1 Année

2017/2018

Ministère de l’Enseignement Supérieur

Et de la Recherche Scientifique
Centre d’Études et des Métiers
École Supérieure de Management,
De Commerce et d’Informatique
(Sup ‘Management- Tchad)

---------------------------

Mémoire de Fin d’Études

Cycle Supérieur Approfondi

OPTION : INGENERIE RESEAU SECURITE TELECOM (IRST)

Thème :
« ÉTUDE DE MISE EN PLACE D’UNE SOLUTION SÉCURISÉ VPN : CAS
DE LA SONACIM »

Présenté par :

Mme Mastoura Djibrine Tahir

Jury :
Encadreur :

 DEDICACE

[Type text] Page

 REMERCIEMENTS

[Type text] Page

TABLE DES MATIERES

...................................................................................................................................................................................1

DEDICACE...............................................................................................................................................................2

REMERCIEMENTS.................................................................................................................................................3

LISTE DES FIGURES..............................................................................................................................................7

LISTE DES TABLEAUX.........................................................................................................................................8

LISTE DES ACRONYMES.....................................................................................................................................9

AVANT-PROPOS....................................................................................................................................................11

CHAPITRE 1 : INTRODUCTION GENERALE...................................................................................................12

I.1. Contexte....................................................................................................................................................13

I.2. Problématique..........................................................................................................................................14

I.3. Objectifs de l’étude..................................................................................................................................15

I.3.1. Objectif général........................................................................................................................................15

I.3.2. Objectifs spécifiques................................................................................................................................15

I.3.3. Approche méthodologique......................................................................................................................15

I.4. Organisation de l’étude..............................................................................................................................16

I.4.1. Délimitation du travail...............................................................................................................................16

I.4.2. Subdivision du travail................................................................................................................................16

CHAPITRE 2 : PRÉSENTATION GÉNÉRALE DE L’ORGANISME D’ACCUEIL...........................................18

II.1. Introduction................................................................................................................................................19

II.2. Présentation de la SONACIM....................................................................................................................19

II.2.1. Raison sociale, statut juridique et actionnariat......................................................................................19

II.2.2. Activités.................................................................................................................................................19

II.2.3. Missions.................................................................................................................................................20

II.2.4. Organigramme de la SONACIM...........................................................................................................20

II.2.5. Déroulement du stage............................................................................................................................21

II.2.6. Spécification des besoins.......................................................................................................................22

II.2.7. Étude de l'existant..................................................................................................................................22

II.2.8. Architecture réseau (SONACIM)..........................................................................................................22

[Type text] Page

II.2.9. Critique de l’existant.............................................................................................................................24

II.2.9.1. Points forts du système..........................................................................................................................24

II.2.9.2. Points faibles du système.......................................................................................................................24

II.2.9.3. Solution proposée..................................................................................................................................24

II.3. Conclusion.................................................................................................................................................26

CHAPITRE 3: LES ATTAQUES QUI COMPROMETTENT LA CIRCULATION DES DONNEES SUR

INTERNET.............................................................................................................................................................27

1...............................................................................................................................................................................27

III.1. Introduction................................................................................................................................................28

III.2. Les différentes attaques sur internet..........................................................................................................28

III.2.1. L’attaque de type l’homme du milieu ou Man-in-the-middle...............................................................28

III.2.2. Attaques permettant d’écouter le trafic réseau (sniffing)......................................................................29

III.2.3. Attaque par rejeux.................................................................................................................................30

III.2.4. Attaque IP Spoofing..............................................................................................................................30

III.3. Mise en place d’une politique de sécurité..................................................................................................31

III.3.1. Différents aspects de la sécurité............................................................................................................31

III.3.2. Objectifs................................................................................................................................................32

III.3.3. Les outils contribuant à la protection des données................................................................................32

III.4. Conclusion.................................................................................................................................................33

CHAPITRE 4 : PRESENTATION DU CONCEPT DU RESEAU PRIVE VIRTUEL..........................................34

IV.1. Introduction................................................................................................................................................35

IV.2. Principe de fonctionnement.......................................................................................................................35

IV.2.1. Les différents types du réseau privé virtuel (RPV ou VPN).................................................................36

IV.2.1.1. Le VPN site-to-site............................................................................................................................36

IV.2.1.1.1. L'intranet VPN..................................................................................................................................36

IV.2.1.1.2. L'extranet VPN..................................................................................................................................37

IV.2.1.2. Le VPN d’accès.................................................................................................................................38

IV.3. Les caractéristiques fondamentales d'un réseau VPN................................................................................40

IV.3.1. Protocoles de « tunneling » utilisés pour réaliser une connexion VPN.................................................40

IV.3.1.1. Les protocoles nécessitant souvent du matériel particulier...............................................................40

IV.3.1.1.1. Le protocole PPP (Point to Point Protocol)......................................................................................40

[Type text] Page

IV.3.1.1.2. Le protocole L2F (Layer 2 Forwarding Protocol).............................................................................41

IV.3.1.1.2.1. Fonctionnement............................................................................................................................41

IV.3.1.1.3. Le protocole PPTP (Point to Point Transfert Protocol).....................................................................42

IV.3.1.1.3.1. Fonctionnement............................................................................................................................43

IV.3.1.1.4. Le protocole L2TP............................................................................................................................43

IV.3.1.1.4.1. Fonctionnement............................................................................................................................43

IV.3.1.1.5. Le protocole IPsec.............................................................................................................................44

IV.3.1.1.5.1. Authentication Header (AH)........................................................................................................45

IV.3.1.1.5.2. Encapsulating Security Payload (ESP)........................................................................................46

IV.3.1.1.5.3. IKE (Internet Key Exchange).......................................................................................................47

IV.3.1.1.5.4. Les deux modes de fonctionnement d’IPsec................................................................................47

IV.3.1.1.5.4.1. Le mode transport.....................................................................................................................47

IV.3.1.1.5.4.2. Le mode tunnel.........................................................................................................................47

IV.3.1.2. Les protocoles ne nécessitant qu'une couche logicielle....................................................................48

IV.3.1.2.1. Le protocole SSL VPN......................................................................................................................48

IV.4. CONCLUSION..........................................................................................................................................49

CHAPITRE V : CONCEPTION GENERAL ET PROPOSITON DE LA SOLUTION.........................................50

V.1. Introduction................................................................................................................................................51

V.2. La technologie VPN site à site à du constructeur CISCO..........................................................................51

V.2.1. Le GRE VPN.........................................................................................................................................51

V.2.2. Le VPN Meshed (VPN maillé)..............................................................................................................52

V.2.4. Le VPN GET (Group Encrypted Transport)..........................................................................................53

V.3. Choix et test de la solution proposée........................................................................................................54

V.3.1. Choix Technologique.............................................................................................................................54

V.3.2. Le routage..............................................................................................................................................54

V.3.3. Choix du protocole de routage..............................................................................................................55

V.3.4. Adressage réseau...................................................................................................................................55

V.3.5. Architecture proposée.........................................................................................................................56

V.3.6. Test et implémentation de la solution sécurisée VPN.......................................................................56

V.3.6.1. Prérequis matériels................................................................................................................................56

V.3.6.2. Prérequis logiciels.................................................................................................................................57

[Type text] Page

 LISTE DES FIGURES

Figure II. 1: Organigramme général de la SONACIM........................................21

Figure II. 2: Architecture réseau SONACIM...................................................23Y
Figure III. 1: L'attaque de type man-in-the-middle.............................................29
Figure III. 2: L’attaque de type sniffing..............................................................30
Figure III. 3: L’attaque par usurpation d’identité..................................................3
Figure IV. 1: Schéma récapitulatif du protocole de tunneling.............................36
Figure IV. 2: Schéma représentatif de l’intranet VPN.........................................37
Figure IV. 3: Schéma représentatif de l’extranet VPN........................................38
Figure IV. 4: Schéma representatif-1 du VPN d’accès distant............................39
Figure IV. 5 : Schéma representatif-2 du VPN d’accès distant...........................39
Figure IV. 6: Schéma de VPN d’accès distant fonctionnant sur L2F..................42
Figure IV. 7: Schéma récapitulatif du tunnel PPTP.............................................42
Figure IV. 8: Schéma récapitulatif du tunnel L2TP.............................................43
Figure IV. 9: Schéma de VPN d’accès distant fonctionnant sur L2TF...............44
Figure IV. 10: Tunnel IPsec utilisant le protocole AH........................................46
Figure IV. 11: Tunnel IPsec utilisant le protocole ESP......................................46
Figure IV. 12: Schéma récapitulatif d’IPsec en mode transport..........................47
Figure IV. 13: Schéma récapitulatif d’IPsec en monde tunnel 48
Y

Figure V. 1: Schéma récapitulatif du VPN maillé...............................................52

Figure V. 2: Schéma récapitulatif du GET VPN................................................53

[Type text] Page

 LISTE DES TABLEAUX

[Type text] Page

 LISTE DES ACRONYMES

[Type text] Page

[Type text] Page
 AVANT-PROPOS

[Type text] Page

I.

CHAPITRE 1 : INTRODUCTION GENERALE

[Type text] Page

I.1. Contexte

Aujourd’hui sans doute la révolution technologique est une évidence. En effet, elle occupe de
plus en plus une place stratégique au sein des entreprises qui les utilisent le plus souvent pour
partager des informations, et généralement suivant le modèle client-serveur, dans lequel les
stations de travail des employés accèdent à des puissants serveurs distants. Le besoin d’accès
et la disponibilité de l’information à tous les postes des entreprises ont entrainés l’émergence
des réseaux locaux. La multiplication des réseaux locaux entrainera le besoin
d’interconnexion. Un nouveau challenge s’offre aux professionnels de l’informatique, celui
d’interconnecter les réseaux locaux entre eux afin que l’emplacement géographique ne soit
plus un handicap pour l’accès aux informations. C’est donc l’avènement de l’interconnexion
des réseaux locaux dont les technologies filaires en furent les pionniers.

Pendant que l'informatique est devenue pour l'entreprise un outil incontournable de gestion,
d’échange, d’organisation, de partage et de production, les données misent en œuvre par le
système d’information ainsi que les échanges internes et externes et les données
professionnelles stockées sont exposés aux actes des malveillances de différente nature. La
sécurité informatique en entreprise est donc une problématique car les conséquences sont
souvent plus lourdes. Notamment avec l’avènement de l’utilisation d’internet, les entreprises
pour des raisons de communication ou d’échanges d’informations avec le siège ou une filiale
distante s’exposent à des nombreuses menaces potentielles. SONACIM ne fait pas exception à
ces menaces surtout avec sa communauté (fonctionnaires, responsables…) et ses différents
sites.

Pour pallier aux problèmes de sécurité et d'interconnexion, il est donc primordial

d'implémenter des mécanismes et des solutions sûres, assurant la confidentialité et la sécurité
des échanges entre deux ou plusieurs entités à travers le réseau public. Cependant, il existe
plusieurs outils et moyens de sécurités disponibles, tels que les solutions matériels, logiciels
d'audits, les systèmes de détection d'intrusions (IDS), firewalls (pare-feu), l’antivirus, les
réseaux privés virtuels (VPN), etc.

Face à des nombreux problèmes rencontrés par SONACIM pour les échanges de ses
informations, il est donc question de trouver une solution à ces problèmes.

[Type text] Page

C’est dans ce contexte que s’intègre notre projet de fin d’étude qui consiste à relier les
différents sites de la SONACIM et permettre leur interconnexion d’une manière sécurisée à
travers un réseau d’un opérateur.

I.2. Problématique

Les réseaux informatiques sont de plus en plus répandus et complexe. L’internet est devenu un
outil indispensable et beaucoup utilisé dans des entreprises pour les échanges des données. La
gestion sécuritaire de cette technologie est devenue une préoccupation majeure pour les
entreprises modernes. Ainsi, les entreprises qui utilisent l'internet pour le partage des
informations continuent à rencontrer des difficultés quant à la sécurisation des données.

SONACIM utilise donc les liaisons satellitaires VSAT mais de nombreuses difficultés de
communication et de diffusion de l'information sont rencontrées parmi lesquelles :

- Problème de coût ;
- Problème de lenteur ;
- Problème de sécurisation.

D'où la nécessité d'une intervention faisant appel aux moyens de sécurité informatique, car
lors d'échange des données entre ses différents sites, ces données transitent par le réseau privé
(operateur), ce qui les rendent possible d'être interceptées et rend la communication
vulnérable.

La SONACIM ne dispose pas la nouvelle technologie réseau informatique lui permettant de

partager les données et réunir les informations en temps réel. Le partage des fichiers se fait
traditionnellement en d'autres termes, les données sont collectées dans des clés USB pour être
expédier ou envoyer sur le réseau privé à travers les emails. Ces méthodes non fiables, lents
n’assurent pas la sécurité et occasionnent la perte ou la détérioration de l’information.

Pourquoi ne pas mettre en place un système qui rendra plus fiable et sécurisé le transfert de
ces informations entre les utilisateurs de même site ou de site distant  et à moindre cout?

C’est pour essayer de répondre à cette problématique que nous avons choisi d’étudier le
thème intitulé : « étude de mise en place d’une solution sécurisé VPN ».

[Type text] Page

Cette solution devrait constituer la boussole des services de transmissions à distance de
l’entreprise, il devient évident que la mise en place d’un tel système serait très judicieuse pour
la pérennité du système d’information de la SONACIM.

I.3. Objectifs de l’étude

I.3.1. Objectif général

L’objectif général de notre projet est la mise en place d’une interconnexion entre deux sites
distants à travers un VPN afin de faciliter les échanges de données et la communication en
toute sécurité au sein de la SONACIM.

L’intérêt majeur de ce projet est de découvrir les différents aspects de la sécurité sur la
transmission des données dans un réseau, à savoir, les Réseaux Privés Virtuels (VPN).

I.3.2. Objectifs spécifiques

Il est donc question ici pour nous de répondre aux attentes de la société en mettant en place un
réseau privé virtuel stable et opérationnel. Ceci nous amènera donc à étudier différents
aspects:

- Le type de VPN le mieux adapté aux besoins de l’entreprise ;

- L’étanchéité du trafic entre les différents réseaux LAN, WAN, utilisateurs ;
- La sécurité des données ;
- Administration centralisée du système ;
- Réduction considérable de consommable tel que papier ;
- Accéder à distants à tout point du globe.

Une fois le réseau installé, nous réaliserons des tests afin de vérifier son bon fonctionnement.

I.3.3. Approche méthodologique

Un travail scientifique suit toujours certaines méthodologies bien définies. Dans ce cas nous
nous sommes basés sur les méthodes et techniques:

[Type text] Page

I.4. Organisation de l’étude
I.4.1. Délimitation du travail

Il est humainement impossible de réaliser un travail exhaustif. Ainsi notre travail ne traitera
pas tous les aspects relatifs à la construction des réseaux privés virtuels. Il se limitera à
présenter une architecture dans laquelle nous avons un routeur configuré comme serveur du
réseau et un ou deux autres comme clients. Nous ne parlerons pas non plus de tous les
concepts liés à la cryptographie des informations si ce n’est que utilisé ceux qui seront
étroitement liés à la sécurité.

I.4.2. Subdivision du travail

Hormis l’introduction générale et la conclusion générale, notre travail comprendra quatre

chapitres :

 Le deuxième chapitre : Présentation de l’entreprise (SONACIM).

 Le troisième chapitre : Théorique et est dédié sur les attaques qui compromettent la
circulation des données sur internet.
 Le quatrième chapitre : Présentation du concept du réseau privé virtuel
 Le cinquième chapitre : Conception du système
 Le sixième chapitre : Destiné à la pratique, d’où l’implémentation de la solution
sécurisé VPN.

[Type text] Page

[Type text] Page
II.

CHAPITRE 2 : PRÉSENTATION GÉNÉRALE DE L’ORGANISME

D’ACCUEIL

[Type text] Page

II.1. Introduction

Le réseau privé virtuel apparait comme l’un de services les plus populaires du marché des
télécommunications inter-entreprises, et ceci est dû à deux principaux éléments : la
situation du marché et les progrès techniques. De ce fait, sur le marché actuel, les
entreprises se doivent d'étendre leur présence à l'échelle internationale, car la mondialisation
et l’augmentation de la concurrence ont tous deux contribué à la disparition des
frontières nationales. C’est dans cette lignée que SONACIM voudrait intégrer cette
technologie afin de pouvoir sécuriser l’échange de ses information tant en interne qu’à
l’externes avec ses partenaires.

Dans ce chapitre, on va commencer par une brève description de la société d’accueil et

présenter son organigramme. Ensuite, nous allons détailler les limites de la solution dans les
autres chapitres.

II.2. Présentation de la SONACIM

II.2.1. Raison sociale, statut juridique et actionnariat

Créée par l’Assemblée Générale Constitutive du 11 octobre 2011, la Société Nationale de

Ciment Tchad (SONACIM TCHAD) est une entreprise parapublique spécialisée dans la
fabrication et la commercialisation du ciment de norme PC 32,5 et PO 42,5 conforme aux
standards internationaux. Entant que société anonyme, elle est dotée de la personnalité morale
et de l’autonomie financière. Avec conseil d’administration au capital de cinq cent millions
(500 000 000) FCFA repartie en pourcentage respectivement de 92% de la part du
Gouvernement Tchadien et 2% chacune des 04 communes dont la commune de Palan, Léré,
Fianga et Gounou Gaya.

La société a débuté ses activités avec unité de production, situé à Baoré dans le Mayo-Kebbi
Ouest et précisément à Bissi-Keda dans le département du Mayo Dalla (Pala), d’une capacité
annuelle de 200 000 tonnes de ciment. L’entrée en production de cette première cimenterie du
pays a marqué un tournant décisif dans la stratégie pour la diversification de l’économie et
l’amélioration de l’habitat au Tchad. Son siège social est à N’Djamena.

[Type text] Page

II.2.2. Activités

Les principales activités menées par la SONACIM se résument comme suit :

 Les achats et stocks des matières premières ;
 La production de ciment ;
 Les stocks des produits fabriqués ; 
 La vente de ciment.

II.2.3. Missions

La SONACIM a pour mission d’accompagner le gouvernement dans sa politique de l’habitat

et des infrastructures. Contribuer au développement économique, réaliser les études et
recherches en rapport avec ses activités.

Cependant, la SONACIM ne parvient pas à couvrir de manière adéquate les besoins de la

population tchadienne. Elle a pour mission :
 La prospection, la recherche, le développement, et la vente du ciment ;

 La réalisation des études additionnelles en rapport avec ses activités ;

 La formation et la promotion de son personnel nécessaire à la maîtrise de tous les

aspects du secteur cimenterie.

Pour un succès de sa mission, la SONACIM s'est dotée d'une structure cohérente et adaptée.
Tout en faisant une relecture de son organigramme en juillet 2016 avec pour conséquence la
modification de son organisation. Le nouvel organigramme a pris effet le 15 Aout 2017.

II.2.4. Organigramme de la SONACIM

L’organisation structurelle de la SONACIM est perceptible à travers son organigramme qui

présente schématiquement les liens hiérarchiques des différents services et leurs relations.

[Type text] Page

 Figure II. : Organigramme général de la SONACIM

II.2.5. Déroulement du stage

Durant notre stage de deux mois, nous avons eu l’opportunité d’identifier le besoin de la
société (SONACIM). C’est ce qui nous a permis de proposer une solution qui fait l’objet de
notre étude.

Ainsi, notre projet s’articule sur deux grands axes, le premier caractérisé par la recherche à
l’unification du réseau des données et avec celle de la voix, puis le deuxième axe dans lequel

[Type text] Page

nous abordons les différentes solutions de la communication unifiée afin de choisir et mettre
en œuvre le scénario le mieux adapté au réseau de la SONACIM.

Afin d’élucider notre problématique et de répondre aux objectifs annoncés plus haut, nous
nous sommes fixés avec nos encadreurs le planning de travail ci-après :

 Définition de la problématique et spécification des besoins de la SONACIM liés à

l’optimisation des dépenses ;
 Présentation des différentes solutions de la communication unifiée, et proposition
d’une solution finale en vue d’une implémentation.

Il faut signaler que la solution choisie concerne uniquement le réseau propre à la SONACIM,
et elle doit prendre en compte :

 L’architecture du réseau existant et protocoles utilisés ;

 Les exigences en termes de matériel nécessaire pour la réalisation (minimiser le
facteur coût) ;
 La simplicité et l’évolutivité.

II.2.6. Spécification des besoins

L’entreprise « SONACIM » inclue deux sites distants notamment le siège de la société et

l’usine distant, en conséquent cela exige la mise en œuvre de dispositifs afin de faire face aux
problèmes suivants :
 Absence d’interconnexion entre les deux sites ;
 La difficulté d’accès au stock distant peut impacter sur le chiffre d’affaire, et la bonne
gestion des clients ;

II.2.7. Étude de l'existant

Dans cette partie, nous présenterions l’architecture du réseau existant des différents sites de la
SONACIM et nous décrivons les outils utilisés.

[Type text] Page

Ce chapitre est très important car une bonne connaissance de l’existant réseau informatique au
niveau de la SONACIM, permettra de choisir une bonne solution de réseaux locaux de deux
sites et de faire une interconnexion.

Aussi, l’occasion sera donnée pour porter des critiques sur le réseau informatique de la
SONACIM et de proposer des solutions pour une meilleure qualité de service.

II.2.8. Architecture réseau (SONACIM)

SONACIM dispose de deux réseaux locaux et leur architecture réseau est basée sur le mode
de communication Client-serveur. Les serveurs sont chargés de fournir des services aux
différents postes clients de l’entreprise.

Les deux réseaux sont constitués de plusieurs équipements dont :

 Modem VSAT Evolution X3 iDirect ;
 Deux routeurs de marque Mikrotik ;
 Deux Switches Cisco Catalyst 2950 24 ports et D-LINK DES-1024D;
 Access Point TP-Link ;
 Deux serveurs HP ProLiant DL380 et HP Compaq 500B MT ;
 Quinze (15) Imprimantes HP, Canon, Epson ;
 Quarante (40) Ordinateurs Portable et Bureau, HP, Toshiba, Dell, Lenovo.

De manière globale, l’architecture du réseau de la SONACIM se présente comme suit :

[Type text] Page

 Figure II. : Architecture réseau SONACIM

SONACIM utilise un réseau en étoile dans lequel tous les bureaux sont raccordés à un même
bureau (service informatique) à l’aide d’un système matériel appelé Switch qui est relié au
modem routeur Mikrotik pour l'accès à internet.

Chaque site est composé d'une technologie LAN, un réseau Ethernet câblé selon une norme
avec pour support la paire torsadée blindée (UTP) de catégorie 5e et 6e.
L'environnement serveur est assuré par de serveurs jouant le rôle de sauvegarde des données.

II.2.9. Critique de l’existant

II.2.9.1. Points forts du système

Le système existant possède des atouts basés sur l’entreprise. Cette organisation tient sa
force des caractéristiques suivantes :
 Tous les deux sites de la SONACIM sont dotés d’une connexion internet ;
 Réseau local de chaque site opérationnel ;
 Contrôleur de domaine déjà fonctionnel.

II.2.9.2. Points faibles du système

Le système quoique opérationnel, n’est pas sans failles. Ainsi nous avons présenté plusieurs
problèmes parmi lesquelles on peut citer :

[Type text] Page

  Données non centralisée stockées sur des supports analogiques;
 Difficulté relatives à la confidentialité des informations échangées entre les sites;
 Données échangées de façon manuelle ;
 Pas de sécurité logicielle pour les réseaux existants (filtrage, authentification) ;
 Séparation entre les services, absence d’intégration et de communication entre les
ressources et services informatiques ;
 Evolution technologiques en domaine de communication non exploité.

Ces différentes insuffisances créent une baisse de productivité (certains agents sont obligés de
se déplacer de bureau en bureau pour transmettre des informations et certains responsables
sont obligés de se déplacer et d’être physiquement présents à chaque réunion de travail).

II.2.9.3. Solution proposée

Nous essayons dans la mesure du possible d'envisager une politique optimale de partage des
informations afin que l'échange des ressources ne pose plus de problème au sein de la
SONACIM.

Nous définissons également des exigences qui permettront de mettre en place une solution
réseau économique, efficace et à moindre coût.

En vue de remédier toujours aux inquiétudes soulevées au travers la question posée dans la
partie précédente, nous allons mettre en place un VPN site à site, pour interconnecter les sites
distant de l'entreprise.

[Type text] Page

II.3. Conclusion

Ce chapitre nous a permis d’avoir une idée générale de la SONACIM, de son réseau
informatique tout en mettant en lumière les limites de ses réseaux actuels d’une part et
d’appréhender ses besoins relativement au projet d’autre part.

Notre mission s’intéresse de manière générale à améliorer la productivité des collaborateurs

en leur proposant un système complet plus efficace de contrôle, de gestion, d'intégration et
d'utilisation au quotidien de plusieurs formes de communications.

Ainsi, dans le chapitre qui suit nous verrons les différentes attaques qui compromettent la
circulation des données sur internet.

[Type text] Page

 III.

CHAPITRE 3: LES ATTAQUES QUI COMPROMETTENT LA

CIRCULATION DES DONNEES SUR INTERNET

[Type text] Page

III.1. Introduction

Les attaques qui compromettent la circulation des données sur internet sont si nombreuses
qu’il serait illusoire de prétendre toutes les décrire. Mais néanmoins, il serait intéressent
d’appréhender celles qui sont les plus couramment exploitées par les pirates afin de mieux
cerner leur mode de fonctionnement pour mieux définir une politique de sécurité à adopter.

III.2. Les différentes attaques sur internet

Les attaques contre la circulation des données sur internet font partie des attaques
intentionnelles et reposent plus précisément sur les faiblesses des mécanismes
d’authentification, de la confidentialité et de l’intégrité. La majorité des protocoles réseaux
n’ont prévu aucun véritable mécanisme d’authentification et subissent cependant des
attaques qui s’appuient sur les faiblesses de cette dernière. Ces attaques sont par

[Type text] Page

exemple des attaques de type spoofing (usurpation d’identité), man-in-the-middle (l’homme
du milieu), sniffing (Attaques permettant d’écouter le trafic réseau) et l’Attaque par rejeux
etc.….

III.2.1. L’attaque de type l’homme du milieu ou Man-in-the-middle

Un pirate peut disposer de plusieurs méthodes connues pour s’interfacer entre deux
éléments d’un réseau. En effet, cette attaque consiste à faire transiter les échanges réseaux
entre deux entités à travers une troisième qui est sous le contrôle d’un pirate. Ce dernier
peut manipuler ces données à sa guise, tout en dissimulant entièrement à chaque acteur de
l’échange la réalité de son interlocuteur. Pour que cette attaque puisse être mise en œuvre, il
faut que, soit la machine du pirate se trouve physiquement dans le chemin réseau emprunté
par les flux de données ou soit le pirate réussisse à modifier le chemin réseau afin que sa
machine devienne un des points de passage. Ainsi par exemple un attaquant peut se faire
passer pour le serveur vis à vis d’un client et se faire passer pour un client vis à vis
d’un serveur, car son but étant de tracer l’authentification afin de récupérer les clés de
session et de déchiffrer les données échangées.

Figure III. : L'attaque de type man-in-the-middle

[Type text] Page
III.2.2. Attaques permettant d’écouter le trafic réseau (sniffing)

Ces attaques sont souvent utilisées par les pirates pour capturer les mots de passe. En effet,
lorsqu’on se connecte à un réseau utilisant le mode broadcaste, toutes les cartes réseaux
connectées à ce réseau reçoivent les données en transite sur ce dernier, mais seule la
machine concernée peut lire les trames en temps normal. Cependant, grâce à un « sniffer »,
il est possible d’intercepter les trames reçues par la carte réseau d’un système pirate et qui
ne lui sont pas destinées afin de tenter d’en déduire les clés de session et de pouvoir ainsi
déchiffrer les flux.

Figure III. : L’attaque de type sniffing

III.2.3. Attaque par rejeux

Un pirate peut simplement "sniffer" le réseau comme dans l’attaque vue précédemment, et
après que le dialogue entre les deux parties soit terminé, il réémet les paquets
capturés vers le serveur afin de se faire passer pour le client sans pour autant connaître
les clés de session. Cela lui permet de rejouer une ancienne transaction et de s’authentifier
au près du serveur comme s’il était le client.

III.2.4. Attaque IP Spoofing

[Type text] Page

Ce type d’attaque consiste à l’usurpation d’adresse IP, ainsi un pirate peut par exemple
essayer de se faire passer pour un client au près d’un serveur. Pour cela, le pirate va
essayer de prévoir le numéro de séquence des paquets du serveur cible en envoyant
plusieurs paquets et en analysant l’algorithme d’incrémentation de ce numéro ; il va ensuite
rendre inopérante la machine autorisée à accéder au serveur cible, de façon à s’assurer
qu’elle ne répond pas à ce dernier. Le pirate falsifie son adresse IP en la remplaçant par
celle de la machine invalidée et profite pour envoyer une demande de connexion au
serveur cible. Ainsi les données en transit vers les services métiers pourraient être
détournées et corrompues.

[Type text] Page

 Figure III. : L’attaque par usurpation d’identité

III.3. Mise en place d’une politique de sécurité

Une mise en place d’une politique de sécurité complète est préalablement difficile à
élaborer due à la diversité des aspects à considérer. En effet, une politique de sécurité peut
se définir par un certain nombre de caractéristiques à savoir : les niveaux où elle intervient,
les objectifs de cette politique et enfin les outils utilisés pour assurer cette sécurité.

Chaque aspect doit être pris en compte de manière à atteindre les objectifs de sécurité
voulus, en utilisant de façon coordonnée les différents outils à disposition.

III.3.1. Différents aspects de la sécurité

Une politique de sécurité s’élabore à plusieurs niveaux à savoir :

 La sécurisation de l’accès aux données de façon logicielle (authentification, contrôle

d’intégrité….).
 La sécurisation de l’accès physique aux données i.e. les serveurs doivent être placés
dans des salles blindées (qui empêchent les ondes électromagnétiques d’être captées)
avec badge d’accès…
 La sécurisation des données en sensibilisant les utilisateurs aux notions de sécurité, de
façon à limiter les comportements à risque.
 La responsabilité du responsable de sécurité informatique de s’informer
constamment, des nouvelles attaques du jours, des outils et des méthodes disponibles
de manière à pouvoir maintenir son système de sécurité à jour et à combler les
brèches de sécurité qui pourraient exister.

III.3.2. Objectifs

Les objectifs d’une politique de sécurité reposent sur les impératifs qui peuvent être
définis à plusieurs niveaux:

[Type text] Page

  Disponibilité : les données doivent rester accessibles aux utilisateurs à tout moment
et à tout instant.
 Confidentialité : les données ne doivent être visibles que par des personnes ayant
droit.
 Intégrité : on doit pouvoir s’assurer que les données protégées n’ont pas été altérées
par un individu non autorisée.
 Non répudiation : lorsqu’un fichier a subi des modifications, il faut pouvoir certifier
la personne qui l’a modifié, et cette dernière ne doit pas le nier.

III.3.3. Les outils contribuant à la protection des données

De nos jours, il y a différents outils disponibles pour garantir une bonne protection des
données en interne qu’à l’externe d’une structure. Cependant, ils sont parfois utilisés
ensemble, de façon à sécuriser les différentes failles existantes dans un système, et parmi
ces outils on a :

 Le firewall qui permet de filtrer le trafic réseau entrant ;

 L’antivirus qui est utilisé sur des différentes machines dans un réseau afin de
vérifier si des virus ont pu se propager ;
 Le système de détection d’intrusion et de prévention utilisés pour limiter les
attaques sur les réseaux.
 Les VPN (Virtual Private Network) qui sont de plus en plus utilisés pour
transporter les données entre deux points à travers l’internet, car ils permettent un
cryptage de données qui transitent sur ce dernier.

III.4. Conclusion

En somme, les attaques contre la circulation des données sur internet reposent sur un
ensemble de faiblesses de sécurité touchant différents niveaux tels que l’authentification,
l’intégrité et la confidentialité. En effet ces attaques sont de plus en plus fréquentes et
peuvent impacter de manière directe ou indirecte les infrastructures réseaux aussi bien pour
des entreprises que pour des particuliers. Cependant, la politique de sécurité permet de
prévenir ou de s’en franchir de ces attaques, et il faut également noter qu’aujourd’hui, la

[Type text] Page

sécurité contre les attaques à distance se renforce de plus en plus contrairement à la sécurité
interne.

Ainsi, relativement au besoin de la SONACIM, le VPN apparait comme l’outil le mieux

adapté. Dans le chapitre suivant, le concept du réseau privé virtuel sera décrit dans sa
globalité, des architectures et solutions VPN seront proposées à fin de déboucher sur un choix
qui répondra au besoin de SONACIM.

IV.

CHAPITRE 4 : PRESENTATION DU CONCEPT DU RESEAU PRIVE

VIRTUEL

[Type text] Page

IV.1. Introduction

Un Réseau Privé Virtuel (anglais : Virtual Private Network, VPN) est un moyen de
communication assurant la sécurité des transferts de données à travers l’internet entre des
entreprises ou des organisations et leurs filiales ou leurs utilisateurs d’une part, et des

[Type text] Page

entreprises et leurs clients d’autre part 1 . Ce concept moins coûteux qu’une liaison
spécialisée procure un niveau de sécurité (chiffrement, intégrité, confidentialité….) le plus
élevé possible. Il repose sur des protocoles appelés communément "protocoles de
tunneling", ces derniers font abstraction des distances entre les deux bouts du tunnel en
donnant l'impression aux utilisateurs ou aux clients de se connecter directement sur le
réseau local l’hôte. Il est très facile aux entreprises de tirer parti de l'infrastructure Internet
du VPN pour ajouter rapidement de nouveaux sites ou utilisateurs. Il est également possible
d'étendre de manière significative la portée du VPN sans étendre énormément
l'infrastructure. Mais il faut néanmoins noter que la qualité de service ne dépend que de
l’état de la toile.

IV.2. Principe de fonctionnement

Le réseau VPN repose sur un principe de tunneling qui regroupe sur un ensemble de
protocoles permettant d’édifier un chemin virtuel après avoir identifié l'émetteur et le
récepteur, ainsi la source peut éventuellement chiffrer les données et les acheminer en
empruntant ce chemin virtuel. De ce fait, les flux de données traversant le réseau VPN sont
protégés contre tout accès aux non ayant droit. Ainsi, il est à rappeler que le tunneling est un
processus qui permet l’encapsulation d’un paquet à l’intérieur d’un autre paquet afin de
résoudre les problèmes de protocoles incompatibles.

Ces processus de tunneling reposent sur une certaine catégorie de protocoles appropriés qui
sont entre autres le protocole PPTP (Point-to-Point tunneling Protocol), le protocole L2F
(Layer 2 Forwarding), le protocole L2TP (Layer 2 Tunneling Protocol) et le protocole
IPsec (IP Security), tous ces protocoles sont repartis suivant les différentes couches du
modèle OSI (voir Figure 6.4).

1
http://www.cisco.com/web/FR/solutions/fr/vpn/index.html

[Type text] Page

 Figure IV. : Schéma récapitulatif du protocole de tunneling

IV.2.1. Les différents types du réseau privé virtuel (RPV ou VPN)

Ce concept de réseau privé virtuel permet de définir deux types de VPN à savoir le VPN
site-to-site qui permet l’interconnexion des intranets et des extranets d’une part ; et le
VPN d’accès distant qui permet l’interconnexion d’un utilisateur itinérant à son intranet
ou à un extranet d’autre part.

IV.2.1.1. Le VPN site-to-site

C’est une alternative aux réseaux étendus à relais de trames ou liaison spécialisée, il
permet aux entreprises d'étendre les ressources réseaux aux succursales (l’intranet VPN)
et aux sites de leurs partenaires (extranet VPN).

IV.2.1.1.1. L'intranet VPN

Ce type de VPN permet d’interconnecter au moins deux réseaux internes distants d’une
même entreprise (par exemple les réseaux de plusieurs filiales). Il est à noter que sans VPN,
les entreprises seraient forcées d’utiliser des lignes dédiées (lignes louées) entre leurs
filiales, et ce procédé est cependant très onéreux surtout lorsqu’il s’agit de lignes
internationales. En effet, avec les VPN ces mêmes communications peuvent passer à travers
l’internet à un cout bien moindre sans souci de confidentialité ou d’intégrité de transferts.

[Type text] Page

 Figure IV. : Schéma représentatif de l’intranet VPN

IV.2.1.1.2. L'extranet VPN

Ce type de VPN permet aux grandes entreprises de communiquer avec leurs clients ou leurs
partenaires stratégiques et d’ouvrir leur réseau local sur certains de leur service afin d’assurer
l’interopérabilité avec les diverses solutions que les partenaires peuvent implémenter. Dans ce
cadre, il est fondamental que l'administrateur du VPN puisse tracer les clients sur le réseau et
gérer les droits de chacun sur celui-ci. Tous les sites « e-commerce » ainsi que certaines
banques offrent ce type de connexion sécurisée à leurs clients.

[Type text] Page

 Figure IV. : Schéma représentatif de l’extranet VPN

IV.2.1.2. Le VPN d’accès

C’est une solution incontournable qui permet aux ayants droit itinérants d’accéder au réseau
privé distant en se servant d’une connexion internet pour établir la connexion VPN sans pour
autant compromettre leur politique de sécurité. De ce type de VPN, on distingue deux
méthodes distinctes :

 La première méthode permet à l’utilisateur de passer par un fournisseur d’accès pour

établir une connexion cryptée vers le serveur distant dont il veut accéder, mais la
demande de connexion par l’utilisateur vers son fournisseur d’accès n’est pas cryptée
et cela peut poser des problèmes de sécurité. Et l’avantage de cette méthode est qu’elle
permet à un utilisateur de pouvoir communiquer sur plusieurs réseaux tout en créant
plusieurs tunnels, et ceci nécessite que le fournisseur d’accès propose un NAS
(Network Access Server) compatible avec la solution VPN choisie par l’entreprise.

[Type text] Page

 Figure IV. : Schéma representatif-1 du VPN d’accès distant

 La seconde méthode quant à elle, exige que l'utilisateur ait son propre logiciel
client (VPN client) sur son ordinateur pour établir une connexion VPN vers le réseau
de l’entreprise. Il est à noter que dans cette seconde méthode, l'intégralité des
informations sera cryptée dès l'établissement de la connexion.

[Type text] Page

 Figure IV.  : Schéma representatif-2 du VPN d’accès distant

Il est à rappeler que quelle que soit la méthode de connexion choisie, ce type d'utilisation
montre bien l'importance dans le VPN d'avoir une authentification forte des utilisateurs. Cette
authentification peut se faire par une vérification "login /mot de passe", par un algorithme dit
"Tokens sécurisés" (utilisation de mots de passe aléatoires) ou par certificats numériques.
Mise part cela, certaines entreprises implémentent des VPN à base de SSL (voir 4.4.2.1) que
nous verrons dans la suite du document.

IV.3. Les caractéristiques fondamentales d'un réseau VPN

Le réseau VPN est un réseau de communication basé sur les principales caractéristiques
suivantes :

 Authentification d'utilisateur

Seuls les utilisateurs autorisés doivent pouvoir s'identifier sur le réseau virtuel. De plus, un
historique des connexions et des actions effectuées sur le réseau doit être conservé.

 Gestion d'adresses

Chaque client sur le réseau doit avoir une adresse privée. Cette adresse privée doit rester
confidentielle. Un nouveau client doit pouvoir se connecter facilement au réseau et recevoir
une adresse.

 Cryptage des données

Lors de leurs transports sur le réseau public, les données doivent être protégées par un
cryptage efficace.

 Gestion de clés

Les clés de cryptage pour le client et le serveur doivent pouvoir être générées et
régénérées.

[Type text] Page

  Prise en charge multi-protocoles
La solution VPN doit supporter les protocoles les plus utilisés sur les réseaux publics en
particulier IP.

IV.3.1. Protocoles de « tunneling » utilisés pour réaliser une connexion VPN

Dans le concept VPN, il existe deux catégories de protocoles qui sont entre autre les
protocoles nécessitant souvent du matériel particulier et les protocoles ne nécessitant qu'une
couche logicielle.

IV.3.1.1. Les protocoles nécessitant souvent du matériel particulier

IV.3.1.1.1. Le protocole PPP (Point to Point Protocol)

Défini dans les normes RFC 1661 et 2153, ce protocole n’est pas en réalité un protocole
permettant l’établissement d’un VPN mais il est très souvent utilisé pour transférer les
informations au travers d’un VPN. Il est à noter que c’est un protocole synchrone et
asynchrone qui utilise HDLC (High-Level Data Link Control) comme base d’encapsulation
et un Frame Check Sequence (FCS) HDLC pour la détection des erreurs tout en garantissant
l’ordre d’arrivée des paquets. Il est aussi full duplex, et permet également le multiplexage
simultané de plusieurs protocoles de niveau 3 du modèle OSI (i.e. encapsulations des
paquets IP, IPX et NetBEUI, … dans des trames PPP). Traditionnellement, le protocole PPP
était employé entre un client d'accès à distance et un serveur d'accès réseau sur une liaison
RTC (Réseau Téléphonique Commuté) via des modems. Le protocole PPP présentement
désuet, est remplacé par des protocoles (PPTP, L2F, L2TP...), offrant une meilleure
garantie de sécurité, mais il est à mentionner que dans tous les cas, ces protocoles de couche 2
dépendent des fonctionnalités spécifiées pour PPP.

IV.3.1.1.2. Le protocole L2F (Layer 2 Forwarding Protocol)

Défini dans la norme RFC 2341, développé par Cisco, Northern Telecom et Shiva, le
protocole L2F est un protocole de niveau 2 (liaison des données) qui aujourd’hui quasi-
obsolète, il permet à un serveur d’accès distant de véhiculer le trafic sur PPP et transférer ces

[Type text] Page

données jusqu’à un serveur L2F (routeur ….). Ce serveur L2F désencapsule les paquets et les
envoie sur le réseau.

IV.3.1.1.2.1.Fonctionnement

Il faut noter que contrairement à PPTP et L2TP, L2F n’a pas besoin du logiciel VPN client.
Cependant le fonctionnement d’une communication basée sur le protocole L2F s’appuie sur
la:

 Création d’un tunnel L2F entre l’ISP et le serveur d’accès distant;

 Connexion PPP entre le client et l’ISP que celui-ci fait suivre au serveur d’accès
distant via le tunnel L2F.

Ce protocole est le plus souvent utilisé dans les solutions VPN d’accès (voir 4.3.2), mais il
est progressivement remplacé par L2TP (voir 4.4.1.4) qui est plus souple.

Figure IV. : Schéma de VPN d’accès distant fonctionnant sur L2F

IV.3.1.1.3. Le protocole PPTP (Point to Point Transfert Protocol)

Conçu par Microsoft et Définit dans la norme RFC 2637, le protocole PPTP est un protocole
de niveau 2 utilisant le port TCP 1723, il est nativement intégré dans les systèmes
d’exploitation Windows et son principe est d’encapsuler des trames PPP (Point to Point
Protocol)2 dans un paquet IP. Cela permet de relier deux réseaux par une connexion point-à-
point virtuelle acheminée par une connexion IP sur internet et faisant croire aux deux

2
https://fr.wikipedia.org/wiki/Point-to-Point_Protocol

[Type text] Page

réseaux qu'ils sont reliés par une ligne directe. Pour ce protocole, la compression de bout en
bout peut être réalisée par MPPC (Microsoft Point to Point Compression), l'authentification
se fait grâce au protocole MsChap (1 ou 2) de Microsoft ou le protocole PAP (Password
Authentification Protocol), et enfin le chiffrement des données s'effectue grâce au protocole
MPPE (Microsoft Point-to-Point Encryption). C’est une solution très employée dans les
produits VPN commerciaux à cause de son incorporation dans les systèmes d'exploitation
Windows.

Figure IV. : Schéma récapitulatif du tunnel PPTP

IV.3.1.1.3.1.Fonctionnement

Lors de l'établissement d’une connexion VPN, le client effectue d’abord en premier

lieu une connexion avec son fournisseur d'accès internet. Cette première connexion permet
d’établir une connexion de type PPP et de faire circuler des données sur internet. Après ceci,
une deuxième connexion dial-up est établie, et c’est cette dernière connexion qui permet
l’encapsulation des paquets PPP dans des datagrammes IP et formant ainsi le tunnel PPTP. Il
est à mentionner que tout trafic client conçu pour Internet emprunte la connexion
normale, par contre le trafic conçu pour le réseau privé distant passe par la connexion
virtuelle de PPTP.

IV.3.1.1.4. Le protocole L2TP

Définit par la norme RFC 2661, le protocole L2TP est un protocole de niveau deux (2)
utilisant le port UDP 1701 comme port source et destination ; ce protocole est sans
conteste l'une des pierres angulaires des réseaux privés virtuels d'accès distant3, il est issu

3
http://csrc.nist.gov/publications/drafts/SP800-113/Draft-SP800-113.pdf

[Type text] Page

de la convergence du protocole PPTP de Microsoft et du Protocole L2F de Cisco.

Figure IV. : Schéma récapitulatif du tunnel L2TP

IV.3.1.1.4.1.Fonctionnement

Le protocole L2TP utilise les avantages du protocole de communication PPP pour prolonger
un accès réseau vers un site distant à travers un tunnel4.
Les éléments sur les deux côtés du tunnel sont composés d'un concentrateur d’accès ou LAC
(L2TP Access Concentrator) qui peut être intégré à la structure d'un réseau commuté comme
le réseau téléphonique commuté (RTC) ou encore associé à un système d'extrémité PPP
prenant en charge le protocole L2TP; et d'un serveur du réseau distant LNS (L2TP
Network Server) fonctionnant sur toute plateforme prenant en charge la terminaison PPP.
Le LAC termine la connexion physique du PPP au point de présence (Point Of Presence
ou POP) d'un ISP et établit une session virtuelle PPP à travers le tunnel vers le LNS.
En effet, Il faut noter que le protocole L2TP peut gérer plusieurs tunnels simultanément.
Cependant il est à rappeler que par manque de confidentialité (i.e. pas de chiffrement des
données) que procure le L2TP, il est souvent conseillé de l’utiliser conjointement avec le
protocole IPsec (Internet Protocol security) car le protocole L2TP peut assurer la
compression des trames PPP à l'aide du mécanisme MPPC (Microsoft Point-to-Point
Compression) mais pas leur cryptage, et de même la liaison entre le LAC et le client n’est
pas sécurisée.

4
www.frameip.com/l2tp-pppoe-ppp-ethernet/index.html

[Type text] Page

 Figure IV. : Schéma de VPN d’accès distant fonctionnant sur L2TF

IV.3.1.1.5. Le protocole IPsec

Définit par la norme RFC 2401, le protocole IPsec est un protocole qui désigne un ensemble
de mécanismes destinés à sécuriser l'échange de données à travers internet. En effet, le
protocole IPsec est un protocole de protection des données sur internet commun à Ipv4 et
Ipv6, de ce fait le matériel impliqué dans les VPN site to site sont les passerelles de
sécurités des différents réseaux (routeurs, boitiers dédiés….), leur configuration nécessite
l'installation et la configuration d'IPsec sur chacun de ces équipements afin de protéger les
échanges de données entre les différents sites. Par contre pour des connexions nomades
(employés itinérants…), le matériel impliqué est la porte d'entrée du réseau (serveur d'accès
distants, liaison internet…) et les machines utilisées par les employés (ordinateur portable).
Ces mécanismes de sécurité communément désignés par le terme IPsec et qui viennent
s’ajouter au traitement IP classique, reposent d’une part sur le protocole AH (Authentication
Header) qui vise à garantir l'intégrité et l'authenticité des datagrammes IP, et d’autre part sur
ESP (Encapsulating Security Payload) qui permet l’encapsulation des données et cryptage
des données.
Bien qu'indépendants, ces deux mécanismes sont souvent utilisés conjointement ; à ces
derniers vient s’ajouter le protocole IKE (Internet Key Exchange) qui permet de gérer les
échanges des clés ou les associations entre protocoles de sécurité.

[Type text] Page

IV.3.1.1.5.1.Authentication Header (AH)

Décrit par la norme RFC 2402, le protocole AH est conçu pour assurer l’intégrité et
l’authentification des datagrammes IP sans chiffrement des données (i.e. sans
confidentialité). Le principe d’AH est d’adjoindre au datagramme IP classique un champ
supplémentaire permettant à la réception de vérifier l’authenticité des données incluses dans
le datagramme. Il est à noter que l’utilisation du protocole AH interdit l’utilisation des
mécanismes de translation d’adresses. En effet, le contenu de la trame n’étant pas chiffré, le
protocole AH ajoute une signature numérique au paquet IP sortant (un mécanisme de
translation d’adresses réécrivant l’adresse source fausse systématiquement le calcul de
vérification de la signature numérique effectuée à l’autre bout du tunnel VPN).

Figure IV. : Tunnel IPsec utilisant le protocole AH

IV.3.1.1.5.2.Encapsulating Security Payload (ESP)

[Type text] Page

Ce protocole a pour premier rôle de garantir la confidentialité, mais peut aussi assurer
l’authenticité des données ; son principe est de générer à partir d’un datagramme IP
classique, un nouveau datagramme dans lequel les données et éventuellement l’entête
original sont chiffrés (utilisant les algorithmes AES, 3DES, DES..).

Figure IV. : Tunnel IPsec utilisant le protocole ESP

IV.3.1.1.5.3. IKE (Internet Key Exchange)

Utilisant le port UDP 500, le protocole IKE est un mécanisme d’échange des clefs, qui
intervient une fois qu’IPsec ait déjà bien définit la politique de sécurité avec le choix des
algorithmes utilisés et leur portée. De ce fait, on peut mettre en œuvre l’authentification soit
en supposant que les deux extrémités se partagent déjà un secret pour la génération de clés
de sessions, soit en utilisant des certificats et des signatures numériques RSA. Les
machines ou les entités passerelles traitent ensuite les données avec la politique de
sécurité associée.

IV.3.1.1.5.4.Les deux modes de fonctionnement d’IPsec

IV.3.1.1.5.4.1. Le mode transport

Ce mode prend un flux de niveau transport (couche de niveau 4 du modèle OSI) et réalise

[Type text] Page

les mécanismes de signature et de chiffrement puis transmet les données à la couche IP.
Dans ce mode, l'insertion de la couche IPsec est transparente entre TCP et IP. Le
protocole TCP envoie ses données vers IPsec comme s’il les envoie vers IPv4.
L'intérêt de ce mode réside dans une relative facilité de mise en œuvre. Par contre son
inconvénient réside dans le fait que l'en-tête extérieur est produit par la couche IP c'est-à-
dire sans masquage d'adresse (voir 4.4.1.5.1.) ; de plus, le fait de terminer les
traitements par la couche IP ne permet pas de garantir la non-utilisation des options
IP potentiellement dangereuses.

Figure IV. : Schéma récapitulatif d’IPsec en mode transport

IV.3.1.1.5.4.2. Le mode tunnel

Dans ce mode, les données envoyées par l'application traversent la pile de protocoles jusqu'à
la couche IP incluse, puis sont envoyées vers le module IPsec dont l’encapsulation en mode
tunnel permet le masquage d'adresses (Il est à noter que le mode tunnel est utilisé entre
deux passerelles de sécurité (routeur, firewall, ...) alors que le mode transport se situe entre
deux hôtes.

Figure IV. : Schéma récapitulatif d’IPsec en monde tunnel

IV.3.1.2. Les protocoles ne nécessitant qu'une couche logicielle

[Type text] Page

IV.3.1.2.1. Le protocole SSL VPN

Le protocole SSL (Secure Socket Layer) permet la transmission de données chiffrées.

C'est un protocole de niveau 4 du modèle OSI et a été créé par Netscape. Cette technologie
est acceptée par les navigateurs, mais aussi par les serveurs. Un organisme est chargé de
mettre en place des certificats de confiance pour tous les sites qui utilisent le protocole SSL,
dans le but de bien identifier un site et l'organisme qui le gère.

IV.4. CONCLUSION

À travers ce chapitre, on a pu cerner tout ce qui concerne les VPN du point de vue
catégories des VPN existantes, types des VPN, leur fonctionnement (les protocoles utilisés).
De ce fait, certaines solutions perdurent uniquement par la facilité de leur mise en place
(VPN accès distant), par contre d’autres solutions nécessitent des implémentations à grande
échelles (VPN site to site).
Dans le chapitre qui suit, nous présenterons les différentes architectures et solutions VPN
proposées par le constructeurs Cisco et en fin déboucher sur un choix qui répondra au besoin
de la SONACIM.

[Type text] Page

V.

CHAPITRE V : CONCEPTION GENERAL ET PROPOSITON DE LA

SOLUTION
[Type text] Page
V.1. Introduction

Un système étant un ensemble des composants solidement agencés pour la

réalisation d’un but précis. La configuration de chaque composante devra être
soigneusement optimisée pour créer un système qui répond aux objectifs ultimes
pour lesquels il a été conçu. Ainsi, la tâche de concevoir un système commence
par une étude approfondie des fonctions requises.
Dans l’ensemble des besoins qui se sont posés, il est impératif dans ce travail de
mettre en place une solution de gestion du réseau logique qui devra combiner la
réduction du coût dans la gestion de la bande passante, la stabilité et par-dessus,
tout en offrant une évolutivité facile du réseau VPN. Il à noter qu’il existe sur le

[Type text] Page

marché des solutions open sources et propriétaires. Cependant, CISCO apparait
comme l’équipementier numéros un (1) des solutions VPN propriétaires. De ce
fait, il propose le VPN accès distant et le VPN site to site ; et c’est cette dernière
qui répond aux exigences en tenant compte de l’architecture des réseaux
existant. 

V.2. La technologie VPN site à site à du constructeur CISCO

CISCO propose plusieurs solutions VPN site à site, flexibles et riches en fonctionnalités. Ces
solutions sont construites sur les quatre (4) technologies VPN sous-jacentes: le GRE-VPN, le
VPN Meshed (VPN maillé), le VPN multipoint dynamique (DMVPN) et le VPN GET (Group
Encrypted Transport). Chaque technologie bénéficie et est personnalisée pour répondre aux
exigences de déploiement spécifiques.

V.2.1.Le GRE VPN

Generic Routing Encapsulation (GRE ou Encapsulation Générique de Routage) initialement

développé par Cisco est un protocole de mise en tunnel qui permet d’encapsuler n’importe
quel paquet de la couche réseau dans n’importe quel paquet de la couche réseau (ex : IP dans
IP). GRE VPN utilise les mêmes fonctions que DMVPN hub-and-spoke (voir 5.3.3), mais il
nécessite une configuration plus complexe.
Il est une solution fiable de communication sécurisée, à condition d’utiliser IP Sec comme
solution de cryptage.

V.2.2.Le VPN Meshed (VPN maillé)

C’est une topologie maillée qui présente une évolution du VPN hub-and-spoke (voir 5.3.3).
Dans cette architecture, tous les sites sont reliés les uns aux autres, et présentent l’avantage de
disposer plusieurs routes vers les autres sites, mais l’inconvénient est qu’elle nécessite
beaucoup de configuration en raison du nombre de tunnels actifs. En effet, il existe une
formule pour calculer le nombre de liens requis dans ce type de VPN. La formule est la
suivante : L= N (N-1)/2, ou N est le nombre de routeurs dans le réseau privé virtuel.

[Type text] Page

 Figure V. : Schéma récapitulatif du VPN maillé

V.2.3.Le VPN multipoints dynamique (Dynamic Multipoint VPN (DMVN))

Le VPN multipoint dynamique (DMVPN) est une solution cisco qui fournit une architecture
VPN évolutive. En effet, DMVPN utilise l’encapsulation de routage générique (GRE) pour le
tunneling, le protocole NHRP (Next Hop Résolution Protocol) pour les informations de
transfert et de transfert à la demande, et IPsec pour fournir un réseau de recouvrement
sécurisé pour pallier les insuffisances des tunnels VPN de site à site. DMVPN est basée sur
une architecture centralisée et prend en compte divers types d’utilisateurs dont les travailleurs
mobiles, les télétravailleurs et même les utilisateurs d’extranet.

Le DMVPN propose deux modèles de déploiement possibles :

 Le modèle Hub-and-spoke : chaque spoke possède une interface GRE permettant de
monter le tunnel vers le HUB. Tous trafics entre les Spokes passent par le HUB. Ce
modèle ne prend pas en compte les liaisons entre les spokes.
 Le modèle Spoke-to-Spoke : chaque spoke doit disposer d’une interface mGRE
permettant aux tunnels dynamiques de transiter vers les autres spokes. Ce modèle
prend en compte les liaisons entre différents spokes et offre une grande évolutivité de
la configuration pour les périphériques.

[Type text] Page

V.2.4.Le VPN GET (Group Encrypted Transport)

C’est le VPN de derrière génération du constructeur Cisco. Dans son architecture, il élimine
la notion de création de tunnels entre les différents sites tout en offrant un nouveau IPsec se
basant sur la confiance des membres du groupe avec des routeurs qui se partagent les mêmes
méthodologies de sécurité.
Serveur
VPN

Routeur
client 1
Routeur
client 3
Routeur
client 2

Figure V. : Schéma récapitulatif du GET VPN

V.3. Choix et test de la solution proposée

Vu l’analyse des infrastructures informatiques existantes de la SONACIM, et celles des

solutions VPN site to site du constructeur CISCO, nous aboutissons à la conclusion que, le
DMVPN répond aux attentes de la société.

V.3.1.Choix Technologique

[Type text] Page

Suite à ce qui précède, notre choix c’est porté sur le DMVPN pour les raisons suivante :
 Réduction des dépenses d’exploitation et d’immobilisation en permettant l’intégration
de la voix et la vidéo à la sécurité VPN ;
 Simplification de la communication de la branche par une connectivité directe branche
à branche ;
 Réduction de la complexité de déploiement par la mise en place d’une configuration
simple, réduisant les difficultés de déploiement des VPNs ;
 Amélioration de la résilience de l’activité en empêchant les perturbations et les
services critiques. Le routage se fait avec la technologie IPsec.
V.3.2.Le routage

Le routage [2] est le processus qu’un routeur utilise pour transmettre des paquets vers un
réseau de destination. Un routeur prend des décisions en fonction de l’adresse IP de
destination d’un paquet. Tout le long du chemin, les divers équipements se servent de
l’adresse IP de destination pour orienter le paquet dans la bonne direction afin qu’il arrive à
destination. Pour prendre les bonnes décisions, les routeurs doivent connaître la direction à
prendre jusqu’aux réseaux distants. Il existe deux types de routage à savoir :
 Le routage statique : Le routage statique est le fait de l’administrateur, les routes sont
spécifiées manuellement dans la table de routage ;
 Le routage dynamique: Routage effectué à l’aide d’un protocole de routage
dynamique qui remplit la table de routage du routeur et partage ses informations avec
les autres routeurs du réseau. Dans la panoplie des protocoles de routage dynamique,
chacun ayant son propre caractéristique et son propre fonctionnement. Le tableau 2
explique les différents comportements des protocoles de routage dynamique lorsqu’ils
fonctionnent avec la technologie DMVPN.


Tableau : Comportement des protocoles de routage face au DMVPN

Type de topologies Annonce Convergence CPU Scalabilité

des routes
EIGR Hub vers Spoke Bon Rapide Traitement Inférieur
P
Spoke vers Spoke élevé
OSPF Hub vers Spoke meilleur Rapide Traitement Inférieur
Spoke vers Spoke élevé
BGP Hub vers Spoke Bon Très lent Moyen Moyen

[Type text] Page

 Spoke vers Spoke
RIPV2 Hub vers Spoke Médiocre Très lent Faible Élevé
Autres Hub vers Spoke Médiocre Très lent Faible Élevé

V.3.3.Choix du protocole de routage

Nous pouvons constater sur le tableau ci-dessus, seul les protocoles OSPF, EIGRP et BGP
permettent de faire du trafic Spoke vers le Spoke et Spoke vers Hub, ce qui ne donne pas la
chance aux autres pour être utilisé pour un réseau maillé complet ou partiel. Comment alors
départager ces trois (3) protocoles ?

La caractéristique la plus notable partagée par l’ensemble de ces protocoles consiste pour un
routeur à diffuser de façon périodique la totalité de sa table de routage sur toutes ses interfaces
qui participent au protocole. Le seul protocole dérogeant à cette règle est EIGRP, protocole
propriétaire de CISCO qui remplace IGRP. En effet, les mises à jour d’EIGRP ne sont ni
diffusées, ni générées de façon périodique pas plus qu’elles ne contiennent l’entièreté de la
table de routage.

V.3.4.Adressage réseau

Notre topologie réseau d’études donne les détails de toutes les adresses IP des
interfaces des routeurs ainsi que des ordinateurs de simulation afin de
comprendre la façon dont l’acheminement du trafic se procèdera.

Tableau : Adressage de la topologie à implémenter

Id Équipement Plan de IP IP tunnel IP LAN

nommage Publique
1 R1
2 R2
3 R3

[Type text] Page

V.3.5.Architecture proposée

Schéma à insérer

V.3.6. Test et implémentation de la solution sécurisée VPN

V.3.6.1. Prérequis matériels

Avant la mise en place d’un projet informatique, il est toujours nécessaire de réunir toutes les
conditions tant matérielles que logicielles pour une avancée sans jambages du
projet.

 L’ordinateur doit avoir une mémoire vive ayant au moins une capacité de
4 Gb ;
 L’ordinateur doit avoir un microprocesseur qui supporte l’émulation.

Ceci revient à dire que nous devons éviter les architectures trop robustes si nous
ne disposons pas d’une machine performante ou ayant peu de mémoire.

V.3.6.2. Prérequis logiciels

 Le simulateur Packet Tracer

[Type text] Page

Le choix du logiciel Packet tracer pour cette mise en place est très pratique pour
représenter une maquette d’un réseau. Packet Tracer sert à reproduire une
architecture physique ou logique complète avant la mise en production.

 L’émulateur GNS3

L’émulateur GNS3

 IOS Cisco
Ce système d’exploitation Cisco permet de connecter les réseaux et celui-ci doit être
téléchargé chez Cisco selon la série de notre matériel que nous désirons interconnecter et pour
le compte de notre simulation.

Conclusion
Il ressort de ce dernier chapitre que …

[Type text] Page

Conclusion générale

[2] Available: http://www.nyuplanet.eu/ccna/semestre4/course/module7/7.2.1.1/7.2.1.1.html

[Type text] Page