2. INSTITUT NATIONAL DE LA POSTE ET DES TECHNOLOGIES DE
L ’INFORMATIONET DE LA COMMUNICATION
Mémoire de projet de fin d’études pour l’obtention
du diplôme de Licence
Option : Télécommunication et Réseau Informatique
Conception et implémentation d'une solution d’authentification
forte « PKI », afin de renforcer la politique de contrôle d'accès
d’Algérie Télécom.
Thème
Année Universitaire: 2016-207
Réalisé et présenté par :
SAMMA Houssamddine
Encadreur/Co- Encadreur
M. ZOUGAR Abdellah
M. DAHMANI Riadh
4. L’accessibilité au système d’information de l’entreprise entraine des
menaces qui viennent de l’intérieur .
les besoins de sécurité sont de plus en plus importants.
1.Introduction 3
6. Problématique 5
une authentification par mot de passe .
39% des intrusions et des vols de données dans les entreprises sont
aujourd'hui le résultat d’un vol de mot de passe.
Comment renforcer la politique de contrôle d’accès d’Algérie Télécom?
7. Authentification 6
L'authentification est la vérification d’informations relatives à une
personne ou à un processus informatique
Quelque chose que l’utilisateur:
9. Authentification forte 8
système d’authentification forte
OTP(one time password)
Authentification biométrique
Authentification PKI
10. Authentification forte 9
OTP(one time password)
Inconvénients :
le réseau mobile n’est pas disponible ou que vous soyez hors de portée .
les OTP peuvent soumettre aux mêmes risques du mot de passe (vol) .
12. Infrastructure à clé publique 11
Assure les objectifs de la sécurité
(authentification,integrité,confidentialité,non-repudiation) .
un système de gestion des clefs publiques .
Se base sur la cryptographie asymétrique .
13. 12
Avantage : Assurer les objectifs de la sécurité.
Inconvénient : très lourd .
Texte
en
clair
A B
AlgorithmeAlgorithme
Clef privée de BClef publique de B
Cryptographie asymétrique
Texte
chiffré
Texte
en
clair
14. Infrastructure à clé publique 13
Autorité
de certification
Autorité
d’enregistrement
Autorité de dépôt
Utilisateur
Les composants d’une
PKI
15. Infrastructure à clé publique 14
Architecture d’un PKI
Demande
De certificat
Autorité
d’enregistrement
Autorité
de certification Autorité de dépôt
Génération
d’un couple de clés
Envoi de la
clé publique
Génération
de certificat
Utilisateur
Envoi de la
clé privé
Envoi du certificat
Stockage
du certificat
16. Infrastructure à clé publique 15
Certificat numérique :
Un certificat est un document électronique émis par un tiers de confiance
(AC)
Les certificats sont des petits fichiers divisés en deux partie :
Une partie contenant des informations
Une partie contenant la signature de l’AC
17. Infrastructure à clé publique 16
Cycle de vie d’un certificat :
Généré Activé
Révoqué
Expiré
Renouvelé
18. Infrastructure à clé publique 17
Authentification par certificat (unidirectionnelle)
communication sécurisé
Client Hello
Liste d’algorithmes
Certificat serveur
Liste d’algorithmes
Clé de session
19. Infrastructure à clé publique 18
Authentification par certificat (bidirectionnelle)
communication sécurisé
Client Hello
Liste d’algorithmes
Certificat serveur
Liste d’algorithmes
Demande de certificat de client
Certificat Client
Clé de session
Madame la présidente ,membres de jurys , honorable assistance , bonjour , dans le cadre de l’obtention du notre diplôme de licence nous avons l’honneur de vous présenter notre projet intitulé «Conception et implémentation d'une solution d’authentification forte « PKI », afin de renforcer la politique de contrôle d'accès d’Algérie Télécom. "
Nous avons organisé la présentation comme le plan suivant :
Tout d’abord on commence par une introduction puis on va parler sur la sécurité informatique on focalisant le processus d’authentification , en suite on cite les solutions existantes, puis le choix de la solution a proposé et son implémentation , a la fin on termine avec une conclusion et quelques perspectives,
Aujourd’hui, après des évolutions dues aux progrès de la technologie. L’accessibilité au système d’information de l’entreprise entraine des menaces qui viennent de l’intérieur ;À cause de ça les besoins de sécurité sont de plus en plus importants.
La sécurité informatique consiste à garantir les objectifs suivants:
L’authentification: qui a pour objectif de vérifier l’identité des processus Communicants
L’intégrité des données: garantit que les messages ne sont pas modifiés durant le transfert
La confidentialité des données: garantit que seul le destinataire peut lire le message.
La non répudiation: qui permet à l'expéditeur d'un message d’être identifié de façon unique.
Passant maintenant à expliquer la cryptographie asymétrique,
L’accès aux systèmes d’information d’Algérie Télécom se base sur une authentification par mot de passe .
Les statistiques dites que 39% des intrusions et des vols de données dans les entreprises sont aujourd'hui le résultat d’un vol de mot de passe . le problème qui se pose est:
Comment renforcer la politique de contrôle d’accès d’Algérie Télécom? En respectant les objectifs de la sécurité ,
L’authentification peut se faire de multiples manières, et notamment par la vérification de :
Quelque chose que l’utilisateur connaît (mot de passe, question secrète, etc.) ;
Quelque chose que l’utilisateur possède (carte, etc.) ;
Quelque chose que l’utilisateur est (biométrie).
L'authentification est la vérification d’informations relatives à une personne ou à un
processus informatique avec les informations enregistrées dans une base de données
stockée sur le système d'exploitation local ou dans un serveur d'authentification,
La combinaison de plusieurs de ces méthodes (aussi appelées facteurs d’authentification)
permet de renforcer le processus d’authentification, on parle alors d’authentification forte.
donc l’authentification forte peut combiner l’utilisation d’un mot de passe et la biométrie de l’utilisateur et peut combiner aussi l’utilisation d’un mot de passe avec un clé,
Il existe plusieurs systèmes d’authentification forte dans le domaine de la sécurité
Informatique qui sont :
Le système OTP consiste à fournir aux utilisateurs un code à usage unique valide pendant une durée limitée . Il ajoute une deuxième couche de sécurité, C’est comme une authentification multiple.
Très employé dans le secteur bancaire, notamment pour les achats effectués via l’Internet, ce code est reçu sur le téléphone de l’usager par SMS.
Inconvénients :
plus généralement le mobile peut être dans une zone non couverte par le réseau.
Si vous vous authentifiez et recevez l’OTP sur le même équipement, les OTP sont soumis aux mêmes risques que votre mot de passe
Le système d’authentification biométrique sert à vérifier les caractéristiques biologiques uniques de l'utilisateur ,
par exemple l’empreinte, le visage, la forme de la main, et beaucoup d’autres…etc, dans serveur d’authentification ,
une fois la vérification est réussi , l’utilisateur peut accéder au système d’information .
Les inconvénients de ce système
N’est pas toujours fiable à 100% , et Amène des risque aux utilisateurs dans le cas d’accès au système sensible .
Une infrastructure à clés publiques PKI est un ensemble de technologies,
procédures et pratiques qui supportent l'implémentation et l'exploitation des certificats basés sur
la cryptographie à clés publiques .
Le principe de cryptographie asymétrique
repose sur l’utilisation de deux clés déférentes, l’une est publique et l’autre est privée. La clé
publique est utilisée pour le chiffrement et peut être publiée librement, tandis que la clé privée est
destinée pour le déchiffrement, elle doit être impérativement secrète et cachée.
lLa Cryptographie asymétrique
Chaque entité possède une paire de clé (publique/privée) : par exemple en utilisant l’algorithme RSA
Une clé publique : connue par toutes les autres entités et utilisée pour chiffrer un message donné.
Une clé privée : qui ne doit être connue que par l’entité qui possède la paire en question, et qui est utilisée pour déchiffrer un message.
Un message chiffré avec une clé publique ne peut être déchiffré qu’avec la clé privée correspondante.
Avantage : Potentiellement incassable
Les PKI se compose de (04) quatre entités distinctes :
AC (Autorité de Certification) qui a pour mission de signer les demandes de certificat
CSR et de signer les listes de révocation ,
L'Autorité d'Enregistrement qui a pour mission de générer les certificats,
et d'effectuer les vérifications d'usage sur l'identité de l'utilisateur final.
L’Autorité de Dépôt qui a pour mission de stocker les certificats
numériques ainsi que les listes de révocation.
L'Entité Finale : L’utilisateur ou le système qui est le sujet d’un certificat.
Lorsqu'un utilisateur souhaite générer un certificat, il envoi la demande de certificat à l’Autorité
d’enregistrement, cette dernière génère une paire de clé publique et privée ,
puis elle envoie à l'une des autorités de certification une demande de signature de
certificat contenant la clé publique ainsi que des informations sur l’identité (coordonnées
postales, téléphoniques, email...) et la clé privé à l’utilisateur ., l'autorité de certification signe le CSR grâce à sa propre clé privée qui devient alors un certificat puis le transmet en retour à la
personne qui en a fait la demande.
Un certificat est un document électronique émis par un tiers de confiance, il est
Utilisé pour identifier une entité physique ou morale, mais aussi pour chiffrer
des échanges. Il assure un environnement de confiance aux utilisateurs pour échanger des
informations numériques et confidentielles.
Les certificats donc sont des petits fichiers divisés en deux parties :
Une partie contenant des informations,
Une partie contenant la signature de l’AC.
La création d’un certificat électronique est déclenchée par la demande d’une entité ,
dans un certaine date le certificat n'est plus valide car la duré de validité
a été dépassée et peut être renouvelé moyennant les mêmes
informations contenues dans le certificat expiré. . Ou révoqué pour des raisons multiples,
l peut être
volé soit physiquement, soit suite à une attaque informatique,
le client demande le certificat du serveur pour vérifier sa validation, donc seule l’authentification du serveur qui a été fait,
Cette technique permet d’avoir un canal de communication sécurisé (chiffré) entre deux
machines (un client et un serveur) après une étape d’authentification, en premier lieu le client demande une connexion sécurisé par la requête client hello et liste des algorithme qu’il souhaite négocier,
le serveur envoie son certificat au client et les liste des
algorithmes cryptographiques,
Le client vérifie la validité du certificat en interrogeant la liste CLR.
Le client génère ensuite une empreinte chiffré avec la clé publique du serveur puis
transmis à ce dernier.
Les données échangées par la suite entre le client et le serveur sont chiffrées et
authentifiées à l’aide de clés dérivées de celle-ci.
Mais dans l’authentification mutuelle ,l’authentification se fait par les deux entité (client et serveur),
Le serveur (et seulement lui) peut demander au client de s’authentifier en lui
demandant tout d’abord son certificat.
Le client réplique en envoyant ce certificat puis en signant un message avec sa clé
privée (ce message contient des informations sur la session et le contenu de tous les
échanges précédents).
L’utilisation d’une authentification bidirectionnelle (mutuelle) permet d’assurer l’intégrité,
la confidentialité et grâce à la Deuxième phase, la non répudiation, permettant de garantir qu’une
transaction ne peut être niée par aucune des deux parties (client ou serveur).
Notre travail consiste à implémenter une infrastructure de gestion des clés publique en s’appuyant sur une authentification bidirectionnelle .
La dernière partie de ce travail consiste À déployer notre environnement et implémenter notre Architecture PKI
Pour commencer l’implémentation d’une solution d’infrastructure à clé publique afin de
sécuriser les échanges, nous devons créer deux serveurs,
le premier est AC racine il doit être non connecté au réseau et au domaine pour mesure de sécurité, afin de la protégé contre les attaques
et pouvoir la récupéré en cas ou de dégât.
le premier certificat généré par l’autorité de certification racine. C'est un certificat
de type auto signé par sa propre clé privé,
Le deuxième serveur qui est un serveur
subordonnée connecté au réseau, et joint à une forêt «algerie telecome» dans l’Active
Directory.
l'AC racine utilise sa clé privé pour signer le certificat de l’AC secondaire . Cette dernière hérite sa confiance d’AC racine afin de pouvoir
délivrer des certificats numérique aux clients,
Ensuite nous avons installer le rôle d’inscription via le web pour faciliter l’inscription des utilisateur,
Pour garantir un accès sécurisé au site hébergé dans un serveur web (apache), les utilisateurs et le site doivent avoir ses propres certificats fourni par notre AC que nous avons déjà implémenté.
dans un premier temps On va créer la clé privé et le CSR,
Apres nous avons signer le certificat par l’AC secondaire via l’interface Web,
Nous désignerons des personnes hautement confiées pour s'inscrire des certificats utilisateur et les fournir dans une carte à puce .
Lors de l’établissement de la session SSL avec le serveur web, ce dernier demande au
client de s’authentifier à l’aide de son certificat, Après avoir sélectionné le certificat, l’établissement de
la session SSL s’est poursuivi et l’authentification mutuelle fut réalisée,
Arrivons a la fin de cette présentation de ce projet, qui a y eu comme objectif de l
’implémentation d’un architecture avec tout ses services de sécurité au sein d’Algerie Telecom,
Ce travail nous a été bénéfique car il nous à permis d’approfondir nos connaissances concernant la sécurité des réseaux informatique ,
À la fin nous proposons comme perspective:
D’Implémenter un Contrôle d’accès aux équipements d’infrastructure réseau basé sur les certificats électronique .
- Implémenter un VPN d’accès distant sécurisé pour permettre aux utilisateurs d’accèder au système d’information .