|
Page | I
EPIGRAPHE
« La science n'est rien d'autre que le raffinement de
notre pensée quotidienne ».
Albert Einstein
Page | II
DEDICACES
« If privacy is outlawed, only outlaws will
privacy »
Philip Zimmermann
À Dieu tout puissant, créateur du ciel et de
la terre, source d'intelligence et de la sagesse, pour le souffle de vie qu'il
nous accorde tous les jours ainsi que la protection que nous avons
bénéficiée tout au long de nos études ;
À mon oncle paternel Willy MUSWILA MUTOMBO
et
maman Antoinette KANKOLONGO, pour leur affection et pour
avoir fait de mes études leur préoccupation quotidienne.
À mes frères et soeurs : Jean-Paul MUTOMBO,
Rosette MUANGA, Daniel KUNDA, Olivier BUKASA, Gracias MATANDA, Naomie KAMUANYA,
Shekinah MUTOMBO, Merdie KAPEMBA, Evodie NGOLELA, Glonel KANKOLONGO, etc. vous
faites la fierté de notre famille ; et vous qui m'avez toujours soutenu
au mérite des renoncements qui ne peuvent être
oubliés.
Je dédie ce travail.
Marcel MUSWILA
Marcel MUSWILA
Page | III
REMERCIEMENTS
Cette oeuvre est un fruit issu d'une lutte menée
pendant un nombre important d'années reflétant des nombreux
efforts conjugués tant pour sa conception que pour sa
réalisation. Tout ceci a l'aide du soutien de plusieurs
personnes.
Pour cette raison, nous sommes contraints de nous
acquitter de ce devoir, celui de montrer notre gratitude envers tous ceux qui,
d'une manière ou d'une autre, de loin ou de prêt, y ont
apporté une contribution matériel ou morale, nous disons
merci.
Par conviction personnelle et par esprit de conformisme,
qu'il me soit permis de remercier en premier lieu l'Eternel Dieu Tout Puissant
pour m'avoir permis de mener à terme ce travail.
Qu'il me soit permis de remercier mes pauvres parents :
MUSASA MAKAND Edmond et MUANGA Margueritte qui ont accepté que je sois
né sur cette terre. Que leurs âmes se reposent en paix.
Je suis particulièrement reconnaissant à
l'égard de mon oncle paternel Willy MUSWILA MUTOMBO et maman Antoinette
KANKOLONGO pour avoir su changer le train de ma vie en me proposant de
rebrousser le chemin et poursuivre mes études universitaires. Ce sont
eux qui m'ont orienté vers cette source d'eau féconde qui
altère la soif de la connaissance en déracinant
l'ignorance.
Que le corps académique de l'université
Notre-Dame du Kasayi en général, et de la faculté des
sciences informatiques en particulier, le potier dont nous sommes l'un des
vases d'honneur en pleine formation, trouve ici l'expression de nos
sincères remerciements.
Ce travail n'aurait pas vu son éclosion sans le
soutien de mon directeur Professeur, Docteur MABELA Rostin qui a
accepté, malgré ses multiples occupations et son agenda
chargé, de diriger ce travail. Sa rigueur scientifique, son goût
d'un travail soigné, m'ont été d'une grande
utilité. Et nous témoignons notre profonde reconnaissance
à mon encadreur Chef de Travaux MUSUBAWO Patient pour avoir
accepté la codirection de ce travail.
Aucune personne ne peut évaluer la gratitude qui
est due aux membres de la famille d'un auteur. Je suis particulièrement
redevable à l'endroit de toute famille composant la tribu de
Cléophas MUTOMBO KAMITATU, mes frères et soeurs, en particulier
Daniel KUNDA, Olivier BUKASA, Séraphin MUTOMBO, Shekinah MUTOMBO pour
leur amour qu'ils n'ont pas cessé de me témoigner.
Ce serait pour nous une ingratitude manifeste, si nous
passions sous silence sans remercier les héros dans l'ombre et
témoins oculaires des souffrances académiques : Lafontaine MBUYI,
Ambroise TSHILULU, Elisée MPUNGA, Patrick KASHALA, Symphorien BIDUAYA,
Gérard BAKAMPAKA, Denis NKASHAMA, Justine KANKU, Fiston UTULU et
Clémence THIABU pour votre attachement, votre assistance permanente, et
pour votre franche collaboration, nous vous témoignons notre
reconnaissance. A tous les amis et connaissances.
Page | IV
LISTES DES ABREVIATIONS
|
ABREVIATIONS
|
SIGNIFICATION
|
|
A à F
|
|
|
AAA :
|
Authentication, Authorization and Accounting
|
|
AD DS
|
Active Directory Domain Server
|
|
AD CS
|
Active Directory Certificate Server
|
|
ADSL :
|
Asymmetric Digital Subscriber Line
|
|
AES :
|
Advanced Encryption Standard
|
|
AP :
|
Access Point
|
|
APSD :
|
Automatic Power Save Delivery
|
|
ARPA :
|
Advanced Research Project Agency
|
|
ASCII :
|
American Standard Code for Information Interchange
|
|
ASFI :
|
Accès sans fil à Internet
|
|
ASK :
|
Amplitude Shift Keying
|
|
BLR :
|
Boucle locale radio
|
|
BSS :
|
Basic Service Set
|
|
CPL :
|
Courant porteur en ligne
|
|
CSMA/CA :
|
Carrier Sense Multiple Access/Collision Avoidance
|
|
CSMA/CD :
|
Carrier Sense Multiple Access /Collision Detection
|
|
DDoS :
|
Distributed Denial of Service
|
|
DES :
|
Data Encryption Standard
|
|
DFS :
|
Dynamic Frequency Selection
|
|
DHCP :
|
Dynamic Host Configuration Protocol
|
|
DoS :
|
Denial of Service
|
|
DPSK :
|
Differential Phase Shift Keying
|
|
EAP :
|
Extensible Authentication Protocol
|
|
EAPol :
|
EAP over LAN
|
|
ESSID :
|
Extended Service Set IDentifier
|
|
FAI :
|
Fournisseur d'accès à Internet
|
|
FSK :
|
Frequency Shift Keying
|
|
H à P
|
|
|
HTTP :
|
HyperText Transfer Protocol
|
|
HTTPS :
|
HyperText Transfer Protocol over TLS
|
|
IEEE :
|
Institute of Electrical and Electronics Engineers
|
|
IETF :
|
Internet Engineering Task Force
|
|
Internet :
|
Inter Networking
|
|
IP :
|
Internet Protocol
|
|
IPSec :
|
IP Security
|
|
L2TP :
|
Layer 2 Transport Protocol
|
|
LAN :
|
Local Area Network
|
|
LLC :
|
Logical Link Control
|
|
MAC :
|
Medium Access Control
|
|
MAN :
|
Metropolitan Area Network
|
|
MD 5 :
|
Message Digest 5
|
|
MiM :
|
Man in the Middle
|
|
NTIC :
communication
|
Nouvelles technologies de l'information et de la
|
Page | V
|
OSI :
|
Open Systems Interconnection
|
|
PAN :
|
Personal Area Network
|
|
PDA :
|
Personal Digital Assistant
|
|
PKI :
|
Public Key Infrastructure
|
|
PPP :
|
Point to Point Protocol
|
|
PPTP :
|
Point to Point Tunneling Protocol
|
|
Q à W
|
|
|
QoS :
|
Quality of Service
|
|
RADIUS :
|
Remote Authentication Dial In User Service
|
|
RC4 :
|
Rivest Cipher n4
|
|
RFC :
|
Request for Comments
|
|
RLAN :
|
Radio Local Area Network
|
|
RNIS :
|
Réseau numérique à intégration de
service
|
|
RPV :
|
Réseau privé virtuel
|
|
RSA :
|
Rivest, Shamir and Adelman
|
|
RTC :
|
Réseau téléphonique
commuté
|
|
SMTP :
|
Simple Mail Transfer Protocol
|
|
SNMP :
|
Simple Network Management Protocol
|
|
SSID :
|
Service Set IDentifier
|
|
TCP :
|
Transmission Control Protocol
|
|
UDP :
|
User Datagram Protocol
|
|
U.KA :
|
Université Notre-Dame du Kasayi
|
|
USB :
|
Universal Serial Bus
|
|
VLAN :
|
Virtual Local Area Network
|
|
VPN :
|
Virtual Private Network
|
|
WAN :
|
Wide Area Network
|
|
WAP :
|
Wireless Application Protocol
|
|
WDS :
|
Wireless Distribution System
|
|
WECA :
|
Wireless Ethernet Compatibility Alliance
|
|
WEP :
|
Wired Equivalent Privacy
|
|
WiFi :
|
Wireless Fidelity
|
|
WiMax :
|
Worldwide Interoperability for Microwave Access
|
|
WLAN :
|
Wireless Local Area Network
|
|
WPA :
|
WiFi Protected Access
|
|
WPA2 :
|
WiFi Protected Access 2
|
Page | VI
LISTES DES TABLEAUX
Tableau 1. Catégories de Wi-Fi 13
Tableau 2. Le logiciel client 31
Tableau 3. Configuration matérielle minimale du serveur
d'authentification 48
LISTE DES FIGURES
Figure I.1. Les grandes catégories de réseaux
informatiques 5
Figure I.2. Les différents réseaux sans fil 10
Figure I.3. Périphériques utilisant la
technologie Bluetooth 10
Figure I.4. Logo du Wifi 11
Figure I.5. La technologie HyperLAN2 12
Figure I.6. Equipements du CPL 12
Figure I.7. Les points d'accès 14
Figure I.8. Le mode Ad hoc 15
Figure I.9. Mode infrastructure BBS 15
Figure I.10. Associations, architectures cellulaires et
itinérance 16
Figure II.1. Un réseau sans fil isolé 26
Figure II.2. La solution VPN. 27
Figure II.3. Une vue générale de la solution
29
Figure II.4. Vue d'ensemble du protocole EAP. 30
Figure II.5. Un exemple de configuration EAP 30
Figure II.6. La comptabilisation des connexions. 36
Figure II.7. L'architecture RADIUS 36
Figure II.8. Une architecture 802.1x avec un serveur RADIUS
37
Figure IV.1. Conception physique de la solution 45
Figure IV.2. Concept de solution basé sur
l'authentification EAP-TLS 802.1X 45
Figure IV.3. Vue détaillée du processus
d'accès EAP-TLS 802.1X 47
Figure IV.4. Sélection de Services de stratégie
et d'accès réseau 49
Figure IV.5. Sélection du Serveur NPS 49
Figure IV.6. Zone de recherche, page d'accueil (Tuiles) de NPS
50
Figure IV.7. Console mmc 50
Figure IV.8. Modèle de certificats 50
Figure IV.9. Propriétés du serveur RAS et IAS,
onglet général 51
Figure IV.10. Propriétés du serveur RAS et IAS,
onglet sécurité. 52
Figure IV.11. Zone de recherche, page d'accueil (Tuiles)
d'autorisation de certification. 52
Figure IV.12. Clic-droit sur Modèles de certificats
53
Figure IV.13. Composant logiciel enfichable certificats 53
Figure IV.14. Inscription de certificats 54
Figure IV.15. Serveur NPS 54
Figure IV.16. Ajout des protocoles EAP 55
Figure IV.17. Le résumé des paramètres
56
Figure IV.18. Sélection de services de certificats
Active Directory 57
Figure IV.19. Installation d'AD CS et du serveur web (IIS) en
cours. 57
Figure IV.20. Sélection de SHA1 58
Figure IV.21. Résultat de la configuration des services
de certificats AD 58
Figure IV.22. Connexion sur le serveur de l'autorité de
certification. 59
Figure IV.23. Page d'accueil des certificats 60
Page | 1
0. INTRODUCTION GENERALE
0.1. Contexte
Tenant compte de l'évolution de la technologie dans ce
siècle présent, l'informatique reste l'outil indispensable pour
pallier à d'énormes difficultés surgissant dans le secteur
socio-économique causées par l'utilisation de système de
gestion manuelle, devenus archaïques et qui nécessitent
d'être révisés ou soit réaménagés en
vue de les adapter aux nouvelles technologies de l'information. Cependant,
l'apparition des technologies sans fil modifie la manière
d'appréhender la sécurité, car la morphologie des
réseaux évolue vers des formes floues, puisque le medium
utilisé est par nature hertzien et diffusant, donc sans frontière
précise. Le WiFi peut alors devenir une porte d'entrée sur le
réseau d'entreprise qui permet de déjouer les mécanismes
d'authentification classiques.
En effet, dans l'objectif de garantir une meilleure
accessibilité aux services réseaux, plusieurs architectures de
communication modernes ont privilégié l'abandon des câbles
de transmission au profit des liaisons radios. Ces liaisons peuvent être
soit du type infrarouge, Bluetooth ou Hertziennes.
Nous parlons des liaisons sans fils, qui ont pris une
grande ampleur avec l'apparition de concentrateurs qui permettent de connecter
simultanément plusieurs noeuds entre eux. Il peut s'agir d'ordinateurs,
d'imprimantes, de terminaux GSM ou de périphériques divers. Les
liaisons radios sont même utilisées pour interconnecter des
réseaux. Les technologies dites « sans fils », la norme
802.11g en particulier, facilitent et réduisent le coût de
connexion pour les réseaux de grande taille. Avec peu de
matériels et un peu d'organisations, de grandes quantités
d'informations peuvent maintenant circuler sur plusieurs centaines de
mètres, sans avoir recours à une compagnie de
téléphones ou de câblage.
La mise en oeuvre des réseaux sans fils est facile,
mais la sécurité des données qui y sont transmises n'est
pas toujours assurée. Ceci est dû, en grande partie, aux
vulnérabilités intrinsèques de la liaison radio. Une
attaque qui a pour but d'intercepter les communications sans fils entre deux
parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de
communication a été compromis, peut avoir lieu si le canal n'est
pas sécurisé. L'intrus est alors capable d'observer,
d'intercepter et de modifier les messages d'une victime à l'autre. Son
intrusion est possible, quand le réseau en question n'est pas assez
sécurisé, d'autant plus facile que l'accès au
réseau est ouvert. Cet utilisateur malveillant peut accéder au
réseau sans fil qu'il attaque, tout en utilisant une fausse
identité. Il peut, par exemple, modifier un message M partant d'un
expéditeur X au destinataire Y selon l'attaque dite MAN IN THE
MIDDLE, qui lui permet de remplacer le message M par un autre message M
après l'avoir modifié, sans que X et Y ne s'en rendent compte.
Ainsi, ce type d'attaque, et plusieurs autres, dont notamment
le vol des informations du type propriétés intellectuelles, le
déni de service et l'usurpation d'Identité, nous ont
appelé à étudier ces vulnérabilités
d'authentification des réseaux Wi-Fi, et à trouver des solutions
potentielles, basées sur des protocoles d'authentification, en prenant
la norme 802.1x comme solution adéquate. Pour réaliser ce travail
de fin de cycle, nous avons commencé par effectuer des recherches, pour
étudier :
? Les faiblesses des réseaux Wi-Fi, et notamment les
possibilités techniques de se connecter sous une fausse identité
;
? Les types d'attaques qui peuvent avoir lieu dans un
environnement académique ;
? Les mécanismes de protection existants des
réseaux Wi-Fi, et leur efficacité par rapport aux attaques visant
l'authentification.
Page | 2
Après avoir effectué ces recherches, et pour
pouvoir choisir le protocole d'authentification qui conviendra à nos
besoins, nous avons effectué :
? Une étude comparative des protocoles d'authentification
pour les réseaux Wi-Fi.
? Une revue des services d'authentification applicatifs
disponibles pour les réseaux Wi-Fi.
Sur base de cette étude, nous avons proposé une
architecture qui permet de subvenir aux besoins de l'U.KA, en termes de
protection contre l'usurpation d'identité. Le coût de la solution,
en termes d'effort de déploiement, a été aussi pris en
compte, lors de la conception de cette architecture.
Enfin, pour que cette étude théorique soit
évaluée, nous avons effectué les étapes
suivantes :
? La mise en place d'un réseau de test, qui permet de
simuler l'environnement réel. ? L'évaluation des performances de
la solution proposée.
0.2. Présentation du sujet
C'est ainsi que, notre thème s'intitule :
« Mise en place d'une politique d'accès
à un réseau sans fil avec l'authentification basée sur la
norme 802.1x. Cas de l'U.KA ».
0.3. Problématique
Ainsi, tout au long de ce travail, nous chercherons à
analyser la question de la mise en place d'une politique d'accès
à un système de réseau sans fil basé sur
l'authentification.
Connaissant ce qu'est la problématique, nous serons
amenés à nous poser les questions suivantes :
? Quel mécanisme de sécurité peut-on
appliquer pour contrôler les accès au réseau de l'U.KA?
? Quel rôle aura la politique de sécurité
une fois mise en oeuvre sur le réseau de l'U.KA?
0.4. Hypothèses
L'hypothèse se définit comme étant une
proposition des réponses provisoires aux questions que l'on se pose
à propos de l'objet de recherche formulé en termes tels que
l'observation et l'analyse puissent fournir une réponse. Ainsi, pour
mieux évoluer avec ce travail, nous tacherons tout d'abord de
répondre à notre problématique :
? Le mécanisme de sécurité à
appliquer pour contrôler les accès au réseau de l'U.KA
serait l'authentification basée sur la norme 802.1x avant
d'accéder dans ce réseau ;
? Une fois la nouvelle politique de sécurité
mise en place, elle consistera de contrôler tous les accès au
réseau, cette opération sera effectuée dès
l'accès physique de tous les utilisateurs autorisés et non
autorisés à accéder au réseau de l'U.KA, mais
l'accès aux ressources du système d'information serait
conditionné par une authentification. La politique mise en place aura
pour rôle de sécuriser le réseau sans fil de l'U.KA contre
toutes les intrusions.
Page | 3
0.5. Choix et intérêt du
sujet
Le choix et intérêt de notre sujet
dépendent du domaine d'étude et rejoignent les compétences
et les aptitudes de celui qui l'étudie. Notre choix de ce sujet est
lié à l'importance de renforcer les mesures de
sécurité, dans le but de maintenir la confidentialité,
l'intégrité et le contrôle d'accès au réseau
pour réduire les risques d'attaques dans le réseau 802.1x, dont
son rôle primordial est l'authentification et l'identification.
L'étude et la connaissance sur la
sécurité d'un système nouveau, la recherche scientifique
pour l'obtention d'un diplôme de licence et la réalisation d'un
ouvrage de référence, justifient notre intérêt pour
ce sujet.
0.6. But du travail
La mise en place d'une sécurité de réseau
sans fil basée sur la norme 802.1x est le but de ce travail.
Son but primordial, est qu'à la fin de sa
rédaction et sa présentation, que nous puissions présenter
une politique d'accès à un réseau sans fil
contrôlé capable de résoudre les failles trouvées
sur terrain et de leur offrir un nouveau système.
0.7. Délimitation du sujet
Toute étude scientifique pour qu'elle soit plus
concrète, doit se proposer des limites dans son champ d'investigation ;
c'est-à-dire qu'elle doit être circonscrite dans le temps et dans
l'espace. Dans le temps, notre travail couvre la période
académique allant de 2018-2019, et dans l'espace, notre champ
d'investigation demeure l'Université Notre-Dame du Kasayi, qui se trouve
dans la République Démocratique du Congo, province du Kasaï
Central, et plus précisément dans la ville de Kananga Chef-lieu
de la province, dans la Commune de LUKONGA, cette institution est située
à KAMBOTE.
0.8. Méthodes et techniques
utilisées
Dans tout travail scientifique, il y a toujours une
méthodologie propre afin d'atteindre ses objectifs. Dans notre travail,
nous avons utilisé la méthode expérimentale qui permet
d'affirmer une chose qu'après test ou expérience. Quant à
la technique, qui est un ensemble d'outils indispensables utilisés pour
aboutir à un résultat, nous avons utilisé la technique
documentaire qui nous a permis de consulter divers documents, entre autre des
ouvrages scientifiques, des livres et même des sites Internet.
0.9. Subdivision du travail
Outre l'introduction générale et la conclusion
générale, quatre grands chapitres permettront une prise en main
rapide. En premier lieu, le premier chapitre parlera sur les réseaux
sans fil, le deuxième sur la sécurité de réseau
sans fil et le standard 802.1x, le troisième chapitre sur l'analyse de
l'existant, le quatrième chapitre et le dernier s'expose sur le
déploiement et l'installation de la solution retenue.
Page | 4
CHAPITRe I. LES RESEAUX SANS FIL
Ce premier chapitre a pour but de présenter
brièvement l'aperçu général des réseaux
informatiques, l'histoire de la technologie Wifi, son contexte technique, ses
applications principales, ses catégories, les technologies concurrentes
et enfin, ses avantages et ses inconvénients.
1.1. Les réseaux informatiques
Selon la définition du Petit Robert, un
réseau est « un ensemble de points communiquant entre eux ».
Dans le monde numérique, ces « points » ou « noeuds
» du réseau sont des équipements informatiques. Il peut
s'agir d'ordinateurs bien sûr, mais aussi d'imprimantes, de
systèmes de vidéosurveillance, de téléphones
portables ou de tout autre matériel électronique. On parlera de
« périphérique », d'« hôte » ou de
« station » pour désigner ces équipements. La «
topologie » du réseau représente l'agencement des noeuds
entre eux : des réseaux peuvent être organisés en boucle,
en arborescence, en mailles, etc. Afin que ces stations puissent communiquer
entre elles, il est nécessaire d'une part qu'elles sachent exploiter un
média de communication adapté (des câbles
électriques ou optiques, des ondes radio, la lumière
infrarouge...), mais aussi et surtout qu'elles soient capables de se
synchroniser et de se comprendre. Pour cela, des règles de communication
doivent être définies. Le rôle d'un standard réseau
est donc de définir des protocoles (c'est-à-dire des
modalités précises) de communication entre les
périphériques d'un réseau : quand prendre la parole,
comment définir, qui s'adresse à qui, etc.
On distingue généralement cinq catégories
de réseaux informatiques, différenciées par la distance
maximale séparant les points les plus éloignés du
réseau :
? Les réseaux personnels, ou PAN
(Personal Area Network), qui interconnectent, sur quelques mètres, des
équipements personnels tels que terminaux GSM, portables, organiseurs,
etc., d'un même utilisateur.
? Les réseaux locaux, ou LAN (Local
Area Network), qui correspondent, par leur taille, aux réseaux intra
entreprise. Ils servent au transport de toutes les informations
numériques de l'entreprise. En règle générale, les
bâtiments à câbler s'étendent sur plusieurs centaines
de mètres. Les débits de ces réseaux vont aujourd'hui de
quelques mégabits à plusieurs centaines de mégabits par
seconde.
? Les réseaux métropolitains, ou
MAN (Metropolitan Area Network), qui permettent l'interconnexion des
entreprises ou éventuellement des particuliers sur un réseau
spécialisé à haut débit qui est géré
à l'échelle d'une métropole. Ils doivent être
capables d'interconnecter les réseaux locaux de différentes
entreprises pour leur donner la possibilité de dialoguer avec
l'extérieur. Ces réseaux sont examinés essentiellement
pour les environnements hertziens.
? Les réseaux régionaux, ou RAN
(Regional Area Network), ont pour objectif de couvrir une large
surface géographique. Dans le cas des réseaux sans fil, les RAN
peuvent avoir une cinquantaine de kilomètres de rayon, ce qui permet,
à partir d'une seule antenne, de connecter un très grand nombre
d'utilisateurs.
? Les réseaux étendus, ou WAN
(Wide Area Network), sont destinés à transporter des
données numériques sur des distances à l'échelle
d'un pays, voire d'un continent ou de plusieurs continents. Le réseau
est soit terrestre, et il utilise en ce cas des infrastructures au niveau du
sol, essentiellement de grands réseaux de fibre optique, soit
hertzien,
Page | 5
comme les réseaux satellite1. La figure
1.1 illustre sommairement ces grandes catégories de
réseaux informatiques.
Figure I.1. Les grandes catégories de réseaux
informatiques
| 
