Etude Et Mise en Place D'un VPN Nomade

`–
MÉMOIRE FIN DE FORMATION POUR L’OBTENTION DU

DIPLÔME DE LICENCE PROFESSIONNELLE
EN TIC
OPTION : TELECOMMUNICATIONS ET INFORMATIQUE
SPÉCIALITÉ : ADMINISTRATION SECURITE DES RESEAUX (ASR)
THÉME :
Étude et mise en place d’un VPN Nomade

pour BYOD
Sous la direction de : Présenté et soutenu par :

M. Haikreo Adjeoua M. Seydi Ahmed Tidiane DIOP
Enseignant Vacataire en
réseaux et sécurité a l’ESMT
Promotion 2019 – 2020

Aout 2022
DEDICACE
Je dédie ce mémoire :
A Mes très chers parents :
Ma mère pour son amour, son soutien, ses précieux conseils, son assistance, sa présence dans ma
vie et tous les efforts consacrés à l’éducation de ses enfants.
Mon père, pour toutes ces années de sacrifices et de durs labeurs afin de nous offrir toutes les
chances de réussir. Merci d’être un père exemplaire et surtout un homme exemplaire pour nous et
toute la famille.
Je ne pourrai jamais vous remercier assez. Je n’ai nul autre objectif dans la vie que de vous rendre
fier, cette fierté est synonyme de réussite ici-bas et dans l’au-delà. Puisse le bon Dieu vous accorde
santé et longévité et faire en sorte que votre travail porte ses fruits.
I
Etude et mise en place d’un VPN Nomade pour les BOYD
REMERCIEMENTS
Tout d’abord je remercie Allah le tout-puissant de m’avoir permis d’effectuer ce modeste travail.
Au terme de ce travail, fruit de mes efforts qui sanctionne la fin de ma formation de fin de cycle à
l’ESMT, j’exprime ma profonde gratitude envers tous ceux qui, de près ou de loin, ont apporté leur
prière et soutien à ma formation.
En particulier, mes remerciements vont à l’endroit de :
❖ Mes chers parents.

❖ Mes sœurs, Khadidiatou Coubra Diop et Maty Meissa Diop pour l’amour et le soutien que vous
m’avez toujours apporté.
❖ Mes oncles et tantes qui m’ont toujours soutenu.
❖ Mes grands-parents pour toutes leurs prières.
❖ A Mme Monsieur Hadjeoua, enseignant à l’ESMT qui a accepté de m’encadrer malgré ses
innombrables occupations.
❖ A Tout le personnel enseignant de l’ESMT, dont la connaissance et la compétence ont été une
véritable opportunité pour nous.
❖ Mes camarades de la Promotion LPTI 2019-2020, pour les moments agréables passés ensemble.
❖ Aux autorités académiques, pour leur apport direct et indirect à ce travail, sans lesquels je ne serai
pas arrivé au terme de cette formation.
II
GLOSSAIRE
BYOD Bring Your Own Device

CA Certificate Authority
DNS Domain Name System
DOS Denial Of Service
DDOS Distributed Denial Of ServiceS
IP Internet Protocol
IPSec Internet Protocol Security
LAN Local Area Network
LDAP Lightweight Directory Access Protocol
PKI Public Key infrastructure
NAS Network Access Server
SSL Secure Sockets Layer
TLS Transport Layer Security
UDP User Datagram Protocol
URL Uniform Resource Locator
VPN Virtual Private Network
WAN Wide Area Network
PPTP Point-to-Point Tunneling Protocol
L2TP Layer 2 Tunneling Protocol
AH Authentication Header
ESP Encapsulation Security Payload
III
Liste des Figures

FIGURE: 1. ILLUSTRATION DU BYOD .................................................................................................................... 5
FIGURE: 2. RISQUES TECHNIQUES LIES AU BOYD ................................................................................................. 9
FIGURE: 3. LES EXIGENCES DE LA SECURITE INFORMATIQUE CIA ....................................................................... 13
FIGURE: 4. LES OBJECTIFS DE LA SECURITE INFORMATIQUE .............................................................................. 14
FIGURE: 5. SCHEMA CRYPTOGRAPHIE A CLE SECRETE........................................................................................ 17
FIGURE: 6. SCHEMA CRYPTOGRAPHIE A CLE PUBLIQUE ..................................................................................... 18
FIGURE: 7. SIGNATURE NUMERIQUE ................................................................................................................. 22
FIGURE: 8. SCENARIOS D’UTILISATION D’UN VPN ............................................................................................. 29
FIGURE: 9. VPN SITE TO SITE.............................................................................................................................. 30
FIGURE: 10. VPN ACCES NOMADE ....................................................................................................................... 31
FIGURE: 11. VPN EXTRANET ................................................................................................................................ 33
FIGURE: 12. TUNNEL VPN .................................................................................................................................... 37
FIGURE: 13. ARCHITECTURE D’UNE CONNEXION NOMADE ................................................................................. 44
IV
Liste des captures

CAPTURE 1. CREATION AUTORITE DE CERTIFICATION ............................................................................................. 45
CAPTURE 2. AJOUT DE L’AUTORITE DE CERTIFICATION ........................................................................................... 45
CAPTURE 3. PARAMETRES DE L’AUTORITE DE CERTIFICATION ................................................................................ 46
CAPTURE 4. CREATION DU CERTIFICAT SERVEUR .................................................................................................... 47
CAPTURE 5. PARAMETRE DU CERTIFICAT SERVEUR ................................................................................................ 48
CAPTURE 6. CERTIFICAT SERVEUR CREER ................................................................................................................ 49
CAPTURE 7. CREATION DES CERTIFICATS UTILISATEURS ......................................................................................... 50
CAPTURE 8. UTILISATEUR CREER DANS LA BASE LOCALE ........................................................................................ 51
CAPTURE 9. CREATION DU VPN .............................................................................................................................. 51
CAPTURE 10. CONFIGURATION DES PARAMETRES VPN .......................................................................................... 53
CAPTURE 11. CONFIGURATION DES PARAMETRES DE CRYPTAGE ........................................................................... 54
CAPTURE 12. CONFIGURATION DES ADRESSES IP ................................................................................................... 55
CAPTURE 13. AUTORISATION DE LA RESOLUTION DNS ........................................................................................... 57
CAPTURE 14. INSTALLATION DU PACKAGE OPENVPN-CLIENT-EXPORT ................................................................... 59
CAPTURE 15. EXPORTATION DE LA CONFIGURATION ............................................................................................. 61
CAPTURE 16. CONTENU DU FICHIER EXPORTER ...................................................................................................... 61
CAPTURE 17. CREATION DES REGLES DU PARE-FEU ................................................................................................ 62
CAPTURE 18. CREATION DES REGLES DU PARE-FEU SUITE ...................................................................................... 62
CAPTURE 19. AUTORISER LES FLUX VERS LES RESSOURCES ..................................................................................... 64
CAPTURE 20. AUTORISER LES FLUX VERS LES RESSOURCES SUITE ........................................................................... 64
CAPTURE 21. INSTALLATION D’OPENVPN ............................................................................................................... 65
CAPTURE 22. EXTRACTION DU FICHIER DE CONFIGURATION .................................................................................. 66
CAPTURE 23. CONNEXION A PARTIR DU CLIENT OPENVPN ..................................................................................... 66
CAPTURE 24. AUTHENTIFICATION DE L’UTILISATEUR .............................................................................................. 67
CAPTURE 25. CONNEXION REUSSIE......................................................................................................................... 67
V
Liste des tableaux

TABLEAU 1. CONTENU D’UN CERTIFICAT NUMERIQUE ........................................................................................... 23
TABLEAU 2. COMPARATIF DES PROTOCOLES VPN .................................................................................................. 42
VI
AVANT-PROPOS
L’Ecole Supérieure Multinationale des Télécommunications (ESMT) située à Dakar, a été créée en
1981 à l’initiative de sept pays d’Afrique de l’Ouest (Bénin, Burkina Faso, Mali, Mauritanie, Niger,
Sénégal, Togo), dans le cadre d’un projet du Programme des Nations Unies pour le développement
(PNUD), avec le soutien de l’UIT, et de la coopération française, canadienne et suisse. La Guinée
Conakry a rejoint les membres fondateurs en 1998.
L’ESMT est une institution multinationale qui a pour vocation de former des diplômés (Techniciens
supérieurs, Licences Professionnelles, Ingénieurs, Masters, Mastères spécialisés) dans les domaines
techniques et managériaux des télécommunications/TIC. Elle accueille en formation initiale ou
continue des stagiaires qui proviennent de l’ensemble des pays francophones d’Afrique, recrutés au
niveau des écoles, des universités ou directement chez les opérateurs de télécommunications.
Les trois (3) années passées à l’ESMT dans le cadre de notre formation, ont été une opportunité
enrichissante. Cette formation nous a permis d’acquérir de nombreuses connaissances et de
développer de nouvelles compétences dans le domaine des télécommunications et informatique et
aussi dans celui du management grâce à l’expérience des enseignants de l’ESMT. Sur le plan socio-
culturel, ces trois années nous ont permis de tisser de nouvelles relations et de côtoyer de multiples
cultures.
A l’issue de la formation, les étudiants travaillent sur un projet de mémoire qui fait l’objet d’une
soutenance devant un jury. Cette formation est conforme au standard LMD.
Le présent mémoire, dont le sujet est « Étude et mise en place d’un VPN pour BOYD, rentre dans le
cadre de l’obtention d’un diplôme de Licence Professionnelle en Télécommunications et
Informatique (LPTI), option Administration et Sécurité des Réseaux (ASR).
VII
SOMMAIRE
DEDICACE .................................................................................................................................................................. I
REMERCIEMENTS ...................................................................................................................................................... II
GLOSSAIRE ...............................................................................................................................................................III
LISTE DES FIGURES .................................................................................................................................................. IV
LISTE DES CAPTURES ................................................................................................................................................ V
LISTE DES TABLEAUX ............................................................................................................................................... VI
AVANT-PROPOS ..................................................................................................................................................... VII
SOMMAIRE ........................................................................................................................................................... VIII
INTRODUCTION ........................................................................................................................................................ 1
CHAPITRE 1. PRESENTATION DU NOMADISME NUMERIQUE ET DU PHENOMENE DE BOYD ..................................... 3
1.1. PROBLEMATIQUE ET DEFINITION ................................................................................................................................... 3
CHAPITRE 2. GENERALITES SUR LA SECURITE INFORMATIQUE ................................................................................ 11
2.1. PRESENTATION DE LA SECURITE INFORMATIQUE............................................................................................................. 11

2.2. SYSTEME CRYPTOGRAPHIQUE..................................................................................................................................... 16
CHAPITRE 3. ÉTUDE SUR LES RESEAUX PRIVES VIRTUELS (VPN). ............................................................................. 25
3.1. GENERALITES SUR LES VPN ....................................................................................................................................... 25

3.2. FONCTIONNEMENT D’UN VPN................................................................................................................................... 27
3.3. UTILISATION DES VPN ? ........................................................................................................................................... 28
3.4. LE TUNNELING ........................................................................................................................................................ 37
3.5. LES PROTOCOLES DE TUNNELISATION ........................................................................................................................... 38
CHAPITRE 4. CONCEPTION ET IMPLEMENTATION DES SOLUTIONS ADAPTEES ........................................................ 43
4.1. PRESENTATION DES SOLUTIONS ADAPTEES .................................................................................................................... 43

4.2. INSTALLATION ET CONFIGURATION DES SOLUTIONS RETENUES .......................................................................................... 44
4.3. CREER LES REGLES DE FIREWALL POUR OPENVPN .......................................................................................................... 61
4.4. TESTER L’ACCES DISTANT DEPUIS UN POSTE CLIENT ......................................................................................................... 65
CONCLUSION .......................................................................................................................................................... 68
BIBLIOGRAPHIE.......................................................................................................................................................... I
VIII
WEBOGRAPHIE ......................................................................................................................................................... II
TABLE DES MATIERES ..............................................................................................................................................III
IX
Introduction
De nos jours, la communication est un outil indispensable voir incontournable pour les entreprises.
Avec l’évolution du temps et avec le développement d’internet les besoins en communication des
entreprises ont beaucoup évolué ce qui fait que la quantité et la qualité des informations échangée
augmente. Grâce aux performances toujours plus importante des réseaux locaux, les entreprises ont
de plus en plus des sites répartis sur de grande distances géographiques en ouvrant leur système
d’information à leurs partenaires. Les applications et les systèmes distribués font partie intégrante
de la structure d’un grand nombre d’entreprise. Il est donc primordial de connaitre les ressources de
l’entreprise à maitriser et à protéger.
Un autre élément très important a vu le jour :

Le nomadisme numérique qui représente toute forme d’utilisation des technologies de l’information
permettant à un utilisateur doté d’une connexion internet d’accéder au système d’information de son
entreprise depuis des lieux distants (ces lieux n’étant pas maîtrisés par l’entité).
Dans le contexte que nous vivons aujourd’hui, par souci de réduction des coûts immobiliers, et par
volonté de flexibilité, le télétravail, le nombre croissant des espaces de coworking et la tendance de
plus en plus forte des BYOD ne cesse de prendre de l’ampleur et est à l’ordre du jour au niveau des
directions informatiques.
De ce point de vu il est primordial de trouver une technique d’interconnexion de ces réseaux locaux
afin que l’emplacement géographique ne soit plus un handicap pour l’accès aux informations de
l’entreprise. Le besoin fondamental d’interconnecter ces derniers a donné naissance à de
nombreuses technologies comme les liaisons spécialisées, la fibre optique, les réseaux VSAT, les
VPN etc… qui sont reliées de plus en plus à Internet qui est le réseau informatique mondial
accessible au public. Internet constitue un risque pour les entreprises qui travaillent la plupart du
temps sur des données à caractère sensible du fait qu’il n’a pas la vocation d’être une zone sécurisée
et les informations qui y circulent sont en clair et non cryptées. Si les appareils nomades sont
appréciés et utiles parce qu’ils simplifient souvent les tâches quotidiennes, leur usage expose
cependant l’entreprise et ses partenaires à des risques nouveaux de perte ou de captation
1
d’informations stratégiques qu’il est nécessaire de bien maîtriser en prenant certaines précautions
élémentaires.
Cela nous amène à réfléchir sur les aspects suivants :

• Étant donné que les applications et les systèmes distribués sont devenu les outils principaux
du Système d’Information SI de l’entreprise, comment assurer leur accès sécuriser au sein
de structure reparties sur de grande distances géographiques ?
• Ensuite puisqu’un utilisateur nomade a un besoin constant d’accéder à des ressources de

l’entreprise, comment lui permettre de se connecter de manière sécuriser à son entité
d’appartenance partout à travers le monde sur la base d’une connexion internet ?
• Enfin comment sécuriser ces accès distants au SI de l’entité, afin de gérer les besoins de
confidentialité et d’intégrité des données, ainsi que l’authentification des utilisateurs ?
Dans le cadre de cette recherche nous allons étudier la technologie VPN et ses différents protocoles
dans l’objectif de créer une connexion sécurisée dans un canal de communication non sécurisée afin
de répondre aux différentes questions ci-dessus soulevées.
Le travail sera réparti comme suit :

En premier lieu on va proposer une présentation du nomadisme et du phénomène BYOD en passant
par les définitions et les risques liés à ce phénomène. Ensuite nous allons essayer d’élucider les
aspects de base sur la sécurité informatique. Par la suite on va présenter un chapitre sur le
fonctionnement des VPN (réseaux privé virtuel), ses différents protocoles de tunnelisation et leur
configuration, pour enfin proposer une architecture, expliquer les différents éléments d’une
infrastructure de connexion nomade et finalement faire une mise en pratique d’une connexion VPN
sécuriser.
2
Chapitre 1. Présentation du nomadisme numérique et du

phénomène de BOYD
Le développement du nomadisme et du télétravail ne cesse de prendre de l’ampleur ces dernières
années, et est aujourd’hui au centre des réflexions des directions informatiques. Un nombre croissant
d’espaces de cotravail (ou co-working) voit également le jour, par souci de réduction des coûts
immobiliers, et par volonté de flexibilité. Cela nous amène à réfléchir sur la manière de sécuriser ces
accès distants au système d’information (SI) de l’entité, afin de gérer les besoins de confidentialité
et d’intégrité des données, ainsi que l’authentification des utilisateurs.
1.1. Problématique et définition
Le développement des ordinateurs portables, l'accroissement de la puissance d'Internet,

le développement des technologies de réseau sans-fil, la convergence avec les technologies
de téléphonie et leur disponibilité de plus en plus grande aussi bien dans des lieux publics, privés
ou professionnels, ont mis à la disposition de chacun de nous des outils puissants que nous nous
sommes vite appropriés parce qu'ils nous procurent un potentiel énorme qui a
naturellement rencontré une caractéristique majeure de notre activité professionnelle : la mobilité.
Les entreprises ont un territoire professionnel qui ne se limite pas à une seule zone géographique.
Les technologies facilitant la continuité de leur activité professionnelle et la capacité de
garder un cordon ombilical avec leurs différents sites pour partager et permettre l’accès à toutes
leurs ressources, de partout et à tout moment, rencontrent naturellement un grand succès.
L'ordinateur portable est devenu un bureau mobile. Cette situation entraîne des bouleversements qui
ne peuvent pas être sans conséquence sur nos organisations informatiques. De nouveaux problèmes
et de nouveaux risques sont apparus, qui ont compromis les repères habituels. Il est désormais
important de susciter une véritable politique du nomadisme apte à favoriser de façon responsable le
développement et l'usage des technologies liées au nomadisme. L'objectif de ce rapport est de faire
une étude de la situation perceptible aujourd'hui.
3
1.1.1. Définition du nomadisme
Le nomadisme numérique désigne toute forme d’utilisation des Technologies de l’information

permettant d’accéder aux médias et informations numériques d’une entreprise depuis des lieux
distants, ces lieux non maitrisés par l’entreprise.
On peut considérer que l'on se trouve en situation de nomadisme dès lors que des ressources
informatiques professionnelles (matériels, logiciels, données) sortent du périmètre central du
système d'information d'une unité ou bien sont utilisées depuis l'extérieur de ce périmètre de façon
autonome ou connectée. Il se traduit par l’utilisation en forte croissance de produits tels que les
ordinateurs portables, les smartphones, tablettes etc. Diverses applications et services en ligne
s'adaptent à ce nouvel usage de l'internet. Le nomadisme numérique permet aussi de nouvelles
formes de travail et d’éducation, (formation à distance, télétravail, travail collaboratif). C'est à partir
de cette définition que nous allons introduire le phénomène du BYOD.
1.1.2. Présentation du phénomène BOYD
Que ce soit dans le milieu de l’entreprise ou de l’éducation, les équipements BYOD deviennent de
plus en plus important pour communiquer, coopérer, enseigner et interagir.
BYOD signifie « Bring Your Own Device », il peut se traduire en français par AVEC « Apportez
Vos Appareils Personnels ». Ce phénomène récent concerne la politique informatique dont les
entreprises gèrent l’introduction des appareils mobiles (des smartphones, des ordinateurs portables
et plus récemment, des tablettes) par les salariés, en utilisant le VPN de l'entreprise dans la plupart
des cas pour effectuer des taches professionnelles. Le phénomène du BYOD est également appelé
« consumérisation de l’informatique », expression qui souligne bien les difficultés auxquelles sont
confrontées les directions informatiques lorsque des périphériques grand public de toutes sortes
accèdent à leurs réseaux en lieu et place des ordinateurs parfaitement gérés, contrôlés et sécurisés
du passé.
4
Source : https://www.sekurigi.com/wp-content/uploads/2017/05/Le-BYOD-et-le-Cloud-font-
partie-des-solutions-de-collaboration-pour-2017.jpg
Figure: 1. Illustration du BYOD
Avant le BYOD, les organisations fournissaient à leurs employés tous les programmes et les outils
matérielles nécessaires à la productivité, tout en garantissant leur administration et leur sécurité. Ces
appareils mobiles étaient la propriété de l’organisation et donnaient généralement accès au système
d’information par l'intermédiaire d'une interface de gestion rigoureuse souvent spécifique et
sécurisée pour le type de terminal proposé aux collaborateurs. L’adoption massive de la technologie
mobile et l'utilisation de plus en plus étendue des réseaux sociaux a fait qu’avec le BYOD, les
employés apportaient au bureau leur équipements mobiles personnels variés (smartphones, tablettes
tactiles et ordinateurs portables) sont, dans certaines organisations, autorisés à accéder aux systèmes
d’information de l’organisation pour stocker, recevoir ou d'envoyer des e-mails et autres
informations qui peuvent être stratégiques. Les collaborateurs apprécient cette flexibilité et la
possibilité de combiner leurs équipements privés aux équipements nécessaires à leur vie
professionnelle. Ce qui n’est pas sans causer quelques problématiques liées à la sécurité du système
d’information.
5
1.1.3. BOYD : Risques, Avantages et Inconvénients
1. Les avantages
Bien que le BYOD représente des dangers significatifs, l’intégration d’une telle démarche dans le
cadre d’une stratégie informatique offre de nombreux avantages à la fois aux entreprises et à leurs
employés. Les principaux avantages que présente l’adoption du BYOD sont :
• Amélioration de la productivité
L’utilisation par les employés des périphériques mobile performant à des fins personnelles
et professionnelles est un facteur permettant un gain de productivité et de temps. De même,
lorsqu’un problème technique se présente, les employés sont bien souvent en mesure de le
résoudre eux-mêmes car ils connaissent et maîtrisent leurs équipements.
• Réduction des coûts

Beaucoup d’entreprises c’est en tentant de restreindre l’accès des employés à partir d’un
périphérique personnel que les directions informatiques accroissent leurs coûts. La démarche
BYOD permet aux directions informatiques d’alléger leurs couts d’investissement en
réduisant leurs charges d’acquisition et de gestion, lorsque les matériels utilises sont acheté
par les salariés eux-mêmes. Elle permet également de réduire significativement les couts lie
à la maintenance puisque l’employé en assure lui-même tout ou partie.
• La Flexibilité
Il est aussi important de bien noter que le BYOD un élément de flexibilité dans l’exécution
des missions professionnelles. Il offre également la possibilité d'avoir une gestion plus
simple du travail. Le salarié reste joignable, il peut travailler en dehors des heures
d'ouverture, il peut travailler en télétravail. Enfin, les salariés ont la connaissance de
l'appareil qu'ils utilisent. Il sera plus aisé de les former sur des nouveaux logiciels via un
appareil qu'ils maîtrisent.
6
2. Les Inconvénients
Si la pratique du phénomène BYOD présente des avantages, il a aussi ses propres inconvénients liés
surtout à l’accès et à la sécurité des données.
• Problèmes juridiques et protection des données personnelles et professionnelles

Les équipements professionnels, quand ils sont fournis par l’entreprise, sont limités à une
utilisation professionnelle et à un temps de travail défini, l’utilisation d'un appareil personnel
à des fins professionnelles peut brouiller la frontière entre votre vie privée et votre activité
de salariée. L’utilisation d’un bien personnel dans le cadre de l’activité professionnelle
soulève de nombreux problèmes d’ordre juridique tel que :
• A qui incombe la responsabilité de sécuriser les appareils ?
• L’entreprise peut-elle imposer à ses employés l’installation de certains logiciels ?
• En cas d’intrusion dans le SI et en cas de vol du matériel qui est ce qui doit être
responsable ?
• Qui est propriétaire des données professionnelles stocker dans l’appareil de

l’employer
De ces interrogations on constate un vide juridique introduit par le BYOD, donc l’entreprise
doit prévoir dans sa politique informatique des mesures prenant en considération un certain
nombre de points importants comme : l’organisation de la protection des appareils mobiles
personnels, organiser les mesures de contrôle des données professionnelles sur le device
mobile du salarie, définir la propriété et les règles d’accès aux données professionnelles
stocke dans l’appareil du salarié.
• L’accès et la sécurité des données

La pratique BYOD dans les entreprises présentes d’énormes inconvénients liés à l’aspect
sécuritaire des données, parmi lesquelles on peut citer :
• La perte/vol de support personnel contenant des donnes a caractères professionnels
• Accès internet au travers de bornes Wi-Fi non sécurisées
• Risques d’intrusion et propagation de virus et malware dans le système d’information
de l’entreprise.
7
Les employeurs sont responsables de la sécurité des données de leur entreprise. Lorsqu’un
salarié utilise ses propres outils, il y a donc des précautions à prendre, cela doit se faire
dans le respect des règles imposées par l'entreprise. De la même manière, le salarié doit
pouvoir être sûr que ses données personnelles ne seront pas accessibles à son entreprise.
• Coûts supplémentaires
L’usage du BYOD la mise en place d’une infrastructure adéquate et performant pouvant
répondre au besoin des usagers et offrant une bonne qualité de services. Ce qui implique la
mise en place d’un réseau Wi-Fi efficace et un réseau VPN répondant au besoin de sécurité
d’accès à distance. Ce qui peut augmenter considérablement les couts du service
informatique lié à la gestion et à la sécurisation du système d’information sans oublier les
surcouts en support technique due à l’utilisation de nouveaux outils.
3. Les Risques
Avec l’avènement des nouvelles technologies, la pratique du BYOD devient de plus en plus
fréquente. Ce qui induit perpétuellement de nouveaux risques liés à la sécurité du système
d’information avec des conséquences potentielles plus grave auxquels l’organisation doit faire face.
L’enjeu est de maintenir la sécurité et la confidentialité des données sur des dispositifs qu'elle ne
possède pas et qu’elle ne contrôle que très partiellement. Les risques techniques de sécurité sont
notamment :
• La fuite de données sensibles et l’impact sur la propriété intellectuelle ;
• La perte de données de l'organisation à partir d'appareils appartenant aux collaborateurs lors
de la cessation de l'emploi ou encore lors de la perte ou du vol du terminal
• L’indisponibilité du l’infrastructure et des données par contamination du BYOD
(propagation de malware) ;
• L’usurpation d’identité par une utilisation malveillante du terminal (intrusion).
8
Source : https://www.clubdsi.ci/Publications/CDSI_ESATIC_BYOD.pdf
Figure: 2. Risques techniques liés au BOYD
Ces risques techniques sont généralement causés par :
• Le manque de sécurisation des terminaux personnels et le manque de contrôle d’accès sur

les appareils mobiles personnels ;
• À l’accès injustifié depuis ces terminaux à des applications critiques de l’organisation ;

• À l’incapacité technique et organisationnelle à maintenir l’ensemble des postes ;
• À l’augmentation de la surface d’attaque et d’intrusion ;
• Au manque de sauvegarde des dispositifs de BYOD appartenant aux collaborateurs.
La principale caractéristique du nomadisme est le degré d’exposition de l’information, en raison de

la localisation de l’utilisateur dans des lieux non maitriser et n’ayant pas les moyens de protection
physique habituellement mis en œuvre dans les locaux de l’entité. Le lieu de connexion du
9
travailleur nomade peut présenter des niveaux de sécurité variables selon l’environnement. Cela
dépend non seulement de la protection physique et logique du lieu mais également du fait que les
locaux sont partagés ou non entre plusieurs entités. Un des cas les plus sensibles est celui où
l’utilisateur travaille depuis un espace complètement ouvert au public.
Afin que l’entreprise ne soit pas mise en danger par le déploiement d’outils non validés, tous ces
aspects doivent être prise en compte dans la politique informatique de l’entreprise pour une
meilleure sécurisation des appareils et réduire la probabilité que ces risques peuvent subvenir et
atteindre le fonctionnement du système d’information. La non délimitation dans la politique du
système d’information de l’utilisation des appareils personnels, des logiciels au sein de
l’environnement professionnel et le non contrôle sur l’utilisation et l’accès aux données à caractère
sensible stocker sur l’appareil mobile pourrait engendrer des risques et menaces plus conséquents
tel que le shadow IT.
1.1.4. Solutions et Mesures techniques
En considération des risques évoqué, l’entreprise doit intégrer dans sa politique de sécurité des
systèmes d’information des mesures spécifiques au nomadisme pour encadrer la pratique du BYOD,
c’est-à-dire redéfinir les objectifs de sécurité à atteindre, mettre en place des techniques de maitrise
de risque, définir les acteurs concernés ainsi que les moyens mis en œuvre pour accomplir la cible
de sécurité de son SI nomade et garder en toute circonstances le contrôle d’accès au réseau et les
données y étant accessibles.
L’objectif de ces mesures d’encadrement est de tendre vers un niveau de sécurité le plus proche
possible à celui du système d’information interne tout en prenant compte les terminaux mobiles et
ses besoins sur la productivité.
10
Chapitre 2. Généralités sur la Sécurité Informatique

Dans ce chapitre, nous essayerons dans un premier temps à présenter la sécurité informatique captif
en donnant sa définition, de décrire ses fonctionnements, de donner ses caractéristiques ainsi que ses
avantages et inconvénients puis de faire une étude détaillée de quelques sécurité informatique.
2.1. Présentation de la sécurité informatique

2.1.1. Définition et contexte d’études
A l’heure de la haute disponibilité des donnés, avec l’évolution de l’internet, beaucoup d’individus
ont accès au réseau ou de plus en plus d’informations circulent. Les entreprises, que ce soit dans
leurs échanges avec leurs fournisseurs, ou en interne dans les relations entre les employés, sont
obligés de communiquer et de diffuser via ce media. Il est donc essentiel de connaître les ressources
de l'entreprise à protéger et évaluer les risques spécifiques à l’infogérance afin de prendre en compte
les besoins et mesures de sécurité adaptés. Le transport de donnés en dehors d’une entreprise à
travers l’internet mérite que l’on s’interroge sur la sécurité des transmissions pour ne pas
compromettre un système d’information.
La sécurité des systèmes d’information (SSI) ou plus simplement sécurité informatique, fait allusion
a tout ce qui a trait pour se protéger aux actes de malveillances dans le but de réduire la vulnérabilité
d’un système d’information et le protéger contre les menaces intentionnelles ou accidentelles. Donc
on peut dire que c’est l’ensemble des moyens techniques, organisationnels, juridiques et humains
nécessaires pour assurer que les ressources du système d'information d'une organisation sont
utilisées uniquement dans le cadre où il est prévu et à empêcher l'utilisation non autorisée, le
mauvais usage, la modification ou le détournement du système d'information.
Le facteur humain est un maillon a part entière de la chaine des systèmes d’information. Ces moyens
techniques doivent inclure également, de solutions de prévention de tel sorte que tous les acteurs du
système soient en mesure de comprendre les enjeux de sécurité, les règles à respecter et les bons
comportements à adopter en matière de sécurité des systèmes d’information à travers des actions de
sensibilisation et de formation pour ne pas créer de brèche humaine.
11
La sécurité n’est plus une option. À ce titre, les enjeux de sécurité numérique doivent se rapprocher
des préoccupations économiques, stratégiques ou encore d’image qui sont celles des décideurs Dans
une entreprise, le système d’information joue un rôle primordial parce qu’il définit l’ensemble de
son patrimoine (donnés, ressources matérielles et logicielles…). En quelques sorte on peut dire que
c’est la valeur de l’entreprise. Il est essentiel donc d'assurer sa sécurité en permanence surtout en
cas de menaces et que les ressources servent uniquement dans le cadre prévu, par les personnes
accréditées et pas dans un autre but.
Pour sécuriser leur système d'information, les entreprises doivent adopter une démarche évolutive
et régulière la démarche adopte une spirale évolutive régulière qui consiste à :
• Evaluer les risques : l'outil informatique est devenu indispensable pour les entreprises, d'où
la nécessité d'en assurer la sécurité, et de la protéger contre les risques liés à l'informatique.
Or, comme on ne se protège efficacement que contre les risques qu'on connaît, il importe de
mesurer ces risques, en fonction de la probabilité ou de la fréquence de leur apparition et de
leurs effets possibles. Chaque organisation a intérêt à évaluer, même grossièrement, les
risques qu'elle court et les protections raisonnables à mettre en œuvre.
• Avoir une bonne politique de sécurité : À la lumière des résultats de l'analyse de risques,
la mise en place d’une Politique de Sécurité du Système d’Information (PSSI) est la clé de
voûte de toute entreprise qui ambitionne de déployer des solutions adaptées en matière de
sécurité informatique. La PSSI : permet de définir le cadre d'utilisation des ressources du
système d’information, en passant par l’identification des techniques de sécurisation à mettre
en œuvre dans les différents services de l'organisation, sans pour autant oublier la
sensibilisation des utilisateurs à la sécurité informatique.
• Mettre en place une bonne technique de sécurisation : Elles assurent la disponibilité,

l’intégrité et la confidentialité. Elles incluent : Audit de vulnérabilités à travers les essais de
pénétration, la sécurité des données grâce aux techniques de chiffrement, d’authentification
et de contrôle d'accès, la sécurité du réseau à travers des pare-feu, IDS et un plan de reprise
des activités.
12
2.1.2. Les objectifs de la sécurité informatique
L’objectif de la sécurité informatique est d’assurer que les ressources matérielles et/ou
logicielles d’un parc informatique sont uniquement utilisées dans le cadre prévu et par des
personnes autorisées. Cependant il nous convient d’identifier les exigences fondamentales en
sécurité informatique.
Pour cela on va se référer au principe de la triade ou CIA qui est le fondement de la sécurité de
l'information. C’est un modèle conçu pour guider les politiques de sécurité de l'information au
sein d'une organisation. Les éléments de la triade, confidentialité (Confidentiality), intégrité
(Integrity) et disponibilité (Availability) sont considérés comme les trois composantes les plus
cruciales de la sécurité informatique.
Source : https://www.preferreditgroup.com/2019/08/27/the-three-goals-of-cyber-security-cia-
triad-defined/
Figure: 3. Les exigences de la sécurité informatique CIA
13
Mais pour parler pleinement de sécurité informatique nous verrons cinq grands principes de la
sécurité informatique à savoir :
Source : https://protectam.fr/iso-27001/clause-6-2-objectifs-securite-information-et-
planification/
Figure: 4. Les objectifs de la sécurité informatique
La confidentialité : (l’information ne peut être lue par une personne non autorisée)
C’est propriété selon laquelle l'information n'est pas diffusée ni divulguée à des personnes, des
entités non autorisés. Toute interception ne doit pas être en mesure d'aboutir. Il fait référence à
la protection des données sensibles, ce qui veut dire préserver des informations secrètes, qui
peuvent aller de la propriété intellectuelle d'une société à la collection photo personnelle d'un
utilisateur. Tout ce qui attaque la capacité de chacun à préserver ce qu'il veut garder secret est
une attaque contre la confidentialité.
L’intégrité : (l’information ne peut être modifiée par une personne non autorisée)
Il s'agit de conserver la cohérence, la précision et la fiabilité des informations tout au long de
leur cycle de vie. L'intégrité consiste à s'assurer que les données n'ont pas été modifiées
relativement à leur forme authentique durant leur transmission, il faut garantir à chaque instant
que les données qui circulent sont bien celles que l'on croit. Les attaques contre l'intégrité sont
celles qui essaient de modifier une information en vue d'une utilisation ultérieure. Des
14
modifications de prix dans une base de données commerciale ou la modification du niveau de

paie de quelqu'un sur une feuille de calcul de tableur sont des exemples de ce type d'attaque.
La disponibilité :
La disponibilité est un élément tout à fait critique du puzzle CIA. Il implique que les utilisateurs
ayant l'autorisation d'accéder aux données puissent le faire chaque fois que c'est
nécessaire. Les attaques contre la disponibilité sont celles qui font que la victime ne peut plus
accéder à une ressource particulière. L'exemple le plus célèbre de ce type d'attaque est le déni
de service (Denial of Service ou DoS). Le principe, c'est qu'avec ce type d'attaque rien n'est volé
ni modifié. L'attaquant vous empêche d'accéder à tous les services visés. Les ressources
attaquées peuvent être un serveur isolé ou bien même un réseau entier dans le cas des attaques
basées sur la bande passante (Distributed Denial of Service ou DDoS).
L’authentification : : (l’information est attribuée à son auteur légitime.)

C’est la procédure permettant à un système informatique de vérifier ou bien de confirmer
l’identité d’une personne ou d’un ordinateur et d’autoriser l’accès de cette entité à des ressources
(systèmes, réseaux, applications). Donc sa consiste à Identification d’un utilisateur et
vérification de ses droits d’accès aux services d’un système informatique.
La non-répudiation : (l’information ne peut faire l’objet d’un déni de la part de son auteur.)
Elle consiste en l’assurance qu’une transaction réalisée au nom d’un utilisateur (après
authentification) ne saurait être répudiée par ce dernier. La non-répudiation de l'origine et de la
réception des données prouve que les données ont bien été reçues. Cela se fait par le biais de
certificats numériques grâce à une clé privée.
Ces aspects et ou services de sécurité sont garantis par la cryptographie, sauf la disponibilité qui
se fait à travers une maintenance rigoureuse de l'ensemble du matériel, faire les réparations
aussitôt que le besoin se ressent et maintenir un environnement d'exploitation en état de
fonctionnement tout en évitant les conflits logiciels.
15
2.1.3. Notions de cryptographie
La sécurité des systèmes d’information de tout notre écosystème numérique est garante de la
confiance accordée aux technologies actuelles et à venir. Messagerie électronique, e-commerce,
procédures en ligne sont autant d’applications de tous les jours à travers lesquelles on recourt, plus
ou moins consciemment, à des moyens de cryptographie, mesures de sécurité au premier rang
desquelles figure le chiffrement.
La cryptographie est l’une des disciplines de la cryptologie (science des secrets). C’est l’ensemble
des procédés visant à transformer (crypter), au moyen d’un algorithme de chiffrement, un message
dit clair en un message chiffré dans le but de permettre deux interlocuteurs d’échanger de manière
confidentielle et sécurisée, pourvu qu’ils possèdent la clé leur permettant de chiffrer et/ou de
déchiffrer leurs messages. Mis à part le chiffrement, elle sert aussi d’autres applications telles que
l’authentification et la signature numérique des messages, ayant toutes pour finalité le traitement, le
stockage ou la transmission sécurisée de données. La sécurité des systèmes d’information toute
entière et donc la cryptographie poursuit quatre objectifs essentiels (Confidentialité ;
Authenticité ; Intégrité et la Non-répudiation) qui, lorsqu’ils sont tous atteints, garantissent une
sécurité optimale à l’utilisateur. On décrit ici, de manière très simple, les mécanismes logiques
qui permettent de réaliser ces fonctions de sécurité.
2.2. Système cryptographique
On distingue deux types de crypto systèmes : les cryptosystèmes symétriques (dit a clé secrète) et
les crypto systèmes asymétriques (dit à clé publique).
2.2.1. Système symétrique
Dans la cryptographie symétrique, deux interlocuteurs souhaitant communiquer de manière

confidentielle vont utiliser une même clé pour chiffrer et déchiffrer leurs messages. On parle
16
dans ce cas de système a clé secrète. Le principe consiste à appliquer un algorithme sur les
données à chiffrer à l’aide d’une clé privée afin de les rendre inintelligible. On transmet le
message au destinataire en lui fournissant la clé privée pour qu’il puisse déchiffrer le message.
Source : https://librecours.net/module/culture/intro-chiffrement/chiffrement-sym.xhtml
Figure: 5. Schéma cryptographie a clé secrète
Avantages :
− Le chiffrement symétrique a pour principal avantage d’être rapide et robuste s’il est
bien conçu.
Inconvénients :
− Il présente des risques non négligeables du fait que la sécurité du système symétrique
repose sur le secret de la clé. Donc le problème qui se pose est la transmission de
cette clé d’un interlocuteur a l’autre sans risque d’être interceptée par un tiers.
− Autre limite est que ce système suppose le partage d’autant de clés qu’il y’a de paires
de correspondants. Donc pour N correspondants il est nécessaire de distribuer un
𝑵−𝟏
nombre de clés égal a 𝑵 ∗ .
𝟐
2.2.2. Système asymétrique
Le principe des systèmes asymétriques est fondé sur la complexité de résolution de certains
problèmes mathématiques. Les problèmes complexes auxquels nous faisons référence sont la
17
factorisation d’un nombre entier formé de grands facteurs premiers (RSA), la résolution d’un
logarithme discret sur un corps fini (El Gamal, DSA), ou encore la résolution d’un logarithme
discret sur une courbe elliptique (ECDSA). Le principe général de tous ces systèmes est que
chaque partenaire souhaitant communiquer dispose d’un couple de clés complémentaires,
nommées respectivement la clé publique et la clé privée. Les deux éléments du couple sont liés
par des caractéristiques mathématiques très précises qui rendent les deux clés complémentaires,
et l’ensemble unique pour un partenaire donné.
Dans la cryptographie asymétrique ou à clé publique, au lieu de faire reposer la sécurité sur un
secret partager, on dispose d’un couple de clés. Grace a cette propriété, ce qui est chiffré avec
la clé publique ne peut être déchiffre qu’avec la clé prive. Maintenant imaginons que deux
interlocuteurs souhaitent échanger un secret contenu dans un coffre-fort qui se ferme au moyen
d’un cadenas, nul besoin de posséder la clé du cadenas puisqu’il suffit de la clipser. Ce procédé
de fermeture, symbolise dans ce cas la clé publique qui vous a préalablement été transmise par
votre interlocuteur. En revanche seul votre interlocuteur pourra accéder au contenu du coffre
grâce a une clé qu’il est le seul à posséder et qui est aussi l’unique moyen de déverrouiller le
cadenas : la clé privée.
Source : https://librecours.net/module/culture/intro-chiffrement/pres/co/chiffrement-
asym.html?mode=html
Figure: 6. Schéma cryptographie a clé publique
Avantages :
18
− Avec ce système la transmission des clé secrète est résolu et est remplacé par une
opération de distribution de clés publiques ;
− On peut garantir plusieurs services : chiffrement et signature en même temps.
Inconvénients :
− La nature des calculs à réaliser rend l’opération bien plus longue ;
− Rarement utiliser pour le chiffrement des données ;
− Problème d’authentification et d’intégrité de la clé publique.
Le système a clé publique est lente à cause des calculs complexe qui y sont associés, alors que le
système a clé secrète brille par sa rapidité mais souffre du problème de la transmission des clés.
Afin de pallier aux inconvénients des deux méthodes et bénéficier de leurs avantages, on peut les
combiner et créer un système hybride. Une pratique courante est de recourir au chiffrement a clé
publique pour échanger des clés symétriques en toutes sécurité puis, privilégier l’usage du
chiffrement a clé secrète pour sa plus grande rapidité permettant davantage de fluidité dans les
échanges.
Jusqu’ici nous avons vu comment est assurée la fonction de confidentialité, avec les différents
mécanismes de chiffrement. Mais quel sont les autres mécanismes cryptographiques permettant
d’assurer les fonctions d’authentification et d’intégrité ?
2.2.3. Hachage
Une fonction de hachage en cryptographie est une fonction publique en sens unique sans trappe qui
prend en entrée des données de longueur arbitraire, c’est-à-dire de différents types et tailles, et qui
fournit en sortie est une suite de bits de taille fixe, bien inférieure à la taille de la donnée initial. Ce
résultat est aussi appelé condensé ou empreinte. Sa principale caractéristique est qu’il est généré au
moyen d’une formule de telle sorte qu’il est extrêmement peu probable qu’un autre texte produise
la même valeur de hachage. Ce qui veut dire que pour la même donnée en entrée, elle fournit
toujours le même résultat en sortie et que si un bit du texte d’origine est modifié, le résultat de la
fonction sera, avec de très fortes probabilités, différent. MD5 (Message Digest) et SHA (Secure
Hash Algorithm) sont parmi les plus connues.
19
Le principe est d’appliquer une valeur de contrôle au contenu du message. Le résultat obtenu appelé
aussi digest est en même temps joint au message à transmettre. Une fois envoyé, le destinataire
génère une autre empreinte à partir du message reçu, puis compare les deux. S’ils sont identiques,
on peut être raisonnablement sûr de l’intégrité du message.
De cette définition on peut en déduire qu’une fonction de hache doit présenter trois caractéristiques :
• Elle doit être à sens unique ou irréversible. C’est-à-dire qu’il n’existe pas de fonction
inverse qui, à partir du ’haché en entrée, permet de retrouver la donnée initiale en sortie.
• Une entrée de longueur variable produit une sortie de long fixe.
• L’algorithme doit être résistant aux collisions. Le hachage de deux entrées différentes ne
donne pas le même résultat. Une collision désigne deux données de valeur différentes qui
ont une empreinte de la même valeur
2.2.4. Signature électronique
Le terme signature numérique désigne la transformation cryptographique d’une unité de données,

permettant à un destinataire de prouver la source et l’intégrité de l’unité de données et protégeant
contre la contrefaçon par le destinataire. Il regroupe une famille de technologies permettant de
fournir plusieurs services relatifs à la sécurité des données.
Un mécanisme de signature numérique doit présenter les caractéristiques suivantes :
• Authentique : L'identité du signataire doit pouvoir être retrouvée de manière certaine.

• Infalsifiable : On ne peut pas "imiter" la signature de quelqu'un d'autre.
• Non réutilisable : On ne peut pas "copier/coller" la signature d'un document à un autre.
• Inaltérable : Un document signé est inaltérable, ou du moins, toute altération, si minime
soit-elle, doit pouvoir être détectée.
• Irrévocable : La personne qui a signé ne peut le nier.
20
En combinant un système de cryptographie et une fonction de hachage, on peut à la fois garantir,

vérifier l’origine de l’information et son authenticité.
Pour générer une signature électronique, il faut dans un premier temps utiliser une fonction de
hachage. Le principe est : avant d’envoyer le message, l’émetteur calcule l’empreinte du message,
résultat d’une fonction de hachage appliquée au message. Il chiffre ensuite cette empreinte par un
algorithme asymétrique avec sa clé privée. Ce résultat est appelé signature électronique. Avant
l’envoi, cette signature est ajoutée au message, qui devient un message signé. Le destinataire qui
reçoit l’ensemble déchiffre cette empreinte chiffrée avec la clé publique de l’émetteur. Puis il
recalcule la fonction de hachage sur le message reçu et compare le résultat avec l’empreinte
déchiffrée. Si les deux sont égaux, cela veut dire que le message n’a pas été modifié durant le
transfert et que l’émetteur est authentifié.
Source : https://fr.wikipedia.org/wiki/Signature_num%C3%A9rique
21
Figure: 7. Signature Numérique
En effet, si le message a été modifié, les deux empreintes seront différentes. De plus, être capable
de déchiffrer, avec la clé publique d’une personne, une empreinte chiffrée, prouve que cette
empreinte a obligatoirement été chiffrée avec la clé privée de la personne, clé que seul possède
l’émetteur. Cela authentifie donc l’émetteur. On peut rappeler qu’une des propriétés du couple clé
privée/clé publique est que tout ce qui est chiffré avec une des clés peut être déchiffré avec l’autre
clé et uniquement avec celle-ci. Donc la signature est réalisée en utilisant la clé privée du signataire,
tous ses partenaires peuvent alors vérifier sa signature en utilisant sa clé publique.
2.2.5. Certificat électronique
Nous avons vu dans les paragraphes précédents que les algorithmes de chiffrement asymétriques
avec le couple de clés privée–publique sont plus simple à utiliser lorsqu’on veut sécuriser des
communications auprès d’une large public. N’ayant besoin d’aucun secret partagé, ils permettent
par exemple de transmettre un message chiffré et signé. Donc de garantir l’intégrité et
l’authentification.
Mais nous avons un problème à régler qu’est la transmission de la clé publique. S’il n’est pas
sécurisé, un intrus malveillant peut intercepter l’échange en diffusant de fausses clés publiques, se
substituer à l’un des interlocuteurs (usurpation d’identité) lors des prochaines communications et
créer une attaque de type man in the middle.
Pour pallier à ce problème et pouvoir utiliser une clé publique avec sécurité, il faut qu’on puisse
répondre au moins aux deux questions suivantes : à qui appartient cette clé publique ? Et à quoi sert
cette clé publique ? c’est le rôle du certificat numérique (ou certificat de clé publique). En fait,
un certificat ressemble en bien des points à une carte d’identité ou passeport, dont il constitue une
sorte d’équivalent électronique. Il permet d’assurer la validité de la clé publique et de le relier à son
propriétaire en s’appuyant sur une infrastructure à clé publique (PKI).
Le principe de fonctionnement est la suivante : les clés publiques sont disponibles sur un serveur
(annuaire) et donc accessible a tous les utilisateurs, encore faut-il que soit confirmée la relation clé
publique/possesseur. C’est l’intervention d’un tiers de confiance (CA, Certificate Authority) qui
garantit la correspondance entre une clé et son propriétaire par la délivrance d’un certificat contenant
22
l’identifiant d’un utilisateur et sa clé publique, le certificat est signé avec la clé privée de l’autorité
d’authentification qui peut être interne à l’entreprise ou être un prestataire de service de certification.
La délivrance de certificat numériques est normalisée par l’UIT, le standard X.509 dans sa
version 3 est le format le plus utilisée. Il comporte entre autres les informations suivantes :
Contenu d’un certificat numérique
Version du certificat
Numéro de série du certificat
Description de l’algorithme de signature de
l’AC
Nom de l’AC qui a généré le certificat
Période de validité
Nom de l’utilisateur auquel appartient le
certificat
Clé publique |
L’algorithme à utiliser avec la clé publique
Identification alternative de l’AC (optionnel)
Identification alternative de l’AC (optionnel)
Extensions (optionnel)
Signature de l’AC
Tableau 1. Contenu d’un certificat numérique
Pour une solution robuste, fiable et éprouvée on peut faire recours à un PKI (public Key
Infrastructure) ou infrastructure à clé publique est un ensemble de protocoles et de services
associés qui assurent la gestion des clés publiques. Les différentes fonctions à assurer sont :
• La génération des clés ;

• L’archivage des clés et des certificats ;
• La délivrance des certificats et des clés ;
• La gestion des listes de révocations (CRL, Certificate Revocation List).
23
Pour le fonctionnement dans un cas simple, l’utilisateur formule une demande de certificat,
l’autorité d’enregistrement reçoit la demande, vérifie l’identité de l’utilisateur et valide sa demande.
Il passe la requête au CA qui va générer une paire de clef, va délivrer un certificat signé au moyen
de sa clé prive et sur lequel figurent la clé publique de l’utilisateur, la date de validité du certificat
et ses informations personnelles.
Mais la mission d’un PKI n’est pas seulement la délivrance de certificats. Il arrive également qu’elle
soit amenée à les révoquer, à la demande du détenteur ou bien en raison d’une irrégularité remettant
en cause sa validité. La liste des certificats révoqués, est publique et stocké dans un annuaire fiable,
permettant aux utilisateurs de vérifier la validité d’un certificat.
2.2.6. Politique de sécurité des systèmes d’information
Afin de mieux protéger ses biens, avoir une bonne crédibilité face à ses partenaires, chaque
organisme doit se doter d’une politique de sécurité l’information. Une politique de sécurité (PSSI)
est un plan d’action définies pour maintenir un certain niveau de sécurité. Elle reflète la vision
stratégique de la direction de l’organisme (PME, PMI, industrie, administration, état…) en matière
de sécurité informatique.
Il décrit les règles et principes de base sur lesquels se fonde l’entreprise, pour protéger la
confidentialité, l’intégrité et la disponibilité de ses données, pour classer et traiter les informations
confidentielles, pour faire face aux violations, constituer un guide de bonnes pratiques et précisant
les risques et responsabilités.
Son objectif est d’apporter à la sécurité de l’information une orientation et un soutien de la part de
la direction, conformément aux exigences métier et aux lois et règlements en vigueur. Autrement
dit, la PSSI définit des objectifs à atteindre, les ressources associées pour parvenir aux cibles. Il
convient de définir un périmètre que va prendre en compte la politique. C’est un élément fondateur
d’un SMSI (Système de Management de la Sécurité de l’Information) faisant référence à
l’organisation et aux responsabilités mais aussi aux mesures mis en place basée sur la gestion des
risques en matière de sécurité des systèmes d’information. Etant un véritable outil de
communication il sera communiquée à l’ensemble des acteurs du système d’information.
24
Chapitre 3. Étude sur les Réseaux Privés Virtuels (VPN).
Dans ce chapitre nous allons commencer par étaler les solutions de mise en réseau utilisées dans le
passé pour connecter plusieurs succursales d'une entreprise. Aujourd’hui Les avancées
technologiques telles que l'accès Internet à large bande ont apporté de nouvelles possibilités et de
nouveaux concepts pour cette question, l'un d'eux étant le réseau privé virtuel (VPN). Nous allons
voir ce que signifie le terme VPN, comment il a évolué au cours de la dernière décennie, Les
concepts de base concepts nécessaires pour comprendre la variété des solutions VPN, leur
fonctionnement et pourquoi il est nécessaire aux entreprises modernes.
3.1. Généralités sur les VPN
L’échange d'informations entre les différentes succursales d'une entreprise se faisait principalement
par courrier, téléphone, puis par fax. Mais aujourd'hui, en raison des multiples défis à relever,
comme :
• Le besoin croissant de solutions rapide et flexibles et l’accélération générale des processus

métiers ;
• De nouvelles technologies telles que les logiciels de groupe (CRM, ERP) sont utilisés pour
assurer un travail d'équipe productif et de coopération ;
• Le fait de vouloir autoriser ses différents éléments à participer à l’échange d’informations

sans délais comme : succursales positionner à différents endroits, des employés sur le terrain
et travailleurs à domicile ;
• Tous les réseaux informatiques doivent respecter des normes de sécurité à des niveaux élevés
pour garantir l’intégrité, l’authenticité et la stabilité des données.
On fait que les anciennes méthodes de communication ne sont plus adaptées pour les exigences
modernes et ont conduit au besoin de solutions de mise en réseau sophistiquées entre les bureaux
partout dans le monde. Avec des réseaux informatiques connectant tous les postes de travail en un
seul localisation, le besoin de liaisons entre les sites est devenu de plus en plus urgent.
25
Le concept derrière cette conception de réseau était basé sur un véritable réseau entre les branches
de la compagnie. Un fournisseur était nécessaire pour connecter chaque emplacement, et une
véritable connexion par câble entre toutes les succursales ont été créées. Comme le réseau
téléphonique, une seule ligne reliant deux partenaires était utilisée pour la communication. Chaque
connexion entre les succursales devait être installées avec une ligne louée. De plus, pour les
travailleurs sur le terrain ou à domicile, des serveurs d'accès à distance (RAS) ont été utilisés. Ce
qui leur permettaient de se connecter temporairement au réseau de l'entreprise. Pour la
communication ils devaient utiliser des numéros de téléphone (avec un modem ou une ligne RNIS),
et l'entreprise agissait comme un fournisseur d'accès Internet. Pour chaque numérotation, la
compagnie de téléphone fourni une ligne dédiée, et le la branche centrale devait s'assurer qu'un
nombre suffisant de lignes téléphoniques était toujours disponible. La confidentialité au sein du
réseau de l'entreprise couvrant plusieurs succursales a été obtenue en sécurisant les lignes et
fournissant des services uniquement aux points de connexion câblés. Presque toutes les sécurités et
les tâches de disponibilité étaient confiées au prestataire de services à des coûts très élevés.
Depuis les années 90, l'essor d'Internet et l'augmentation de la vitesse des connexions internet a
ouvert la voie aux nouvelles technologies. Les administrateurs et gestionnaires avaient découvert de
meilleures solutions que de dépenser plusieurs centaines de dollars sur des lignes d'accès dédiées et
commutées. L'idée était d'utiliser internet pour la communication entre les succursales et en même
temps d'assurer la sécurité et la confidentialité des données transférées. En des termes plus simples :
fournir des connexions sécurisées entre les sites d’une entreprise via des lignes à bas prix utilisant
internet. Il s'agit d'une description très basique de ce que sont les VPN. Pour une définition basique,
Un VPN c'est :
• Virtuel, puisqu’il n'y a pas de véritable connexion réseau directe entre les deux partenaires
de communication, mais seulement une connexion virtuelle fournie par un logiciel VPN,
réalisé sur des connexions internet publiques ;
• Privé, car seuls les membres de l'entreprise connectés par le logiciel VPN sont autorisés à
lire les données transférées.
26
Avec un VPN, deux sites différents peuvent échanger, comme s’ils se trouvaient dans le même
emplacement. Le logiciel VPN fournit un réseau virtuel entre ces sites en utilisant une connexion
internet. Ce réseau est uniquement virtuel car il n'y a pas de véritable connexion réseau dédiée établi
avec le partenaire.
3.2. Fonctionnement d’un VPN
Pour expliquer le fonctionnement des VPN nous allons prendre l’exemple d’une entreprise avec
deux succursales. Dakar et Banjul. Si la succursale gambienne de Banjul décide de contracter un
fournisseur, le bureau de Dakar pourrait avoir besoin de le savoir immédiatement. L'essentiel de
l’infrastructures informatique est mis en place à Dakar. A Banjul, il y a vingt personnes dont le
travail dépend de la disponibilité des données hébergées sur les serveurs de Dakar. A priori, les deux
sites sont équipés d'une ligne internet permanente. Un routeur de passerelle internet est configuré
pour fournir un accès Internet au personnel. Ce routeur qui peut être un pare-feu et sur lequel un
logiciel VPN est installé, est configuré pour protéger le réseau local du site contre tout accès non
autorisé de l'autre côté. Un tel routeur mis en place pour bloquer le trafic spécial doit être trouvé
dans chaque branche supposée pour participer au VPN.
Pour que la connexion entre les deux sites soit effective, le logiciel VPN doit être configuré de tel
sorte que le serveur VPN de Dakar doit accepter les connexions du serveur de Banjul, et le serveur
de Banjul doit se connecter à Dakar (ou vice versa). Si cette étape est réussie, l'entreprise dispose
d'un réseau virtuel fonctionnel. Les deux les agences sont connectées via internet et peuvent
travailler ensemble comme dans un vrai réseau. Ici, nous avons un VPN sans confidentialité, car
n'importe quel routeur sur internet entre les deux locales peut lire les données échangées. Un
concurrent prenant le contrôle d'un routeur sur internet pourrait lire toutes les données de l'entreprise
passant par le réseau virtuel.
Alors, comment rendre ce réseau virtuel privé ? La solution est le cryptage. Le trafic VPN entre les
deux emplacements est chiffré avec des clés spéciales, et seuls les ordinateurs ou les personnes
possédant cette clé peuvent déchiffrer et consulter les données envoyées. Le cryptage protège les
27
données dans la connexion, a l’image des murs d'un tunnel protégeant le train de la montagne qui
l'entoure. Cela explique pourquoi le nom de réseau virtuel privé. Ils sont aussi souvent appelés
tunnels VPN, du fait qu’il permet de relier par internet deux réseaux locaux distants via un tunnel
chiffré, et la technologie est souvent appelée tunneling. La méthode de cryptage et de fourniture
des clés entre les parties impliquées constitue l'un des principaux facteurs de distinction entre les
différentes solutions VPN.
Une connexion VPN est normalement établie entre deux routeurs d'accès internet équipés d'un pare-
feu et logiciel VPN. Le logiciel doit être configuré pour se connecter au partenaire VPN, le pare-feu
doit être mis en place pour permettre l'accès, et les données échangées entre les partenaires VPN
doivent être sécurisées (par chiffrement). La clé de chiffrement doit être fournie à tous les
partenaires VPN, afin que les données échangées ne puissent être lus que par des partenaires VPN
autorisés.
3.3. Utilisation des VPN ?
Nous avons dit qu’un VPN est un moyen d’étendre un réseau d’entreprise via des connexions
chiffrées pour des raisons de confidentialité, tout en s’appuyant sur un réseau public comme internet.
Il offre simplement un moyen sur et sécurisé d’intégrer les utilisateurs et les appareils distantes au
sein du réseau local de l’entreprise.
Cela étant dit nous allons maintenant discuter des scénarios possibles pour l'utilisation de la
technologie VPN. De plus en plus d'entreprises proposent leurs clients ou partenaires commerciaux
un accès protégé aux données pour leurs relations commerciales. Ainsi, nous avons trois scénarios
typiques pour les solutions VPN :
28
Source : https://formip.com/vpn-2/
Figure: 8. Scenarios d’utilisation d’un VPN
• Un intranet couvrant plusieurs sites d'une entreprise ;

• Un accès commuté pour les travailleurs à domicile ou sur le terrain avec des IP changeantes ;
• Un extranet pour les clients ou les partenaires commerciaux ;
Chacun de ces scénarios typiques nécessite des considérations et des configurations de sécurité
particulières. Les travailleurs itinérants auront besoin d'un accès aux serveurs de l'entreprise
différent de celui des clients et partenaires d'affaires. En fait, l'accès des partenaires commerciaux
et des clients doit être sévèrement restreint.
L’intranet VPN
Un intranet VPN permet de connecter plusieurs réseaux locaux (LAN) pour former un réseau
étendu (WAN). Il peut s’agir d’un réseau d'entreprise où plusieurs bureaux travaillent conjointement
ou d’une entreprise avec un bureau central et plusieurs succursales réparti sur de vastes zones
géographiques et qui qui accordent la priorité au trafic privé et protégé. C’est un outil utile
permettant de combiner en toute sécurité des ressources hébergées sur un réseau principal, qui
29
peuvent par exemple inclure des serveurs qui facilitent la messagerie électronique. Dans certains
cas, un serveur peut être le centre opérationnel d'une application essentielle auquel l'ensemble de
l'entreprise aurait avantage à avoir accès. Un intranet VPN peut, dans ce cas, donner à tous les sites
un accès complet à l'application, comme si elle était hébergée dans leur installation physique.
Source : https://www.avast.com/fr-fr/c-what-is-a-vpn
Figure: 9. VPN Site to Site
Cette utilisation représente beaucoup d’avantages pour les entreprises comme par exemple : la
réduction des couts de bande passante WAN ; possibilité de connecter facilement de nouveau site
au besoin ; l’augmentation de la disponibilité du réseau en permettant la redondance des liaisons
WAN entre fournisseur de service.
3.3.2. Le VPN d’accès
Quand on parle de VPN d'accès à distance ou Remote Access VPN, on fait référence à une
connexion temporaire établie entre deux utilisateurs ou plus et un emplacement central. Dans la
plupart des cas, un VPN d'accès à distance est utilisé pour permettre à chaque emplacement
d'accéder à un centre de données.
C’est un outil utile pour les entreprises qui ont des travailleurs en déplacement ou à domicile devant
besoin d'accéder à des informations privées ou sensibles hébergées sur les serveurs de l'entreprise,
30
ils peuvent se connecter à un VPN d'accès à distance. De cette façon, chaque employé peut accéder
aux ressources dont il a besoin pour faire son travail.
Source : https://www.avast.com/fr-fr/c-what-is-a-vpn
Figure: 10. VPN Accès Nomade
Pour établir la connexion VPN, l’utilisateur se sert d’une connexion internet. Nous avons deux cas
possibles :
• L’utilisateur demande au fournisseur d’accès de lui établir une connexion cryptée vers le
serveur distant : il communique avec le NAS (Network Access Server) du FAI et c’est le
NAS qui établit la connexion cryptée. Cette méthode permet à l’utilisateur de communiquer
sur plusieurs réseaux en créant plusieurs tunnels, mais nécessite un NAS compatible avec la
solution VPN choisie par l’entreprise. Il faut aussi dire que la demande de connexion avec
le NAS n’est pas cryptée, ce qui peut poser des problèmes de sécurité.
• Pour la deuxième méthode, l’utilisateur possède son propre logiciel client pour le VPN ce
qui lui permet d’établir directement la communication de manière sécurisé vers le réseau de
l’entreprise. Avec cette méthode l’intégralité des informations sera cryptée des
l’établissement de la connexion. Mais cela nécessite que chaque client transporte avec lui le
logiciel VPN. Ce dernier peut être éviter en mettant en place des VPN à base de SSL
implémenté dans la majorité des navigateurs internet.
31
Ce type de VPN peut être utilisé pour offrir aux travailleurs situés à différents endroits une
expérience similaire à celle de ceux du bureau principal qui peuvent se connecter au serveur de leur
bureau à l'aide d'un câble Ethernet. En un sens, le VPN d'accès à distance étend un câble sur de
nombreux kilomètres, et même des frontières internationales, jusqu'au poste de travail de chaque
employé, qui comprend les ordinateurs de bureau, les ordinateurs portables et les appareils mobiles.
3.3.3. L’extranet VPN
L’extranet VPN est couramment utilisé pour désigner un scénario dans lequel, des entreprises
différentes souhaitent offrir un accès réseau à leurs partenaires et leurs partager un nombre limité
de ressources mais garder les autres privées. Par exemple, une entreprise de fabrication pourrait
utiliser un extranet VPN pour ses fournisseurs afin de leur permettre d'interroger une base de
données pour le prix et la disponibilité des composants, puis pour commander et suivre l'état des
commandes en cours. Nous avons vu précédemment que dans un environnement de réseau prive,
étendre la connectivité aux partenaires et aux fournisseurs est couteuse et fastidieuse. Les
connexions dédiées doivent être étendues, les stratégies de gestion et d’accès au réseau doivent être
négociées et maintenues, e souvent des équipements compatibles doivent aussi être installe sur le
site du partenaire.
32
Figure: 11. VPN Extranet
Une caractéristique clé de l’extranet VPN est donc le contrôle de qui peut accéder à quelles données,
chaque entité peut choisir ce qu'elle souhaite mettre à la disposition des autres entreprises partager
sans exposer leurs données propriétaires et il s'agit essentiellement d'une décision de la politique de
sécurité. Les politiques d'accès dans ces cas peuvent devenir complexe et les décisions sont
généralement appliquées aujourd'hui aux points d'interconnexion entre différents domaines, par
exemple entre un réseau privé et Internet, par exemple entre un réseau privé et internet. L'application
de ces politiques d’accès peut être effectuée via un routeur pare-feu.
3.3.4. Les services de sécurité offerts dans un VPN
Nous allons essayer de présenter ici des objectifs de sécurité VPN et des techniques de la
cryptographie permettant de les atteindre, ce qui nous permettra de comprendre les problèmes de
sécurité sous-jacents de toute solution VPN. Puisque sans sécurité, un VPN n'est plus privé. Les
trois objectifs qu’une sécurité VPN doivent atteindre sont : la confidentialité ; la fiabilité ou
l’intégrité et la disponibilité des données. Tous ces objectifs de sécurité sont obtenus en protégeant
le trafic avec des méthodes de cryptage modernes et solides, des techniques d'authentification
sécurisées et des pare-feu contrôlant le trafic entrant et sortant des tunnels. Et le simple cryptage du
trafic ne suffit pas ; il existe d'énormes différences de sécurité selon les méthodes utilisées.
3.3.5. Cryptage du trafic
Lors de l’utilisation d’un VPN, les entités situe aux deux extrémités du tunnel cryptent et décryptent
les données, ce processus sert à assurer la confidentialité des données. Le plus souvent, des mots de
passe ou des clés de cryptage sont utilisés pour le chiffrement des données. Si les deux côtés utilisent
la même clé pour chiffrer et déchiffrer les données, c'est ce qu'on appelle le chiffrement symétrique.
La clé de cryptage doit être mise sur toutes les machines censées participer à la connexion VPN.
Toutefois une paire de clé n’est pas la seule façon pour VPN d’appliquer le cryptage. En effet des
protocoles sont également utilises pour sécuriser le trafic.
33
3.3.6. Cryptage symétrique et clés pré-partagées
Toute personne disposant de cette clé peut déchiffrer le trafic. Mais comme nous l’avons déjà vu,
avec ce système le partage des clés est problématique. Si un attaquant s'empare de cette clé, il peut
déchiffrer tout le trafic et compromettre tous les systèmes participant au VPN. Certains logiciels
VPN, pour éviter ce problème, changent les clés à des intervalles définis. Chaque clé n'est valable
que pour une certaine période de temps, appelée durée de vie de la clé.
La longueur des clés cryptographique est d’importance primordiale. Il en est que plus la clé est
longue, plus le cryptage est fort. Les longueurs de clé les plus courante sont 128 ou 256 bits. Par
exemple une clé de 128 bits est composée de 128 chiffres binaires et chaque bit peut avoir deux
valeurs possible 0 ou 1 donc on peut avoir 2128 combinaisons possibles. Avec une bonne
combinaison de durée de vie et de longueur de clé, on peut garantir qu'un attaquant ne peut pas
déchiffrer la clé tant qu'elle est valide. Si le logiciel VPN change clés, alors l'attaquant doit être
rapide, ou la clé acquise est sans valeur.
En changeant les clés en permanence, un protocole d'échange entre les partenaires de

communication doit être utilisés de sorte que les deux côtés utilisent la même clé de cryptage en
même temps. Cet échange de clés doit être à nouveau sécurisé, en suivant les mêmes principes
évoqués précédemment. De protocoles d’échange de clé de cryptage comme Internet Key
Exchange (IKE) ont été développé au cours de ces dernières années. On peut trouver des avis
different sur la sécurité de ce protocole et même s’il semble avoir des problèmes de sécurité, il est
utilisé avec Ipsec dans de nombreuses entreprises.
3.3.7. Fiabilité et authentification
Un autre danger sont les soi-disant attaques man in the middle. Dans ce scénario, un pirate intercepte
tout le trafic de données entre l'expéditeur et le destinataire. Ni l'expéditeur ni le destinataire ne
remarqueraient que les données sont interceptées. L’attaquant peut stocker, copier, analyser et peut-
34
être même modifier le trafic capturé. Ce problème peut être résolu en faisant recours l'une des
meilleures technologies de cryptage appelée cryptage asymétrique.
Pour garantir l’identité des partenaires VPN, Les deux possèdent chacun deux clés : une publique
et l’autre, privé. La clé publique est remise aux partenaires de communication, qui cryptent les
données avec. En raison de l'algorithme mathématique sélectionné utilisé pour créer la paire de clés
publique/privée, Seule la clé privée du destinataire peut déchiffrer les données encodées par la clé
publique. Les clés privées doivent être gardées secrètes et les clés publiques doivent être échangées.
Reprenons l'exemple de notre entreprise avec ses deux bureaux à Dakar et Banjul, et supposons
qu’on veut envoyer un message texte depuis Banjul. Le message sera alors chiffré avec la clé
publique de Dakar. Une fois le message brouillé il est envoyé à Dakar, où il peut être déchiffré à
l'aide de la clé privée de ce dernier. Une procédure similaire peut également être utilisée à des fins
d’authentification. Mais dans ce cas le message sera envoyé avec un code de contrôle encodé avec
la clé prive avant d’être transmis, une fois à destination le message sera décodé ainsi que la code de
contrôle avec la clé publique du mandataire. Si les code envoyés et déchiffrés correspondent, alors
on peut être sûr que l'expéditeur doit être le détenteur de la clé privée. C'est ce qu'on appelle la
signature numérique.
Nous avons évoqué dans la partie précédente le fait de changer les clés symétriques a des intervalles
de temps régulières. Cela pour éviter que les données soit compromises si la clé venait à être
découverte par un malveillant. Pour cela, les services VPN utilisent le chiffrement asymétrique pour
échanger une nouvelle clé symétrique au début de chaque session VPN. Des protocoles de sécurité
internet utilisent aussi cette technologie pour des besoins de chiffrement et d’authentification pour
s’assurer de l’identité des participants au VPN.
3.3.8. Certificat VPN
Afin d'établir une connexion sécurisée entre les passerelles VPN, une méthode d'authentification
doit être utilisée pour valider l'identité des participants. Une authentification correcte de l'appareil
empêche tout accès non autorisé au réseau VPN et fournit une authentification d'origine. Deux
35
moyens courants d'authentifier les tunnels VPN sont : les clés pré-partagées et des certificats
numériques. Tous Les deux sont considérés comme des méthodes d'authentification fortes.
Une clé pré-partagée est simplement un chaîne alphanumérique connue des correspondants distants
connectés au VPN. Les caractéristiques de la clé est sont déterminées par le système qui l’utilise.
Elle sera fournie aux parties distantes impliques et configuré dans les passerelles VPN avant que la
connexion du tunnel soit établie. L'authentification par clé pré-partagée est très courante et est plus
facile à configurer que les certificats numériques, mais avec de grands réseaux VPN, la gestion d'un
grand nombre de clés pré-partagées peut devenir encombrant.
L’authentification par certificats numériques offrent plusieurs avantages pour les VPN et sont
considérés plus puissante et beaucoup plus évolutifs. Puisque les clés pré-partagées sont liées à une
adresse IP, cela implique que Les passerelles VPN doivent maintenir un index correspondant aux
clés pré-partagées avec les adresses. Les certificats numériques ne sont pas liés à une adresse IP,
mais peuvent à la place utiliser des informations d'identification statiques validées par l'autorité de
certification. Ceci permet utilisateurs distants avec une adresse IP attribuée dynamiquement de
s'authentifier à l'aide d’informations d'identification contenues dans le certificat. En faisant recours
à une AC (autorité de certification) on peut renforcer la relation de confiance entre les pairs
participant à la VPN. Un autre avantage de l'utilisation des certificats numériques est le CRL (liste
de révocation de certificat). Les certificats des appareils compromis peuvent être placés sur une liste
de révocation de certificat publiée par l’autorité de certificat. Les clients de l'AC ne s'authentifieront
plus sur un appareil présentant un certificat contenu dans le CRL.
Il est toujours important de distinguer entre l'authentification des données et l'authentification de

l'entité finale. L'authentification des données est effectuée pendant les processus VPN pour
maintenir l'intégrité du flux de données en cours envoyé via le tunnel VPN. L'authentification de
l'entité finale est le processus de vérification du l'identité des participants à la communication.
Jusqu’ici nous avons vu comment un VPN peut connecter une entreprise en toute sécurité de
différentes manières, et les concepts de sécurité de base nécessaires aux technologies VPN.
Maintenant nous allons regardez de plus près le fonctionnement des VPN en illustrant les différents
protocoles permettant d’établir un tunnel VPN.
36
3.4. Le Tunneling
La technologie VPN est souvent appelée tunneling. Le tunneling protège les données en les
reconditionnant sous une forme différente. Il utilise les concepts d’encapsulation et de cryptage des
données pour transporter en toute sécurité le trafic de données dans un environnement non sécurisée.
L’encapsulation isole le paquet de données des autres données circulant sur le même réseau, tandis
que le cryptage permet de rendre les donnes illisibles.
Le tunneling consiste, après identification et authentification des protagonistes, à établir un chemin
virtuel entre l’émetteur et le destinataire, de telle sorte que les données chiffrées empruntent ce
tunnel assurant ainsi des communications sécurisées. Mais comment le logiciel VPN fait cela ?
Figure: 12. Tunnel VPN
Le logiciel VPN dans les emplacements A et B chiffre et déchiffre les données et l'envoie à travers
le tunnel. Les données ne peuvent aller nulle part ailleurs que l’autre extrémité du tunnel. Les
éléments suivants sont assemblés et emballés dans un nouveau package :
Les différentes informations sur le tunnel ;

Données et méthodes de chiffrement ;
Le paquet IP d'origine (ou trame réseau)
Ce paquet est ensuite envoyé à l'autre point de terminaison du tunnel. La charge utile de ce paquet
contient maintenant le paquet IP complet sous forme cryptée et donc non lisible par quiconque ne
possédant pas la bonne clé. Le nouvel en-tête du paquet contient simplement les adresses de
l'expéditeur et destinataire et autres métadonnées nécessaires et fournies par le logiciel VPN utilisé.
Selon le protocole utilisé la quantité de données envoyées augmente pendant le processus de
37
wrapping et cette surcharge dépend de la quantité de données organisationnelles et le cryptage

utilisé. Alors que le premier ne dépend que du logiciel VPN utilisé, le second est simplement une
question de choix entre sécurité et rapidité. En d'autres termes, meilleur est le cryptage que vous
utilisez, plus vous produisez de frais généraux. La vitesse contre la sécurité est votre choix.
3.5. Les protocoles de tunnelisation
Les VPN permettent de créer un tunnel d’échange de données sécurisé entre deux appareils. Cela est
possible grâce à l’utilisation des protocoles de tunnelisation. En informatique un protocole a pour but
de définir l’ensemble des règles et des instructions qui ordonnent les échanges de données et les
processus. Afin d'établir une connexion, le même protocole de communication doit être compris et
utilisé de part et d'autre. Un protocole de tunnelisation est un protocole qui encapsule dans son
datagramme un autre paquet de données complet utilisant un protocole de communication différent.
Un tunnel est ainsi créé entre deux points sur un réseau pour transmettre en toute sécurité tout type
de données d'un réseau à l'autre. Cela étant dit, il faudrait noter qu’il existe plusieurs protocoles de
tunnelisation VPN dont les différences sont liées à la façon dont la connexion est adaptée à un usage
spécifique.
3.5.1. Le protocole PPTP
PPTP est l’acronyme de Point-to-Point Tunneling Protocol ou Protocole de tunnel point-à-point, il

permet d’étendre un réseau privé en créant un « tunnel » dans les réseaux publics non protégés,
agissant comme VPN. Créé en 1999 et développé par Microsoft, PPTP est l’un des plus vieux
protocoles VPN. Bien qu’il s’agisse d’une technologie VPN populaire et rapide, elle s’est avérée peu
sécurisée. La raison principale en est que le mécanisme utilisé pour le cryptage et l’authentification
est très vulnérable dans ce type de VPN.
PPTP fonctionne sur la base de trois éléments, dont le chiffrement, l’authentification et la négociation
PPP, ainsi que toutes les données qui sont transférées, et les place dans une enveloppe IP. Quand les
données sont capturées, elles voyagent à travers un « tunnel ». Tous les routeurs et machines par
lesquels les données passent seront traités comme un paquet IP. Ces tunnels offrent une
38
communication sécurisée pour les LAN ou les WAN. Même sur une connexion réseau publique, les
informations sont livrées de façon sécurisée
PPTP est compatible avec tous les systèmes d’exploitation et il est très simple à configurer. En termes
de vitesse, le VPN PPTP est l’un des meilleurs. C’est à cause du cryptage de bas niveau qu’il a à
offrir. Cependant sa limite de cryptage de 128-bit fait de PPTP un ancêtre des protocoles VPN. Ce
protocole n’est pas sûr. Crypter des informations confidentielles avec PPTP n’est pas recommandé.
La stabilité de la connexion varie suivant le réseau, ce qui peut baisser les vitesses.
3.5.2. L2TP /IPSec
Le protocole Layer 2 Tunneling (L2TP) est un protocole de niveau 2, s'appuyant sur PPP et
permettant l'établissement d'un tunnel. Ce protocole n'assure que le transport des données et leur
intégrité, pas leur confidentialité. Ainsi les données qui transitent par l'intermédiaire de ce protocole
ne sont pas cryptées et donc potentiellement lisible par quelqu'un. N’ayant aucune capacité de
cryptage, il s’appuie sur un protocole de cryptage comme IPSec qui passe dans le tunnel pour assurer
la confidentialité.
Internet Protocol Security (IPSec), protocole de niveau 3, est une suite de protocoles technologiques
qui permet de sécuriser des communications privées sur des réseaux IP par l'utilisation des services
de sécurité cryptographiques. Initialement prévu dans le but de fonctionner avec IPv6, IPSec a été
adaptée pour IPv4. Son objectif est d'authentifier et de chiffrer les données : le flux ne pourra être
compréhensible que par le destinataire final (confidentialité) et la modification des données par des
intermédiaires ne pourra être possible (Intégrité). IPsec est souvent un composant de VPN, il est à
l'origine de son aspect sécurité (canal sécurisé ou tunneling).
Les services de sécurité fournis par IPSec reposent sur deux protocoles différents qui constituent le
cœur de la technologie Ipsec : AH (Authentication Header) et ESP (Encapsulation Security Payload)
Ces deux protocoles peuvent être utilisés indépendamment ou, plus rarement, de manière combinée.
Le protocole AH, permet d’assurer l’intégrité et, l’authentification des paquets IP. C’est à dire
qu’AH permet d’une part de s’assurer que les paquets échangés n’ont pas été altérés et d’autre part
de garantir l’identité de l’expéditeur d’un paquet. Il garantit aussi une protection contre le rejeu. On
notera qu’AH ne protège pas la confidentialité des données échangées. Le protocole ESP en plus de
39
l'authentification et l'intégrité, fournit également la confidentialité par l'entremise de la

cryptographie.
Une communication entre deux hôtes, protégée par IPsec, est susceptible de fonctionner suivant deux
modes différents : le mode transport et le mode tunnel. Dans le mode transport, ce sont uniquement
les données transférées qui sont chiffrées et/ou authentifiées donc il offre essentiellement une
protection aux protocoles de niveau supérieur. En mode tunnel, c'est la totalité du paquet IP qui est
chiffré et/ou authentifié. Le paquet est ensuite encapsulé dans un nouveau paquet IP avec un nouvel
en-tête IP. Le mode tunnel est utilisé pour créer des VPN permettant la communication de réseau à
réseau (entre deux sites distants), d'hôte à réseau (accès à distance d'un utilisateur).
3.5.3. VPN SSL
Un VPN SSL est un réseau privé virtuel créé à l’aide du protocole SSL (Secure Sockets Layer) pour
établir une connexion sécurisée et cryptée sur un réseau moins sécurisé. Un VPN SSL fournit
généralement deux choses : un accès à distance sécurisé via un portail web, et un accès au niveau du
réseau via un tunnel sécurisé par SSL entre le client et le réseau de l’entreprise. Son principal
avantage est la sécurité et la confidentialité des données. Utilisant des technologies et navigateurs
Web standard, un VPN SSL permet un accès à distance sécurisé aux applications de l’entreprise pour
tous les utilisateurs sans avoir à installer et maintenir un logiciel client distinct sur l’ordinateur de
chaque utilisateur.
Une connexion VPN SSL utilise un cryptage de bout en bout pour protéger les données transmises
entre le logiciel client du dispositif d’extrémité et le serveur par lequel le client se connecte à
l’internet en toute sécurité. Ils peuvent être facilement mis en œuvre sans nécessiter de logiciel client
spécialisé autre qu’un navigateur web moderne. Il offre ainsi un niveau de compatibilité plus élevé
avec les plateformes et configurations clientes pour les réseaux et pare-feu distants.
Un autre avantage est qu’ils nécessitent moins de frais administratifs et d’assistance technique que
les clients VPN traditionnels ; en raison de leur facilité d’utilisation et de leur dépendance à l’égard
de clients web largement utilisés. Ces VPN permettent aux utilisateurs de choisir n’importe quel
navigateur web. Quel que soit leur poste de travail, leur système d’exploitation (OS) sur lequel leur
appareil fonctionne.
40
3.5.4. OPEN VPN
OpenVPN est un projet open source lancé par James Yonan en 2001. Le protocole OpenVPN est
responsable de la gestion des communications client-serveur. Fondamentalement, il aide à établir un
tunnel sécurisé entre le client VPN et le serveur VPN. Basé sur le protocole SSL, il est utilisé pour
créer un réseau virtuel qui connecte en toute sécurité des ordinateurs sur des réseaux existants en
cryptant toutes les données en transit. Ce cryptage garantit qu’on peut utiliser un tunnel OpenVPN
sur Internet public et que personne ne peut intercepter les données dans le tunnel.
OpenVPN permet aux pairs de s'authentifier mutuellement à l'aide de clés secrètes pré-partagées, de
certificats ou d'un nom d'utilisateur/mot de passe. Lorsqu'il est utilisé dans une configuration
multiclient-serveur, il permet au serveur de délivrer un certificat d'authentification pour chaque
client, en utilisant les signatures et l'autorité de certification.
Offrant une meilleure vitesse et une plus grande sécurité pendant la connexion VPN, OpenVPN est
moins facile à installer que d’autres protocoles VPN, et l’installation d’un VPN avec ce protocole
peut être complexe pour certains clients, vu qu’elle nécessite d’installer une application spéciale pour
le client. Voici un tableau comparatif des différents protocoles VPN.
PPTP L2TP/IPSec SSL OpenVPN

Protocole VPN Protocole tunnel Protocole vpn qui Protocole VPN
assez basique. exploitant le fonctionne au- open source
Généralités
C’est le protocole protocole IPSec dessus de offrant des
VPN à avoir été pour la sécurité et Transport Layer fonctionnalités
pris en charge par le chiffrement. Security (TLS) et multiplateformes
Windows. qui est accessible
avec un navigateur
web
PPTP exploite le Exploite IPSec pour Utilise un cryptage Il exploite
protocole MPPE le chiffrement avec de bout en bout OpenSSL.
pour chiffrer les l’algorithme pour protéger les Algorithmes
Chiffrement données. 3DES/AES, ainsi données transmises utilisés : 3DES,
L’algorithme qu’une clé 256 bits. entre le logiciel AES, RC5, etc…
utilisé est le RSA client du dispositif Chiffrement 128
RC4 avec une d’extrémité et le bits avec clés
longueur de clé serveur par lequel 1024 bits
de 128 bits. le client se
connecte à
41
l’internet en toute
sécurité.
Confidentialité PPTP est connu L2TP combiné à Peu de failles de
et sécurité pour avoir IPSec, est connu sécurité, avec une
plusieurs failles pour être un confidentialité
de sécurité. protocole très sûr. maximale et une
L2TP/IPSec a déjà protection VPN
été percé par la sans passer par
NSA (National une configuration
Security Agency) avancée.
Avantages Configuration Facile à configurer. facilement mis en Vitesses élevées
facile, œuvre sans et la meilleure
très rapide. nécessiter de sécurité parmi
Compatible avec logiciel client tous les
de nombreux spécialisé autre protocoles VPN.
appareils et qu’un navigateur
systèmes web moderne.
Pas aussi sûr et Pas aussi sûr et L’installation
privé que les privé que les nécessite parfois
Inconvénients
protocoles protocoles un logiciel
modernes modernes distinct.
Utilisation Peut être Peut être Ils permettent aux Peut être installé
directement directement installé utilisateurs via un logiciel
installé dans votre dans votre système authentifiés distinct (non
système d’exploitation. d’établir des intégré dans les
d’exploitation. connexions systèmes
sécurisées aux d’exploitation) et
services internes utilise des
HTTP et HTTPS ; fichiers de
via des navigateurs configurations
web standard ou .ovpn associés à
des applications un nom
clientes. Ainsi, ils d’utilisateur et un
permettent un mot de passe.
accès direct aux
réseaux.
Tableau 2. Comparatif des protocoles VPN
Nous avons choisi OpenVPN comme solution Finale, du fait il est open source et en raison de ses
multiples avantages par rapport aux autres protocoles VPN ci-dessus présenté
42
Chapitre 4. Conception et Implémentation des solutions

adaptées
Alors que l'utilisation du télétravail s'est intensifiée ces derniers mois, la demande en accès nomade
et distant est grandissante. Pour mettre en œuvre ce type d'accès, on s'appuie généralement sur
son pare-feu.
Dans ce tutoriel, je vais vous montrer comment configurer un VPN SSL client-to-site
sous PfSense via OpenVPN pour permettre à vos PCs d'accéder à distance aux ressources de
l'entreprise.
4.1. Présentation des solutions adaptées
Pour rappel, ce type de VPN sert à établir un lien direct entre le PC et le réseau de l'entreprise, grâce
à un tunnel chiffré et sécurisé.
Pour cet exemple, je vais me baser sur une base d'utilisateurs locale au Pare-feu. L'idéal étant
de s'appuyer sur un annuaire LDAP externe, comme un annuaire Active Directory par exemple
(réutilisation des identifiants et mots de passe). La procédure reste la même, c'est seulement la
source d'authentification qui diffère et il suffira de déclarer au préalable votre annuaire sur le Pare-
feu. Voici le schéma du cas présent, je vous laisse en prendre connaissance notamment en ce qui
concerne les adresses des différents réseaux :
43
Figure: 13. Architecture d’une connexion nomade

4.2. Installation et configuration des solutions retenues
Sous cette rubrique, nous entamons la partie pratique de notre travail, qui a pour but de nous montrer
les étapes nécessaires à suivre pour l’installation et la configuration d’un VPN nomade au sein d’un
architecture BOYD. Pour cela, nous essayerons d’énumérer puis d’éclaircir certains éléments de base
dite des prérequis, faire une architecture teste pour la bonne compréhension de notre travail et lister
tous les équipements qu’on a eu à utiliser dans un tableau.
4.2.1. Prérequis
Nous devons créer une autorité de certification interne sur le firewall PfSense, puis nous allons créer
un certificat dédié au serveur. Ce certificat sera utilisé pour sécuriser notre tunnel VPN.
44
❖ Créer l’autorité de certification

Pour créer l'autorité de certification sur pfSense (si vous n'en avez pas déjà une), vous devez accéder
au menu : System > Cert. Manager
Capture 1. Création autorité de certification
Dans l'onglet "CAs", cliquez sur le bouton "Add".
Capture 2. Ajout de l’autorité de Certification
Donnez un nom à l'autorité de certification, par exemple "CA-ITCONNECT-OPENVPN", ce nom

sera visible seulement dans Pfsense. Choisissez la méthode "Create an internal Certificate
Authority".
Concernant le nom qui sera affiché dans les certificats, il s'agit du champ "Common Name",
j'indique "it-connect" pour ma part. Remplissez les autres valeurs : la région, la ville, etc.… et
cliquez sur "Save" pour créer la CA.
45
Capture 3. Paramètres de l’autorité de certification
46
L'autorité de certification doit apparaître dans l'interface, comme ceci :
❖ Créer le certificat Server

Nous devons créer un certificat de type "Server" en nous basant sur notre nouvelle autorité de
certification. Toujours dans "Certificate Manager", cette fois-ci dans l'onglet "Certificates",
cliquez sur le bouton "Add/Sign".
Capture 4. Création du certificat serveur
Choisissez la méthode "Create an Internal Certificate" puisqu'il s'agit d'une création, donnez-lui
un nom (VPN-SSL-REMOTE-ACCESS) et sélectionnez l'autorité de certification au niveau du
paramètre "Certificate authority".
Par défaut, la validité du certificat est fixée à 3650 jours soit 10 ans. Le "Common Name"
correspond là aussi au nom intégré dans le certificat, si vous souhaitez établir une connexion VPN
basée sur un nom de domaine, il est préférable d'indiquer cette valeur ici.
47
Capture 5. Paramètre du certificat serveur
Choisissez bien le type de certificat (Certificate Type) suivant : Server Certificate.
48
Après avoir cliqué sur "Save" pour valider la création du certificat, il apparaît dans la liste
des certificats du Pare-feu :
Capture 6. Certificat serveur créer
Ainsi s’achève la partie certificat.
49
4.2.2. Créer les utilisateurs locaux
Pour bien comprendre le concept de la mise en place de nos solutions, nous allons utiliser une base
de compte interne au Pare-feu dans cet exemple. Nous allons donc créer un utilisateur ainsi qu'un
certificat de type "User" pour l'authentification VPN.
Pour créer l'utilisateur, il faut indiquer un identifiant, un mot de passe... Ainsi que cocher
l'option "Click to create a user certificate" : cela va ajouter le formulaire de création du
certificat juste en dessous. Pour créer le certificat, on se base sur notre autorité de
certification.
Capture 7. Création des certificats utilisateurs
50
Lorsque l'utilisateur est créé, il apparaît bien dans la base locale :
Capture 8. Utilisateur créer dans la base locale
4.2.3. Configuration du serveur OpenVPN
Maintenant que la partie certificat est opérationnelle et que nous disposons d'un compte utilisateur,
on peut s'attaquer à la configuration du VPN.
Cliquez sur le menu "VPN" puis "OpenVPN"
Capture 9. Création du VPN
51
Dans l'onglet "Servers", cliquez sur "Add" pour créer une nouvelle configuration.
La première chose à faire, c'est de choisir le "Server Mode" suivant : Remote Access (SSL/TLS +
User Auth).
Pour le VPN, le protocole s'appuie sur de l'UDP, avec le port 1194 par défaut : je vous
recommande d'utiliser un port différent. Pour l'interface, nous allons conserver "WAN" puisque
c'est bien par cette interface que l'on va se connecter en accès distant.
52
Capture 10. Configuration des paramètres VPN
Au niveau de la partie chiffrement, un peu plus bas dans la page, vous devez sélectionner votre
autorité de certification au niveau du champ "Peer Certificate Authority". En complément,
sélectionnez le certificat Server au niveau du champ "Server certificate".
53
Capture 11. Configuration des paramètres de cryptage
Pour l'algorithme de chiffrement (Encryption Algorithm), nous pouvons passer sur de l'AES-256-
CBC plutôt que de l'AES-128-CBC. La sécurité sera renforcée, mais cela impact légèrement les
performances, car le processus de chiffrement est alourdi : il sera toujours possible de modifier cette
valeur.
Il n'est pas nécessaire de modifier les autres options liées au chiffrement.
Passons maintenant à la configuration de notre tunnel VPN.

- IPv4 Tunnel Network : adresse du réseau VPN, c'est-à-dire que lorsqu'un client va se connecter
en VPN il obtiendra une adresse IP dans ce réseau au niveau de la carte réseau locale du PC
54
- Redirect IPv4 Gateway : si vous cochez cette option, vous passez sur un full tunnel c'est-à-dire
que tous les flux réseau du PC distant vont passer dans le VPN, sinon nous sommes en split-tunnel
- IPv4 Local network : les adresses réseau des LAN que vous souhaitez rendre accessibles via ce
tunnel VPN. Dans mon exemple, je souhaite rendre accessible le réseau 192.168.1.0/24 via le VPN.
Si vous avez plusieurs valeurs à indiquer, il faut les séparer par une virgule
- Concurrent connections : le nombre de connexions VPN simultanés que vous autorisez.
Capture 12. Configuration des adresses IP
Pour les paramètres des clients, je vous recommande de cocher l'option "Dynamic IP" : si
l'adresse IP publique d'un client change, il pourra maintenir sa connexion VPN. C'est surtout utile
si vous avez des personnes qui se connectent via une connexion 4G et en mobilité.
Au niveau de la "Topology", remarque très importante à prendre en compte : pour des raisons
de sécurité, il vaut mieux utiliser la topologie "net30 - isolated /30 network per client" pour
55
que chaque client soit isolé dans un sous-réseau (de la plage réseau VPN) afin que les clients
ne puissent pas communiquer entre eux !
Cela n'est pas sans conséquence : plutôt qu'une connexion VPN consomme une adresse IP sur la
plage réseau dédiée au VPN, elle va consommer 4 adresses IP : une adresse IP pour le PC, une
adresse IP pour le pare-feu et les adresses de réseau et broadcast du sous-réseau en /30.
- Si vous avez besoin de plus de 60 connexions VPN en simultanés, vous ne devez pas utiliser
un réseau VPN en /24, mais vous devez prendre plus large. Dans ce cas, modifiez la valeur "IPv4
Tunnel Network" définie précédemment.
Si vous avez besoin d'utiliser la résolution DNS interne de votre entreprise, dans ce cas vous pouvez
diffuser un serveur DNS. Cochez l'option "Provide a DNS server list to clients. Addresses may
be IPv4 or IPv6" et indiquez-en dessous la ou les adresses IP de vos serveurs DNS.
Cochez également l'option "Provive a default domain name to clients" pour indiquer votre nom
de domaine local.
Note : si vous rencontrez des problèmes avec la résolution DNS sur des PC Windows 10, vous
pouvez forcer l'utilisation du DNS diffusé via le VPN en activant l'option "Block Outside DNS".
56
Capture 13. Autorisation de la résolution DNS
Descendez dans la page... On s'approche de la fin. Dans la zone "Custom options",

indiquez : auth-nocache. Cette option offre une protection supplémentaire contre le vol
des identifiants en refusant la mise en cache.
57
Validez la configuration... Votre configuration VPN est prête :
4.2.4. Exporter la configuration OpenVPN
Pour télécharger la configuration au format ".ovpn", il est nécessaire d'installer un paquet

supplémentaire sur notre pare-feu. Rendez-vous dans le menu suivant : System > Package
Manager > Available Packages.
Recherchez "openvpn" et installez le paquet : openvpn-client-export.
58
Capture 14. Installation du package openvpn-client-export
Lorsque c'est fait, retournez dans le menu "OpenVPN" puis dans l'onglet "Client Export".
Si vous souhaitez utiliser l'adresse IP publique pour vous connecter, utilisez l'option "Interface IP
Address" pour l'option "Host Name Resolution". Il y a d'autres options possibles, notamment par
nom de domaine.
59
Les autres options peuvent être laissées par défaut... Il y a seulement notre option "auth-nocache"
à reporter dans la section des options additionnelles.
Cliquez sur le bouton "Save as default" en bas de page.

En dessous de la part configuration, vous avez la possibilité de télécharger la configuration. Pour
utiliser OpenVPN Community, il faudra prendre la configuration "Bundled Configuration",
au format archive pour récupérer tous les fichiers nécessaires.
Pour l'utilisation sur mobile avec OpenVPN Connect, prenez la configuration "Inline
Configuration". Si vous avez besoin de récupérer le client OpenVPN pour Windows (ou Mac via
Viscosity), vous pouvez l'avoir depuis cette page également.
60
Capture 15. Exportation de la configuration
Voici le contenu de l'archive ZIP téléchargée :
Capture 16. Contenu du fichier exporter
4.3. Créer les règles de firewall pour OpenVPN
D'une part, nous devons créer une règle pour autoriser les clients à monter la connexion VPN,
et d'autre part nous devons créer une ou plusieurs règles pour autoriser l'accès aux ressources :
serveur en RDP, serveur de fichiers, application web, etc.
61
4.3.1. Autoriser le flux OpenVPN
Cliquez sur le menu "Firewall" > "WAN". Il est nécessaire de créer une nouvelle règle pour
l'interface WAN, en sélectionnant le protocole UDP.
Capture 17. Création des règles du pare-feu
La destination ce sera notre adresse IP publique donc sélectionnez "WAN address". Pour le
port, prenez OpenVPN dans la liste ou alors indiquez votre port personnalisé. Si vous le souhaitez,
vous pouvez ajouter une description à cette règle et activer les logs.
Capture 18. Création des règles du pare-feu suite
62
Validez la création de la règle et appliquez la configuration.
À partir de ce moment-là, il est possible de monter le tunnel VPN sur un PC, mais les ressources de
votre entreprise seront inaccessibles.
4.3.2. Autoriser les flux vers les ressources
Ajoutez une nouvelle règle, cette fois-ci sur l'interface OpenVPN.

La règle qui suit sert à autoriser l'accès en RDP à l'hôte 192.168.1.30 (qui fait bien parti du réseau
autorisé dans la configuration du VPN) au travers du tunnel VPN. Vous devez créer une ou
plusieurs règles en fonction des ressources aux quelles vos utilisateurs doivent accéder via le
VPN, en limitant les flux au maximum. Si vous utilisez le DNS de votre entreprise via le VPN,
pensez à autoriser le flux DNS vers votre serveur DNS.
63
Capture 19. Autoriser les flux vers les ressources
Pour la destination, ce sera donc mon hôte et le port 3389 pour le RDP. De la même façon
que pour la règle précédente, indiquez une description et activez la journalisation si vous
le souhaitez.
Capture 20. Autoriser les flux vers les ressources suite
La configuration est terminée... Il ne reste plus qu'à tester !
64
4.4. Tester l’accès distant depuis un poste client
Sur un PC Windows 10, nous commençons par installer le client OpenVPN... Ce qui se fait très
facilement, sans difficulté particulière !
▪ Télécharger OpenVPN
Capture 21. Installation d’OpenVPN
Dans le dossier "C:\Programmes\OpenVPN\Config" vous devez extraire le contenu de l'archive

ZIP téléchargée depuis le Pfsense et qui contient la configuration. Vous pouvez créer un sous-
dossier dans le dossier "config" si vous voulez. Pour donner un nom plus corporate à la
connexion VPN, renommez le fichier .ovpn : son nom sera celui donné à la configuration.
65
Capture 22. Extraction du fichier de configuration
Ensuite, sur l'icône OpenVPN effectuez un clic droit et cliquez sur "Connecter".
Capture 23. Connexion a partir du client OpenVPN
Vous devez fournir le nom d'utilisateur et le mot de passe, correspondant à un compte AD ou un

compte local du pare-feu, en fonction de la configuration.
66
Capture 24. Authentification de l’utilisateur
Lorsque le tunnel VPN est monté et actif, l'icône devient vert :
Capture 25. Connexion réussie
Si l'on effectue une ipconfig sur le PC, nous pouvons voir que l'on a bien une adresse IP sur la plage
10.10.10.0, avec un sous-réseau en /30 pour l'isolation des clients.
Il ne reste plus qu'à établir une connexion sur vos serveurs, via RDP, Web, ou autre, selon vos
besoins !
L'accès VPN SSL pour vos utilisateurs nomades ou en télétravail est désormais opérationnel !
67
Conclusion
Ce document était rédigé dans le cadre du mémoire de fin de cycle pour l’obtention du diplôme de
licence professionnelle en télécommunication et informatique.
L'idée de notre thème de mémoire était de faire une étude des différentes solutions de mise en place
d’un VPN nomade pour BOYD et de pouvoir choisir dans chaque côté une solution la plus adaptée
pour assurer la sécurité au niveau des entreprises qui optent pour le télétravail.
L’objectif étant l’étude et mise en place d’un VPN nomade pour BOYD pour un accès sécurise et
continu favorable au Télétravail. Pour y parvenir, nous avions eu recours aux compétences en
télécommunications et en informatique. Ce qui nous a permis de consolider notre connaissance en
administration réseau et sécurité des systèmes d’information.
Enfin, nous pouvons constater que, le déploiement de ce système traditionnel est susceptible
d'entraîner des erreurs d'installation ou de configuration, avec conséquence d'accroître la
vulnérabilité des systèmes d'information et de donner aux entreprises un faux sentiment de sécurité.
Comme perspective nous proposons l’amélioration de ce travail en utilisant « le modèle Zero Trust »
propose par l’ANSSI, qui a fortiori n’est pas une solution logicielle « tout-en-un » commerciale, mais
plutôt un concept d’architecture dédié au renforcement de la sécurité d’accès aux ressources et aux
services dont nous n’avons pas pu aborder.
68
Bibliographie
Mémoires
Mlle Tabara Niane et M Seydina Mouhamed Sy « Etude et Mise en place d’une solution de connexion
multi-sites », Juillet 2019.
Livres
Claude Servin « Réseaux & télécoms - 4ème édition »
William Stallings «Network Security Essentials Applications and Standards»
i
Webographie
https://secnumacademie.gouv.fr/ consulté le 15 Mai 2022
https://www.ssi.gouv.fr/entreprise/guide/definition-dune-architecture-de-passerelle-dinterconnexion-
securisee/ consulté le 27 Mai 2022
https://www.ssi.gouv.fr/entreprise/guide/recommandations-sur-le-nomadisme-numerique/ consulté le 10
Juin 2022
https://www.ssi.gouv.fr/particulier/bonnes-pratiques/crypto-le-webdoc/cryptologie-art-ou-science-du-
secret/ consulté le 20 Juin 2022.
https://openvpn.net/vpn-server-resources/ consulté le 05 juillet 2022
https://www.it-connect.fr/pfsense-configurer-un-vpn-ssl-client-to-site-avec-openvpn/ consulté le 15
juillet 2022
ii
Table des matières
`
DEDICACE ........................................................................................................................................................................... I
REMERCIEMENTS ............................................................................................................................................................... II
GLOSSAIRE ........................................................................................................................................................................ III
LISTE DES FIGURES ............................................................................................................................................................ IV
LISTE DES CAPTURES .......................................................................................................................................................... V
LISTE DES TABLEAUX ......................................................................................................................................................... VI
AVANT-PROPOS ...............................................................................................................................................................VII
SOMMAIRE .....................................................................................................................................................................VIII
INTRODUCTION ................................................................................................................................................................. 1
CHAPITRE 1. PRESENTATION DU NOMADISME NUMERIQUE ET DU PHENOMENE DE BOYD .............................................. 3
1.1. PROBLEMATIQUE ET DEFINITION .............................................................................................................................................3

1.1.1. Définition du nomadisme ........................................................................................................................................4
1.1.2. Présentation du phénomène BOYD .........................................................................................................................4
1.1.3. BOYD : Risques, Avantages et Inconvénients ..........................................................................................................6
1.1.4. Solutions et Mesures techniques ..........................................................................................................................10
CHAPITRE 2. GENERALITES SUR LA SECURITE INFORMATIQUE ......................................................................................... 11
2.1. PRESENTATION DE LA SECURITE INFORMATIQUE .......................................................................................................................11

2.1.1. Définition et contexte d’études .............................................................................................................................11
2.1.2. Les objectifs de la sécurité informatique ..............................................................................................................13
2.1.3. Notions de cryptographie .....................................................................................................................................16
2.2. SYSTEME CRYPTOGRAPHIQUE ...............................................................................................................................................16
2.2.1. Système symétrique ..............................................................................................................................................16
2.2.2. Système asymétrique ............................................................................................................................................17
2.2.3. Hachage ................................................................................................................................................................19
2.2.4. Signature électronique..........................................................................................................................................20
2.2.5. Certificat électronique ..........................................................................................................................................22
2.2.6. Politique de sécurité des systèmes d’information .................................................................................................24
iii
CHAPITRE 3. ÉTUDE SUR LES RESEAUX PRIVES VIRTUELS (VPN). ...................................................................................... 25
3.1. GENERALITES SUR LES VPN .................................................................................................................................................25

3.2. FONCTIONNEMENT D’UN VPN .............................................................................................................................................27
3.3. UTILISATION DES VPN ? .....................................................................................................................................................28
L’intranet VPN .......................................................................................................................................................29
3.3.2. Le VPN d’accès ......................................................................................................................................................30
3.3.3. L’extranet VPN ......................................................................................................................................................32
3.3.4. Les services de sécurité offerts dans un VPN ........................................................................................................33
3.3.5. Cryptage du trafic .................................................................................................................................................33
3.3.6. Cryptage symétrique et clés pré-partagées ..........................................................................................................34
3.3.7. Fiabilité et authentification ..................................................................................................................................34
3.3.8. Certificat VPN .......................................................................................................................................................35
3.4. LE TUNNELING ..................................................................................................................................................................37
3.5. LES PROTOCOLES DE TUNNELISATION .....................................................................................................................................38
3.5.1. Le protocole PPTP .................................................................................................................................................38
3.5.2. L2TP /IPSec ...........................................................................................................................................................39
3.5.3. VPN SSL .................................................................................................................................................................40
3.5.4. OPEN VPN .............................................................................................................................................................41
CHAPITRE 4. CONCEPTION ET IMPLEMENTATION DES SOLUTIONS ADAPTEES ................................................................. 43
4.1. PRESENTATION DES SOLUTIONS ADAPTEES ..............................................................................................................................43

4.2. INSTALLATION ET CONFIGURATION DES SOLUTIONS RETENUES .....................................................................................................44
4.2.1. Prérequis ...............................................................................................................................................................44
4.2.2. Créer les utilisateurs locaux ..................................................................................................................................50
4.2.3. Configuration du serveur OpenVPN ......................................................................................................................51
4.2.4. Exporter la configuration OpenVPN .....................................................................................................................58
4.3. CREER LES REGLES DE FIREWALL POUR OPENVPN ....................................................................................................................61
4.3.1. Autoriser le flux OpenVPN ....................................................................................................................................62
4.3.2. Autoriser les flux vers les ressources .....................................................................................................................63
4.4. TESTER L’ACCES DISTANT DEPUIS UN POSTE CLIENT ...................................................................................................................65
CONCLUSION ................................................................................................................................................................... 68
BIBLIOGRAPHIE ................................................................................................................................................................... I
WEBOGRAPHIE .................................................................................................................................................................. II
TABLE DES MATIERES........................................................................................................................................................ III
iv
V
Ecole Supérieure Multinationale des télécommunications
Mémoire de fin de formation pour l’obtention du diplôme de licence professionnelle en TIC
Option ASR (Administration et sécurité des réseaux)
Rédigé par : SEYDI AHMED TIDIANE DIOP
Titre du Mémoire : Étude et mise en place d’un VPN Nomade pour les BOYD
L'Internet dans la société actuelle est un élément-clé de la vie humaine. L’Internet et le Télétravail, comme
étant un élément indispensable de la vie des entreprises, ces dernières sont en quête des solutions fiables en
termes d’accès au réseau. Il existe un vaste réseau constitué de plusieurs équipements, d’un système
d’information qui comporte plusieurs logiciels dédiés, qui fournit un accès au réseau via une clé partagée,
cherche à comment trouver des solutions fiables pour un accès sécurisé et continu de leur réseau.
Notre travail avait pour but de permettre a un entreprise de sécuriser son système d’information, permettre a
ses utilisateurs Nomade de s’authentifier, et d’accéder de façon sécurisée aux ressources de l’entreprise quel
que soit leurs positions à travers une connexion VPN et en utilisant internet comme support de communication.
Pour mettre en place cette solution, nous avions commencé par une étude théorique qui nous avait permis
d’étudier et ensuite comment fonctionne les VPN afin de choisir les solutions capables de répondre à nos
objectifs. Après cela, nous avions effectué une étude approfondie afin de connaitre davantage leurs
fonctionnalités et services ainsi que leur implémentation. Après l’étude et la mise en place de ces solutions,
nous avions testé les différentes fonctionnalités afin d’atteindre les objectifs fixés.

Etude Et Mise en Place D'un VPN Nomade

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Etude Et Mise en Place D'un VPN Nomade

Transféré par

Droits d'auteur :

Formats disponibles

`–

MÉMOIRE FIN DE FORMATION POUR L’OBTENTION DU

Étude et mise en place d’un VPN Nomade

Sous la direction de : Présenté et soutenu par :

Promotion 2019 – 2020

A Mes très chers parents :

En particulier, mes remerciements vont à l’endroit de :

❖ Mes chers parents.

BYOD Bring Your Own Device

Liste des Figures

FIGURE: 2. RISQUES TECHNIQUES LIES AU BOYD ................................................................................................. 9

FIGURE: 3. LES EXIGENCES DE LA SECURITE INFORMATIQUE CIA ....................................................................... 13

FIGURE: 4. LES OBJECTIFS DE LA SECURITE INFORMATIQUE .............................................................................. 14

FIGURE: 5. SCHEMA CRYPTOGRAPHIE A CLE SECRETE........................................................................................ 17

FIGURE: 6. SCHEMA CRYPTOGRAPHIE A CLE PUBLIQUE ..................................................................................... 18

FIGURE: 7. SIGNATURE NUMERIQUE ................................................................................................................. 22

FIGURE: 8. SCENARIOS D’UTILISATION D’UN VPN ............................................................................................. 29

FIGURE: 9. VPN SITE TO SITE.............................................................................................................................. 30

FIGURE: 10. VPN ACCES NOMADE ....................................................................................................................... 31

FIGURE: 11. VPN EXTRANET ................................................................................................................................ 33

FIGURE: 12. TUNNEL VPN .................................................................................................................................... 37

FIGURE: 13. ARCHITECTURE D’UNE CONNEXION NOMADE ................................................................................. 44

Liste des captures

CAPTURE 2. AJOUT DE L’AUTORITE DE CERTIFICATION ........................................................................................... 45

CAPTURE 3. PARAMETRES DE L’AUTORITE DE CERTIFICATION ................................................................................ 46

CAPTURE 4. CREATION DU CERTIFICAT SERVEUR .................................................................................................... 47

CAPTURE 5. PARAMETRE DU CERTIFICAT SERVEUR ................................................................................................ 48

CAPTURE 6. CERTIFICAT SERVEUR CREER ................................................................................................................ 49

CAPTURE 7. CREATION DES CERTIFICATS UTILISATEURS ......................................................................................... 50

CAPTURE 8. UTILISATEUR CREER DANS LA BASE LOCALE ........................................................................................ 51

CAPTURE 9. CREATION DU VPN .............................................................................................................................. 51

CAPTURE 10. CONFIGURATION DES PARAMETRES VPN .......................................................................................... 53

CAPTURE 11. CONFIGURATION DES PARAMETRES DE CRYPTAGE ........................................................................... 54

CAPTURE 12. CONFIGURATION DES ADRESSES IP ................................................................................................... 55

CAPTURE 13. AUTORISATION DE LA RESOLUTION DNS ........................................................................................... 57

CAPTURE 14. INSTALLATION DU PACKAGE OPENVPN-CLIENT-EXPORT ................................................................... 59

CAPTURE 15. EXPORTATION DE LA CONFIGURATION ............................................................................................. 61

CAPTURE 16. CONTENU DU FICHIER EXPORTER ...................................................................................................... 61

CAPTURE 17. CREATION DES REGLES DU PARE-FEU ................................................................................................ 62

CAPTURE 18. CREATION DES REGLES DU PARE-FEU SUITE ...................................................................................... 62

CAPTURE 19. AUTORISER LES FLUX VERS LES RESSOURCES ..................................................................................... 64

CAPTURE 21. INSTALLATION D’OPENVPN ............................................................................................................... 65

CAPTURE 22. EXTRACTION DU FICHIER DE CONFIGURATION .................................................................................. 66

CAPTURE 23. CONNEXION A PARTIR DU CLIENT OPENVPN ..................................................................................... 66

CAPTURE 24. AUTHENTIFICATION DE L’UTILISATEUR .............................................................................................. 67

CAPTURE 25. CONNEXION REUSSIE......................................................................................................................... 67

Liste des tableaux

TABLEAU 2. COMPARATIF DES PROTOCOLES VPN .................................................................................................. 42

LISTE DES FIGURES .................................................................................................................................................. IV

LISTE DES CAPTURES ................................................................................................................................................ V

LISTE DES TABLEAUX ............................................................................................................................................... VI

AVANT-PROPOS ..................................................................................................................................................... VII

SOMMAIRE ........................................................................................................................................................... VIII

CHAPITRE 1. PRESENTATION DU NOMADISME NUMERIQUE ET DU PHENOMENE DE BOYD ..................................... 3

1.1. PROBLEMATIQUE ET DEFINITION ................................................................................................................................... 3

CHAPITRE 2. GENERALITES SUR LA SECURITE INFORMATIQUE ................................................................................ 11

2.1. PRESENTATION DE LA SECURITE INFORMATIQUE............................................................................................................. 11

CHAPITRE 3. ÉTUDE SUR LES RESEAUX PRIVES VIRTUELS (VPN). ............................................................................. 25

3.1. GENERALITES SUR LES VPN ....................................................................................................................................... 25

CHAPITRE 4. CONCEPTION ET IMPLEMENTATION DES SOLUTIONS ADAPTEES ........................................................ 43

4.1. PRESENTATION DES SOLUTIONS ADAPTEES .................................................................................................................... 43

TABLE DES MATIERES ..............................................................................................................................................III

Un autre élément très important a vu le jour :