Quatre briques de base s'imposent pour élever un bouclier digne de ce nom. Hormis les données, le champ de sécurité doit s'étendre aux accès du système d'information. Ces actions trouvent un cadre d'exploitation normalisé à travers les réseaux VPN IPsec et les infrastructures PKI.

Le respect de la confidentialité des données passe par leur brouillage complexe. Pour cela, elles empruntent un filtre algorithme basé sur des règles mathématiques de substitution articulées autour d'une variable aléatoire correspondant à la clé. Ce sésame gardé secret permet de restituer le texte en clair lors du décryptage. En théorie, la longueur d'une clé est un gage de confidentialité. Il faut ainsi plusieurs années de traitement continu à un supercalculateur pour déflorer une clé de 128 bits. Encore faut-il préserver la confidentialité de la clé de chiffrage proprement dite. Dans un chiffrement basé sur un code secret connu des deux interlocuteurs, la protection en ligne de ce précieux sésame s'avère insolvable, à moins d'emprunter un biais d'échange parallèle, comme le téléphone ou le courrier postal. L'autre possibilité consiste à user d'un algorithme de chiffrement asymétrique. Il faut entendre par là l'usage de deux clés, l'une pour chiffrer et l'autre pour déchiffrer, par opposition au crypto-système symétrique doté d'une seule et même clé. Ce cloisonnement autorise la distribution de la clé de chiffrage à des tiers sans autre protection, d'où d'ailleurs l'appellation de clé publique. En revanche, le géniteur de cette clé se doit de garder jalousement en interne une contrepartie privée. Ces deux morceaux du même sésame sont étroitement liés, puisque la clé publique correspond à un nombre entier, produit de deux nombres premiers composant la clé privée. En pratique, un utilisateur souhaitant garantir la confidentialité de ses communications diffusera la clé publique à ses interlocuteurs pour que ces derniers puissent brouiller tous les messages à son attention. A la réception de ces messages, celui-ci n'a plus qu'à retrouver la clé privée correspondant à la clé publique, à travers une table de corrélation pour en déchiffrer le contenu. Compte tenu de la lenteur de la cryptographie asymétrique, ce blindage se cantonne aux clés des algorithmes de chiffrement symétrique appliqués à la volée aux données.

Pas de bon chiffrement sans un bon système de diffusion de clés

A la prolifération d'algorithmes s'ajoutent les difficultés de gestion des clés de chiffrement au sein d'un VPN. En effet, sans une régénération à chaque session de ces dernières, l'efficacité des algorithmes s'avère relative. Ségrégationnistes par nature, les vendeurs utilisent bien sûr différentes techniques propriétaires afin d'échanger ce sésame éphémère. Et, malgré la naissance d'un consensus autour du système d'échange de clés IKE (Internet Key Exchange, synthèse du protocole ISAKMP – Internet Security Association and Key Management Protocol – et de la procédure d'échange de clés Oakley), l'IETF a décidé de remettre de l'ordre dans ce trousseau en recommandant une authentification des clés publiques échangées par le biais de certificats numériques à la norme X.509.

2 - Tu veilleras à l'intégrité de la transmission

Dans un contexte de chiffrement asymétrique, deux protections valent mieux qu'une. Rien n'empêche, en effet, un pirate introduit au sein du système de remplacer la clé publique par un sésame de sa composition. Autrement dit, un intrus peut s'interposer entre émetteur et destinataire pour remplacer la clé publique par un sésame porteur de zizanie. Pour garantir la paternité des informations, il existe un subterfuge qui consiste à comprimer le message, à l'aide d'un algorithme de hashing, afin d'engendrer une empreinte caractéristique de petite taille. Ce condensé est alors brouillé à l'aide d'une clé privée afin de créer une signature numérique.
Un chiffrement double : une clé de chaque côté

Ce paraphe subit un second chiffrement avec la clé publique du destinataire, au même titre que le contenu du message. Une fois ces éléments déchiffrés par le biais de sa clé privée, le destinataire décode la signature numérique grâce à la clé publique de l'expéditeur. Il comprime et brouille à son tour le contenu du message, avec le même algorithme de codage aléatoire que l'expéditeur, puis compare le résultat obtenu avec l'abrégé reçu. Pour éviter ce contrôle laborieux, une autre solution emprunte des certificats numériques délivrés par un tiers de confiance. Les détenteurs de ces pièces d'identité n'étant pas à l'abri des assauts des hackers, d'autres protections s'imposent telle l'authentification des utilisateurs.

Sans authentification des entités communicantes, la confidentialité ne vaut rien, ou presque. Avant la vulgarisation des réseaux privés virtuels (VPN) et l'instauration du standard IPsec, cette exigence se satisfaisait des triviales procédures d'identification adossées au protocole PPP (Point to Point Protocol). Outre le mode d'identification Pap (Password Authentification Protocol), qui se contente de réclamer un mot de passe sans rien masquer, ce dernier use également du protocole Chap (Challenge Handshake Authentification Protocol), doté d'un chiffrement de l'identifiant lors de l'envoi. La démocratisation des accès distants au système d'information implorait des vigiles plus musclés comme Radius (Remote Authentification Dial-In User Service) et Tacacs (Terminal Access Controler Access Control System). Crée par le constructeur de serveurs d'accès distant Livingston (Lucent), le système Radius s'arc-boute sur une base de données centralisée de profils d'utilisateurs, afin de mener conjointement les opérations d'authentification et d'autorisation. La méthode Tacacs, largement mise en oeuvre dans les environnements Unix, répercute les requêtes d'accès sur un serveur d'authentification dédié. Mais, à la différence du système Radius, cette technique ne chiffre pas les données d'identification. Elle tend pour cela à être remplacée par une variante, appelée Tacacs+.

Les VPN favorisent la maturité des procédures

Pour éviter une prolifération anarchique des procédures d'accès distant, l'IETF a encadré leur mise en oeuvre au sein de l'architecture protocolaire L2TP (Layer 2 Tunneling Protocol) destinée aux VPN orientés accès distant. Sur le terrain des VPN orientés réseaux locaux, l'IETF a également normalisé des procédures d'authentification de flux. Pour ce faire, l'unité d'accès VPN émettrice affecte à chaque paquet IP émis un label de contrôle désigné AH (Authentification Header), afin de valider l'authenticité et l'intégrité du message à la réception. IPsec emprunte concurremment les algorithmes MD-5 (Message Digest 5) ou Sha-1 (Secure Hashing Algorithm 1) pour engendrer ce visa. Afin de renforcer l'authentification des échanges VPN, IPsec use aussi d'un biais d'authentification plus trivial basé sur un mot de passe commun, nommé secret prépartagé. Il faut comprendre par prépartagé l'échange préalable de ce mot de passe à travers un média différent du VPN, l'e-mail par exemple. Enfin, pour renforcer l'authentifcation, IPsec use également de certificats numériques au format X.509.

4 - Tu ouvriras la porte en toute confiance

L'authentification protège le système d'information des intrus. Elle ne garantit pas pour autant l'accès d'usagers en règle. Autrement dit, rien n'empêche la répudiation d'un utilisateur. La prolifération des transactions sur Internet implore la construction d'un espace sécurisé, aussi bien pour les vendeurs que pour les acheteurs. Dans l'absolu, une telle exigence impose la médiation d'un tiers de confiance apte à certifier l'identité des utilisateurs, comme des entités physiques impliquées de part et d'autre d'un échange. La première mission de cette autorité de certification est de garantir la paternité des clés publiques de chiffrement de données qui transitent en clair sur le Net. Elle émet des certificats publiés dans un annuaire et distribués par des autorités d'enregistrement. Ces dernières s'assimilent à des préfectures chargées de délivrer des cartes d'identité virtuelles et subordonnées à un ministère de tutelle.

Des certificats vraiment complets

Outre la description de la clé publique et de l'algorithme de chiffrement associé, le certificat porte la date de péremption de ladite clé, le nom de son détenteur et ses coordonnées professionnelles. En phase d'exploitation, l'utilisateur adresse sa demande de certificat à l'autorité d'enregistrement. Il fournit plus ou moins de renseignements sur sa personne physique ou morale, selon le degré de confiance recherché. Après vérification des pièces jointes, le mandataire transmet la demande à l'autorité de certification, qui lui retourne le certificat signé et le publie dans l'annuaire. A son tour, le mandataire renvoie le certificat créé au demandeur, qui s'en servira comme passeport pour s'authentifier ou distribuer une clé publique à d'éventuels interlocuteurs. Ce système de contrôle tripartite caractérise l'infrastructure à clé publique PKI.

Source : costkiller.net