Table des matières

INTRODUCTION................................................................................................................ 2
I. FONDEMENTS DE L’AUTHENTIFICATION RÉSEAU................................................3
A) QU’EST-CE-QUE L’AUTHENTIFICATION ET POURQUOI EST-ELLE
NÉCESSAIRE ?............................................................................................................... 3
B) LES DÉFIS DE L’AUTHENTIFICATION DANS LES RÉSEAUX............................3
C) SOLUTIONS EXISTANTES D’AUTHENTIFICATION ET LEURS LIMITES.........4
II. PRÉSENTATION DU PROTOCOLE EAP...................................................................... 4
A) DÉFINITION ET OBJECTIFS DU PROTOCOLE EAP.............................................5
B) PRINCIPE DE FONCTIONNEMENT DU PROTOCOLE EAP..................................5
C) AVANTAGES ET INCONVENIENTS D’EAP............................................................ 6
III. APPLICATIONS ET CAS D’UTILISATION................................................................. 8
A) AUTHENTIFICATION WI-FI SECURISÉE............................................................... 8
B) UTILISATION D’EAP DANS LES VPN.................................................................... 8
C) INTEGRATION D’EAP DANS LES RESEAUX D’ACCÈS À DISTANCE...............9
IV. MÉTHODES D’AUTHENTIFICATION COMPATIBLES AVEC EAP..........................9
A) EAP-TLS (EAP-Transport Layer Security).................................................................. 9
B) EAP-PEAP (Protected Extensible Authentication Protocol).........................................9
C) EAP-MSCHAPv2 (EAP-Microsoft Challenge Handshake Authentication Protocol
version 2)........................................................................................................................ 10
V. SÉCURITÉ ET CONSIDÉRATIONS............................................................................. 11
A) VULNÉRABILITÉS CONNUES ET ATTAQUES POTENTIELLES.......................11
B) MESURES DE PROTECTION ET BONNES PRATIQUES.....................................11
CONCLUSION.................................................................................................................. 12
INTRODUCTION

Le protocole EAP (Extensible Authentication Protocol) est un protocole largement utilisé dans les
réseaux sécurisés pour l'authentification des utilisateurs. Dans notre monde interconnecté, où les
données sensibles sont échangées en permanence, il est essentiel de mettre en place des mécanismes
d'authentification solides pour protéger l'intégrité et la confidentialité des informations.
L'authentification est un processus qui permet de vérifier l'identité d'un utilisateur ou d'un dispositif
avant de lui accorder l'accès à des ressources ou des services. Elle joue un rôle fondamental dans la
protection des réseaux contre les accès non autorisés. Cependant, l'authentification dans les réseaux
présente des défis particuliers en raison de la diversité des dispositifs et des méthodes d'accès. Dans
cette présentation, nous allons examiner les fondements de l'authentification réseau, les solutions
existantes et leurs limites, ainsi que les avantages et les caractéristiques du protocole EAP. Nous
aborderons également les différentes méthodes d'authentification compatibles avec EAP, les
composants nécessaires pour mettre en œuvre ce protocole, ainsi que les mesures de sécurité
intégrées à EAP et les bonnes pratiques pour renforcer sa sécurité.
I. FONDEMENTS DE L’AUTHENTIFICATION RÉSEAU

L'authentification réseau est un processus crucial pour garantir la sécurité des réseaux et des
informations qui y circulent. Dans cette section, nous allons explorer les fondements de
l'authentification réseau, les défis auxquels elle est confrontée et les solutions d'authentification
existantes.

A) QU’EST-CE-QUE L’AUTHENTIFICATION ET POURQUOI EST-ELLE

NÉCESSAIRE ?

L'authentification est le processus de vérification de l'identité d'un utilisateur ou d'un

dispositif qui demande l'accès à un réseau sécurisé. Elle permet de s'assurer que seuls les
utilisateurs autorisés peuvent accéder aux ressources et aux services du réseau.
L'authentification repose généralement sur la présentation de preuves d'identité, telles que
des mots de passe, des certificats numériques ou des empreintes digitales. Elle est nécessaire
pour prévenir les accès non autorisés et les attaques contre les réseaux. En vérifiant l'identité
des utilisateurs, les administrateurs réseau peuvent contrôler qui a accès aux ressources
sensibles et surveiller les activités sur le réseau. Cela permet de réduire les risques de
compromission des données et de garantir la confidentialité et l'intégrité des informations.

B) LES DÉFIS DE L’AUTHENTIFICATION DANS LES RÉSEAUX

L'authentification dans les réseaux présente plusieurs défis, notamment en raison de la diversité des
dispositifs et des méthodes d'accès. Voici quelques-uns des défis courants :
 Hétérogénéité des dispositifs

Les réseaux modernes sont composés de différents types de dispositifs, tels que des ordinateurs, des
smartphones, des tablettes, des objets connectés, etc. Chaque dispositif a ses propres capacités
d'authentification, ce qui rend complexe la mise en œuvre d'un mécanisme d'authentification unique
pour tous les utilisateurs.
 Méthodes d'authentification obsolètes
Certaines méthodes d'authentification traditionnelles, telles que l'authentification par mot de passe,
sont vulnérables aux attaques par force brute, au hameçonnage et à d'autres techniques d'ingénierie
sociale. Il est donc nécessaire de disposer de méthodes d'authentification plus robustes pour contrer
ces menaces.
 Sécurité des transmissions
L'authentification doit être réalisée de manière sécurisée, en s'assurant que les informations
d'identification des utilisateurs ne sont pas compromises lors de leur transmission sur le
réseau. La sécurité des transmissions est essentielle pour éviter les attaques telles que
l'interception des données d'authentification.

C) SOLUTIONS EXISTANTES D’AUTHENTIFICATION ET LEURS

LIMITES

Pour répondre à ces défis, diverses solutions d'authentification ont été développées. Parmi les
solutions couramment utilisées, on trouve l'authentification par mot de passe, l'authentification à
deux facteurs, l'authentification basée sur des certificats, l'authentification biométrique,
etc...Cependant, chaque méthode d'authentification présente ses propres limites. Par exemple,
l'authentification par mot de passe peut être facilement compromise si les utilisateurs choisissent
des mots de passe faibles ou les partagent avec d'autres personnes. De même, l'authentification
biométrique peut être contournée en utilisant des empreintes digitales falsifiées. Il est donc
important de développer des solutions d'authentification plus avancées et robustes pour faire face à
ces défis et garantir la sécurité des réseaux. C'est là qu'intervient le protocole EAP, dont nous
discuterons en détail dans la prochaine section.

II. PRÉSENTATION DU PROTOCOLE EAP

Le protocole EAP (Extensible Authentication Protocol) est un protocole d'authentification flexible

et extensible largement utilisé dans les réseaux sécurisés. Dans cette section, nous allons définir le
protocole EAP, expliquer ses objectifs, et mettre en évidence ses caractéristiques et avantages. Nous
aborderons également l'architecture et les modèles d'utilisation d'EAP.

A) DÉFINITION ET OBJECTIFS DU PROTOCOLE EAP

Le protocole EAP est un cadre d'authentification qui permet aux utilisateurs d'accéder à un réseau
sécurisé en fournissant des preuves d'identité. EAP est conçu pour être indépendant des
technologies de communication sous-jacentes, ce qui signifie qu'il peut être utilisé avec différents
protocoles de transport, tels que PPP (Point-to-Point Protocol), IEEE 802.11 (Wi-Fi) et bien
d'autres. Les objectifs principaux d'EAP sont les suivants :
 Flexibilité
EAP offre une flexibilité permettant de prendre en charge différentes méthodes d'authentification,
telles que les certificats numériques, les mots de passe, les jetons d'authentification, les cartes à
puce, etc. Cela permet aux administrateurs réseau de choisir la méthode d'authentification la mieux
adaptée à leurs besoins.
 Extensibilité :
EAP est conçu pour être extensible, ce qui signifie que de nouvelles méthodes
d'authentification peuvent être ajoutées sans avoir besoin de modifier le protocole lui-même.
Cette extensibilité permet de s'adapter aux avancées technologiques et d'intégrer de
nouvelles techniques d'authentification à mesure qu'elles deviennent disponibles.
 Favoriser l'interopérabilité :

L'EAP est conçu pour favoriser l'interopérabilité entre différents équipements réseau et
logiciels provenant de différents fournisseurs. Il s'agit de garantir que les systèmes
d'authentification utilisant EAP peuvent fonctionner de manière transparente dans des
environnements hétérogènes, ce qui facilite l'intégration et l'administration des systèmes
d'authentification.

 Simplifier la gestion des identités :

L'EAP vise à simplifier la gestion des identités des utilisateurs en permettant une gestion
centralisée et unifiée des informations d'identification. Cela facilite la création, la modification et la
révocation des comptes d'utilisateurs, ainsi que la gestion des politiques d'accès. L'objectif est
d'améliorer l'efficacité opérationnelle et de réduire la charge de travail liée à la gestion des
identités.

B) PRINCIPE DE FONCTIONNEMENT DU PROTOCOLE EAP

L’authentification au travers du protocole EAP s’effectue selon le schema suivant :

 Initiation de l'authentification : Le processus d'authentification EAP commence
lorsqu'un client souhaite accéder à un service ou à un réseau sécurisé. Le client
envoie une demande d'authentification au serveur d'authentification.

 Proposition de méthodes d'authentification : Le serveur d'authentification répond en

proposant une liste de méthodes d'authentification compatibles. Ces méthodes peuvent
inclure EAP-TLS, EAP-PEAP, EAP-TTLS, EAP-FAST, et d'autres encore. Le client
sélectionne ensuite la méthode d'authentification à utiliser.

 Établissement du canal sécurisé : Une fois la méthode d'authentification sélectionnée, le

client et le serveur établissent un canal sécurisé pour protéger les échanges ultérieurs. Cela
 peut être réalisé à l'aide d'un tunnel sécurisé basé sur le protocole TLS (Transport Layer
Security) ou d'un autre protocole de sécurité.

 Échange d'informations d'authentification : Le client et le serveur échangent des

informations pour prouver leur identité. Cela peut inclure des certificats numériques, des
clés secrètes, des noms d'utilisateur et des mots de passe, des jetons, des empreintes
biométriques ou tout autre mécanisme spécifique à la méthode d'authentification utilisée.

 Vérification de l'authenticité : Le client et le serveur vérifient mutuellement leur authenticité

en utilisant les informations d'authentification échangées. Cela peut impliquer la validation
des certificats numériques, la vérification des signatures, la comparaison des empreintes de
clés ou l'utilisation de tout autre mécanisme spécifique à la méthode d'authentification.

 Notification du résultat de l'authentification : Une fois le processus d'authentification

terminé, le serveur d'authentification informe le client du résultat. Si l'authentification est
réussie, le client est autorisé à accéder au service ou au réseau sécurisé. Sinon, l'accès peut
être refusé ou d'autres mesures de sécurité peuvent être prises.

Figure 1 : Authentification via EAP avec un serveur radius

 C) AVANTAGES ET INCONVENIENTS D’EAP

Les EAP (Extensible Authentication Protocol) présentent à la fois des avantages et des
inconvénients. Voici une liste de quelques-uns :

➢ Avantages de l'EAP :

 Sécurité renforcée : L'EAP offre un niveau élevé de sécurité en utilisant des

mécanismes de chiffrement pour protéger les informations d'identification des
utilisateurs. Les méthodes d'authentification compatibles avec EAP, telles que EAP-
TLS (EAP-Transport Layer Security) et PEAP (Protected Extensible Authentication
Protocol), utilisent des certificats numériques pour garantir l'authenticité des parties
impliquées dans le processus d'authentification. Cela aide à prévenir les attaques
telles que le vol de données ou l'usurpation d'identité.

 Flexibilité d'authentification : L'EAP prend en charge différentes méthodes

d'authentification, telles que les mots de passe, les certificats numériques, les jetons
de sécurité, les cartes à puce, etc. Cela permet aux organisations de choisir la
méthode d'authentification la mieux adaptée à leurs besoins spécifiques et de les
intégrer facilement dans leur infrastructure existante.

 Adaptabilité à différents environnements : L'EAP peut être utilisé dans une variété
d'environnements, tels que les réseaux filaires, les réseaux sans fil, les réseaux
d'entreprise, les réseaux Wi-Fi publics, les VPN, etc. Il offre une solution polyvalente
pour l'authentification des utilisateurs dans divers scénarios.

 Gestion centralisée des identités : L'EAP facilite la gestion centralisée des identités
des utilisateurs. Les serveurs d'authentification EAP, tels que les serveurs RADIUS
(Remote Authentication Dial-In User Service), peuvent stocker et gérer les
informations d'identification des utilisateurs de manière centralisée, offrant ainsi une
gestion plus efficace et sécurisée des comptes d'utilisateurs.

➢ Inconvénients de l'EAP :

 Complexité de déploiement : Le déploiement de l'EAP peut être complexe, en

particulier lors de l'intégration avec des infrastructures existantes. La mise en place
d'un système d'authentification EAP nécessite une planification minutieuse, des
configurations spécifiques et une expertise technique pour assurer son bon
fonctionnement.
  Dépendance aux protocoles supplémentaires : L'EAP nécessite souvent l'utilisation
de protocoles supplémentaires, tels que le protocole 802.1X pour les réseaux sans
fil. Cela peut entraîner une complexité supplémentaire dans la configuration et
l'administration des systèmes d'authentification.

 Besoin d'infrastructures de support : Pour utiliser l'EAP, il est nécessaire de disposer

d'infrastructures de support appropriées, telles que des serveurs RADIUS et des
certificats numériques. La mise en place de ces infrastructures peut nécessiter des
ressources supplémentaires, tant en termes de coûts que de compétences techniques.

 Incompatibilité avec certains dispositifs : Certains dispositifs plus anciens ou moins

courants peuvent ne pas prendre en charge l'EAP ou certaines méthodes spécifiques
d'authentification EAP. Cela peut limiter l'utilisation de l'EAP dans certains
environnements ou nécessiter des mesures alternatives pour l'authentification des
utilisateurs.

III. APPLICATIONS ET CAS D’UTILISATION

A) AUTHENTIFICATION WI-FI SECURISÉE

L'une des applications les plus courantes du protocole EAP est l'authentification Wi-Fi
sécurisée. Lorsque vous vous connectez à un réseau Wi-Fi protégé, le processus
d'authentification peut utiliser EAP pour établir une connexion sécurisée entre votre appareil
et le point d'accès Wi-Fi. EAP permet de prendre en charge différentes méthodes
d'authentification, telles que EAP-TLS, EAP-PEAP, EAP-TTLS, qui utilisent des certificats
numériques, des noms d'utilisateur et des mots de passe, ou d'autres informations
d'identification pour valider votre identité. L'authentification Wi-Fi sécurisée avec EAP
offre une protection contre les attaques telles que le vol de données ou l'usurpation
d'identité.

B) UTILISATION D’EAP DANS LES VPN

Les réseaux virtuels privés (VPN) sont largement utilisés pour permettre un accès sécurisé
aux ressources réseau à distance. EAP peut être utilisé dans les VPN pour l'authentification
des utilisateurs. Lorsqu'un client se connecte à un VPN, il peut utiliser EAP pour
s'authentifier auprès du serveur VPN et établir une connexion sécurisée. Les méthodes
d'authentification EAP, telles que EAP-TLS, EAP-PEAP, sont souvent utilisées pour
garantir l'authenticité des utilisateurs et protéger les communications entre le client et le
serveur VPN.

C) INTEGRATION D’EAP DANS LES RESEAUX D’ACCÈS À DISTANCE

EAP est également utilisé dans les réseaux d'accès à distance, tels que les réseaux d'accès distant
(RAS) ou les réseaux d'accès distant virtuels (VAN). Ces réseaux permettent aux utilisateurs
d'accéder à distance aux ressources d'une organisation ou d'un réseau. EAP peut être utilisé pour
l'authentification des utilisateurs lors de la connexion à distance. Les utilisateurs peuvent
s'authentifier en utilisant EAP-TLS, EAP-PEAP ou d'autres méthodes d'authentification EAP prises
en charge par le serveur d'accès à distance. L'utilisation d'EAP garantit une authentification
sécurisée et protège les communications entre les utilisateurs et le réseau distant.

IV. MÉTHODES D’AUTHENTIFICATION COMPATIBLES AVEC EAP

Le protocole EAP est compatible avec diverses méthodes d'authentification. Nous explorerons
quelques-unes des méthodes d'authentification couramment utilisées avec EAP, en mettant l'accent
sur leurs avantages, leurs inconvénients et leur niveau de sécurité.

A) EAP-TLS (EAP-Transport Layer Security)

EAP-TLS utilise le protocole de sécurité Transport Layer Security pour fournir une authentification
mutuelle entre le client et le serveur. Dans ce mode, le client et le serveur s'échangent mutuellement
des certificats numériques, ce qui permet de garantir l'authenticité des parties impliquées dans le
processus d'authentification.
➢ Avantages :
 Sécurité élevée grâce à l'utilisation de certificats numériques.
 Authentification mutuelle entre le client et le serveur.
 Protection de la confidentialité des données grâce au chiffrement des communications.

➢ Inconvénients :
 Nécessite la configuration et la gestion d'une infrastructure à clés publiques pour
émettre les certificats numériques.
 Complexité de la mise en œuvre et de la gestion des certificats.
 B) EAP-PEAP (Protected Extensible Authentication Protocol)

EAP-PEAP est un protocole d'authentification basé sur le transport sécurisé des données EAP. Il
crée une session sécurisée entre le client et le serveur, dans laquelle l'authentification peut avoir
lieu. EAP-PEAP utilise généralement des certificats numériques sur le serveur uniquement, tandis
que le client s'authentifie en utilisant des mots de passe ou d'autres méthodes d'authentification.
➢ Avantages :
 Facilité de déploiement, car la gestion des certificats numériques est nécessaire
uniquement du côté du serveur.
 Support de plusieurs méthodes d'authentification pour le client.
 Confidentialité des données grâce au chiffrement des communications.

➢ Inconvénients :
 Authenticité unidirectionnelle, car seul le serveur est authentifié par un certificat
numérique.
 Vulnérable aux attaques d'hommes du milieu (man-in-the-middle) si des précautions
supplémentaires ne sont pas prises.

C) EAP-MSCHAPv2 (EAP-Microsoft Challenge Handshake Authentication Protocol

version 2)

EAP-MSCHAPv2 est une méthode d'authentification basée sur des mots de passe et est souvent
utilisée dans les environnements Microsoft. Elle repose sur le protocole MS-CHAPv2 pour
l'échange sécurisé des informations d'identification entre le client et le serveur.
➢ Avantages :
 Facilité de déploiement, car elle utilise les mots de passe existants des utilisateurs.
 Compatibilité avec les environnements Microsoft.
 Supporté par de nombreux clients et serveurs.

➢ Inconvénients :
 Vulnérabilité potentielle aux attaques par force brute si des précautions de sécurité
appropriées ne sont pas prises.
 Absence d'authentification mutuelle entre le client et le serveur.
Il existe de nombreuses autres méthodes d'authentification compatibles avec EAP, telles que EAP-
TTLS (EAP-Tunneled Transport Layer Security), EAP-FAST (Flexible Authentication via Secure
Tunneling), EAP-SIM (EAP-Subscriber Identity Module), etc. Chaque méthode présente ses
propres avantages et inconvénients, et la sélection d'une méthode appropriée dépend des besoins
spécifiques de l'environnement réseau.
Dans la prochaine section, nous aborderons les considérations de déploiement et les bonnes
pratiques pour l'implémentation d'EAP dans les réseaux sécurisés.

V. SÉCURITÉ ET CONSIDÉRATIONS

A) VULNÉRABILITÉS CONNUES ET ATTAQUES POTENTIELLES

Comme tout protocole de sécurité, l'EAP n'est pas exempt de vulnérabilités et d'attaques
potentielles. Certaines vulnérabilités connues et attaques potentielles liées à l'EAP comprennent :
 Attaques par force brute : Les attaquants peuvent tenter de deviner ou de craquer les mots de
passe utilisés dans le processus d'authentification EAP.

 Attaques de l'homme du milieu (MITM) : Les attaquants peuvent tenter d'intercepter et de

modifier les échanges entre le client et le serveur d'authentification EAP, ce qui leur permet
de récupérer les informations d'identification ou de falsifier l'authentification.

 Attaques par rejeu : Les attaquants peuvent capturer et rejouer des échanges EAP précédents
pour tromper le serveur d'authentification et obtenir un accès non autorisé.

 Vulnérabilités spécifiques aux méthodes d'authentification : Certaines méthodes

d'authentification spécifiques utilisées avec EAP peuvent présenter leurs propres
vulnérabilités. Par exemple, des vulnérabilités dans les certificats numériques utilisés avec
EAP-TLS peuvent être exploitées pour des attaques.

B) MESURES DE PROTECTION ET BONNES PRATIQUES

Pour renforcer la sécurité de l'EAP, il est recommandé de mettre en place les mesures de
protection et bonnes pratiques suivantes :

 Utilisation de méthodes d'authentification robustes : Choisissez des méthodes

d'authentification fortes et sécurisées, telles que EAP-TLS, qui utilise des certificats
numériques pour l'authentification mutuelle des parties.

 Utilisation de chiffrement : Assurez-vous que les échanges EAP sont protégés par des
mécanismes de chiffrement, tels que le protocole TLS (Transport Layer Security), pour
garantir la confidentialité des données sensibles.
 Mise à jour régulière des logiciels : Gardez à jour les logiciels et les systèmes d'exploitation
impliqués dans le processus d'authentification EAP, car les mises à jour peuvent contenir des
correctifs de sécurité importants.

 Protection contre les attaques MITM : Utilisez des mécanismes de protection contre les
attaques de l'homme du milieu, tels que la vérification des certificats numériques des
serveurs et la mise en œuvre de protocoles sécurisés pour l'échange des clés de chiffrement.

 Surveillance et journalisation des activités : Mettez en place des mécanismes de surveillance

et de journalisation pour détecter et enquêter sur les activités suspectes ou les tentatives
d'attaque.
CONCLUSION

En conclusion, le protocole EAP est un outil essentiel pour l'authentification dans les réseaux
sécurisés. Il offre une flexibilité et une extensibilité qui permettent de supporter différentes
méthodes d'authentification, ce qui le rend adapté à une grande variété d'environnements réseau.
Grâce à EAP, il est possible de mettre en place des mécanismes d'authentification robustes, tels que
EAP-TLS, EAP-TTLS, PEAP et EAP-FAST, qui offrent des niveaux de sécurité élevés tout en
garantissant des performances satisfaisantes. Cependant, il est important de prendre en compte les
bonnes pratiques et de rester vigilant face aux vulnérabilités et aux attaques potentielles contre EAP.
En suivant les recommandations de sécurité appropriées et en mettant en place des configurations
adaptées, il est possible de renforcer la sécurité d'EAP et de prévenir les accès non autorisés.
En comprenant les concepts de base, en utilisant les méthodes d'authentification appropriées et en
mettant en œuvre les mesures de sécurité adéquates, il est possible d'exploiter pleinement les
avantages d'EAP dans différents scénarios, tels que les réseaux Wi-Fi sécurisés, l'accès distant
sécurisé et l'authentification d'accès réseau.
BIBLIOGRAPHIE
https://fr.wikipedia.org/wiki/Extensible_Authentication_Protocol #
https://learn.microsoft.com/fr-fr/windows-server/networking/technologies/extensible-
authentication-protocol/network-access
https://web.maths.unsw.edu.au/~lafaye/CCM/authentification/eap.htm