Implémentation d'un portail captif avec pfsense

UNIVERSITÉ D’ANTANANARIVO
DOMAINE SCIENCES ET
MENTION PHYSIQUE ET APPLICATION
Mémoire de fin d’étude en vue de l’obtention du diplôme de
MASTER EN PHYSIQUE ET APPLICATION
Parcours : Ingénierie en Systèmes Electronique et
RANDRIANTSAMIVOLA Sandaniaina Alain
Devant
Président : Mme RANDRIAMANANTANY Zely Arivelo
Rapporteur : M. RAKOTOARIMANANA Liva Graffin
Examinateurs : M. RANAIVO
M. RASAMIMANANA
Centre d’Information et de Documentation Scientifique et Technique
IMPLEMENTATION D’UNE SOLUTION TECHNIQUE
PERMETTANT DE PARTAGER DE FACON SECURISEE
L’ACCES INTERNET (PORTAIL CAPTIF) VIA PFSENSE
DOMAINE SCIENCES ET TECHNOLOGIES
: Ingénierie en Systèmes Electronique et Informatique
Présenté par
Devant la commission de jury composés de
Mme RANDRIAMANANTANY Zely Arivelo Professeur Titulaire
M. RAKOTOARIMANANA Liva Graffin Maître de Conférences
M. RANAIVO-NOMENJANAHARY Flavien Professeur Titulaire
M. RASAMIMANANA François de Salle Maître de Conférences
Le 31 Août 2016
TECHNOLOGIES
MASTER EN PHYSIQUE ET APPLICATIONS
Informatique
:
Professeur Titulaire
Maître de Conférences
NOMENJANAHARY Flavien Professeur Titulaire
Maître de Conférences

Mémoire de fin
Parcours : Ingénierie en Systèmes Electronique et Informatique
Devant la commission de jury composés de
Président : Mme RANDRIAMANANTANY Zely Arivelo Professeur Titulaire
Rapporteur : M. RAKOTOARIMANANA Liva Graffin Maître de Conférences
Examinateurs : M. RANAIVO
Centre d’Information et de
L’ACCES INTERN
Présenté par
Devant la commission de jury composés de :
RAKOTOARIMANANA Liva Graffin Maître de Conférences
M. RANAIVO-NOMENJANAHARY Flavien Professeur Titulaire
d’étude en vue de l’obtention du diplôme de
RAKOTOARIMANANA Liva Graffin Maître de Conférences
NOMENJANAHARY Flavien Professeur Titulaire
Documentation Scientifique et Technique
CAPTIF) VIA PFSENSE

i
REMERCIEMENTS
C’est avec le plus grand honneur que nous avons réservé cette page en signe de
gratitude et de reconnaissance à tous ceux qui nous ont aidés de prés ou de loin à la réalisation
de ce rapport du mémoire.
Notre sincère gratitude s’adresse également à Mr RAHERIMANDIMBY Marson
Doyen de la Facultés des Sciences, d’avoir accepté mon inscription au sein de son
établissement
Je tiens à remercier aussi à Mr RAKOTONDRAMANANA HeryTiana Chef de
département de Physiquede nous avoir permis de présenter ma mémoire au sein de son
département.
Un grand remerciement aussi à notre Unité d’enseignement, la formation MISEI,
sous la responsabilité de Madame RAZANAMANAMPISOA Harimalala et tous nos
enseignants du MISEI qui ont assuré notre formation pendant ces cinq années d’études.
De même nous tenons à remercier les membres de jury pour l’honneur qui nous ont
fait en acceptant de juger notre travail, tout d’abord je remercie le Président de jury Mme
RANDRIAMANANTANY ZelyArivelo Professeur Titulaire d’avoir présider ma mémoire.
Je remercie aussi à notre Rapporteur de mémoire M. RAKOTOARIMANANA
LivaGraffin Maître de Conférences de son point de vue professionnel très riche, et ses
conseils en matière d’organisation et l’élaboration de ce mémoire.
Un grand merci aussi aux Examinateurs M. RANAIVO-NOMENJANAHARY
Flavien Professeur Titulaire et M. RASAMIMANANA François de Salle Maître de
Conférences d’avoir assisté et analyser ma mémoire.
Nos remerciements s’adressent à Mme RAKOTOARIVELO Arjoque Marie Laure, le
directeur du Centre d’Information et de Documentation Scientifique et Technique (CIDST)
qui nous a accueillies dans son établissement.
Nos remerciements vont aussi à nos encadreurs Mr ANDRIANASOLO Mexin
Responsable informatique et Mr HERINIAINA Doris Administrateur réseau du CIDST pour
notre encadrement tout au long de ce stage et par leurs conseils et leurs aides précieux, nous a
guidés pendant notre projet.

ii
TABLE DES MATIERES
REMERCIEMENTS ................................................................................................................................ i
TABLE DES MATIERES........................................................................................................................ii
LISTE DES ABREVIATIONS................................................................................................................v
LISTE DES FIGURES...........................................................................................................................vii
LISTE DES TABLEAUX.......................................................................................................................ix
LISTE DES ANNEXES...........................................................................................................................x
INTRODUCTION................................................................................................................................... 1
CHAPITRE 1 : ........................................................................................................................................ 3
PRESENTATION DE CIDST ET DU PROJET..................................................................................... 3
1-1 Structure d'accueil et contexte....................................................................................................... 4
1-2 Présentation du thème ................................................................................................................... 6
1.2.1 Problématique......................................................................................................................... 6
1-2-2 Résultat attendus.................................................................................................................... 7
1.3Définitions liées à la sécurité.......................................................................................................... 7
1.3.1 Sécurité informatique ............................................................................................................. 8
1.3.2 Identification .......................................................................................................................... 9
1.3.3Authentification....................................................................................................................... 9
1.3.4 Autorisation............................................................................................................................ 9
1.3.5 Accounting ............................................................................................................................. 9
1.3.6 Cryptage ............................................................................................................................... 10
1.4Les différents types d’attaques sur le réseau informatique........................................................... 10
1.4.1Attaques des réseaux classiques............................................................................................ 11
1.4.2 Attaques des réseaux sans fil................................................................................................ 12
CHAPITRE 2:........................................................................................................................................... 14
ETUDE THEORIQUE DES RESEAUX SANS FILS ........................................................................................ 14
2.1 Etude de l’interface radio ............................................................................................................ 15
2.1.1 Support de transmission (les ondes radio)............................................................................ 15
2.1.2 Les bandes de fréquences utilisées dans la norme IEEE 802.11 .......................................... 15
2.1.3 Les canaux............................................................................................................................ 16
2.1.4 Technique de transmission ................................................................................................... 17
2.2 Communication entre équipements............................................................................................. 21
2.3 Communication entre équipements en mode infrastructure........................................................ 24
2.3.1 Communication entre une station et un point d’accès.......................................................... 24
2.3.2 Communication entre deux stations à travers un point d’accès............................................ 25

iii
2.3.3 Le Handover......................................................................................................................... 25
2.4 Le modèle en couche IEEE ......................................................................................................... 26
2.4.1 La couche liaison de données............................................................................................... 26
2.4.2 La couche physique.............................................................................................................. 26
2.4.3 Format de la trame MAC...................................................................................................... 27
2.4.4 Le champ de Durée / ID ....................................................................................................... 30
2.5 Les techniques d’accès................................................................................................................ 33
2.5.1 DCF (Distribution Coordination Function).......................................................................... 33
2.5.2 PCF (Point Coordination Function)..................................................................................... 36
2.6 Problèmes spécifiques aux réseaux sans fils de type IEEE 802.11............................................. 36
2.6.1 Support de transmission ....................................................................................................... 36
2.6.2 La sécurité de réseau sans fil................................................................................................ 36
2.6.3 Qualité de service ................................................................................................................. 38
2.6.4 Mobilité des utilisateurs ....................................................................................................... 39
2.6.5 Les Applications du Wi-Fi ................................................................................................... 39
CHAPITRE 3 : ...................................................................................................................................... 40
PARTAGER D’ACCES INTERNET SECURISE (PORTAIL CAPTIF) VIA PFSENSE................... 40
3-1 FreeBSD...................................................................................................................................... 41
3.1.1 Principales différences entre un système BSD et un système Linux :.................................. 41
3.1.2 Fonctions supporté par Pfsense ............................................................................................ 42
3.2 Portail Captif ............................................................................................................................... 44
3.3 Fonctionnement général .............................................................................................................. 44
3.4 Etude technique de PFsense ........................................................................................................ 45
3.5 Définition de Pfsense................................................................................................................... 46
3.6 Les fonctionnalités et services de PFsense.................................................................................. 46
3.7 Versions dePFsense..................................................................................................................... 47
3.8 Installation de sécurité internet.................................................................................................... 48
3.8.1 Matériel et architecture réseau requis................................................................................... 48
3.8.2Installation de PFsense .......................................................................................................... 49
3.9Configuration de PFsense............................................................................................................. 51
3.9.1 Configuration générale......................................................................................................... 51
3.9.2 Configuration des interfaces................................................................................................. 54
CHAPITRE 4: ....................................................................................................................................... 58
MISEEN ŒUVRE DE TECHNIQUE D’IMPLEMENTATION DE PFSENSE................................. 58
4.1 Organigramme et mise en œuvre pratique de l’authentification ................................................. 59
4.2Paramètres généraux..................................................................................................................... 61

iv
4.3Authentification et gestion des utilisateurs................................................................................... 66
4.3.1Authentification par RADIUS............................................................................................... 66
4.3.2 Gestion de comptes utilisateurs............................................................................................ 67
4.4Sécurité du portail captif .............................................................................................................. 69
4.5.Contrôle de la bande passante ..................................................................................................... 72
4.5.1 Introduction à la QoS............................................................................................................ 72
4.5.2 Contrôle de bande passante avec NTOP............................................................................... 72
CONCLUSION ..................................................................................................................................... 76
ANNEXE1 Généralités sur le WiFi ......................................................................................................... I
ANNEXE2 L'authentification RADIUS à partir d'une base de données MySQL................................. III
ANNEXE 3 Code HTML/PHP du page d’authentification....................................................................VI
REFERENCES BIBLIOGRAPHIQUES..........................................................................................VIII
REFERENCES WEBOGRAPHIQUES...........................................................................................VIII

v
LISTE DES ABREVIATIONS
AAA: Authorization, Authorization and Accounting/Auditing
AP : Access Point
CARP : Common Address Redundancy Protocol
CPU: Central Processing Unit
CIDST: Centre d’Information et de DocumentationScientifique et Technique
DMZ : Demilitarized Zone
DHCP : Dynamic Host Configuration Protocol
DNS : Domain Name Service
DSSS: Direct Séquence Spread Spectrum
FAI : Fournisseurd'accès à Internet
FHSS: Frequency Hopping Spread Spectrum
FTP : Foiled Twisted Pair
HTTP : HyperText Transfer Protocol
HTTPS : HyperText Transfer Protocol Security
HTML : HyperText Markup Language
IP : Internet Protocol
LAN: Local Area Network
MAC : Medium Access Control
NFS : Network File System
NTP : Network Time Protocol
NAT: Network Address Translation
NA3 : Network Access Server
OFDM: Orthogonal Frequency-Division Multiplexing
PPTP : Point-to-Point Tunneling Protocol
PHP : Hypertext Preprocessor
PSK: Pre-Shared Key
RADIUS: Remote Authentification Dual-In User Service
RAM : Random Access Memory
SSL : Secure Sockets layers
SSH : Secure Shell
STP : Shielded Twisted Pair

vi
TCP : Transfer Control Protocol
UDP : User Datagram Protocol
UTP : Unshielded Twisted Pair
VPN : Virtual Private Network
WIFI : Wireless Fidelity
WAN : Wide Area Network

vii
LISTE DES FIGURES
Figure 1 : Organigramme et la structure du CIDST ................................................................................ 6
Figure 2 : Répartition des Bandes ISM en France et en Europe............................................................ 15
Figure 3 : Répartition de la bande U-NII............................................................................................... 16
Figure 4 : Recouvrement des canaux dans la bande ISM...................................................................... 17
Figure 5 : Etalement de spectre à saut de fréquence FHSS................................................................... 18
Figure 6 : Etalement de spectre à séquence directe (DSSS).................................................................. 19
Figure 7 : La modulation OFDM .......................................................................................................... 21
Figure 8 : Mode ad hoc.......................................................................................................................... 21
Figure 9 : mode infrastructure............................................................................................................... 22
Figure 10 : Topologie à cellules disjointes............................................................................................ 23
Figure 11 : Topologie à cellules partiellement recouvertes................................................................... 23
Figure 12 : Topologie à cellules recouvertes......................................................................................... 24
Figure 13 : Modèle IEEE....................................................................................................................... 26
Figure 14 : Format de la trame MAC.................................................................................................... 27
Figure 15 : Champ de contrôle.............................................................................................................. 27
Figure 16 : Format de la trame.............................................................................................................. 30
Figure 17 : Trame WiFi......................................................................................................................... 31
Figure 18 : Préambule ........................................................................................................................... 31
Figure 19 : En-tête PLCP-FHSS............................................................................................................ 32
Figure 20 : En-tête PLCP ...................................................................................................................... 32
Figure 21 : Procédé de transmission dans le CSMA/CA....................................................................... 34
Figure 22 : Mécanisme du CSMA/CA.................................................................................................. 35
Figure 23 : Différents cas d’attaque ...................................................................................................... 37
Figure 24 : BSD et Linux ...................................................................................................................... 41
Figure 25 : topologie CIDST................................................................................................................. 43
Figure 26 : Fonctionnement portail captif............................................................................................. 45
Figure 27 : Architecture du réseau sans sécurisation ............................................................................ 48
Figure 28 : Architecture de sécurisation internet .................................................................................. 49
Figure 29 : Ecran démarrage PFsense ................................................................................................... 50
Figure 30 : Boite de dialogue pour la configuration de VLAN............................................................. 50
Figure 31 : Portail de connexion à PFsense........................................................................................... 52
Figure 32 : Paramètres généraux de PFsense ........................................................................................ 52
Figure 33 : Configuration générale........................................................................................................ 53
Figure 34 : Configuration de l'interface WAN...................................................................................... 54
Figure 35 : Configuration de l'interface LAN ....................................................................................... 55
Figure 36 : Configuration du serveur DHCP......................................................................................... 56
Figure 37 : Règles sur l'interface WAN.................................................................................................. 57
Figure 38 : authentification basée portail captif et accès Internet sur le réseau de cidstWIFI .............. 59
Figure 39 :Activation du portail captif................................................................................................... 62
Figure 40 : Paramètre de la page de redirection.................................................................................... 63
Figure 41 : Limitation de la bande passante.......................................................................................... 63
Figure 42 : Importation de code HTML................................................................................................ 64
Figure 43 : Importation d'image ............................................................................................................ 64
Figure 44 : Fenêtre d’authentification du portail................................................................................... 65
Figure 45 : Fenêtre d’authentification en cas d'erreur.......................................................................... 65
Figure 46 : Gestion de comptes avec FreeRadius ................................................................................. 67

viii
Figure 47 : Gestion de compte en local................................................................................................. 68
Figure 48 : Activation de HTTPS pour l'accès au webguid .................................................................. 69
Figure 49 : Choix du type de certificat.................................................................................................. 70
Figure 50 : Paramètres du certificat....................................................................................................... 70
Figure 51 : Certificat téléchargé............................................................................................................ 71
Figure 52 : Importation du certificat et de sa clé privée........................................................................ 71
Figure 53 : Installation du paquet Ntop................................................................................................. 73
Figure 54 : Configuration de mot de passe Ntop................................................................................... 73
Figure 55 : Statistiques globales............................................................................................................ 74
Figure 56 : Rapport du trafic sur l'interface d'écoute ............................................................................ 74
Figure 57 : Vue des protocoles.............................................................................................................. 75

ix
LISTE DES TABLEAUX
Tableau 1: Allocation des bandes de fréquences ISM selon les pays ................................................... 16
Tableau 2: Test de trames..................................................................................................................... 28
Tableau 3: Trames de gestion ............................................................................................................... 28
Tableau 4: Trames de contrôle.............................................................................................................. 29
Tableau 5: Trames de données ............................................................................................................. 29
Tableau 6: Signification des adresses dans la trame des données ....................................................... 30
Tableau 7: Types d'attaques et solution préconisés ............................................................................. 37
Tableau 8: Version logiciel PFsense....................................................................................................... 47

x
LISTE DES ANNEXES
ANNEXE 1
ANNEXE 2
ANNEXE 3

1
INTRODUCTION
L'évolution de l'informatique durant les Quarante dernières années est allée croissante:
les transistors ont remplacé les lampes, les circuits imprimés ont réduit les câblages, les
réseaux ont modifié les approches centralisées et Internet est devenu un continent virtuel
incontournable. Cet engouement à l'utilisation des TIC impose une augmentation de l'offre
des services Internet. En effet, bon nombre de cette population disposent aujourd'hui d'un
appareil mobile (ordinateur portable, tablette, Smartphone, ...) et souhaitent pouvoir accéder à
Internet dans la majorité des lieux qu'ils fréquentent. Dans cette optique, l'expansion très
rapide des points d'accès sans-fil permet la connexion des appareils nomades.
Chaque réseau possède sa politique d'accès et ne souhaite pas laisser n'importe qui
accéder aux ressources réseaux et plus particulièrement les ressources Internet qui sont très
limitées.
Ainsi, il est nécessaire de mettre en place des systèmes d'authentification sur ces
réseaux qui doivent cumuler de multiples avantages. Ces avantages sont entre autres : une
compatibilité avec la majorité des appareils mobiles du marché, une sécurité des échanges
entre les clients –serveurs et le reste du réseau, une plus grande transparence offerte à
l'utilisateur aussi bien lors de la phase d'authentification que lors de l'utilisation du réseau, une
réduction de l'impact au niveau des ressources matérielles et de la bande passante, etc. Face à
ces enjeux, le portail captif s'est imposé comme une solution fréquemment utilisée dans les
points d'accès payants ou non. Il peut se généraliser à tous les modes d'accès (sans-fil ou
filaire) nécessitant un contrôle d'accès.
Le Centre d’Information et de Documentation Scientifique et Technique (CIDST
)dispose d'un réseau informatique dont la gestion se complique avec la diversité et le nombre
croissant des utilisateurs d'où la nécessité de mettre en place un portail captif sur le serveur
Free BSD de CIDST.
Ce manuscrite divise en quatre chapitres. Le premier chapitre présent la présentation
du projet,le structure d’accueil et contexte dans lequel s'inscrit le stage ainsi que le thème
d'étude, on va établir les différents types de sécurités ainsi que les différents types d’attaques.
Le deuxième chapitre est consacré à l’étude théorique des réseaux sans fils pout mieux
comprendre les interfaces radio, les communications entre équipements en

2
modeinfrastructure et lemodèle en couche IEEE. Les techniques d’accès et les problèmes
spécifiques aux réseaux sans fils seront discutés. La solution technique permettant de partagé
de façons sécurisél’accès internet fait l'objet du troisième chapitre ce qui permettra de
choisir la solution à implanter et le dernier chapitre donne les détails sur la mise en œuvre de
technique d’implémentation de PFsense
.

3
CHAPITRE 1 :
PRESENTATION DE CIDST ET DU PROJET

4
Le projet de portail d'accès captif est de créer une passerelle entre un réseau interne (LAN) et le
réseau Internet (WAN). La finalité est de pouvoir déployer la solution dans toutes les structures du
CIDST (Centre d’Information de Documentation Scientifique et Technique). Le portail sera doté de
fonctionnalités d'authentification qui permettent d'identifier les usagers du service à des fins de
traçabilité. Le dernier aspect important réside dans l'utilisation optimale de la bande passante, la
sécurisation des connexions et la centralisation des données d'authentification.
1-1 Structure d'accueil et contexte
Le Centre d'Information et de Documentation Scientifique et Technique, créé par décret n° 87-
145 du 5 Mai 1987, modifié par décret n° 92-661 du 8 juillet 1992, le CIDST est placé sous la double
tutelle du Ministère de l’Education Nationale et de la Recherche Scientifique et du Ministère des
Finances et du Budget.
Le CIDST dont le siège est à Tsimbazaza Antananarivo possède des représentations régionales.
Les antennes ont été mises en place pour satisfaire les besoins en informations des décideurs, des
chercheurs, des opérateurs économiques, des enseignants et des acteurs de développement au niveau
des régions.
Les antennes du CIDST : Fianarantsoa, Mahajanga, Toamasina et Toliara. Dont ces objectifs sont :
 Répondre aux besoins en information scientifique et technique des chercheurs, des opérateurs
économiques et des enseignants ;
 Gérer les informations sur les résultats de recherche des travaux scientifique et techniques
effectués à Madagascar ;
 Coopérer avec les centres de documentation et de bases de données étrangères ainsi qu’avec
les organisations internationales en matière d’information et de documentation scientifique et
technique.
Cependant la mission du CIDST consiste à :
 Contribuer à l’élaboration et la mise en œuvre de la politique nationale de recherche sur
l’information, la communication et la diffusion des connaissances ;
 Appuyer les acteurs du développement par une meilleure circulation de l’information en
général et la diffusion de l’information scientifique et technique relative aux résultats de la
recherche nationale et internationale
 Assurer une expertise scientifique en matière d’authentification et de sécurisation de
l’information

5
 Assurer des cycles de formation pour une meilleure gestion de l’information et pour le
renforcement de capacité des professionnels. Pour matérialiser les objectifs qu’il s’est fixé les
activités principales sont :
o Information Scientifique et Technique : offrir un libre accès à l’information et à la
documentation scientifique et technique
o Formation concernant la technique et gestion documentaires, informatique et internet
o Edition, impression, diffusion : appuyé les acteurs de développements par une
meilleure circulation de l’information scientifique et technique issue de la recherche
nationale et internationale.
o Formation en sciences de l’information (recherche d’informations, informatique
documentaire).
o Conseil en organisation de système d’information (étude de mise en place,
réorganisation, information)
L’organigramme et la structure du CIDST se présente comme suit :
o Le conseil d’Administration
o Le conseil Scientifique d’Orientation
o La direction
o Les services et Départements Techniques
o Quatre Antennes régionales
o Une cellule Technologique de l’Information
Depuis 2012, le CIDST héberge et gère le CATI (Centre d’Appui à la Technologie de l’innovation).

6
Figure 1 : Organigramme et la structure du CIDST
1-2 Présentation du thème
Notre travail de mémoire est axé sur l’Implémentation d’une solution technique permettant de
partager de façon sécurisée l'accès Internet (Portail captif) via PFSENSE.
1.2.1 Problématique
Le réseau du CIDST, comme n'importe quel autre réseau n'est pas sans faille en termes de
sécurité. En effet, bien que moderne, l'accès au réseau sans fil du CIDST se fait par authentification
par adresse MAC, et celui au filaire par la détention d'un compte valide (identifiant/mot de passe) sur
les poste fixes. Cela reste insuffisant quand on sait qu'il existe de nos jours des logiciels qui arrivent à
contourner l'authentification par adresse MAC. L'authentification par adresse MAC a aussi cette
particularité de ne pas permettre une gestion efficace des utilisateurs car, hormis l'autorisation d'accès
au réseau, on ne saurait qui est réellement connecté. En outre, l'authentification par le filaire autorise la
connexion des machines externes à la structure; c'est-à-dire qu'un utilisateur qui venait brancher sa
machine personnelle à partir d'un câble du réseau, pouvait se connecter sans qu'il ne lui soit demandé

7
de s'authentifier. Ce qui n'est pas sans risque car un utilisateur mal intentionné pourrait contourner
facilement l'authentification d'où une remise en cause de la politique d'accès. Ainsi l'évolution du
nombre croissant d'utilisateurs Wi-Fi et le contrôle d'accès de tous les utilisateurs font apparaître
l'impératif de mise en place d'un système d'authentification transparent et simple d'utilisation. En outre
le centre à 2 salles d’informatique pouvant accueillir 20 personnes, une salle de formation pouvant
accueillir 30 personnes et une salle de réunion pouvant accueillir jusqu’à 60 personnes nomades et
généralement de passage. Voilà autant de problèmes auxquels nous avons apporté une solution grâce à
cette étude de portail captif.
1-2-2 Résultat attendus
L'objectif principal de ce projet est d'implanter une solution technique permettant d'authentifier les
utilisateurs et de partager de façon sécurisée l'accès Internet, d'où le déploiement d'une solution de
portail captif. D'après le cahier de charge qui nous a été soumis, l'achèvement de ce projet doit
permettre aussi au centre de rendre effectif ce qui suit:
 Les utilisateurs doivent se connecter au réseau LAN et Wifi.
 Le portail captif doit attribuer les adresses IPV4 aux clients.
 Pour se connecter, les clients n'ont besoin que d'un navigateur Web d'un Login et d'un Mot
de passe.
 Aucune configuration ne doit être faite chez le client.
 Toutes les requêtes des clients doivent être automatiquement redirigées sur la page
d'authentification.
 L'authentification des clients et des administrateurs doit se faire de façon sécurisée.
 Le point d'accès doit être totalement transparent pour le client. Les clients ne pourront
qu'accéder au Web.
 L'accès au Web et par ricochet au portail captif doit indépendant de la plateforme.
 De même, l'adressage du réseau du Centre d’information ne devra pas être modifié afin de ne
pas pénaliser les utilisateurs du réseau pendant le déploiement.
1.3Définitions liées à la sécurité
Les systèmes d’information prennent de plus en plus une place stratégique au sein des
entreprises. Ainsi la notion du risque lié à ces derniers devient une source d’inquiétude et une donnée

8
importante à prendre en compte, ceci en partant de la phase de conception d’un système d’information
jusqu’à son implémentation et le suivi de son fonctionnement.
Les pratiques associées à la sécurité des systèmes d’information constituent un point à
l’importance croissante dans l’écosystème informatique qui devient ouvert et accessible par
utilisateurs, partenaires et fournisseurs de services de l’entreprise. Il devient essentiel pour les
entreprises de connaître leurs ressources en matière de système d’information et de définir les
périmètres sensibles à protéger afin de garantir une exploitation maîtrisée et raisonnée de ces
ressources.
Par ailleurs, les nouvelles tendances de nomadisme et de l’informatique permettent, non
seulement, aux utilisateurs d’avoir accès aux ressources mais aussi de transporter une partie du
système d’information en dehors de l’infrastructure sécurisée de l’entreprise. D’où la nécessité de
mettre en place des démarches et des mesures pour évaluer les risques et définir les objectifs de
sécurité à atteindre.
1.3.1 Sécurité informatique
La menace informatique représente le type d’actions susceptibles de nuire dans l’absolu à un
système informatique. En termes de sécurité informatique les menaces peuvent être le résultat de
diverses actions en provenance de plusieurs origines :
 Origine opérationnel: Ces menaces sont liées à un état du système à un moment donné. Elles
peuvent être le résultat d’un bogue logiciel (Buffer Overflows, format string …etc.), d’une
erreur de filtrage des entrées utilisateur (typiquement les XSS et SQL injection), d’un
dysfonctionnement de la logique de traitement ou d’une erreur de configuration
 Origine physique: Elles peuvent être d’origine accidentelle, naturelle ou criminelle. On peut
citer notamment les désastres naturels, les pannes ou casses matérielles, le feu ou les coupures
électriques.
 Origine humaine: Ces menaces sont associées directement aux erreurs humaines, que ce soit
au niveau de la conception d’un système d’information ou au niveau de la manière dont on
l’utilise. Ainsi elles peuvent être le résultat d’une erreur de conception ou de configuration
comme d’un manque de sensibilisation des utilisateurs face au risque lié à l’usage d’un
système informatique.
Ainsi, devant cette panoplie de menaces, la sécurité informatique vise à définir un schéma
directeur pour faire face à ces menaces et garantir un fonctionnement sain et efficace des systèmes
d’information.

9
La sécurité informatique est un processus perpétuel visant à améliorer le niveau de sécurité en
instaurant une politique de sécurité au sein des organismes et en palliant à certaines faiblesses à la fois
organisationnelles et technologiques.
1.3.2 Identification
L'identité est un ensemble d'éléments qui permettent de reconnaître un individu (ex: Rakoto),
une entité ou bien une marque. Toutefois, une identité peut être copiée et les contrefaçons existent.
L'identifiant est un élément normalisé associé à cette identité : Une adresse MAC est également un
numéro unique désignant une seule interface réseau. Il est malheureusement facile de copier ou forger
un identifiant : la sécurité ne peut pas être assurée par un identifiant seul.
1.3.3Authentification
Pour s'assurer qu'un identifiant soit bien présenté par l'identité (l'utilisateur) qu'il représente, il
faut authentifier ce dernier. L'authentification est le procédé permettant à un individu ou une entité de
prouver son identité : la photo sur une carte nationale d'identité, une empreinte digitale, vocale ou
rétinienne pour des systèmes perfectionnés ou encore un mot de passe ou une carte à puce pour les
méthodes les plus courantes. L'authentification repose sur la notion d'un secret partagé ou d'éléments
infalsifiables.
1.3.4 Autorisation
Pour utiliser les ressources d'un environnement sécurisé, il est nécessaire d'avoir une ou
plusieurs autorisations. L'autorisation correspond généralement à une fonction dans cet
environnement. En informatique, les droits fournis à un utilisateur authentifié sont liés à son rôle et
éventuellement au moyen employé pour se connecter. De plus, les accès aux ressources impliquent des
droits attribués de manière individuelle d'une part, et par l'appartenance à des groupes, d'autre part.
1.3.5 Accounting
L'accounting est un terme anglais qui se traduit littéralement par "comptabilité" mais la
signification du terme est plutôt "traçabilité". L'accounting permet de suivre le fonctionnement d'un
réseau en fournissant des statistiques sur la charge globale, le nombre d'utilisateurs actifs, les accès
rejetés, etc. En terme de sécurité, l'accounting est fondamental : en effet, l'ASSI et l'entreprise étant
responsables des fautes commises à partir de leur réseau, il leur est nécessaire de pouvoir déterminer
avec précision qui l'utilise et à quel moment.

10
1.3.6 Cryptage
La cryptologie est la science des écritures secrètes et des messages chiffrés. Elle comprend la
cryptographie et la cryptanalyse. La loi Malgache définit les Moyens de cryptologie : Tout matériel ou
logiciel conçu ou modifié pour transformer des données, qu'il s'agit d'informations ou de signaux, à
l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète,
ayant principalement pour objet de garantir la sécurité du stockage ou de la transmission de données,
en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.
La liste suivant redonne la définition exacte de ces mots et entre parenthèses, leur équivalent anglais :
 Cryptographie (cryptography) : du grec kruptos, caché, et graphein, écrire. Science du
chiffrement.
 Cryptanalyse (Cryptanalysis) : Art de déchiffrer les messages codés (sans obtenir par voie
officielle les mécanismes ou les codes utilisés).
 Chiffrement (encryption) : Ensemble de méthodes permettant de rendre un message
incompréhensible.
Les anglicismes suivants sont parfois employés :
 cryptage et crypter (à la place de chiffrer). Les anglais emploient aussi le terme encipher et
decipher pour déchiffrer.
 Stéganographie (Steganography) : La stéganographie consiste à cacher un message dans un
document anodin afin qu'il passe inaperçu. Actuellement, il est facile de cacher un fichier texte
dans une image jpeg par exemple.
 Cryptogramme (CipherText) : message codé résultant du chiffrement.
 Texte en clair (Plaintext) : message original.
 Challenge (challenge) : employé dans le sens de défi, il représente une épreuve qu'il faut
réussir pour obtenir un avis positif. Le chiffrement d'un ensemble de données de taille limitée
est un challenge.
1.4Les différents types d’attaques sur le réseau informatique
Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une
attaque. Une « attaque » est l'exploitation d'une faille d'un système informatique (système
d'exploitation, logiciel ou bien même de l'utilisateur) à des fins non connues par l'exploitant du
système et généralement préjudiciables.
Sur internet des attaques ont lieu en permanence, à raison de plusieurs attaques par minute sur
chaque machine connectée. Ces attaques sont pour la plupart lancées automatiquement à partir de
machines infectées (par des virus, chevaux de Troie, vers, etc.), à l'insu de leur propriétaire. Plus
rarement il s'agit de l'action de pirates informatiques. Afin de contrer ces attaques il est indispensable
de connaître les principaux types d'attaques afin de mettre en œuvre des dispositions préventives.

11
1.4.1Attaques des réseaux classiques
En informatique, il existe de nombreuses attaques possibles : certaines sont basées sur des
bugs ou failles des logiciels, d'autres sur l'accès à certaines ressources insuffisamment protégées ou
encore sur l'ignorance ou la curiosité des utilisateurs.
1.4.1.1 Attaques externes
Les attaques externes sont les attaques menées depuis l'Internet. Tout réseau connecté à
Internet est soumis à de nombreuses attaques qui ont plusieurs objectifs :
 Obtenir des informations sur les serveurs du réseau : la connaissance du système d'exploitation
permet d'en connaître les failles officielles et peut-être trouver un serveur qui n'a pas été mis à
jour. L'attaque la moins discrète est le balayage de port car elle est facilement repérable. Elle
est intéressante pour le pirate car des services comme le transfert de fichier (FTP), le terminal
distant (Telnet), le service de messagerie (SMTP,POP...) renvoient généralement une chaîne
de caractères indiquant le nom et la version de l'application gérant ces ports.
 Obtenir un compte sur une machine connectée au réseau : en utilisant une faiblesse du système
d'exploitation, un pirate peut se connecter sur une machine et agir par rebond. L'attaque menée
vers un réseau sera détectée comme provenant d'une machine corrompue mais ce ne sera pas
celle du pirate.
 Obtenir un plantage d'un serveur : l'arrêt brutal d'un serveur ne permet pas d'obtenir
d'informations sur l'attaquant, par contre, l'indisponibilité de ce serveur peut entraîner des
pertes importantes pour l'entreprise : informations, transactions, ordres, etc.,
 Intercepter et modifier des communications : en bloquant un serveur, le pirate peut introduire
à sa place un serveur qui aura presque la même fonction. Toutefois, ce nouveau serveur peut
également modifier les messages qui transitent par lui et en changer le contenu. L'intérêt est
que le destinataire reçoit d'une machine qu'il croit connaître, un message modifié tandis que le
pirate dispose de l'information originale. Ce type d'attaque est appelé "man in the middle"
(MITM) ou l'homme du milieu.
1.4.1.2 Attaques par ingénierie sociale
Les attaques par ingénierie sociale sont tournées vers les utilisateurs et administrateurs. Plutôt
que de tenter une attaque externe, le pirate va tenter d'obtenir l'information par un des employés de
la société. Pour cela, il peut se faire passer pour un commercial, un technicien de maintenance, un
administrateur du réseau. Il emploiera le téléphone, le courrier, le courrier électronique, voire même le
contact direct. Kevin Mitnick un hacker connu a écrit un livre (MITN04) sur ces techniques. Le
phishing est d'ailleurs devenu une technique très en vogue par courrier électronique en affichant un
message demandant de renouveler les mots de passe d'un compte chez un organisme connu. Le lien

12
affiché pointe en réalité vers une page web d'un serveur pirate imitant la mise en page du site officiel
et l'utilisateur confiant saisit les informations demandées en croyant être sur le site officiel. Même si le
message ne touche qu'une partie de la population, le pirate dispose alors d'une base de données
contenant les identifiants et mots de passe de nombreux utilisateurs du service officiel (généralement,
ce sont les banques qui sont le plus visées).
.4.1.3 Attaques par infection
Les attaques par infection concernent les virus, les vers, les spywares12 et les chevaux de
Troie. Ce sont des fichiers contenant du code exécutable (macro VBS pour les fichiers DOC ou XLS
par exemple) et qui, lorsque le fichier est ouvert, tente d'infecter le poste de l'utilisateur. Pour paraître
crédible, les virus utilisent généralement le carnet d'adresses de la machine, aussi il n'est pas
surprenant de trouver un message d'un ami franco-malgache qui écrit en anglais. Ce devrait être
suffisamment surprenant pour ne pas ouvrir la pièce jointe et pourtant de nombreuses personnes se
laissent attraper. Le fléau est tel que de nombreux administrateurs généralisent le déploiement de
l’antivirus sur leurs serveurs de courrier.
Les vers utilisent le réseau via les applications diverses comme les navigateurs, les
programmes peer-to-peer, les lecteurs multimédia, les messageries instantanées... ils n'ont pas besoin
d'une action de la part de l'utilisateur pour s'activer.
Un cheval de Troie (par référence au héros mythique Ulysse) est un programme malicieux
intégré dans un programme sain. Lorsque le programme sain est lancé, le cheval de Troie s'active et
écoute sur un port du système (dans une plage peu utilisée pour éviter un conflit) : il peut alors
accepter des commandes en provenance d'un pirate. Le plus célèbre est probablement "Back Orifice"
en référence à la suite "Back Office" de Microsoft. Actuellement, une nouvelle menace par cheval de
Troie voit le jour avec des programmes capables de valider un message d'alerte provenant d'un pare-
feu personnel. Les spywares sont des logiciels espions qui recueillent des informations sur le
comportement de l'utilisateur. Certaines données privées sont parfois placées dans des "cookies", de
petits fichiers utilisés par les sites web pour mémoriser des données. Une autre utilisation des
spywares est l'enregistrement des touches appuyées par l'utilisateur : le pirate est alors en mesure de
connaître les mots de passe tapés au clavier. Ces programmes sont aussi appelés "keylogger".
1.4.2 Attaques des réseaux sans fil
Les réseaux sans fil sont sensibles aux attaques précédentes comme les autres réseaux mais ils
ouvrent également la voie à de nouvelles attaques : parce que les ondes hertziennes ne sont pas
facilement contrôlables, la mauvaise implantation d'un point d'accès réseau sans fil revient à placer des
prises réseaux hors des locaux. Deux méthodes existent pour détecter des réseaux sans fil et permettre
leur écoute : le "wardriving" et le "war-shalking".

13
1.4.2.1 War-driving
Le war-driving est une technique simple qui consiste à circuler dans les rues et les lieux
publics à la recherche d'émetteurs. Un PC portable équipé avec une carte réseau sans fil écoute les
différentes fréquences et détecte les caractéristiques des informations reçues.
1.4.2.2 War-chalking
Le war-chalking est un extension du war-driving. Cette méthode consiste simplement à noter
près de l'émetteur (du moins dans sa zone d'émission) ses caractéristiques : est-ce un réseau ouvert,
fermé, protégé ?
Ceux qui n'en connaissent pas la signification ne voient qu'un graffiti alors que les hackers y voient
une occasion de se connecter au réseau. De plus, l'attribution d'adresses IP de manière dynamique
facilite la mise en œuvre d'un équipement sur ce réseau. Une fois détectés, les réseaux sans fil sont la
cible des attaques précédemment citées mais aussi des suivantes (liées aux techniques de déni de
service)
1.4.2.3 Brouillage
Les fréquences employées par les réseaux sans fil peuvent être brouillées afin
qu'aucunecommunication ne puisse passer. Bien que brutale, cette attaque utilisée de
manièreponctuelle et irrégulière perturbe un réseau sans permettre de trouver facilement l'origine.
1.4.2.4 Arp-poisoning
Ce type d'attaque consiste à répondre plus rapidement que les autres postes à la demande de
corrélation entre adresse IP et adresse MAC (arp-who-has) mais en fournissant une fausse adresse
MAC. Une méthode dérivée de cette attaque est de remplir les tables ARP deséquipements du réseau
pour les saturer. Le résultat rend possible l'usurpation d'une machine par une autre machine hors des
locaux de l'entreprise.

14
CHAPITRE 2:
ETUDE THEORIQUE DES RESEAUX SANS FILS

15
2.1 Etude de l’interface radio
2.1.1 Support de transmission (les ondes radio)
Les ondes radio, également appelées ondes hertziennes car elles furent découvertes par le
physicien allemand Heinrich Hertz en 1888, sont des ondes électromagnétique, c’est-à-dire des
oscillations combinées d’un champ magnétique et d’un champ électrique. Les ondes radio, les
infrarouges, la lumière visible, les ultraviolets, les rayons X ou encore les rayons gamma sont tous des
exemples d’onde électromagnétique. Ces ondes transportent de l’énergie sans avoir besoin d’un
quelque support matériel : autrement dit, elles peuvent se propager dans le vide. La théorie des ondes
électromagnétique est trop vaste et complexe pour le traiter ici en détail, voici donc les principaux
qu’il faut retenir :
 La portée du signal ;
 Le bruit d’interférences;
 Le débit ;
2.1.2 Les bandes de fréquences utilisées dans la norme IEEE 802.11
Les technologies utilisées pour les réseaux WPAN et les WLAN, fonctionnent sur deux bandes :
 La bande ISM (Industrial, Scientific and Medical) (de 2400 à 2500 Mhz).
 La bande U-NII (Unlicenced-National Information Infrastructure) (de 5150 à 5720 Mhz).
2.1.2.1 La bande ISM
La bande ISM correspond à trois sous bandes (902-928 Mhz, 2.400-2.4835 Ghz, 5.725-5.850
Ghz) seule la bande de 2.400-2.4835 Ghz, avec une bande passante de 83.5 Mhz, est utilisée par la
norme 802.11.
Figure 2 : Répartition des Bandes ISM en France et en Europe
Cette bande ISM est reconnue par les principaux organismes de la réglementation, tels que la
FCC aux Etats-Unis, l’ETSI en Europe, l’ART en France, l’ARTEC à Madagascar. La largeur de
bande libérée pour les RLAN varie cependant suivant les pays (voir tableau suivant). En plus une
utilisation sans licence.

16
Tableau 1: Allocation des bandes de fréquences ISM selon les pays
Pays Bande de fréquences
Etats-Unis (FCC) 2.400-2.485 Ghz
Europe (ETSI) 2.400-2.4835 Ghz
Japon (MKK) 2.471-2.497 Ghz
France (ART) 2.4465-2.4835 Ghz
Madagascar (ARTEC) 2.446-2.483 Ghz
2.1.2.2 La bande U-NII
La bande sans licence U-NII est située autour de 5Ghz. Elle offre une largeur de bande
de300Mhz (plus importante que celle de la bande ISM qui est égale à 83.5 Mhz). Cette bande n’estpas
continue mais elle est divisée en trois sous-bandes distinctes de 100 Mhz. Dans chaque sous bande la
puissance d’émission autorisée est différente. La première et la deuxième sous bande concernent des
transmissions en intérieur. La troisième sous-bande concerne des transmissions en extérieur. Comme
pour la bande ISM, la disponibilité de ces trois bandes dépend de la zone géographique. Les Etats-
Unis utilisent la totalité des sous-bandes, l’Europe n’utilise que les deux premières et le Japon la
première. Cette bande est reconnue par les mêmes principaux organismes de règlementation.
Figure 3 : Répartition de la bande U-NII
2.1.3 Les canaux
Comme nous l’avons vu, toutes les variantes du WiFi découpe la bande de fréquence sur
laquelle reposent (2.4 Ghz ou 5 Ghz) en canaux ils sont différents selon les variantes utilisées. Le
802.11 FHSS utilise la bande de 2.4 Ghz et la découpe en canaux de 1 Mhz numérotés à partir de 2400
Mhz. Les canaux utilisables changent en fonction de la législation du pays où se trouve, mais en deux
mots on a droit aux canaux 2 à 83 en Europe et aux canaux 2 à 80 aux Etats-Unis. Du coup, la plupart
de matériel se limite aux canaux 2 à 80. Le 802.11 FHSS n’étant presque plus utilisé nous ne
détaillerons pas davantage ses canaux. Pour toute les autres variantes du WiFi sur la bande de 2.4 Ghz

17
c’est-à-dire le 802.11 DSSS le 802.11b et le 802.11g. Quatorze canaux de 22 Mhz largeur sont définis
également numérotés à partir de 2400 Mhz. Leurs centres ne sont espacés que de 5 Mhz de sorte qu’ils
se superposent en partie. Ceci permet de choisir avec une certaine souplesse la bande de la fréquence
que l’on préfère utiliser, mais si l’on a deux réseaux au même endroit et qu’ils utilisent des canaux
voisins on aura beaucoup d’interférences. Pour éviter les interférences on recommande un espace de
cinq canaux au moins donc on ne peut pas utiliser que trois canaux simultanément au même endroit.
Figure 4 : Recouvrement des canaux dans la bande ISM
2.1.4 Technique de transmission
La couche physique définit plusieurs techniques de transmission permettant de limiter les
problèmes d’interférences :
2.1.4.1 Etalement de la bande spectrale
L’étalement de bande a pour but d’utiliser plus de bande que nécessaire par le bais d’un facteur
d’étalement. L’IEEE a initialement défini trois couches physiques initiales :
 Le FHSS : La modulation FHSS (Frequency HoppingSpread Spectrum) a été inventée et
brevetée en 1942 par l’actrice Hedy Lamar et le pianiste George Antheil, qui étaient assez
polyvalents. Le principe du FHSS est assez simple : une large bande de fréquence est divisée
en de multiples canaux et les communications se font en sautant (hopping) successivement
d’un canal à un autre, selon une séquence et un rythme convenus à l’avance entre l’émetteur et
le récepteur. Il est difficile d’intercepter les communications si l’on ne connaît pas la séquence
choisie, c’est pourquoi elle fut très appréciée par les militaires américains qui l’utilisèrent pour
radioguider les torpilles sans que l’ennemi puisse intercepter ou brouiller le signal. Dans le cas
du 802.11, cette fonction n’est (malheureusement) pas exploitée car les séquences de canaux
utilisées ne sont passe crêtes. Le FHSS offre également une résistance importante aux
interférences voire même aux brouillages volontaires car les canaux pour lesquels le bruit est
trop important peuvent êtres simplement évites. Toutefois, le 802.11 FHSS n’exploite pas
cette capacité, contrairement au Bluetooth et au Home RF qui sont deux technologies sans fil
utilisant la modulation FHSS. Un dernier avantage du FHSS est que plusieurs communications
peuvent avoir lieu en même temps sur la même bande de fréquences pourvu qu’elles utilisent

18
des séquences de canaux ne rentrant pas en collision les unes avec les autres. Par exemple, une
communication pourrait utiliser la séquence triviale : 1,2,3, 1,2,3, 1,2,3, tandis qu’une autre
communication aurait la séquence suivante 2,3,1,2,3,1,… de sorte qu’à aucun moment les
deux communications n’utilisent le même canal. Dans la première version du 802.11, la bande
de fréquence allant 2400 Mhz à 2483.5 Mhz a été découpée pour le FHSS en canaux de 1 Mhz
de largeur chacun. Dans la plupart des pays, les canaux 2 à 80 sont autorisés. Au sein de
chaque canal, la modulation gaussienne FSK (Frequency Shift Keying) à deux états 2GFSK
(2Gaussian FSK) est utilisée et permet un débit de 1 Mb/s. En utilisant la modulation 4GFSK
on peut atteindre un débit de 2 Mb/s. En utilisant la modulation GFSK (Gaussian FSK)
comme modulation sous- jacent, le FHSS permet d’éviter les interférences entre canaux
voisins, ce qui permet à plusieurs utilisateurs de communiquer en FHSS en même temps sans
gêner. Le standard 802.11a défini un mécanisme d’adaptation dynamique du débit en fonction
du rapport signal/bruit : lorsqu’il élever, la modulation utilisée est la 4GFSK à 2 Mb/s, sinon
le802.111 s’adapte automatiquement et descend au 2GFSK à 1 Mb/s.
Figure 5 : Etalement de spectre à saut de fréquence FHSS
 Le DSSS (chipping) La modulation DSSS (Direct Séquence Spread Spectrum) est également
une technique d’étalement de spectre, mais contrairement au FHSS, aucun saut de fréquence
n’a lieu : le DSSS provoque des transitions d’état très rapides (Chipping) qui tendent à étaler
le spectre du signal. Pour ce faire, l’émetteur envoie une séquence de plusieurs bits, appelés
des chips, pour chaque bit d’information à transmettre. Par exemple, en peut choisir d’envoyer
11101 au lieu de 0 et son inverse (00010) au lieu de 1 : dans le cas, si l’on veut transmettre
l’information 010, alors on émettra les chips suivant : 11101 00010 11101. Dans cet exemple ;
la séquence 11101 est ce qu’on appelle le (code d’étalement). Plus le code est long, plus le
débit artificiellement démultiplié, donc plus le spectre est étalé. Par exemple, si le débit

19
envoyé est égale à 1 Mb/s, mais avec DSSS sera bien sûr égal 11Mb/s si le code d’étalement
de 11 chips : du coup, la bande de fréquence occupée par le signal est égale au double du débit
de la source. Sans ce chipping, la bande occupée n’aurait qu’une largeur de 2 Mhz (deux fois
1 Mb/s).Le DSSS présente deux intérêts importants :
o Tout d’abord, comme nous l’avons dit, le spectre de fréquences du signal est étalé,
avec tous les avantages (et les inconvénients) que cela apporte, en particulier une
meilleur résistance au bruit ;
o Le fait que l’on émettre plusieurs chips pour chaque bit information signifie que l’on
peut avoir une redondance important, qui permet de corriger des erreurs de
transmission. En résulte que la modulation DSSS étale le spectre du signal par une
technique de chipping. Ceci permet avant tout de mieux résister au bruit. Pour
communiquer, l’émetteur et le récepteur doivent se mettre d’accord sur un canal fixe à
utiliser. Pour un débit de 1 Mb/s le 802.11 DSSS repose sur la modulation 2DPSK
(2Differential PSK) mais, pour un débit 2 mb/s utilisent simplement 4DPSK (4
Differential PSK). Dans les deux cas, le code d’étalement a une longueur de 11 bits et
il est toujours égal à 10110111000. Ce code fait partie d’une famille de codes aux
propriétés mathématiques similaires, définie en 1953 par le mathématicien Barker
Figure 6 : Etalement de spectre à séquence directe (DSSS)
Pour atteindre des débits de 5.5 Mb/s ou 11 Mb/s, le 802.11b amélioré encore ce procédé en
utilisant la modulation CCK (Complementary Code Keying) pour atteindre ce qu’on appelle le DSSS à
haut vitesse ou HR-DSSS (High-Rate-DSSS). Celle-ci repose toujours sur le même principe de base
d’étalement par chipping avec la modulation 4DPSK.Toutfois, au lieu d’utiliser toujours le même code
de BARKER pour étaler le signal, elle utilise jusqu’à 64 codes différent, ce qui permet de transporter 6
bits information (car 26=64) en plus deux bits autorisés par la modulation 4DPSK. Ces codes, de 8 bits
de longueur chacun, sont des codes complémentaires c’est-à-dire que leur propriétés mathématique
permettent aux récepteur de ne pas le confondre, même s’il y a quelques erreurs de transmission, voire

20
même un décalage dans le récepteur, puisqu’il y a nettement moins de redondance, on obtient un débit
plus importante, en tout cas tant que la réception est bonne (donc faible distance).
LeHR-DSSS est mieux adapté en intérieur et à courtes distance que le DSSS sur BARKER.
Malheureusement, alors que le FHSS peut sauter les canaux encombrés par du bruit ou des
interférences, le DSSS ne le peut pas. Comme pour le FHSS, le standard définit pour le DSSS un
mécanisme d’adaptation automatique du débit en fonction de la distance. Ainsi, à courte distance la
modulation sera le HR-DSSS à 11 Mb/s (8 bits information pour 8 chips émis). Plus, loin en passe
automatiquement à 5.5Mb/s (4 bits information pour 7 chips émis). Ensuite, on descend à 2Mb/s en
utilisent le DSSS/BARKER et 4DPSK, puis à 1 Mb/s en DSSS/BARKER et2DPSK.
2.1.4.2 Modulation OFDM
La modulation OFDM (Orthogonal Frequency Division Multiplexing), parfois appelée DMT
(Discrete Multitone Modulation), est sans doute la plus puissance des trois modulations du WiFi car
elle permet à la fois les débits les plus importants (54 Mb/s), la meilleur résistance au multipath, mais
aussi la plus grande capacité de partage du spectre. L’OFDM repose sur le principe de multiplexage :
permettre la transmission simultanée de plusieurs communications sur une même bande de fréquence.
Il existe le multiplexage par division des communications au cours du temps, qu’on appelle le TDM
(Time Division Mutliplexing) : chaque communication dispose de sa tranche de temps pour émettre des
données et peut utiliser l’ensemble du spectre. Le multiplexage peut également se faire en partageant
les différentes communications par fréquences : c’est FDM (Frequency Division Multiplexing).
Un spectre assez large est divisé en de multiple sous-porteuse (Sub-Carriers) et les données
sont émises simultanément sur chaque sous-porteuse. Malheureusement, il est alors possible d’avoir
des interférences entre les sous-porteuses, ce qu’on appelle ICI (Inter-Carrier-Interference). Pour
résoudre ce problème, l’OFDM utilise une fonction mathématique assez complexe pour rendre les
sous-porteuses (Orthogonales), c’est-à-dire pour qu’elles n’interfèrent pas les unes avec les autres.
Dans le cas du 802.11, il s’agit d’une transformation de Fourier inverse rapide IFFT (Inverse Fast
Fourier Transform). Grâce à cette fonction, les porteuses sont placées dans le spectre de fréquences de
telle sorte que les pics de puissance d’une porteuse donnée correspondent aux zéros des autres
porteuses. Les deux premières sous-bandes (Low et Middle) de la bande U-NII sont divisées en
8canaux de 80 Mhz. Chaque canal est ensuite divisé en 52 sous-canaux de 300 Khz, 48 pour la
transmission de données et 4 pour la correction d’erreur appelé FEC ( Forward Correction Error). Le
WiFi en utilise quatre comme (pilotes) qui servent à synchroniser les fréquences et à mesurer en
permanence les interférences et les décalages de phase, afin de s’y adapter au mieux.

21
Figure 7 : La modulation OFDM
2.2 Communication entre équipements
L’architecture d’un réseau Wi-Fi est basée sur un système cellulaire. Il existe deux principaux
modes de fonctionnement.
2.2.1 Mode ad hoc
En mode ad hoc, il n’y a aucune administration centralisée. Il n’existe pas de point d’accès.
Les stations terminales communiquent directement entre elles selon des liaisons point à point ou point
multi point. Ces stations forment une cellule appelée IBSS (Idependant Basic Service Set).
Figure 8 : Mode ad hoc

22
2.2.2 Le mode infrastructure
Dans ce mode, une station de base appelée Access Point (point d’accès) gère toutes les stations
terminales à portée radio. Il permet aux stations terminales de communiquer entre elles et avec des
stations d’un réseau filaire existant. L’ensemble constitué par le point d’accès et les stations sous son
contrôle forme un BSS (Basic Service Set/Ensemble de services de base) ; la zone ainsi couverte est
appelée BSA (Base Set Area).
Figure 9 : mode infrastructure
Le BSS est identifié par un BSSID qui est généralement l’adresse MAC du point d’accès. Une
ensemble de BSS forme un ESS (Extended Service Set). Les BSS (plus précisément leurs points
d’accès) sont interconnectés via un DS (distribution system/système de distribution). Le système de
distribution ou backbone est implémenté indépendamment de la partie sans fil, c’est généralement un
réseau Ethernet, mais il peut aussi être un réseau Token Ring, FDDI ou un autre réseau local sans fil.
Cette architecture permet aussi d’offrir aux usagers mobiles l’accès à d’autres ressources (serveurs de
fichier, imprimante, etc.) ou d’autres réseaux (Internet).L’ESS est identifié par un ESSID
communément appelé SSID est qui constitue le nom du réseau. Le SSID est un premier niveau de
sécurité, vu que la station doit connaître ce SSID pour pouvoir se connecter au réseau. Dans le mode

23
infrastructure, Il existe plusieurs topologies qui dépendent des caractéristiques de lazone à couvrir, du
nombre d’utilisateurs, des besoins de mobilité, du choix des canaux et du trafic.En fonction de ces
critères, on opte pour l’une des topologies suivantes:
 Topologie à cellules disjointes
Cette topologie, (illustrée à la figure suivant) se justifie en cas de faible nombre de canaux disponibles
ou si l’on souhaite éviter toute interférence. Il est toutefois difficile de discerner si les cellules sont
réellement disjointes, sauf lorsqu’elles sont relativement éloignées. Dans ce type d’architecture, la
mobilité n’est pas possible.
Figure 10 : Topologie à cellules disjointes
 Topologie à cellules partiellement recouvertes
Cette topologie, illustrée à la figure suivant est caractéristique des réseaux sans fil. Elle permet
d’offrir un service de mobilité continue aux utilisateurs du réseau, tout en exploitant au maximum
l’espace disponible. Cependant, elle exige en contrepartie une bonne affectation des canaux afin
d’éviter les interférences dans les zones de recouvrement. Cette topologie est à privilégier en cas de
déploiement d’une solution de téléphonie IP WiFi.
Figure 11 : Topologie à cellules partiellement recouvertes

24
 Topologie à cellules recouvertes
Dans cette topologie, illustrée à la figure ci après, une bonne configuration des canaux est également
nécessaire afin d’éviter les interférences. Elle permet, dans un espace restreint pratiquement à une
cellule, de fournir la connectivité sans fil à un nombre important d’utilisateurs. C’est pourquoi elle est
utilisée dans les salles de réunion ou lors des grandes conférences dans le but de fournir un accès sans
fil fiable à tous les participants.
Figure 12 : Topologie à cellules recouvertes
2.3 Communication entre équipements en mode infrastructure
Dans le mode infrastructure les stations se trouvant dans la même cellule sont fédérées autour
du point d’accès avec lequel ils rentrent en communication. Cette communication est basée sur un
système distribué pour l’accès au canal de communication. Le système d’accès multiple n’existe pas
en Wi-Fi, ce sont alors les techniques d’accès citées précédemment, qui permettent de résoudre le
problème de partage du canal de communication.
2.3.1 Communication entre une station et un point d’accès
Lors de l’entrée d’une station dans une cellule, celle-ci diffuse sur chaque canal une requête de
sondage (Probe Request), contenant l’ESSID pour lequel il est configuré, ainsi que les débits que son
adaptateur sans fil supporte. Si aucun ESSID n’est configuré, la station écoute le réseau à la recherche
d’un ESSID. En effet, chaque point d’accès diffuse régulièrement (0.1 seconde) une trame balise
contenant les informations sur son BSSID, ses caractéristiques et éventuellement son ESSID. L’ESSID
est automatiquement diffusé, mais il est possible (même recommandé) de désactiver cette option. A
chaque requête de sondage reçue, le point d’accès vérifie l’ESSID et la demande de débit présent dans
la trame balise. Si l’ESSID correspond à celui du point d’accès, ce dernier envoie une réponse
contenant des informations sur sa charge et des données de synchronisation. La station recevant la

25
réponse peut ainsi constater la qualité du signal émis par le point d’accès afin de juger de la distance à
laquelle elle se trouve. Le débit est d’autant meilleur que le point d’accès est proche.
2.3.2 Communication entre deux stations à travers un point d’accès
Pour entrer en communication avec une station destinatrice B, la station émettrice A doit
d’abord passé par le point d’accès pour son authentification et son association. Pour cela, la station A
envoie une trame de demande d’authentification au point d’accès qui lui répond avec une trame
réponse d’authentification. Après l’échange de trames d’authentification, la station A envoie au
point d’accès une trame de requête d’association, ce dernier envoie à son tour une trame de réponse
à la requête d’association permettant ainsi à la station A d’avoir accès à la station B. Avant de
transmettre ses données à la station B, la station A lui envoie d’abord un paquet d’appel sous forme
d’une trame RTS. Si cette trame est correctement reçue par la station B, alors cette dernière l’acquitte
avec une trame CTS. La station A vérifié si la trame CTS est reçue sans erreur, auquel cas elle peut
envoyer ses données. Au cas échéant la procédure sera reprise.
2.3.3 Le Handover
Les stations qui se déplacent d’une cellule à une autre doivent rester synchronisées pour maintenir
la communication. Le point d’accès envoie périodiquement des trames de gestion, plus précisément
des trames balises (Beacon frame) qui contiennent la valeur de son horloge, aux stations qui peuvent
ainsi se synchroniser. La station terminale choisit son point d’accès en fonction de la puissance du
signal du point d’accès, du taux d’erreurs par paquet et de la charge du réseau. La station demande à
accéder à une BSS dans deux Beacon Frame cas :
 Terminal qui était éteint et qui par la suite est mis sous tension
 Terminal en déplacement
L’adaptateur réseau est capable de changer de point d’accès selon la qualité des signaux reçus et
provenant des différents points d’accès. Les points d’accès peuvent aussi communiquer entre eux et
échanger des informations concernant les stations grâce au système de distribution(DS).Pour pouvoir
s’associer à un point d’accès, c'est-à-dire établir un canal de communication avec le point d’accès, la
station procède à une écoute de l’environnement :
 Ecoute passive: la station attend la réception d’une trame balise appelée venant du
point d’accès.
 Ecoute active: Une fois le point d’accès le plus approprié est détecté, la station lui envoie une
demande d’association via une trame appelée Probe Request Frame. La station peut envoyer
une requête d’association à un ou plusieurs points d’accès. Le point d’accès envoie une
réponse à la requête. Si c’est un échec, la station prolonge son écoute. En cas de succès, la
station accepte l’association. Le point d’accès signale la nouvelle association au DS, qui met à

26
jour sa base de données puis informe l’ancien point d’accès afin qu’il puisse libérer ses
ressources.
2.4 Le modèle en couche IEEE
La norme IEEE 802.11 repose sur une architecture en couche définie par le standard IEEE et
couvre les deux premières couches du modèle OSI, c’est à dire la couche physique et la couche liaison
de données:
Figure 13 : Modèle IEEE
2.4.1 La couche liaison de données
Elle est aussi composée de deux sous couches :
 La sous couche LLC cette couche de la norme IEEE 802.11 utilise les mêmes propriétés que
la sous couche LLC de la norme IEEE 802.3, ce qui correspond à un mode avec connexion et
avec acquittement des données.
 La sous couche MAC 802.11 intègre les mêmes fonctionnalités que la sous couche MAC
802.3, à savoir :
o La procédure d’allocation du support
o L’adressage des paquets
o Le formatage des trames
o Le contrôle d’erreurs CRC.
Dans la norme 802.11, la sous couche MAC réalise également la fragmentation et le
réassemblage des trames.
2.4.2 La couche physique
Elle assure la transmission des données sur le support, elle est constituée de deux sous
couches: PMD et PLCP
 La sous couche PMD spécifie le type de support de transmission, le type d’émetteur-
récepteur, le type de connecteur et la technique de modulation et de démodulation.

27
 La sous couche PLCP s’occupe de la détection du support et fournit un signal appelé CCA
(Clear Channel Assessment) à la sous couche MAC pour lui indiquer si le support est
occupé ou non. L’IEEE a défini quatre types de couches physiques différentes caractérisées
chacune par une technique démodulation précise. Il s’agit des techniques suivantes :
o FHSS
o DSSS
o OFDM
o Infrarouge
2.4.3 Format de la trame MAC
La trame MAC est la trame encapsulée au niveau de la sous couche MAC, son format est le suivant :
Figure 14 : Format de la trame MAC
 Le champ de contrôle de trame ce champ est composé des 4 adresses, d’un bit de donnée et
du CRC à 4 octets comme sur cette figure 15.
Figure 15 : Champ de contrôle

28
 Le champ version de protocole, il contient deux bits qui peuvent être utilisés pour reconnaître
des versions futures possibles du standard 802.11. Dans la version courante, la valeur est fixée
à 0.Le champ type indique le type de trame à transmettre sur le réseau. Il existe trois types de
trames : les trames de gestion, les trames de contrôle et les trames de données.
Tableau 2: Test de trames
Pour chaque type de trame (valeur du champ type), le champ sous type nous donne la fonction à
réaliser :
 Les trames de gestion sont utilisées lors des procédures d’association et de désassociassions
d’une station avec le point d’accès, de la synchronisation et de l’authentification.
Tableau 3: Trames de gestion
 Les trames de contrôle, pour cette trame il en existe plusieurs parmi lesquelles on peut citer :
o La trame RTS : paquet spécial d’appel envoyé par la station source avant le paquet de
données.
o La trame CTS : envoyée par la station destination après avoir reçu le paquet spécial
d’appel.
o La trame d’accusé de réception
o La trame PS-Poll
o La trame CF-End
o La trame CF-End + CF –ACK

29
Tableau 4: Trames de contrôle
 Les trames de données contiennent les données utilisateurs, notamment les adresses source,
destination et BSSID, ce qui permet aux points d’accès d’acheminer correctement les trames
vers leurs destinations.
Tableau 5: Trames de données
 To DS (pour le système de distribution) : Le bit est à 1 lorsque la trame est adressée au point
d’accès pour qu’il l’a fasse suivre au DS, sinon ce bit est à 0.
 From DS (Venant du système de distribution) : Ce bit est mis à 1 si la trame vient du DS, dans
le cas contraire il est à 0.
 More Frag (d’autres fragments) : Ce bit est mis à 1 quand il y a d’autres fragments qui suivent
le fragment en cours. Il est à 0 s’il ne reste plus de fragments à transmettre. Un ensemble de
fragments forme un paquet.
 Retry (Retransmission) : Ce champ renseigne si la trame est transmise pour la première fois ou
si elle est retransmise.
 PwrMgt (gestion d’énergie) : Ce champ indique l’état de la station après la transmission. Si le
bit est à 0, la station terminale est en mode normal. Si le bit est à 1, la station terminale est en
état d’économie d’énergie.
 More Data (d’autres données) : Le point d’accès utilise ce champ pour indiquer à une station
terminale en état d’économie d’énergie, s’il a ou non des trames en attente qui lui sont
destinées.
 WEP(sécurité) : Ce champ permet de déterminer si la station utilise le cryptage.
 Order (ordre) Ce champ permet de vérifier si l’ordre de réception des fragments est le bon.

30
2.4.4 Le champ de Durée / ID
Ce champ a deux sens qui dépendent du type de trame :
 Pour les trames de Polling en mode d’économie d’énergie, c’est l’ID de la station.
 Dans les autres trames c’est la valeur de durée utilisée pour le calcul du vecteur d’allocation
(NAV).
Figure 16 : Format de la trame
2.4.4.1 Les champs adresse 1, 2, 3 et 4 :
Ces champs correspondent à des adresses MAC de stations sources, de stations de destination
ou (Base services Set Identifier). Les adresses MAC de ces différents champs spécifient des types de
transmissions bien précis :
Tableau 6: Signification des adresses dans la trame des données
 L’adresse 1 est toujours l’adresse du récepteur. Si le bit To DS est à 1, c’est l’adresse du point
d’accès qui est généralement le BSSID. Par contre si le bit est à 0, il s’agit de l’adresse de la
station de destination (Transmission entre deux stations terminales d’un même IBSS).
 L’adresse 2 est toujours l’adresse de l’émetteur. Si le bit From DS est à un, c’est l’adresse du
point d’accès (BSSID). S’il est à 0, c’est l’adresse de la station terminale source(Transmission
entre deux stations terminales d’un même BSS).
 L’adresse 3 correspond à l’adresse de l’émetteur lorsque le bit From DS est à 1.Sinon et si le
bit To DS vaut 1, elle correspond à l’adresse de la station de destination (Transmission entre
point d’accès et une station terminale sous son contrôle).
 L’adresse 4 est spécialement utilisée dans le cas d’une communication entre 2 points d’accès
faisant intervenir le système de distribution (DS). Les bits To DS et From DS seront donc tous

31
les deux à 1 (Transmission entre deux stations terminales d’un même ESS mais n’appartenant
pas au même BSS).
2.4.4.2 Le contrôle de séquence
C’est un champ sur 12 bits utilisé pour attribuer à chaque trame un numéro de séquence entre
0 et4095. Le numéro de séquence est incrémenté de 1 à chaque fois qu’une trame est envoyée. Au
cours de la transmission d’une trame, quatre bits sont utilisés pour coder le numéro du fragment dans
l’ordre d’envoi des fragments.
2.4.4.3 Le CRC
Il s’étend sur 32 bits. Le CRC sert au contrôle d’erreur à partir d’un polynôme générateur
standard :
Figure 17 : Trame WiFi
 Le préambule est dépendant de la couche physique et contient deux champs : un champ
désynchronisation Synch et un champ SFD. Le champ Synch est utilisé par le circuit physique
pour sélectionner l’antenne à laquelle se raccorder. Quant au champ SFD, il est utilisé pour
délimiter le début de la trame.
Figure 18 : Préambule
La longueur du champ préambule varie selon la technique de modulation utilisée au niveau de
la couche physique. Pour la technique de modulation FHSS, le champ Synch s’étend sur 80
bits et le champ SFD sur 16 bits. Dans la technique DSSS, il existe deux formats possibles du
champ Préambule : un format par défaut avec un champ Synch long de 128 bits, et un format
avec un champ Synch court de 56 bits. Le deuxième format est utilisé pour améliorer les

32
performances du réseau dans les cas de données critiques telles que la voix, la VoIP (Voice
over IP). Le préambule court est également intéressant lorsque les trames doivent être
fragmentées (on transmet moins de bits non utiles).
 L’en-tête PLCP contient les informations logiques utilisées par la couche physique pour
décoder la trame. Dans la modulation FHSS l’en-tête PLCP se présente comme suit :
Figure 19 : En-tête PLCP-FHSS
Le champ PLW sur 12 bits indique le nombre d’octets que contient le paquet, ce qui est utile à
la couche physique pour détecter correctement la fin du paquet.
 Le fanion de signalisation PSF s’étend sur 4 bits et indique le débit de transmission des
données MAC.
 Le champ HEC utilise un CRC sur 16 bits pour la vérification de l’intégrité de l’en-tête PLCP.
Dans la modulation DSSS, l’en-tête PLCP se présente sous une autre forme.
Figure 20 : En-tête PLCP
Elle est composée de quatre champs.
o Le champ Signal s’étend sur 8 bits et indique la modulation à utiliser pour l’émission
et laréception des données.
o Le champ Service sur 8 bits est réservé pour une utilisation future.

33
o Le champ Length de 16 bits indique le nombre de microsecondes nécessaires pour
transmettre les données.
o Le champ de contrôle d’erreurs CRC sur 16 bits.
2.5 Les techniques d’accès
La norme 802.11 ne prévoit pas un système d’accès multiple, il se pose alors un problème de
partage du canal de communication entre les différentes stations. C’est ainsi que l’IEEE définit au
niveau de la sous couche MAC, deux techniques d’accès que sont la DCF (Distribution Coordination
Function) et la PCF (Point Coordination Function).
2.5.1 DCF (Distribution Coordination Function)
La DCF est conçue pour prendre en charge le transport des données asynchrones dans lequel
tous les utilisateurs désirant transmettre des données ont une chance égale d’accéder au support de
transmission. Ce mode d’accès à compétition repose sur la technique CSMA/CA. Le CSMA/CA évite
les collisions en utilisant des trames d’acquittement, ACK (Acknowledgment) : un acquittement est
envoyé par la station de destination pour confirmer que les données ont été reçues de manière intacte.
L’accès au support est contrôlé par l’utilisation d’espaces inter-trames ou IFS (Inter-Frame Spacing),
qui correspondent aux intervalles de temps entre la transmission de deux trames. Ces espaces inter-
trames correspondent à des périodes d’inactivité sur le support de transmission. L’IEEE 802.11 définit
trois types d’espaces inter-trames :
 SIFS (Short Initial Inter-Frame Spacing) : c’est le plus court des espaces inter-trames. Il
permet de séparer les trames au sein d’un même dialogue. Il dure 28 µs.
 PIFS (PCF-IFS) : utilisé par le point d’accès pour bénéficier d’une priorité supérieure dans le
cas d’un accès au support contrôlé. Le PIFS correspond à la valeur du SIFS auquel on ajoute
un timeslot de 78 µs, défini dans l’algorithme de Backoff.
 DIFS (DCF-IFS) : inter-trame pour l’accès distribué, utilisé lorsqu’une station veut
commencer une nouvelle transmission. Il correspond à la valeur du PIFS auquel on ajoute un
temps de128 µs. Les terminaux d’un même BSS peuvent écouter l’activité de toutes les
stations qui s’y trouvent. Ainsi, lorsqu’une station envoie une trame, les autres stations
l’entendent et pour éviter une collision, ils mettent à jour un timer appelé NAV (Network
Allocation Vector). Le NAV permet de retarder les transmissions. Lors d’un dialogue entre
deux stations, le NAV est calculé par rapport au champ de Durée/ID des différentes trames
qui sont envoyées (données, ACK, SIFS etc.). Les autres stations ne pourront transmettre que
lorsque le NAV atteint la valeur zéro. Une station, avant de transmettre écoute d’abord le
support. Si aucune activité n’est détectée pendant une durée correspondant à un DIFS, elle
peut alors transmettre. Par contre si le support est occupé, elle prolonge son écoute. Lorsque
lesupport devient libre, la station retarde encore sa transmission en utilisant l’algorithme de

34
Backoff. Si les données envoyées ont été reçues de manière intacte, la station destination
attend pendant un temps équivalent à un SIFS et émet un ACK pour confirmer la bonne
réception des données. L’algorithme de Backoff permet de résoudre le problème d’accès
simultané au support. Initialement, une station calcule la valeur d’un temporisateur appelé
timerBackoff compris entre zéro et sept et correspondant à un certain nombre de timeslots.
Lorsque le support est libre, les stations décrémentent le timer et pourront transmettre lorsque
celui-ci atteint la valeur zéro. Si le support est de nouveau occupé avant que le temporisateur
n’atteigne la valeur zéro, la station bloque le temporisateur. Lorsque plusieurs stations
atteignent la valeur zéro au même instant, une collision se produit et chaque station doit
régénérer un nouveau timer, compris cette fois-ci entre zéro et quinze pour chaque tentative
de retransmission.

Figure 21 : Procédé de transmission dans le CSMA/CA

35
Figure 22 : Mécanisme du CSMA/CA
Une fois la station veut emmètre des données il faut écouter le support s’il est libre ou non.
Une fois le support n’est pas libre, il faut attendre qu’il soit libre et après on passe à la vérification du
NAV si ceci est déclenché ou non et si la valeur de ce NAV est égale à zéro, il faut attendre le DIFS
durant un certains temps sinon on attend pour que le support soit libre. Une fois le calcule de timer est

36
effectué, le temps est décrémenté et on écoute si le support est libre de nouveau (sinon on attend
jusqu’à ce que le support soit libre de nouveau). Après cette attente et que le support est de nouveau
libre le timer est à zéro (sinon on revient à la décrémentation du timer et écoute le support). Une fois le
timer est à zéro ceci implique la transmission de donnée vers la réception d’un ACK et une bonne
transmission de donnée.
2.5.2 PCF (Point Coordination Function)
La PCF est un mode d’accès sans contention. Elle est basée sur l’interrogation successive des
stations (polling) contrôlées par le point d’accès de façon à organiser les transmissions suivant un
multiplexage temporel dynamique du canal de communication. Pour cela, les stations envoient des
trames spéciales appelées PR (Polling Request) auxquelles le point d’accès répond en envoyant les
données demandées. Pour contrôler l’accès au support, le point d’accès dispose une priorité supérieure
en utilisant des inter trames PIFS qui sont plus courtes que l’inter trames DIFS utilisées par les
stations. Toutefois, le point d’accès doit s’assurer que les stations puissent accéder au support au
moyen de la technique DCF, c’est pourquoi les deux modes sont alternés : il existe une période dite
CFP (Contention Free Period) pour la PCF et une période dite CP (Contention Period) pour la DCF
alternées par une trame balise permettant de synchroniser les stations.
2.6 Problèmes spécifiques aux réseaux sans fils de type IEEE 802.11
2.6.1 Support de transmission
Malgré leurs nombreux avantages, les réseaux sans fil posent d’énormes problèmes liés au
support de transmission. Les ondes radio se propagent dans l’air, en ligne droite, à la vitesse de la
lumière et peuvent être déviées par réflexion, réfraction ou diffraction à cause des obstacles rencontrés
sur leur trajectoire. Les ondes radio peuvent même être totalement absorbées. L’existence
d’interférences, principalement dues aux réflexions multiples, a des conséquences néfastes sur les
paramètres de la liaison c'est-à-dire sur le taux d’erreur, la portée ainsi que le débit, qui sont des
grandeurs étroitement liées. Parallèlement aux problèmes dus au support de propagation, la sécurité, la
mobilité ainsi que la qualité de service (fonction de l’application utilisée) restent les maillons faibles
des réseaux sans fil.
2.6.2 La sécurité de réseau sans fil
Bien que les réseaux sans fil offrent la mobilité ainsi que la rapidité et la facilité de déploiement, la
sécurité demeure un réel problème. La propagation dans l’espace fait que n’importe quel individu
ayant des équipements d’écoute appropriés (adaptateur radio, antenne directive, scanner) peut écouter
le trafic sur le réseau (écoute passive).D’autres attaques menacent l’intégrité d’un réseau comme
l’intrusion ou la dissimulation d’identité. Avec l’intrusion, un étranger pénètre un système de
communication puis accède au système d’information de l’entreprise. Dans la dissimulation

37
d’identité, un destinataire reçoit un message en provenance d’une personne qu’il croit connaître mais
dont l’identité a été usurpée.
Tableau 7: Types d'attaques et solution préconisés
 Principales attaques : L’attaque d’un réseau nécessite l’utilisation d’une station espionne
située dans la zone decouverture ou en dehors de celle-ci à condition qu’elle soit munie d’une
antenne directive.
Figure 23 : Différents cas d’attaque
 L’interception des données: En absence de système de cryptage efficace, il est facile de
récupérer le contenu des données qui circulent sur le médium.
 L’intrusion dans le système: Elle consiste, pour une station étrangère au réseau, à se
connecter au point d’accès puis à intégrer le réseau.
 Attaque de l’homme au milieu: Il suffit de mettre en place un point d’accès étranger dans la
zone de couverture du réseau WLAN afin d’intégrer le réseau. Les stations cherchent alors à
se connecter à ce point d’accès (pirate) en fournissant ainsi les informations concernant le
réseau auquel elles sont rattachées. L’exploitation de ces informations permet aux pirates de se
connecter au réseau.
 Attaque par porte dissimulée: Cette technique est identique à la précédente, la seule
différence provient du fait que le point d’accès pirate est directement raccordé au système de
distribution du réseau.

38
2.6.3 Qualité de service
La qualité de service est liée au type d’application, chaque application étant caractérisée par ses
propres besoins. Pour la transmission de données (web, FTP …), il n’y a pas besoins de temps réel, le
flux peut être irrégulier mais les erreurs ne sont pas tolérées. Pour la voix et la vidéo, au contraire, les
flux doivent être réguliers (délai constant), mais le système est plus tolérant aux erreurs. Les
principaux paramètres de qualité de service qui sont pris en compte dans les applications temps réels
sont :
 Le délai de transit : c’est le temps que met le paquet pour transiter de l’émetteur au récepteur.
Il dépend du temps de propagation et du délai de congestion (temps passé dans les files
d’attente du point d’accès). Sachant que les mémoires tampon des points d’accès sont de taille
limitée, tout paquet arrivant dans une file pleine est perdu.
 Le taux d’erreur : c’est le pourcentage de paquets erronés par flux.
 La gigue : c’est la variation de délai dans les temps d’arrivée des différents paquets.
 Le débit: c’est la quantité d’information par unité de temps circulant sur le réseau.
La mobilité d’un hôte a un impact très important sur ces paramètres de qualité. En effet,
lorsqu’une station se déplace d’un BSS à un autre, l’information doit être relayée par le point d’accès
auquel la station était associée précédemment, il en résulte alors de courtes périodes durant lesquelles
la station terminale ne reçoit plus d’information. Par ailleurs, vue que la mobilité des stations est
imprévisible, plusieurs utilisateurs peuvent se retrouver simultanément dans une même cellule, les
ressources de la cellule en terme de bande passante seront alors insuffisantes pour satisfaire tous les
paramètres de qualité. Pour remédier à la dégradation gracieuse du service, il est nécessaire que la
bande passante soit allouée de façon optimale, pour cela deux solutions sont retenues :
 Solution N°1 : Attribuer une priorité aux connexions déjà ouvertes Les connexions déjà
ouvertes (en handover) doivent être prioritaires sur les connexions qui tentent de s’ouvrir en
parallèle, il est souhaitable d’utiliser un système avec des priorités pour pénaliser d’abord les
connexions définies comme étant les moins importantes. Mais il n’est pas toujours possible de
trouver un ordre total des priorités de toutes les applications. De plus, un utilisateur avec des
connexions de faible priorité peut perdre toutes ses connexions, ce qui n’est bien sûr pas
souhaitable.
 Solution N°2 : Spécification des préférences (Profil de perte). Chaque application a des
besoins qui lui sont propres, il est alors possible que chaque utilisateur spécifie, lors de
l’établissement de la connexion, ses préférences concernant les pertes d’information acceptabl
es. Ce profil est utilisé en même temps que d’autres paramètres pour allouer la bande passante
aux différents utilisateurs mobiles présents dans une cellule.

39
2.6.4 Mobilité des utilisateurs
L’un des problèmes majeurs des réseaux locaux sans fil est la gestion de la mobilité des
utilisateurs. La difficulté réside dans l’adressage IP, le routage des paquets et la localisation des
ressources lors du déplacement des utilisateurs. L’environnement mobile pose également un problème
de sécurité.
2.6.5 Les Applications du Wi-Fi
 L’extension du réseau d’entreprise : Si une entreprise désir ajouter une extension du réseau
avec des point d’accès pour éviter les problèmes des câbles.
 Le Wi-Fi à domicile : le partage de la connexion internet à travers un modem Wi-Fi.
 Les HOTSPOTS : Il s'agit d'un lieu où la connexion vers un réseau Internet est possible via
une connexion sans fil et grâce à un ensemble de technologies et de protocoles mis en œuvre.
On parle également de borne ou de point d'accès Wi-Fi.
 Le Wi-Fi communautaire : c’est un type des réseaux Wi-Fi ouvert pour le public.

40
CHAPITRE 3 :
PARTAGER D’ACCES INTERNET SECURISE (PORTAIL
CAPTIF) VIA PFSENSE

41
Toute révision, modification ou action visant à apporter des améliorations au système
informatique du CIDST doit passer par une connaissance préalable de l'ensemble des différents
éléments constituant l'architecture de son système informatique existant. L'analyse de l'existant a pour
but à la fois d'évaluer le niveau de performance et de disponibilité de l'infrastructure réseau, et de
déterminer quelles améliorations peuvent être apportées afin de la rendre plus performante tout en
facilitant sa gestion.
3-1 FreeBSD
Pfsense est un firewall / routeur basé sur un système FreeBSD. L'implémentation du firewall
est basée sur Packet filter(PF) le firewall par défaut du système OpenBSD (intégré directement dans le
noyau).Pfsense est un système léger pouvant être installé sur de vieilles machines, ou même sur des
systèmes embarqués (compact flash).
3.1.1 Principales différences entre un système BSD et un système Linux :
Figure 24 : BSD et Linux
La licence BSD est moins restrictive que la licence GPL (linux), notamment car elle n'oblige
pas de rendre le code source disponible lors de sa distribution (elle autorise même la distribution de
source sous forme de binaires uniquement).
le noyau linux est principalement contrôlé (ce qui peut ou ne peut pas être intégré dans le
code) par Linus Torvalds son créateur, les différentes versions de BSD sont contrôlées par une Core
team chargé de gérer le projet.

Implémentation d'un portail captif avec pfsense

Implémentation d'un portail captif avec pfsense

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à Implémentation d'un portail captif avec pfsense

Similaire à Implémentation d'un portail captif avec pfsense (20)

Implémentation d'un portail captif avec pfsense