ADMINISTRATION DE SECURITE DES SERVICES Internet

« internet » et « Internet (interconnexion de réseaux à l’échelle mondiale)» fonctionnent avec

TCP sur IP.

CHAP I FONDAMENTAUX SUR LES SERVICES INTERNET

1.1.Objectifs
Cet enseignement a pour objectif d’etudier des principes d’administration des systemes et reseaux
(locaux , etendus, ou internet) ; il vise egalement a donner à l’etudiant les connaissances
necessaires a la mise en place et l’administration efficace d’un serveur intranet ou internet.
L’accent sera mis sur la pratique des outils concrets
1.2.Principaux services ou fonctions d’Internet
Internet offre plusieurs services à ces usagers tous fonctionnant dans l’environnement client-
serveur ; les principaux services Internet sont les suivants
- La messagerie électronique : elle permet d’envoyer un message électronique a un
utilisateur
- Les fora de discussion, liste de diffusion
- L’accès à des systèmes distants
- Transfert de fichier
- Le web : ou encore HyperText (on parle du son des images)
- Discussion en ligne : il s’agit du chat et de la webcam
Pour y avoir accès, l’usager doit disposer des logiciels clients adéquats ; autant de fonctionnalités
ou services, autant de catégories ou logiciels clients
1.2.1. Messagerie électronique
Différents protocoles sont utilisés pour envoyer du courriel électronique : le protocole http
(HyperText Transfer Protocol) ou https pour l’accès sécurise, le protocole POP3 (Post Office
Protocol) pour la réception des messages et le protocole SMTP pour l’émission de messages.
1.2.2. Forums de discussions
On distingue principalement deux types de forums
• Les forums bases sur les courriels électroniques (ListServ) : ils fonctionnent par la
création et le maintien d’une liste d’abonne, l’intéresse peut s’y inscrire en envoyant un
message bien défini dans le forum. Une fois que son adresse est incluse dans la liste du
groupe, tous les messages poste au forum lui sont achemines dans sa boite de messagerie
électronique.
• Les forums qui utilisent les serveurs de type Usenet : tous les messages poste par les
membres du groupe de discussion sont envoyé dans les serveurs Usenet et restent
accessibles pendant un temps paramètre dans le serveur ; pour l’usager, l’interaction avec
 le groupe de discussion se fait par le biais de son logiciel qui lui permet de lire et
d’envoyer des messages. L’url pour obtenir un groupe de discussion des Usenet est de la
forme « news : Nom_du_groupe »
1.2.3. Accès à des systèmes distants
Le protocole Telnet sert à accéder à distance a un ordinateur mis à la disposition de l’utilisateur.
L’url pour Telnet est de la forme telnet://hote. Les modes Telnet et SSH sont également utilise
pour l’administration à distance des ordinateurs, d’imprimantes de bases de données etc.
L’administration à distance d’ordinateurs est également possible par des protocoles complexes
permettant de visualiser ce qui est affiche sur l’ordinateur distant et de déclencher l’exécution de
programmes ; un ordinateur est alors qualifié de maitre et l’autre d’esclave. Cette utilisation peut
être aussi bien volontaire et consentante de la part de la part de l’ordinateur esclave
que malveillante.

1.2.4. Transfert de fichiers

Le transfert de fichiers d’un ordinateur a un autre peut s’effectuer grâce au protocole FTP. En
pratique ce protocole permet à un usager d’accéder au fichier depuis un ordinateur distant des
privilèges d’accès au serveur en écriture ou en lecture ainsi que des limitations du type d’usager
notamment le Login et mot de passe sont en général définis.
Un serveur est une application capable de recevoir d’analyser ou de traiter une requête envoyée
par une autre application appelé cliente et de restituer le résultat dans un langage qu’il peut
comprendre. Le port par lequel le transfert doit s’effectuer est par défaut le 21
1.2.5. HyperText et WWW (World Wide Web)
Le www aussi appelé w3 ou plus familièrement le web, constitue la vitrine de l’Internet. La
fonction navigation en mode web est le mode de consultation de l’information le plus évolué dans
Internet, son taux de croissance a été fulgurant depuis les dernières années et il s’est vite établi
comme une ressource d’information incontournable ; il utilise le protocole http pour l’échange
d’information entre le logiciel client (navigateur) et le serveur ; une des forces du web est qu’il
donne accès à tous les services du web totalement ou en partie
1.2.6. Discussion en ligne (chat) et webcam
Le chat en ligne connait un grand succès, développer à l’origine par AOM, ce mode de discussion
base sur le protocole NNTP (Network News Transfer Protocol) est accessible au non abonne par
les logiciels dédies ou les navigateurs par défaut. Différents modes de chat existent notamment :
l’IRC, ICQ, la Téléphonie En Ligne.
• L’IRC (Intranet Relay chat) correspond à la possibilité pour plusieurs individus de
discuter en temps réel sur les réseaux par l’intermédiaire du clavier.
• L’ICQ (I Seek You) permet à un individu identifie par un numéro unique et un surnom de
communiquer par l’intermédiaire du clavier avec un autre. Ce service peut être considère
comme intermédiaire entre l’IRC et le courriel électronique
 • Téléphonie en ligne est le mode de communication par internet qui utilise les logiciels
spécifiques et permet à des individus de communiquer vocalement

1.3.Sécurité des principaux services Internet

1.3.1. Service de messagerie
Les protocoles de sécurité des emails contre les interférences extérieures sont des structures de
protection ; le protocole SMTP n’ayant pas de sécurité intégrée chaque messagerie électronique
sérieuse a besoin de protocole de sécurité supplémentaire. Les protocoles de sécurité suivants
fonctionnent avec le protocole SMTP.
1.3.1.1.SSL/TLS
SSL (Secure Sockets Layer) et son successeur TLS (Transport Layer Security) sont des
protocoles de sécurité et de messagerie sont les protocoles de sécurité de messagerie les plus
courants qui protègent les courriels électroniques lors de leur déplacement sur Internet. Ce sont
des protocoles qui tournent dans la couche application ; dans les réseaux de communication
internet, la couche application standardise les communications pour les services aux utilisateurs
finaux ; SSL étant déconseillé, il est souhaitable de s’appesantir sur TLS. TLS offre une
confidentialité et une sécurité supplémentaire pour les programmes communiquant ; dans ce cas
TLS assure la sécurité des SMTP, lorsque le client de messagerie envoi ou recoins un message, il
utilise le protocole TCP qui fait partie de la couche transport pour se connecter au serveur de
messagerie et initier une prise de contact.
La prise de contact est une série d’étapes où le client de messagerie et le serveur de messagerie
valident les paramètres de sécurité et les cryptages et commence la transmission du courriel
électronique lui-même ; la démarche est la suivante :
• Le client envoi une message particulier (ex ‘allo’), envoi du type de chiffrement et les
versions TLS compatible au serveur de messagerie
• Le serveur répond avec le certificat numérique TLS du serveur et la clé de chiffrement
publique du serveur
• Le client vérifie les informations du certificat
• Le client génère une clé secrète partagée aussi appelé clé pré-maitre à l’aide de la clé
publique du serveur et l’envoi au serveur
• Le serveur déchiffre la clé partagée secrète
• Le client et le serveur peuvent désormais utiliser la clé partagée secrète pour crypter le
transfert de données
TLS est très important car l’écrasante majorité des serveurs de messagerie et les clients de
messagerie utilisent pour finir un niveau de base de cryptage pour les emails. On distingue deux
catégories de TLS : le TLS opportuniste et le TLS forcé.
• Le TLS opportuniste est une commande de protocole qui indique qui serveur de
messagerie que le client de messagerie souhaite transformer une connexion existante en
 une connexion TLS sécurisée ; cependant si le processus de prise de contact échoue ; TLS
opportuniste reviendra à une connexion en texte brut et enverra l’email sans chiffrement
• Le TLS forcé est une configuration de protocole qui oblige toutes les transactions par
courriel électronique à utiliser la norme TLS sécurisée ; si l’email ne peut pas transiter du
client au serveur de messagerie, puis vers le destinataire de l’email alors le message ne
sera pas envoyé
1.3.1.2.Sécurité de la messagerie électronique avec des certificats numériques
Un certificat numérique est un outil de cryptage que l’on peut utiliser pour sécuriser un email
cryptographiquement. Les certificats numériques sont un type de cryptage a clé publique.
Le certificat permet aux utilisateurs de s’envoyer mutuellement des emails à l’aide d’une clé de
cryptage publique prédéfinie ; il permet également de crypter chacun, ces courriels sortant pour
les autres les protocoles de sécurité des emails sont des structures qui protègent ceux-ci contre les
interférences extérieures.
1.3.1.3.Sécurité de la messagerie électronique avec les protocoles SPF (Sender Policy
Framework)
C’est un protocole d’authentification qui protège théoriquement contre l’usurpation de domaine ;
SPF introduit des vérifications de sécurité supplémentaires qui permettent à un serveur de
messagerie de déterminer si un message provient du domaine ou si quelqu’un utilise le domaine
pour masquer sa véritable identité ; un domaine est une partie d’Internet qui tombe sous un seul
nom par exemple univ-dschang.org.
Les pirates et les spammeurs masquent régulièrement leur domaine lorsqu’ils tentent d’infiltrer
un système ou d’arnaquer un utilisateur car un domaine peut être tracer par emplacement et
propriétaire ou à tout le moins mis sur liste noire ; en usurpant un email malveillant en tant que
domaine de travail sain ; il a de meilleure chance qu’un utilisateur sans méfiance clique ou ouvre
une pièce jointe malveillante.
Le SPF comprend trois éléments principaux :
• Le cadre
• Une méthode d’authentification et un entête de courriel électronique spécialise véhiculant
les informations
1.3.1.4.Sécurité de la messagerie électronique avec DKIM (Domain Keys Identified Mail)
Le DKIM est un protocole anti-falsification qui garantit que le courriel reste sécurisé pendant le
transport ; il utilise des signatures numériques pour vérifier que l’email a été envoyé par un
domaine spécifique ; de plus il vérifie si le domaine a autorisé l’envoi de l’email ; en cela c’est
une extension de SPF (car SPF s’assure que l’adresse qui communique est connue du serveur).
En pratique DKIM facilite le développement de liste noire et de liste blanche de domaine.
1.3.1.5.Sécurité de la messagerie électronique avec DMARC (Domain-based Message
Authentification Reportions and Conformance)
Le DMARC est une technologie qui permet à des domaines de toute taille de protéger leur nom
contre l’usurpation d’identité ; la clé finale du verrouillage du protocole de sécurité des emails
est l’authentification, la génération de rapport et la conformité des messages bases sur les
domaines ; c’est donc un système d’authentification qui valide les normes SPF et DKIM pour se
protéger contre les activités frauduleuses provenant d’un domaine ; DMARC est ainsi un élément
clé de la lutte contre l’usurpation de domaine il fonctionne en empêchant l’usurpation de
l’adresse en-tête de (de l’émetteur). La démarche est la suivante
• Faire correspondre le nom de domaine ‘en-tête de’ avec le nom de domaine ‘enveloppe
de’. Le nom de domaine ‘enveloppe de’ est défini lors du contrôle SPF
• Faire correspondre le nom de domaine ‘en-tête de’ avec ‘le nom de domaine d=’ trouve
dans la signature DKIM (DKIM fonctionne comme boite noire ici)
DMARC donne les instructions à un fournisseur de messagerie sur la façon de gérer les emails
entrants ; si l’email ne respecte pas le contrôle SPF et/ou l’authentification DKIM, il est rejeté.

1.3.1.6.Sécurisation de la messagerie par chiffrement de bout en bout avec S/MIME

(Secure/Multipurpose Internet Mail Extensions)
La S/MIME est un protocole de chiffrement de bout en bout de longue date ; elle crypte l’email
avant son envoi mais pas l’expéditeur, le destinataire ou d’autres parties de l’entête de l’email ;
seul le destinataire peut déchiffrer le message.
S/MIME est implémentée par le client de messagerie mais nécessite un certificat numérique ; la
plupart des clients de messagerie moderne prenne charge S/MIME mais il convient toujours de
vérifier la prise en charge spécifique de l’application et du fournisseur de messagerie prefere.
1.3.1.7.Securisation d’une messagerie par PGP (Pritty Good Privacy) ou openPGP
PGP est un autre protocole de chiffrement de bout en bout qui possede une version open
largement utilisee c’est pourquoi on parle de openPGP ; il est integre dans de nombreuses
applications de service modernes et recoit des mises a jour frequentes. Comme S/MIME un tiers
peut toujours acceder aux metadonnees de l’email telles que les informations sur l’expediteur et
le destinataire de l’email ; il est possible d’ajouter openPGP a une configuration de securite des
messageries a l’aide de l’une des applications suivantes :
• GPG4win pour les utilisateurs de windows
• GPGsuite pour macintosh
• GNUPG pour les utilisateurs de linux
• OpenKeyChain sous android
 • PGPpartout sous IOS
L’implementation d’openPGP dans chaque programme est legerement differente ; chaque
programme a un developpeur different qui utilise le protocole openPGP pour crypter les
emails cependant, ce sont tous des programmes de cryptage fiable auquels on peut faire confiance
avec ces donnees ; openPGP est egalement l’un des moyens les plus simple d’ajouter du
chiffrement a sa vie sur une variete de plateforme.
1.3.1.8.Importance des protocoles de securite de la messagerie
Les protocoles de securite de la messagerie electronique sont extremement important car ils
renforcent la securite des emails ; sans ces protocoles les emails sont vulnerables car SMTP n’a
pas de securite integree et l’envoi d’un email en texte brut est plus que risque surtout s’il contient
des informations sensibles.
1.3.2. Securisation d’un forum de discussion
Le protocole https peut etre un veritable challenge pour les fora avec un nombre important de
membre et de message ; le passage a https pour les fora anciens est souvent complexe, car
l’affichage de labels securises depend de certaines conditions il faut donc reflechir aux avantages
et inconvenients avant de securiser son forum.
Le fonctionnement des fora de discussion impose aux utilisateurs de s’inscrire en renseignant un
nom d’utilisateur et un mot de passe ; sur les fora en http, la collecte de ces informations
sensibles peut etre considere comme potentiellement non securise sur les navigateurs recents ; les
internautes peuvent voir des avertissements de securite sur les pages en http qui affichent un
formulaire de connexion. Malgre tout, ces donnees sensibles sont correctement protegee sur tous
les fora en http comme en https.
L’activation du certificat SSL permet d’afficher le forum en https ; ce protocole chiffre augmente
la sécurité des membres en protégeant davantage leur information de connexion mais le vrai
avantage de securiser son forum avec un certificat SSL est la mise en avant du protocole HTTPS
par les navigateurs et moteurs de recherche.
Un forum securise dispose d’une mise ne avant dans les navigateurs intenet qui est consideree
comme une marque de confiance pour les utilisateurs. Il existe de nombreux avantages a créer un
forum securise a l’aide du protocole https notamment :
- Le chiffrement des transmissions des donnees entre le serveur d’hebergement et le
navigateur permet d’ameliorer la securite des membres
- Le protocole https ameliore le referencement sur les moteurs de recherche
- Les certificats SSL fonctionnent sur les principaux navigateurs
- Les petites annonces du forum profitent egalement de cette option
Sur les fora déjà existant ; Le passage a https peut s’averer plus complique selon plusieurs
criteres
• L’anciennete du forum
 • Le nombre de membres et de messages
• Les services d’hebergement utilises pour heberger les images, les scripts, les feuilles de
style …
1.3.2.1.Comment créer un forum securise via SSL ?
La demarche de creation d’un forum securise via SSL est la suivante
• Créer un forum dans un espace tel que forumactif
• A l’issue de la creation, le forum de discussion est immediatement disponible en http
• Se connecter au forum et acceder au panneau d’administration
• Le certificat SSL etant payant, l’onglet gestion des credits puis l’option resume/synthese
permet de commander l’installation d’un certificat gratuit
• Activer la fonctionnalite dans activation du certifiact SSL(HTTPS) pour obtenir le
forum securise en HTTPS4
1.3.2.2.Les avantages d’un passage HTTPS
Il existe de nombreux avantages à créer un forum sécurisé a l’aide du protocole HTTPS, les
principaux points positifs qui peuvent motiver a securiser un forum sont les suivants :
- Le chiffrement des transmissions de donnees entre le serveur d’hebergement et le
navigateur permet d’ameliorer la securite des membres
- Le protocole HTTPS ameliore le referencement sur le moteur sur les recherches
- Les certificats SSL fonctionnent sur les principaux navigateurs
- Les petites annonces du forum profitent egalement de cet option
Outre ces avantages on peut relever
• Un leger bonus en referencement
• Une mise en avant de la securite sur les navigateurs
• Le HTTPS tend a devenir une norme sur le web
1.3.2.3.Les inconvenients d’un passage en HTTPS
Le passage en HTTPS d’un forum presente quelques difficultes notamment
- Une mise a jour complexe des liens a faire : en effet pour avoir un label securise en vert,
toute les ressources disponibles sur une page doivent etre appelees en HTTPS ; certains
navigateurs peuvent afficher une alerte ou encore bloquer l’affichage des ressources
appelees en http
- Passer de http a HTTPS equivaut a une migration avec changement de domaine ; de
manière generale, une migration prends toujours du temps et peut entrainer des pertes de
position dans les resultats des moteurs de recherche
- Reinitialisation des compteurs de partage sociaux imposés
1.3.2.4.Demarche pour la securisation d’un forum fonctionnel
A la difference d’un forum se trouvant sur un domaine avec un SSL preinstallé et où la bascule
en https est immediate. L’installation et l’activation d’un certificat SSL pour un forum se trouvant
sur un domaine ne disposant pas de SSL preinstalle peuvent prendre jusqu’à 24 heures ; des lors
que ces operations seront terminées, le certificat SSL du forum est installe et donne l’acces au
parametrage du protocole forum ; la demarche generale d emogration est la suivante
• Commander l’installation du certificat SSL du forum via le panneau d’administration
puis general puis adresse internet du forum et enfin certificat SSL
• En cas d’existance d’un bloc de configuration du protocole HTTPS ; cela signifie que le
forum se trouve sur un domaine ayant déjà un SSL préinstallé, il faut directement acceder
aux options de contrôle du protocole de forum http/HTTPS ; l’installation et
l’activation du certificat SSL ainsi que la securisation des url du forums en https est alors
immediate ;
• En cas d’existence d’un bouton installer le certificat, cela signifie que le forum se trouve
sur un domaine n’ayant pas de SSL préinstallé ; dans ce cas, il faut l’installer
manuellement en cliquant sur le bouton
• Une fois le certificat SSL du forum installé ; dans le bloc configuration du protocole
l’option protocole du forum permet de choisir si l’on souhaite avoir un forum en http ou
en HTTPS
• Tester le nouveau forum HTTPS
Une fois le forum en HTTPS, il faut penser à faire le tour et vérifier que tout fonctionne
correctement ; notamment regarder si les problèmes de contenu mixte sont présents.
1.3.3. Securisation du transfert de fichiers
La Securisation du transfert de fichiers se fait a travers de nombreux protocoles. Avant de
deployer une solution de transfert de fichiers securise, il convient d’abord d’acquerir des
connaissances elementaires sur des protocoles potentiellement utilisables afin de garantir des
transferts sûr et sécurisé. Les principaux protocoles de transfert de fichier sont les suivants :

1.3.3.1.Protocole FTP
Le protocole FTP est le premier protocole de transfert de fichier, c’est une methode populaire de
transfert de fichier mise en place depuis des decennies ; il echange des donnees via deux canaux
separes notamment : le canal de commande et el canal de donnees.
Aucun des deux canaux FTP etant crypte, les donnees transmises via ces canaux peuvent etre
detournees ; l’acces FTP necessite toutefois un nom d’utilisateur et un mot de passe
1.3.3.2.Protocole FTPS
FTPS est un protocole FTP via SSL/TLS, ce protocole de transfert de fichier securise permet de
transferer des fichiers en toute securite avec des partenaires commerciaux, des clients, des
utilisateurs … ; les transferts peuvent etre authentifie par le biais de methodes prises en charge
par FTPS comme des certificats clients, serveurs et des mots de passe.
1.3.3.3.Protocole SFTP
SFTP est un protocole FTP securise par SSH ; il constitu une alternative interessante aux outils
FTP non securises et aux scripts manuels en echangeant des donnees via une conexion SSH et en
fourissant aux organisations une protection elevee des transferts de fichiers entre leur système et
partenaire commerciaux, et employes ou encore dans le cloud.
1.3.3.4.Protocole SCP (Secure Copy Protocol)
SCP est un ancien protocole reseau qui prend en charge les transferts de fichier entre plusieurs
hotes sur un reseau. Assez proche de FTP, SCP prend cependant en charge les fonctions de
cryptage et d’authentification.
1.3.3.5.Protocole http/HTTPS
Epine dorsale du web, le protocole http constitut la base meme de la communication des donnees,
il defini le format des messages via lesquels les navigateurs et les serveurs web communiquent et
definit la facon dont un navigateur web doit repondre a une requete web. http est un protocole
sans etat qui utilise TCP comme couche de transport. En d’autres termes, chaque commande est
executee de facon independante et aucune information de session n’est conservee par le
destinataire.
HTTPS est la version securisee de http et permet un cryptage des communication via TLS ou
SSL.
1.3.3.6.Protocole AS2(Applicability Statement), AS3 et AS4
Ce sont des protocoles repandus utilise pour effectuer et securiser des transferts de fichier
critique.
AS2 permet de transmettre les donnees sensibles de facon fiable et securise par internet ; il utilise des
certificats numeriques et des normes de cryptage pour proteger les informations critiques ; notamment
lorsqu’elles transitent entre differents systemes reseaux et emplacements.

AS3 est une norme pouvant servir a transmettre quasiment n’importe quel type de fichier ; elle fournie
une couche de securite pour la transmission de donnees par le biais de signatures numeriques et du
cryptage des donnees. AS3 a été créer a l’origine pour le transfert des donnees comme les documents
XML dans le cadre de donnees inter-entreprise ; contrairement a AS2 qui est un protocole de transfert
defini, AS3 est plutôt une norme de messages et porte principalement sur la facon dont un message doit
etre formaté lors de sa transmission d’un serveur a l’autre. Des lors qu’un message AS3 a été compose, il
peut etre transmis via n’importe quel autre protocole securise ou nom a condition que les deux parties
puissent acceder a l’emplacement ou le message a été depose.

AS4 est un protocole permettant aux entreprises d’echanger en toute securite des donnees avec leur
partenaire ; il s’applique sur les principes d’AS2 mais collabore avec des services web tout en fournissant
des notifications de livraison amelioree. Etant une norme interentreprise, AS4 facilite un echange
securise et simplifie des documents via internet

1.3.3.7.Protocole Pesit (Protocole d’échanges pour un système interbancaires de

télecompensation)
Pesit est un protocole de transfert de fichiers de bout en bout sécurisé developpe par le GSIT
(Groupement économique pour un Système interbancaire des telecompensation). Si son
utilisation reste peu répandue en Amérique du nord et s’il vise surtout à respecter les normes
bancaires Européenne et à transférer les communications destinées aux banques d’Europe ou
émanent de celle-ci.
1.3.4. Securisation du world Wide Web (WWW)
La diffusion du web dans le monde et son utilisation pour les applications commerciales ont mis
en relief l’importance des problemes de securite dans un environnement ouvert comme le web.
La securite d’un système resulte de la mise ne œuvre d’un certain nombre d’elements
notamment :
- Une politique d’integrite de chacun des systèmes de facon a ce qu’il n’existe aucun trou
de securite
- Les mecanismes d’authentification qui garantissent l’identite des utilisateurs ou autres
entites sur le reseau
- Les mecanismes de contrôle d’acces qui verifient que seules les operations autorisees sur
les objets du reseau sont executees
- Les techniques de confidentialite qui garantissent que les donnees vehiculees sur le reseau
pourront rester secrete
Les navigateurs sont actuellement les plus complexes et les plus volumineux des logiciels du web
c’est pourquoi ils sont appeles client double ; Ils sont de ce fait les plus succeptible d’etre utilise
pour mettre en jeu la securite des systèmes sur le reseau. La principale faiblesse des navigateurs
du point de vue de la securite n’est pas le programme lui-même mais plutôt les programmes
externes qui peuvent etre appele par le navigateur. Certains de ces programmes peuvent avoir des
trous de securite et jouer le role de cheval de troie pour la securite du système.
Il est en particulier recommande de suivre les regles suivantes :
• Le serveur doit s’executer avec des privileges minimum
• Le serveur doit etre en dehors du pare feu
• Le serveur web doit si possible etre sur une machine specifique