CHAPITRE 3 L'ANALYSE CRITIQUE DE L'ÉTAT DES
LIEUX
Au regard de l'état de l'art présenté
ci-dessus et s'agissant particulièrement de l'utilisation du protocole
PPPoE, sur la branche utilisateur-client/ serveur d'accès distant
(NAS-ISP), pour assurer l'authentification et la
confidentialité des échanges utilisateur-client NASISP, l'on a
observé que l'entreprise Ringo S.A. fait usage du portail captif pour
assurer l'authentification des utilisateur-clients. Cet usage pose un certain
nombre de problèmes tant pour le gestionnaire de l'infrastructure, que
pour les clients du réseau. Ainsi donc, pour mettre en exergue ces
problèmes, notre analyse se borne-t-elle à faire ressortir
exclusivement les insuffisances engendrées par l'usage du portail
captif.
3.1 Les insuffisances liées à la
codification des applications web
Le portail captif, comme la plupart des applications web, est
sujet aux injections SQL 1. En effet, si l'on ne s'est pas
assuré, lors de la programmation, des formats du login et/ou du mot de
passe en paramètres, il est possible pour un hacker d'insérer une
requête SQL dans l'un des champs dédiés à l'une des
variables précitées, particulièrement à celui
dédié au login, qui une fois exécutée, permet
d'obtenir des informations confidentielles de la base de données.
1. SQL(Simple Query Language) est un langage
informatique normalisé et utilisé notamment pour des
opérations d'accès sur des bases de données.
3.2 L'exposition aux risques d'attaques de
l'infrastructure
Le fait que d'une part, l'utilisateur-client accède aux
adresses MAC et IP avant authentification; et que d'autre part le réseau
Wifi soit un réseau de type Ethernet, ouvert à toutes les
indiscrétions, expose certains éléments de
l'infrastructure, que sont notamment les serveurs et les postes clients,
à des attaques de couche 2 et à la corruption du cache
ARP2.
3.3 La possibilité de répudiation des
actions effectuées
Le volet pris en considération est relatif à
l'identification de l'utilisateur par le gestionnaire. En effet, le
gestionnaire ne sait pas qui fait quoi, car le couple utilisé pour
identifier l'utilisateur, notamment les adresses MAC et IP, identifie en
réalité la machine de l'utilisateur sur le réseau, et non
l'utilisateur authentifié. De plus, une machine peut être
utilisée par une ou plusieurs personnes pour accéder à une
ressource, du fait que ce soit la machine que l'on identifie pose le
problème de la traçabilité des actions des utilisateurs.
Ainsi, le gestionnaire d'infrastructure se retrouve-t-il dans
l'impossibilité d'associer une action à un utilisateur
précis.
|