[1]

0. INTRODUCTION GENERALE

1. PROBLÉMATIQUE

Les réseaux sont basés sur le principe de l'autoroute, tout le monde y a

accès, d'où personne n'est épargné contre les attaques ou les menaces des
mauvaises âmes qui cherchent à ouvrir les portes du système.
C'est pourquoi, il est donc important de mettre en place une politique de
sécurité. Ainsi, tout au long de ce travail, nous chercherons à appréhender la
question pour lutter contre les intrusions.
Pour mener à bien notre recherche, nous serons amenés à nous poser les
questions suivantes :
 Quel sont les différentes attaques ou menaces informatique ?
 Quel mécanisme ou méthodologie de sécurité mettre en place pour se
préserver ?

2. HYPOTHÈSE

En regard à toute la préoccupation soulevée par la problématique

d'étude, nous portons des hypothèses sur lesquelles les virus informatiques, les
fraudes informatiques et le cyber criminalité constituent des menaces pour la
sécurité informatique. C'est pourquoi le contrôle d'accès par l'authentification est
une bonne alternative pour lutter contre les différentes attaques ou menaces
informatique.

3.CHOIX ET INTÉRÊT DU SUJET

Notre choix est porté dans ce sens, car il s'avère indispensable de renforcer
les mesures de sécurités, dans le but de maintenir la confidentialité, l'intégrité et
le contrôle d'accès au réseau pour réduire les risques d'attaques.
Cette étude nous permettra de comprendre comment fonctionne le système
de sécurité par l'authentification.

4. DÉLIMITATION DU SUJET

Nous nous limiterons à faire une étude sur la sécurité basée sur
l'authentification, dans le réseau IP.
 [2]

5. MÉTHODES ET TECHNIQUES UTILISÉES

Les méthodes sont des voies qui permettent au chercheur d'atteindre

l'explication du phénomène à étudier.
En outre, une méthode est la mise en œuvre d'un certain nombre d'étapes
(méthodologiques), une démarche, des principes, des outils (traces, papiers
standardisés, matériels informatiques, un vocabulaire, etc.).
Pour recueillir les informations ayant servi à l'élaboration de ce travail,
nous avons fait recours aux méthodes et techniques.

5.1. MÉTHODE

C'est un ensemble des démarches raisonnées suivies pour parvenir à un

but.

5.1.1. MÉTHODE HISTORIQUE

Elle nous a permis d'étudier le passé d'une entreprise pour mieux cerner sa
situation actuelle afin de mieux préparer son évolution future ;

5.1.2. MÉTHODE ANALYTIQUE

Elle nous a permis d'analyser en détail le composant du système existant.

Elle consiste à décomposer les éléments du système existant enfin de le
définir, les analyser et d'en dégager les spécificités auxquelles le nouveau
système fera face.

5.2. TECHNIQUE

C'est un ensemble d'instruments ou d'outils qu'utilise la méthode enfin de

réaliser un travail scientifique.

5.2.1 TECHNIQUE DOCUMENTAIRE

Elle a permis de consulter des divers documents pour mieux appréhender

les activités qui se déroulent dans la direction Informatique.

6. SUBDIVISION DU TRAVAIL

Outre l'introduction générale et la conclusion, ce travail est subdivisé en trois

chapitres à savoir :
 [3]

Le premier chapitre est consacré au Concept de base sur les Réseaux

Informatique ; Le deuxième chapitre parle de la Sécurité Informatique ; et le
troisième chapitre se consacre sur la mise en place d’un système de sécurité basé
sur l'authentification.
 [4]

CHAPITRE I : CONCEPT DE BASE SUR LES RESEAUX

INFORMATIQUES

1.1. DÉFINITION DU CONCEPT RÉSEAU

Un réseau est un ensemble d'objets interconnectés les uns avec les autres.
Il permet de faire circuler des éléments entre ces objets selon des règles bien
définies.

1.1.1. RÉSEAU INFORMATIQUE

Un réseau informatique, est un ensemble d'équipements matériels et

logiciels interconnectés les uns avec les autres dans le but de partager des
ressources (données). Ces équipements peuvent être éloignés ou rapprochés.
Suivant l'éloignement entre ces équipements, on distingue les réseaux
suivants :
 LAN (Local Area Network)
 MAN (Métropolitain Area Network)
 WAN (Wide Area Network)
 WLAN (Wide LAN)

1.2. INTÉRÊT D'UN RÉSEAU

La nécessité de communication et du partage des informations en temps

réel, impose aujourd'hui aux entreprises la mise en réseau de leurs équipements
informatiques en vue d'améliorer leurs rendements. Un réseau permet :
 La communication entre personnes (grâce au courrier électronique,
la discussion en direct);
 La communication entre processus (entre des machines
industrielles) ;
 La garantie de l'unicité de l'information (bases de données) ;
 Le partage de fichiers, d'applications.

1.3. LES DIFFÉRENTS TYPES DE RÉSEAU

On distingue généralement deux types de réseaux bien différents, ayant

tout de même des similitudes.
 Les réseaux poste à poste (Peer to Peer / égal à égal)
 Les réseaux organisés autour de serveurs (client /serveur).
 [5]

Ces deux types de réseau ont des capacités différentes. Le type de réseau à
installer dépend des critères suivants :
 Taille de l'entreprise
 Niveau de sécurité nécessaire
 Type d'activité
 Niveau de compétence d'administration disponible
 Volume du trafic sur le réseau, Besoin des utilisateurs sur le réseau...

1.4. CARACTÉRISTIQUES DU RÉSEAU INFORMATIQUE

Dans sa conception, un réseau informatique est caractériser par:

 Son champ d'action
 Son Etendues géographiques
 Son Fonctionnement
 Sa Techniques des transmissions
 Son Débit.

1.4.1. DU POINT DE VUE CHAMP D'ACTION

On distingue :
a). Réseau extranet : est une partie de l'intranet accessible de
l'extérieur
b) Réseau intranet : est un réseau interne qui n’est pas ouvert.

1.4.2. DU POINT DE VUE ÉTENDU GÉOGRAPHIQUES

On distingue 3 Types de réseau :

 Le réseau Local (LAN : local area network) : relie les ordinateurs ou postes
téléphoniques situés dans la même pièce ou dans le même bâtiment ;
 Le réseau métropolitain (MAN : Metropolitan area networks) est un réseau
à l'échelle d'une ville ;
 Le réseau étendu (WAN : Wide Area Network) est un réseau à grande
échelle qui relie plusieurs sites ou des ordinateurs du monde entier.
 Réseau PAN : Personal Area Network: Ces réseaux personnels
interconnectent sur quelques mètres les équipements personnels tel que : Le
GSM, portable …d'un même utilisateur...

1.4.3. DU POINT DE VUE TRANSMISSION

On distingue 2 types :
 [6]

a) Le réseau point à pointe : Dans c'est types de réseau le canal de transmission

est relier entre 2 machines. Un ordinateur ne peut communiquer qu'avec un
ordinateurs avec le quelle il est directement connectés. C’est types de réseau ne
convient que pour des réseaux très simples ; n'est contenant que très peu
d'ordinateurs.
b) Le réseau a diffusion (Broadcast en Angiais): Dans ce type de réseau les
messages sont envoyés sur tout le réseau. Celui à qui le message est destiné
capte au passage. On retrouve ce type de fonctionnement pour la diffusion d'une
émission de radio ou télévision. La transmission par diffusion est réservée pour
un réseau limité.

1.4.4. DU POINT DE VUE FONCTIONNEMENT

On distingue 2 types de réseaux :

 Les réseaux poste à poste (Peer to Peer / égal à égal) :
Les postes de travail sont simplement reliés entre eux par le réseau. Aucune
machine ne joue un rôle particulier. Chaque poste peut Partager ses ressources
avec les autres postes. Dans ce type de réseau, il n’y a pas un serveur dédie.
Chaque machine peut être serveur et client, chaque machine est libre de
partager ses ressources. C'est type de réseau est valables pour un petit nombre
d’ordinateur.

 Réseaux organisés autour de serveurs (Client/serveur)

Les ressources réseau sont centralisées. Un ou plusieurs serveurs sont
dédiés au partage de ces ressources et en assurent la sécurité ; Les postes clients
ne sont en principe que des clients, ils ne partagent pas de ressources, ils
Utilisent celles qui sont offertes par le serveur.
 [7]

C'est un mode de dialogues entre deux processus. Le premier est appeler

client demande l'exécution de ses services au second appelé serveur. C'est un
système centralisé. C'est modèle est recommandé pour des réseaux nécessitant
un grand niveau de fiabilité.

Figure 1.2 : réseau client/serveur

1.4.5. DU POINT DE VUE DÉBIT

On distingue 3 types de réseaux :

 Le réseau à faible est moyen débit (débit <200kbps)
 Le réseau à haut débit : le débit est entre 200kbps à 20Mbps
 Le réseau à très haut débit (débit >20Mbps)

1.5. TOPOLOGIE

La topologie est une représentation d'un réseau. Cette représentation peut

être considérée du point de vue de l'emplacement des matériels (câbles, postes,
dispositifs de connectivité,...), et l'on parle de « topologie physique », ou du
point de vue du parcours de l'information entre les différents matériels, et l'on
parle de la topologie logique ». La topologie logique détermine la manière dont
les stations se partage le support et dépend de la méthode d'accès au réseau. Par
exemple, un réseau peut être considéré comme appartenant à une topologie en
étoile, du point de vue physique, alors qu'en réalité il appartient à une topologie
en anneau, du point de vue logique.
I.5.I. TOPOLOGIE PHYSIQUE

1.5.1.1. TOPOLOGIE BUS

Les réseaux en bus sont aussi appelés réseaux en bus linéaire, épine
dorsale ou backbone. Les différents postes ou périphériques du réseau sont reliés
à un seul et même câble (tronçon (trunk), segment). A toutes les extrémités du
câble est fixé un bouchon, un terminator. La topologie en bus est dite «
topologie passive » parce que le signal électrique qui circule le long du câble
n'est pas régénéré quand il passe devant une station.
Les réseaux en bus sont simples, peu coûteux, facile à mettre en place et à
maintenir. Si une machine tombe en panne sur un réseau en bus, alors le réseau
 [8]

fonctionne toujours, mais si le câble est défectueux alors le réseau tout entier ne
fonctionne plus.
Le bus constitue un seul segment que les stations doivent se partager pour
communiquer entres elles.

Figure 1.3 : Topologie Bus

1.5.1.2. TOPOLOGIE ETOILE

Dans un réseau en étoile chaque poste est relié au réseau par

l'intermédiaire de son propre câble à un concentrateur (un hub). Les
concentrateurs s'appellent différemment selon la topologie à laquelle ils
appartiennent (les switchs, les commutateurs, les MAI) ne concernent que les
réseaux en anneau de type Token Ring), et les termes employés par les
spécialistes peuvent également être utilisés indifféremment (ou confusionnelle
ment).
Les concentrateurs sont dénommés différemment selon leurs fonctionnalités :
 Les HUB sont de simples concentrateurs qui régénèrent le signal et le
transmet à tous les ports (ceux sont des répéteurs).

 Les SWITCH sont des HUB améliorés qui peuvent transmettre des
données simultanément entre plusieurs couples de stations (des répéteurs
plus efficaces).
 Les commutateurs segmentent le réseau et filtrent les paquets.
Quand un des ports d'un concentrateur est inoccupé, alors le
concentrateur le courcircuite automatiquement afin que le réseau ne soit pas
coupé (à contrario d'un réseau en bus qui ne fonctionne plus si une station est
dite connectée). Il existe des "HUB administrables" qui permettent de segmenter
le réseau.

Figure 1.4 : Topologie étoile

 [9]

1.5.1.3. TOPOLOGIE ANNEAU

Les réseaux en anneau sont constitués d'un seul câble qui forme une
boucle logique. Les réseaux en anneau sont des réseaux qui gèrent
particulièrement le trafic. Le droit de parler sur le réseau est matérialisée par un
jeton qui passe de poste en poste.
Chaque poste reçoit le jeton chacun son tour, et chaque station ne peut
conserver le jeton qu'un certain temps, ainsi le temps de communication est
équilibré entres toutes les stations. Le trafic est ainsi très réglementé, il n'y a pas
de collisions de « paquets », le signal électrique circule seul sur le câble, depuis
la station émettrice jusqu'à la station réceptrice, et cette dernière renvoi un
accusé de réception.
La méthode d'accès au réseau s'appelé le passage du jeton. La topologie en
anneau est dite « topologie active » parce que le signal électrique est intercepté
et régénéré par chaque machine. Il existe un mécanisme qui permet de
contourner une station qui est tombée en panne, c'est le « by-pass ». Quand une
station n'a pas reçu le jeton au bout d'un certain temps, une procédure permet
d'en créer un autre.

1.5.1.4. TOPOLOGIE MIXTE

Figure 1.5 : Topologie anneau
Les réseaux mixtes sont des réseaux qui mélangent deux topologies :
 Les bus en étoile
 Les réseaux 100VG-AnyLAN (ETHERNET à 100 Mb/s) de la spécification
IEEE 802.12 qui fonctionnent avec la méthode d'accès de la priorité de la
demande
 Les anneaux en étoile
 [10]

1.5.2. TOPOLOGIE LOGIQUE

1.5.2.1. ETHERNET

Ethernet est aujourd'hui l'un des réseaux les plus utilisés en local. Il repose
sur une topologie physique de type bus linéaire, c'est-à-dire tous les ordinateurs
sont reliés à un seul support de transmission. Dans un réseau Ethernet, la
communication se fait à l'aide d'un protocole appelé CSMA/CD (Carrier Sensé
Multiple Access with Collision Detect), ce qui fait qu'il aura une très grande
surveillance des données à transmettre pour éviter toute sorte de collision. Par
un conséquent un poste qui veut émettre doit vérifier si le canal est libre avant
d'y émettre.

1.5.2.2. TOKEN RING

Token Ring repose sur une topologie en anneau (ring). Il utilise la

méthode d'accès par jeton (token). Dans cette technologie, seul le poste ayant le
jeton a le droit de transmettre. Si un poste veut émettre, Il doit attendre jusqu'à
ce qu'il ait le jeton.
Dans un réseau Token ring, chaque nœud du réseau comprend un MAL
(Multissstation Access Unit) qui peut recevoir les connexions des postes. Le
signal qui circule est régénéré par chaque MAU.
Mettre en place un réseau token ring coûte chers, malgré que la panne
d'une station MAU provoque le disfonctionnement du réseau.

1.5.2.3. FDDI (FIBER DISTRIBUTED DATA INTERCONNECT)

La technologie LAN FDDI (FlberDistributed Data Interface) est une

technologie d'accès réseau utilisant des câbles fibres optiques. Le FDDI est
constitué de deux anneaux : un anneau primaire et anneau secondaire.
L'anneau secondaire serf à rattraper les erreurs de l'anneau primaire. Le
FDD/ utilise un anneau à jeton qui sert à détecter et à corriger les erreurs. Ce qui
fait que si une station MALI tombe en panne, le réseau continuera de
fonctionner.
 [11]

1.6. NOTION SUR LES PROTOCOLES

On appelle « protocole » une méthode standard qui permet la

communication entre des processus (s'exécutant éventuellement sur différentes
machines), c'est-à-dire un ensemble de règles et de procédures à respecter pour
émettre et recevoir des données sur un réseau.
Il en existe plusieurs. Selon ce que l'on attend de la communication.
Certains protocoles seront par exemple spécialisés dans l'échange de fichiers (le
FTP), d'autres pourront servir à gérer simplement l'état de la transmission et des
erreurs (c'est le cas du protocole ICMP),...

1.6.1. MODÈLES EN COUCHES

1.6.1.1. MODÈLE OSI

Le modèle OSI est un modèle qui comporte 7 couches, tandis que le

modèle TCP/IP n'en comporte que 4. En réalité le modèle TCP/IP a été
développé à peu près au même moment que le modèle OSI, c'est la raison pour
laquelle il s'en inspire mais n'est pas totalement conforme aux spécifications du
modèle OSI. Les couches du modèle OSI sont les suivantes

 Couche physique : Assure le transfert de bit. Ce niveau rassemble les

propriétés qui spécifient les caractéristiques mécaniques, électriques et
fonctionnelles des circuits de données.
 [12]

 Couche liaison de données : Responsable de l'acheminement d'unités de

données appelées trames en assurant la meilleure qualité de transmission
possible. Une trame est une suite structurée de bits. Protocole standard :
HDLC (High Data Level Link Control).
 Couche réseau : Transporte des unités de données de taille fixe appelée
paquets. Exemple de protocoles standards : X25 et IP.
 Couche transport : Transporte des unités de données appelées messages.
Protocole TCP, UDP et TCP I IP.
 La couche Session : Fournit aux entités coopérants les moyens nécessaires
pour synchroniser leurs dialogues, les interrompre ou les reprendre tout en
assurant la cohérence des données échangées.
 La couche Présentation : Se charge de la représentation des informations
que les entités s'échangent. Masque l'hétérogénéité de techniques de codage
utilisées par les différents systèmes.
 La couche Application : Donne aux processus d'application les moyens
d'accéder à l'environnement de communication de l'OSl. Comporte de
nombreux protocoles adaptés aux différentes classes d'application.

1.6.1.2. MODÈLE TCP/IP

Couches dans la plie TCP/IP

 [13]

Comme les suites de protocoles TCP/IP et OSI ne correspondent pas

exactement, toute définition des couches de la pile TCP/IP peut être sujette à
discussion...
En outre, le modèle OSI n'offre pas une richesse suffisante au niveau des
couches basses pour représenter la réalité ; il est nécessaire d'ajouter une couche
supplémentaire d'interconnexion de réseaux (Internet working) entre les couches
Transport et Réseau.

Les protocoles spécifiques à un type de réseau particulier, mais qui

fonctionnent au-dessus de la couche de liaison de données, devraient appartenir
à la couche réseau.
ARP, et STP (qui fournit des chemins redondants dans un réseau tout en évitant
les boucles) sont des exemples de tels protocoles. Toutefois, ce sont des
protocoles locaux, qui opèrent au-dessous de la fonction d'interconnexion de
réseaux; placer ces deux groupes de protocoles (sans parler de ceux qui
fonctionnent au-dessus du protocole d'interconnexion de réseaux, comme ICMP)
dans la même couche peut prêter à confusion.

Le schéma qui suit essaie de montrer où se situent divers protocoles de la

pile TCP/IP dans le modèle OSI de l'ISO :

Tableau 1.1 : Schéma divers protocoles de la pile TCP/IP dans le modèle OSI de
l'ISO.
Une autre approche du modèle TCP/IP consiste à mettre en avant un
modèle en 2 couches. En effet, IP fait abstraction du réseau physique. Et ce n'est
pas une couche application qui s'appuie sur une couche transport (représentée
par TCP ou UDP) mais des applications.
On aurait donc :
 [14]

Cette représentation est plus fidèle aux concepts d'IP. Rappelons que ce «
modèle » est antérieur au modèle OSI et tenter de les faire correspondre peut
induire en erreur. En effet, TCP introduit une notion de session, or TCP est au
niveau TRANSPORT sur un modèle calqué sur l'OSI.

Cette antériorité au modèle OSi explique aussi certaines incohérences

comme l'implémentation d'un protocole de routage au-dessus d'UDP (RIP est
implémenté sur UDF, alors qu'OSPF, arrivé après le modèle OSI et cette volonté
de vouloir découper les thématiques par couches, s'appuie directement sur IP).
DHCP est également implémenté sur UDP, niveau « applications » alors que
c'est le rôle de la couche réseau de fournir une configuration de niveau 3.

1.7. LES ADRESSES IP

Une adresse IP (avec IP pour Internet Protocol) est un numéro

d'identification qui est attribué de façon permanente ou provisoire à chaque
appareil connecté à un réseau informatique utilisant l'Internet Protocol. L'adresse
IP est à la base du système d'acheminement (le routage) des messages sur
Internet.
Il existe des adresses IP de version 4 (sur 32 bits, soit 4 octets) et de
version 6 (sur 128 bits, soit 16 octets). La version 4 est actuellement la plus
utilisée : elle est généralement représentée en notation décimale avec quatre
nombres compris entre 0 et 255, séparés par des points, ce qui donne par
exemple: 212.85.150.134. Les plages d'adresses lPv4 étant proches de la
saturation, les opérateurs incitent à la transition d'IPv4 vers IPv6.
 [15]

1.7.1. UTILISATION DES ADRESSES IP

L'adresse IP est attribuée à chaque interface avec le réseau de tout

matériel informatique (routeur, ordinateur, modem ADSL, imprimante réseau,
etc.) connecté à un réseau informatique utilisant l'Internet Protocol comme
protocole de communication entre ses nœuds. Cette adresse est assignée soit
individuellement par l'administrateur du réseau local dans le sous-réseau
correspondant, soit automatiquement via le protocole DHCP. Si l'ordinateur
dispose de plusieurs interfaces, chacune dispose d'une adresse IP spécifique, une
interface peut également disposer de plusieurs adresses IP.
Chaque paquet transmis par le protocole IP contient l'adresse IP de
l'émetteur ainsi que l'adresse IP du destinataire. Les routeurs IP acheminent les
paquets vers la destination de proche en proche. Certaines adresses IP sont
utilisées pour la diffusion (multicast ou broadcast) et ne sont pas utilisables pour
adresser des ordinateurs individuels. La technique anycast permet de faire
correspondre une adresse IP à plusieurs ordinateurs répartis dans Internet.
Les adresses IPv4 sont dites publiques si elles sont enregistrées et
mutables sur internet, elles sont donc uniques mondialement. À l'inverse, les
privées ne sont utilisables que dans un réseau local, et ne doivent être uniques
que dans ce réseau. La traduction d'adresse réseau permet de transformer des
adresses privées en adresses publiques et d'accéder à Internet à partir d'un poste
d'un réseau privé.

1.7.2. ADRESSE IP ET NOM DE DOMAINE

La plupart des adresses IP des serveurs peuvent être converties en un nom

de domaine et inversement. Le nom de domaine est plus facilement lisible :
fr.wikipedia.org est le nom de domaine correspondant à 91.198.174.225. Il s'agit
du système de résolution de noms (DNS pour Domain Name System en anglais).

1.7.3. CLASSE D'ADRESSE IP

Jusqu'aux années 1990, on a distingué des classes d'adresse IP qui étaient

utilisées pour l'assignation des adresses et par les protocoles de routage. Cette
 [16]

notion est désormais obsolète pour l'attribution et le routage des adresses IP.
Attention toutefois : dans la pratique, de nombreux matériels et logiciels se
basent, sur ce système de classe, y compris les algorithmes de routage des
protocoles dit classless.

1.7.4. SOUS-RÉSEAU

En 1984, devant la limitation du modèle de classes, la RFC 917 (Internet

subnets) crée le concept de sous-réseau. Ceci permet par exemple d'utiliser une
adresse de Classe B comme 256 sous-réseaux de 256 ordinateurs au lieu d'un
seul réseau de 65536 ordinateurs, sans toutefois remettre en question la notion
de classe d'adresse.
Le masque de sous-réseau permet de déterminer les deux parties d'une
adresse IP correspondant respectivement au numéro de réseau et au numéro de
l'hôte.
Un masque a la même longueur qu'une adresse IP. Il est constitué d'une
suite de chiffres 1 (éventuellement) suivie par une suite de chiffres 0.
Pour calculer la partie sous-réseau d'une adresse IP, on effectue une
opération et logique bit à bit entre l'adresse et le masque. Pour calculer l'adresse
de l'hôte, on effectue une opération ET bit à bit entre le complément à un du
masque et l'adresse.
En IPv6, les sous-réseaux ont une taille fixe de 164, c'est-à-dire que 64 des
128 bits de l'adresse IPv6 sont réservés à la numérotation d'un hôte dans le sous-
réseau.

1.7.5. AGRÉGATIONS DES ADRESSES

En 1992, la RFC 1338 (Supernetting: an AddmssAssignmentand

AggregationStrategy) propose d'abolir la notion de classe qui n'était plus adaptée
à la taille d'Internet.
Le Classless Inter-Domain Routing (CIDR), est mis au point en 1993 3 afin
de diminuer la taille de la table de routage contenue dans les routeurs. Pour cela,
on agrège plusieurs entrées de cette table en une seule.
La distinction entre les adresses de classe A, B ou C a été ainsi rendue
obsolète, de sorte que la totalité de l'espace d'adressage unicast puisse être gérée
comme une collection unique de sous-réseaux indépendamment de la notion de
classe. Le masque de sous-réseau ne peut plus être déduit de l'adresse IP elle-
même, les protocoles de routage compatibles avec CIDR, dits classless, doivent
donc accompagner les adresses du masque correspondant.
 [17]

C'est le cas de Border Gateway Protocol dans sa version 4, utilisé sur

Internet (RFC 1654 A Border Gateway Protocol 4, 1994), OSPF, EIGRP ou
RIPv2. Les registres Internet régionaux (RIR) adaptent leur politique
d'attribution des adresses en conséquence de ce changement.
L'utilisation de masque de longueur variable (Variable-Length Subnet
Mask, VLSM) permet le découpage de l'espace d'adressage en blocs de taille
variable, permettant une utilisation plus efficace de l'espace d'adressage.
Le calcul du nombre d'adresses d'un sous-réseau est le suivant, 2
taille de l'adresse - masque.
Un fournisseur d'accès internet peut ainsi se voir allouer un bloc 119
(soit 2 -' = 213 = 8192 adresses) et créer des sous-réseaux de taille variable en
32 9

fonction des besoins à l'intérieur de celui-ci : de /30 pour des liens points-à-point
à 124 pour un réseau local de 200 ordinateurs. Seul le bloc 119 sera visible pour
les réseaux extérieurs, ce qui réa//'se l'agrégation et l'efficacité dans l'utilisation
des adresses.

1.7.6. PLAGE DES ADRESSES IP

Certaines adresses sont réservées à un usage particulier :

Bloc Usage
0.0.0.0/8 Adresse réseau par défaut
10.0.0.0/8 Adresses privées de Classe A
100.64.0.0/10 Espace partagé pour Carrier Grade NAT
127.0.0.0/8 adresse de bouclage (localhost)
169.254.0.0/16 adresses locales autoconfigurées (APIPA)
172.16.0.0/12 Adresses privées de Classe B
192.0.0.0/24 Réservé par l'IETF
192.0.2.0/24 Réseau de test TEST-NET-1
192.88.99.0/24 6to4 anycast
192.168.0.0/16 Adresses privées de Classe C
198.18.0.0/15 Tests de performance
198.51.100.0/24 Réseau de test TEST-NET-2
203.0.113.0/24 Réseau de test TEST-NET-3
224.0.0.0/4 Multicast "Multidiffusion"
240.0.0.0/4 Réservé à un usage ultérieur non précisé
255.255.255.255/32 broadcast limité

1.7.6.1. ADRESSES PRIVÉES

Ces adresses ne peuvent pas être routées sur internet. Leur utilisation par
un réseau privé est encouragée pour éviter de réutiliser les adresses publiques
 [18]

enregistrées. Il faut toutefois prévoir qu'il n'y ait pas de doublon lors de
l'interconnexion de réseaux privés non prévue lors de leurs créations.

1.7.6.2. ADRESSES DE DIFFUSION

 L'adresse 255.255.255.255 est une adresse de diffusion.

 La première adresse d'un réseau spécifie le réseau lui-même, la dernière
est une adresse de diffusion (broadcast).

1.7.6.3. ADRESSES MULTICAST

En IPv4, tout détenteur d'un numéro d'AS 16 bit peut utiliser un bloc de
256 adresses IP multicast, en 233.x.y.z où x et y sont les 2 octets du numéro
d'AS.

CHAPITRE II : LA SECURITE INFORMATIQUE

II.1. INTRODUCTION

La sécurité des réseaux informatiques est un sujet essentiel pour

favoriser le développement des échanges dans tous les domaines. Un seul mot
"sécurité" recouvre des aspects très différents à la fois techniques,
organisationnels et juridiques.
 [19]

II.2. VIRUS INFORMATIQUES

Virus informatiques, actes de malveillance interne ou externe, failles de

sécurité, espionnage industriel, tous ces dangers constituent la préoccupation
majeure des responsables informatiques des entreprises. Cette inquiétude se
manifeste aussi chez les utilisateurs et parvient même à troubler la confiance des
citoyens dans leur relation avec les technologies numériques.

II.3. FRAUDE INFORMATIQUES

Tout le monde a été confronté aux phénomènes suivants : fraude

informatique, usurpation de numéro de carte bancaire, vol de carte de téléphonie
mobile, irruption de sites sordides sur Internet, invasion de la messagerie non
sollicitée, atteinte à la vie privée, filature électronique, vidéo surveillance,
inquisition numérique.
La sécurité des réseaux et des systèmes est une discipline en pleine
évolution, au rythme du déploiement d'une urbanisation digitale autour de
l'activité humaine, de l'appropriation concomitante des technologies numériques
par un large public sous le joug fatal et incontournable de la société numérique,
et même de l'addiction à Internet ou au téléphone mobile d'une partie de la
population. La naissance d'une ubiquité de la communication qui permet de se
brancher sur les infrastructures de réseaux, en tout lieu et en tout temps, et
l'émergence d'une ubiquité du calcul qui permet de traiter l'information sur ces
infrastructures ont provoqué des phénomènes croissants de délinquance
informatique.

II.4. LA CYBER CRIMINALITÉ

La cybercriminalité, prolongement de la violence du monde réel qui se

reflète dans le monde virtuel, emprunte la brèche essentielle des systèmes
numériques : la volatilité de l'information. Une donnée numérique peut être
divulguée, copiée, plagiée, falsifiée ou détruite.
Dans l'univers numérique, véritable village virtuel violent, il n'existe pas une
œuvre originale avec des éventuelles copies, il n'existe que des clones identiques
que l'on peut reproduire à l'infini. Ce miroir multiplicateur est une vulnérabilité
engendrée par l'Indépendance consubstantielle à la nature numérique entre le
support physique et le contenu Intangible de l'Information.
 [20]

Pour accompagner la croissance incoercible des patrimoines numériques

des personnes et des entreprises, Il est indispensable de contrecarrer les
accidents dus à la fatalité aussi bien que les actions malveillantes des pirates par
une politique de sécurité qui doit être mise en vigueur, par chaque citoyen et
dans chaque Institution, grâce à un dispositif, à la fois technique et
organisationnel. La gamme des méthodes actuelles et des outils existants permet
de parer aux erreurs humaines et aux périls qui risquent de porter atteinte à la
confidentialité, à l'intégrité ou à la disponibilité des réseaux et des systèmes.
Par ailleurs, la recherche en sécurité est en plein essor. L'objectif est
d'améliorer la maîtrise de la circulation des informations sur les réseaux, de
favoriser la dissémination des applications Informatiques et d'encourager
l'appropriation des technologies numériques par un large public.

II.5. LES IMPÉRATIFS

Ces fonctions de sécurité mettent en œuvre des techniques cryptographiques

pour protéger les informations ou pour sécuriser les Interfaces entre les
ordinateurs. De plus, des dispositifs particuliers de sécurité existent et sont
déployés pour sécuriser des zones sensibles des réseaux, comme les points
d'accès ou les frontières des systèmes. La gestion de la sécurité est le sujet
délicat de ces techniques car il faut notamment sécuriser ces fonctions de
sécurité.
Après un tour d'horizon des protocoles cryptographiques, des architectures
de sécurité des différents réseaux, des dispositifs de sécurité, de la sécurité des
divers systèmes et des contenus, nous esquisserons les verrous technologiques
de la recherche en sécurité numérique.
Sécuriser les données, c'est garantir :
 L'authentification réciproque des correspondants pour être sûr de son
interlocuteur ;
 L'intégrité des données transmises pour être sûr qu'elles n'ont pas été
modifiées accidentellement ou intentionnellement ;
 La confidentialité pour éviter que les données soient lues par des systèmes ou
des personnes non autorisées ;
 Le non répudiation pour éviter la contestation par l'émetteur de l'envoi de
données.
Une des manières d'assurer la sécurité des données serait de protéger
physiquement l'accès au matériel. C'est possible dans une pièce ou un immeuble.
C'est impossible dès que le réseau est physiquement étendu. Depuis très
longtemps, les chercheurs ont travaillé sur ces sujets. Dans tous les pays, les
 [21]

militaires ont développé des techniques permettant de garantir la confidentialité

des informations.
Progressivement, ces techniques sont devenues nécessaires à de
nombreuses activités économiques et leur emploi s'est répandu, favorisé par la
diffusion de calculateurs de grandes puissances à bas prix. Aujourd'hui, un
système s'est imposé sous de nombreuses variantes. C'est le système à double
clés, une publique et l'autre privée, inventé en 1977 par trois chercheurs : Rivest,
Shamiret Adleman.

II.6. COMPRÉHENSION DU SYSTÈME À DOUBLE CLÉS

Pour comprendre simplement le système à double clés, il suffit de savoir

que ce qu'une clé code seule l'autre peut le décoder et réciproquement.

Le fait de connaître une clé n'aide pas à trouver l'autre. La théorie

mathématique de ce codage asymétrique est assez simple puisqu'elle est
maintenant au programme des classes de mathématiques supérieures. La sécurité
du système est fondée sur le temps de calcul considérable nécessaire aux
machines les plus puissantes pour trouver les facteurs premiers de nombres de
plusieurs centaines de chiffres. Les clés habituellement utilisées comportent
1024 ou 2048 bits ce qui en principe en garantit l'inviolabilité, tout au moins
dans l'état actuel des connaissances mathématiques.
La plupart des cartes qui sont utilisées pour assurer les fonctions de
sécurité fonctionnent avec le principe du système à double clés. Chaque carte
contient dans sa mémoire les 2 clés, une publique en lecture libre par les
applications informatiques, l'autre privée qui ne peut être utilisée qu'après la
fourniture du code secret à 4 chiffres de l'utilisateur. Ce mode de
fonctionnement est bien connu des utilisateurs des cartes bancaires françaises.
 [22]

Voyons maintenant comment les fonctions de sécurité sont assurées par

cette technique.

Figure 11.2 : Technique du système à double clés

Les utilisateurs ont accès à un annuaire des clés publiques de leurs

correspondants. Toutes les opérations décrites ci-après sont exécutées
automatiquement par des programmes

II.6.1. L'AUTHENTIFICATION

L'authentification Consiste simplement à demander à la machine de

l'utilisateur de coder un mot choisi au hasard avec sa clé privée. Si le décodage
avec la clé publique restitue le mot, on est « sûr » que c'est bien le couple bonne
carte (clé privé) et bon utilisateur (code à 4 chiffres) qui a permis cette
opération. A noter l'importance de conserver la carte en lieu sûr et de garder le
code à 4 chiffres confidentiels.

II.6.2. L'INTÉGRITÉ

L'intégrité des données est obtenue par l'ajout automatique d'un petit message
calculé à partir des données envoyées. Ce message est codé avec la clé privé de
l'émetteur. Le destinataire décode le message avec la clé publique de l'émetteur
disponible dans l'annuaire. Toute modification intentionnelle ou accidentelle des
données ou du message d'intégrité est détectée par le destinataire du message.
 [23]

II.6.3. LA CONFIDENTIALITÉ

La confidentialité est obtenue en chiffrant le message entier avec la clé

publique du destinataire. Lui seul pourra décoder le message avec sa clé privée
après fourniture du code à 4 chiffres.

II.6.4. LA NON RÉPUDIATION

Le non répudiation est garanti en demandant à l'émetteur de signer avec sa

clé privée. Il est seul à pouvoir le faire et tous les destinataires pourront le
vérifier avec sa clé publique. Ce système très simple dans son principe, se
complique rapidement.
 Comment traiter les destinataires multiples ? En fait, pour cette raison et
pour des raisons de performances, on code avec les clés publiques ou
privées une clé plus simple (40 ou 56 bits) qui sert à coder le message et
qui n'est utilisée qu'une fois.
 Comment être sûr que la clé publique n'a pas été modifiée par un
intermédiaire ? // suffit de demander à l'autorité de certification dont la clé
publique est connue de signer avec sa clé privée. Chacun pourra alors
vérifier l'intégrité de la clé.
 Que se passe-t-il s'il y a plusieurs autorités de certification ?
 Si une carte est volée ou perdue, comment révoquer la clé publique ?
 Comment limiter la durée de vie d'une certification pour des raisons de
sécurité ?

Pour répondre de manière satisfaisante à toutes ces questions, il faut

mettre en place une organisation pour gérer la sécurité ce qui pose naturellement
de nouveaux problèmes de sécurité. Il faut surtout que les dispositifs soient
proportionnés aux enjeux pour éviter la tentation du coffre unique très sûr dont
la porte reste ouverte en permanence.
Ce rapide tour d'horizon des problèmes liés à la sécurité des réseaux
informatiques montre que des technologies connues et maîtrisées permettent
aujourd'hui de garantir la sécurité de la transmission des informations sur des
infrastructures publiques ou privées. Mais pour réussir, il faut aussi gagner la
confiance des utilisateurs. Sur Internet comme dans la ville, les rumeurs se
propagent relayées par des utilisateurs naïfs ou ignorants. L'exemple des fausses
" alertes aux virus " est bien connu. L'utilisation de ces dispositifs de sécurité
introduit des contraintes. Celles-ci ne seront acceptées que si elles sont
comprises et proportionnées aux enjeux tout en restant simples à utiliser.
 [24]

II.7. ATTAQUES INFORMATIQUES

Tout ordinateur connecté à un réseau informatique est potentiellement

vulnérable à une attaque.
Une « attaque » est l'exploitation d'une faille d'un système
informatique (système d'exploitation, logiciel ou bien même de l'utilisateur) à
des fins non connues par l'exploitant du système et généralement préjudiciables.
Sur internet des attaques ont lieu en permanence, à raison de plusieurs
attaques par minute sur chaque machine connectée. Ces attaques sont pour la
plupart lancées automatiquement à partir de machines infectées (par des virus,
chevaux de Troie, vers, etc.), à l'insu de leur propriétaire. Plus rarement il s'agit
de l'action de pirates informatiques.
Afin de contrer ces attaques il est indispensable de connaître les
principaux types d'attaques afin de mettre en œuvre des dispositions préventives.
Les motivations des attaques peuvent être de différentes sortes :
 Obtenir un accès au système ;
 Voler des informations, tels que des secrets industriels ou des propriétés
intellectuelles ;
 Glaner des informations personnelles sur un utilisateur ;
 Récupérer des données bancaires ;
 S'informer sur l'organisation (entreprise de l'utilisateur, etc.) ;
 Troubler le bon fonctionnement d'un service ;
 Utiliser le système de l'utilisateur comme « rebond » pour une attaque ;
 Utiliser les ressources du système de l'utilisateur, notamment lorsque le
réseau sur lequel il est situé possède une bande passante élevée.

II.7.1. PRINCIPAUX ATTAQUES

a) Virus : programme se dupliquant sur d'autres ordinateurs.

b) Dénis de service : il s'agit d'attaques visant à perturber le bon fonctionnement
d'un service. On distingue habituellement les types de déni de service suivants :
❖ Exploitation de faiblesses des protocoles TCP/IP
❖ Exploitation de vulnérabilité des logiciels serveurs.
c) Sniffer : technique permettant de récupérer toutes les informations transitant
sur un réseau (on utilise pour cela un logiciel sniffer). Elle est généralement
utilisée pour récupérer les mots de passe des applications qui ne chiffrent pas
 [25]

leurs communications, et pour identifier les machines qui communiquent sur le

réseau.
d) Cheval de Troie : (trojan en anglais) : programme à apparence légitime
(voulue) qui exécute des routines nuisibles sans l'autorisation de l'utilisateur.
e) Intrusion : Lorsque le pirate a dressé une cartographie des ressources et des
machines présentes sur le réseau, il est en mesure de préparer son intrusion.
Pour pouvoir s'introduire dans le réseau, le pirate a besoin d'accéder à des
comptes valides sur les machines qu'il a recensées. Pour ce faire, plusieurs
méthodes sont utilisées par les pirates :
 L'ingénierie sociale, c'est-à-dire en contactant directement certains
utilisateurs du réseau (par mail ou par téléphone) afin de leur soutirer des
informations concernant leur identifiant de connexion et leur mot de
passe. Ceci est généralement fait en se faisant passer pour l'administrateur
réseau.
 La consultation de l'annuaire ou bien des services de messagerie ou de
partage de fichiers, permettant de trouver des noms d'utilisateurs valides
 L'exploitation des vulnérabilités des commandes R* de Berkeley.
 Les attaques par force brute (brute force cracking), consistant à essayer de
façon automatique différents mots de passe sur une liste de compte (par
exemple l'identifiant, éventuellement suivi d'un chiffre, ou bien le mot de
passe password, ou passwd, etc).

II.8. NOTIONS DE BASE SUR LE RISQUE

II.8.1. CONCEPT DE LA GESTION DES RISQUES

Le risque s'explique différemment dans le sens commun et dans des

approches techniques ou entrepreneuriales. Le risque peut être « avéré », «
potentiel », « émergent » ou « futur ». Avec le temps, certains risques
disparaissent, de nouveaux risques apparaissent, et notre capacité à les gérer
évolue.
Il importe de mesurer ces risques, non seulement en fonction de la
probabilité ou de la fréquence de leurs survenances, mais aussi en mesurant
leurs effets possibles. Ces effets, selon les circonstances et le moment où ils se
manifestent, peuvent avoir des conséquences négligeables ou catastrophiques.
Parfois, le traitement informatique en cours échoue, il suffit de le relancer,
éventuellement par une autre méthode si on craint que la cause ne réapparaisse ;
parfois l'incident est bloquant et on doit procéder à une réparation ou une
correction avant de poursuivre le travail entrepris. Mais ces mêmes incidents
peuvent avoir des conséquences beaucoup plus fâcheuses :
 [26]

 Données irrémédiablement perdues ou altérées, ce qui les rend

inexploitables ;
 Données ou traitements durablement indisponibles, pouvant entraîner
l'arrêt d'une production ou d'un service;
 Divulgation d'informations confidentielles ou erronées pouvant profiter à
des sociétés concurrentes ou nuire à l'image de l'entreprise ;
 Déclenchement d'actions pouvant provoquer des accidents physiques ou
induire des drames humains.

À l'ère de la généralisation des traitements et des échanges en masse, on

imagine assez bien l'impact que pourraient avoir des événements majeurs
comme une panne électrique de grande ampleur ou la saturation du réseau
Internet pendant plusieurs heures.
Hormis ces cas exceptionnels, beaucoup de risques peuvent être anticipés
et il existe des parades pour la plupart d'entre eux. On peut citer en exemple les
précautions prises peu avant l'an 2000 qui, même si la réalité du risque a parfois
été (et reste aujourd'hui) controversée, ont peut-être évité de graves
désagréments.
Chaque organisation, mais aussi chaque utilisateur, a tout intérêt à évaluer,
même grossièrement, les risques qu'ils courent et les protections raisonnables
qu'ils peuvent mettre en œuvre. Dans le monde professionnel, les risques et les
moyens de prévention sont essentiellement évalués en raison de leurs coûts. Il
est par exemple évident qu'une panne qui aurait pour conséquence l'arrêt de la
production d'une usine pendant une journée mérite qu'on consacre pour la
prévenir une somme égale à une fraction de la valeur de sa production
quotidienne ; cette fraction sera d'autant plus importante que la probabilité et la
fréquence d'une telle panne sont élevées.

II.8.2. PROCESSUS DE GESTION DES RISQUES

Le risque et la prise de risque font partie intégrante de la vie de

l'organisation et de son développement.
Un risque est un danger éventuel, plus ou moins prévisible, inhérent à une
situation ou à une activité.
Le risque est défini juridiquement comme l'éventualité d'un événement
futur, incertain ou d'un terme indéterminé, ne dépendant pas exclusivement de la
volonté des parties et pouvant causer la perte d'un objet ou tout autre dommage".
Les risques sont souvent décrits par type afin d'en faciliter la classification
et l'analyse.
 [27]

Pour un projet, on peut par exemple classer un risque dons l'une des cinq
grandes familles suivantes : risque organisationnel, risque technique, risque
financier, risque humain, risque juridique.
Au niveau de l'organisation, on peut classer les risques en fonction de leur
domaine de gestion (risques stratégiques, risques opérationnels, risques
projets...), ou de leur nature (risques produits, risques sociaux, risques TI,
risques produits).

II.8.3. GESTION DES RISQUES EN PRATIQUE

L'identification des risques est un processus permettant de trouver, lister,

et caractériser les éléments du risque. L'identification des risques est facilitée par
l'existence d'une politique de gestion des risques avec notamment la mise en
place de systèmes de détection rapide des El, le développement d'une culture de
la gestion des risques, une organisation structurée du dispositif de gestion des
risques et un système d'information performant.
De façon générale, la gestion du risque consiste à coordonner, de façon
continue, les activités visant à diriger et piloter une organisation vis-à-vis des
risques. Il s'agit d'activités d'identification, d'analyse, d'évaluation et
d'anticipation des risques, ainsi que de mise en place d'un système de
surveillance et de collecte systématique des données pour déclencher les alertes.
À ces activités d'appréciation et de traitement des risques, viennent s'ajouter des
activités d'acceptation et de communication relative aux risques.
Les technologies de l'information (Tl) son! un axe particulier de la
gestion des risques. Une gestion des risques liés aux Tl doit permettre d'assurer
la disponibilité, l'intégrité, la confidentialité des données de l'organisation ainsi
que la preuve et le contrôle. Si les risques liés aux Tl peuvent (et doivent ?) être
traités avec la même démarche que les autres risques (risques produits, risques
sociaux, risques financiers), ils doivent cependant être analysés et gérés sur la
base d'une collaboration étroite avec les directions métiers de l'entreprise.
En effet, le risque lié aux Tl se distingue par la criticité de son impact : là
où un risque lié à la qualité d'un produit par exemple a des conséquences
(parfois lourdes mais diffuses) sur l'entreprise, un problème sur l'infrastructure a
des retombées immédiates et parfois brutales sur l'activité courante de
l'organisation. Les risques liés aux Tl sont donc particulièrement sensibles.

II.9. MENACES INFORMATIQUES

La menace (en anglais « threat ») représente le type d'action susceptible

de nuire dans l'absolu, tandis que la vulnérabilité (en anglais « vulnerability »,
appelée parfois faille ou brèche) représente le niveau d'exposition face à la
 [28]

menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des

actions mises en œuvre en prévention de la menace.
Afin de vous protéger de toute tentative de fraude, vous devez prendre un
certain nombre de mesures pour sécuriser votre ordinateur.
La cybercriminalité est une activité pratiquée par des pirates informatiques
ou hackers, qui consistent à accéder aux ordinateurs d'autrui à des fins
frauduleuses.
À tout moment, vous pouvez être victime d'une attaque si votre ordinateur
n'est pas protégé : que ce soit en recevant un email trompeur relatif à votre
compte Monster et réclamant votre tt attention immédiate » ou en surfont tout
simplement sur Internet.
Les pirates informatiques sont à la recherche des informations personnelles
d'identification stockées sur votre ordinateur, telles que vos numéros de carte
bancaire ou informations de connexion à vos comptes personnels, qu'ils utilisent
pour obtenir de l'argent ou pour accéder à vos services en ligne dans un but
criminel.
Ils peuvent également s'approprier les ressources de votre ordinateur,
notamment votre connexion Internet, afin d'augmenter leur bande passante pour
infecter d'autres ordinateurs. Cela leur permet de masquer leur véritable
emplacement lorsqu'ils lancent des attaques. Plus le nombre d'ordinateurs
utilisés par un pirate pour se cacher est élevé, plus il est difficile pour les forces
de l'ordre de localiser cette personne. Or, il est impossible d'arrêter et de traduire
en justice une personne introuvable.
 [29]

CHAPITRE III : MISE EN PLACE D’UN SYSTEME DE SECURITE

BASE SUR L'AUTHENTIFICATION

L'Authentification est la vérification d'informations relatives à une

personne ou à un processus informatique. L'authentification complète le
processus d'identification dans le sens où l'authentification permet de prouver
une identité déclarée. Dans un serveur, un processus de contrôle valide l'identité
et après authentification, donne l'accès aux données, applications, bases de
données, fichiers ou sites Internet. Dans le cas contraire, l'accès est refusé.
L'authentification peut se faire de multiples manières, et notamment par
la vérification de :
 « Ce que je sais », un mot de passe par exemple,
 « Ce que je sais faire », une signature manuscrite sur écran tactile/digital (de
type PDA),
 « Ce que je suis », une caractéristique physique comme une empreinte
digitale,
 « Ce que je possède », une carte à puce par exemple.
Le choix de telle ou telle technique dépend en grande partie de l'usage
que l'on souhaite en faire. : Authentification de l'expéditeur d'un email,
authentification d'un utilisateur qui se connecte à distance, authentification d'un
administrateur au système, authentification des parties lors d'une transaction de
B2B (Business to Business), etc.
La combinaison de plusieurs de ces méthodes (aussi appelées facteurs
d'authentification) permet de renforcer le processus d'authentification, on parle
alors d'authentification forte.
Les techniques d'authentification les plus usitées sont, de loin, les mots
de passe mais aussi, de plus en plus, les Certificats de clés publiques.
 [30]

III.1 MÉTHODES COURANTES D'AUTHENTIFICATION

III.1.1 MOTS DE PASSE

Les mots de passe pris dans leur ensemble sont le moyen

d'authentification le plus répandu à ce jour. On distingue deux catégories : les
mots de passe statiques et les mots de passe Dynamiques. Les mots de passe
statiques sont des mots de passe qui restent identiques pour plusieurs connexions
sur un même compte.
Ce type de mot de passe est couramment rencontré sous Windows NT ou
Unix. Cette technique d'authentification est la plus utilisée dans les entreprises
mais aussi la moins robuste. En fait, les Entreprises devraient restreindre l'usage
des mots de passe statiques à une authentification locale d'un utilisateur car les
attaques qui permettent de capturer un mot de passe qui circule sur un réseau
sont nombreuses et faciles à mettre en pratique.
Pour pallier les faiblesses de l'usage des mots de passe statiques, sont
apparues des solutions d'authentification combinant deux facteurs (« ce que je
possède » et « ce que je sais »} afin d'obtenir une authentification Forte.

Les mots de passe sont obtenus par des Générateurs de mots de passe
activés à l'aide d'un code d'identification personnel ou PIN (Personal
Identification Number).

La mise en place d'un tel mécanisme d'authentification forte rend la

capture du mot de passe en cours d'aucune utilité puisque, dès que le mot de
passe dynamique a été utilisé, celui-ci devient caduc. Parmi ces mots de passe à
usage unique One Time Password (OTP) en Anglais - on trouve notamment le
programme SKEY dont la sécurité repose sur une fonction à sens unique et qui
permet de générer un mot de passe différent pour chaque nouvelle connexion.
En version logicielle, ces générateurs de mots de passe dynamiques utilisent
certains composants du PC, comme le microprocesseur, le CPU ou l'Horloge
interne (on parle alors de méthode d'authentification en mode synchrone
dépendant du temps). Que le mot de passe à usage unique soit obtenu à partir
d'un générateur matériel ou logiciel, l'utilisateur est authentifié de manière forte
grâce à la vérification du mot de passe dynamique par un serveur appelé serveur
d'authentification.
Afin d'éviter aux utilisateurs de retenir de nombreux mots de passe, il est
possible de mettre en place un outil qui rende l'authentification de l'utilisateur
unique pour chaque session : le Single Sign On (SSO).
 [31]

Notons toutefois que la mise en place d'un SSO ne renforce en aucun cas
la robustesse du processus de contrôle d'accès au SI, il sert juste de point
d'entrée unique au SI : c'est une mesure pratique pour les utilisateurs. Par
conséquent, si ce point d'entrée venait à céder à la suite d'une malveillance, d'un
disfonctionnement ou d'une attaque venant d'Internet, cela pourrait avoir des
conséquences désastreuses pour la sécurité du SI de l'entreprise.
Il est donc souhaitable de coupler le contrôle d'accès des utilisateurs au
système d'information via un serveur SSO à une méthode d'authentification forte
comme un mot de passe Jetable (i.e. mot de passe à usage unique), des
certificats X.509 ou des systèmes biométriques, suivant le niveau de risque des
informations auxquelles l'utilisateur nécessite un accès.
Par ailleurs, l'authentification peut aussi reposer sur un protocole
d'authentification réseau, le protocole Kerberos, qui permet de sécuriser les mots
de passe statiques lorsqu'ils sont transmis sur le réseau. Ce protocole, créé par le
Massachusetts Institute of Technology (MIT), utilise la cryptographie à clés
publiques.

III.1.2. CERTIFICATS DE CLÉS PUBLIQUES

Comme nous venons de le voir, la cryptographie à clé publique peut être

utilisée pour chiffrer des mots de passe. En outre, elle peut également être
employée pour signer des données, qu'il s'agisse d'un contrat afin que les parties
qui vont signer ne puissent pas en répudier le contenu a posteriori, ou qu'il
s'agisse d'une valeur aléatoire pour assurer l'authentification.
En effet, les certificats de clés publiques sont l'une des techniques
d'authentification les plus usitées à ce jour, certes loin derrière les mots de passe
mais ce moyen d'authentification devient de plus en plus populaire.
La cryptographie asymétrique fait intervenir deux éléments qui sont
mathématiquement liés entre eux : la clé privée et la clé publique. La clé
publique est : Disponible pour tout le monde.

Utilisée par une personne qui souhaite authentifier l'émetteur d'un

document électronique signé avec la clé privée. Le contrôle de la signature
permet aussi de s'assurer de l'intégrité du fichier.

Utilisée par une personne souhaitant chiffrer un message afin que ce

dernier soit uniquement lisible par le possesseur de la clé privée associée.

La clé privée est : Conservée secrète par son possesseur.

 [32]

Utilisée par son possesseur pour signer un document électronique

(message., contrat ou autre).

Utilisée par son possesseur pour déchiffrer un message chiffré à son

attention. Connaissant la clé publique, il est impossible en un temps raisonnable,
avec des moyens raisonnables (c'est-à-dire en une journée avec un seul PC), de
deviner la clé privée associée. Mais avec des moyens conséquents et connaissant
la clé publique, il est possible de retrouver la clé privée associée puisqu'en août
dernier le défi RSA-155 proposé par la société américaine RSA Security Inc a
été relevé: une clé de 155 chiffres (ce type de clé est utilisé dans 95% des
transactions de commerce électronique) a été cassée grâce à 300 machines en
réseaux, ce qui est équivalent à 30 à 40 années de temps ordinateur (temps
CPU).
Ainsi, à ce jour, il est admis qu'en connaissant la clé publique il est
impossible en un temps raisonnable avec des moyens raisonnables de deviner la
clé privée associée : l'usage de clés asymétriques est jugé sûre.
L'Information Standard Organization (ISO) définit dans le standard
ISO/IEC 7498-2 (Systèmes de traitement de l'information -Interconnexion de
systèmes ouverts - Modèle de référence de base -Partie 2 : Architecture de
sécurité), la signature numérique comme étant « des données ajoutées à une
unité de données ou transformation cryptographique d'une unité de données
permettant à un destinataire de prouver la source et l'intégrité de l'unité de
données et protégeant contre la contrefaçon » (par le destinataire, par exemple).
Le principe de l'authentification de l'expéditeur d'un message grâce à
l'usage de la signature numérique est le suivant : l'expéditeur calcule le Message
Authentification Code ou MAC à l'aide d'une fonction « hash ».

Puis, l'expéditeur signe le MAC avec sa clé privée. Le MAC signé est
joint au message et l'ensemble est envoyé.
Le destinataire fait le « hash » du message reçu en utilisant le même
algorithme que celui de l'expéditeur et compare ce MAC au MAC envoyé avec
le message. S'ils ne sont pas égaux, cela signifie que le message a été altéré : la
modification d'un seul bit pendant la transmission fait échouer le contrôle et
permet d'alerter le destinataire. Plus qu'un mécanisme d'authentification de
l'expéditeur d'un message, le MAC permet donc aussi de garantir l'intégrité du
message.
 [33]

III.2. PROTOCOLES D'AUTHENTIFICATION COURAMMENT

UTILISES

III.2.1. PROTOCOLE RADIUS

Le protocole RADIUS (Remote Authentication Diai-ln User Service)

développé par Livingsron Enterprise et standardisé par l'IETF (cf. RFC 2865 et
2866) s'appuie sur une architecture client/serveur et permet de fournir des
services d'authentification, d'autorisation et de gestion des comptes lors d'accès à
distance.
Prenons le cas pratique d'un utilisateur nomade, souhaitant se raccorder
via Internet au réseau interne d'une entité du CNRS par un canal protégé (circuit
virtuel protégé CVP - virtual private network VPN). Le principe de
l'authentification de cet utilisateur avec RADIUS est le suivant :
1. L'utilisateur exécute une requête de connexion. Le routeur d'accès à
distance (client RADIUS) récupère les informations d'identification et
d'authentification de l'utilisateur (son identifiant et son mot de passe par
exemple).
2. Le client RADIUS transmet ces informations au serveur RADIUS.
3. Le serveur RADIUS reçoit la requête de connexion de l'utilisateur, la
contrôle, et retourne l'information de configuration nécessaire au client
RADIUS pour fournir ou non l'accès au réseau interne à l'utilisateur.
4. Le client RADIUS renvoie à l'utilisateur un message d'erreur en cas
d'échec de l'authentification ou un message d'accès au réseau si
l'utilisateur a pu être authentifié avec succès.

III.2.2. PROTOCOLE SSL

Le protocole SSL (Secure Socket Layer) développé par Netscape

Communications Corp. avec RSA Data Security Inc. permet théoriquement de
sécuriser tout protocole applicatif s'appuyant sur TCP/IP le. HTTP, FTP, LDAP,
SNMP, Telnet, etc. mais en pratique ses implémentations les plus répandues
sont LDAPS et HTTPS.
Le protocole SSL permet non seulement de fournir les services
d'authentification du serveur, d'authentification du client (par
certificat à partir de SSL version 3) mais également les servicesde
confidentialité et d'intégrité.

Le principe d'une authentification du serveur avec SSL est le suivant :

 [34]

1. Le navigateur du client fait une demande de transaction sécurisée au

serveur.

2. Suite à la requête du client, le serveur envoie son certificat au client.

3. Le serveur fournit la liste des algorithmes cryptographiques qui peuvent être

utilisés pour la négociation entre le client et le serveur.

4. Le client choisit l'algorithme.

5. Le serveur envoie son certificat avec les clés cryptographiques

correspondantes au client.

6. Le navigateur vérifie que le certificat délivré est valide.

1. Si la vérification est correcte alors le navigateur du client envoie au serveur
une clé secrète chiffrée à l'aide de la clé publique du serveur qui sera donc le
seul capable de déchiffrer puis d'utiliser cette clé secrète. Cette clé est un secret
uniquement partagé entre le client et le serveur afin d'échanger des données en
toute sécurité.

Afin d'éviter des attaques, il est recommandé d'utiliser la double authentification

c'est-à-dire non seulement l'authentification du serveur mais également celle du
client, bien que l'authentification du client avec SSL soit facultative.

III.2.3. PROTOCOLE WTLS

Le protocole WTLS (Wir&less Transport Layer Security) est la

transposition, du protocole ILS, dans le monde des réseaux sans fil. Cependant,
les négociations entre le client et le serveur ont été adaptée afin de répondre aux
contraintes du réseau « wir&less ».

Ainsi le nombre d'en-têtes du protocole WTLS est réduit par rapport au

protocole SSL et le taux de compression est supérieur pour le protocole WTLS
puisque la bande passante est plus faible.
 [35]

CONCLUSION

Tout au long de notre travail nous avons fait une étude sur le système
sécurisé avec authentification. La sécurité informatique est quasi-indispensable
pour le bon fonctionnement d'un réseau filaire ou non filaire, aucune entreprise
ne peut prétendre vouloir mettre en place une infrastructure réseau, quel que soit
Sa taille, sans envisager une politique de sécurité. Ainsi, une porte blindée est
inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue.
Nous avons enfin structuré notre travail en trois chapitres : Concept de
base sur le réseau qui explique quelques concepts
Utilisés dans le réseau informatiques donne un résumé sur le réseau en général ;
Vue globale sur la sécurité réseau qui a parlé sur la sécurité réseau en
générale, les mécanismes de protection et quelques protocoles de sécurité ;
Sécurité basée sur l'authentification; dans ce chapitre nous avions parlé
d'une manière détailler la sécurité par l'authentification qui peut se faire des
multi-manières, et notamment par la vérification de : « Ce que je sais », un mot
de passe par exemple, « Ce que je sais faire », une signature manuscrite sur
écran tactile/digital (de type PDA), « Ce que je suis », une caractéristique
physique comme une empreinte digitale, et de « Ce que je possède », une carte à
puce par exemple.
Cette étude nous a permis de comprendre comment fonctionne le système
de sécurité par l'authentification.
 [36]

BIBLIOGRAPHIE

1. OUVRAGES

- Stallings W. Network Securitv Essentials, 2nd édition, Prentice Hall, 2003.

- MATHON, P., Windows 2003 Server, les services réseaux TCP/IP, Editions
ENl, 2003, p. 372.
- CHEY COBB, Sécurité réseaux pour les nuls, First Interactive, New York,
2003, p.287 -288.
- CLAUDE SERVIN, Réseaux & télécoms, Edition Dunod, Paris, 2003, 2006.

2. SITES WEBS

- http://www.cxjmmentcamarche.net/content$/secu/secuintro.php3/05- 2016

- http:/1www.fiaer.comIpublicationsIsecu ?70398.html105-2016

- http://samomoi.com/reseauxinformatiaues/les topologies des reseaux. php105-2016

 [37]

Table des matières

0. INTRODUCTION GENERALE.......................................................................1
1. Problématique....................................................................................................1
2. Hypothèse..........................................................................................................1
3.Choix et intérêt du sujet......................................................................................1
4. Délimitation du sujet.........................................................................................1
5. Méthodes et Techniques utilisées......................................................................2
5.1. Méthode..........................................................................................................2
5.1.1. Méthode historique:.....................................................................................2
5.1.2. Méthode analytique:....................................................................................2
5.2. Technique.......................................................................................................2
5.2.1 Technique documentaire:.............................................................................2
6. Subdivision du travail........................................................................................3
Chapitre I : CONCEPT DE BASE SUR LES RESEAUX INFORMATIQUES. .4
1.1. Définition du concept réseau.......................................................................4
1.1.1. Réseau informatique....................................................................................4
1.2. Intérêt d'un réseau........................................................................................4
1.3. Les différents types de réseau......................................................................4
1.4. Caractéristiques du réseau informatique........................................................5
1.4.1. Du point de vue champ d'action................................................................5
1.4.2. Du point de vue étendu géographiques.....................................................5
1.4.3. Du point de vue transmission...................................................................6
1.4.4. Du point de vue fonctionnement...............................................................6
 [38]

1.4.5. Du point de vue débit..................................................................................7

1.5. Topologie........................................................................................................7
I.5.I. Topologie physique......................................................................................8
1.5.1.1. Topologie Bus...........................................................................................8
1.5.1.2. Topologie Etoile.......................................................................................8
1.5.1.3. Topologie Anneau.....................................................................................9
1.5.1.4. Topologie Mixte......................................................................................10
1.5.2. Topologie logique 1...................................................................................10
1.5.2.1. Ethernet..................................................................................................10
1.5.2.2. Token Ring :...........................................................................................10
1.5.2.3. FDDI (Fiber Distributed Data Interconnect)........................................11
1.6. NOTION SUR LES PROTOCOLES.............................................................11
1.6.1. Modèles en couches...................................................................................11
1.6.1.1. Modèle OSI............................................................................................11
1.6.1.2. Modèle TCP/IP.......................................................................................13
1.7. Les adresses ip.............................................................................................15
1.7.1. Utilisation des adresses IP......................................................................16
1.7.2. Adresse IP et nom de domaine...............................................................16
1.7.3. Classe d'adresse IP..................................................................................16
1.7.4. Sous-réseau.............................................................................................17
1.7.5. Agrégations des adresses........................................................................17
1.7.6. Plage des adresses IP.................................................................................18
1.7.6.1. Adresses privées.....................................................................................19
1.7.6.2. Adresses de diffusion.............................................................................19
1.7.6.3. Adresses multicast..................................................................................19
Chapitre II : LA SECURITE INFORMATIQUE................................................20
II.1. Introduction.................................................................................................20
II.2. Virus informatiques...................................................................................20
II.3. Fraude informatiques.................................................................................20
II.4. La cyber criminalité.....................................................................................21
 [39]

II.5. Les impératifs..............................................................................................21

II.6. Compréhension du Système à Double Clés.................................................23
II.6.1. L'authentification......................................................................................24
II.6.2. L'intégrité..................................................................................................24
II.6.3. La confidentialité....................................................................................25
II.6.4. La non répudiation....................................................................................25
II.7. Attaques informatiques................................................................................26
II.7.1. Principaux attaques...................................................................................27
II.8. Notions de base sur le risque.......................................................................28
II.8.1. Concept de la gestion des risques.............................................................28
II.8.2. Processus de gestion des risques...............................................................29
II.8.3. Gestion des risques en pratique................................................................29
II.9. Menaces informatiques................................................................................30
Chapitre III : MISE EN PLACE D’UN SYSTEME DE SECURITE BASE SUR
L'AUTHENTIFICATION...................................................................................32
III.1 Méthodes courantes d'authentification........................................................32
III.1.1 Mots de passe...........................................................................................32
III.1.2. Certificats de clés publiques....................................................................34
III.2. Protocoles d'authentification couramment utilises.....................................36
III.2.1. Protocole RADIUS...................................................................................36
III.2.2. Protocole SSL...........................................................................................37
III.2.3. Protocole WTLS......................................................................................38
CONCLUSION....................................................................................................39
BIBLIOGRAPHIE..............................................................................................40