Lycée André Malraux – Allonnes - ppetleo.free.frppetleo.free.fr/pages/cours/courspp/stage2.pdf · Sécuriser une connexion Internet I) Contexte A) L’entreprise L’ISMANS, Institut

Lycée André Malraux – Allonnes

Sécuriser une connexion Internet

SOMMAIRE

I) Contexte …………………………………………………………………………………………………

A) L’entreprise …………………………………………………………………………………………

1) En interne : l’ Intranet ………………………………………………………………………….

2) En externe : Internet …………………………………………………………………………...

B) Le service informatique …………………………………………………………………………….

1) Le personnel ………………………………………………………………...…………………

2) L’architecture réseau …………………………………………………………………………..

II) Problématique : sécuriser les connexions à l’ Intranet depuis Internet …………………………………

A) Présentation de la demande ………………………………………………………………………..

B) Contraintes ………………………………………………………………………………………….

1) Contraintes techniques ………………………………………………………………………...

2) Contraintes organisationnelles………………………….……………………………………...

3) Contraintes budgétaires ……………………………………………………………..………...

4) Contraintes sociales ………………………………………………………………………........

III) Solutions envisagées …………………………………………………………………………….……...

A) Solutions possibles pour identifier un serveur ………………………………………………...…...

1) Les certificats ………………………………………………………………………….……...

a) Présentation du certificat ………………………………………………..…………...

b) Autorité de certification ……………………………………………………………...

2) Certificat gratuit ……………………………………………………………………………...

3) Certificats payants ……………………………………………………………………….........

B) Solutions possibles pour identifier les étudiants et les chercheurs…………………………….…...

1) Avec le fichier de configuration d’Apache : httpd.conf ………………………………………

2) Avec une page d’ identification en php ……………………………………………….……….

C) Solutions possibles pour le cryptage et l’ intégrité des données ………………………………...….

1) Présentation de SSL ……………………………………………………………………….......

a) SSL dans le modèle OSI ………………………………………………………………….

b) Composition de SSL ……………………………………………………………………..

c) Déroulement d’une session SSL …………………………………………………………

2) Première solution : Apache-SSL ……………………………………………………………...

3) Deuxième solution : Mod-SSL ……………………………………………………………….

4) Apache-SSL, Mod-SSL: quelles différences ? ……………………………………………….

IV) Solution retenue ………………………………………………………………………...........................

A) Critique de la solution ………………………………………………………………………..........

B) Solution mise en place ………………………………………………………………………..........

4

4

4

4

5

5

5

6

6

8

8

8

8

8

8

8

9

9

9

10

10

10

10

10

11

11

11

12

13

13

13

14

14

15

15


V) Lexique ………………………………………………………………………........................................

VI) Remerciements ………………………………………………………………………............................

VII) Bibliographie ………………………………………………………………………...............................

15

17

17


I ) Contexte

A) L ’entrepr ise

L’ ISMANS, Institut Supérieur des Matériaux et Mécaniques Avancés du Mans, est une école

d’ ingénieurs en même temps qu’un centre de recherche. Cet Institut est situé à l’université du Maine au

Mans (72). La partie de l’école qui nous intéresse pour cette étude concerne uniquement la formation des

élèves ingénieurs.

A la rentrée 2002, l’ ISMANS comptait 169 élèves répartis sur trois années, dix professeurs

permanents, six personnes au service administratif et environ 80 professeurs vacataires.

1) En interne : l’ Intranet

Les élèves ont accès, en interne uniquement, à des données personnelles et générales

relatives à leur formation. Cette information leur est fournie via un site Web interne : l’ Intranet.

Figure 1 : Page du site Intranet de l’ ISMANS accessible par http://192.168.0.16/intranet/

Les données personnelles sont par exemple : leurs notes, le suivi de leurs absences, des

messages personnalisés concernant leur scolarité… L’accès à ces données personnelles est assuré

après l’authentification de l’utilisateur (couple login/mot de passe).

Les données générales concernent, entre autres, les plannings hebdomadaires de cours,

certains cours téléchargeables en ligne, des messages d’ information générale…Cette partie n’est

pas soumise à une authentification. Tous les utilisateurs internes peuvent consulter ces données.

2) En externe : Internet

Le site de l’ ISMANS est accessible sur le Net de différentes façons :

- par son nom de domaine : www.ismans.univ-lemans.fr

- par ses alias : www.ismans.fr et www.ismans.com

- par son adresse IP fixe : 193.52.31.51


B) Le service informatique

1) Le personnel

Le service informatique, sous la responsabilité de M. Marceau, est composé de M. Bobet, en

formation par alternance à l’ Institut et au lycée Ste Croix du Mans, depuis septembre 2002, et de

M. Gayet, engagé comme développeur depuis février 2003.

2) L ’architecture réseau

L’architecture initiale du réseau de l’ ISMANS se présente ainsi :

INTRANET DMZ INTERNET

Figure 2 : Architecture réseau de l’ ISMANS

Le serveur Web situé dans l’ Intranet fonctionne sur une machine Linux RedHat 7.3 avec

Apache. Elle a été nommée Hélios.

Nacre est le serveur Web situé dans la DMZ (DeMilitarized Zone). Il fonctionne sur une

machine Linux SuSE 7.2 également avec Apache.

Les comptes et leurs propriétés sont centralisés suivant le type de système d’exploitation

concerné.

Les données concernant les comptes Windows sont gérées par le CPD (Contrôleur Principal

de Domaine) et le CSD (Contrôleur Secondaire de Domaine) sous Windows NT 4.0. Le CPD, nommé

Cube, regroupe les données des comptes administration et chercheurs. Le CSD, nommé Pyramide,

rassemble les données des comptes des étudiants.

Les données relatives aux comptes Unix sont gérées par les serveurs NIS Master et NIS Slave

(Network Information System). Ces serveurs NIS, appelés aussi YP (Yellow Pages), fonctionnent sous

Unix Système V. Le NIS Master, nommé Origin200 gère les données des étudiants alors que le NIS

Slave, nommé Perle, s’occupe des données des chercheurs. Le personnel administratif n’utilisant pas le

système d’exploitation Unix, aucune donnée sur leurs comptes n’est rassemblée par les NIS.

Le serveur LDAP (Lightweight Directory Access Protocol), sous Windows 2000 serveur,

assure la validation des comptes pour accéder au site Intranet.

A terme, l’ ISMANS installera OpenLdap sous Unix ou Linux et migrera de Windows NT 4.0

vers Windows 2000 Serveur.

Pare-feu + proxy

Messagerie Exchange

Serveur Web

Pare-feu

LDAP

CPD CSD

NIS Master NIS Slave

Serveur Web


NIS (Unix)

gère

CPD (Win NT)

LDAP (Win 2000 Serveur)

UNIX WINDOWS INTRANET

migration

LDAP (Win 2000 Serveur)

UNIX WINDOWS INTRANET

Figure 3 : Evolution de l’architecture réseau de l’ ISMANS

I I ) Problématique : sécur iser les connexions à l’ Intranet depuis Internet

A) Présentation de la demande

On a donc vu, pour l’ instant, que le site Intranet de l’ ISMANS n’est accessible qu’en interne.

Or, à l’usage, le besoin des étudiants et professeurs s’est étendu et il est à présent indispensable de

pouvoir accéder à cet outil depuis l’extérieur, via Internet. Ce nouveau moyen d’accès aux données

permettrait, par exemple, aux élèves et aux professeurs de se tenir au courant des changements de leurs

emplois du temps, ou encore aux étudiants de récupérer des cours qu’ ils auraient manqués.

Pour ce faire, il est indispensable de sécuriser les accès à certaines pages qui comporteraient des

données confidentielles (informations personnelles) afin que ces données ne soient pas compréhensibles

par des personnes malintentionnées.

Figure 4 : Écoute d’échanges de données personnelles par des personnes malintentionnées

De plus, il serait nécessaire d’ identifier les internautes qui se connectent. Cette identification

serait validée par un mot de passe commun à tous en ce qui concerne les informations générales et par

un mot de passe individuel pour ce qui est de la partie information personnelle.

étudiant ou chercheur

serveur Web de l’ ISMANS

échanges de données personnelles

capture des échanges

Pirate informatique


De même, le serveur devra être authentifié afin que l’étudiant soit certain que les données qu’ il

envoie soient reçues par ce seul serveur. En effet, un pirate pourrait avoir un site nommé quasiment

comme celui de l’ ISMANS et récupèrerait donc des données confidentielles alors que l’étudiant n’en

serait pas informé et s’ il l’était, ne le désirerait pas.

Figure 5 : Échanges de données avec une personne non identifiée et non souhaitée

La finalité du projet devra donc être de rendre les données échangées compréhensibles seulement

par les personnes autorisées grâce au couple login/mot de passe.

La solution doit assurer :

- l’authentification du serveur

- l’authentification du client

- la confidentialité et l’ intégrité des données échangées

Figure 6 : Échanges réalisés à la connexion avec les services de sécurité à assurer

échanges

de données

confidentielles

Serveur Web d’un pirate www.ismans.net (par exemple)

www.ismans.fr www.ismans.com

www.ismans.univ-lemans.fr

(1) connexion à l’ Intranet

(3) refus OU autorisation avec échange des pages

vérification du mot de passe

+ recherche des

pages Web accessibles

AUTHENTIFICATION DU SERVEUR +

AUTHENTIFICATION DU CLIENT

INTEGRITE DES DONNEES +

CONFIDENTIALITE DES DONNEES

(2)


B) Contraintes

Des contraintes de différents types ont été imposées par les responsables du projet.

1) Contraintes techniques

La solution devra assurer l'authentification du serveur, le cryptage des données et l'intégrité

des données. De plus, le serveur Web actuel étant Apache, celui-ci doit être conservé pour les

futures modifications.

2) Contraintes organisationnelles

La base de données contenant les couples logins/mots de passe devra être celle de la base

LDAP.

3) Contraintes budgétaires

Aucun budget n’est prévu pour ce projet, que ce soit dans son étude théorique ou dans sa

mise en place.

4) Contraintes sociales

Aucune modification du personnel ne doit être engendrée, que ce soit en terme d’embauche

ou de suppression d’emploi.

I I I ) Solutions envisagées

Nous allons maintenant proposer des solutions possibles pour chaque point du schéma.

Figure 7 : Récapitulatif des flux

A) Solutions possibles pour identifier un serveur

Le client doit être sûr qu’ il s’adresse au bon serveur afin que les échanges restent confidentiels.

(A) identification du serveur

(C) cryptage et intégrité

(B) identification du client et autorisation

étudiant ou chercheur

serveur Web de l’ ISMANS


Pour ce faire, il existe différentes façons d’ identifier un serveur, comme l’utilisation du certificat. Le

serveur doit posséder un certificat qui servira à l’ identifier.

1) Les cer tificats

c) Présentation du cer tificat

Un certificat est un document électronique identifiant une entité. Il est constitué de

différentes informations pertinentes à son utilisation (nom, adresse, société, numéro de

téléphone), de la clé publique de l’entité et de la signature de l’ensemble des données par

un tiers de confiance, autorité de certification. Cette signature prouve l'authenticité du

certificat et garantit son intangibilité. Le format des certificats est défini par le standard

X509.

Version (v1=0, v2 =1, v3 =2)

Serial Number

Signature Algorithm ID

Issuer name

Validity period

Subject name

Subject public key info

(Algorithm ID & public key value)

X509 Extensions

Signature

(Algorithme ID & signature value)

Figure 8 : Format du certificat X509

La signature du certificat correspond au condensé crypté avec la clé publique de

l’autorité de certification.

d) Autor ité de cer tification

Pour que le certificat du serveur soit valide, il existe un tiers chargé de délivrer les

certificats afin que le client puisse avoir confiance en le serveur. Ce tiers est une autorité

de certification (Certificate of Authority – CA). L’autorité de certification utilise sa clé

privée pour créer les certificats qu’elle remet. En délivrant un certificat, l’autorité de

certification se porte garante de l’ identité du serveur qui présentera ce certificat.

Cette autorité possède elle-même un certificat délivré par une autre autorité de

certification.

Il existe plusieurs façons d’acquérir un certificat car celui-ci peut être créé gratuitement ou être

acheté.

clé privée de la CA

génération de la

signature


2) Cer tificat gratuit

Un certificat gratuit se crée en interne à l’aide d’une ou plusieurs commandes.

Ce type de solution engendre des certificats gratuits avec pour autorité de certification

SnakeOil.

L’avantage d’une telle solution est un coût inexistant. En revanche, un certificat de ce type

crée une sécurité moins fiable que les certificats payants.

3) Cer tificats payants

Les certificats payants sont vendus par des opérateurs de service de confiance comme

CertPlus S.A. (http://www.certplus.com) ou SecurityServer (http://securityserver.org/) en France.

Un certificat SSL serveur 128 bits est vendus à partir de 49 � (soit environ 325 F) pendant

un an (avec des réductions offertes pour une durée supérieure à un an). J’ai trouvé 995 � (soit

environ 6 530 F) comme maximum pour une durée d’un an.

L’avantage de ces certificats payants est qu’ ils sont reconnus ; en revanche, ils coûtent

assez cher.

B) Solutions possibles pour identifier les étudiants et chercheurs

1) Avec le fichier de configuration d’Apache : httpd.conf

Pour créer un accès avec identification et autorisation par mot de passe au site avec le

fichier de configuration d’Apache, httpd.conf, il suffit d’ indiquer au serveur Apache qu’ il doit

consulter un fichier qui gère les logins et mots de passe avant d’afficher la page du site. Le nom du

fichier n’est pas imposé, il faut seulement indiquer son nom et son chemin dans le fichier

httpd.conf. Le login et le mot de passe correspondent à des données échangées, donc elles sont

sécurisées par SSL.

Les conséquences de cette solution sont la création d’un fichier de logins et mots de passe

cryptés, donc l’existence d’une nouvelle base de logins/mots de passe ainsi que la modification du

fichier httpd.conf.

2) Avec une page d’ identification en php

Pour sécuriser l’accès par login et mot de passe avec une page d’ identification incluse au

lancement du site, il est possible d’utiliser la programmation en php. Grâce à ce langage,

l’utilisateur saisit le login et le mot de passe qui sera écrit dans un fichier temporaire pour comparer

ce couple de données avec la base de données du serveur LDAP.

Figure 9 : Identification en php

ServeurLDAP

Fichier temporaire

(2) COMPARAISON (1) ECRITURE

(3) VALIDATION ou REFUS

login + mot de passe


La page d’ identification de la connexion pourra se présenter ainsi :

Figure 10 : Page de connexion en php

Cette solution nécessite donc une base de données et des connaissances pour la

programmation en php et un serveur LDAP.

C) Solutions possibles pour le cryptage et l’ intégr ité des données

Les contraintes techniques à respecter sont donc l’authentification du serveur, le cryptage des

données et l’ intégrité des données avec comme serveur Web : Apache.

Il existe un protocole nommé SSL (Secure Socket Layer) fonctionnant sur le serveur Apache

qui répond parfaitement à ces contraintes techniques. Ce protocole m’a été conseillé par l’équipe

informatique de l’ ISMANS.

1) Présentation de SSL

SSL (Secure Socket Layer) est un protocole de sécurisation des échanges, développé par

Netscape. Il a été conçu pour assurer la sécurité des transactions sur Internet (notamment entre un

client et un serveur), et il est intégré depuis 1994 aux navigateurs. Il existe plusieurs versions : la

version 2.0 développée par Netscape; la version 3.0 qui est actuellement la plus répandue, et la

version 3.1 baptisée TLS (Transport Layer Security) et standardisée par l'IETF (Internet

Engineering Task Force). SSL a pour buts:

- L'authentification du serveur SSL vis à vis du client SSL.

- L'authentification du client SSL vis à vis du serveur SSL (optionnel).

- L'échange d'une clé de session pour établir une connexion confidentielle et intègre.

a) SSL dans le modèle OSI

Certains considèrent SSL entre les couches transport et réseau alors que d’autres

considèrent que SSL est un protocole situé entre la couche applicative et la couche

présentation du modèle OSI (Figures 11 et 11 bis).

Dans tous les cas, SSL est totalement indépendant de l’application, ce qui

signifie qu'il peut aussi bien sécuriser des transactions faites sur le Web par le protocole

HTTP que des liaisons via le protocole FTP ou Telnet.

��

� ��

��


Figure 11 : SSL dans le modèle OSI entre la couche

transport et la couche réseau

Figure 11 bis : SSL dans le modèle OSI entre la

couche applicative et la couche présentation

b) Composition de SSL

Le protocole SSL se décompose en plusieurs sous protocoles :

- Les protocoles SSL Handshake & SSL Change Cipher Spec : Ils

déterminent les méthodes de cryptage.

- Le protocole SSL Alert : Il achemine des messages d’erreurs vers le

serveur ou le client.

- Le protocole SSL Record : Il est responsable du cryptage des données

échangées.


c) Déroulement d’une session SSL

Figure 12 : Déroulement de SSL

Pour ajouter le protocole SSL à Apache, deux types de modules existent : Apache-SSL qui est un

module interne, et Mod-SSL qui est un module externe.

2) Première solution : Apache-SSL

Apache-SSL est un patch source (extension du code) à Apache permettant de faire

l’ interface avec OpenSSL. La solution Apache-SSL consiste à appliquer un patch au serveur

Apache pour lui permettre de gérer la couche SSL.

Cette solution est assez compliquée à mettre en place par rapport à d’autres solutions car il

est nécessaire de modifier le produit de base Apache.

3) Deuxième solution : M od-SSL

Mod-SSL est un module Apache, c’est à dire une fonction, permettant de faire l’ interface

avec OpenSSL.

SSL Handshake

& SSL Change Cipher Spec

(1) Demande d’un canal sécurisé

(2) Certificat de clé publique du serveur

(5) Émission de la clé de session chiffrée avec la clé publique du

serveur

(3) Vérification et validation du

certificat serveur

(4) Calcul de la clé de session

(6) Déchiffrage de la clé de session à

l’aide de la clé privée du serveur

DONNEES CHIFFREES

Échanges chiffrés et déchiffrés symétriquement à l’aide de la clé de

session calculée par le client à l’étape (4) et récupérée par le serveur à l’étape

(6) SSL

Record


La solution de Mod-SSL est plus simple à mettre en place que la solution d’Apache-SSL

car elle n’oblige pas à réinstaller Apache.

4) Apache-SSL, M od-SSL: quelles différences ? Quels points communs ?

Ces deux solutions, quasi autant utilisées, offrent des fonctionnalités similaires et sont

disponibles sous forme de packages Debian ou RedHat. Pourtant, elles ont des différences.

- Différences au niveau des directives de configuration

Les directives, ces commandes permettant de configurer le serveur Apache, situées

dans le fichier httpd.conf, utilisées avec Apache-SSL, ne sont pas toujours les mêmes que

celles utilisées pour Mod-SSL.

Par exemple, la directive SSLEnable sous Apache-SSL correspond à SSLEngine on (Indique que

les demandes sécurisées sont acheminées au port 443) sous Mod-SSL.

- Différences au niveau de la mise en oeuvre

En terme d'installation et de configuration, Mod-SSL s'avère plus simple que Apache-

SSL.

- Différences au niveau des fonctionnalités

Mod-SSL supporte plus de fonctionnalités que Apache-SSL. Il permet d'interagir avec

d'autres modules comme Mod-Perl (pour employer le langage de programmation Perl) ou

Mod-PHP (pour employer le langage de programmation php) et d’autres librairies comme

MM (bibliothèque employée par php et Mod-SSL).

- Points communs au niveau de la documentation

D'une manière générale, Mod-SSL et Apache-SSL sont assez bien documentés en

terme d'installation et d'utilisation.

- Différences au niveau technique

L’utilisation d’un module (Mod-SSL) est plus flexible que celle d’un patch (Apache-

SSL) car on a la possibilité de mettre à jour le module sans avoir à recompiler tout le code.

IV) Solution retenue

Les propriétés de la solution choisie devront répondre aux attentes exprimées par l’équipe

informatique. La solution devra utiliser le protocole de sécurisation SSL pour assurer l'authentification des

parties, le cryptage et l'intégrité des données. Les logins et mots de passe devront être centralisés. Aucun

coût ne devra être engendré.

Pour l’utilisation du protocole SSL, la solution technique la meilleure et la plus simple à mettre en

place est Mod-SSL. De plus, cette solution possède plus de fonctionnalités que Apache-SSL et est plus

flexible en terme d’ installation. Le choix pour le moyen technique sera donc orienté vers Mod-SSL.

En ce qui concerne l’ identification des internautes, la préférence se dirige vers l’utilisation du

formulaire en php car cette solution permet de consulter la base de données LDAP et n’engendre pas la

création d’une autre base de données.


Enfin, concernant les certificats, il n’y a pas d’hésitation puisque la solution doit être gratuite. Nous

choisirons donc un certificat à courte durée mais sans aucun frais, délivré par SnakeOil.

La réalisation du projet de sécurisation d’accès à des pages Web avec identification des internautes

se fera grâce à Mod-SSL avec génération des certificats gratuits par SnakeOil et une identification par login

et mot de passe en langage php.

A) Cr itique de la solution

La solution retenue (Apache avec Mod-SSL, certificat gratuit et connexion par login et mot de

passe en php) peut être critiquée positivement mais également négativement.

D’une part, en ce qui concerne les aspects positifs, la solution répond, comme souhaité, aux

exigences d’authentification du serveur, de confidentialité et d’ intégrité des données échangées grâce

au protocole SSL. De même, la connexion par mot de passe est efficace.

D’autre part, un point reste néanmoins insatisfaisant. Le certificat gratuit crée par Mod-SSL

n’assure pas une sécurité maximale. Si le projet avait pu engendrer un coût minimum, ce point négatif

aurait pu être éliminé.

Cette solution répond le plus possible aux exigences, même si toutefois, pour des raisons de

budget inexistant, ces exigences ne sont pas totalement couvertes.

B) Solution mise en place

Par manque de temps, la solution mise en place est légèrement différente de la solution retenue.

Techniquement, Mod-SSL a été installé sur Apache comme convenu. En ce qui concerne les

certificats, le certificat serveur gratuit a été créé et installé à la solution Mod-SSL. Enfin, pour

l’ identification des internautes, contrairement à la solution retenue, c’est la solution de configuration

avec httpd.conf qui a été construite.

V) Lexique

Adresse IP Adresse 32 bits utilisée pour identifier un nœud au sein d'un réseau d'interconnexion IP. Chaque nœud du réseau d'interconnexion IP doit posséder une adresse IP unique, composée de l'ID réseau et d'un ID hôte unique. En règle générale, la valeur décimale de chaque octet est séparée par un point (par exemple, 192.168.7.27).

Apache Serveur Web (serveur HTTP) de référence développé et délivré gratuitement sur

www.apache.org. Construit à l'origine autour des serveurs UNIX pour améliorer les fonctionnalités et la sécurité du serveur Web NCSA, il équipe à présent plus d'un serveur Internet sur deux.

Authentification Vérification de l'identité d'une entité (utilisateur ou équipements).

Autor ité de cer tification (AC) Entité informatique qui effectue la signature des certificats.

Bibliothèque Ensemble de fonctions de base utilisées par de nombreux programmes. De nombreuses bibliothèques sont désormais intégrées aux systèmes d'exploitation.

Cer tificat Document électronique rattaché à une clé publique par un tiers de confiance, qui fournit la preuve que la clé publique appartient à un propriétaire légitime et n’a pas été compromise.


Chiffrer - Chiffrement Synonyme de codage. Brouillage des informations pour qu’elles ne soient lisibles que par les personnes qui détiennent la clé de codage.

Clé pr ivée Valeur attachée à une ressource ou un individu, lui permettant de déchiffrer des données chiffrées avec la clé publique correspondante ou d'apposer sa signature au bas de messages envoyés.

Clé publique Valeur de 512 à 2048 bits dans la pratique, attachée à une ressource ou un individu, qui la distribue aux autres afin qu'ils puissent lui envoyer des données chiffrées ou déchiffrer sa signature.

Clé Symbole ou séquence de symboles appliqués à un texte pour le crypter ou le décrypter.

Confidentialité Qualité de l'information qui n'est pas disponible ou accessible à des individus, entités ou processus non autorisés.

Cryptographie Ensemble des techniques permettant de protéger une communication au moyen d'un code graphique secret.

DMZ Demilitarizes Zone (Zone démilitarisée). Sous-ensemble d'un réseau compris entre l'extérieur (Internet le plus souvent) et le réseau interne de l'entreprise (l'intranet). Ce sous réseau constitue la partie publique visible du réseau extérieur. C'est dans cette zone contrôlée que vont être mis les ressources soient visibles de l'extérieur.

HTTP HyperText Transfert Protocol. Protocole faisant partie des protocoles TCP/IP les plus utilisés pour transférer des informations sur Internet. Il achemine les données entre les serveurs Web et les navigateurs Web.

HTTPS Secure HyperText Transfer Protocol. Version sécurisée de HTTP. Protocole utilisé pour sécuriser les transferts d’ information sur Internet. Il code et décode les informations échangées entre un serveur Web et un navigateur Web en utilisant le système de codage SSL.

IETF Internet Engineering Task Force, organisation qui participe activement au développement de l’ Internet. L’ IETF met au point de nouvelles définitions standard pour l’ Internet.

Intégr ité Assure que les informations ne seront pas, accidentellement ou intentionnellement, altérées ou détruites.

IP Internet Protocol. Protocole utilisé sur un réseau pour assurer la transmission de paquets de données sans connexion directe.

Login Nom d'utilisateur permettant de se connecter sur un système serveur. En donnant ce nom au message d'invite 'Login:', il faut ensuite saisir son mot de passe identifiant l'utilisateur. Authentifié, il peut ensuite accéder aux ressources autorisées sur le serveur.

Mot de passe Un mot de passe est un moyen utilisé pour authentifier une entité. Il s'agit d'une suite secrète de caractères.

Navigateur Logiciel de navigation permettant d'accéder au Web.

OSI Open Systems Interconnection (Interconnexion de Systèmes Ouverts). Modèle de référence défini par ISO constitué de 7 couches.

Patch Un patch est un petit programme destiné à apporter des améliorations à un autre programme ou à mettre à jour une mémoire flash.

Protocole Description formelle des formats de messages et des règles que doivent suivre deux ordinateurs pour échanger ces messages.

Sécur ité Systèmes et consignes qui garantissent la robustesse, la fiabilité et la non intrusion par un tiers sur un système informatique.

SSL Secure Socket Layer. Protocole de communication sécurisée fournissant des services de sécurité basés sur les techniques de cryptographie symétriques et asymétriques.

Système d’exploitation Operating System Programme. Assure la gestion de l'ordinateur et de ses composants. Exemples: Linux, Windows, Mac Os, Unix, Etc...

UNIX Système d'exploitation installé sur une grande partie des serveurs, stations de travail et gros systèmes informatiques.

Web Web signifie toile d'araignée mondiale. C'est l'abréviation utilisée pour désigner le World Wide Web (abrévié par www dans les URL). Le Web regroupe une gigantesque collection de documents hébergés par des millions de serveurs de part le monde.

Windows Système d'exploitation équipant plus de 80% des ordinateurs dans le monde.


VI) Remerciements

Je remercie l’ ISMANS de m’avoir accueillie en stage, et de m’avoir fournie une expérience

professionnelle supplémentaire.

Je remercie Dominique Marceau pour ses critiques objectives relatives à mon projet, qui m’ont

permis d’y voir plus clair, et pour son aide à la rédaction de mon rapport.

Je remercie Thierry Gayet et Benjamin Bobet pour leurs réponses à mes demandes en matière de

programmation.

Merci aussi à Mr Haro, professeur responsable, pour avoir pris le temps de m’expliquer le contenu

d’un rapport de projet et m’avoir conseillée pour son organisation.

VII ) Bibliographie

Sites Internet :

http://worldserver.oleane.com/heissler/index.html

http://perso.wanadoo.fr/philippe.decayeux/dico/index.html

http://www.themanualpage.org/glossaire/

http://www.securiteinfo.com

http://psidler.free.fr/authentification/ssl.html

http://mma.epita.net/downloads/veille/veille2002/000066_SSL.pdf

http://www.zencod.com/Site_francais/stakes/ssl_protocol.asp

http://www.linux-france.org/prj/edu/archinet/ALSI/index/x801.html

http://www.securite.teamlog.com/publication/9/19/23/index.html

http://www.dr15.cnrs.fr/Cours/JRES99/rd-ssl.pdf

http://www.cru.fr/securite/crypto-jres99.pdf

Livres :

Apache – The Definitive Guide

Ben Laurie et Peter Laurie

Editions O’REILLY

1997-1998

Les protocoles de sécurité d’ Internet

Stéphane Natkin

Editions DUNOD

2002

Documents

Lycée André Malraux – Allonnes - ppetleo.free.frppetleo.free.fr/pages/cours/courspp/stage2.pdf · Sécuriser une connexion Internet I) Contexte A) L’entreprise L’ISMANS, Institut