Chapitre 2 NOTIONS SUR LA SÉCURITÉ RÉSEAU

2.1 introduction
Comme des informations confidentielles circulent dans les réseaux, la sécurité
des communications est devenue une préoccupation importante des
utilisateurs et des entreprises. Tous cherchent à se protéger contre une
utilisation frauduleuse de leurs données ou contre des intrusions malveillantes
dans les systèmes informatiques. Par ailleurs, une multitude de virus se
propagent à l’insu des utilisateurs dans les fichiers téléchargés. Les virus sont
susceptibles de détruire des documents ou même de provoquer la perte totale
des informations stockées dans les machines. La tendance actuelle est de
mettre en place des mécanismes de contrôle d’accès et des protocoles
sécurisés qui apportent plusieurs services : l’authentification, la confidentialité,
l’intégrité, la non-répudiation.
L’authentification : consiste à demander à un utilisateur de prouver son
identité (en fournissant un mot de passe ou des données biométriques, par
exemple) ;
La confidentialité : garantit aux utilisateurs qu’aucune donnée n’a pu être lue et
exploitée par un tiers malveillant ;
L’intégrité assure aux utilisateurs que leurs données n’ont pas été indûment
modifiées au cours de la transmission dans le réseau ;
La non-répudiation empêche un utilisateur de nier la réalité d’un échange de
données.
Plusieurs mécanismes de sécurité sont mis en œuvre dans la transmission des
données pour assurer les services ci-dessus. Citons principalement :
- Le chiffrement ou cryptage, qui empêche la lecture des données par des
utilisateurs non autorisés ;
- La notarisation des échanges, qui conserve une trace de l’échange auprès
d’un tiers de confiance, pour prouver ultérieurement l’existence même
de la communication ;
- Le bourrage, qui est une technique de transmission permanente d’un flot
d’informations inutiles pour cacher celles qui sont importantes ;
- La signature numérique, qui calcule un bloc de données de contrôle à
partir de l’identité de l’utilisateur.
Le chiffrement et la signature numérique exploitent des algorithmes de calcul
sophistiqués fonctionnant à l’aide de clés. L’algorithme est symétrique si la clé
cryptant le message est identique à celle qui sert au déchiffrement ; il est
asymétrique lorsqu’on utilise des clés différentes pour les deux opérations (cf.
cryptologie).
Le procédé symétrique est connu depuis l’Antiquité : il fallait posséder (ou
connaître) la clé secrète choisie par l’émetteur pour décoder le message à sa
réception. Dans ce cas, la sécurité du système repose sur la sûreté de
transmission de la clé secrète. Avec l’augmentation de puissance de calcul des
ordinateurs actuels, les clés utilisées sont des suites de données binaires de
plus en plus longues. Le système américain DES (data encryptions standard) a
longtemps utilisé une clé de 48 bits ; il s’appuie maintenant sur des clés de 128
bits.
Pour éviter le piratage d’une clé unique, on utilise des systèmes asymétriques à
plusieurs clés, dans lesquels chaque utilisateur possède une clé publique,
utilisable par tous, et une clé privée, secrète et jamais transmise, pour
déchiffrer les messages qui lui sont destinés. La sécurité d’un système
asymétrique repose sur l’impossibilité d’effectuer dans un temps raisonnable
les calculs de déchiffrement sans posséder la clé secrète. Les algorithmes de
chiffrement à clés publiques RSA (Rivest Shamir Adleman) et DH (Diffie
Hellman) sont les plus connus et les plus employés.1
Pour s’authentifier tout en garantissant la confidentialité des échanges, deux
utilisateurs vont employer leurs clés publique et privée de la façon suivante : A
envoie à B un nombre aléatoire chiffré avec la clé publique de B. Celui-ci
retourne à A.

2.1.1 Définition sur la sécurité réseau

1
D DROMARD et D SERET, Réseaux informatique : sécurité dans les réseaux, universail.fr consulté le 16
novembre 2023)
La sécurité réseau est le domaine de la cyber sécurité qui se concentre sur la
protection des réseaux informatiques contre les cyber menaces. Elle s’articule
autour de trois objectifs principaux :
a. Empêcher l’accès non autorisé aux ressources du réseau,
b. Détecter et neutraliser les cyberattaques et les violations de sécurité en
cours,
c. Veiller à ce que les utilisateurs autorisés puissent accéder en toute
sécurité aux ressources du réseau dont ils ont besoin, au moment où ils
en ont besoin.

2.1.2 L’OBJECTIF DE LA SECURITE RESEAU

La sécurité réseau protège l’intégrité de l’infrastructure, des ressources et du
trafic des ressources et du trafic des réseaux afin de contrecarrer ces attaques
et d’en minimiser les répercussions financières et opérationnelles .cela
implique la mise en place de mesures de sécurité telles que des pare-feu, des
antivirus, des configurations réseau sécurisées, des politiques d’accès strictes
et des mécanismes de détection des intrusions pour garantir la confidentialité ,
l’intégrité et la disponibilité des données et des systèmes.
2.1.3 NOTIONS DE BASE SUR LA SECURITE DU RESEAU
Les notions de base sur la sécurité du réseau sont les éléments essentiels de la
sécurité du réseau ou de la cyber sécurité.
Elles doivent être implémentées dans tous les réseaux, notamment à domicile,
en entreprise et sur Internet. Une sécurité efficace du réseau requiert la
protection des réseaux filaires et sans fil avec des pare-feu, des logiciels
antimalware, des systèmes de détection des intrusions, un contrôle des accès,
est un sujet complexe, qui implique de nombreuses technologies différentes
avec des configurations parfois compliquées.
Le problème de sécurité à gérer est la séparation entre les éléments sur le
réseau et les endpoints ou systèmes hôtes qui y sont attachés. La technologie
pour le réseau et les endpoints comprend le contrôle des accès et le
chiffrement. Néanmoins, sur le réseau, on retrouve également la segmentation
et la sécurité du périmètre.2
2.1.4 Sécurité du réseau et sécurité des endpoints

2
François PECHEUX, Cloud informatique ou informatique dans les nuages, consulté le 08 Juin 2024.
La sécurité du réseau n’est qu’une partie de l’équation de la sécurité. On
considère généralement qu’elle s’applique aux appareils qui protègent le
réseau en lui-même. Un pare-feu peut être un appareil autonome placé à côté
de l’équipement de gestion de réseau, comme les routeurs ou les
commutateurs, ou un logiciel présent dans le même boîtier physique, qui
achemine et commute.
End point est un canal qui peut être connecter à un réseau comprenant des
ordinateurs de bureau, des ordinateurs portables, des tablettes et des serveurs
c’est-à-dire c’est un mécanisme fondamental qui permet aux différentes
applications de communiquer et d’échanger des données, il sert de point de
connexion ou les requetés et les réponses transitent.
Sur le réseau, on trouve des pare-feu, des systèmes de détection des intrusions
(IDS), des systèmes de prévention des intrusions (IPS), des Appliance de réseau
privé virtuel (VPN), des systèmes de prévention des pertes de données (DLP).
Le réseau est là pour connecter les systèmes les uns aux autres. Il vous permet
par exemple de naviguer sur Amazon ou de faire des achats en ligne auprès de
votre boutique locale. Les systèmes finaux doivent néanmoins être protégés
eux aussi ; c’est ce que l’on appelle la sécurité des endpoints. Ces appareils
comprennent les ordinateurs portables, les tablettes, les téléphones, mais aussi
les appareils de l’Internet des objets (IdO).
L’IdO comprend les appareils tels que les thermostats, les caméras, les
réfrigérateurs, les serrures de porte, les ampoules, les pompes de piscine, les
couvertures intelligentes, le tout connecté. Ces appareils requièrent eux aussi
des contrôles de sécurité. Tous ne sont cependant pas assez sophistiqués pour
contenir, par exemple, un pare-feu basé sur l’hôte ou un agent antimalware. Si
l’endpoint est une ampoule, sa protection réside sans doute dans la sécurité du
réseau.
2.1.5 CONTROLE DES ACCES
Le contrôle des accès constitue le point de départ. Les entreprises parlent
souvent de gestion des identités et des accès (IAM). Le contrôle des accès n’est
pas une nouveauté. Les humains contrôlent les accès aux bâtiments depuis
l’installation de la première serrure sur une porte, il y a plus de 6 000 ans. Le
contrôle des accès est désormais effectué sur les réseaux, les ordinateurs, les
téléphones, les applications, les sites Web et les fichiers.
Le contrôle des accès repose sur les principales IAAA :
• I : l’Identification est l’affirmation du nom ou de l’identification
d’un utilisateur, comme l’ID ou l’adresse email de l’utilisateur.
• A : l’Authentification fournit la preuve que l’utilisateur est bien
celui qu’il prétend être. Cette étape reste principalement fondée
sur des mots de passe.
• A : l’Autorisation consiste à accorder des autorisations ou non à
l’utilisateur. L’utilisateur peut ne pas être autorisé et ne pas
recevoir d’autorisations, ou il peut recevoir des autorisations en
lecture, écriture, contrôle complet, etc.
• A : la responsabilité (Accountability) consiste à suivre ce qui s’est
passé. Le journal montre qu’un utilisateur a tenté d’accéder ou a
accédé au système. Le journal peut également inclure toutes les
actions effectuées par l’utilisateur.3

2.1.6 TYPES D’AUTHENTIFICATION

Dans l’IAAA, l’authentification est peut-être le sujet le plus important. Les mots
de passe restent l’authentification la plus fréquente sur la plupart des
systèmes. Cependant, ils ne sont généralement pas très sécurisés, car il est
facile de les pirater.
Si un mot de passe est court, l’hacker n’aura pas de difficultés à le trouver. Les
hackers utilisent une attaque par force brute pour deviner un mot de passe, en
testant toutes les combinaisons possibles. L’attaquant peut également utiliser
une attaque de piratage de mot de passe, qui consiste à employer un
programme qui recrée les mots de passe dont le hachage donne la même
valeur.
Il y a trois types ou facteurs d’authentification qui sont actuellement utilisés. Il
s’agit des :
- Quelque chose que vous connaissez : une chaîne de caractères, de
chiffres ou une combinaison, stockée dans votre cerveau. Aujourd’hui,
elles doivent être stockées dans un gestionnaire de mots de passe.
- Quelque chose que vous possédez : un appareil ou un logiciel sur un
appareil dont vous avez besoin pour vous authentifier.

3
François PECHEUX, Ibidem.
 Cela inclut des appareils comme un token RSA ou Google Authenticator
sur un smartphone.
- Quelque chose que vous êtes : un aspect de votre personne. Il s’agit de
biométrie, soit physiologique, comme une empreinte digitale, soit
comportementale, comme une empreinte vocale.

Le meilleur choix est l’authentification à deux facteurs (2FA), parfois nommée

authentification multi facteur (MFA). Nous recommandons fortement ce type
d’authentification pour vos comptes personnels, comme Amazon ou Facebook.
Les applications telles que Google Authenticator sont gratuites et constituent
un bien meilleur choix que de recevoir un SMS sur votre téléphone.
Nous recommandons également le 2FA pour le bureau, mais c’est au niveau de
la politique ou de la direction qu’il revient de prendre cette décision. Cela
dépend de nombreux facteurs, comme l’actif, la classification des données, les
risques et les vulnérabilités.
2.1.6 SEGMENTATION DU RESEAU
La segmentation du réseau améliore la sécurité en contrôlant le flux de
données entre différents réseaux. Elle est effectuée le plus souvent à l’aide de
réseaux VLAN. Il existe de nombreuses variantes sur ce thème, comme un
VLAN privé (PVLAN), un VLAN extensible (VXLAN), etc. Un VLAN repose sur la
couche de liaison des données, la couche 2 dans le modèle OSI (Open System
Interconnect). La plupart des administrateurs réseau mappent un sous-réseau
IP à un VLAN, Les routeurs permettent au trafic de passer entre les VLAN, selon
la configuration. Si vous souhaitez bénéficier d’un contrôle, la configuration du
routeur est essentielle.4
Le VPC (Virtual private cloud) est une autre option dans le Cloud. Le trafic vers
et depuis le VPC est également contrôlé par les configurations.
Il est essentiel de comprendre les exigences de l’entreprise en matière de
charge utile pour pouvoir configurer et contrôler l’accès vers ou depuis les
VLAN et VPC.
2.1.6 SECURITE DU PERIMETRE
La sécurité du périmètre est fondée sur la logique selon laquelle il existe une
limite définie entre un réseau interne/fiable et un réseau externe/non fiable. Il

4
Dominique DELISE, Télécommunication-transfert d’information par paquets dans les réseaux, P514.
s’agit d’une conception de réseau traditionnelle, qui date de l’époque où le
réseau et le data center étaient confinés dans un même bâtiment. Dans cette
configuration, un routeur se connecte aux réseaux internes et externes. La
configuration de base d’une liste de contrôle des accès (ACL) dans le routeur
contrôle le trafic qui peut passer.
On ajouter la sécurité dans le périmètre avec des pare-feu, l’IDS (système de
détection des intrusion) et l’IPS (système de prévention des intrusions) pour
une bonne protection des données.
Par là nous avons énumérer différents dispositifs de la sécurité, nous avons :
a. Firewall (pare-feu) Un firewall est outil informatique (matériel et/ou
logiciel) conçu pour protéger les données d’un réseau (protection d’un
ordinateur personnel relié à Internet par exemple, ou protection d’un
réseau d’entreprise). Il permet d’assurer la sécurité des informations
d’un réseau en filtrant les entrées et en contrôlant les sorties selon des
règles définies par son administrateur.
b. Antivirus Il s’agit d’un logiciel capable de détecter et de détruire les virus
contenus sur un disque. Le logiciel a pour charge de surveiller la présence
de virus et éventuellement de nettoyer, supprimer ou mettre en
quarantaine le ou les fichiers infectés. Ils surveillent tous les espaces
dans lesquels un virus peut se loger.
c. VPN (Virtual Private network) Est un service qui permet à un ou plusieurs
postes distants d’établir des connexions prive sécurise dans le réseau
public comme internet pour communiquer de manière sure. Ce type de
liaison est apparu suite à un besoin croissant des entreprises de relier les
différents sites.
d. IDS (Intrusion Détection System) Nous appelons un IDS (Intrusion
Détection System) un mécanisme permettant d’écouter le trafic réseau
et de contrôler les activités réseau afin de repérer toutes activités
anormales ou suspectes et ainsi remonter des alertes sur les tentatives
d’intrusion à un système informatique.
e. IPS (Intrusion Prévention System) Les systèmes de prévention
d’intrusions sont des systèmes de détection d’intrusions particuliers qui
permettent, en plus de repérer les tentatives d’intrusion à un système,
d’agir pour contrer ces tentatives. En effet, les IPS constituent des IDS
actifs qui tentent de bloquer les intrusions.
2.1.7 Le Chiffrement
Le chiffrement est essentiel pour éviter les regards indiscrets sur les données et
communications sensibles. Le chiffrement protège les fichiers sur le disque dur
de votre ordinateur, une session de services bancaires, les données stockées
dans le cloud, les emails sensibles, et bien d’autres applications. La
cryptographie vérifie également l’intégrité des données et l’authentification de
la source des données.
Le chiffrement se divise en deux types de cryptographie de base : symétrique et
asymétrique.
a. La cryptographie symétrique fait appel à une clé unique qui chiffre et
déchiffre. Elle doit donc être partagée avec quelqu’un pour que la
communication chiffrée ait lieu. Les algorithmes courants
comprennent AES (Advanced Encryption Standard), Blowfish, Triple-
DES (Data Encryption Standard), et bien d’autres.
b. La cryptographie asymétrique comporte deux clés distinctes, l’une
publique et l’autre privée, qui fonctionnent ensemble. Le jeu de clés
appartient à un utilisateur ou à un service : par exemple, un serveur
Web. Une clé est destinée au chiffrement, l’autre au déchiffrement.

Si la clé publique chiffre les données, celles-ci restent confidentielles. En effet,

le propriétaire de la clé privée est le seul à pouvoir les déchiffrer.
Si la clé privée chiffre les données, cela prouve l’authenticité de la source.
Lorsque les données sont bien déchiffrées avec la clé publique, seule la clé
privée peut l’avoir chiffrée. La clé publique est véritablement publique et
accessible à tous.
Le hachage ne change aucunement la valeur des données. À l’inverse, le
chiffrement altère les données pour les rendre illisibles.
Le hachage prouve que les bits du message n’ont pas changé. Il assure
l’intégrité des données et le fait que leur format soit d’origine. Seul le hachage
protège les données des dommages accidentels.
Si le hachage est chiffré avec une clé privée asymétrique, cela prouve que les
données n’ont pas été falsifiées par un hacker. Les modifications malveillantes
sont impossibles, sauf si la clé privée est compromise.
Si la clé n’a pas été compromise, vous savez que la personne qui possède la clé
privée doit être celle qui a calculé le hachage. Cette clé peut être symétrique,
également nommée privée, ou asymétrique.
2.1.8 Sécurité sans fil
Il est difficile de protéger des données, de la voix ou de la vidéo transmises sur
un réseau sans fil. Les transmissions sans fil sont conçues pour émettre un
signal. Un hacker à portée peut donc facilement capturer la transmission. Il
existe des normes de chiffrement pour le sans-fil, mais la plupart ont été
violées d’une manière ou d’une autre.
Les normes de chiffrement comprennent WEP, WPA, WPA2 et désormais,
WPA3 :
• Le WEP (Wired Equivalent Privacy) utilise l’algorithme symétrique
RC4 pour chiffrer la transmission sans fil. Les hackers l’ont
rapidement piraté. Il existe d’ailleurs un outil de piratage pratique
nommé WEP crack.
• Le WPA (Wi-Fi Protected Access) avait remplacé le WEP, mais
utilisait toujours le RC4. Les hackers ont modifié WEP pour pirater
le WPA.

Le WPA2, la deuxième version du WPA, offre deux options qui sont :

a. Le WPA2-personal utilise une clé pré-partagée, parfois
nommée clé de sécurité. Il s’agit en fait d’un mot de
passe saisi sur un appareil sans fil, comme un
ordinateur portable ou un téléphone, et dans le point
d’accès sans fil (WAP, Wireless Access point). Les
hackers ont trouvé la première faille en 2017,
nommée Key Réinstallation AttaCK (KRACK).
b. Le WPA2-enterprise utilise une couche de sécurité
supplémentaire en authentifiant l’utilisateur sur un
serveur RADIUS (Remote Authentication Dial-In User
Service) centralisé. Il utilise également l’EAP
(Extensible Authentication Protocol) pour transmettre
les informations d’authentification sur la connexion
sans fil locale. L’association de RADIUS et d’EAP en
 tant que protocole de sécurité est nommée IEEE
802.1x.

Le WPA3 propose également deux options qui sont :

a. Le WPA3-personal offre aux utilisateurs un niveau

de protection supérieur avec une clé de chiffrement
128 bits. Elle offre une authentification par mot de
passe solide, même lorsque les mots de passe
d’utilisateur sont trop simples pour assurer une
bonne sécurité. Le WPA3-personal y parvient grâce
au SAE (Simultaneous Authentication of Equals) au
lieu de la clé pré-partagée dans le WPA2-personal.

b. Le WPA3-enterprise[SM2] [TA (3] [SM4] utilise une

clé de chiffrement 192 bits pour renforcer la
sécurité. Elle améliore le WPA2 qui applique des
protocoles de sécurité de manière cohérente dans
tout le réseau d’une organisation.