ADMINISTRATION DE SECURITE DES SERVICES Internet

« internet » et « Internet (interconnexion de réseaux à l’échelle mondiale) » fonctionnent avec

TCP sur IP.

CHAP I FONDAMENTAUX SUR LES SERVICES INTERNET

1.1.Objectifs
Cet enseignement a pour objectif d’étudier des principes d’administration des systèmes et réseaux
(locaux, étendus, ou internet) ; il vise également à donner à l’étudiant les connaissances
nécessaires à la mise en place et l’administration efficace d’un serveur intranet ou internet.
L’accent sera mis sur la pratique des outils concrets
1.2.Principaux services ou fonctions d’Internet
Internet offre plusieurs services à ces usagers tous fonctionnant dans l’environnement client-
serveur ; les principaux services Internet sont les suivants
- La messagerie électronique : elle permet d’envoyer un message électronique a un
utilisateur
- Les fora de discussion, liste de diffusion
- L’accès à des systèmes distants
- Transfert de fichier
- Le web : ou encore HyperText (on parle du son des images)
- Discussion en ligne : il s’agit du chat et de la webcam
Pour y avoir accès, l’usager doit disposer des logiciels clients adéquats ; autant de fonctionnalités
ou services, autant de catégories ou logiciels clients
1.2.1. Messagerie électronique
Différents protocoles sont utilisés pour envoyer du courriel électronique : le protocole http
(HyperText Transfer Protocol) ou https pour l’accès sécurise, le protocole POP3 (Post Office
Protocol) pour la réception des messages et le protocole SMTP pour l’émission de messages.
1.2.2. Forums de discussions
On distingue principalement deux types de forums
• Les forums bases sur les courriels électroniques (ListServ) : ils fonctionnent par la
création et le maintien d’une liste d’abonne, l’intéresse peut s’y inscrire en envoyant un
message bien défini dans le forum. Une fois que son adresse est incluse dans la liste du
groupe, tous les messages poste au forum lui sont achemines dans sa boite de messagerie
électronique.
• Les forums qui utilisent les serveurs de type Usenet : tous les messages poste par les
membres du groupe de discussion sont envoyé dans les serveurs Usenet et restent
accessibles pendant un temps paramètre dans le serveur ; pour l’usager, l’interaction avec
 le groupe de discussion se fait par le biais de son logiciel qui lui permet de lire et
d’envoyer des messages. L’url pour obtenir un groupe de discussion des Usenet est de la
forme « news : Nom_du_groupe »
1.2.3. Accès à des systèmes distants
Le protocole Telnet sert à accéder à distance a un ordinateur mis à la disposition de l’utilisateur.
L’url pour Telnet est de la forme telnet://hote. Les modes Telnet et SSH sont également utilise
pour l’administration à distance des ordinateurs, d’imprimantes de bases de données etc.
L’administration à distance d’ordinateurs est également possible par des protocoles complexes
permettant de visualiser ce qui est affiche sur l’ordinateur distant et de déclencher l’exécution de
programmes ; un ordinateur est alors qualifié de maitre et l’autre d’esclave. Cette utilisation peut
être aussi bien volontaire et consentante de la part de la part de l’ordinateur esclave
que malveillante.

1.2.4. Transfert de fichiers

Le transfert de fichiers d’un ordinateur a un autre peut s’effectuer grâce au protocole FTP. En
pratique ce protocole permet à un usager d’accéder au fichier depuis un ordinateur distant des
privilèges d’accès au serveur en écriture ou en lecture ainsi que des limitations du type d’usager
notamment le Login et mot de passe sont en général définis.
Un serveur est une application capable de recevoir d’analyser ou de traiter une requête envoyée
par une autre application appelé cliente et de restituer le résultat dans un langage qu’il peut
comprendre. Le port par lequel le transfert doit s’effectuer est par défaut le 21
1.2.5. HyperText et WWW (World Wide Web)
Le www aussi appelé w3 ou plus familièrement le web, constitue la vitrine de l’Internet. La
fonction navigation en mode web est le mode de consultation de l’information le plus évolué dans
Internet, son taux de croissance a été fulgurant depuis les dernières années et il s’est vite établi
comme une ressource d’information incontournable ; il utilise le protocole http pour l’échange
d’information entre le logiciel client (navigateur) et le serveur ; une des forces du web est qu’il
donne accès à tous les services du web totalement ou en partie
1.2.6. Discussion en ligne (chat) et webcam
Le chat en ligne connait un grand succès, développer à l’origine par AOM, ce mode de discussion
base sur le protocole NNTP (Network News Transfer Protocol) est accessible au non abonne par
les logiciels dédies ou les navigateurs par défaut. Différents modes de chat existent notamment :
l’IRC, ICQ, la Téléphonie En Ligne.
• L’IRC (Intranet Relay chat) correspond à la possibilité pour plusieurs individus de
discuter en temps réel sur les réseaux par l’intermédiaire du clavier.
• L’ICQ (I Seek You) permet à un individu identifie par un numéro unique et un surnom de
communiquer par l’intermédiaire du clavier avec un autre. Ce service peut être considère
comme intermédiaire entre l’IRC et le courriel électronique
 • Téléphonie en ligne est le mode de communication par internet qui utilise les logiciels
spécifiques et permet à des individus de communiquer vocalement

1.3.Sécurité des principaux services Internet

1.3.1. Service de messagerie
Les protocoles de sécurité des emails contre les interférences extérieures sont des structures de
protection ; le protocole SMTP n’ayant pas de sécurité intégrée chaque messagerie électronique
sérieuse a besoin de protocole de sécurité supplémentaire. Les protocoles de sécurité suivants
fonctionnent avec le protocole SMTP.
1.3.1.1.SSL/TLS
SSL (Secure Sockets Layer) et son successeur TLS (Transport Layer Security) sont des
protocoles de sécurité et de messagerie sont les protocoles de sécurité de messagerie les plus
courants qui protègent les courriels électroniques lors de leur déplacement sur Internet. Ce sont
des protocoles qui tournent dans la couche application ; dans les réseaux de communication
internet, la couche application standardise les communications pour les services aux utilisateurs
finaux ; SSL étant déconseillé, il est souhaitable de s’appesantir sur TLS. TLS offre une
confidentialité et une sécurité supplémentaire pour les programmes communiquant ; dans ce cas
TLS assure la sécurité des SMTP, lorsque le client de messagerie envoi ou recoins un message, il
utilise le protocole TCP qui fait partie de la couche transport pour se connecter au serveur de
messagerie et initier une prise de contact.
La prise de contact est une série d’étapes où le client de messagerie et le serveur de messagerie
valident les paramètres de sécurité et les cryptages et commence la transmission du courriel
électronique lui-même ; la démarche est la suivante :
• Le client envoi une message particulier (ex ‘allo’), envoi du type de chiffrement et les
versions TLS compatible au serveur de messagerie
• Le serveur répond avec le certificat numérique TLS du serveur et la clé de chiffrement
publique du serveur
• Le client vérifie les informations du certificat
• Le client génère une clé secrète partagée aussi appelé clé pré-maitre à l’aide de la clé
publique du serveur et l’envoi au serveur
• Le serveur déchiffre la clé partagée secrète
• Le client et le serveur peuvent désormais utiliser la clé partagée secrète pour crypter le
transfert de données
TLS est très important car l’écrasante majorité des serveurs de messagerie et les clients de
messagerie utilisent pour finir un niveau de base de cryptage pour les emails. On distingue deux
catégories de TLS : le TLS opportuniste et le TLS forcé.
• Le TLS opportuniste est une commande de protocole qui indique qui serveur de
messagerie que le client de messagerie souhaite transformer une connexion existante en
 une connexion TLS sécurisée ; cependant si le processus de prise de contact échoue ; TLS
opportuniste reviendra à une connexion en texte brut et enverra l’email sans chiffrement
• Le TLS forcé est une configuration de protocole qui oblige toutes les transactions par
courriel électronique à utiliser la norme TLS sécurisée ; si l’email ne peut pas transiter du
client au serveur de messagerie, puis vers le destinataire de l’email alors le message ne
sera pas envoyé
1.3.1.2.Sécurité de la messagerie électronique avec des certificats numériques
Un certificat numérique est un outil de cryptage que l’on peut utiliser pour sécuriser un email
cryptographiquement. Les certificats numériques sont un type de cryptage a clé publique.
Le certificat permet aux utilisateurs de s’envoyer mutuellement des emails à l’aide d’une clé de
cryptage publique prédéfinie ; il permet également de crypter chacun, ces courriels sortant pour
les autres les protocoles de sécurité des emails sont des structures qui protègent ceux-ci contre les
interférences extérieures.
1.3.1.3.Sécurité de la messagerie électronique avec les protocoles SPF (Sender Policy
Framework)
C’est un protocole d’authentification qui protège théoriquement contre l’usurpation de domaine ;
SPF introduit des vérifications de sécurité supplémentaires qui permettent à un serveur de
messagerie de déterminer si un message provient du domaine ou si quelqu’un utilise le domaine
pour masquer sa véritable identité ; un domaine est une partie d’Internet qui tombe sous un seul
nom par exemple univ-dschang.org.
Les pirates et les spammeurs masquent régulièrement leur domaine lorsqu’ils tentent d’infiltrer
un système ou d’arnaquer un utilisateur car un domaine peut être tracer par emplacement et
propriétaire ou à tout le moins mis sur liste noire ; en usurpant un email malveillant en tant que
domaine de travail sain ; il a de meilleure chance qu’un utilisateur sans méfiance clique ou ouvre
une pièce jointe malveillante.
Le SPF comprend trois éléments principaux :
• Le cadre
• Une méthode d’authentification et un entête de courriel électronique spécialise véhiculant
les informations
1.3.1.4.Sécurité de la messagerie électronique avec DKIM (Domain Keys Identified Mail)
Le DKIM est un protocole anti-falsification qui garantit que le courriel reste sécurisé pendant le
transport ; il utilise des signatures numériques pour vérifier que l’email a été envoyé par un
domaine spécifique ; de plus il vérifie si le domaine a autorisé l’envoi de l’email ; en cela c’est
une extension de SPF (car SPF s’assure que l’adresse qui communique est connue du serveur).
En pratique DKIM facilite le développement de liste noire et de liste blanche de domaine.
1.3.1.5.Sécurité de la messagerie électronique avec DMARC (Domain-based Message
Authentification Reportions and Conformance)
Le DMARC est une technologie qui permet à des domaines de toute taille de protéger leur nom
contre l’usurpation d’identité ; la clé finale du verrouillage du protocole de sécurité des emails
est l’authentification, la génération de rapport et la conformité des messages bases sur les
domaines ; c’est donc un système d’authentification qui valide les normes SPF et DKIM pour se
protéger contre les activités frauduleuses provenant d’un domaine ; DMARC est ainsi un élément
clé de la lutte contre l’usurpation de domaine il fonctionne en empêchant l’usurpation de
l’adresse en-tête de (de l’émetteur). La démarche est la suivante
• Faire correspondre le nom de domaine ‘en-tête de’ avec le nom de domaine ‘enveloppe
de’. Le nom de domaine ‘enveloppe de’ est défini lors du contrôle SPF
• Faire correspondre le nom de domaine ‘en-tête de’ avec ‘le nom de domaine d=’ trouve
dans la signature DKIM (DKIM fonctionne comme boite noire ici)
DMARC donne les instructions à un fournisseur de messagerie sur la façon de gérer les emails
entrants ; si l’email ne respecte pas le contrôle SPF et/ou l’authentification DKIM, il est rejeté.

1.3.1.6.Sécurisation de la messagerie par chiffrement de bout en bout avec S/MIME

(Secure/Multipurpose Internet Mail Extensions)
La S/MIME est un protocole de chiffrement de bout en bout de longue date ; elle crypte l’email
avant son envoi mais pas l’expéditeur, le destinataire ou d’autres parties de l’entête de l’email ;
seul le destinataire peut déchiffrer le message.
S/MIME est implémentée par le client de messagerie mais nécessite un certificat numérique ; la
plupart des clients de messagerie moderne prenne charge S/MIME mais il convient toujours de
vérifier la prise en charge spécifique de l’application et du fournisseur de messagerie préféré.
1.3.1.7.Sécurisation d’une messagerie par PGP (Pretty Good Privacy) ou openPGP
PGP est un autre protocole de chiffrement de bout en bout qui possède une version open
largement utilisée c’est pourquoi on parle de openPGP ; il est intégré dans de nombreuses
applications de service modernes et reçoit des mises à jour fréquentes. Comme S/MIME un tiers
peut toujours accéder aux métadonnées de l’email telles que les informations sur l’expéditeur et
le destinataire de l’email ; il est possible d’ajouter openPGP a une configuration de sécurité des
messageries à l’aide de l’une des applications suivantes :
• GPG4win pour les utilisateurs de Windows
• GP suite pour macintosh
• GNUPG pour les utilisateurs de linux
• OpenKeyChain sous Android
 • PGPpartout sous IOS
L’implémentation d’openPGP dans chaque programme est légèrement différente ; chaque
programme a un développeur diffèrent qui utilise le protocole openPGP pour crypter les
emails cependant, ce sont tous des programmes de cryptage fiable auquel on peut faire confiance
avec ces données ; openPGP est également l’un des moyens les plus simple d’ajouter du
chiffrement a sa vie sur une variété de plateforme.
1.3.1.8.Importance des protocoles de sécurité de la messagerie
Les protocoles de sécurité de la messagerie électronique sont extrêmement importants car ils
renforcent la sécurité des emails ; sans ces protocoles les emails sont vulnérables car SMTP n’a
pas de sécurité intégrée et l’envoi d’un email en texte brut est plus que risque surtout s’il contient
des informations sensibles.
1.3.2. Sécurisation d’un forum de discussion
Le protocole https peut être un véritable challenge pour les fora avec un nombre important de
membre et de message ; le passage a https pour les fora anciens est souvent complexe, car
l’affichage de labels sécurises dépend de certaines conditions il faut donc réfléchir aux avantages
et inconvénients avant de sécuriser son forum.
Le fonctionnement des fora de discussion impose aux utilisateurs de s’inscrire en renseignant un
nom d’utilisateur et un mot de passe ; sur les fora en http, la collecte de ces informations
sensibles peut être considéré comme potentiellement non sécurisé sur les navigateurs récents ; les
internautes peuvent voir des avertissements de sécurité sur les pages en http qui affichent un
formulaire de connexion. Malgré tout, ces données sensibles sont correctement protégées sur tous
les fora en http comme en https.
L’activation du certificat SSL permet d’afficher le forum en https ; ce protocole chiffre augmente
la sécurité des membres en protégeant davantage leur information de connexion mais le vrai
avantage de sécuriser son forum avec un certificat SSL est la mise en avant du protocole HTTPS
par les navigateurs et moteurs de recherche.
Un forum sécurisé dispose d’une mise en avant dans les navigateurs internet qui est considéré
comme une marque de confiance pour les utilisateurs. Il existe de nombreux avantages à créer un
forum sécurisé a l’aide du protocole https notamment :
- Le chiffrement des transmissions des données entre le serveur d’hébergement et le
navigateur permet d’améliorer la sécurité des membres
- Le protocole https améliore le référencement sur les moteurs de recherche
- Les certificats SSL fonctionnent sur les principaux navigateurs
- Les petites annonces du forum profitent également de cette option
Sur les fora déjà existant ; Le passage à https peut s’avérer plus complique selon plusieurs
critères
• L’ancienneté du forum
 • Le nombre de membres et de messages
• Les services d’hébergement utilisent pour héberger les images, les scripts, les feuilles de
style …
1.3.2.1.Comment créer un forum sécurisé via SSL ?
La démarche de création d’un forum sécurisé via SSL est la suivante
• Créer un forum dans un espace tel que forum actif
• A l’issue de la création, le forum de discussion est immédiatement disponible en http
• Se connecter au forum et accéder au panneau d’administration
• Le certificat SSL étant payant, l’onglet gestion des crédits puis l’option résume/synthèse
permet de commander l’installation d’un certificat gratuit
• Activer la fonctionnalité dans activation du certificat SSL(HTTPS) pour obtenir le
forum sécurisé en HTTPS4
1.3.2.2.Les avantages d’un passage HTTPS
Il existe de nombreux avantages à créer un forum sécurisé à l’aide du protocole HTTPS, les
principaux points positifs qui peuvent motiver à sécuriser un forum sont les suivants :
- Le chiffrement des transmissions de données entre le serveur d’hébergement et le
navigateur permet d’améliorer la sécurité des membres
- Le protocole HTTPS améliore le référencement sur le moteur sur les recherches
- Les certificats SSL fonctionnent sur les principaux navigateurs
- Les petites annonces du forum profitent également de cette option
Outre ces avantages on peut relever
• Un léger bonus en référencement
• Une mise en avant de la sécurité sur les navigateurs
• Le HTTPS tend à devenir une norme sur le web
1.3.2.3.Les inconvénients d’un passage en HTTPS
Le passage en HTTPS d’un forum présente quelques difficultés notamment
- Une mise à jour complexe des liens à faire : en effet pour avoir un label sécurisé en vert,
toute les ressources disponibles sur une page doivent être appelées en HTTPS ; certains
navigateurs peuvent afficher une alerte ou encore bloquer l’affichage des ressources
appelées en http
- Passer de http a HTTPS équivaut à une migration avec changement de domaine ; de
manière générale, une migration prend toujours du temps et peut entrainer des pertes de
position dans les résultats des moteurs de recherche
- Réinitialisation des compteurs de partage sociaux imposés
1.3.2.4.Démarche pour la sécurisation d’un forum fonctionnel
A la différence d’un forum se trouvant sur un domaine avec un SSL préinstallé et où la bascule
en https est immédiate. L’installation et l’activation d’un certificat SSL pour un forum se trouvant
sur un domaine ne disposant pas de SSL préinstallé peuvent prendre jusqu’à 24 heures ; des lors
que ces opérations seront terminées, le certificat SSL du forum est installé et donne l’accès au
paramétrage du protocole forum ; la démarche générale de migration est la suivante
• Commander l’installation du certificat SSL du forum via le panneau d’administration
puis général puis adresse internet du forum et enfin certificat SSL
• En cas d’existence d’un bloc de configuration du protocole HTTPS ; cela signifie que le
forum se trouve sur un domaine ayant déjà un SSL préinstallé, il faut directement accéder
aux options de contrôle du protocole de forum http/HTTPS ; l’installation et
l’activation du certificat SSL ainsi que la sécurisation des url du forums en https est alors
immédiate ;
• En cas d’existence d’un bouton installer le certificat, cela signifie que le forum se trouve
sur un domaine n’ayant pas de SSL préinstallé ; dans ce cas, il faut l’installer
manuellement en cliquant sur le bouton
• Une fois le certificat SSL du forum installé ; dans le bloc configuration du protocole
l’option protocole du forum permet de choisir si l’on souhaite avoir un forum en http ou
en HTTPS
• Tester le nouveau forum HTTPS
Une fois le forum en HTTPS, il faut penser à faire le tour et vérifier que tout fonctionne
correctement ; notamment regarder si les problèmes de contenu mixte sont présents.
1.3.3. Sécurisation du transfert de fichiers
La Sécurisation du transfert de fichiers se fait à travers de nombreux protocoles. Avant de
déployer une solution de transfert de fichiers sécurisé, il convient d’abord d’acquérir des
connaissances élémentaires sur des protocoles potentiellement utilisables afin de garantir des
transferts sûr et sécurisé. Les principaux protocoles de transfert de fichier sont les suivants :

1.3.3.1.Protocole FTP
Le protocole FTP est le premier protocole de transfert de fichier, c’est une méthode populaire de
transfert de fichier mise en place depuis des décennies ; il échange des données via deux canaux
sépares notamment : le canal de commande et el canal de données.
Aucun des deux canaux FTP étant crypte, les données transmises via ces canaux peuvent être
détournées ; l’accès FTP nécessite toutefois un nom d’utilisateur et un mot de passe
1.3.3.2.Protocole FTPS
FTPS est un protocole FTP via SSL/TLS, ce protocole de transfert de fichier sécurisé permet de
transférer des fichiers en toute sécurité avec des partenaires commerciaux, des clients, des
utilisateurs … ; les transferts peuvent être authentifie par le biais de méthodes prises en charge
par FTPS comme des certificats clients, serveurs et des mots de passe.
1.3.3.3.Protocole SFTP
SFTP est un protocole FTP sécurisé par SSH ; il constitue une alternative intéressante aux outils
FTP non sécurisés et aux scripts manuels en échangeant des données via une connexion SSH et
en fournissant aux organisations une protection élevée des transferts de fichiers entre leur
système et partenaire commerciaux, et employés ou encore dans le cloud.
1.3.3.4.Protocole SCP (Secure Copy Protocol)
SCP est un ancien protocole réseau qui prend en charge les transferts de fichier entre plusieurs
hôtes sur un réseau. Assez proche de FTP, SCP prend cependant en charge les fonctions de
cryptage et d’authentification.
1.3.3.5.Protocole http/HTTPS
Epine dorsale du web, le protocole http constitut la base même de la communication des données,
il définit le format des messages via lesquels les navigateurs et les serveurs web communiquent et
définit la façon dont un navigateur web doit répondre à une requête web. Http est un protocole
sans état qui utilise TCP comme couche de transport. En d’autres termes, chaque commande est
exécutée de façon indépendante et aucune information de session n’est conservée par le
destinataire.
HTTPS est la version sécurisée de http et permet un cryptage des communications via TLS ou
SSL.
1.3.3.6.Protocole AS2(Applicability Statement), AS3 et AS4
Ce sont des protocoles répandus utilise pour effectuer et sécuriser des transferts de fichier
critique.
AS2 permet de transmettre les données sensibles de façon fiable et sécurisé par internet ; il utilise des
certificats numériques et des normes de cryptage pour protéger les informations critiques ; notamment
lorsqu’elles transitent entre différents systèmes réseaux et emplacements.

AS3 est une norme pouvant servir à transmettre quasiment n’importe quel type de fichier ; elle fournit
une couche de sécurité pour la transmission de données par le biais de signatures numériques et du
cryptage des données. AS3 a été créer à l’origine pour le transfert des données comme les documents
XML dans le cadre de données inter-entreprise ; contrairement à AS2 qui est un protocole de transfert
défini, AS3 est plutôt une norme de messages et porte principalement sur la façon dont un message doit
être formaté lors de sa transmission d’un serveur à l’autre. Dès lors qu’un message AS3 a été compose, il
peut être transmis via n’importe quel autre protocole sécurisé ou nom à condition que les deux parties
puissent accéder à l’emplacement ou le message a été dépose.

AS4 est un protocole permettant aux entreprises d’échanger en toute sécurité des données avec leur
partenaire ; il s’applique sur les principes d’AS2 mais collabore avec des services web tout en fournissant
des notifications de livraison améliorée. Etant une norme interentreprise, AS4 facilite un échange
sécurisé et simplifie des documents via internet

1.3.3.7.Protocole Pesait (Protocole d’échanges pour un système interbancaires de

télecompensation)
Pesit est un protocole de transfert de fichiers de bout en bout sécurisé développé par le GSIT
(Groupement économique pour un Système interbancaire des telecompensation). Si son
utilisation reste peu répandue en Amérique du nord et s’il vise surtout à respecter les normes
bancaires Européenne et à transférer les communications destinées aux banques d’Europe ou
émanent de celle-ci.
1.3.4. Sécurisation du world Wide Web (WWW)
La diffusion du web dans le monde et son utilisation pour les applications commerciales ont mis
en relief l’importance des problèmes de sécurité dans un environnement ouvert comme le web.
La sécurité d’un système résulte de la mise en œuvre d’un certain nombre d’éléments
notamment :
- Une politique d’intégrité de chacun des systèmes de façon à ce qu’il n’existe aucun trou
de sécurité
- Les mécanismes d’authentification qui garantissent l’identité des utilisateurs ou autres
entités sur le réseau
- Les mécanismes de contrôle d’accès qui vérifient que seules les opérations autorisées sur
les objets du réseau sont exécutées
- Les techniques de confidentialité qui garantissent que les données véhiculées sur le réseau
pourront rester secrète
Les navigateurs sont actuellement les plus complexes et les plus volumineux des logiciels du web
c’est pourquoi ils sont appelés client double ; Ils sont de ce fait les plus susceptible d’être utilise
pour mettre en jeu la sécurité des systèmes sur le réseau. La principale faiblesse des navigateurs
du point de vue de la sécurité n’est pas le programme lui-même mais plutôt les programmes
externes qui peuvent être appelé par le navigateur. Certains de ces programmes peuvent avoir des
trous de sécurité et jouer le rôle de cheval de Troie pour la sécurité du système.
Il est en particulier recommandé de suivre les règles suivantes :
• Le serveur doit s’exécuter avec des privilèges minimums
• Le serveur doit être en dehors du pare feu
• Le serveur web doit si possible être sur une machine spécifique
1.3.5. Sécurisation de la discussion en ligne
Le statut Off-The-record (OTR) utilise une combinaison d’un algorithme de clé symétrique AES,
du protocole d’échange de Diffie-Hellman et de la fonction de hachage SHA-1. Il permet d’avoir
des conversations privées sur de multiple protocole de messagerie instantanée notamment
XMPP/Jabber, IRC, SILC, MSN en fournissant :
- Le chiffrement : personne d’autre ne peut lire le message instantané
- Authentification : il s’assure que le correspondant est celui que l’on pense être. Il existe
trois méthodes d’authentification :
▪ Questions et réponses
▪ Le secret partagé
▪ Vérification manuelle d’empreinte
 - Déni plausible : n’importe qui peut forger des messages avant ou après une conversation
privée pour leur faire voir comme s’ils venaient de soi. Cependant, pendant une
conversation privée, le correspondant est assuré que les messages qu’il voit son
authentique et non modifie.
- La confidentialité persistante : si on perd la maitrise de ses clés privées, aucune
conversation antérieure n’est compromise

OTR se présente sous la forme d’un greffon a un client de messagerie instantanée ou alors il y est
intégré nativement. Tous les protocoles ou presque supportés par les clients de messagerie
instantanée peuvent utiliser OTR ; il doit être installé sur chaque interlocuteur pour être actif. Les
différents OTR sont compatibles entre eux. OTR est différent du paramètre Off-The-Record de
Google talk qui désactive simplement l’archivage des conversations.
1.3.6. Sécurisation des accès a des systèmes distants
Dans un réseau d’ordinateurs basé sur le protocole d’adressage IP, le VRF (Virtual Routin and
Fowarding) est une technologie permettant de créer des routeurs virtuels à partir d’un routeur
physique ceci afin de rendre possible la coexistence de multiples tables de routage dans un même
routeur physique ; les instances de routage étant indépendante, les mêmes adresses IP ou qui se
chevauchent peuvent être utilisées sans conflits. La fonctionnalité du réseau est ainsi améliorée
car les chemins de réseau peuvent être ainsi segmentés sans devoir utiliser plusieurs routeurs
physiques ; contrairement au VLAN qui tourne au niveau de la couche liaison de données dans le
modelé OSI et qui virtualise les (auto)commutateurs notamment les switches ; les VRF
tournent au niveau de la couche trois (3, réseau) du modèle OSI et virtualise les routeurs.
Le VRF peut être mis en œuvre dans un périphérique réseau par des tables de routage distinctes
appelées FIB (Forwarding Information Bases). Un périphérique réseau peut également être en
mesure de configurer différents routeurs virtuels chacun d’entre eux possédant sa propre FIB qui
n’est accessible à aucune autre instance de routeur virtuel
Telnet est un protocole de la couche application utilisé sur Internet ou sur les réseaux locaux
pour fournir une fonction de communication bidirectionnelle, interactive et textuelle qui utilise
une connexion de terminal virtuel ; les données de l’utilisateur sont disséminées en mode intra
bande avec l’information de contrôle Telnet codée dans une connexion donnée de toé octet de 8
bits à l’aide du protocole TCP.
SSH est un protocole de réseau cryptographique permettant d’exploiter les services réseau en
toute sécurité sur un réseau non sécurisé ; l’exemple d’application le plus connu est la
connexion à distance aux systèmes informatique par des utilisateurs.
Souvent lorsque ces technologies sont utilisées ensemble, elles créent de la confusion en
particulier lorsque l’on tente d’accéder à distance a un périphérique via une interface qui
appartient à une instance VRF de routage non global

Chapitre 2 Sécurisation de quelques services

2. Sécurisation de quelques services
2.1.Démarche de sécurisation des conversations de groupe
La question de sécurisation des canaux de communication reste d’actualitéé avec une multitude
de plateforme de conversation qui sont développeé çà et là et qui sont accessibles via le web ;
lesquels auront des fonctionnalités adéquates et sécurisées pour organiser des réunions internes,
sensibles et tenir des sessions de formation en ligne ou des cours à distance sans compromettre la
confidentialité et la sécurité des participants. Cette section présente des critères pour le choix des
meilleurs outils ou plateformes de conversation de groupe ; il existe en effet deux types de
chiffrement :
- Le chiffrement de bout en bout : ici le message est chiffre avant de quitter l’appareil
émetteur et n’est déchiffré que lorsqu’il atteint l’appareil de destination prévue.
- Le chiffrement vers le serveur : le message n’est pas chiffre pendant tout son trajet ; il
est chiffre avant de quitter l’appareil mais le service utilise comme google meet ou
Microsoft Teams le déchiffré pour le traiter et le crypte a nouveau avant de l’envoyer au
destinataire. Le chiffrement vers le serveur n’est donc acceptable que si une entière
confiance est accordée au serveur.
Des outils largement utiliséé tels que zoom, Skype, télégramme et WhatsApp comportent une
marge de risque assez importante. Ils devraient à cet effet être utilise avec beaucoup de prudence
2.1.1. Critères pour choisir les plateformes de conversation