
parfaitement le passage du concept de laboratoire à celui de pro-
En 1980, le CCETT et Bull mirent au point la première carte duit commercial. Dès 1995, Gemplus avançait des ventes cumulées
d’abonnement « Antiope », et la première expérience mondiale de de plus de 120 millions de cartes SIM…
télépaiement à domicile fut réalisée en 1981 à Vélizy avec la Poste
en utilisant la carte CP8 bi-puces. & Avec ces deux segments de marché bien établis, les innovations
technologiques ont depuis connu une accélération sans précédent :
& Dans le monde de la téléphonie, les premières télécartes mises première carte à coprocesseur RSA développée par Philips en 1992,
au point par Schlumberger et Thomson virent le jour dans les introduction de la carte de santé SESAM-Vitale en France par Bull
publiphones en 1983. En 1988, cinq ingénieurs de la société Thom- CP8 dès fin 1996, introduction des premiers systèmes de porte-
son quittèrent la société pour fonder Gemplus Card International, monnaie électronique par Bull-CP8 en 1996, démonstration de la
qui obtiendra dès l’année suivante sa première commande d’un première carte Java par Schlumberger en 1997 (ce qui allait avoir
million de télécartes de France Télécom. Dopé par la formidable une importance considérable pour l’ensemble du marché, nous y
demande des opérateurs, notamment en France, au Mexique et en reviendrons plus loin), première carte Internet par Bull-CP8 en
Chine, le marché atteint vite les 30 millions d’unités en 1990 pour 2000, première carte à l’interface USB par Schlumberger en 2002,
dépasser 200 millions de cartes en circulation en 1992, et culminer pour ne mentionner que quelques exemples significatifs.
à plus du milliard d’unités à la fin des années 1990. En 2018, plus de Au-delà d’un signe indiscutable de grande vitalité de l’industrie,
10 milliards d’unités, tous types d’applications et facteurs de forme ces innovations annoncent aussi un changement radical de pers-
confondus, ont été mis sur le marché. pective : la carte à puces est désormais de plus en plus intégrée à
& Au niveau technologique, la coopération entre Bull et Motorola l’environnement informatique personnel et professionnel de tout
un chacun, constituant la ramification la plus fine du vaste réseau
se concrétisa par une deuxième étape clé en 1981, avec la nais-
qui est en train de se constituer autour de la convergence des télé-
sance du SPOM (Self Programmable One Chip Microcomputer),
communications, du grand public et de l’informatique. Elle consti-
premier microcalculateur autoprogrammable monolithique pour
tue, et constituera de plus en plus, le lien privilégié entre un utilisa-
carte à puces. C’est probablement l’événement déclenchant pour
teur et ses prestataires de services : clé d’accès aux différents types
le marché de la carte à puces.
de réseau, mais aussi coffre-fort digital garantissant la sécurité
L’ensemble des banques françaises, représentées au sein d’un informatique et les données privées des individus.
GIE (Groupement d’intérêt économique) Carte à mémoire, décidè-
rent en effet de tester dès 1982 les trois techniques développées
par chacun des trois constructeurs : carte CP8 à microcalculateur 1.2 Applications et marchés de la carte
monolithique de Bull à Blois, carte bi-puces de TRT-Philips à Caen à puces
et carte à logique câblée de Flonic-Schlumberger à Lyon. En 1985,
le GIE devient GIE Carte bancaire et, à la suite de ces expériences, Parmi les cartes à microcircuits, on peut distinguer deux familles
commanda finalement 16 millions de cartes à microcalculateur de de cartes :
type CP8. Ainsi, la carte à puces bancaire se généralisa en France – les cartes à logique câblée, dans lesquelles quelques fonctions
en 1992. C’est incontestablement à partir de cette période que date simples sont fixées par les circuits électroniques interposés entre la
le véritable démarrage du marché de la carte à puces. mémoire non volatile et l’interface extérieure. Dans le bas de
& À côté du développement du marché de la carte bancaire, un gamme, il existe aujourd’hui de multiples cartes à logique câblée
centrées sur le prépaiement de services tels que le téléphone, le
autre événement allait en effet se révéler particulièrement impor-
parking, le cinéma ou le lavage des voitures. Certaines cartes utili-
tant par la suite : la démonstration de la première carte SIM en
sent des composants standards contenant une simple mémoire
1989 par Gemplus.
non volatile à accès sérialisé et sans aucune protection sécuritaire.
Dès 1987, treize pays européens s’étaient accordés sur les options Ces cartes supportent essentiellement des fonctions d’identification
de la future norme de téléphonie mobile européenne, suivant en utilisées principalement par des applications implémentant des
cela les recommandations et spécifications du Groupe Spécial programmes de fidélisation, plus rarement par des services à
Mobiles, ou GSM, créé en 1982 par le CEPT. Initialement, fortement haute valeur ajoutée (ce fut par exemple longtemps le cas en Alle-
influencé par l’amélioration des systèmes analogiques, celui-ci magne dans le domaine de la santé, jusqu’à ce que les niveaux de
avait finalement reçu, en 1986, la mission de spécifier un système fraude constatés remettent en cause cette solution peu sécuritaire) ;
numérique, qui devait être « aussi performant qu’un système ana- – les cartes à microcalculateur, quant à elles, possèdent la même
logique ». France Télécom était à l’origine de cette forte impulsion, structure qu’un ordinateur. Elles permettent non seulement de
et fut rapidement rejoint par ses homologues en Allemagne, stocker des données mais aussi, et surtout, de traiter des informa-
Grande-Bretagne et Italie. Le système finalement proposé, tions de manière sécurisée : en effet, ces deux fonctions sont réali-
dénommé GSM, adopta en matière de transmission radio le prin- sées à l’aide d’un programme exécuté par un processeur central
cipe d’un accès multiple à répartition dans le temps, système dit implanté sur un composant silicium. L’avantage évident de la carte
« TDMA ». Il retint également l’idée des « sauts de fréquence » : à microcalculateur comparée à d’autres appareils électroniques –
l’émetteur et le récepteur changent de fréquence à intervalles défi- smartphone, ordinateur portable…, est que l’ensemble du compo-
nis au début de la communication. Finalement, il proposa un sys- sant est exclusivement dédié à la cryptographie et à la sécurité. Le
tème d’identification/authentification des abonnés basé sur une logiciel embarqué est de taille réduite, ce qui permet une validation
carte à puce : le concept de carte SIM était né. poussée et donc un niveau de fiabilité élevé. Les interfaces
27
E3440
CARTES À PUCES ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
externes sont réduites, ce qui facilite grandement le contrôle des

entrées/sorties. Enfin, le chargement éventuel de code additionnel Alu nº 2
se fait via des protocoles standardisés à la sécurité éprouvée. Pour Contact Oxyde
résumer, la simplicité et la spécialisation de la carte à microcalcula- Alu nº 1
nº 3
teur comparée à d’autres appareils électroniques rendent possible Oxyde nº 2
la garantie d’un haut niveau de sécurité.
Oxyde nº 1
Les domaines privilégiés de la carte à puces sont tous ceux où + +
l’utilisateur a besoin de posséder à proximité immédiate une très Émetteur Collecteur Épicouche
1
grande sécurité de traitement des informations : le microcalcula-
teur et son programme embarqué permettent, par exemple,
d’authentifier la carte et son porteur, de chiffrer et de déchiffrer
des messages, ou de calculer des signatures électroniques appor- Silicium
tant la preuve de l’effective réalisation d’une transaction licite. Les
deux applications majeures de la carte à puces concernent d’une
part l’authentification et l’identification sur les réseaux mobiles Figure 1 – Schéma de principe d’un transistor CMOS
(GSM ou UMTS), et d’autre part le paiement électronique. La prin-
cipale raison en est le compromis optimal offert par la technologie Dans les cartes à puces, il faut pouvoir mémoriser des informa-
entre le coût de déploiement et le niveau de sécurité atteint pour tions confidentielles, y compris en l’absence d’alimentation des cir-
une lutte efficace contre la fraude. Ces deux segments de marché cuits. Cette caractéristique constitue l’un des éléments fondamen-
(téléphonie mobile et paiement) représentaient en 2018 environ taux des composants pour cartes à puces : en plus d’un
85 % du marché global (en volume) de la carte à puces. microprocesseur spécialisé, les cartes doivent embarquer différents
types de mémoires spécialisées. Celles-ci sont utilisées selon la
D’autres applications, actuellement en émergence, sont appelées nature de la mémorisation considérée, la vitesse de fonctionne-
à devenir à court ou moyen terme des relais de croissance pour le ment et la volatilité des informations stockées.
marché de la carte à puces : les applications gouvernementales
(cartes d’identité, passeports électroniques, cartes de santé…),
l’Internet des Objets incluant le M2M (Machine to Machine), la pro-
2.1.1 Mémoires à accès aléatoire
tection des smartphones et des ordinateurs d’entreprise, la télévi- Les mémoires à accès aléatoire, appelées RAM (Random Access
sion cryptée, la protection des droits d’auteur, les transports en Memory), sont utilisées en tant que registres de travail temporaire
commun… Signalons que, dans le cas de ces autres applications, et perdent leurs informations dès qu’elles ne sont plus alimentées.
la puce électronique est le plus souvent pourvue d’une interface Les mémoires RAM dynamiques (DRAM) sont bâties à partir d’un
sans contact, lui permettant, via une antenne, un transpondeur seul transistor et il faut renouveler leur contenu périodiquement,
inclus dans la carte, la couverture ou la page de données du passe- tandis que les mémoires RAM statiques (SRAM), à quatre ou six
port, de communiquer par radio avec le monde extérieur. transistors, possèdent deux états stables permettant de stocker un
élément binaire. Dans les cartes à puces, les registres de travail
sont des mémoires SRAM, avec un impact important sur le prix
des composants, puisqu’une telle cellule occupe environ 20 fois
2. Semi-conducteurs plus de place qu’une cellule ROM (Read Only Memory). L’optimisa-
tion des coûts explique donc les tailles RAM relativement faibles
pour cartes à puces que l’on trouve dans ces composants : les tailles typiques de
mémoires RAM embarquées varient entre quelques kilooctets (ko)
et quelques dizaines de kilooctets.
Le cœur d’une carte à puces est constitué d’un composant élec- 2.1.2 Mémoires non volatiles
tronique monolithique en silicium introduit dans l’épaisseur d’une
carte en plastique. Avant d’aborder les deux grandes familles de Les mémoires non volatiles (NVM) gardent les informations en
composants utilisés pour les cartes à logique câblée et celles à l’absence d’alimentation électrique. Il existe deux types principaux
microprocesseur, donnons un aperçu des technologies qui permet- de mémoires NVM disponibles sur les composants pour carte à
tent de réaliser ces puces. puce :
– les mémoires mortes (ROM), inaltérables, contiennent des
informations permanentes telles que les programmes. Elles ne
2.1 Technologies sont accessibles qu’en lecture. L’inscription de la ROM est réalisée
par masquage ou par implantation ionique dans le silicium pen-
À la genèse des cartes à puces, deux filières technologiques dant la fabrication du circuit intégré ; les tailles des mémoires
étaient en présence selon le type de transistor utilisé pour réaliser ROM embarquées dans le composant pour carte à puces varient
les circuits logiques. D’un côté, la technologie dite bipolaire réali- en général entre quelques dizaines et quelques centaines de
sant un effet d’amplification de courant par la diffusion de porteurs kilooctets ;
majoritaires à travers les jonctions adjacentes de trois semi- – les mémoires mortes programmables (PROM) peuvent être
conducteurs dopés. De l’autre, la technologie MOS (Metal Oxide programmées (ou écrites) par l’utilisateur. Dans la technologie
Semiconductor) fondée sur des transistors unipolaires utilisant la MOS, les niveaux d’isolement sont tels que l’on peut enregistrer
conduction d’un seul type de porteurs dans un mince canal des informations en piégeant des charges électriques dans une
contrôlé par une électrode isolée. Suivant en cela la logique écono- électrode flottante. L’évacuation de ces charges permet d’effacer ce
mique reprise par l’ensemble de l’industrie électronique, l’industrie type de mémoire. À l’origine, l’effacement était réalisé à l’aide d’un
de la carte à puces s’est ralliée massivement, dès l’origine, à la rayonnement ionisant EPROM (Erasable Programmable ROM) ne
filière MOS. Les raisons principales sont, d’une part, des puissan- permettant qu’un petit nombre de re-programmations des cellules
ces consommées beaucoup plus faibles qu’en bipolaire, et d’autre mémoire. Aujourd’hui, la quasi-totalité des composants utilisent
part de très grandes capacités d’intégration. Au cours des deux der- des mémoires à effacement et re-programmation par application
nières décennies, un autre avantage déterminant est l’évolution de d’une tension électrique, ou EEPROM (Electrically Erasable
la technologie CMOS (Complementary MOS), qui se traduit par une Programmable ROM). Pour programmer une cellule, on fait circuler
très faible consommation et une bonne immunité au bruit. La un courant intense entre la source et le drain. Certains électrons
figure 1 montre le schéma de principe d’un transistor CMOS. acquièrent une énergie leur permettant d’atteindre la grille
28
E3440
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– CARTES À PUCES
flottante, ils y sont alors piégés. Lorsque la charge piégée est suffi- 2.2 Composants en logique câblée
sante, elle masque le champ électrique induit par la grille et le tran-
sistor est bloqué. Le courant de fuite étant très faible, cette charge Ces composants, généralement très simples, sont des NVM à
peut se conserver très longtemps. Il est également possible de accès sériel synchrone, contrôlés par des circuits logiques intercon-
décharger la grille flottante par effet tunnel en appliquant des ten- nectés entre la mémoire et l’interface externe. Les commandes dis-
sions suffisamment élevées entre la grille, la source et le drain. Cet ponibles sur ces composants sont très limitées et figées par cons-
effacement est plus rapide et n’impose pas de retirer le circuit du truction. Les cartes à logique câblée sont principalement utilisées
système dans lequel il est installé. La différence entre les EEPROM comme jetons électroniques ou comme identifiants. L’exemple le
et les mémoires vives réside essentiellement dans la vitesse d’écri- plus répandu était la télécarte utilisée dans les téléphones publics
ture. Le cycle d’écriture d’une EEPROM est environ 1 000 fois plus
long que celui d’une RAM. Les mémoires EEPROM sont par ailleurs
trois fois plus encombrantes que les mémoires SRAM. Les capaci-
et dont le composant, fabriqué à plusieurs centaines de millions
d’exemplaires, détenait longtemps le record du monde en termes
de quantité, maintenant supplanté par les cartes SIM.
1
tés des mémoires EEPROM embarquées dans les cartes à puces se Dans ce domaine, il n’y a malheureusement aucun véritable stan-
situent entre 2 et 400 ko, avec, pour des raisons essentiellement dard et les composants offerts sont très souvent incompatibles
technologiques, une limite supérieure prévisible autour de 512 ko entre eux.
à 1 Mo ;
Les limitations des mémoires EEPROM ont favorisé leur rempla- La famille des jetons électroniques est déjà assez riche et s’est
cement par des mémoires flash. Celles-ci fonctionnent par stockage développée en deux générations.
d’électrons dans une couche mince de polysilicium en suspension & La première génération (1G) correspond au lancement de la
dans un oxyde, sous une grille de contrôle « on-off » d’un transis- télécarte en France et en Allemagne, elle se compose essentielle-
tor. Le principe de lecture de la cellule flash est simple : il s’agit de ment de mémoires sérialisées possédant une zone protégée par
mesurer si une tension appliquée à la grille de contrôle allume ou un fusible ;
non le transistor. L’écriture est en revanche plus complexe et
s’effectue en deux phases : tout d’abord, il faut enlever les charges Dans la première télécarte, la mémoire EPROM possède 256 bits,
d’un bloc de cellules mémoires (un bloc peut comporter plusieurs avec une zone protégée de 96 bits qui stocke une référence. Par contre,
milliers de transistors), puis la cellule est programmée par injection la carte allemande, développée plus tard, contenait 416 bits de
(ou non) d’électrons dans la grille flottante. Cette opération néces- mémoire EEPROM recyclable 64 fois, incluait 208 bits de mémoire de
site une énergie élevée pour faire passer les électrons à travers la travail et un contrôle d’accès par un code. Ces deux réalisations ont
barrière d’oxyde isolante. Elle endommage à la longue la couche engendré deux lignées d’interfaces électriques incompatibles entre
isolante, ce qui explique l’altération des performances des mémoi- elles : d’une part, une interface nécessitant 8 contacts externes, utilisée
res flash avec le temps. Les mémoires flash présentent l’avantage par France Télécom, et d’autre part, deux interfaces à 8 et 6 contacts
d’un faible encombrement (la densité est comparable à celle de la utilisées par la Bundespost (DBP). La figure 2 illustre les trois types
mémoire ROM) et des performances en écriture sensiblement meil- d’interfaces utilisées par France Télécom, Bundespost et recomman-
leures que celles des mémoires EEPROM. Leur granularité d’accès dées par la norme ISO, ainsi que leurs commandes associées.
plus faible que celle des EEPROM pose toutefois des problèmes de La méthode d’accès à ces mémoires consiste à adresser bit à bit
programmation complexes. L’introduction des mémoires flash dans chaque cellule comme dans un registre à décalage. La remise à
les composants cartes à puces est cependant devenue une réalité zéro du circuit permet de se positionner sur la première adresse
depuis 2005, et c’est imposé depuis comme un véritable standard. mémoire et la lecture se fait sur le plot OUT, après la remontée du
signal d’horloge.
L’industrie des semi-conducteurs et les industriels de la carte à
puces ont mis en place des concepts de sécurité spécifiques sur Lorsque le signal RST de remise à zéro n’est plus actif, une impul-
les mémoires flash pour les amener au même niveau que les sion d’horloge sur CLK incrémente le compteur d’adresse du com-
mémoires ROM et obtenir les mêmes certifications de sécurités posant. Les commandes de lecture, d’écriture ou d’effacement cor-
par des laboratoires indépendants. Il en résulte qu’il est même pos- respondent aux combinaisons de signaux des figures 2d et 2e, et
sible de remplacer les mémoires ROM complètement. sont prises en compte sur un front montant de l’horloge. Dans le
cas de l’interface de type FT, il faut utiliser une combinaison de
Cela ouvre la possibilité non seulement de corriger une erreur deux signaux, RST et B, tandis que dans la première télécarte alle-
dans le système d’exploitation (OS) de la puce (code patching), mande (DBP), il s’agit des signaux RST et PROG. Dans le cas de
mais de reporter l’implémentation du système d’exploitation et de l’interface à 5 contacts, inspirée par le standard ISO, toutes les com-
son verrouillage à l’étape de la personnalisation. Les mémoires mandes sont assurées par le plot RST. Dans ce cas, une impulsion
flash apportent donc flexibilité et rapidité pour la mise en place de sur RST en maintenant CLK à zéro permet de passer en mode pro-
nouvelles applications sur le terrain. grammation, tout en restant sur l’adresse sélectionnée, et l’impul-
Le tableau 1 résume les principales propriétés des mémoires uti- sion suivante sur CLK permet de programmer le bit correspondant.
lisables dans les composants pour cartes à puces. & Dans les composants de seconde génération (2G) apparais-
Le lecteur pourra aussi consulter l’article [E 2 430]. sent deux caractéristiques nouvelles. D’une part, une fonction
Tableau 1 – Comparaison des différents types de mémoires pour cartes à puces

EEPROM Flash MRAM PCRAM
Taille relative versus DRAM 5-10 0,25-1 1-3 0,8-2
Granularité Octet Bloc/secteur Bit Bit
Endurance (en cycles) 106 105 > 1014 1012
Temps d’écriture (Programmation/effacement) ms.ms-1 ms.ms-1 < 100 ns < 100 ns
Puissance en écriture 10 V x 100 mA 5 V x 1 mA 1,8 V x 10 mA 3 V x 1mA
29
E3440
CARTES À PUCES ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
d’authentification dynamique, qui délivre un résultat sur 4 bits l’organisation de la mémoire des composants ST 1335 et 1336 de
lorsque l’on fournit à la carte une donnée aléatoire de 64 bits et, STMicroelectronics, qui rassemblent pratiquement toutes les carac-
d’autre part, une mémoire de travail constituée par des compteurs téristiques rencontrées dans les divers autres composants à logique
fonctionnant suivant un mécanisme de boulier. La figure 3 donne câblée.
Une première zone protégée de 64 bits contient un code d’identi-
fication inscrit en usine et des informations sur l’application intro-
Vcc GND Vcc GND Vcc GND duite par l’émetteur. Cinq registres de 8 bits constituent les
compteurs et sont associés à une autre zone de quatre registres
1
RST Vpp RST Vpp RST Vpp d’indicateurs témoins qui permettent les reprises, en cas de rupture
de séquence à la suite d’une extraction intempestive. La carte peut
CLK OUT CLK OUT CLK I/O aussi contenir une signature électronique attestant les droits de la
carte et une clé cryptographique pour l’authentification.
B FUS FUS PROG
a interface FT b interface DBP c interface ISO 2.3 Microcalculateurs

Les microcalculateurs pour cartes à puces sont de véritables ordi-
RST B CLK Commande RST CLK Commande nateurs intégrés sur un seul substrat de silicium : ce sont donc essen-
tiellement des machines à programme enregistré qui sont architectu-
0 0 RESET 0 RESET rées autour d’un (parfois deux) bus de données. Ils contiennent les
différents types de mémoire, et les organes d’entrée-sortie, qui assu-
0 1 READ 0 READ
rent les dialogues avec le monde extérieur. Le programme de fonc-
0 1 COMPARE 0 COMPARE tionnement est généralement contenu dans la ROM, EEPROM ou
FLASH, tandis que la RAM contient les registres de travail nécessaires
1 1 PROGRAM 1 PROGRAM aux divers traitements internes.
0 PROGRAM Les mémoires non volatiles intégrées sur le composant permet-
tent de reprogrammer la mémoire, à des fins de mise au point ou
jeu de commande de type FT e jeu de commande
d’évolution, voire pour les architectures les plus modernes de rajou-
d
à 6 contacts à 5 contacts ISO ter des programmes après la délivrance de la carte (par exemple,
dans le cas des architectures Javacard). Les microcalculateurs pour
cartes à puces intègrent encore de nos jours le concept de SPOM
FUS fusible de protection
(Self Programmable One Chip Microcomputer), architecture essen-
GND masse
tiellement sécuritaire, qui permet au microcalculateur de modifier
I/O entrée/sortie
Vcc/Vpp tension d’alimentation / de programmation lui-même un programme contenu dans sa propre NVM sans inter-
vention du monde extérieur (figure 4). À cette caractéristique vien-
nent s’ajouter divers dispositifs de sécurité qui empêchent les
Figure 2 – Interfaces et commandes associées
Connecteur
Zone
Lecture GND
d’identification Vcc
Lecture RST
5 compteurs Écriture
Effacement
CLK I/O
Zone réservée
Écriture
Certificat
Lecture
Clé
d’authentification
Adresses
ROM
Zone réservée
Signature
EEPROM CPU
Inutilisée
4 registres
témoins
RAM
Données
Zone Écriture Puce
utilisateur Lecture
CPU Central Processing Unit

Figure 3 – Organisation mémoire (34 x 8 bits) (composants ST 1335
et 1336 de STMicroelectronics) Figure 4 – Microcalculateur SPOM et ses interconnexions
30
VPN
1– Cryptographie et stéganographie 2
2– Protocoles de sécurité Réf. Internet page
Protocoles SSL/TLS H5230 33
Le protocole SSH H5235 37
IP Mobile TE7515 41
Gestion du roaming par AAA pour les services PPP et Mobile IP TE7555 43
SecSIP : un environnement de protection pour la voix sur IP IN130 47
Sécurité IPv6. Adressage et auto-configuration TE7506 49
31
2
32
H5230
Protocoles SSL/TLS
par Cyril TESSEREAU

Expert sécurité, Silicomp-AQL
2
1. Contexte ..................................................................................................... H 5 230 - 2
1.1 Biens, environnement, menaces ................................................................ — 2
1.2 Services de sécurité souhaitables .............................................................. — 3
2. Sécurité et modèle en couche.............................................................. — 4
2.1 Des services en fonction du niveau ........................................................... — 4
2.2 Intérêts de la sécurité au niveau transport/applicatif ............................... — 5
3. Cryptosystèmes hybrides ...................................................................... — 5
3.1 Définition ...................................................................................................... — 5
3.2 Intérêt............................................................................................................ — 6
3.3 Description ................................................................................................... — 6
4. SSL, TLS : de la genèse au standard ................................................... — 7
4.1 Netscape : la naissance de SSL .................................................................. — 7
4.2 Extension dans l’industrie : le standard de fait ......................................... — 7
5. Description du protocole ....................................................................... — 8
5.1 Protection des données............................................................................... — 9
5.2 Construction d’un segment ........................................................................ — 9
5.3 Authentification ........................................................................................... — 9
5.4 Standards et normes ................................................................................... — 10
5.5 Aléa, dérivation des clefs ............................................................................ — 11
5.6 Structure intrinsèque................................................................................... — 12
5.7 Déroulement d’une session ........................................................................ — 13
5.8 Gestion et protection de la gestion ............................................................ — 13
6. Applications .............................................................................................. — 14
6.1 HTTP ............................................................................................................. — 15
6.2 Messagerie ................................................................................................... — 15
6.3 SSO ............................................................................................................... — 15
6.4 VPN TLS ........................................................................................................ — 16
7. Quelques attaques ................................................................................... — 16
8. Conclusion ................................................................................................. — 18
Parution : avril 2005 - Dernière validation : février 2016
Pour en savoir plus ........................................................................................... Doc. H 5 230
ire qu’Internet prospère est aujourd’hui une affirmation des plus en vogue.
D Mais au-delà de la constatation, il est intéressant de remarquer que l’essor
d’Internet se caractérise par la généralisation d’un mode de fonctionnement qui
existait auparavant dans les systèmes de terminaux : un nombre limité de ser-
veurs concentre et traite des requêtes provenant d’une multitude de clients. Là
où le réseau des réseaux se distingue de ce modèle, c’est par la nature de ses
clients : non pas un parc homogène de terminaux bien connus, dédiés à une
seule fonction, mais une foule hétérogène et anonyme d’ordinateurs exécutant
pele-mêle toutes sortes d’applications. La mixité inhérente des informations, la
vulnérabilité du commun ingénu suscitant la malveillance du profiteur habile,
l’improbabilité de modéliser finement les usagers du réseau, effacent alors défi-
© Techniques de l’Ingénieur H 5 230 − 1
33
H5230
PROTOCOLES SSL/TLS __________________________________________________________________________________________________________________
nitivement toute possibilité d’exploiter Internet dans une confiance mutuelle et

générale. Pourtant, quoi qu’il en soit, l’inextricable Toile doit être sécurisée afin
d’en tirer un service viable : à charge pour le chercheur et l’ingénieur de fournir
les cadres convenables. Ici, on s’intéresse en particulier à examiner comment
la cryptologie et l’ingénierie de protocole s’allient pour rendre sûres des appli-
cations telles que le commerce en ligne.
2 3DES
Sigles et abréviations
Triple DES (ANSI X9.52) RC2
Sigles et abréviations
Rivest Cipher, version 2 (RFC 2268)
AC Autorité de certification RFC Request For Comments
CBC Cipher Bloc Chaining RSA
Cryptosystème asymétrique de MM. Rivest, Shamir et
Adleman
CCS Change Cipher Spec
SHA-1 Secure Hash Algorithm, révision 1 (NIST FIPS 180-2)
CKL Compromised Key List
SMTP Simple Mail Transfer Protocol (RFC 788)
CRL Certificate-Revocation List
SSL Secure Socket Layer
DDoS Distributed Denial of Service
SSO Single Sign On
DES Data Encryption Standard (ANSI INCITS 92)
STS Station To Station
DH Schéma asymétrique d’élaboration de clef de MM.
Diffie et Hellman TCP Transport Control Protocol (RFC 793)
DSS Digital Signature Scheme (NIST FIPS 186-2) TLS Transport Layer Security (RFC 2246)
FTP File Transfer Protocol (RFC 959) USB Universal Serial Bus
Keyed-Hashing for Message Authentication Codes VPN Virtual Private Network
HMAC
(RFC 2104)
HTML HyperText Markup Language
HTTP HyperText Transfer Protocol (RFC 2616) 1. Contexte
IETF Internet Engineering Task Force
IMAP4 Internet Message Access Protocol, version 4 En préambule et en guise de définition, l’utilisation des appli-
(RFC 1730) cations de type client-serveur sur Internet se manifeste souvent par
IP Internet Protocol (sous-entendu version 4, RFC 791) un fonctionnement en deux étapes. Dans un premier temps, le
client récupère de l’information publique sur les prestations offer-
IRC Internet Relay Chat tes par le serveur, comme par exemple son catalogue produit, afin
ISO International Standard Organization de préparer une commande : en termes plus courants, il « remplit
son panier ». Dans un second temps, il officialise la transaction –
IV Initialization Vector l’achat en ligne – qui est l’objectif et la conclusion de sa connexion
LCA Liste de contrôle d’accès au serveur.
X.500 Lightweight Directory Access Protocol Toute la valeur ajoutée est dans cette transaction ponctuelle, qui
LDAP se trouve noyée dans un flot de données purement informatif, ne
(RFC 1487)
contenant en soi rien de crucial. C’est ce premier constat qui guide
MAC Message Authentication Code toute la démarche consistant à apporter la fiabilité et la sûreté sur
MD5 Message Digest, version 5 (RFC 1321) lesquelles on ne saurait faire l’impasse. En effet, l’intérêt est évi-
demment de reporter tout ce qui peut être considéré comme
MSS Maximum Segment Size critique sur un acte éphémère, détouré, caractérisé, plutôt que sur
NAT Network Address Translation (RFC 1631) le cheminement incertain, nébuleux, qui le précède – et qui justifie
à lui seul l’image canadienne de « butinage ».
NIST National Institute of Standards and Technology
NNTP Network News Transfer Protocol
OSI Open System Interconnection 1.1 Biens, environnement, menaces
PFS Perfect Forward Secrecy
C’est pourquoi, lorsqu’on en arrive à la démarche de sécurité, il
PGP Pretty Good Privacy convient d’identifier les biens et les acteurs. Plus précisément, il
PKCS Public Key CryptoSystem (RSA Laboratories) importe de discerner les biens qui doivent être protégés et les
acteurs hostiles dont il faut se prémunir. Dans l’environnement
PKI Public Key Infrastructure considéré, Internet, de nombreux clients hétéroclites et non cloison-
POP3 Post Office Protocol, version 3 (RFC 1081) nés peuvent accéder à de grands systèmes ouverts et inter-
opérables. Parmi la multitude de clients potentiels et de serveurs
PRF Pseudo-Random Function déclarés, certains peuvent se révéler malveillants sans qu’ils soient
H 5 230 − 2 © Techniques de l’Ingénieur
34
H5230
__________________________________________________________________________________________________________________ PROTOCOLES SSL/TLS
Tableau 1 – Exemples de menaces sur les flux

Attaque/menace Bien Propriété de sécurité Illustration, exploitation possible
Écoute Prestation (serveur) Confidentialité Espionnage économique : vol de données qui ne devraient
pas être communiquées (fichiers de clientèle, comptabilité,
etc.)
Écoute Commande (client) Confidentialité Vol (de numéro de carte de paiement, etc.)
Usurpation d’identité Identité (client) Intégrité (authentification) Escroquerie contre le serveur : l’attaquant tente de faire
facturer les prestations à un autre client.
Usurpation d’identité Identité (serveur) Intégrité (authentification) Tromperie et vol du client : un faux serveur se fait passer
pour un autre et encaisse des commandes sans assurer de
Man-in-the-middle (§ 7) Identité (client et serveur) Confidentialité et/ou

intégrité (de données)
prestation.
Un attaquant se positionne en relais et intercepte la
communication. Il peut ainsi usurper à la fois le client, vis-
2
à-vis du serveur, et le serveur, vis-à-vis du client. Il écoute et
corrompt alors les messages à la volée. (cf. écoute et usur-
pation d’identité)
Insertion Transaction Intégrité (de données) Nuisance au client ou au serveur : un attaquant ajoute des
données indésirables dans une transaction (exemple :
« Virer X € de Alice à Bob puis autant à Ève »)
Rejeu Identité ou transaction Intégrité (de séquence) Nuisance au client ou au serveur : un attaquant enregistre
une transaction puis essaie de l’émettre de nouveau, telle
quelle (par exemple, écoute puis rejeu d’un ordre comme
« Virer X € de Alice à Bob » pour causer préjudice à Alice)
Répudiation Transaction Intégrité (de séquence) Tromperie et vol du serveur : un client malveillant effectue
une transaction, puis nie après coup y avoir participé, de
manière à profiter de la prestation sans s’acquitter de sa
contrepartie.
Clôture de connexion Transaction Intégrité (de séquence et Déni de service sur le serveur : un attaquant ouvre de
disponibilité) multiples transactions sur le serveur, mais sans les amener
à terme, dans le seul but de monopoliser des ressources.
Exploitation d’une mal- Transaction Intégrité (des données) et Plantage ou prise de contrôle par exploitation d’une vulné-
formation protocolaire disponibilité rabilité. Il s’agit typiquement des débordements de tam-
pon, de paquets fragmentés ou syntaxiquement incorrects,
etc.
identifiables a priori, mais le client honnête comme le serveur légi- prestation (informations du serveur fournies au client) et une
time doivent être en mesure de se prémunir contre leurs agressions. commande (du client au serveur), associées aux identités des
Leurs biens sensibles, et donc susceptibles d’êtres visés par une acteurs. Ces biens sont assortis de propriétés de sécurité –
attaque, sont de deux ordres : les ressources et les échanges. En confidentialité, intégrité et disponibilité – contre lesquelles des
premier lieu, les ressources désignent ce qui est stocké en propre menaces sont considérées. Le tableau 1 en liste quelques exem-
tant chez le client que sur le serveur : il convient d’y interdire les ples simples à titre d’illustration.
accès indésirables par un filtrage approprié. Cela relève en parti- Nota : pour simplifier, on s’affranchit ici de la distinction entre la menace, qui est le
potentiel, et l’attaque, qui est la réalisation.
culier de la mise en place de pare-feu (firewalling ) qui est un
domaine à part et ne sera que peu abordé ici, sauf à remarquer
qu’il est crucial de toujours se préoccuper d’installer et maintenir
convenablement un firewall (personnel ou d’entreprise), faute de 1.2 Services de sécurité souhaitables
quoi la solution de sécurité dans son ensemble ne serait qu’un
placebo ou, pire encore, une supercherie [TE 7 550]. L’énoncé des menaces permet de constater la vulnérabilité intrin-
sèque du système et guide vers les solutions qui les déjoueront.
En second lieu, les échanges considérés comme sensibles sont Mais avant de poursuivre, il faut garder à l’esprit que la sécurité ne
ceux qui induisent d’une façon ou d’une autre une évolution à peut jamais être parfaite. Alors même qu’elle s’appuie sur des
terme des ressources du client et du serveur. Il s’agit ici de l’ordre théories étayées et solides, elle exploite des résultats de nature
de transaction à proprement parler, qui contient des informations probabiliste. La cryptographie est une science construite sur la
privées du serveur et du client (pour résumer, la prestation vendue théorie statistique, et les réseaux ne s’appréhendent convenable-
et la commande de l’acheteur). N’entrent donc pas dans cette caté- ment qu’avec elle. On oppose à l’adversaire des impossibilités cal-
gorie les informations publiques du serveur. Quand bien même culatoires, des difficultés d’accès, mais rares sont les situations
leur disponibilité serait un problème, il ne serait évidemment pas dans un réseau où l’on peut se protéger de façon absolue, où l’on
nécessaire de se pencher sur leur confidentialité. Il n’est pas non peut réduire la probabilité à une certitude. Cela n’est pas une fai-
plus utile de se préoccuper de leur intégrité. Car si, du fait d’un blesse due aux méthodes employées ou au manque d’inventivité
attaquant, la communication est corrompue de quelque manière des chercheurs, mais une propriété inéluctable – et démontrable –
que ce soit, il suffit que chaque partie puisse détecter et éviter une de tout système. Aussi, et c’est un fait, la théorie ne saurait omettre
anomalie dans l’ordre de transaction pour mettre en échec toute le cas du chanceux qui parviendrait à trouver par hasard la bonne
malversation préalable. clef ou le port vulnérable au premier essai. Quoi qu’il en soit, la
Ainsi détouré, le problème de sécurité se réduit à contrer les probabilité est à ce point infinitésimale que le candidat ferait mieux
attaques sur les messages constituant la transaction. Pour affiner de réserver sa chance au jeu : il s’enrichirait incommensurable-
l’analyse, on considère que la transaction se décompose en une ment plus vite et en toute légalité... En cela, la sécurité est une
35
H5230
PROTOCOLES SSL/TLS __________________________________________________________________________________________________________________
affaire de compromis : elle réduit les probabilités en dessous d’un Chacune de ces quatre tâches est traitée indépendamment des
seuil, elle ramène les risques à un niveau jugé inoffensif. Elle vise autres, ce qui offre simplicité et interchangeabilité. Ce système
à décourager l’attaquant en rendant ses efforts disproportionnés au stratifié est appelé le modèle en couches. Les données (paquets
gain qu’il peut espérer de son forfait. d’informations) qui sont à envoyer sur le réseau sont traitées suc-
Nota : on distingue « l’impossibilité théorique », pour un problème pour lequel aucune cessivement par chaque couche, chacune venant ajouter un élé-
solution n’existe (chiffrement à masque jetable, ou One-Time Pad, de Vernam), de ment d’information (en-tête) qui lui est propre puis transmettant
« l’impossibilité calculatoire », relative à un problème qui admet une solution, mais au prix l’ensemble à la couche appropriée : c’est l’encapsulation. Par cette
de temps de calcul ou de quantités de mémoire rédhibitoires (cas de la recherche exhaus-
tive d’une clef). hiérarchie, chaque couche ne peut communiquer qu’avec une cou-
che adjacente (notions « inférieure », vers le lien, et « supérieure »,
Dès lors, quelles que soient les hypothèses, certaines menaces vers l’application) : chacune utilise les services des couches infé-
ne peuvent être complètement contrées, par exemple en termes de rieures et en fournit à celle de niveau supérieur.
disponibilité, d’où :
— une sélection d’objectifs de sécurité en fonction de menaces
2 retenues par rapport à des hypothèses réalistes ; Il existe deux modèles en couches. Le plus complet est le
— l’estimation d’une vulnérabilité résiduelle (c’est l’équilibre modèle OSI, d’initiative européenne et normalisé par l’ISO. Il
classique entre le « coût de la protection » et le « coût du risque »). distingue sept couches (1 – Physique ; 2 – Liaison ; 3 – Réseau ;
4 – Transport ; 5 – Session ; 6 – Présentation ; 7 – Application).
Pour le cas de la transaction, les objectifs de sécurité restent Le modèle TCP/IP, standard originaire des États-Unis, en par-
simples à formuler : il faut assurer l’authentification mutuelle des tage la philosophie mais découpe différemment les couches ISO
acteurs, la confidentialité, l’intégrité spatiale et temporelle des tran- pour n’en retenir que quatre au final (Physique ; Réseau ;
sactions. De même, la mise en œuvre des services de sécurité est Transport ; Application).
somme toute classique : la confidentialité est assurée par le chif-
frement, l’intégrité par l’adjonction de motifs de contrôle aux mes-
sages, l’authentification par l’utilisation de signature (du serveur et
si possible du client). 2.1 Des services en fonction du niveau
Nota : soulignons que le cas de la disponibilité est particulier. Assurer la confidentialité
comme l’intégrité ne réclame que l’intervention du client et du serveur (l’un fait et l’autre Si chacune des différentes couches du modèle offre des services
contrôle et défait) et l’opération porte uniquement sur la donnée à protéger. Au contraire,
la disponibilité est par essence distribuée : tous les éléments sur un chemin de données
différents, elle impose en même temps ses propres contraintes. De
doivent être également disponibles. Ce service ne peut donc être garanti que par l’infras- fait, un service de sécurité doit s’inscrire dans ce découpage et se
tructure de réseau toute entière, ce qui demande de prendre en compte tous les flux poten- retrouve donc confiné dans une couche, dont il doit satisfaire les
tiels, y compris indésirables. Ainsi, il est bien évident qu’il n’est pas possible de l’obtenir en contraintes tout en essayant d’exploiter au mieux et en toute sécu-
concentrant l’effort de sécurisation en un point focal : les services de sécurité associés sont
tout autant distribués et impliquent tous les acteurs. Dans un réseau public non maîtrisé, il rité les services. On constatera par la suite que l’introduction de la
est donc vain d’espérer atteindre la disponibilité parfaite : on ne peut qu’essayer d’amélio- sécurité dans un modèle en couches non prévu initialement pour
rer la robustesse face à des dénis de service et diminuer ainsi l’efficacité des attaques l’accueillir réclame certaines entorses et il est possible de se rendre
connues de l’état de l’art.
compte dès à présent que les mécanismes de sécurité sont forte-
Les services de sécurité suivants sont donc retenus pour obtenir ment liés au niveau.
une confiance satisfaisante dans une transaction :
Par exemple, certains services de sécurité sont intrinsèquement
— la confidentialité, qui permet d’assurer que personne hormis applicatifs, comme l’authentification d’un utilisateur, puisque ce
l’émetteur et le destinataire ne peut lire les données transmises ; dernier n’est censé interagir qu’avec une application. D’autres sont
— l’intégrité (sous-entendu : de données), ou intégrité spatiale, liés à la transmission physique, comme par exemple la saturation
qui garantit que les données reçues par le destinataire sont bien de ligne qui consiste à émettre du bruit même lorsque les corres-
identiques à celles qui ont été produites par l’émetteur et n’ont pas pondants ne communiquent pas (en cryptophonie par exemple,
été modifiées par un tiers à l’insu des correspondants ; afin d’empêcher un espion d’évaluer l’activité des utilisateurs). Cer-
— l’intégrité de séquence, ou intégrité temporelle, qui permet tains services comme l’anti-usurpation s’appliquent à toutes les
d’assurer qu’une information n’a pas été supprimée ou insérée illi- couches mais sont strictement confinés à leur niveau : ils ne peu-
citement dans une transaction, qu’une information déjà transmise vent s’appliquer aux données qu’ils encapsulent.
ne l’est pas de nouveau (rejeu) ou qu’une séquence n’est pas per-
turbée par l’interversion de certains de ses messages ; Il existe aussi des services qui sont incompatibles avec certaines
— l’authentification (sous-entendu : de l’origine), qui est la capa- couches. C’est le cas du niveau IP dont le routage permet d’inter-
cité de garantir que l’interlocuteur est bien celui qu’il prétend être. vertir et de supprimer des paquets à la discrétion des routeurs :
Formulée différemment, l’authentification consiste à prouver l’inté- cela est par nature antagoniste de l’intégrité de séquences complè-
grité de l’identité déclarée par l’interlocuteur. tes, de sorte que seule la gestion des rejeux (doublons illicites) y
est applicable.
À l’inverse, certains services de sécurité sont indépendants de
2. Sécurité et modèle l’abstraction des couches : les données encapsulées peuvent être
chiffrées à tous les niveaux. (0)
en couche Enfin, les biens à protéger ne sont pas toujours du niveau de

(0)
l’application : il peut s’avérer utile de protéger en confidentialité

À partir du moment où l’on veut décliner les services de sécurité des adresses IP, ce qui impose de positionner les mécanismes de
en mécanismes, et de manière générale dès que l’on parle de sécu- confidentialité au niveau physique ou IP, puisque les niveaux supé-
rité dans les réseaux, il n’est pas possible de faire abstraction de rieurs n’ont aucun contrôle sur ces adresses. Il en est de même si
leur nature sous-jacente, qui est la séparation en couches. De l’on souhaite protéger des machines globalement et indépen-
manière vulgarisée, on parle de réseau TCP/IP, mais c’est au damment de leurs applications : une sécurité au niveau applicatif
« système de protocoles TCP/IP » qu’il conviendrait plutôt de faire ou transport est inappropriée, car trop complexe à mettre en
référence, car celui-ci se décompose en plusieurs modules assu- œuvre et nécessairement imparfaite. À l’inverse, en descendant
rant chacun un rôle bien défini dans un ordre précis. Cette décom- dans les couches, on se prive éventuellement de la possibilité de
position s’est imposée entre autres par souci d’abstraction, afin de sélectionner l’information à protéger car on perd en théorie le
dissocier les tâches liées à la transmission physique sur un lien, à contrôle sur les applications (notamment, comment, sans entorse
la commutation et au routage dans le réseau, à la gestion des au modèle, suivre au niveau physique le contrôle d’accès à certai-
connexions sur une machine et, enfin, au traitement applicatif. nes des pages HTML d’un serveur Web ?).
36
H5235
Le protocole SSH
par Ibrahim HAJJEH

Docteur en informatique et réseaux
2
Architecte « Sécurité informatique et réseaux » – Groupe ACTI
et Mohamad BADRA
Docteur en informatique et réseaux
Chercheur à l’ENST, Paris
1. Introduction et évolution du protocole SSH .................................... H 5 235 – 3

1.1 L’authentification ......................................................................................... — 3
1.2 La confidentialité des données .................................................................. — 3
1.3 L’intégrité des données ............................................................................... — 3
1.4 L’évolution du protocole SSH ..................................................................... — 4
2. L’architecture et le fonctionnement de base ................................... — 4
2.1 Les sous-protocoles de SSH ....................................................................... — 4
2.2 La phase d’initialisation de SSH ................................................................ — 6
2.3 Les différentes méthodes d’authentification avec SSH ........................... — 6
2.3.1 L’authentification par mot de passe (password) .............................. — 6
2.3.2 L’authentification par clef RSA ou DSA (publickey) ......................... — 7
2.3.3 L’authentification par hôte (hostbased) ............................................ — 7
2.3.4 L’authentification par certificat X.509 ................................................ — 8
3. Les fonctionnalités offertes par SSH ................................................. — 8
3.1 L’accès à distance par le shell SSH ............................................................ — 8
3.2 Le transfert de fichiers par SFTP ................................................................ — 8
3.3 Le tunneling ................................................................................................. — 8
3.4 La redirection de ports (Port forwarding) .................................................. — 8
3.5 La redirection de l’authentification (Agent forwarding) ........................... — 9
4. SSH vs les autres solutions VPN ........................................................ — 10
5. Les limites du protocole SSH ............................................................... — 10
5.1 La première authentification non sécurisée du client avec le serveur
SSH. .............................................................................................................. — 11
5.2 Les attaques sur le mot de passe ............................................................... — 12
5.3 L’authentification non sûre par « hôte de confiance » ............................. — 12
5.4 SSH et la traduction des adresses réseau (NAT) ...................................... — 12
6. Les principales distributions de SSH ................................................. — 12
7. L’avenir de l’exploitation du protocole SSH ..................................... — 13
8. Conclusion ................................................................................................. — 13
Références bibliographiques ......................................................................... — 14
e protocole SSH (Secure Shell) est utilisé pour établir un accès sécurisé per-
L mettant d’effectuer des opérations sensibles sur des machines distantes et
d’effectuer des transferts de fichiers à travers un réseau publique tout en garan-
tissant l’authentification, la confidentialité et l’intégrité des données.
Le principal objectif de SSH était de résoudre le problème de transmission en
Parution : octobre 2006
clair de toutes les informations sur le réseau (LAN ou Internet) ouvrant la porte à
toutes les attaques de type homme du milieu (Man-in-The-Middle).
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

est strictement interdite. – © Editions T.I. H 5 235 − 1
37
H5235
LE PROTOCOLE SSH ____________________________________________________________________________________________________________________
Depuis l’apparition de SSH, son rôle a évolué pour ne pas se limiter à une sim-
ple fonctionnalité de connectivité à distance pour le shell. La version 2 de ce pro-
tocole, normalisée en janvier 2006, propose la sécurisation de n’importe quel
protocole applicatif et ceci grâce à ses mécanismes de « port forwarding » et de
« tunneling ».
Dans ce dossier, nous allons expliquer les différents services de sécurité mis
en place dans SSH tout en se focalisant sur sa version 2, normalisée en 2006 à
l’IETF. Nous présenterons par la suite, les sous-protocoles de SSHv2, sa phase
d’initialisation et les différentes méthodes d’authentification qui y sont inté-
grées. Nous aborderons aussi la solution SSH VPN en la comparant à IPSec et
SSL. Nous discuterons ensuite de l’avenir du protocole SSH et des nouveaux
2 standards TLS qui influencent l’avenir de ce protocole et son actuelle utilisation
dans l’accès aux équipements distants. Nous terminerons le dossier par une
conclusion.
Remerciements :
Nous remercions le Pr. Maryline Maknavicius-Laurent et le Dr. Ouahiba Fouial
pour l’attention qu’elles ont accordée à ce dossier, pour le temps qu’elles ont
bien voulu consacrer à sa lecture et enfin, pour leurs remarques constructives et
intéressantes.
(0)
Principaux sigles
AC : Autorité de Certification PPTP : Point-to-Point Tunneling Protocol (RFC 2647)
3DES : Triple DES (ANSI X9.52) PKI : Public Key Infrastructure
Arcfour : Allegedly RC4 (version publique de RC4) PFS : Perfect Forward Secrecy
CRC : Cyclic Redundancy Check PRF : Pseudo-Random Function
DES : Data Encryption Standard (ANSI INCITS 92) RC2 : Rivest Cipher, version 2 (RFC 2268)
DSA : Digital Signature Algorithm (FIPS 186-2) RFC : Request For Comments
HMAC : Keyed-Hashing for Message Authentication Codes RSA : Rivest, Shamir et Adleman (entré dans le domaine publique depuis
(RFC 2104) sept. 2000)
HTTP : HyperText Transfer Protocol (RFC 2616) RSH : Remote Shell
DH : Diffie et Hellman SHA-1 : Secure Hash Algorithm, version 1 (NIST FIPS 180-2)
FTP : File Transfer Protocol (RFC 959) SFTP : Secure File Transfer Protocol
IETF : Internet Engineering Task Force SFTP : Secure File Transfer Protocol
IP : Internet Protocol (sous-entendu version 4, RFC 791) (IETF draft http://www.ietf.org/internet-drafts/draft-ietf-secsh-filexfer-12.txt)
IPSec : IP Security SMTP : Simple Mail Transfer Protocol (RFC 788)

ITU : International Telecommunications Union SOCKS : SOCKet Secure (IETF RFC1928)
MD5 : Message Digest version 5 SSH : Secure Shell
NAT : Network Address Translation (RFC 2663) SSL : Secure Socket Layer
POP3 : Post Office Protocol, version 3 (RFC 1081) TLS : Transport Layer Security (RFC 2246)
PPP : Point-to-Point Protocol (RFC 1661) TCP : Transmission Control Protocol (RFC 793)
VPN : Virtual Private Network
Nota : Pour avoir davantage d’informations sur chacun de ces sigles, le lecteur pourra se référer au site web de l’IETF (Internet Engineering Task Force) : http://www.ietf.org à la page
suivante : http://www.ietf.org/rfc.html.

H 5 235 − 2 est strictement interdite. – © Editions T.I.
38
H5235
____________________________________________________________________________________________________________________ LE PROTOCOLE SSH
1. Introduction et évolution L’authentification de la source des données sert à prouver que les
données reçues viennent bien de l’émetteur déclaré. Dans les sys-
du protocole SSH tèmes Unix, le moyen le plus commun d’authentifier des utilisateurs
est d’utiliser des mots de passe.
Les protocoles tels que telnet, ftp, et rsh, transmettent en clair les
Le protocole SSH [1], ou Secure Shell, a été développé en 1995 par mots de passe des utilisateurs. Cela signifie qu’ils peuvent facile-
Tatun Ylönen, un professeur finlandais qui, à l’époque, souhaitait ment être espionnés et exploités par n’importe quelle personne
sécuriser les connexions distantes vers un serveur Unix via des écoutant le réseau. SSH améliore la sécurité en chiffrant n’importe
commandes telles que telnet, rlogin, copy, etc. quel trafic utilisé pendant l’authentification. Les mots de passe ne
SSH est à la fois un protocole et un ensemble de programmes uti- sont pas transférés en clair sur le réseau public. De plus, l’avantage
lisant ce protocole. Il permet aux utilisateurs d’ouvrir, depuis une significatif de SSH est l’utilisation des clefs publiques RSA (dans la
machine cliente, des sessions interactives avec des serveurs dis- version 1 du protocole) puis de l’algorithme DSA (dans la version 2
2
tants et de transférer des fichiers entre les deux. SSH utilise le pro- de SSH) pour l’authentification des entités en communication. Ce
tocole SOCKS v5 intégré dans la plupart des équipements réseaux, mécanisme de chiffrement asymétrique (encadré 1) est plus sûr que
pour établir des communications sécurisées de bout en bout. Les l’authentification simple du couple nom de l’utilisateur/mot de
applications basées sur SOCKS v5 [7] offrent de nombreux avantages passe (user name/password). SSH supporte cependant d’autres
reposant sur son architecture protocolaire robuste et flexible. méthodes d’authentification qui seront détaillées dans les paragra-
La dernière version de SSH, normalisée en janvier 2006 à l’IETF, phes suivants.
est la version 2.0. Elle intègre notamment de nouveaux algorithmes
et des services comme le transfert de fichiers SFTP, le tunneling, le Encadré 1 – Le chiffrement asymétrique
port forwarding, l’authentification via des clefs privées sécurisées et
bientôt l’utilisation des certificats X.509.
Le chiffrement asymétrique, également appelé chiffrement à
SSH fournit principalement trois services de sécurité : l’authentifi- clef publique, repose sur une paire de clefs : une clef publique
cation, la confidentialité et l’intégrité des données. L’objectif de SSH (pour réaliser le chiffrement de données confidentielles et la
est en effet de protéger tous ses échanges contre : vérification de signature) et une clef privée (pour le déchiffre-
— les écoutes effectuées sur le canal de communication, et cela ment de données et la génération de signature). Les deux clefs
grâce au chiffrement des flux ; sont reliées mathématiquement, de sorte qu’un message chiffré
— les manipulations des données transmises à travers le canal de avec une clef ne peut être déchiffré qu’avec la deuxième clef. Les
communication ; deux algorithmes asymétriques les plus utilisés sont RSA et
— l’IP spoofing (usurpation d’une adresse IP) où une machine DSA.
attaquante prétend être une autre machine de confiance, et ceci
grâce à des clefs asymétriques permettant d’authentifier les
machines client et serveur SSH ;
— le DNS spoofing où l’attaque vise à faire parvenir de fausses 1.2 La confidentialité des données
réponses aux requêtes DNS émises par une victime, de manière à
rediriger des connexions vers une machine contrôlée par
l’attaquant ; La confidentialité est un service de sécurité qui consiste à
— l’IP Source Routing où une machine attaquante peut faire assurer que seules les personnes autorisées peuvent prendre
croire qu’un paquet provient d’un autre hôte ; connaissance des données échangées.
— le TCP hijaking (vol de connexion) grâce au contrôle d’intégrité
de SSH qui permet de détecter si une session a été modifiée ;
— les attaques de type Man-in-The-Middle grâce à l’authentifica- Pour obtenir ce service, on utilise généralement le chiffrement des
tion du serveur hôte. données concernées à l’aide d’un algorithme cryptographique.
Dans la suite de ce dossier, nous allons expliquer les différents SSH1 emploie le DES, 3DES, IDEA, ou Blowfish tandis que SSH2
services de sécurité mis en place dans SSH, puis les différences emploie 3DES, blowfish, Twofish, Arcfour, ou Cast128. Ces algo-
entre les deux versions 1 et 2 de SSH. Le paragraphe 2 présente rithmes sont employés pour fournir un canal sécurisé pour le trans-
ensuite l’organisation en sous-protocoles de SSH v2 et le fonction- fert des données.
nement du protocole SSH v2 avec une description détaillée de la
phase d’initialisation de ce protocole ainsi que les différentes
méthodes d’authentification qui y sont intégrées. Dans la seconde
partie, nous décrivons les fonctionnalités offertes par ce protocole. 1.3 L’intégrité des données
Puis, nous abordons la solution SSH VPN en la comparant à IPSec et
SSL, les limites du protocole SSH ainsi que les principales distribu-
tions de ce protocole. Nous discutons ensuite de l’avenir du proto- L’intégrité se rapporte à la protection contre les changements
cole SSH et des nouveaux standards TLS qui influencent l’avenir de et les altérations. L’intégrité est assurée si les données émises
ce protocole et son actuelle utilisation dans l’accès aux équipements sont identiques à celles reçues. Des différences peuvent apparaî-
distants. Nous terminons l’article par une conclusion. tre si quelqu’un tente de modifier ces données ou tout simple-
ment si un problème de transmission/réception intervient.
1.1 L’authentification
Les techniques utilisées pour détecter l’altération des données
comprennent classiquement les bits de parité, les checksums (CRC)
Le service d’authentification permet d’assurer qu’une commu- ou encore les fonctions de hachage (encadré 2) à sens unique [12]
nication est authentique. On peut distinguer deux types telles que MD5 ou SHA-1. Ces mécanismes ne peuvent cependant
d’authentification : l’authentification d’un tiers et l’authentifica- pas garantir l’intégrité dans l’absolu. En effet, il est possible que les
tion de la source des données. données altérées aient la même somme de contrôle et qu’ainsi que
leur altération passe inaperçue. Il est aussi possible qu’un attaquant
modifie les données et recalcule le résultat de la fonction de
L’authentification d’un tiers consiste, pour ce dernier, à prouver hachage (empreinte). Pour que seul l’expéditeur soit capable de
son identité. modifier l’empreinte, on utilise des fonctions de hachage à clefs

est strictement interdite. – © Editions T.I. H 5 235 − 3
39
2
40
TE7515
IP Mobile
par Thomas NOËL

Maître de conférences
2
Université Louis Pasteur de Strasbourg
1. Mécanismes d’allocation d’adresses IP............................................. TE 7 515 - 2

2. Mobilité IP.................................................................................................. — 3
2.1 Acteurs.......................................................................................................... — 3
2.2 Mobilité IPv4 ................................................................................................ — 4
2.3 Mobilité IPv6 ................................................................................................ — 4
3. IP Cellulaire ............................................................................................... — 6
4. Conclusion ................................................................................................. — 8
’évolution des technologies a rendu possible l’apparition de nouveaux types

L de machines. Ces ordinateurs connus sous le nom de portables permettent
à leurs utilisateurs de travailler sur différents sites. Il n’est plus nécessaire de
se trouver dans son bureau, devant sa station de travail pour éditer un texte
ou faire un schéma. Ces ordinateurs disposent de suffisamment d’autonomie
et de puissance de calcul pour répondre aux besoins actuels. Les ordinateurs
portables permettent de travailler sur des données stockées localement, mais
leurs utilisateurs ont de plus en plus besoin de pouvoir communiquer pendant
leurs déplacements avec leurs entreprises ou d’autres collaborateurs. Jusqu’à
présent, ces liaisons s’effectuaient lorsque le portable se trouvait dans un lieu
équipé, par exemple d’une connexion réseau ou d’une prise téléphonique. On
reliait le portable à cette prise (réseau ou téléphonique), ce qui lui permettait
de pouvoir entrer en communication avec son ou ses destinataires. On parle alors
d’ordinateurs nomades. Mais ce type de communication n’est possible que
lorsque le portable se trouve dans un local équipé. Les communications sont
stoppées dès que l’ordinateur nomade est débranché de la prise réseau.
L’arrivée de nouvelles technologies de transmission de données sur des
réseaux sans fil comme 802.11, GPRS, UMTS, permet de ne plus voir les ordina-
teurs portables comme de simples machines nomades. À l’heure actuelle, il est
possible pour un ordinateur portable de communiquer même pendant ses mou-
vements. On ne parle plus d’ordinateurs nomades mais d’ordinateurs mobiles.
L’engouement pour l’Internet a eu au moins un avantage : il a permis de recon-
naître son protocole IP comme un standard de communication Réseau. La majo-
rité des applications existantes sont développées et conçues pour utiliser ce
protocole. En effet, celui-ci offre à une machine la possibilité d’être à la fois reliée
à son réseau local, mais également de pouvoir dialoguer avec n’importe quelle
autre machine sur l’Internet. Dans ce contexte favorable à une informatique
communiquante, il a été naturellement envisagé d’utiliser les ordinateurs mobiles
sur l’Internet. Le but recherché est d’offrir à ces ordinateurs mobiles la possibilité
de se servir de l’Internet afin de communiquer avec d’autres machines, que
celles-ci soient fixes ou mobiles. Comme le protocole IP a été conçu bien avant
l’apparition de ces nouvelles technologies, ses fonctionnalités ne pouvaient tenir
compte de ce nouveau type d’ordinateur. Il a donc été nécessaire d’enrichir le
© Techniques de l’Ingénieur, traité Télécoms TE 7 515 − 1
41
TE7515
IP MOBILE ____________________________________________________________________________________________________________________________
protocole afin que celui-ci permette le support de la mobilité. Un nouveau

protocole a donc vu le jour : IP Mobile. L’objectif de ce protocole est de masquer
la mobilité d’un équipement à ses correspondants sur le reste de l’Internet.
De nombreux groupes de travail (mobile IP – IETF, 3GPP, 3G.IP) voient dans
ce protocole le moyen d’offrir aux terminaux mobiles la possibilité de rester
connecté à l’Internet et cela même pendant le déplacement de ces équipements.
Les opérateurs de téléphonie mobile ont notamment besoin de ce type de
protocole afin d’assurer une continuité de la connectivité Internet lorsqu’un ter-
minal mobile IP passe d’un opérateur à un autre et cela alors que le terminal
est en train de communiquer avec d’autres équipements IP. L’IP Mobile est défini
suivant plusieurs normes. Le premier standard à avoir vu le jour est le RFC 2002 :
2 il a été défini pour le support de la mobilité sur les réseaux IP actuel. Une version
de ce protocole est en cours de normalisation pour l’utilisation des terminaux
mobiles sur l’Internet future génération : IPv6. C’est notamment cette version
du protocole qui devrait être utilisée avec les terminaux mobiles UMTS. Enfin,
de nouveaux protocoles comme IP Cellulaire voient le jour afin d’assurer une
convergence entre le monde des réseaux cellulaires et le monde IP.
Nous allons dans la suite de cet article présenter le protocole DHCP qui offre
aux équipements nomades des fonctionnalités de reconfiguration automatique
à l’Internet, puis nous allons décrire le protocole IP Mobile pour l’Internet actuel
et sa future version. Enfin, nous présenterons le protocole IP Cellulaire.
1. Mécanismes d’allocation Principaux sigles

d’adresses IP AM agent mère
AR agent relais
Dans le monde IP actuel [1], il existe deux techniques pour l’attri- CH correspondant
bution d’adresses IP à un équipement : la configuration manuelle
DHCP Dynamique Host Configuration Protocol
et la configuration dynamique.
GPRS General Packet Radio Service
La configuration manuelle d’un équipement consiste à renseigner
un fichier de configuration appartenant au système d’exploitation IP Internet Protocol
de l’équipement. Ce travail est généralement dévolu au service en ISP Internet Service Provider
charge du bon fonctionnement du réseau. L’allocation manuelle MH mobile
d’adresse IP est certainement la méthode la plus simple pour
NAT Network Address Translation
configurer un équipement ; toutefois, elle s’avère rapidement insuf-
fisante dans le cadre d’un réseau de moyenne ou grande envergure. OSI Open System Interconnection
En effet, il est relativement coûteux de devoir se connecter locale- RFC Request For Comments
ment sur chaque équipement afin de configurer la pile IP. Afin TCP Transmission Control Protocol
d’automatiser cette tâche, un protocole a été défini ; il se nomme
UDP User Datagram Protocol
DHCP (Dynamique Host Configuration Protocol ) [8]. Ce dernier per-
met l’attribution automatique et dynamique d’adresses IP. UMTS Universal Mobile Telecommunication Service
Le protocole DHCP est défini dans le RFC 2131 ; il est important
de noter qu’il ne se limite pas à l’attribution d’adresses IP mais il
est également utilisé pour la configuration de l’ensemble des para-
mètres IP d’un équipement. Ce protocole est utilisé notamment par la configuration des terminaux X. Comme nous allons le voir, le
les fournisseurs de services (ISP) Internet. Par son intermédiaire, protocole DHCP n’est qu’une option du protocole BOOTP, même si
un abonné à un tel service n’a pas à configurer lui-même sa à l’heure actuelle, il s’agit certainement de la principale utilisation
machine pour pouvoir se raccorder à l’Internet. En effet, celle-ci de cet ancien protocole.
doit simplement se comporter comme un client au service DHCP.
Comme nous pouvons le voir sur la figure 1, un message
Dès que le client demande une connexion à son fournisseur de
BOOTP est basé sur le protocole transport UDP. Ce choix vient
service, celui-ci lui transmet automatiquement l’ensemble des
notamment de la simplicité d’implémentation d’UDP. Il faut se sou-
paramètres IP nécessaires à son raccordement à l’Internet.
venir qu’initialement BOOTP était destiné aux terminaux X qui ne
Le protocole DHCP est construit sur une architecture client/ disposaient que de peu de mémoire. Afin, de limiter la taille prise
serveur ; le serveur stocke un certain nombre de paramètres qu’il par l’implémentation des protocoles minimaux nécessaires au
transmet aux clients DHCP lorsque ces derniers en font la démarrage d’un terminal X, le protocole UDP a été préféré au pro-
demande. Il est important de noter que l’ensemble des échanges tocole TCP, plus complexe et plus coûteux à implémenter.
DHCP sont toujours à l’initiative des clients. Le serveur DHCP ne
fait que répondre à des demandes ; il n’est jamais l’initiateur d’un
échange. Si nous reprenons le scénario des échanges DHCP, ces
Le protocole DHCP est principalement une extension d’un proto- derniers peuvent se représenter par le diagramme simplifié de
cole plus ancien : BOOTP. Ce dernier était utilisé initialement pour la figure 2.
TE 7 515 − 2 © Techniques de l’Ingénieur, traité Télécoms
42
TE7555
Gestion du roaming par AAA pour

les services PPP et Mobile IP
par Maryline LAURENT-MAKNAVICIUS

Institut national des télécommunications (INT), Evry
2
1. Problématique........................................................................................... TE 7 555 – 2
2. Protocole de base de Diameter............................................................ — 3
2.1 Format de l’en-tête Diameter...................................................................... — 3
2.2 Format des AVP............................................................................................ — 3
2.3 Extensions de Diameter .............................................................................. — 4
2.4 Protocole de transport sélectionné ............................................................ — 4
2.5 Problèmes non résolus de Diameter.......................................................... — 4
3. AAA et la connexion à distance via le réseau commuté .............. — 5
3.1 Authentification de l’utilisateur .................................................................. — 5
3.2 RADIUS......................................................................................................... — 5
3.3 Extension NASREQ de Diameter................................................................ — 6
4. AAA et la mobilité IPv4 ......................................................................... — 7
4.1 Mobilité IPv4 ................................................................................................ — 7
4.2 Architecture .................................................................................................. — 7
4.3 Prérequis sur les associations de sécurité................................................. — 8
4.4 Fonctionnement du roaming ...................................................................... — 9
4.4.1 Affectation dynamique d’un agent mère .......................................... — 9
4.4.2 Associations de sécurité .................................................................... — 9
4.4.3 Mobile IPv4 et la réauthentification .................................................. — 10
4.5 Nouveaux messages et AVP liés à l’extension de mobilité IPv4 ............. — 10
4.6 Traitement du handover.............................................................................. — 10
5. Diameter dans les réseaux cellulaires de troisième génération — 11
6. D’autres utilisations possibles............................................................. — 11
7. Perspectives de standardisation.......................................................... — 11
7.1 Protocole PANA............................................................................................ — 11
7.2 Extension Mobile IPv6 de Diameter........................................................... — 12
8. Conclusions sur les perspectives d’exploitation de Diameter.... — 12
Bibliographie ...................................................................................................... — 12
es dernières années, les moyens de communications offerts aux utilisateurs

C mobiles ont fortement évolué, leur donnant la possibilité d’accéder à l’Inter-
net et l’Intranet de leur entreprise quelle que soit leur localisation dans le monde.
Généralement, un utilisateur dispose d’un accès au Réseau Téléphonique Com-
muté (RTC) par PPP (Point-to-Point Protocol) via un modem, en particulier s’il est
connecté depuis son domicile ou une chambre d’hôtel. L’utilisateur doit alors
demander un accès au réseau auprès de son Fournisseur d’Accès Internet (FAI)
et doit s’authentifier, en général à l’aide d’un mot de passe. En fonction de son

type d’abonnement, le FAI restreint ensuite l’accès à son réseau à certains
© Techniques de l’Ingénieur, traité Réseaux et télécommunications TE 7 555 − 1
43
TE7555
GESTION DU ROAMING PAR AAA POUR LES SERVICES PPP ET MOBILE IP _________________________________________________________________________
services. Toutes ces vérifications sont bien entendu obligatoires pour que le FAI
soit sûr d’être payé pour les ressources réseau consommées par l’utilisateur.
Pour une gestion facilitée des abonnements, les FAI centralisent toutes les
données relatives aux abonnés (mot de passe, type d’abonnement, facture) dans
des serveurs d’accès protégé. À chaque demande de connexion, l’un de ces ser-
veurs est interrogé. Les protocoles permettant de réaliser au sein des FAI les
opérations d’authentification, d’autorisation et de comptabilité sont dénommés
AAA pour Authentication, Authorization, Accounting.
Si les protocoles AAA sont particulièrement bien adaptés aux abonnés se
connectant à un FAI par le RTC, il est prévu qu’ils soient utilisés dans un contexte
2
de mobilité basé sur le protocole Mobile IP. Ces deux domaines d’application
sont décrits dans cet article en se limitant aux aspects authentification et autori-
sation du AAA, c’est-à-dire en laissant de côté les aspects liés à la facturation
(Accounting). D’autres applications naturelles du AAA sont également présen-
tées, comme la protection de l’accès Wi-Fi, les VPN...
(0)
Sigles 1. Problématique
3GPP2 Third Generation Partnership Project 2
AAA Authentication, Authorization, Accounting
Les concepts AAA (Authentication, Authorization, Accounting)
AAP Agent d’Authentification PANA sont apparus au début des années 1990 avec la volonté des fournis-
AS Association de sécurité seurs FAI d’offrir à leurs clients en déplacement la possibilité de se
connecter à l’Internet depuis le réseau commuté téléphonique
AVP Attribute-Value Pair (RTC). Il fallait en effet proposer une authentification fiable des utili-
CDMA Code Division Multiple Access sateurs, l’authentification ne pouvant plus reposer sur la connais-
CHAP Challenge-Handshake Authentication Protocol sance de la position géographique des utilisateurs (par exemple,
numéro de téléphone). Ce service d’authentification est d’autant
CMS Cryptographic Message Syntax plus crucial que le système de facturation ou d’accès à certains ser-
DNS Domain Name Service vices comme le VPN (Virtual Private Network) reposent sur une
bonne authentification. Pour éviter toute fraude, il est donc néces-
EAP PPP Extensible Authentication Protocol
saire que les équipements du réseau sachent mettre en œuvre les
FAI Fournisseur d’Accès Internet fonctions AAA, c’est-à-dire :
GPRS General Packet Radio Service — s’authentifier et s’identifier les uns les autres ;
GSM Global System for Mobile communications — gérer les droits des utilisateurs mobiles ;
— collecter et stocker des informations sur les connexions de ces
IETF Internet Engineering Task Force utilisateurs.
ISP Internet Service Provider Deux protocoles – RADIUS et Diameter – sont décrits ci-après. Le
NAS Network Access Server protocole AAA le plus connu est RADIUS (cf. § 3) pour Remote
NASREQ Network Access Server Requirements Authentication Dial In User Service. Il est très couramment utilisé
par les FAI aujourd’hui mais il oblige un abonné à se connecter à son
OTP One-Time-Password authentication FAI de souscription, ce qui peut induire des coûts élevés. En effet, si
PANA Protocol for carrying Authentication for Network l’abonné est en déplacement à l’étranger et que le FAI ne dispose
Access pas de point d’accès dans ce pays, il devra s’acquitter de communi-
PAP Password Authentication Protocol cations téléphoniques longue distance. Un autre protocole appelé
Diameter et en cours de définition à l’IETF permet de s’affranchir de
PPP Point-to-Point Protocol cette limitation en définissant des échanges inter-FAI. Ainsi, sauf cas
RADIUS Remote Authentication Dial In User Service particuliers, un abonné pourra se connecter au réseau Internet ou
Intranet de son entreprise au prix d’une communication locale en
RNIS Réseau Numérique à Intégration de Services passant par un FAI local, et ce quelle que soit sa localisation.
RTC Réseau Téléphonique Commuté Diameter n’est cependant pas une simple évolution du protocole
SCTP Stream Control Transmission Protocol RADIUS utilisé dans un contexte de connexion depuis le RTC
SNMP Simple Network Management Protocol (cf. § 3). Il vise également le marché des réseaux cellulaires de troi-
sième génération où la mobilité peut être gérée par le protocole de
TACACS Terminal Access Controller Access Control System mobilité IPv4 ([TE 7 515]). Pour cela, Diameter définit le domaine
TCP Transmission Control Protocol d’application Mobile IPv4 (cf. § 4). Il permet en particulier à des
mobiles de se connecter à un réseau visité géré par un domaine
d’administration autre que le sien.
UMTS Universal Mobile Telecommunications System
Dans la suite de cet article, le protocole de base Diameter est tout
USB Universal Serial Bus d’abord décrit. Les extensions de Diameter sont ensuite présentées,
VPN Virtual Private Network l’une dans un contexte de connexion à distance depuis un réseau com-
muté par PPP (Point-to-Point Protocol) et l’autre dans un environne-
Wi-Fi Wireless Fidelity ment où la gestion de la mobilité est réalisée par le protocole de
TE 7 555 − 2 © Techniques de l’Ingénieur, traité Réseaux et télécommunications
44
TE7555
_________________________________________________________________________ GESTION DU ROAMING PAR AAA POUR LES SERVICES PPP ET MOBILE IP
mobilité IPv4. Une réflexion est ensuite menée sur l’utilisation possible Le tableau 1 donne quelques exemples de messages Diameter
de Diameter dans les réseaux cellulaires de troisième génération, voire définis dans [1] avec leur code de commande respectif. Noter que
les réseaux Wi-Fi. Enfin, sont présentés les travaux de standardisation la distinction entre un message de requête ou de réponse ne se fait
actuels qui ne pourront que favoriser l’émergence de Diameter, et quel- pas au travers du code de commande mais par le biais du champ
ques informations sur les perspectives d’exploitation de Diameter. Flags décrit précédemment. Les messages Capabilities-Exchange
sont les premiers échanges Diameter effectués entre agents ; ils
leur permettent de connaître les caractéristiques d’un agent Dia-
meter comme le numéro de version Diameter utilisé, les protoco-
les de sécurité supportés, les applications Diameter disponibles... ;
2. Protocole de base ainsi, les agents sauront s’il leur est possible de communiquer
de Diameter entre eux. Les messages Disconnect-Peer permettent de fermer
une connexion. Les messages Re-Auth permettent aux serveurs
Diameter de réauthentifier/réautoriser un utilisateur/machine.
Diameter fait l’objet de plusieurs documents qui, notons le, sont

actuellement à l’état de drafts. Le document [1] décrit le protocole de
Enfin, pour les échanges d’informations de comptabilité, les
agents Diameter disposent de messages de type Accounting. 2
base avec le format des messages, la structure de ces messages en (0)
éléments d’information appelés AVP (Attribute-Value Pair) et quel-
ques primitives. Ce protocole de base est enrichi par des extensions
(cf. § 2.3) spécifiant les aspects de comptabilité [2], la possibilité de Tableau 1 – Quelques messages Diameter définis dans [1]
protéger les messages Diameter [3] et l’utilisation de ce protocole
dans les domaines d’application Mobile IPv4 (cf. § 4) et l’accès par Nom de messages Command Code
PPP (cf. § 3). Accounting-Request 271
De par le découpage de Diameter en documents indépendants, il Accounting-Answer 271
est tout à fait possible de définir d’autres domaines d’applications.
De ce fait, Diameter apparaît comme un protocole d’une grande Capabilities-Exchange-Request 257
flexibilité. Capabilities-Exchange-Answer 257
Disconnect-Peer-Request 282
Disconnect-Peer-Answer 282
2.1 Format de l’en-tête Diameter Re-Auth-Request 258
Re-Auth-Answer 258
Tout message Diameter commence par l’en-tête décrit à la
figure 1 suivi d’une liste d’éléments d’information AVP. Hormis le
numéro de version du protocole Diameter (ici la version 1) et la lon-
gueur du message Diameter (Message length) est précisé un 2.2 Format des AVP
ensemble de drapeaux (Flags) permettant principalement de spéci-
fier s’il s’agit d’un message d’erreur, ou si le message est une
requête ou une réponse. Le code de commande (Command Code)
précise le type de message transporté (plusieurs exemples sont Les AVP sont des éléments d’information de Diameter permet-
donnés ci-après). L’identifiant d’application (Application-ID) indique tant de transporter des informations d’authentification, autorisa-
l’application à l’origine de cet échange de messages Diameter ; il tion, comptabilité, routage, sécurité ainsi que des informations
peut s’agir d’une application de comptabilité ou d’une application de configuration.
propriétaire. Les agents Diameter étant susceptibles de lancer plu-
sieurs requêtes d’authentification par exemple, il est nécessaire
qu’elles puissent mettre en correspondance une requête faite avec
une réponse obtenue ; c’est le rôle assuré par l’identifiant Hop-by- Le format de l’en-tête d’un AVP est présenté à la figure 2. Le code
Hop. L’identifiant End-to-End permet de détecter les duplications de d’AVP permet d’identifier un type d’AVP de façon unique. Un extrait
message pour éviter que des messages ne soient traités plusieurs des AVP définis est proposé dans le tableau 2. Les drapeaux AVP
fois. Enfin, les AVP permettent d’encapsuler des informations indiquent à un agent Diameter la façon de traiter un AVP, en particu-
propres aux messages de Diameter. lier si son traitement est facultatif ou obligatoire. Le champ option-
nel Vendor-ID permet d’identifier le constructeur à l’origine de cet
AVP propriétaire, la présence de ce champ étant indiquée par un
drapeau du champ AVP Flags. Le champ Data précise les informa-
tions transportées dans l’AVP.
Octet 1 Octet 2 Octet 3 Octet 4
Version Message length
Flags Command Code Octet 1 Octet 2 Octet 3 Octet 4
Application-ID AVP Code
Hop-by-Hop Identifier AVP Flags AVP Length
End-to-End Identifier Vendor-ID (opt)
AVP(s) (longueur variable) Data (longueur variable)
Figure 1 – En-tête d’un message Diameter Figure 2 – En-tête d’un AVP
© Techniques de l’Ingénieur, traité Réseaux et télécommunications TE 7 555 − 3
45
2
46
IN130
INNOVATION
SecSIP : un environnement
de protection pour la voix sur IP
2
par Adelkader LAHMADI
Docteur en Informatique
Maître de conférences à l’École nationale supérieure d’électricité et de mécanique
(ENSEM), une école d’ingénieur de l’Institut nationale polytechnique de Lorraine
Membre de l’équipe de recherche MADYNES au LORIA
et Olivier FESTOR
Docteur en Informatique
Directeur de recherche à l’Institut national de recherche en informatique
et en automatique (INRIA)
Responsable de l’équipe MADYNES au Centre de recherche INRIA Nancy-Grand
Est et au LORIA
Résumé : SecSIP est un environnement dédié à la protection des services basés sur
le protocole SIP contre l’exploitation de vulnérabilités d’implémentation ou de spécifi-
cation pour mener des attaques envers ces systèmes. Il s’appuie sur un modèle à états
pour identifier les événements impliqués dans l’occurrence et/ou l’exploitation d’une
vulnérabilité. L’environnement applique à partir des automates inférés et en fonction
d’une cible, des contre-mesures adaptées. SecSIP possède un langage spécifique,
nommé VeTo, pour la spécification des règles de protection. Ce langage permet éga-
lement d’associer un contexte à toute protection contre une vulnérabilité particulière
ciblant un équipement dans un réseau SIP.
Abstract : SecSIP is a framework dedicated to the protection of SIP-based services

against attacks emerging from the exploitation of implementation or specification vul-
nerabilities. SecSIP relies on a stateful model to track advanced protocol event
sequences in vulnerability exploitation and describes the counter-measures to prevent
exploitation. SecSIP offers a domain-specific language, called VeTo, to specify the pro-
tection rules. The language also allows to associate a context to each protection rule
against the exploitation of a vulnerability targeting a specific SIP device.
Mots-clés : SIP, VoIP, sécurité, vulnérabilités, Pare-feu
Keywords : SIP, VoIP, Security, Vulnerabilities, Firewall
Points clés
Domaine : Techniques de la sécurité sur réseaux IP
Degré de diffusion de la technologie : Émergence | Croissance | Maturité
Technologies impliquées : Voix sur IP, SIP, Pare-feu
Domaines d’application :
Principaux acteurs français :
Centres de compétence : INRIA, INPL
2 - 2011 © Editions T.I. IN 130 - 1
47
IN130
INNOVATION
1. Voix sur IP, vulnérabilités (i) la spécification sous forme de règles des vulnérabilités et
de leur contexte dans un langage dédié nommé VeTo ;
et attaques (ii) un moteur d’inspection qui exécute cet ensemble de
règles sur les messages SIP qui traversent le réseau. Ce moteur
Les services liés à la Voix sur IP, se sont largement identifie les messages ou séquences de messages qui exploitent
déployés ces dernières années dans l’Internet et représentent une vulnérabilité et applique les contre-mesures associées. Ces
aujourd’hui une part importante des communications, aussi techniques permettent d’aboutir à un environnement flexible
bien dans les entreprises que chez les particuliers. Cette tech- dans lequel il est facile d’intégrer des nouvelles protections et
2
nologie repose essentiellement sur le protocole SIP [TE 7 533] les associer aux équipements qui les concernent.
pour la gestion des sessions entre les différentes parties impli-
quées dans un échange des données, de voix ou de vidéo.
1.1 Protocole SIP et vulnérabilités associées
Plusieurs travaux de recherche, des contributions à l’IETF
(Internet Engineering Task Force ), ainsi que des bulletins de Le protocole SIP est un protocole à base de transactions uti-
sécurité émis ces dernières années ont montré que le proto- lisé pour la gestion des sessions multimédias. Les sessions de
cole SIP, ainsi que la plupart des implémentations de celui-ci voix représentent un type principal dans le contexte SIP. Le
sont exposés à de nombreux types d’attaques. protocole repose sur deux entités principales qui sont l’agent
utilisateur et le serveur SIP. L’agent se place à différents
niveaux de l’architecture et assure l’initiation des transactions.
Exemple Le second se place au niveau d’un terminal, au niveau du
Le monde de la voix sur IP connaît depuis peu des réseau d’accès et joue le rôle de répondeur à des demandes
attaques à grande échelle issues de fermes de serveurs de de transactions. Différentes entités implémentant les fonctions
type EC2 [SIP Abuse]. Ces attaques exploitables à des fins à la fois d’agent client et agent serveur sont déployées sur
malveillantes d’ordre social et/ou économique sont essentiel- une infrastructure de services SIP : les terminaux, les proxys
lement possibles grâce à des erreurs de configuration, à la qui assurent différentes fonctions d’enregistrement, d’authen-
présence de vulnérabilités d’implémentation non corrigées tification de facturation... S’ajoutent à cette faune, différentes
et/ou à des faiblesses dans les spécifications des standards passerelles vers d’autres réseaux et services (par exemple,
de communication, y compris dans le protocole SIP utilisé des passerelles vers le réseau téléphonique commuté).
dans de nombreux services. En raison de son déploiement
extrêmement fort et de l’augmentation d’attaques à grande Les services utilisant ce protocole sont depuis peu la cible
échelle, il est devenu indispensable de définir des méthodes d’un nombre croissant d’attaques. SIP subit, comme nombre
de protection pour ce protocole intégrant sa sémantique et d’autres protocoles de l’Internet, des attaques classiques
ses états pour déceler ces attaques et mettre en place des (dénis de service, inondations, brute-force...). Les plus
contre-mesures adaptées. Des associations d’industriels tels dangereuses et les plus efficaces sont cependant celles qui
que VoIPSA [VoIPSA] se penchent d’ailleurs sur ce problème exploitent directement des faiblesses présentes dans ses
important de la sécurité dans le monde de la voix sur IP. implantations ou dans sa spécification.
Nous avons identifié trois éléments qui favorisent les
Les mécanismes actuellement déployés, notamment les attaques au niveau de la spécification du protocole SIP. Le
pare-feux traditionnels de niveaux IP et/ou transport sont premier élément est le format textuel de ses messages les
inadaptés pour garantir une protection du protocole SIP contre rendant particulièrement facile à manipuler. Cette caractéris-
l’exploitation des vulnérabilités découvertes sur les différents tique qui n’est bien sûr pas une faille en soi est aussi présente
équipements d’un service voix sur IP. Ces pare-feux ne dans d’autres protocoles comme HTTP ou SMTP. Le deuxième
tiennent en effet pas compte de la sémantique du protocole élément est l’absence d’authentification et d’intégrité fortes
SIP. Aussi sont-ils incapables de déceler une attaque exploi- imposées. Dans la spécification normative du protocole SIP,
tant une vulnérabilité reposant sur des données ou des états les concepteurs ne proposent pas, ni n’imposent de mécanis-
du protocole. Une vulnérabilité SIP est généralement relative mes particuliers pour assurer un service d’authentification des
à un ou plusieurs équipements particuliers. Une protection différents éléments intervenants dans d’un échange. La spéci-
efficace contre l’exploitation d’une vulnérabilité requiert la fication ne fait que recommander certains mécanismes comme
connaissance des équipements et celle des vulnérabilités qui y l’authentification à base de HTTP digest. De même, aucun
sont associées. Cette caractéristique n’est pas supportée par mécanisme d’intégrité ne fait partie des fonctions imposées
les pare-feux généralistes qui opèrent souvent au niveau IP. par le standard. La troisième faiblesse se situe au niveau du
mécanisme de routage des messages SIP. SIP possède son
Afin de protéger les équipements et services contre l’exploi- propre routage applicatif entre les différents relais (proxy) lors
tation de vulnérabilités connues, les implémentations doivent de l’acheminement de ses messages. Ces proxys possèdent la
évoluer et les correctifs doivent être appliqués aux implémen- capacité de modifier certains champs de ces messages pour
tations (application de patchs par exemple). Dans certains des besoins de routage ou en raison de contraintes particuliè-
cas, la révision des spécifications des standards utilisés est res du service voix. Cette capacité peut être exploitée par une
nécessaire. Cependant, les délais de production de nouveaux entité malveillante intermédiaire, afin de modifier ces champs
standards et/ou de nouvelles versions d’un logiciel souvent et introduire des exploits de types dénis ou vol de service.
embarqué dans un hardphone et les délais d’application de
Au niveau des implantations du protocole SIP, les agents utili-
correctifs sont généralement longs voire parfois infinis (dans
sateurs, ainsi que des serveurs possèdent un nombre important
le cas d’un système non maintenu par un équipementier). De
de vulnérabilités. Celles-ci sont découvertes par différentes
ce fait, les implantations restent à découvert sans mécanisme
méthodes dont notamment des techniques de Fuzzing.
de protection pour prévenir l’exploitation de ces vulnérabilités
non corrigées. Nota : le fuzzing est une technique d’injection de données malformées vers une
cible pour en tester la robustesse.
Pour offrir une réponse à ce cas de figure fréquent, nous
avons conçu et développé SecSIP, un environnement de pro- Ces vulnérabilités sont essentiellement dues à des erreurs
tection dédié aux services basés sur le protocole SIP. Cet de programmation introduites dans les phases de dévelop-
environnement s’appuie principalement sur deux techniques : pement des couches logicielles des équipements.
IN 130 - 2 © Editions T.I. 2 - 2011
48
TE7506
Sécurité IPv6
Adressage et auto-configuration
par Jean-Michel COMBES

Ingénieur R&D « Sécurité Internet/Intranet »
2
1. Classes d’adresses IPv6.......................................................................... TE 7 506 - 2
1.1 Unicast .......................................................................................................... — 2
1.2 Multicast ....................................................................................................... — 2
1.3 Anycast ......................................................................................................... — 2
2. Génération et sécurité d’adresse unicast IPv6 ................................ — 3
2.1 EUI-64 modifié .............................................................................................. — 3
2.2 Aléatoire........................................................................................................ — 3
2.3 Aléatoire et stable ........................................................................................ — 5
2.4 Cryptographiques ........................................................................................ — 5
2.5 Cryptographiques et locales ....................................................................... — 9
3. Protocole ND ............................................................................................. — 9
3.1 Principe ......................................................................................................... — 9
3.2 Router Discovery .......................................................................................... — 10
4. Auto-configuration des adresses IPv6 ............................................... — 12
4.1 Adresses lien-local et globale ..................................................................... — 12
4.2 Duplicate Address Detection ....................................................................... — 12
4.3 Optimistic DAD ............................................................................................. — 12
4.4 Neighbor Discovery Proxy (ND Proxy) ....................................................... — 12
5. Attaques sur le protocole ND ............................................................... — 13
5.1 Attaques externes ........................................................................................ — 13
5.2 Attaques internes ......................................................................................... — 13
6. Solutions de protection palliatives du protocole ND .................... — 15
6.1 Protection du Neighbor Cache .................................................................... — 15
6.2 Préfixe en /127 .............................................................................................. — 16
6.3 Mécanisme RA Guard .................................................................................. — 16
7. Solution de protection avancée du protocole ND .......................... — 16
7.1 Sécurisation des échanges entre 2 nœuds ................................................ — 16
7.2 Sécurisation de la découverte d’un routeur .............................................. — 18
7.3 Limitations de SEND .................................................................................... — 18
8. Conclusion.................................................................................................. — 20
Pour en savoir plus ........................................................................................... Doc. TE 7 506
e protocole IPv4 souffre de nombreuses faiblesses. Le principal problème

L est l’espace d’adressage. En effet, les adresses IPv4 sont d’une longueur de
32 bits, ce qui représente environ 4 milliards d’adresses possibles. Suite à
l’explosion de la croissance du réseau Internet et au gaspillage des adresses
dû à la structure en classes, le nombre d’adresses IPv4 est devenu insuffisant.
Un autre problème se pose sur la saturation des tables de routage dans les
routeurs principaux de l’Internet. Même si dès 1993, des mesures d’urgence
ont été prises, cela ne permet que de retarder l’échéance. Aussi, l’Internet
Parution : mai 2013

est strictement interdite. – © Editions T.I. TE 7 506 – 1
49
TE7506
SÉCURITÉ IPV6 _____________________________________________________________________________________________________________________
Engineering Task Force (IETF) a lancé des travaux en 1994 afin de spécifier le
protocole Internet qui remplacera IPv4 : ce protocole est IPv6.
Dans cet article, sont décrits :
– les différents types et classes d’adresses IPv6 spécifiés à l’IETF ;
– le protocole de découverte des voisins, Neighbor Discovery Protocol
(NDP), ainsi que le mécanisme d’auto-configuration d’adresses IPv6, Stateless
Address Autoconfiguration (SLAAC), reposant sur ce dernier ;
– le mécanisme de NDP, nécessaire pour le bon fonctionnement de NDP
dans certaines architectures.
Enfin, sont successivement abordés :
2 – les failles de sécurité du mécanisme NDP ;

– des solutions palliatives limitant ces dernières ;
– le mécanisme SEcure Neighbor Discovery (SEND) qui est la solution stan-
dardisée à l’IETF de sécurisation du mécanisme NDP, et les limites d’une telle
solution.
■ Lien-local
Le mécanisme NDP est le cœur du protocole IPv6. Il est Lorsque le préfixe réseau de l’adresse source ou destination est
nécessaire dès qu’un nœud IPv6 désire s’attribuer une « FE80::/64 », cela indique que la communication est restreinte au
adresse. Il permet à un nœud IPv6 de communiquer avec lien réseau local (c’est-à-dire, le paquet ne doit pas être acheminé
d’autres nœuds IPv6, y compris des routeurs. Aussi, la via un routeur) et ce genre d’adresse est appelé adresse IPv6
sécurité de ce mécanisme est cruciale pour IPv6. lien-local, Link-local Unicast Address (LUA).
■ Privée
Comme en IPv4 [3], IPv6 spécifie un adressage « privé ». Une
1. Classes d’adresses IPv6 adresse IPv6 de ce genre est appelée Unique Local Address
(ULA) [4] et son préfixe réseau commence par « FC00::/7 ». Elle ne
peut être « routée » qu’à l’intérieur d’un périmètre spécifique.
Les adresses IPv6 [1] sont codées sur 128 bits, alors que les
adresses IPv4 l’étaient sur 32 bits, comme le montre la figure 1 ■ Globale
illustrant les en-têtes IPv4 et IPv6.
Une adresse IPv6 est dite « globale », équivalente à l’adresse
Il existe plusieurs classes d’adresses IPv6, correspondant à la IPv4 dite « publique », lorsque le préfixe réseau commence par
portée de l’adresse, et plusieurs types d’adresses IPv6, correspon- « 2000::/3 » (voir le site de l’IANA dans le Pour en savoir plus).
dant à la procédure ayant servi à générer l’adresse IPv6. La
figure 3 résume les propriétés de ces différentes classes
d’adresses.
1.2 Multicast
IPv6 définit 3 types de classes [2] : unicast, anycast et multi- Une adresse multicast IPv6 a la même propriété qu’en IPv4 : un
cast. paquet, dont l’adresse destination est multicast, sera réceptionné
par un groupe de nœuds dont l’adresse multicast a été assignée.
La classe multicast remplace la classe broadcast en IPv4 et la
classe anycast est une nouvelle classe par rapport à IPv4.
Au passage, IPv6 définit « ::0/128 » comme l’adresse non 1.3 Anycast
spécifiée, unspecified address, et « ::1/128 » comme l’adresse
dite de « loopback », équivalente à 127.0.0.1 en IPv4.
Cette nouvelle classe d’adresse en IPv6 désigne une adresse qui
est utilisée par plusieurs nœuds à la fois. Contrairement à la classe
multicast, via des mécanismes non explicités ici, un paquet dont
1.1 Unicast l’adresse destination est anycast ne sera reçu que par un des
nœuds possédant cette adresse.
Une adresse unicast IPv6 a la même propriété qu’en IPv4 : un
paquet, dont l’adresse destination est unicast, sera réceptionné par
un seul nœud, le nœud dont cette adresse a été assignée. Remarque
Le format d’une adresse anycast est le même que celui
Une adresse unicast est constituée de 2 parties, comme illustré à d’une adresse unicast.
la figure 2 : la première renseignant sur le préfixe réseau et la
seconde indiquant ce qui est appelé Interface Identifier (IID ). Sauf Il est donc impossible de différencier une adresse anycast
d’une adresse unicast. Seul le nœud, dont l’adresse est assi-
exceptions (par exemple, pour les liens réseau de type
gnée, sait s’il s’agit d’une adresse anycast ou unicast.
Point-to-Point présentés § 6.2), chacune de ces parties fait 64 bits.

TE 7 506 − 2 est strictement interdite. − © Editions T.I.
50
TE7506
_____________________________________________________________________________________________________________________ SÉCURITÉ IPV6
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
Version IHL Type of Service Total Lengh
Identification Flags Fragment Offset
Time to Live Protocol Header Checksum

En-tête IPv4
Source Address
2
Destination Address
Options Padding
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
Version Traffic Class Flow Label
Payload Lengh Next Header Hop Limit
En-tête IPv6 Source Address
Destination Address
Figure 1 – En-têtes IPv4 et IPv6
À partir d’une adresse MAC, il faut insérer « 0xFFFE » au milieu

64 bits 64 bits de celle-ci afin d’obtenir l’identifiant IEEE EUI-64. Ensuite, il suffit
de mettre à 1 le bit « universel/local » (c’est-à-dire, 7e bit du
premier octet) et à 0 le bit « individuel/groupe » (c’est-à-dire, 8e bit
Préfixe réseau IID du premier octet).
Cette méthode est résumée à la figure 4.
Figure 2 – Format d’une adresse unicast IPv6
2.2 Aléatoire
L’inconvénient de la méthode précédente est que le nœud IPv6 aura
2. Génération et sécurité toujours le même IID même s’il change de préfixe réseau. Du coup, il
d’adresse unicast IPv6 serait facile d’identifier le nœud en question malgré ses mouvements.
Aussi, une autre méthode [5] a été spécifiée et est basée sur une
génération pseudo-aléatoire. Lors de son démarrage, le nœud IPv6
Il existe plusieurs façons de générer dynamiquement les IID initie aléatoirement une variable de 64 bits, nommée history value
(Interface Identifier) pour les adresses unicast IPv6. et qu’il sauvegarde. Lorsque le nœud a besoin d’un IID, tout
d’abord, il génère un IID de type EUI-64 qu’il concatène à la valeur
actuelle de history value. Ensuite, il applique sur le résultat la
2.1 EUI-64 modifié fonction de hachage MD5 [6]. Les 64 derniers bits en sortie sont
sauvegardés comme nouvelle valeur pour history value. Il prend
La plus commune des méthodes est basée [2] sur l’identifiant les 64 premiers bits en sortie et met le 7e bit du premier octet à 0.
IEEE modifié EUI-64 (voir le site IEEE Standards dans le Pour en Si cette valeur correspond à une valeur d’IID déjà utilisée par le
savoir plus), qui lui même repose sur l’adresse IEEE 802, plus nœud ou réservée, il recommence la procédure depuis son début.
connue sous le nom d’adresse Media Access Control (MAC ). Sinon, il utilise la valeur calculée comme IID.

51
TE7506
SÉCURITÉ IPV6 _____________________________________________________________________________________________________________________
Unicast Adresse IP = @IP1
Adresse IP = @IP
Adresse destination = @IP
2
Adresse IP = @IPn
Multicast Adresse IP = @IP
Adresse IP = @IP

Adresse IP = @IP
Anycast Adresse IP = @IP
Adresse IP = @IP
Adresse IP = @IP
Figure 3 – Propriétés des différentes classes d’adresses IPv6
MAC
0 1 2 3 4
012345678901234567890 123456789012345678901234567
ug
Identifiant du constructeur Numéro de série
EUI-64
0 1 2 3 4 5 6
0 1 2 3 4 5 6 7 8 9 01 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 01 2 3
ug OxFFFE
EUI-64 modifié
0 1 2 3 4 5 6
0 1 2 3 4 5 6 7 8 9 01 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 01 2 3
10 OxFFFE
Figure 4 – Génération de l’IID à partir d’une adresse MAC

TE 7 506 – 4 est strictement interdite. – © Editions T.I.
52
TE7506
_____________________________________________________________________________________________________________________ SÉCURITÉ IPV6
Démarrage du nœud
History_Value = rand (64)
Génération IID, Tentative IID

« Graine » aléatoire
Besoin d’un IID ? oui type EUI-64 modifié IID + bit7 (first64 (Graine))
IID_EUI64 =mod_EUI-64 () Graine = md5(IID_EUI64 | | History_value) History_Value = last64 (Graine)
non
2
non IID conforme ?
Génération et assignation
de l’adresse
Figure 5 – Génération aléatoire de l’IID
Cette méthode est résumée à la figure 5 : – « F (x) » est une fonction PRF ;
– « rand(n) » est une fonction retournant aléatoirement une – « bit7(x) » est une fonction mettant le 7e bit de x à 0 ;
valeur de n bits ;
– « mod_EUI-64() » est une fonction retournant un IID de type – « firt64(x) » est une fonction retournant les 64 premiers bits de
EUI-64 modifié ; la valeur x.
– « md5(x) » est une fonction appliquant la fonction de hachage
MD5 sur la valeur x ;
– « bit7(x) » est une fonction mettant le 7e bit de x à 0 ; 2.4 Cryptographiques
– « firt64(x) » est une fonction retournant les 64 premiers bits de
la valeur x ;
Une autre méthode [9] de génération d’adresses IPv6 se
– « last64(x) » est une fonction retournant les 64 derniers bits de
rapproche de la méthode précédente. En effet, elle utilise la clé
la valeur x.
publique d’une paire de clés publique/privée pour générer l’IID. Les
adresses produites ainsi s’appellent des adresses générées crypto-
graphiquement, Cryptographically Generated Addresses (CGA) [10].
2.3 Aléatoire et stable
Chaque adresse CGA est associée à des paramètres qui ont
La méthode précédente génère à chaque fois un IID différent permis sa génération :
même si le nœud IPv6 reste dans le même réseau. Cela peut ne pas
faciliter la tâche de l’administrateur de ce dernier si celui-ci effectue – le paramètre « Sec » détermine la robustesse de l’adresse CGA
une surveillance de son réseau. Aussi, récemment, une autre contre les attaques de type brute-force et sa valeur varie de 0 à 7 ;
méthode a été proposée [7] qui permet de générer un IID aléatoire – le paramètre « Modifier » permet d’améliorer l’effet aléatoire
mais stable pour un même réseau (c’est-à-dire, préfixe réseau). lors de la phase de génération de l’adresse CGA ;
– le paramètre « Subnet Prefix » est le préfixe réseau utilisé lors
Remarque de la génération de la CGA ;
Cette méthode est encore en cours de spécification, et – le paramètre « Collision Count » indique le nombre de colli-
donc, pourrait être modifiée dans le futur. sions rencontrées lors des procédures Duplicate Address Detection
(DAD) (§ 4.2) pendant la génération de l’adresse CGA et sa valeur
varie de 0 à 2 ;
Pour générer un IID, le nœud applique dans un premier temps – le paramètre « Public Key » est la clé publique de la paire de
une fonction pseudo-aléatoire (par exemple, MD5 comme précé- clés publique/privée générée grâce à RSA [11] par le possesseur de
demment ou « SHA-1 » [8]), Pseudo-Random Function (PRF ), sur la l’adresse CGA ;
concaténation du préfixe réseau, de l’IID basé sur EUI-64 modifié, – le paramètre « Extension Fields », optionnel, contient les
l’identifiant du réseau s’il existe (par exemple, IEEE 802.11 SSID) et potentiels futurs paramètres rajoutés pour la spécification CGA.
une clé secrète qui a été générée au moment du démarrage du
nœud IPv6. Ensuite, il prend les 64 premiers bits en sortie et met le
7e bit du premier octet à 0.
Remarque
Cette méthode est résumée à la figure 6 :
– « gen() » est une fonction générant une clé secrète ; Tous ces paramètres, à part le paramètre « Sec » direc-
– « mod_EUI-64() » est une fonction retournant un IID de type tement codé dans l’adresse CGA, sont associés à une struc-
ture nommée CGA Parameters, illustrée à la figure 7.
EUI-64 modifié ;

53
2
54
VPN
1– Cryptographie et stéganographie
3
3– Technologies de VPN Réf. Internet page
Technologies VPN H5610 57
Technologies VPN SSL H5240 59
VPN MPLS IPv6 TE7590 61
Suite de protocoles IPsec au service des VPN et de la mobilité TE7545 65
55
3
56
H5610
Technologies VPN
par Mohammed ACHEMLAL

Responsable Unité de R&D « Services de sécurité Intranet » FTR&D/DMI/SIR
et Michel DUDET
Chef du service des Programmes et des Opérations FTR&D/DMI
1.
1.1
Réseau privé virtuel VPN .......................................................................
Définition ......................................................................................................
H 5 610 - 2
— 2
3
1.2 Classification ................................................................................................ — 3
1.2.1 VPN CE Based ..................................................................................... — 3
1.2.2 VPN Network Based ........................................................................... — 3
2. VPN IPSec .................................................................................................. — 3
2.1 Principes généraux ...................................................................................... — 3
2.2 Architecture générique................................................................................ — 4
2.3 Exemple d’architecture dans un environnement Intranet/Extranet......... — 4
2.4 Cohabitation avec l’accès Internet et firewall............................................ — 5
2.5 Accès centralisé des télétravailleurs .......................................................... — 5
3. VPN basés sur d’autres technologies de tunnels ........................... — 5
3.1 VPN basés sur L2TP..................................................................................... — 5
3.2 VPN basés sur GRE...................................................................................... — 6
4. VPN MPLS .................................................................................................. — 6
4.1 Architecture d’un réseau MPLS .................................................................. — 6
4.2 Distribution des étiquettes MPLS............................................................... — 7
4.3 Utilisation du protocole MPLS pour construire des VPN ......................... — 7
5. Récapitulatif .............................................................................................. — 8
6. Conclusion ................................................................................................. — 8
et article décrit les technologies permettant de construire les réseaux privés

C
Parution : octobre 2004 - Dernière validation : janvier 2016
virtuels connus sous le terme VPN (Virtual Private Network). Une classifica-
tion des VPN est proposée en identifiant ceux qui nécessitent une interaction
avec le réseau d’un opérateur des télécommunications et ceux pouvant être
construits indépendamment du réseau de transport.
L’article se concentre sur les principales technologies agissant au niveau de la
couche 2 ou de la couche 3 du modèle OSI : IPSec, L2TP, GRE et MPLS. Les archi-
tectures et les services liés à ces architectures sont également analysés.
57
H5610
TECHNOLOGIES VPN ____________________________________________________________________________________________________________________
(0)
Principaux sigles
AH Authentication Header LNS L2TP Network Server
ATM Asynchronous Transfer Mode LSP Label Switch Protocol
BGP Border Gateway Protocol LSR Label Switch Router
CA Certification Authority MPLS Multiprotocol Label Switching
CE Customer Edge NAT Network Address Translation
CoS Class of Service OSI Open System Interconnect
ESP Encapsulating Security Payload OSPF Open Shortest Path First
FW Firewall PE Provider Edge
GRE Generic Routing Encapsulation PPP Point to Point Protocol
IBGP Ingress BGP PPTP Point to Point Tunneling Protocol
3
IETF Internet Engineering Task Force PS Passerelle de Sécurité
IKE Internet Key Exchange RC4 Rivest Cryptography 4
IP Internet Protocol RIPv2 Routing Information Protocol version 2
IPSec IP Security Protocol SLA Service Level Agreement
L2F Layer 2 Forwarding protocol SPD Security Policy Database
L2TP Layer Two Tunneling Protocol SSL Secure Socket Layer
LAC L2TP Access Concentrator TCP Transmission Control Protocol
LDAP Lightweight Directory Access Protocol TTL Time To Live
LDP Label Distribution Protocol UDP User Data Protocol
LER Label Edge Router VPN Virtual Private Network
LIB Label Information Base VRF VPN Routing and Forwarding Table
1. Réseau privé virtuel VPN Entreprise A, site 2

VPN A
VPN A
Entreprise A, site 1
1.1 Définition
VPN B Réseau VPN C
transport
Les réseaux privés virtuels sont souvent désignés par le terme Entreprise B,
site 2 Entreprise C,
anglais VPN (Virtual Private Network). Le service VPN permet la con- site 2
nectivité de plusieurs réseaux privés par l’intermédiaire d’une VPN C VPN B
infrastructure publique partagée. L’objectif principal du service VPN
est de faciliter les communications internes d’une entreprise multi- Entreprise C, site 1 Entreprise B, site1
sites et les communications entre des entreprises partenaires
(clients, fournisseurs). Avant la généralisation des technologies IP,
ce service était assuré par des réseaux de type X25, Frame-Relay ou Plate-forme
ATM. d'administration
Les caractéristiques d’un réseau privé virtuel doivent être compa-
rées à celles d’un réseau réellement privé en terme de débit, de Figure 1 – Modélisation des VPN avec l’exemple de trois VPN,
temps de latence, de la jigue, de fiabilité et de sécurité. correspondants à trois entreprises, souhaitant connecter leurs sites
répartis géographiquement
La figure 1 donne une représentation de trois VPN qui permettent
d’interconnecter les sites, répartis géographiquement, de trois
entreprises via une infrastructure partagée. Ainsi, le VPN A intercon- rateurs peuvent y participer. Ceux du niveau 3 impliquent des
necte les sites 1 et 2 de l’entreprise A ; le VPN B interconnecte les configurations au niveau des équipements d’interconnexion des
sites 1 et 2 de l’entreprise B, etc. entreprises. Ils peuvent également impliquer des configurations au
La figure 2 donne une autre représentation logique d’un autre niveau du réseau de transport si la qualité de service (bande-pas-
réseau, où tous les sites appartenant au même VPN sont virtuelle- sante) fait partie des besoins.
ment regroupés. Les VPN de niveau 4 sont transparents par rapport au réseau de
La connectivité des sites peut se faire au niveau de l’une des transport, mais ces derniers n’apportent pas de garantie en terme de
couches du modèle OSI. Elle se fait généralement au niveau de la qualité de service (débit, jigue, temps de latence) et sont utilisables
couche lien (niveau 2), de la couche réseau (niveau 3) ou de la cou- avec un seul protocole de transport (TCP pour les VPN utilisant SSL).
che session (niveau 4). Dans cet article, nous nous limitons aux VPN de technologie IP
Les services de VPN niveau 2 impliquent la configuration d’équi- (de niveau 3) qui sont aujourd’hui les plus courants. Ils sont parfois
pements au niveau du réseau de transport, et un ou plusieurs opé- désignés dans la littérature par le terme IPVPN.
58
H5240
Technologies VPN SSL
par Wilfrid RABOT

Ingénieur R&D
France Télécom Division R&D
1. Contexte et rappels ................................................................................. H 5 240 – 2
3
1.1 VPN ............................................................................................................... — 2
1.2 Protocoles SSL/TLS ..................................................................................... — 2
2. Principes des VPN SSL........................................................................... — 2
3. Interconnexion de sites.......................................................................... — 3
4. Nomadisme................................................................................................ — 3
4.1 Architecture.................................................................................................. — 4
4.2 Authentification et autorisation.................................................................. — 4
4.3 Applications ................................................................................................. — 4
4.3.1 Applications clientless ....................................................................... — 4
4.3.2 Applications non clientless ................................................................ — 5
4.4 Fonctions avancées ..................................................................................... — 6
4.4.1 Contrôle du terminal .......................................................................... — 6
4.4.2 Nettoyage du terminal ....................................................................... — 7
4.4.3 Single Sign-On : SSO ......................................................................... — 7
5. Limites intrinsèques des VPN SSL...................................................... — 7
6. Synthèse et conclusion .......................................................................... — 7
ifférentes technologies permettent de construire des VPN SSL. En effet, les

D VPN SSL constituent un type très particulier de réseau privé virtuel (VPN)
car, contrairement à IPsec [TE 7 545], ils utilisent un protocole destiné à transpor-
ter des données applicatives (SSL) pour construire un VPN.
Après une définition de leurs principes fondamentaux, les VPN SSL sont pré-
sentés dans le contexte de l’interconnexion de sites et celui de l’accès pour les
nomades. Le nomadisme étant le cas d’usage le plus courant mais aussi le plus
complexe, les différents mécanismes d’accès aux ressources d’un réseau privé
(intranet) sont décrits en détail. La conclusion synthétise les avantages et
inconvénients des VPN SSL et des VPN IPsec.
59
H5240
TECHNOLOGIES VPN SSL ________________________________________________________________________________________________________________
— à l’entrée dans le réseau de l’opérateur (chez l’opérateur) : les

(0)
Sigles et abréviations VPN network based.

Abréviation Définition Les VPN network based tels que MPLS n’ont pas besoin de chiffre-
ment car le réseau de l’opérateur est opaque et supposé de
ACL Access Control List confiance. Les VPN CE based sont à l’opposé susceptibles de transi-
CE Customer Edge ter sur des réseaux appartenant à plusieurs opérateurs. Il est donc
impératif d’assurer la confidentialité, l’intégrité et le non-rejeu des
CRL Certificate Revocation List paquets échangés. Pour ces derniers, le protocole IPsec en mode
DMZ DeMilitarized Zone tunnel ou le protocole L2TP chiffré par IPsec en mode transport peu-
vent être utilisés. Les VPN SSL se situent évidement dans les VPN
DNS Domain Name Service
CE based.
DTLS Datagram TLS
FTP File Transfer Protocol
HTML HyperText Markup Language 1.2 Protocoles SSL/TLS
HTTP HyperText Transfer Protocol
HTTPS HTTP sécurisé par SSL
Les protocoles SSL/TLS [1] [2] offrent des services de sécurité au-
3 IP
IPsec
Internet Protocol
Internet Protocol Security
dessus de la couche transport (TCP). Ce protocole garantit
l’intégrité, le non-rejeu et la confidentialité des données. Il peut éga-
lement assurer l’authentification des extrémités et renégocier pério-
L2TP Layer Two Tunneling Protocol diquement les paramètres de sécurité.
LDAP Lightweight Directory Access Protocol Du fait de la nature applicative de ces protocoles, il est courant
MITM Man In The Middle pour un client d’avoir plusieurs connexions ouvertes vers un ser-
MPLS MultiProtocol Label Switching veur. Afin de réduire la durée de négociation et la consommation de
ressources, une session est créée lors de l’ouverture de la première
NAPT Network Address Port Translation connexion. Cette session permet de réaliser une seule fois l’authen-
NFS Network File System tification des extrémités et l’échange sécurisé d’un secret maître qui
sera utilisé par toutes les connexions d’une application entre un
NTLM NT LAN Manager client et un serveur.
OS Operating System Il existe trois principaux modes d’authentification des extrémités :
PPP Point-to-Point Protocol — anonyme : aucune des extrémités n’est authentifiée. Ce méca-
Radius Remote Authentication Dial-In User nisme ne doit pas être utilisé car il est très vulnérable aux attaques
Service MITM (Man In The Middle). Les attaques MITM consistent pour
SMB Server Message Block protocol l’attaquant à se mettre en coupure des flux ;
— serveur uniquement : le serveur est authentifié par le client à
SSH Secure Shell l’aide d’un certificat signé par une autorité reconnue par le client. Il
SSL Secure Socket Layer existe encore quelques risques d’attaques MITM ;
SSO Single Sign-On — client et serveur : le client et le serveur s’authentifient mutuel-
lement à l’aide de certificats. Ce mode d’authentification est de loin
TCP Transmission Control Protocol le plus sécurisé.
TLS Transport Layer Security
URL Uniform Resource Locator
2. Principes des VPN SSL
VPN Virtual Private Network
Les VPN SSL permettent d’accéder à distance aux ressources d’un

intranet (le réseau privé d’une entité) soit depuis un autre intranet,
1. Contexte et rappels soit depuis un équipement isolé en simulant des requêtes HTTPS.
Les ressources peuvent être des serveurs (applications Web, par-
tage de fichiers, accès Telnet…) ou des sous-réseaux IP. L’utilisation
Le but de ce dossier n’est pas d’explorer en détail les VPN de HTTPS permet d’être transparent vis-à-vis des infrastructures
[H 5 610] et les protocoles SSL/TLS [H 5 230] mais d’expliquer les existantes (figure 1) car :
spécificités de l’utilisation des protocoles SSL/TLS pour créer des — les pare-feu sont généralement configurés pour laisser passer
VPN. Toutefois, afin de faciliter la compréhension, nous ferons dans les flux TCP sortant sur le port 443 ;
cette partie quelques rappels. — les NAPT (Network Address Port Translation) laissent sans pro-
blème les flux TCP sortant les traverser. À noter que les NAPT ont
pour objectif de convertir un ensemble d’adresses sources en une
seule adresse source : toutes les machines d’un réseau privé sont
1.1 VPN vues comme une seule machine ;
— les serveurs mandataires (ou Web proxy) peuvent être traver-
sés par les requêtes HTTPS [3] sortantes : après l’établissement
Les VPN permettent d’interconnecter des ressources réseaux en
d’une connexion TCP (figure 1, étape 1) entre le client SSL B et le
créant un réseau virtuel qui utilise une infrastructure publique. Il
serveur mandataire (proxy) local, une commande HTTP (CONNECT)
existe deux grandes classes de VPN suivant la position du nœud où
permet d’établir la connexion TCP (figure 1, étape 2) entre le proxy
l’encapsulation des flux dans le tunnel est réalisée :
et le serveur SSL. Cette connexion virtuelle entre le client et le ser-
— avant l’entrée dans le réseau de l’opérateur (chez le client) : les veur permet alors la connexion SSL (figure 1, étape 3) de bout en
VPN CE based ; bout. Notons que le proxy ne coupe pas le tunnel SSL.
60
TE7590
VPN MPLS IPv6
par Sarah NATAF

Ingénieur réseau
1.
1.1
Introduction d’IPv6 dans les réseaux IP/MPLS ................................
Principes génériques de routage dans les réseaux IP/MPLS ...................
TE 7 590 - 2
— 2
3
1.2 Nouvelle version du protocole IP : IPv6 ..................................................... — 4
1.3 Présentation de l’architecture VPN BGP/MPLS pour l’IPv6 ...................... — 4
2. Relation PE-CE dans les VPN MPLS IPv6 .......................................... — 5
2.1 Protocole de routage IPv6 PE-CE ................................................................ — 5
2.2 Cas des VRF dual-stack................................................................................ — 6
3. L3VPN IPv6 sur un cœur MPLS IPv4 .................................................. — 6
3.1 Signalisation des routes IPv6 des VPN BGP/MPLS ................................... — 6
3.2 Commutation du trafic VPN IPv6 ................................................................ — 8
3.3 Options avancées......................................................................................... — 9
4. Autres méthodes d’encapsulation
pour les VPN BGP/MPLS IPv6 ............................................................... — 10
4.1 Signalisation MP-BGP pour d’autres solutions d’encapsulation ............. — 10
4.2 Déploiement et impacts sur les réseaux .................................................... — 10
4.3 Évolution des mécanismes de transition ................................................... — 11
5. VPN BGP/MPLS IPv6 Inter-AS............................................................... — 12
5.1 Option « a » .................................................................................................. — 12
5.2 Option « b » .................................................................................................. — 12
5.3 Option « c »................................................................................................... — 13
6. Conclusion.................................................................................................. — 14
es réseaux virtuels privés BGP/MPLS reposant sur des infrastructures

L réseau de niveau 3 (L3VPN) sont désormais largement déployés chez les
opérateurs de télécommunications. Cette technologie introduite au tout début
des années 2000 a su faire sa place au sein des diverses offres. Elle est notam-
ment très répandue pour offrir des solutions d’interconnexion de sites distants
aux entreprises, pour la mise en place d’intranet ou extranet. Ces réseaux
privés virtuels reposent sur une infrastructure de cœur IP/MPLS partagée, et
donc plus particulièrement sur des réseaux IPv4, la version du protocole IP lar-
gement répandue à l’apparition des VPN MPLS.
Avec l’épuisement de l’espace d’adressage disponible sur l’Internet, une nou-
velle version du protocole Internet, IPv6, a été spécifiée puis progressivement
déployée. L’apparition d’IPv6 chez de nombreux fournisseurs d’accès, de
service ou de contenus et leurs clients, pose avant la phase de généralisation
des problèmes techniques de coexistence des deux protocoles sur des zones
diverses. Pour résoudre ces questions, le groupe de travail de l’IETF Softwire
se consacre à la normalisation de mécanismes de découverte, de commande
et d’encapsulation pour la communication entre îlots IPv4 à travers des

61
TE7590
VPN MPLS IPV6 ____________________________________________________________________________________________________________________
réseaux IPv6 et inversement, pour la communication entre îlots IPv6 à travers

un réseau IPv4.
De tels mécanismes sont nécessaires dans des scénarios de transition sur
des topologies constituées de nœuds hétérogènes dont certains n’activent pas
de double-pile protocolaire. Dans ces cas, les échanges entre îlots IPv4 (respec-
tivement IPv6) sont parfois amenés à être « tunnelisés » sur un transport IPv6
(resp. IPv4). Les solutions définies dans ce groupe s’adaptent aussi bien à :
– des architectures de type « hub and spoke » utilisant des tunnels
point-à-point vers un concentrateur ;
– des architectures de type maillé (mesh) dans lesquels les îlots sont reliés
entre îlots d’une même famille d’adresse par des tunnels softwire « point à
multi-points » entre les routeurs de bordure dits AFBR (Address Family Border
Routers).
C’est ainsi que les protocoles de communication mis en œuvre pour
3
construire l’architecture de VPN MPLS ont été adaptés ou remplacés pour inté-
grer cette problématique et acheminer des trafics IPv6 clients. Ce dossier
présente les solutions VPN BGP/MPLS pour l’IPv6 aussi appelées 6VPE, dans
laquelle les réseaux privés virtuels IPv6 reposent sur un cœur de réseau MPLS
IPv4 (normalisée et implémentée avant les premiers travaux du groupe
softwire).
Après une rapide présentation des réseaux VPN BGP/MPLS IPv4 et du proto-
cole IPv6, cet article décrit les extensions protocolaires de signalisation et de
plan de transfert nécessaires à la mise en place de l’infrastructure 6VPE. Il
aborde également quelques fonctions avancées de 6VPE pour les réseaux
privés virtuels inter-domaines, ainsi que les extensions de la solution VPN
BGP/MPLS IPv6 à d’autres méthodes d’encapsulation non MPLS.
Le lecteur trouvera un tableau des sigles et abréviations à la fin de l’article
(cf. tableau 1).
1. Introduction d’IPv6 Sur les réseaux IP, un certain nombre de protocoles de routage
coexistent, chacun étant dédié à une fonction bien particulière. En
dans les réseaux IP/MPLS effet, dans les réseaux IP, un ensemble d’équipements de niveau 3
ou routeurs exploités par une même entité administrative peuvent
être regroupés dans un domaine de routage appelé système auto-
nome ou AS (Autonomous System). Les AS sont identifiés par un
1.1 Principes génériques de routage numéro unique ou ASN (Autonomous System Number ). Au sein
d’un même domaine de routage, des protocoles de routage interne
dans les réseaux IP/MPLS ou IGP (Interior Gateway Protocol ) permettent l’échange des infor-
mations d’accessibilité, comme représenté sur la figure 1.
1.1.1 Rappels routage sur les réseaux cœur Les protocoles de routage sont notamment décrits dans
[H 1 428]. Ces protocoles IGP sont :
Le processus d’acheminement des paquets d’information sur un – RIP (Routing Information Protocol) ;
réseau IP est réalisé de proche en proche (hop-by-hop) jusqu’à la – IGRP ou EIGRP (Interior Gateway Routing Protocol/Enhanced
destination. Pour chaque paquet reçu, un équipement de niveau 3 IGRP) ;
ou routeur doit savoir déterminer le prochain saut vers lequel – OSPF (Open Shortest Path First) ;
envoyer ce paquet. Pour ce faire, les routeurs échangent des infor- – IS-IS (Intermediate System to Intermediate System).
mations sur les chemins disponibles pour joindre chaque destina- Entre deux domaines de routage, les protocoles de routage
tion afin de déterminer leur propre table de routage (aussi appelée dynamique externe ou EGP (Exterior Gateway Protocol) réalisent
RIB, pour Routing Information Base), et ce selon un certain nombre les échanges d’information de chemins. En pratique, un seul proto-
de protocoles. cole de routage EGP est déployé : le protocole BGP ou Border
Ces protocoles de routage sont qualifiés de dynamiques : en Gateway Protocol. Le protocole BGP est décrit dans [TE 7 525].
effet, contrairement au routage statique, en cas d’événements Si les protocoles de routage dynamique peuvent se distinguer
réseaux (pannes, apparition d’un nouveau nœud ou de nouvelles selon leur champ d’application intra-domaine (IGP) versus
destinations), ces protocoles de routage véhiculent plus ou moins inter-domaine (BGP), il existe également une différence de
rapidement les nouvelles informations de disponibilité des che- conception notable entre les protocoles dits « distance vector » et
mins entre les routeurs, ainsi que les coûts de chaque chemin. les protocoles dits « à états de lien » (ou link state). Avec les proto-
C’est à partir de cette table de routage que le routeur calcule les coles de type « distance vector », les équipements réseau de
meilleurs chemins vers chacune des destinations, pour ensuite en niveau 3 échangent une liste vectorielle des destinations acces-
déduire sa table de transfert (aussi appelée FIB, ou Forwarding sibles, à chaque destination étant associé le coût du chemin pour
Information Base), qui, pour chaque destination IP, associe une la joindre (cas de RIP). Les protocoles à états de liens permettent à
interface de sortie vers le prochain saut IP. chacun des routeurs d’échanger non seulement leur vision des

TE 7 590 − 2 est strictement interdite. − © Editions T.I.
62
TE7590
_____________________________________________________________________________________________________________________ VPN MPLS IPV6
R
R AS2 R R
R IGP
R AS3 R R
R
IGP
Session EGP
(eBGP)
AS1
R R IGP R
R
R
R
3
R R
R R
Figure 1 – Domaines de routage, protocoles IGP vs EGP
coûts des chemins, mais également les informations d’adjacence, alors sur les labels et non plus sur les en-têtes IP, et ce, le long
de manière à ce que chaque routeur puisse recalculer la vision d’un chemin labélisé ou LSP (Labeled Switched Path).
complète de l’ensemble de la topologie ; c’est le cas d’OSPF ou
Nota : cet article ne traite que des VPN BGP/MPLS unicast et donc décrit les LSP
IS-IS. point-à-point. Les extensions multicast ne sont pas décrites ici.
En pratique, les réseaux IP cœur sur lesquels reposent des archi-
tectures MPLS sont de taille relativement « grande » (composés de Pour les routeurs de cœur MPLS, la commutation est grande-
plusieurs nœuds IP), et supportent des applications (VPN, intranet, ment simplifiée : la table de transfert MPLS ou LFIB – Label
voix sur IP, vidéoconférence) nécessitant des temps de Forwarding Information Base – associe directement à un label
convergence rapides. Le protocole RIP ne répondant pas de MPLS le couple interface de sortie et le label MPLS de sortie
manière favorable à ces critères (cf. [H 1 428]), la plupart des correspondant (ainsi potentiellement que des informations de
réseaux cœur IP/MPLS reposent sur un protocole de routage niveau 2 sur l’interface de sortie). Dans un réseau MPLS, ce sont
interne OSPF ou IS-IS, voire EIGRP. les routeurs de bordure ou LER – Labeled Egress Router – qui sup-
portent la complexité de l’architecture notamment en établissant
Le rôle du protocole BGP sur de tels réseaux est, quant à lui, les chemins labélisés et en aiguillant les paquets entrant dans les
double : LSP, les routeurs de cœur ou LSR – Labeled Switched Router – se
– au sein d’un même AS, on utilise iBGP (internal Border contentant de commuter les paquets selon les labels.
Gateway Protocol) pour l’annonce des routes externes entre les
La technologie MPLS a connu rapidement un grand succès grâce
routeurs ; en effet, les protocoles à états de liens ne sont pas adap-
à sa simplicité et sa facilité de passage à l’échelle mais aussi pour
tés pour l’échange d’un trop grand nombre de routes, ils restent
ses applications dans les domaines de la qualité de service et
donc limités à l’échanges des préfixes internes ;
l’ingénierie de trafic. D’une part, outre le label codé sur 20 bits,
– entre différents AS, les sessions eBGP (external Border
l’en-tête MPLS est composé d’un champ de 3 bits, anciennement
Gateway Protocol) établies entre les routeurs de bordures (ou
appelé EXP et désormais renommé classe de trafic (TC ou « Traffic
ASBR, AS Border Router) permettent l’annonce des préfixes de
Class field », comme représenté sur la figure 2). Le champ TC est
chaque AS.
utilisé dans l’architecture DiffServ pour marquer les paquets
MPLS : il traduit le marquage DSCP (Differentiated Service Code
1.1.2 Rappels sur les VPN MPLS Point, codé sur 6 bits) de différenciation des flux, interprété par
chaque équipement pour l’application des traitements de QoS.
La technologie MPLS, ou MultiProtocol Label Switching C’est ce que l’on appelle le PHB ou Per-Hop Behavior. Il peut éga-
[RFC 3031], a été à l’origine développée pour améliorer les perfor- lement servir au marquage de notification de congestion (ECN,
mances des réseaux IP, et plus particulièrement optimiser la Explicit Congestion Notification).
vitesse de commutation des équipements de niveau 3 dans les
réseaux de transit. Lorsqu’un paquet IP entre sur un routeur de
transit, celui-ci doit recopier le paquet sur l’interface de sortie adé-
quate vers la destination, et, pour cela, faire un « lookup » ou réso- En-tête L2 En-tête MPLS Payload (paquet IP)
lution IP dans sa table de transfert pour identifier l’interface de
32 bits
sortie. À l’époque, le temps de recherche de l’entrée dans la table
de transfert était très pénalisé par le nombre d’entrées dans cette
table (limitation des performances des ASIC et des mémoires). Label (20 bits) TC S TTL
L’architecture MPLS permettait alors d’agréger de nombreuses
destinations en une seule entrée : les flux dont les traitements de Champs : Label : codé sur 20 bits
transfert sont équivalents sont regroupés en une FEC (Forwarding Classe de Trafic : codé sur 3 bits
Equivalence Class), ce qui raccourcit les temps de traitement lors Fin de la pile (Bottom of Stack) : codé sur 1 bit
de la commutation. Sur un réseau MPLS, les paquets IP sont ainsi Time To Live : codé sur 8 bits
labélisés en fonction de leur appartenance à une FEC : une éti-
quette ou label MPLS est insérée avant l’en-tête de niveau 3, Figure 2 – Insertion de l’en-tête MPLS pour un paquet IP (un seul
comme représenté sur la figure 2 ci-contre ; la commutation se fait niveau de label)

63
3
64
TE7545
Suite de protocoles IPsec au service

des VPN et de la mobilité
par Maryline LAURENT-MAKNAVICIUS
Professeur GET/INT, Institut national des télécommunications, Evry
3
1. Problématique de sécurité et premiers éléments de réponse ..... TE 7545v2 – 3
2. Caractéristiques et fonctionnement général de la suite – 4
de protocoles IPsec .................................................................................
3. Politique de sécurité : les associations de sécurité ....................... – 5
3.1 Contenu d’une association de sécurité ...................................................... – 5
3.2 Choix de l’association de sécurité .............................................................. – 5
3.3 Bases de données SPD et SAD ................................................................... – 6
3.4 Traitement des paquets dans le sens sortant............................................ – 6
3.5 Traitement des paquets dans le sens entrant............................................ – 6
4. En-tête d’authentification AH............................................................... – 7
4.1 Deux modes de protection .......................................................................... – 7
4.2 Contenu......................................................................................................... – 7
4.3 Calcul de l’authentificateur.......................................................................... – 8
5. En-tête ESP................................................................................................. – 8
5.1 Deux modes.................................................................................................. – 8
5.2 Contenu......................................................................................................... – 8
5.3 Construction de l’en-tête ESP ..................................................................... – 9
5.4 Extraction de l’en-tête ESP .......................................................................... – 9
6. Protocole IKE de gestion dynamique des associations
de sécurité.................................................................................................. – 9
6.1 Protocole IKE (IKEv1) ................................................................................... – 10
6.2 Protocole IKEv2 ............................................................................................ – 10
6.3 Distribution de clés publiques .................................................................... – 11
7. IPsec appliqué au protocole IPv6 ........................................................ – 11
8. Pour une meilleure compatibilité entre IPsec et NAT ................... – 11
8.1 Problèmes de compatibilité ........................................................................ – 12
8.2 Solutions préconisées ................................................................................. – 12
9. Usage de IPsec dans la construction de VPN .................................. – 12
9.1 VPN – interconnexion de réseaux privés distants..................................... – 13
9.2 VPN – accès distant depuis un terminal nomade...................................... – 13
10. Positionnement des VPN IPsec par rapport aux VPN SSL
et SSH .......................................................................................................... – 14
11. IPsec au service de la mobilité IPv6 ................................................... – 15
12. Conclusion.................................................................................................. – 16
our faciliter leurs communications inter et intra entreprises et améliorer

P ainsi leurs relations commerciales et leur productivité, de nombreuses
entreprises se donnent les moyens d’avoir des outils de communication

est strictement interdite. – © Editions T.I. TE 7 545v2 – 1
65
TE7545
SUITE DE PROTOCOLES IPSEC AU SERVICE DES VPN ET DE LA MOBILITÉ _______________________________________________________________________
efficaces et sûrs. Généralement, les entreprises souscrivent un service de VPN

(Virtual Private Network ) auprès de sociétés spécialisées (fournisseurs d’accès
Internet, opérateurs, ...).
À l’avenir, ces entreprises souhaiteraient offrir encore plus de flexibilité à
leurs employés en leur permettant de communiquer avec tout type d’équipe- Souhaits
ment (contrôlé, bien sûr), en tout lieu et même en se déplaçant. Aujourd’hui,
les techniques associées à la mobilité et à la sécurité ne permettent pas d’offrir
une telle flexibilité, mais la communauté scientifique y travaille. Inquiétudes
Dès que des communications d’une entreprise sont effectuées au travers
d’un réseau public, sans verser dans la paranoïa, il est important de rester très
prudent. En effet, qu’est-ce qui prouve que ces échanges ne feront pas l’objet
d’écoutes lors de leur transfert et qu’ainsi leur teneur ne sera pas révélée à un
tiers ? C’est l’une des multiples formes que peut prendre l’espionnage
industriel.
3
De plus, qu’est-ce qui assure que le trafic reçu provient bien du terminal
déclaré et qu’il n’est pas issu d’un terminal malveillant ayant usurpé l’identité
d’un terminal légitime ? Cette dernière question s’avère d’autant plus problé-
matique qu’à terme il est fort probable qu’un utilisateur pourra se connecter à
son réseau d’entreprise depuis tout type de terminaux. Réponses et évolutions
Pour répondre à cette problématique de sécurité, le protocole IPsec (IP secu-
rity), la version sécurisée d’IP, s’avère être la solution la plus complète
répondant au plus grand nombre de scénarii.
Ce protocole, standardisé par l’IETF, permet en effet d’authentifier les entités
communicantes, d’assurer l’authenticité, l’intégrité et la confidentialité des
données échangées, et de maintenir un niveau de sécurité acceptable, tout au
long des connexions, par la mise à jour périodique des paramètres de sécurité.
IPsec est largement employé aujourd’hui, dans un contexte de VPN, pour
sécuriser l’interconnexion de réseaux privés distants et, dans une moindre
mesure, pour sécuriser l’accès distant opéré par un nomade à son réseau privé
d’entreprise. Sur ce dernier point, l’offre IPsec est concurrencée par l’offre VPN
SSL (Secure Socket Layer).
Si la tendance se confirme, les infrastructures réseaux des opérateurs
devraient progressivement évoluer vers le « tout IP » et la solution IPsec
devrait ainsi connaître de nouveaux usages. Précisions
Ce dossier décrit la suite de protocoles IPsec, en particulier les trois sous-
protocoles : AH ( Authentication Header), ESP (Encapsulating Security Pay-
load), et IKE (Internet Key Exchange).
Les problèmes de compatibilité de la suite IPsec avec les mécanismes de
base, comme la traduction d’adresses, sont exposés. L’usage qui est fait
d’IPsec pour sécuriser les VPN, dans le cas de l’interconnexion de réseaux
privés distants et de l’accès distant s’y trouve décrit de manière détaillée. En
particulier, le fonctionnement de la solution standard « L2TP over IPsec », dans
le cas de l’accès distant, y est expliqué.
Une comparaison avec d’autres solutions de VPN basées sur les protocoles
SSL ou SSH est présentée, de manière à permettre aux lecteurs de placer
chacun de ces protocoles dans leurs usages et limites. Le dossier conclut en
décrivant le rôle fondamental que devrait jouer IPsec dans la sécurisation des
réseaux mobiles futurs basés sur le protocole de mobilité IPv6 et présente les
nouveaux défis à relever.

TE 7 545v2 – 2 est strictement interdite. – © Editions T.I.
66
TE7545
_______________________________________________________________________ SUITE DE PROTOCOLES IPSEC AU SERVICE DES VPN ET DE LA MOBILITÉ
Tableau des sigles

Message
Message M Message M
Sigles Désignation chiffré : #&@
original original
AH (Authentication Header) En-tête d’authentification Passerelle Passerelle
de sécurité de sécurité
Chiffrement Réseau Déchiffrement
BU (Binding Update) Internet
DHCP (Dynamic Host Configuration Protocol)

KAB KAB
ESN (Extended Sequence Number)
Site A Site B
ESP (Encapsulating Security Payload)
Figure 1 – Chiffrement/déchiffrement de paquets IP
IKE (Internet Key Exchange) Échange de clés Internet
3
SHTTP (Secure HTTP) Message M
original
SSH (Secure Shell) +
Message M Message M
SSL (Secure Socket Layer) original
Passerelle Passerelle
original
de sécurité de sécurité
VPN (Virtual Private Network) Réseau privé virtuel Insertion de Réseau Vérification de
l´authentificateur Internet l´authentificateur
1. Problématique de sécurité Site A Site B

et premiers éléments Figure 2 – L’authentificateur est introduit par la passerelle de sécu-
de réponse rité du site A émetteur et extrait/vérifié par l’équipement du site B
récepteur
■ Le trafic IP en transit peut être la cible d’attaques malveillantes du site émetteur (A) chiffre les données M émises par un terminal
[39], parmi lesquelles on peut citer classiquement : de A. Les données chiffrées obtenues, notées “#&@” sur la
– l’écoute (IP sniffing). Une personne malveillante se place à un figure 1, n’ont de signification que pour la passerelle de sécurité
endroit du réseau et se met à « écouter » le trafic échangé. Pour du site récepteur (B). À la réception des données chiffrées, la pas-
réaliser cette attaque, il faut classiquement parvenir à introduire un serelle de B les déchiffre, obtient les données originales M et les
analyseur de protocoles sur un réseau, ce qui permettra d’espion- transmet au terminal destinataire de son site.
ner les communications et de récupérer des informations confi- Le chiffrement utilise des outils cryptographiques, c’est-à-dire
dentielles en transit, comme des mots de passe. Une autre généralement des algorithmes de chiffrement qui sont publique-
solution consiste à modifier le comportement d’un équipement de ment connus.
réseau (exemple : routeur IP) de manière à récupérer une copie de
certains flux vers une machine choisie par l’espion ; La confidentialité des données émises est obtenue en fai-
– l’usurpation d’identité (IP spoofing). Une personne contacte un sant dépendre le résultat du chiffrement de l’algorithme uti-
équipement en se faisant passer pour quelqu’un d’autre. L’équipe- lisé, mais, surtout, des informations secrètes qui doivent être
ment contacté croit être en communication avec la personne dont connues uniquement des équipements de sécurité réalisant le
l’identité est usurpée et fournit alors des informations pouvant être chiffrement/déchiffrement. Ces dernières sont appelées clés
confidentielles. Cela consiste généralement à remplacer l’adresse de chiffrement et sont notées KAB sur la figure 1 car elles
IP d’une station par l’adresse IP d’un terminal légitime ; sont connues des passerelles A et B.
– la modification des données en cours de transfert (IP tampe-
ring). Ces données peuvent être modifiées de façon accidentelle ou
• L’authentificateur est ajouté aux données émises M par la
de façon malveillante. Dans ce dernier cas, une personne mal-
passerelle de sécurité du site émetteur A dans le cas de l’intercon-
veillante peut réussir à détourner un flux vers une machine sous
nexion de deux réseaux privés distants (cf. figure 2).
son contrôle, à effectuer les modifications souhaitées et à réé-
mettre ce flux vers le bon destinataire en faisant croire qu’il pro- Cet authentificateur garantit à la passerelle du site B que les
vient de la source originale. données reçues proviennent bien de l’équipement attendu. Il per-
met ainsi de se prémunir des usurpations d’identité. Il a également
■ Afin de se prémunir contre ce type d’attaque, il existe différents pour rôle de garantir l’intégrité des données, c’est-à-dire d’offrir la
mécanismes fréquemment utilisés en sécurité [36]. garantie que les données reçues n’ont subi aucune modification
lors de leur transfert sur le réseau.
• Le chiffrement permet à l’émetteur de se prémunir des écou-
tes en ne rendant ses données compréhensibles que par les équi- Le calcul d’un authentificateur repose sur une fonction de
pements du réseau autorisés. Il fait appel à deux équipements de hachage qui permet de limiter la taille de l’authentificateur et une
sécurité, l’un se chargeant de chiffrer les données émises et l’autre clé cryptographique qui garantit qu’un authentificateur valide ne
de les déchiffrer à la réception. peut être généré que par l’émetteur déclaré.
Dans le cas typique où deux réseaux privés sont interconnectés Contre les attaques portant sur le trafic IP, la solution décrite
par l’Internet, comme l’illustre la figure 1, les équipements placés consiste à modifier le protocole IP pour réaliser le chiffrement des
à l’entrée des sites sont appelées des passerelles de sécurité. Celle paquets IP et à y introduire un authentificateur.

67
TE7545
SUITE DE PROTOCOLES IPSEC AU SERVICE DES VPN ET DE LA MOBILITÉ _______________________________________________________________________
La version protégée du protocole IP fait appel à la suite de proto- Le protocole ESP, offrant un panel de services de sécurité plus
coles IPsec qui comprend les protocoles : AH (Authentication Hea- complet que le protocole AH, est obligatoirement implémenté
der), ESP (Encapsulating Security Payload) et le protocole de dans tout produit conforme à IPsec, tandis que AH est un proto-
gestion dynamique de la sécurité IKE (Internet Key Exchange). Ces cole optionnel. Cette décision de rendre AH optionnel permet
trois protocoles, tels que proposés par l’IETF dans les RFC [22], [23], d’alléger les implémentations d’IPsec et de simplifier quelque peu
[25], [26] et [27], sont décrits § 4, 5 et 6. Ils reposent sur la définition les produits IPsec du marché.
d’une politique de sécurité liée aux besoins de sécurité du réseau et
présentée § 3. Les paragraphes qui suivent se focalisent sur les ■ Les protocoles IPsec peuvent servir à protéger des échanges IP :
points précis suivants : particularités d’IPsec appliquées à un envi- – de bout en bout où ce sont les entités en communication (réa-
ronnement IPv6, solution choisie afin de rendre compatibles IPsec et lisant des échanges d’informations utiles) qui mettent en place les
les mécanismes de traduction d’adresses, usage des IPsec dans les protocoles IPsec, c’est-à-dire qui ont la charge de construire et
VPN, et positionnement de IPsec face à d’autres protocoles de com- d’analyser les en-têtes de sécurité IPsec. Ces entités sont ordinaire-
munication sécurisés tels que SSH, SSL (1). ment des terminaux ; dans ce cas, par rapport aux schémas des
(1) Les protocoles SSL et TLS sont très proches dans leur fonctionnement. À chaque
fois qu’il est fait référence à SSL, TLS est, tacitement, sous-entendu. figures 1 et 2, les logiciels, réalisant la protection des paquets IP
dans les passerelles de sécurité, sont en fait déportés dans les ter-
minaux source et destinataire des sites A et B. Cependant, ces enti-
tés, pouvant aussi être présentées comme les points de
2. Caractéristiques
3
terminaison d’une connexion, peuvent également l’être sous la
forme de passerelles de sécurité, du fait que celles-ci sont aussi
et fonctionnement général aptes à recevoir du trafic qui leur est destiné. Il peut s’agir de trafic
de gestion des passerelles de sécurité.
de la suite de protocoles – sur des segments de réseau, chacun des segments étant
constitué d’une, voire de deux passerelle(s) de sécurité. Ces seg-
IPsec ments protégés peuvent opérer entre un terminal et une passe-
relle, ou bien entre deux passerelles (comme le schématisent les
Afin de se prémunir des écoutes et des usurpations d’identité, le figures 1 et 2).
groupe IPsec de l’IETF a intégré des mécanismes de sécurité dans Comme le précise le RFC 4301 [21], deux modes de protection
les protocoles IPv4 et IPv6 afin de : par IPsec existent.
– chiffrer les paquets IP (leur contenu seul ou le paquet entier) ;
– introduire un authentificateur permettant de certifier l’équipe- • Le mode tunnel qui s’applique toujours à un tunnel IP, ce der-
ment émetteur et de contrôler l’intégrité de tout ou parties du nier étant directement géré par IPsec. L’équipement-tunnelier réa-
paquet IP. lisant le tunnel IP a pour fonction d’encapsuler le paquet IP émis
par un terminal local a, destiné au terminal b et contenant des
■ Les mécanismes de sécurité étant identiques pour IPv4 et IPv6, données (DATA) dans un nouveau paquet IP (cf. figure 3). Celui-ci
nous nous intéresserons dans un premier temps à IPv4 ; les particu- porte, dans son nouvel en-tête IP, les adresses IP source et desti-
larités de IPsec, dans un environnement IPv6, étant présentées § 7. nation des extrémités du tunnel A et B, ces dernières servant au
La suite de protocole IPsec comprend trois sous-protocoles. Les routage correct de ces paquets par le réseau public.
deux premiers servent directement à la protection des paquets IP Si le tunnelier émetteur A décide de la protection de ce paquet, il
et consistent en deux nouveaux en-têtes (encore appelés protège le paquet obtenu avec IPsec en ajoutant un en-tête adé-
« extensions » pour la nouvelle génération IPv6 du protocole IP). quat IPsec (AH ou ESP). La protection mise en place porte sur tout
Le troisième intervient au niveau applicatif afin de gérer dynami- le paquet IP émis par a, ainsi que sur certains champs du nouveau
quement la sécurité. paquet IP construit. Le tunnelier B vérifie alors que les en-têtes de
• L’en-tête d’authentification (Authentication Header ou AH) sécurité sont corrects ; il décapsule les paquets IP et transmet ces
contient, entre autre, un authentificateur. Il permet donc de vérifier paquets originaux vers le terminal destinataire b.
l’identité de l’équipement de sécurité émetteur et de contrôler Ce mode peut être indifféremment utilisé pour une protection
l’intégrité des données. sur des segments de réseau ou de bout en bout.
Il permet optionnellement de détecter si les données reçues
n’ont pas été précédemment reçues (ceci pour éviter qu’une per- • Le mode transport, par opposition au mode tunnel, s’applique
sonne malveillante ayant réussi à capturer un paquet légitime sur à tous les autres scénarios et fait porter la protection sur certains
le réseau ne puisse rejouer un paquet vers le même destinataire). champs des paquets IP. Il peut s’agir d’une protection de bout en
bout, comme l’illustre la figure 4, où seul le chiffrement des don-
• L’en-tête ESP (Encapsulating Security Payload) permet de nées est requis.
transporter un paquet IP, tout ou en partie chiffré, ainsi qu’un
authentificateur offrant la même gamme de services que l’en-tête
d’authentification. IKE
• Le protocole IKE (Internet Key Exchange) assure une gestion Oakley/SKEME Applications
dynamique de la sécurité en permettant aux équipements de sécu- (HTTP, FTP,
ISAKMP, DOI
rité de s’authentifier et de convenir de la manière de protéger leurs SMTP)
échanges IP.
Ce protocole se présente sous la forme d’une application (ou
« démon ») hébergée sur chaque équipement de sécurité et qui se TCP/UDP
met à dialoguer avec son homologue, à chaque fois qu’une con-
nexion IPsec sécurisée est à initier.
IPsec
• Ces en-têtes, présentés § 4 et 5, permettent tous deux d’authen-
tifier l’équipement de sécurité émetteur. En fait, suivant l’en-tête Couche Physique
choisi, l’authentificateur ne protège pas les mêmes champs. Cela
s’avère particulièrement utile selon le mode de protection utilisé Figure 3 – Mode tunnel mis en œuvre entre deux tunneliers
(voir ci-après) ou si une traduction d’adresse est réalisée (cf. § 8). de sécurité

68
VPN
4
4– Réseaux sans fil Réf. Internet page
Les réseaux sans fil et la sécurité IN77 71
Standard pour réseaux sans fil : IEEE 802.11 TE7375 73
Evolution du standard pour réseaux sans fil : IEEE 802.11 TE7376 77
Sécurité dans les réseaux 802.11 TE7377 81
Systèmes et techniques RFID . Risques et solutions de sécurité H5325 87
La technologie NFC : principes de fonctionnement et applications S8650 91
Sécurité des Réseaux de Capteurs sans Fil H5390 95
69
4
70
IN77
INNOVATION
Les réseaux sans fil et la sécurité

par Hakima CHAOUCHI et Maryline LAURENT-MAKNAVICIUS
La téléphonie mobile a été la première grande application rendue possible

par les réseaux de télécommunications mobiles. Par la suite, les réseaux
sans fil ont évolué, permettant l’émergence de nouvelles applications comme
l’Internet mobile, les réseaux spontanés... Ce large déploiement de services
dans les réseaux sans fil et mobiles n’est évidemment pas anodin du point
de vue de la sécurité et exige la plus grande attention. 4
limitatif en termes de communication. Bien que
Hakima CHAOUCHI est maître de conféren- Bluetooth ne soit pas prévu comme une solution de
ces à l’Institut national de télécommunications. remplacement à l’infrarouge, aujourd’hui plusieurs
Maryline LAURENT-MAKNAVICIUS est pro- constructeurs préfèrent cette technologie. Les com-
fesseur à l’Institut national de télécommunica- munications dans Bluetooth sont basées sur un
tions. mode de fonctionnement maître-esclave. Un groupe
d’équipements forme une cellule appelée
« piconet ». Un piconet comporte un maître et sept
1. WPAN (Wireless Personal esclaves actifs au plus (topologie en étoile). La
communication est directe entre le maître et les
Area Network) esclaves. Les esclaves ne peuvent pas communi-
quer entre eux. Le maître est chargé d’initier la
Bluetooth [8] est une technologie WPAN de connexion mais aussi de contrôler le trafic des
communication sans fil radio à courte distance autres esclaves. Tous les esclaves du piconet sont
destinée à simplifier les connexions entre les appa- synchronisés sur l’horloge du maître.
reils électroniques et informatiques.
Le standard Bluetooth se décompose en différen-
À l’origine, Bluetooth était prévu pour remplacer tes normes :
les câbles et les connecteurs entre les ordinateurs
et divers périphériques tels que les imprimantes, • IEEE 802.15.1 définit le standard Bluetooth IEEE 802.15 :
http://
scanners, souris, téléphones portables, assistants 1.x permettant d’obtenir un débit de 1 Mbit/s ; www.ieee802.org/15/
personnels numériques, appareils photo numé-
• IEEE 802.15.2 propose des recommandations
riques, baladeurs CD, casques, écouteurs...
pour l’utilisation de la bande de fréquence
Aujourd’hui la technologie Bluetooth a également
2,4 GHz (fréquence utilisée également par le
trouvé une utilisation « opportuniste ». Elle permet
Wi-Fi). Ce standard n’est toutefois pas encore
de mettre en contact deux (ou plusieurs) appareils
validé ;
qui n’étaient pas forcément destinés à se rencon-
trer. Par exemple, lors d’une visite, un utilisateur • IEEE 802.15.3 est un standard en cours de
peut transférer ses données depuis son téléphone développement visant à proposer du haut
cellulaire vers l’ordinateur portable d’un autre utili- débit (20 Mbit/s) avec la technologie
sateur, ou bien il peut lancer une impression sur Sur Bluetooth :
Bluetooth ;
une imprimante de proximité préalablement détec- Technologie Bluetooth
• IEEE 802.15.4 est un standard en cours de [TE 7 410] de
tée. Bluetooth permet également d’exécuter une X. LAGRANGE et
tâche informatique qui nécessite la coopération d’un développement pour des applications Blue- L. ROUILLÉ
autre appareil. Plus récemment, supportée par la tooth à bas débit..
plupart des téléphones cellulaires modernes, cette Du point de vue de la sécurité, la technologie sans
technologie est devenue un moyen de communica- fil est plus vulnérable que la technologie filaire
tion discret entre jeunes inconnus se rencontrant puisqu’elle est plus facilement accessible et sensible à
dans des endroits publics (cafés, bars...). L’avan- l’écoute. Dans le but de contrer différentes attaques,
tage de Bluetooth sur un canal infrarouge est sa des solutions cryptographiques sont généralement
capacité à connecter plusieurs appareils : il permet appliquées. Ainsi, les informations transmises dans
d’effectuer des connexions point-à-point mais aussi l’air sont chiffrées. L’attaquant n’ayant pas accès à la
point-à-multipoint, avec une intervention minimale clé secrète utilisée pour le chiffrement, il est inca-
de l’utilisateur. Les canaux infrarouges ont besoin pable de les décrypter. Une autre sorte d’attaque
d’une vue directe, ou liaison visuelle, ce qui est consiste à se faire passer pour une entité à laquelle la
10-2007 © Editions T.I. IN 77 - 1
71
IN77
INNOVATION
victime fait confiance et donne une autorisation dans le mode avec infrastructure, l’entité de
d’accès à ses données. Ces attaques sont contrées en base d’un réseau sans fil est la cellule contrôlée par
utilisant des méthodes d’authentification. Il existe un point d’accès. Ce dernier est généralement muni
différents types de clés dans Bluetooth. La clé de lien de deux interfaces réseaux :
est un nombre aléatoire de 128 bits. Elle est utilisée – une interface sans fil par laquelle il reçoit toutes
dans la procédure d’authentification et sert comme les trames échangées dans sa cellule et sur laquelle
paramètre durant la dérivation d’une clé de chiffre- il retransmet les trames à destination des stations
ment. Le temps de vie d’une clé dépend de son de la cellule ;
type : une clé de type semi-permanent peut être uti- – la seconde interface, généralement filaire, utili-
lisée après la clôture d’une session et peut servir à sée pour communiquer avec d’autres points d’accès
authentifier les unités Bluetooth qui la partagent ; la ou même utilisée pour accéder à l’Internet.
durée de vie d’une clé temporaire est limitée à une
session. Ce type de clé est, en général, utilisé pour Comme tous les standards de l’IEEE, 802.11 cou-
des connexions point-à-multipoints. vre les deux premières couches du modèle de réfé-
rence OSI, c’est-à-dire physique et liaison. L’une de
Le code secret PIN (Personal Identification Num- ses caractéristiques essentielles est qu’il définit une
ber) joue un rôle majeur dans la sécurité du proto- couche MAC commune à toutes les couches physi-
cole Bluetooth. Il sert à authentifier l’utilisateur. La ques de la même famille 802.11. De la sorte, de
4
longueur du code PIN peut varier de 1 à 16 octets ; futures couches physiques pourront être ajoutées
il se compose fréquemment de 4 octets. Pour des sans qu’il soit nécessaire de modifier la couche
applications nécessitant un plus haut niveau de MAC. Plusieurs normes 802.11 ont été standardi-
sécurité, il est conseillé d’augmenter ce nombre. sées. Elles présentent différentes caractéristiques
Bluetooth définit trois différents modes de sécurité : surtout de bande passante et de couverture.
• Mode de sécurité 1 : mode non-sécurisé. Ni
l’authentification des utilisateurs, ni le chiffre- 2.1 IEEE 802.11a, b, g
ment des données ne sont assurés. Ce mode
Sur IEEE 802.11 :
d’opération est utilisé lorsqu’on ne s’attend à La norme IEEE 802.11 a été publiée en quatre
Standard pour réseau
sans fil : IEEE 802.11 aucune attaque malicieuse, et que la commo- phases. La première, simplement appelée 802.11,
[TE 7 375] de dité est considérée supérieure à la sécurité. inclut MAC et trois spécifications de couches physi-
D. TREZENTOS ques dont deux dans la bande des 2,4 GHz et une
• Mode de sécurité 2 : mode sécurisé au
dans la portion infrarouge, toutes opérant à 1 ou
IEEE 802.11 : niveau de la couche service. Dans le mode 2,
http:// 2 Mbit/s. La norme IEEE 802.11b a été ensuite
les procédures de sécurité sont initialisées
www.ieee802.org/11/ publiée – celle-ci opère dans la bande des 2,4 GHz
et suite à l’établissement d’un canal au niveau de
avec des débits de 5,5 et 11 Mbit/s – puis la norme
http://standards.ieee. la couche Logical Link Control and Adaptation
org/getieee802/ IEEE 802.11g, également dans la bande des
Protocol (L2CAP).
802.11.html 2,4 GHz, mais avec des débits atteignant 54 Mbit/s.
• Mode de sécurité 3 : mode sécurisé au
Les réseaux 802.11b et 802.11g sont compatibles
niveau de la couche liaison. Dans le mode 3,
dans le sens ascendant. Une carte 802.11g peut
CSMA/CA : les procédures de sécurité sont initialisées
Méthode d’accès multi- donc se connecter à un réseau 802.11b à la vitesse
avant l’établissement d’un canal de communi-
ple à détection de por- de 11 Mbit/s, mais l’inverse n’est pas possible.
teuse et évitement de
cation. C’est un mode de sécurité intégré dans
collision Bluetooth et il est indépendant des Pour la partie physique, les propositions suivantes
Sur l’IEEE 802.11e : mécanismes de sécurité au niveau de l’appli- ont été retenues pour les réseaux 802.11a : fré-
Protocole IEEE 802.11 : cation. Ce mode supporte l’authentification et quence de 5 GHz dans la bande de fréquences sans
qualité de service le chiffrement des données. Ces fonctionnali- licence d’utilisation, modulation OFDM (Orthogonal
[TE 7 379] de tés reposent sur une clé secrète partagée par Frequency Division Multiplexing) avec 52 porteuses,
C. CHAUDET
chaque paire d’appareils ayant besoin de com- autorisant d’excellentes performances en cas de
DCF : Distributed Coor-
dination Function muniquer. Une procédure appelée « pairage » trajet multiple et haut débit de 6 à 54 Mbit/s. Le
est utilisée afin de générer cette clé secrète débit sélectionné par la carte d’accès dépend de la
PCF : Point Coordination
Function lorsque deux appareils communiquent pour la puissance de réception. Les niveaux supérieurs sont
EDCA : Enhanced Distri- première fois. la couche MAC qui gère l’algorithme de CSMA/CA.
buted Channel Access
HCCA : HCF Controlled
2. WLAN (Wireless Local Area 2.2 IEEE 802.11e et f
Channel Access
La norme IEEE 802.11e modifie la couche MAC
Network) afin d’apporter la qualité de service dans 802.11. En
effet, CSMA/CA fournit un partage équitable du
La norme IEEE 802.11 décrit les caractéristiques
médium sans fil et offre un service Best Effort. Dans
d’un réseau local sans fil (WLAN). Le nom Wi-Fi
une station qui implémente IEEE 802.11e, appelée
(Wireless Fidelity) correspond initialement au nom
« station QoS » ou QSTA (QoS Station), les modu-
QoS : qualité de service donné à la certification délivrée par la Wi-Fi Alliance,
les DCF et PCF sont remplacés par une fonction de
qui est chargée de maintenir l’interopérabilité entre
coordination hybride ou HCF (Hybrid Coordination
les matériels répondant à la norme 802.11.
Function) ; celle-ci repose sur deux nouveaux
La norme IEEE 802.11 offre deux modes de mécanismes de contrôle d’accès : EDCA et HCCA.
fonctionnement : un mode avec infrastructure et un L’EDCA fonctionne en mode DCF, il prévoit un
mode ad hoc. Dans le mode ad hoc, deux stations contrôle d’accès différentié au support permettant
sans fil peuvent communiquer directement entre ainsi une meilleure QoS. Les mécanismes d’accès
elles lorsqu’elles sont physiquement dans le même avec ou sans contention sont mis en œuvre par le
rayon de propagation (voir section 4). En revanche, HC (Hybrid Controller) pendant la période de trame
IN 77 - 2 © Editions T.I. 10-2007
72
TE7375
Standard pour réseaux sans fil :

IEEE 802.11
par Daniel TREZENTOS

Doctorant
École nationale supérieure des Télécomunications de Bretagne
1. Standard 802.11....................................................................................... TE 7 375 – 2 4

2. Architectures réseaux ............................................................................ — 3
2.1 Architecture ad hoc ..................................................................................... — 3
2.2 Architecture basée sur une infrastructure ................................................. — 4
2.2.1 Points d’accès ..................................................................................... — 4
2.2.2 Système de distribution ..................................................................... — 4
3. Couche MAC.............................................................................................. — 4
3.1 Format des trames MAC ............................................................................. — 4
3.1.1 Format général d’une trame de données ......................................... — 4
3.1.2 Trame d’acquittement ........................................................................ — 5
3.1.3 Trames RTS et CTS ............................................................................. — 5
3.2 Mécanismes d’accès au médium ............................................................... — 5
3.3 Protection contre les stations cachées....................................................... — 6
3.4 Mécanismes divers...................................................................................... — 7
4. Couche physique...................................................................................... — 7
4.1 Transmission par ondes infrarouges ......................................................... — 8
4.2 Transmission par ondes radio .................................................................... — 8
4.3 Bande ISM .................................................................................................... — 8
4.3.1 Technique d’étalement de spectre à séquence directe.................... — 8
4.3.2 Technique d’étalement de spectre par saut de fréquence .............. — 8
4.4 Couche physique 802.11b ........................................................................... — 8
5. Administration et sécurité .................................................................... — 9
5.1 Synchronisation........................................................................................... — 9
5.2 Authentification, association et réassociation .......................................... — 9
5.3 Sécurité......................................................................................................... — 10
5.4 Gestion de l’énergie .................................................................................... — 10
5.5 Mécanismes divers...................................................................................... — 10
6. Évolutions du standard .......................................................................... — 10
7. Conclusion ................................................................................................. — 11
Parution : mai 2002
73
TE7375
STANDARD POUR RÉSEAUX SANS FIL : IEEE 802.11 ____________________________________________________________________________________________
es dernières années ont vu l’usage des appareils électroniques portatifs

C croître exponentiellement. Parallèlement, l’usage des réseaux informati-
ques s’est fortement étendu. C’est dans ce contexte qu’a émergé le standard
de l’Institute of Electrical and Electronics Engineers IEEE 802.11 pour réseau
local sans fils WLAN (Wireless Local Area Network). Le standard 802.11 a été
conçu pour offrir aux stations des services comparables à ceux disponibles dans
les réseaux locaux filaires LAN (Local Area Network). Le terme station corres-
pond ici à tout appareil électronique susceptible d’inclure une interface 802.11 :
ordinateur classique et portable, assistant digital personnel ou PDA (Personal
Digital Assistant), etc.
Le but du standard est de fournir une connectivité sans fil aux stations fixes ou
se déplaçant à des vitesses faibles (piéton, véhicule industriel) aussi bien en inté-
rieur (hall d’aéroport, hôpital) qu’en extérieur (campus, parking).
La flexibilité, la souplesse d’utilisation, le déploiement facile et rapide (pas de
câble) sont les avantages de ce type de technologie.
(0)
Principaux sigles
ACK Trame d’acquittement (ACKnoledgment) LAN Local Area Network
4 AP
BSS
Access Point
Basic Service Set
LLC
MAC
Logical Link Control
Medium Access Control
CCA Clear Channel Assessment MPDU MAC Protocol Data Unit
CRC Cyclic Redundancy Code NAV Network Allocation Vector
CSMA/CA Carrier Sense Multiple Access with Collision Avoidance OFDM Orthogonal Frequency Division Multiplexing
CTS Clear To Send OSI Open System Interconnection
DCF Distributed Coordination Function NS Network Simulator
DECT Digital Enhanced Cordless Telecommunications PCF Point Coordination Function
DIFS DCF IFS PDA Personal Digital Assistant
DS Distribution System PHY Physical
DSSS Direct Sequence Spread Spectrum PIFS PCF IFS
EIFS Extended IFS PLCP Physical Layer Convergence Protocol
ETSI European Telecommunications Standards Institute PMD Physical Medium Dependent
FCS Frame Check Sequence PPDU PLCP Protocol Data Unit
FHSS Frequency Hopping Spread Spectrum QoS Quality of Service
HIPERLAN HIgh PErformance Radio Local Area Network RTS Ready To Send
HR/DSSS High Rate Direct Sequence Spread Spectrum SIFS Short IFS
IAPP Inter Access Point Protocol WEP Wired Equivalent Privacy
IBSS Independant Basic Service Set WiFi Wireless Fidelity
IEEE Institute of Electrical and Electronics Engineers WLAN Wireless local Area Network
IFS Inter Frame Space WMAN Wireless Metropolitan Area Network
IR Infra Red WPAN Wireless Personal Area Network
ISM Industrial Scientific and Medical Frequency Band
1. Standard 802.11 ondes infrarouges IR (Infra Red) permettant des débits allant jusqu’à
2 Mbit/s et les deux autres couches utilisent les ondes radio à
2,4 GHz, l’une avec l’étalement de spectre à séquence directe DSSS
(Direct Sequence Spread Spectrum) et l’autre avec l’étalement de
La première version du standard 802.11 date de 1997. En 1999, spectre par saut de fréquence FHSS (Frequency Hopping Spread
deux extensions, a et b, sont venues la compléter [1]. Spectrum) permettant l’une comme l’autre d’atteindre des débits
Le standard initial définit trois couches physiques PHY (PHYsical) allant jusqu’à 2 Mbit/s. Les extensions a et b définissent respective-
et une couche de contrôle de l’accès au médium de transmission ment une couche PHY OFDM (Orthogonal Frequency Division Multi-
MAC (Medium Access Control). Une des couches PHY utilise les plexing) à 5 GHz permettant des débits allant jusqu’à 54 Mbit/s brut
TE 7 375 − 2 © Techniques de l’Ingénieur, traité Télécoms
74
TE7375
___________________________________________________________________________________________ STANDARD POUR RÉSEAUX SANS FIL : IEEE 802.11
(32 Mbit/s net) et une couche PHY à 2,4 GHz permettant des débits L’exposé des différentes couches physiques est réalisé au para-
allant jusqu’à 11 Mbit/s. C’est avec cette dernière que le standard graphe 4. Une attention particulière est portée sur la couche PHY
802.11 s’est imposé. correspondant à l’extension b du standard.
La figure 1 précise les couches du modèle OSI (Open System
Le standard définit également un plan de contrôle (management
Interconnection) spécifiées par le standard 802.11. La couche MAC
layer) responsable des opérations d’administration. Certaines fonc-
fonctionne avec la couche LLC IEEE 802.2 également utilisée au-
tions d’administration seront évoquées au paragraphe 5.
dessus du standard pour réseau local Ethernet. La figure 2 récapi-
tule les détails du standard. Le standard 802.11 n’est pas figé. Il continue à être mis à jour
Le standard spécifie également deux architectures réseaux sus- régulièrement en vue d’offrir toujours plus de services ou d’amélio-
ceptibles de supporter les services de communication sans fil. rer les services existants. Les évolutions du standard seront discu-
L’étude de ces deux architectures est l’objet du paragraphe 2. tées au paragraphe 6.
La couche MAC et ses mécanismes sont étudiés au paragraphe 3.
Modèle de référence OSI Couches spécifiées par le

2. Architectures réseaux
standard IEEE 802.11
7 Application
Les stations 802.11 s’organisent suivant deux architectures
6 Présentation réseaux : ad hoc et basé sur une infrastructure.
5 Session
3
Transport
Réseau Sous-couche LLC IEEE 802.2

2.1 Architecture ad hoc
Un réseau ad hoc ne nécessite aucune infrastructure préalable-

4
2 Liaison Sous-couche MAC ment déployée pour permettre la communication entre ses mem-
bres. Chaque station opère de manière autonome afin d’assurer sa
1 Physique Couche PHY connectivité et la connectivité des autres membres. La souplesse de
déploiement est un atout majeur de ce type de réseau. Cette archi-
tecture est parfaitement adaptée à des besoins de communications
Figure 1 – Couches du modèle OSI spécifiée par le standard 802.11
éphémères ou sur des scènes mouvantes nécessitant un déploie-
ment rapide et la prise en compte de la mobilité des stations. Les
opérations militaires sur le terrain sont un exemple où l’architecture
IEEE 802.11 ad hoc montre tout son intérêt.
Wireless Local Area Networks (WLAN) standards
La figure 3 illustre le concept de réseau ad hoc.
Un réseau ad hoc minimal est constitué de deux stations dans la

Couche MAC couverture radio l’une de l’autre. Cette architecture est aussi connue
sous l’appellation IBSS (Independent Basic Service Set).
Dans ce type d’architecture, les stations jouent chacune le même

802.11 MAC rôle et tous les rôles. En effet, elles doivent opérer de manière auto-
nome et être capable d’effectuer toutes les opérations nécessaires à
l’établissement et au maintien du réseau. En particulier, les stations
Couche PHY doivent être capables d’effectuer les procédures d’authentification
et d’association.
Cette architecture est très souple mais la connectivité est soumise

802.11 IR aux aléas inhérents à ce type de réseau. Les stations sont également
Infrarouge (IR)
1 ou 2 Mbit/s
plus complexes par l’obligation d’effectuer toutes les opérations
citées ci-avant. De nombreux points ne sont pas clairement spécifiés
2,4 GHz (FHSS) par le standard, ce qui rend l’interopérabilité entre des stations de
802.11 FHSS constructeurs différents très aléatoire.
Frequency Hopping
1 ou 2 Mbit/s
Spread Spectrum
2,4 GHz (DSSS)

802.11 DSSS Limite de
Direct Sequence
1 ou 2 Mbit/s couverture radio
Spread Spectrum
802.11b extension haut débit Station 1

5,5 ou 11 Mbit/s
Station 2
5 GHz (OFDM) 802.11a extension haut débit

Orthogonal Frequency 6,12 ou 24 Mbits/s Limite de
Division Multiplexing 9, 18, 36 ou 54 Mbit/s optionnels couverture radio
Figure 2 – Récapitulatif des détails du standard 802.11 Figure 3 – Réseau ad hoc minimal
75
4
76
TE7376
Évolution du standard
pour réseaux sans fil : IEEE 802.11
par Isabelle GUÉRIN LASSOUS
Professeur des Universités, Université Lyon 1/LIP
1 Historique du standard IEEE 802.11 ................................................... TE 7 376 - 2

1.1 IEEE 802.11-1997 et IEEE 802.11-1999 ........................................................ — 2
1.2 Standard IEEE 802.11-2007.......................................................................... — 4
2 Principaux amendements d’IEEE 802.11 ........................................... — 4
2.1 IEEE 802.11b : vers un débit de 11 Mbit/s .................................................. — 4
2.2 IEEE 802.11a : vers un débit de 54 Mbit/s dans la bande de fréquence
4
des 5 GHz ...................................................................................................... — 5
2.3 IEEE 802.11g : vers un débit de 54 Mbit/s dans la bande de fréquence
des 2,4 GHz ................................................................................................... — 5
2.4 IEEE 802.11e : mise en place de la qualité de service ............................... — 6
2.5 Quelques mots sur les autres amendements ............................................ — 8
3 Quelques sous-groupes de travail IEEE 802.11 en cours .............. — 9
3.1 IEEE 802.11k : gestion de la ressource radio ............................................. — 9
3.2 IEEE 802.11n : vers des débits encore plus élevés .................................... — 10
3.3 IEEE 802.11p : environnements véhiculaires ............................................. — 10
3.4 IEEE 802.11r : pour un changement rapide de point d’accès ................... — 10
3.5 IEEE 802.11s : réseaux maillés .................................................................... — 11
4 Conclusion.................................................................................................. — 11
es réseaux WiFi, très souvent ainsi appelés par les utilisateurs, ont envahi
L les espaces privé et public. Avec l’arrivée des boîtiers multiservices, les
particuliers, tout du moins les derniers équipés, ont un accès WiFi. Un grand
nombre de sociétés, ainsi que les universités ou institutions publiques, se sont
équipées d’un réseau WiFi. Il permet aux employés d’être facilement connectés
sans pour autant devoir rester dans leur bureau, mais aussi de fournir facile-
ment une connexion réseau aux visiteurs. Les gares, les aéroports ou les
hôtels offrent aussi aux voyageurs un accès WiFi en accès libre (ce qui devient
de plus en plus rare) ou en accès payant.
Derrière ce terme – WiFi – se cache un standard important qui a révolutionné
l’accès sans fil aux réseaux de données. Ce standard, dénommé IEEE 802.11, a
été conçu par l’Institute of Electrical and Electronics Engineer et définit les
couches physiques et accès au médium (Medium Access Control, MAC) pour
les réseaux locaux sans fil. Parler au passé est un peu abusif car ce standard
est en constante évolution. Si vous cherchez actuellement à vous équiper
d’une carte sans fil IEEE 802.11, vous allez devoir choisir parmi des cartes
802.11b, 802.11a, 802.11g ou même encore 802.11n. La petite lettre se trouvant
après 802.11 est importante car elle correspond à différents amendements du
standard IEEE 802.11 et implique un accès sans fil présentant des caractéristi-
ques spécifiques.
Cet article a pour but de faire le point sur l’évolution du standard
IEEE 802.11. Certains amendements seront décrits plus en détail. Certains
travaux du groupe de travail IEEE 802.11, en cours mais n’ayant pas encore
débouché sur un amendement, seront aussi discutés.

77
TE7376
ÉVOLUTION DU STANDARD POUR RÉSEAUX SANS FIL : IEEE 802.11 ___________________________________________________________________________
1. Historique du standard – la couche physique radio basée sur la technique FHSS (Fre-
quency Hopping Spread Spectrum) permet d’obtenir un débit phy-
IEEE 802.11 sique de 1 Mbit/s et un débit physique optionnel de 2 Mbit/s ;
– la couche physique radio basée sur la technique DSSS (Direct
Spread Sequence Spectrum) permet d’obtenir des débits physi-
Avant de décrire l’historique de ce standard, il est important de ques de 1 et 2 Mbit/s.
clarifier la notion de standard et d’amendement. La couche DSSS est la plus implantée dans les cartes sans fil et
Il n’y a qu’un seul standard IEEE 802.11 en cours. Celui-ci est les points d’accès.
suivi de la date où il a été publié. Ce standard peut être mis à jour Une couche physique se décompose en deux parties :
grâce à des amendements.
– la sous-couche PMD (Physical Medium Dependent) qui implé-
Les amendements sont réalisés par les sous-groupes du groupe mente toutes les fonctions dont a besoin une couche physique
de travail IEEE 802.11. Ils sont dénotés par IEEE 802.11 suivi d’une donnée ;
lettre minuscule (correspondant à la dénomination du sous-groupe – la sous-couche PLCP (Physical Layer Convergence Protocol )
de travail associé). Le sous-groupe « m » a pour objectif la mise à qui réalise une correspondance entre les fonctions de la sous-
jour du standard. C’est lui qui combine le standard courant et les couche PMD et la couche MAC. La couche radio DSSS, couche la
différents amendements qui ont suivi afin de produire le nouveau plus populaire et implantée dans les cartes, ajoute notamment à
standard IEEE 802.11. chaque trame provenant de la couche MAC, un préambule PLCP
Le premier standard a été publié en 1997. Une nouvelle version afin de se synchroniser sur un signal détecté et déterminer le
a vu le jour en 1999. Il a été remis à jour en 2007 : il combine le début d’une trame, ainsi qu’un en-tête PLCP indiquant la modula-
standard précédent 802.11-1999 avec huit amendements. tion utilisée pour transmettre cette trame, la durée de la transmis-
Il n’y a qu’un seul standard IEEE 802.11 en cours. Ce standard sion de la trame ainsi qu’un champ de détection/ correction
d’erreur pour protéger le contenu de cet en-tête. L’en-tête PLCP est
4
(s’il n’est pas initial) est une mise à jour du standard précédent
avec les amendements qui l’ont suivi. IEEE 802.11-2007 est le stan- transmis avec un débit de 1 Mbit/s (on parle alors d’en-tête long,
dard en cours. voir figure 3).
Les couches physiques radio opèrent dans la bande de fré-
quence des 2,4 GHz (2,4835 GHz pour l’Europe et les États-Unis)
1.1 IEEE 802.11-1997 appartenant à la bande ISM (Industrial, Scientific and Medical Fre-
et IEEE 802.11-1999 quency Band), bande sans licence. Elle est découpée en 13 canaux
(14 pour le Japon) de 22 MHz. Deux canaux consécutifs sont sépa-
Le premier standard IEEE 802.11 a vu le jour en 1997. Il a ensuite rés de 5 MHz. Dans un tel système, des canaux se recouvrent donc
été révisé en 1999, donnant lieu au standard IEEE 802.11-1999. Un et seulement trois sont complètement indépendants.
certain nombre de règles présentes dans la version de 1997 et Le standard indique qu’il est possible d’utiliser deux canaux
redondantes ont été supprimées. simultanément si ceux-ci sont séparés d’au moins 30 MHz.
Les principales caractéristiques de ce standard sont :
– une description des architectures réseaux pouvant être mises 1.1.3 Couche MAC
en œuvre avec ce standard ;
– une description de plusieurs couches physiques qui Le standard IEEE 802.11 définit aussi le contrôle d’accès au
permettent la communication sur le médium radio ; médium (MAC) pour les points d’accès ainsi que pour les stations
– une description de couche MAC (Medium Access Control ). mobiles. Ce contrôle comprend l’authentification, l’association,
l’accès au médium ainsi qu’une procédure de chiffrement option-
nelle.
1.1.1 Architectures réseaux
L’accès au médium est une fonction très importante car elle
Dans ce standard, deux architectures sont possibles : indique à la station si elle peut émettre ou non. Deux modes sont
– l’architecture ad hoc qui permet à toutes stations à portée de définis dans ce standard :
communication de pouvoir transmettre entre elles. Un tel réseau – le mode PCF (Point Coordination Function) qui peut être utilisé
est autonome et ne nécessite aucune infrastructure. Il est aussi uniquement dans les architectures basées sur une infrastructure ;
dénommé, dans le jargon 802.11, IBSS pour Independent Basic – le mode DCF (Distributed Coordination Function) qui peut être
Service Set ; utilisé dans n’importe quelle architecture 802.11.
– l’architecture basée sur une infrastructure qui nécessite la
présence de points d’accès interconnectés par un système de C’est ce dernier mode qui est surtout implanté dans la plupart
distribution. Dans un tel réseau, les stations mobiles doivent pas- des cartes sans fil et points d’accès.
ser par le point d’accès auquel elles sont rattachées afin de pou-
voir communiquer. Les communications peuvent se faire entre des 1.1.3.1 DCF
stations hors portée de communication. Cette architecture permet Dans le mode DCF, le protocole d’accès au médium fait partie de
aussi aux stations mobiles de pouvoir accéder à d’autres réseaux, la famille des protocoles CSMA/CA (Carrier Sense Multiple Access/
par exemple Internet. Le réseau constitué d’un point d’accès et des Collision Avoidance). Avant d’envoyer ses données, la station
mobiles se trouvant sous sa zone de couverture est appelé BSS commence par attendre un temps (IFS, Inter Frame Space) fixe,
pour Basic Service Set. La combinaison de différents BSSs et du appelé DIFS (DCF IFS ), puis un temps aléatoire, appelé temps de
système de distribution permet de construire un réseau étendu. On backoff. Le backoff est initialement tiré aléatoirement dans un
parle alors d’ESS (Extended Service Set ). intervalle appelé fenêtre de contention dénotée [0;CWmin] pendant
lequel le médium doit rester libre. Si, au bout de tout ce temps, le
1.1.2 Couches physiques médium est effectivement resté libre, la station envoie sa trame,
sinon elle attend que le médium se libère et reprend le processus
La couche physique permet la transmission sur les liens de d’attente (fixe et aléatoire) quand le médium s’est libéré.
communication. Ce standard définit trois couches physiques : une Les données envoyées en mode point-à-point entre deux sta-
couche infrarouge et deux couches radio : tions sont acquittées. Si le récepteur reçoit correctement les don-
– la couche physique infrarouge permet d’obtenir un débit nées qui lui sont destinées, il envoie alors une trame de contrôle
physique de 1 Mbit/s avec une extension possible à 2 Mbit/s ; appelée trame d’acquittement (ACK), après un temps d’attente fixe

TE 7 376 – 2 est strictement interdite. – © Editions T.I.
78
TE7376
____________________________________________________________________________ ÉVOLUTION DU STANDARD POUR RÉSEAUX SANS FIL : IEEE 802.11
A B CFP
(durée variable) Trame balise
A DIFS Trame DIFS Trame

PCF DCF PCF
B S ACK S ACK Trame balise CP
Figure 1 – Communication 802.11 entre deux stations A et B Figure 2 – Alternance des deux modes d’accès dans le mode PCF
dans le mode DCF de 802.11
appelé SIFS (Short IFS ). Si la source ne reçoit pas, au bout d’un Le mode PCF cohabite donc avec le mode DCF en alternant une
certain temps, la trame d’acquittement associée à la trame de don- période d’accès sans contention (appelée CFP, Contention Free
nées qu’elle vient d’envoyer, elle considère qu’il y a eu collision. Period, et gérée via la mode PCF) et une période d’accès avec
Elle va alors retransmettre sa trame selon l’algorithme BEB (Binary contention (appelée CP, Contention Period, et gérée via le mode
Exponential Backoff ). Cet algorithme consiste à doubler la taille de DCF). Chaque période sans contention démarre avec l’envoi d’une
la fenêtre de contention pour le tirage aléatoire, et ce à chaque trame balise par le coordinateur. L’émission de cette dernière se
retransmission. Si au bout de plusieurs essais de retransmissions fait périodiquement, ce qui définit le début de chaque période sans
(avec plusieurs tirages dans la fenêtre de contention maximale contention. La durée de la période sans contention est contrôlée
4
dénotée [0;CWmax]), la trame n’est toujours pas transmise avec par le coordinateur.
succès, l’émetteur la détruit. Les données envoyées en mode diffu-
La figure 2 illustre cette alternance. À la réception d’une trame
sion locale (mode broadcast dans lequel les données sont desti-
balise, les stations vont mettre à jour leur NAV afin de s’empêcher
nées à toutes les stations à portée de communication) ne sont pas
d’émettre selon le mode DCF pendant cette période sans
acquittées.
contention. À partir de ce moment, les communications se font du
La figure 1 donne un exemple de transmission entre les stations coordinateur vers une station ou d’une station vers le coordinateur
A et B. Pour la première trame, la station A tire un backoff de 0, et celui-ci contrôle toutes les transmissions. Il va donc envoyer des
donc le temps d’attente aléatoire est nul. Une fois la première paquets aux stations s’il en a ou inviter les stations à émettre. Une
trame acquittée, A peut émettre sa deuxième trame présente dans station invitée (via une trame de contrôle Poll) peut envoyer sa
son interface sans fil. Pour celle-ci, elle tire une valeur de 2 pour son trame de données juste après un temps fixe SIFS déclenché après
backoff. Elle attendra donc deux unités de temps pour son temps la réception de la trame de contrôle. La station, pas nécessaire-
aléatoire. La lettre S correspond au temps d’attente fixe SIFS. ment le coordinateur, recevant la trame de données peut l’acquit-
Ce standard définit aussi un mécanisme pour gérer les ter si cela est nécessaire.
configurations de stations cachées. Dans ces configurations, deux
stations qui ne s’entendent pas, et donc qui ne détectent pas leur Pour pouvoir inviter les stations à émettre, le coordinateur main-
activité réciproque et considèrent que le médium est libre, tient à jour une liste de stations à contacter. Chaque station
cherchent à envoyer des données à un même destinataire. Avant indique si elle veut être invitée durant la période d’accès sans
d’envoyer sa trame de données, la station émettrice envoie, selon contention pendant l’étape d’association (ou de réassociation). Le
le mécanisme décrit précédemment, un paquet de contrôle appelé coordinateur doit inviter au moins une station dans sa liste pen-
paquet RTS (Request To Send ) en mode diffusion locale qui indique dant la période d’accès sans contention. Si toutes les stations de
à tous ses voisins qu’elle cherche à communiquer avec un destina- cette liste ont été contactées pendant la période sans contention et
taire donné. Toutes les stations recevant ce paquet, sauf le destina- que le temps de cette dernière n’a pas expiré, il est possible d’invi-
taire concerné, vont s’empêcher d’émettre pendant toute la durée ter une nouvelle fois des stations dans la liste.
de la communication spécifiée dans ce paquet RTS en mettant à
jour son NAV (Network Allocation Vector ). Le destinataire, s’il n’est 1.1.3.3 Autres services
pas déjà bloqué par son NAV, répondra par un paquet de contrôle
CTS (Clear To Send ) s’il reçoit correctement le RTS. Ce paquet CTS La couche MAC comprend aussi d’autres services, comme des
est envoyé en mode diffusion locale et indique à toutes les stations services de sécurité (authentification et chiffrement par un méca-
à portée qu’une communication doit avoir lieu pendant le temps nisme WEP), la détection de réseau, l’association/dé-association à
indiqué dans ce paquet. Les stations touchées par le CTS mettent un réseau ou encore la fragmentation.
alors leur NAV à jour. L’émetteur, s’il reçoit avec succès le CTS,
considère que le médium est alors réservé dans son voisinage et Enfin, une trame 802.11 est constituée d’un en-tête MAC et des
dans celui du récepteur et qu’il peut donc envoyer ses données données utilisateurs. L’en-tête MAC indique, entre autres, le type
sans craindre une émission concurrente d’une station cachée. de la trame transmise (données, contrôle ou gestion), la durée cal-
culée pour la transmission, les adresses du destinataire et de la
1.1.3.2 PCF source et un numéro de séquence. La trame se termine par un
champ de détection d’erreur. La figure 3 décrit les différents
Le mode PCF fournit un transfert sans contention. Ce mode est champs d’un paquet de données IEEE 802.11.
optionnel et ne peut être utilisé que dans des réseaux sans fil
basés sur une infrastructure. Il nécessite donc la présence d’au Ces définitions constituent le socle de base des réseaux sans fil
moins une station de base qui va jouer le rôle de coordinateur. Ce IEEE 802.11. Par la suite, ce standard a très vite été complété par
dernier peut ainsi inviter les stations, rattachées à son réseau, à des amendements qui décrivent des technologies sans fil plus
transmettre leurs paquets (mécanisme de polling). Les trames de performantes, notamment en termes de débit physique. Certains
contrôle du coordinateur sont envoyées après un temps fixe, de ces amendements ont été très fortement suivis par les
appelé PIFS (PCF Inter Frame Space ) qui est plus petit que le constructeurs de cartes sans fil et de points d’accès et sont deve-
temps DIFS. Ceci assure que le coordinateur est prioritaire dans nus les recommandations à suivre de facto. Une mise à jour du
l’accès au médium sur des stations se trouvant dans un autre standard IEEE 802.11 en 2007 était donc plus que justifiée afin d’y
réseau recouvrant et fonctionnant selon le mode DCF. intégrer certains des amendements devenus très populaires.

79
4
80
TE7377
Sécurité dans les réseaux 802.11
par Maryline LAURENT

Professeur à l’Institut Télécom
Télécom SudParis
Membre de l’UMR SAMOVAR 5157
et Aymen BOUDGUIGA
Doctorant à l’Institut Télécom
Télécom SudParis
Membre de l’UMR SAMOVAR 5157
1. Introduction aux réseaux 802.11 ...................................................... TE 7 377v2 - 2

2.
3.
Vue d’ensemble de la sécurité des réseaux sans fil ....................
Authentification ....................................................................................
—
—
3
5
4
3.1 Authentification Pré-RSNA (historique) .................................................. — 6
3.2 Port contrôlé dans 802.1X ........................................................................ — 6
3.3 Authentification basée sur une clé prépartagée (PSK) .......................... — 6
3.4 EAP dans IEEE 802.1X............................................................................... — 6
4. Gestion des clés et des associations de sécurité ........................ — 8
4.1 Principes de gestion des clés et des associations de sécurité .............. — 10
4.2 Session sécurisée STA-AP (4-Way Handshake ) ..................................... — 11
4.3 Session sécurisée STA-STA (SMK Handshake et 4-Way Handshake) .. — 12
4.4 Session diffusée – Gestion des clés de groupe
(Group Key Handshake ) ........................................................................... — 12
5. Protection des échanges de données sur un lien radio ............. — 14
5.1 WEP (Wired Equivalent Privacy ) ............................................................. — 14
5.2 TKIP (Temporal Key Integrity Protocol ) .................................................. — 15
5.3 CCMP (CTR with CBC-MAC Protocol ) ..................................................... — 16
6. Réseaux mesh sans fil et sécurité .................................................... — 17
6.1 Réseaux mesh ........................................................................................... — 17
6.2 Sécurité des réseaux mesh ...................................................................... — 17
7. Conclusions............................................................................................. — 18
Pour en savoir plus ........................................................................................ Doc. TE 7 377v2
a norme IEEE 802.11 issue de l’organisme de standardisation IEEE (Institute

L of Electrical and Electronic Engineers) spécifie les caractéristiques des
réseaux locaux sans fil (WLAN – Wireless Local Area Network) sous plusieurs
amendements (a, b, d, e, g, h, i, j). L’amendement 802.11i définit l’ensemble
des mécanismes de sécurité répondant aux besoins des réseaux 802.11. D’une
part, il assure le service d’authentification des terminaux sans fil. Pour cela, il
adapte la solution de sécurité IEEE 802.1X, initialement conçue pour authenti-
fier les terminaux dans un contexte de réseaux filaires. D’autre part, il
s’intéresse à la protection des flux de données sur le lien radio et définit pour
cela un service de protection des échanges de données qui se basent sur la
solution historique WEP (Wired Equivalent Privacy). L’amendement
IEEE 802.11i apporte des améliorations à la solution WEP en permettant que
les clés de chiffrement soient dynamiques. Pour cela, il définit la manière de

81
TE7377
SÉCURITÉ DANS LES RÉSEAUX 802.11 ___________________________________________________________________________________________________
gérer et d’échanger ses clés dynamiques, en définissant des protocoles de

gestion de clés et d’associations de sécurité. La mention RSN, pour Robust
Security Network, est souvent donnée en référence au niveau de sécurité gran-
dement amélioré par rapport au WEP d’origine. Enfin, il permet aux
équipements 802.11 mettant en œuvre 802.11i de rester interopérables avec les
équipements antérieurs mettant en œuvre une solution WEP et des clés de
chiffrement statiques.
Ces normes sont complexes et volumineuses. Les documents synthétiques
et clairs sur le sujet sont quasi inexistants ou nécessitent rapidement des
connaissances très pointues. Nous proposons, dans cet article, de brosser un
panorama des solutions de sécurité retenues dans les normes 802.11 et de les
détailler de façon didactique.
Cet article introduit tout d’abord les notions utiles sur les réseaux 802.11. Il
présente ensuite dans sa globalité la solution de sécurité telle qu’adoptée, puis
passe en revue les différentes composantes de sécurité définies, comme les
solutions d’authentification, de gestion des clés cryptographiques et des asso-
ciations de sécurité, et de protection des échanges de données. L’article
présente enfin un nouveau type de réseau – les réseaux maillés (mesh) – en
cours de normalisation, avec les solutions préconisées par l’IEEE.
1. Introduction aux réseaux terminaux eux-mêmes qui relaient le trafic d’un terminal à un autre
dans le cas où les terminaux sont trop éloignés l’un de l’autre pour
802.11 communiquer en direct. De par sa nature, ce réseau n’est pas
administré par un administrateur. Les terminaux peuvent quitter le
réseau ad hoc, ou d’autres le rejoindre. Le réseau ainsi créé est dit
La norme IEEE 802.11 est définie par différents amendements « sans infrastructure ». Il ne fait intervenir que des terminaux sans
802.11 (a, b, d, e, g, h, i, j) [1] [2]. Certains d’entre eux précisent fil dans son fonctionnement. Dans la norme 802.11, un terminal
l’utilisation de certaines bandes de fréquence avec les débits asso- sans fil est appelé STA pour station (cf. encadré 1), et ce mode
ciés, les autres la gestion de la qualité de service ou de l’itinérance est référencé sous le nom de IBSS pour Independent Basic
d’un terminal mobile. Ces amendements sont présentés plus en Service Set.
détail dans l’article [TE 7 376] des Techniques de l’Ingénieur. Quant
à l’amendement 802.11i dont l’objectif est de traiter de la sécurité
des réseaux IEEE 802.11, il se trouve détaillé dans la suite de cet
article.
Un autre amendement IEEE 802.11s est en cours de définition à
l’IEEE. Il s’intéresse aux réseaux mesh (ou maillés) qui s’appa- Internet
rentent à des réseaux quasi statiques filaires ou sans fil composés
de routeurs mesh qui peuvent servir de passerelles vers l’Internet,
ou bien, de relais au sein du réseau mesh. Le paragraphe 6 pré-
sente succinctement les réseaux mesh ainsi que les approches de Réseau
sécurisation de ces réseaux qui sont entrevues. d'accès
Le standard IEEE 802.11 définit deux modes de fonctionnement
d’un réseau sans fil : Serveur d'applications
STA AP
– le mode « avec infrastructure » (cf. figure 1) permet à un termi-
nal sans fil de se connecter à une infrastructure de réseau,
c’est-à-dire un réseau administré (par un administrateur d’un
réseau opérateur ou d’un réseau privé), en général filaire et dont Imprimante
l’accès est généralement contrôlé de façon stricte. Ce mode fait
intervenir un équipement qui réalise le filtrage de tout le trafic
issu/à destination du terminal, le terminal cherchant en général à Figure 1 – Réseau 802.11 – mode infrastructure
se connecter à Internet ou à des ressources locales au réseau. Cet
équipement est appelé « point d’accès » ou AP (Access Point ) dans
la terminologie IEEE 802.11 (cf. encadré 1). Dans la norme 802.11,
ce mode est également référencé sous le nom de ESS pour Exten-
ded Service Set ;
– le mode « ad hoc » (cf. figure 2) permet à des terminaux de
communiquer directement sans passer par une infrastructure STA STA
de réseau. Cela suppose que les terminaux sont physiquement
dans le même rayon de couverture. En mode ad hoc, les termi-
naux peuvent s’organiser pour former un réseau. Ce sont les Figure 2 – Réseau 802.11 – mode ad hoc

TE 7 377v2 − 2 est strictement interdite. − © Editions T.I.
82
TE7377
___________________________________________________________________________________________________ SÉCURITÉ DANS LES RÉSEAUX 802.11
Encadré 1 – Terminologie des équipements IEEE 802.11 La notion de RSN ou RSNA
■ AP (Access Point) : point d’accès à un réseau auquel un ter- RSN (Robust Security Network ) ou RSNA (Robust Security
minal souhaite accéder pour se connecter à Internet ou pour Network Association ) font référence aux nouvelles fonctions
avoir accès à certaines applications gérées localement à ce de sécurité introduites dans la norme 802.11i, à savoir le chif-
réseau. Il s’agit d’un équipement doté généralement de deux frement des échanges sur le lien radio, l’authentification
interfaces réseau, une interface sans fil permettant de commu- 802.1X ou PSK (cf. § 3.3 et 3.4), l’établissement d’associations
niquer avec les terminaux sans fil (STA), et une interface le de sécurité entre les équipements (STA, AP) en vue de la sécu-
plus souvent filaire branchée sur un réseau. Si l’administrateur risation de leurs échanges, et le maintien du niveau de sécu-
du réseau d’accès (un opérateur, un administrateur d’un rité sur ces échanges.
réseau privé) veut contrôler l’accès à son réseau, il doit
configurer l’AP de telle sorte que le terminal doit s’authentifier
préalablement avant d’accéder aux ressources du réseau (par encadrés répertoriant l’un les clés cryptographiques (encadré 5) et
exemple : Internet, serveurs, imprimantes...). En cas d’authenti- l’autre, les associations de sécurité (encadré 4).
fication réussie, l’administrateur peut décider de limiter l’accès
Comme le montre la figure 3, la sécurité dans IEEE 802.11i se
à son réseau à certaines ressources. Pour cela, seront mises en
découpe en plusieurs étapes. Qu’un STA veuille se connecter au
œuvre au niveau de l’AP des règles de filtrage qui autoriseront
réseau d’accès par le biais de l’AP pour bénéficier des ressources
ou interdiront au terminal d’accéder aux ressources.
de ce réseau (imprimantes locales, serveurs d’applications, accès
Un AP intervient uniquement dans les réseaux IEEE 802.11 Internet...), ou bien qu’il veuille communiquer en direct avec un
en mode 802.11 « infrastructure ». autre STA, IEEE 802.11i prévoit que le STA s’authentifie préalable-
4
■ STA (pour STAtion) : terminal sans fil dont l’objectif est ment auprès de AP. L’AP effectue la vérification des éléments
d’établir une communication, soit directement avec un autre d’authentification fournis par le STA auprès d’un serveur d’authen-
terminal sans fil (situé dans sa zone de couverture), soit avec tification AS (Authentication Server ) qui a pour fonction de centra-
des équipements accessibles au travers du point d’accès. liser les demandes de vérification.
Notons que deux STA peuvent également communiquer au Cette authentification peut être réalisée de deux façons :
travers d’un autre STA s’ils sont trop éloignés l’un de l’autre – soit le STA dispose d’une clé partagée avec AS et l’authentifi-
pour établir une communication en direct. cation se fera sur la base de ce secret commun. Ce mode d’authen-
Un STA intervient dans les deux modes 802.11 tification est référencé dans 802.11i par PSK pour Pre-Shared Key ;
« infrastructure » et « ad hoc ». – soit le STA échange des messages 802.1X et emploie l’une des
méthodes d’authentification préconisées par 802.11i. Le protocole
en support à cette authentification est connu sous le nom EAP
(Extended Authentication Protocol ). Le rôle associé aux différents
2. Vue d’ensemble acteurs de 802.1X est présenté dans l’encadré 2.
de la sécurité des réseaux

sans fil Encadré 2 – Les acteurs de l’authentification
dans la norme IEEE 802.1X (cf. figure 4)
En 2004, les réseaux locaux sans fil ont connu une avancée très
importante avec la publication de la norme IEEE 802.1X et de ■ Client (Supplicant ) : terminal (STA) demandant à établir une
l’amendement IEEE 802.11i. Ces deux documents se distinguent connexion 802.11 avec un autre équipement, que ce dernier
dans leur contenu de la façon suivante : soit un terminal (STA) ou un point d’accès (AP) au réseau de
l’infrastructure. Dans la terminologie IEEE 802.1X, le client est
– IEEE 802.1X décrit l’ensemble des protocoles et des formats de
appelé un supplicant.
messages utiles à l’authentification d’un terminal qui veut se
connecter à un réseau, que ce réseau soit filaire ou sans fil. Il est ■ Authentificateur (Authenticator ) : équipement autorisant ou
décrit plus en détails dans le paragraphe 3 ; non le client à se connecter sur le réseau d’accès. Dans un
– IEEE 802.11i adapte les besoins de sécurité et les méthodes environnement 802.11 de type infrastructure, l’authentificateur
proposés dans la norme IEEE 802.1X aux environnements sans fil. est un point d’accès 802.11 (AP) qui filtre l’accès à l’infrastruc-
C’est-à-dire, 802.11i renforce la sécurité en imposant que tous les ture du réseau. Si une authentification IEEE 802.1X est
échanges effectués sur le lien radio – que ce soit entre deux STA requise, il est chargé de contacter le serveur d’authentification
ou entre un STA et un AP – soient chiffrés. Pour cela, 802.11i AS pour mener à bien l’authentification du client. Dans un
s’intéresse, en plus de l’authentification, à la mise en place d’une environnement 802.11 de type ad hoc, l’authentificateur est un
session sécurisée entre deux équipements (entre autres avec l’éta- simple terminal (STA) qui autorise ou non le client à émettre
blissement de clés de chiffrement) et au maintien du niveau de et recevoir du trafic.
sécurité au cours de cette session. Ces nouvelles fonctions de
sécurité sont connues dans 802.11 sous le nom de RSN pour ■ Serveur d’authentification (AS – Authentication Server ) :
Robust Security Network ou RSNA pour RSN Association, serveur utilisé dans un environnement IEEE 802.1X pour effec-
c’est-à-dire les associations de sécurité qui seront établies entre les tuer l’authentification du client. Il est connecté sur l’infra-
équipements (STA, AP) pour sécuriser leurs échanges. structure du réseau et doit être protégé des intrusions
potentielles qui remettraient en cause toute la robustesse de
Par facilité, dans la suite de cet article, nous parlerons indiffé- l’authentification.
remment de « 802.11i », « IEEE 802.11i » ou d’« amendement
IEEE 802.11i ». De même, « 802.1X », « IEEE 802.1X » et « norme
IEEE 802.1X » seront employés de façon indifférenciée. Quelle que soit l’approche d’authentification choisie, à la fin de
La figure 3 présente une vue globale de la sécurité telle que défi- cette première étape d’authentification, STA et AS doivent parta-
nie dans 802.11i. Elle fait référence à de nombreux acronymes en ger une clé cryptographique appelée PMK (Pairwise Master Key ).
référence aux clés cryptographiques et aux associations de sécu- Cette clé est ensuite transmise sur le réseau de façon sécurisée par
rité utilisées. Les lecteurs peuvent se référer utilement aux deux AS à AP. Elle fait donc partie du contexte de sécurité partagé entre

83
TE7377
SÉCURITÉ DANS LES RÉSEAUX 802.11 ___________________________________________________________________________________________________
Authentification
Échanges entre STA-AS au travers de AP
Mode PSK Mode 802.1X

Authentification auprès du serveur Authentification auprès du serveur AS
AS sur la base de la clé PSK Méthode EAP choisie pour dériver
prépartagée avec le serveur AS une clé de chiffrement MSK
Dérivation en fin d’authentification

d’une clé PMK entre STA-AS
Clé PMK dérivée Clé PMK dérivée

Mode de PSK de MSK
infrastructure
STA-AP
Transmission sécurisée
de PMK à AP par AS
4 Négociation de l’association de sécurité

PTKSA entre STA-AP
4-Way Handshake
Clé PTK Paramètres RSN

Clé GTK
Extraction depuis la clé PTK (choix de TKIP ou CCMP,
et GTKSA
des clés KCK, KEK et TK algorithmes de chiffrement…)
Protection des flux de données entre

Négociation de l’association de sécurité SMKSA
STA et AP en conformité avec l’association
entre STA-STA par l’intermédiaire de AP
de sécurité PTKSA
Échanges SMK Handshake protégés avec PTKSA
Clé TKIP Clé CCMP

dérivée de PTK dérivée de PTK Clé SMK Paramètres RSN de SMKSA
Mode
ad hoc
STA-STA
Négociation de l’association
de sécurité STKSA entre STA-STA
4-Way Handshake protégés avec SMKSA
Clé STK
Paramètres Clé GTK
Extraction depuis la clé STK
RSN de STKSA et GTKSA
des clés SKCK, SKEK et TK
Protection des flux de données

entre STA en conformité
avec l’association de sécurité STKSA
Clé TKIP Clé CCMP

dérivée de STK dérivée de STK
Figure 3 – Établissement des Associations de sécurité RSNA dans IEEE 802.11i

84
TE7377
___________________________________________________________________________________________________ SÉCURITÉ DANS LES RÉSEAUX 802.11
AP et STA et couramment référencé en sécurité par « association

de sécurité ». L’association de sécurité à laquelle appartient PMK
est appelée PMKSA (Pairwise Master Key Security Association ).
Elle contient entre autres la clé PMK, un identifiant de clé, l’adresse Internet
MAC de l’AP et la durée de vie de la clé.
À partir de la connaissance de cette clé commune, PMK, STA et
AS – Serveur
AP peuvent initier une session sécurisée et définir le détail des
d’authentificat
mécanismes de sécurité à mettre en œuvre. Quatre échanges Réseau
appelés couramment « 4-Way Handshake » sont nécessaires. À la d'accès
fin de ces échanges, AP et STA partagent une association de sécu-
rité appelée PTKSA (Pairwise Transient Key Security Association) applications
qui contient l’ensemble du matériel cryptographique utile à la pro- STA Authentificateur 802.1X
tection ultérieure de leurs échanges, à savoir un ensemble de clés Client 802.1X AP
cryptographiques (PTK, KCK, KEK, TK, GTK), la solution 802.11i (Supplicant) (Authenticator)
retenue pour protéger les échanges de données (TKIP, CCMP...) et
les mécanismes associés (algorithmes de chiffrement, méthodes Imprimante
de hachage...) [H 5 210].
Figure 4 – Acteurs de l’authentification 802.1X
Tous les échanges ultérieurs entre cet AP et STA bénéficient de
la protection PTKSA négociée qui fait appel au protocole TKIP
(Temporal Key Integrity Protocol ) ou bien CCMP (CTR with Pour se faire, le protocole Group Key Handshake a été défini dans
CBC-MAC Protocol ) et à la clé TK qui sert à chiffrer les flux de 802.11i (cf. figure 5). Il est initié entre deux entités (AP et STA ou 2
données. STA) pour mettre à jour la clé de diffusion.
Dans le cas d’un STA qui veut pouvoir communiquer de façon
sécurisée avec un autre STA, l’AP participe à la mise en place du
lien sécurisé PTKSA entre les STA. En effet, les STA se sont aupa-
4
ravant tous deux authentifiés auprès de l’AS ; l’AP dispose d’une 3. Authentification
session sécurisée PTKSA avec les STA ; l’AP peut donc jouer le
rôle d’un tiers de confiance auprès duquel les STA vont se fier Dans un environnement de réseau sans fil, le service d’authenti-
pour tisser des liens de confiance avec les autres STA de la zone fication s’avère des plus critiques. Pour un opérateur, le défi est
de couverture de l’AP. Ainsi, dans un premier temps, les échanges d’empêcher des fraudeurs de se connecter au réseau et de proté-
SMK Handshake se font par l’intermédiaire de l’AP et aboutissent ger ses abonnés légitimes contre les usurpations d’identité. Pour
au partage d’une clé SMK (STSL Master Key ) et d’une association un réseau privé, le défi est d’empêcher l’accès à un tiers aux appli-
de sécurité SMKSA (STSL Master Key Security Association). cations de l’entreprise, et ce, pour éviter toute nuisance et en
À partir de la connaissance de la clé SMK et l’association particulier le vol d’informations confidentielles, de secrets indus-
SMKSA, les STA communiquent directement entre eux, effectuent triels...
des échanges 4-Way Handshake et conviennent d’une association Dans les réseaux 802.11, les solutions d’authentification ont
de sécurité STKSA (STSL Transient Key Security Association ) et beaucoup évolué ces dix dernières années. Dans un premier
d’une clé STK. C’est cette association de sécurité STKSA qui per- temps, la norme prévoyait un accès libre au point d’accès (sans
met aux STA de protéger tous leurs échanges de données. Pour se authentification), ou un accès authentifié à l’aide d’une clé prépar-
faire, ils activent le protocole TKIP ou CCMP en conformité avec les tagée PSK (Pre-Shared Key ). Ces deux solutions historiques
éléments de STKSA négociés. d’accès sont présentées dans le paragraphe 3.1 sous le nom
Pour maintenir le niveau de sécurité des échanges, il est prévu d’« authentification Pré-RSNA », ce qui signifie qu’elles sont anté-
que la clé de diffusion GTK (Group Temporal Key ) soit renouvelée. rieures aux solutions de sécurité robustes apparues avec 802.11i.
Association de sécurité PTKSA établie Association de sécurité STKSA établie

entre STA-AP entre 2 STA
comprenant GTK (assurant la protection comprenant GTK (assurant la protection
des flux de diffusion depuis AP) des flux de diffusion depuis STA)
Renouvellement de GTK Renouvellement de GTK

Échanges Group-key Handshake Échanges Group-key Handshake
protégés avec PTKSA : protégés avec STKSA :
– KEK pour chiffrer les informations confidentielles – SKEK pour chiffrer les informations confidentielles
– KCK pour authentifier la provenance des messages – SKCK pour authentifier la provenance des messages
Protection des flux diffusés Protection des flux diffusés

depuis AP en conformité depuis AP en conformité
avec GTKSA avec GTKSA
Figure 5 – Group Key Handshake pour mettre à jour la clé GTK (entre AP-STA à gauche/entre 2 STA à droite)

85
4
86
H5325
Systèmes et techniques RFID

Risques et solutions de sécurité
par Ethmane EL MOUSTAINE

Doctorant à l’Institut Mines-Télécom/Télécom SudParis, laboratoire CNRS Samovar
UMR 5157
et Maryline LAURENT
Professeur à l’Institut Mines-Télécom/Télécom SudParis, laboratoire CNRS Samovar
UMR 5157
1.
1.1
À retenir ......................................................................................................
Contexte et cadre techniques......................................................................
H 5 325 - 2
— 2
4
1.2 Bénéfices et risques ..................................................................................... — 3
2. Architecture des RFID et technologie ................................................ — 3
2.1 Étiquettes RFID ............................................................................................. — 3
2.2 Antennes....................................................................................................... — 5
2.3 Lecteur RFID ................................................................................................. — 5
2.4 Intergiciel ...................................................................................................... — 5
3. Standard EPCGlobal ................................................................................ — 5
3.1 Système de codification EPC ...................................................................... — 6
3.2 Classification des étiquettes RFID............................................................... — 6
3.3 Réseau EPCGlobal........................................................................................ — 6
3.4 Standard EPC de seconde génération (EPC Gen2).................................... — 7
4. Usages des RFID ....................................................................................... — 8
5. Risques et besoins en technologie RFID............................................ — 8
5.1 Atteinte à la vie privée ................................................................................. — 8
5.2 Problèmes de sécurité ................................................................................. — 9
5.3 Besoins de services de sécurité .................................................................. — 10
6. Verrous technologiques ......................................................................... — 10
7. État des lieux des solutions de sécurité ............................................ — 10
7.1 Standard EPCGen2....................................................................................... — 10
7.2 Solutions symétriques légères ................................................................... — 11
7.3 Solutions asymétriques ............................................................................... — 15
7.4 Analyse et synthèse ..................................................................................... — 15
8. Conclusions et perspectives ................................................................. — 16
a technologie RFID (Radio Frequency IDentification) sans contact, a pour

L objectif d’identifier et scanner des objets sans nécessité de contact phy-
sique ou visuel. Une simple étiquette RFID collée, sur n’importe quel objet
permet à cet objet de révéler son identifiant, ses déplacements, à tout lecteur
RFID situé à proximité. Bien entendu, seules les étiquettes en activité peuvent
répondre aux sollicitations des lecteurs.
Son exploitation avantageuse, en remplacement des codes-barres, est évi-

dente pour toute entreprise ayant une activité dans le secteur de la logistique.
Elle permet la prise d’inventaire plus rapide dans un camion, un entrepôt...

est strictement interdite. – © Editions T.I. H 5 325 – 1
87
H5325
SYSTÈMES ET TECHNIQUES RFID ______________________________________________________________________________________________________
Mais aussi, elle permet d’améliorer la traçabilité des produits, de mieux lutter
contre la contrefaçon, les vols dans un entrepôt, par exemple...
Cependant, de nombreux autres usages sont prometteurs, et pourraient
transformer le quotidien de notre société par l’automatisation de certaines
tâches de notre vie courante, par une meilleure adaptation de notre environne-
ment à nos besoins personnels...
Cet article présente les RFID sous l’angle technologique, mais aussi :
– de l’architecture réseau dans laquelle elles évoluent ;
– du standard EPCGlobal ;
– des différents usages possibles ;
– des risques encourus pour notre vie privée ;
– des verrous technologiques à lever ;
– des familles de solutions de sécurité aujourd’hui préconisées.
4 Glossaire Aujourd’hui, les standards spécifiés par l’organisation

EPCGlobal, Inc. permettent de donner un cadre à la techno-
Abréviations Signification logie des RFID, en définissant des bandes de fréquences
(13,56 MHz ou 860-950 MHz) en fonction des domaines
AES Advanced Encryption Standard d’applications, plusieurs codages EPC des identifiants RFID, la
CRC Cyclic Redundancy Code classification des étiquettes RFID, les protocoles de
communication... Elle s’appuie sur les standards ISO 14443,
ECC Elliptic Curve Cryptography ISO 15693, et ISO 18000 qui spécifient plusieurs types de
cartes sans contact avec une portée, une fréquence, et une
EPC Electronic Product Code modulation du signal radio propres.
PRNG Pseudo Random Number Generator EPCGlobal, Inc. s’intéresse aussi à définir une infrastructure
de réseau d’ampleur équivalente à celle de l’Internet, mais
RFID Radio Frequency IDentification pour les objets, et ce, pour permettre la localisation des
objets, leur suivi, le référencement de leurs propriétés...
La technologie dispose d’un très fort potentiel applicatif,
mais la prudence dans son déploiement s’impose, car elle
n’est pas dénuée de risques pour les individus
1. À retenir consommateurs. En effet, si toute personne dotée d’un lecteur
RFID est en mesure d’identifier le contenu d’un sac à main, de
lister les objets contenus dans une voiture, les biens dans une
maison, non seulement la divulgation de ces informations
1.1 Contexte et cadre techniques pose des problèmes de violation de la confidentialité, et de la
vie privée des individus, car ils n’ont ni donné leur
consentement, ni même été avertis de la procédure d’inven-
taire de leurs biens, mais, en plus, ils risquent de faire l’objet
Cette technologie est aujourd’hui considérée comme la d’agressions, de braquages, ou de cambriolages ciblés.
nouvelle révolution technologique, après celle connue avec Ce problème d’identification intrusif est en partie résolu
l’Internet. aujourd’hui par la désactivation des puces RFID au moment
Aujourd’hui, ne sont visibles que les prémisses d’une telle du passage en caisse des objets. Cependant, d’une part : le
technologie, mais, au vu de ses capacités prometteuses en problème d’identification abusive se pose pour les transpor-
termes d’applications, d’interpénétration de la technologie des teurs de marchandises de valeurs de transport qui peuvent
communications avec notre environnement matériel, cette faire l’objet de cambriolages ciblés sur un de leurs camions
technologie pourrait connaître la même ampleur que l’arrivée stationnés sur une aire d’autoroute, ou dans un de leurs
de l’Internet dans nos foyers. Ce n’est pas pour rien que la entrepôts. D’autre part : la désactivation des puces RFID rend
référence à la terminologie d’Internet des Objets (Internet of impossible l’émergence de nouvelles applications post achat,
Things ou IoT) est faite. C’est comme si, en quelque sorte, le comme la réintégration des objets dans la chaîne logistique,
monde réel des objets qui nous entourent rejoignait le monde dans le cas d’un retour en magasin...
virtuel de l’informatique, de l’Internet, des réseaux sociaux, et, La réglementation juridique reste floue quant à la manière
pourquoi pas, des jeux électroniques, qui pourraient adapter de considérer les données générées par les RFID. Elles
leur scénario en fonction de l’environnement réel du joueur. semblent relever de la réglementation sur la protection des
D’autres questions se posent aussi : quel effet ce saut techno- données personnelles. La question est, en fait, de savoir si
logique aura-t-il sur nos repères ? N’y aura-t-il pas une l’identifiant d’un objet en possession d’une personne, et les
confusion encore plus accrue entre monde réel et monde informations que l’objet est amené à révéler, font partie inté-
virtuel ? grante de l’identité de cette personne.

H 5 325 − 2 est strictement interdite. − © Editions T.I.
88
H5325
_______________________________________________________________________________________________________ SYSTÈMES ET TECHNIQUES RFID
1.2 Bénéfices et risques raison du manque de ressources de calcul sur les étiquettes RFID,
les solutions de sécurité qui ont fait leur preuve dans les systèmes
L’une des premières applications connues de la technologie d’information ne sont pas applicables. Les solutions de sécurité
RFID (Radio Frequency IDentification ) remonte à la seconde guerre pour RFID sont vulnérables à l’identification et traçage clandestin
mondiale, et servait comme système d’identification des avions de des marchandises, le clonage, les écoutes, et les attaques par
combats « friend or foe » (« ami ou ennemi »). relais. La technologie RFID nécessite donc que la communauté
scientifique s’intéresse à ce domaine pour améliorer la sécurité et
■ Avantages des systèmes RFID la protection des données personnelles des usagers.
L’intérêt pour cette technologie a resurgi plusieurs décennies
après, en vue de remplacer les codes-barres optiques, dans le
secteur de la logistique [1], et ce, pour automatiser les C’est en ce sens que la commission européenne a émis une
traitements : recommandation demandant que les applications RFID soient
– inventaire ; sécurisées, et que plus de recherches soient menées sur des
– contrôle d’expédition ; solutions de sécurité RFID à hautes performances et bas-coût.
– contrôle de réception ;
– suivi industriel en chaîne de montage.
• Les enjeux sont de taille, puisque, de la bonne résistance de
Ces mêmes traitements avec les codes-barres sont, en effet, ces parades techniques, découlera l’émergence possible de
beaucoup plus coûteux en temps, en main-d’œuvre et en flexibilité l’Internet des Objets (Internet of Things – IoT), c’est-à-dire : la pos-
d’usages. sibilité que chaque objet soit identifié, référencé et puisse interagir
avec un réseau de type Internet [RE 165], voire avec l’environne-
Exemple ment physique immédiat dans lequel il évolue.
4
Wal-Mart, qui est l’un des plus gros détaillants précurseurs de l’uti-
lisation de la technologie RFID, estime pouvoir réaliser des écono-
mies de plusieurs centaines de millions de dollars en limitant le
volume de ses marchandises perdues, et ce principalement, grâce à
la localisation de marchandises par RFID [NET].
2. Architecture des RFID
et technologie
• La petite taille des étiquettes RFID leur permet d’être implan-
tées à l’intérieur des objets, et l’identification par radio fréquence
L’architecture classique d’un système RFID, comme l’illustre la
permet de lire un très grand nombre d’étiquettes simultanément,
figure 1, est constituée de trois composants principaux :
et ce, dans des conditions visuelles ou environnementales diffi-
ciles. Grâce au facteur d’échelle, les étiquettes RFID sont très peu – une étiquette RFID ;
coûteuses (quelques centimes d’euros pour des étiquettes – un lecteur RFID ;
passives, contre plusieurs euros pour des étiquettes actives). – une base de données appelée très souvent « back-end » en
• Enfin, les 96 bits disponibles pour coder les identifiants RFID anglais.
permettent à chaque objet d’être identifié de façon unique. Cette Cette base de données sert à répertorier l’ensemble des
particularité rend possible le suivi d’un produit marchand dans ses étiquettes du système avec un ensemble d’informations associées
changements de localisation, et ce, dans le but premier à ces étiquettes. Les éléments d’informations sont propres au
d’améliorer la gestion de la chaîne logistique d’approvisionnement domaine d’application et peuvent contenir la localisation d’une
et de fabrication. étiquette RFID, le prix du produit porteur de l’étiquette, etc.
• De ces particularités des RFID, émergent deux familles d’appli-
cations selon le type d’étiquetage. Ainsi, pour les étiquettes visi-
bles et personnalisables, résultent essentiellement des Notons que le véritable apport des systèmes RFID ne vient
applications d’identification et de paiement : pas de la simple lecture des étiquettes, mais de l’obtention des
– les passeports ; informations attenantes à l’objet et dans un format exploitable,
– les cartes de télépéage ; et ce, pour servir une application particulière.
– cartes de crédits ;
– cartes d’accès ;
– dispositifs de suivi des animaux de compagnie et du bétail. Plusieurs standards ont été définis par l’ISO/IEC dans les années
2000 pour caractériser les technologies RFID sans contact en fonc-
• Les étiquettes furtives incrustées dans des produits visent, en
tion de leur portée, leurs fréquences, le protocole de transport
plus de faciliter les opérations de logistique à mieux lutter contre
(modulation, et techniques d’anti-collision). Les principaux
les vols et la contrefaçon de produits tels que : vêtements, médica-
standards sont rassemblés dans le tableau 1.
ments... À savoir, d’après Verisign [2], l’ensemble des vols commis
sur les chaînes d’approvisionnement représentent une perte de 30 Cette architecture à trois composants, qui correspond au modèle
milliards de dollars US par an. Un meilleur suivi des produits dans fonctionnel d’un système RFID au sein d’une entreprise, a été
la chaîne d’approvisionnement s’avère indispensable pour étendue par l’organisation mondiale, EPCGlobal pour organiser les
identifier et limiter les vols. informations à l’échelle mondiale, et répondre aux besoins de
La contrefaçon de produits est un problème économique localiser et tracer les objets (§ 3 et figure 1 [3]).
majeur, mais aussi de santé publique quand il s’agit de la
contrefaçon de produits pharmaceutiques. Devant la complexité
des chaînes d’approvisionnement que nous connaissons, l’authen- 2.1 Étiquettes RFID
ticité des médicaments est difficile à prouver. Les étiquettes RFID
peuvent être un moyen efficace d’atténuer la contrefaçon. Les étiquettes sont attachées à tout objet que le système RFID a
besoin d’identifier ou de tracer. Les étiquettes peuvent être placées
■ Risques et enjeux directement sur un objet individuel, ou bien sur le
• Les risques liés à l’utilisation des étiquettes RFID sont connus. conditionnement des objets (cartons, containers). Les étiquettes
La sécurité et la confidentialité des données est le principal existent en différentes formes et tailles. En anglais, les étiquettes
obstacle à leur adoption dans de nombreuses applications. En RFID sont désignées sous le terme de « tag ».

est strictement interdite. – © Editions T.I. H 5 325 – 3
89
H5325
SYSTÈMES ET TECHNIQUES RFID ______________________________________________________________________________________________________
ILE
AG
FR
Antenne
RFID serveur Lecteur Objet suivi
Figure 1 – Composants de base d’un système RFID
Tableau 1 – Standards ISO de cartes sans contact

Standards Portées Fréquences Domaine d’application
4 ISO/IEC18000-2
ISO/IEC 14443
40 mm
40 mm
125 KHz et 134,2 KHz (LF)
13,56 MHz (HF)

Traçabilité de produits et d’animaux
Contrôle d’accès, carte d’identité, transport, paiement
ISO/IEC 15693 100 mm 13,56 MHz (HF) Traçabilité de produits et de biens
Traçabilité de produits et de contenants dans la logisti-

ISO/IEC 18000-6 2m 868 MHz en Europe (UHF)
que et la grande distribution
Traçabilité de produits à forte valeur et/ou critique (en

ISO/IEC 18000-7 10 à 30 m 433 MHz (UHF)
combinaison avec des capteurs)
■ L’étiquette dispose d’une mémoire qui permet de stocker des

données et qui peut être programmée pour être réinscriptible, à
écriture unique, à lecture unique ou à lecture multiple.
Classifications des étiquettes RFID
• Étiquettes passives
Elles n’ont pas de batterie intégrée. Elles sont composées
d’une micropuce et d’une antenne. La mémoire est utilisée
uniquement pour stocker un identifiant unique et quelques
informations supplémentaires. Les informations du tag
peuvent être lues par un lecteur RFID à une distance raison-
nable et sans nécessiter de visibilité directe. Ces étiquettes
sont alimentées par le champ électromagnétique du lecteur
pour communiquer et, éventuellement, pour effectuer des
Figure 2 – Étiquette RFID embarquée sur un ePassport calculs. De cette façon, puisqu’aucune énergie n’est localisée
sur l’étiquette passive, elle porte la mention d’« étiquette
passive ». Ainsi cette étiquette n’est pas en mesure de
■ Les étiquettes RFID sont classées en trois grandes familles –
communiquer, ni de calculer en l’absence d’un lecteur à proxi-
passives, actives, semi-passives – selon la source d’énergie qui les
mité.
alimente (cf. encart « Classifications des étiquettes RFID »). Ces
dernières années, ce sont les étiquettes RFID passives qui ont • Étiquettes actives
connu le plus vif succès du fait de leurs très faibles coûts. Le Elles disposent d’une batterie à partir de laquelle elles
passeport électronique, illustré à la figure 2, [1] en est un exemple peuvent effectuer des calculs et émettre un signal vers des
d’utilisation. lecteurs (ou d’autres étiquettes).
• Étiquettes semi-passives
■ L’étiquette qui a pour fonction première de transmettre des
données au reste du système RFID, contient généralement les Elles disposent aussi d’une source d’énergie qui est exclusi-
trois éléments suivants : vement utilisée pour effectuer des calculs (et non pour
émettre). Ce type d’étiquette combine les spécificités des tech-
– un circuit intégré électronique ; nologies RFID passive et active. Pour leurs communications,
– une antenne miniature ; les étiquettes semi-passives prennent l’énergie nécessaire des
signaux radio fréquence transmis par le lecteur.
– un substrat qui assemble le circuit intégré, l’antenne à l’objet.

H 5 325 – 4 est strictement interdite. – © Editions T.I.
90
S8650
La technologie NFC
Principes de fonctionnement et
applications
par Ali BENFATTOUM
Ingénieur projet R&D
1. Les principes et normes du NFC .................................................. S 8 650 – 3

1.1 Origine du concept de NFC ................................................................ — 3
1.2 De la RFID à la technologie NFC ........................................................ — 3
1.3 Principe de fonctionnement d’une communication en champ
proche ................................................................................................. — 4
1.4
1.5
Normes de communication et de tests .............................................
Interopérabilité et technologies propriétaires ...................................
—
—
4
5 4
2. Focus sur le NFC ............................................................................. — 7
2.1 Le NFC Forum..................................................................................... — 7
2.2 NFC Forum Device et NFC Forum Tag ............................................... — 7
2.3 Les trois modes du NFC ..................................................................... — 8
2.4 Les spécifications techniques du NFC Forum ................................... — 8
2.5 Applications et services ..................................................................... — 9
3. Intégration du NFC dans le téléphone mobile........................... — 10
3.1 Architecture d’un mobile NFC ........................................................... — 10
3.2 Le Secure Element ............................................................................. — 10
3.3 Les architectures Mobile-Centric et Sim-Centric ............................... — 10
3.4 Architecture Sim-Centric .................................................................... — 11
4. Marchés et écosystème ................................................................. — 12
4.1 Les acteurs et leurs rôles ................................................................... — 12
4.2 Le rôle du TSM ................................................................................... — 12
5. Cas d’usages NFC............................................................................ — 12
5.1 Exemple d’un Smart Poster ............................................................... — 14
5.2 Exemple d’un handover NFC-Bluetooth ............................................ — 15
6. Conclusion........................................................................................ — 15
Pour en savoir plus.................................................................................. Doc. S 8 650
Parution : septembre 2013 - Dernière validation : août 2018
es technologies sans contact sont, depuis des dizaines d’années, largement

L déployées dans le monde et sont utilisées dans divers secteurs comme le
transport, la logistique, le contrôle d’accès et le paiement. Les facteurs de forme
sont nombreux : cartes à puce sans contact, badges, étiquettes adhésives…
Depuis quelques années, avec l’apparition d’une technologie sans contact
nommée NFC (Near Field Communication – Communication en champ proche),
de nouvelles façons de communiquer et d’interagir avec son environnement se
développent. De nombreux produits grand public intègrent la technologie NFC
à commencer par les smartphones, objets devenus incontournables dans la vie
de millions de personnes. Il devient alors possible de lire avec son équipement
NFC des étiquettes et des cartes sans contact, d’échanger du contenu entre
deux équipements ou encore d’embarquer des cartes de paiement ou de trans-
port dans son téléphone pour payer ou valider son transport, d’un simple geste.
La technologie NFC, en plus de proposer des facteurs de formes supplémen-
taires, amène une interopérabilité jusqu’alors déficiente entre les différentes
Toute reproduction sans autorisation du Centre français d’exploitation du droit de copie

est strictement interdite. – © Editions T.I. S 8 650 – 1
91
S8650
LA TECHNOLOGIE NFC ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
technologies sans contact. En effet, elle repose sur un ensemble de normes

directement inspirées de technologies déjà existantes. Elle est également com-
patible avec d’autres technologies, bien que ces dernières ne soient pas à l’ori-
gine de la technologie NFC. Cela amène une complexité dans la définition et la
délimitation du périmètre de la technologie NFC. D’ailleurs, nous verrons que
des technologies de communication en champ proche n’entrent pas dans le
spectre de la technologie NFC malgré son appellation.
Liste des abréviations

APDU Application Protocol Data Unit
API Application Programming Interface
ASK Amplitude-Shift Keying
BPSK Binary Phase-Shift Keying
European association for standardizing information and communication systems (anciennement European
ECMA
4
Computer Manufacturers Association)
EEPROM Electrically Erasable Programmable Read-Only Memory
ETSI European Telecommunications Standards Institute
GP Global Platform
HF High Frequency
ISD Issuer Security Domain
ISO/IEC International Standards Organisation/International Electrotechnical Commission
JIS Japan Industrial Standard
LLCP Logical Link Control Protocol
MIME Multipurpose Internet Mail Extension
MNO Mobile Network Operator, ou opérateur de téléphonie mobile
NDEF NFC Forum Data Exchange Format
NFC Near Field Communication
NFC-IP Near Field Communication – Interface and Protocol
NRZ Non-Return-to-Zero
OOK On Off Keying
OTA Over The Air
P2P Peer to Peer
PCD Proximity Coupling Device
PICC Proximity Integrated Circuit Card
RAM Random-Access Memory
RFID Radio Frequency Identification
ROM Read-Only Memory
RTD Record Type Definition

S 8 650 – 2 est strictement interdite. – © Editions T.I.
92
S8650
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––– LA TECHNOLOGIE NFC
Liste des abréviations (suite)
RZ Return-to-Zero
SDK Software Development Kit
SE Secure Element
SIM Subscriber Identity Module
SP Service Provider
SSD Suplementary Security Domain
SWP Single Wire Protocol
TLV Type Length Value
TNF Type Name Format
TSM Trusted Service Manager
4
UHF Ultra High Frequency
UICC Universal Integrated Circuit Card
URL Uniform Resource Locator
1. Les principes et normes normes, dans lesquelles sont introduits de nouveaux modes de
communication, reposent en grande partie sur les normes déjà
du NFC existantes : ISO 14443A et JIS X6319-4.
Ces normes évolueront par la suite intégrant le type B de la
norme ISO 14443, utilisée notamment dans quelques réseaux de
transports publics. Aujourd’hui, la technologie NFC s’intègre dans
Interagir avec son environnement, échanger de l’information,
toutes sortes d’accessoires et d’équipements électroniques : télé-
valider son titre de transport et effectuer ses achats depuis son
phone mobile, téléviseur, haut-parleur, podomètre, etc.
mobile et d’un simple geste, sont quelques-uns des usages que
permet la technologie NFC. Le NFC est une technologie de commu-
nication sans contact à très courte portée fonctionnant à la fré-
quence de 13,56 MHz. Elle permet la communication et l’échange
1.2 De la RFID à la technologie NFC
d’informations à courte distance (< 10 cm) entre deux objets : un Comme nous l’avons vu précédemment, ces technologies sans
lecteur et une carte sans contact par exemple. Les principaux avan- contact, reposant sur le principe d’identification par radiofréquence
tages de cette technologie sont la rapidité, la simplicité d’utilisation (RFID), sont à l’origine de la technologie NFC. En effet, les normes
et la sécurité. Intégrée dans un téléphone mobile, elle permet de et les spécifications définissant une communication NFC héritent
lire le contenu de cartes sans contact ou d’étiquettes sans contact de normes et de standards issus de la RFID. D’ailleurs, le principe
(appelées « tag » ou « transpondeur »), de dématérialiser sur de communication en champ proche est déjà présent dans une par-
mobile les cartes sans contact : cartes bancaires, billets de trans- tie des systèmes RFID.
port ou cartes de fidélité, et d’échanger des données entre deux
terminaux. La RFID consiste en l’utilisation d’ondes électromagnétiques
rayonnantes ou d’un couplage de champ magnétique pour commu-
niquer vers ou à partir d’une étiquette selon différents schémas de
1.1 Origine du concept de NFC modulation et de codage afin de lire l’identité d’une étiquette de
radiofréquence ou d’autres données stockées sur celle-ci. Comme le
Le concept NFC voit le jour au début des années 2000. Sony et montre la figure 1, il existe plusieurs bandes de fréquences disponi-
Philips Semiconductors (devenu NXP Semiconductors) sont alors bles pour l’utilisation de systèmes RFID. Pour chaque fréquence de
les deux principaux fabricants de puces sur le marché des techno- ce spectre, il existe une multitude de normes définissant différents
logies sans contact. Philips domine largement le marché avec sa types de systèmes RFID fonctionnant à des distances plus ou moins
famille de produits Mifare, qui repose sur la norme ISO 14443A, importantes et avec des modulations et des codages différents.
appelée « type A » (nous verrons qu’il existe également Parmi les normes de communication existantes dans la bande de
l’ISO 14443B, appelée « type B »). La technologie de Sony, nommée fréquence 13,56 MHz (RFID HF), nous retrouvons les normes
« Felica », n’est quant à elle, pas reconnue par l’ISO (Organisation ISO 14443 et JIS X6319-4 (desquelles découle la technologie NFC)
internationale de normalisation) et doit se contenter d’une standar- et la norme ISO 15693. Cette dernière, appelée « vicinity », permet
disation japonaise : JIS X6319-4. une distance de communication plus importante (de l’ordre du
Sony et NXP (Philips) proposent alors en 2002, avec d’autres mètre) que les normes ISO 14443 et JIS X6319-4 (appelée « proxi-
industriels tels que Nokia et Sony Ericsson, les premières normes mity »). Ainsi, malgré une fréquence de fonctionnement commune
relatives au NFC : ECMA 340 (ECMA : European association for (13,56 MHz), ces normes ont chacunes des codages, des modula-
standardizing information) puis ISO 18092, cette dernière reprenant tions et des formats de trame différents (ces informations seront
quasiment à l’identique le contenu de la norme ECMA 340. Ces explicitées par la suite).

est strictement interdite. – © Editions T.I. S 8 650 – 3
93
S8650
LA TECHNOLOGIE NFC ––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
RFID HF / NFC : 13,56 MHz RFID SHF : 2,45 GHz
VLF LF MF HF VHF UHF SHF
f0= 13,56 MHz

Fréquence
3kHz 30 kHz 300 kHz 3 MHz 30 MHz 300 MHz 3 GHz
RFID LF : 125 kHz - 134,2 kHz RFID UHF : 860 MHz - 960 MHz
Figure 1 – Bandes de fréquences utilisées par la RFID
Données
f0 = 13,56 MHz
4 Antenne Antenne
Lecteur / Interrogateur Transpondeur / Cible
Couplage magnétique
Énergie
Figure 2 – Principe de fonctionnement d’une communication RFID HF/NFC
1.3 Principe de fonctionnement d’une Soit R, la distance séparant le transpondeur de l’antenne et D, le

diamètre de l’antenne, nous considérons être en champ proche
communication en champ proche D2
lorsque : R < 2 .
Comme nous venons de l’évoquer, les systèmes RFID peuvent λ
fonctionner à différentes fréquences. Les systèmes RFID haute fré- Ainsi, pour une fréquence de 125 KHz, nous avons une longueur
quence (tout comme ceux fonctionnant en basse fréquence) sont d’onde de l’ordre du kilomètre (~ 2 km) pour une distance d’utilisa-
des systèmes de communication en champ proche. Le NFC, tion inférieure à 2 mètres. Nous serons donc dans ce cas toujours
comme son nom l’indique, est également un système de communi- dans une zone de champ proche. Le raisonnement est similaire
cation en champ proche. La technologie NFC, comme la RFID HF pour le NFC (et la RFID HF) avec sa fréquence de 13,56 MHz : la lon-
(hautes fréquences), repose sur l’échange de données (et éventuel- gueur d’onde est d’une vingtaine de mètres pour une distance
lement le transfert d’énergie) par ondes électromagnétiques entre d’utilisation d’une dizaine de centimètres.
deux objets à 13,56 MHz (figure 2). Nous pouvons considérer que
La technologie NFC comme la RFID HF partagent les mêmes prin-
la technologie NFC est une extension de la RFID HF. Précisons que
cipes physiques. Les communications NFC seront, de la même
dans le cas du NFC, le transpondeur peut désigner un tag RFID HF, manière que pour la RFID HF, impactées et dégradées par des envi-
un terminal mobile ou tout autre équipement électronique. ronnements liquides ou métalliques à proximité. Par exemple, la
communication avec une étiquette NFC sera fortement dégradée si
f0 = 13,56 MHz
celle-ci est disposée sur un support métallique. Toutefois, des four-
nisseurs proposent des étiquettes adaptées aux supports métalli-
En fonction de la distance séparant la cible de l’antenne émet- ques pour répondre à ces problèmes.
trice, l’onde électromagnétique n’a pas les mêmes propriétés de
propagation (pour modéliser la propagation d’une onde électroma-
gnétique, il convient de résoudre les équations de propagation de 1.4 Normes de communication et de tests
Maxwell, mais nous ne détaillerons pas ces équations et leurs
résultats dans ce document). Tenant compte de ces propriétés de Détailler le contenu de l’ensemble des normes ayant trait à la
propagation différentes, l’espace de propagation est découpé en technologie NFC est un travail fastidieux. Cependant, il est impor-
plusieurs zones. Nous distinguons généralement trois régions de tant pour le lecteur de connaı̂tre les principales normes NFC et à
l’espace : les zones de champs proches, intermédiaires et lointai- quels contenus elles se réfèrent. Les normes relatives à la technolo-
nes. La figure 3 illustre ce découpage en trois régions de l’espace. gie NFC sont nombreuses et évoluent sans cesse au cours du

S 8 650 – 4 est strictement interdite. – © Editions T.I.
94
H5390
Sécurité des réseaux de capteurs

sans fil
par Yacine CHALLAL

Université de technologie de Compiègne, Laboratoire HEUDIASYC,
UMR CNRS 7253, Compiègne, France
1. Propriétés, vulnérabilités et sécurité des RCSF ........................... H 5 390 - 2

1.1 Architecture d’un RCSF. ........................................................................... — 2
1.2 Genèse de la vulnérabilité des RCSF....................................................... — 2
4
1.3 Services de sécurité dans les RCSF......................................................... — 3
2. Gestion de clés dans les réseaux de capteurs sans fil ............... — 4
2.1 Classification des protocoles de gestion de clés dans un RCSF ........... — 5
2.2 Exemple d’un protocole probabiliste de gestion de clés....................... — 6
2.3 Exemple de protocole hybride de gestion de clés ................................. — 6
3. Sécurité du routage dans les RCSF .................................................. — 8
3.1 Attaques sur le routage dans un RCSF ................................................... — 8
3.2 Classification des solutions de sécurité du routage dans les RCSF ..... — 9
3.3 Exemple d’une solution centralisée ........................................................ — 9
4. Sécurité de l’agrégation des données dans un RCSF ................. — 10
4.1 Classification des solutions d’agrégation sécurisée dans un RCSF ..... — 10
4.2 Exemple de protocole de sécurité de bout en bout de l’agrégation..... — 10
4.3 Exemple de protocole de sécurité de proche en proche
de l’agrégation .......................................................................................... — 11
5. Conclusion............................................................................................... — 12
Pour en savoir plus ........................................................................................ Doc. H 5 390
n réseau de capteurs sans fil (RCSF) est un ensemble de capteurs auto-

U nomes, dotés de capacités de calcul, de stockage, d’énergie et de
transmission sans fil, qui collaborent en vue d’observer un phénomène dans
un environnement physique.
Cette technologie jouit d’un ensemble de propriétés qui ont fait son succès,
notamment les coûts réduits et la facilité de déploiement, la communication
sans fil, la possibilité de déploiement des capteurs au sein de l’environnement
surveillé parfois hostile à la présence humaine. Ces propriétés ont encouragé
l’utilisation des RCSF dans diverses applications de monitoring qui étaient
jusque-là coûteuses, complexes, voire irréalisables. Parmi ces applications,
citons la surveillance dans les environnements hostiles à la présence humaine,
comme celle de l’activité volcanique ou des niveaux de radiation dans des ins-
tallations nucléaires, le monitoring de patients ou personnes à mobilité réduite
à domicile, la détection d’intrusions dans des périmètres de sécurité d’établis-
sement sensibles, la surveillance de l’environnement des cultures (sol et
atmosphère). Cependant, vu la sensibilité de ces applications potentielles,
généralement étroitement liées au monde physique, au contrôle des systèmes
et à l’humain, un déploiement à grande échelle de RCSF dépend de la fiabilité
qu’offre cette technologie. En particulier, la sécurité émerge comme une ques-
tion difficile dans les RCSF en raison de la limitation des ressources (énergie,
mémoire, bande passante, etc.) dans ce type de réseaux.
95
H5390
SÉCURITÉ DES RÉSEAUX DE CAPTEURS SANS FIL _________________________________________________________________________________________
Cet article présente un état de l’art de la sécurité dans les RCSF. Nous mon-
trons que les principales causes de vulnérabilité de cette technologie découlent
des propriétés qui ont fait son succès. Nous présentons ensuite les attaques
qui résultent de ces propriétés, ainsi que les solutions proposées dans la litté-
rature. Ces solutions couvrent : la gestion de clés, la sécurité du routage et la
sécurité de l’agrégation. Elles sont analysées à la lumière des contraintes de
cette technologie.
1. Propriétés, vulnérabilités traitement des données. La station de base a deux interfaces : une
lui permettant de communiquer avec le RCSF et une autre avec
et sécurité des RCSF la station de traitement des données. Cette station joue un rôle
central dans les protocoles de sécurité vu ses ressources souvent
moins limitées que les autres nœuds du RCSF, et sa proximité au
système de contrôle et de traitement des données récoltées.
1.1 Architecture d’un RCSF
La figure 1 illustre l’architecture d’un RCSF. Les nœuds effec-
4 tuent des mesures grâce aux capteurs contrôlés par des program- 1.2 Genèse de la vulnérabilité des RCSF
mes embarqués dans la mémoire des nœuds et exécutés par leur
CPU. Ces données sont ensuite transmises via le réseau en pas-
sant par d’autres nœuds. On parle alors de communication en Les propriétés des réseaux de capteurs sans fil sont à double
multi-sauts ou routage. Un nœud, parfois plusieurs, appelé par la tranchant. Certes, elles permettent une grande facilité de déploie-
suite station de base (SB), joue le rôle de passerelle (commu- ment, mais elles rendent le système global de communication
nément appelée sink en anglais) entre le RCSF et une station de assez vulnérable à un certain nombre d’attaques.
Station de traitement
Lien Radio
Nœud
Station de base
Réseau de capteurs sans fil
Figure 1 – Architecture d’un réseau de capteurs sans fil
H 5 390 − 2 Copyright © –Techniques de l’Ingénieur –Tous droits réservés
96
H5390
_________________________________________________________________________________________ SÉCURITÉ DES RÉSEAUX DE CAPTEURS SANS FIL
Tableau 1 – Exemples de capacités des nœuds d’un RCSF

Mémoire
Nœud CPU Mémoire externe Radio
(données + code)
Atmega128 TI CC2420
MicaZ 4 KB RAM 128 KB Flash
16 MHz 802.15.4/ZigBee compliant radio
250 kbit/s
TI MSP430
TelosB 10 KB RAM 48 KB Flash 2,4 GHz, IEEE 802.15.4 Chipcon
8 MHz
Wireless Transceiver
TI CC2538 TI CC2538,
OpenMote 32 KB RAM 512 KB Flash
32 MHz 2,4 GHz, IEEE 802.15.4 Compliant
Atmega128 L 128 KB Flash ROM + Chipcon CC1000 (433 à 915 MHz)
BTnode 64 + 180 KB RAM
8 MHz 4 KB EEPROM et Bluetooth (2,4 GHz)
En effet, les principaux problèmes de sécurité dans les RCSF res ennemis dans des applications militaires, surveillance des feux
sont issus des propriétés qui les rendent efficaces et attrayants, à de forêts, monitoring d’activité volcanique, surveillance de niveaux
savoir : de radiation dans des installations nucléaires, etc.).
• Coûts réduits et miniaturisation Malheureusement, la communication sans fil multi-sauts intro-
duit de nombreuses failles de sécurité à deux niveaux différents :
4
Un des objectifs de conception des réseaux de capteurs sans fil
attaques sur la construction et la maintenance des routes, et atta-
est la surveillance de territoires épars, difficiles d’accès, tout en
ques sur les données, par écoute, injection, modification ou sup-
facilitant le déploiement de ces réseaux. Pour atteindre cet objectif,
pression de paquets de données. Ces attaques sont rendues
la taille d’un RCSF doit être suffisamment grande pour assurer une
relativement faciles à mener par la nature diffuse de la communi-
large couverture. De ce fait, le coût unitaire d’un nœud du réseau
cation sans fil. En outre, cette communication introduit d’autres
doit être suffisamment réduit pour que l’usage d’un RCSF
vulnérabilités au niveau des couches basses du réseau en ouvrant la
comportant des centaines, voire des milliers de nœuds soit écono-
porte à des attaques par brouillage du signal et de déni de service.
miquement viable. Ce choix économique couplé à un choix ergo-
nomique et opérationnel de miniaturisation de la taille des nœuds • Déploiement au sein de l’environnement physique
se traduit techniquement par une réduction des capacités des La plupart des applications de RCSF exigent un déploiement
nœuds : CPU, mémoire, alimentation énergétique, radio, etc. étroit des nœuds à l’intérieur ou à proximité des phénomènes à
Le tableau 1 illustre les capacités réduites de nœuds typique- surveiller. Cette proximité physique avec l’environnement conduit
ment utilisés dans des plateformes de RCSF. Cette rareté des res- à de fréquentes compromissions intentionnelles ou accidentelles
sources, de l’énergie tout en particulier, rend ce type de réseau des nœuds. Pour des raisons économiques, les nœuds d’un RCSF
une proie privilégiée des attaques par déni de service. Ce type ne peuvent être conçus pour garantir une protection physique
d’attaque peut cibler l’épuisement des batteries alimentant les inviolable. Par conséquent, un adversaire « bien équipé » peut
nœuds du réseau, la communication sans fil, ou toute autre res- extraire des informations cryptographiques des nœuds capteurs.
source du réseau afin de le rendre inopérant. Par ailleurs, la limita- Comme un RCSF est généralement sans surveillance humaine, le
tion des capacités (énergie, bande passante, mémoire) dans les risque d’attaquer les nœuds et de récupérer leur contenu est élevé.
RCSF a motivé le développement d’un mode de transport de don-
nées par agrégation.
L’agrégation permet aux nœuds du réseau d’effectuer des opé-
1.3 Services de sécurité dans les RCSF
rations sur les données reçues pour n’en transmettre que des
La figure 2 résume les problèmes de sécurité qui découlent des
informations utiles, et ainsi économiser les ressources qui auraient
propriétés des RCSF, ainsi que les fonctionnalités requises pour
été utilisées à la transmission des données brutes. Néanmoins, ces
une meilleure sécurité et robustesse de cette technologie.
données agrégées deviennent naturellement une cible privilégiée
des attaques, puisque leur falsification permet de nuire, non pas à Sont distingués quatre blocs fonctionnels de sécurité :
une mesure physique singulière effectuée par un capteur du • Gestion de clés cryptographiques
réseau, mais à une information agrégée issue d’une coopération
Il s’agit d’un service essentiel pour le fonctionnement des autres
d’un ensemble de capteurs du réseau.
services de sécurité. La gestion des clés permet d’assurer les fonc-
• Communication sans fil multi-sauts tions de génération, partage ou transport, renouvellement et révo-
Il s’agit d’un choix de conception économique et opérationnel cation des clés cryptographiques utilisées dans les différentes
visant la facilité et la réduction des coûts de déploiement et de opérations de chiffrement, d’authentification, de signature et vérifi-
maintenance de ce type de réseaux. En effet, les réseaux de cation utilisées dans les autres services de sécurité [H 5 210].
capteurs filaires ont été utilisés pendant des décennies dans des • Sécurité du transport des données
domaines divers comme l’agriculture, l’industrie et la santé. Ce service garantit une construction de routes sécurisées et un
Cependant, ces réseaux filaires présentaient l’inconvénient d’être transport sécurisé des paquets de données. Il s’appuie sur l’authenti-
difficiles à déployer et à maintenir avec un câblage encombrant. La fication des acteurs participants à l’opération de construction de rou-
transmission sans fil (par ondes électromagnétiques ou acousti- tes, le contrôle et la vérification des champs de signalisation du
ques pour les RCSF sous-marins) permet alors à ces réseaux de routage, comme le nombre de sauts (nombre de nœuds intermédiai-
s’affranchir du câblage et de ses inconvénients. La communication res entre une source et une destination d’une route) et autres métri-
sans fil multi-sauts, qui consiste à utiliser des nœuds intermédiai- ques, et l’authentification de l’origine des données.
res pour atteindre des destinations lointaines via un mécanisme de
routage, permet d’étendre la portée et la couverture de ces • Sécurité de l’agrégation de données
réseaux. En plus de fournir un déploiement simple et économique, Ce service typique aux réseaux de capteurs protège les données
elle possède l’avantage d’offrir l’accès à des endroits difficilement agrégées, qui sont une proie privilégiées des attaques vu leur
accessibles tels que des terrains accidentés et/ou hostiles (territoi- richesse informationnelle. On y distingue deux grandes catégories
97
4
98
VPN

5
5– Authentification des utilisateurs et des machines Réf. Internet page
Certification électronique H5510 101
La biométrie. Techniques et usages H5530 105
Méthodes d'authentification. Description, usages et enjeux H5535 111
Signature électronique eIDAS H5065 117
99
5
100
H5510
Certification électronique
par Gérard RIBIÈRE

Informaticien
1. Exigences de sécurité ................................................................................ H 5 510V3 - 2

1.1 Moyens classiques d’authentification ...................................................... — 3
1.2 Authentification sur Internet...................................................................... — 3
1.3 Confidentialité et non-répudiation ............................................................ — 3
1.4 Intégrité des échanges ............................................................................... — 3
2. Cryptographie à clé publique .................................................................... — 3
2.1 Techniques utilisées par la certification ................................................... — 3
2.2 Chiffrement ................................................................................................. — 3
3. Certificats et Infrastructure de Gestion de Clés ...................................... — 5
3.1 Définition..................................................................................................... — 5
5
3.2 Objectif de la certification .......................................................................... — 5
3.3 Contenu d’un certificat............................................................................... — 5
3.4 Processus de certification .......................................................................... — 6
3.5 Hiérarchies de certification et vérification d’une chaîne
de certification ............................................................................................ — 6
3.6 Vérification d’un certificat.......................................................................... — 7
3.7 Révocation des certificats .......................................................................... — 8
3.8 Éléments de l’Infrastructure de Gestion de Clés...................................... — 8
3.9 Standardisation .......................................................................................... — 8
3.10 Aspects juridiques et réglementaires ....................................................... — 8
4. Sécurité et support des bi-clés et certificats ........................................... — 9
4.1 Dispositifs sécurisés de création de signature......................................... — 9
4.2 Vers la carte d’identité électronique ......................................................... — 9
5. Mise en œuvre d’une IGC .......................................................................... — 9
6. Utilisation des certificats........................................................................... — 10
6.1 Protocoles et formats utilisant les certificats ........................................... — 10
6.2 Applications employant des certificats..................................................... — 12
7. Conclusion .................................................................................................. — 14
8. Sigles, notations et symboles................................................................... — 14
Pour en savoir plus .............................................................................................. Doc. H 5 510v3
es craintes inspirées par la dématérialisation des documents

L Tout échange ou tout type de commerce sur un réseau informatique, et
notamment sur Internet, nécessite une fonction qui permette aux parties en pré-
sence de s’identifier mutuellement. Une fois identifiées, les parties vont ensuite
vouloir participer à des transactions, celles-ci consistant en des échanges de
commandes, de factures, de paiements, et de documents en général.
Considérons, par exemple, le cas de l’achat d’actions sur Internet auprès
d’un courtier. Le problème se pose pour le courtier et l’acheteur de s’identifier
mutuellement, c’est-à-dire de s’assurer de l’identité du partenaire. Mais cela
n’est pas suffisant : le courtier doit pouvoir prouver que l’acheteur a bien com-
mandé un type et un nombre donné d’actions ; et l’acheteur doit être sûr que
Parution : janvier 2018
sa commande a bien été prise en compte par le courtier.

Afin d’atteindre, au cours d’échanges sur un réseau informatique, le même
degré de confiance que dans la vie réelle où les documents physiques
Copyright © – Techniques de l’Ingénieur – Tous droits réservés

H 5 510v3 – 1
101
H5510
CERTIFICATION ÉLECTRONIQUE _______________________________________________________________________________________________________
échangés sont munis d’une signature manuscrite, il est nécessaire de repro-

duire de façon électronique l’identification mutuelle des acteurs d’une
transaction ainsi que la signature des documents qui lui sont liés.
L’identification électronique des acteurs de transactions
Comme nous le verrons plus loin dans cet article, l’identification par mot de
passe, et même le chiffrement des informations échangées, ne suffisent pas à
répondre au besoin décrit précédemment. La réponse est fournie par un pro-
cessus de certification des acteurs de transactions s’appuyant sur un ensemble
de composants et de fonctions constituant une Infrastructure de Gestion de
Clés (IGC) et permettant une signature numérique des documents échangés.
Ce type de processus est déjà employé de façon opérationnelle aujourd’hui
dans des échanges transactionnels, et notamment par les professionnels de
santé pour transmettre les feuilles de soins électroniques à travers Internet.
Les fonctions et les produits que nous allons décrire dans cet article vont per-
mettre de réaliser tout autre type de commerce sur les réseaux, au sens large,
débordant largement le cadre des relations avec l’administration publique.
Dans cet article, nous allons tout d’abord citer les exigences de sécurité impo-
sées par la dématérialisation des échanges (à travers Internet par exemple) puis
nous décrirons brièvement les techniques utilisées pour répondre à l’exigence
d’authentification et par conséquent au besoin de certification.
Ensuite, nous présenterons la notion de certificat électronique ainsi que les
fonctions des autorités de certification chargées de délivrer des certificats. Afin
5
d’illustrer notre propos, nous présenterons quelques protocoles standards de
communication ainsi que des applications pratiques faisant usage des certificats.
Nous insistons sur Internet parce que c’est le mode d’utilisation du réseau
présentant le plus de risques en termes de sécurité. Cependant, puisque la cer-
tification s’applique à tout mode d’utilisation et à tout protocole de réseau, elle
peut très bien être employée pour assurer l’identification d’utilisateurs d’une
même entreprise sur un réseau Intranet.
1. Exigences de sécurité Et quelques définitions :

– Authentification des acteurs des transactions. Il est important
que les acteurs d’une transaction puissent vérifier mutuellement
Parler du problème de la sécurité des échanges sous Internet est leur identité. Par exemple, la banque doit pouvoir authentifier son
chose courante, en général pour dire combien commercer sur ce client qui effectue des transactions à l’aide de l’application de
réseau est risqué. Le fait que les données circulent sur des réseaux banque à domicile et le client doit pouvoir vérifier qu’il est bien
ouverts à tous et que les serveurs ou postes de travail soient suscep- connecté à sa propre banque ;
tibles d’être accédés de n’importe quel point du globe, peut donner – Intégrité des données échangées. Il ne faut pas que les don-
des inquiétudes. Quels sont donc les problèmes de sécurité à nées échangées entre les acteurs puissent être modifiées de façon
résoudre lorsque l’on veut faire du commerce électronique (au sens frauduleuse par quiconque. C’est notamment le cas du contenu
de transaction commerciale) ou tout autre type d’échange sur Inter- des commandes et des prix associés à cette commande, ou bien
net ? Nous en voyons plusieurs que nous allons décrire après une du nombre et du prix des actions achetées à un courtier ;
– Confidentialité des données. Certaines données n’ont pas à
parenthèse relative à une question de terminologie.
être connues de tiers, par exemple les données d’une carte de
paiement, le montant d’une transaction, le solde d’un compte ou
bien l’état des stocks d’une entreprise. Elles pourraient être utili-
Identification et authentification
sées frauduleusement par une personne indélicate ;
– Non-répudiation. La contestation (ou répudiation) d’une tran-
En langage informatique, on distingue l’identification saction (bancaire ou autre) consiste, pour l’un des deux acteurs de
consistant à associer un identificateur (on utilise plus souvent la transaction, à nier l’avoir effectuée. Cela sera d’autant plus facile
aujourd’hui le terme identifiant) simple (par exemple un nom en informatique qu’il n’y aura pas de signature attachée à la tran-
court) à une personne donnée et authentification consistant à saction. Il faut donc pouvoir créer électroniquement l’équivalent de
vérifier, par tout moyen approprié (mot de passe, carte à la signature manuscrite qui, habituellement, authentifie l’auteur de
puce…), que la personne ainsi identifiée est bien celle se pré- la transaction ;
sentant sous cet identificateur (identifiant). Cette terminologie – Contrôle d’accès. Il faut pouvoir mettre en place des politiques
provient des pays anglo-saxons (par analogie avec « authenti- et protocoles d’accès aux données sensibles d’un système. Ces
cation »). En France, le terme authentification désigne princi- politiques vont définir, pour chaque personne ayant un droit
palement l’action de créer des actes authentiques en faisant d’accès au système, ses autorisations, i.e. le type de données
intervenir des officiers publics (notaires, officiers d’état civil…) accessibles et les droits de cette personne sur ces données ;
[1]. Toutefois, afin de respecter l’usage courant chez les infor- – Audit. La sécurité n’est pleinement assurée que si l’on prend
maticiens, nous utiliserons dorénavant le terme d’authentifica- note de tout événement important lié à la sécurité (délivrance d’un
tion dans son sens de vérification informatique d’une identité. certificat, tentative d’accès non autorisé, etc.).

H 5 510v3 – 2
102
H5510
________________________________________________________________________________________________________ CERTIFICATION ÉLECTRONIQUE
1.1 Moyens classiques d’authentification Ce type de protection du contenu des échanges vis-à-vis des
tiers ne protège pourtant pas suffisamment un partenaire par rap-
Nous savons que l’authentification de l’auteur d’un document port à l’autre. En effet, l’un des deux partenaires peut ultérieure-
écrit s’appuie traditionnellement sur la signature manuscrite. À ment réfuter (« répudier ») le contenu des messages qu’il a
moins qu’il ne s’agisse d’un document authentique, nous connais- envoyés. Pour se protéger contre une telle contestation, il faut
sons tous le faible degré de fiabilité d’une telle signature. ajouter une signature électronique aux messages échangés. Nous
pouvons même obtenir une protection supplémentaire en faisant
Pour ce qui est de l’authentification des utilisateurs d’un sys- établir un acte authentique sous la supervision d’un notaire (voir
tème informatique, les organisations enregistrent, de façon tradi- § 6.2).
tionnelle, leurs utilisateurs et contrôlent leur accès aux
applications (sur un réseau Intranet généralement) à l’aide d’iden-
tificateurs (identifiants) et de mots de passe. L’identificateur per-
met de relier l’utilisateur à un individu, le mot de passe étant la
1.4 Intégrité des échanges
preuve de ce lien. Cependant, un mot de passe n’assure pas tou- Le maintien de l’intégrité des données échangées est un autre
jours la sécurité demandée car il présente les inconvénients élément important de la confiance. Il faut pouvoir s’assurer que
suivants : ces données n’ont pas pu être modifiées entre l’envoi par l’expé-
1/ il peut être observé au moment de sa frappe ; diteur et la réception par le destinataire, ni après que le destina-
2/ il peut être intercepté sur le réseau s’il n’est pas chiffré ; taire aura reçu le message. Nous verrons que la signature
3/ il ne permet une authentification que dans un seul sens car il ne électronique, en plus de fournir la non-répudiation (donc la
permet pas à l’utilisateur d’authentifier le serveur auquel il se preuve de l’origine du message), garantit aussi l’intégrité des
connecte ; données.
4/ il peut souvent être découvert par essai/erreur ;
5/ une fois l’authentification terminée sur le réseau, l’information
échangée par la suite n’est pas protégée contre une modification
éventuelle. Les données reçues ultérieurement par le serveur ne
proviennent pas forcément de l’utilisateur ayant présenté initiale-
2. Cryptographie à clé
ment son mot de passe ; publique
5
6/ les mots de passe doivent être stockés sur un serveur. Même
chiffrés, ils restent vulnérables car les utilisateurs assignent sou-
vent des mots de passe triviaux.
2.1 Techniques utilisées
Les points énumérés ci-dessus sont valables quel que soit le par la certification
type de réseau utilisé. Toutefois, Internet augmente encore le dan-
ger d’utilisation des mots de passe car le réseau utilisé est acces- Afin d’assurer la confiance dans les échanges dématérialisés et
sible à tous. Ainsi les fraudeurs peuvent soit « écouter » la ligne en particulier le commerce (au sens large) sur Internet, des tech-
de communication (point 2), soit modifier le contenu des mes- niques de cryptographie sont utilisées. Parmi celles-ci, la tech-
sages (point 5), soit se substituer à un vrai serveur pour en nique de cryptographie dite à clé publique est essentielle. Nous
extraire des informations confidentielles (point 3). allons rappeler ici quelques-unes des techniques utilisées
Enfin, avec Internet, les entreprises souhaitent fournir un accès [H 5 210] :
à un grand nombre d’utilisateurs qu’elles ne connaissent pas – le chiffrement et le déchiffrement de données par des tech-
nécessairement. Comment attribuer un nom d’utilisateur et un niques à clé secrète et/ou à clé publique ;
mot de passe à une personne que vous ne connaissez pas ? Nous – la technique de création de condensés d’informations obtenus
allons voir qu’il peut être plus simple, et plus sûr, de faire certifier par des opérations de hachage ;
l’identité de ces personnes par un tiers auquel l’entreprise peut se – la signature des messages échangés afin de permettre
fier. l’authentification de leurs émetteurs.
1.2 Authentification sur Internet 2.2 Chiffrement

Il faut donc disposer d’un moyen d’authentification, beaucoup Le chiffrement est destiné à cacher les informations échangées
plus sûr et plus adapté au contexte de l’Internet, qui puisse, dans entre deux personnes, de telle sorte qu’un tiers ne puisse pas faci-
le cas de l’écrit, se substituer à la signature manuscrite. Ce moyen lement en avoir connaissance.
repose sur une Infrastructure de Gestion de Clés (IGC) utilisant Afin de répondre à divers besoins, deux techniques de chiffrement
notamment : doivent être employées : une technique de chiffrement symétrique et
– des techniques de chiffrement à clé publique (voir § 2) ; une technique asymétrique. Nous allons en voir les avantages et
– des certificats permettant de décrire et de prouver l’identité de inconvénients respectifs. Pour des explications complémentaires sur
ceux qui les possèdent ; les méthodes de chiffrement, on se référera à [H 5 210].
– des serveurs, autorités de certification, permettant de délivrer
des certificats à des utilisateurs ou des serveurs informatiques, 2.2.1 Chiffrement symétrique
après vérification approfondie de leur identité ;
– un annuaire pour publier les certificats créés ; C’est le moyen le plus répandu, le plus ancien et le plus simple
– des moyens de vérification de la validité des certificats. à mettre en œuvre. Une même clé (généralement, un nombre
aléatoire généré par l’émetteur) est utilisée pour chiffrer puis
déchiffrer un message. Le chiffrement consiste à appliquer à
1.3 Confidentialité et non-répudiation chaque bloc de longueur fixe du message un algorithme dont le
paramètre est la clé de chiffrement. Plusieurs standards de chiffre-
Le fait de réaliser une authentification n’assure pas pour autant ment existent, notamment :
la sécurité des échanges qui vont suivre. Il faut, en plus, chiffrer – le DES ou Data Encryption Standard qui utilise une clé de taille
les données échangées, ce qui suppose que les deux parties en 56 bits (+8 bits de parité). Afin de se prémunir contre les tech-
relation partagent la même méthode de chiffrement. niques de décryptage rendues possibles par la puissance actuelle
Copyright © – Techniques de l’Ingénieur – Tous droits réservés.

H 5 510v3 – 3
103
H5510
CERTIFICATION ÉLECTRONIQUE _______________________________________________________________________________________________________
des ordinateurs, c’est le 3-DES à clé de 128 bits qui est souvent uti- 2.2.4 Signature
lisé aujourd’hui ;
– l’AES (Advanced Encryption Standard) successeur du DES, La notion de signature numérique d’un message est fondamen-
adopté en 2001 par le NIST américain (National Institute of Stan- tale dans l’authentification de l’émetteur d’une transaction ainsi
dards and Technology). que dans la garantie de non-répudiation qu’elle procure. Elle
s’obtient en associant une opération de hachage et une opération
Le chiffrement symétrique permet de chiffrer de grandes quantités de chiffrement asymétrique, comme indiqué dans la figure 1 et le
de données avec des performances raisonnables. Toutefois il a pour processus décrit ci-dessous :
inconvénient de devoir partager la même clé entre l’émetteur et le
1/ création par l’émetteur d’un condensé du message par une opé-
destinataire du message. Il faut donc disposer de méthodes pour
ration de hachage ;
transmettre de façon sûre, à l’abri des écoutes indiscrètes, la clé utili-
2/ chiffrement asymétrique du condensé par la clé privée de
sée pour les échanges. Deux méthodes existent :
l’émetteur. Ceci constitue la signature, sorte de sceau numérique ;
– le transport de clés par chiffrement asymétrique décrit ci- 3/ envoi des deux informations (message et signature) au destina-
dessous ; taire.
– la méthode de Diffie-Hellmann dans laquelle chacun des parte-
naires génère, de façon cachée, une partie de la clé symétrique Le destinataire, à la réception de ces deux informations doit,
[H5210]. pour vérifier la signature, procéder ainsi :
4/ calcul à nouveau du condensé du message par le même algo-
rithme que celui utilisé par l’émetteur ;
2.2.2 Chiffrement asymétrique 5/ déchiffrement de la signature en utilisant la clé publique de
l’émetteur, ce qui permet de reconstituer le condensé créé par
Le chiffrement asymétrique porte aussi le nom de « chiffrement
l’émetteur ;
à clé publique ». L’un des partenaires de l’échange de messages
6/ vérification de la signature par comparaison des deux conden-
génère une bi-clé : une clé publique et une clé privée. La clé
sés ainsi obtenus. S’ils sont identiques, seul l’émetteur (le posses-
publique peut être donnée à tout le monde ; la clé privée est gar-
seur de la clé privée) a pu signer et envoyer ce message.
dée secrète par celui qui a créé la bi-clé.
L’opération de vérification de la signature suppose que le desti-
Dans le chiffrement à clé publique, les deux clés (privée et
5
nataire possède la clé publique de l’émetteur. Ce dernier pourrait
publique) sont reliées mathématiquement entre elles de telle sorte
la lui transmettre manuellement ou par courrier électronique sécu-
que tout message chiffré avec l’une des clés ne peut être déchiffré
risé. Si ce processus est envisageable à petite échelle quand les
que par l’autre clé. En outre, il est quasiment impossible (si la clé
interlocuteurs se connaissent, il n’est plus possible à grande
est suffisamment « longue ») de déduire la clé privée à partir de la
échelle car, alors, émetteur et destinataire ne se connaissent pas.
seule connaissance de la clé publique.
C’est pourquoi, le plus souvent, l’émetteur envoie sa clé publique
On voit ainsi que le chiffrement asymétrique simplifie la distri- en même temps que le message signé.
bution des clés, la clé publique pouvant être distribuée à tout le
Comment alors s’assurer que la clé publique ainsi échangée est
monde. Par contre, son utilisation est plus consommatrice de
bien celle de l’émetteur ? Nous voyons donc ici l’importance
puissance de calcul et de mémoire que le chiffrement symétrique.
d’une autorité externe, fiable, permettant de certifier la clé
Le chiffrement asymétrique est utilisé dans deux cas intéres- publique fournie par l’émetteur d’un message. Produire et signer
sants, bases de l’utilisation pratique des certificats que nous décri- un certificat contenant cette clé publique est précisément le rôle
rons plus loin : de la fonction de certification. La signature de cette autorité
– pour transporter une clé symétrique entre l’émetteur et le des- externe constitue cette preuve.
tinataire d’un message, facilitant ainsi l’utilisation du chiffrement Un sous-produit important de la signature est la conservation
symétrique ; de l’intégrité du message. En effet, un tiers qui modifierait le
– pour créer des signatures numériques. contenu d’un message signé serait, du fait qu’il ne possède pas
L’algorithme asymétrique le plus connu porte le nom de R.S.A. la clé privée du véritable émetteur, dans l’impossibilité d’y asso-
(du nom de leurs auteurs : Rivest, Shamir et Adleman, voir cier une signature valable. Sa vérification, exécutée comme
normes PKCS). Les tailles des clés utilisées peuvent aller de
512 bits à 2 048 bits suivant le degré de sécurité que l’on veut
atteindre (à ne pas comparer avec la taille des clés DES).
2.2.3 Hachage
Le hachage d’un message consiste en l’application d’une fonc-
tion mathématique qui permet d’en créer un condensé de taille
beaucoup plus petite que le message lui-même. La fonction de
hachage n’est donc pas réversible : il n’est pas possible de recons-
tituer le message à partir de son condensé.
La technique de hachage est utilisée pour préserver l’intégrité
d’une information en associant celle-ci à son condensé, ce dernier
étant éventuellement chiffré. La fonction de hachage est telle qu’il
est pratiquement impossible statistiquement de produire deux
messages dont les condensés seraient identiques. Le message et
son condensé sont donc liés : on ne peut pas modifier l’un sans
devoir modifier l’autre.
L’association du hachage et du chiffrement permet de réaliser la
fonction de signature décrite au § 2.2.4. C’est la technique essen-
tielle utilisée par l’infrastructure de gestion de clés. Figure 1 – Principe de la signature électronique

H 5 510v3 – 4
104
H5530
La biométrie
Techniques et usages
par Bernadette DORIZZI
Chef du département électronique et physique
Institut national des télécommunications (INT)
Jean LEROUX LES JARDINS
École nationale supérieure des télécommunications (ENST)
Philippe LAMADELAINE
Chef de projet, Thales Security Systems
et Claudine GUERRIER
Maître de conférences, INT
1. Principes des systèmes biométriques................................................ H 5 530 - 2

2.
2.1
Les différentes modalités ......................................................................
Empreintes digitales....................................................................................
—
—
3
3
5
2.2 Vérification par le visage............................................................................. — 6
2.3 Photographie de l’iris .................................................................................. — 6
2.4 Géométrie de la main.................................................................................. — 7
2.5 Voix ............................................................................................................... — 8
2.6 Signature dynamique.................................................................................. — 8
2.7 Comparaison des différentes modalités biométriques ............................ — 8
2.8 Apport de la multimodalité : projet BIOMET............................................. — 9
3. Biométrie sur carte à puce : future carte électronique
du citoyen .................................................................................................. — 9
3.1 Perspectives ................................................................................................. — 9
3.2 Homogénéisation au niveau européen ..................................................... — 9
3.3 Norme expérimentale CEC ......................................................................... — 9
3.4 Traitements et stockage des empreintes digitales.................................... — 14
3.5 Caractéristiques des minuties extraites..................................................... — 14
3.6 Projets en Europe ........................................................................................ — 15
4. Déploiement d’applications biométriques........................................ — 15
4.1 Périmètre ...................................................................................................... — 15
4.2 Influences ..................................................................................................... — 15
4.3 Principales applications sécuritaires.......................................................... — 15
4.4 Protection des données biométriques ....................................................... — 18
4.5 Sécurité de fonctionnement ....................................................................... — 20
4.6 Critères de choix d’un système biométrique............................................. — 20
4.7 Évaluation des systèmes biométriques ..................................................... — 21
5. Aspects juridiques ................................................................................... — 22
5.1 Vie privée et biométrie ................................................................................ — 22
5.2 Cas de la France........................................................................................... — 23
5.3 L’exemple québécois ................................................................................... — 23
5.4 Cas particulier des images de visages....................................................... — 23
5.5 Biométrie et signature électronique........................................................... — 24
6. Conclusion ................................................................................................. — 24
105
H5530
LA B IOM ÉTRIE _________________________________________________________________________________________________________________________
a prolifération des terminaux d’accès à l’information ainsi que l’usage crois-

L sant d’applications mettant en œuvre des transferts de données personnel-
les comme le commerce, le vote, la banque électronique imposent de disposer
de techniques fiables, agréables pour l’utilisateur et communément acceptées.
Les techniques classiques de vérification d’identité pour les contrôles d’accès
comme les passeports ou les cartes d’identité, les mots de passe ou les codes
secrets peuvent être facilement falsifiés et il semble que l’usage de la biométrie
puisse remédier à certains de leurs inconvénients, en basant la vérification sur
les aspects propres de chaque individu.
Pendant longtemps, l’usage de la biométrie est resté limité aux applications
policières, mais étant donné ses avantages potentiels, cette technologie est
maintenant envisagée pour un très grand nombre d’autres applications. Des
applications commerciales ont ainsi vu le jour, basées le plus souvent sur les
modalités d’empreintes digitales ou d’iris qui sont pour l’instant réputées les
plus fiables, en contrepartie de leur caractère intrusif, souvent mal perçu par les
utilisateurs. Cela explique en partie que leur usage reste limité pour l’instant à
des applications professionnelles (contrôle d’accès de personnel d’aéroport par
exemple) et que l’usage à destination du grand public soit encore quasiment
inexistant, malgré la disponibilité de produits commerciaux.
Il est certain que des modalités comme le visage, la voix, la signature manus-
crite sont plus familières mais la performance associée reste encore trop faible
pour pouvoir envisager leur utilisation à grande échelle. Dans ce cadre, le
couplage de plusieurs modalités paraît une voie prometteuse déjà explorée dans
certains projets, comme le projet GET BIOMET.
5 Plusieurs études américaines prévoient une explosion du marché de la

biométrie en relation essentiellement avec le développement des transferts de
données électroniques, en particulier sur Internet. Au niveau européen, il
n’existe à ce jour encore que peu d’études disponibles et c’est d’ailleurs une des
préoccupations actuelles de l’Union européenne de disposer rapidement d’étu-
des fiables et prospectives.
Notre objectif est de présenter un panorama des techniques biométriques les
plus couramment utilisées et de les placer dans une perspective de déploie-
ment industriel. Le contexte du portage sur carte à puce sera plus parti-
culièrement évoqué ainsi que les aspects juridiques qui conditionnent le
développement du marché biométrique en Europe.
1. Principes des systèmes enrôlement, et une phase de reconnaissance, ou vérification

(figure 1). Dans tous les cas, la modalité considérée (par exemple,
biométriques l’empreinte digitale ou la voix) est enregistrée à l’aide d’un capteur
et des données numériques sont alors disponibles (un tableau de
pixels, un signal numérique...). En général, on ne travaille pas
■ Fonctionnement : on distingue deux modes d’utilisation dis- directement sur ces données mais on en extrait d’abord des carac-
tincts d’un système biométrique. On peut vouloir identifier une téristiques pertinentes, qui constituent un gabarit. Cela présente un
personne parmi un ensemble composé de N individus. Par exem- double intérêt : le volume d’informations à sauvegarder est plus
ple, on veut repérer un malfaiteur potentiel (à partir d’une liste de restreint et l’anonymat dans le stockage de ces données est favo-
criminels identifiés) dans une foule (aéroport, terrain de foot, risé. En effet, à partir de ces caractéristiques, il n’est pas possible
grande surface...). Dans ce cas, on devra disposer d’une base de revenir au signal original.
comportant les données permettant de caractériser chacune des Le rôle du module d’apprentissage est de constituer un modèle
personnes de la base et le système devra alors rechercher la d’une personne donnée à partir d’un ou de plusieurs enregistre-
personne qui correspond le mieux à son observation. Plus facile ments de la modalité considérée. La plupart des modèles rencon-
est la tâche qui consiste à vérifier l’identité d’une personne, encore trés sont des modèles statistiques qui permettent de prendre en
appelée authentification. Ainsi, face à un individu qui se présente compte une certaine variabilité dans les données individuelles.
au guichet d’une banque ou à l’entrée d’un bâtiment et qui se
Le module de reconnaissance permet de prendre une décision.
prétend être un client répertorié, le système devra simplement
Si l’on est en mode identification, le système compare le signal
prendre une décision d’acceptation ou de rejet de cette personne.
mesuré avec les différents modèles contenus dans la base de don-
Dans ce cas, il n’y a pas forcément besoin de stocker l’information
nées et sélectionne le plus proche. En mode vérification, le sys-
relative à la personne dans une base centralisée. Celle-ci peut être
tème compare le signal mesuré avec un seul des modèles de la
enregistrée par exemple sur une carte à puce détenue par l’utilisa-
base de données et autorise ainsi la personne ou la rejette.
teur, ce qui assure une meilleure confidentialité.
L’identification peut être une tâche très difficile lorsque la base
■ Architecture : en général, on répertorie deux phases dans un de données contient des milliers d’individus. Les problèmes de
système biométrique, une phase d’apprentissage, appelée aussi temps d’accès deviennent alors cruciaux.
106
H5530
________________________________________________________________________________________________________________________ LA B IOM ÉTRIE
Apprentissage
Base
Extraction de
Capture de données
des paramètres
la caractéristique ou
les plus représentatifs
stockage
sur carte
Reconnaissance
Extraction
Capture de Comparaison
des paramètres
la caractéristique et décision
les plus représentatifs
Action Figure 1 – Les différents modules

d’un système biométrique
Dans le cas d’un système de vérification, on évalue deux taux

d’erreur qui varient en sens contraire : le taux de faux rejet FRR
(false rejection rate : taux de rejet d’un utilisateur légitime) et le
Erreur réductible taux de fausse acceptation FAR ( false acceptation rate : taux
d’acceptation d’un imposteur). Étant donné un système de vérifica-
Imposteur Client tion, la figure 2 représente la distribution théorique des taux de
FRR FAR vraisemblance des utilisateurs légitimes et des imposteurs. Les
FAR et FRR sont alors représentés dépendant d’un seuil qui devra
5
Seuil de décision Vraisemblance être ajusté en fonction des caractéristiques souhaitées pour l’appli-
cation considérée (haute ou basse sécurité). En effet, plus le seuil
est bas, plus le système acceptera d’imposteurs. Plus il est élevé,
Figure 2 – Taux de vraisemblance des utilisateurs légitimes plus le système sera robuste aux imposteurs mais il rejettera alors
et des imposteurs d’un système de vérification biométrique plus de vrais utilisateurs. Chaque application nécessite de recal-
culer ce seuil pour l’adapter à la population spécifique considérée.
La courbe ROC (receiver operating characteristic) de la figure 3
permet de représenter la performance d’un système de vérification
FRR en termes de couples (FAR, FRR) en fonction des différentes
Haute sécurité valeurs possibles du seuil. Le taux d’erreur égale EER (equal error
rate ) correspond au point FAR = FRR et est souvent utilisé pour
mesurer la performance du système.
EER
2. Les différentes modalités

Basse sécurité
Il existe aujourd’hui une panoplie assez large de modalités bio-
métriques et il en apparaît constamment de nouvelles. En fait,
FAR aucune modalité ne permet d’assurer à la fois une précision suffi-
sante et un confort d’utilisation et cela dans toutes les situations
d’usage. De plus, quelle que soit la modalité, il existe toujours des
Figure 3 – Courbe ROC
personnes réfractaires (mains usées de travailleurs manuels,
visages voilés, voix enrouées). Nous ne décrivons ici que les
modalités les plus communes, à savoir le visage, la parole, les
■ Évaluation : les évaluations des systèmes biométriques sont sou- empreintes digitales, le contour de la main et l’iris de l’œil, laissant
vent réalisées uniquement en terme de performance des systèmes de côté d’autres modalités moins classiques (veines de la main,
de reconnaissance. Pourtant, il faut garder en mémoire que d’autres ADN, odeur corporelle, forme de l’oreille, des lèvres, rythme de
facteurs interviennent lors de la mise en œuvre d’un système bio- frappe sur le clavier, démarche...). Nous parlerons aussi rapi-
métrique. Citons tout d’abord la qualité et la robustesse des cap- dement des travaux que nous réalisons dans le cadre du projet
teurs utilisés. Il est assez évident que la qualité des capteurs influe BIOMET qui nous permet d’effectuer des tests comparatifs de dif-
sur les performances des algorithmes de reconnaissance associés. férents capteurs et d’évaluer l’apport de l’utilisation conjointe de
Ce qu’il faudrait donc évaluer, c’est un couple (capteur, algorithme) plusieurs modalités en terme de gain de performance associé.
mais cela reste difficile du fait que ce ne sont souvent pas les
mêmes capteurs qui sont utilisés dans les phases d’enrôlement et
de test. On est donc plutôt amené à évaluer la résistance d’un algo- 2.1 Empreintes digitales
rithme de reconnaissance à l’utilisation de différents types de cap-
teurs (problème d’interopérabilité). Un autre facteur déterminant de L’empreinte digitale est la caractéristique biométrique la plus uti-
l’acceptabilité d’une solution biométrique est la qualité de l’inter- lisée dans le monde dès 1888, depuis que F. Galton découvrit la
face de communication associée. Outre le confort d’utilisation, la permanence et l’inaltérabilité du dessin papillaire de la naissance
vitesse d’acquisition et la rapidité du traitement sont des facteurs à la mort. Elle est utilisée depuis un siècle pour l’identification
déterminants, bien souvent non évalués en pratique. Ces différents criminelle. Elle correspond à l’essentiel du marché actuel et son
aspects seront étudiés en détail dans le paragraphe 4. utilisation sera sans doute amenée à se développer. Elle possède
107
H5530
LA B IOM ÉTRIE _________________________________________________________________________________________________________________________
un taux de fiabilité suffisant pour permettre d’identifier les indivi- 2.1.1 Acquisition de l’image
dus dans de grandes bases de données. Utilisée depuis longtemps
dans le contexte policier, elle n’est pas toujours très bien acceptée
Ces dernières années ont vu l’apparition de différents types de
par les utilisateurs mais présente néanmoins un bon compromis
capteurs plus ou moins perfectionnés et coûteux [1] :
entre les contraintes d’utilisation et la fiabilité recherchée. Son uti-
lisation dans des applications identifiées est cependant quelquefois — optique : une source lumineuse diffuse de la lumière sur
refusée par la Commission nationale de l’informatique et des liber- le côté gauche d’un prisme sur lequel un doigt est placé. Les diffé-
tés (CNIL) qui craint un détournement possible des systèmes asso- rences de réflexion entre les crêtes et les vallées fournissent une
ciés. Elle est constituée par les dessins des crêtes et des vallées de image du dessin papillaire à destination d’un capteur après focali-
la peau des doigts dans des orientations particulières. Le motif sation par une lentille. Les images obtenues sont de bonne qualité
obtenu présente également des variations limitées permettant mais ce type de capteur ne permet pas de différencier les vrais
d’opérer une classification. Le FBI, par exemple, utilise plusieurs doigts des bonnes imitations. De plus, la personne laisse des
classes pour caractériser les dessins obtenus : arche (arch ), boucle traces sur la vitre qui peuvent être réutilisées ;
(loop ) à gauche ou à droite, spirale ou tourbillon (whorl ). La bou- — capacitif : le doigt est placé sur un maillage de pixels sen-
cle représente les deux tiers de la population mondiale, le tour- sibles aux petites charges électriques créées entre le capteur et la
billon moins d’un tiers et les arches entre cinq et dix pour-cent. surface des crêtes (constituées d’eau) et des vallées (air). Une
image de bonne qualité peut alors être construite. Ces capteurs
Quelles sont les caractéristiques qui rendent une empreinte
sont sensibles aux décharges électrostatiques, mais très largement
unique ? À la base, une empreinte présente des crêtes (ridges ) ou
utilisés en raison de leur taille réduite ;
monts et des vallées (valleys ) ou sillons (furrows ). Ces deux struc-
tures sont duales l’une de l’autre. La structure de ces éléments est — ultrasons : une onde radio ultrasonore impulsionnelle de
visible sur chaque image d’empreinte (figure 4). faible intensité est transmise au doigt et un récepteur analyse le
signal réfléchi. Le doigt reste en contact avec une plaque. Cette
Pour permettre les traitements de comparaison ( matching ), technologie reposant sur la couche de peau présente sous la sur-
l’objectif est de repérer des caractéristiques particulières appelées face du doigt est résistante aux attaques par doigts artificiels. Ces
minuties, consistant en terminaisons (ridge endings ) ou ramifica- capteurs sont coûteux et volumineux ;
tions de crêtes (bifurcations) (figure 5). Chaque empreinte est ainsi — piézo-électrique : on peut élaborer un capteur sensible à la
caractérisée par la position et le type de ses minuties. On cherche pression qui produit un signal électrique quand le doigt appuie sur
également à trouver l’orientation locale (sous la forme d’un angle) la surface. Les distances variables des crêtes et des vallées de la sur-
5
du sillon sur lequel se trouve le point. L’extraction des minuties face créent des courants variables. Cette technique présente une
permet non seulement de caractériser efficacement une empreinte assez mauvaise sensibilité ;
digitale mais aussi d’obtenir un condensé de l’empreinte occupant — thermique : des matériaux pyroélectriques qui convertissent
presque mille fois moins de place que l’image initiale. une différence de température en une différence de tension sont uti-
Le processus de vérification des empreintes digitales comporte lisés. La différence de température entre les crêtes et les vallées
plusieurs étapes. La première consiste en l’acquisition d’une image donne un dessin de l’empreinte. Cette technique présente de
de l’empreinte réalisée avec un capteur. La deuxième étape est nombreux avantages en terme de fiabilité et de facilité d’utilisation
l’extraction des minuties (qui correspondent aux gabarits pour et elle permet de détecter facilement les moulages. Mais l’image
cette modalité) à partir de cette image. Pour procéder ensuite à la obtenue disparaît très vite : en un dixième de seconde, le doigt et
vérification, il faut pouvoir comparer la minutie extraite à un le détecteur arrivent à la même température.
échantillon de référence préalablement obtenu pour décider si les
Deux procédés peuvent être utilisés lors de la capture : soit le
deux minuties représentent bien la même empreinte. Cette étape
doigt est statique, posé sur un support qui englobe toute
est celle de la comparaison des minuties.
l’empreinte et l’image est acquise en une fois, soit le doigt glisse
sur un support beaucoup plus petit et l’image est acquise par tran-
ches pour être ensuite reconstituée.
Exemple : pour donner une idée des temps d’acquisition, prenons
Image
le cas d’un lecteur connectable à un port USB qui comporte un capteur
capacitif sur silicium de dimensions 15 mm × 15 mm doté d’une réso-
Doigt lution de 500 dpi. Sa masse est de 85 g.
Capacités
L’acquisition d’une nouvelle empreinte se réalise en un temps de
l’ordre de la seconde. Un capteur de type optique pourrait être utilisé
dans les même conditions.
Silicium
L’acquisition de l’image de l’empreinte digitale correspond à la
génération sur l’ordinateur hôte d’un fichier d’une taille de 90 ko
Figure 4 – Image d’empreinte digitale obtenue correspondant à 300 pixels × 300 pixels sur 256 niveaux de gris
à l’aide d’un capteur capacitif sur silicium (codés sur 8 bits). L’étape suivante consiste à extraire les caracté-
ristiques essentielles de cette image sous la forme la plus compacte
possible en terme de capacité mémoire.
Terminaison
Bifurcation 2.1.2 Extraction des minuties
L’extraction automatique des minuties [2] [3] correspond à un
traitement particulièrement critique, en particulier avec des cap-
teurs de qualité moyenne où le bruit et l’absence de contraste peu-
vent générer des configurations de pixels similaires aux minuties
ou aussi cacher de vraies minuties. Plusieurs traitements successifs
sont nécessaires : normalisation du contraste, détermination des
orientations locales, estimation de la distance entre crêtes, élimi-
Figure 5 – Éléments caractéristiques visibles nation du fond. Puis, l’image obtenue est filtrée à l’aide de filtres
sur l’image agrandie d’une empreinte de Gabor, qui rendent l’empreinte plus robuste au bruit et aux
108
H5530
________________________________________________________________________________________________________________________ LA B IOM ÉTRIE
acquisitions de faible qualité en accentuant les différences. Ces fil- réalisée accepte toutes les rotations du doigt sur le capteur et tou-
tres agissent comme des passe-bande éliminant le bruit et préser- tes les translations verticales et horizontales pourvu qu’il existe
vant la véritable structure des crêtes et des vallées. Ils sont sélectifs une surface commune à deux empreintes.
sur les fréquences et les orientations. Le traitement de la comparaison consiste à calculer un score
L’image est ensuite binarisée par utilisation d’effets de seuil. On représentant la probabilité pour que les deux jeux de minuties pro-
procède alors à un traitement d’amincissement (squelettisation) viennent du même doigt. On définit pour chaque minutie un cercle
réduisant l’épaisseur des traits (de crête) à un pixel, ce qui permet de décision à l’intérieur duquel on détermine la proximité relative
par la suite de trouver plus facilement les extrémités et les ramifi- ou le recouvrement des deux points supposés homologues à l’aide
cations des crêtes. d’une métrique (étude sur les positions) : plus les points sont pro-
ches dans la mise en correspondance, plus le score attribué est
L’opération précédente laisse intactes les imperfections structu-
élevé. Le même procédé est appliqué à l’orientation de chaque
relles de l’empreinte originale : crêtes morcelées ou interrompues,
minutie. Plus la direction est semblable, meilleur est le score. On
crêtes parasites, trous. Il est nécessaire de reconnecter les lignes
totalise le score obtenu pour l’ensemble des minuties, ce qui
de crêtes brisées et de supprimer les imperfections restantes. Cette
conduit à prendre la décision d’appartenance ou non des deux jeux
amélioration utilise des connaissances générales sur les emprein-
de minuties au même doigt. La valeur du seuil utilisé pour prendre
tes révélées par les experts à partir d’études statistiques.
la décision influence les résultats statistiques obtenus ainsi que le
Les minuties sont faciles à localiser dans une image squelettisée. type d’application visé. Toute comparaison obtenant un score supé-
Les points caractéristiques des minuties sont les points terminaux rieur ou égal à un seuil correspond à une authentification réussie.
et les points de bifurcation. En général, 10 à 50 minuties sont La vitesse d’obtention (inférieure à la seconde) du résultat est le
extraites d’une image brute d’empreinte digitale. Chaque minutie principal atout de cette solution implantée sur un ordinateur per-
est caractérisée par sa position et son orientation (angle existant sonnel. La figure 7 présente deux empreintes d’un même doigt
entre la principale crête et l’axe horizontal). Seules les positions et que l’on cherche à comparer. On observe pour chaque minutie
les orientations des minuties trouvées sont stockées car elles ont détectée les cercles de décision associés.
la propriété de bien caractériser ou représenter l’empreinte L’aptitude d’un système de vérification basé sur les empreintes
originale. digitales à prendre une décision est caractérisée par deux
paramètres : le taux de fausse acceptation FAR et le taux de faux
rejet FRR.
2.1.3 Comparaison des minuties
Ce traitement correspond à la comparaison de deux jeux de
minuties : celui de référence (template ) acquis lors de la phase
Dans cette perspective, il est important d’avoir une idée de l’effi-
cacité des traitements que l’on met au point. L’université de
Bologne en Italie a pris l’initiative de mettre sur pied une compé-
5
d’enrôlement (enrollment ) et celui d’essai (test ) acquis lors de tition permettant de quantifier les performances des algorithmes
l’authentification (figure 6). Le traitement automatisé mis en œuvre au niveau international. Cette compétition nommée FVC (Finger-
doit fournir une évaluation de la probabilité, sous la forme d’un print Verification Competition) [4] regroupe des participants appar-
score, que ces jeux représentent la même empreinte. La tâche est tenant aussi bien à l’université qu’à l’industrie.
relativement complexe pour plusieurs raisons : certaines minuties La comparaison effective des minuties peut s’effectuer soit sur le
peuvent manquer, l’image de l’empreinte peut avoir tourné ou terminal de saisie de l’empreinte, soit sur une carte à puce, soit
avoir été translatée, de « fausses » minuties peuvent être apparues. également dans les deux dispositifs à la fois. Ces aspects seront
On essaie de mettre en relation toute paire de minuties (l’une développés dans le paragraphe 3.
appartenant au jeu de référence et l’autre au jeu d’essai) pour
déterminer le nombre d’entre elles qui rentrent en correspondance.
Le score final qui traduit la ressemblance des deux empreintes est
une fonction du nombre de minuties en correspondance et du
nombre de minuties total. On cherche à obtenir que l’implémentation
Référence
Extraction Comparaison
Image Score
des Minuties
initiale
Essai minuties
Figure 6 – Méthode de comparaison d’empreintes Figure 7 – Comparaison de deux empreintes d’un même doigt
109
H5530
LA B IOM ÉTRIE _________________________________________________________________________________________________________________________
2.1.4 Perspectives J. Daugman [6]. L’iris est la zone colorée visible entre le blanc de
l’œil et la pupille. Les stries apparentes ainsi que leur répartition
L’empreinte digitale représente déjà 50 % du marché de la bio- sont stables durant la vie de l’individu. Les observations et les tra-
métrie. Les projections à 10 ans prévoient une augmentation. Plu- vaux de biologie ont confirmé l’unicité de l’iris et sa stabilité, une
sieurs technologies sont en concurrence pour réaliser l’acquisition fois l’adolescence passée. L’iris n’est pas lié à l’ADN : les deux iris
de l’empreinte digitale. La plus répandue mais aussi la plus d’un même individu ou de jumeaux sont différents.
coûteuse s’appuie sur l’optique mais elle est concurrencée par une
Certaines maladies peuvent toutefois affecter l’apparence de
nouvelle génération de capteurs, aux dimensions réduites, dits
l’iris. Celui-ci offre la possibilité de détecter des tentatives de
capacitifs, qui enregistrent les modifications du champ électrique
fraude en raison de muscles en action permanente provoquant une
entre les crêtes et les vallées grâce à des puces de silicium bon
oscillation au niveau du diamètre de la pupille. Ce mouvement
marché. La menace des faux doigts en résine synthétique amène
peut être testé lors de l’acquisition de l’image de l’iris.
les industriels à développer sans cesse, dans le domaine des lec-
teurs d’empreintes, une palette très large de solutions susceptibles Alphonse Bertillon s’était déjà intéressé à cet organe dès 1893.
de sécuriser cette acquisition. Ce qui caractérise l’emploi des Deux ophtalmologues, Safir et Flom, brevetèrent le concept de
empreintes digitales, c’est leur facilité d’acquisition qui entraîne l’identification par l’iris en 1987. Ils ont créé en 1990 la société
une bonne acceptation de la part des utilisateurs, surtout Iriscan, propriétaire de l’algorithme de reconnaissance élaboré par
lorsqu’elle n’est pas associée à leur identité (cas des systèmes de J. Daugman de l’université de Cambridge. La figure 8 présente
contrôle d’accès qui travaillent sur les gabarits d’empreinte sans des images d’iris acquises respectivement en lumière visible et
faire le lien avec l’identité associée). Aucune difficulté particulière infrarouge. On remarque la meilleure qualité de l’infrarouge
n’est relevée pour placer un doigt sur le capteur qui procède à la (figure 8b ).
lecture de l’empreinte. Comme la procédure est simple, le taux Bien que de dimension réduite (11 mm de diamètre), la texture
d’erreur dans cette phase d’acquisition est faible. Toutes ces rai- de l’iris possède l’immense avantage de présenter une variabilité
sons expliquent le succès de cette modalité biométrique. considérable entre tous les individus.
2.2 Vérification par le visage 2.3.1 Système d’acquisition et de codage

Depuis son enfance, tout être humain a appris à reconnaître le
5
visage des personnes qui l’entourent. C’est pourquoi cette moda- Les algorithmes décrits par John Daugman à partir de 1993
lité nous apparaît comme tout à fait naturelle, d’autant plus que servent de base aux systèmes de reconnaissance d’iris disponibles
des photos ornent nos documents d’identité. Différents types au niveau commercial. Ils concernent le codage de la texture de l’iris
de caméras et d’appareils photo, de qualité et de coût variables, en une signature appelée iriscode et les traitements de comparaison
sont apparus sur le marché, permettant d’adapter la qualité des que l’on souhaite effectuer entre les iriscodes calculés. On se
images aux conditions d’usage. Pourtant, aujourd’hui, c’est contentera ici d’une description simplifiée du matériel employé et
seulement lorsque le sujet est fixe et que les conditions d’environ- des traitements mis en œuvre dans la reconnaissance d’iris.
nement sont standards (fond uniforme, éclairage suffisant) que les
systèmes informatiques donnent de bons résultats. Si l’acquisition ■ Acquisition de l’image de l’iris : la petite taille de l’iris impose des
a lieu en environnement naturel, sans contraintes imposées, les contraintes au niveau de l’acquisition : la caméra est située à une
performances se dégradent considérablement car les variations certaine distance, fixe, de l’œil et les conditions d’enregistrement
personnelles (lunettes, chapeaux, moustaches) ou environnemen- doivent être figées de manière stricte, en particulier pour éviter
tales (éclairement, éloignement) sont encore mal prises en compte
par les systèmes informatiques. Ainsi, les résultats des évaluations
proposées par le National Institute of Standards and Technology
(NIST) [5] sur les bases de données collectées lors du Facial
Recognition Vendor Test (FRVT) montrent que les systèmes
sont très sensibles aux variations d’illumination et de pose. C’est
certainement le domaine sur lequel la recherche va se concentrer
dans les années à venir, compte tenu d’une demande importante
du marché.
Schématiquement, les technologies s’appuient sur deux méthodes :
— la recherche des caractéristiques principales du visage (écart
entre les yeux, largeur de la bouche, triangle nez-bouche-yeux). A
priori, ces informations devraient être mesurables et relativement
insensibles aux variations personnelles ; a caméra CCD
— l’analyse globale de l’image du visage par des techniques sta-
tistiques.
L’identification fonctionnant sur la reconnaissance faciale, inté-
grée dans les systèmes de vidéosurveillance, permettra d’alerter
les opérateurs sur la reconnaissance dans l’image d’un individu
recherché et préalablement répertorié dans un serveur de base de
données. Un suivi de la personne ainsi identifiée, au moyen de
caméras situées sur son passage, pourra alors être envisagé. Il faut
toutefois noter que les premiers essais, avec la technologie
actuelle, de ce genre de système s’avèrent très décevants et loin de
pouvoir conduire à une utilisation réelle.
2.3 Photographie de l’iris b caméra infrarouge

L’identification par l’iris est une technique relativement récente
qui s’est développée dans les années 1980 grâce aux travaux de Figure 8 – Images d’un iris
110
H5535
Méthodes d’authentification
Description, usages et enjeux
par Pascal THONIEL

Conseil, formateur et expert en cybersécurité
Fondateur et directeur R&D de la société NTX Research SA, Paris, France
1. Authentification .................................................................................... H 5 535v2 - 2

2. Méhodes d’authentification associées aux usages ..................... — 16
3. Classification des méthodes d’authentification
suivant le critère de la sécurité......................................................... — 20
4. Enjeu de l’authentification sur Internet.......................................... — 24
5. Conclusion............................................................................................... — 28
6. Glossaire ..................................................................................................
Pour en savoir plus ........................................................................................
— 28
Doc. H 5 535v2
5
ue ce soit pour un accès à des réseaux locaux ou étendus, que ces
Q réseaux soient filaires, sans fil ou mixtes, en architecture client-serveur
ou répartie, l’authentification des objets connectés, des équipements, des ter-
minaux, des serveurs, des services en ligne et des hommes est nécessaire.
Tout ce qui concerne l’accès privé, c’est-à-dire le contrôle de la délivrance de
l’information, de la fourniture de ressources ou de services réservés à cer-
taines entités, passe par l’authentification.
Aujourd’hui comme hier, l’utilisation généralisée de la méthode d’authentifi-
cation par « identifiant-mot de passe » reste la règle. Or, il existe des attaques
nombreuses et efficaces contre cette méthode qui, de plus, devient lourde à
gérer pour l’utilisateur lui-même (multiplicité des mots de passe). Son usage
correspond par conséquent à une authentification dite faible.
Pourtant, la concrétisation d’une attaque réussie est lourde de conséquences.
L’usurpation d’identité permet à l’attaquant de bénéficier exactement des
mêmes droits et services que l’utilisateur légitime, mais de façon malveillante.
Or, les services en ligne offrent de plus en plus de possibilités aux utilisateurs, et
donc, a contrario, de plus en plus de pouvoir de nuisance aux usurpateurs
d’identité.
En cas d’attaque réussie par intrusion frauduleuse dans un système d’infor-
mation, soit par absence de contrôle des utilisateurs, soit par usurpation de
l’identité d’un utilisateur autorisé, les conséquences seront à la hauteur des
droits d’accès et d’action alloués à cet utilisateur (personne, programme ou
machine). L’enjeu est d’autant plus considérable que ces menaces qui pèsent
sur les particuliers, les entreprises, les organisations, les administrations et
leur système d’information sont bien réelles. Des affaires retentissantes s’en
font l’écho chaque mois dans la presse spécialisée et même généraliste.
Plus grave encore, toutes les tendances récentes de l’informatique au sens
large sont particulièrement concernées par la nécessité d’assurer l’authentifica-
tion. Je parle ici du Cloud, des systèmes industriels, smartgrids et SCADA, et
de l’Internet des Objets (IoT, Internet of Things).
L’authentification n’est donc pas une fonction de sécurité à négliger, bien au
contraire. Elle occupe une place centrale dans la cybersécurité d’aujourd’hui.
Copyright © – Techniques de l’Ingénieur – Tous droits réservés H 5 535v2 – 1
111
H5535
MÉTHODES D’AUTHENTIFICATION _____________________________________________________________________________________________________
l’application dans l’application elle-même ou dans un navigateur

1. Authentification internet.
Or, les procédures d’authentification classiques par identifiant et
mot de passe ne suffisent pas pour se protéger des attaques.
1.1 Définitions
Sur Internet comme sur les réseaux locaux, l’écoute de ligne est
• L’authentification est la fonction de sécurité qui consiste à l’attaque numéro un. L’écoute de ligne permet de récupérer facile-
apporter, d’une part, et à contrôler, d’autre part, la preuve de ment et pratiquement sans risque de détection, l’identifiant et le
l’identité d’une personne, d’un service, d’un serveur logique ou mot de passe que l’utilisateur envoie depuis son terminal aux ser-
physique, d’un équipement (électrique, électronique, informa- veurs Internet (ou locaux) lors d’une connexion légitime. Rien de
tique), d’un objet connecté, de l’émetteur d’un message ou de plus simple ensuite pour l’attaquant que de se connecter à son
l’éditeur d’un logiciel. tour en rejouant les mêmes valeurs et ainsi, de se faire passer pour
un utilisateur autorisé. Il s’agit là d’une usurpation d’identité.
En ce qui concerne l’authentification des personnes, la termino-
logie est la suivante : La deuxième catégorie d’attaque consiste à espionner, simuler,
copier ou voler le moyen d’authentification de l’utilisateur : ordina-
– s’identifier consiste à donner/délivrer son identité ; teur portable, smartphone, boîtier, carte ou clé électroniques.
– identifier une personne consiste à demander et obtenir son
identité ; La troisième concerne la récupération des éléments d’authentifi-
cation des utilisateurs (crédentiels) stockés du côté du serveur
– s’authentifier consiste à apporter/délivrer la preuve de son
d’authentification.
identité ;
– authentifier consiste à vérifier l’identité d’une personne en lui
demandant une preuve tangible de son identité, puis en validant
ou en invalidant cette preuve. Crédentiel (credential )
Il existe des notions connexes à l’authentification qui doivent Un crédentiel est une valeur numérique secrète (ou plu-
être comprises pour ne pas entraîner de confusion. sieurs) qui permet à l’utilisateur d’apporter la preuve de son
identité, comme un mot de passe, une empreinte de mot de
• L’autorisation correspond à l’allocation des droits d’accès passe, une clé cryptographique, un certificat, une table de
aux ressources du système d’information aux utilisateurs authenti-
5
codage (matrice), une représentation mathématique
fiés au préalable. d’empreinte digitale, etc. Le crédentiel est généralement stocké
• Le contrôle d’accès englobe les fonctions : sur un support physique d’authentification individuel côté utili-
sateur et dans une base de données des utilisateurs autorisés
– d’identification ; côté serveur.
– d’authentification ;
– d’autorisation ;
– de journalisation ou comptabilité (accounting, logs ). La quatrième catégorie est l’ingénierie sociale qui vise à tromper
la vigilance de l’utilisateur en l’amenant astucieusement à révéler
• La signature numérique, quant à elle, est une technique volontairement ses mots de passe, ses codes ou ses secrets, ou
cryptographique qui permet d’assurer l’intégrité d’un message ou bien encore à les deviner. En effet, les utilisateurs choisissent sou-
document et l’authentification de l’émetteur de ce message ou vent des mots de passe faibles (courts, simples, classiques) ou qui
document. leur correspondent (prénom des enfants, dates de naissance, nom
• Le SSO (Single Sign On ) ou « authentification une fois » du chien de la maison, nom de l’artiste ou du sportif préféré...) afin
n’est pas une fonction de sécurité comme on le croit souvent, mais de les retenir plus facilement.
un service de propagation de l’authentification valide d’un utilisa- Enfin, la cinquième est l’attaque dite « à force brute » qui
teur auprès d’applications multiples. Lorsque ces applications font consiste, par exemple, à essayer systématiquement et automati-
partie d’un même système d’information (ensemble régi par une quement tous les mots de passe possibles ou toutes les clés de
politique de sécurité commune), on parle de SSO intra-domaine. chiffrement jusqu’à trouver les bons. Comme les mots de passe
Lorsque ces applications font partie de systèmes d’information dif- utilisés sont souvent courts (moins de 8 caractères) et simples
férents (ensemble régi par des politiques de sécurité différentes), (lettres et chiffres), l’attaque à force brute est souvent très efficace.
on parle de SSO inter-domaine.
Le SSO diminue les contraintes et facilite la vie de l’utilisateur.
Le SSO renforce la sécurité lorsqu’un dispositif d’authentification 1.3 Facteurs d’authentification
forte remplace une multitude de couples identifiant-mot de passe. des personnes
Le SSO affaiblit la sécurité en ce qu’une usurpation d’identité réus-
sie par un pirate lui donne accès à l’ensemble des applications Les quatre facteurs d’authentification des personnes sont :
concernées. En effet, une seule authentification valide suffit pour
que l’utilisateur soit ensuite automatiquement authentifié auprès – ce que l’on est (la biométrie comme une empreinte digitale,
des autres applications. La propagation automatique d’une authen- palmaire, iris oculaire, voix, ADN...) ;
tification valide à l’ensemble des ressources disponibles ne favo- – ce que l’on possède (un support d’authentification physique
rise pas la protection par cloisonnement du système. Ce dernier comme une clé) ;
cas s’applique notamment lorsque c’est l’identité centrale de l’utili- – ce que l’on sait (un code, un mot de passe...) ;
sateur gérée par un fournisseur d’identité ou IDP (ID Provider ) qui – ce que l’on sait faire (une signature manuscrite).
est usurpée. La combinaison de deux facteurs au minimum est l’une des
conditions (mais pas la seule) d’une authentification forte.
L’authentification sera réputée forte s’il est difficile d’usurper
1.2 Principales attaques l’identité d’un utilisateur autorisé à qui l’on a fourni au préalable
contre l’authentification un moyen d’authentification. S’il est relativement facile pour un
attaquant de contourner, de biaiser, de tromper ou de casser le
La façon la plus simple et la plus utilisée par les utilisateurs pour procédé d’authentification, comme c’est le cas pour les couples
s’authentifier est la saisie d’un identifiant unique (pseudo, adresse identifiant-mot de passe, on parlera plutôt d’authentification
courriel...) et d’un mot de passe dans un formulaire présenté par faible.
H 5 535v2 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés
112
H5535
______________________________________________________________________________________________________ MÉTHODES D’AUTHENTIFICATION
Un mot de passe est associé à un identifiant. Un code (comme le théorie de traitement spécial. Par contre, les clés privées sont
code PIN de nos cartes à puce bancaires) est associé à un élément confidentielles et doivent rester secrètes. Afin d’éviter qu’un atta-
personnel. PIN est d’ailleurs l’acronyme de Personal Identification quant ne puisse utiliser la clé privée contenue dans un fichier,
Number. Le terme français utilisé est « code secret » (parfois celle-ci est souvent chiffrée avec un algorithme symétrique et un
« code confidentiel »). Un code d’accès n’est pas personnel, il est mot de passe : l’utilisateur doit saisir le bon mot de passe pour
associé à l’objet ou au lieu qu’il sécurise. Le même code d’accès pouvoir utiliser la clé privée, c’est-à-dire avant un déchiffrement ou
est commun à toutes les personnes autorisées. C’est le cas des une signature. Dans la pratique, même les clés publiques doivent
« digicodes » qui protègent l’accès de nos immeubles. faire l’objet d’un traitement spécial. L’appartenance de la clé
Le mot de passe à usage unique ou OTP (One-Time Password ) publique par son propriétaire légitime doit être certifiée par une
est un cas particulier. Une des principales attaques sur un réseau, autorité de certification, clé de voûte des IGCP (infrastructures de
qu’il soit local ou étendu, est l’écoute de ligne. Elle est facile à réa- gestion de clés publiques) plus connues sous le terme anglais de
liser, peu coûteuse et difficile à détecter. Tous les couples PKI (Public Key Infrastructure ).
identifiant-mot de passe qui sont envoyés depuis un terminal vers
un serveur peuvent être lus par un analyseur réseau, stockés et/ou 1.4.3 Tables de codages
envoyés à l’attaquant. Une fois en possession du précieux sésame,
l’attaquant n’a plus qu’à rejouer le même couple pour se faire pas- Les tables de codages sont des dictionnaires de caractères géné-
ser pour l’utilisateur légitime et ainsi usurper son identité. Que le rés de façon pseudo-aléatoire. Elles permettent d’authentifier les
mot de passe qui transite sur ce réseau soit haché ou chiffré ne utilisateurs en mode défi-réponse suivant le principe dit de la
change pas grand-chose à l’affaire. En effet, le mot de passe chiffré « bataille navale » : le défi correspond à des coordonnées de la
peut être lu, puis rejoué directement dans un paquet IP et sa valeur table tirées au hasard et la réponse correspond à la valeur trouvée
sera déchiffrée à l’arrivée par le serveur. L’attaquant ignore simple- dans la table aux coordonnées de ce défi.
ment la valeur en clair du mot de passe et ne peut donc pas la sai-
sir dans le formulaire d’authentification prévu à cet effet. Mais il Par exemple : si la valeur trouvée aux coordonnées A8 de la table
peut quand même forger un paquet IP avec le cryptogramme (la est W, alors W est le mot de passe à usage unique qui correspond à
valeur chiffrée) du mot de passe et tromper le serveur. Par contre, ce défi particulier A8.
si le mot de passe utilisé est généré ou calculé à chaque fois, sa
valeur n’est pas réutilisable pour la transaction suivante. La récu- Lors de la prochaine transaction, un nouveau défi sera généré
5
pération de ce mot de passe par l’attaquant lors de la transaction (nouvelles coordonnées) et donc une nouvelle réponse sera calcu-
en cours ne lui est plus d’aucune utilité. C’est pourquoi on parle de lée (valeur(s) trouvée(s) dans la table à ces coordonnées) et ainsi
« mot de passe à usage unique ». de suite. Les tables de codage permettent également de chiffrer
des clés de session de façon probabiliste, c’est-à-dire que le cryp-
togramme d’une même clé sera différent d’une fois sur l’autre,
1.4 Principes cryptographiques même si la table de codage et le code secret utilisés sont les
mêmes.
La cryptographie sert de base aux méthodes d’authentification.
Les principes cryptographiques utilisés permettent de distinguer
les différentes méthodes.
1.5 Protocoles d’authentification
Les trois principes cryptographiques sont :
– l’algorithmie symétrique ;
1.5.1 Liste des protocoles d’authentification
– l’algorithmie asymétrique ;
– les tables de codage. Il existe de nombreux protocoles d’authentification.
Les acronymes les plus souvent rencontrés sont :
1.4.1 Algorithmie symétrique – PAP (Password Authentication Protocol ) est le protocole clas-
sique avec utilisation d’un mot de passe statique ;
L’algorithmie symétrique (aussi appelée « chiffrement à clé
– CHAP (Challenge Handshake Authentication Protocol ) désigne
secrète partagée ») [H 5 210] consiste à utiliser la même clé pour le
le protocole défi-réponse où le défi envoyé est un nombre aléa-
chiffrement et le déchiffrement. Le chiffrement consiste à appliquer
toire et la réponse dépend d’un mot de passe ;
une opération (algorithme) sur les données à chiffrer à l’aide de la
– MSCHAP est la version CHAP de Microsoft pour ses réseaux
clé secrète, afin de les rendre inintelligibles sous la forme d’un
Windows ;
cryptogramme. Cette opération est réversible pour permettre le
déchiffrement par les personnes qui détiennent cette clé secrète. À – S/Key (Sequence Key ) désigne les OTP générés dynamique-
l’issue du déchiffrement, le texte original ou texte en clair est de ment par une succession séquentielle de hachages à sens unique
nouveau lisible. d’un secret d’origine appelé « graine » (ou seed en anglais) ;
– HTTP Basic Authentication désigne le protocole PAP sur HTTP ;
L’algorithme symétrique actuellement le plus utilisé pour chiffrer – HTTP Digest Authentication est le PAP avec hachage à sens
les données est l’AEA (Advanced Encryption Algorithm ), plus unique sur HTTP, avec ou sans chiffrement SSL ;
connu sous le nom d’AES (Advanced Encryption Standard ). – TLS (Transport Layer Security ) anciennement SSL (Secure
Sockets Layer ) est le protocole utilisé pour assurer la confidentia-
1.4.2 Algorithmie asymétrique lité des échanges (HTTPS, FTPS, POPS...) avec un « s » pour
secure. Ce protocole peut aussi être utilisé pour authentifier les
L’algorithmie asymétrique [H 5 210] utilise une paire de clés serveurs à l’aide d’un certificat serveur (facile et répandu). Il peut
(publique et privée). Cette paire de clés est utilisée dans le cadre aussi être utilisé pour authentifier les utilisateurs à l’aide d’un cer-
du chiffrement asymétrique et de la signature numérique. Elles tificat utilisateur (peu répandu). Le protocole TLS version 1,
sont appariées : pour le chiffrement asymétrique, la clé privée per- authentification par certificat, correspond à SSLv3 (version 3) ;
met de déchiffrer des messages chiffrés avec la clé publique – EAP-* (Extensible Authentication Protocol ). Dans un environ-
correspondante ; pour la signature, la clé publique permet de véri- nement 802.1X [TE 7 377], EAP est un protocole générique qui ne
fier la signature calculée grâce à la clé privée correspondante. Les fait qu’indiquer que les données transportées dans le protocole
paires de clés sont générées ensemble, grâce à un calcul dépen- sont des données utiles à l’authentification. Ces données sont for-
dant de l’algorithme utilisé (RSA, ECC...). Les clés publiques matées selon la méthode EAP choisie. Ainsi EAP permet de déter-
peuvent (et doivent) être divulguées, et n’ont donc pas besoin en miner quelle méthode d’authentification est utilisée ;
113
H5535
– LEAP (Lightweight EAP ) est une solution propriétaire proposée norme 802.11i et nécessite une évolution du matériel. AES-CCMP
par CISCO et choisie par d’autres fournisseurs en raison de sa faci- est considéré comme plus sûr que RC4-TKIP. C’est le WPA2 en
lité d’implémentation sur les équipements 802.11. Il s’agit d’une mode clé partagée avec chiffrement CCMP (basé sur AES). Il a ten-
authentification mutuelle à base de mot de passe avec hachage à dance à se généraliser pour les usages professionnels ;
sens unique ; – SASL (Simple Authentication and Security Layer ) ajoute le
– EAP-MD5 (EAP-Message Digest 5 ) est un protocole support de l’authentification aux protocoles basés sur la
défi-réponse à base de mot de passe avec hachage à sens unique. connexion ;
Il n’authentifie pas le serveur ; – WS-Security (Web Services ) assure l’intégrité, la confidentialité
– EAP-TLS est une authentification mutuelle basée sur SSL. Elle et l’authentification de la source des messages SOAP (plusieurs
utilise les certificats serveur et clients et intègre la génération architectures cryptographiques supportées) ;
dynamique et la distribution de clés symétriques pour la confiden- – GSSAPI (Generic Security Service Application Program
tialité des échanges ultérieurs ; Interface ) décrit de façon très générique la fourniture de services
– EAP-TTLS (EAP-Tunneling TLS ) est une authentification du ser- de sécurité à des applications ;
veur avec un certificat serveur, authentification du client avec PAP, – Kerberos est le protocole d’authentification qui assure le plus
CHAP ou MS-CHAPv2. Elle intègre la génération dynamique de une fonction de SSO dans un environnement distribué. Il est né
clés symétriques ; dans le monde Unix et a été adopté ensuite par Microsoft depuis
– EAP-SIM (EAP-Subscriber Identity Module ) est une authentifi- Windows 2000.
cation mutuelle utilisant la puce SIM de l’environnement GSM Nota : 2e génération (2G), 3e génération (3G).
(2G). Elle intègre la génération dynamique de clés symétriques ;
– EAP-AKA (EAP-Authentication and Key Agreement ) est une
authentification mutuelle qui utilise la puce SIM de l’environne- 1.5.2 Protocoles d’authentification
ment UMTS (3G), reste compatible avec l’environnement GSM par mot de passe statique
(2G) et intègre la génération dynamique de clés symétriques ;
Afin de rendre les choses plus concrètes, étudions quelques-uns
– WEP (Wired Equivalent Privacy ) est utilisé pour authentifier un
de ces protocoles.
équipement dans les réseaux locaux sans fil (802.11) ;
– WPA (Wi-Fi Protected Access) est le successeur du WEP avec
une meilleure sécurité, il utilise le protocole RC4-TKIP (Temporal 1.5.2.1 Protocole du mot de passe statique en clair
5
Key Integrity Protocol ). RC4-TKIP est utilisé pour l’échange de clé, Comme le montre la figure 1, l’utilisateur demande tout d’abord
afin de chiffrer et déchiffrer les messages entre le client et le point à accéder à une ressource (0). Le terminal prend en charge cette
d’accès. C’est le WPA en mode clé partagée (PSK) avec le chiffre- demande et contacte le serveur (1). Le serveur vérifie si la res-
ment TKIP ; source demandée est libre ou protégée (2). Si la ressource est pro-
– WPA2 utilise le protocole AES-CCMP (Advanced Encryption tégée (c’est-à-dire accessible seulement aux utilisateurs autorisés)
Standard-Counter mode with CBC Mac Protocol ). Il correspond à la alors le serveur envoie au terminal un formulaire d’identification
Utilisateur Terminal Serveur
(0) Action d’accès à une ressource
(1) Demande d’accès à une ressource
(2) Accès à la ressource protégée ?
(3.1) Si NON : Envoi de la ressource demandée
(+) Consommation de la ressource : FIN
(3.2) Si OUI : Demande d’identification
(4) Saisie ID + MDP
(5) Envoi ID + MDP
(6) ID existe dans la base des utilisateurs autorisés ?
(7.1) Si NON : Message = Erreur d’identification > retour vers 3.2
(7.2) Si OUI : MDP reçu = MDP stocké dans la base ?
(8.1) Si NON (MDP = KO) : Message = Erreur d’authentification > retour vers 3.2
(8.2) Si OUI (MDP = OK) : Message = Authentification réussie
(9) (OUI) : Envoi de la ressource demandée
(+) Consommation de la ressource : FIN ID : IDentifiant

MDP : Mot De Passe
Figure 1 – Schéma PAP du processus d’authentification par mot de passe statique en clair
114
H5535
______________________________________________________________________________________________________ MÉTHODES D’AUTHENTIFICATION
(3.2). L’utilisateur saisit son identifiant et son mot de passe dans le dans la base des utilisateurs autorisés (figure 3). Mais l’écoute de
formulaire et clique sur le bouton « Envoi » (4) pour que le termi- ligne en (6) permet également le rejeu par un envoi direct de (6),
nal communique les éléments au serveur (5). Le serveur vérifie les sans passage par l’étape (4).
valeurs identifiant et mot de passe (crédentiels) dans la base de
données des utilisateurs autorisés (6 et 7.2). Le serveur envoie un 1.5.2.4 Protocole du mot de passe statique chiffré
message au terminal pour informer l’utilisateur que son authentifi- par une session TLS-SSL
cation a réussi ou a échoué (8.1 ou 8.2). En cas d’authentification
réussie (7.2 et 8.2), le serveur délivre la ressource au terminal sui- C’est encore, à l’heure actuelle, le moyen d’authentification le
vant les droits propres à l’utilisateur (9). plus utilisé en France pour consulter son compte bancaire en ligne
et y effectuer quelques opérations. La sécurité n’est malheureuse-
C’est à l’heure actuelle le moyen d’authentification le plus utilisé ment que moyenne.
dans le monde. La sécurité est faible. Par exemple, il est plutôt
facile pour une personne malveillante ou tout simplement curieuse Le cadenas qui s’affiche dans votre navigateur pour indiquer que
de se connecter sur certaines messageries Internet de type web- vous êtes dans une session HTTP sécurisée (HTTPS) est un vrai
mail et de lire votre correspondance. gage de sécurité concernant la confidentialité des échanges, mais
cette sécurité n’est pas à toute épreuve pour ce qui concerne
1.5.2.2 Protocole du mot de passe statique chiffré l’authentification du serveur. De plus, l’authentification de l’utilisa-
teur n’est pas garantie non plus. En effet, le mot de passe statique
Cette fois-ci, ce n’est pas le mot de passe fourni par l’utilisateur de l’utilisateur est chiffré sur son terminal avec la clé publique du
qui transite sur le réseau, mais le mot de passe chiffré. L’algo- serveur, récupérée lors de l’exécution du protocole. Le serveur est
rithme de chiffrement utilisé est établi de façon concertée entre le alors le seul à détenir la clé privée correspondante capable de
terminal et le serveur (figure 2). déchiffrer correctement ce mot de passe. Mais rien n’empêche un
Du point de vue de la sécurité, les mots de passe ne sont pas pirate de rejouer cette séquence (le mot de passe chiffré) après
stockés en clair sur le serveur dans la base des utilisateurs autori- une écoute de ligne. Il sera correctement déchiffré à l’arrivée par le
sés. Mais l’écoute de ligne en (6) permet le rejeu par un envoi serveur qui validera l’authentification. Pour que la sécurité soit
direct de (6) après écoute, même si (4) n’est pas possible. assurée, il faut faire varier un paramètre de l’équation à chaque
transaction afin que le cryptogramme du même mot de passe
change d’une fois sur l’autre et empêche le rejeu.
1.5.2.3 Protocole du mot de passe statique haché
Dans ce cas, c’est l’empreinte (hash ) du mot de passe statique
qui transite sur le réseau.
1.5.3 Protocoles d’authentification
par mot de passe à usage unique
5
Du point de vue de la sécurité, les empreintes des mots de passe
sont stockées à la place des mots de passe en clair sur le serveur Quelques-uns de ces protocoles sont présentés ci-après.

(4) Saisie ID + MDP
(5) Calcul de E(MDP) avec DES, 3DES, AES, Blowfish, IDEA... et la clé secrète K de l’utilisateur
(6) Envoi ID + E(MDP)

Avec la clé secrète K de (8.2) Si OUI : calcul de D(E(MDP) reçu) = MDP

l’utilisateur stockée dans la base puis comparaison avec D(E(MDP) stocké dans la base) = MDP’
(9.1) Si KO (MDP < > MDP’) : Message = Erreur d’authentification > retour vers 3.2
(9.2) Si OK (MDP = MDP’) : Message = Authentification réussie
(10) (OK) : Envoi de la ressource demandée

ID : IDentifiant
MDP : Mot De Passe
E : fonction de chiffrement
D : fonction de déchiffrement
Figure 2 – Schéma PAP du processus d’authentification par mot de passe statique chiffré
115
H5535


(4) Saisie ID + MDP
(5) Calcul de H(MDP) avec MDS, SHA, RIPE-MD…
(6) Envoi ID + H(MDP)

(8.2) Si OUI : H(MDP) reçu = H(MDP) stocké dans la base ?
(9.1) Si NON (MDP = KO) : Message = Erreur d’authentification > retour vers 3.2
(9.2) Si OUI (MDP = OK) : Message = Authentification réussie
(10) (OUI) : Envoi de la ressource demandée
5 (+) Consommation de la ressource : FIN ID : IDentifiant

MDP : Mot De Passe
H : Fonction de hachage à sens unique
Figure 3 – Schéma PAP du processus d’authentification par mot de passe statique haché à sens unique
1.5.3.1 Protocole du mot de passe Si le mot de passe n’est valable qu’une seule fois, écouter la
à usage unique dynamique ligne pour le rejouer par la suite n’est plus d’aucune utilité. Le ser-
veur attend un nouveau mot de passe à chaque transaction (7.2 et
Le calcul d’un mot de passe à usage unique – ou OTP (One-Time
8, figure 5).
Password ) – peut se faire dynamiquement par synchronisation
temporelle (date-heure du système) ou événementielle (compteur
du numéro de l’authentification). 1.5.3.2 Protocoles du mot de passe à usage unique
en mode défi-réponse
La semence (figure 4) correspond au secret initial propre à Le calcul d’un mot de passe à usage unique peut également se
chaque utilisateur, à la graine (seed ). Le nombre de séquences, n, faire en mode défi-réponse. À chaque transaction, un nouveau défi
correspond au nombre d’authentifications déjà réalisées. À chaque est généré de façon pseudo-aléatoire par le serveur. La réponse
nouvelle séquence, un nouvel OTP est calculé. calculée dépend bien évidemment du défi et change donc à
chaque fois. C’est un mot de passe à usage unique.
Le protocole défi-réponse peut être opéré par du chiffrement
symétrique, comme le montre la figure 6. Le serveur peut traiter
Semence Mot de passe trois niveaux d’authentification de l’utilisateur. Le serveur retour-
utilisateur nera la ressource demandée, soit par la fourniture du simple iden-
tifiant ID de l’utilisateur (8), soit par la fourniture d’un identifiant ID
et d’un mot de passe (8.1), soit par la fourniture d’un mot de passe
Fonction de préparation complété par un échange défi-réponse où le défi se trouve chiffré
avec la clé partagée.
n fois (n = nombre Le protocole défi-réponse peut aussi être opéré par du chiffre-
de séquences) ment asymétrique, comme exposé à la figure 7.
Hachage (MD4 ou MD5)
Les trois niveaux sont toujours considérés par le serveur. Le plus
élevé consiste à chiffrer le défi avec la clé privée de l’utilisateur
« Kpri ». Le serveur n’a plus qu’à vérifier que le déchiffrement de la
Formatage 64 bits → ASCII réponse fournie avec la clé publique de l’utilisateur « Kpub » abou-
tit bien au même défi.
La sécurité est renforcée car il n’y a pas de secret partagé entre
l’utilisateur et le serveur. L’utilisateur possède Kpri. Le serveur uti-
OTP
lise Kpub (certificat ITU-T X.509).
Enfin, le protocole défi-réponse peut être opéré par des tables de
Figure 4 – Génération dynamique d’un OTP à partir d’un secret codage, avec ou sans code secret associé aux tables, comme
utilisateur (synchronisation sur le nombre d’authentifications) exposé à la figure 8.
116
H5065
Signature électronique eIDAS

par Nicolas MAGNIN
Juriste spécialiste de la SSI
1. Exigences du nouveau règlement eIDAS.............................................. H 5 065 - 2

1.1 Identification électronique.............................................................................. — 2
1.1.1 Définitions............................................................................................... — 2
1.1.2 Niveaux de garantie............................................................................... — 3
1.1.3 Reconnaissance mutuelle...................................................................... — 5
1.2 Interopérabilité ................................................................................................ — 6
1.2.1 Critères d’interopérabilité...................................................................... — 6
1.2.2 Acteurs de l’interopérabilité.................................................................. — 6
1.3 Services de confiance ..................................................................................... — 7
1.3.1 Signatures et cachets............................................................................. — 7
1.3.2 Horodatage ............................................................................................. — 9
1.3.3 Envoi recommandé électronique.......................................................... — 9
1.3.4 Authentification de sites internet.......................................................... — 10
2. Règlement eIDAS en France..................................................................... — 10
2.1 Direction interministérielle du numérique et du système d’information
et de communication de l’État (DINSIC)........................................................
2.1.1 FranceConnect........................................................................................
2.1.2 FranceConnect et eIDAS........................................................................
—
—
—
10
11
11
5
2.2 Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) ....... — 12
2.2.1 Définition des modalités de qualification ............................................ — 12
2.2.2 Évaluation technique ............................................................................. — 12
2.2.3 Qualification des prestataires de confiance......................................... — 13
2.2.4 Listes de confiance................................................................................. — 13
3. Conclusion..................................................................................................... — 13
Pour en savoir plus .............................................................................................. Doc. H 5 065
a signature électronique est entrée dans le Code civil en l’an 2000 avec
L l’article 1316-1. Pour la première fois, l’écrit électronique se voyait recon-
naître la même valeur que l’écrit scriptural sur support papier. (Depuis
mars 2017, l’art 1316-1 est devenu l’article 1366 du Code civil).
Cette entrée faisait suite à l’adoption et à l’entrée en vigueur de la directive
européenne n° 1999/93/CE du 13 décembre 1999.
Cette directive avait pour but de lever les incertitudes juridiques et tech-
niques et de donner une valeur à la signature électronique.
Outre la reconnaissance juridique de la signature électronique, les États
Membres ont mis en place un cadre pour promouvoir la signature électronique.
Celle-ci est en effet présumée fiable lorsqu’elle est créée avec un dispositif
sécurisé de création de signature électronique et qu’elle utilise un certificat de
signature qualifié.
Cette présomption de fiabilité donne un caractère authentique à la signature.
La fiabilité du procédé de signature électronique utilisé est présumée. Le signa-
taire n’aura alors rien à prouver, mais ne pourra pas non plus répudier sa
signature, ce qui constitue une garantie pour son cocontractant.
En revanche, si ce dernier entend contester la validité de la signature, ce sera
à lui qu’il incombera de prouver que le procédé utilisé n’est pas fiable et une
expertise sera nécessaire pour apporter cette preuve.
Les objectifs du dispositif de la directive étaient doubles. D’une part aug-
menter la confiance dans les échanges électroniques, d’autre part favoriser le

développement des fournisseurs de produits de sécurité.
Copyright © – Techniques de l’Ingénieur – Tous droits réservés H 5 065 – 1
117
H5065
SIGNATURE ÉLECTRONIQUE EIDAS _____________________________________________________________________________________________________
Cette directive a atteint ses buts. En effet, la signature électronique a pu se

développer dans ce cadre réglementaire.
Les Notaires ont mis en place une infrastructure et les outils de signature
qualifiés pour signer les nombreux actes qu’ils produisent.
L’administration fiscale a également lancé un service de déclaration des
revenus en ligne en 2004. Les premières années, l’authentification du contri-
buable et la signature de la déclaration reposaient sur un certificat numérique.
Mais en 2009, le certificat fut abandonné au profit d’un système d’identifiant et
de mot de passe. L’identifiant retenu est le numéro fiscal de référence.
C’est ce dispositif qui supporte aujourd’hui la généralisation de la déclaration
des revenus en ligne.
Ainsi des applications ont vu le jour, mais malheureusement et malgré le
caractère révolutionnaire de la reconnaissance de la signature électronique,
l’engouement pour ce nouveau mode de conclusion des contrats a été modéré.
Cependant d’autres objectifs ont été atteints, notamment des produits et des
prestataires de services de sécurité ont pu se développer. Dès lors on peut dire
que les outils et les acteurs étaient prêts pour affronter de nouveaux défis.
Le législateur européen a en effet examiné les résultats produits par la Directive
n° 1999/93/CE du 13 décembre 1999, et a estimé, en 2012, qu’il était temps de ren-
forcer la coopération européenne en matière de transaction électronique.
La voie du règlement européen a cette fois été choisie aux dépens de la
5 directive, et ce afin de rendre effective l’application de cette nouvelle régle-
mentation plus rapidement. Il faut dire qu’entre 1999 et 2012, pas moins de
13 nouveaux états ont rejoint l’Union Européenne, ce qui nécessite plus
de temps pour transposer une directive dans 28 états. En effet, une directive
nécessite une transposition dans la législation de chaque État Membre, alors
que le règlement est d’application directe. On sait d’expérience qu’une
transposition peut prendre entre 2 et 5 ans, ce qui repousse d’autant l’entrée
en vigueur effective de la directive. En choisissant le règlement, l’entrée en
vigueur intervient à la même date dans l’ensemble de l’Union Européenne.
Avec le règlement n° 2014/910 adopté le 23 juillet 2014, l’entrée en vigueur
est intervenue de façon uniforme dans tous les pays de l’Union Européenne le
17 septembre 2014, et sa prise d’effets concrets a eu lieu le 1er juillet 2016.
Ce nouveau règlement s’est fixé comme objectifs de :
– rendre interopérables les différents systèmes nationaux d’identification
électronique ;
– augmenter la confiance dans les échanges et les transactions électroniques ;
– renforcer et uniformiser la sécurité juridique attachée à la signature
électronique.
Il convient d’examiner les exigences et les principes du règlement eIDAS
avant d’évoquer sa mise en œuvre en France.
1. Exigences du nouveau 1.1.1 Définitions

Identification électronique : le processus consistant à utiliser des
règlement eIDAS données d’identification personnelle sous une forme électronique
représentant de manière univoque une personne physique ou
Le règlement eIDAS fixe une série d’exigences comme autant morale, ou une personne physique représentant une personne
de principes. morale.
Données d’identification personnelle : un ensemble de données
permettant d’établir l’identité d’une personne physique ou morale,
1.1 Identification électronique ou d’une personne physique représentant une personne morale.
Moyen d’identification électronique : un élément matériel et/ou
Fort opportunément, le règlement donne une série de définitions immatériel contenant des données d’identification personnelle et
qui permettent de fixer les cinq concepts clés de l’identification. utilisé pour s’authentifier pour un service en ligne.
H 5 065 – 2 Copyright © – Techniques de l’Ingénieur – Tous droits réservés
118
H5065
_____________________________________________________________________________________________________ SIGNATURE ÉLECTRONIQUE EIDAS
Schéma d’identification électronique : un système pour l’identifi- En France, la carte à puce pourrait être privilégiée compte tenu
cation électronique en vertu duquel des moyens d’identification du savoir-faire national dans ce domaine. Cependant, on ne peut
électronique sont délivrés à des personnes physiques ou morales, pas s’interdire l’emploi d’autres moyens comme le téléphone
ou à des personnes physiques représentant des personnes mobile. Par ailleurs le déploiement d’un schéma d’identification
morales. électronique peut être l’occasion de diffuser de nouveaux docu-
ments officiels d’identité lesquels intégreront une puce électro-
Authentification : un processus électronique qui permet de nique permettant de se connecter au schéma. Enfin le moyen
confirmer l’identification électronique d’une personne physique d’identification peut aussi être installé sur plusieurs supports en
ou morale, ou l’origine et l’intégrité d’une donnée sous forme même temps.
électronique.
Quelle que soit la technologie mise en œuvre pour le moyen
On voit que les points de départ de l’identification électronique sont d’identification, ce dernier doit atteindre l’un des trois niveaux de
les données d’identification personnelle. L’État Membre ou la per- garantie définis par le règlement.
sonne chargée de mettre en place un schéma d’identification électro-
nique est libre de déterminer les données qui seront utilisées par le
moyen d’identification électronique. Cependant, toutes les données 1.1.2 Niveaux de garantie
personnelles ne pourront pas être utilisées car il s’agit là d’identifier la L’article 8 du règlement eIDAS leur est entièrement consacré.
personne de façon certaine. Ainsi un profil sur un réseau social ou
des données de géolocalisation, ne seront vraisemblablement pas Le règlement prévoit trois niveaux de garantie pour les schémas
suffisants pour établir l’identité d’une personne. d’identification électronique : faible, substantiel et élevé.
L’article 8 du règlement eIDAS énonce 6 éléments de référence
Si le schéma d’identification électronique est mis en œuvre par un qui permettent de différencier les niveaux de garantie :
État, il est très probable que l’identification personnelle s’appuiera 1/ la procédure visant à prouver et vérifier l’identité des personnes
sur des pièces d’identité officielles attestant la citoyenneté de la physiques ou morales demandant la délivrance de moyens d’iden-
personne. tification électronique ;
Néanmoins, d’autres données pourront être utilisées en plus des 2/ la procédure de délivrance des moyens d’identification électro-
données officielles de citoyenneté. En effet, le règlement eIDAS nique demandés ;
permet par exemple l’utilisation de pseudonymes à l’article 5-2. Un 3/ le mécanisme d’authentification au moyen duquel la personne
physique ou morale utilise le moyen d’identification électronique
5
pseudonyme pourra soit s’ajouter aux données officielles soit en
faire partie intégrante en fonction de la façon dont sont reconnus pour confirmer son identité à une partie utilisatrice ;
ces pseudonymes dans la législation de l’État Membre. 4/ l’entité délivrant les moyens d’identification électronique ;
5/ tout autre organisme associé à la demande de délivrance de
Le moyen d’identification électronique contiendra les données moyens d’identification électronique ;
d’identification personnelles. Le règlement évite de le définir afin 6/ et les spécifications techniques et de sécurité des moyens
de laisser le choix du schéma d’identification électronique au d’identification électronique délivrés.
maître d’œuvre ou à l’État Membre. Cependant, c’est le règlement d’exécution 2015/1502 du
Il peut très bien se résumer à un login et mot de passe si le niveau 8 septembre 2015, qui affine ces trois niveaux de garantie
de garantie prévu par l’article 8 du règlement eIDAS est atteint. (Tableau 1).
Tableau 1 – Niveaux de garantie, tels que définis par le règlement d’exécution 2015/1502
du 8 septembre 2015
Niveau de garantie faible Niveau de garantie substantiel Niveau de garantie élevé
Demande La demande doit permettre Identique niveau faible Identique niveau faible
et enregistrement de recueillir les données d’identité
et d’informer le demandeur
des conditions d’utilisation
du moyen d’identification
électronique
Preuve et vérification Le demandeur est présumé En plus du niveau faible, En plus du niveau substantiel,
d’identité posséder un élément l’élément d’identification l’élément d’identification
des personnes d’identification authentique est vérifié. Il doit se rapporter doit comporter un élément
physiques et reconnu dans un État Membre. à une personne réelle. biométrique ou photographique
L’identité du demandeur Des mesures doivent être prises reconnu par l’État Membre
est présumée pour limiter le risque d’usurpation. qui reçoit la demande de moyen
Ou, une pièce d’identité est exigée d’identification électronique.
et vérifiée. L’élément est vérifié
Si un élément d’identification matériellement et auprès
ou un moyen d’identification d’une l’autorité de délivrance.
de niveau substantiel a déjà Si un élément d’identification
été délivré au demandeur ou un moyen d’identification
dans un autre État Membre, de niveau substantiel a déjà
alors il n’est pas nécessaire été délivré au demandeur
de procéder à la vérification dans un autre État Membre,
de la pièce d’identité alors il n’est pas nécessaire
de procéder à la vérification
de la pièce d’identité
Copyright © – Techniques de l’Ingénieur – Tous droits réservés H 5 065 – 3
119
GAGNEZ DU TEMPS ET SÉCURISEZ VOS PROJETS
EN UTILISANT UNE SOURCE ACTUALISÉE ET FIABLE
Techniques de l’Ingénieur propose la plus importante

collection documentaire technique et scientifique
en français !
Grâce à vos droits d’accès, retrouvez l’ensemble
des articles et fiches pratiques de votre offre,
leurs compléments et mises à jour,
et bénéficiez des services inclus.
   
RÉDIGÉE ET VALIDÉE MISE À JOUR 100 % COMPATIBLE SERVICES INCLUS
PAR DES EXPERTS PERMANENTE SUR TOUS SUPPORTS DANS CHAQUE OFFRE
NUMÉRIQUES
 + de 350 000 utilisateurs

 + de 10 000 articles de référence
 + de 80 offres
 15 domaines d’expertise
Automatique - Robotique Innovation
Biomédical - Pharma Matériaux
Construction et travaux publics Mécanique
Électronique - Photonique Mesures - Analyses
Énergies Procédés chimie - Bio - Agro
Environnement - Sécurité Sciences fondamentales
Génie industriel Technologies de l’information
Ingénierie des transports
Pour des offres toujours plus adaptées à votre métier,

découvrez les offres dédiées à votre secteur d’activité
Depuis plus de 70 ans, Techniques de l’Ingénieur est la source

d’informations de référence des bureaux d’études,
de la R&D et de l’innovation.
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com
LES AVANTAGES ET SERVICES
compris dans les offres Techniques de l’Ingénieur
  
ACCÈS
Accès illimité Téléchargement des articles Consultation sur tous

aux articles en HTML au format PDF les supports numériques
Enrichis et mis à jour pendant Pour un usage en toute liberté Des contenus optimisés
toute la durée de la souscription pour ordinateurs, tablettes et mobiles
 
SERVICES ET OUTILS PRATIQUES
Questions aux experts* Articles Découverte Dictionnaire technique multilingue

Les meilleurs experts techniques La possibilité de consulter des articles 45 000 termes en français, anglais,
et scientifiques vous répondent en dehors de votre offre espagnol et allemand
 
Archives Impression à la demande Alertes actualisations
Technologies anciennes et versions Commandez les éditions papier Recevez par email toutes les nouveautés
antérieures des articles de vos ressources documentaires de vos ressources documentaires
*Questions aux experts est un service réservé aux entreprises, non proposé dans les offres écoles, universités ou pour tout autre organisme de formation.
ILS NOUS FONT CONFIANCE
CONTACT : Tél. : + 33 (0)1 53 35 20 20 - Fax : +33 (0)1 53 26 79 18 - E-mail : infos.clients@teching.com
Powered by TCPDF (www.tcpdf.org)

Extrait 42314210

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Extrait 42314210

Transféré par

Droits d'auteur :

Formats disponibles

T E C H N O LO G I E S D E L' I N F O R M AT I O N

Ti440 - Sécurité des systèmes d'information

Réf. Internet : 42314 | 2nde édition

Actualisation permanente sur

Une information fiable, claire et actualisée

Les meilleurs experts techniques et scientifiques

Une collection 100 % en ligne

Des services associés

 Des services associés

Cryptographie, authentification, protocoles de sécurité, VPN Réf. Internet : 42314

Sécurité des SI : services et applications Réf. Internet : 42315

Attaques et mesures de protection des SI Réf. Internet : 42313

dont les exper ts scientifiques sont :

Mohammed ACHEMLAL Pierre-Alain FOUQUE Jean LEROUX LES JARDINS

Mohamad BADRA Fabien GALAND Nicolas MAGNIN

Ali BENFATTOUM Stéphane GRELLIER Sarah NATAF

Aymen BOUDGUIBA Isabelle GUÉRIN-LASSOUS Thomas NOËL

Yacine CHALLAL Claudine GUERRIER Philippe PROUST

Hakima CHAOUCHI Patrick GUILLEMIN Wilfrid RABOT

Jean-Michel COMBES Ibrahim HAJJEH Gérard RIBIÈRE

Bernadette DORIZZI Abdelkader LAHMADI Cyril TESSEREAU

Michel DUDET Philippe LAMADELAINE Pascal THONIEL

Ethmane EL MOUSTAINE Maryline LAURENT Daniel TREZENTOS

1– Cryptographie et stéganographie Réf. Internet page

Cryptographie appliquée H5210 11

Distribution quantique de clés cryptographiques DQC H5214 15

Introduction à la stéganographie H5870 19

Cartes à puces. Technologie et cybersécurité E3440 25

2– Protocoles de sécurité Réf. Internet page

Protocoles SSL/TLS H5230 33

Le protocole SSH H5235 37

SecSIP : un environnement de protection pour la voix sur IP IN130 47

Sécurité IPv6. Adressage et auto-configuration TE7506 49

3– Technologies de VPN Réf. Internet page

Technologies VPN H5610 57

Technologies VPN SSL H5240 59

VPN MPLS IPv6 TE7590 61

Suite de protocoles IPsec au service des VPN et de la mobilité TE7545 65

4– Réseaux sans fil Réf. Internet page

Les réseaux sans fil et la sécurité IN77 71

Standard pour réseaux sans fil : IEEE 802.11 TE7375 73

Evolution du standard pour réseaux sans fil : IEEE 802.11 TE7376 77

Systèmes et techniques RFID . Risques et solutions de sécurité H5325 87

La technologie NFC : principes de fonctionnement et applications S8650 91

Sécurité des Réseaux de Capteurs sans Fil H5390 95

5– Authentification des utilisateurs et des machines Réf. Internet page

Certification électronique H5510 101

La biométrie. Techniques et usages H5530 105

Méthodes d'authentification. Description, usages et enjeux H5535 111

Signature électronique eIDAS H5065 117

Cryptographie appliquée H5210 11

Distribution quantique de clés cryptographiques DQC H5214 15

Introduction à la stéganographie H5870 19

Cartes à puces. Technologie et cybersécurité E3440 25

4– Réseaux sans fil

5– Authentification des utilisateurs et des machines

1. Contexte ..................................................................................................... H 5 210 - 3

CRYPTOGRAPHIE APPLIQUÉE _____________________________________________________________________________________________________________

ujourd’hui, les cryptographes ont défini des objectifs et des notions de

____________________________________________________________________________________________________________ CRYPTOGRAPHIE APPLIQUÉE

1. Contexte 1.1 Évolution vers une science

CRYPTOGRAPHIE APPLIQUÉE _____________________________________________________________________________________________________________

Distribution quantique de clés