Lycée André Malraux – Allonnes - ppetleo

Lycée André Malraux – Allonnes
Sécuriser une connexion Internet
SOMMAIRE
I)
Contexte …………………………………………………………………………………………………
4
A) L’entreprise …………………………………………………………………………………………
4
1) En interne : l’Intranet ………………………………………………………………………….
4
2) En externe : Internet …………………………………………………………………………...
4
B) Le service informatique …………………………………………………………………………….
5
1) Le personnel ………………………………………………………………...…………………
5
2) L’architecture réseau …………………………………………………………………………..
5
II) Problématique : sécuriser les connexions à l’Intranet depuis Internet …………………………………
6
A) Présentation de la demande ………………………………………………………………………..
6
B) Contraintes ………………………………………………………………………………………….
8
1) Contraintes techniques ………………………………………………………………………...
8
2) Contraintes organisationnelles………………………….……………………………………...
8
3) Contraintes budgétaires ……………………………………………………………..………...
8
4) Contraintes sociales ………………………………………………………………………........
8
III) Solutions envisagées …………………………………………………………………………….……...
8
A) Solutions possibles pour identifier un serveur ………………………………………………...…...
8
1) Les certificats ………………………………………………………………………….……...
9
a)
Présentation du certificat ………………………………………………..…………...
9
b) Autorité de certification ……………………………………………………………...
9
2) Certificat gratuit ……………………………………………………………………………...
10
3) Certificats payants ……………………………………………………………………….........
10
B) Solutions possibles pour identifier les étudiants et les chercheurs…………………………….…...
10
1) Avec le fichier de configuration d’Apache : httpd.conf ………………………………………
10
2) Avec une page d’identification en php ……………………………………………….……….
10
C) Solutions possibles pour le cryptage et l’intégrité des données ………………………………...….
11
1) Présentation de SSL ……………………………………………………………………….......
11
a)
SSL dans le modèle OSI ………………………………………………………………….
11
b) Composition de SSL ……………………………………………………………………..
12
c)
Déroulement d’une session SSL …………………………………………………………
13
2) Première solution : Apache-SSL ……………………………………………………………...
13
3) Deuxième solution : Mod-SSL ……………………………………………………………….
13
4) Apache-SSL, Mod-SSL: quelles différences ? ……………………………………………….
14
IV) Solution retenue ………………………………………………………………………...........................
14
A) Critique de la solution ………………………………………………………………………..........
15
B) Solution mise en place ………………………………………………………………………..........
15
Sécuriser une connexion Internet
V) Lexique ………………………………………………………………………........................................
15
VI) Remerciements ………………………………………………………………………............................
17
VII)Bibliographie ………………………………………………………………………...............................
17
Sécuriser une connexion Internet
I)
Contexte
A) L’entreprise
L’ISMANS, Institut Supérieur des Matériaux et Mécaniques Avancés du Mans, est une école
d’ingénieurs en même temps qu’un centre de recherche. Cet Institut est situé à l’université du Maine au
Mans (72). La partie de l’école qui nous intéresse pour cette étude concerne uniquement la formation des
élèves ingénieurs.
A la rentrée 2002, l’ISMANS comptait 169 élèves répartis sur trois années, dix professeurs
permanents, six personnes au service administratif et environ 80 professeurs vacataires.
1) En interne : l’Intranet
Les élèves ont accès, en interne uniquement, à des données personnelles et générales
relatives à leur formation. Cette information leur est fournie via un site Web interne : l’Intranet.
Figure 1 : Page du site Intranet de l’ISMANS accessible par http://192.168.0.16/intranet/
Les données personnelles sont par exemple : leurs notes, le suivi de leurs absences, des
messages personnalisés concernant leur scolarité… L’accès à ces données personnelles est assuré
après l’authentification de l’utilisateur (couple login/mot de passe).
Les données générales concernent, entre autres, les plannings hebdomadaires de cours,
certains cours téléchargeables en ligne, des messages d’information générale…Cette partie n’est
pas soumise à une authentification. Tous les utilisateurs internes peuvent consulter ces données.
2) En externe : Internet
Le site de l’ISMANS est accessible sur le Net de différentes façons :
- par son nom de domaine : www.ismans.univ-lemans.fr
- par ses alias : www.ismans.fr et www.ismans.com
- par son adresse IP fixe : 193.52.31.51
Sécuriser une connexion Internet
B) Le service informatique
1) Le personnel
Le service informatique, sous la responsabilité de M. Marceau, est composé de M. Bobet, en
formation par alternance à l’Institut et au lycée Ste Croix du Mans, depuis septembre 2002, et de
M. Gayet, engagé comme développeur depuis février 2003.
2) L’architecture réseau
L’architecture initiale du réseau de l’ISMANS se présente ainsi :
Serveur
Web
NIS Master
NIS Slave
LDAP
Serveur Web
CPD
CSD
Pare-feu
+ proxy
INTRANET
DMZ
Pare-feu
INTERNET
Messagerie
Exchange
Figure 2 : Architecture réseau de l’ISMANS
Le serveur Web situé dans l’Intranet fonctionne sur une machine Linux RedHat 7.3 avec
Apache. Elle a été nommée Hélios.
Nacre est le serveur Web situé dans la DMZ (DeMilitarized Zone). Il fonctionne sur une
machine Linux SuSE 7.2 également avec Apache.
Les comptes et leurs propriétés sont centralisés suivant le type de système d’exploitation
concerné.
Les données concernant les comptes Windows sont gérées par le CPD (Contrôleur Principal
de Domaine) et le CSD (Contrôleur Secondaire de Domaine) sous Windows NT 4.0. Le CPD, nommé
Cube, regroupe les données des comptes administration et chercheurs. Le CSD, nommé Pyramide,
rassemble les données des comptes des étudiants.
Les données relatives aux comptes Unix sont gérées par les serveurs NIS Master et NIS Slave
(Network Information System). Ces serveurs NIS, appelés aussi YP (Yellow Pages), fonctionnent sous
Unix Système V. Le NIS Master, nommé Origin200 gère les données des étudiants alors que le NIS
Slave, nommé Perle, s’occupe des données des chercheurs. Le personnel administratif n’utilisant pas le
système d’exploitation Unix, aucune donnée sur leurs comptes n’est rassemblée par les NIS.
Le serveur LDAP (Lightweight Directory Access Protocol), sous Windows 2000 serveur,
assure la validation des comptes pour accéder au site Intranet.
A terme, l’ISMANS installera OpenLdap sous Unix ou Linux et migrera de Windows NT 4.0
vers Windows 2000 Serveur.
Sécuriser une connexion Internet
NIS (Unix)
CPD (Win NT)
LDAP (Win 2000 Serveur)
WINDOWS
INTRANET
gère
UNIX
migration
LDAP (Win 2000 Serveur)
UNIX
WINDOWS
INTRANET
Figure 3 : Evolution de l’architecture réseau de l’ISMANS
II) Problématique : sécuriser les connexions à l’Intranet depuis Internet
A) Présentation de la demande
On a donc vu, pour l’instant, que le site Intranet de l’ISMANS n’est accessible qu’en interne.
Or, à l’usage, le besoin des étudiants et professeurs s’est étendu et il est à présent indispensable de
pouvoir accéder à cet outil depuis l’extérieur, via Internet. Ce nouveau moyen d’accès aux données
permettrait, par exemple, aux élèves et aux professeurs de se tenir au courant des changements de leurs
emplois du temps, ou encore aux étudiants de récupérer des cours qu’ils auraient manqués.
Pour ce faire, il est indispensable de sécuriser les accès à certaines pages qui comporteraient des
données confidentielles (informations personnelles) afin que ces données ne soient pas compréhensibles
par des personnes malintentionnées.
étudiant ou
chercheur
serveur Web
de l’ISMANS
échanges de données personnelles
capture
des
échanges
Pirate informatique
Figure 4 : Écoute d’échanges de données personnelles par des personnes malintentionnées
De plus, il serait nécessaire d’identifier les internautes qui se connectent. Cette identification
serait validée par un mot de passe commun à tous en ce qui concerne les informations générales et par
un mot de passe individuel pour ce qui est de la partie information personnelle.
Sécuriser une connexion Internet
De même, le serveur devra être authentifié afin que l’étudiant soit certain que les données qu’il
envoie soient reçues par ce seul serveur. En effet, un pirate pourrait avoir un site nommé quasiment
comme celui de l’ISMANS et récupèrerait donc des données confidentielles alors que l’étudiant n’en
serait pas informé et s’il l’était, ne le désirerait pas.
www.ismans.fr
www.ismans.com
www.ismans.univ-lemans.fr
échanges
de données
confidentielles
Serveur Web d’un pirate
www.ismans.net (par exemple)
Figure 5 : Échanges de données avec une personne non identifiée et non souhaitée
La finalité du projet devra donc être de rendre les données échangées compréhensibles seulement
par les personnes autorisées grâce au couple login/mot de passe.
La solution doit assurer :
- l’authentification du serveur
- l’authentification du client
- la confidentialité et l’intégrité des données échangées
(1) connexion à l’Intranet
AUTHENTIFICATION DU SERVEUR
+
AUTHENTIFICATION DU CLIENT
(2)
(3) refus OU autorisation avec échange des pages
vérification du
mot de passe
+
recherche des
pages Web
accessibles
INTEGRITE DES DONNEES
+
CONFIDENTIALITE DES DONNEES
Figure 6 : Échanges réalisés à la connexion avec les services de sécurité à assurer
Sécuriser une connexion Internet
B) Contraintes
Des contraintes de différents types ont été imposées par les responsables du projet.
1) Contraintes techniques
La solution devra assurer l'authentification du serveur, le cryptage des données et l'intégrité
des données. De plus, le serveur Web actuel étant Apache, celui-ci doit être conservé pour les
futures modifications.
2) Contraintes organisationnelles
La base de données contenant les couples logins/mots de passe devra être celle de la base
LDAP.
3) Contraintes budgétaires
Aucun budget n’est prévu pour ce projet, que ce soit dans son étude théorique ou dans sa
mise en place.
4) Contraintes sociales
Aucune modification du personnel ne doit être engendrée, que ce soit en terme d’embauche
ou de suppression d’emploi.
III) Solutions envisagées
Nous allons maintenant proposer des solutions possibles pour chaque point du schéma.
étudiant ou
chercheur
serveur Web
de l’ISMANS
(A) identification du serveur
(B) identification du
client et autorisation
(C) cryptage et intégrité
Figure 7 : Récapitulatif des flux
A) Solutions possibles pour identifier un serveur
Le client doit être sûr qu’il s’adresse au bon serveur afin que les échanges restent confidentiels.
Sécuriser une connexion Internet
Pour ce faire, il existe différentes façons d’identifier un serveur, comme l’utilisation du certificat. Le
serveur doit posséder un certificat qui servira à l’identifier.
1) Les certificats
c)
Présentation du certificat
Un certificat est un document électronique identifiant une entité. Il est constitué de
différentes informations pertinentes à son utilisation (nom, adresse, société, numéro de
téléphone), de la clé publique de l’entité et de la signature de l’ensemble des données par
un tiers de confiance, autorité de certification. Cette signature prouve l'authenticité du
certificat et garantit son intangibilité. Le format des certificats est défini par le standard
X509.
Version (v1=0, v2 =1, v3 =2)
Serial Number
clé privée de
la CA
Signature Algorithm ID
Issuer name
Validity period
Subject name
génération
de la
signature
Subject public key info
(Algorithm ID & public key value)
X509 Extensions
Signature
(Algorithme ID & signature value)
Figure 8 : Format du certificat X509
La signature du certificat correspond au condensé crypté avec la clé publique de
l’autorité de certification.
d) Autorité de certification
Pour que le certificat du serveur soit valide, il existe un tiers chargé de délivrer les
certificats afin que le client puisse avoir confiance en le serveur. Ce tiers est une autorité
de certification (Certificate of Authority – CA). L’autorité de certification utilise sa clé
privée pour créer les certificats qu’elle remet. En délivrant un certificat, l’autorité de
certification se porte garante de l’identité du serveur qui présentera ce certificat.
Cette autorité possède elle-même un certificat délivré par une autre autorité de
certification.
Il existe plusieurs façons d’acquérir un certificat car celui-ci peut être créé gratuitement ou être
acheté.
Sécuriser une connexion Internet
2) Certificat gratuit
Un certificat gratuit se crée en interne à l’aide d’une ou plusieurs commandes.
Ce type de solution engendre des certificats gratuits avec pour autorité de certification
SnakeOil.
L’avantage d’une telle solution est un coût inexistant. En revanche, un certificat de ce type
crée une sécurité moins fiable que les certificats payants.
3) Certificats payants
Les certificats payants sont vendus par des opérateurs de service de confiance comme
CertPlus S.A. (http://www.certplus.com) ou SecurityServer (http://securityserver.org/) en France.
Un certificat SSL serveur 128 bits est vendus à partir de 49
(soit environ 325 F) pendant
un an (avec des réductions offertes pour une durée supérieure à un an). J’ai trouvé 995
(soit
environ 6 530 F) comme maximum pour une durée d’un an.
L’avantage de ces certificats payants est qu’ils sont reconnus ; en revanche, ils coûtent
assez cher.
B) Solutions possibles pour identifier les étudiants et chercheurs
1) Avec le fichier de configuration d’Apache : httpd.conf
Pour créer un accès avec identification et autorisation par mot de passe au site avec le
fichier de configuration d’Apache, httpd.conf, il suffit d’indiquer au serveur Apache qu’il doit
consulter un fichier qui gère les logins et mots de passe avant d’afficher la page du site. Le nom du
fichier n’est pas imposé, il faut seulement indiquer son nom et son chemin dans le fichier
httpd.conf. Le login et le mot de passe correspondent à des données échangées, donc elles sont
sécurisées par SSL.
Les conséquences de cette solution sont la création d’un fichier de logins et mots de passe
cryptés, donc l’existence d’une nouvelle base de logins/mots de passe ainsi que la modification du
fichier httpd.conf.
2) Avec une page d’identification en php
Pour sécuriser l’accès par login et mot de passe avec une page d’identification incluse au
lancement du site, il est possible d’utiliser la programmation en php. Grâce à ce langage,
l’utilisateur saisit le login et le mot de passe qui sera écrit dans un fichier temporaire pour comparer
ce couple de données avec la base de données du serveur LDAP.
(1) ECRITURE
Fichier
temporaire
login +
mot de passe
(3) VALIDATION
ou REFUS
Figure 9 : Identification en php
(2) COMPARAISON
Serveur
LDAP
Sécuriser une connexion Internet
La page d’identification de la connexion pourra se présenter ainsi :
Figure 10 : Page de connexion en php
Cette solution nécessite donc une base de données et des connaissances pour la
programmation en php et un serveur LDAP.
C) Solutions possibles pour le cryptage et l’intégrité des données
Les contraintes techniques à respecter sont donc l’authentification du serveur, le cryptage des
données et l’intégrité des données avec comme serveur Web : Apache.
Il existe un protocole nommé SSL (Secure Socket Layer) fonctionnant sur le serveur Apache
qui répond parfaitement à ces contraintes techniques. Ce protocole m’a été conseillé par l’équipe
informatique de l’ISMANS.
1) Présentation de SSL
SSL (Secure Socket Layer) est un protocole de sécurisation des échanges, développé par
Netscape. Il a été conçu pour assurer la sécurité des transactions sur Internet (notamment entre un
client et un serveur), et il est intégré depuis 1994 aux navigateurs. Il existe plusieurs versions : la
version 2.0 développée par Netscape; la version 3.0 qui est actuellement la plus répandue, et la
version 3.1 baptisée TLS (Transport Layer Security) et standardisée par l'IETF (Internet
Engineering Task Force). SSL a pour buts:
- L'authentification du serveur SSL vis à vis du client SSL.
- L'authentification du client SSL vis à vis du serveur SSL (optionnel).
- L'échange d'une clé de session pour établir une connexion confidentielle et intègre.
a) SSL dans le modèle OSI
Certains considèrent SSL entre les couches transport et réseau alors que d’autres
considèrent que SSL est un protocole situé entre la couche applicative et la couche
présentation du modèle OSI (Figures 11 et 11 bis).
Dans tous les cas, SSL est totalement indépendant de l’application, ce qui
signifie qu'il peut aussi bien sécuriser des transactions faites sur le Web par le protocole
HTTP que des liaisons via le protocole FTP ou Telnet.
Sécuriser une connexion Internet
Figure 11 : SSL dans le modèle OSI entre la couche
Figure 11 bis : SSL dans le modèle OSI entre la
transport et la couche réseau
couche applicative et la couche présentation
b) Composition de SSL
Le protocole SSL se décompose en plusieurs sous protocoles :
- Les protocoles SSL Handshake & SSL Change Cipher Spec : Ils
déterminent les méthodes de cryptage.
- Le protocole SSL Alert : Il achemine des messages d’erreurs vers le
serveur ou le client.
- Le protocole SSL Record : Il est responsable du cryptage des données
échangées.
Sécuriser une connexion Internet
c)
Déroulement d’une session SSL
(1) Demande d’un canal sécurisé
(3) Vérification et
validation du
certificat serveur
(4) Calcul de la clé
de session
(2) Certificat de clé publique du
serveur
(5) Émission de la clé de session
chiffrée avec la clé publique du
serveur
Échanges chiffrés et déchiffrés
symétriquement à l’aide de la clé de
session calculée par le client à l’étape
(4) et récupérée par le serveur à l’étape
(6)
SSL
Handshake
&
SSL Change
Cipher Spec
(6) Déchiffrage de
la clé de session à
l’aide de la clé
privée du serveur
SSL
Record
DONNEES CHIFFREES
Figure 12 : Déroulement de SSL
Pour ajouter le protocole SSL à Apache, deux types de modules existent : Apache-SSL qui est un
module interne, et Mod-SSL qui est un module externe.
2) Première solution : Apache-SSL
Apache-SSL est un patch source (extension du code) à Apache permettant de faire
l’interface avec OpenSSL. La solution Apache-SSL consiste à appliquer un patch au serveur
Apache pour lui permettre de gérer la couche SSL.
Cette solution est assez compliquée à mettre en place par rapport à d’autres solutions car il
est nécessaire de modifier le produit de base Apache.
3) Deuxième solution : Mod-SSL
Mod-SSL est un module Apache, c’est à dire une fonction, permettant de faire l’interface
avec OpenSSL.
Sécuriser une connexion Internet
La solution de Mod-SSL est plus simple à mettre en place que la solution d’Apache-SSL
car elle n’oblige pas à réinstaller Apache.
4) Apache-SSL, Mod-SSL: quelles différences ? Quels points communs ?
Ces deux solutions, quasi autant utilisées, offrent des fonctionnalités similaires et sont
disponibles sous forme de packages Debian ou RedHat. Pourtant, elles ont des différences.
- Différences au niveau des directives de configuration
Les directives, ces commandes permettant de configurer le serveur Apache, situées
dans le fichier httpd.conf, utilisées avec Apache-SSL, ne sont pas toujours les mêmes que
celles utilisées pour Mod-SSL.
Par exemple, la directive SSLEnable sous Apache-SSL correspond à SSLEngine on (Indique que
les demandes sécurisées sont acheminées au port 443) sous Mod-SSL.
- Différences au niveau de la mise en oeuvre
En terme d'installation et de configuration, Mod-SSL s'avère plus simple que ApacheSSL.
- Différences au niveau des fonctionnalités
Mod-SSL supporte plus de fonctionnalités que Apache-SSL. Il permet d'interagir avec
d'autres modules comme Mod-Perl (pour employer le langage de programmation Perl) ou
Mod-PHP (pour employer le langage de programmation php) et d’autres librairies comme
MM (bibliothèque employée par php et Mod-SSL).
- Points communs au niveau de la documentation
D'une manière générale, Mod-SSL et Apache-SSL sont assez bien documentés en
terme d'installation et d'utilisation.
- Différences au niveau technique
L’utilisation d’un module (Mod-SSL) est plus flexible que celle d’un patch (ApacheSSL) car on a la possibilité de mettre à jour le module sans avoir à recompiler tout le code.
IV) Solution retenue
Les propriétés de la solution choisie devront répondre aux attentes exprimées par l’équipe
informatique. La solution devra utiliser le protocole de sécurisation SSL pour assurer l'authentification des
parties, le cryptage et l'intégrité des données. Les logins et mots de passe devront être centralisés. Aucun
coût ne devra être engendré.
Pour l’utilisation du protocole SSL, la solution technique la meilleure et la plus simple à mettre en
place est Mod-SSL. De plus, cette solution possède plus de fonctionnalités que Apache-SSL et est plus
flexible en terme d’installation. Le choix pour le moyen technique sera donc orienté vers Mod-SSL.
En ce qui concerne l’identification des internautes, la préférence se dirige vers l’utilisation du
formulaire en php car cette solution permet de consulter la base de données LDAP et n’engendre pas la
création d’une autre base de données.
Sécuriser une connexion Internet
Enfin, concernant les certificats, il n’y a pas d’hésitation puisque la solution doit être gratuite. Nous
choisirons donc un certificat à courte durée mais sans aucun frais, délivré par SnakeOil.
La réalisation du projet de sécurisation d’accès à des pages Web avec identification des internautes
se fera grâce à Mod-SSL avec génération des certificats gratuits par SnakeOil et une identification par login
et mot de passe en langage php.
A) Critique de la solution
La solution retenue (Apache avec Mod-SSL, certificat gratuit et connexion par login et mot de
passe en php) peut être critiquée positivement mais également négativement.
D’une part, en ce qui concerne les aspects positifs, la solution répond, comme souhaité, aux
exigences d’authentification du serveur, de confidentialité et d’intégrité des données échangées grâce
au protocole SSL. De même, la connexion par mot de passe est efficace.
D’autre part, un point reste néanmoins insatisfaisant. Le certificat gratuit crée par Mod-SSL
n’assure pas une sécurité maximale. Si le projet avait pu engendrer un coût minimum, ce point négatif
aurait pu être éliminé.
Cette solution répond le plus possible aux exigences, même si toutefois, pour des raisons de
budget inexistant, ces exigences ne sont pas totalement couvertes.
B) Solution mise en place
Par manque de temps, la solution mise en place est légèrement différente de la solution retenue.
Techniquement, Mod-SSL a été installé sur Apache comme convenu. En ce qui concerne les
certificats, le certificat serveur gratuit a été créé et installé à la solution Mod-SSL. Enfin, pour
l’identification des internautes, contrairement à la solution retenue, c’est la solution de configuration
avec httpd.conf qui a été construite.
V) Lexique
Adresse IP
Adresse 32 bits utilisée pour identifier un nœud au sein d'un réseau d'interconnexion IP.
Chaque nœud du réseau d'interconnexion IP doit posséder une adresse IP unique, composée de
l'ID réseau et d'un ID hôte unique. En règle générale, la valeur décimale de chaque octet est
séparée par un point (par exemple, 192.168.7.27).
Apache
Serveur Web (serveur HTTP) de référence développé et délivré gratuitement sur
www.apache.org. Construit à l'origine autour des serveurs UNIX pour améliorer les
fonctionnalités et la sécurité du serveur Web NCSA, il équipe à présent plus d'un serveur
Internet sur deux.
Authentification
Vérification de l'identité d'une entité (utilisateur ou équipements).
Autorité de certification (AC) Entité informatique qui effectue la signature des certificats.
Bibliothèque
Ensemble de fonctions de base utilisées par de nombreux programmes. De nombreuses
bibliothèques sont désormais intégrées aux systèmes d'exploitation.
Certificat
Document électronique rattaché à une clé publique par un tiers de confiance, qui fournit la
preuve que la clé publique appartient à un propriétaire légitime et n’a pas été compromise.
Sécuriser une connexion Internet
Chiffrer - Chiffrement
Synonyme de codage. Brouillage des informations pour qu’elles ne soient lisibles que par les
personnes qui détiennent la clé de codage.
Clé privée
Valeur attachée à une ressource ou un individu, lui permettant de déchiffrer des données
chiffrées avec la clé publique correspondante ou d'apposer sa signature au bas de messages
envoyés.
Clé publique
Valeur de 512 à 2048 bits dans la pratique, attachée à une ressource ou un individu, qui la
distribue aux autres afin qu'ils puissent lui envoyer des données chiffrées ou déchiffrer sa
signature.
Clé
Symbole ou séquence de symboles appliqués à un texte pour le crypter ou le décrypter.
Confidentialité
Qualité de l'information qui n'est pas disponible ou accessible à des individus, entités ou
processus non autorisés.
Cryptographie
Ensemble des techniques permettant de protéger une communication au moyen d'un code
graphique secret.
DMZ
Demilitarizes Zone (Zone démilitarisée). Sous-ensemble d'un réseau compris entre l'extérieur
(Internet le plus souvent) et le réseau interne de l'entreprise (l'intranet). Ce sous réseau
constitue la partie publique visible du réseau extérieur. C'est dans cette zone contrôlée que
vont être mis les ressources soient visibles de l'extérieur.
HTTP
HyperText Transfert Protocol. Protocole faisant partie des protocoles TCP/IP les plus utilisés
pour transférer des informations sur Internet. Il achemine les données entre les serveurs Web et
les navigateurs Web.
HTTPS
Secure HyperText Transfer Protocol. Version sécurisée de HTTP. Protocole utilisé pour
sécuriser les transferts d’information sur Internet. Il code et décode les informations échangées
entre un serveur Web et un navigateur Web en utilisant le système de codage SSL.
IETF
Internet Engineering Task Force, organisation qui participe activement au développement de
l’Internet. L’IETF met au point de nouvelles définitions standard pour l’Internet.
Intégrité
Assure que les informations ne seront pas, accidentellement ou intentionnellement, altérées ou
détruites.
IP
Internet Protocol. Protocole utilisé sur un réseau pour assurer la transmission de paquets de
données sans connexion directe.
Login
Nom d'utilisateur permettant de se connecter sur un système serveur. En donnant ce nom au
message d'invite 'Login:', il faut ensuite saisir son mot de passe identifiant l'utilisateur.
Authentifié, il peut ensuite accéder aux ressources autorisées sur le serveur.
Mot de passe
Un mot de passe est un moyen utilisé pour authentifier une entité. Il s'agit d'une suite secrète
de caractères.
Navigateur
Logiciel de navigation permettant d'accéder au Web.
OSI
Open Systems Interconnection (Interconnexion de Systèmes Ouverts). Modèle de référence
défini par ISO constitué de 7 couches.
Patch
Un patch est un petit programme destiné à apporter des améliorations à un autre programme ou
à mettre à jour une mémoire flash.
Protocole
Description formelle des formats de messages et des règles que doivent suivre deux
ordinateurs pour échanger ces messages.
Sécurité
Systèmes et consignes qui garantissent la robustesse, la fiabilité et la non intrusion par un tiers
sur un système informatique.
SSL
Secure Socket Layer. Protocole de communication sécurisée fournissant des services de
sécurité basés sur les techniques de cryptographie symétriques et asymétriques.
Système d’exploitation
Operating System Programme. Assure la gestion de l'ordinateur et de ses composants.
Exemples: Linux, Windows, Mac Os, Unix, Etc...
UNIX
Système d'exploitation installé sur une grande partie des serveurs, stations de travail et gros
systèmes informatiques.
Web
Web signifie toile d'araignée mondiale. C'est l'abréviation utilisée pour désigner le World
Wide Web (abrévié par www dans les URL). Le Web regroupe une gigantesque collection de
documents hébergés par des millions de serveurs de part le monde.
Windows
Système d'exploitation équipant plus de 80% des ordinateurs dans le monde.
Sécuriser une connexion Internet
VI) Remerciements
Je remercie l’ISMANS de m’avoir accueillie en stage, et de m’avoir fournie une expérience
professionnelle supplémentaire.
Je remercie Dominique Marceau pour ses critiques objectives relatives à mon projet, qui m’ont
permis d’y voir plus clair, et pour son aide à la rédaction de mon rapport.
Je remercie Thierry Gayet et Benjamin Bobet pour leurs réponses à mes demandes en matière de
programmation.
Merci aussi à Mr Haro, professeur responsable, pour avoir pris le temps de m’expliquer le contenu
d’un rapport de projet et m’avoir conseillée pour son organisation.
VII)
Bibliographie
Sites Internet :
http://worldserver.oleane.com/heissler/index.html
http://perso.wanadoo.fr/philippe.decayeux/dico/index.html
http://www.themanualpage.org/glossaire/
http://www.securiteinfo.com
http://psidler.free.fr/authentification/ssl.html
http://mma.epita.net/downloads/veille/veille2002/000066_SSL.pdf
http://www.zencod.com/Site_francais/stakes/ssl_protocol.asp
http://www.linux-france.org/prj/edu/archinet/ALSI/index/x801.html
http://www.securite.teamlog.com/publication/9/19/23/index.html
http://www.dr15.cnrs.fr/Cours/JRES99/rd-ssl.pdf
http://www.cru.fr/securite/crypto-jres99.pdf
Livres :
Apache – The Definitive Guide
Les protocoles de sécurité d’Internet
Ben Laurie et Peter Laurie
Stéphane Natkin
Editions O’REILLY
Editions DUNOD
1997-1998
2002