République Algérienne Démocratique et Populaire

Ministère de l’enseignement Supérieur et de la Recherche Scientifique

Université des Sciences et de la Technologie Houari Boumediene

Faculté de Génie Electrique

Département de Télécommunications

Mémoire de Licence

Encadré par : Présenté par :

LADIDI Nadir BRAHAM MOUSSA Rania
DERRAS Mohamed TAMDA Maria

Juin 2022
 Thème

Interconnexion entre deux sites via tunnel VPN

Remerciements
 Table des matières

Introduction générale 1
Présentation de l’entreprise : ALGERIE TELECOM 2
Chapitre 1 : Généralités sur la sécurité informatique
I. Introduction 5
II. Généralités sur la sécurité 5
1) Définition de la sécurité 5
2) Les principes fondamentaux de la sécurité 5
3) Terminologie de la sécurité informatique 5
4) Exemples sur les différentes techniques d’attaque 5
5) Solutions pour assurer la sécurité 5
III. Conclusion 5
Chapitre 2 : Le VPN IPsec
I. Introduction 5
II. Généralités sur les VPN 5
1) Qu’est-ce qu’un VPN ? 5
2) Comment fonctionne un VPN ? 5
3) Pourquoi utiliser VPN ? 5
4) Les différents types de VPN 5
III. Architecture d’un VPN IPsec 5
1) Définition de IPsec…………………………………………………………………………………….
2) Les deux modes d’échange IPsec……………………………………………………………………...
3) Les protocoles utilisés en IPsec………………………………………………………………………...
3.1) Protocoles de sécurité
3.2) Protocole d’échange de clés
3.3) Algorithmes de cryptage
3.4) Algorithmes de hachage
3.5) HMAC
3.6) Diffie-Hellman
IV. Conclusion 5
Chapitre 3 :
Introduction générale
 Présentation de l’entreprise :
ALGERIE TELECOM

1) Présentation de la structure d’accueil :

Algérie Telecom est une société par action à capital public opérant sur le marché des réseaux et
services de communication électronique. Sa naissance a été consacrée par la loi 2000/03 du 5 aout
2000, relative a la restructuration du secteur des postes et télécommunications, qui sépare
notamment les activités postales de celles des télécommunications. Algérie Telecom est donc régie
par cette loi qui lui confère le statut d’une entreprise publique économique sous la forme juridique
d’une société par action SPA. Entrée officiellement en activité à partir du 1 er janvier 2003, elle
s’engage dans le monde des technologies de l’information et de la communication avec trois
objectifs :
- Rentabilité.
- Efficacité.
- Qualité de service.

2) Le laboratoire des équipements de télécommunications (LET ALGER) :

Est un établissement à caractère national dépondant de la direction territoriale d’Alger (Algérie
Telecom).
Il a pour mission d’assurer certaines taches :
1- Département Bancaire (Transmission Données) :
- Réalisations des lignes X25.
- Exploitation des réseaux.
- Prise en charge des dérangements des lignes X25.

2- Département Approvisionnement :
- Pièces détachées (composants électroniques).
- Equipements informatiques.
- Equipements Réseaux.

3- Département WLL :
- Maintenance des terminaux WLL.

4- Département AXE :
- Maintenance des cartes AXE (Central téléphonique).

5- Service réseau informatique :

- Maintenance Soft et Hard des Micro-Ordinateurs.
- Installation des réseaux d’entreprise LAN, WAN
 C’est à cette dernière où se déroule le stage pratique, objet de l’élaboration du présent mémoire.

Chapitre 1 : Généralités sur la sécurité informatique

I. Introduction :
Le domaine de l’informatique a connu des avancés très significatives ces dernières décennies. Ce
qui a amené à avoir des exigences de la sécurité de l’information au sein des organisations qui ont
conduits à deux changements majeurs :
 Le premier changement majeur concerne la sécurité informatique. En effet, avec
l’introduction de l’ordinateur, le besoin d’outils automatisé pour protéger les données et
l’information stockées est devenu évident.
 Le second changement majeur qui affecte la sécurité est l’introduction de systèmes
distribuées et l’utilisation de réseaux, on parle alors de sécurité des réseaux.
Alors, qu’est-ce que la sécurité ?

II. Généralités sur la sécurité :

1) Définition :
La sécurité informatique c’est l’ensemble des moyens implémentés pour protéger et minimiser la
vulnérabilité d’un système contre des menaces. Les menaces peuvent être accidentelles ou
intentionnelles. Son objectif est donc d’assurer que les ressources matérielles ou logiciels d’un
réseau sont uniquement utilisées par des personnes autorisées et dans le cadre prévu.

2) Les principes fondamentaux de la sécurité informatique :

La sécurité informatique vise généralement cinq principaux objectifs qui permettent aux entreprises
de se protéger contre les différentes menaces. Ces objectifs sont :

 La confidentialité : Assurer que seules les personnes autorisées peuvent accéder aux
informations, c’est-à-dire permet de cacher l’information afin qu’aucun utilisateur ne puisse y
accéder. L’un des moyens offrant la confidentialité des données est la cryptographie.

 L’intégrité : Garantir que le message envoyé a été reçu sans rencontrer des alternations ou
des modifications au cours de la communication.

 La disponibilité : Un système d’information assure la disponibilité s’il est capable de

garantir et de maintenir un fonctionnement correct et accès aux ressources à n’importe quel
moment.
  La non-répudiation : Une transaction ne peut être niée par aucun des correspondants, c’est-
à-dire la non-répudiation de l’origine et de la réception des données, prouve qu’ils ont bien
été reçu.
 L’authentification : Limiter l’accès aux personnes autorisés, il faut donc s’assurer de
l’identité d’utilisateurs en utilisant un mot de passe ou un mot de compte ou l’empreinte
numérique, pour une technique plus sophistiquée

Figure 1 : Les principes fondamentaux de la sécurité informatique.

3) Terminologie de la sécurité en informatique :

Parmi les mots clés de la sécurité qui sont largement repris dans la littérature informatique nous
trouvons :
- La vulnérabilité : désigne en informatique toute faiblesse d’un système qui permettrait à une
personne potentiellement malveillante de détériorer le fonctionnement normal du système ou
encore d’accéder à des données confidentielles non autorisées.
- Risque : La probabilité d’un problème lorsque la vulnérabilité est exposée à des personnes
malveillantes essayant de l’exploiter.
- Attaque : Représente une méthode d'exploitation d'une vulnérabilité. Il peut y avoir plusieurs
attaques pour une même vulnérabilité, mais toutes les vulnérabilités ne peuvent pas être
exploitées.
- Contre-mesure : Il s'agit d'un programme ou d'une technique qui corrige une vulnérabilité ou
combat une attaque spécifique.
- Menace : c’est un adversaire déterminé capable de monter une attaque exploitant une
vulnérabilité.

4) Les différentes techniques d’attaques :

4.1) Déni de service (DoS) : le but d’une telle attaque est de paralyser un service ou un réseau
complet. Les utilisateurs ne peuvent plus alors accéder aux ressources. On distingue deux types de
DoS :
- Exploitation de faiblesse des protocoles TCP/IP.
- Exploitation de vulnérabilité des logiciels serveurs.
4.2) MITM (Man-in-the-middle) : ce sont des failles dans la cybersécurité qui permettent à un
attaquant d’écouter les données échangées entre deux personnes, réseaux, ou ordinateurs.
Alors que la plupart des cyberattaques sont silencieuses et menées à l’insu des victimes, certaines
attaques MITM sont le contraire. Il peut s’agir d’un robot qui génère des messages textes crédibles,
qui se fait passer pour la voix d’une personne lors d’un appel ou qui usurpe l’identité d’un système
de communication entier pour racler des données que l’attaquant juge importantes dans les appareils
des participants.
4.3) Phishing : des e-mails envoyés par des acteurs malveillants qui semblent provenir de
sources fiables et légitimes dans le but d'obtenir des informations sensibles de la cible. Les attaques
de phishing combinent l'ingénierie sociale et la technologie et sont ainsi appelées parce que
l'attaquant « pêche » en fait d'accéder à une zone interdite en utilisant « l'appât » d'un expéditeur
apparemment digne de confiance.

4.4) Cheval de troie : un terme générique décrivant un logiciel malveillant qui se déguise pour
cacher son véritable but. Contrairement à un virus, il est incapable d’infecter des fichiers par lui-
même. Il est utilisé pour ouvrir des portes dérobées, prendre le contrôle de l'appareil affecté,
exfiltrer les données utilisateur et les envoyer à l'attaquant, télécharger et exécuter d'autres logiciels
malveillants sur le système affecté.

4.5) Social Engineering : il s’agit d’un moyen de manipulation et d’une technique consistant à
obtenir des informations confidentielles auprès du personnel en usurpant une identité par :
téléphone, email, courrier traditionnel ou contact direct.

5) Les solutions pour assurer la sécurité du réseau d’une entreprise :

5.1) Sensibiliser ses employés : Si on pense généralement que les attaques informatiques qui visent
les grandes entreprises sont très complexes, en réalité, elles sont souvent dues à une erreur humaine.
C’est pourquoi sensibiliser ses employés sur les risques potentiels et les bonnes pratiques apparaît
comme essentiel. Des pratiques récurrentes permettent de détecter le phishing tel que :
- Les adresses emails frauduleuses.
- Une orthographe et syntaxe imparfaites.
- Des liens douteux.
- Les call-to-action trop agressifs.
- Des graphismes dégradés.

5.2) La mise en place des pare-feu : ils permets de constituer une barrière entre un réseau
d’entreprise et les réseaux externes. Ces pare-feu se servent d’un ensemble de règles éditées par un
expert en sécurité informatique pour autoriser ou bloquer le trafic. Ce dispositif peut être un
logiciel, un matériel ou les deux à la fois.

5.3) Les antivirus : ils sont édités pour bloquer toutes les attaques contre le réseau informatique.
Ils protègent votre parc contre les virus, le cheval de Troie, les logiciels espions, les vers
informatiques et les rançongiciels.
5.4) Sécuriser les VPN : les VPN sont des réseaux qui cryptent les données avant de les
envoyer, permettant ainsi d’authentifier les utilisateurs et sécuriser vos informations. Ils sont donc
un outil essentiel pour protéger les télétravailleurs qui utilisent internet à domicile ou via des points
d’accès et Wifi lors de déplacement professionnels.

III. Conclusion :

Tout au long de ce chapitre, nous avons vu que la sécurité est devenue indispensable pour la
sécurité du réseau vu le nombre d’attaques qui menacent le réseau de l’entreprise. Il est donc
indispensable de le protéger les données confidentielles contre tous types de danger qui le
menacent.
Dans ce cas, la connaissance des fondamentaux de la sécurité et la mise en place d'une bonne
politique de sécurité peuvent aider à construire un réseau de sécurité, même si les activités de ce
dernier ne sont pas critiques par rapport à la durée du projet.
Parmi ces différentes solutions permettant de protéger ce réseau, nous avons vu les VPN. Mais alors
qu’est-ce qu’un VPN ? Comment fonction ? Et pourquoi l’utilise-t-on ? C’est ce que nous allons
voir dans le chapitre suivant.
 Chapitre 2 : Le VPN

I. Introduction :
Réseau privé virtuel est une technique permettant à un ou plusieurs postes distants de communiquer
de manière sure, tout en empruntant les infrastructures publiques. Ce type de liaisons est apparu
suite à un besoin croissant des entreprises de relier des différents sites, et ce de façon simple et
économique. Jusqu’à l’avènement des VPN, les sociétés devaient utiliser des lignes louées. Les
VPN ont permis de démocratiser ce type de liaisons.

II. Généralités sur les VPN :

1) Qu’est-ce qu’un VPN ?

Un VPN est une solution de communication pour laquelle les infrastructures de transport sont
partagés entre plusieurs utilisateurs : on parle de réseau privé virtuel (VPN : Virtual Private
Network).
Plus concrètement, un VPN consiste à interconnecter deux entités, permettant de rendre invisible de
l’extérieur les données qui y circulent.

2) Comment fonctionne un VPN ?

Les VPN utilisent des connexions virtuelles pour créer un réseau privé, en protégeant tout appareil
connecté à un réseau Wi-Fi public contre les pirates informatiques et les logiciels malveillants, et en
protégeant les renseignements sensibles contre toute visualisation ou interception non autorisée. Un
VPN achemine la connexion de votre appareil via un serveur privé plutôt que le FAI, de sorte que
lorsque vos données atteignent Internet, elles ne sont pas visibles comme provenant de votre
appareil.
La première solution pour répondre à ce besoin de communication sécurisé consiste à relier les
réseaux distants à l'aide de liaisons spécialisées. Toutefois la plupart des entreprises ne peuvent pas
se permettre de relier deux réseaux locaux distants par une ligne spécialisée, il est parfois nécessaire
d'utiliser Internet comme support de transmission.
Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un
protocole d’encapsulation qui est le tunneling c’est-à-dire encapsulant les données à transmettre de
façon chiffrée. On parle alors de VPN pour désigner le réseau ainsi artificiellement créé.

3) Pourquoi utiliser VPN :

Les VPN améliorent globalement la sécurité, l’accès à distance, l’indépendance vis-à-vis des pays
dotés de lois strictes en matière d’accès à Internet et le coût total de possession lorsqu’il s’agit des
coûts globaux des technologies de sécurité et de réseautage utilisées par les équipes d’entreprise.
Les RPV peuvent également offrir un partage de données sûr et sécurisé entre les employés et avec
des personnes et des groupes à l’extérieur de l’entreprise, au besoin.
4) Les différents types de VPN :
Il existe plusieurs types de VPN. Les plus communs sont : PPTP VPN, L2TP VPN, SSL VPN,
DMVPN, IPsec VPN.
a) PPTP VPN : signifie Point-to-Point Tunneling Protocol. Comme son nom l’indique, un VPN
PPTP crée un tunnel qui capture les données. Les VPN PPTP sont utilisés par des utilisateurs
éloignés pour se connecter à leur réseau VPN en utilisant leur connexion internet existante.
Ce VPN est utile pour les professionnels et les particuliers.

b) L2TP VPN : L2TP signifie Layer to Tunneling Protocol (protocole de tunnellisation de

niveau 2), développé par Microsoft et Cisco. Les VPN L2TP sont habituellement combinés à
un autre protocole de sécurité VPN pour établir une connexion plus sécurisée. Un VPN L2TP
forme un tunnel entre deux points de connexion L2TP, et un second VPN comme le protocole
IPsec crypte les données et se concentre sur la sécurisation des données entre les tunnels. Un
L2TP est assez similaire au PPTP. Par exemple au niveau de leur manque de cryptage, et de
leur fonctionnement avec un protocole PPP. La différence concerne la confidentialité et
l’intégrité des données. Les VPN L2TP protège les deux, les VPN PPTP non.

c) SSL et TLS VPN : signifie Secure Sockets Layer et Transport Layer Security, permettent aux
utilisateurs individuels d’accéder au réseau d’une organisation, aux application client serveur
et aux utilitaires et répertoires de réseau interne, sans avoir besoin de logiciel spécialisé. Les
VPN SSL et TLS assurent une communication sécurisée via une connexion cryptée par tous
les types d’appareils, que l’accès au réseau soit via internet public ou un autre réseau sécurisé.

d) DMVPN : Dynamic Multipoint VPN est une technique de routage que nous pouvons utiliser
pour construire un réseau VPN avec plusieurs sites sans avoir à configurer statiquement tous
les appareils. Il s’agit d’un réseau en étoile ou les rayons pourrons communiquer directement
entre eux sans avoir à passer par le carrefour.

III. Architecture d’un VPN IPsec :

1) Définition de IPsec :
IPsec est un ensemble de protocoles destinés à protéger le trafic au niveau de la couche trois du
modèle OSI, ces protocoles sont utilisés ensemble pour configurer les connexions cryptées entre les
appareils. C’est un standard évolutif qui intègre de plus en plus des algorithmes plus performants.
L'intérêt majeur de cette solution par rapport à d'autres techniques (par exemple les tunnels SSH) est
qu'il s'agit d'une méthode standard, mise au point dans ce but précis. Quelques avantages
supplémentaires sont l'économie de bande passante, d'une part parce que la compression des en-
têtes des données transmises est prévue par ce standard, et d'autre part parce que celui-ci ne fait pas
appel à de trop lourdes techniques d'encapsulation, comme par exemple les tunnels PPP sur lien
SSH. Il permet également de protéger des protocoles de bas niveau comme ICMP et IGMP, RIP …
etc.

Selon l’application, IPsec assure l’intégrité, l’authentification, la confidentialité et la protection

contre le rejeu des données. Il est souvent utilisé pour configurer les VPN et fonctionne en chiffrant
les paquets IP ainsi qu’en authentifiant la source d’où proviennent les paquets.

2) Les deux modes d’échanges IPsec :

Une communication entre deux hôtes, protégée par IPsec, est susceptible de fonctionner suivant
deux modes différents : le mode transport et le mode tunnel.

Mode transport : offre essentiellement une protection aux protocoles de niveau supérieur, le
second permet quant à lui d'encapsuler des datagrammes IP dans d'autres datagrammes IP, dont le
contenu est protégé. Il est généralement utilisé pour acheminer les données de type Host-to-Host.
On peut choisir le protocole AH, ESP ou les deux.

Mode tunnel : IPsec crée un tunnel pour la communication entre deux machines pour bien
sécuriser les données. Le mode tunnel est très utilisé par le protocole IPsec dans le réseau de type
LAN-to-LAN car il offre une protection contre l'analyse de trafic, les adresses de la source et
l'adresse de destinataire sont toutes masquées. On doit choisir entre le protocole AH ou ESP. Ce
mode crée un nouveau paquet IP encapsulant celui qui doit être transporté.
L'intérêt majeur de ce second mode est qu'il rend la mise en place de passerelles de sécurité qui
traitent toute la partie IPsec d'une communication et transmettent les datagrammes épurés de leur
partie IPsec à leur destinataire réel réalisable.

Figure 2 : Différence entre le mode transport et le mode tunnel.

3) Les protocoles utilisés en IPsec :

3.1) Protocoles de sécurités :

3.1.1) Authentification Header (AH) :

AH est le premier et le plus simple des protocoles de protection des données qui font partie de la
spécification IPsec. Il a pour vocation de garantir : l’authentification et l’intégrité. Il permet de
garantir que les paquets de données proviennent d’une source fiable et que les données n’ont pas été
altérées.

Il encapsule le trafic en ajoutant un bloc au datagramme IP pour assurer l’intégrité des données,
l’authentification et la protection contre le rejeu des données. Avec le mode transport, l’en-tête AH
est inséré entre les protocoles internet IP de la tête et le protocole de tête de transmission. En mode
tunnel, l’ensemble du paquet est crypté y compris l’en-tête IP, l’en-tête AH va à l’avant de ceci est
un nouvel en-tête IP est ajouté en face de l’en-tête AH.
La figure ci-dessous illustre l’encapsulation de AH dans les deux modes de fonctionnement :

Figure 3 : Encapsulation de AH dans les deux modes de fonctionnement.

Description d’un paquet AH :

Le paquet AH se présente comme suit :

Figure 4 : Le paquet AH.

Signification :
Longueur : Représente la taille du paquet AH.
Index du paramètre de sécurité (SPI) : Identifie les paramètres de sécurité en fonction de
l’adresse IP.
Numéro de séquence : Un compteur qui évite les attaques par répétition.
Données d’authentification : Contient les informations nécessaires pour authentifier le paquet.

3.1.2) Encapsulating Security Payload (ESP) :

ESP est le second protocole de protection des données qui fait partie de la spécification IPsec.
Contrairement à AH, ESP ne protège pas les en-têtes des datagrammes IP utilisés pour transmettre
la communication. Seules les données sont protégées.

a) En mode transport, il assure :

- La confidentialité des données (optionnelle) : la partie donnée des datagrammes IP
transmis est chiffrée.
- L'authentification (optionnelle, mais obligatoire en l'absence de confidentialité) : la
partie données des datagrammes IP reçus ne peut avoir été émise que par l'hôte avec lequel a
lieu l'échange IPsec, qui ne peut s'authentifier avec succès que s'il connaît la clef associée à
la communication ESP. Il est également important de savoir que l'absence d'authentification
nuit à la confidentialité, en la rendant plus vulnérable à certaines attaques actives.
- L'intégrité : les données n'ont pas été modifiées depuis leur émission.

b) En mode tunnel :

Ces garanties s'appliquent aux données du datagramme dans lequel est encapsulé le trafic utile,
donc à la totalité (en-têtes et options inclus) du datagramme encapsulé. Dans ce mode, deux
avantages supplémentaires apparaissent :

- Une confidentialité des flux de données : (en mode tunnel uniquement, lorsque la
confidentialité est assurée) : un attaquant capable d'observer les données transitant par un
lien n'est pas à même de déterminer quel volume de données est transféré entre deux hôtes
particuliers.
- La confidentialité des données, si elle est demandée, s'étend à l'ensemble des champs, y
compris les en-têtes, du datagramme IP encapsulé dans le datagramme protégé par ESP.

Contrairement à AH, qui ajoute seulement un en-tête supplémentaire au paquet IP, ESP chiffre les
données puis les encapsule.

Description d’un paquet ESP :

Figure 5 : Paquet ESP.

Signification :
Index du paramètre de sécurité (SPI) : Identifie les paramètres de sécurité en fonction de
l'adresse IP.
Numéro de séquence : Un compteur qui évite les attaques par répétition.
Charge utile : Les données à transférer.
Bourrage : Permet d'obtenir une taille de bloc compatible avec le chiffrement.
Longueur du bourrage : Exprimée en bits.
En-tête suivant : Identifie le protocole utilisé pour le transfert.
Données d'authentification : Contient les informations nécessaires pour authentifier le paquet.

3.1.3) Implantation IPsec dans le datagramme IP :

La figure ci-dessous montre comment les données nécessaires au bon fonctionnement des formats
AH et ESP sont placés dans le datagramme IPv4. Il s’agit bien d’un ajout dans le datagramme IP, et
non de nouveaux datagrammes, ce qui permet un nombre théoriquement illimité ou presque
d’encapsulation IPsec : un datagramme donné peut par exemple être protégé à l’aide de trois
applications successives de AH et deux encapsulations de ESP.

Figure 6 : Implantation d'IPsec dans le datagramme IP.

3.2) Protocole d’échange de clés :

Pour mieux sécuriser les données qui seront transmises au niveau de notre tunnel VPN/IPsec et pour
rendre notre réseau plus sécurisé, on doit indiquer les protocoles et les algorithmes, qui vont être
utilisé pour répondre aux trois caractéristiques, l’authentification, l’intégrité et la confidentialité, et
qui est :
3.2.1) Diffie-Hellman :
Il s'agit d'un algorithme d'échange de clés pour les algorithmes à clefs publiques. Cet algorithme
permet un établissement d'un secret partagé entre 2 hôtes, et ce via un réseau non sécurisé.
DH est basé sur les nombres premiers, le modulo et le logarithme discret :
Une fois les paires de clés générées à l'aide des données partagées, les clés publiques sont
échangées et vont servir à l'aide des clés privées à générer le secret (une clef de session qui servira
au chiffrement des messages). Pour cela, chaque hôte utilise sa clef privée et la clé publique de
l'hôte distant pour créer la clef de session commune.
3.3) La gestion des clefs pour IPsec :
Les protocoles sécurisés présentés dans les paragraphes précédents ont recours à des algorithmes
cryptographiques et ont donc besoin de clefs. Un des problèmes fondamentaux d’utilisation de la
cryptographie est la gestion de ces clefs. Le terme « gestion » recouvre la génération, la distribution,
le stockage et la suppression des clefs.

3.3.1) Le protocole IKE (Internet Key Exchange) :

Ce processus permet la génération, la distribution et le stockage des clés utilisées pour chiffrer et
déchiffrer le trafic. IPsec a recours au protocole de gestion des clés et des associations de sécurité
pour Internet (Internet Security Association and Key Management Protocol) ISAKMP. Ce dernier
interagit avec un ensemble de protocoles tels que l’Oakley et Skeme pour former le protocole de
gestion des clés IKE (Internet Key Exchange). En outre, IKE intègre la notion de l’association de
sécurité (SA) qui est une structure de paramètres stockés associés à une communication donnée.

La mise en œuvre d’IKE se déroule en deux phases :

- Phase 1 : IKE crée un canal sécurisé authentifié entre les deux pairs IKE.
- Phase 2 : IKE négocie les associations de sécurité IPsec et génère le matériel clé pour IPsec.

3.3.2) Le protocole ISAKMP (Internet Security Association and Key Management Protocol) :

Ce protocole a pour rôle la négociation, l’établissement, la modification et la suppression des associations de

sécurité et de leurs attributs. Il pose les bases permettant de construire divers protocoles de gestion des clefs
(et plus généralement des associations de sécurité). Il comporte trois aspects principaux :

 Il définit une façon de procéder, en deux étapes appelées phase 1 et phase 2 : dans la première, un
certain nombre de paramètres de sécurité propres à ISAKMP sont mis en place, afin d’établir entre
les deux tiers un canal protégé ; dans un second temps, Ce canal est utilisé pour négocier les
associations de sécurité pour les mécanismes de sécurité que l’on souhaite utiliser (AH et ESP par
exemple).
 Il définit des formats de messages, par l’intermédiaire de blocs ayant chacun un rôle précis et
permettant de former des messages clairs.
 Il présente un certain nombre d’échanges types, composés de tels messages, qui permettant des
négociations présentant des propriétés différentes : protection ou non de l’identité, Perfect Forward
Secrecy…

3.4) Algorithmes de cryptage :

Avant de s’étaler sur ces algorithmes, il faut tout d’abord comprendre ce qu’est la cryptographie.
La cryptographie est une technique qui permet de convertir les données d’un format lisible à un
format codé. Les données ne seront lisibles et décodées qu’avec la bonne clé de décryptage.
Le cryptage est important car il permet de protéger les données sensibles contre les cybercriminels,
et permet d’assurer que les activités Internet ne sont pas surveillées.
Il existe deux types de cryptographie :
- Symétrique : repose sur une clé publique et une clé privée identique.
 - Asymétrique : utilise différentes clés pour les processus de cryptage et décryptage.
Parmi les différents algorithmes de cryptage on a :
3.4.1) DES (Data Encryption Standard) :
Algorithme développé par IBM dans les années 1970 (Lucifer), adopté comme standard US par le
NBS en 1977.
Il s’agit d’un algorithme de chiffrement par bloc utilisant des clés de 56 bits. Son emploi n'est plus
recommandé aujourd'hui, du fait de sa lenteur à l'exécution et de son espace de clés trop petit
permettant une attaque systématique en un temps raisonnable.
3.4.2) 3DES :
Est un type de cryptographie informatisée où les algorithmes de chiffrement de bloc sont appliqués
trois fois à chaque bloc de données. La taille de la clé est augmentée en Triple DES pour assurer
une sécurité supplémentaire grâce à des capacités de cryptage. Chaque bloc contient 64 bits de
données. Trois clés sont appelées clés groupées avec 56 bits par clé.
3.4.3) AES (Advanced Encryption Standard) :
Également connu sous le nom d'algorithme de Rijndael, est un algorithme de chiffrement par
blocs symétrique qui prend du texte brut en blocs de 128 bits et les convertit en texte chiffré à l'aide
de clés de 128, 192 et 256 bits. Étant donné que l'algorithme AES est considéré comme sécurisé, il
fait partie de la norme mondiale.

3.5) Algorithmes de hachage :

Le hachage est la transformation d'une chaîne de caractères en valeur ou en clé de longueur fixe,
généralement plus courte, représentant la chaîne d'origine. Le hachage est notamment employé pour
indexer et récupérer les éléments d'une base de données. Il est en effet plus rapide de trouver
l'élément d'après la clé de hachage réduite plutôt qu'à l'aide de la valeur d'origine. Cette fonction est
également utilisée dans de nombreux algorithmes de chiffrement.
Plusieurs fonctions de hachage sont fréquemment utilisées dans le chiffrement, les plus fréquents
sont :

3.5.1) SHA : de son nom complet Secure Hash Algorithm, est un algorithme de hachage utilisé par
les autorités de certification pour signer certificats et CRL (Certificate Revocation List). Introduit en
1993 par la NSA avec le SHA0, il est utilisé pour générer des condensats uniques de fichiers.

Comme toute solution cryptographique, le SHA se doit d'évoluer en même temps que les capacités
de calcul de nos ordinateurs et éviter de devenir vulnérable.

Il existe donc plusieurs versions de SHA : SHA0, SHA1 (actuellement le plus utilisé), SHA2, et
enfin le tout dernier SHA3 né en 2012.

3.5.2) MD5 : pour Message Digest 5, un algorithme de hachage cryptographique qui permet
d'obtenir l'empreinte numérique d'un fichier (message).
Il été l’un des premiers algorithmes de hachage à être largement utilisé jusqu’à ce qu’il soit
compromis. En raison de ses nombreuses vulnérabilités, MD5 a été jugé impropre à une utilisation
ultérieure. Aujourd’hui, il ne sert qu’à vérifier les données contre une corruption accidentelle.
3.6) HMAC :

Un HMAC, en anglais Keyed-hash Message Authentication Code), est un type de code

d'authentification de message MAC calculé en utilisant une fonction de hachage cryptographique en
combinaison avec une clé secrète. Comme avec n'importe quel CAM, il peut être utilisé pour
vérifier simultanément l'intégrité de données et l'authenticité d'un message. N'importe quelle
fonction itérative de hachage, comme MD5 ou SHA-1, peut être utilisée dans le calcul d'un HMAC.
Le nom de l'algorithme résultant est HMAC-MD5 ou HMAC-SHA-1. La qualité cryptographique
du HMAC dépend de la qualité cryptographique de la fonction de hachage et de la taille et la qualité
de la clé.

Une fonction itérative de hachage découpe un message en blocs de taille fixe et itère dessus avec
une fonction de compression. Par exemple, MD5 et SHA-1 opèrent sur des blocs de 512 bits. La
taille de la sortie HMAC est la même que celle de la fonction de hachage (128 ou 160 bits dans les
cas du MD5 et SHA-1).

IV. Conclusion :
Les réseaux VPN sont la meilleure solution pour les entreprises pour la réalisation de leur réseau étendu.
L’étude que nous avons effectuée dans ce chapitre met en évidence que le VPN IPsec garantit la
confidentialité et l’intégrité et donc la sécurité du réseau. Il regroupe un ensemble de protocoles de
communication sécurisée conçue pour la protection des flux réseaux et en particulier pour établir
une communication privée (un tunnel) entre des entités distantes, séparées par un réseau réputé
non sûr ou public comme Internet.