Académique Documents
Professionnel Documents
Culture Documents
Mémoire de Licence
Juin 2022
Thème
Remerciements
Table des matières
Introduction générale 1
Présentation de l’entreprise : ALGERIE TELECOM 2
Chapitre 1 : Généralités sur la sécurité informatique
I. Introduction 5
II. Généralités sur la sécurité 5
1) Définition de la sécurité 5
2) Les principes fondamentaux de la sécurité 5
3) Terminologie de la sécurité informatique 5
4) Exemples sur les différentes techniques d’attaque 5
5) Solutions pour assurer la sécurité 5
III. Conclusion 5
Chapitre 2 : Le VPN IPsec
I. Introduction 5
II. Généralités sur les VPN 5
1) Qu’est-ce qu’un VPN ? 5
2) Comment fonctionne un VPN ? 5
3) Pourquoi utiliser VPN ? 5
4) Les différents types de VPN 5
III. Architecture d’un VPN IPsec 5
1) Définition de IPsec…………………………………………………………………………………….
2) Les deux modes d’échange IPsec……………………………………………………………………...
3) Les protocoles utilisés en IPsec………………………………………………………………………...
3.1) Protocoles de sécurité
3.2) Protocole d’échange de clés
3.3) Algorithmes de cryptage
3.4) Algorithmes de hachage
3.5) HMAC
3.6) Diffie-Hellman
IV. Conclusion 5
Chapitre 3 :
Introduction générale
Présentation de l’entreprise :
ALGERIE TELECOM
2- Département Approvisionnement :
- Pièces détachées (composants électroniques).
- Equipements informatiques.
- Equipements Réseaux.
3- Département WLL :
- Maintenance des terminaux WLL.
4- Département AXE :
- Maintenance des cartes AXE (Central téléphonique).
I. Introduction :
Le domaine de l’informatique a connu des avancés très significatives ces dernières décennies. Ce
qui a amené à avoir des exigences de la sécurité de l’information au sein des organisations qui ont
conduits à deux changements majeurs :
Le premier changement majeur concerne la sécurité informatique. En effet, avec
l’introduction de l’ordinateur, le besoin d’outils automatisé pour protéger les données et
l’information stockées est devenu évident.
Le second changement majeur qui affecte la sécurité est l’introduction de systèmes
distribuées et l’utilisation de réseaux, on parle alors de sécurité des réseaux.
Alors, qu’est-ce que la sécurité ?
1) Définition :
La sécurité informatique c’est l’ensemble des moyens implémentés pour protéger et minimiser la
vulnérabilité d’un système contre des menaces. Les menaces peuvent être accidentelles ou
intentionnelles. Son objectif est donc d’assurer que les ressources matérielles ou logiciels d’un
réseau sont uniquement utilisées par des personnes autorisées et dans le cadre prévu.
La sécurité informatique vise généralement cinq principaux objectifs qui permettent aux entreprises
de se protéger contre les différentes menaces. Ces objectifs sont :
La confidentialité : Assurer que seules les personnes autorisées peuvent accéder aux
informations, c’est-à-dire permet de cacher l’information afin qu’aucun utilisateur ne puisse y
accéder. L’un des moyens offrant la confidentialité des données est la cryptographie.
L’intégrité : Garantir que le message envoyé a été reçu sans rencontrer des alternations ou
des modifications au cours de la communication.
Parmi les mots clés de la sécurité qui sont largement repris dans la littérature informatique nous
trouvons :
- La vulnérabilité : désigne en informatique toute faiblesse d’un système qui permettrait à une
personne potentiellement malveillante de détériorer le fonctionnement normal du système ou
encore d’accéder à des données confidentielles non autorisées.
- Risque : La probabilité d’un problème lorsque la vulnérabilité est exposée à des personnes
malveillantes essayant de l’exploiter.
- Attaque : Représente une méthode d'exploitation d'une vulnérabilité. Il peut y avoir plusieurs
attaques pour une même vulnérabilité, mais toutes les vulnérabilités ne peuvent pas être
exploitées.
- Contre-mesure : Il s'agit d'un programme ou d'une technique qui corrige une vulnérabilité ou
combat une attaque spécifique.
- Menace : c’est un adversaire déterminé capable de monter une attaque exploitant une
vulnérabilité.
4.1) Déni de service (DoS) : le but d’une telle attaque est de paralyser un service ou un réseau
complet. Les utilisateurs ne peuvent plus alors accéder aux ressources. On distingue deux types de
DoS :
- Exploitation de faiblesse des protocoles TCP/IP.
- Exploitation de vulnérabilité des logiciels serveurs.
4.2) MITM (Man-in-the-middle) : ce sont des failles dans la cybersécurité qui permettent à un
attaquant d’écouter les données échangées entre deux personnes, réseaux, ou ordinateurs.
Alors que la plupart des cyberattaques sont silencieuses et menées à l’insu des victimes, certaines
attaques MITM sont le contraire. Il peut s’agir d’un robot qui génère des messages textes crédibles,
qui se fait passer pour la voix d’une personne lors d’un appel ou qui usurpe l’identité d’un système
de communication entier pour racler des données que l’attaquant juge importantes dans les appareils
des participants.
4.3) Phishing : des e-mails envoyés par des acteurs malveillants qui semblent provenir de
sources fiables et légitimes dans le but d'obtenir des informations sensibles de la cible. Les attaques
de phishing combinent l'ingénierie sociale et la technologie et sont ainsi appelées parce que
l'attaquant « pêche » en fait d'accéder à une zone interdite en utilisant « l'appât » d'un expéditeur
apparemment digne de confiance.
4.4) Cheval de troie : un terme générique décrivant un logiciel malveillant qui se déguise pour
cacher son véritable but. Contrairement à un virus, il est incapable d’infecter des fichiers par lui-
même. Il est utilisé pour ouvrir des portes dérobées, prendre le contrôle de l'appareil affecté,
exfiltrer les données utilisateur et les envoyer à l'attaquant, télécharger et exécuter d'autres logiciels
malveillants sur le système affecté.
4.5) Social Engineering : il s’agit d’un moyen de manipulation et d’une technique consistant à
obtenir des informations confidentielles auprès du personnel en usurpant une identité par :
téléphone, email, courrier traditionnel ou contact direct.
5.1) Sensibiliser ses employés : Si on pense généralement que les attaques informatiques qui visent
les grandes entreprises sont très complexes, en réalité, elles sont souvent dues à une erreur humaine.
C’est pourquoi sensibiliser ses employés sur les risques potentiels et les bonnes pratiques apparaît
comme essentiel. Des pratiques récurrentes permettent de détecter le phishing tel que :
- Les adresses emails frauduleuses.
- Une orthographe et syntaxe imparfaites.
- Des liens douteux.
- Les call-to-action trop agressifs.
- Des graphismes dégradés.
5.2) La mise en place des pare-feu : ils permets de constituer une barrière entre un réseau
d’entreprise et les réseaux externes. Ces pare-feu se servent d’un ensemble de règles éditées par un
expert en sécurité informatique pour autoriser ou bloquer le trafic. Ce dispositif peut être un
logiciel, un matériel ou les deux à la fois.
5.3) Les antivirus : ils sont édités pour bloquer toutes les attaques contre le réseau informatique.
Ils protègent votre parc contre les virus, le cheval de Troie, les logiciels espions, les vers
informatiques et les rançongiciels.
5.4) Sécuriser les VPN : les VPN sont des réseaux qui cryptent les données avant de les
envoyer, permettant ainsi d’authentifier les utilisateurs et sécuriser vos informations. Ils sont donc
un outil essentiel pour protéger les télétravailleurs qui utilisent internet à domicile ou via des points
d’accès et Wifi lors de déplacement professionnels.
III. Conclusion :
Tout au long de ce chapitre, nous avons vu que la sécurité est devenue indispensable pour la
sécurité du réseau vu le nombre d’attaques qui menacent le réseau de l’entreprise. Il est donc
indispensable de le protéger les données confidentielles contre tous types de danger qui le
menacent.
Dans ce cas, la connaissance des fondamentaux de la sécurité et la mise en place d'une bonne
politique de sécurité peuvent aider à construire un réseau de sécurité, même si les activités de ce
dernier ne sont pas critiques par rapport à la durée du projet.
Parmi ces différentes solutions permettant de protéger ce réseau, nous avons vu les VPN. Mais alors
qu’est-ce qu’un VPN ? Comment fonction ? Et pourquoi l’utilise-t-on ? C’est ce que nous allons
voir dans le chapitre suivant.
Chapitre 2 : Le VPN
I. Introduction :
Réseau privé virtuel est une technique permettant à un ou plusieurs postes distants de communiquer
de manière sure, tout en empruntant les infrastructures publiques. Ce type de liaisons est apparu
suite à un besoin croissant des entreprises de relier des différents sites, et ce de façon simple et
économique. Jusqu’à l’avènement des VPN, les sociétés devaient utiliser des lignes louées. Les
VPN ont permis de démocratiser ce type de liaisons.
c) SSL et TLS VPN : signifie Secure Sockets Layer et Transport Layer Security, permettent aux
utilisateurs individuels d’accéder au réseau d’une organisation, aux application client serveur
et aux utilitaires et répertoires de réseau interne, sans avoir besoin de logiciel spécialisé. Les
VPN SSL et TLS assurent une communication sécurisée via une connexion cryptée par tous
les types d’appareils, que l’accès au réseau soit via internet public ou un autre réseau sécurisé.
d) DMVPN : Dynamic Multipoint VPN est une technique de routage que nous pouvons utiliser
pour construire un réseau VPN avec plusieurs sites sans avoir à configurer statiquement tous
les appareils. Il s’agit d’un réseau en étoile ou les rayons pourrons communiquer directement
entre eux sans avoir à passer par le carrefour.
1) Définition de IPsec :
IPsec est un ensemble de protocoles destinés à protéger le trafic au niveau de la couche trois du
modèle OSI, ces protocoles sont utilisés ensemble pour configurer les connexions cryptées entre les
appareils. C’est un standard évolutif qui intègre de plus en plus des algorithmes plus performants.
L'intérêt majeur de cette solution par rapport à d'autres techniques (par exemple les tunnels SSH) est
qu'il s'agit d'une méthode standard, mise au point dans ce but précis. Quelques avantages
supplémentaires sont l'économie de bande passante, d'une part parce que la compression des en-
têtes des données transmises est prévue par ce standard, et d'autre part parce que celui-ci ne fait pas
appel à de trop lourdes techniques d'encapsulation, comme par exemple les tunnels PPP sur lien
SSH. Il permet également de protéger des protocoles de bas niveau comme ICMP et IGMP, RIP …
etc.
Une communication entre deux hôtes, protégée par IPsec, est susceptible de fonctionner suivant
deux modes différents : le mode transport et le mode tunnel.
Mode transport : offre essentiellement une protection aux protocoles de niveau supérieur, le
second permet quant à lui d'encapsuler des datagrammes IP dans d'autres datagrammes IP, dont le
contenu est protégé. Il est généralement utilisé pour acheminer les données de type Host-to-Host.
On peut choisir le protocole AH, ESP ou les deux.
Mode tunnel : IPsec crée un tunnel pour la communication entre deux machines pour bien
sécuriser les données. Le mode tunnel est très utilisé par le protocole IPsec dans le réseau de type
LAN-to-LAN car il offre une protection contre l'analyse de trafic, les adresses de la source et
l'adresse de destinataire sont toutes masquées. On doit choisir entre le protocole AH ou ESP. Ce
mode crée un nouveau paquet IP encapsulant celui qui doit être transporté.
L'intérêt majeur de ce second mode est qu'il rend la mise en place de passerelles de sécurité qui
traitent toute la partie IPsec d'une communication et transmettent les datagrammes épurés de leur
partie IPsec à leur destinataire réel réalisable.
Il encapsule le trafic en ajoutant un bloc au datagramme IP pour assurer l’intégrité des données,
l’authentification et la protection contre le rejeu des données. Avec le mode transport, l’en-tête AH
est inséré entre les protocoles internet IP de la tête et le protocole de tête de transmission. En mode
tunnel, l’ensemble du paquet est crypté y compris l’en-tête IP, l’en-tête AH va à l’avant de ceci est
un nouvel en-tête IP est ajouté en face de l’en-tête AH.
La figure ci-dessous illustre l’encapsulation de AH dans les deux modes de fonctionnement :
Signification :
Longueur : Représente la taille du paquet AH.
Index du paramètre de sécurité (SPI) : Identifie les paramètres de sécurité en fonction de
l’adresse IP.
Numéro de séquence : Un compteur qui évite les attaques par répétition.
Données d’authentification : Contient les informations nécessaires pour authentifier le paquet.
b) En mode tunnel :
Ces garanties s'appliquent aux données du datagramme dans lequel est encapsulé le trafic utile,
donc à la totalité (en-têtes et options inclus) du datagramme encapsulé. Dans ce mode, deux
avantages supplémentaires apparaissent :
- Une confidentialité des flux de données : (en mode tunnel uniquement, lorsque la
confidentialité est assurée) : un attaquant capable d'observer les données transitant par un
lien n'est pas à même de déterminer quel volume de données est transféré entre deux hôtes
particuliers.
- La confidentialité des données, si elle est demandée, s'étend à l'ensemble des champs, y
compris les en-têtes, du datagramme IP encapsulé dans le datagramme protégé par ESP.
Contrairement à AH, qui ajoute seulement un en-tête supplémentaire au paquet IP, ESP chiffre les
données puis les encapsule.
Pour mieux sécuriser les données qui seront transmises au niveau de notre tunnel VPN/IPsec et pour
rendre notre réseau plus sécurisé, on doit indiquer les protocoles et les algorithmes, qui vont être
utilisé pour répondre aux trois caractéristiques, l’authentification, l’intégrité et la confidentialité, et
qui est :
3.2.1) Diffie-Hellman :
Il s'agit d'un algorithme d'échange de clés pour les algorithmes à clefs publiques. Cet algorithme
permet un établissement d'un secret partagé entre 2 hôtes, et ce via un réseau non sécurisé.
DH est basé sur les nombres premiers, le modulo et le logarithme discret :
Une fois les paires de clés générées à l'aide des données partagées, les clés publiques sont
échangées et vont servir à l'aide des clés privées à générer le secret (une clef de session qui servira
au chiffrement des messages). Pour cela, chaque hôte utilise sa clef privée et la clé publique de
l'hôte distant pour créer la clef de session commune.
3.3) La gestion des clefs pour IPsec :
Les protocoles sécurisés présentés dans les paragraphes précédents ont recours à des algorithmes
cryptographiques et ont donc besoin de clefs. Un des problèmes fondamentaux d’utilisation de la
cryptographie est la gestion de ces clefs. Le terme « gestion » recouvre la génération, la distribution,
le stockage et la suppression des clefs.
Ce processus permet la génération, la distribution et le stockage des clés utilisées pour chiffrer et
déchiffrer le trafic. IPsec a recours au protocole de gestion des clés et des associations de sécurité
pour Internet (Internet Security Association and Key Management Protocol) ISAKMP. Ce dernier
interagit avec un ensemble de protocoles tels que l’Oakley et Skeme pour former le protocole de
gestion des clés IKE (Internet Key Exchange). En outre, IKE intègre la notion de l’association de
sécurité (SA) qui est une structure de paramètres stockés associés à une communication donnée.
- Phase 1 : IKE crée un canal sécurisé authentifié entre les deux pairs IKE.
- Phase 2 : IKE négocie les associations de sécurité IPsec et génère le matériel clé pour IPsec.
3.3.2) Le protocole ISAKMP (Internet Security Association and Key Management Protocol) :
Il définit une façon de procéder, en deux étapes appelées phase 1 et phase 2 : dans la première, un
certain nombre de paramètres de sécurité propres à ISAKMP sont mis en place, afin d’établir entre
les deux tiers un canal protégé ; dans un second temps, Ce canal est utilisé pour négocier les
associations de sécurité pour les mécanismes de sécurité que l’on souhaite utiliser (AH et ESP par
exemple).
Il définit des formats de messages, par l’intermédiaire de blocs ayant chacun un rôle précis et
permettant de former des messages clairs.
Il présente un certain nombre d’échanges types, composés de tels messages, qui permettant des
négociations présentant des propriétés différentes : protection ou non de l’identité, Perfect Forward
Secrecy…
3.5.1) SHA : de son nom complet Secure Hash Algorithm, est un algorithme de hachage utilisé par
les autorités de certification pour signer certificats et CRL (Certificate Revocation List). Introduit en
1993 par la NSA avec le SHA0, il est utilisé pour générer des condensats uniques de fichiers.
Comme toute solution cryptographique, le SHA se doit d'évoluer en même temps que les capacités
de calcul de nos ordinateurs et éviter de devenir vulnérable.
Il existe donc plusieurs versions de SHA : SHA0, SHA1 (actuellement le plus utilisé), SHA2, et
enfin le tout dernier SHA3 né en 2012.
3.5.2) MD5 : pour Message Digest 5, un algorithme de hachage cryptographique qui permet
d'obtenir l'empreinte numérique d'un fichier (message).
Il été l’un des premiers algorithmes de hachage à être largement utilisé jusqu’à ce qu’il soit
compromis. En raison de ses nombreuses vulnérabilités, MD5 a été jugé impropre à une utilisation
ultérieure. Aujourd’hui, il ne sert qu’à vérifier les données contre une corruption accidentelle.
3.6) HMAC :
Une fonction itérative de hachage découpe un message en blocs de taille fixe et itère dessus avec
une fonction de compression. Par exemple, MD5 et SHA-1 opèrent sur des blocs de 512 bits. La
taille de la sortie HMAC est la même que celle de la fonction de hachage (128 ou 160 bits dans les
cas du MD5 et SHA-1).
IV. Conclusion :
Les réseaux VPN sont la meilleure solution pour les entreprises pour la réalisation de leur réseau étendu.
L’étude que nous avons effectuée dans ce chapitre met en évidence que le VPN IPsec garantit la
confidentialité et l’intégrité et donc la sécurité du réseau. Il regroupe un ensemble de protocoles de
communication sécurisée conçue pour la protection des flux réseaux et en particulier pour établir
une communication privée (un tunnel) entre des entités distantes, séparées par un réseau réputé
non sûr ou public comme Internet.