Implémentation de la norme 802.1x pour authentification au réseau câblé.

1. Résumé
L’implémentation d’une solution d’authentification sur un réseau local filaire pro-
duit des bénéfices importants. Au sein du SUNGARD, il est nécessaire d’autoriser la
mobilité des utilisateurs. Un utilisateur doit pouvoir se retrouver dans le réseau interne
de son plateau même s’il se trouve physiquement dans un autre bâtiment. Cette opé-
ration est réalisée grâce aux VLAN de chaque plateau. Selon le statut de la personne,
il faut qu’elle soit placée dans un VLAN particulier. Pour cela, il a été défini une liste
répertoriant les adresses IP utilisées dans chacun de ces VLAN. Les VLAN ne sont là
que pour la séparation des réseaux. Ils ne savent pas gérer les procédures d’authenti-
fication. Celle-ci sera donc mise en place avec une méthode basée sur la norme IEEE
802.1x.
i

2. Dédicace
Du plus profond de mon cœur et avec le plus grand plaisir de ce monde, je dédie ce
travail :
A mes très chers parents Mongi et Najwa pour tous les sacrifices qu’ils ont consen-
tis pour mon éducation et pour tout ce qu’ils ont enduré pour satisfaire toutes mes
sollicitations.Que le dieu les préserve en bonne santé et longue vie.
A Mes chers Frères Adnen,Ayoub et Mes chères sœur Hadil et Sinda.
A qui je souhaite un avenir radieux Plein de bonheur et de succès.
Que dieu vous bénisse et vous accorde joie, santé et longue vie.
A Tous mes amis sans exception.
Et a tous ceux qui m’ont aidé de prés ou de loin à la réalisation de ce travail.
ii

3. Remerciement
Je remercie Dieu, le Tout Puissant, le Miséricordieux, qui nous a donné l’opportu-
nité de mener à bien ce travail.
C’est avec un grand plaisir que, j’adresse mes sincères remerciements à l’égard de
mes encadreurs, M. Mohamed Amine Boukhari et M. Mohamed Laaraiedh, qui n’ont
ménagé aucun effort pour la bonne réussite de ce travail.
J’adresse mes sincères remerciements au coordinateur de Master chez ISI, M. Mo-
hamed Houcine Hdhili. Je ne manque pas de remercier M. Walid Sebai Manger local
IT à Sungard, pour la confiance qu’il nous a accordé pour accomplir ce travail.
Je réserve une pensée spéciale à tous les enseignants de l’ISI qui ont su nous don-
ner une formation didactique et appréciable durant tout notre cursus, à la promotion
SSICE 2013/2014 pour la sagesse qu’elle a fait preuve. Ce geste sera gravé à jamais
dans nos mémoires.
Je tiens aussi à remercier les membres du jury qui m’ont fait l’honneur de juger ce
travail.
Je voudrai ensuite remercier l’ensemble du personnel de Sungard, pour avoir su
rendre cette expérience aussi enrichissante et agréable.
Je ne terminai pas sans avoir exprimé mes remerciements envers toutes les per-
sonnes qui ont contribué de près ou de loin à la réalisation de ce projet.
Bilel TRABELSI
iii

4. Glossaire
A
AAA :Authentication, Authorization, Accounting.
ACL :Access control list.
AD :Active directory.
ARP :Address Resolution Protocol.
AKA :Authentication and Key Agreement.
D
DMZ :Demilitarized zone in network computing.
DHCP :Dynamic Host Configuration Protocol.
DOS :Denial of service.
DNS :Domain Name System.
E
EAP :Extensible Authentication Protocol.
EAPOL :Extensible Authentication Protocol OVER LAN.
I
IDS :Intrusion Detection System.
IPS :Intrusion prevention systems.
IP :Internet Protocol.
IETF :Internet Engineering Task Force.
IEEE :Institut of Electrical and Electronics Engineers.
L
LAN :Local area network.
LEAP :Lightweight Extensible Authentication Protocol.
LDAP :Lightweight Directory Access Protocol.
M
MAC :Media Access Control
MD5 :Message Digest 5 challenge Handshake authentication Protocol.
N
NAC :Network Access control.
NAS :Network Authentication Service.
NTLM :NT Lan Manager.
NTP :Network Time Protocol.
O
OTP :One-time password.
P
PAE :Port access entity.
PEAP :Protected Extensible Authentification.
iv

5. v
V
VLAN :Virtual local network.
VPN :Virtual private network.
T
TCP :Transmission Control Protocol.
TLS :Transport Layer Security.
TTLS :Tunneled- TLS.
S
SKE :EAP-Shared Key Exchange.
SSH :Secure Shell.

6. Table des matières
Résumé i
Dédicace ii
Remerciement iii
Glossaire iv
Table des figures ix
Liste des tableaux xi
1 Introduction Générale 1
2 Audit et sécurité d’un réseau informatique 3
2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.2 Audit sécurité des systèmes d’information . . . . . . . . . . . . . . . . 3
2.2.1 Qu’est ce que un Audit . . . . . . . . . . . . . . . . . . . . . . . 3
2.2.2 Rôles et objectifs de l’audit . . . . . . . . . . . . . . . . . . . . 4
2.2.3 Cycle de vie d’un audit sécurité des systèmes d’information . . . 4
2.3 Démarche de réalisation d’un audit Sécurité de Système d’information . 5
2.3.1 Définition de la charte d’audit . . . . . . . . . . . . . . . . . . . 5
2.3.2 Préparation de l’audit . . . . . . . . . . . . . . . . . . . . . . . 6
2.3.3 Audit organisationnel et physique . . . . . . . . . . . . . . . . . 6
2.3.4 Audit technique . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.3.5 Test d’intrusion (Audit intrusif) . . . . . . . . . . . . . . . . . . 7
2.3.6 Rapport d’audit . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.4 Audit Interne à SUNGARD Global Solutions Tunis . . . . . . . . . . . 8
2.4.1 Objectifs d’audit . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.4.2 Résumé du travail effectué . . . . . . . . . . . . . . . . . . . . . 8
2.4.3 Observations . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.4.4 Systèmes d’information de l’administration, le développement et
la maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.4.5 Communication et gestion des opérations . . . . . . . . . . . . . 9
2.4.6 Contrôles physiques et environnementales . . . . . . . . . . . . . 9
2.4.7 Gestion de la continuité des affaires . . . . . . . . . . . . . . . . 9
2.4.8 Recommandations . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.4.9 Avis de vérification . . . . . . . . . . . . . . . . . . . . . . . . . 10
vi

7. Table des matières vii
2.5 Les Menaces Informatiques . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.5.1 Virus, ver, et cheval de Troie . . . . . . . . . . . . . . . . . . . . 10
2.5.2 Spyware et adware . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.5.3 Attaques zero-day . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.5.4 Dépassement de Tampon . . . . . . . . . . . . . . . . . . . . . . 11
2.5.5 Les attaques par déni de services . . . . . . . . . . . . . . . . . 12
2.5.6 Interception et vol de données . . . . . . . . . . . . . . . . . . . 12
2.5.7 Le vol d’identité et Usurpation de Droit . . . . . . . . . . . . . 12
2.6 Les Mesures de Sécurité Informatique à SUNGARD . . . . . . . . . . . 12
2.7 Critique et propositions . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.8 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
3 Spécification et Analyse de besoins 15
3.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.2 Problématique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.3 Étude de l’existant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.4 Les solutions existantes sur le marché . . . . . . . . . . . . . . . . . . . 17
3.4.1 La technologie biométrique . . . . . . . . . . . . . . . . . . . . . 17
3.4.2 La Carte à puce Digipass . . . . . . . . . . . . . . . . . . . . . . 17
3.4.3 La Technologie RSA SecurID . . . . . . . . . . . . . . . . . . . 17
3.4.4 La carte à puce audio . . . . . . . . . . . . . . . . . . . . . . . . 17
3.4.5 Le protocole 802.1x . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.4.6 les serveurs d’application . . . . . . . . . . . . . . . . . . . . . . 18
3.4.7 Les services d’annuaires . . . . . . . . . . . . . . . . . . . . . . 19
3.4.8 Les protocole d’authentification . . . . . . . . . . . . . . . . . . 20
3.5 Solution proposée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.6 Conduite du projet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.6.1 Processus du projet . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.6.2 Cycle de vie d’un projet . . . . . . . . . . . . . . . . . . . . . . 23
3.6.3 Choix du modèle en V . . . . . . . . . . . . . . . . . . . . . . . 24
3.7 Spécification des besoins du rojet . . . . . . . . . . . . . . . . . . . . . 24
3.7.1 L’utilisateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.7.2 Les besoins fonctionnels . . . . . . . . . . . . . . . . . . . . . . 25
3.7.3 Les besoins non fonctionnels . . . . . . . . . . . . . . . . . . . . 25
3.8 Spécification semi-fonctionnelle . . . . . . . . . . . . . . . . . . . . . . 25
3.8.1 Diagramme de cas d’utilisation global . . . . . . . . . . . . . . . 25
3.8.2 Diagramme de séquence global . . . . . . . . . . . . . . . . . . . 27
3.9 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4 Réalisation du projet 29
4.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.2 Environnement du travail . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.2.1 Environnement matériel . . . . . . . . . . . . . . . . . . . . . . 29
4.2.2 Environnement logiciel . . . . . . . . . . . . . . . . . . . . . . . 29
4.3 Mise en palace et intégration de différentes étapes pour réaliser l’authen-
tification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

8. Table des matières viii
4.3.1 Schéma général d’implémentation . . . . . . . . . . . . . . . . . 32
4.3.2 Détails de configuration . . . . . . . . . . . . . . . . . . . . . . 35
4.4 Les challenges rencontrés . . . . . . . . . . . . . . . . . . . . . . . . . . 56
4.5 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
5 Conclusion Générale 58
A Annexe 59
B Annexe 63
Bibliographie 74

9. Table des figures
2.1 Le cycle de vie d’audit de sécurité . . . . . . . . . . . . . . . . . . . . . 4
2.2 Schéma du processus d’audit . . . . . . . . . . . . . . . . . . . . . . . . 5
3.1 Processus pour accéder au réseau du SUNGARD . . . . . . . . . . . . 16
3.2 Solution proposée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3.3 Cycle de vie d’un projet . . . . . . . . . . . . . . . . . . . . . . . . . . 23
3.4 Cycle de vie Modèle en V . . . . . . . . . . . . . . . . . . . . . . . . . 24
3.5 Cas d’utilisation global . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
3.6 Cas d’utilisation "s’authentifier" . . . . . . . . . . . . . . . . . . . . . . 26
3.7 Cas d’utilisation de demande de connexion . . . . . . . . . . . . . . . . 27
3.8 Diagramme de séquence . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.1 Architecture de la plateforme proposée . . . . . . . . . . . . . . . . . . 32
4.2 Politique d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . 36
4.3 Configuration DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
4.4 Modifier le DNS au fichier resolv.conf . . . . . . . . . . . . . . . . . . . 37
4.5 Configuration NTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.6 Installation de paquets . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.7 Configuration de fichier Kerberos . . . . . . . . . . . . . . . . . . . . . 39
4.8 Récupération d’un ticket Kerberos . . . . . . . . . . . . . . . . . . . . . 39
4.9 Configuration de fichier Samba . . . . . . . . . . . . . . . . . . . . . . 40
4.10 Redémarrage de samba . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.11 Intégration dans L’AD . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.12 Redémarrage de service Winbind . . . . . . . . . . . . . . . . . . . . . 41
4.13 Vérification du ticket Kerberos . . . . . . . . . . . . . . . . . . . . . . . 41
4.14 Test du RCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.15 Résultat de Test RCP . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.16 Affichage des utilisateurs de l’annuaire . . . . . . . . . . . . . . . . . . 42
4.17 Test d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.18 Résultat de test d’authentification . . . . . . . . . . . . . . . . . . . . . 43
4.19 Installation de Freeradius . . . . . . . . . . . . . . . . . . . . . . . . . . 43
4.20 Vérification de service NTLM . . . . . . . . . . . . . . . . . . . . . . . 43
4.21 Architecture LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.22 Architecture LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.23 Configuration de fichier EAP . . . . . . . . . . . . . . . . . . . . . . . . 46
4.24 Configuration de fichier MS-CHAP . . . . . . . . . . . . . . . . . . . . 47
4.25 Fichier proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
ix

10. Table des figures x
4.26 Redémarrage du service radius . . . . . . . . . . . . . . . . . . . . . . . 47
4.27 Test d’authentification local . . . . . . . . . . . . . . . . . . . . . . . . 48
4.28 Activation le mode debug . . . . . . . . . . . . . . . . . . . . . . . . . 48
4.29 Résultat de test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
4.30 Activation AAA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
4.31 Création d’une méthode d’authentification . . . . . . . . . . . . . . . . 49
4.32 Autorisation de VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
4.33 Configuration des paramètres serveur . . . . . . . . . . . . . . . . . . . 50
4.34 Configuration de retransmission au serveur . . . . . . . . . . . . . . . . 50
4.35 Configuration de secret partagé entre le commutateur et le serveur Radius 50
4.36 Configuration de routeur . . . . . . . . . . . . . . . . . . . . . . . . . . 51
4.37 Configuration de l’interface de commutateur . . . . . . . . . . . . . . . 51
4.38 Sauvegarde de la configuration de commutateur . . . . . . . . . . . . . 51
4.39 Service.msc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
4.40 Configuration Automatique . . . . . . . . . . . . . . . . . . . . . . . . 53
4.41 Méthode d’authentification réseau . . . . . . . . . . . . . . . . . . . . . 54
4.42 Activer le type d’authentification . . . . . . . . . . . . . . . . . . . . . 55
4.43 Méthode d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . 56
A.1 les différents 2700X . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
A.2 Modèle OSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
B.1 Les trois entités qui interagissent dans 802.1x . . . . . . . . . . . . . . 64
B.2 Architecture du PAE . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
B.3 Structure des trames RADIUS . . . . . . . . . . . . . . . . . . . . . . . 66
B.4 Établissement d’une session RADIUS . . . . . . . . . . . . . . . . . . . 67
B.5 802.1x et serveur d’authentification . . . . . . . . . . . . . . . . . . . . 68
B.6 Le trafic EAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
B.7 Séquence d’authentification . . . . . . . . . . . . . . . . . . . . . . . . 70
B.8 Exemple de situation après une authentification réussie . . . . . . . . . 71
B.9 Diagramme de communication . . . . . . . . . . . . . . . . . . . . . . . 72

11. Liste des tableaux
3.1 Description textuelle pour le cas d’utilisation "s’authentifier" . . . . . . 26
3.2 Description textuelle pour la demande de connexion . . . . . . . . . . . 27
4.1 Paramétrages des différentes entités. . . . . . . . . . . . . . . . . . . . 31
B.1 Valeur du champ Code RADIUS . . . . . . . . . . . . . . . . . . . . . . 66
xi

12. 1Introduction Générale
Dans un contexte concurrentiel, le souci majeur de toute entreprise est comment
faire connaître ses activités et services au niveau national et international. Toutefois,
il est primordial de garantir la sécurité au sein de système informatique et réseau de
l’entreprise. C’est dans ce cadre que se situe ce projet qui consiste à implémenter une
nouvelle technologie d’authentification pour le réseau câblé de SUNGARD.
SUNGARD (SUN Guaranteed Access to Recovered Data) a été créé en 1982, en
tant qu’essaimage de la Sun OilCompany. En 1970, Sun Oil s’est lancé dans plusieurs
activités, notamment une division de services informatiques qui est finalement devenue
SUNGARD. Basée à Wayne, Pennsylvanie, SUNGARD est aujourd’hui l’un des leaders
mondiaux du logiciel et des services IT des entreprises. Elle compte 20.000 collabora-
teurs répartis dans 200 villes et 30 pays et répond aux besoins de 25.000 clients répartis
dans 70 pays. SUNGARD fournit des solutions et des logiciels de traitement pour les
services financiers, l’enseignement supérieur et le secteur public. Elle fournit également
des services de récupération des données, la gestion des services informatiques, la dis-
ponibilité de l’informationnel des services de consultation et la continuité des activités
de gestion des logiciels. l’entreprise prend en charge les opérations stratégiques des
institutions financières, des entreprises, des collectivités locales ainsi que la sécurité
publique, les organismes de justice et les institutions éducatives à travers le monde.
Au sein de la société SUNGARD, il y on a des équipes et chacun d’eux a un accès à
un réseau spécifique selon des droits d’accès bien déterminés. Autrement dit, la visibilité
de données existantes dans la base de données est limitée aux membres de chaque
équipe : tenons l’exemple de l’équipe qui prend en charge la tache de développement.
Cette équipe a un réseau local sur lequel elle peut se connecter et donc sa propre base
de données. Par exemple, un stagiaire qui a le droit d’accès seulement à la base données
propre aux stagiaires ne peut en aucun cas voir les informations de la base de données
qui concernent la catégorie "Équipe de développement".
Cette procédure peut devenir plus complexe pour plusieurs raisons. Parmi ces rai-
sons, on trouve la manque de sécurité au niveau du réseau câblé, l’interception de
1

13. 2
données qui consiste à écouter les transmissions des différents utilisateurs du réseau
filaire, et le vol d’identité d’une personne physique ou morale qui consiste à prendre
délibérément l’identité d’une autre personne, dans le but de réaliser des actions frau-
duleuses, etc.
Après une investigation détaillée, on a conclu qu’il y a un problème au niveau d’accès
physique au réseau filaire du SUNGARD. On a conclu qu’une implémentation de la
technologie 802.1x est indispensable pour l’authentification du réseau câblé. 802.1X
est un standard lié à la sécurité des réseaux informatiques, mis au point en 2001 par
l’IEEE (famille de la norme IEEE 802). Son objectif est de réaliser une authentification
de l’accès au réseau au moment de la connexion physique à ce dernier, et valider un
droit d’accès physique aux réseaux. Le 802,1x apporte des avantages considérables au
niveau de l’administration du réseau, notamment par l’affectation dynamique de VLAN
en fonction de caractéristiques de cette authentification.
La suite de ce rapport est organisée en quatre chapitres :
— Dans le premier chapitre, nous débutons par un état de l’art sur l’audit et la
sécurité d’un réseau informatique. En particulier, on présente les mesures de
sécurité utilisées au sein de SUNGARD contre les différents risques.
— Le deuxième chapitre est consacré à la spécification des besoins qui consiste à
dégager les besoins fonctionnels et non fonctionnels et les analyser à l’aide des
diagrammes de cas d’utilisation et de séquences.
— Le troisième chapitre présente le fruit de ce projet qui est la réalisation du
système. Dans ce dernier chapitre, nous présentons l’environnement matériel et
logiciel et les différentes taches effectuées tout au long de ce projet.
— Le rapport se termine par une conclusion générale qui rappelle la problématique
et la solution proposée ainsi que les principales perspectives qu’on a dégagé pour
ce travail.

14. 2Audit et sécurité d’un réseau informatique
2.1 Introduction
Tous les ordinateurs et donc les utilisateurs connectés à un réseau informatique sont
potentiellement vulnérables aux attaques. Ceci montre l’importance immanquable des
actions de sécurité du réseau. La sécurité du réseau se réfère à toutes les activités visant
à protéger le réseau. Plus précisément, ces activités protègent la facilité d’utilisation et
offrent la fiabilité, l’intégrité et la sécurité de réseau et des données. Par ailleurs, une
sécurité réseau efficace vise une variété de menaces et les empêche de pénétrer ou de
se propager sur le réseau.
2.2 Audit sécurité des systèmes d’information
2.2.1 Qu’est ce que un Audit
En informatique, le terme audit (une écoute) est apparu dans les années 70 et a
été utilisé de manière relativement aléatoire. En particulier, un "audit de sécurité de
l’information" est une mission d’évaluation de conformité par rapport à une politique
de sécurité ou à défaut par rapport à un ensemble de règles de sécurité.
Une mission d’audit ne peut ainsi être réalisée que si l’on a défini auparavant un
référentiel, c’est-à-dire en l’occurrence, un ensemble de règles organisationnelles, procé-
durales ou techniques de référence. Ce référentiel permet au cours de l’audit d’évaluer
le niveau de sécurité réelle du "terrain" par rapport à une cible [1].
Pour évaluer le niveau de conformité, ce référentiel doit être :
— Complet (mesure l’ensemble des caractéristiques) : il ne doit pas s’arrêter au ni-
veau système, réseau, télécoms ou applicatifs, de manières exclusives. De même,
il doit couvrir des points techniques et organisationnels.
— Homogène : chaque caractéristique mesurée doit présenter un poids cohérent
avec le tout.
3

15. 2.2 Audit sécurité des systèmes d’information 4
— Pragmatique : c’est-à-dire aisé à quantifier (qualifier) et à contrôler. Ce dernier
point est souvent négligé.
La mission d’audit consiste à mesurer le niveau d’application de ces règles sur le sys-
tème d’informations par rapport aux règles qui devraient être effectivement appliquées
selon les processus édictés. l’audit est avant tout un constat.
2.2.2 Rôles et objectifs de l’audit
Une mission d’audit vise différents objectifs. En effet, nous pouvons énumérer à ce
titre :
— la détermination des déviations par rapport aux bonnes pratiques de sécurité.
— la proposition d’actions visant l’amélioration du niveau de sécurité du système
d’information.
Également, une mission d’audit de sécurité d’un système d’informations se présente
comme un moyen d’évaluation de la conformité par rapport à une politique de sécurité
ou par rapport à un ensemble de règle de sécurité [1].
2.2.3 Cycle de vie d’un audit sécurité des systèmes d’informa-
tion
Le processus d’audit de sécurité est un processus répétitif et perpétuel. Il décrit un
cycle de vie qui est schématisé à l’aide de la figure 2.1.
Figure 2.1: Le cycle de vie d’audit de sécurité
L’audit de sécurité informatique se présente essentiellement suivant deux parties
comme indiqué sur la figure 2.1 :

16. 2.3 Démarche de réalisation d’un audit Sécurité de Système
d’information 5
— l’audit organisationnel et physique.
— l’audit technique.
Une troisième partie optionnelle peut être également considérée. Il s’agit de l’audit
intrusif (test d’intrusion). Enfin, un rapport d’audit s’établit à l’issue de ces étapes. Ce
rapport présente une synthèse de l’audit. Il présente également les recommandations à
mettre en place pour corriger les défaillances organisationnelles et techniques constatées
[1].
2.3 Démarche de réalisation d’un audit Sécurité de
Système d’information
Dans la section précédente on a évoqué les principales étapes de l’audit de sécurité
des systèmes d’information. Cependant, il existe une phase aussi importante qui est la
phase de préparation. Ainsi, nous pouvons schématiser l’ensemble du processus d’audit
selon le schéma présenté par la figure 2.2.
Figure 2.2: Schéma du processus d’audit
2.3.1 Définition de la charte d’audit
Avant de procéder à une mission d’audit, une charte d’audit doit être réalisée. Elle
a pour objectif de définir la fonction de l’audit, les limites et les modalités de son
intervention, ses responsabilités ainsi que les principes régissant les relations entre les
auditeurs et les auditer. Elle fixe également les qualités professionnelles et morales
requises des auditeurs [1].

17. 2.3 Démarche de réalisation d’un audit Sécurité de Système
d’information 6
2.3.2 Préparation de l’audit
Cette phase est aussi appelée phase de pré-audit. Elle constitue une phase impor-
tante pour la réalisation de l’audit sur terrain. En effet, c’est au cours de cette phase
que se dessinent les grands axes qui devront être suivis lors de l’audit sur terrain. Elle se
manifeste par des rencontres entre auditeurs et responsables de l’organisme à auditer.
Au cours de ses entretiens, les espérances des responsables vis-à-vis de l’audit devront
être exprimées. Aussi, le planning de réalisation de la mission de l’audit doit être fixé.
les personnes qui seront amenées à répondre au questionnaire concernant l’audit
organisationnel doivent être également identifiées. L’auditeur (aux les auditeurs) pour-
rait également solliciter les résultats des précédents audits. Cette phase sera suivie par
l’audit organisationnel et physique [1].
2.3.3 Audit organisationnel et physique
2.3.3.1 Objectifs
Dans cette étape, il s’agit de s’intéresser à l’aspect physique et organisationnel de
l’organisme cible. Nous nous intéressons donc aux aspects de gestion et d’organisation
de la sécurité sur les plans organisationnels, humains et physiques. L’objectif de cette
étape est donc d’avoir une vue globale sur l’état de sécurité du système d’informations
et d’identifier les risques potentiels sur le plan organisationnel.
2.3.3.2 Déroulement
Afin de réaliser cette étape de l’audit, on doit suivre une approche méthodologie qui
s’appuie sur une batterie de question. Ce questionnaire préétabli devra tenir compte et
s’adapter aux réalités de l’organisme à auditer. À L’issue de ce questionnaire, et suivant
une métrique, l’auditeur est en mesure d’évaluer les failles et d’apprécier le niveau de
maturité en termes de sécurité de l’organisme, ainsi que la conformité de cet organisme
par rapport à la norme référentielle de l’audit.
2.3.4 Audit technique
2.3.4.1 Objectifs
Cette étape de l’audit sur terrain vient en seconde position après celle de l’audit
organisationnel. L’audit technique est réalisé suivant une approche méthodique allant
de la découverte et la reconnaissance du réseau audité jusqu’au sondage des services
réseaux actifs et vulnérables.
Cette analyse devra faire apparaître les failles et les risques, les conséquences d’in-
trusions ou de manipulations illicites de données. Au cours de cette phase, l’auditeur
pourra également apprécier l’écart avec les réponses obtenues lors des entretiens. Il
testera aussi la robustesse de la sécurité du système d’information et sa capacité à
préserver les aspects de confidentialité, d’intégrité, de disponibilité et d’autorisation.
Cependant, l’auditeur doit veiller à ce que les tests réalisés ne mettent pas en cause
la continuité de service du système audité.

18. 2.3 Démarche de réalisation d’un audit Sécurité de Système
d’information 7
2.3.4.2 Déroulement
Vu les objectifs escomptés lors de cette étape, leurs aboutissements ne sont possibles
que par l’utilisation de différents outils. Chaque outil commercial qui devra être utilisé
doit bénéficier d’une licence d’utilisation en bonne et due forme.
Également, les outils disponibles dans le monde du logiciel libre sont admis. L’en-
semble des outils utilisés doit couvrir entièrement ou partiellement la liste non exhaus-
tive des catégories ci-après :
— Outils de sondage et de reconnaissance du réseau.
— Outils de test automatique de vulnérabilités du réseau.
— Outils spécialisés dans l’audit des équipements réseau (routeurs, switchs).
— Outils spécialisés dans l’audit des systèmes d’exploitation.
— Outils d’analyse et d’interception de flux réseaux.
— Outils de test de la solidité des objets d’authentification (fichiers de mots clés).
— Outils de test de la solidité des outils de sécurité réseau (firewalls, IDS, outils
d’authentification).
— Outils spécialisés dans l’audit SGBD existants.
Chacun des outils à utiliser devra faire l’objet d’une présentation de ses caracté-
ristiques et fonctionnalités aux responsables de l’organisme audité pour les assurer de
l’utilisation de ces outils.
2.3.5 Test d’intrusion (Audit intrusif)
2.3.5.1 objectifs
Cet audit permet d’apprécier le comportement du réseau face à des attaques. Il
permet aussi de sensibiliser les acteurs (management, équipe informatique sur site, les
utilisateurs) par des rapports illustrant les failles décelées, les tests qui ont été effec-
tués (scénario et outils) ainsi que les recommandations pour pallier aux insuffisances
identifiées.
2.3.5.2 Déroulement
La phase de déroulement de cet audit doit être réalisée par une équipe de personnes
ignorantes du système audité avec une définition précise des limites et horaires des tests.
Étant donné l’aspect risqué (pour la continuité de services du système d’information)
que porte ce type d’audit, l’auditeur doit :
— Bénéficier de grandes compétences.
— Adhérer à une charte déontologique.
— S’engager(la charte d’audit) à un non-déroulement : implication à ne pas pro-
voquer de perturbation du fonctionnement du système, ni de provocation de
dommages.
2.3.6 Rapport d’audit
A la fin des précédentes phases d’audit sur terrain, l’auditeur est invité à rédiger
un rapport de synthèse sur sa mission d’audit. Cette synthèse doit être révélatrice des

19. 2.4 Audit Interne à SUNGARD Global Solutions Tunis 8
défaillances enregistrées. Autant est-il important de déceler un mal, autant il est éga-
lement important d’y proposer des solutions. Ainsi, l’auditeur est également invité à
donner ses recommandations pour pallier les défauts qu’il aura constatés. Ces recom-
mandations doivent tenir compte de l’audit organisationnel et physique ainsi que de
celui technique et intrusif [1].
2.4 Audit Interne à SUNGARD Global Solutions Tu-
nis
2.4.1 Objectifs d’audit
Les objectifs de cet audit comprenaient un examen des contrôles sélectionnés sur
les domaines suivants :
— Évaluer la conception et l’efficacité opérationnelle du cycle de vie de développe-
ment logiciel.
— Évaluer la conception et l’efficacité opérationnelle des contrôles sur les systèmes
soutenant les processus.
— Déterminer si des contrôles adéquats sont en place pour garantir la propriété
intellectuelle et des données sensibles.
— Vérifiez que les ressources sont formées dans les plans de sécurité et de transi-
tion l’information pour réduire les écarts en matière d’expertise lors du chiffres
d’affaires.
— Vérifier que les contrôles de sécurité physiques appropriées sont en place sur les
actifs et le bureau.
— Contrôles nécessaire pour assurer la continuité et le soutien des opérations cri-
tique de l’entreprise d’affaires Vérifier est correctement documenté et testé.
— Faire des recommandations concrètes pour améliorer les contrôles et les proces-
sus.
2.4.2 Résumé du travail effectué
Lors de cette mission d’audit, nous avons été amenés à exécuter les taches suivantes :
— Configurations échantillonnées et évaluées pour les systèmes Windows et les
serveurs de test Linux.
— Configurations échantillonnées et évaluées pour les pare-feu.
— Examiner le processus de contrôle d’accès.
— Évaluer la continuité des activités et le programme de reprise après sinistre.
2.4.3 Observations
Les observations sont classées en fonction du risque qu’ils représentent pour l’en-
treprise. Ces classifications ont pour objectif d’aider l’entreprise à organiser les efforts
d’assainissement. On a défini 3 niveaux de risque comme suit :
— Haut : résulte de l’exposition directe à des actifs importants ou une perte en

20. 2.4 Audit Interne à SUNGARD Global Solutions Tunis 9
dollars fort potentiels. L’absence de contrôles appropriés pourrait avoir un im-
pact considérable sur les opérations, la conformité réglementaire ou les résultats
financiers.
— Moyen : implique une exposition indirecte aux actifs importants et pourrait
avoir un impact modéré sur les opérations, la conformité réglementaire ou les
résultats financiers.
— Faible : risques qui ont un impact limité sur les opérations, la conformité régle-
mentaire ou les résultats financiers.
2.4.4 Systèmes d’information de l’administration, le dévelop-
pement et la maintenance
Contrôles positifs Notés
— Les équipes du produit utilisent constamment les processus (produit) utilisés
à la vérification effectuée par les consultants dans le cadre du programme de
mesures communes collectées et audits.
— Les équipes travaillent à comprendre les spécifications qui leur est donné de
l’unité d’affaires et d’évaluer les risques sur les changements à voir comment elle
influence le produit.
— Les équipes du produit sont conduits à assurer la livraison à tant de travaux.
2.4.5 Communication et gestion des opérations
Contrôles positifs Notés
— Les analyses de LANguard(Réseau local de sungard) sont effectuées.
— Nipper est utilisé pour examiner les configurations de pare-feu.
— Le système de détection d’intrusion(IDS) est en place.
— La surveillance est en place pour la capacité (disque et réseau).
2.4.6 Contrôles physiques et environnementales
Contrôles positifs Notés
— Flux de vidéo-surveillances enregistrées et conservées pendant 90 jours.
— Connectivité de réseau redondant.
— Générateur en place pour assurer la disponibilité.
— Des mécanismes anti-talonnage mis en place pour la zone de bureau.
2.4.7 Gestion de la continuité des affaires
Contrôles positifs Notés
— La documentation pour le site de Tunis a révélé que les équipes travaillent en
collaboration avec les unités d’affaires pour s’assurer que le personnel et les
processus critiques sont documentés.
— Tests effectués sur une base annuelle.
— Lorsqu’il y a un problème au niveau du bureau local du SUNGARD, les em-
ployées peuvent connecter à distance.

21. 2.5 Les Menaces Informatiques 10
2.4.8 Recommandations
À la fin de l’audit, on a tiré les recommandations suivantes :
— Les approbations sont documentées, mais ne sont pas gardées dans un endroit
d’accès facile et piste de vérification rapide. Il est recommandé de Centraliser
les autorisations pour les équipes de produits en un seul endroit.
— L’équipe de soutien ne vérifie pas systématiquement la demande de changement
réel par l’examen des renseignements sur le billet. L’équipe de soutien devrait
examiner les détails de tous les billets avant toute mise en œuvre et s’assurer
que les demandes sont appropriées.
— Avoir un processus de ré-certification pour les badges d’accès à comparer avec
la liste actuelle des employés comme un contrôle supplémentaire.
2.4.9 Avis de vérification
Trois degrés de satisfaction ont été définis comme suit :
— Satisfaisant : Les contrôles fondamentaux sont en place dans tous les domaines
à l’étude et respectent ou dépassent les normes minimales acceptables ; Les
contrôles sont bien conçus et fonctionnent à un degré qu’ils fournissent une
assurance et une fiabilité raisonnable.
— Besoin d’amélioration : Les contrôles répondent généralement aux normes mi-
nimales acceptables, mais un certain nombre de contrôles pour gérer les risques
clés sont soit ignorés, soit ayant des problèmes de conception, ou ne fonctionnent
pas correctement. La direction devrait évaluer et prendre des mesures sur les
lacunes et les insuffisances de contrôle.
— Peu satisfaisant : Les contrôles ne répondent pas aux normes minimales ac-
ceptables. Des défauts de conception et/ou d’exploitation clés existent qui pour-
raient exposer les processus en cours d’examen à des risques importants. Les
contrôles ne sont pas suffisants pour prévenir, détecter ou corriger les risques.
Ceci nécessite une action corrective immédiate par la direction et l’audit de
suivi, le cas échéant.
2.5 Les Menaces Informatiques
De nombreuses menaces de sécurité réseau sont aujourd’hui réparties sur Internet.
Les menaces les plus courantes d’après CISCO sont décrites dans cette section [2].
2.5.1 Virus, ver, et cheval de Troie
— Virus : c’est un logiciel qui infecte un autre logiciel et l’utilise comme vecteur de
propagation comme son équivalent biologique. C’est un programme malicieux
capable de faire fonctionner des actions nuisibles pour le système informatique
(SI), et éventuellement de se répandre par réplication à l’intérieur d’un SI. Les
conséquences sont le plus souvent la perte d’intégrité des données d’un SI et la
dégradation voire l’interruption du service fourni.[2]

22. 2.5 Les Menaces Informatiques 11
— Ver : de l’anglais Worm, c’est un logiciel qui se réplique sur les machines d’un
réseau. C’est un programme malicieux qui a la faculté de se déplacer à travers
un réseau qu’il cherche à perturber en le rendant totalement ou partiellement
indisponible.[2]
— Cheval de Troie : c’est un programme qui se déguise en un autre programme,
comme par exemple un programme de jeu, un utilitaire, une rustine ou un patch
de sécurité. C’est un programme ou un fichier introduit dans un SI et comportant
une fonctionnalité cachée connue seulement de l’agresseur. L’utilisation d’un
tel programme par l’utilisateur courant permet à l’attaquant de contourner les
contrôles de sécurité en se faisant passer pour un utilisateur interne.[2]
2.5.2 Spyware et adware
— Un logiciel espion : (aussi appelé mouchard ou espiogiciel ; en anglais spyware)
c’est un logiciel malveillant qui s’installe dans un ordinateur dans le but de
collecter et transférer des informations sur l’environnement dans lequel il s’est
installé, très souvent sans que l’utilisateur en ait connaissance. L’essor de ce type
de logiciel est associé à celui d’Internet qui lui sert de moyen de transmission de
données.[2]
— Un logiciel publicitaire ou publiciel (adware en anglais) est un logiciel qui affiche
de la publicité lors de son utilisation. Le publiciel contient habituellement deux
parties : une partie utile (le plus souvent un jeu vidéo ou un utilitaire) qui incite
un utilisateur à l’installer sur son ordinateur et une partie qui gère l’affichage
de la publicité.[2]
— Logiciels malveillants : les logiciels espions qui espionnent les habitudes de l’uti-
lisateur pour lui envoyer de la publicité ciblée [2].
2.5.3 Attaques zero-day
C’est une faille de la 10ème version d’Internet Explorer. C’est la société de sécurité
américaine FireEye qui l’a détectée et qui a constaté aussi qu’elle était utilisée par des
pirates. Microsoft a confirmé cette découverte. Une vulnérabilité zero-day est une ex-
ploitation qui utilise une faille jusqu’ici méconnue du public. Une exploitation zero-day
est susceptible d’engendrer la création d’un ver car, par définition, la grande majorité
des utilisateurs ne sera pas protégée contre cette faille jusqu’à ce qu’elle soit découverte
et corrigée.[2]
2.5.4 Dépassement de Tampon
Une des failles les plus courantes est le dépassement de tampon. En bref, suite à une
action d’un pirate (ou un incident), un programme écrit en mémoire hors de l’espace
prévu à cet effet : par exemple, s’il reçoit trop de données, il va dépasser la limite
prévue, et écrire sur d’autres données. En créant des données spécifiques, le pirate
pourra faire exécuter celle-ci (dangereux)[2].

23. 2.6 Les Mesures de Sécurité Informatique à SUNGARD 12
2.5.5 Les attaques par déni de services
L’attaque par déni de service a pour but de rendre inopérante une machine en la
saturant. Usuellement, cette attaque est menée contre des serveurs, mais on a déjà vu
des vers implémentant un moteur DoS (Denial Of Service, déni de service) contre des
clients du réseau local. Il existe différents moyens pour saturer un ordinateur, mais
toutes reviennent au principe d’envoyer plus de requêtes (ping, http, fork, ...) que le
système d’exploitation et le logiciel n’en peuvent traiter [2].
2.5.6 Interception et vol de données
— Interception : C’est un accès avec modification des informations transmises sur
les voies de communication avec l’intention de détruire les messages, de les
modifier, d’insérer des nouveaux messages, de provoquer un décalage dans le
temps ou la rupture dans la diffusion des messages [2].
— Balayage (scanning) : La technique consiste à envoyer au SI des informations
afin de détecter celles qui provoquent une réponse positive. Par suite l’attaquant
peut analyser les réponses reçues pour en dégager des informations utiles voire
confidentielles (noms des utilisateurs et profil d’accès ) [2].
2.5.7 Le vol d’identité et Usurpation de Droit
— Accès illégitimes : Lorsqu’une personne se fait passer occasionnellement pour
une autre en usurpant son identité.
— Déguisement : Désigne le fait qu’une personne se fait passer pour une autre de
façon durable et répétée en usurpant son identité, ses privilèges ou les droits
d’une personne visée.
— Rejet : Variante du déguisement qui permet à un attaquant de pénétrer un SI
en envoyant une séquence de connexion d’un utilisateur légitime et enregistré à
son insu.
— Substitution : Sur des réseaux comportant des terminaux distants, l’intercep-
tion des messages de connexion-déconnexion peut permettre à un attaquant de
continuer une session régulièrement ouverte sans que le système ne remarque le
changement d’utilisateur.
2.6 Les Mesures de Sécurité Informatique à SUN-
GARD
Selon le type de menace, différentes mesures de sécurité informatique sont installées
à SUNGARD :
1. Virus : Un antivirus "Symantec Endpoint Protection" est utilisé par SUN-
GARD. Il est temps d’adopter une solution plus complète qu’un antivirus, avec
une protection par couches au niveau du terminal. Symantec Endpoint Pro-
tection 12.1.4 offre une sécurité inégalée et des performances accrues sur les
systèmes virtuels et physiques. Cette solution intègre la technologie nécessaire

24. 2.6 Les Mesures de Sécurité Informatique à SUNGARD 13
pour protéger les systèmes d’exploitation de dernière génération avec un niveau
de performance optimal et une protection avancée. La technologie Symantec
Insight réduit les analyses antivirus pendant que SONAR stoppe les cybercrimi-
nels et les attaques "zero-day". Seule la solution Symantec Endpoint Protection
12.1.4 permet d’assurer la sécurité dont vous avez besoin via un agent unique
et puissant, en garantissant la protection la plus rapide et la plus efficace du
marché.
2. Ver, Cheval de Troie, Interception et vol de données : Un système de
détection d’intrusion (ou IDS : Intrusion Detection System) est un mécanisme
destiné à repérer des activités anormales ou suspectes sur la cible analysée (un
réseau ou un hôte). Il permet ainsi d’avoir une connaissance sur les tentatives
réussies comme échouées des intrusions. Les familles de systèmes de détection
d’intrusion,Il existe trois grandes familles distinctes d’IDS :
— Les NIDS (Network Based Intrusion Detection System), qui surveillent l’état
de la sécurité au niveau du réseau.
— Les HIDS (HostBased Intrusion Detection System), qui surveillent l’état de
la sécurité au niveau des hôtes.
— Les IDS hybrides, qui utilisent les NIDS et HIDS pour avoir des alertes plus
pertinentes.
Les HIDS sont particulièrement efficaces pour déterminer si un hôte est conta-
miné et les NIDS permettent de surveiller l’ensemble d’un réseau contrairement
à un HIDS qui est restreint à un hôte.
3. Spyware et adware :
Ad-Aware est un logiciel qui détecte et supprime les virus, les logiciels considérés
comme des publiciels (sa vocation première) et des logiciels espion (spyware,
malware). Il détecte également les composeurs, les chevaux de Troie et les autres
logiciels malveillants.
4. Attaques zero-day : Lorsqu’une faille de sécurité inconnue, dans un logiciel,
est rendue publique, avant que l’auteur du logiciel dans lequel elle a été trouvée
en soit alerté, elle est dite "Zero Day". Contre une faille "Zero day", il n’y a
pas grand chose à faire sauf à naviguer avec NoScript et ne libérer les droits,
aux sites, d’exécuter des scripts, qu’avec parcimonie (les sites et les documents
média exploitant les failles n’étant pas forcément des sites cybercriminels mais,
aussi, des sites et documents légitimes, piratés (hackés) par des cybercriminels).
5. dépassements de tampon : Diverses techniques ont été utilisées pour détec-
ter ou empêcher les dépassements de tampon, avec des arbitrages différents.
Le moyen le plus fiable pour éviter ou prévenir les dépassements de tampon
est d’utiliser une protection automatique au niveau du langage. Ce genre de
protection, cependant, ne peut pas être appliquée à l’héritage de code, et sou-
vent contraintes techniques, commerciales ou culturelles appellent à une langue
vulnérables. Voici les choix ou les méthodes pour éviter les débordements de
mémoire tampon.
— Choix des langages de programmation comme Java de guérison, .Net.
— Utilisation de bibliothèques de sécurité.
— Protection des espaces exécutable.

25. 2.7 Critique et propositions 14
— Address Space Layout Randomization.
— Inspection approfondie des paquets.
— Désinfection des paramètres.
6. Déni De Services : Les attaques par déni de service non distribuées peuvent
être contrées en identifiant l’adresse IP de la machine émettant les attaques et
en la bannissant au niveau du pare-feu ou du serveur. Les paquets IP provenant
de la machine hostile sont dès lors rejetés sans être traités empêchant que le
service du serveur ne soit saturé et ne se retrouve donc hors-ligne.
2.7 Critique et propositions
Avec tout l’enjeu et les mesures de sécurité informatique, l’interception de données
et le vol d’identité restent un problème de sécurité dans le réseau filaire du SUNGRAD.
L’objectif de la suite de ce travail est de chercher des solutions contre ce type d’attaque.
L’ISO a défini des services de sécurité tel que : l’authentification, le contrôle d’accès,
la confidentialité et l’intégrité des données. Aussi, elle définit quelques types de méca-
nismes de sécurité assurant ces services. Ils sont différés par leurs sophistications, leurs
coûts, les efforts nécessaires pour être implanté, leurs maintenances et leurs besoins en
ressources humaines.
Ce mécanisme d’authentification est inefficace s’il est utilisé seul. En effet, les sys-
tèmes d’exploitation actuels permettent à un utilisateur mal intentionné de modifier
son adresse MAC et d’en usurper une valide. Le standard IEEE 802.1x, utilisable quel
que soit l’environnement (sans fils ou filaire), définit l’encapsulation d’un nouveau mé-
canisme d’authentification.
L’authentification est donc la procédure qui consiste, pour un système informa-
tique, à vérifier l’identité d’une personne ou d’un ordinateur afin d’autoriser l’accès de
cette entité à des ressources (systèmes, réseaux, application). Afin de garantir cette
authentification au niveau du réseau filaire du SUNGARD on va implémenter la norme
802.1x.
2.8 Conclusion
Dans ce chapitre, on a présenté les principaux risques qui menacent le système
de sécurité au sein du SUNGARD. On a aussi présenté les principales méthodes de
protection pour éviter ces menaces. Grâce donc à l’audit qu’on a mené on a détecté les
principaux problèmes dans le réseau du SUNGARD. Pour lutter contre ces problèmes,
on propose une solution basée sur la norme IEEE802.1x. Cette solution sera l’objet de
prochains chapitres.

26. 3Spécification et Analyse de besoins
3.1 Introduction
Ce chapitre est consacré à l’analyse et la spécification de besoins. Cette étape
consiste à identifier les différentes fonctionnalités du projet et à décrire les cas d’uti-
lisation posés par le sujet. Dans cette optique, nous allons tout d’abord définir les
fonctionnalités offertes par le système répondant aux besoins ensuite nous allons spéci-
fier les acteurs pour arriver à la fin de ce chapitre à la présentation des cas d’utilisation.
3.2 Problématique
Au sein de la société SUNGARD, il y a plusieurs équipes. Chaque équipe possède
un accès à un réseau spécifique selon des droits d’accès bien déterminés. La visibilité
de données est donc limitée pour chaque équipe aux membres de cette équipe. Par
exemple, l’équipe de développement a un réseau local sur lequel elle peut se connecter et
sa propre base de données. Un membre d’une autre équipe ne peut en aucun cas accéder
aux informations de la base de données de l’équipe de développement. Les informations
de la base de données accessibles aux équipe de développement sont transparentes pour
les autres équipes tout en respectant les droits d’accès de chacune des équipes.
Cette procédure peut devenir plus complexe pour plusieurs raisons :
— Manque de sécurité au niveau du réseau câblé.
— Interception de données qui consiste à écouter les transmissions des différents
utilisateurs du réseau filaire.
— Vole d’identité qui consiste à prendre délibérément l’identité d’une autre per-
sonne physique ou morale dans le but de réaliser des actions frauduleuses.
— Accès interdit.
— Réseau vulnérable à des attaques intérieures.
Ce projet a pour objectif d’authentifier l’accès aux réseaux filaires de SUNGARD
15

27. 3.2 Problématique 16
Tunisie, qui sont répartis sur plusieurs bâtiments dans lesquels sont placés des centaines
d’ordinateurs. Ces ordinateurs sont utilisés par plusieurs types d’utilisateurs :
— Les visiteurs (i.g. les clients invités, les commerciaux).
— Les invités (i.g. temporaires, stagiaires).
— Les permanents.
Chacun de ces types d’utilisateurs a différents droits d’accès au réseau, définis par
l’administrateur informatique. Par exemple, un visiteur n’a pas l’accès ni aux machines
des salles de manipulation, ni à l’intranet, mais il peut surfer sur le Web et imprimer.
Souhaitant prendre en compte divers éléments telle que le WiFi, l’authentification
centralisée et la mobilité dans une solution globale et cohérente, SUNGARD a établi
les fonctionnalités ci-dessous pour se protéger contre l’interception des données et le
vol d’identité dans un réseau câblé :
— Pour accéder au réseau, toute personne doit être authentifiée.
— Les traces de connexion incluant le couple "utilisateur/adresse IP" seront conser-
vées pendant une durée spécifique.
— Une mobilité des utilisateurs doit être possible, aussi bien en filaire qu’en sans-fil,
entre les bâtiments.
— Tout personne peut se connecter à internet avec un simple login/mot-de-passe,
et c’est depuis n’importe quel site enregistré.
— La sécurité doit être pris en compte à tous les niveaux.
La figure 3.1 décrit le processus actuel pour accéder au réseau SUNGARD. Dans
ce processus :
— n’importe quel utilisateur peut prendre une adresse IP et accéder au réseau.
— l’utilisateur peut se connecter à n’importe quel groupe de VLAN.
— l’utilisateur prend tous les droits d’accès du groupe.
Figure 3.1: Processus pour accéder au réseau du SUNGARD

28. 3.3 Étude de l’existant 17
3.3 Étude de l’existant
3.4 Les solutions existantes sur le marché
3.4.1 La technologie biométrique
C’est la science qui permet d’identifier de manière automatique une personne en se
basant sur ses caractéristiques physiologiques ou comportementales. En effet, chaque
personne est unique de ce fait, chacun possède sa propre caractéristique biométrique, et
elle rend cette technologie assez stable. Généralement, on distingue deux catégories de
méthodes d’authentification biométrique : les méthodes basées sur les caractéristiques
physiques telles que le visage, la voix et l’ADN, et celles basées sur les caractéristiques
comportementales comme la signature, la manière de marcher ou de taper sur un clavier
[3].
3.4.2 La Carte à puce Digipass
Le Digipass est un produit de sécurité de VASCO Data Security International,
fournissant une authentification forte des utilisateurs et des signatures numériques
via des jetons de sécurité réalisées par les utilisateurs de petites ou de logiciels sur
les téléphones mobiles, les appareils portables ou les PC. Cette technique utilise le
serveur temps et l’authentification à deux facteurs et peut être utilisée pour signer des
transactions électroniques.
3.4.3 La Technologie RSA SecurID
SecurID est un système de token, ou authentifieur, produit par la société RSA
Security et destiné à proposer une authentification forte à son utilisateur. La majorité
des tokens SecurID affichent un code à 6 chiffres changeant généralement toutes les
minutes.
L’utilisateur ajoute un Code PIN personnel au TokenCode lu sur l’authentifieur
SecurID. Le tout est appelé un PassCode (soit PassCode = PIN Code + TokenCode).
Par ailleurs, le Token expire au bout d’un certain temps (3 à 5 ans selon les modèles).
Ce système de Token, de type OTP, est utilisé pour les applications Web (par exemple
le eBanking) et les technologies de type VPN (IPSEC, SSL), SSH et Citrix [3].
3.4.4 La carte à puce audio
La société Audio Smart Card développe une offre matérielle et logicielle permettant
de répondre efficacement à tous les besoins d’authentification distants sur l’ordinateur
et le téléphone. Elle propose une carte à puce audio s’appliquant aussi bien à l’économie
au call center, au transport, à la santé, aux ressources humaines, aux services télécom,
etc. Basée sur le principe du mot de passe dynamique car elle utilise comme support
d’authentification une carte à puce audio qui fonctionne en liaison avec le serveur
d’authentification Secure Sound Pro Server [3].

29. 3.4 Les solutions existantes sur le marché 18
3.4.5 Le protocole 802.1x
Le protocole 802.1x est une solution standard de sécurisation de réseaux qui permet
d’authentifier un utilisateur souhaitant accéder à un réseau (câblé ou Wifi) grâce à un
serveur central d’authentification.
802.1x nécessite donc la présence d’un serveur d’authentification qui peut être un
serveur RADIUS : un serveur Microsoft, Cisco (...) ou un produit libre comme Free-
RADIUS ou encore un serveur TACACS dans le monde fermé des équipements Cisco.
Un port d’un commutateur réglé en mode 802.1x peut se trouver dans deux états
distincts :
— État "contrôlé" si l’authentification auprès du serveur RADIUS a réussi.
— État "non contrôlé" si l’authentification a échoué.
La réussite ou l’échec de l’authentification va donc ouvrir ou fermer le port à toute
communication. Un port ouvert va, par exemple, permettre au client final d’obtenir
une adresse IP auprès d’un serveur DHCP. Dans des implémentations plus cloisonnées,
le serveur RADIUS indiquera par exemple au client RADIUS dans quel VLAN placer
le client final [4].
3.4.6 les serveurs d’application
Un serveur d’application c’est serveur basée sur les protocoles AAA (Authenti-
cation, Autorization, Accounting). En pratique une architecture client-serveur AAA
permet de rendre l’ensemble de ces services. les serveurs AAA dans les domaines mère
et visité permettent de gérer les utilisateurs. les clients AAA sont hébergés sur des
routeurs ou sur des serveurs d’accès au réseau.
Les protocoles implémentant du AAA sont essentiellement utilisés par des opéra-
teurs offrant des services de télécommunications à des utilisateurs. Ces protocoles leur
permettent de contrôler l’accès à leurs réseaux et de connaitre l’utilisation de leurs
ressources.
Dans cette section, nous présentons les principaux serveurs d’application :
3.4.6.1 RADIUS
Remote Authentication Dial-In User Service est un protocole de type client-serveur
qui a pour rôle d’authentifier les requêtes qui lui parviennent d’un poste client. Il existe
plusieurs solutions (commerciales ou open source) de serveur radius [3] :
— ACS (Cisco sous Windows).
— Aegis (sous Linux).
— IAS (sous Windows).
— Open Radius (Open source).
— Free Radius (Open source, BSD, Windows).
3.4.6.2 DIAMETER
Diameter est un protocole d’authentification, il est successeur du protocole radius.
Diameter est un protocole permettant à des domaines administratifs différents de
collaborer pour réaliser les fonctionnalités AAA. Il est constitué d’un protocole de base

30. 3.4 Les solutions existantes sur le marché 19
qui définit le format des messages, comment ils sont transportés, les messages d’erreurs
ainsi que les services de sécurité que toutes les implémentations doivent supporter. À
ce protocole de base s’ajoutent les applications : Mobile IP, NAS et CMS.
L’application Diameter Mobile IPv4 permet de faire du AAA avec un utilisa-
teur utilisant Mobile IPv4 , l’application Diameter NAS permet l’accès au réseau via
PPP/EAP, il s’agit de l’amélioration de RADIUS,l’application Diameter CMS permet
de protéger les échanges Diameter au niveau applicatif entre serveurs ou entre un ser-
veur et son client.Diameter a été conçu dans l’idée d’être facilement extensible. Pour
cette raison, le protocole de base est séparé de ses applications [5].
3.4.6.3 TACACS
Terminal Access Controller Access-Control System (TACACS) est un protocole
d’authentification distante utilisé pour communiquer avec un serveur d’authentifica-
tion généralement utilisé dans des réseaux Unix.
TACACS permet à un serveur d’accès distant de communiquer avec un serveur
d’authentification dans l’objectif de déterminer si l’utilisateur a le droit d’accéder au
réseau [3].
3.4.6.4 KERBEROS
Kerberos est un protocole d’authentification réseau qui repose sur un mécanisme
de clés secrètes(chiffrement symétrique) et l’utilisation de tickets, et non de mots de
passe en clair, évitant ainsi le risque d’interception frauduleuse des mots de passe des
utilisateurs [3].
3.4.7 Les services d’annuaires
Un annuaire va permettre de centraliser les données des utilisateurs et des services
afin de rendre plus simple l’administration. Un annuaire peut être associé à un système
de stockage de données permettant de rendre accessible un ensemble d’informations à
tous les utilisateurs de ce système. Comme exemples, on peut citer [3] :
— Carnet d’adresses.
— Annuaire téléphonique.
— Serveur DNS.
Sur un système informatique, les données ne sont pas organisées de manière relation-
nelle comme sur les SGBD classiques (MySQL, PgSQL, SQL Server, ...) mais de manière
hiérarchique. Si on souhaite faire une comparaison entre les services d’annuaire et les
SGBD classiques, on peut établir que :
— La consultation des données est plus rapide pour l’annuaire par rapport aux
SGBD classiques.
— La duplication des données est facilitée.
— Le stockage des données peut être réalisé dans un plus faible espace.
Les avantages des services d’annuaire sont leur rapidité pour accéder aux infor-
mations, les mécanismes de sécurité pouvant être mis en œuvre, la centralisation des
informations et les possibilités de redondance de l’information.
Les principaux serveurs d’annuaire sont :

31. 3.4 Les solutions existantes sur le marché 20
1. NIS : Network Information Service (NIS) nommé aussi Yellow Pages est un
protocole client-serveur développé par Sun permettant la centralisation d’infor-
mations sur un réseau UNIX.
2. NIS+ : c’est l’évolution de NIS. Plus sécurisée et mieux adaptée aux gros ré-
seaux, il est développé par Sun.
3. DNS : Domain Name System est un service permettant d’établir une corres-
pondance entre une adresse IP et un nom de domaine et, plus généralement, de
trouver une information à partir d’un nom de domaine.
4. LDAP : Lightweight Directory Access Protocol est à l’origine un protocole
permettant l’interrogation et la modification des services d’annuaire.
5. ACTIVE DIRECTORY : Active Directory est la mise en œuvre par Microsoft
des services d’annuaire pour les systèmes d’exploitation Windows.
L’objectif principal d’Active Directory est de fournir des services centralisés
d’identification et d’authentification à un réseau d’ordinateurs utilisant le sys-
tème Windows.
3.4.8 Les protocole d’authentification
Les mécanismes d’authentification décrits dans cette partie ont tout d’abord été des
protocoles de couche de la liaison de données. Ils sont également utilisés dans la couche
réseau grâce aux évolutions de PPP : PPPoA (over ATM) et PPPoE (over Ethernet)
qui sont principalement utilisés pour ouvrir des connexions ADSL. Ces mécanismes sont
les briques de nombreux serveurs et applications d’authentification comme Radius.
3.4.8.1 AAA
AAA correspond à un protocole qui réalise trois fonctions : l’authentification, l’au-
torisation et la traçabilité (en Anglais Authentication, Autorisation, Accounting). Il
correspond a un modèle de sécurité implémenté dans certains routeurs Cisco mais que
l’on peut également utiliser sur toute machine qui peut servir de NAS (Network Authen-
tification System). Ils requièrent une identification d’une personne ou d’un équipement
avant d’accorder des droits d’accès [3].
3.4.8.2 PAP
Password Authentication Protocol est un protocole d’authentification pour PPP.
Les données sont transmises en texte clair sur le réseau ce qui le rend par conséquent
non sécurisé. L’avantage de PAP est qu’il est extrêmement simple à implémenter, lui
permettant d’être utilisé dans des systèmes embarqués très légers. Sur des systèmes de
taille raisonnable on préférera sans doute le protocole CHAP [3].
3.4.8.3 CHAP
Challenge Handshake Authentication Protocol est un protocole d’authentification
pour PPP à base de challenge, Ce qui le rend bien plus sûr que son pendant PAP.
L’objectif de CHAP est que le pair s’authentifie auprès d’un authentificateur sans

32. 3.4 Les solutions existantes sur le marché 21
échange de mot de passe en clair sur le réseau et sans que l’échange puisse être rejoué
par un tiers à l’écoute. La contrainte est que chaque partie partage un "secret" (mot
de passe) commun. Microsoft a développé la variante MS-CHAP qui supprime cette
contrainte [3].
3.4.8.4 MS-CHAP
MS-CHAP est la version Microsoft du protocole CHAP. Ce protocole existe en deux
versions : MS-CHAPv1 et MS-CHAPv2 [3].
3.4.8.5 EAP
Extensible Authentication Protocol est un mécanisme d’identification universel fré-
quemment utilisé dans les réseaux sans fil (ex : Wifi) et les liaisons point à point (PPP)
[3].
1. EAP-TTLS/PEAP : EAP-Tunneled Transport Layer Security. C’est égale-
ment un standard ouvert IETF. Il est supporté sur de nombreuses plates-formes,
et offre un très bon niveau de sécurité. Il utilise des certificats X-509 uniquement
sur le serveur d’identification. Le certificat est optionnel du côté client. Le défaut
de EAP-TTLS par rapport à PEAP est de ne pas être présent nativement sur
les systèmes Microsoft et Cisco. En revanche, il est légèrement plus sécurisé que
LEAP car il ne diffuse pas le nom de l’utilisateur en clair.
2. EAP-TLS : EAP-TLS est un Standard ouvert IETF. C’est le seul protocole
EAP qui doit obligatoirement être implanté sur un matériel pour pouvoir por-
ter le logo WPA ou WPA2. Il offre une bonne sécurité. En effet il utilise deux
certificats pour la création d’un tunnel sécurisé qui permettra ensuite l’identi-
fication : un côté serveur et un côté client.Cela signifie que même si le mot de
passe est découvert, il ne sera d’aucune utilité sans le certificat client. Bien que
le protocole EAP-TLS fournisse une excellente sécurité, l’obligation de disposer
d’un certificat client est peut-être son talon d’Achille. En effet, lorsque l’on dis-
pose d’un grand parc de machines, il peut s’avérer difficile et coûteux de gérer
un certificat par machine. C’est pour se passer du certificat client que les proto-
coles PEAP et EAP-TTLS ont été créés. TLS est considéré comme le successeur
du standard SSL. Il utilise une Infrastructure à clés publiques pour sécuriser les
communications d’identification entre les clients et le serveur radius.
3. EAP-MD5 : EAP-MD5 est un autre standard ouvert IETF, mais il offre un
niveau de sécurité faible. La fonction de hachage MD5 utilisée est vulnérable aux
attaques par dictionnaire, et elle ne supporte pas les clefs WEP dynamiques.
4. LEAP : Lightweight Extensible Authentication Protocol est une implémenta-
tion propriétaire du protocole EAP conçu par Cisco Systems. La société a fait
beaucoup d’efforts pour promouvoir ce protocole. Il a permis à d’autres fabri-
cants de réaliser des produits « LEAP Compatible » au travers du programme
CCE (Cisco Certified Extensions). Ce protocole n’est pas présent nativement
sous Windows. Il était connu pour être vulnérable aux attaques par dictionnaire
comme EAP-MD5. Cisco continue de soutenir que LEAP est une solution sé-
curisée si l’on utilise des mots de passe suffisamment complexes. Mais tout le

33. 3.5 Solution proposée 22
monde sait bien que dans la réalité les mots de passe complexes sont rarement
utilisés.
De nouveaux protocoles comme EAP-TTLS ou PEAP ne rencontrent pas ce
type de fragilité car ils créent un tunnel TLS pour sécuriser l’identification.De
plus ces nouveaux protocoles étant plus ouverts, ils peuvent être utilisés sur des
points d’accès de marque Cisco ou non.
3.5 Solution proposée
Le problème qu’on a détecté après une étude approfondie du réseau SUNGARD est
un problème au niveau d’accès physique au réseau filaire du SUNGARD. Pour résoudre
ce problème, on propose d’implémenter la technologie 802.1x afin d’authentifier l’accès
au réseau câblé.
802.1X est un standard lié à la sécurité des réseaux informatiques, mis au point
en 2001 par l’IEEE (famille de la norme IEEE 802). Son objectif est de réaliser une
authentification de l’accès au réseau au moment de la connexion physique à ce dernier,
et valider un droit d’accès physique aux réseaux. Le 802.1x apportent des avantages
considérables au niveau de l’administration du réseau, notamment par l’affectation
dynamique de VLAN en fonction de caractéristiques de cette authentification.
La figure 3.2 représente le déroulement des différents protocoles définis par la tech-
nologie 802.1x.
Figure 3.2: Solution proposée
Ce projet a pour finalité donc la réalisation d’un réseau filaire authentifié pour
satisfaire le besoins du SUNGARD au niveau de sécurité en utilisant la technologie
802.1x.

34. 3.6 Conduite du projet 23
3.6 Conduite du projet
3.6.1 Processus du projet
Un processus d’un projet définit une séquence d’étapes, en partie ordonnée, qui
concoure à l’obtention d’un nouveau système ou à l’évolution d’un système existant.
Ce processus a pour objectif de produire des solutions informatiques de qualité ré-
pondant aux besoins des utilisateurs dans des temps et des coûts prévisibles. De ce
fait, l’adéquation du projet au processus peut largement affecter le sort d’un projet
informatique.
3.6.2 Cycle de vie d’un projet
On appelle "cycle de vie du projet" l’enchaînement dans le temps des étapes et
des validations entre l’émergence du besoin et la livraison du produit. Le "cycle de
vie de l’ouvrage" correspond aux étapes et aux livrables nécessaires à la réalisation de
l’ouvrage (Figure 3.3).
Figure 3.3: Cycle de vie d’un projet
Le projet peut être découpé de façon basique de la manière suivante :
— Phase préparatoire : Cette phase permet de prendre conscience du projet, puis
d’étudier l’objet du projet pour s’assurer que sa mise en œuvre est pertinente et
qu’il entre dans la stratégie de l’entreprise. Cette phase, généralement qualifiée
d’avant-projet, doit se conclure par la mise au point de documents formalisant le
projet et indiquant les conditions organisationnelles de déroulement du projet.
— Phase de réalisation : Il s’agit de la phase opérationnelle de création de l’ouvrage.
Elle est menée par la maîtrise d’œuvre, en relation avec la maîtrise d’ouvrage.
Cette phase commence par la réception du cahier des charges et se clôture par
la livraison de l’ouvrage.
— Phase de fin de projet : il s’agit de la mise en production de l’ouvrage, c’est-à-
dire s’assurer que l’ouvrage est conforme aux attentes des utilisateurs et faire
en sorte que son "installation" et son utilisation se déroule correctement. Dans

35. 3.7 Spécification des besoins du projet 24
la mesure où la maîtrise d’œuvre connaît le produit qu’elle a mis au point, il lui
revient de l’installer.
3.6.3 Choix du modèle en V
Le modèle du cycle en V est un modèle conceptuel de gestion de projet imaginé
suite au problème de réactivité du modèle en cascade. Ce modèle est très connu et
son origine remonte à l’industrie ; il a été adapté à l’informatique dans les années 80.
La grande force du cycle en V, c’est qu’il définit assez précisément la manière dont
les choses devraient se passer. On peut y distinguer 3 grandes parties : La phase de
conception, la phase de réalisation (codage) et la phase de validation. Les phases de
conception et de validation se découpent en plusieurs parties. Chaque étape ne peut
être réalisée que suite à l’achèvement de l’étape précédente, ce qui diminue les prises
de risque sur le projet. Comme le montre la figure 3.4, chaque étape de conception
possède son alter ego de validation. Il devient alors assez aisé de valider un projet, car
le référentiel de test est connu très précisément.
Figure 3.4: Cycle de vie Modèle en V
3.7 Spécification des besoins du projet
Dans cette section, nous identifions une liste de besoins fonctionnelles et non fonc-
tionnelles du système à concevoir. Certains besoins sont ajoutées pour clarifier d’avan-
tage les besoins de SUNGARD.
3.7.1 L’utilisateur
Chaque utilisateur d’un poste du travail branché au réseau filaire du SUNGARD
comporte son propre fonctionnalité sur son groupe du VLAN. Seule l’équipe d’admi-
nistration des réseaux a le droit de gérer et consulter les fonctionnalités de toutes les
groupes.

36. 3.8 Spécification semi-fonctionnelle 25
3.7.2 Les besoins fonctionnels
Nous avons choisi d’intégrer dans notre projet les fonctionnalités les plus impor-
tantes qui sont les suivantes :
— L’utilisateur doit s’identifier suivant sa session d’ordinateur par son login/mot
de passe.
— L’utilisateur va se déplacer dans son groupe de Vlan.
— Utilisateur prend une adresse IP pour établir sa propre connexion.
3.7.3 Les besoins non fonctionnels
Il s’agit des besoins qui caractérisent le système. Ce sont des besoins en matière
de performance, de type de matériel ou de type de conception. Ces besoins peuvent
concerner les contraintes d’implémentation (les protocoles utilisés, les composants ré-
seaux, les serveurs, les annuaires, le système d’exploitation, etc.). Dans le cadre de ce
travail, le projet devra être extensible, c’est-à-dire ouvert à de nouvelles fonctionnalités.
En effet, le projet doit répondre aux besoins non fonctionnels suivants :
— Besoins de performance : Le projet doit être avant tout performant c’est à-
dire à travers ses fonctionnalités, il répond à toutes les exigences des utilisateurs
d’une manière optimale. L’authentification ne doit pas durer plus que quelques
secondes en conditions normales.
— Besoins de sécurité : Dans ce projet, l’implémentation de la norme 802.1x a
pour but de garantir l’authentification au niveau du réseau câblé. Ainsi le choix
de serveur avec son protocole est très intéressant pour atteindre une bonne
réalisation pratique sur le réseau filaire du SUNGARD.
— La convivialité et l’intégrité : L’authentification se fait d’une manière auto-
matique, donc il n’y aurait aucun problème pour l’utilisateur, il suffit de mettre
sa machine en marche et insérer son login et son mot de passe.
3.8 Spécification semi-fonctionnelle
3.8.1 Diagramme de cas d’utilisation global
La figure 3.5 présente une vue globale sur les différents besoins fonctionnels du
projet.Ce diagramme de cas d’utilisation globale représente que l’utilisateur demandé
une connexion mais avant le prendre il doit obligatoirement authentifier.

37. 3.8 Spécification semi-fonctionnelle 26
Figure 3.5: Cas d’utilisation global
3.8.1.1 Cas d’utilisation S’authentifier
La figure 3.6 présente le cas d’utilisation "S’authentifier". Le tableau 3.1 en présente
la description textuelle.
Figure 3.6: Cas d’utilisation "s’authentifier"
Table 3.1: Description textuelle pour le cas d’utilisation "s’authentifier"
Titre s’authentifier
But l’utilisateur tente d’accéder au service
Acteur(s) utilisateurs
scénario 1- l’utilisateur saisie un login et un mot de passe.
2- Vérification de la validité de login et mot de passe.
Pré-condition l’utilisateur doit avoir un login et un mot de passe valides
Post-condition Accès avec succès
Scénario alternatif Si l’identifiant ou le mot de passe sont erronés alors un mes-
sage d’avertissement sera affiché. On revient à l’étape 1 du
scénario ci-dessus.
3.8.1.2 Cas d’utilisation "Demande de connexion"
La figure 3.7 présente le cas d’utilisation "Demande de connexion". Le tableau 3.2
en présente la description textuelle.

38. 3.8 Spécification semi-fonctionnelle 27
Figure 3.7: Cas d’utilisation de demande de connexion
Table 3.2: Description textuelle pour la demande de connexion
Titre Demande de connexion.
But l’utilisateur demande une adresse IP.
Acteur(s) utilisateurs.
Scénario 1- l’utilisateur affecté dans un groupe de Vlan.
2- l’utilisateur prend une adresse IP automatiquement.
Pré-condition - login et mot de passe correcte.
- Bien affecter dans un groupe de vlan.
Post-condition utilisateur connecté et affecté à un Vlan.
3.8.2 Diagramme de séquence global
La figure 3.8.2 indique le diagramme de séquence global.

39. 3.9 Conclusion 28
Figure 3.8: Diagramme de séquence
Description :Tout d’abord, l’utilisateur se branche à un port réseau. Ensuite, le
système affiche une interface d’authentification. L’utilisateur saisie son login et mot
de passe, le système vérifie les informations saisies. Si les informations sont correctes,
l’utilisateur obtient une adresse IP et accède au réseau. Sinon, le système demande de
rentrer du nouveau le login et le mot de passe.
3.9 Conclusion
Ce chapitre a détaillé les spécifications et les besoins du projet. En effet, nous avons
identifié les cas d’utilisation et nous avons élaboré les différents besoins fonctionnels
et non fonctionnels ainsi que les différents cas d’utilisation et scénarios. Ceci est fait
en se basant sur une étude de l’existant pour détecter correctement les failles et les
lacunes présentes au sein du réseau de SUNGARD. Après cette étape de spécification,
la prochaine étape sera de concevoir le projet.

40. 4Réalisation du projet
4.1 Introduction
Ce chapitre a pour objectif de présenter le système d’authentification réalisé. Tout
d’abord, on va présenter l’environnement matériel et logiciel utilisé pour mettre en
place le projet. Ensuite, on va présenter le travail accompli tout au long de la période
du stage. Enfin, on va montrer les différentes difficultés de la réalisation du projet.
4.2 Environnement du travail
On présente dans cette section l’environnement matériel et logiciel utilisés pour le
travail demandée.
4.2.1 Environnement matériel
Le projet a été réalisé sur un ordinateur équipé d’un processeur Intel Core Duo, une
mémoire vive (RAM) de 2,00 Go et une capacité de stockage de 250 Go, L’ordinateur
est relié au réseau local de sungard (carte filaire correspond au branchement ethernet).
4.2.2 Environnement logiciel
Le long de la phase de réalisation, nous avons exploité l’environnement logiciel
suivant :
— système d’exploitation
L’ordinateur utilisé pour le développement fonctionne sur Microsoft Windows
7. Ce système d’exploitation permet le fonctionnement des différents environne-
ments et outils utilisés pour la réalisation de l’implémentation.
— Centos version 6.3
29

41. 4.2 Environnement du travail 30
Centos (Community enterprise Operating System) est une distribution GNU/Linux
principalement destinée aux serveurs. Tous ses paquets, à l’exception du logo,
sont des paquets compilés à partir des sources de la distribution RHEL (Red
Hat Enterprise Linux), éditée par la société Red Hat [6].
— Active Directory
L’annuaire utilisé pour gérer les utilisateurs est Active Directory pour Win-
dows server 2012. Active Directory (AD) est la mise en œuvre par microsoft
des services d’annuaire LDAP pour les systèmes d’exploitation Windows. L’ob-
jectif principal d’Active Directory est de fournir des services centralisés d’iden-
tification et d’authentification à un réseau d’ordinateurs utilisant le système
Windows. Il permet également l’attribution et l’application de stratégies, la
distribution de logiciels, et l’installation de mises à jour critiques par les admi-
nistrateurs. Active Directory répertorie les éléments d’un réseau administré tels
que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers
partagés, les imprimantes, etc. Un utilisateur peut ainsi facilement trouver des
ressources partagées, et les administrateurs peuvent contrôler leurs utilisations
grâce à des fonctionnalités de distribution, de duplication, de partitionnement
et de sécurisation des accès aux ressources répertoriées.
Le service d’annuaire Active Directory peut être mis en œuvre sur Windows
2000 Server, Windows Server 2003, Windows Server 2008, Windows Server 2012
et Samba4, il résulte de l’évolution de la base de compte plane SAM. Un serveur
informatique hébergeant l’annuaire Active Directory est appelé « contrôleur de
domaine ».
Active Directory stocke ses informations et paramètres dans une base de don-
nées centralisée. La taille d’une base Active Directory peut varier de quelques
centaines d’objets pour de petites installations à plusieurs millions d’objets pour
des configurations volumineuses [7].
— WinSCP
WinSCP est un client SFTP graphique pour Windows. Il utilise SSH et est open
source. Le protocole SCP est également supporté. Le but de ce programme est de
permettre la copie sécurisée de fichiers entre un ordinateur local et un ordinateur
distant.
Dans notre cas Winscp permet de faire des opérations sur le fichier, Winscp
peut réaliser toutes les opérations de base sur les fichiers, comme télécharger
et envoyer. Il permet aussi de renommer les fichiers et les dossiers, de créer de
nouveaux dossiers, de changer les propriétés des fichiers et des dossiers, et de
créer des liens symboliques et des raccourcis.
— PuTTY
PuTTY est un émulateur de terminal doublé d’un client pour les protocoles
SSH, Telnet et TCP brut. Il permet également d’établir des connexions directes
par liaison série RS-232. À l’origine disponible uniquement pour Windows, il est
à présent porté sur diverses plates-formes Unix.
Dans notre projet on a utilisé le putty comme un client SSH pour accéder à
distance à notre serveur utilisé.

42. 4.3 Mise en palace et intégration de différentes étapes pour réaliser
l’authentification 31
4.3 Mise en palace et intégration de différentes étapes
pour réaliser l’authentification
Dans cette section nous allons présenter les étapes de la réalisation de ce projet
ainsi que les différentes techniques utilisées pour réaliser l’authentification 802.1x.
Les paramétrages à effectuer concernent le client final, le client radius et le serveur
radius sur lequel on trouve déjà un annuaire Active Directory sont présentés dans le
tableau 4.1.
Table 4.1: Paramétrages des différentes entités.
Configurer le client final en 802.1x :
- Service Configuration automatique de réseau câblé.
- Onglet "Authentification" des propriétés de la carte réseau.
Paramétrer le commutateur client :
- Création des VLAN
- Paramétrage général 802.1x
- déclaration du serveur
- Paramétrage des ports contrôlés 802.1x avec gestion des ac-
cès refusés (placement en VLAN "guest")
- Paramétrage des ports utiles non contrôlés.
- Création des profils
- Mise en place des règles de sécurités sur les profils
- Liens externes (AD)
- Correspondance (groupe/vlan)
- Ceation des users
- Attribution des groupes
L’ordinateur sur lequel un utilisateur cherche à se connecter au réseau est appelé
le "supplicant". Il est le "client final" de la demande de connexion. Ce peut-être avec
toute forme de terminal portable ou d’ordinateur fixe. Dans la suite, nous garderons
l’expression française "client final" à la place de "supplicant". L’équipement de réseau
sur lequel le client final se connecte (un commutateur - compatible 802.1x) relaye, en
tant que client RADIUS, cette demande de connexion à un serveur d’authentification,

43. 4.3 Mise en palace et intégration de différentes étapes pour réaliser
l’authentification 32
le serveur RADIUS, qui va, par exemple, identifier la personne en rapprochant le nom
de connexion et le mot de passe de ceux stockés dans un annuaire LDAP.
Si l’identification réussit, l’accord est transmis au client RADIUS qui "ouvrira"
alors le port de connexion.
4.3.1 Schéma général d’implémentation
Le schéma de la figure 4.1 présente l’architecture de réalisation adoptée. L’accès au
réseau est accordé uniquement au poste de travail si les informations d’identification
ont été authentifiées par le serveur FreeRADIUS. Sinon, le port du commutateur sera en
baisse pour tout le trafic réseau. Le serveur RADIUS est autorisé à communiquer avec
le contrôleur de domaine pour l’authentification de l’utilisateur. Bien que le port du
commutateur soit hors-service, la station de travail peut communiquer avec le serveur
RADIUS par l’intermédiaire d’un protocole d’authentification. Le serveur RADIUS est
en mesure de vérifier sur le contrôleur de domaine si l’utilisateur existe et si son mot
de passe est correct. Si tel est le cas, le serveur RADIUS indique au commutateur pour
ouvrir l’orifice et l’utilisateur d’accéder au réseau.
Figure 4.1: Architecture de la plateforme proposée
Comme présenté dans la figure 4.1, le déroulement d’une authentification 802.1x
met en jeu les quatre acteurs suivants :
— Système à authentifier (poste client).
— Système authentificateur (routeurs).
— Serveur d’authentification (FreeRadius).
— Domaine de contrôle (Active Directory).

44. 4.3 Mise en palace et intégration de différentes étapes pour réaliser
l’authentification 33
4.3.1.1 Système à authentifier ou poste client
Le système à authentifier est en général un poste de travail, éventuellement un
serveur. Le point d’accès au réseau varie donc selon ce dernier. Le point d’accès physique
est une prise Rj45.
Dans cette étape, le client 802.1x est un ordinateur sous Windows 7 qui désire
accéder aux ressources internes à l’entreprise, notamment l’accès à internet, avec l’au-
thentification basée sur le port. La première étape consiste à joindre le client au domaine
Active Directory, pour cela il faut changer sa configuration pour que son serveur DNS
soit bien le contrôleur de domaine.
Pour l’étape de l’ajout au domaine de l’ordinateur, il est indispensable que la ré-
solution du nom de domaine parte sur le DNS du contrôleur de ce même domaine. Si
ce n’est pas le cas, le client ne pourra pas rejoindre le domaine, mais dans un contexte
d’entreprise, il est fort possible que la configuration automatique attribuée par le ser-
veur DHCP fasse l’affaire sans problème.
L’opération suivante peut également se faire avant de joindre le client au domaine.
Dans Active Directory Users and Groups, il faut placer un nouvel objet ordinateur
avec le nom correspondant à l’ordinateur client dans le groupe des clients. Celui-ci sera
alors automatiquement lié à cet objet lorsqu’il rejoint le domaine. Si cette opération
n’a pas été faite, il faut déplacer le nouvel objet qui devrait être apparu dans le groupe
correspondant. Une fois fait, l’ordinateur client peut être redémarré.
La dernière opération est l’activation manuelle de client 802.1x sur la machine.
Cette opération sera détaillée dans la section 4.3.2.
4.3.1.2 Système authentificateur
Il s’agit d’un équipement réseau muni d’un PAE (Port Access Entity) qui permettra
au supplicant d’accéder ou non aux ressources réseau.
Dans un réseau local (LAN), l’utilisation d’un commutateur à la place d’un concen-
trateur permet de réduire le nombre de messages que reçoivent les machines. En effet,
les commutateurs disposent d’une table forwarding qui permet de savoir sur quel
port physique il faut envoyer les données. Néanmoins, il reste certains problèmes.
Dans un grand réseau commuté, le trafic multicast et broadcast peuvent être élevés
ce qui pénalise les performances du réseau. Les commutateurs gèrent les domaines
de diffusion de façon géographique. Ceci rend difficile le fait de déplacer une station
d’un commutateur vers un autre. On observe aussi que les machines connectées sur un
même port physique d’un commutateur peuvent recevoir du trafic qui ne leur est pas
nécessairement destiné. On peut également relever la vitesse de convergence du STP
(Spanning Tree Protocol) qui s’avère peu élevée en cas de coupure d’un lien entre deux
commutateurs.
Les VLANs peuvent apporter des solutions à ces problèmes. En effet, les VLANs
permettent de créer des domaines de diffusion logiques, ce qui facilite le déplacement
d’une station ainsi que la gestion du réseau. De plus, toutes les trames destinées à un
VLAN particulier ne pourront pas être écoutées par des machines ne faisant pas partie
du même VLAN. Il existe des solutions pour gérer plusieurs VLANs par le protocole
STP. Il y a trois méthodes principales de gestion de VLAN :

45. 4.3 Mise en palace et intégration de différentes étapes pour réaliser
l’authentification 34
— Par port, un VLAN est attribué pour chaque port physique du Switch.
— Par adresse MAC, un VLAN est attribué pour une liste d’adresses MAC.
— Par adresse IP, un VLAN est attribué pour un sous-réseau.
Dans un réseau Ethernet, pour savoir à quel VLAN une trame appartient, la norme
"802.1Q" propose de "tagger" l’entête Ethernet. Les trames "taggées" circulent uni-
quement entre les commutateurs, ce qui rend transparent l’utilisation de VLAN pour
les clients.
Dans cette étape nous allons configurer et activer le protocole 802.1x sur le routeur
cisco. Cette étape est nécessaire car un routeur est un élément intermédiaire dans un
réseau informatique assurant le routage de paquet. Son rôle est de faire transiter des
paquets d’une interface réseau vers une autre, au mieux, selon un ensemble de règles.
La configuration détaillée du commutateur est présentée dans la section 4.3.2.
4.3.1.3 Serveur d’authentification
Le serveur d’authentification vérifie sur la demande du commutateur si le client
peut ou non accéder aux ressources réseaux.
Le serveur d’authentification (Freeradius par exemple) va authentifier chaque client
qui se connecte au réseau sur un port géré. Ce port connaît deux modes fonctionnels :
contrôlé est non contrôlé. Avant authentification du demandeur, seul le mode non
contrôlé permet des échanges d’information spécifique. Ces flux spécifiques sont appelés
flux EAPOL pour (EAP Over Lan). Une fois la phase d’authentification achevée, le
port contrôlé et basculé et les flux autorisés peuvent être émis à destination du réseau
en lui attribuant un VLAN (Voir l’annexe B).
Si un client ne supportant pas 802.1x se connecte sur un port attendant une authen-
tification 802.1x, l’équipement réseau va demander au client de s’identifier. Le client
ne sachant pas répondre à la requête, le port reste bloqué dans l’état non contrôlé et
le client ne peut pas accéder au réseau.
Freeradius est un serveur libre permettant de s’authentifier. Le protocole Radius
permet de se connecter via un échange de paquets UDP, généralement sur le port
1812. Radius intègre également un module d’accounting, permettant par exemple la
facturation. Radius gère également le 802.1x avec l’authentification via tunnel EAP
(PEAP/TTLS/TLS).
Freeradius s’appuie sur un système de modules qui sont activés et désactivés lors
de phases d’autorisation et d’authentification. Le service peut gérer différents serveurs
virtuels afin de pouvoir gérer plusieurs types d’authentification conflictuelle, des tunnels
internes ou encore des requêtes de proxy radius(en cas de chaînage de différents serveurs
radius).
La phase d’autorisation définit les modules qui vont intervenir pour autoriser l’uti-
lisation à utiliser la connexion. La phase d’authentification va s’appuyer sur différents
modules pour authentifier l’utilisateur, via son mot de passe ou son adresse MAC par
exemple.
FreeRADIUS offre une authentification via le contrôle d’accès basé sur les ports.
Un utilisateur ne peut se connecter au réseau que si ses pouvoirs ont été validés par le
serveur d’authentification. Les identifiants de l’utilisateur sont vérifiés en utilisant des
protocoles d’authentification spéciales qui appartiennent à la norme 802.1X.

46. 4.3 Mise en palace et intégration de différentes étapes pour réaliser
l’authentification 35
4.3.1.4 Domaine de contrôle (Active Directory)
Le service annuaire Active Directory peut être mis en œuvre sur Windows Ser-
ver 2012. L’objectif principal d’Active Directory est de fournir de service centralisés
d’identification et d’authentification à un réseau d’ordinateurs.
Active Directory répertorie les éléments d’un réseau administré tel que les comptes
des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes,
etc. Un utilisateur peut ainsi facilement trouver des ressources partagées, et les adminis-
trateurs peuvent contrôler leurs utilisations grâce à des fonctionnalités de distribution,
de duplication, de partitionnement et de sécurisation des accès aux ressources réperto-
riées.
L’AD est utilisé pour vérifier l’existence de l’utilisateur et a quel groupe de VLAN
appartient. Les détails de configurations sur les différentes entités sont présentés dans
la section 4.3.2.
4.3.2 Détails de configuration
Dans cette section nous allons détailler les différentes étapes de configuration et
d’implémentation des différentes entités présentées dans la section précédente.
4.3.2.1 Configuration du serveur d’authentification
Afin de configurer le serveur Linux pour se joindre à un domaine Windows. Ceci est
fait en utilisant le serveur de fichiers Samba qui propose plusieurs outils intéressants
le but n’est pas de créer un serveur samba, mais seulement d’utiliser des outils qui
viennent avec ce serveur.
Politique d’authentification
Une fois le serveur installé, la configuration du serveur doit être faite. Les fichiers
de configuration sont tous placés dans le répertoire /etc/freeradius. Toute la procédure
d’authentification avec les fichiers de configuration nécessaires à Freeradius est visible
dans la Figure 4.2.

47. 4.3 Mise en palace et intégration de différentes étapes pour réaliser
l’authentification 36
Figure 4.2: Politique d’authentification
— Le premier fichier lu est radius.conf. Ce fichier conditionne le chargement de
tous les autres fichiers.
— Le deuxième fichier de FreeRadius est le fichier clients.conf. Il contient la liste
de toutes les adresses IP des éléments réseaux ou NAS (Network Authentication
Service) clients, ainsi que leur type et le mot de passe partagé.
— Une fois que le NAS s’est authentifié, la procédure d’authentification de l’utili-
sateur est déclenchée par FreeRadius. La configuration de cette partie est faite
dans le fichier users. Ce fichier détermine quels paramètres doivent être véri-
fiés pour valider ou refuser une authentification. Un annuaire LDAP/AD est en
place pour vérifier l’identification de l’utilisateur, etc. Une fois cette authenti-
fication est effectuée, il est possible de passer les paramètres renvoyés vers le
NAS, ce qui permet, par exemple, de mettre le port du commutateur dans un
VLAN particulier, d’afficher un message à l’utilisateur, etc. Il est à noter que
la syntaxe de ce fichier est très sensible : il faut que la procédure de test soit
écrite sur une seule ligne, sinon FreeRadius ne la comprend pas. Il est par contre
possible d’écrire les actions à réaliser sur plusieurs lignes.
— Si l’utilisateur n’appartient pas au domaine local, il faut envoyer la requête d’au-
thentification au serveur Radius national : c’est le mode proxy. Cette configura-
tion est faite dans le fichier proxy.conf. Ce fichier contient la liste des domaines
que l’on considère comme locaux et qui seront traités par le serveur Radius lo-
cal, et le domaine DEFAULT qui couvre tous les autres noms de domaine. Par
mesure de sécurité, tous les attributs Radius reçus dans le cas d’une utilisation
en mode proxy sont supprimés, sauf ceux qui sont absolument nécessaires. Cette
méthode est définie dans le fichier attrs.
— Le serveur Radius doit se connecter à l’annuaire AD central du SUNGARD
qui vérifie les identifiants de l’utilisateur, et qui indique le VLAN dans lequel
celui-ci doit être placé. Pour cela, il faut configurer le fichier radiusd.conf pour
activer le support de LDAPS (communication cryptée entre le serveur Radius
et l’annuaire AD), et la requête nécessaire pour trouver l’utilisateur. De cette
manière, le mot de passe de l’utilisateur ne transite pas en clair entre le serveur
Radius et le serveur AD.

48. 4.3 Mise en palace et intégration de différentes étapes pour réaliser
l’authentification 37
Configuration de fichier du service de Freeradius
Linux doit être configuré pour se joindre à un domaine Windows. Ceci est fait en
utilisant le serveur de fichiers Samba qui propose plusieurs outils intéressants. Le but
n’est pas de créer un serveur de fichiers Samba, mais seulement d’utiliser des outils qui
viennent avec ce serveur. Un serveur Samba contient entre autres les éléments suivants :
— Winbind, un démon qui permet la connectivité à l’environnement Windows-NT.
— ntlm-auth, un outil qui utilise winbind pour évaluer NTLM (NT Lan Manager)
demandes. Cet outil permet de vérifier les informations d’identification de l’uti-
lisateur sur le contrôleur de domaine et renvoie soit un succès ou un message
d’erreur.
Une fois Samba est installé sur Linux, on peut mettre en place l’authentification
Freeradius, on va configurer certains fichiers pour que le serveur puisse communiquer
avec l’AD et utiliser le protocole d’authentification souhaité.
Cette section montre les étapes nécessaires à l’utilisation de Freeradius pour au-
thentifier les utilisateurs sur un Active Directory (windows server 2012).
Information générales
Au long de réalisation ces informations et nécessaire pour la configuration, Il faut
modifier ces différents paramètres :
— Domaine DNS :Nom de domaine de sungard.
— Nom de serveur AD :Nom AD du sungard.
— Adresse du DNS :****.****.****.****.
Une parfaite résolution DNS est essentielle à tout système en particulier quand il y
a un annuaire Active Directory. On peut modifier donc les paramètres DNS de Centos
pour utiliser le DNS de l’AD. Les figures 4.3 et 4.4 présentent respectivement comment
configurer le DNS puis le modifier dans le fichier resolv.conf.
Figure 4.3: Configuration DNS
Figure 4.4: Modifier le DNS au fichier resolv.conf
De même, une synchronisation horaire précise est essentielle. On peut modifier donc
la configuration NTP(Network Time Protocol)pour utiliser le serveur AD comme source
de temps. La figure 4.5 montre comment configurer NTP.

49. 4.3 Mise en palace et intégration de différentes étapes pour réaliser
l’authentification 38
NTP :Protocole d’heure réseaux Est un protocole qui permet de synchroniser,
via un réseau informatique, l’horloge locale d’ordinateurs sur une référence d’heure
Figure 4.5: Configuration NTP
Ensuite, on redémarre le serveur pour bien prendre en compte les modifications
déjà faites.
Intégration du serveur dans l’Active Directory
Active Directory(AD) est la mise en œuvre par microsoft des services d’annuaire
LDAP pour les systèmes d’exploitation Windows. AD fournit des services centralisés
d’identification et d’authentification à un réseau d’ordinateurs Windows et de contrô-
leur de domaines.
Il bien connu que les systèmes microsoft et unix ont une façon différente de gérer
leur base d’utilisateurs. une difficulté est alors rencontrés lorsque l’on veut intégrer un
serveur Samba dans un réseau de machine NT(New Technologie).En théorie il faudrait
créer sur le serveur samba les comptes systèmes correspondant aux comptes du domaine
mais aussi les comptes Samba.
Installation de paquets
Installation des différents paquets (samba,winibind,kerberos) pour l’intégration du ser-
veur dans l’active directroy 4.6.
Figure 4.6: Installation de paquets
Configuration des différents paquets installée :