REPUBLIQUE DEMOCRATIQUE DU CONGO

MINISTERE DE L'ENSEIGNEMENT SUPERIEUR, UNIVERSITAIRE ET
RECHERCHE SCIENTIFIQUE

FACULTE DE SCIENCES ET TECHNOLOGIES
DEPARTEMENT DE RESEAUX INFORAMATIQUES

UNIVERSITE BIOSADEC

Exploitation des failles de sécurité et étude des méthodes de protection du réseau WiFi de microfinance :

Cas de la COOPEC NYAWERA

Par

Jonathan BISIMWA

Travail de fin d'études présenté et défendu publiquement en vue d'obtention du diplôme d'Ingénieur en Réseaux informatiques Sous la Direction de : Ir. A. Crispin Kagufa

Année académique 2014-2015

I

Résumé

La COOPEC NYAWERA comme toutes les autres institutions financières souhaite déployer rapidement un réseau Wifi sur l'ensemble de ses agences, à destination de différentes communautés d'utilisateurs : personnel, clients... Il est donc impératif d'accompagner le déploiement physique des bornes (installation dans les bâtiments, configuration, intégration au réseau filaire) d'une infrastructure sécurisée, réalisant l'authentification des utilisateurs et assurant une confidentialité des échanges de données appropriées pour ce type de support. La solution retenue après cette étude, pour accomplir cette tâche, est basée sur le protocole 802.1X.

Ce travail de mémoire présente tout d'abord une analyse détaillée de plusieurs méthodes d'authentification (basée sur des certificats, mot de passe etc.) avec EAP (Extensible Authentication Protocol).

Nous allons dresser par la fin de ce travail un comparatif de différentes solutions 802.1X du marché, notamment celle choisie par cette étude.

II

Remerciements

Nos sentiments de gratitude s'adressent à l'Éternel tout puissant pour le souffle de vie qu'il nous accorde au quotidien et pour ce qu'il fait dans notre vie.

Nous remercions infiniment nos parents pour tant des sacrifices consentis pour s'acquitter de leurs devoirs en nous assurant une éducation complète.

Nous tenons à remercier très vivement le Chef de travaux pour avoir respectivement dirigé et encadré ce travail en dépit de ses multiples occupations. Nous remercions aussi tous nos professeurs de l'Université Biosadec qui ont assuré notre formation au sein du département de Réseaux Informatiques.

Nos remerciements sont aussi adressés à tous nos frères et soeurs, à tous nos amis familiers et lointains.

Nous n'allons pas faire notre ingratitude envers tous ceux qui aiment et protègent l'informatique.

Enfin, nous remercions le monde scientifique qui, après lecture de ce travail, apportera des remarques et suggestions susceptibles de l'améliorer.

BISIMWA NGABO Jonathan

III

Liste des figures

Figure 1: Ubiquiti Nanostation M2 13

Figure 2: Interface web AirOS 14

Figure 3: Ondes électromagnétiques 17

Figure 4:Atténuation d'une onde 18

Figure 5:Mode Infrastructure 33

Figure 6: Mode Ad Hoc 34

Figure 7: Mode pont "Bridge" 35

Figure 8: Authentification Radius 48

Figure 9: Architecture d'authentification 802.1X 56

Figure 10: Types EAP 57

Figure 11: Echanges EAP 58

Figure 12: Diagramme d'échange EAP-TLS 60

Figure 13: Echanges EAP-TTLS 64

Figure 14: Diagramme d'échanges EAP-TTLS ou EAP-PEAP 65

Figure 15: Diagramme d'échanges EAP-MD5 67

IV

Liste des tableaux

Tableau 1: Récapitulatif des fréquences et débits 18

Tableau 2: Portée et Puissance du Bluetooth 22

Tableau 3: Débit et bande passante des standards mobiles 28

Tableau 4: Propriétés des milieux 32

Tableau 5: Protocoles et algorithmes de cryptage associés 44

Tableau 6: Récapitulatif de type EAP et Méthodes d'authentification 69

V

Table des matières

Résumé I

Remerciements II

Liste des figures III

Liste des tableaux IV

Sigles et Abréviations VIII

CHAPITRE I : INTRODUCTION GENERALE 1

1.1. Problématique 4

1.2. Hypothèse 4

1.3. Choix et intérêt du sujet 5

1.4. Méthodes et Techniques 6

I.4.1.Méthodes 6

I.4.2. Techniques 6

I.5. Délimitation du sujet 6

I.6. Résultats attendus 7

I.7. Subdivision du travail 7

CHAPITRE II : PRESENTATION DE LA COOPEC NYAWERA 9

2.1. Aperçu sur la COOPEC Nyawera 9

2.2. Mission, vision et valeurs 10

2.2.1. Vision 10

2.2.2. Valeurs 10

2.5. Organisation du réseau COOPEC NYAWERA existant 13

2.2. Réglementation sanitaire 15

VI

CHAP III: GENERALITES SUR LE RESEAU WIFI 16

3.1. Définitions des mots clés : 16

3.2. Les ondes électromagnétiques 17

3.2.1. Les lois de la radio : 19

3.2.2. Interopérabilité du matériel 19

3.2.3. Cartes PCI / PCMCIA 19

3.3. Les technologies sans fil 20

3.4. Les réseaux sans fil 20

3.4.1. Bluetooth 21

3.4.2. Technologies mobiles 24

3.4.3. Boucle Locale Radio 28

3.4.4. Le WiFi 31

3.5. La règlementation en RDCongo 37

3.6. La sécurité 38

3.6.1. Le WEP 38

3.6.3. Le WPA2 42

3.6.4. Autres mesures de sécurité 45

3.7. Sécurité avancée 46

3.7.1. RADIUS 46

3.8. Conclusion du chapitre 49

CHAP IV: REALISATION DE LA SOLUTION RETENUE 52

4.1. Matériel et Méthodes 52

4.1.1. Méthodes 52

4.1.2. Matériels 55

VII

4.2. Rappels sur 802.1X 56

4.2.1. Les méthodes d'authentification de 802.1X 57

· de la demande du certificat du client ; 61

4.3. Les solutions 802.1X du marché 70

4.3.1. Les contraintes de l'ULP 70

4.3.2 Les solutions testées 71

Conclusion 73

Références 74

VIII

Sigles et Abréviations

AP :Access Point, station de base pour un réseau Wi-Fi (appelé aussi point d'accès ou

borne) interconnectant les clients sans fil n'entre eux ainsi qu'au réseau filaire.

ARP :Address Resolution Protocol, protocole faisant la correspondance entre adresse IP
et adresse MAC.

BSSID :Basic Service Set Identifier, adresse MAC du point d'accès.

CCMP :Counter-Mode/Cipher Block Chaining Message Authentication Code Protocol,

protocole de chiffrement utilisé dans WPA2 basé sur l'algorithme de chiffrement par bloc AES.

CRC :Cyclic Redundancy Check, algorithme de pseudointégrité utilisé par le protocole
WEP (comporte de nombreuses faiblesses).

EAP :Extensible Authentication Protocol, cadre de travail pour des méthodes
d'authentification variées.

EAPOL :( EAP Over LAN), protocole utilisé dans les réseaux sans fil pour le transport
d'EAP.

GEK :Group Encryption Key, clé de chiffrement pour le trafic en diffusion (aussi
utilisée pour l'intégrité des données dans CCMP).

GIK :Group Integrity Key, clé d'intégrité pour le trafic en diffusion (utilisé dans TKIP).

GMK :Group Master Key, clé maîtresse de la hiérarchie de groupe.

GTK :Group Transient Key, clé dérivée de la GMK.

ICV :Integrity Check Value, champ de donnée concaténé aux données en clair pour

garantir l'intégrité (basé sur l'algorithme faible CRC32).

IV :Initialization Vector, donnée combinée à la clé de chiffrement afin de produire
une suite chiffrante unique.

KCK :Key Confirmation Key, clé d'intégrité utilisée pour protéger les échanges de clé.

KEK :Key Encryption Key, clé de confidentialité utilisée pour protéger les échanges de

clé.

MIC :Message Integrity Code, champ de donnée ajouté aux données en clair pour

IX

garantir l'intégrité (basé sur l'algorithme Michael).

MK :Master Key, clé maîtresse connue du client 802.1x et du serveur
d'authentification à l'issu du processus d'authentification 802.1x.

MPDU :Mac Protocol Data Unit, paquet de donnée avant fragmentation.

MSDU :Mac Service Data Unit, paquet de donnée après fragmentation.

PAE :Port Access Entity, port logique 802.1x.

PMK :Pairwise Master Key, clé maîtresse de la hiérarchie de clé pairwise.

PSK :Pre-Shared Key, clé dérivée d'un mot de passe, remplaçant la PMK normalement

issue d'un vrai serveur d'authentification.

PTK : Pairwise Transient Key, clé dérivée de la PMK.

RSN : Robust Security Network, méchanismes de sécurité 802.11i (TKIP, CCMP etc.).

RSNA : Robust Security Network Association, association de sécurité utilisée dans RSN.

RSN IE :Robust Security Network Information Element, champ contenant les informations

RSN inclues dans les trames Probe Response et Association Request.

SSID :Service Set Identifier, identifiant du réseau sans fil (identique à l'ESSID).

STA :Station, un client sans fil.

TK :Temporary Key, clé pour le chiffrement des données à destination d'une machine

(unicast) (utilisé pour le calcul des données d'intégrité dans le protocole CCMP).

TKIP : Temporal Key Integrity Protocol, protocole de chiffrement utilisé dans le WPA,
basé sur l'algorithme de chiffement RC4 (comme le WEP).

TMK : Temporary MIC Key, clé pour l'authenticité des données du trafic à destination
d'une machine (unicast) (utilisé dans TKIP).

TSC - TKIP : Sequence Counter, compteur anti-rejeu utilisé dans TKIP (basé sur l'IV étendu).

TSN : Transitional Security Network, méchanismes de sécurité pre-802.11i (WEP etc.).

WEP : Wired Equivalent Privacy, protocole de chiffrement par défaut des réseaux sans

fil de type 802.11.

WPA : Wireless Protected Access, implémentation d'une pré-version de la norme
802.11i basée sur le protocole de chiffrement TKIP.

WRAP : Wireless Robust Authenticated Protocol, ancien protocole de chiffrement utilisé
dans le WPA2.

développer le travail en collaboration et améliorer la réactivité face aux demandes de sa clientèle.

1

CHAPITRE I : INTRODUCTION GENERALE

Le monde de l'entreprise est en pleine révolution. La multiplication des ordinateurs portables compatibles Wi-Fi pousse les sociétés à se doter de réseaux locaux sans fil (WLAN). Contrairement au passé, où l'évolution technologique était pilotée par les professionnels de ces technologies, ce sont maintenant les utilisateurs mobiles, les cadres en déplacement, les applications sans fil et les services évolués comme la voix sur IP (VoIP) Wi-Fi qui favorisent la généralisation des WLAN. L'accélération de l'adoption de la technologie WLAN par les entreprises bouleverse radicalement leur manière de fonctionner, la périphérie du réseau, les centres de données et le contrôle informatique centralisé. Le climat économique exige désormais une connectivité en tout lieu et à tout moment.

La mobilité bouleverse le mode de travail des entreprises. L'interaction en temps réel, la messagerie instantanée, les services vocaux, l'accès au réseau pendant les déplacements et l'accès en temps réel au réseau depuis le bureau sont en train de transformer les environnements métiers. Pour faire face au durcissement croissant de la concurrence, les entreprises exige des réponses rapides et des résultats immédiats.

Les réseaux WLAN sont devenus vitaux pour l'entreprise. Les utilisateurs finaux ont adopté la liberté et la souplesse de la connectivité sans fil et les responsables de la gestion reconnaissent la valeur compétitive des applications métiers mobiles.

L'entreprise déploie des réseaux WLAN pour renforcer la productivité de ses employés,

2

Le besoin croissant de connectivité «à tout moment» pose de nouveaux défis aux professionnels du réseau : ils doivent répondre à une demande croissante en matière de réseaux WLAN dans un contexte de budgets serrés et de réduction des ressources. Ces professionnels constatent qu'en l'absence d'un réseau sans fil agréé par l'entreprise, certains employés se mettent à déployer leurs propres points d'accès non autorisés, compromettant ainsi la sécurité de l'ensemble du réseau.

Les administrateurs ont besoin de protéger leurs réseaux et d'assurer un accès WLAN sécurisé à l'ensemble de l'entreprise. Ils ont besoin d'une infrastructure sans fil capable d'intégrer les attributs particuliers de la technologie radiofréquence (RF) et de supporter de manière efficace les applications professionnelles modernes. Ils doivent assurer la sécurité de leurs réseaux filaires tout en jetant les fondations nécessaires à l'intégration harmonieuse des nouvelles applications conçues pour la technologie sans fil. Ils veulent une solution WLAN capable d'exploiter au maximum tout ce qui peut exister en matière d'outils, de connaissances et de ressources réseau pour régler de manière économique les problèmes de sécurité, de déploiement et de contrôle des réseaux locaux sans fil. La COOPEC NYAWERA, choisie ici pour cible par notre étude, se verra proposer par celle-ci une série de solutions afin de lui doter un réseau wifi fortement sécurisé et fiable.

Pratiquement inconnu, il y a encore quelques années, les réseaux sans-fil sont, aujourd'hui, omniprésents dans notre société car utilisant des ondes radio. En raison de leur facilité de déploiement et de leur coût relativement faible, les réseaux sans-fil sont de plus en plus utilisés. Adopté en septembre 1999, la norme IEEE 802.11b plus connue sous le nom de WiFi ou Wi-Fi (contraction de Wireless Fidelity) forme une catégorie de réseau sans-fil de première importance pour tous les environnements de travail (domestiques, entreprises, opérateurs

3

de télécommunications ...). Ainsi grâce au WiFi , le nomadisme s'implante rapidement car la connexion peut se faire de partout, à tout moment et à haut débit (jusqu'à 54Mbits/s ). Tout cela permet à la technologie WiFi d'avoir une carrière longue et prospère, mais voilà, deux handicaps majeurs viennent se greffer à elle : la qualité de service et les failles de sécurité. Notre projet d'étude ayant trait à la sécurité, nous n'aborderons pas le coté qualité de service.

La raison principale des problèmes de sécurité du WiFi tient du faite que les signaux radio qui traversent l'air entre les cartes de communications et les points d'accès peuvent être écoutés par tous (dans une zone de couverture). Installer un réseau WiFi sans le sécuriser peut permettre à des personnes non autorisées d'écouter, de modifier et d'accéder à ce réseau. C'est ainsi que voient le jour des techniques qui permettent de sécuriser les données dans le WiFi : le WEP, le WPA et le WPA 2. Mais très vite certaines failles de sécurité ont vu le jour sur ces techniques de sécurité. L'étude de notre projet étant d'explorer plusieurs attaques possibles dans les réseaux WiFi et de trouver des solutions pour renforcer la sécurité sans nécessairement changer de carte réseau sans-fil. Nous avons dans un premier temps dû étudier ces techniques de sécurité, pour ensuite mieux en comprendre les failles. Dans un second temps nous listerons quelques types de sécurité, architectures et environnements de travail sur lesquels seront basés différentes attaques, afin de proposés des solutions permettant de se protéger au mieux contre des attaques et des failles de sécurités de nos réseaux WiFi dans des cas particuliers.

4

1.1. Problématique

Monter un réseau sans fil c'est bien, savoir limiter les dégâts provenant du wifi c'est encore mieux. La sécurité du réseau de la COOPEC Nyawera reste aujourd'hui un grand problème. Faute de ce manque de sécurité accrue la COOPEC Nyawera fait face à divers problèmes:

· La connexion internet reste de plus en plus moins performante car vue la bande passante allouée il est évident que des tiers la subtilisent abusivement.

· Cette connexion clandestine ne garantie plus le transfert et le partage de données en toute sécurité; le personnel remet en doute les transactions opérées au sein de la microfinance.

· Le manque de sécurité sûre occasionne plusieurs contrôles devant même les petites opérations; cela ne joue pas en faveur de la microfinance en termes de rentabilité horaire. Eu égard de ce qui précède, notre travail va apporter sa contribution à la solution des certains problèmes majeurs liés au manque de sécurité au sein de la microfinance COOPEC Nyawera

1.2. Hypothèse

Exploiter les différentes failles de sécurité ainsi qu'étudier les méthodes de protection, tel est le but de ce travail contribuerait à renforcer la sécurité du réseau sans fil de la microfinnance COOPEC Nyawera.

5

1.3. Choix et intérêt du sujet

Deux facteurs concernent ce choix

· Facteur scientifique

Le choix de ce sujet cherche à répondre aux questions relatives à la sécurité du réseau wifi de la COOPEC Nyawera, ce qui permettra les transferts et partage des fichiers et toute autre transaction de se passer en toute sécurité afin de remédier à certaines difficultés liées aux personnes mal intentionnées qui pourront subtiliser les données de la microfinance ou exploiter abusivement la connexion internet à des fins personnelles, ce qui bousillerait irrationnellement sa bande passante .

· Facteur personnel

Le choix de ce sujet : «L'exploitation des failles de sécurité et études de méthodes de protection du réseau wifi des microfinance» s'est justifié par l'envie de doter aux établissements financiers la manière efficace de sécuriser leur réseaux dans les transferts et partage des données ainsi que protéger les différentes ressources y appartenant, et cela collerait bien avec notre future carrière d'ingénieur en réseau.

6

1.4. Méthodes et Techniques

I.4.1.Méthodes

I.4.1.1. Méthode historique

Elle sert à faire la succession des événements ainsi que par son approche génétique nous aurons à parler de la sécurité du réseau wifi.

I.4.2. Techniques

I.4.2.1.Technique documentaire

Consiste à consulter les documents afin d'obtenir les informations nécessaire à l'avancement d'une recherche. Elle nous aide dans la recherche des documents plus particulièrement les travaux déjà faits en rapport avec l'objet de notre étude.

I.4.2.2.Technique d'interview

Consiste à obtenir des données utiles à l'enquête en allant vers toutes personnes susceptibles de détenir une information afin de récolter les données par les questions réponses. Elle nous permettra d'approcher certains Administrateurs Réseau afin d'enrichir les informations tirées des documents.

I.5. Délimitation du sujet

Nous avons délimité ce travail dans son contenu et dans l'espace:

Dans son contenu, ce travail va se limiter à l'exploitation des failles de sécurité ainsi qu'à l'étude de méthodes de protection du réseau wifi de la microfinance COOPEC Nyawera en développant une configuration répondant aux normes de sécurité modernes qui garantiront par la suite le maximum de sécurité possible.

Dans l'espace, nous allons nous limiter aux installations de la COOPEC Nyawera.

7

I.6. Résultats attendus

Notre voeu le plus ardant est que la configuration que ce travail va appuyer puisse offrir à la COOPEC Nyawera les avantages suivants:

· Sécuriser les ressources matérielles et logicielles de la microfinance;

· Propulser la bande passante internet pour une navigation rapide;

· Bannir les utilisateurs non autorisés à accéder au réseau;

· Réduire le temps d'exécution des opérations

I.7. Subdivision du travail

En vu de rendre notre travail explicite nous avons jugé utile de le subdivisé en quatre chapitres hormis la Conclusion et les Recommandations :

· Chapitre I : Introduction Générale; Nous allons présenter dans ce chapitre la technologie du réseau sans fil, nous poursuivront ce chapitre par la problématique et nous la terminerons par la subdivision du travail.

· Chapitre II: Présentation de la COOPEC Nyawera; Après un bref aperçu sur la COOPEC, nous parlerons de la mission et la vision et apporterons pour finir ce chapitre une analyse rapide sur le réseau wifi actuel au sein de la COOPEC Nyawera.

· Chapitre III: Revue de la littérature sur le wifi et la sécurité; C'est à travers ce chapitre que nous tacherons à développer en long le concept des réseaux wifi, les différentes technologies relatives au wifi, nous détaillerons les différents protocoles de sécurités et pour finir un parallélisme sur les forces et faiblesses des normes de sécurités après une études des différentes attaques auxquelles font face les réseaux wifi.

8

· Chapitre IV: Réalisation de la solution retenue ; Nous n'allions pas finir ce travail sans démontrer grâce aux captures d'écran comment se feraient les configurations jugées les plus sûres en matières de sécurités wifi.

9

CHAPITRE II : PRESENTATION DE LA COOPEC NYAWERA

2.1. Aperçu sur la COOPEC Nyawera

La COOPEC NYAWERA (Coopérative d'Epargne et des Crédits de Nyawera) a été créée par le Père Henry FARCY de la congrégation des missionnaires d'Afrique en 1972 afin d'apporter une réponse aux besoins de financement des artisans de la ville de Bukavu et ses périphériques.

Le réseau des COOPEC NYAWERA regroupe à ce jour quatre COOPEC de bases agréées qui sont :

· COOPEC NYAWERA/NYAWERA ;

· COOPEC NYAWERA/BEACH MUHANZI ;

· COOPEC NYAWERA/KAVUMU avec le guichet de KATANA ;

· COOPEC NYAWERA/GOMA avec le guichet du centre ville

Et trois COOPEC en voie d'être agréées

· COOPEC NYAWERA de KADUTU ;

· COOPEC NYAWERA de MUHUNGU ;

· COOPEC NYAWERA de WALUNGU

Toutes ces COOPEC bénéficient de l'appui technique d'une Direction Générale qui coordonne les activités ci-après :

· Audits et contrôle interne

· Système d'information et de gestion

10

· Gestion administrative et financière

· Représentation et relation avec la Banque Centrale et autres partenaires techniques et financiers

· Marketing et animation du réseau

2.2. Mission, vision et valeurs

Le réseau NYAWERA a pour mission de renforcer les capacités socio-économiques des micro, petites et moyennes entreprises (MPME), des groupes communautaires et associatifs de production des zones urbaines, semi-urbaines et rurales, en leur offrant un meilleur accès aux produits et services financiers et non financiers de qualités, variés, innovants et rentables grâce à une institution financière pérenne.

2.2.1. Vision

Le réseau NYAWERA compte devenir une grande institution financière d'envergure nationale,

rentable et pérenne au service de ses membres.

2.2.2. Valeurs

Le réseau NYAWERA a comme valeurs :

o Honnêteté et intégrité ;

o Respect des lois et règlements ;

o Efficience ;

o Egalité et qualité ;

o Respect du bien commun et des personnes ;

o Excellence ;

o Respect du secret professionnel ;

11

Membre ordinaire

Toute personne physique ou morale s'acquittant de sa part sociale de 25 $USD lui donnant droit à la participation aux organes de décision (AGO, AGE, Conseil d'Administration, Conseil de surveillance, Commission de crédit) et l'accès à tous le services financiers et non financiers offerts par la COOPEC.

Membre auxiliaire

Personne physique ou morale non formelle moyennant le paiement des frais d'ouverture donnant droit au service d'épargne à vue.

· Epargne à vue en FC et USD

· Epargne à terme en USD

· Epargne à la carte « akiba rahisi » pour les gagnes petits en FC et USD

· Fonds garantie mutuelle

· Crédits agricoles en FC et USD

· Crédits consommation « Mkopokazi »

· Domiciliation des salaires des agents du secteur privé et parapublique

· Transfert par Western Union

· Paiement des bénéficiaires des ONG nationales et internationales

· Domiciliation des frais scolaires et académiques

· Formation en AGR et éducation financière des membres

· Services de garde de titres immobiliers.

12

2.1. Organigramme de la Faîtière des COOPEC NYAWERA

13

2.5. Organisation du réseau COOPEC NYAWERA existant

Le réseau COOPEC NYAWERA utilise une technologie Wifi point à point à l'aide des antennes des équipements du système Ubiquiti Nanostation, Loco, et Picostation afin de pouvoir configurer facilement une connexion externe par wi-fi à un point d'accès.

Ce système permettra de connecter soit un pc directement ou un routeur interne. Le radio Ubiquiti a été volontairement configuré pour donner à tout ordinateur ou routeur une adresse dynamique (dhcp) ainsi qu'être utiliser comme passerelle DNS (Domain Name Server).

A part le liaison point-point permettant d'interconnecter les différents sites de la ville de Bukavu, l'antenne Ubiquiti Nanostation M2 joue également le rôle de point d'accès pour le relier les dispositifs sans fil au réseau la coopérative. Depuis le navigateur, l'interface AirOS d'administration du point d'accès est accessible l'adresse 192.168.4.1 qu'on pourrait modifier en fonction du réseau dans lequel l'on appartient.

Figure 1: Ubiquiti Nanostation M2

14

Figure 2: Interface web AirOS

15

2.2. Réglementation sanitaire

En matière de protection de la santé au travail, la directive européenne 2004/40/CE fixe les prescriptions minimales de sécurité et de santé relatives à la limitation de l'exposition des travailleurs aux champs électromagnétiques. Elle définit en fonction de la fréquence des valeurs des grandeurs relatives aux champs électrique et/ou magnétique au-delà desquelles des actions de prévention sont à mettre en oeuvre En ce qui concerne les personnes à risque particulier (femmes enceintes, porteurs d'implant...) ou souffrant d'intolérance environnementale idiopathique (personnes dites électrosensibles), il est recommandé de respecter les valeurs données dans les recommandations.

16

CHAP III: GENERALITES SUR LE RESEAU WIFI

3.1. Définitions des mots clés :

Exploitation¹ : Mise à profit méthodique de quelque chose : ex. Exploitation du succès.

Faille² : Point faible, défaut, manque de cohérence dans un raisonnement, une structure : ex. Cet exposé présente une faille.

Sécurité³ : Absence ou limitation des risques dans un domaine précis : ex. Ils recherchaient la sécurité matérielle.

Etude : Travail préparatoire de mise au point ou de recherche : ex. L'étude d'un projet.

Méthode : Manière de mener, selon une démarche raisonnée, une action, un travail, une activité ; technique : ex. Une méthode de travail. Les méthodes de vente. Il n'a suivi aucune méthode précise dans son enquête.

Protection⁴ : Technique permettant de limiter, en fonction de certains critères, l'accès à un fichier, à une banque de données, à un serveur

Réseau : Ensemble d'ordinateurs ou de terminaux interconnectés par des télécommunications généralement permanentes.

¹ Source : http://www.larousse.fr/dictionnaires/francais/exploitation/32280

² Source : http://www.larousse.fr/dictionnaires/francais/exploitation/32280

³ Source : http://www.larousse.fr/dictionnaires/francais/exploitation/32280

17

3.2. Les ondes électromagnétiques

L'onde électromagnétique est formée par le couplage des deux champs ci-dessous, le champ électrique (E) et le champ magnétique (B). Nous pouvons grâce à ce schéma nous rendre compte que la fréquence est définie par la célérité et la longueur d'onde.

? = c/f

Avec ? en mètres, c en mètres/secondes, f en hertz

Figure 3: Ondes électromagnétiques

Or, nous savons que le WiFi opère à une fréquence f=2.4 GHz et que c=300000000 m/s. La longueur d'onde est donc de 0.12248 m soit de 12.248cm.

Il est important de prendre en compte l'atténuation des ondes. En effet, une onde n'est pas envoyée à l'infini. Plus on va s'éloigner de la source, plus la qualité du signal diminuera. L'atténuation peut être schématisée de cette manière :

⁴ Source : http://www.larousse.fr/dictionnaires/francais/exploitation/32280

18

Figure 4:Atténuation d'une onde

L'onde électromagnétique qui voyage rencontre des électrons qu'elle va exciter. Ceux-ci vont émettre à leur tour du rayonnement ce qui perturbera le signal et donc l'atténuera.

De ce fait, plus la fréquence est élevée, plus la distance de couverture est faible mais plus la vitesse de transmission des données est forte.

La diffraction est une zone d'interférence entre l'onde directe d'une source et l'onde réfléchie par un obstacle ; en quelque sorte, l'onde s'interfère elle-même :

La diffraction, commune à toutes les ondes électromagnétiques, s'observe dans le cas où les dimensions de l'ouverture seraient petites face à la longueur d'onde.

Tableau 1: Récapitulatif des fréquences et débits

19

3.2.1. Les lois de la radio :

1. Débit plus grand = Couverture plus faible

2. Puissance d'émission élevée = Couverture plus grande mais durée de vie des batteries plus faible

3. Fréquences radio élevées = Meilleur débit, couverture plus faible

4. Pour qu'un réseau sans fil fonctionne, il faut au moins 2 périphériques au minimum, comme un point d'accès (AP) et une carte sans fil pour le client.

3.2.2. Interopérabilité du matériel

C'est la capacité à communiquer et/ou travailler avec des équipements identiques ou radicalement différents. Le standard 802.11b/g permet l'interopérabilité des différents équipements. Mais l'arrivée de normes propriétaires ayant comme but le doublement du débit, comme la norme 802.11g+ (SuperG) qui offre 108 Mb/s théorique bride le matériel à la vitesse nominale définie par la norme 802.11g (54 Mb/s) en cas de mélange des marques sur le réseau.

3.2.3. Cartes PCI / PCMCIA

Il est indispensable pour faire du WiFi de posséder soit une carte réseau PCI pour des ordinateurs de bureau soit une carte PCMCIA pour des ordinateurs portables.

20

3.3. Les technologies sans fil

Les technologies dites « sans fil », la norme 802.11 en particulier, facilitent et réduisent le coût de connexion pour les réseaux de grande taille. Avec peu de matériel et un peu d'organisation, de grandes quantités d'informations peuvent maintenant circuler sur plusieurs centaines de mètres, sans avoir recours à une compagnie de téléphonie ou de câblage.

Ces technologies peuvent être classées en quatre parties :

1. Les réseaux personnels sans fil : Wireless Personal Area Network (WPAN)

2. Les réseaux locaux sans fil : Wireless Local Area Network (WLAN)

3. Les réseaux métropolitains sans fil : Wireless Metropolitan Area Network (WMAN)

4. Les larges réseaux sans fil : Wireless Wide Area Network (WWAN)

3.4. Les réseaux sans fil

Un réseau sans fil est un réseau dans lequel au moins deux terminaux sont capables de communiquer entre eux grâce à des signaux radioélectriques. Les réseaux sans fil ne sont pas tous récents, mais avec le développement de l'informatique et des systèmes d'information, la technologie est venue au besoin primaire de l'homme : la mobilité et la facilité. Ces réseaux dits « sans fil » sont de plusieurs sortes : Wi-Fi (Wireless Fidelity), BlueTooth, BLR (Boucle Locale Radio), UMTS (Universal Mobile Télécommunications System), ...

1998 un groupe d'intérêt baptisé Bluetooth Special Interest Group (Bluetooth SIG), réunissant

21

3.4.1. Bluetooth

Bluetooth est une technologie de réseau personnel sans fils (noté WPAN pour Wireless Personal Area Network), c'est-à-dire une technologie de réseaux sans fils d'une faible portée permettant de relier des appareils entre eux sans liaison filaire. Contrairement à la technologie IrDa (liaison infrarouge), les appareils Bluetooth ne nécessitent pas d'une ligne de vue directe pour communiquer, ce qui rend plus souple son utilisation et permet notamment une communication d'une pièce à une autre, sur de petits espaces.

L'objectif de Bluetooth est de permettre de transmettre des données ou de la voix entre des équipements possédant un circuit radio de faible coût, sur un rayon de l'ordre d'une dizaine de mètres à un peu moins d'une centaine de mètres et avec une faible consommation électrique.

Ainsi, la technologie Bluetooth est principalement prévue pour relier entre-eux des périphériques (imprimantes, téléphones portables, appareils domestiques, oreillettes sans fils, souris, clavier, etc.), des ordinateurs ou des assistants personnels (PDA), sans utiliser de liaison filaire. La technologie Bluetooth est également de plus en plus utilisée dans les téléphones portables, afin de leur permettre de communiquer avec des ordinateurs ou des assistants personnels et surtout avec des dispositifs mains-libres tels que des oreillettes bluetooth. Les oreillettes Bluetooth permettent de faire office de casque audio perfectionné intégrant des fonctionnalités de commande à distance.

La technologie Bluetooth a été originairement mise au point par Ericsson en 1994. En février

22

plus de 2000 entreprises dont Agere, Ericsson, IBM, Intel, Microsoft, Motorola, Nokia et Toshiba, a été formé afin de produire les spécifications Bluetooth 1.0, qui furent publiées en juillet 1999.

Le nom « Bluetooth » (littéralement « dent bleue ») se rapporte au nom du roi danois Harald II (910-986), surnommé Harald II Blåtand (« à la dent bleue »), à qui on attribue l'unification de la Suède et de la Norvège ainsi que l'introduction du christianisme dans les pays scandinaves.

Caractéristiques

Le Bluetooth permet d'obtenir des débits de l'ordre de 1 Mbps, correspondant à 1600 échanges par seconde en full-duplex, avec une portée d'une dizaine de mètres environ avec un émetteur de classe II et d'un peu moins d'une centaine de mètres avec un émetteur de classe I.

Le standard Bluetooth définit en effet 3 classes d'émetteurs proposant des portées différentes en fonction de leur puissance d'émission :

Tableau 2: Portée et Puissance du Bluetooth

23

Contrairement à la technologie IrDA, principale technologie concurrente utilisant des rayons lumineux pour les transmissions de données, la technologie Bluetooth utilise les ondes radio (bande de fréquence des 2.4 GHz) pour communiquer, si bien que les périphériques ne doivent pas nécessairement être en liaison visuelle pour communiquer. Ainsi deux périphériques peuvent communiquer en étant situés de part et d'autre d'une cloison et, cerise sur le gâteau, les périphériques Bluetooth sont capables de se détecter sans intervention de la part de l'utilisateur pour peu qu'ils soient à portée l'un de l'autre.

Normes Bluetooth

Le standard Bluetooth se décompose en différentes normes :

· IEEE 802.15.1 définit le standard Bluetooth 1.x permettant d'obtenir un débit de 1 Mbit/sec

;

· IEEE 802.15.2 propose des recommandations pour l'utilisation de la bande de fréquence 2.4 GHz (fréquence utilisée également par le WiFi). Ce standard n'est toutefois pas encore validé ;

· IEEE 802.15.3 est un standard en cours de développement visant à proposer du haut débit (20 Mbit/s) avec la technologie Bluetooth ;

· IEEE 802.15.4 est un standard en cours de développement pour des applications Bluetooth à bas débit.

24

3.4.2. Technologies mobiles

3.4.2.1. 1G

La première génération de téléphonie mobile (notée 1G) possédait un fonctionnement analogique et était constituée d'appareils relativement volumineux. Il s'agissait principalement des standards suivants :

· AMPS (Advanced Mobile Phone System), apparu en 1976 aux Etats-Unis, constitue le premier standard de réseau cellulaire. Utilisé principalement Outre-Atlantique, en Russie et en Asie, ce réseau analogique de première génération possédait de faibles mécanismes de sécurité rendant possible le piratage de lignes téléphoniques.

· TACS (Total Access Communication System) est la version européenne du modèle AMPS. Utilisant la bande de fréquence de 900 MHz, ce système fut notamment largement utilisé en Angleterre, puis en Asie (Hong-Kong et Japon).

· ETACS (Extended Total Access Communication System) est une version améliorée du standard TACS développé au Royaume-Uni utilisant un nombre plus important de canaux de communication.

Les réseaux cellulaires de première génération ont été rendus obsolètes avec l'apparition d'une seconde génération entièrement numérique.

3.4.2.2. 2G

La seconde génération de réseaux mobiles (notée 2G) a marqué une rupture avec la première génération de téléphones cellulaires grâce au passage de l'analogique vers le numérique.

Les principaux standards de téléphonie mobile 2G sont les suivants :

25

· GSM (Global System for Mobile communications), le standard le plus utilisé en Europe à

la fin du XX^e siècle, supporté aux Etats-Unis. Ce standard utilise les bandes de fréquences 900 MHz et 1800 MHz en Europe. Aux Etats-Unis par contre, les bandes de fréquences utilisées sont les bandes 850 MHz et 1900 MHz. Ainsi, on appelle tri-bande, les téléphones portables pouvant fonctionner en Europe et aux Etats-Unis.

· CDMA (Code Division Multiple Access), utilisant une technique d'étalement de spectre permettant de diffuser un signal radio sur une grande gamme de fréquences.

· TDMA (Time Division Multiple Access), utilisant une technique de découpage temporel des canaux de communication, afin d'augmenter le volume de données transmis simultanément. La technologie TDMA est principalement utilisée sur le continent américain, en Nouvelle Zélande et en Asie Pacifique.

Grâce aux réseaux 2G, il est possible de transmettre la voix ainsi que des données numériques de faible volume, notamment des messages textes (SMS, pour Short Message Service) ou encore des messages multimédias (MMS, pour Multimedia Message Service). La norme GSM permet un débit maximal de 9,6 kbps.

Des extensions de la norme GSM ont été mises au point afin d'en améliorer le débit. C'est le cas notamment du standard GPRS (General Packet Radio System), qui permet d'obtenir des débits théoriques de l'ordre de 114 kbit/s, plus proche de 40 kbit/s dans la réalité. Cette technologie ne rentrant pas dans le cadre de l'appellation « 3G » a été baptisée 2.5G

La norme EDGE (Enhanced Data Rates for Global Evolution, présentée comme

2.75G quadruple les améliorations du débit de la norme GPRS en annonçant un débit théorique de 384 Kbps, ouvrant ainsi la porte aux applications multimédias. En réalité la norme EDGE permet d'atteindre des débits maximum théoriques de 473 kbit/s, mais elle a été limitée afin de se

26

conformer aux spécifications IMT-2000 (International Mobile Telecommunications-2000) de l'ITU (International Telecommunications Union).

3.4.2.3. 3G

Les spécifications IMT-2000 (International Mobile Telecommunications for the year 2000) de l'Union Internationale des Communications (UIT), définissent les caractéristiques de la 3G (troisième génération de téléphonie mobile). Ces caractéristiques sont notamment les suivantes :

· un haut débit de transmission :

· 144 Kbps avec une couverture totale pour une utilisation mobile,

· 384 Kbps avec une couverture moyenne pour une utilisation piétonne,

· 2 Mbps avec une zone de couverture réduite pour une utilisation fixe.

· compatibilité mondiale,

· compatibilité des services mobiles de 3ème génération avec les réseaux de seconde

génération,

La 3G propose d'atteindre des débits supérieurs à 144 kbit/s, ouvrant ainsi la porte à des usages multimédias tels que la transmission de vidéo, la visio-conférence ou l'accès à internet haut débit. Les réseaux 3G utilisent des bandes de fréquences différentes des réseaux précédents : 1885-2025 MHz et 2110-2200 MHz.

La principale norme 3G utilisée s'appelle UMTS (Universal Mobile Telecommunications System), utilisant un codage W-CDMA (Wideband Code Division Multiple Access). La technologie UMTS utilise la bande de fréquence de 5 MHz pour le transfert de la voix et de données avec des débits pouvant aller de 384 kbps à 2 Mbps. La technologie HSDPA (High-Speed Downlink Packet Access) est un protocole de téléphonie mobile de troisième génération

27

baptisé « 3.5G » permettant d'atteindre des débits de l'ordre de 8 à 10 Mbits/s. La technologie HSDPA utilise la bande de fréquence 5 GHz et utilise le codage W-CDMA.

3.4.2.4. 4G

La technologie 4G est la nouvelle génération des standards téléphoniques, en voie d'expansion à travers le monde, y compris en RDCongo où elle n'est en réalité pas pour l'instant accessible. Alors qu'au sein du réseau 3G, les données internet et conversations téléphoniques étaient séparées, le débit devant alors se partager entre les utilisateurs connectés, la 4G réunit l'ensemble de ces données. Cela garantit un transfert de données de meilleure qualité.

Les débits vont de 100Mb/s à 1Go/s. Le réseau mobile 4G peut donc offrir un débit nettement supérieur à celui de la fibre optique actuelle, du moins en théorie car en pratique il n'est pour l'instant "que" de quelques dizaines de Mb/s, du fait que la bande passante soit partagée entre les différents utilisateurs du réseau dans une même zone.

La norme 4G couramment utilisée est le LTE (Long Term Evolution) et elle utilise les bandes de fréquences des 2 600 MHz et des 800 MHz.

Comme pour le passage de la 2G à la 3G, les terminaux mobiles doivent être adaptés à la nouvelle génération 4G, ce qui est déjà le cas pour bon nombre de produits qui ont été mis sur le marché récemment. En effet, qu'il s'agisse d'une clé mobile ou d'un smartphone, leur adaptation aux nouveaux protocoles IPv6, fournis par la connexion 4G, est nécessaire. De leur côté, les opérateurs commencent peu à peu à proposer des forfaits adaptés.

28

Tableau 3: Débit et bande passante des standards mobiles

3.4.3. Boucle Locale Radio

La boucle locale radio (BLR) est l'ensemble des technologies permettant à un particulier ou une entreprise d'être relié à son opérateur (téléphonie fixe, Internet, télévision...) via les ondes radio. C'est un type de boucle locale qui permet de compléter la desserte filaire traditionnelle. Parmi les technologies de BLR, on compte :

29

· Local Multipoint Distribution Service (LMDS)

Le Local Multipoint Distribution Service (LMDS) est une technique d'accès large bande par ondes radio. Elle utilise des fréquences situées entre 26 et 29 GHz. Aux États-Unis, des fréquences situées entre 31.0 et 31.3 GHz sont également utilisées par cette technique.

Le LMDS est principalement destiné à des utilisations de type point à multi-point (une station de base communique avec plusieurs stations d'usager) sur des distances pouvant atteindre 8 kilomètres mais rapidement limitées par la pluie (étant données les fréquences utilisées). La technique peut également être employée pour réaliser des liaisons point à point, la distance de couverture peut alors être augmentée en utilisant des antennes directionnelles.

La technique WiMAX est aujourd'hui préférée au LMDS car elle offre de meilleurs débits, sur de plus grandes distances de couverture et avec des meilleures conditions de transmission.

· Multichannel Multipoint Distribution Service (MMDS)

Le MMDS Microwave ( Multipoint Distribution System), soit « Système Distribution Micro-onde Multipoint » (SDMM), est un système de diffusion de la télévision.

Par ce procédé, les programmes télévisuels sont diffusés par un émetteur terrestre qui fonctionne dans des bandes de fréquences micro-ondes de 2,5 et 3,5 GHz (bande S et C) Les signaux sont analogiques, en modulation de fréquence ou en modulation

30

d'amplitude. Pour les capter, l'usager est équipé d'une antenne parabolique de petite taille (30 cm) avec un convertisseur intégré (en bande S ou C).

· Worldwide Interoperability for Microwave Access (WiMAX)

WiMAX (acronyme pour Worldwide Interoperability for Microwave Access) désigne un standard de communication sans fil. Aujourd'hui surtout utilisé comme mode de transmission et d'accès à Internet haut débit, portant sur une zone géographique étendue. Ce terme est également employé comme label commercial, à l'instar du Wi-Fi.

Un des objectifs fondateurs du WiMAX Forum est la volonté d'interopérabilité. Cet objectif est obtenu grâce à la normalisation et la certification qui représentent un des enjeux majeurs du WiMAX, à l'instar du succès obtenu par le Wi-Fi. WiMAX est défini pour exploiter une gamme de fréquences allant de 2 à 66 GHz - dans laquelle d'autres modes de transmission existent comme le Wi-Fi - autorisant des débits, des portées et des usages variés.

La multiplicité des bandes de fréquences, des différents débits exploités, de l'étendue des couvertures et d'applications envisageables représente le principal écueil que doit affronter le commentateur : selon différents points de vue, le WiMAX est tour à tour, un simple prolongement du Wi-Fi, le coeur de réseau du Wi-Fi, voire encore, la convergence du Wi-Fi et du réseau cellulaire de troisième génération (UMTS, dite « 3G »).

31

3.4.4. Le WiFi

La norme WiFi (Wireless Fidelity) est le nom commercial donné à la norme IEEE (Institute of Electrical and Electronics Engineers - l'organisme de certifications des normes réseaux) 802.11b et 802.11g par la WiFi Alliance, autrefois appelé Weca (association commerciale d'industrie avec plus de 200 compagnies de membre consacrées à favoriser la croissance des réseaux locaux sans fil). Ce standard est actuellement l'un des standards les plus utilisés au monde. Les débits théoriques du 802.11b sont de 11 Mb/s et 54 Mb/s pour le 802.11g.

Il est évident que le débit pratique varie en fonction de l'environnement. Le WiFi utilise la gamme de fréquence de 2.4 GHz, la même que celle des fours à micro-ondes ; leur principe est le suivant : l'onde émise à très forte puissance est absorbée par les molécules d'eau contenues dans les aliments. Cette absorption « agite » les molécules d'eau et génère la chaleur permettant de réchauffer ou cuire les aliments. De la même façon, suivant le même principe, tout obstacle situé sur une liaison WiFi 2.4GHz contenant de l'eau ou suffisamment dense (béton armé, foule importante, ...) atténuera plus ou moins cette liaison.

32

Tableau 4: Propriétés des milieux

33

Il existe trois modèles de déploiement :

3.4.4.1. Le mode Infrastructure :

Figure 5:Mode Infrastructure

C'est le mode le plus utilisé dans le monde du WiFi. Le schéma classique de ce mode est le suivant :

Dans ce type d'infrastructure, on va avoir un point d'accès qui est relié au réseau et qui va diffuser un SSID1, c'est en fait le nom du réseau sans-fil. Ce SSID sera visible par les clients WiFi. Chaque ordinateur client WiFi est équipé d'une carte sans-fil et pourra ainsi voir le SSID diffusé. Une fois le client connecté au point d'accès, il aura accès au réseau.

34

3.4.4.2 Le mode Ad-Hoc

Figure 6: Mode Ad Hoc

Le deuxième mode de fonctionnement du WiFi est le mode ad-hoc, c'est un mode beaucoup plus souple que le mode infrastructure, et aussi beaucoup moins commun pour les utilisateurs lambda du WiFi. Il ne nécessite par forcément un appareil de type point d'accès.

Dans ce mode, les machines sans-fil clientes vont se connecter les unes aux autres. Elles seront dont à la fois clientes et point d'accès. L'ensemble créé par les machines reliées entre elles est appelé IBSS2 (Independant Basic Service Set). Un IBSS est un réseau qui va être constitué d'au moins deux machines en mode ad-hoc sans point d'accès relié à un réseau.

L'avantage du mode ad-hoc va être que l'on pourra s'échanger des données entre deux machines disposant d'une carte WiFi.

35

3.4.4.3. Le mode pont « Bridge »

Figure 7: Mode pont "Bridge"

Le troisième mode de fonctionnement est le mode pont. Il fonctionne avec plusieurs points d'accès. En effet, il faut configurer un point d'accès en mode pont, il peut y avoir un ou plusieurs ponts qui s'y connectent. Quand ces points d'accès s'y connectent, ils vont ensuite retransmettre la connexion. Le but d'un pont est d'étendre la portée du point d'accès et peut être très utile dans le cas d'une connexion entre 2 immeubles.

Le désavantage du WiFi par rapport à un réseau filaire, c'est qu'il possède plusieurs méthodes d'authentification pour sécuriser les réseaux WiFi diffusés.

Voici les principaux avantages et inconvénients à déployer un réseau sans fil WiFi :

36

Avantages :

1. Mobilité : les utilisateurs sont généralement satisfaits des libertés offertes par un réseau sans fil et de fait sont plus enclins à utiliser le matériel informatique.

2. Facilité et souplesse : un réseau sans fil peut être utilisé dans des endroits temporaires, couvrir des zones difficiles d'accès aux câbles, et relier des bâtiments distants.

3. Coût : si leur installation est parfois un peu plus coûteuse qu'un réseau filaire, les réseaux sans fil ont des coûts de maintenance très réduits ; sur le moyen terme, l'investissement est facilement rentabilisé.

4. Évolutivité : les réseaux sans fil peuvent être dimensionnés au plus juste et suivre simplement l'évolution des besoins.

Inconvénients :

1. Qualité et continuité du signal : ces notions ne sont pas garanties du fait des problèmes pouvant venir des interférences, du matériel et de l'environnement.

2. Sécurité : la sécurité des réseaux sans fil n'est pas encore tout à fait fiable du fait que cette technologie est novatrice.

3.4.4.4. Point d'accès

Il existe ce que l'on appelle des points d'accès (composés en général d'une carte WiFi et d'une antenne) qui permettent de donner un accès au réseau filaire - auquel il est raccordé - aux différentes stations avoisinantes équipées de cartes WiFi. Cette sorte de concentrateur est l'élément nécessaire pour déployer un réseau centralisé (mode infrastructure).

37

Il y a deux types de points d'accès :

1. Le point d'accès simple qui n'a qu'une fonction de lien entre le réseau filaire et le réseau sans fil.

2. Le point d'accès routeur qui permet de connecter un modem ADSL Ethernet afin de partager une connexion Internet sur un réseau sans fil. Ils peuvent intégrer un concentrateur offrant de connecter d'autres appareils sur un réseau sans fil.

3.4.4.5. Les antennes

Il existe deux principaux modèles d'antennes :

3. Les antennes omnidirectionnelles qui ont un gain variant entre 1 et 15 dBi et qui offrent
un rayonnement sur 360°. Elles s'installent généralement sur le point d'accès relié au réseau voire sur les cartes PCI.

4. Les antennes directionnelles ont un gain allant de 5 à 24 dBi avec un rayonnement
directif. Elles permettent d'établir des liaisons point à point mais également de couvrir une zone limitée dans le cas d'une antenne à angle d'ouverture important. Elles sont de plusieurs types comme par exemple les antennes paraboles ou encore les antennes panneaux.

3.5. La règlementation en RDCongo

L'ART - Autorité de Régulation des Télécommunications - est un organisme qui, comme son nom l'indique, est chargé de réguler les télécommunications. Ses activités vont de la délivrance de permis pour réseaux indépendants à la sanction en cas d'infraction.

38

Dans l'état actuel de la règlementation, les usages des technologies de type WiFi sont possibles pour les entreprises, les collectivités territoriales et les particuliers qui peuvent les utiliser pour installer un réseau destiné à leur propre usage, à l'intérieur de leurs immeubles.

Les conditions techniques de base à respecter établies par l'ART sont les suivantes :

1. Puissance de rayonnement ne doit pas excéder 100 mW à l'intérieur des murs

2. Puissance de rayonnement ne doit pas excéder 10mW à l'extérieur des murs

3.6. La sécurité

3.6.1. Le WEP

Pour remédier aux problèmes de confidentialité des échanges sur un réseau sans fil, le standard 802.11 intègre un mécanisme simple de chiffrement de données, le WEP. Ce cryptage travaille avec l'algorithme RC4 pour chiffrer les données et utilise des clés statiques de 64 ou 128 voire 152 bits suivant les constructeurs.

Le principe du WEP consiste à définir une clé sécrète qui doit être déclarée au niveau de chaque adaptateur sans fil du réseau ainsi que sur le point d'accès. La clé sert à créer un nombre pseudo-aléatoire d'une longueur égale à la longueur de la trame. Chaque élément du réseau voulant communiquer entre eux doit connaître la clé secrète qui va servir au cryptage WEP. Une fois mis en place, toutes les données transmises sont obligatoirement cryptées. Il assure ainsi l'encryptage des données durant leur transfert ainsi que leurs intégrités.

39

Cependant, le WEP possède un grand nombre de failles, le rendant vulnérable. En effet, le cryptage RC4 présente des faiblesses. La clé de session partagée par toutes les stations est - nous le savons - statique. Cela signifie que pour déployer un grand nombre de stations WiFi, il est nécessaire de les configurer en utilisant la même clé de session - ceci ayant pour conséquence que la connaissance de la clé est suffisante pour déchiffrer les communications. De plus, 24 bits de la clé servent uniquement pour l'initialisation, ce qui signifie que seuls 40 bits de la clé de 64 bits servent réellement à chiffrer et 104 bits pour la clé de 128 bits. Dans le cas d'une clé de 40 bits, une attaque par force brute - c'est à dire essayer toutes les possibilités de clés - peut très vite amener le pirate à trouver la clé de session. Également, il existe différents logiciels, comme « WEPCrack » sous Linux ou « Aircrack » sous Windows, qui permettent de déchiffrer la clé en quelques minutes.

Concernant l'intégrité des données, le CRC32 - implanté dans le WEP - comporte une faille permettant la modification de la chaîne de vérification du paquet à comparer à la chaîne finale issue des données reçues, ce qui permet à un pirate de faire passer ses informations pour des informations valides.

A noter également que l'utilisation du WEP réduit le débit de la connexion du fait du cryptage/décryptage des paquets.

Néanmoins, il s'agit d'une solution de sécurité existant dans tous les équipements WiFi, ce qui explique qu'il soit très utilisé par le grand public ainsi que par certaines entreprises.

Pour résumer, les différentes vulnérabilités du WEP sont :

40

1. Contre la confidentialité du fait de la réutilisation de la suite chiffrée, de la faiblesse du RC4 et d'une possible fausse authentification.

2. Contre l'intégrité du fait de la capacité à modifier les paquets et d'en injecter des faux.

Le WEP n'est donc pas suffisant pour garantir une réelle confidentialité des données. Pour autant, il sera indispensable de mettre en oeuvre une protection WEP 128 bits afin d'assurer un niveau de confidentialité minimum quant aux données de l'entreprise.

3.6.2. Le WPA

Le WPA, développé par l'IEEE, est un autre protocole de sécurisation des réseaux sans fil offrant une meilleure sécurité que le WEP car il est destiné à en combler les faiblesses.

En effet, le WPA permet un meilleur cryptage de données qu'avec le WEP car il utilise des clés TKIP (Temporal Key Integrity Protocol) dites dynamiques et permet l'authentification des utilisateurs grâce au 802.1x - protocole mis au point par l'IEEE et à l'EAP (Extensible Authentification Protocol).

Ainsi, le WPA permet d'utiliser une clé par station connectée à un réseau sans fil, alors que le WEP, lui, utilisait la même clé pour tout le réseau sans fil. Les clés WPA sont en effet générées et distribuées de façon automatique par le point d'accès sans fil, qui doit être compatible avec le

WPA.

De plus, un vérificateur de données permet de vérifier l'intégrité des informations reçues pour être sûr que personne ne les a modifiées.

41

Le TKIP rajoute par rapport aux clés WEP :

1. Vecteur d'initialisation de 48 bits au lieu de 24 bits pour le WEP. Le crackage de la clé WEP provient en effet du fait que le pirate peut déterminer la clé WEP à partir du vecteur d'initialisation de 24 bits. Donc, il sera bien plus difficile à déterminer la clé avec un vecteur d'initialisation de 48 bits.

2. Génération et distribution des clés : le WPA génère et distribue les clés de cryptage de façon périodique à chaque client. En fait, chaque trame utilise une nouvelle clé, évitant ainsi d'utiliser une même clé WEP pendant des semaines voire des mois.

3. Code d'intégrité du message : ce code, appelé MIC (Message Integrity Code), permet de vérifier l'intégrité de la trame. Le WEP utilise une valeur de vérification d'intégrité ICV (Integrity Check Value) de 4 octets, tandis que le WPA rajoute un MIC de 8 octets.

3.6.2.1. Mode d'authentification :

· Le mode entreprise : il nécessite un serveur central qui répertorie les utilisateurs, par exemple un serveur RADIUS. Il faut pour cela un ordinateur exprès, ce qui coûte cher.

· Le mode personnel : il permet une méthode simplifiée d'authentification des utilisateurs sans utiliser un serveur central. Ce mode s'appelle également PSK (Pre-Shared Key). Il s'agit alors de saisir un mot de passe alphanumérique (« passphrase »).

Étant donné que l'entreprise ne possède pas de serveur type RADIUS, il sera nécessaire de choisir le second mode d'authentification, à savoir personnel.

42

3.6.2.2. Problèmes du WPA :

Quelques problèmes subsistent tout de même à ce protocole et notamment l'attaque de type « déni de service ».

En effet, si quelqu'un envoie au moins deux paquets chaque seconde utilisant une clé de cryptage incorrecte, alors le point d'accès sans fil « tuera » toutes les connexions utilisateurs pendant une minute. C'est un mécanisme de défense pour éviter les accès non-autorisés à un réseau protégé, mais cela peut bloquer tout un réseau sans fil.

Outre ce problème, il manquerait au WPA pour fournir une meilleure sécurité :

· Un SSID (Service Set IDentifier) sécurisé, c'est à dire une chaîne de caractères alphanumériques sécurisée permettant d'identifier un réseau sans fil

· Une déconnexion rapide et sécurisée

· Une dé-authentification et une dé-association sécurisées

· Un meilleur protocole de cryptage tel que AES (Advanced Encryption Standard)

3.6.3. Le WPA2

Le 802.11i, nouvelle norme ratifiée en 2004, propose une solution de sécurisation poussée pour les réseaux sans fil WiFi. Il s'appuie sur l'algorithme du chiffrement TKIP, comme le WPA, mais supporte au contraire l'AES - au lieu du RC4 - beaucoup plus sûr au niveau du cryptage des données. La WiFi Alliance a ainsi crée une nouvelle certification, baptisée WPA-2, pour les matériels supportant le standard 802.11i.

43

Le WPA-2, tout comme son prédécesseur le WPA, assure le cryptage ainsi que l'intégrité des données mais offre de nouvelles fonctionnalités de sécurité telles que le « Key Caching » et la « Pré-Authentification ».

3.6.3.1. Le Key Caching :

Il permet à un utilisateur de conserver la clé PMK (Pairwise Master Key) - variante de PSK (Pre-Shared Key) du protocole WPA lorsqu'une identification s'est terminée avec succès afin de pouvoir la réutiliser lors de ses prochaines transactions avec le même point d'accès. Cela signifie qu'un utilisateur mobile n'a besoin de s'identifier qu'une seule fois avec un point d'accès spécifique. En effet, celui-ci n'a plus qu'à conserver la clé PMK, ce qui est géré par le PMKID (Pairwise Master Key IDentifier) qui n'est autre qu'un hachage de la clé PMK, l'adresse MAC du point d'accès et du client mobile, et une chaîne de caractère. Ainsi, le PMKID identifie de façon unique la clé PMK.

3.6.3.2. La Pré-Authentification :

Cette fonction permet à un utilisateur mobile de s'identifier avec un autre point d'accès sur lequel il risque de se connecter dans le futur. Ce processus est réalisé en redirigeant les trames d'authentification générées par le client envoyé au point d'accès actuel vers son futur point d'accès par l'intermédiaire du réseau filaire. Cependant, le fait qu'une station puisse se connecter à plusieurs points d'accès en même temps accroît de manière significative le temps de charge.

44

Pour résumer, le WPA-2 offre par rapport au WPA :

9 Une sécurité et une mobilité plus efficaces grâce à l'authentification du client indépendamment du lieu où il se trouve.

9 Une intégrité et une confidentialité fortes garanties par un mécanisme de distribution dynamique de clés.

9 Une flexibilité grâce à une ré-authentification rapide et sécurisée.

9 Toutefois, pour profiter du WPA-2, les entreprises devront avoir un équipement

spécifique tel qu'une puce cryptographique dédiée pour les calculs exigés par l'AES.

Voici un petit tableau qui permet de résumer les protocoles et algorithme de cryptage utilisés.

Tableau 5: Protocoles et algorithmes de cryptage associés

45

3.6.4. Autres mesures de sécurité

Afin d'accroitre la sécurité d'un réseau WiFi, il existerait d'autres mécanismes qu'offrent la majorité de point d'accès récents. La fonctionnalité la plus efficace a attiré notre attention dans cette partie. Il s'agit du filtrage par adresse MAC.

Le filtrage par adresse MAC est une fonctionnalité de sécurité que l'on trouve dans certains points d'accès. Il permet d'exclure ou de ne tolérer que certaines adresses MAC à accéder au réseau sans fil.

Une adresse MAC est en fait un identifiant unique pour chaque carte réseau. Ce système, qui permet donc de contrôler quelles cartes réseaux peuvent entrer sur le réseau, aurait permis une grande sécurité, malheureusement, le protocole 802.11b/g n'encrypte pas les trames où apparaissent ces adresses MAC.

En effet, un simple logiciel, comme « kismet » par exemple, permet de voir les adresses MAC des clients. De ce fait, comme il existe des outils ou des commandes pour modifier son adresse MAC et ainsi usurper celle d'un client, le réseau devient ainsi une vraie « passoire ».

Le filtrage par adresse MAC, associé au WEP ou WPA, ferai donc une bonne sécurité. Malheureusement, aucune sécurité n'est inviolable ...

46

3.7. Sécurité avancée

Notre recherche propose à toute entreprise qui pour des raisons de sécurité avancée du réseau sans fil voudraient investir dans les technologies dernier cri en général, ainsi qu'à la microfinance COOPEC NYAWERA en particulier.

Afin de gérer plus efficacement les authentifications, les autorisations et la gestion des comptes utilisateurs (en anglais AAA pour Authentication, Authorization, and Accounting) il est possible de recourir à un serveur RADIUS (Remote Authentication Dial-In User Service), ou bien aux réseaux privés virtuels (VPN). Le protocole RADIUS (défini par les RFC 2865 et 2866), est un système client/serveur permettant de gérer de façon centralisée les comptes des utilisateurs et les droits d'accès associés.

3.7.1. RADIUS

3.7.1.1. Introduction au protocole RADIUS

Le protocole RADIUS (Remote Authentication Dial-In User Service), mis au point initialement par Livingston, est un protocole d'authentification standard, défini par un certain nombre de RFC.

Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les accès d'utilisateurs distants à un réseau. Il s'agit du protocole de prédilection des fournisseurs d'accès à internet car il est relativement standard et propose des fonctionnalités de comptabilité permettant aux FAI⁵ de facturer précisément leurs clients.

⁵ FAI : signifie littéralement Fournisseur d'accès à Internet. C'est un service (la plupart du temps payant) qui vous permet de vous connecter à Internet...

47

Le protocole RADIUS repose principalement sur un serveur (le serveur RADIUS), relié à une base d'identification (base de données, annuaire LDAP, etc.) et un client RADIUS, appelé NAS (Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffrée et authentifiée grâce à un secret partagé.

Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire transmettre les requêtes du client à d'autres serveurs RADIUS.

3.7.1.2. Fonctionnement de RADIUS

Le fonctionnement de RADIUS est basé sur un scénario proche de celui-ci :

· Un utilisateur envoie une requête au NAS afin d'autoriser une connexion à distance ;

· Le NAS achemine la demande au serveur RADIUS ;

· Le serveur RADIUS consulte la base de données d'identification afin de connaître le type de scénario d'identification demandé pour l'utilisateur. Soit le scénario actuel convient, soit une autre méthode d'identification est demandée à l'utilisateur.

Le serveur RADIUS retourne ainsi une des quatre réponses suivantes :

1. ACCEPT : l'identification a réussi ;

2. REJECT : l'identification a échoué ;

3. CHALLENGE : le serveur RADIUS souhaite des informations supplémentaires de la part de l'utilisateur et propose un « défi » (en anglais « challenge ») ;

48

4. Il existe une réponse appelée CHANGE PASSWORD où le serveur RADIUS demande à l'utilisateur un nouveau mot de passe. Change-password est un attribut VSA (Vendor-Specific Attributes) , c'est-à-dire qu'il est spécifique à un fournisseur, et dans ce cas, c'est un attribut de Microsoft et pour être plus précis, celui de MS-CHAP v2. Il n'appartient pas aux attributs radius standard définis dans la RFC 2865.

Suite à cette phase dite d'authentification, débute une phase d'autorisation où le serveur retourne les autorisations de l'utilisateur.

Le schéma suivant récapitule les éléments entrant en jeu dans un système utilisant un serveur RADIUS :

Figure 8: Authentification Radius

49

3.8. Conclusion du chapitre

Afin qu'un réseau WiFi ne soit pas ouvert à tout vent et vulnérable aux intrusions, il vaut mieux prendre le temps de le paramétrer correctement et de le sécuriser. Nous détaillerons une suite de mesures pour faire du réseau wifi de la COOPEC Nyawera une véritable forteresse.

Après une étude consacrée aux différentes technologies sans fil et les notions de sécurité s'y rapportant, nous retiendrons qu'une série des fonctionnalités pour les dispositifs réseau qui les permettent nous aiderons à renforcer la sécurité d'un réseau wifi, notamment :

· La vérification du type de sécurité du réseau en entrant dans l'interface d'administration du box Internet ainsi que celle du point d'accès. Nous saurons ainsi quel protocole de sécurité est utilisé pour chiffrer les données transmises : le WEP 40 ou 128bits, le WPA, le WPA2 (TKIP) ou encore le WPA/WPA2 (TKIP/AES).

· Le protocole WEP étant le plus ancien, il est également le plus vulnérable. Le protocole WPA offre un niveau de sécurité supérieur, mais c'est avec le WPA2, avec encryptage AES, que nous obtiendrons le plus haut degré de protection. Autant que possible, nous accorderons une préférence à ce protocole de sécurité.

· Le Remplacement de la clé de sécurité WiFi fournie par l'opérateur avec une combinaison de lettres majuscules et minuscules, chiffres et symboles. Ce sera plus compliqué à déchiffrer. Bien entendu, nous prendrons soin de la noter dans un carnet et de ne la communiquer qu'aux personnes de confiance.

· La Modification du nom du réseau (ou SSDI) par une appellation plus facile à retrouver. Cela peut s'avérer pratique pour les installations effectuées en ville ou en appartement, où il

50

est possible de détecter aussi le réseau de ses voisins.

· La Désactivation de la diffusion du SSID. Le réseau wifi ne sera plus visible.

· La Désactivation du « WiFiEasyPairing » et le « WPS pairing » permettant d'intégrer facilement des terminaux sans fil au réseau, soit automatiquement lors de leur détection (sans demande du SSID ni de clé de cryptage), soit en appuyant sur le bouton d'association de la box.

· La Désactivation du serveur DHCP. Celui-ci permet d'attribuer automatiquement à un terminal qui se connecte au réseau, une adresse IP, un masque de sous-réseau, une passerelle et les adresses DNS. C'est-à-dire, tout ce qu'il faut pour pouvoir accéder au réseau. En désactivant le serveur DHCP, nous compliquerons la tâche des éventuels pirates. Pour pénétrer sur le réseau, ces derniers devront, au préalable, connaître toutes ces informations puisqu'elles ne seront plus fournies automatiquement.

· L'Activation de filtrage des adresses MAC; Chaque terminal connecté (ordinateur, smartphone, tablettes, consoles, etc.) possède une adresse physique qui lui est propre, ce qu'on appelle l'adresse MAC. Cette adresse est représentée par 12 chiffres hexadécimaux groupés par paire et séparés par des tirets (par exemple « g7:71:bc:ac:3a:a6 »). Pour que seuls les terminaux internes puissent se connecter au réseau sans fil de la l'entreprise, nous pouvons définir une liste de droit d'accès (ACL) basés sur leurs adresses MAC. Mais nous devons faire attention, avant de définir le filtrage MAC, nous devons identifier et trouver les adresses MAC des terminaux souhaitant se connecter au routeur en Wi-Fi.

51

· La Désactivation du statut du « WiFi Partagé ». Certains opérateurs, proposent d'emblée cette option qui permet de transformer le box en Hotspot Wi-Fi, accessible en mobilité par les abonnés avec leurs identifiants de connexion.

· La Création d'un réseau WiFi « invités » qui sera séparé du réseau utilisé en interne. L'objectif étant de bien isoler l'accès temporaire des visiteurs du reste du réseau de l'entreprise. La plupart des box Internet l'autorise.

· La Définition des plages horaires d'accès au réseau pour les équipements connectés. Dans l'interface d'administration du box, il est possible de savoir quels terminaux sont connectés ou se sont connectés au réseau WiFi, et de restreindre leur accès. Notamment, en définissant une plage horaire pendant laquelle ils peuvent se connecter. Il est également possible de « blacklister » un équipement et de ne plus lui permettre de se connecter au réseau.

C'est sur ces mesures permettant évidemment de renforcer la sécurité du réseau, bien que cela n'empêchent pas que la meilleure protection reste une fois de plus la vigilance, que nous terminerons ce troisième chapitre intitulé: Revue littéraire sur le réseau sans fil.

52

CHAP IV: REALISATION DE LA SOLUTION RETENUE

4.1. Matériel et Méthodes

4.1.1. Méthodes

Généralement, le WiFi utilise une bande de fréquence autour de 2,4 GHz, il partage cette bande de fréquence avec d'autres équipements comme les fours à micro-ondes, le Bluetooth, etc. Ce partage, ainsi que la multiplication des équipements WiFi peut entrainer des interférences qui dégradent sérieusement la qualité des liaisons.

Pour pallier à ce problème, une deuxième bande de fréquence peut être utilisée autour de 5 GHz ; ces équipement étant beaucoup moins répandus, les interférences sont beaucoup plus rares.

Ces deux fréquences correspondent à deux séries de matériels physiquement différents aussi bien au niveau des points d'accès que des antennes.

Avant l'évolution vers les Ubiquiti, le réseau COOPEC NYAWERA n'utilisait que la bande de fréquence 2,4 GHz, la seule supportée par les routeurs sans fil Linksys WRT54G.

La COOPEC NYAWERA a décidé d'isoler la dorsale (ou infrastructure) sur la bande des 5 GHz, de façon à minimiser au maximum des interférences extérieures et intérieures (réseaux de distribution, zones chez les abonnés).

Les réseaux de distribution (lien entre la dorsale et l'abonné) resteront en 2,4 GHz, pour plusieurs raisons :

53

· Isolement de la dorsale

· Réutilisation des antennes actuelles de distribution

· Changement sélectif et progressif du matériel chez les abonnés

· Maintien de la compatibilité avec les WRT54G et la majorité des périphériques WiFi (ordinateurs portable, téléphone, etc...)

Ces 2 bandes de fréquences sont divisées en fréquences plus précises qui peuvent cohabiter, les choix de ces fréquences dans les endroits fortement équipés est crucial pour le bon fonctionnement du réseau.

Le nom commercial WiFi désigne la norme IEEE 802.11, cette norme comporte différentes révisions, celles qui nous concernent sont les suivantes :

· 802.11b : c'est la norme sur laquelle a été bâtie la distribution du réseau COOPEC NYAWERA en 2003-2004, le débit théorique est de 11 Mbit/s sur le 2.4 GHz, la COOPEC a remplacé les derniers de ces équipements (Linksys WET11) il y a déjà plusieurs années.

· 802.11g : c'est la norme qu'exploite les WRT54G avec un débit théorique de 54 Mbit/s sur le 2,4 GHz.

· 802.11n : c'est la norme qu'exploite le matériel Ubiquiti avec un débit théorique de 300 Mbit/s sur le 2,4 GHz ou le 5 GHz

Toutes ces normes sont compatibles de façon ascendante, si elles utilisent la même fréquence.

54

Nouveaux services aux utilisateurs

Le changement de matériel a entraîné l'augmentation de la capacité de transfert de données à l'intérieur de notre réseau. Cela permet à la COOPEC de mettre en place de nouveaux services pour les utilisateurs et les administrateurs du réseau.

Surveillance et monitoring du réseau

Le matériel Ubiquiti, destiné à l'usage professionnel, présente un autre avantage sous la forme du logiciel airControl. Ce logiciel permet de détecter et d'administrer tous les équipements Ubiquiti présents sur un réseau local, il se déploie sur un serveur Linux standard, puis est accessible via une interface web.

AirControl permet une administration fine des équipements, une surveillance du réseau optimale ainsi qu'une maintenance aisée comme par exemple le fait de pouvoir définir les groupes d'équipements et de planifier des taches automatiques comme :

· redémarrage à distance

· mise à jour des firmwares

· centralisation dans un journal d'erreur commun des dysfonctionnements divers

· etc. ...

En complément, nous utilisons aussi le logiciel Nagios pour avoir une vision complète comprenant le matériel d'autres marques, lui aussi déployé sur un serveur Linux et accessible via une interface web.

55

4.1.2. Matériels

4.1.2.1. Switchs

Contrairement aux WRT les Ubiquiti n'ont qu'une seule prise ethernet, il convient donc dans les relais de plus de 2 équipements d'utiliser un switch (multiprise réseau) en complément. Pour les relais les plus sollicités et les moins accessibles, la COOPEC a opté pour du matériel professionnel d'occasion car ces équipements vieillissent plutôt bien et coutent très chers neufs.

4.1.2.2. Câblages et fixations

L'installation d'un WRT avec une antenne externe et celle d'un Ubiquiti est assez différente:

· Les WRT sont des équipements pour l'intérieur, seules les antennes extérieures sont étanches, il faut donc placer le point d'accès dans une boite étanche ou à l'intérieur de l'habitation, le raccordement à l'antenne se fait par un câble coaxial spécifique. L'inconvénient de ces câbles est leur coût important et la limitation de leur longueur sans perte.

· Les Ubiquiti sont des équipements étanches prévus pour l'extérieur qui fusionnent pour la plupart le point d'accès et l'antenne dans un seul et même boitier, l'unique câble est un câble réseau standard RJ45. L'alimentation se fait grâce à la technologie PoE qui permet de faire transiter une tension via un câble réseau en plus des données. Les câbles réseaux RJ45 sont très standards, leur cout est raisonnable et il supporte des longueurs jusqu'à 100 mètres.

56

Ubiquiti Networks fournit un câble, appelé TOUGH Cable, très résistant et prévu pour l'extérieur. De plus ils ont aussi développé toute une série de fixations, souvent vendues avec l'équipement, faciles à utiliser et de bonne qualité.

4.2. Rappels sur 802.1X

Le protocole 802.1X est un standard mis au point par l'IEEE. Son but est d'autoriser l'accès physique à un réseau local après authentification depuis un réseau filaire ou sans fil.

Trois acteurs principaux interviennent dans ce mécanisme :

· Le système à authentifier (supplicant ou client)

· Le point d'accès au réseau local (commutateur, borne wifi etc.)

· Le serveur d'authentification

Tant qu'il n'est pas authentifié, le client ne peut pas avoir accès au réseau, seuls les échanges liés au processus d'authentification sont relayés vers le serveur d'authentification par le point d'accès (ici Ubiquiti). Une fois authentifié, le point d'accès laisse passer le trafic lié au client (figure 9).

Figure 9: Architecture d'authentification 802.1X

57

4.2.1. Les méthodes d'authentification de 802.1X

4.2.1.1. EAP : Extensible Authentication Protocol

Le protocole 802.1X définit l'utilisation d'EAP (Extensible Authentication Protocol, RFC 2284, mécanisme décrivant la méthode utilisée pour réaliser l'authentification. On distingue deux types de trafic EAP (figure 2):

· entre le système à authentifier et le point d'accès (support : 802.11a, b, g ou 802.3) : EAP over LAN (EAPOL)

· entre le point d'accès et le serveur d'authentification (de type RADIUS) : EAP over Radius

Figure 10: Types EAP

Les messages EAP se décomposent en 4 classes :

· requêtes (du serveur vers le client)

· réponses (du client vers le serveur)

· succès

· erreur ou échec

58

Comme le montre la figure 11, la première étape est bien sûr l'association physique avec le point d'accès (équivalent au branchement d'un câble reliant le port d'un commutateur à l'équipement à authentifier) qui doit être réalisée préalablement à la phase d'authentification 802.1X.

Le processus d'authentification est ensuite initié par l'envoi d'une requête provenant du point d'accès vers le client (EAPOL). Le client répond à la requête en y joignant un premier identifiant (nom de la machine, login, etc). Cette réponse est retransmise au serveur Radius (EAP over Radius).

À partir de ce moment, les échanges dépendent de la méthode d'authentification choisie (EAP-TLS, LEAP, etc.).

Au terme de ces échanges, le client est soit authentifié, auquel cas le point d'accès autorise le trafic du client sur le réseau, soit non-authentifié, et l'accès au réseau reste alors interdit.

Figure 11: Echanges EAP

59

4.2.1.2. Les méthodes associées à EAP

Le protocole 802.1X ne propose pas une seule méthode d'authentification mais un canevas sur lequel sont basés plusieurs types d'authentification. Ainsi, une méthode d'authentification EAP utilise différents éléments pour identifier un client :

· login / mot de passe ;

· certificat électronique ;

· biométrie ;

· puce (SIM).

Certaines méthodes combinent plusieurs critères (certificats et login/mot de passe etc.)

En plus de l'authentification, EAP gère la distribution dynamique des clés de chiffrement (WEP). Le reste de cet article décrit plus en profondeur les méthodes suivantes :

· EAP-TLS [2] : authentification mutuelle entre le client et le serveur Radius par le biais de certificats (côté client et côté serveur) ;

· EAP-TTLS [3] et EAP-PEAP [4] : authentification mutuelle du client et du serveur Radius par le biais d'un certificat côté serveur, le client peut utiliser un couple login/mot de passe ;

· EAP-MD5 : pas d'authentification mutuelle entre client et le serveur Radius, le client s'authentifie par mot de passe ;

· EAP-LEAP : cas particulier, méthode propriétaire de Cisco.

60

4.2.1.3. EAP-TLS (Transport Layer Security)

Comme d'autres protocoles (SMTP-TLS, IMAP-TLS, HTTPS, etc.), EAP s'appuie sur TLS pour proposer une authentification sécurisée. Cette méthode s'appuie sur les certificats électroniques. Ainsi, chaque partie (serveur et client) doit posséder un certificat pour prouver son identité.

L'utilisation de certificats possède des avantages et des inconvénients. Ils sont souvent considérés comme plus sûrs que les mots de passe, cependant les opérations de gestion qu'ils engendrent peuvent se révéler fastidieuses (création, suppression, listes de révocation etc.) et l'existence d'une infrastructure de gestion de clés (IGC) est requise. La distribution des certificats aux clients est une contrainte qu'il ne faut pas négliger.

Figure 12: Diagramme d'échange EAP-TLS

61

Les explications suivantes se réfèrent aux étapes numérotées dans la figure 12.

1. Le client s'associe physiquement au point d'accès. Le point d'accès envoie une requête d'authentification au client.

2. Le client répond avec son identifiant (nom de machine ou login), ce message est relayé par le point d'accès vers le serveur Radius.

3. Le serveur Radius initie le processus d'authentification TLS par le message TLS start.

4. Le client répond avec un message client_hello, qui contient :

· des spécifications de chiffrement vides en attendant qu'elles soient négociées entre le client et le serveur ;

· la version TLS du client ;

· un nombre aléatoire (défi ou challenge) ;

· un identifiant de session ;

· les types d'algorithmes de chiffrement supportés par le client.

5. Le serveur renvoie une requête contenant un message server_hello suivi

· de son certificat (x509) et de sa clé publique ;

· de la demande du certificat du client ;

· d'un nombre aléatoire (défi ou challenge) ;

· d'un identifiant de session (en fonction de celui proposé par le client).

Le serveur choisit un algorithme de chiffrement parmi ceux qui lui ont été proposés par le client.

6. Le client vérifie le certificat du serveur et répond avec son propre certificat et sa clé publique.

62

7. Le serveur et le client, chacun de son côté, définissent une clé de chiffrement principale utilisée pour la session. Cette clé est dérivée des valeurs aléatoires que se sont échangées le client et le serveur. Les messages change_cipher_spec indiquent la prise en compte du changement de clé. Le message TLS_finished termine la phase d'authentification TLS (TLS handshake), dans le cas d'EAP-TLS la clé de session ne sert pas à chiffrer les échanges suivants.

8. Si le client a pu vérifier l'identité du serveur (avec le certificat et la clé publique), il renvoie une réponse EAP sans donnée. Le serveur retourne une réponse EAP success.

9. La clé de session générée en (8) est réutilisée par le point d'accès pour créer une clé WEP qui est transmise au client, dans le cas où il s'agit d'une station Wifi. La clé de session est valide jusqu'à ce que le client se déconnecte ou que son authentification expire, auquel cas il doit s'identifier à nouveau.

Le tunnel TLS créé lors de la création de la clé de session n'est donc pas exploité. Seul le TLS Handshake est utilisé, il permet l'authentification mutuelle des deux parties.

EAP-TLS est une méthode d'authentification performante. Seul les problèmes liés aux IGC peuvent dissuader de l'utilisation de cette méthode.

4.2.1.4. EAP-TTLS (Tunneled TLS) et EAP-PEAP (Protected EAP)

Ces deux méthodes sont assez similaires. Elles s'appuient sur la confidentialité proposée par l'encapsulation dans un tunnel pour réaliser une authentification via login/mot de passe ou token-card.

63

On distingue deux phases d'authentification :

· Première phase : identification du serveur par le client en utilisant un certificat (validé par une autorité de certification)

· Deuxième phase : identification du client par le serveur par login/password

À l'issue de la première phase, le tunnel TLS chiffré s'établit, garantissant une grande confidentialité des échanges pour la phase 2 où le client transmet ses éléments d'authentification (login/password) via CHAP, PAP, MS-CHAP ou MS-CHAPv2 pour EAP-TTLS et MS-CHAPv2, token-card ou certificat (similaire à EAP-TLS) pour EAP-PEAP.

La différence principale entre EAP-PEAP et EAP-TTLS vient de la manière d'encapsuler les échanges lors de la deuxième phase. Pour EAP-PEAP, les données échangées entre le client et le serveur au travers du tunnel TLS sont encapsulées dans des paquets EAP. EAP-TTLS utilisent des AVP (Attribute-Values Pairs) encapsulées dans des paquets EAP-TTLS, le format AVP d'EAP-TTLS est compatible avec le format AVP de Radius, ce qui simplifie les échanges entre le serveur EAP-TTLS et le serveur Radius qui contient les informations relatives aux utilisateurs, dans le cas où les informations ne sont pas directement stockées sur le serveur EAP-TTLS. La méthode EAP-PEAP ne peut-être utilisée qu'avec un serveur Radius supportant EAP (figure 13). EAP-TTLS est plus souple, il est toujours nécessaire de dialoguer avec un serveur EAP, cependant ce serveur peut retransmettre directement la requête auprès d'un serveur Radius ne gérant pas EAP (figure 6).

64

Figure 13: Echanges EAP-TTLS

L'avantage présenté par ces deux méthodes vient du fait que le client peut être authentifié par mot de passe, on supprime donc la complexité de gestion liée aux certificats caractéristique de EAP-TLS, tout en proposant une authentification mutuelle. PEAP est proposé nativement dans Windows 7 et Windows XP, ce qui peut grandement faciliter son déploiement. Par ailleurs, l'implémentation de EAP-PEAP dans les clients d'authentification proposés par Cisco n'est pas compatible avec celle de Microsoft. Ainsi, on ne pourra pas s'authentifier avec EAP-PEAP depuis un client natif Windows sur un serveur Radius Cisco de type ACS.

EAP-TTLS et PEAP s'adressent principalement aux sites ne disposant pas d'IGC. De plus, il est tout à fait possible d'utiliser les informations stockées dans un annuaire LDAP relié au serveur RADIUS pour proposer un identifiant unique pour toutes les applications.

65

Figure 14: Diagramme d'échanges EAP-TTLS ou EAP-PEAP

Les explications suivantes se réfèrent aux étapes numérotées dans la figure 7.

1 à 5) Les échanges sont presque similaires à EAP-TLS. Le client authentifie le serveur par l'intermédiaire d'un certificat (étape 5).

6) Cette étape diffère légèrement d'EAP-TLS car le client n'a pas besoin de fournir de certificat, la clé qui sert à chiffrer la session peut donc être créée directement. À la fin de cette étape, le TLS handshake est terminé, les échanges suivants seront donc chiffrés par la clé de session.

7) En effet, l'établissement d'un tunnel TLS permet de chiffrer les échanges, le client fournit donc ses identifiants (login/mot de passe) au serveur en utilisant par exemple MS-CHAPv2.

8 et 9) Similaires à EAP-TLS

66

EAP-TTLS et EAP-PEAP sont des méthodes très proches et l'utilisation d'un tunnel TLS chiffré leur confère un bon niveau de confidentialité. EAP-PEAP présente l'avantage d'être supporté nativement par Windows XP et 2000. EAP-TTLS permet une meilleure interopérabilité avec les serveurs Radius ne supportant pas EAP.

4.2.1.5. EAP-MD5

EAP-MD5 ne propose pas d'authentification mutuelle, le client s'authentifie simplement en fournissant un couple login/mot de passe.

Le problème majeur de cette méthode réside dans le fait que les échanges ne sont pas chiffrés. En outre, EAP-MD5 ne gère pas la distribution dynamique des clés WEP.

Le seul avantage de cette méthode est la simplicité : il est relativement facile de mettre en place une structure d'authentification basée sur cette méthode. Celle-ci est d'ailleurs beaucoup utilisée pour des réseaux filaires où la contrainte liée au chiffrage des échanges est moins forte que pour les réseaux Wifi.

67

Figure 15: Diagramme d'échanges EAP-MD5

Les explications suivantes se réfèrent aux étapes numérotées dans la figure 7.

1) Après l'association et la phase EAP standard de demande d'identification, le serveur émet une requête EAP-MD5 sous forme d'un texte de défi ou challenge text (2).

3) Le client doit répondre à cette requête en chiffrant le défi avec son mot de passe.

4) Le serveur chiffre le défi de son côté en utilisant le mot de passe du client stocké dans sa base. Si le résultat coïncide, le client est authentifié.

Il est très important de noter que les échanges sont non chiffrés. Le challenge text et son résultat chiffré transitent en clair sur le réseau.

Cette méthode est vulnérable aux attaques de types Dictionnaire (pas de notion de session, attaque brute possible), Man In the Middle, session hijacking.

68

Des améliorations permettent de chiffrer les échanges entre le client et le serveur (utilisation de tunnel chiffré), mais le fait qu'EAP-MD5 n'offre pas la possibilité de générer dynamiquement des clés WEP le rend inutilisable pour les réseaux sans fil.

4.2.1.6. Cisco LEAP (Lightweight EAP)

Cisco a développé sa propre méthode EAP de manière à pouvoir proposer une solution complète (cartes clients, points d'accès, serveur Radius). Malgré tout, les équipements Cisco supportent d'autres types d'authentification (PEAP, EAP-TLSetc.).

Du point de vue de l'administrateur, le fait d'avoir une solution complète est un avantage indéniable. Cependant, il est difficile de contraindre tous les utilisateurs à s'équiper avec des cartes et des points d'accès d'un seul constructeur.

Heureusement, il existe des logiciels clients permettant de s'authentifier en utilisant LEAP avec des cartes d'autres constructeurs.

Par ailleurs, LEAP présente quelques défaillances. Tout d'abord, la clé utilisée entre le client et le point d'accès est dérivée du login et du mot de passe stockés sur le serveur Radius. La méthode utilisée dans ce cas est MS-CHAPv1, connue pour être vulnérable. Ensuite, Les échanges EAP ne sont pas chiffrés, le login passe en clair, seul le mot de passe est protégé par le hachage MS-CHAPv1.

69

Tableau 6: Récapitulatif de type EAP et Méthodes d'authentification

Nous avons pu voir que le choix de la méthode d'authentification a un fort impact sur la gestion du système. Par exemple, l'utilisation d'EAP-TLS implique l'existence d'une infrastructure de gestion de clés. Le déploiement d'une telle infrastructure est en soi un projet d'ampleur qu'il ne faut pas négliger. Si l'IGC existe, il faut l'utiliser ; dans le cas contraire, on préférera une solution basée sur EAP-PEAP ou EAP-TTLS, qui nécessite un seul certificat pour le serveur. Le client s'authentifiera par login /mot de passe stockés sur le serveur d'authentification (RADIUS). Il est possible d'utiliser les informations issues d'un annuaire de type LDAP en le connectant au serveur RADIUS.

70

Pour utiliser les méthodes EAP décrites dans cette étude, il est absolument indispensable de mettre en place une architecture d'authentification. La partie suivante présente plusieurs solutions d'architectures que l'on peut trouver actuellement sur le marché.

4.3. Les solutions 802.1X du marché

4.3.1. Les contraintes de la COOPEC NYAWERA

La solution utilisée par la COOPEC NYAWERA pour réaliser l'authentification des utilisateurs du réseau sans fil de la COOPEC devait respecter plusieurs contraintes.

La plus importante est sans conteste le fait que le client d'authentification intégré à la solution devrait pouvoir fonctionner dans un milieu hétérogène composé de :

· plates-formes PC, Mac, Palm, PocketPc etc.

· systèmes d'exploitation de type Windows 8/7/XP, Linux, MacOS X etc.

· de cartes clientes de marques variées

En effet, la diversité des publics visés (clients, personnels) implique que la solution doit prévoir un maximum de cas.

Par ailleurs, il était souhaitable que la solution propose le support d'un grand nombre de méthodes EAP. Enfin, l'homogénéité et la facilité de déploiement de la solution étaient des points à vérifier.

71

4.3.2 Les solutions testées

Trois solutions ont été testées. 4.3.2.1 Solution « libre »

· Serveur Radius : FreeRADIUS sous Linux [5]

· Client d'authentification : Xsupplicant sous Linux [6], Natif Windows XP/SP1

La première solution, basée sur les logiciels libres, a consisté en l'installation de FreeRADIUS avec un module d'authentification EAP-TLS. Côté client, nous avons opté pour Xsupplicant sous Linux, et la prise en charge native d'EAPTLS sous Windows XP nous a permis de nous affranchir de l'installation d'un client pour ce système.

Cette solution donne satisfaction, mais l'état d'avancement du serveur FreeRADIUS et du client Xsupplicant ne permet pas, à l'heure actuelle, d'envisager un déploiement sérieux basé sur cette architecture.

D'autre part, dans un souci de cohérence, et pour faciliter l'exploitation, il est préférable d'avoir un seul type de client d'authentification sur l'ensemble des plate-formes. Cette solution ne répond donc pas à cette attente.

Par ailleurs, la version de FreeRADIUS testée ne permettait qu'une authentification EAP-TLS, nécessitant l'existence d'une infrastructure de gestion de clé. Pour les besoins du test, une « mini » IGC a été installée, mais la COOPEC NYAWERA ne possède pas encore une telle infrastructure. Une prise en charge de PEAP aurait donc été appréciable.

72

4.3.2.2 Solution « Cisco »

· Serveur Radius : ACS 3.1 sous Windows XP

· Client d'authentification : ACU sous Windows et sous Linux

ACS et ACU prennent en charge la plupart des méthodes EAP actuelles. Ces 2 logiciels sont assez simples à configurer. Le serveur d'authentification ACS ne fonctionne malheureusement que sous Windows. De plus, son prix est relativement élevé. ACU ne fonctionne qu'avec les cartes Cisco et sur un nombre limité de plate-formes (Windows 2000/XP/7/8 et Linux avec un kernel 2.4).

4.3.2.3 Solution « MeetingHouse »

· Serveur Radius : Aegis Premium Server sous Linux

· Client d'authentification : Aegis Client sous Windows et sous Linux Cette solution est la plus pertinente pour les besoins de la COOPEC NYAWERA :

· Elle fonctionne sur la majorité des plate-formes actuelles avec un client universel (Windows NT 4.0 avec Service Pack 6a, 98, 98SE, ME, CE.net, 2000, XP,7,8, MacOS 10.2.x, Linux avec kernel 2.4, Solaris 8, PocketPc 2002, Palm Tungsten), le serveur tourne sous Linux, Windows 2000 et Solaris 8.

· Elle prend en charge la plupart des méthodes EAP existantes

· Elle permet de s'authentifier avec la méthode LEAP avec d'autres cartes que Cisco

La COOPEC NYAWERA a donc retenu cette offre. Elle s'est dotée d'une version du serveur Aegis Premium pour Linux et de 5000 licences pour le client Aegis.

73

Conclusion

Le choix d'une méthode et d'une structure d'authentification n'est pas aisé devant la quantité de solutions offertes. Ce choix peut être grandement influencé par les informations relatives aux utilisateurs pré existantes.

En ayant connaissance des faiblesses de sécurité des réseaux de type Wifi et au vu de l'essor important de ce type de matériel, il est probable que le marché des serveurs d'authentification va prendre de l'importance. Ainsi, depuis les tests, certains produits ont déjà beaucoup évolué pour prendre en charge davantage de méthodes d'authentification et de plateformes (Free RADIUS supporte désormais EAP-TTLS et LEAP). Cependant, sur le segment de la sécurité des réseaux Wifi, d'autres solutions restent envisageables notamment celles basées sur les VPN (Virtual Private Network).

Le niveau de sécurité proposé par 802.1X est correct mais il ne permet pas de résoudre les problèmes liés aux faiblesses de WEP. Ainsi, pour proposer une architecture vraiment sûre il faudra utiliser d'autres techniques de chiffrement comme WPA (Wifi Protected Access) et qui par ailleurs être associées aux avancées proposées par 802.11i.

La relative jeunesse de tous ces protocoles, et des réseaux Wifi en général, ne permettent pas encore de garantir une pérennité de la solution retenue. Malgré tout, il est préférable de prendre le risque d'opter pour une solution plutôt que d'attendre et de laisser son réseau sans fil sans protection.

74

Références

Ouvrages et mémoires

Dimensionnement D'un Réseau Sans Fil Wifi, Bel Abdelli Abdelheq& Oukaz Mokhtar, Université ABOU BEKR BELKAID TLEMCEN, Année académique 2011-2012

Wifi Déploiement et Sécurité, le WPA et la norme 802.11i, Aurélien Géron, Préface de Marc Taieb, Ed. DUNOD

Wi-Fi - Réseaux sans fil 802.11, Technologie, déploiement, sécurisation, Philippe Atelin, Ed. Eni

Le guide complet du Wifi, Compétence Mac, hors série, Nicolas Forgeard-Grignon, Ed. Know Ware, Compétence Micro, 12/11/2014

Tout sur les réseaux sans fil, Fabrice Lemainque, Ed. Dunod, 28/04/2009

Sites Internet

[1] RF284 EAP, http://www.ietf.org/rfc/rfc2284.txt

[2] RF716 EAP-TLS, http://www.ietf.org/rfc/rfc2716.txt

[3] Internet Draft sur EAP-PEAP, http://www.globecom.net/ietf/draft/draft-josefsson-pppext-eap-tls-eap-02.html

[4] Internet Draft sur EAP-TTLS, http://www.ietf.org/internet-drafts/draft-ietf-pppext-eap-ttls 03.txt

[5] Serveur RADIUS, http://www.freeradius.org

[6] Client 802.1X libre, http://www.open1x.org

[7] MeetingHouse, http://www.mtghouse.com