Page |I

EPIGRAPHE

« La science n’est rien d’autre que le raffinement de notre pensée quotidienne ».

Albert Einstein
 P a g e | II

DEDICACES

« If privacy is outlawed, only outlaws will privacy »

Philip Zimmermann

À Dieu tout puissant, créateur du ciel et de la terre,

source d’intelligence et de la sagesse, pour le souffle de vie qu’il
nous accorde tous les jours ainsi que la protection que nous avons
bénéficiée tout au long de nos études ;

À mon oncle paternel Willy MUSWILA MUTOMBO et

maman Antoinette KANKOLONGO, pour leur affection et pour
avoir fait de mes études leur préoccupation quotidienne.

À mes frères et sœurs : Jean-Paul MUTOMBO, Rosette

MUANGA, Daniel KUNDA, Olivier BUKASA, Gracias
MATANDA, Naomie KAMUANYA, Shekinah MUTOMBO,
Merdie KAPEMBA, Evodie NGOLELA, Glonel KANKOLONGO,
etc. vous faites la fierté de notre famille ; et vous qui m'avez
toujours soutenu au mérite des renoncements qui ne peuvent être
oubliés.

Je dédie ce travail.

Marcel MUSWILA
 P a g e | III

REMERCIEMENTS

Cette œuvre est un fruit issu d’une lutte menée pendant un nombre important
d’années reflétant des nombreux efforts conjugués tant pour sa conception que pour sa
réalisation. Tout ceci a l’aide du soutien de plusieurs personnes.

Pour cette raison, nous sommes contraints de nous acquitter de ce devoir, celui de
montrer notre gratitude envers tous ceux qui, d’une manière ou d’une autre, de loin ou de prêt,
y ont apporté une contribution matériel ou morale, nous disons merci.

Par conviction personnelle et par esprit de conformisme, qu’il me soit permis de

remercier en premier lieu l’Eternel Dieu Tout Puissant pour m’avoir permis de mener à terme
ce travail.

Qu’il me soit permis de remercier mes pauvres parents : MUSASA MAKAND

Edmond et MUANGA Margueritte qui ont accepté que je sois né sur cette terre. Que leurs âmes
se reposent en paix.

Je suis particulièrement reconnaissant à l’égard de mon oncle paternel Willy

MUSWILA MUTOMBO et maman Antoinette KANKOLONGO pour avoir su changer le train de
ma vie en me proposant de rebrousser le chemin et poursuivre mes études universitaires. Ce sont
eux qui m’ont orienté vers cette source d’eau féconde qui altère la soif de la connaissance en
déracinant l’ignorance.

Que le corps académique de l’université Notre-Dame du Kasayi en général, et de la

faculté des sciences informatiques en particulier, le potier dont nous sommes l’un des vases
d’honneur en pleine formation, trouve ici l’expression de nos sincères remerciements.

Ce travail n’aurait pas vu son éclosion sans le soutien de mon directeur Professeur,
Docteur MABELA Rostin qui a accepté, malgré ses multiples occupations et son agenda chargé,
de diriger ce travail. Sa rigueur scientifique, son goût d’un travail soigné, m’ont été d’une grande
utilité. Et nous témoignons notre profonde reconnaissance à mon encadreur Chef de Travaux
MUSUBAWO Patient pour avoir accepté la codirection de ce travail.

Aucune personne ne peut évaluer la gratitude qui est due aux membres de la famille
d’un auteur. Je suis particulièrement redevable à l’endroit de toute famille composant la tribu
de Cléophas MUTOMBO KAMITATU, mes frères et sœurs, en particulier Daniel KUNDA,
Olivier BUKASA, Séraphin MUTOMBO, Shekinah MUTOMBO pour leur amour qu’ils n’ont pas
cessé de me témoigner.

Ce serait pour nous une ingratitude manifeste, si nous passions sous silence sans
remercier les héros dans l’ombre et témoins oculaires des souffrances académiques : Lafontaine
MBUYI, Ambroise TSHILULU, Elisée MPUNGA, Patrick KASHALA, Symphorien BIDUAYA,
Gérard BAKAMPAKA, Denis NKASHAMA, Justine KANKU, Fiston UTULU et Clémence
THIABU pour votre attachement, votre assistance permanente, et pour votre franche
collaboration, nous vous témoignons notre reconnaissance. A tous les amis et connaissances.

Marcel MUSWILA
 P a g e | IV

LISTES DES ABREVIATIONS

ABREVIATIONS SIGNIFICATION
AàF
AAA : Authentication, Authorization and Accounting
AD DS Active Directory Domain Server
AD CS Active Directory Certificate Server
ADSL : Asymmetric Digital Subscriber Line
AES : Advanced Encryption Standard
AP : Access Point
APSD : Automatic Power Save Delivery
ARPA : Advanced Research Project Agency
ASCII : American Standard Code for Information Interchange
ASFI : Accès sans fil à Internet
ASK : Amplitude Shift Keying
BLR : Boucle locale radio
BSS : Basic Service Set
CPL : Courant porteur en ligne
CSMA/CA : Carrier Sense Multiple Access/Collision Avoidance
CSMA/CD : Carrier Sense Multiple Access /Collision Detection
DDoS : Distributed Denial of Service
DES : Data Encryption Standard
DFS : Dynamic Frequency Selection
DHCP : Dynamic Host Configuration Protocol
DoS : Denial of Service
DPSK : Differential Phase Shift Keying
EAP : Extensible Authentication Protocol
EAPol : EAP over LAN
ESSID : Extended Service Set IDentifier
FAI : Fournisseur d’accès à Internet
FSK : Frequency Shift Keying
HàP
HTTP : HyperText Transfer Protocol
HTTPS : HyperText Transfer Protocol over TLS
IEEE : Institute of Electrical and Electronics Engineers
IETF : Internet Engineering Task Force
Internet : Inter Networking
IP : Internet Protocol
IPSec : IP Security
L2TP : Layer 2 Transport Protocol
LAN : Local Area Network
LLC : Logical Link Control
MAC : Medium Access Control
MAN : Metropolitan Area Network
MD 5 : Message Digest 5
MiM : Man in the Middle
NTIC : Nouvelles technologies de l’information et de la
communication
 Page |V

OSI : Open Systems Interconnection

PAN : Personal Area Network
PDA : Personal Digital Assistant
PKI : Public Key Infrastructure
PPP : Point to Point Protocol
PPTP : Point to Point Tunneling Protocol
QàW
QoS : Quality of Service
RADIUS : Remote Authentication Dial In User Service
RC4 : Rivest Cipher n4
RFC : Request for Comments
RLAN : Radio Local Area Network
RNIS : Réseau numérique à intégration de service
RPV : Réseau privé virtuel
RSA : Rivest, Shamir and Adelman
RTC : Réseau téléphonique commuté
SMTP : Simple Mail Transfer Protocol
SNMP : Simple Network Management Protocol
SSID : Service Set IDentifier
TCP : Transmission Control Protocol
UDP : User Datagram Protocol
U.KA : Université Notre-Dame du Kasayi
USB : Universal Serial Bus
VLAN : Virtual Local Area Network
VPN : Virtual Private Network
WAN : Wide Area Network
WAP : Wireless Application Protocol
WDS : Wireless Distribution System
WECA : Wireless Ethernet Compatibility Alliance
WEP : Wired Equivalent Privacy
WiFi : Wireless Fidelity
WiMax : Worldwide Interoperability for Microwave Access
WLAN : Wireless Local Area Network
WPA : WiFi Protected Access
WPA2 : WiFi Protected Access 2
 P a g e | VI

LISTES DES TABLEAUX

Tableau 1. Catégories de Wi-Fi...................................................................................................13

Tableau 2. Le logiciel client ........................................................................................................31
Tableau 3. Configuration matérielle minimale du serveur d'authentification .............................48

LISTE DES FIGURES

Figure I.1. Les grandes catégories de réseaux informatiques........................................................5

Figure I.2. Les différents réseaux sans fil ...................................................................................10
Figure I.3. Périphériques utilisant la technologie Bluetooth .......................................................10
Figure I.4. Logo du Wifi .............................................................................................................11
Figure I.5. La technologie HyperLAN2 ......................................................................................12
Figure I.6. Equipements du CPL .................................................................................................12
Figure I.7. Les points d’accès ......................................................................................................14
Figure I.8. Le mode Ad hoc ........................................................................................................15
Figure I.9. Mode infrastructure BBS ...........................................................................................15
Figure I.10. Associations, architectures cellulaires et itinérance ................................................16
Figure II.1. Un réseau sans fil isolé .............................................................................................26
Figure II.2. La solution VPN. ......................................................................................................27
Figure II.3. Une vue générale de la solution ...............................................................................29
Figure II.4. Vue d’ensemble du protocole EAP. .........................................................................30
Figure II.5. Un exemple de configuration EAP ..........................................................................30
Figure II.6. La comptabilisation des connexions. .......................................................................36
Figure II.7. L’architecture RADIUS ...........................................................................................36
Figure II.8. Une architecture 802.1x avec un serveur RADIUS .................................................37
Figure IV.1. Conception physique de la solution ........................................................................45
Figure IV.2. Concept de solution basé sur l'authentification EAP-TLS 802.1X ........................45
Figure IV.3. Vue détaillée du processus d'accès EAP-TLS 802.1X ...........................................47
Figure IV.4. Sélection de Services de stratégie et d’accès réseau ...............................................49
Figure IV.5. Sélection du Serveur NPS .......................................................................................49
Figure IV.6. Zone de recherche, page d’accueil (Tuiles) de NPS ...............................................50
Figure IV.7. Console mmc ..........................................................................................................50
Figure IV.8. Modèle de certificats ..............................................................................................50
Figure IV.9. Propriétés du serveur RAS et IAS, onglet général .................................................51
Figure IV.10. Propriétés du serveur RAS et IAS, onglet sécurité. ..............................................52
Figure IV.11. Zone de recherche, page d’accueil (Tuiles) d’autorisation de certification. .........52
Figure IV.12. Clic-droit sur Modèles de certificats.....................................................................53
Figure IV.13. Composant logiciel enfichable certificats .............................................................53
Figure IV.14. Inscription de certificats .......................................................................................54
Figure IV.15. Serveur NPS .........................................................................................................54
Figure IV.16. Ajout des protocoles EAP .....................................................................................55
Figure IV.17. Le résumé des paramètres .....................................................................................56
Figure IV.18. Sélection de services de certificats Active Directory ...........................................57
Figure IV.19. Installation d’AD CS et du serveur web (IIS) en cours. .......................................57
Figure IV.20. Sélection de SHA1................................................................................................58
Figure IV.21. Résultat de la configuration des services de certificats AD .................................58
Figure IV.22. Connexion sur le serveur de l'autorité de certification. ........................................59
Figure IV.23. Page d’accueil des certificats ................................................................................60
 Page |1

0. INTRODUCTION GENERALE

0.1. Contexte

Tenant compte de l'évolution de la technologie dans ce siècle présent, l'informatique

reste l'outil indispensable pour pallier à d'énormes difficultés surgissant dans le secteur socio-
économique causées par l'utilisation de système de gestion manuelle, devenus archaïques et qui
nécessitent d'être révisés ou soit réaménagés en vue de les adapter aux nouvelles technologies
de l'information. Cependant, l’apparition des technologies sans fil modifie la manière
d’appréhender la sécurité, car la morphologie des réseaux évolue vers des formes floues,
puisque le medium utilisé est par nature hertzien et diffusant, donc sans frontière précise. Le
WiFi peut alors devenir une porte d’entrée sur le réseau d’entreprise qui permet de déjouer les
mécanismes d’authentification classiques.

En effet, dans l’objectif de garantir une meilleure accessibilité aux services réseaux,
plusieurs architectures de communication modernes ont privilégié l’abandon des câbles de
transmission au profit des liaisons radios. Ces liaisons peuvent être soit du type infrarouge,
Bluetooth ou Hertziennes. Nous parlons des liaisons sans fils, qui ont pris une grande ampleur
avec l’apparition de concentrateurs qui permettent de connecter simultanément plusieurs nœuds
entre eux. Il peut s'agir d’ordinateurs, d'imprimantes, de terminaux GSM ou de périphériques
divers. Les liaisons radios sont même utilisées pour interconnecter des réseaux. Les
technologies dites « sans fils », la norme 802.11g en particulier, facilitent et réduisent le coût
de connexion pour les réseaux de grande taille. Avec peu de matériels et un peu d'organisations,
de grandes quantités d'informations peuvent maintenant circuler sur plusieurs centaines de
mètres, sans avoir recours à une compagnie de téléphones ou de câblage.

La mise en œuvre des réseaux sans fils est facile, mais la sécurité des données qui
y sont transmises n’est pas toujours assurée. Ceci est dû, en grande partie, aux vulnérabilités
intrinsèques de la liaison radio. Une attaque qui a pour but d'intercepter les communications
sans fils entre deux parties, sans que ni l'une ni l'autre ne puisse se douter que le canal de
communication a été compromis, peut avoir lieu si le canal n’est pas sécurisé. L'intrus est alors
capable d'observer, d'intercepter et de modifier les messages d'une victime à l'autre. Son
intrusion est possible, quand le réseau en question n’est pas assez sécurisé, d’autant plus facile
que l’accès au réseau est ouvert. Cet utilisateur malveillant peut accéder au réseau sans fil qu’il
attaque, tout en utilisant une fausse identité. Il peut, par exemple, modifier un message M
partant d’un expéditeur X au destinataire Y selon l’attaque dite MAN IN THE MIDDLE, qui lui
permet de remplacer le message M par un autre message M après l’avoir modifié, sans que X
et Y ne s’en rendent compte.

Ainsi, ce type d’attaque, et plusieurs autres, dont notamment le vol des informations
du type propriétés intellectuelles, le déni de service et l’usurpation d’Identité, nous ont appelé
à étudier ces vulnérabilités d’authentification des réseaux Wi-Fi, et à trouver des solutions
potentielles, basées sur des protocoles d’authentification, en prenant la norme 802.1x comme
solution adéquate. Pour réaliser ce travail de fin de cycle, nous avons commencé par effectuer
des recherches, pour étudier :

 Les faiblesses des réseaux Wi-Fi, et notamment les possibilités techniques de se

connecter sous une fausse identité ;
 Les types d’attaques qui peuvent avoir lieu dans un environnement académique ;
 Les mécanismes de protection existants des réseaux Wi-Fi, et leur efficacité par rapport
aux attaques visant l’authentification.
 Page |2

Après avoir effectué ces recherches, et pour pouvoir choisir le protocole

d’authentification qui conviendra à nos besoins, nous avons effectué :

 Une étude comparative des protocoles d’authentification pour les réseaux Wi-Fi.
 Une revue des services d’authentification applicatifs disponibles pour les réseaux Wi-
Fi.

Sur base de cette étude, nous avons proposé une architecture qui permet de subvenir
aux besoins de l’U.KA, en termes de protection contre l’usurpation d’identité. Le coût de la
solution, en termes d’effort de déploiement, a été aussi pris en compte, lors de la conception de
cette architecture.

Enfin, pour que cette étude théorique soit évaluée, nous avons effectué les étapes
suivantes :

 La mise en place d’un réseau de test, qui permet de simuler l’environnement réel.
 L’évaluation des performances de la solution proposée.

0.2. Présentation du sujet

C’est ainsi que, notre thème s’intitule :

« Mise en place d’une politique d’accès à un réseau sans fil avec l’authentification basée sur
la norme 802.1x. Cas de l’U.KA ».

0.3. Problématique

Ainsi, tout au long de ce travail, nous chercherons à analyser la question de la mise

en place d’une politique d’accès à un système de réseau sans fil basé sur l’authentification.

Connaissant ce qu'est la problématique, nous serons amenés à nous poser les

questions suivantes :

 Quel mécanisme de sécurité peut-on appliquer pour contrôler les accès au réseau de
l’U.KA?
 Quel rôle aura la politique de sécurité une fois mise en œuvre sur le réseau de l’U.KA?

0.4. Hypothèses

L'hypothèse se définit comme étant une proposition des réponses provisoires aux
questions que l'on se pose à propos de l'objet de recherche formulé en termes tels que
l'observation et l'analyse puissent fournir une réponse. Ainsi, pour mieux évoluer avec ce
travail, nous tacherons tout d'abord de répondre à notre problématique :

 Le mécanisme de sécurité à appliquer pour contrôler les accès au réseau de l’U.KA

serait l'authentification basée sur la norme 802.1x avant d’accéder dans ce réseau ;
 Une fois la nouvelle politique de sécurité mise en place, elle consistera de contrôler tous
les accès au réseau, cette opération sera effectuée dès l'accès physique de tous les
utilisateurs autorisés et non autorisés à accéder au réseau de l’U.KA, mais l'accès aux
ressources du système d'information serait conditionné par une authentification. La
politique mise en place aura pour rôle de sécuriser le réseau sans fil de l’U.KA contre
toutes les intrusions.
 Page |3

0.5. Choix et intérêt du sujet

Le choix et intérêt de notre sujet dépendent du domaine d’étude et rejoignent les

compétences et les aptitudes de celui qui l’étudie. Notre choix de ce sujet est lié à l'importance
de renforcer les mesures de sécurité, dans le but de maintenir la confidentialité, l'intégrité et le
contrôle d'accès au réseau pour réduire les risques d'attaques dans le réseau 802.1x, dont son
rôle primordial est l’authentification et l’identification.

L'étude et la connaissance sur la sécurité d'un système nouveau, la recherche

scientifique pour l'obtention d'un diplôme de licence et la réalisation d'un ouvrage de référence,
justifient notre intérêt pour ce sujet.

0.6. But du travail

La mise en place d’une sécurité de réseau sans fil basée sur la norme 802.1x est le
but de ce travail.

Son but primordial, est qu'à la fin de sa rédaction et sa présentation, que nous
puissions présenter une politique d’accès à un réseau sans fil contrôlé capable de résoudre les
failles trouvées sur terrain et de leur offrir un nouveau système.

0.7. Délimitation du sujet

Toute étude scientifique pour qu'elle soit plus concrète, doit se proposer des limites
dans son champ d'investigation ; c'est-à-dire qu'elle doit être circonscrite dans le temps et dans
l'espace. Dans le temps, notre travail couvre la période académique allant de 2018-2019, et dans
l'espace, notre champ d'investigation demeure l’Université Notre-Dame du Kasayi, qui se
trouve dans la République Démocratique du Congo, province du Kasaï Central, et plus
précisément dans la ville de Kananga Chef-lieu de la province, dans la Commune de
LUKONGA, cette institution est située à KAMBOTE.

0.8. Méthodes et techniques utilisées

Dans tout travail scientifique, il y a toujours une méthodologie propre afin

d'atteindre ses objectifs. Dans notre travail, nous avons utilisé la méthode expérimentale qui
permet d'affirmer une chose qu'après test ou expérience. Quant à la technique, qui est un
ensemble d'outils indispensables utilisés pour aboutir à un résultat, nous avons utilisé la
technique documentaire qui nous a permis de consulter divers documents, entre autre des
ouvrages scientifiques, des livres et même des sites Internet.

0.9. Subdivision du travail

Outre l'introduction générale et la conclusion générale, quatre grands chapitres

permettront une prise en main rapide. En premier lieu, le premier chapitre parlera sur les réseaux
sans fil, le deuxième sur la sécurité de réseau sans fil et le standard 802.1x, le troisième chapitre
sur l’analyse de l’existant, le quatrième chapitre et le dernier s'expose sur le déploiement et
l’installation de la solution retenue.
 Page |4

Chapitre I. LES RESEAUX SANS FIL

Ce premier chapitre a pour but de présenter brièvement l’aperçu général des réseaux
informatiques, l’histoire de la technologie Wifi, son contexte technique, ses applications
principales, ses catégories, les technologies concurrentes et enfin, ses avantages et ses
inconvénients.

1.1. Les réseaux informatiques

Selon la définition du Petit Robert, un réseau est « un ensemble de points

communiquant entre eux ». Dans le monde numérique, ces « points » ou « nœuds » du réseau
sont des équipements informatiques. Il peut s’agir d’ordinateurs bien sûr, mais aussi
d’imprimantes, de systèmes de vidéosurveillance, de téléphones portables ou de tout autre
matériel électronique. On parlera de « périphérique », d’« hôte » ou de « station » pour désigner
ces équipements. La « topologie » du réseau représente l’agencement des nœuds entre eux : des
réseaux peuvent être organisés en boucle, en arborescence, en mailles, etc. Afin que ces stations
puissent communiquer entre elles, il est nécessaire d’une part qu’elles sachent exploiter un
média de communication adapté (des câbles électriques ou optiques, des ondes radio, la lumière
infrarouge...), mais aussi et surtout qu’elles soient capables de se synchroniser et de se
comprendre. Pour cela, des règles de communication doivent être définies. Le rôle d’un
standard réseau est donc de définir des protocoles (c’est-à-dire des modalités précises) de
communication entre les périphériques d’un réseau : quand prendre la parole, comment définir,
qui s’adresse à qui, etc.

On distingue généralement cinq catégories de réseaux informatiques, différenciées

par la distance maximale séparant les points les plus éloignés du réseau :

 Les réseaux personnels, ou PAN (Personal Area Network), qui interconnectent, sur
quelques mètres, des équipements personnels tels que terminaux GSM, portables,
organiseurs, etc., d’un même utilisateur.
 Les réseaux locaux, ou LAN (Local Area Network), qui correspondent, par leur taille,
aux réseaux intra entreprise. Ils servent au transport de toutes les informations
numériques de l’entreprise. En règle générale, les bâtiments à câbler s’étendent sur
plusieurs centaines de mètres. Les débits de ces réseaux vont aujourd’hui de quelques
mégabits à plusieurs centaines de mégabits par seconde.
 Les réseaux métropolitains, ou MAN (Metropolitan Area Network), qui permettent
l’interconnexion des entreprises ou éventuellement des particuliers sur un réseau
spécialisé à haut débit qui est géré à l’échelle d’une métropole. Ils doivent être capables
d’interconnecter les réseaux locaux de différentes entreprises pour leur donner la
possibilité de dialoguer avec l’extérieur. Ces réseaux sont examinés essentiellement
pour les environnements hertziens.
 Les réseaux régionaux, ou RAN (Regional Area Network), ont pour objectif de couvrir
une large surface géographique. Dans le cas des réseaux sans fil, les RAN peuvent avoir
une cinquantaine de kilomètres de rayon, ce qui permet, à partir d’une seule antenne, de
connecter un très grand nombre d’utilisateurs.
 Les réseaux étendus, ou WAN (Wide Area Network), sont destinés à transporter des
données numériques sur des distances à l’échelle d’un pays, voire d’un continent ou de
plusieurs continents. Le réseau est soit terrestre, et il utilise en ce cas des infrastructures
au niveau du sol, essentiellement de grands réseaux de fibre optique, soit hertzien,
 Page |5

comme les réseaux satellite1. La figure 1.1 illustre sommairement ces grandes
catégories de réseaux informatiques.

Figure I.1. Les grandes catégories de réseaux informatiques

1.1.1. L’architecture OSI 2

Les informations transmises à travers les réseaux de communication sont de nature

très différente en fonction de l’application dont elles proviennent. D’autre part, les systèmes
informatiques connectés à un réseau donné sont également de nature, de technologie et
d’origine très différentes (ordinateurs, microordinateurs, périphériques, automates
programmables, etc.). Il arrive que certains constructeurs proposent pour ses systèmes, un, voire
plusieurs réseaux de communication qui ne sont souvent compatibles qu’avec eux-mêmes. Cet
état de fait rend difficile, sinon impossible, leur connexion avec des systèmes d’origines
diverses. L’intérêt d’une normalisation des réseaux permettant l’interconnexion aisée de
matériels hétérogènes est évident. Cette normalisation doit être assez complète et précise afin
de prendre en compte l’ensemble des problèmes liés à la communication :

 Connexion physique des systèmes (supports, connectiques, codage des signaux, etc.) ;
 Organisation et échange fiable des données organisées en trames ;
 Gestion des conflits d’accès support dans le cas de liaisons multipoints ;
 Adressage des stations concernées par l’échange ;
 Découpage des fichiers en paquets de longueurs compatibles avec celles des trames ;
 Contrôle des flux de données et synchronisation des entités différentes communicantes ;
 Transcodages éventuels des données pour les rendre exploitables par la station
destinatrice ;
 Déclenchement des échanges.

Le modèle OSI de l’ISO est une base de référence, un modèle justement pour
identifier et séparer les différentes fonctions d’un système de communication. Comme modèle,
il sert donc uniquement de point de repère et n’est donc pas une norme à laquelle un système
de communication doit adhérer ! Les fonctions des systèmes ouverts de communication se
décomposent selon les sept couches définies par le modèle OSI. Les couches 1 à 3 sont orientées
vers la transmission des données. Les couches 4 à 7 sont orientées vers le traitement des
données :

1
Guy PUJOLLE, Les réseaux, 6ème éd., Eyrolles, Paris, 2008, pp. 14-15.
2
Lacène Beddiaf, Vidéosurveillance, Principes et technologies, Ed. Dunod, Paris, 2008, pp.
158-160
 Page |6

La couche 1 (physique) définit les caractéristiques physiques de la partie

communication d’un circuit. En particulier dans ce niveau sont définis les potentiels, les
courants, les connecteurs, le système de codage électrique ou optique. Le câble proprement dit
n’est cependant pas compris dans ce niveau, car le modèle OSI s’applique uniquement aux
caractéristiques de communication d’un nœud d’un réseau, et pas au réseau lui-même.

La couche 2 (liaison) définit le format de la trame et son codage logique, ainsi que
les mécanismes de protection, l’insertion automatique de bits pour éviter la transmission d’une
séquence trop longue de signaux identiques.

Au niveau de la couche 3 (réseau) sont décrites les caractéristiques du réseau, dans

le but d’assurer que les trames d’information sont acheminées selon le parcours choisi de la
source au consommateur. Ce niveau est indispensable lorsque plusieurs parcours sont possibles
et actifs en même temps.

Au niveau de la couche 4 (transport) est définie la façon dont on procède à la

connexion et à la déconnexion, ainsi qu’à l’établissement d’un canal de communication à
travers le réseau entre deux nœuds.

Au niveau de la couche 5 (session) ; une fois établi un canal logique de

communication entre deux points, ceux-ci peuvent commencer à synchroniser leurs
applications, respectivement à ouvrir une session de travail. Ces opérations se déterminent à ce
niveau.

En ce qui concerne la couche 6 (présentation) : lorsque les deux nœuds en

communication utilisent un système différent de présentation des données, comme par exemple
le code ASCII et un code étendu à 16 bits, c’est à ce niveau que sont définies les
correspondances.

La couche 7 (application) ; qui est le dernier niveau, concerne la description de

l’interface vers l’application. Ce niveau ne comprend pas l’application elle-même, car celle-ci
ne fait pas partie du système de communication.

1.1.2. L’architecture TCP/IP3

Cette architecture, dite TCP/IP, est à la source du réseau Internet. Elle est aussi
adoptée par de nombreux réseaux privés, appelés Intranet. Les deux principaux protocoles
définis dans cette architecture sont les suivants :

 IP (Internet Protocol), de niveau réseau, qui assure un service sans connexion.

 TCP (Transmission Control Protocol), de niveau transport, qui fournit un service fiable
avec connexion.

TCP/IP définit une architecture en couches qui inclut également, sans qu’elle soit
définie explicitement, une interface d’accès au réseau. En effet, de nombreux sous-réseaux
distincts peuvent être pris en compte dans l’architecture TCP/IP, de type aussi bien local
qu’étendu.

3
Guy PIJOLLE, Les Réseaux, 5ème éd. Eyrolles, Paris, 2006 p. 64.
 Page |7

Il faut noter que l’apparition d’un autre protocole de niveau message (couche 4),
UDP (User Datagram Protocol). Ce protocole utilise un mode sans connexion, qui permet
d’envoyer des messages sans l’autorisation du destinataire.

1.2. Introduction aux réseaux sans fil

Un réseau sans fil (en anglais Wireless Network) est, comme son nom l’indique, un
réseau dans lequel au moins deux terminaux peuvent communiquer sans liaison filaire. Grâce
aux réseaux sans fils, un utilisateur a la possibilité de rester connecté tout en se déplaçant dans
un périmètre géographique plus ou moins étendu, c’est la raison pour laquelle on entend parfois
parler de «mobilité ».

Les réseaux sans fils sont basés sur une liaison utilisant les ondes radioélectriques
(radio et infrarouges) en lieu et place des câbles habituels. Il existe plusieurs technologies se
distinguant d’une part par la fréquence d’émission utilisée, ainsi que le débit et la portée de
transmission.

Les réseaux sans fils permettent de relier très facilement des équipements distants
d’une dizaine de mètres à quelques kilomètres. En contrepartie, se posent deux problèmes :

 La règlementation relative aux transmissions radioélectriques ;

 De plus, les ondes hertziennes sont difficiles à confirmer dans une interface
géographique restreinte, il est donc facile pour un pirate d’écouter le réseau si les
informations circulent en clair.

1.2.1. Historique

 La naissance des ondes

Le « sans fil » est à la mode aujourd’hui. Pourtant, c’est déjà de l’histoire ancienne.
Cette histoire commence à la fin du XIXe siècle avec la découverte des ondes
électromagnétiques par le physicien allemand Heinrich Hertz en 1888. Dix ans plus tard, le 5
novembre 1898, Eugène Ducretet, assisté d’Ernest Roger, établit la première communication
radio à « longue distance », sur 4 kilomètres, entre la Tour Eiffel et le Panthéon : c’est le début
de la Télégraphie sans fil (TSF). En 1908, ces ondes radio transportent déjà la voix et la
musique, grâce à Lee de Forest ! Deux ans plus tard, celui-ci retransmet même un opéra donné
au Metropolitan Opera House à New York : c’est l’une des premières émissions de radio. En
1924, John Loggie Baird retransmet sur les ondes des images d’objets en mouvement, à la Royal
Institution. Encore deux ans plus tard, il permet à un visage humain de s’afficher pour la
première fois sur un écran de télévision via les ondes radio : la télévision hertzienne est née.
Les techniques se perfectionnent tout au long du siècle et en particulier pendant la deuxième
guerre mondiale : certaines des techniques du Wi-Fi sont d’ailleurs nées des recherches
militaires.

 Les réseaux sans fil

Le premier véritable réseau numérique sans fil date de 1970 : cette année-là, des
chercheurs de l’université d’Hawaï sous la direction de Norman Abramson réunissent les
technologies radio et les technologies numériques de communication par paquets de données.
Il s’agit du réseau sans fil AlohaNet. Pour la première fois, plusieurs ordinateurs sont reliés
 Page |8

entre eux grâce aux ondes radio. Ce réseau sans fil s’offre même le luxe d’une connexion par
satellite à Arpanet, l’ancêtre de l’Internet créé en 19694!

Les réseaux locaux sans fil sont en plein développement du fait de la flexibilité de
leur interface, qui permet à un utilisateur de changer de place dans l’entreprise tout en restant
connecté. Ces réseaux atteignent des débits de plusieurs mégabits par seconde, voire de
plusieurs dizaines de mégabits par seconde. Bien que plusieurs de ces réseaux, tels Wi-Fi ou
WiMax, ne soient pas directement des réseaux de la boucle locale, ils commencent à être utilisés
pour recouvrir une ville ou une agglomération.

Les points suivants donnent une représentation de principaux réseaux disponibles

ou en cours de normalisation à l’IEEE ou à l’ETSI. La norme IEEE 802.21 fait référence au
passage d’une norme à une autre au milieu d’une communication, ce que l’on appelle un
handover vertical.

1.2.2. Présentation du Wi-Fi (norme 802.11)

La norme IEEE 802.11 (ISO/IEC 8802.11) est un standard international décrivant

les caractéristiques d’un réseau local sans fil ou WLAN. Le nom Wifi (contraction de Wireless
Fidelity, parfois noté Wi-Fi) correspond initialement au nom donné à la certification délivré par
la Wi-Fi Alliance, anciennement WECA (Wireless Ethernet Compatibility Alliance),
organisme chargé de maintenir l’interopérabilité entre les matériels répondant à la norme
802.11.

Grâce au Wi-Fi, il est possible de créer des réseaux locaux sans fil à haut débit pour
que la station à connecter ne soit pas trop distante par rapport au point d’accès. Dans la pratique,
le Wi-Fi permet de relier des ordinateurs portables, des machines de bureau, des assistants
personnels (PDA) ou tout type de périphérique à une liaison haut débit (11 Mbps ou supérieur)
sur un rayon de plusieurs dizaines de mètres en intérieur (généralement entre une vingtaine et
une cinquantaine de mètres) à plusieurs centaines de mètres en environnement ouvert.

1.2.3. Les différentes normes Wi-Fi

Les standards de l’IEEE (l’Institute of Electrical and Electronics Engineers), la

normalisation du groupe de travail IEEE 802.11 pour les réseaux locaux par voie hertzienne,
ou WLAN (Wireless Local Area Network) ont donné naissance au label de produits Wi-Fi. Les
communications peuvent se faire soit directement de station à station, mais sans qu’une station
puisse relayer les paquets vers une autre station terminale, soit en passant par une borne de
concentration. Les débits s’échelonnent d’une dizaine à plusieurs dizaines de mégabits par
seconde.

Le projet 802 divise le niveau physique en deux sous couches. La première est
nommée contrôle d’accès au média, ou Medium Access Control (MAC). Elle est propre à
chaque type de réseau. La seconde, nommée contrôle de la liaison logique, ou Logical Link

4
Aurélien Géron,Wifi professionnel. La norme 802.11, le déploiement, la sécurité. 3ème éd.
Dunod, Paris, 2004, 2006, 2009, p. 3.
 Page |9

Control (LLC), est indépendante du type de réseau. Les différents thèmes de travaux sont
répartis entre des groupes de travail. On peut citer, parmi eux5 :

 802.2, Logical Link Control (LLC) Working Group ;

 802.3, Ethernet Working Group (type LAN) ;
 802.11, Wireless LAN Working Group (type WLAN) ;
 802.15, Wireless Personal Area Network Working Group (type WPAN) ;
 802.16, Broadband Wireless Access Working Group (type WMAN).

La technique d’accès générique employée est le CSMA/CD (Collision Detection),

utilisé dans les réseaux Ethernet. Toutefois, comme la détection de collision n’est pas possible
dans un réseau hertzien, on recourt au CSMA/CA (Collision Avoidance). Pour éviter les
collisions, plusieurs temporisateurs sont déterminés, chaque station possédant des valeurs de
temporisateur qui lui sont propres. Lorsqu’une station écoute la porteuse et que le canal est
vide, elle transmet avec une probabilité de collision quasiment nulle.

En effet, une collision entre deux stations émettant aléatoirement ne peut avoir lieu
que si elles démarrent dans la même microseconde. À l’inverse, lorsqu’une transmission a lieu
et que d’autres stations se mettent à l’écoute et y restent, la collision est inévitable. Pour
empêcher la collision, il faut que les stations attendent avant de transmettre un temps aléatoire
permettant de séparer leurs instants d’émission respectifs. Le débit maximal que peut espérer
un utilisateur dans la première génération de réseaux Wi-Fi est théoriquement de 11 Mbit/s. En
réalité, sur une fréquence partagée, la technique d’accès ne permet pas de dépasser 6 Mbit/s,
même si le client est seul sur sa fréquence6.

1.2.4. Catégories de Wi-Fi

Il existe deux types de réseaux Wi-Fi :

 Les réseaux de type Ad Hoc, où les stations communiquent directement entre elles ;
 Les réseaux de type Infrastructure, où les stations communiquent par le biais de points
d’accès.

Plusieurs solutions de connectivité peuvent être envisagées. Soit la communication

hertzienne s’effectue sur l’ensemble du site, et tous les terminaux sont connectés directement
entre eux par un même point d’accès, encore appelé station de base ou borne d’accès, soit les
communications s’effectuent à l’intérieur de microcellules de quelques dizaines de mètres de
diamètre. Les points d’accès permettant aux terminaux de se connecter sont dans ce cas, reliés
entre eux par un réseau filaire.

5
Philippe ATELIN, WiFi. Réseaux sans fil 802.11 : Technologie – Déploiement,
Sécurisation, Seconde Ed., Paris, ENI, 2003, p. 9.
6
Guy PUJOLLE., Op.cit. pp. 270-271.
 P a g e | 10

Figure I.2. Les différents réseaux sans fil

1.2.4.1. Réseaux personnels sans fils (WPAN)

Le réseau personnel (appelé également réseau individuel sans fils ou réseau

domestique sans fils et noté WPAN pour Wireless Personal Area Network) concerne les
réseaux sans fils d’une faible portée : de l’ordre de quelques dizaines de mètres. Ce type de
réseau sert généralement à relier des périphériques (imprimante, téléphone portable, appareils
domestiques,…) ou un assistant personnel (PDA, déjà expliqué) à un ordinateur sans liaison
filaire ou bien à permettre la liaison sans fils entre deux machines très peu distantes. Il existe
plusieurs technologies utilisées pour les WPAN, nous citons :

 La technologie Bluetooth (norme IEEE 802.15.1)

C’est la principale technologie WPAN, lancée en 1994, proposant un débit

théorique de 1Mbps pour une portée maximale d’une trentaine de mètres à travers une liaison
hertzienne. Elle possède l’avantage d’être très peu gourmande en énergie, ce qui la rend
particulièrement adaptée à une utilisation au sein de petits périphériques, elle n’est pas
spécialisé réseaux.

Au sein d’un réseau Bluetooth, un appareil sert de maître et jusque sept

périphériques esclaves qui se partagent la bande passante. Il est possible, en théorie, de faire
communiquer jusque dix groupes d’appareils. Sécurisée, cette connexion est transparente
uniquement si les deux appareils se connaissent.

Figure I.3. Périphériques utilisant la technologie Bluetooth

 La technologie HomeRF (pour Home Radio Frequency)

 P a g e | 11

Elle est lancée en 1998 par le HomeRF Working Group (formé notamment par les
constructeurs Compaq, HP, Intel, Siemens, Motorola et Microsoft) propose un débit théorique
de 10 Mbps avec une portée d’environ 50 à 100 mètres sans amplificateur.

 La technologie ZigBee (Norme IEEE 802.15.4)

Elle permet d’obtenir des liaisons sans fil à très bas prix et avec une très faible
consommation d’énergie, ce qui la rend particulièrement adaptée pour être directement intégrée
dans de petits appareils électroniques (appareils électroménagers, hifi, jouets, …).

 La technologie infrarouge

Les liaisons infrarouges permettent de créer des liaisons sans fils de quelques
mètres avec des débits pouvant monter à quelques mégabits par seconde. Cette technologie est
largement utilisée pour la domotique (télécommandes), mais souffre toutefois des perturbations
dues aux interférences lumineuses.

1.2.4.2. Réseaux locaux sans fils (WLAN)

Le réseau local sans fils (noté WPAN pour Wireless Local Area Network) est un réseau
permettant de couvrir l’équivalent d’un réseau local d’entreprise, soit une portée d’environ une
centaine de mètres. Il permet de relier entre eux les terminaux présents dans la zone de
couverture. Il existe plusieurs technologies concurrentes, voici quelques-unes:

 La technologie Wifi (norme IEEE 802.11)

Elle est composée de plusieurs normes qui opèrent sur des fréquences radios
différents. Elle permet de monter un réseau sans fil entre les différents équipements
informatiques (PC, Consoles de jeu, PDA…) grâce au WIFI, nous pourrons partager nos
fichiers et notre connexion ADSL avec nos proches sans l’encombrement des fils. Nous
bénéficierons ainsi de tous les avantages du haut débit à n’importe quel endroit et n’importe
quel moment.

Figure I.4. Logo du Wifi

 La technologie hiperLAN2 (High Performance Radio LAN 2.0)

C’est une norme européenne élaborée par l’ETSI (European Telecommunications

Standards Institute). HiperLAN2 permet d’obtenir un débit théorique de 54 Mbps sur une zone
d’une certaine de mètres dans la gamme de fréquence comprise entre 5150 et 5300 MHz.
L’HyperLAN2 a une nette supériorité technique par rapport au Wifi, notamment en matière de
qualité de service.
 P a g e | 12

Figure I.5. La technologie HyperLAN2

 Introduction aux CPL (Courants Porteurs en Ligne)

CPL, toute technologie qui vise à faire passer de l’information à bas débit sur les
lignes électriques en utilisant des techniques de modulation avancées. Selon les pays, les
institutions, les sociétés, les courants porteurs en ligne se retrouvent sous plusieurs mots-clés
différents :

 CPL (Courants Porteurs en Ligne)

 PLC (PowerLine Communications)
 PLT (PowerLine Telecommunication)
 PPC (Power Plus Communication)

Figure I.6. Equipements du CPL

1.2.4.3. Réseaux métropolitains sans fils (WMAN)

Il est connu sous le nom de Boucle Locale Radio (BLR). Les WMAN (Wireless
Metropolitan Area Network) sont basés sur la norme IEEE 802.16. La boucle locale radio offre
un débit utile de 1 à 10 Mbps pour une portée de 4 à 10 kilomètres, ce qui destine principalement
cette technologie aux opérateurs de télécommunication.

1.2.4.4. Réseaux étendus sans fils (WWAN)

Ce réseau est également connu sous le nom de réseau cellulaire mobile. Il s’agit des
réseaux sans fils les plus répandus, puisque tous les téléphones mobiles sont connectés à un
réseau étendu sans fils. Les principales technologies sont les suivantes :
 P a g e | 13

 GSM (global for mobile Communication ou en français Groupe Spécial Mobile) dont
le débit est de 9 kbps ;
 GPRS (General Packet Radio Service) dont le débit est de 20-30 kbps ;
 UMTS (Universal Mobile Telecommunication System) dont le débit est de 1 Mbps.

Selon leur domaine d’application, on peut le ranger dans trois catégories : WPAN
pour les micro-réseaux personnels, WLAN pour les réseaux locaux Ethernet, WMAN pour les
réseaux à l’échelle d’une grande ville7.

Tableau 1. Catégories de Wi-Fi

1.2.5. Propagation des ondes radios

« Les ondes radioélectriques correspondent à des fréquences comprises entre 10

kHz et 2 GHz. Un émetteur diffuse ces ondes captées par des récepteurs dispersés
géographiquement. Contrairement aux faisceaux hertziens, il n’est pas nécessaire d’avoir une
visibilité directe entre émetteur et récepteur, car celui-ci utilise l’ensemble des ondes réfléchies
et diffractées. En revanche, la qualité de la transmission est moindre car les interférences sont
nombreuses et la puissance d’émission beaucoup plus faible8».

Il est nécessaire d’avoir une culture minimum sur la propagation des ondes
hertziennes afin de pouvoir mettre en place une architecture réseau sans fil, et notamment de
disposer les bornes d’accès (point d’accès) de telle façon à obtenir une portée optimale. Les
ondes radio (notées RF pour Radio Frequency) se propagent en ligne droite dans plusieurs
directions. La vitesse de propagation des ondes dans le vide est de 3.108mps. Dans tout autre
milieu, le signal subit un affaiblissement dû à :

 La réflexion, lorsqu’une onde radio rencontre un obstacle, tout ou partie de l’onde est
réfléchie, avec une perte de puissance. La réflexion est telle que l’angle d’incidence est
égal à l’angle de réflexion.
 La réfraction, c’est la déviation de l’onde lors d’un changement de milieu;

7
Jean-Luc MONTAGNIER, Réseaux d’entreprise, par la pratique, édition Eyrolles, Paris,
2008, p. 84.
8
Danièle DROMARD et Dominique SERET, Architecture des réseaux, Synthèse des cours &
exercices corrigés, Université Pierre et Marie Curie (Paris 6) & Université René Descartes
(Paris 5), 2009, p. 13.
 P a g e | 14

 La diffraction, lorsqu’une onde arrive sur un obstacle, elle se retrouve divisée

(éparpillée) en plusieurs ondes ;
 L’absorption, lorsqu’une onde radio rencontre un obstacle, une partie de son énergie
est absorbée et transformée en énergie, une partie continuera à se propager de façon
atténuée et une partie peut éventuellement être réfléchie (réflexion).

1.2.6. Les équipements Wi-Fi

Il existe plusieurs équipements pour la mise en place d’un réseau sans fil, nous
citons quelques-uns:

 Les adaptateurs sans fil ou cartes d’accès (en anglais Wireless adapters ou Network
Interface Controller, noté NIC) : il s’agit d’une carte réseau à la norme 802.11
permettant à une machine de se connecter à un réseau sans fil. Les adaptateurs WiFi
sont disponibles dans des nombreux formats (carte PCI, carte PCMCIA, adaptateur
USB, carte CompactFlash,…). Tout équipement possédant une telle carte réseau est
appelé « station ».
 Les points d’accès (notés AP pour Access Point, parfois appelés bornes sans fil)
permettent de donner un accès au réseau filaire aux différentes stations avoisinantes
équipées de cartes Wifi. Certains points d’accès peuvent être alimentés en lignes (à
travers le câble réseau). Ceci permet d’en faciliter le câblage. Les points d’accès sont de
plusieurs types :
 AP pont vers un réseau filaire : Un pont est en général assez malin pour ne
relayer vers le réseau filaire que le trafic qui doit l’être et vice versa.
 AP répétiteur : Il peut être relié sans fil à un ou plusieurs autres AP et étendre
ainsi la couverture d’un réseau sans fil sans avoir à être relié directement au
réseau filaire.
 AP routeur : Il s’agit d’un produit deux en un : un AP et un routeur IP classique,
permettant de connecter le réseau sans fil à Internet ou bien à un autre réseau IP.
Il possède les fonctions habituelles d’un routeur, telles qu’un serveur DHCP, un
pare-feu ou encore le NAT.
 Hotspot-in-a-box : C’est un AP routeur intégrant un contrôleur d’accès pour
hotspot. Il peut mettre en œuvre des fonctions avancées telles que
l’authentification des clients par portail captif en HTTPS (éventuellement en
interrogeant un serveur RADIUS ou LDAP), la transparence SMTP ou proxy,
etc.

Figure I.7. Les points d’accès

 P a g e | 15

1.2.7. Modes opératoires

 Le mode ad hoc :

Ce mode est également baptisé point à point, ou ensemble des services de base
indépendants. Ce mode permet de créer rapidement et simplement un réseau sans fil là où il
n’existe pas d’infrastructure filaire ou encore là où une telle infrastructure n’est pas nécessaire
pour les services attendus.

Avec le WiFi, il est possible de construire de simples liens sans fil, d’un point à un
autre, à haut débit. Ceci est utile pour relier entre eux deux sites difficilement joignables par
voie filaire, comme deux bâtiments d’une entreprise. La distance maximale entre les deux
bâtiments dépend du débit que l’on souhaite garantir (plus la distance sera grande, plus le débit
sera faible) et de la bande de fréquence choisie, mais on peut atteindre plusieurs mégabits par
seconde jusqu’à 2 à 3 kilomètres en vision directe, c’est-à-dire sans obstacle sur l’axe ou proche
de l’axe entre l’émetteur et le récepteur9.

Figure I.8. Le mode Ad hoc

 En mode infrastructure BBS :

Le réseau sans fil consiste au minimum en un point d’accès connecté à

l’infrastructure du réseau filaire et un ensemble de postes réseaux sans fils. Cette configuration
est baptisée Basic Service Set (BBS, ou ensemble des services de base). Il s’agit généralement
du mode par défaut des cartes 802.11b.

Figure I.9. Mode infrastructure BBS

 Associations, architectures cellulaires et itinérance :

L’interface réseau est responsable de la lumière dont un client s’associe à un point

d’accès. Lorsqu’un client 802.11 entre dans le rayon d’action d’un ou plusieurs points d’accès,
il choisit l’un de ces points pour s’y connecter en fonction de la puissance du signal, des taux
d’erreurs observés dans la transmission des paquets, et de la charge. Une fois accepté par le
9
Ibid. p.21.
 P a g e | 16

point d’accès, le client règle son canal radio sur celui du point d’accès. Périodiquement, il
explore tous les canaux 802.11 pour déterminer si un autre point d’accès est susceptible de lui
offrir des performances supérieures. S’il détermine que c’est le cas, il s’associe au nouveau
point d’accès, se réglant sur le canal radio de ce point d’accès.

Figure I.10. Associations, architectures cellulaires et itinérance

1.2.8. Programmation des canaux

 Choix des canaux :

Pour une transmission de 11 Mbps correcte, il est nécessaire de transmettre sur une
bande de 22 MHz car, d’après le théorème de Shannon, la fréquence d’échantillonnage doit être
au minimum égale au double du signal à numériser.

1.2.9. La portée et les débits

L’IEEE 802.11b définit un débit de transmission allant jusqu’à 11 Mbps. Ils

communiquent donc par les structures d’un bâtiment et qu’elles peuvent se réfléchir pour
contourner les obstacles. Le débit du WLAN dépend de plusieurs facteurs, qui sont les suivants :

 Le nombre d’utilisateurs ;
 La portée des microcellules ;
 Les interférences ;
 La propagation sur de multiples chemins ;
 Le support de standards ;
 Le type de matériel ;
 Les protocoles supplémentaires, les règles d’accès.

Ils réduisent en pratique la bande passante de 4 à 5 Mbps. Bien entendu, tout ceci
affecte le trafic des données sur les portions filaires du réseau.

1.2.10. Les applications du Wifi

 Les Hotspots

Un hotspot est un point d’accès sans fil à Internet (ou plus généralement à des
services web), ou lieu public où l’on peut se connecter à un réseau sans fil (selon le Jargon
Informatique). Il s’apparente donc à un cybercafé, le client l’utilise pour connecter son propre
ordinateur équipé de la technologie WiFi (ou son « Smartphone » compatible WiFi, comme
l’iPhone par exemple). Ceci lui permet de conserver, d’un hotspot à un autre, le même
 P a g e | 17

environnement de travail : le sien. On trouve des hotspots dans de nombreux sites où transitent
des hommes d’affaires équipés d’ordinateurs portables : des aéroports, des gares, des hôtels,
des centres de conférence, mais aussi des cafés, des restaurants, des universités et plus
généralement presque tout type de lieu public.10

 Le Wi-Fi dans l’industrie

Une des preuves de la maturité du WiFi est le fait qu’on l’utilise pour faire
davantage que de simples réseaux : l’industrie emploie de plus en plus d’applications variées
qui reposent sur le WiFi. En voici quelques-unes des plus significatives :

 Les inventaires : des PDA, Smartphones ou Tablet PC sont équipés d’une

connexion WiFi et permettent ainsi aux employés de réaliser des inventaires qui
sont enregistrés en temps réel dans la base de données de l’entreprise. Ceci peut
être utile pour les inventaires d’une grande surface, par exemple, pour gagner du
temps.
 Le positionnement : des logiciels installés sur des PDA équipés en WiFi
permettent, en mesurant la puissance du signal radio provenant des différentes
antennes WiFi voisines, de positionner avec une relative précision (moins de 2
mètres) le porteur du PDA, moyennant un étalonnage initial assez simple.
 La voix : l’une des grandes promesses du Wi-Fi est sa capacité à gérer les
communications audionumériques grâce aux technologies de voix sur IP (Voice
over Internet Protocol, VoIP). Lorsque la VoIP est réalisée sur un réseau sans
fil, on parle parfois de VoWIP (le « W» vient de Wireless), mais la technologie
est absolument identique. Déjà, des sociétés proposent des téléphones VoWIP,
reliés à notre réseau grâce au Wi-Fi.

1.2.11. Les standards de l’IEEE

La normalisation du groupe de travail IEEE 802.11 pour les réseaux locaux par voie
hertzienne, ou WLAN (Wireless Local Area Network) a donné naissance au label de produits
Wi-Fi. Les communications peuvent se faire soit directement de station à station, mais sans
qu’une station puisse relayer les paquets vers une autre station terminale, soit en passant par
une borne de concentration. Les débits s’échelonnent d’une dizaine à plusieurs dizaines de
mégabits par seconde.

1.2.12. Les avantages et les inconvénients

Comme les autres réseaux sans fil, le Wi-Fi possède plusieurs avantages :

 La facilité de déploiement ;
 Le faible coût d’acquisition ;
 La mobilité.

De plus, le Wi-Fi est interopérable avec les réseaux filaires existants et garantit une
grande souplesse sur la topologie du réseau. La principale qualité du Wi-Fi est la simplicité. De
plus, les fréquences exploitées par ses techniques de transmission sont d’usage libre et ne
nécessitent pas de licence. Ainsi, tout le monde peut mettre en œuvre un réseau de ce type, sans
toutefois outrepasser certaines règles, qui seront exposées plus tard. Faire communiquer des

10
Aurélien Géron, Op.cit., p. 16.
 P a g e | 18

appareils en Wi-Fi ne présente pas de difficultés et ne demande qu’un minimum de

connaissances.

Malheureusement, le principal inconvénient provient du support lui-même, l’onde

radio, et de l’utilisation anarchique des fréquences utilisées. En effet, les limites de
communication sont plus difficilement maîtrisables que celles d’un réseau filaire. Et bien
souvent, par manque de compétence, la personne qui déploie le réseau n’est pas sensible à cette
notion. Potentiellement, les ondes peuvent aller polluer les communications d’un réseau voisin,
qui devient moins performant.
 P a g e | 19

Conclusion partielle

Dans ce chapitre, nous avons commencé par un rappeler les réseaux informatiques,
les termes et concepts fondamentaux des réseaux : les couches de protocoles, le modèle OSI,
TCP/IP, et les principaux types de réseaux : PAN, LAN, MAN, WAN et leurs variantes sans
fil, dont le WLAN (ou RLAN si la technologie est la radio).

Nous avons ensuite donné un aperçu historique des ondes radio, les principales
applications du Wi-Fi : réseau d’entreprise, réseau familial, hotspots, réseau communautaire,
connexion de point à point, inventaires, positionnement ou voix sur IP.

Nous avons présenté différentes catégories de matériels Wi-Fi : les adaptateurs, les
points d’accès, les périphériques, les antennes, etc. pour le déploiement Wi-Fi. Les adaptateurs
mettent en œuvre le 802.11 pour permettre à un équipement de communiquer en Wi-Fi. Ils se
présentent sous diverses formes : cartes PCMCIA, PCI ou encore Compact Flash, bundles ou
sticks USB, petits boîtiers à connecter au port Ethernet, etc. Nous avons présenté les différents
points d’accès : AP pont vers un réseau filaire, AP répétiteur, AP routeur et Hotspot-in-a-box.
Les modes opératoires : ad hoc ou point à point, le mode infrastructure.

Enfin, nous avons également présenté les différentes applications Wi-Fi, le standard
IEEE et, les avantages et inconvénients du Wi-Fi. Le chapitre (deuxième) suivant passera en
revue la sécurité du réseau sans fil et le standard 802.1x.
 P a g e | 20

Chapitre II. LA SECURITE DE RESEAU SANS FIL ET LE STANDARD 802.1X

Ce chapitre présente, les différentes solutions proposées pour sécuriser le Wi-Fi.

Ces solutions ne proposent pas simultanément facilité d’utilisation et sécurité renforcée. Au
cours de ce deuxième chapitre, nous commencerons par définir ce qu’est la sécurité dans un
environnement sans fil, et nous ferons le tour de différentes attaques et leurs solutions de
sécurité existantes. Nous détaillerons les plus importantes d’entre elles. Ce chapitre a pour but
de présenter rapidement les mécanismes et la mise en œuvre du WEP, entre autres pour nous
convaincre de ses défauts, mais surtout pour mieux comprendre le WPA. Le but du protocole
EAP qui est d’identifier et d’« authentifier » les utilisateurs (c’est-à-dire vérifier leur identité)
avant de les laisser rentrer sur le réseau.

Enfin, nous parlerons du serveur RADIUS, ses différentes fonctions :

l’authentification des utilisateurs, la définition de leurs autorisations et la comptabilisation de
leur connexion.

2.1. Introduction à la sécurité

Les réseaux locaux sans fil (WLAN) envahissent notre quotidien, car la valeur
ajoutée qu’ils offrent aux utilisateurs, à un coût raisonnable, est incontestable. Comme ces
réseaux possèdent des frontières à géométrie variable et surtout difficilement contrôlables, il
est indispensable de les protéger. Cependant, les mécanismes de sécurisation du Wi-Fi, tels que
WEP sont très facilement cassables en téléchargeant des logiciels sur Internet, et la simplicité
de déploiement, et le coût réduit des WLAN font que beaucoup d’individus installent ce type
de réseaux, mais oublient de les administrer et les sécuriser.

2.1.1. Définition de la sécurité

Définition de base: La sécurité informatique c'est l'ensemble des moyens mis en

œuvre pour minimiser la vulnérabilité d'un système contre des menaces accidentelles ou
intentionnelles11.

La première fonction d’un système d’information est de stocker et de permettre

l’échange de données. Sécuriser un réseau consiste donc à prendre en compte tous les risques
possibles, tels que les attaques volontaires, les accidents, les défauts logiciels ou matériels, ou
encore les erreurs humaines et à les réduire autant que possible12.

La politique de sécurité informatique fixe les principes visant à garantir la

protection des ressources informatiques et de télécommunications en tenant compte des intérêts
de l'organisation et de la protection des utilisateurs.

Les ressources informatiques et de télécommunications doivent être protégées afin

de garantir confidentialité, intégrité et disponibilité des informations qu'elles traitent, dans le
respect de la législation en vigueur.

11
Michée K., Cours de sécurité informatique, L1 et L2 Réseaux, U.KA, 2017-2018. p. 11.
12
Yannick T. et Marcel K., Notes de cours de transmission de données et sécurité
informatique, première Licence Génie Informatique, UNIVERSITE DE MBUJIMAYI, 2016 -
2017, p. 35.
 P a g e | 21

2.1.1.1. Les qualités CID13

Trois qualités fondamentales sont à prendre en compte pour un réseau sécurisé. On

les appelle les qualités CID (d’après leurs initiales), Un réseau sécurisé assure la confidentialité,
l’intégrité et la disponibilité des données:

 La confidentialité : l’accès aux données (et d’une façon générale aux ressources gérées
par le système) doit être réservé aux personnes autorisées. Cela suppose un mécanisme
d’identification des utilisateurs, la définition de règles d’accès, et la protection des
données pendant leur transport, par le biais d’un cryptage.
 L’intégrité : les données ne doivent pas être modifiées ou perdues. Il faut en particulier
pouvoir s’assurer que ce qui est reçu correspond bien à ce qui a été envoyé.
 La disponibilité : le réseau doit être accessible en tout temps et dans des conditions
acceptables.

À ces trois qualités, s’ajoutent ceux qui permettent de prouver l’identité des entités
(notion d’authentification) et ceux qui indiquent que des actions ou événements ont bien eu lieu
(notions de non-répudiation, d’imputabilité, voire de traçabilité).

2.1.2. Les attaques d’un réseau

Lorsqu’un point d’accès est installé sur le réseau local, il permet aux stations
d’accéder au réseau filaire et éventuellement à Internet si le réseau local y est relié. Un réseau
sans fils, non-sécurisé, représente de cette façon un point d’entrée royal pour le pirate au réseau
interne d’une entreprise ou d’une organisation. Outre le vol ou la destruction d’informations
présentes sur le réseau et l’accès à internet gratuit pour le pirate, le réseau sans fils peut
également représenter une possibilité pour ce dernier dans le but de mener des attaques sur
Internet.

2.1.2.1. Types de programmes malveillants14

Il existe une quantité phénoménale des programmes indésirables. Tous ces

programmes portent le nom générique de "malware". Mais sous cette appellation se cache des
familles bien différentes les unes des autres. Nous allons les détailler afin d'y voir un peu plus
clair dans cette jungle :

 Virus : Un virus est un logiciel capable de s’installer sur un ordinateur à l’insu de son
utilisateur légitime.
 Ver : Un ver (worm) est une variété de virus qui se propage par le réseau.
 Cheval de Troie : Un cheval de Troie (Trojan horse) est un logiciel qui se présente
sous un jour honnête, utile ou agréable, et qui une fois installé sur un ordinateur y
effectue des actions cachées et pernicieuses.
 Porte dérobée : Une porte dérobée (backdoor) est un logiciel de communication caché,
installé par exemple par un virus ou par un cheval de Troie, qui donne à un agresseur
extérieur accès à l’ordinateur victime, par le réseau.
 Bombe logique : Une bombe logique est une fonction, cachée dans un programme en
apparence honnête, utile ou agréable, qui se déclenchera à retardement, lorsque sera

13
Aurélien Géron, Op.cit., p. 196.
14
Laurent B. et Christophe W., Sécurité informatique Principes et méthode à l’usage des DSI,
RSSI et administrateurs, Éditions Eyrolles, Paris, 2007, p. 55-61.
 P a g e | 22

atteinte une certaine date, ou lorsque surviendra un certain événement. Cette fonction
produira alors des actions indésirées, voire nuisibles.
 Logiciel espion : Un logiciel espion, comme son nom l’indique, collecte à l’insu de
l’utilisateur légitime des informations au sein du système où il est installé, et les
communique à un agent extérieur, par exemple au moyen d’une porte dérobée.
 Courrier électronique non sollicité (spam) : Le courrier électronique non sollicité
(spam) consiste en « communications électroniques massives, notamment de courrier
électronique, sans sollicitation des destinataires, à des fins publicitaires ou malhonnêtes
», selon Wikipédia.

2.1.2.2. Les risques sur un réseau Wi-Fi

Les risques liés à la mauvaise protection d’un réseau sans fils sont multiples :

 L’interception des données :

Par défaut un réseau sans fils est non sécurisé, c’est-à-dire qu’il est ouvert à tous et
que toute personne se trouvant dans le rayon de portée d’un point d’accès peut potentiellement
écouter toutes les communications circulant sur le réseau. Pour un particulier la menace est
faible car les données sont rarement confidentielles, si ce ne sont pas les données à caractères
personnel. Pour une entreprise en revanche, l’enjeu stratégique peut être très important.

 Le brouillage radio :

Les ondes radios sont très sensibles aux interférences, c’est la raison pour laquelle
un signal peut facilement être brouillé par une émission radio, ayant une fréquence proche de
celle utilisée dans le réseau sans fils. Un simple four à micro-ondes peut ainsi rendre totalement
inopérable un réseau sans fils lorsqu’il fonctionne dans le rayon d’action d’un point d’accès.

 Le déni de service :

Le "Denial-of-service" ou déni de service est une attaque très évoluée visant à

rendre muette une machine en la submergeant de trafic inutile. Il peut y avoir plusieurs
machines à l'origine de cette attaque (c'est alors une attaque distribuée, voir fiche DDoS) qui
vise à anéantir des serveurs, des sous-réseaux, etc. D'autre part, elle reste très difficile à contrer
ou à éviter15. Le déni de service a plusieurs buts possibles :

 Le vandalisme gratuit ou intéressé (quand il est réalisé par un concurrent, par

exemple);
 L’assouvissement d’une vengeance ;

Le pirate peut faire une attaque DoS assez brève dans le but de déconnecter des
utilisateurs pour les forcer à se reconnecter quelques instants après. Le but est alors d’essayer
de subtiliser leurs mots de passe pour pouvoir faire plus tard une attaque d’intrusion.

2.1.2.3. Le wardriving

Etant donné qu’il est très facile de réaliser des « écoutes » sur les réseaux sans fils,
une pratique simple consiste à se promener en voiture avec une antenne WiFi et à noter la
15
Cédric L., Laurent L., Denis V., Tableaux de bord de la sécurité réseau, 2ème éd., Eyrolles,
Paris, 2006, p. 29.
 P a g e | 23

position et les caractéristiques de tous les AP que l’on puisse trouver, il s’agit du wardriving
(Que l’on peut traduire par : la guerre en voiture)16. Des logiciels (NetStumbler) spécialisés
dans ce type d’activité, permettant même d’établir une cartographie très précise en exploitant
un matériel de géolocalisation (GPS= Global Positionning System).

2.1.2.4. L’intrusion

Une intrusion réussie permet au pirate de se comporter exactement comme un

utilisateur normal: au point qu’il est souvent difficile de s’apercevoir qu’une intrusion a eu lieu
ou même qu’elle est en cours, car tout se passe comme si un utilisateur normal accédait au
système. Il s’agit donc d’une attaque extrêmement dangereuse.

L’intrusion est bien sûr tout à fait triviale si aucune sécurité n’est mise en œuvre :
il suffit de s’associer normalement à l’un des AP du réseau, et le tour est joué. En revanche, si
l’association impose un mécanisme d’identification avant d’autoriser l’ouverture d’une session
sur le réseau, le pirate aura essentiellement deux options :

 Ouvrir une nouvelle session en se faisant passer pour un utilisateur légitime ;

 Détourner une session existante (hijacking).

Idéalement, les mots de passe des utilisateurs doivent être assez longs et complexes
pour qu’il soit impossible de les deviner en quelques tentatives, le système doit détecter et
bloquer les attaques de dictionnaire en ligne, et il doit également utiliser un protocole
d’authentification invulnérable aux attaques de dictionnaire hors ligne.

2.1.2.5. La modification des messages

Un autre type d’attaque est la modification des messages échangés, à l’insu des
interlocuteurs. On peut facilement voir les conséquences désastreuses que cela peut avoir :
imaginez que votre lettre d’amour soit remplacée par une lettre d’insultes ! Un autre exemple,
plus sérieux : imaginons qu’un employé souhaite effacer un fichier sur un serveur : il envoie
alors une requête à ce serveur demandant à effacer le fichier choisi. À ce moment précis, un
pirate intercepte la requête et parvient à la modifier en remplaçant le nom du fichier à effacer
par un autre. On peut imaginer une foule d’autres exemples de ce type.

2.1.2.6. Les attaques MiM

C’est un type d’attaque, lors de laquelle, un pirate place sa machine sur le chemin
logique entre deux autres machines qu’il veut attaquer. Une fois dans cette position, il peut alors
lancer un grand nombre d’attaques, particulièrement dangereuses. Il y a plusieurs types
d’attaques pour devenir « man in the middle ».

Moins connue, mais tout aussi efficace, cette attaque permet de détourner le trafic
entre deux stations. Imaginons un client C communiquant avec un serveur S. Un pirate peut
détourner le trafic du client en faisant passer les requêtes de C vers S par sa machine P, puis
transmettre les requêtes de P vers S. Et inversement pour les réponses de S vers C.

16
Aurélien Géron, Op.cit., p. 201.
 P a g e | 24

Totalement transparente pour le client, la machine P joue le rôle de proxy. Il

accédera ainsi à toutes les communications et pourra en obtenir les informations sans que
l’utilisateur s’en rende compte17.

2.1.3. Les premières solutions

2.1.3.1 Limiter les débordements

Une première mesure de protection contre les attaques du réseau sans fil consiste à
s’assurer que les ondes radio ne débordent pas (ou peu) sur l’extérieur de l’entreprise. Ce n’est
évidemment pas une énorme protection mais elle limite la tentation des curieux ou le fait que
votre réseau figure dans les cartes de WarDriving sur Internet!

Cette protection doit être pensée au moment de l’audit de site et du déploiement, en

positionnant correctement les AP pour que le niveau du signal soit très faible à l’extérieur des
locaux.

2.1.3.2. Éviter les AP pirates

Même si le réseau est parfaitement sécurisé, il suffit qu’un seul employé ait la
mauvaise idée d’installer un AP non sécurisé et de le connecter au réseau filaire pour que toute
la sécurité soit anéantie. À ce sujet, il faut rappeler que l’une des principales raisons pour
lesquelles les employés peuvent être tentés d’installer des AP pirates est qu’ils ne captent pas
correctement le signal WiFi du réseau sans fil ou ne savent pas comment s’y connecter. Une
façon de sécuriser le réseau est donc de mettre en place un réseau WiFi de bonne qualité, avec
une couverture dans l’ensemble des locaux et une capacité suffisante et d’informer correctement
les employés.

2.1.3.3. La supervision radio

Il peut également être intéressant d’installer des sondes WiFi ou d’exploiter les
fonctions de supervision radio offertes par certains AP, pour détecter les AP non sécurisés. La
supervision radio peut permettre de détecter des AP non sécurisés, voire même certains types
d’attaques WiFi, comme par exemple le spoofing d’adresse MAC ou certaines attaques DoS.
Bien entendu, ce n’est qu’une mesure palliative, et non préventive : elle ne peut pas être utilisée
seule. Un réseau WiFi bien sécurisé est aussi un réseau bien supervisé.

2.1.3.4. Masquer le SSID

Puisque toute requête d’authentification doit contenir le bon SSID, on voit qu’un
premier niveau de sécurité pour un réseau WiFi consiste à configurer les points d’accès pour
qu’ils ne diffusent pas leur SSID. Si quelqu’un ne connaît pas le SSID du réseau, il ne
parviendra pas à s’y associer.

Un passant équipé d’un matériel WiFi classique ne saura pas qu’un réseau sans fil
se trouve à proximité ou en tout cas ne saura pas s’y associer facilement. Toutefois, il ne s’agit
que d’une protection très faible, car il suffit de sniffer les ondes radio au moment où un
utilisateur légitime se connecte : le SSID se trouve alors en clair dans sa requête d’association.

17
Yannick T., et Marcel K., Op.cit., .p. 49.
 P a g e | 25

En outre, chaque utilisateur légitime devra saisir manuellement le SSID du réseau sur son
ordinateur. Bref, cette mesure apporte plus d’inconvénients que d’intérêts.

2.1.3.5. Le filtrage par adresse MAC

Bien que cela ne soit pas officiellement dans la norme 802.11, rien n’empêche à un
AP de vérifier si l’adresse MAC de la station qui cherche à s’authentifier se trouve bien dans
une liste d’adresses MAC autorisées. En effet, l’adresse MAC d’une station est présente dans
tous les paquets qu’elle émet, et donc en particulier dans la requête d’authentification. On
pourra, par exemple, n’autoriser que les adresses MAC des machines de l’entreprise. Ce type
d’authentification peut être employé en complément d’un autre type d’authentification (WEP,
WPA, WPA2...).

De nombreux AP disposent de cette fonction de filtrage par adresse MAC. Les

adresses autorisées sont souvent stockées dans chaque AP, ce qui signifie qu’il faut modifier
tous les AP lorsque l’on souhaite ajouter ou retirer une adresse MAC. Le filtrage par adresse
MAC a deux inconvénients majeurs18:

 Il est assez lourd à mettre en œuvre pour une moyenne ou grosse entreprise car il faut
conserver la liste des adresses MAC de tous les équipements susceptibles de se
connecter au réseau sans fil ;
 Plus grave encore, il est assez simple pour un pirate de sniffer le réseau, de noter les
adresses MAC d’utilisateurs légitimes, puis de « spoofer » (imiter) une adresse MAC
légitime. Bref, cela ne sert qu’à arrêter les petits pirates et les simples curieux.

Avec ces deux inconvénients, on peut affirmer que le filtrage par adresse MAC ne
vaut pas vraiment la peine d’être mis en œuvre.

2.1.3.6. Les VLAN

Si les AP le permettent (ou les commutateurs auxquels ils sont reliés), il est bon
d’associer le trafic sans fil à un VLAN particulier. Ceci facilitera par la suite la maintenance et
l’administration du réseau car tout le trafic provenant du réseau sans fil sera clairement
identifié19.

En outre, certains AP peuvent associer un utilisateur donné à un VLAN particulier

au moment de l’identification (grâce au protocole RADIUS que nous étudierons au point
suivant).

2.1.3.7. Le cryptage WEP

Première solution de cryptage à avoir été standardisée par l’IEEE, Wired Equivalent
Privacy (WEP) signifie « sécurité équivalente au filaire ». Malheureusement, dans la pratique,
la solution WEP ne s’est pas montrée à la hauteur de sa définition : à peine quelques mois après
sa publication, des failles importantes ont été découvertes dans le WEP et exploitées presque
immédiatement dans des attaques contre des réseaux WiFi. Des outils sont même disponibles
gratuitement sur Internet qui permettent de casser la clé WEP, c’est-à-dire, en possédant
suffisamment de paquets cryptés, de retrouver quelle clé WEP a servi au cryptage. Il suffit alors

18
Aurélien Géron, Op.cit., p. 213.
19
Ibid.
 P a g e | 26

à un pirate de configurer son propre adaptateur avec cette clé WEP pour rendre le cryptage tout
à fait inutile. Aujourd’hui, il est fort conseillé d’abandonner le WEP au profit du WPA ou du
WPA220.

2.1.3.8. Isoler le réseau sans fil

On peut choisir de traiter les utilisateurs du réseau sans fil comme s’ils venaient
d’Internet. Pour ce faire, on peut connecter les AP dans la DMZ (zone démilitarisée) de la
passerelle d’accès à Internet ou simplement relier le réseau sans fil à une connexion à Internet
complètement indépendante du réseau filaire. De cette façon, si un pirate parvient à se connecter
au réseau sans fil, il ne pourra pas pour autant rentrer sur le réseau filaire. Ce réseau sans fil
isolé du réseau est présenté à la Figure 2.1.

Figure II.1. Un réseau sans fil isolé

Cette stratégie est efficace pour protéger le réseau local, mais elle présente plusieurs
inconvénients21 :

 Pour les employés, le réseau sans fil ne sert qu’à accéder à Internet (ou à se connecter
entre eux) : il n’est pas possible d’accéder au réseau filaire, à moins d’établir un tunnel
VPN (voir le paragraphe suivant) ;
 Les employés connectés sans fil sont en contact direct avec Internet et peuvent plus
facilement être attaqués depuis Internet. Il faut donc installer un deuxième pare-feu
(éventuellement intégré dans chaque AP) pour protéger les employés ;
 Un pirate peut toujours attaquer les utilisateurs connectés au réseau sans fil. Pour éviter
cela, certains AP peuvent être configurés pour interdire toute communication entre les
utilisateurs sans fil. Malheureusement, les employés ne pourront plus communiquer
entre eux. Cela n’empêche toutefois pas le pirate d’espionner les communications ;
 S’il parvient à s’associer à un AP, un pirate peut abuser de la connexion à Internet. Pour
limiter ce risque, l’AP peut être relié à un pare-feu (encore une fois, il peut être intégré
dans l’AP) et à un système de contrôle de la navigation Internet.

2.1.3.9. Les réseaux privés virtuels

Pour permettre aux employés d’accéder tout de même au réseau de l’entreprise

lorsque le réseau sans fil est isolé comme nous venons de le voir, il est possible de mettre en
place un Réseau Privé Virtuel (RPV), plus connu sous le nom de Virtual Private Network
(VPN). Cela consiste à mettre en place un serveur VPN entre les AP et le réseau local.

20
Ibid. p. 214.
21
Ibid. p. 215.
 P a g e | 27

Le système de VPN permet donc d’obtenir une liaison sécurisée à moindre coût. Il
repose sur un protocole, appelé « protocole de tunnelisation (tunneling) », c’est-à-dire un
protocole permettant aux données passant d’une extrémité du VPN à l’autre, d’être sécurisées
par des algorithmes de cryptographie22. Il existe même des AP qui intègrent un serveur VPN.
Le serveur VPN permet aux employés de créer des « tunnels » de communication sécurisés,
établis au niveau des couches 2 (L2TP) ou 3 (PPTP, IPSec...), voire dans des couches
supérieures (SSH, SSL...).

Figure II.2. La solution VPN.

 Les défauts des VPN

Toutefois, isoler le réseau sans fil et obliger les utilisateurs à passer par des tunnels
VPN pose quelques problèmes :

 Les solutions VPN du marché peuvent coûter assez cher et sont parfois
complexes à mettre en oeuvre. Il faut être très attentif à leur configuration pour
éviter des failles de sécurité ;
 Il faut bien choisir la solution VPN, car toutes n’offrent pas nécessairement un
bon niveau de sécurité : la solution PPTP n’est pas considérée comme très
robuste ;
 Tout le trafic doit passer par un serveur VPN qui ne gère souvent qu’un nombre
limité de connexions simultanées ;
 En passant par un tunnel VPN, le débit est parfois réduit et le temps de latence
augmenté;
 Il n’est pas très pratique pour l’employé d’avoir à établir deux connexions
(association WiFi puis connexion VPN) avant de pouvoir profiter du réseau.

Malgré ces défauts, la solution VPN était la seule à, réellement, offrir un niveau
important de protection avant l’arrivée du WPA et duWPA2. Si le matériel WiFi ne gère pas le
WPA ou leWPA2 ou si VPN est déjà en place, cette solution est sans doute l’une des plus
appropriées. Les réseaux VPN n’ont rien de spécifique au WiFi. De plus, mettre en place un
réseau VPN est assez complexe et demanderait un ouvrage complet. Pour toutes ces raisons et
sachant que le WPA et le WPA2 sont d’excellentes alternatives, nous ne détaillerons pas
davantage les VPN.

22
Jean-François P., Jean-Philippe B., Tout sur la sécurité informatique, 3ème éd., Dunod,
Paris, 2013, p. 150.
 P a g e | 28

2.1.4. Le WPA

Le WPA repose sur le cryptage Temporal Key Integrity Protocol (TKIP) qui a été
conçu de telle sorte qu’il soit possible de le mettre en œuvre dans les AP existants, par le biais
d’une simple mise à jour de firmware (le microprogramme contenu dans l’AP). Tout en
reposant encore sur l’algorithme RC4, comme le WEP, il corrige toutes les failles du WEP et
peut être considéré comme très robuste. Toutefois, il n’a été défini que pour servir de transition
vers le 802.11i, qui est la solution la plus sûre.

2.1.5. Le WPA2 (802.11i)

À la suite de WEP, les méthodes de protection WPA (Wi-Fi Protected Access) ainsi
que sa version améliorée WPA2 ont vu le jour. La spécification exacte de WPA2 est inscrite
dans le standard 802.11i. La différence principale entre WPA et WPA2 réside dans l’algorithme
de chiffrement (RC4 pour WPA et AES pour WPA2). Le 802.11i permet d’utiliser un nouvel
algorithme de cryptage, l’Advanced Encryption Standard (AES), qui est sans doute l’un des
algorithmes les plus puissants aujourd’hui. Malheureusement, l’AES est plus exigeant en
puissance de calcul que le RC4.23.

2.2. Le standard 802.1x

2.2.1. Introduction au 802.1x24

Le standard 802.1x est une solution de sécurisation, mise au point par l'IEEE en
juin 2001, permettant d'authentifier (identifier) un utilisateur souhaitant accéder à un réseau
(filaire ou non) grâce à un serveur d'authentification.

Le 802.1x repose sur le protocole EAP (Extensible Authentication Protocol), défini

par l'IETF, dont le rôle est de transporter les informations d'identification des utilisateurs. Le
protocole d’authentification EAP (Extensible Authentication Protocol) a été défini par
l’Internet Engineering Task Force (IETF). Avant de parler d’EAP, un petit mot sur l’IETF
s’impose.

23
Michael Kofler, Linux Installation, configuration et administration des systèmes Linux, 8ème
éd., Le campus, Paris, juillet 2007, p. 516.
24
https://www.commentcamarche.net/contents/1276-802-1x-eap consulté le 25/02/2019
 P a g e | 29

Figure II.3. Une vue générale de la solution

2.2.2. Le protocole EAP

Le protocole EAP est une extension du protocole PPP, un protocole utilisé pour les
connexions à Internet, à distance (généralement, via un modem RTC classique) et permettant,
notamment, l’identification des utilisateurs sur le réseau. Contrairement, à PPP, le protocole
EAP permet d’utiliser différentes méthodes d’identification et son principe de fonctionnement
rend très souple l’utilisation de différents systèmes d’authentification25.

 Méthodes d’authentification

Les principales méthodes d’authentification EAP sont EAP/MD5 (mot de passe),

EAP/MS-CHAP-v2 (mot de passe), EAP/OTC (mot de passe), EAP/GTC (carte à jeton),
EAP/SIM (carte SIM) et EAP/TLS (certificat électronique).

Par ailleurs, trois autres méthodes EAP ont pour but de protéger une authentification
EAP au sein d’un tunnel sécurisé : EAP/PEAP, EAP/TTLS et EAP/FAST.

2.2.2.1. Le fonctionnement d’EAP

En général, le principe d’EAP est très simple : si un client (c’est-à-dire un

utilisateur) cherche à accéder au réseau, un contrôleur d’accès lui barrera le chemin jusqu’à ce
qu’il s’identifie auprès du serveur d’authentification. Le contrôleur d’accès sert d’intermédiaire
pour la communication entre le client et le serveur d’authentification. Il n’a pas besoin de
comprendre quoi que ce soit à cette communication, à l’exception du résultat final (le succès
ou échec de l’authentification) qui le décidera à ouvrir la porte du réseau ou à la laisser fermer.
S’il l’ouvre, l’ensemble des trafics du client vers le réseau passera par lui. Dans le cadre du
WiFi, lorsque le 802.1x est utilisé, chaque AP est un contrôleur d’accès (Figure 2.3).

25
Jean-François P., Jean-Philippe B., Op.cit., p. 165.
 P a g e | 30

Figure II.4. Vue d’ensemble du protocole EAP.

Lors de l’authentification EAP, le contrôleur d’accès n’est qu’un simple

intermédiaire entre l’utilisateur et le serveur. Dès que l’utilisateur est bien authentifié par le
serveur, le contrôleur d’accès le laisse passer vers le réseau.

Un exemple de configuration. Pour illustrer l’architecture EAP, voici un exemple

de configuration possible dans un contexte WiFi (Figure 2.4.) :

Le client possède un logiciel de connexion fourni avec son adaptateur WiFi. Ce

logiciel est compatible avec le 802.1x (donc avec l’EAP) et supporte deux méthodes
d’authentification : PEAP/MS-CHAP-v2 et EAP/TLS.

Le contrôleur d’accès est un AP compatible 802.1x : il n’a pas besoin de connaître

PEAP/MS-CHAP-v2, EAP/TLS ou toute autre méthode d’authentification particulière. Il est
toutefois capable de relayer des requêtes EAP vers le client (via la connexion WiFi) et vers le
serveur d’authentification (via le réseau de l’entreprise).

Le serveur d’authentification est un serveur RADIUS compatible avec EAP. Il gère

les méthodes d’authentification EAP/TLS et TTLS/PAP. Le serveur demandera au client de
s’identifier selon une méthode. Si le client ne la gère pas, le serveur en suggérera une autre et
ainsi de suite jusqu’à ce que le client en accepte une. Dans cet exemple, ils tomberont d’accord
sur la méthode d’identification EAP/TLS.

Figure II.5. Un exemple de configuration EAP

 P a g e | 31

 Le logiciel client

Le logiciel de connexion du client (appelé le « client EAP ») peut être fourni avec
l’adaptateur WiFi. Le Tableau 2.1 donne les différents types de logiciels clients, les systèmes
d’exploitation et les principales méthodes EAP gérées :

Tableau 2. Le logiciel client

 Le serveur d’authentification

Dans notre exemple, nous avons choisi un serveur de type RADIUS, car il s’agit de
la solution presque universelle utilisée avec EAP.

Lorsque l’on met en place une architecture 802.1x, le serveur d’authentification est
généralement un serveur de type RADIUS.

 Le contrôleur d’accès

Il y a bien peu de choses à dire au sujet du contrôleur d’accès, du point de vue de

l’identification EAP : il ne sert que d’intermédiaire, et ouvre ou ferme la porte du réseau. En
WiFi, il faut juste s’assurer que chaque AP gère le 802.1x et que celui-ci soit activé.

2.2.2.2. L’EAP et le 802.1x26

Le protocole EAP ne se soucie pas de savoir comment les paquets sont acheminés
entre le client, le contrôleur d’accès et le serveur d’authentification, de sorte qu’il est possible
d’utiliser EAP à l’intérieur d’un lien PPP, sur TCP/IP, UDP/IP, ou encore directement dans des
paquets WiFi. La seule présupposition est qu’il existe un lien de communication entre le client
et le contrôleur d’accès et un lien sécurisé (peu importe comment) entre le contrôleur d’accès
et le serveur d’authentification.

Puisque dans le cadre du WiFi le contrôleur d’accès est un AP, le lien entre le client
et l’AP est bien sûr un lien WiFi. Les paquets EAP sont donc encapsulés dans des paquets WiFi.
Plus précisément, une version légèrement améliorée d’EAP est utilisée : EAP over LAN (EAP
sur LAN), notée EAPoL. Ce protocole a été défini par le standard 802.1x pour permettre
l’utilisation d’EAP dans un contexte où le client et le contrôleur d’accès communiquent via un

26
Aurélien Géron, Op.cit., p. 251.
 P a g e | 32

réseau local (LAN). C’est bien le cas en WiFi. En outre, le 802.1x définit quelques nouveaux
types de messages :

 EAPoL-Start : permet au client de prévenir le contrôleur d’accès qu’il souhaite se

connecter ;
 EAPoL-Packet : ce sont ces paquets qui encapsulent les paquets EAP ;
 EAPoL-Key : permet l’échange de clés de cryptage ;
 EAPoL-Logoff : permet au client de demander la fermeture de sa session ;
 EAPoL-Encapsulated-ASF-Alert : permet aux clients dont l’authentification a échoué
de pouvoir tout de même être supervisés à distance (par exemple, par SNMP). Ceci peut
poser des problèmes de sécurité, donc le WPA et le WPA2 n’utilisent pas ce type de
messages EAPoL.

Pour résumer : le 802.1x définit le protocole EAPoL qui permet de transporter les
paquets EAP sur un LAN. Il définit en outre quelques autres types de paquets bien utiles. Nous
verrons en particulier que les paquets EAPoL-Key sont essentiels pour le WPA Enterprise et
leWPA2 Enterprise.

2.2.2.3. La sécurité d’EAP

 Les failles

Le protocole EAP possède quelques failles bien identifiées. En faisant attention, il

est heureusement possible de toutes les éviter. Voici les trois failles principales :

 Un pirate peut essayer d’attaquer la méthode d’authentification EAP choisie

(EAP/MD5 par exemple) elle a ses propres failles ;
 Un pirate peut attendre que la session soit établie et ensuite attaquer cette session
: en effet, le protocole EAP ne dit rien sur la façon de protéger la connexion au
réseau, une fois qu’elle est établie ;
 Un pirate peut s’intercaler entre le client et le contrôleur d’accès (attaque de type
MiM) et être ainsi authentifié à la place du client.

2.2.3. L’authentification27

Aspects de base de la sécurité des réseaux :

Définition de l’Authentification : il s’agit de la vérification de l’identité d’un utilisateur.

 L’identification : la reconnaissance de l’identité ;

 L’authentification par mot de passe ;
 L’authentification avec support physique : carte à puce, elle propose une capacité
mémoire et peut ainsi contenir des mots de passe, voire le certificat d’identité de son
professeur
 L’authentification par caractéristique humaine : empreinte digitale est une
caractéristique biométrique. Elle permet de vérifier directement l’identité de la personne
et ne nécessite pas le secret complémentaire, code PIN ou mot de passe

27
Jean-François P., Jean-Philippe B., Op.cit. pp. 161-164.
 P a g e | 33

Passons en revue les quatre principales méthodes d’authentification par mot de

passe prévues par le PPP :

PAP : Le Password Authentication Protocol (PAP), Il s’agit sans doute du plus

simple des mécanismes d’authentification : le client envoie son mot de passe, en clair, c’est-à-
dire non crypté! Dans la pratique, le PAP est si peu sûr qu’il n’est utilisé que lorsqu’un autre
mécanisme permet d’assurer la sécurité de l’échange.

CHAP : Le protocole Challenge Handshake Authentication Protocol (CHAP), Le

serveur commence par envoyer un « défi » au client, ainsi qu’un compteur qu’il incrémente à
chaque fois qu’il lance un défi. Le client doit alors passer le compteur, son mot de passe et le
défi au travers d’un algorithme de hachage, habituellement l’algorithme MD52. Le résultat est
une séquence de bits pseudo-aléatoires qu’on appelle le « hash» (de 16 octets dans le cas de
MD5). Ce hash est envoyé au serveur, qui peut alors effectuer le même calcul et vérifier si son
résultat concorde avec celui du client. Cet algorithme permet d’éviter que le mot de passe ne
soit transféré et évite également qu’un pirate ne répète simplement une authentification réussie
qu’il aurait enregistrée auparavant, puisque le défi change à chaque authentification. Il ne
permet cependant pas au client de s’assurer de l’identité du serveur.

MSCHAP : Ce protocole, souvent appelé MS-CHAP-v1, Il s’agit d’une variante

de CHAP, destinée à en améliorer la sécurité. L’un des problèmes de CHAP est le fait qu’il soit
nécessaire de stocker le mot de passe en clair sur le serveur1 : sinon, impossible de calculer le
hash et de vérifier l’identité du client. Toute personne ayant accès à la base de données des
utilisateurs peut donc voir les mots de passe de tout le monde ! Pour éviter cela, MS-CHAP
spécifie que le serveur doit stocker non pas le mot de passe, mais le résultat d’un hash sur ce
mot de passe (selon un algorithme propriétaire de Microsoft). Lorsque l’utilisateur saisit son
mot de passe, celui-ci doit d’abord être passé au travers du même algorithme de hash avant de
suivre la procédure habituelle de CHAP. Malheureusement, MS-CHAP comporte des failles de
sécurité (dues en particulier au hash propriétaire de Microsoft) qui l’ont a rendu rapidement
obsolète : seuls quelques vieux systèmes Windows 95/98 l’utilisent encore.

MSCHAPv2 : Suite à la découverte des failles de sécurité dans MS-CHAP,

Microsoft a réagi en concevant cette version 2, définie dans la RFC 2759. Nettement plus
robuste, ce protocole fournit notamment un mécanisme d’authentification mutuelle : le serveur
s’assure de l’identité du client et vice versa, ce qui n’est pas le cas avec les méthodes
d’authentification précédentes. Le MS-CHAP-v2 est largement utilisé dans les réseaux
Windows, depuis la version Windows 2000.

Les limites de ces méthodes, tout cela fonctionne donc très bien. Malheureusement,
la méthode PAP n’est pas sécurisée et les méthodes CHAP, MS-CHAP et MS-CHAP-v2 sont
toutes vulnérables face à des attaques hors-ligne de type dictionnaire : si un pirate peut
enregistrer les échanges lors de l’authentification d’un utilisateur légitime, alors hors-ligne
(c’est-à-dire chez lui, déconnecté du réseau), il peut essayer de reproduire le même dialogue en
essayant des milliers de mots de passe. Il suffit qu’un seul utilisateur légitime ait un mot de
passe faible pour que le pirate puisse entrer sur le réseau.

2.2.4. Une bonne sécurité avec le 802.1x

La sécurité du 802.1x peut être compromise de trois façons différentes : en attaquant

la méthode EAP utilisée, en détournant une session après sa création ou encore en s’interposant
 P a g e | 34

entre le client et le serveur d’authentification. Pour éviter toutes ces attaques, nous avons vu
qu’il fallait :

 Utiliser une des méthodes à base de tunnel : EAP/TLS, TTLS ou PEAP (voire
EAP/FAST);
 S’assurer que le certificat du serveur soit toujours vérifié par les clients et qu’aucun
utilisateur ne se connecte si le certificat est mauvais ;
 Eventuellement mettre en place un certificat pour chaque poste client ;
 Utiliser si possible une méthode interne assez forte, telle qu’une carte à jeton ;
 S’assurer qu’un cryptage puissant soit mis en place au cours de l’identification : le WPA
et le WPA2 sont d’excellentes options.

Pour mettre en place une architecture 802.1x avec le WiFi, il faut choisir et installer
un serveur d’authentification (en général de type RADIUS), et s’assurer que tous les AP gèrent
bien le 802.1x. Il faut également choisir et installer un logiciel de connexion compatible 802.1x
sur le poste de chaque utilisateur. Ce logiciel peut être fourni avec l’adaptateur WiFi ou
directement intégré dans le système d’exploitation : c’est le cas avec les versions récentes de
Windows et de Mac OS. Il reste ensuite à choisir une ou plusieurs méthodes d’authentification
EAP, s’assurer que le serveur RADIUS les gère et que les logiciels de connexion des clients
soient bien compatibles avec au moins l’une de ces méthodes.

Ainsi, voici en résumé le fonctionnement global d'un réseau sécurisé avec le

standard 802.1x :

 Le contrôleur d'accès, ayant préalablement reçu une demande de connexion de la part

de l'utilisateur, envoie une requête d'identification ;
 L'utilisateur envoie une réponse au contrôleur d'accès, qui la fait suivre au serveur
d'authentification ;
 Le serveur d'authentification envoie un « challenge » au contrôleur d'accès, qui le
transmet à l'utilisateur. Le challenge est une méthode d'identification. Si le client ne gère
pas la méthode, le serveur en propose une autre et ainsi de suite ;
 L'utilisateur répond au challenge. Si l'identité de l'utilisateur est correcte, le serveur
d'authentification envoie un accord au contrôleur d'accès, qui acceptera l'utilisateur sur
le réseau ou à une partie du réseau, selon ses droits. Si l'identité de l'utilisateur n'a pas
pu être vérifiée, le serveur d'authentification envoie un refus et le contrôleur d'accès
refusera à l'utilisateur d'accéder au réseau.

2.3. Le serveur RADIUS

Les serveurs RADIUS, qui servent avant tout à identifier les utilisateurs d’un
service. Ce protocole ne fait pas partie de la norme 802.11 et il peut être utilisé dans bien
d’autres contextes que les réseaux sans fil. Cependant, il est tout à fait central lorsque l’on met
en œuvre une architecture 802.1x, ce qui est généralement le cas dans un réseau WiFi
d’entreprise protégé par les nouvelles solutions de sécurité, le WPA ou le WPA2.

En d’autres termes, sa fonction première est de centraliser l’authentification des

utilisateurs qui cherchent à se connecter à un réseau ou à un service quelconque28.

28
Aurélien Géron, Op.cit., p. 308.
 P a g e | 35

2.3.1. Les fonctions du serveur RADIUS

2.3.1.1 L’authentification

Le serveur d'authentification (appelé parfois NAS, pour Network Authentification

Service, littéralement : Service d'authentification réseau, voire Network Access Service, pour
Serveur d'accès réseau) permet de valider l'identité de l'utilisateur, transmis par le contrôleur
réseau, et de lui renvoyer les droits associés en fonction des informations d'identification
fournies. De plus, un tel serveur permet de stocker et de comptabiliser des informations
concernant les utilisateurs afin, par exemple, de pouvoir les facturer à la durée ou au volume
(dans le cas d'un fournisseur d'accès par exemple).

La plupart du temps le serveur d'authentification est un serveur RADIUS (Remote

Authentication Dial In User Service), un serveur d'authentification standard défini par les RFC
2865 et 2866, mais tout autre service d'authentification peut être utilisé.

2.3.1.2 L’autorisation

Le rôle du protocole RADIUS ne s’arrête pas à la simple authentification. En effet,

lorsque le serveur informe le NAS que l’utilisateur est bien authentifié, il peut en profiter pour
fournir au NAS toutes sortes de paramètres (on parle plutôt « d’attributs ») utiles pour
configurer la connexion de cet utilisateur. Par exemple, il peut indiquer au NAS que cet
utilisateur ne doit pas accéder à telle ou telle partie du réseau, qu’il doit être déconnecté au bout
de 30 minutes ou encore qu’il faut lui couper sa connexion s’il télécharge plus de 200 Mo.

Le serveur RADIUS peut finement gérer les autorisations des utilisateurs, en

transmettant au NAS des attributs variés. Pour cela, il suffit de configurer le serveur RADIUS
en précisant les attributs à renvoyer pour chaque utilisateur ou groupe d’utilisateurs.

2.3.1.3 La comptabilisation

Au début de la session, la troisième et dernière fonction d’un serveur RADIUS,

définie dans la RFC 2866, est de comptabiliser les connexions des utilisateurs. Voici comment
cela fonctionne : dès qu’un NAS a reçu du serveur la confirmation de l’authentification d’un
utilisateur (accompagnée d’attributs d’autorisation), il envoie une requête au serveur indiquant
le début de la session de l’utilisateur. Cette requête comporte de nombreuses informations
concernant la session et notamment :

 L’identifiant de session (Acct-Session-Id) ;

 L’identifiant de l’utilisateur (User-Name) ;
 L’identifiant du NAS (NAS-Identifier) ;
 L’adresse (MAC, en général) de l’utilisateur (Calling-Station-Id) ;
 L’adresse du NAS (Called-Station-Id). Le serveur enregistre cette information (ainsi
que l’heure exacte).

A la fin de la session, Lorsque l’utilisateur met fin à sa session, ou que le NAS le

déconnecte (ou encore si la connexion est coupée), le NAS envoie une requête au serveur
 P a g e | 36

RADIUS afin de lui indiquer que la session est terminée. Cette requête comporte à nouveau de
nombreuses informations au sujet de la session, parmi lesquelles on trouve en général29 :

 La durée totale de la session, en secondes (Acct-Session-Time) ;

 Le volume total de données téléchargées pendant la session, en nombre d’octets (Acct-
Input-Octets) ou en nombre de paquets (Acct-Input-Packets) ;
 Le volume total de données envoyées pendant la session, en nombre d’octets (Acct-
Output-Octets) ou en nombre de paquets (Acct-Output-Packets) ;
 La cause de la fin de la session (Acct-Terminate-Cause), par exemple la demande de
l’utilisateur (User Request), la perte du signal (Lost Carrier), la fin de la session (Session
Timeout) ou encore une inactivité trop longue (Idle Timeout) ;
 Plus tous les attributs précédents : Acct-Session-Id, User-Name, NAS-Identifier,
Calling-Station-Id, Called-Station-Id...

Figure II.6. La comptabilisation des connexions.

2.3.2. Fonctionnement du protocole RADIUS

Le protocole RADIUS (Remote Authentication Dial In User Service) décrit un

principe d’authentification très général : un individu souhaite accéder à un service en réseau
pour lequel il lui faut s’authentifier ; pour ce faire il va envoyer ses données d’authentification
(couple identifiant-mot de passe, ou certificat électronique, par exemple) à un serveur RADIUS,
qui lui-même établira une transaction avec le véritable serveur d’authentification (annuaire
électronique, ou système de mot de passe d’un serveur Unix...). Le protocole RADIUS permet
ainsi d’utiliser des systèmes d’authentification préexistants pour de nouvelles applications en
réseau, sans avoir à modifier ni le serveur ni l’application30. La Figure 2.6 présente
l’architecture du serveur RADIUS :

Figure II.7. L’architecture RADIUS

29
Ibid., p. 311-313.
30
Laurent B. et Christophe W., Op.cit., p. 162.
 P a g e | 37

Un utilisateur souhaite accéder à un réseau et pour cela il se connecte à un

équipement qui contrôle son accès : cet équipement s’appelle le Network Access Server (NAS),
c’est-à-dire le « serveur d’accès au réseau ». Attention : dans le contexte du protocole RADIUS,
le NAS est souvent appelé le « client », ce qui peut réellement prêter à confusion. Lorsque vous
configurez un serveur RADIUS, faites attention à ne pas confondre client et utilisateur.

L’utilisateur fournit son identité au NAS, d’une manière ou d’une autre : le

protocole utilisé pour cela n’est pas spécifié par RADIUS ; cela peut être n’importe quel
protocole.

En utilisant le protocole RADIUS, le NAS communique alors avec le serveur1 afin

de valider l’identité de l’utilisateur. Si le serveur RADIUS authentifie bien l’utilisateur, il en
informe le NAS et celui-ci laisse désormais l’utilisateur accéder au réseau.

2.3.3. Le 802.1x et le RADIUS

Le protocole 802.1x décrit la même architecture que le RADIUS : un utilisateur, un

contrôleur d’accès (le NAS) et un serveur d’authentification (le serveur RADIUS).

Le 802.1x décrit comment l’utilisateur et le serveur doivent communiquer : avec

des paquets EAP. Il précise également que le client et le contrôleur d’accès doivent être sur un
même réseau local et il impose le protocole EAPoL pour transporter les paquets EAP entre
l’utilisateur et le contrôleur d’accès. En revanche, il laisse le choix du protocole qui sera utilisé
pour transporter les paquets EAP entre le contrôleur d’accès et le serveur d’authentification.

De son côté, le protocole RADIUS décrit la même architecture à trois acteurs.

Cependant, contrairement au 802.1x, il n’impose absolument rien au sujet de la conversation
entre l’utilisateur et le NAS : ils peuvent s’échanger les informations d’authentification en
utilisant le protocole PPP, avec HTTPS ou encore avec EAPoL, cela n’affecte pas le RADIUS.
En revanche, le protocole RADIUS définit précisément comment le NAS et le serveur RADIUS
doivent communiquer : ils doivent utiliser des paquets RADIUS et les échanger grâce au
protocole UDP/IP. Voici comment les deux protocoles fonctionnent ensemble à la Figure 2.7.:

 L’utilisateur et le contrôleur d’accès dialoguent avec le protocole 802.1x, c’est-à-dire

en utilisant le protocole EAPoL ;
 Les paquets EAP que le contrôleur d’accès doit échanger avec le serveur sont véhiculés
au sein de paquets RADIUS, contenant des « attributs EAP » prévus à cet effet ;
 En reposant sur les protocoles EAPoL et RADIUS pour le transport des paquets,
l’utilisateur et le serveur dialoguent selon le protocole EAP.

Figure II.8. Une architecture 802.1x avec un serveur RADIUS

 P a g e | 38

Conclusion partielle

Au cours de ce deuxième chapitre, nous avons défini ce qu’est la sécurité dans un

environnement sans fil, et nous avons présenté les différentes attaques et leurs premières
solutions de sécurité existantes. Nous avons ensuite présenté les différentes solutions proposées
pour sécuriser le WiFi contre ces attaques et nous avons constaté que ces solutions ne proposent
pas simultanément la facilité d’utilisation et la sécurité renforcée.

Nous avons également présenté, la première solution de cryptage avoir été

standardisée, le WEP. Par ses défauts, nous avons bien compris le WPA, ainsi que sa version
améliorée, le WPA2, qui repose sur le cryptage Temporal Key Integrity Protocol (TKIP), la
différence principale entre WPA et WPA2 réside dans l’algorithme de chiffrement (RC4 pour
WPA et AES pour WPA2). Nous avons ensuite parlé du standard 802.1x qui repose sur le
protocole EAP, et qui a comme but d’identifier et d’authentifier les utilisateurs avant de les
laisser rentrer sur le réseau.

Pour finir, nous avons présenté les différentes fonctions et le fonctionnement du

serveur RADIUS : l’authentification des utilisateurs, la définition de leurs autorisations et la
comptabilisation. Le chapitre (troisième) suivant, parlera sur l’analyse de l’existant, dans lequel
nous présenterons l’organisme d’accueil, ses missions, son organisation et structure, son
architecture réseau, sa sécurité et ses services.
 P a g e | 39

Chapitre III. ANALYSE DE L’EXISTANT

3.1. Introduction

L'analyse préalable appelée encore analyse de l'existant ou pré-analyse, c'est la

première étape d'une étude informatique consistant à analyser de manière approfondie tout ce
qui existe au sein du système choisi.

Dans ce chapitre troisième, nous allons faire une analyse de l’existant en présentant
d’une manière brève l’historique de l’organisme d’accueil : ses missions, son organisation et sa
structure. Une étude de l’existant sera présentée dans ce chapitre. Ensuite, nous ferons une
critique de l’existant et spécification de quelques besoins. Enfin, viendra une conclusion
partielle de ce troisième chapitre.

3.1.1. Présentation de l’organisme d’accueil

Notre champ d’investigation est l’Université Notre Dame du Kasayi, elle est
aujourd’hui à ses 23ème années d’existence. En effet, l’U.KA a été fondée par le décret épiscopal
du 21 juillet 1996 signé par les huit Evêques de l’Assemblée Episcopale provinciale de
Kananga (ASSEPKA) sur la demande expresse de la centaine de l’Evangélisation de Kasaï
Makulu.

Elle est une institution d’Enseignement Supérieur et de recherche scientifique au

service de la population du Kasaï, de la RDC et de l’Afrique. L’UKA a été reconnu par l’Etat
Congolais comme une Université et prise en charge de son personnel par le trésor publique par
Arrêté Ministériel n°/MINESU/J/2004 du 28 octobre 2004 portant prise en charge par l’Etat
congolais.

L’Université Notre Dame du Kasayi est aujourd’hui membre de la Fédération

Internationale des Universités Catholiques, etc. Actuellement, l’U.KA dans son campus de
Kananga compte cinq facultés, notamment : la Médecine, l’Informatique, le Droit, l’Economie
et l’Architecture.

3.1.2. Missions31

A la lumière de ces principes, la mission de l’UKA s’avère être :

 La formation d’un nouveau type d’homme et de femme intellectuellement et

moralement équilibrés, toujours attentifs aux multiples besoins du Kasayi et du
pays, et animés du souci permanent de l’amélioration du niveau de la vie de la
population ;
 La promotion de la recherche scientifique. Les sciences et les techniques à enseigner
à l’U.KA. n’auront pas en elle-même leur finalité, parce que destinées à se transformer
en pratique effective pour le service de la population.
 Un effort d’inculturation et d’indigénisation, c’est-à-dire d’enracinement dans la
culture locale. Universelle par vocation, l’U.KA se doit cependant se revêtir des
couleurs locales.

31
U.KA, Programme de cours, Ed. Universitaires du Kasayi, Kananga/Kasaï central
(R.D.Congo), 2015-2016, p.14.
 P a g e | 40

 La quête de l’excellence. L’U.KA opte pour l’excellence dans l’accomplissement de

sa mission.

3.1.3. Organisation et structure

L’université Notre Dame du Kasayi, Campus de Kananga se trouve en République

Démocratique du Congo, au Kasaï Central, dans la ville de Kananga, commune de Lukonga et
localité de Kambote.

Elle est limitée :

 Au nord par la localité Luntu de Kambote ;

 Au sud par le quartier Tshisambi, localité Bikuku ;
 A l’Est par la paroisse catholique YESU MWANA de Kambote ;
 A l’Ouest par la localité Appolo et le village Kanyuka.

Dans sa structure actuelle, la gestion de l’U.KA est comprise dans l’organigramme

suivant : le conseil d’administration et la conférence épiscopale ; les autorités académiques
regroupant le comité de gestion, le recteur, le secrétaire général académique, le secrétaire
administratif et l’administrateur du budget ; les autorités facultaires, parmi lesquelles nous
avons les doyens et les vice-doyens, vice doyen chargé de l’enseignement, vice doyen chargé
de la recherche pour chacune des facultés.

Actuellement, l’U.KA dispose de cinq facultés, qui fonctionnent sur le campus de

Kambote : la faculté de Médecine créée en 1996 ; la faculté de Sciences Informatiques créée en
2004 ; la faculté de Droit créée en 2006, la faculté de Sciences économiques et d’administration
des affaires créée en 2012 ; et la faculté d’Architecture créée en 2014.

3.2. Etude de l’existant

En ce qui nous concerne, nous nous intéresserons au réseau sans fil du Cyber de
l’U.KA pour la mise en place d’une politique d’accès à ce réseau. En général, l’U.KA possède
dans son sein un laboratoire informatique pour les travaux pratiques et un Cyber pour les
recherches scientifiques de toute la communauté de l’U.KA. Sur ce, nous mènerons notre étude
pour arriver à exploiter les avantages de la norme 802.1x en remédiant à certaines difficultés
que le réseau sans fil de l’U.KA rencontre.

3.2.1. Architecture réseau

Nous avons constaté que l’U.KA ne possède pas un intranet dans sa structure, mais
nous n’avons trouvé que la connexion internet permanente de deux tranches, c’est-à-dire, au
bâtiment administratif pour les personnels et un cyber pour les enseignants, étudiants et ceux
qui ne sont pas de l’U.KA.

Dans notre audit sur l’architecture réseau du cyber, nous avons pu voir son
architecture qui est une structure plane comportant un routeur et deux Switchs en cascade dont
ils sont non administrables.

3.2.2. Matériels

Après l’inventaire fait aux différentes entités de l’U.KA, nous avons eu les résultats
suivants :
 P a g e | 41

Le cyber de l’U.KA a été créé dans le but de servir toute la communauté de l’U.KA
et aux visiteurs ; de mener leurs recherches scientifiques. Il est composé des ETCD
(Equipement Terminal de Circuit de Données) pour les équipements réseaux et des ETTD
(Equipement Terminal de Traitement de Données) pour les utilisateurs.

 ETCD : Un routeur PlaNet (sans fils et filaire), un modem, deux switch (D-Link et TP-
Link), et une petite antenne que le MICROCOM a placé afin de leur fournir l’accès à
l’Internet et un récepteur qui reçoit le signal de l’antenne pour l’acheminer au routeur.
 ETTD : Ordinateurs PC, qui sont de machines clientes et servent à se connecter à
l’Internet. Ils sont équipés d’un système d’exploitation Windows 10 de 32 et 64 bits,
d’une mémoire RAM de 2Gb et 4Gb, et une imprimante.

Le laboratoire informatique a pour rôle d’aider aux étudiants d’effectuer leurs

travaux pratiques. Il n’a que les ETTD qui travaillent indépendamment, isolés du cyber.

3.2.3. Sécurité

En observant le cyber, aucune politique de sécurité n’est mise en place, mais nous
avons pu remarquer que la politique de sécurité de l’accès à l’Internet était faible. Pour le
laboratoire, aucune solution de centralisation de matériels et de ressources pour une bonne
administration de ce laboratoire informatique n’est mise en place.

Examinant le réseau sans fil du cyber, l’accès est sécurisé avec le SSID. Pour avoir
accès à Internet, ce cyber à un contrôleur de domaine qui gère tous les utilisateurs du réseau.
En raison d’exploitation de la connexion Internet non autorisée, l’accès des utilisateurs non
reconnus est difficile.

3.2.4. Services

Le réseau de l’U.KA offre des services de base, pour le laboratoire informatique,

nous y avons trouvé la maintenance de matériels et la préparation de travaux pratiques. Le cyber
de l’U.KA offre la connexion Internet pour des recherches scientifiques, il a quelques services
bureautiques entre autres : l’impression des cartes d’étudiants, la saisie et l’impression de
travaux des étudiants et le site web, mais qui n’est pas en local.

3.3. Critique de l’existant

Après avoir fait l’étude de l’existant, les contraintes suivantes ont été signalées :

 Manque des outils de collaboration entre les enseignants et les étudiants ;

 Pas de stratégie gestion des travaux pratiques ;
 Pas de plate-forme d’exécution d’applications ;
 Manque d’espace de données ;
 Un travail manuel pénible ;
 Le taux d’utilisation de la connexion Internet faible ;
 Pas de gestion de stratégie d’accès ;
 Pas de service FTP
 Pas de politique de sécurité fiable.
 P a g e | 42

3.4. Spécification des besoins

Dans ce point, nous allons spécifier les besoins fonctionnels, ainsi que les besoins
en sécurité de notre sujet. Nous allons répondre aux questions suivantes :

 Quels sont les services que doit fournir notre standard 802.1x ?
 Comment avoir un niveau de sécurité élevé pour ce réseau ?

3.4.1. Besoins en services

Pour répondre à la question : « Quels services doit fournir notre standard 802.1x ? »,
nous avons eu recourir à certaines difficultés rencontrées, qui se présente par les enseignant, les
étudiants, et les personnels de l’U.KA. Les services produits de cette enquête sont que voici :

 Service ADCS;
 Service NPS ;
 Service WEB IIS.

3.4.2. Besoins en sécurité

La sécurité informatique étant déjà définie au chapitre deuxième à la première page,

nous allons identifier avec des explications brèves, les exigences fondamentales en sécurité
informatique (d’où la notion d’ACID):

 Authentification : l’identification des utilisateurs est fondamentale pour gérer les accès
aux espaces de travail pertinents et maintenir la confiance dans les relations d’échange ;
 Confidentialité : l’accès aux données (et d’une façon générale aux ressources gérées
par le système) doit être réservé aux personnes autorisées. Cela suppose un mécanisme
d’identification des utilisateurs, la définition de règles d’accès, et la protection des
données pendant leur transport, par le biais d’un cryptage ;
 Intégrité : les données ne doivent pas être modifiées ou perdues. Il faut en particulier
pouvoir s’assurer que ce qui est reçu correspond bien à ce qui a été envoyé ;
 Disponibilité : le réseau doit être accessible en tout temps et dans des conditions
acceptables ;
 La non-répudiation et l’imputation ou traçabilité : aucun utilisateur ne doit pouvoir
contester les opérations qu’il a réalisées dans le cadre de ses actions autorisées, et aucun
tiers ne doit pouvoir s’attribuer les actions d’un autre utilisateur.

3.4.2.1. Les besoins en sécurité sont de deux sources

Besoins exprimés par le centre informatique :

 Gestion d’accès centralisé ;

 Sécurisation du réseau sans fil ;
 Création de profils des utilisateurs ;
 Protection de données critiques.

Besoin résultant de notre étude :

 Créer une politique de sécurité.

 P a g e | 43

Conclusion partielle

Ce chapitre a fait l’objet de présentation de notre structure d’accueil : son

historique, ses missions, son organisation et structure. Nous avons étudié réseau existant en
présentant les différents matériels ETTD et ETCD utilisés dans cette structure. Nous avons
ensuite spécifié les différents besoins de cette structure afin d’arriver à mettre en place cette
dernière.

Apres avoir fait l’étude de cette structure, le chapitre suivant parlera du

déploiement et installation de la solution retenue.
 P a g e | 44

Chapitre IV. DEPLOIEMENT ET INSTALLATION

4.1. Introduction

4.1.1. Présentation de la solution globale.

Dans ce chapitre, nous allons mettre en place une borne Wi -fi de la marque
Cisco avec un SSID (Service Set Identifier) « UKA » en utilisant l’authentification
802.1X. Nous allons procéder à une authentification sans clef WPA, WPE.
L’authentification va se faire à l’aide d’un serveur NPS (Network Policy Server) installé
sur une machine Windows 2012 R2. Il y aura trois types de connexion :

 La première est les postes Windows intégrés au domaine, l’authentification sera

complétement transparente pour l’utilisateur. Il lui suffira de se connecter au
SSID et il sera automatiquement connecté.
 La seconde est pour les appareils de l’entreprise qui ne sont pas intégrés dan s le
domaine, comme par exemple les appareils sous MacOS, ou Android. Il leur
suffira de rentrer le couple login/Mot de passe d’un compte Active Directory et
il sera connecté au réseau de l’entreprise.
 La dernière est pour les appareils appartenant aux personnes de l’entreprise et qui
souhaitent se connecter à cette borne pour pouvoir accéder à Internet sans utiliser
leurs données mobiles de leur forfait mobile. Il leur suffira de renseigner le login
et mot de passe de leur compte Active Directory et il pou rra accéder à Internet.

4.1.2. Présentation du fonctionnement du standard 802.1X avec le rôle NPS.

Comme évoqué précédemment, nous allons utiliser l’authentification avec le

standard 802.1X, ce standard permet de contrôler l’accès à des équipements. Dans notre
cas, nous allons le faire à l’aide du rôle Windows Serveur « NPS (Network Policy
Server) », ce dernier se base sur le protocole Radius (Remote Authentitication Dial-In
User Service), ce protocole permet de faire la liaison entre la nécessité d’identi fication
et une base de données Active Directory, d’utilisateurs principalement.

Dans notre cas, nôtre serveur Radius sera entre notre borne et le réseau de
l’entreprise. L’utilisateur qui souhaitera se connecter, lancera une connexion à la borne,
la borne interrogera le serveur NPS pour savoir si l’utilisateur est autorisé. Le serveur
regardera dans ces différentes stratégies pour voir les groupes autorisés, puis demandera
à son contrôleur de domaine si l’utilisateur est membre de ce groupe. En cas de répo nse
positive, le serveur NPS retourne une autorisation à la borne, qui à son tour l’enverra à
l’utilisateur et l’appareil qu’il souhaite connecter.
 P a g e | 45

4.2. La conception

4.1.1. Conception physique

Figure IV.1. Conception physique de la solution

4.1.2. Conception logique

Le diagramme ci-dessous illustre la conception de la solution choisie

(authentification EAP-TLS 802.1X).

Figure IV.2. Concept de solution basé sur l'authentification EAP-TLS 802.1X

Ce diagramme décrit quatre composants principaux :

 P a g e | 46

Le client sans fil. Il s'agit d'un ordinateur ou d'un périphérique exécutant une application qui
doit accéder à des ressources du réseau. Ce client est capable non seulement de crypter son
trafic réseau, mais aussi de stocker et d'échanger des informations d'identité (clés ou mots de
passe).
Le point d'accès sans fil. Dans la terminologie réseau, on parle également de service d'accès
au réseau. Ce point d'accès sans fil gère l'accès au réseau et crypte le trafic sans fil. Il permet
d'échanger en toute sécurité des clés de cryptage avec le client, afin de sécuriser le trafic du
réseau. Enfin, il peut interroger un service d'authentification et d'autorisation pour autoriser
ou refuser l'accès au réseau.
Le service NAAS (Network Authentication and Authorization Service). Ce service
stocke et vérifie l'identité des utilisateurs habilités, et gère les accès conformément à la
stratégie de contrôle d'accès définie. Il peut également collecter des informations de
comptabilité et d'audit sur l'accès du client au réseau.
Remarque : NAAS n'est pas un acronyme officiel, il n'est utilisé dans ce travail que pour
des raisons de commodité.
Le réseau interne. Il s'agit d'une zone sécurisée de services réseau, à laquelle l'application
cliente sans fil doit avoir accès.

Les numéros indiqués sur le diagramme illustrent le processus d'accès au réseau

que les étapes suivantes décrivent plus en détail :

1. Le client sans fil doit, à un moment donné, être authentifié par une autorité centrale
pour se connecter au réseau sans fil.
2. Lorsque le client demande à accéder au réseau, il transmet ses informations
d'identité (ou, plus précisément, la preuve qu'il détient ces informations d'identité)
au point d'accès sans fil qui, à son tour, les renvoie au NAAS pour demander
l'autorisation.
3. Le NAAS vérifie les informations d'identité, consulte sa stratégie d'accès et autorise
ou refuse l'accès au client.
4. S'il est reconnu, le client est autorisé à accéder au réseau et échange les clés de
cryptage avec le point d'accès sans fil. En fait, les clés sont générées par le service
NAAS et transmises au point d'accès sans fil via un canal sécurisé. Si le client n'est
pas reconnu par le service NAAS, il n'est pas autorisé à accéder au réseau et la
communication s'interrompt.
5. Grâce aux clés de cryptage, le client et le point d'accès sans fil établissent une
connexion sans fil sécurisée, ce qui permet au client et au réseau interne de
communiquer.
6. Le client commence à communiquer avec des périphériques du réseau interne.

Le diagramme ci-dessous illustre ce processus en détail.

 P a g e | 47

Figure IV.3. Vue détaillée du processus d'accès EAP-TLS 802.1X

4.1.3. Composants logiciels et matériels nécessaires

Comme matériel et logiciels, on aura besoin :

4.1.3.1 Composants logiciels

 Superviseur VMware Workstation11: La virtualisation est un mécanisme

informatique qui consiste à faire fonctionner plusieurs systèmes, serveurs ou
applications, sur un même serveur physique32.
 Un système d'exploitation serveur : Windows 2012 Server R2 Datacenter. Nous
l'avons choisi car il inclut la gestion des certificats, il dispose d'un serveur RADIUS
intégré sous le nom d'IAS (Internet Authentication Service) pouvant gérer un nombre
infini de clients RADIUS; les couples login/mot de passe pourront être gérés avec
l'annuaire Active Directory.
 Un analyseur de réseau sans fil : Airmagnet, est un analyseur de réseaux sans-fil,
compatible 802.11a, b et g, utile au niveau du déploiement et de la maintenance. Il
permet d'évaluer la sécurité d'un réseau sans-fil (déceler les accès pirates,...), analyser
la qualité du signal émis, la puissance, le nombre de paquets erronés ou la quantité de
bande passante disponible (informations de la couche 1 et 2 du protocole 802.11).

4.1.3.2. Composants matériels

 Le serveur. Il devra avoir au moins les caractéristiques suivantes :

32
CT. KASONGO P., cours d’administration sous Windows, L1 réseaux, UKA, 2017-2018,
P.145.
 P a g e | 48

Tableau 3. Configuration matérielle minimale du serveur d'authentification

Ressource Configuration minimale

Processeur Pentium III 850 mégahertz (MHz)

Mémoire vive 512 Mo (méga-octets)

Carte réseau Deux cartes réseau

Disque dur Un disque dur de 30GB

4.2. Installation

4.2.1. Plan d'adressage

Nous n’allons devons pas changer l'adressage IP. Ainsi, notre réseau conserve les
informations suivantes :

 Adresse sous réseau : 192.168.10.0

 Masque du sous réseau : 255.255.255.0
 Adresse du serveur : 192.168.10.2
 Adresses des postes clients : 192.168.10.3 - 192.168.10.255

Par conséquent, notre réseau sans fil s'intégrera facilement dans le réseau filaire
existant et le passage filaire au sans-fil se fera de manière transparente pour les utilisateurs.

4.2.2. Installation des Services

Au préalable le serveur de noms devra être installé. En effet il n'y a pas d'autorité
de certification sans DNS (Domain Name System). Nous ne ferons pas mention ici de la
procédure d'installation du DNS car ce dernier est déjà installé sur le serveur (mais pas encore
utilisé). Notons tout simplement que le domaine se nomme uka.local

L'installation d'une autorité de certificat racine nécessite tout d'abord l'installation

des services IIS (Internet Information Server).

Pour utiliser les services Radius, nous allons utiliser le Service NPS (Network
Policy Server) installé sur notre contrôleur de domaine en Windows 2012 R2. Ce dernier
se nomme SERVER-UKA et à comme IP : 192.168.10.0\24. Pour se faire, nous avons
besoin d’installer le Service NPS, comme dit précédemment, mais aussi le Services de
certificats Active Directory (AD CS) et le Rôle Web Server (IIS).

4.2.2.1. Installation du service NPS

Commençons par nous rendre dans le Gestionnaire de Serveur et de cliquer

en haut à droite sur Gérer, puis Ajouter des rôles et fonctionnalités. Passons la première
fenêtre en cliquant sur Suivant, puis vérifions de sélectionner notre serveur actuel
(SERVER-UKA dans ce cas) et cliquer sur Suivant.

A l’étape Rôles de serveurs, sélectionner Services de stratégie et d’accès

réseau et une fenêtre va s’afficher, sélectionner Ajouter des fonctionnalités. Après nous
 P a g e | 49

retournons sur la fenêtre précédente, cliquer sur Suivant puis Suivant, car nous ne
voulons pas ajouter d’autres fonctionnalités. Arriver sur la fenêtre Service de stratégie
et d’accès réseau, cliquer sur Suivant :

Figure IV.4. Sélection de Services de stratégie et d’accès réseau

Sélectionner seulement Serveur NPS (Network Policy Server) et cliquer sur

Suivant :

Figure IV.5. Sélection du Serveur NPS

Finissons par vérifier les informations, puis cliquer sur Installer. Cliquer sur
Fermer pour la fenêtre suivante. En allant à la page d’accueil (Tuiles), nous pouvons
vérifier que le Service est bien installé :
 P a g e | 50

Figure IV.6. Zone de recherche, page d’accueil (Tuiles) de NPS

IV.2.2.2. Paramétrage du serveur NPS

 Création du certificat

Commencer par ouvrir une console mmc en lançant la fenêtre Exécuter (avec
la combinaison de touches Windows + R) et taper mmc puis entrer. Sélectionner
Fichier> Ajouter/Supprimer un composant logiciel enfichable…

Figure IV.7. Console mmc

Choisissons Modèle de certificats et cliquer sur Ajouter, puis OK.

Figure IV.8. Modèle de certificats

 P a g e | 51

Sélectionner Serveur RAS et IAS, puis cliquer-droit puis Propriétés :

Dans l’onglet Général, sélectionner la période de validité à 2 années,

Figure IV.9. Propriétés du serveur RAS et IAS, onglet général

Dans l’onglet Sécurité, ajouter le serveur ou le rôle NPS est installé, dans
notre cas, sur le même serveur. Mettre Autoriser pour Lecture, Inscrire et Inscription
Automatique :
 P a g e | 52

Figure IV.10. Propriétés du serveur RAS et IAS, onglet sécurité.

Cliquer sur Ok. Sélectionner Serveur RAS et IAS, puis cliquer-droit, puis Dupliquer le
modèle :

Fermer en cliquant sur OK. Lancer l’Autorité de Certification.

Figure IV.11. Zone de recherche, page d’accueil (Tuiles) d’autorisation de certification.

Dans Modèles de certificats, cliquer droit > Nouveau > Modèle de certificat
à délivrer, Sélectionner notre certificat « UKA-WIFI-CERT » et cliquer sur OK. Nous
 P a g e | 53

pouvons voir notre certificat dans la liste des modèles. Cliquer sur Fichier >
Ajouter/Supprimer un composant logiciel enfichable…

Figure IV.12. Clic-droit sur Modèles de certificats

Sélectionner Un compte d’ordinateur :

Figure IV.13. Composant logiciel enfichable certificats

Vérifier que notre serveur UKA-SERVER-CA est bien affiché dans les
Autorités de certification :
 P a g e | 54

Dans Personnel, puis Certificats. Clique-droit > Toutes les tâches>

Demander un nouveau certificat…, Liser et Cliquer sur Suivant. Sélectionner le
certificat UKA-WIFI-CERT et cliquer sur Inscription :

Le certificat s’inscrit, si l’opération est réussie, veuillez cliquer sur Terminer.

A partir de ce moment, notre certificat est inscrit et nous allons pouvoir l’utiliser dans
notre serveur NPS pour que les utilisateurs puissent se connecter en utilisant ce
certificat.

Figure IV.14. Inscription de certificats

4.2.2.3. Configuration du serveur NPS

Lançons le serveur NPS (Network Policy Server), Dans Clients et serveurs

RADIUS, clic-droit sur Client Radius, puis Nouveau :

Figure IV.15. Serveur NPS

Renseigner un nom Convivial, Cisco dans notre cas. Rentrer l’adresse IP,
192.168.10.30 dans notre cas. Puis renseigner le Shared Secret, en mettant comme dans
 P a g e | 55

la borne « UKA-SS » Puis cliquer sur OK. Dans Stratégies puis Stratégie Réseau, clic-
droit puis Nouveau.

Renseigner le nom de la première stratégie, UKA-Workstation puis cliquez

sur Suivant. Cliquer sur Ajouter, puis sélectionner Groupes d’ordinateurs puis Ajouter.
Cliquer sur Ajouter des groupes, Sélectionner UKA-PC-E, notre groupe où les postes
de l’entreprise sont répertoriés.

Nous avons besoin de renseigner seulement ce groupe, cliquer sur Ok. Nous
allons à présent ajouter le groupe pour notre AppleTV. Cliquer à nouveau sur Ajouter,
puis sélectionner Groupes d’utilisateurs puis Ajouter. Puis ajouter le groupe UKA-VIP-
E comme nous avons fait pour UKA-PC-E. Nous pouvons voir nos deux groupes.

Cliquez sur Suivant, Sélectionner Accès accordé, puis Suivant. Nous allons à
présent choisir la méthode d’authentification, dans notre cas, ce sera en PEAP (Protect
EAP). Donc cliquer sur Ajouter. Sélectionner « Microsoft : PEAP (Protect EAP) » :
Sélectionner le certificat créé précédemment et cliquer sur OK :

Figure IV.16. Ajout des protocoles EAP

Cliquez sur Suivant : Nous n’allons pas configurer de contrainte, donc cliquez
sur Suivant. Dans « configurer les paramètres » et l’onglet Attributs RADIUS >
Standard, supprimer les deux attributs Framed-Protocol et Service-type. Puis cliquer
sur Ajouter. Sélectionner Filter-Id, puis cliquez sur Ajouter.

Cliquez sur Ajouter Rentrez 2, puis cliquer sur OK. Ensuite, sélectionner
Tunnel-Medium-Type, cliquer sur Ajouter puis Ajouter et sélectionner 802 (Includes all
802 media plus Ethernet canonical format), puis cliquer sur OK. Sélectionner Tunnel-
Pvt-Group-ID, cliquer sur Ajouter puis Ajouter et rentrer la valeur 2. Sélectionner
Tunnel-Type, cliquer sur Ajouter puis cocher Communément utilisé pour les connexions
802.1x et choisissez Virtual LANs (VLAN). Voici le résumé des paramètres, cliquez
sur Suivant :
 P a g e | 56

Figure IV.17. Le résumé des paramètres

Vous pouvez vérifier le paramétrage puis cliquer sur Termine. Créer une
nouvelle stratégie qui se nommera « UKA-Web » puis cliquer sur Suivant. Cette fois-
ci, sélectionner Groupes d’utilisateurs puis Ajouter. Cliquer sur Ajouter des groupes,
sélectionner UKA-USER-E, notre groupe ou les comptes de l’entreprise sont
répertoriés. Nous avons besoin de renseigner seulement ce groupe, cliquer sur Ok.
Cliquer sur Suivant. Puis sélectionner Accès accordé, puis Suivant.

Comme pour l’autre statégie, nous allons choisir comme méthode

d’authentification : PEAP (Protect EAP). Nous n’allons pas non plus configurer de
contrainte donc cliquez sur Suivant. Dans « configurer les paramètres » et l’onglet
Attributs RADIUS > Standard, supprimer les deux attributs Framed-Protocol et
Service-type. Puis cliquer sur Ajouter. Nous allons ajouter les mêmes attributs en
modifiant les valeurs de 2 par 10. Vous pouvez vérifier le paramétrage puis cliquer sur
Terminer.

4.2.2.2. Installation et paramétrage

Dans l’onglet Général, Renseigner le nom du modèle, UKA-WIFI-CERT

dans notre cas. Laisser la période de validité de 2 années et cocher la case « Publier le
certificat dans Active Directory », Dans l’onglet Sécurité, vérifier que le poste
SERVER-UKA est bien présent avec les bonnes autorisations :

1) Paramétrage de l’autorité de certification

 Installation du rôle Services de certificats Active Directory

Retourner au Gestionnaire de Serveur et de cliquer en haut à droite sur Gérer,

puis Ajouter des rôles et fonctionnalités. Passer la première fenêtre en cliquant sur
Suivant, puis vérifiez de sélectionner votre serveur actuel (SERVER-UKA dans ce cas)
et cliquer sur Suivant. A l’étape Rôles de serveurs, sélectionner Services de certificats
Active Directory. Une fenêtre va s’afficher, sélectionner Ajouter des fonctionnalités.
 P a g e | 57

Figure IV.18. Sélection de services de certificats Active Directory

Nous retournons sur la fenêtre précédente, cliquer sur Suivant puis Suivant,
car nous ne voulons pas ajouter d’autres fonctionnalités. Sélectionner Autorité de
certification et Inscription de l’autorité de certification via le Web et cliquer sur Suivant.

Comme nous avons coché Inscription de l’autorité de certification via le Web

précédemment, le rôle Web Server (IIS) s’est ajouté. A cette fenêtre, cliquer simplement
sur Suivant. Laisser les cases cochées par défaut et cliquer sur Suivant. Vérifier les
informations, puis cliquer sur Installer. Pour finir, appuyer sur Fermer.

Figure IV.19. Installation d’AD CS et du serveur web (IIS) en cours.

2) Paramétrage du rôle Services de certificats Active Directory

Revenons sur le Gestionnaire de Serveur et cliquer sur le point

d’interrogation en haut à droite, puis sur Configurer les services de certificats Active
Director, A la fenêtre Informations d’identification, laisser le compte par défaut et
 P a g e | 58

cliquer sur Suivant ; Laisser cocher les deux rôles sélectionnés plus haut et cliquer sur
Suivant.

Sélectionner le type d’installation en « Autorité de certification d’entreprise

», Spécifier une Autorité de certification racine, ce sera la première. Il est quand même
conseillé d'en installer une secondaire. Laisser Créer une clé privée et cliquer sur
Suivant, Laisser une clé SHA1 d’une longueur de 2048, Modifier le "Nom Commun de
notre AC" à votre convenance mais laisser "Suffixe du nom unique" et "Apercu du nom
unique" par defaut :

Figure IV.20. Sélection de SHA1

Laisser une période de validité de certification de 5 ans pour l’autorité de

certification. Ne rien modifier aux emplacements des bases de données. Vérifier les
informations, puis cliquer sur Configurer. Vérifier que les configurations ont fonctionné
et cliquer sur Fermer :

Figure IV.21. Résultat de la configuration des services de certificats AD

 P a g e | 59

4.3. Configuration d'un client d'accès Wi-Fi sous Windows 7

4.3.1. Installation du certificat auto signé du serveur d'authentification et du certificat

d'un utilisateur

Nous allons devoir récupérer un certificat émis par l'autorité de certification. Tout
d'abord on ouvre une session sous le nom de l'utilisateur qui recevra le certificat sur sa machine.

Puis dans un navigateur, on se connecte sur le serveur de l'autorité de certification:

http:// "nom du serveur "/certsrv. Dans notre cas http://uka.lan/certsrv.

On entre le login et le mot de passe de l'utilisateur «util1-wifi» par exemple dans

la fenêtre de connexion qui surgit.

Figure IV.22. Connexion sur le serveur de l'autorité de certification.

A la page d'accueil, on clique sur Télécharger un certificat d'autorité de

certification, une chaine de certificats ou une liste de révocation de certificats puis sur
Installer cette chaîne de certificats d'autorité de certification.
 P a g e | 60

Figure IV.23. Page d’accueil des certificats

Une fenêtre s'ouvre, on clique sur oui pour confirmer l'installation.

 P a g e | 61

Processus de téléchargement :

Emplacement pour enregistrer notre certificat :

Processus de téléchargement terminé :

 P a g e | 62

Installation du certificat :

Détails du certificat :

Onglet chemin d’accès de certification :

 P a g e | 63

Une fois cliquer sur « installer » cette fenêtre s’affiche, cliquer sur suivant pour
continuer avec le processus d’installation:

L'installation du certificat est maintenant terminée. Nous allons pouvoir passer à la

configuration de la connexion réseau sans-fil :
 P a g e | 64

4.4. Observations et tests

Comme nous l'avons sûrement remarqué, la connexion au réseau Wi-Fi de l’U.KA

s'effectue lors d'une ouverture de session sur le domaine uka.lan.

Ainsi, lorsqu'un utilisateur souhaite accéder au réseau, il devra ouvrir une session
sur le réseau avec son compte du domaine qui lui aura été fourni préalablement par
l'administrateur du réseau. Si tout a été convenablement configuré sur la machine utilisée, la
connexion au réseau se fera de manière transparente. Si la connexion ne fonctionne pas, il
faudra s'adresser au service technique. Ainsi, toutes les machines nécessitant se connecter au
réseau devront automatiquement passer par le service technique pour être configurées et les
utilisateurs aussi afin d'obtenir les informations sur leurs comptes d'accès.

Par défaut, l'adaptateur sans fil du poste client gère les déconnexions après un
certain temps d'inactivité. Bien plus la fermeture de session ou l'extinction du poste client réalise
la déconnexion du réseau. Nous pensons que ceci permettra de renforcer la sécurité de notre
réseau sans fil.

Pour les machines disposant en plus de l'adaptateur Wi-Fi une carte Ethernet, la
configuration IP de cette dernière devra être similaire avec celle de l'adaptateur Wi-Fi afin que
le passage du sans fil au filaire se fasse de manière transparente. Et notons ici que la connexion
au réseau se fera tout naturellement au démarrage de la machine sans passer par une
authentification préalable.

Nous allons maintenant tester si les machines arrivent à communiquer entre elles.
La commande utilisée est PING (Packet INternet Groper), elle sert à vérifier la connectivité IP
à un autre ordinateur en envoyant des messages Requête d'écho ICMP (Internet Control
Message Protocol). Si tout est bien configuré on reçoit des réponses positives signifiant que les
deux machines arrivent à communiquer entre elles. On réalise ce test sur chaque ordinateur du
réseau Wi-Fi.

Maintenant que le réseau sans fil a été installé, nous pensons à l'avenir afin de savoir
ce que nous réserve le temps.
 P a g e | 65

CONCLUSION GENERALE

Notre travail a porté sur le sujet intitulé: « Mise en place d’une politique d’accès à
un réseau sans fil avec l’authentification basée sur la norme 802.1x». (Cas de l’Université
Notre-Dame du Kasayi). Cette œuvre est composée de quatre chapitres. Le Chapitre premier
intitulé « LES RESEAUX SANS FIL» nous a permis de présenter les réseaux sans fil. Enfin,
nous avons également présenté les différentes applications Wi-Fi, le standard IEEE et, les
avantages et inconvénients du Wi-Fi.

Au cours du deuxième chapitre, intitulé « SECURITE DE RESEAU SANS FIL

ET LE STANDARD 802.1x», nous avons défini ce qu’est la sécurité dans un environnement
sans fil. Nous avons fait le tour de différentes attaques et solutions de sécurité existantes. Nous
avons ensuite présenté les différentes solutions proposées pour sécuriser le WiFi contre ces
attaques et nous avons constaté que ces solutions ne proposent pas simultanément facilité
d’utilisation et sécurité renforcée.

Le troisième Chapitre intitulé « ANALYSE DE L’EXISTANT », nous a permis de

réaliser une analyse de l’existant en présentant l’historique de l’organisme d’accueil : ses
missions, son organisation et sa structure. Une étude de l’existant était présentée dans ce
chapitre. Ensuite, nous avons critiqué l’existant et donné la spécification de quelques besoins.

Le quatrième et dernier chapitre intitulé « DEPLOIEMENT ET INSTALLATION

DE LA SOLUTION », nous a permis de mettre en place une borne Wi-fi de la marque Cisco
avec un SSID (Service Set Identifier) « UKA » en utilisant l’authentification 802.1X.
Nous avons procédé à une authentification sans clef WPA, WPE. L’authentification s’est
fait à l’aide d’un serveur NPS (Network Policy Server) installé sur une machine
Windows 2012 R2. Enfin, nous avons mis un terme à ce chapitre avec le test et
l’observation de notre solution.

Enfin, dans ce travail, nous avons présenté et expliqué comment mettre en

place une connexion Wi-Fi sécurisé en utilisant le standard 802.1X. Cette solution
permet une gestion simple et sécurisée de l’accès à un réseau, car bien entendu le
protocole Radius en utilisant un serveur NPS peut aussi gérer l’accès par réseau filaire,
en mettant une politique de filtrage sur des ports d’un switch par exemple. Pour revenir
au cas d’une connexion Wi-fi, il n’est pas possible de cracker la clé WPA2 ou WEP, la
seule manière de se connecter est de posséder un poste de l’entreprise ou de connaitre
le couple login et mot de passe d’une personne autorisée. En outre, la gestion de l’accès
est très simple pour un administrateur réseau, dès que sa politique est faite avec les
groupes Active Directory autorisés. Il lui suffit de rajouter ou supprimer les personnes
membres de ce groupe. Mais aussi pleins d’autres paramètres que je n’ai pas développés
dans ce travail, comme les plages horaires de connexion par exemple. La gestion des
logs de connexion, elle est aussi simplifiée, car il a le login ou le nom et le mot de passe
du poste que la personne a utilisé pour se connecter à cette ressource ou ce site.
 P a g e | 66

BIBLIOGRAPHIE

I. Ouvrages

1. Guy PUJOLLE, Les réseaux, 6ème éd., Eyrolles, Paris, 2008.

2. Lacène Beddiaf, Vidéosurveillance, Principes et technologies, Dunod, Paris, 2008.
3. Guy PIJOLLE, Les Réseaux, 5ème éd. Eyrolles, Paris, 2006.
4. Aurélien Géron, Wifi professionnel. La norme 802.11, le déploiement, la sécurité. 3ème
éd. Dunod, Paris, 2004, 2006, 2009.
5. Philippe ATELIN, WiFi. Réseaux sans fil 802.11 : Technologie – Déploiement,
Sécurisation, Seconde edition, Paris, ENI, 2003.
6. Jean-Luc MONTAGNIER, Réseaux d’entreprise, par la pratique, édition Eyrolles,
Paris, 2008.
7. Danièle DROMARD et Dominique SERET, Architecture des réseaux, Synthèse des
cours & exercices corrigés, Université Pierre et Marie Curie (Paris 6) & Université René
Descartes (Paris 5), 2009.
8. Laurent B. et Christophe W., Sécurité informatique Principes et méthode à l’usage des
DSI, RSSI et administrateurs, Éditions Eyrolles, Paris, 2007.
9. Cédric L., Laurent L., Denis V., Tableaux de bord de la sécurité réseau, 2ème éd.,
Eyrolles, Paris, 2006.
10. Jean-François P., Jean-Philippe B., Tout sur la sécurité informatique, 3ème éd., Dunod,
Paris, 2013.
11. Michael Kofler, Linux Installation, configuration et administration des systèmes Linux,
8ème éd., Le campus, Paris, juillet 2007.
12. U.KA, Programme de cours, Ed. Universitaires du Kasayi, Kananga/Kasaï central
(R.D.Congo), 2015-216.

II. Cours

1. Michée K., cours de sécurité informatique, L1 et L2 Réseaux, U.KA, 2017-2018.

2. Yannick T. et Marcel K., Notes de cours de transmission de données et sécurité
informatique, première Licence Génie Informatique, UNIVERSITE DE MBUJIMAYI,
2016 -2017.
3. KASONGO P., cours d’administration sous Windows, L1 réseaux, UKA, 2017-2018.

III. Webographie
1. https://www.commentcamarche.net/contents/1276-802-1x-eap
 P a g e | 67

TABLE DES MATIERES

EPIGRAPHE ............................................................................................................................... I
DEDICACES ............................................................................................................................ II
REMERCIEMENTS ................................................................................................................ III
LISTES DES ABREVIATIONS .............................................................................................. IV
LISTES DES TABLEAUX ...................................................................................................... VI
LISTE DES FIGURES ............................................................................................................. VI
0. INTRODUCTION GENERALE............................................................................................ 1
0.1. Contexte ....................................................................................................................................... 1
0.2. Présentation du sujet ..................................................................................................................... 2
0.3. Problématique............................................................................................................................... 2
0.4. Hypothèses ................................................................................................................................... 2
0.5. Choix et intérêt du sujet................................................................................................................ 3
0.6. But du travail ................................................................................................................................ 3
0.7. Délimitation du sujet .................................................................................................................... 3
0.8. Méthodes et techniques utilisées .................................................................................................. 3
0.9. Subdivision du travail ................................................................................................................... 3
Chapitre I. LES RESEAUX SANS FIL ............................................................................ 4
1.1. Les réseaux informatiques ............................................................................................................ 4
1.1.1. L’architecture OSI ................................................................................................................. 5
1.1.2. L’architecture TCP/IP ........................................................................................................... 6
1.2. Introduction aux réseaux sans fil .................................................................................................. 7
1.2.1. Historique .............................................................................................................................. 7
1.2.2. Présentation du Wi-Fi (norme 802.11) .................................................................................. 8
1.2.3. Les différentes normes Wi-Fi ................................................................................................ 8
1.2.4. Catégories de Wi-Fi............................................................................................................... 9
1.2.5. Propagation des ondes radios .............................................................................................. 13
1.2.6. Les équipements Wi-Fi........................................................................................................ 14
1.2.7. Modes opératoires ............................................................................................................... 15
1.2.8. Programmation des canaux.................................................................................................. 16
1.2.9. La portée et les débits .......................................................................................................... 16
1.2.10. Les applications du Wifi.................................................................................................... 16
1.2.11. Les standards de l’IEEE .................................................................................................... 17
1.2.12. Les avantages et les inconvénients .................................................................................... 17
Conclusion partielle.................................................................................................................. 19
Chapitre II. LA SECURITE DE RESEAU SANS FIL ET LE STANDARD 802.1X ... 20
 P a g e | 68

2.1. Introduction à la sécurité ............................................................................................................ 20

2.1.1. Définition de la sécurité...................................................................................................... 20
2.1.2. Les attaques d’un réseau...................................................................................................... 21
2.1.3. Les premières solutions ....................................................................................................... 24
2.1.4. Le WPA .............................................................................................................................. 28
2.1.5. Le WPA2 (802.11i) ............................................................................................................ 28
2.2. Le standard 802.1x ..................................................................................................................... 28
2.2.1. Introduction au 802.1x ........................................................................................................ 28
2.2.2. Le protocole EAP ................................................................................................................ 29
2.2.3. L’authentification ................................................................................................................ 32
2.2.4. Une bonne sécurité avec le 802.1x ...................................................................................... 33
2.3. Le serveur RADIUS ................................................................................................................... 34
2.3.1. Les fonctions du serveur RADIUS ...................................................................................... 35
2.3.2. Fonctionnement du protocole RADIUS .............................................................................. 36
2.3.3. Le 802.1x et le RADIUS ..................................................................................................... 37
Conclusion partielle.................................................................................................................. 38
Chapitre III. ANALYSE DE L’EXISTANT .................................................................. 39
3.1. Introduction ................................................................................................................................ 39
3.1.1. Présentation de l’organisme d’accueil ................................................................................. 39
3.1.2. Missions............................................................................................................................... 39
3.1.3. Organisation et structure...................................................................................................... 40
3.2. Etude de l’existant ...................................................................................................................... 40
3.2.1. Architecture réseau .............................................................................................................. 40
3.2.2. Matériels .............................................................................................................................. 40
3.2.3. Sécurité ................................................................................................................................ 41
3.2.4. Services ............................................................................................................................... 41
3.3. Critique de l’existant .................................................................................................................. 41
3.4. Spécification des besoins............................................................................................................ 42
3.4.1. Besoins en services .............................................................................................................. 42
3.4.2. Besoins en sécurité .............................................................................................................. 42
Conclusion partielle.................................................................................................................. 43
Chapitre IV. DEPLOIEMENT ET INSTALLATION ................................................... 44
4.1. Introduction ................................................................................................................................ 44
4.1.1. Présentation de la solution globale. ..................................................................................... 44
4.1.2. Présentation du fonctionnement du standard 802.1X avec le rôle NPS. ............................. 44
4.2. La conception ............................................................................................................................. 45
 P a g e | 69

4.1.1. Conception physique ........................................................................................................... 45

4.1.2. Conception logique.............................................................................................................. 45
4.1.3. Composants logiciels et matériels nécessaires .................................................................... 47
4.2. Installation .................................................................................................................................. 48
4.2.1. Plan d'adressage................................................................................................................... 48
4.2.2. Installation des Services ...................................................................................................... 48
4.3. Configuration d'un client d'accès Wi-Fi sous Windows 7 ......................................................... 59
4.3.1. Installation du certificat auto signé du serveur d'authentification et du certificat d'un
utilisateur ....................................................................................................................................... 59
4.4. Observations et tests ................................................................................................................... 64
CONCLUSION GENERALE .................................................................................................. 65
BIBLIOGRAPHIE ................................................................................................................... 66
TABLE DES MATIERES ....................................................................................................... 67