ADMINISTRATION SYSTÈME ET

RÉSEAUX

Enseignante: Samira HARRABI

Cible: 2 SI
Partie 1: Généralités sur les réseaux
 Introduction aux réseaux
informatiques (topologie et
classification des réseaux).
 Le modèle OSI & TCP/IP.
 Adressage, Routage, commutation
dans les réseaux.
Partie 2: Administration des systèmes
 Environnement Windows Server
 Environnement Linux
 Configuration de services sous
Windows et Linux
AD, Comptes (Utilisateurs, PC), GPO,
DNS, DHCP, IIS, Apache, HTTP,
Virtualisation,…
Partie 3: Introduction aux outils et
méthodes de sécurisation
 Sécurité des réseaux (Firewall…)
 Notion de base de cryptologie :
chiffrement symétrique, asymétrique,
signature numérique, ...
 Tâches de
l'administrateur réseaux
Tâches de l’Administrateur Sys et Réseaux :
 Gestion du câblage réseau (connexion
physique entre plusieurs machines).
 Gestion du routage (connexion logique
entre l'intérieur et l'extérieur du réseau ou
entre plusieurs sous-réseaux).
 Gestion de la sécurité (protection antivirale,
pare-feu, prévention des intrusions etc.)
 Gestion des droits d'accès des utilisateurs
(accès au réseau, etc.)
 Partage des ressources (dossiers,
imprimantes…).
Tâches de l’Administrateur Sys et Réseaux :
 Installation et paramétrage des équipements
et logiciels réseaux et télécoms
 Supervision et dépannage des systèmes et
applications réseaux
 Conduite et participation à des projets
relevant de son périmètre
 Gestion de la sécurité en l’absence de RSSI ou
d’ingénieur dédié
 Déploiement et gestion des terminaux mobiles
Les compétences requises sont :
 Connaissances matérielles (hardware)
Couches du modèle OSI définissant les couches
d'un réseau
Protocoles de communication (TCP/IP étant le plus
connu)
Systèmes d’exploitation PC, serveurs et
routeurs(IOS), (Windows, Linux, Unix…)
 Réseaux (protocoles, routage, virtualisation, Wi-
Fi…)
 Sécurité (contrôle d’accès, pare-feu, supervision…)
 Téléphonie sur IP
 Stockage (SAN, NAS, réplication…)
 Partie 1
Généralités sur les réseaux
Classification des réseaux

PAN : Personal Area Network

LAN : Local Area Network
MAN : Metropolitan Area Network
WAN : Wide Area Network
Topologie

Topologie en bus Topologie en étoile

Topologie en anneau Topologie maillée

Les composants d’un réseau

Les équipements terminaux (ordinateurs, stations, serveurs,

périphériques, machines hôtes, etc.)
Les supports de communication (câbles, fibres, faisceaux,
liaisons physiques, lignes de transmission, médium, etc.).
Les équipements d’interconnexion (nœuds, routeurs, ponts,
passerelles, etc.).
Les supports de communication:
1) Paires torsadées
C’est le même câble utilisé pour les téléphones. Il existe des câbles à 2 ou 4
paires mais aussi des câbles blindés (STP) ou non blindés (UTP). Défini dans
la norme 10 base T, ce type de câbles est utilisé pour du câblage dit
universel mais aussi pour les réseaux token ring (anneau à jeton) ou étoile.
C’est une solution économique mais limitée. La paire torsadée ne permet
pas une grande vitesse de transmission de l’information et elle est en outre
très sensible à l’environnement électromagnétique.
Les supports de communication:
2) Câble coaxial
Proche du câble qui relie le téléviseur à son antenne, le câble coaxial est
composé d’un câble central entouré d’un isolant, lui-même recouvert d’une
tresse métallique, elle-même recouverte d’un isolant. Il permet des vitesses
de transmission bien plus élevées que la paire torsadée et des connexions à
plus grande distance. Il reste néanmoins assez coûteux.
Les supports de communication:
3) Fibre optique
Une fibre optique est un fil en verre ou en plastique très fin qui a la propriété
d'être un conducteur de la lumière et sert dans la transmission de données
et de lumière. Elle offre un débit d'information nettement supérieur à celui
des câbles coaxiaux et peut servir de support à un réseau « large bande »
par lequel transitent aussi bien la télévision, le téléphone, la visioconférence
ou les données informatiques.
Entourée d'une gaine protectrice, la fibre optique peut être utilisée pour
conduire de la lumière entre deux lieux distants de plusieurs centaines, voire
milliers, de kilomètres. Le signal lumineux codé par une variation d'intensité
est capable de transmettre une grande quantité d'information. En
permettant les communications à très longue distance et à des débits
jusqu'alors impossibles,
Les supports de communication:
4) Les ondes électromagnétiques (faisceaux hertziennes)
Elles supportent de grande distance et de grandes capacités, pour une
propagation en visibilité directe (entre 50 et 80 km). Elles prolongent et
remplacent les câbles, pour une plus grande souplesse mais aussi une plus
grande sensibilité au bruit.
Composants d’interconnexion des réseaux
1) La carte réseau
La carte réseau constitue l’interface physique
entre l’ordinateur et le support de
communication.
Pour qu’un ordinateur soit mis en réseau, il
doit être muni d’une carte réseau.
2) Le concentrateur
Le concentrateur appelé hub en anglais est
un équipement physique à plusieurs ports. Il
sert à relier plusieurs ordinateurs entre eux.
Son rôle c’est de prendre les données reçues
sur un port et les diffuser bêtement sur
l’ensemble des ports.
3) Le répéteur
Le répéteur appelé repeater en anglais, est un
équipement qui sert à régénérer le signal entre deux
nœuds pour le but d’étendre la distance du réseau. Il
est à noter qu’on peut utiliser un répéteur pour relier
deux supports de transmission de type différents.
Composants d’interconnexion des réseaux
4) Le pont
Le pont appelé bridge en anglais est un
équipement qui sert à relier deux réseaux
utilisant le même protocole. Quand il reçoit la
trame, il est en mesure d’identifier l’émetteur et
le récepteur ; comme ça il dirige la trame
directement vers la machine destinataire.

5) le commutateur
Le commutateur appelé switch en anglais, est un
équipement multiport comme le concentrateur. Il
sert à relier plusieurs équipements informatiques
entre eux. Sa seule différence avec le hub, c’est sa
capacité de connaître l’adresse physique des
machines qui lui sont connectés et d’analyser les
trames reçues pour les diriger vers la machine de
destination.
Composants d’interconnexion des réseaux
6) La passerelle
La passerelle appelée gateway est un système matériel et logiciel qui sert à
relier deux réseaux utilisant deux protocoles et/ou architectures différents ;
comme par exemple un réseau local et internet. Lorsque un utilisateur
distant contact un tel dispositif, celui-ci examine sa requête, et si celle-ci
correspond aux règles que l’administrateur réseaux a défini, la passerelle
crée un pont entre les deux réseaux. Les informations ne sont pas
directement transmises, elles sont plutôt traduites pour assurer la
transmission tout en respectant les deux protocoles.
Composants d’interconnexion des réseaux
7) Le routeur
Le routeur est un matériel de communication de
réseau informatique qui a pour rôle d’assurer
l’acheminement des paquets, le filtrage et le
control du trafic. Le terme router signifie
emprunter une route.

8) Pont routeur ou B-routeur

Le B-routeur se comporte à la fois comme un
pont et un routeur. Si le protocole n’est pas
routable, le B-routeur est capable de se replier
vers un niveau inferieur et se comporter
comme un pont. Dans le cas contraire, le B-
routeur joue le rôle d’un routeur.
Comparaison entre le hub, le switch et le routeur
Composants d’interconnexion des réseaux
9) Proxy
En réseau informatique, un proxy appelé serveur proxy ou serveur
mandataire est souvent une machine et/ou logiciel servant de liaison
entre une machine cliente et le serveur. La plupart des cas, le serveur
proxy est utilisé entre un réseau local et internet. Le rôle principal d’un
proxy est d’assurer l’accélération de la navigation, la journalisation des
requêtes, la sécurité du réseau local, le filtrage et l'anonymat.
La plupart du temps le serveur proxy est utilisé pour le web, il s'agit
alors d'un proxy HTTP. Toutefois il peut exister des serveurs proxy pour
chaque protocole applicatif (FTP, ...).
Composants d’interconnexion des réseaux
10) Le modem
Le modem (modulateur-démodulateur) est un équipement qui sert à lier
le réseau téléphonique au réseau informatique. Souvent pour
transmettre des données informatiques à distance, on utilise la ligne
téléphonique comme support de transmission. Et comme nous savons
que la ligne téléphonique ne transporte que des signaux analogiques et
que les réseaux informatiques n’utilisent que des signaux numériques, le
modem a pour rôle de convertir le signal numérique en signal
analogique et vis versa. Le modem utilise donc les techniques de
modulation et de démodulation.
Les modèles OSI et TCP/IP
Généralement, un modèle dans le sens de “norme”
est une façon d’ordonner ou de classifier un ensemble
d’élément. Dans notre cas, les modèles OSI et TCP/IP
permettent de classifier et d’ordonner les protocoles
et les standards de communication entre les
machines. On parle parfois également de modèle en
couche où chaque couche possède sa place et sa
relation propre avec les couches adjacentes.
Le modèle OSI
Le modèle OSI (Open System Interconnexion) a été créé en
1977 afin d’éviter que chaque fournisseur de solution IT
(réseaux et systèmes) ne fournisse sa propre implémentation
du protocole lié à un service. L’ISO (International Standards
Organisation) a donc décrit le modèle OSI pour qu’il
corresponde à un grand panel d’implémentation sans favoriser
un constructeur particulier. Il s’est donc volontairement voulu
vague par rapport aux réalités techniques et est sorti plus suite
à un besoin de normalisation qu’à une réalité technique.
Le modèle OSI
Les 7 couches du modèle OSI

Couche 1 : Couche physique

La couche physique définit les spécifications du média (câblage,
connecteur, voltage, bande passante…).
Couche 2 : Couche liaison de donnée
La couche liaison de donnée s’occupe de l’envoi de la donnée sur
le média. Cette couche est divisée en deux sous-couches :
 La sous-couche MAC (Média Access Control) est chargée du
contrôle de l’accès au média. C’est au niveau de cette couche
que l’on retrouve les adresses de liaison de donnée (MAC,
DLCI).
 La sous-couche LLC (Layer Link Control) s’occupe de la gestion
des communications entre les stations et interagit avec la
couche réseau.
Couche 3 : Couche réseau
Cette couche gère l’adressage de niveau trois, la sélection du
chemin et l’acheminement des paquets au travers du réseau.
Les 7 couches du modèle OSI

Couche 4 : Couche transport

La couche transport assure la qualité de la transmission en
permettant la retransmission des segments en cas d’erreurs
éventuelles de transmission. Elle assure également le contrôle du
flux d’envoi des données.
Couche 5 : Couche session
La couche session établit, gère et ferme les sessions de
communications entre les applications.
Couche 6 : Couche présentation
La couche présentation spécifie les formats des données des
applications (Formatage, compression, cryptage).
Couche 7 : Couche application
Cette couche assure l’interface avec les applications, c’est la
couche la plus proche de l’utilisateur.
Les 7 couches du modèle OSI

Pour communiquer entre les couches et entre les hôtes d’un

réseau, OSI a recourt au principe d’encapsulation

Encapsulation : processus de conditionnement des données

consistant à ajouter un en-tête de protocole déterminé avant
que les données ne soient transmises à la couche inférieure.
Le modèle TCP/IP

Le modèle TCP/IP est nommé ainsi car les protocoles de

communications TCP et IP y sont les éléments
dominants. Il faut noter que les protocoles TCP et IP ont
été inventés bien avant le modèle qui porte leur nom et
également bien avant le modèle OSI. Le modèle TCP/IP a
été construit suite aux travaux du département de la
défense américaine (DoD) sur le réseau ARPANET,
l’ancêtre d’internet, et sur le mode de communication
numérique via des datagrammes. C’est suite à cette
réalité technique qu’est venu se greffer la normalisation
du modèle TCP/IP qui dans le principe et sur certaines
couches s’inspire du modèle OSI.
Le modèle TCP/IP

TCP/IP est conçue pour répondre à un certain nombre

de critères parmi lesquels :

 Masquer l'hétérogénéité matériel et logiciel

 Le fractionnement des messages en paquets ;
 L'utilisation d'un système d'adresses ;
 L'acheminement des données sur le réseau
(routage) ;
 Le contrôle des erreurs de transmission de
données.
Le modèle TCP/IP
Pile de Protocoles TCP/IP
Le modèle OSI & TCP/IP
Adressage IP V4
Sur Internet, les ordinateurs communiquent entre eux grâce
au protocole IP (Internet Protocol), qui utilise des adresses
numériques, appelées adresses IP, composées de 4 nombres
entiers (4 octets) entre 0 et 255 et notées sous la forme
xxx.xxx.xxx.xxx. Par exemple, 194.153.205.26 est une adresse
IP donnée sous une forme technique.
Une adresse IP est une adresse 32 bits, généralement notée
sous forme de 4 nombres entiers séparés par des points. On
distingue en fait deux parties dans l'adresse IP :
une partie des nombres à gauche désigne le réseau est
appelée ID de réseau (en anglais netID),
Les nombres de droite désignent les ordinateurs de ce réseau
est appelée ID d'hôte (en anglais host-ID).
Adressage IP V4
Classes des adresses IP V4
Adressage IP V4
Espace d'adressage
Adressage IP V4
Adresses IP V4 Réservées:

L'administrateur est libre de diviser ces plages en

sous-réseaux selon ses besoins.
Les réseaux privés & la traduction d'adresses (NAT)
 Adresse MAC
Une adresse MAC (Media Access Control), parfois nommée
adresse physique, est un identifiant physique stocké dans une
carte réseau ou une interface réseau similaire. A moins qu'elle
n'ait été modifiée par l'utilisateur, elle est unique au monde.
Structure:
Une adresse MAC-48 est constituée de 48 bits (6 octets) et est
généralement représentée sous la forme hexadécimale en
séparant les octets par un double point ou un tiret. Par exemple
5E:FF:56:A2:AF:15.
Adresses particulières
 Sous-réseaux
Pourquoi créer des sous réseaux ?
 Utilisation de plusieurs media (câbles, supports physiques).
 Réduction de l'encombrement.
 Economise les temps de calcul.
 Isolation d'un réseau.
 Renforcement de la sécurité.
 Optimisation de l'espace réservé à une adresse IP.

Masque de sous-réseau
Les masques de sous-réseaux (subnet mask) permettent de
segmenter un réseau en plusieurs sous-réseaux. On utilise
alors une partie des bits de l'adresse d'hôte pour identifier des
sous-réseaux.
 Le découpage d'une classe en sous-réseaux
la classe C 192.168.1.0 dont le masque réseau est par définition
255.255.255.0. Sans découpage, le nombre d'hôtes maximum de
ce réseau est de 254.
Adressage IP V4
Sous-réseaux:
Un administrateur gère un réseau 192.44.78.0/24. Il aimerait décomposer ce
réseau en quatre sous-réseaux.

Pour cela, il réserve les deux premiers bits de l'identifiant machine pour
identifier ses nouveaux sous-réseaux. Toute adresse IP d'un même sous-
réseau aura donc 24 bits en commun ainsi que les deux bits identifiant le
sous-réseau. Le masque de sous-réseau peut ainsi être codé de la façon
suivante : 11111111.11111111.11111111.11000000 en binaire, ce qui
correspondra à 255.255.255.192 en décimal. Les sous-réseaux seront :

192.44.78.0/26 (les adresses de 192.44.78.0 à 192.44.78.63)

192.44.78.64/26 (les adresses de 192.44.78.64 à 192.44.78.127)
192.44.78.128/26 (les adresses de 192.44.78.128 à 192.44.78.191)
192.44.78.192/26 (les adresses de 192.44.78.192 à 192.44.78.255)

62 adresses de chaque sous-réseau seront utilisables pour numéroter des

interfaces.
 Masque de sous-réseau variable (VLSM)
On parle de masque de sous-réseau variable (variable-length subnet mask,
VLSM) quand un réseau est divisé en sous-réseaux dont la taille n'est pas
identique, ceci permet une meilleure utilisation des adresses disponibles. Les
protocoles de routage BGP, OSPF, IS-IS, EIGRP et RIPv2 supportent le VLSM car
ils indiquent toujours un masque réseau associé à une route annoncée.

Par exemple, pour l'adresse 91.198.174.2/19 :

Le masque de sous-réseau (/19) est 255.255.224.0 ; l'adresse du sous-

réseau est donc donnée par :
91.198.174.2 & 255.255.224.0 = 91.198.160.0

Soit en binaire :
01011011.11000110.10101110.00000010
& 11111111.11111111.11100000.00000000
= 01011011.11000110.10100000.00000000
 Masque de sous-réseau variable (VLSM)
L'adresse de l'hôte au sein du sous-réseau est donnée par la partie
restante (01110.00000010), ou par le calcul :
91.198.174.2 & 0.0.31.255 = 0.0.14.2
soit en binaire :

01011011.11000110.10101110.00000010
& 00000000.00000000.00011111.11111111
= 00000000.00000000.00001110.00000010

En résumé, pour cet exemple :

Adressage IP V6
L'adresse IPv6 est une adresse IP, dans la version 6 du protocole IP (IPv6).
Une adresse IPv6 est longue de 128 bits, soit 16 octets, contre 32 bits pour
IPv4. On dispose ainsi d'environ 3,4×1038 adresses.
IPv6 a été principalement développé en réponse à la demande d'adresses
Internet qu'IPv4 ne permettait pas de contenter. En effet, le développement
rapide d'Internet a conduit à la pénurie du nombre d'adresses IPv4
disponibles.

Structure des adresses IPv6

Configuration des routeurs et
routage basique
Présentation d’un routeur Cisco
Schéma des mémoires d’un routeur Cisco

Composants externes
La configuration d’un routeur se fait par l’intermédiaire de lignes.
Modes de commandes
Modes de commandes
Gestion d’IOS et processus de démarrage
La séquence d’amorçage d’un routeur est découpée en 3 étapes :
 Etape n°1 : POST (Power On Self Test)
 Etape n°2 : Chargement d’IOS
 Etape n°3 : Chargement de la configuration
Le Routage:
La couche réseau fournit un acheminement de bout en bout et au
mieux des paquets à travers les réseaux interconnectés. Ceci est
effectué par 2 fonctions distinctes :

Fonction de routage
Fonction de commutation

La fonction de routage utilise la table de routage du protocole

routé utilisé par le paquet à faire transiter pour déterminer le
meilleur chemin à emprunter pour atteindre le réseau de
destination. La métrique est utilisée pour offrir une mesure de
qualité des différents chemins.
La fonction de commutation permet à un routeur d'accepter un
paquet d’une file d’attente d'entrée et de le transmettre à une
file d’attente de sortie. Le but de ces deux fonctions est donc
complètement différent et entièrement complémentaire.
Routage statique et dynamique
Il existe deux types de routage :

•Statique: Tout est géré manuellement par un administrateur

réseau qui enregistre toutes les informations dans la
configuration d'un routeur. Il doit mettre à jour manuellement les
entrées de route statique chaque fois qu'une modification de la
topologie le nécessite.
•Dynamique: Une fois qu'un administrateur réseau a entré les
commandes de configuration pour lancer le routage dynamique,
les informations relatives aux routes sont mises à jour
automatiquement, par un processus de routage.
Les protocoles de routage peuvent être classés selon l’algorithme
qu’ils utilisent :
• Vecteur de distance (RIPv1 , RIPv2, IGRP)
• Etat de liens (OSPF, IS-IS)
• Hybride symétrique : EIGRP
Systèmes autonomes
Un système autonome (AS) est, par définition, l’ensemble des
dispositifs interconnectés régis par la même administration. Cela
permet de délimiter la responsabilité du routage à un ensemble
défini.

Cette notion de système autonome crée donc une nouvelle

distinction entre les protocoles de routage :
•Protocoles de routage intérieurs (IGP) : Protocoles ayant pour
mission principale le routage à l’intérieur d’un système
autonome.
•Protocoles de routage extérieurs (EGP) : Protocoles permettant
le routage entre les systèmes autonomes.
Administration des services
DHCP
DNS
DNS
DNS
DNS
HTTP
Administration de la Sécurité

Concepts fondamentaux de la
sécurité
 Pourquoi la sécurité ?

Un système d’information représente un patrimoine

essentiel de l’entreprise
 Nécessité de protection du SI (Sécurité du SI).
Menaces aux systèmes d’informations
erreurs humaines, employés malhonnêtes, accès externe, etc.
Une intrusion à un SI peut causer des dégâts divers et risque
de menacer l’existence de l’entreprise sur le marché.
Vol de données confidentielles, pertes financières suite à des
transactions erronées, perte de confiance des clients, etc.

68
 Pourquoi la sécurité ?

Augmentation du volume des violations de la sécurité durant

la dernière décade.
Les attaques de sécurité ne cessent d’augmenter en terme de
sophistication, sévérité, et simplicité d’exécution.
Insécurité dans les technologies de communications:
L’Ethernet est Promiscuous.
Protocole TCP/IP conçu sans se soucier des problèmes de sécurité.
TCP/IP envoi des données en clair (les données peuvent être visualisées) et les
applications doivent sécuriser les données, etc.
L’adresse IP de la source peut être modifiée (IP spoofng)

69
Sophistication des attaques versus
connaissances requises

Time

70
 Que couvre la sécurité en général ?
Prévention
Prendre des mesures afin d’empêcher les ressources (données, applications, services, OS,
matériels), d’être attaquées.
Détection
Prendre des mesures afin de détecter quand, comment, et par qui une ressource a été
attaquée.
Réaction
Prendre des mesures après l’occurrence d’un incident de sécurité afin de réduire son
impact ou restaurer les ressources.

71
 Services, mécanismes et attaques.

Attaque de sécurité: N’importe quelle action qui vise à (ou tente de)
compromettre la sécurité du système d’information (ou ressources
d’informations) possédé par une organisation, un employé, ou un
utilisateur.
Mécanismes de sécurité: Mécanismes (sous formes de procédures,
applications, ou dispositifs matériels) désignés à détecter, empêcher,
ou récupérer suite à une attaque de sécurité.
Services de sécurité: Services améliorant la sécurité du traitement et
de transfert de l’informations. Ces services s’opposent aux attaques
de sécurité et utilisent un ou plusieurs mécanismes de sécurité.

72
 Exemples d’attaques
Accès non autorisé aux ressources (modification,
destruction de données, etc.)
Capture de trafic sur un réseau (accès à des données
confidentielles: login, mots de passes, etc.)
Usurpation d’identité pour se substituer à une entitée
légitime (machine, utilisateur, processus).
Malveillance d’un utilisateur interne (Insertion volontaire de
programmes malveillants, divulgation de mots de passes,
etc.)
Déni de service.
Propagation de virus et de vers.
Coupure d’électricité ou panne du matériel.
73
Types d’attaques détectées
(par pourcentage d’entreprises interrogées)

74
75
 Intrus (Intruder)

Entité responsable d’une attaque de sécurité, capable de (d’):

Accéder à des ressources internes propres à la cible de l’attaque
de sécurité (appelée victime) de façon non autorisée.
Manipuler des données propres à la victime.
(Tenter de) contourner les mécanismes de sécurité mis en
place.
Manipuler et/ou agir sur le fonctionnement interne des
machines.
Deviner et/ou décrypter les mots de passe utilisés pour
protéger l’accès à des comptes utilisateurs ou à des services
(type spécifique d’intrus : cracker).

76
 Menace : Définition

Une menace est «un signe qui laisse prévoir un danger»

La menace peut être une personne, un objet, ou un événement qui peut créer un
danger pour un bien (en terme de confidentialité, intégrité ou disponibilité).
Une menace peut provenir de l'environnement naturel, physique ou peut être le
résultat d'actions humaines.
Exemple:
Un virus circule sur le réseau local.
Un programme installé sur la machine semble être en train d’épuiser les
ressources disponibles (mémoire, CPU).
Une attaque de sécurité est la réalisation d’une menace.

77
 Vulnérabilité
Faille ou bug pouvant être exploité pour obtenir un accès (à une
ressource) considéré comme illicite ou muni d’un privilège
inattendu (supérieur par rapport à celui considéré comme normal).
Caractérise les composants du système (matériel, logiciel, règles,
procédures, personnel) susceptibles d’être attaquées avec succès.
Est exploitée par une menace pour engendrer une attaque.
Exemples:
Un système est configuré avec des comptes non protégés par mot de
passe ou utilisant des mots de passes non robustes.
Un serveur Web accepte que les utilisateurs envoient des commandes
système à exécuter à la place des adresses des pages à visiter.

78
 Autres définitions …

Protection : Processus d’anticipation qui vise à créer un

environnement aussi sécurisé que possible.
Identification : Moyen utilisé pour identifier un utilisateur.
Authentification : Processus de validation de l’identité d’un
utilisateur.
Risque :
La probabilité qu'une menace exploitera une vulnérabilité du
système.
Fonction à deux arguments : menace et vulnérabilité, et donne
comme valeur une probabilité.

79
 Services de sécurité (1)

Objectif:
Empêcher et détecter les attaques de sécurité.
Améliorer et renforcer la sécurité.
Répliquer les fonctions usuelles utilisées sur les documents physiques:
Signature, date.
Protection contre la divulgation, la falsification, et la destruction.
Certification.
Enregistrement.

80
 Services de sécurité (2)

(X.800, Security architecture for OSI) regroupe les services

de sécurité en cinq catégories:
Authentification
Contrôle d’accès
Confidentialité
Intégrité
Non répudiation

81
 Services de sécurité (3)
Confidentialité (Privacy/confidentiality/Secrecy)
Assure que les données faisant partie d’un système d’information et/ou
transmise sur une réseau de communication ne soient accessibles en lecture
que par les parties autorisées.
Intégrité (Integrity/authenticity)
Uniquement les parties autorisées peuvent modifier les ressources du système
d’information et les informations transmises (protection de l’information contre
les modifications accidentelle, intentionnelle, et non autorisée).
Authentification (Authentication)
Exige que l'origine d'un message soit correctement identifiée.
Toute partie (émettrice ou réceptrice) doit être capable de vérifier que l'autre
partie est bien celle qu’elle prétend l’être (la validation de l'identité de l'autre
partie).

82
 Services de sécurité (4)
Non repudiation:
Empêcher l’émetteur ou le récepteur de nier avoir transmis ou
reçu un message.
Non répudiation d’envoi: Le destinataire est capable de prouver que la source
prétendue vient d’émettre le message en question.
Non répudiation de réception: L’émetteur est capable de prouver que son message
a été reçu effectivement par la destination prétendue.
Access Control :
Limiter et contrôler l’accès à une ressource.
Définir les ressources à contrôler et les entités ayant le droit d’y accéder.
Définir ce qu’une entité est autorisée de faire (droits d’accès) lors de l’accès.
Déterminer sous quelles conditions ceci peut avoir lieu.
Nécessite que chaque entité soit identifiée puis authentifiée.
 La disponibilité : Propriété ou service ?

Propriété énonçant qu’un système, un réseau, ou une

ressource soit accessible à tout moment (selon les
performances du système) suite à la demande d’une entité
autorisée.
X.800 considère la disponibilité comme étant une
propriété associée à d’autres services de sécurité (ex:
protection contre le déni de service, contrôle d’accès).

84
 Les attaques de sécurité

X.800 et RFC 2828 classifient les attaques selon deux

classes :
Attaques passives : tentent de collecter ou utiliser des informations relatives au système,
mais elles n’affectent pas les ressources du système.
Attaques actives : tentent d’introduire des modifications sur les ressources du système
ou affecter leur fonctionnement normal.

85
 Attaques de sécurité: Attaques passives

Gain d’information au cours de sa transmission.

Interception: gain d’accès à des données et extraction
d’informations à partir du trafic échangé.
ex: email contenant des informations confidentielles,
communication téléphonique
Analyse de trafic: inférer des informations utiles (même en
présence de cryptage) en analysant les messages échangés
(temps d’échange, fréquence et longueur des messages,
etc.).

86
 Attaques de sécurité: Attaques actives (1)

Imitation (impersonate): Une entité prétend être une autre

afin d’obtenir des privilèges supérieurs.
Rejeu (Replay): Une entité capture passivement des données
et les transmet ultérieurement en vue de réaliser des actions
non autorisées.
Fabrication: Création et injection de messages afin de
produire un effet non autorisé.
Modification: Altération, destruction, ou reclassement d’une
partie des messages échangés en vue de produire un effet
non autorisé.

87
 Attaques de sécurité: Attaques actives (2)

Déni de service (Denial of Service, DoS): Empêcher ou réduire

l’utilisation normale des moyens de communications:
Deux types:
Exploitation de vulnérabilité liée à une application ou un service
installé sur la cible en vue de désactiver la victime. Nécessite un
nombre faible de packets
Perturbation de l’utilisation normale des ressources (réseau ou
système) en les surchargeant de trafic inutile pour dégrader leurs
performances.
Interruption et suppression des messages en direction d’une
destination particulière.

88
 Attaque actives vs. attaques passives

Attaques passives
Détection difficile puisqu’elles n’entraînent aucune altération de
données
Protection assez simple (ex: cryptage)
Attaques actives
Faciles à détecter
Difficile à empêcher de façon absolue à moins de protéger
physiquement tous les moyens et chemins de communications en
même temps.
Le but serait de détecter et de récupérer de n’importe quelle perturbation
ou retard causé par ces attaques.

89
 Termes à ne pas confondre

Interruption

Interception

Modification

Fabrication

90
 Exemples d’attaques actives et passive

« A » transmet un fichier contenant des données à protéger à «

B ». « C », qui n’est pas autorisé à lire ce fichier est capable de
capturer une copie durant sa transmission.
An administrateur réseau « D » transmet un message à un
ordinateur « E » afin de mettre à jour un fichier d’autorisation
(contenant une liste d’utilisateurs). « F » intercepte ce
message, le modifie, et le transmet à E.
Au lieu d’intercepter le message, « F » construit son propre
message, et le transmet à « E » comme si ce dernier émane de
« D ».
Un message est envoyé de « A » à « B » contenant des
instructions pour des transactions. « A » nie avoir envoyé ce
message.

91
 Mécanismes de sécurité (1)

Cryptage
Utilisation d’algorithmes mathématiques pour transformer les
messages en une forme incompréhensible.
La transformation dépend d’un algorithme et de zéro à plusieurs
clés.
Signature numérique
Ajout de données, ou transformation cryptographique irréversible,
à une unité de données afin de prouver la source et l’intégrité de
cette unité de données.
Échange d’authentification
Mécanisme assurant l’identité d’une entité à travers un échange
d’informations.

92
 Mécanismes de sécurité (2)

Notarization:
Utilisation d’une tierce partie afin d’assurer certaines propriétés
liées à un échange de données.
Horodatage (Timestamping)
Inclusion d’une date et d’un temps correct dans un message.
Mécanismes non cryptographiques:
Traffic Padding : Insertion d’un certain nombre de bits au niveau d’un
flux de données pour faire échouer les tentatives d’analyse du trafic.
Détection d’intrusions
Déploiement de Firewalls

93
 Sécurité dans les couches de protocoles

Besoin de la sécurité dans plus d’une couche (routage, transport,

application)
Les couches supérieures sont plus dépendantes aux applications et
indépendantes aux technologies.
La fonction de sécurité ne doit pas dupliquer les fonctionnalités de
communication.
La sécurité de bout en bout est plus simple à fournir dans les couches
supérieures, que la sécurité de point à point dans les couches
inférieures.
Les mécanismes de sécurité dans les couches supérieures sont
généralement implémentés sur des logiciels. Les mécanismes de
sécurité dans les couches inférieures sont généralement
implémentés sur du matériel.

94
 Sécurité dans les couches de protocoles

PGP, PEM, …
Application Application

Transport SSH, SSL, … Transport

IP Good Privacy, PEM: Privacy Enhanced Mail

PGP: Pretty IP
SSH: Secure Shell, SSL: Secure Socket Layer
AH, ESP,
AH: Authentication Header, ESP: …
Encapsulating Security Payload.

95
 Gestion de risque

Est-ce que ça coûte moins de mettre en œuvre un mécanisme de

sécurité ou d'accepter le coût de la perte ?
Modèle

Ressources Menaces
Vulnérabilités
(Assets)

Risque

Quels sont les ressources vitales à l’entreprise et qui peuvent subir des attaques ?
Contre-mesures
Quelles sont les formes de perte et dégâts qui peuvent avoir lieu ?
Quelles sont les vulnérabilités du système et les ressources les plus vulnérables ?

96
 Gestion de risque (5)

Analyse de risque
Déterminer les biens à protéger.
Définir de quelles menaces seront-t-ils protégés
Choisir comment les protéger.
Contre-mesures
Implémentation de mécanismes et de politiques de sécurité en vues de:
Réduire les menaces.
Réduire les vulnérabilités.
Réduire l’impact.
Détecter les évènements malveillants.
Restaurer à partir d’un évènement malveillant.
La protection doit être proportionnelle à la valeur des biens à protéger.

97
 Politique de sécurité (1)

Ensemble de règles spécifiant:

La façon avec laquelle les ressources sont gérées afin de satisfaire les exigences
de sécurité.
les actions permises et les actions interdites.
Objectif:
Informer les utilisateurs, le personnel et les dirigeants des exigences et des
besoins afin de préserver la sécurité du système d’information
Préciser les mécanismes par lesquels ces exigences puissent être satisfaites.
Définir un référentiel servant à acquérir, configurer et auditer les composants
du systèmes d’information pour le respect de la politique.
Etendu:
Organisationnel ou individuel
Implémentation
Partiellement automatisée, mais toutes les personnes sont impliquées.

98
 Politique de sécurité (2)
Une politique de sécurité est applicable à travers des
mécanismes et des outils de sécurité et des mécanismes de
sanction (cas où la prévention est impossible).
La politique de sécurité spécifie clairement la responsabilité
des utilisateurs et des administrateurs chargés de la
respecter et de l’appliquer.
Une politique de sécurité précise la périodicité de sa
révision.
Une politique de sécurité définit des règles pour :
la gestion des mots de passe,
l’authentification des utilisateurs,
le contrôle d’accès (réseau et système),
l’architecture du réseau,
la sécurité du personnel (responsabilité, formation, …)
la sécurité physique, etc.
Exemple: http://cis.poly.edu/security-policy.html

99
Partie 2

Crypto-systèmes symétriques
 Problématique
Failles dans les protocoles de communication
Toute information circulant sur Internet peut être capturée et enregistrée et/ou
modifiée
Problème de confidentialité et d’intégrité
Toute personne peut falsifier son adresse IP (spoofing) ce qui engendre une fausse
identification
Problème d’authentification
Aucune preuve n’est fournie par Internet quant à la participation dans un échange
électronique
Problème d’absence de traçabilité

101
 Cryptographie
Science mathématique
permettant d’effectuer des
opérations sur un texte Intégrité
compréhensible afin Authentification
d’assurer une ou plusieurs
propriétés de la sécurité de
l’information. Non Répudiation

Confidentialité

102
Définition d’un crypto-système

Un crypto-système est décrit par cinq uplets (P,C,K,E,D),

satisfaisant ces conditions:
« P » est un ensemble fini de textes clairs (Plain text)
« C » est un ensemble fini de textes cryptés (Cypher
text)
« K » est l’espace de clés (key space), représente un
ensemble fini de clés possibles.
Pour chaque k € K, il existe une fonction cryptage ek € E,
et une fonction de décryptage correspondante dk € D
Les fonctions ek : P  C et dk : C  P doivent satisfaire:

dk(ek(x))=x pour chaque x € P

103
Principaux objectifs

Le texte clair ne doit pas être facilement obtenu

à partir d’un texte crypté.
Les clés ne doivent pas être facilement obtenu à
partir d’un texte crypté.
L’espace des clés doit être assez large pour
résister aux attaques brute-force.
Confusion: L’effet d’un petit changement sur le
texte clair ne doit pas être prévisible.
Diffusion: un petit changement dans le texte
clair doit avoir un effet sur une large partie du
texte crypté.
104
Cryptanalyse

Principes et méthodes permettant de trouver un

message clair à partir d’un message crypté sans
connaissance de la clé (dans un temps inférieur
à celui nécessaire pour une attaque brute
force).
Attaques classifiées selon le type de
connaissance disponible pour l’intrus
(cryptanalyst).
Connaissant C=E(P,K) mais pas K, l’objectif est
de trouver P ou K.
105
 Cryptage symétrique
Utilise une clés secrète partagée et connu entre l’émetteur et le récepteur.
L’émetteur crypte le message en utilisant la clé partagée.
Le récepteur décrypte le message cryptée en utilisant la même clé.
Y = EK(X)
X = DK(Y)
Le message crypté conserve approximativement la même longueur du message en
clair.
Suppose que l’algorithme de cryptage est connu à l’avance.
Applications:
Transmission de données sur une canal non sécurisé.
Stockage sécurisé sur un support de stockage non sécurisé.
Authentification de type challenge/response.
Exemples:
Algorithmes: DES, IDEA, AES
Taille des clés: 56-128-192-256… bits

106
 Cryptage symétrique: principe de base

Clé Transmission par canal sécurisé Clé

01010000111 01010000111

Cryptanalyst

Texte clair Cryptage Texte clair

Internet Décryptage
Voici le Voici le
numéro
de ma ☺☼♀☻ numéro
de ma
carte de ♠♣▼╫◊ carte de
crédit
111111,
♫◙◘€£ crédit
111111,
¥₪Ω‫٭‬
Texte crypté
Emetteur
Récepteur

107
 Cryptographie Symétrique: opérations de base

Substitution
Remplacement de chaque élément (bit, lettre, groupe de bits ou de
lettres) dans le texte clair par un autre élément.
Transposition
Réarrangement des éléments du texte clair

La plupart des systèmes à cryptographie symétrique

utilisent plusieurs étapes de transposition et de
substitution.
Aucune information ne doit être perdue durant ces
deux opérations

108
Exemple de cryptage par substitution

Caesar's cipher
Etapes:
Remplacer chaque lettre par celle qui la succède de trois
(shifting).
a devient d, b devient e, …, y devient b, z devient c
Pas de clés
L’algorithme peut être décrit comme suit:
C = E(p) = (p+3) mod (26)
Problèmes rendant la cryptanalyse de cet
algorithme simple:
Algorithme de cryptage et de décryptage connu.
Seulement 25 clés à essayer.
Le langage du message clair est connu et facilement
identifiable.
109
 Exemple de cryptage par substitution

Monoalphabetic Cipher
Au lieu d’appliquer la même modification à toute
l’alphabet, chaque lettre est remplacée à part.
La clé est de longueur 26
Exemple
Lettres en clairs: a b c d e f g h i j k l m n o p q r s t u v w x y z
Lettres substituées: D K V Q F I B J W P E S C X H T M Y A U O L R G Z N

Texte clair: ifwewishtoreplaceletters

Clé Texte crypté: WIRFRWAJUHYFTSDVFSFUUFYA

110
Exemple de cryptage par substitution

Sécurité de l’algorithme Monoalphabetic Cipher

Espace des clés: 26! = 4 x 1026  nombre assez large

Problème
Le langage humain est redondant
Chaque langage est caractérisé par une fréquence d’apparition de
lettres.
En anglais e est la lettre la plus utilisée.
Attaque statistique
Mesurer la fréquence de distribution de chaque lettre, paire de lettres,
triplet de lettres, etc.
Comparer les fréquences obtenues aux fréquences théoriques de la
langue.
Le cryptage par « Monoalphabetic Cipher » ne change par les fréquences relatives aux
lettres dut exte clair.
Nécessité d’un nombre modéré de textes cryptés (+100 lettres)
111
Fréquence des lettres en anglais

112
Sécurité de l’algorithme : Monoalphabetic Cipher

Etant donné le texte crypté:

UZQSOVUOHXMOPVGPOZPEVSGZWSZOPFPESXUDBMETSXAIZ
VUEPHZHMDZSHZOWSFPAPPDTSVPQUZWYMXUZUHSX
EPYEPOPDZSZUFPOMBZWPFUPZHMDJUDTMOHMQ
Compter les fréquences des lettres
Déduire que “P” & “Z” sont “e” et “t” respectivement.
Déduire que “ZW” est “th” and donc “ZWP” is “the”
Résultats final après les essaies est :
it was disclosed yesterday that several informal but
direct contacts have been made with political
representatives of the viet cong in moscow

113
 Exemple de cryptage par substitution

One-time pad
Principe
Choisir une clé aussi longue que le texte à chiffrer.
Utiliser une clef formée d’une suite de caractères aléatoires.
Ne jamais réutiliser une clé.
Etant donné
le message: ONETIMEPAD
La séquence de la clé dans le pad: TBFRGFARFM
Le texte crypté serait: IPKLPSFHGQ
(O+T)mod26=I, (N+B)mod26=P
Supposant qu’un intrus essaye de décrypter le message IPKLPSFHGQ
Utilisant de la clé POYYAEAAZX  texte clair produit: SALMONEGGS
Utilisant de la clé BXFGBMTMXM  texte clair produit: GREENFLUID

114
 Sécurité de l’algorithme One-Time pad
Avantages
Un attaquant n’a aucune information qu’il peut utiliser pour
décrypter le texte.
Algorithme prouvé sûr de manière inconditionnelle.
Le texte crypté ne porte aucune statistique sur le texte clair.
Inconvénients
Communiquer les clés de chiffrement de manière sécurisée ou
trouver un algorithme de génération de clés commun aux deux
partenaires.
La création de grandes quantités des clés aléatoires devient vite
problématique.
Complexité de la distribution des clés: La longueur de la clé est
égale à celle du message.

115
Exemple de cryptage par transposition

Exemple: Rail fence technique

Principe: Le texte clair est réécrit comme une
séquence de lignes, puis réordonnée comme
une séquence de colonnes
Key: 4 3 1 2 5 6 7
Plaintext: a t t a c k p
o s t p o n e
d u n t i l t
w o a m x y z
Ciphertext: TTNA APTM TSUO AODW COIX KNLY PETZ
Cryptanalyse possible vue que l’algorithme
préserve la fréquence de distribution des lettres
du texte original.
116
 Cryptage symétrique: Modes Opérationnels

Stream Cipher (cryptage par flot de données): traite les éléments d’entrée de façon
continue, produisant un élément de sortie (crypté), à la fois.
La clé est aussi longue que le stream de données.
Pour un texte clair P=x1x2x3x4x5… et une clé l=l1l2l3l4l5… il existe une fonction de cryptage
et des algorithmes de cryptage tel que:
Eli El
C  El ( P)
C  El1 ( x1 ) El2 ( x2 )...
Les valeurs l1 , l2 , l3, l4 , … sont appelées key streams
li  pour
Mode adapté f (k , xla1 , communication
x2 , xi 1 ) en temps réel: Pas besoin d’attendre l’arrivé du block
entier
Implémenté en général sur des supports hardware.
Synchronous cipher: Le key stream ne dépends pas du texte clair. La période du key stream
est égale à d tel que: li+d=li
Self-synchronizing: le key stream dépend de n caractères clairs précédents.
 Cryptage symétrique: modes opérationnels

Block Cipher (cryptage par bloc): Le texte est divisé en différents

blocks de taille fixe.
Un block est traité à la fois, produisant un block de données cryptées.
Le block doit être entièrement disponible avant le traitement
Sans mémoire. La même fonction et la même clé est utilisée pour
crypter les blocks successifs.
Implémentation logicielle en général.
Mode d’utilisation
Electronic Code Block (ECB): Chaque block de données est crypté
indépendamment, et les blocks cryptés ne sont pas liés
 non sécurisé pour les messages longs à cause de la répétition du code
Cipher Block Chaining (CBC): Le résultat d’une étape est utilisé pour modifier les
données d’entrée de la prochaine étape
 besoin d’un vecteur d’initialisation connu d’avance.
Electronic Code Block (ECB)
Cipher Block Chaining (CBC):
 Cryptographie Symétrique : exemples

Algorithmes de chiffrement en continu (Stream Cipher)

Exemple : RC4 (RSA Security)
Taille de clé variable (128 bits en pratique).
Algorithmes de chiffrement par blocs (Block Cipher)
Chiffrement par blocs de texte clair: 64 bits (DES), 128 bits (AES).
DES (56 bits), 3DES (clef de 168 bits en EDE3, 112 bits en EDE).
RC2 (128 bits), Blowfish (128bits, jusqu'à 448 bits), AES (128, 192, 256 bits).

121
 Cryptage symétrique

Avantages
Confidentialité des données.
Rapidité, et facilité de mise en œuvre sur des circuits.
Taille des clés relativement faible
Limitations
Une tierce partie ne peut pas s’assurer de l’authenticité des
messages.
Problème de la distribution des clefs de cryptage
Nécessité d’établir au préalable un canal sécurisé pour la transmission de la clé.
Nombre de clés échangées: Une communication sécurisée entre n utilisateurs
nécessite n(n-1)/2 clés.

122
 DES (Data Encryption Standard)

L’algorithme de cryptage (Block cipher) a clés symétriques

le plus utilisé.
Crypte des blocks de 64 bits en utilisant des clés
relativement courtes (taille effective 56-bit).
Produit de transpositions et de substitutions.
Implémentation facile en matériel.
Boites transposition P-Box
Boites de substitution S-Box

123
Algorithme DES

48 bits

3
2

124
 DES (étapes 1 et 4): P-Box

Permutation initiale Permutation finale

Le bit à la position 58 deviendra à la position 1
Implémentation simple en matériel
 DES (étape 2)
Les sous-clés (Round keys) sont générées à partir de la clé principale
de 56 bits:
Diviser la clé de 56 bits en deux segments.
Rotation de chaque segment par un ou deux bits à gauche.
Sélection de 24 bits de chaque segment.

126
 DES (étape 3) Un tour DES (One DES round)

Bloc de 64 bits en entrée Bloc de 64 bits en entrée

Cryptage Décryptage
32 bits Li 32 bits Ri Sous-clé Sous-clé 32 bits Li+1 32 bits Ri+1
de 48 bits de 48 bits

Fonction de cryptage Fonction de cryptage

+ +

32 bits Li+1 32 bits Ri+1 32 bits Li 32 bits Ri

Bloc de 64 bits en sortie Bloc de 64 bits en sortie

127
 Fonction de cryptage
A

128
 A- Fonction d’expansion

Etendre les blocs d’entré Ri de 32 bits à un block Ri’ de 48

bits.
Division des 32 bits en des segments de 4 bits.
Élargir chaque segment de 4 bits avec les bits de ses voisins pour
atteindre 6 bits.

1 2 3 4 5 6 7 8 9 …

32 1 2 3 4 5 4 5 6 7 8 9

129
 B- Fonction de substitution (S-Box)
 Substituer les valeurs des segments de 6 bits par la valeur de la
case correspondante à la table de substitution
 Le 1er et le 6ème bits définissent les lignes.
 Le 2ème, 3ème, 4ème , et 5ème bits définissent les colonnes.

 Un sous-bloc de 6 bits est transformé en un sous-bloc de 4 bits.

0 0 1 0 0 1 1110

1 14
C – Fonction de permutation

Bit en position 1 est envoyé en position 16

131
Limites de DES

Les progrès en cryptanalyse et en électronique a fait que

la longueur 56 des clés est devenu un problème pour
DES
 La taille de l’ensemble : {0,1}56 permet de
retrouver la clé à partir d’un texte clair connu en faisant
du brute force.
3-DES (triple DES) a été lancé comme un nouveau
standard en 1999.
Utilise 2 ou 3 clés.
Niveau de sécurité satisfaisant.
K3
Permet de continuer l’utilisation des boites S-Box et P-Box
matériel et logiciel, en attendant la migration vers AES.

Cryptage Décryptage Cryptage Cryptage Décryptage Cryptage

132