Bitcoin is a swarm of cyber hornets serving the goddess of wisdom,

feeding on the fire of truth, exponentially growing ever smarter, faster,

and stronger behind a wall of encrypted energy

Dédicaces

Je dédie ce travail à mes parents : Monsieur et Madame TACHUM.

Pour leur volonté, leurs énormes sacrifices et pour l’amour qu’ils ont su me
donner tout au long de ma formation. Je leur suis infiniment reconnaissant.

Remerciements

Qu’il me soit permis d’exprimer ma profonde gratitude à :

DIEU Tout Puissant, pour m’avoir donné la force, la santé et l’intelligence

nécessaires pour accomplir ce travail ;

Monsieur le Représentant Résident de l’Institut Africain d’Informatique,

Représentation du Cameroun, ainsi que tout le corps professoral et
administratif pour l’ensemble des enseignements et conseils prodigués à
mon égard ;

La société CaWaD qui m’a accueilli pendant ces trois mois de stage ;

A tout ceux qui de près ou de loin ont contribué à la réalisation de ce

travail, je pense notamment à :

La famille FOTSO ;

Tous mes frères, sœurs, cousins et cousines ;

Mes camarades de promotion ;

Mes amis ;

Enfin, tous ceux que je n’ai pas pu citer.

Table des matières

TABLE DES FIGURES 5

INTRODUCTION GENERALE 6

PREMIERE PARTIE : INSERTION DANS L’ENTREPRISE 7

Introduction 8

I. Présentation de la structure 9

I.1 Historique 9

I.2 Objectifs et activités 9

I.3 Organigramme 11

I.4 Plan de localisation 11

II. Phase d’insertion 12

II.1 Prise de contact 12

II.2 Imprégnation de l’entreprise 12

Conclusion 14

DEUXIEME PARTIE : TRAVAIL TECHNIQUE 15

Introduction 16

III. Cahier des charges 17

IV. Aperçu du réseau existant et justification du projet 18

V. Choix de la solution à déployer 20

V.1 Choix de l’architecture et de la norme du réseau 20

V.2 Choix des paramètres de Sécurité 22

V.3 Choix du matériel réseau 27

VI. Présentation détaillée de la solution retenue 32

VI.1 Conception physique 32

VI.2 Conception logique 33

VI.3 Composants logiciels et materiels necessaires 35

VI.4 Estimation du coût de déploiement 37

VII. Mise en place éffective de la solution retenue 38

VII.1 Plan d’adressage 38

VII.2 Installation d’une autorité de certificat racine 38

VII.3 Installation et configuration du serveur Radius 42

VII.4 Installation et sécurisation du point d’accès Wi-Fi 46

VII.5 Configuration d’un client d’accès Wi-Fi sous Windows XP SP2 48

VII.6 Configuration d’un client d’accès Wi-Fi sous LINUX UBUNTU 52

VIII. Observations et tests 58

IX. Perspectives d’avenir du réseau Wi-Fi de CaWaD 59

IX.1 La veille technologique 59

IX.2 Les portails captifs ou « cybercafés virtuels » 59

X. La conduite du projet 62
CONCLUSION 63

BIBLIOGRAPHIE 64

WEBOGRAPHIE 64

ANNEXES 65

Annexe1 Généralités sur le Wi-Fi 65

Annexe2 Généralités sur les attaques dans un réseau sans fil 71

Annexe3 Généralités sur les certificats 73

Annexe4 Généralités sur le protocole RADIUS 75

Annexe5 Glossaire des principaux sigles et acronymes utilisés 77

TABLE DES FIGURES

FIGURE 1 : ORGANIGRAMME DE LA STRUCTURE D’ACCUEIL 11

FIGURE 2 : PLAN DE LOCALISATION DE LA STRUCTURE D’ACCUEIL 11

FIGURE 3 : SCHÉMA DU RÉSEAU FILAIRE EXISTANT 18

FIGURE 4 : CLÉ USB SANS FIL D-LINK DWA-110 28

FIGURE 5 : POINT D’ACCÈS CISCO AIRONET 1100 29

FIGURE 6 : POINT D’ACCÈS LINKSYS-WRT54G 30

FIGURE 7 : POINT D’ACCÈS D-LINK DWL-2100AP 30

FIGURE 8 : SCHÉMA DU RÉSEAU DÉFINITIF 32

FIGURE 9 : CONCEPT DE SOLUTION BASÉ SUR L’AUTHENTIFICATION EAP-

TLS 802.1X 33

FIGURE 10 : VUE DÉTAILLÉE DU PROCESSUS D’ACCÈS EAP-TLS 802.1X 35

FIGURE 11 : CYBERCAFÉS VIRTUELS 60

FIGURE 12 : SCHÉMA THÉORIQUE D’UN PORTAIL CAPTIF 61

FIGURE 13 : BANDE DE FRÉQUENCES UTILISÉES PAR LE WI-FI 65

FIGURE 14 : LE WARDRIVING 71

FIGURE 15 : RADIUS 76

FIGURE 16 : EN-TÊTE D’UN PAQUET RADIUS 76

TABLEAU 1 : RESSOURCES MATÉRIELLES DE CAWAD SARL 12

TABLEAU 2 : PORTÉES ET DÉBITS POUR LA NORME 802.11A 21

TABLEAU 3 : PORTÉES ET DÉBITS POUR LA NORME 802.11B 21

TABLEAU 4 : PORTÉES ET DÉBITS POUR LA NORME 802.11G 21

TABLEAU 5 : CONFIGURATION MATÉRIELLE MINIMALE DU SERVEUR

D’AUTHENTIFICATION 36

TABLEAU 6 : COÛT DE DÉPLOIEMENT DU WI-FI À CAWAD 37

INTRODUCTION GENERALE

Dans le cadre de la formation de ses étudiants, l’IAI (Institut Africain

d’Informatique) intègre en fin de troisième année un stage pratique en
entreprise en vue de mettre en application les connaissances acquises
tout au long de la période scolaire et de permettre une intégration facile et
rapide de ses diplômés en milieu professionnel. C’est ainsi que la société
CaWaD s’est portée garante pour nous accueillir et ainsi nous permettre
au mieux de parfaire notre formation. Le présent rapport a pour but de
présenter les différentes étapes que nous avons traversées tout au long de
cette période et de détailler dans les moindres détails les différents
travaux effectués lors de celle-ci. Comme l’indique le cahier de charge, il
comportera deux grandes parties à savoir la phase d’insertion dans
l’entreprise et la phase de travail technique.

PREMIERE PARTIE : INSERTION DANS L’ENTREPRISE

Introduction

Cette première partie est celle relatant les étapes de notre insertion dans
cette structure qui nous a aimablement accueillis. La structure y sera
brièvement présentée avant d’entrer dans le vif du sujet, à savoir
l’insertion dans l’entreprise.

I. PRÉSENTATION DE LA STRUCTURE
I.1 HISTORIQUE

CaWaD Sarl, société à responsabilité limitée, est une société de services

en ingénierie informatique créée en octobre 2003 et spécialisée dans le
conseil, la conception, la création et le développement d’applications web
et sites Internet.

Après cinq années d’existence, l’agence s’est dotée d’un studio

multimédia (CaWaD Design) et d’un laboratoire de recherche et
développement (CaWaD Labs).

CaWaD Labs est un département spécialisé dans la recherche et l’étude de

technologies et stratégies de développement de sites, services,
applications et solutions web pour entreprises et particuliers. Les résultats
de ses travaux en Web Consulting et audit informatique ont été utilisés
comme références dans plusieurs projets. Ce département est par
exemple à l’initiative du projet aJob4You (devenu EmploiCameroun.org) ou
de l’intégration de solutions web et e-business chez Solution Technology
Corporation SARL.

I.2 OBJECTIFS ET ACTIVITÉS

Les objectifs de la société CaWaD ne sont pas des moindres. Entre autres
on a :

F accompagner ses clients dans leurs projets Internet afin de leur donner
une réelle valeur ajoutée par la mise à contribution de technologies
efficientes ;

F leur offrir une aide spécifique, propre à leurs objectifs, leur vision et leurs
exigences ;

F leur donner de réels atouts de succès par le conseil, l’expertise et

l’assistance après le lancement de leur projet ;

F vulgariser l’utilisation d’Internet et des nouveaux media auprès du grand

public, des entreprises et des collectivités.
Au fil du temps, CaWaD a su imposer ses compétences et son savoir-faire
auprès de nombreux clients. Que l’on appartienne au grand public, à une
PME/PMI ou à une collectivité, l’on trouve en CaWaD le partenaire pour
mener à bien les projets Internet, intranet ou extranet. L’objectif de
CaWaD est d’apporter des réponses pragmatiques et efficaces sous forme
de solutions adaptées aux problématiques de chaque métier.

Ses activités sont regroupées en cinq pôles :

F Solutions web et logiciels

Ce pôle comporte la création de sites web, l’hébergement web

professionnel, la création d’applications web et Intranet, le référencement
et le e-marketing, la création de logiciels de gestion. CaWaD réalise
différents types de sites Web adaptés aux besoins de ses clients.

F Etudes, audit et conseil

Ici on retrouve les systèmes d’information, l’étude et conduite de projets,

l’audit et conseil IT, l’informatique décisionnelle, du Outsourcing.

F Multimédia & Print

Ceci consiste en la définition de l’Identité visuelle d’entreprise, à

l’infographie & PAO, au montage Audio et Vidéo et à la Post production.

F Hardware & Réseaux

Ce module regroupe l’installation de réseaux & VSAT, la gestion de parcs,

la fourniture de matériels, la maintenance.

F Formation et RH
Ce pôle consiste en la formation professionnelle, l’e-Learning, la formation
en alternance, les séminaires IT.

I.3 ORGANIGRAMME

Figure 1 : Organigramme de la structure d’accueil

I.4 PLAN DE LOCALISATION

Figure 2 : Plan de localisation de la structure d’accueil

II. PHASE D’INSERTION

II.1 PRISE DE CONTACT

Le mardi 08 juillet 2008, nous avons été reçus par le Directeur Général
adjoint. Il nous a présenté brièvement ce qu’il attendait de nous, et a
insisté sur l’éthique de leur structure à savoir le respect des engagements.

II.2 IMPRÉGNATION DE L’ENTREPRISE

Le début effectif de notre stage a eu lieu le 10 juillet 2008 après une prise
de contact de 2 jours. Ce jour, nous avons été reçus dans la salle de
conférence par le Directeur Général Adjoint qui nous a fait une
présentation générale de l’entreprise et nous a fait visiter l’ensemble les
locaux de la structure.

Il faudrait préciser ici que le personnel de cette entreprise est à la fois très
accueillant et tout aussi ouvert, ce qui a contribué à faciliter et accélérer
notre insertion.

F Ressources matérielles
Les ressources matérielles de CaWaD se résument dans le tableau
suivant :

Nombre

Type d’ ordinateur

Caractéristiques

Etat

01

Tour

Pentium IV 2.4GHz, RAM : 512, DD : 40Go

Bon

04

Desktop

Pentium III de 733 MHz, RAM : 128Mo, DD : 20 Go

Bon
02

Tour

Pentium III de 733 MHz, RAM : 128 Mo, DD :20 Go

Bon

03

Laptop

P IV de 2 GHz, RAM : 512Mo, DD : 40 Go

Bon

03

Imprimantes

Deux HP à jet d’encre et une HP laser

Bon

01

Photocopieuse

HP multifonctions (scanner, photocopieuse…)

02

Locaux techniques

Chacun ayant 1 DLink 8 ports

Bon

01

Trousse

Trousse complète de maintenance et de réseaux

Tableau 1 : Ressources matérielles de CaWaD Sarl

F Ressources logicielles

Comme ressources logicielles on peut citer :

F Les systèmes d’exploitation : Windows 2003 serveur, XP professionnel,

UBUNTU ;

F Antivirus : Kaspersky, AVG ;

F Applications : Adobe Photoshop, Office 2003, Desknow, Dreamweaver,

Notepad, Adobe Flash.
F Ressources humaines

Le personnel de CaWaD est constitué d`une quinzaine de personnes très

jeunes et dynamiques, et qui sont en grande partie des anciens étudiants
de l’IAI-Cameroun. Notons tout de même qu’en grande partie ce personnel
est comprend des consultants spécialisés dans les différents domaines de
l’informatique à savoir la maintenance des équipements, les réseaux, le
multimédia, la bureautique, le webmastring et l’informatique de gestion.

Conclusion

Après cette période d’insertion passée au sein de la société CaWaD, nous

pensons avoir acquis le nécessaire afin de poursuivre sans encombre la
suite de notre stage. De ce fait nous passons à la seconde partie à savoir
le travail technique.

DEUXIEME PARTIE : TRAVAIL TECHNIQUE

Introduction

Après la phase d’insertion qui nous a permis de nous familiariser avec les
horaires de travail et les attitudes à adopter au sein de la structure, nous
passons à celle qui est essentiellement consacrée au compte rendu du
travail technique réalisé au cours du stage. Sous les instructions de nos
encadreurs, nous avons été amenés à travailler sur le thème suivant : «
Déploiement d’un réseau sans fil Wi-Fi avec authentification basée sur des
certificats ».

Les réseaux informatiques sont devenus en l’espace de quelques années,

des axes majeurs de communication. Ceci est notamment vrai pour une
entreprise d’ingénieurs qui maîtrisent, pour la plupart, assez bien les
technologies de l’information et de la communication. Aujourd’hui, les
principaux développements de ces réseaux visent à favoriser la mobilité,
pour répondre aux nouveaux besoins des assistants personnels, des
téléphones et ordinateurs portables, qui sont par essence mobiles et
qu’on retrouve de plus en plus dans la société.

Les réseaux sans-fil permettent à leurs utilisateurs de se connecter de

n’importe où et d’accéder aux ressources de leurs réseaux pour peu qu’ils
soient à la portée de ceux-ci. Cependant, lorsqu’un réseau filaire existe
déjà, une analyse profonde des solutions existantes doit être menée afin
que la sécurité, la performance et la qualité du réseau global soient de
rigueur. Ainsi, il a été établi, en collaboration avec tous les acteurs de ce
projet un cahier des charges qui nous a servi de base pour les diverses
études et le déploiement à proprement parler du réseau sans fil Wi-Fi à
CaWaD.

III. CAHIER DES CHARGES

Plusieurs choses étaient primordiales pour avoir une ligne directrice du

projet. En voici quelques caractéristiques principales du réseau à
implémenter :

A. La technologie Wi-Fi

L’équipement envisagé doit être simple et peu onéreux, ce qui implique

l’utilisation d’une technologie assez répandue. En outre, toutes les
installations doivent utiliser la même technologie.

B. La sécurité

Le principal problème des réseaux Wi-Fi est leur fragilité vis-à-vis des
attaques externes. Le cryptage et l’authentification devront être simples
pour les personnes connectées et très difficiles à casser. De préférence, les
certificats pourront être utilisés pour l’authentification.

C. La couverture
La couverture minimale du réseau doit correspondre à tous les bureaux
ainsi qu’aux salles de conférence et de formations. Une étude devra être
menée pour 14 machines au moins et 30 au plus.

D. L’interaction avec le réseau existant

Le passage de la connexion sans-fil à la connexion au réseau filaire doit

être transparent pour l’utilisateur. Tous les équipements de l’entreprise
doivent pouvoir se connecter avec une grande facilité. De même,
l’adressage du réseau ne devra pas être modifié afin de ne pas pénaliser
les utilisateurs du réseau pendant le déploiement du sans fil. Une
réutilisation de l’infrastructure en place est recommandée.

E. La sécurisation des bornes

Les bornes doivent être protégées contre le vol et les incidents divers.
Elles doivent être physiquement et logiquement inaccessibles.

IV. APERÇU DU RÉSEAU EXISTANT ET JUSTIFICATION DU PROJET

Les bureaux administratifs sont câblés en paires torsadées à partir de 2

baies de brassage. Les baies de brassage sont interconnectées via une
liaison câblée.

Actuellement 7 équipements (PC ou Laptops) sont connectés au réseau.

Trois autres machines restent encore isolées du réseau. La salle de
conférence n’est pas encore reliée au réseau de l’entreprise, la salle des
formations en cours d’aménagement aussi.

Pour les salles actuellement connectées au réseau local, aucune politique

de contrôle d’accès n’a été mise en place. Le partage des données et des
ressources matérielles s’effectuant via le groupe de travail « CaWaD».
Windows 2003 Server Entreprise Edition a été installé sur le serveur qui
joue le rôle de passerelle. Cependant, aucune véritable fonctionnalité de
ce serveur n’est utilisée. L’adresse de sous réseau est 192.168.10.0 et le
masque 255.255.255.0. L’adressage des postes est manuel. La zone de
couverture à les caractéristiques suivantes : 20m*12m soit 240m² sur le
même étage.

J20m

J12m

Figure 3 : Schéma du réseau filaire existant

A la question de savoir les raisons ayant favorisé le choix de ce projet, il

nous a été répondu par plusieurs points. Notamment, CaWaD est en train
de négocier l’acquisition d’une dizaine de machines. Et afin d’éviter un
câblage fastidieux nécessitant des percées de trous dans les murs, toutes
ces machines devront être configurées pour pouvoir accéder au réseau de
l’entreprise par le Wi-Fi.

Bien plus, il nous a été signalé la forte croissance du nombre d’

ordinateurs portables au sein de CaWaD. Ces ordinateurs étant pour la
plupart récents disposent par défaut intégré un adaptateur sans fil Wi-Fi.
Donc, plus besoin d’installer des câbles pour connecter ces machines.

La mobilité dans les différents bureaux a été un autre argument ayant

poussé à choisir ce projet. Le personnel de CaWaD étant constitué en
majorité de consultants, ceux-ci devront pouvoir se connecter au réseau
avec leurs ordinateurs portables lorsqu’ils sont sollicités pour un projet au
sein de la maison et ceci à partir de n’importe quel bureau.

Enfin, les problèmes de recâblage à chaque déménagement ont renforcé

le joug favorisant le déploiement du réseau sans fil à CaWaD. En effet,
CaWaD est toujours à la recherche d’un emplacement pour son installation
définitive, ainsi il n’est pas exclut que l’on vienne à changer les locaux
d’un moment à l’autre. Un réseau sans fil évitera les câblages répétitifs à
chaque déménagement.
V. CHOIX DE LA SOLUTION À DÉPLOYER

Le déploiement d’un réseau sans fil Wi-Fi doit passer par une étude
détaillée des solutions architecturales, matérielles et sécuritaires
existantes pour être en accord avec les principes évoquées dans le cahier
de charge.

V.1 CHOIX DE L’ARCHITECTURE ET DE LA NORME DU RÉSEAU

Sur ces points, nous avons retenu les mesures suivantes :

A. Le mode de fonctionnement

Le Wi-Fi peut fonctionner suivant 2 modes : ad hoc et infrastructure. En

mode ad hoc, il n’y a pas d’infrastructure quelconque à mettre en place.
Les échanges entre clients Wi-Fi s’effectuent lorsqu’ils sont à portée
d’ondes radios. Donc, il n’y a pas de sécurité possible dans un tel mode de
fonctionnement. Cependant, en mode infrastructure, on se base sur une
station spéciale appelée Point d’Accès (PA). Elle permet à une station Wi-Fi
de se connecter à une autre station Wi-Fi via leur PA commun. Une station
Wi-Fi associée à un autre PA peut aussi s’interconnecter. L’ensemble des
stations à portée radio du PA forme un BSS (Basic Service Set). Chaque
BBS est identifié par un BSSID (BSS Identifier) de 6 octets qui correspond
souvent à l’adresse MAC du PA. Tout ceci permet de contrôler les
connections au réseau afin d’y appliquer des politiques sécuritaires. Ainsi
notre choix s’est porté sur le mode infrastructure.

B. La norme de Wi-Fi

Les normes de Wi-Fi sont nombreuses et diverses. De toutes ces normes,

les plus connues sont 802.11a, 802.11b et 802.11g, qui sont les
principales du standard 802.11 ceci grâce à leur large intégration dans les
matériels et logiciels.

F 802.11a
La norme 802.11a permet d’obtenir un débit théorique de 54 Mbps, soit
cinq fois plus que le 802.11b, pour une portée d’environ une dizaine de
mètres seulement. La norme 802.11a s’appuie sur un codage du type
OFDM sur la bande de fréquence 5 GHz et utilise 8 canaux. Les
équipements 802.11a ne sont pas compatibles avec les équipements
802.11b/g. Il existe toutefois des matériels intégrant des puces 802.11a et
802.11b, on parle alors de matériels «dual band».

Débit théorique (en intérieur)

Portée

54 Mbits/s

10 m

24 Mbits/s

30 m

12 Mbits/s

50 m

Tableau 2 : Portées et débits pour la norme 802.11a

F 802.11b

La norme 802.11b permet d’obtenir un débit théorique de 11 Mbps, pour

une portée d’environ une cinquantaine de mètres en intérieur et jusqu’à
200 mètres en extérieur (et même au-delà avec des antennes
directionnelles).

Débit théorique

Portée (en intérieur)

Portée (à l’extérieur)

11 Mbits/s

50 m

200 m

5,5 Mbits/s

75 m

300 m

2 Mbits/s

100 m

400 m

1 Mbit/s
150 m

500 m

Tableau 3 : Portées et débits pour la norme 802.11b

F 802.11g

La norme 802.11g permet d’obtenir un débit théorique de 54 Mbps pour

des portées équivalentes à celles de la norme 802.11b. D’autre part, dans
la mesure où la norme 802.11g utilise la bande de fréquence 2,4GHZ avec
un codage OFDM, cette norme est compatible avec les matériels 802.11b,
à l’exception de certains anciens matériels.

Débit théorique

Portée (en intérieur)

Portée (à l’extérieur)

54 Mbits/s

27 m

75 m

24 Mbit/s
42 m

140 m

12 Mbit/s

64 m

250 m

6 Mbit/s

90 m

400 m

Tableau 4 : Portées et débits pour la norme 802.11g

Remarque : Avec les normes 802.11b+ et 802.11g+, on atteint

respectivement des débits théoriques de 22 Mbit/s et 108 Mbits/s.

En somme, nous avons préféré le 802.11g au 802.11b. Cepen

Bitcoin is a swarm of cyber hornets serving the goddess of wisdom,

feeding on the fire of truth, exponentially growing ever smarter, faster,
and stronger behind a wall of encrypted energy

Dédicaces

Je dédie ce travail à mes parents : Monsieur et Madame TACHUM.

Pour leur volonté, leurs énormes sacrifices et pour l'amour qu'ils ont su me
donner tout au long de ma formation. Je leur suis infiniment reconnaissant.

Remerciements

Qu'il me soit permis d'exprimer ma profonde gratitude à :

DIEU Tout Puissant, pour m'avoir donné la force, la santé et l'intelligence

nécessaires pour accomplir ce travail ;

Monsieur le Représentant Résident de l'Institut Africain d'Informatique,

Représentation du Cameroun, ainsi que tout le corps professoral et
administratif pour l'ensemble des enseignements et conseils prodigués à
mon égard ;

La société CaWaD qui m'a accueilli pendant ces trois mois de stage ;

A tout ceux qui de près ou de loin ont contribué à la réalisation de ce

travail, je pense notamment à :

La famille FOTSO ;

Tous mes frères, soeurs, cousins et cousines ;

Mes camarades de promotion ;

Mes amis ;

Enfin, tous ceux que je n'ai pas pu citer.

Table des matières

TABLE DES FIGURES 5

INTRODUCTION GENERALE 6

PREMIERE PARTIE : INSERTION DANS L'ENTREPRISE 7

Introduction 8

I. Présentation de la structure 9

I.1 Historique 9

I.2 Objectifs et activités 9

I.3 Organigramme 11

I.4 Plan de localisation 11

II. Phase d'insertion 12

II.1 Prise de contact 12

II.2 Imprégnation de l'entreprise 12

Conclusion 14

DEUXIEME PARTIE : TRAVAIL TECHNIQUE 15

Introduction 16

III. Cahier des charges 17

IV. Aperçu du réseau existant et justification du projet 18

V. Choix de la solution à déployer 20

V.1 Choix de l'architecture et de la norme du réseau 20

V.2 Choix des paramètres de Sécurité 22

V.3 Choix du matériel réseau 27

VI. Présentation détaillée de la solution retenue 32

VI.1 Conception physique 32

VI.2 Conception logique 33

VI.3 Composants logiciels et materiels necessaires 35

VI.4 Estimation du coût de déploiement 37

VII. Mise en place éffective de la solution retenue 38

VII.1 Plan d'adressage 38

VII.2 Installation d'une autorité de certificat racine 38

VII.3 Installation et configuration du serveur Radius 42

VII.4 Installation et sécurisation du point d'accès Wi-Fi 46

VII.5 Configuration d'un client d'accès Wi-Fi sous Windows XP SP2 48

VII.6 Configuration d'un client d'accès Wi-Fi sous LINUX UBUNTU 52

VIII. Observations et tests 58

IX. Perspectives d'avenir du réseau Wi-Fi de CaWaD 59

IX.1 La veille technologique 59

IX.2 Les portails captifs ou « cybercafés virtuels » 59

X. La conduite du projet 62

CONCLUSION 63

BIBLIOGRAPHIE 64

WEBOGRAPHIE 64

ANNEXES 65

Annexe1 Généralités sur le Wi-Fi 65

Annexe2 Généralités sur les attaques dans un réseau sans fil 71

Annexe3 Généralités sur les certificats 73

Annexe4 Généralités sur le protocole RADIUS 75

Annexe5 Glossaire des principaux sigles et acronymes utilisés 77

TABLE DES FIGURES

FIGURE 1 : ORGANIGRAMME DE LA STRUCTURE D'ACCUEIL 11

FIGURE 2 : PLAN DE LOCALISATION DE LA STRUCTURE D'ACCUEIL 11

FIGURE 3 : SCHÉMA DU RÉSEAU FILAIRE EXISTANT 18

FIGURE 4 : CLÉ USB SANS FIL D-LINK DWA-110 28

FIGURE 5 : POINT D'ACCÈS CISCO AIRONET 1100 29

FIGURE 6 : POINT D'ACCÈS LINKSYS-WRT54G 30

FIGURE 7 : POINT D'ACCÈS D-LINK DWL-2100AP 30

FIGURE 8 : SCHÉMA DU RÉSEAU DÉFINITIF 32

FIGURE 9 : CONCEPT DE SOLUTION BASÉ SUR L'AUTHENTIFICATION EAP-
TLS 802.1X 33

FIGURE 10 : VUE DÉTAILLÉE DU PROCESSUS D'ACCÈS EAP-TLS 802.1X 35

FIGURE 11 : CYBERCAFÉS VIRTUELS 60

FIGURE 12 : SCHÉMA THÉORIQUE D'UN PORTAIL CAPTIF 61

FIGURE 13 : BANDE DE FRÉQUENCES UTILISÉES PAR LE WI-FI 65

FIGURE 14 : LE WARDRIVING 71

FIGURE 15 : RADIUS 76

FIGURE 16 : EN-TÊTE D'UN PAQUET RADIUS 76

TABLEAU 1 : RESSOURCES MATÉRIELLES DE CAWAD SARL 12

TABLEAU 2 : PORTÉES ET DÉBITS POUR LA NORME 802.11A 21

TABLEAU 3 : PORTÉES ET DÉBITS POUR LA NORME 802.11B 21

TABLEAU 4 : PORTÉES ET DÉBITS POUR LA NORME 802.11G 21

TABLEAU 5 : CONFIGURATION MATÉRIELLE MINIMALE DU SERVEUR

D'AUTHENTIFICATION 36

TABLEAU 6 : COÛT DE DÉPLOIEMENT DU WI-FI À CAWAD 37

INTRODUCTION GENERALE

Dans le cadre de la formation de ses étudiants, l'IAI (Institut Africain

d'Informatique) intègre en fin de troisième année un stage pratique en
entreprise en vue de mettre en application les connaissances acquises
tout au long de la période scolaire et de permettre une intégration facile et
rapide de ses diplômés en milieu professionnel. C'est ainsi que la société
CaWaD s'est portée garante pour nous accueillir et ainsi nous permettre
au mieux de parfaire notre formation. Le présent rapport a pour but de
présenter les différentes étapes que nous avons traversées tout au long de
cette période et de détailler dans les moindres détails les différents
travaux effectués lors de celle-ci. Comme l'indique le cahier de charge, il
comportera deux grandes parties à savoir la phase d'insertion dans
l'entreprise et la phase de travail technique.

PREMIERE PARTIE : INSERTION DANS L'ENTREPRISE

Introduction

Cette première partie est celle relatant les étapes de notre insertion dans
cette structure qui nous a aimablement accueillis. La structure y sera
brièvement présentée avant d'entrer dans le vif du sujet, à savoir
l'insertion dans l'entreprise.

I. PRÉSENTATION DE LA STRUCTURE

I.1 HISTORIQUE

CaWaD Sarl, société à responsabilité limitée, est une société de services

en ingénierie informatique créée en octobre 2003 et spécialisée dans le
conseil, la conception, la création et le développement d'applications web
et sites Internet.

Après cinq années d'existence, l'agence s'est dotée d'un studio multimédia
(CaWaD Design) et d'un laboratoire de recherche et développement
(CaWaD Labs).
CaWaD Labs est un département spécialisé dans la recherche et l'étude de
technologies et stratégies de développement de sites, services,
applications et solutions web pour entreprises et particuliers. Les résultats
de ses travaux en Web Consulting et audit informatique ont été utilisés
comme références dans plusieurs projets. Ce département est par
exemple à l'initiative du projet aJob4You (devenu EmploiCameroun.org) ou
de l'intégration de solutions web et e-business chez Solution Technology
Corporation SARL.

I.2 OBJECTIFS ET ACTIVITÉS

Les objectifs de la société CaWaD ne sont pas des moindres. Entre autres
on a :

F accompagner ses clients dans leurs projets Internet afin de leur donner
une réelle valeur ajoutée par la mise à contribution de technologies
efficientes ;

F leur offrir une aide spécifique, propre à leurs objectifs, leur vision et leurs
exigences ;

F leur donner de réels atouts de succès par le conseil, l'expertise et

l'assistance après le lancement de leur projet ;

F vulgariser l'utilisation d'Internet et des nouveaux media auprès du grand

public, des entreprises et des collectivités.

Au fil du temps, CaWaD a su imposer ses compétences et son savoir-faire

auprès de nombreux clients. Que l'on appartienne au grand public, à une
PME/PMI ou à une collectivité, l'on trouve en CaWaD le partenaire pour
mener à bien les projets Internet, intranet ou extranet. L'objectif de
CaWaD est d'apporter des réponses pragmatiques et efficaces sous forme
de solutions adaptées aux problématiques de chaque métier.

Ses activités sont regroupées en cinq pôles :

F Solutions web et logiciels

Ce pôle comporte la création de sites web, l'hébergement web

professionnel, la création d'applications web et Intranet, le référencement
et le e-marketing, la création de logiciels de gestion. CaWaD réalise
différents types de sites Web adaptés aux besoins de ses clients.

F Etudes, audit et conseil

Ici on retrouve les systèmes d'information, l'étude et conduite de projets,

l'audit et conseil IT, l'informatique décisionnelle, du Outsourcing.

F Multimédia & Print

Ceci consiste en la définition de l'Identité visuelle d'entreprise, à

l'infographie & PAO, au montage Audio et Vidéo et à la Post production.

F Hardware & Réseaux

Ce module regroupe l'installation de réseaux & VSAT, la gestion de parcs,

la fourniture de matériels, la maintenance.

F Formation et RH

Ce pôle consiste en la formation professionnelle, l'e-Learning, la formation

en alternance, les séminaires IT.

I.3 ORGANIGRAMME

Figure 1 : Organigramme de la structure d'accueil

I.4 PLAN DE LOCALISATION

Figure 2 : Plan de localisation de la structure d'accueil

II. PHASE D'INSERTION

II.1 PRISE DE CONTACT

Le mardi 08 juillet 2008, nous avons été reçus par le Directeur Général
adjoint. Il nous a présenté brièvement ce qu'il attendait de nous, et a
insisté sur l'éthique de leur structure à savoir le respect des engagements.

II.2 IMPRÉGNATION DE L'ENTREPRISE

Le début effectif de notre stage a eu lieu le 10 juillet 2008 après une prise
de contact de 2 jours. Ce jour, nous avons été reçus dans la salle de
conférence par le Directeur Général Adjoint qui nous a fait une
présentation générale de l'entreprise et nous a fait visiter l'ensemble les
locaux de la structure.

Il faudrait préciser ici que le personnel de cette entreprise est à la fois très
accueillant et tout aussi ouvert, ce qui a contribué à faciliter et accélérer
notre insertion.

F Ressources matérielles

Les ressources matérielles de CaWaD se résument dans le tableau

suivant :

Nombre

Type d' ordinateur

Caractéristiques

Etat

01

Tour

Pentium IV 2.4GHz, RAM: 512, DD: 40Go

Bon

04

Desktop

Pentium III de 733 MHz, RAM: 128Mo, DD : 20 Go

Bon

02

Tour

Pentium III de 733 MHz, RAM: 128 Mo, DD :20 Go

Bon
03

Laptop

P IV de 2 GHz, RAM: 512Mo, DD : 40 Go

Bon

03

Imprimantes

Deux HP à jet d'encre et une HP laser

Bon

01

Photocopieuse

HP multifonctions (scanner, photocopieuse...)

02

Locaux techniques

Chacun ayant 1 DLink 8 ports

Bon

01

Trousse

Trousse complète de maintenance et de réseaux

Tableau 1 : Ressources matérielles de CaWaD Sarl

F Ressources logicielles

Comme ressources logicielles on peut citer :

F Les systèmes d'exploitation : Windows 2003 serveur, XP professionnel,

UBUNTU ;

F Antivirus: Kaspersky, AVG;

F Applications: Adobe Photoshop, Office 2003, Desknow, Dreamweaver,

Notepad, Adobe Flash.

F Ressources humaines

Le personnel de CaWaD est constitué d`une quinzaine de personnes très

jeunes et dynamiques, et qui sont en grande partie des anciens étudiants
de l'IAI-Cameroun. Notons tout de même qu'en grande partie ce personnel
est comprend des consultants spécialisés dans les différents domaines de
l'informatique à savoir la maintenance des équipements, les réseaux, le
multimédia, la bureautique, le webmastring et l'informatique de gestion.
Conclusion

Après cette période d'insertion passée au sein de la société CaWaD, nous

pensons avoir acquis le nécessaire afin de poursuivre sans encombre la
suite de notre stage. De ce fait nous passons à la seconde partie à savoir
le travail technique.

DEUXIEME PARTIE : TRAVAIL TECHNIQUE

Introduction

Après la phase d'insertion qui nous a permis de nous familiariser avec les
horaires de travail et les attitudes à adopter au sein de la structure, nous
passons à celle qui est essentiellement consacrée au compte rendu du
travail technique réalisé au cours du stage. Sous les instructions de nos
encadreurs, nous avons été amenés à travailler sur le thème suivant : «
Déploiement d'un réseau sans fil Wi-Fi avec authentification basée sur des
certificats ».

Les réseaux informatiques sont devenus en l'espace de quelques années,

des axes majeurs de communication. Ceci est notamment vrai pour une
entreprise d'ingénieurs qui maîtrisent, pour la plupart, assez bien les
technologies de l'information et de la communication. Aujourd'hui, les
principaux développements de ces réseaux visent à favoriser la mobilité,
pour répondre aux nouveaux besoins des assistants personnels, des
téléphones et ordinateurs portables, qui sont par essence mobiles et
qu'on retrouve de plus en plus dans la société.

Les réseaux sans-fil permettent à leurs utilisateurs de se connecter de

n'importe où et d'accéder aux ressources de leurs réseaux pour peu qu'ils
soient à la portée de ceux-ci. Cependant, lorsqu'un réseau filaire existe
déjà, une analyse profonde des solutions existantes doit être menée afin
que la sécurité, la performance et la qualité du réseau global soient de
rigueur. Ainsi, il a été établi, en collaboration avec tous les acteurs de ce
projet un cahier des charges qui nous a servi de base pour les diverses
études et le déploiement à proprement parler du réseau sans fil Wi-Fi à
CaWaD.

III. CAHIER DES CHARGES

Plusieurs choses étaient primordiales pour avoir une ligne directrice du

projet. En voici quelques caractéristiques principales du réseau à
implémenter :

A. La technologie Wi-Fi

L'équipement envisagé doit être simple et peu onéreux, ce qui implique

l'utilisation d'une technologie assez répandue. En outre, toutes les
installations doivent utiliser la même technologie.

B. La sécurité

Le principal problème des réseaux Wi-Fi est leur fragilité vis-à-vis des
attaques externes. Le cryptage et l'authentification devront être simples
pour les personnes connectées et très difficiles à casser. De préférence, les
certificats pourront être utilisés pour l'authentification.

C. La couverture

La couverture minimale du réseau doit correspondre à tous les bureaux

ainsi qu'aux salles de conférence et de formations. Une étude devra être
menée pour 14 machines au moins et 30 au plus.

D. L'interaction avec le réseau existant

Le passage de la connexion sans-fil à la connexion au réseau filaire doit

être transparent pour l'utilisateur. Tous les équipements de l'entreprise
doivent pouvoir se connecter avec une grande facilité. De même,
l'adressage du réseau ne devra pas être modifié afin de ne pas pénaliser
les utilisateurs du réseau pendant le déploiement du sans fil. Une
réutilisation de l'infrastructure en place est recommandée.

E. La sécurisation des bornes

Les bornes doivent être protégées contre le vol et les incidents divers.
Elles doivent être physiquement et logiquement inaccessibles.

IV. APERÇU DU RÉSEAU EXISTANT ET JUSTIFICATION DU PROJET

Les bureaux administratifs sont câblés en paires torsadées à partir de 2

baies de brassage. Les baies de brassage sont interconnectées via une
liaison câblée.

Actuellement 7 équipements (PC ou Laptops) sont connectés au réseau.

Trois autres machines restent encore isolées du réseau. La salle de
conférence n'est pas encore reliée au réseau de l'entreprise, la salle des
formations en cours d'aménagement aussi.

Pour les salles actuellement connectées au réseau local, aucune politique

de contrôle d'accès n'a été mise en place. Le partage des données et des
ressources matérielles s'effectuant via le groupe de travail « CaWaD».
Windows 2003 Server Entreprise Edition a été installé sur le serveur qui
joue le rôle de passerelle. Cependant, aucune véritable fonctionnalité de
ce serveur n'est utilisée. L'adresse de sous réseau est 192.168.10.0 et le
masque 255.255.255.0. L'adressage des postes est manuel. La zone de
couverture à les caractéristiques suivantes : 20m*12m soit 240m² sur le
même étage.

J20m

J12m
Figure 3 : Schéma du réseau filaire existant

A la question de savoir les raisons ayant favorisé le choix de ce projet, il

nous a été répondu par plusieurs points. Notamment, CaWaD est en train
de négocier l'acquisition d'une dizaine de machines. Et afin d'éviter un
câblage fastidieux nécessitant des percées de trous dans les murs, toutes
ces machines devront être configurées pour pouvoir accéder au réseau de
l'entreprise par le Wi-Fi.

Bien plus, il nous a été signalé la forte croissance du nombre d'

ordinateurs portables au sein de CaWaD. Ces ordinateurs étant pour la
plupart récents disposent par défaut intégré un adaptateur sans fil Wi-Fi.
Donc, plus besoin d'installer des câbles pour connecter ces machines.

La mobilité dans les différents bureaux a été un autre argument ayant

poussé à choisir ce projet. Le personnel de CaWaD étant constitué en
majorité de consultants, ceux-ci devront pouvoir se connecter au réseau
avec leurs ordinateurs portables lorsqu'ils sont sollicités pour un projet au
sein de la maison et ceci à partir de n'importe quel bureau.

Enfin, les problèmes de recâblage à chaque déménagement ont renforcé

le joug favorisant le déploiement du réseau sans fil à CaWaD. En effet,
CaWaD est toujours à la recherche d'un emplacement pour son installation
définitive, ainsi il n'est pas exclut que l'on vienne à changer les locaux
d'un moment à l'autre. Un réseau sans fil évitera les câblages répétitifs à
chaque déménagement.

V. CHOIX DE LA SOLUTION À DÉPLOYER

Le déploiement d'un réseau sans fil Wi-Fi doit passer par une étude
détaillée des solutions architecturales, matérielles et sécuritaires
existantes pour être en accord avec les principes évoquées dans le cahier
de charge.

V.1 CHOIX DE L'ARCHITECTURE ET DE LA NORME DU RÉSEAU

Sur ces points, nous avons retenu les mesures suivantes:

A. Le mode de fonctionnement

Le Wi-Fi peut fonctionner suivant 2 modes : ad hoc et infrastructure. En

mode ad hoc, il n'y a pas d'infrastructure quelconque à mettre en place.
Les échanges entre clients Wi-Fi s'effectuent lorsqu'ils sont à portée
d'ondes radios. Donc, il n'y a pas de sécurité possible dans un tel mode de
fonctionnement. Cependant, en mode infrastructure, on se base sur une
station spéciale appelée Point d'Accès (PA). Elle permet à une station Wi-Fi
de se connecter à une autre station Wi-Fi via leur PA commun. Une station
Wi-Fi associée à un autre PA peut aussi s'interconnecter. L'ensemble des
stations à portée radio du PA forme un BSS (Basic Service Set). Chaque
BBS est identifié par un BSSID (BSS Identifier) de 6 octets qui correspond
souvent à l'adresse MAC du PA. Tout ceci permet de contrôler les
connections au réseau afin d'y appliquer des politiques sécuritaires. Ainsi
notre choix s'est porté sur le mode infrastructure.

B. La norme de Wi-Fi

Les normes de Wi-Fi sont nombreuses et diverses. De toutes ces normes,

les plus connues sont 802.11a, 802.11b et 802.11g, qui sont les
principales du standard 802.11 ceci grâce à leur large intégration dans les
matériels et logiciels.

F 802.11a

La norme 802.11a permet d'obtenir un débit théorique de 54 Mbps, soit

cinq fois plus que le 802.11b, pour une portée d'environ une dizaine de
mètres seulement. La norme 802.11a s'appuie sur un codage du type
OFDM sur la bande de fréquence 5 GHz et utilise 8 canaux. Les
équipements 802.11a ne sont pas compatibles avec les équipements
802.11b/g. Il existe toutefois des matériels intégrant des puces 802.11a et
802.11b, on parle alors de matériels «dual band».

Débit théorique (en intérieur)

Portée

54 Mbits/s

10 m

24 Mbits/s

30 m

12 Mbits/s

50 m

Tableau 2 : Portées et débits pour la norme 802.11a

F 802.11b

La norme 802.11b permet d'obtenir un débit théorique de 11 Mbps, pour

une portée d'environ une cinquantaine de mètres en intérieur et jusqu'à
200 mètres en extérieur (et même au-delà avec des antennes
directionnelles).

Débit théorique

Portée (en intérieur)

Portée (à l'extérieur)
11 Mbits/s

50 m

200 m

5,5 Mbits/s

75 m

300 m

2 Mbits/s

100 m

400 m

1 Mbit/s

150 m

500 m

Tableau 3 : Portées et débits pour la norme 802.11b

F 802.11g
La norme 802.11g permet d'obtenir un débit théorique de 54 Mbps pour
des portées équivalentes à celles de la norme 802.11b. D'autre part, dans
la mesure où la norme 802.11g utilise la bande de fréquence 2,4GHZ avec
un codage OFDM, cette norme est compatible avec les matériels 802.11b,
à l'exception de certains anciens matériels.

Débit théorique

Portée (en intérieur)

Portée (à l'extérieur)

54 Mbits/s

27 m

75 m

24 Mbit/s

42 m

140 m

12 Mbit/s

64 m

250 m
6 Mbit/s

90 m

400 m

Tableau 4 : Portées et débits pour la norme 802.11g

Remarque : Avec les normes 802.11b+ et 802.11g+, on atteint

respectivement des débits théoriques de 22 Mbit/s et 108 Mbits/s.

En somme, nous avons préféré le 802.11g au 802.11b. Cependant, notre

objectif est le 802.11g+. C'est pourquoi, nous ferons tout le possible pour
obtenir du matériel répondant à cette norme. Pour plus d'informations sur
les concepts du Wi-Fi, consulter l'annexe 1.

C. Le nombre de point d'accès

Notre étude se fera pour un nombre de clients compris entre 10 et 30.

Avec 10 clients Wi-Fi et 2 points d'accès satisfaisant la norme 802.11g on
obtient en pratique un débit de l'ordre de 8Mbits/s pour chacun. Si ce
nombre de clients doit évoluer par exemple jusqu'à 30, on aura alors
sensiblement 3Mbits/s pour chacun ce qui reste totalement acceptable et
de qualité. Ainsi hors mis les problèmes d'emplacements, un maximum de
2 points d'accès serait suffisant pour la solution finale.

D. Emplacement du point d'accès

Nous savons qu'avec la norme 802.11g, pour un débit théorique de

54Mbit/s on peut atteindre une trentaine de mètres en intérieur, or cette
distance délimite parfaitement la zone à couvrir par le réseau. Si on retient
l'utilisation de deux points d'accès, nous installerons le premier au couloir
et le second dans la salle de conférence. Afin de sécuriser nos points
d'accès, on utilisera des boîtiers de barres métalliques avec cadenas qu'on
fixera au mur. Ils devront être fixés de sorte que personne ne puisse avoir
facilement accès sans l'aide d'une échelle.

V.2 CHOIX DES PARAMÈTRES DE SÉCURITÉ

La sécurité des réseaux sans fil est l'élément essentiel qui décourage
plusieurs personnes de déployer cette technologie. En effet, les ondes
radios ne pouvant être confinées dans un espace délimitée, n'importe
quelle personne se trouvant à portée de ces ondes peut s'y connecter et
utiliser le réseau à des fins pas toujours catholiques (Voir l'annexe 2).
Ainsi, il est essentiel de déployer de gros moyens pour sécuriser notre
réseau sans fil Wi-Fi. Sur ce, nos choix s'effectueront en accord avec
l'avancé technologique mais sans remettre en cause les compatibilités
matérielles. On a ainsi retenu les points suivants:

A. Modifier le nom par défaut du réseau

Un réseau Wi-Fi porte toujours un nom d'identification afin que les

ordinateurs puissent le détecter et se connecter dessus. Ce nom s'appelle
le SSID (Service Set IDentifier). Si on ne configure pas le point d'accès, le
SSID est défini par défaut. Ainsi on le modifiera, afin de le reconnaître plus
facilement par la suite. Cependant, on s'arrangera à ce que ce nom n'ait
aucun sens pour un éventuel pirate afin de l`empêcher d'identifier
facilement notre réseau.

B. Cacher le nom du réseau

Le SSID est une information importante pour se connecter au réseau sans

fil. Le point d'accès diffuse continuellement cette information pour
permettre aux ordinateurs de le détecter. Le SSID n'est pas une fonction
de sécurisation mais permet de rendre "caché" son point d'accès à la vue
de tout le monde. Une fois le réseau configuré avec les ordinateurs, on
activera la fonction "cacher le SSID", présente dans le point d'accès, afin
de rendre ce dernier "invisible" au monde extérieur.

C. Configurer manuellement les adresses IP

La plupart des points d'accès actuels disposent du protocole DHCP
(Dynamic Host Configuration Protocol). Il s'agit d'un protocole qui permet à
un ordinateur qui se connecte sur un réseau d'obtenir dynamiquement sa
configuration réseau (adresse IP, etc.). Pour ce projet, on désactivera le
DHCP ceci évitera qu'un pirate trouve facilement les identifiants du
réseau. Ainsi, il faudra s'adresser au service technique afin d'obtenir les
éléments nécessaires à la configuration réseau.

D. Choisir un mot de passe d'accès au point d'accès

L'administration du point d'accès se fait par l'intermédiaire de pages Web

accessibles par n'importe quel ordinateur connecté par câble. Il suffit de
saisir une adresse IP (fournie par le constructeur) dans le navigateur Web
et le mot de passe par défaut (fourni par le constructeur) pour accéder à
l'administration. A ce stade, toute personne pouvant accéder au réseau,
peut faire les changements ou modifier d'autres paramètres du point
d'accès. On changera donc le mot de passe par un nouveau. Ce mot de
passe devra répondre au principe de mots de passe forts.

E. Filtrer les équipements par adressage MAC

Une adresse MAC (Media Access Control) permet d'identifier

matériellement un ordinateur grâce à son adaptateur réseau. Cette
adresse est unique et définie par le fabriquant de l'adaptateur. Chaque
point d'accès offre la possibilité d'utiliser le filtrage MAC. L'adaptateur qui
n'a pas son adresse MAC dans la liste autorisée ne sera pas autorisé à se
connecter sur le réseau. Notons tout de même que le filtrage d'adresses
MAC est contournable. En effet, une adresse Mac peut être émulée sous un
environnement Linux. IL soffit de faire dans un terminal:

# ifconfig eth1 down

# ifconfig eth1 hw S

# ether 00:01:02:03:04:05
# ifconfig eth1 up

F. Choisir une clé de chiffrement hautement sécurisée

Pour remédier aux problèmes de confidentialité des échanges sur les

réseaux sans fils, le standard 802.11 intègre un mécanisme simple de
chiffrement des données, il s'agit du WEP (Wired Equivalent Privacy).

Le WEP est un protocole chargé du chiffrement des trames 802.11 utilisant

l'algorithme symétrique RC4 (Rivest Cipher 4) avec des clés d'une
longueur de 64 bits ou 128 bits. Le principe du WEP consiste à définir dans
un premier temps une clé secrète de 40 ou 104 bits. Cette clé secrète doit
être déclarée au niveau du point d'accès et des clients. La clé sert à créer
un nombre pseudo aléatoire d'une longueur égale à la longueur de la
trame. Chaque transmission de donnée est ainsi chiffrée en utilisant le
nombre pseudo aléatoire comme masque grâce à un OU Exclusif entre le
nombre pseudo aléatoire et la trame.

La clé de session partagée par toutes les stations est statique, c'est-à-dire
que pour déployer un grand nombre de stations Wi-Fi il est nécessaire de
les configurer en utilisant la même clé de session. Ainsi la connaissance de
la clé est suffisante pour déchiffrer les communications.

De plus, 24 bits de la clé servent uniquement pour l'initialisation, ce qui

signifie que seuls 40 bits de la clé de 64 bits servent réellement à chiffrer
et 104 bits pour la clé de 128 bits. Dans le cas de la clé de 40 bits, une
attaque par force brute (c'est-à-dire en essayant toutes les possibilités de
clés) peut très vite amener le pirate à trouver la clé de session. De plus,
une faille décelée par les chercheurs Fluhrer, Mantin et Shamir concernant
la génération de la chaîne pseudo aléatoire rend possible la découverte de
la clé de session en stockant 100 Mo à 1 Go de trafic créé
intentionnellement. Le WEP n'est donc pas suffisant pour garantir une
réelle confidentialité des données. Pour autant, il est vivement conseillé de
mettre au moins en oeuvre une protection WEP 128 bits afin d'assurer un
niveau de confidentialité acceptable.
Ces faiblesses du WEP ont conduit à l'apparition du WPA (Wi-Fi Protected
Access) qui est une solution de sécurisation de réseau Wi-Fi proposée par
la Wi-Fi Alliance. Le WPA est une version « allégée » du protocole 802.11i,
reposant sur des protocoles d'authentification et un algorithme de
cryptage robuste : TKIP (Temporary Key Integrity Protocol). Le protocole
TKIP permet la génération aléatoire de clés et offre la possibilité de
modifier la clé de chiffrement plusieurs fois par secondes, pour plus de
sécurité.

Le fonctionnement de WPA repose sur la mise en oeuvre d'un serveur

d'authentification permettant d'identifier les utilisateurs sur le réseau et
de définir leurs droits d'accès.

Le 802.11i a été ratifié le 24 juin 2004, afin de fournir une solution de

sécurisation poussée des réseaux Wi-Fi. Il s'appuie sur l'algorithme de
chiffrement TKIP, comme le WPA, mais supporte également l'AES
(Advanced Encryption Standard), beaucoup plus sûr. La Wi-Fi Alliance a
ainsi créé une nouvelle certification, baptisée WPA2, pour les matériels
supportant le standard 802.11i. Contrairement au WPA, le WPA2 permet de
sécuriser aussi bien les réseaux sans fil en mode infrastructure que les
réseaux en mode ad hoc.

On choisira donc WPA pour le chiffrement. On aurait pu utiliser le WPA2

mais bien qu'il soit déjà implémenté dans plusieurs systèmes
d'exploitation, il n'en est pas encore le cas pour les composants matériels
ce qui pourrait compromettre la compatibilité des équipements.

G. Choisir une méthode d'authentification basée sur des certificats

L'EAP (Extensible Authentification Protocol) n'est pas un protocole

d'authentification à proprement parler, mais un protocole de transport de
protocoles d'authentification tels que TLS, MD5, PEAP, LEAP, etc. En effet,
avec cette méthode, les paquets du protocole d'authentification sont
encapsulés dans les paquets EAP.

Son but est l'authentification d'un utilisateur sur un réseau non ouvert, car
dans un premier temps, dans ce type de réseau, seul les trafics EAP sont
permis (pour permettre l'authentification). Ce n'est qu'après
authentification que le réseau est ouvert. Une méthode d'authentification
EAP utilise différents éléments pour identifier un client tels que : le couple
« login/mot de passe », les « certificats électroniques », les « cartes à
puces (SIM) », etc....

En plus de l'authentification, EAP gère la distribution dynamique des clés

de chiffrement (WEP ou WPA). Les deux méthodes d'authentification EAP
utilisant des certificats sont :

F PEAP (Protected EAP): Le processus d'authentification de PEAP consiste à

établir un tunnel sécurisé TLS entre le client et le serveur
d'authentification, en authentifiant le serveur RADIUS à l'aide d'un
certificat. Ensuite, il est possible de choisir entre la méthode MS-CHAPv2
(Microsoft Challenge Handshake Authentication Protocol version 2) ou TLS
pour authentifier l'utilisateur. Quand la méthode PEAP est utilisée c'est
souvent pour éviter d'utiliser les certificats client, il est donc logique que
sur les deux méthodes proposées par PEAP, l'utilisation de Login/Password,
via MS-CHAP, soit largement privilégiée.

F EAP-TLS (EAP-Transport Layer Security): EAP-TLS est une méthode

d'authentification mutuelle, ce qui signifie que le client et le serveur se
prouvent respectivement leur identité. Lors de l'échange EAP-TLS, le client
d'accès à distance envoie son certificat d'utilisateur et le serveur d'accès à
distance envoie son certificat d' ordinateur. Si l'un quelconque des
certificats n'est pas envoyé ou n'est pas valide, la connexion est
interrompue. Rappelons que TLS, la version normalisée de SSL (Secure
Socket Layer), est un protocole de transport sécurisé (chiffrement,
authentification mutuelle, contrôle d'intégrité).

Nous utiliserons donc la méthode EAP-TLS qui propose le plus de sécurité.

Avec la méthode EAP-TLS l'authentification du client d'accès peut se faire
de différentes façons :

§ A l'aide d'un certificat personnel associé à la machine, l'authentification

a lieu au démarrage de la machine.
§ A l'aide d'un certificat personnel associé à l'utilisateur, l'authentification
a lieu après l'entrée en session de l'utilisateur.

Nous avons opté pour la seconde méthode car elle augmente le niveau de
sécurité même si elle est quelque contraignante. Pour plus d'informations
sur les certificats consultez l'annexe 3.

V.3 CHOIX DU MATÉRIEL RÉSEAU

D'après le cahier de charges, nous devons choisir un matériel adéquat en

respectant les coûts, la qualité et l'évolutivité. Nous avons effectué des
recherches sur les principaux équipements requis pour le déploiement du
réseau sans fil.

A. Les adaptateurs de réseau client sans fil

Le choix des adaptateurs de réseaux clients sans fil n'a pas été difficile.
Nous avons opté pour des clés USB contrairement aux cartes car en plus
d'être moins encombrants, elles sont aussi plus faciles à utiliser. Quant à la
marque, D-Link a ravi la palme d'honneur. Nous aurons pu aussi choisir
Linksys mais le rapport qualité-prix a fait basculer notre choix. Pour le
modèle on a préféré le D-Link DWA-110 qui est une clé USB sans fil ayant
les caractéristiques techniques suivantes :

F Compatible Linux, MAC OSxxx et Windows XP/2000/98 SE/ME, certifié

pour Windows Vista ;

F Standard 802.11g et compatibilité rétrograde avec les produits en

802.11b ;

F Connexion USB 2.0 et Plug and play;

F Taux de transfert des données sans fil pouvant atteindre 54 Mbps ;

F Cryptages WEP, WPA et WPA2 supportés ;

F Antenne interne intégrée, conception compacte, format de poche, léger.

Figure 4 : Clé USB sans fil D-Link DWA-110

B. Les points d'accès sans fil Wi-Fi

Pour les points d'accès, il a fallu répondre à des objectifs et des

contraintes précis. Notre enquête a portée sur trois grands constructeurs,
à savoir D-Link, Linksys et Cisco. Une étude comparative de ces solutions a
été effectuée au niveau de la portée et du débit, les coûts et les
débouchés respectifs.

F Présentation générale

Cisco Systems est aujourd'hui le premier fournisseur mondial de solutions

réseau. Cisco fournit la gamme la plus étendue de solutions réseaux pour
le transport des données, de la voix et de la vidéo.

Linksys est une filiale de Cisco vendant du matériel à destination du grand

public, contrairement à Cisco qui n'est présent que sur le marché
professionnel.

D-Link Corporation est un constructeur taïwanais de matériel pour les

réseaux sans fil et Ethernet, destiné aux particuliers et aux entreprises.

F Le matériel et les aspects techniques

Chez Cisco, nous avons opté pour une borne de type Aironet 1100. Cette
borne est un matériel professionnel, supportant les normes Wi-Fi
802.11a/b/g ainsi que les dernières technologies en matière de sécurité.
Elle est de plus étudiée pour permettre la téléphonie et la voix sur IP
(VoIP), et permet le passage rapide d'une borne à l'autre quand le client se
déplace (roaming). Elle dispose en outre de plusieurs interfaces
d'administration avancées. La borne Aironet 1100 est un matériel
standard, compatible avec la presque totalité des réseaux. L'ajout d'un tel
matériel dans certaines zones permet l'extension géographique du réseau
à moindre coût. L'alimentation en électricité du point d'accès Cisco Aironet
1100 est sécurisée, par l'emploi de la technologie Power over Ethernet.
Les bornes Cisco ont un module radio détachable qui favorise leur
évolutivité. De plus, les ROM sont flashables pour changer le firmware
aisément.

Figure 5 : Point d'accès Cisco Aironet 1100

Quant à Linksys, le matériel étudié est une borne Linksys WRT54G. Il s'agit
de bornes supportant la norme Wi-Fi 802.11g et intégrant un switch
Ethernet 4 ports. Ce modèle a été conçu dans l'optique de partager une
connexion haut débit entre plusieurs systèmes, en Ethernet filaire ou en
Wi-Fi. En particulier, l'interface d'administration web proposée est
inutilisable pour gérer un grand parc de bornes. Ces bornes ont encore
d'autres défauts. D'abord, elles ne supportent pas la technologie Power
over Ethernet, et doivent donc être alimentées par un transformateur
extérieur branché sur une prise. Ensuite, elles ont une faible puissance
d'émission (environ 30mW contre 100mW pour les solutions
professionnelles), et les antennes fournies avec les bornes sont de qualité
médiocre. Ces antennes peuvent être remplacées par du matériel offrant
de meilleures performances, mais ce changement s'avère là onéreux. Une
telle solution mise en place, représente un surcoût supplémentaire.

Figure 6 : Point d'accès Linksys-WRT54G

Avec D-Link, notre choix s'est porté sur le DWL-2100AP. Le DWL-2100AP

est un point d'accès conforme 802.11g+ destiné à être utilisé en intérieur
pour une portée maximale de 30m. Il offre des vitesses réseau sans fil
pouvant atteindre 108 Mbps (en mode Turbo), tout en assurant
l'interopérabilité transparente avec le sans fil 802.11b existant. Avec ses
taux de transfert de données élevés, sa sécurité accrue par l'encryptage
WEP, WPA et WPA2 et sa fonction de passerelle intégrée, ce point d'accès
est la solution sans fil idéale permettant d'adopter une nouvelle
technologie ultra-rapide tout en protégeant les investissements passés
grâce à l'interopérabilité avec l'équipement réseau actuel. Ces bornes ne
supportent pas la technologie Power over Ethernet, mais les antennes
fournies sont assez puissantes car on atteint avec elles sensiblement
80mW.

Figure 7 : Point d'accès D-Link DWL-2100AP

F Les coûts

En ce qui concerne les coûts, nous nous sommes rendus dans les
principales boutiques informatiques de la ville de Yaoundé et là on a
recensé les prix suivants:

§ Cisco Aironet 1100: 400 000 Fcfa l'unité ;

§ Linksys WRT54G : 120 000 Fcfa l'unité ;

§ D-Link DWL-2100AP: 50 000 Fcfa l'unité.

C. Bilans

Cisco est un constructeur de matériel réseau de qualité. Cependant, son

offre commerciale et technique semble inadaptée au déploiement du
réseau sans-fil à CaWaD. La solution tout-en-un est intéressante lors de
l'installation d'un réseau complet, filaire et sans-fil. Mais le prix de
l'investissement va à l'encontre des besoins de CaWaD qui ne souhaite pas
mettre en place un réseau métropolitain, complexe et nouveau.
Quant à Linksys, la nécessité de remplacer les antennes augmente
considérablement le coût de la solution. Si elle reste moins chère, la
différence avec Cisco est relativement faible ; et malgré l'intéressante
perspective d'un firmware open-source, cela ne suffit pas à compenser la
perte de qualité au niveau des services, notamment le roaming. Toutefois,
dans le classement des solutions envisageables on placerait Linksys en
deuxième position.

Enfin, c'est la solution proposée par D-Link qui est celle qui nous a le plus
convaincus, et que nous avons fini par choisir. En effet, elle correspond au
mieux à nos besoins, et le matériel est d'une excellente qualité technique,
tout en restant d'un coût abordable. Le matériel est standard et
professionnel malgré son incompatibilité au POE. En prenant le D-Link
DWL-2100AP, on a la possibilité d'obtenir un débit pratique d'environ
90Mbits/s (108Mbits/s en théorique) ce qui donne pas moins de 3Mbits/s
pour chaque clients si on suppose 30 postes clients. L'adaptateur de client
sans fil Wi-Fi que nous avons choisi répond aux principes que nous
sommes fixés. Ainsi, nous pensons avoir effectué le choix adéquat et
passons à la mise en oeuvre de notre solution.

VI. PRÉSENTATION DÉTAILLÉE DE LA SOLUTION RETENUE

VI.1 CONCEPTION PHYSIQUE

En définitive, la solution retenue aura pour topologie physique le schéma

suivant:

Figure 8 : Schéma du réseau définitif

Description :

Comme on peut le remarquer, la mise en place du réseau sans fil va

quelque peu modifier l'architecture du réseau existant. Désormais nous
n'aurons besoin que d'un seul commutateur. Tous les ordinateurs
portables du réseau seront désormais connectés grâce au Wi-Fi. En effet,
tous les ordinateurs portables récents incluent déjà l'adaptateur sans fil et
ceux de CaWaD ne dérogent pas à la règle. Quant aux PCs, on devra
prévoir des adaptateurs de réseau client sans fil compatible 802.1x.
L'emplacement choisi pour installer le point d'accès correspond au centre
de la zone de couverture, ainsi toutes les stations clientes recevront
presque la même quantité de puissance du signal rayonnée.

VI.2 CONCEPTION LOGIQUE

Le diagramme ci-dessous illustre la conception de la solution choisie

(authentification EAP-TLS 802.1X).

Figure 9 : Concept de solution basé sur l'authentification EAP-TLS 802.1X

Ce diagramme décrit quatre composants principaux :

F Le client sans fil. Il s'agit d'un ordinateur ou d'un périphérique exécutant

une application qui doit accéder à des ressources du réseau. Ce client est
capable non seulement de crypter son trafic réseau, mais aussi de stocker
et d'échanger des informations d'identité (clés ou mots de passe).

F Le point d'accès sans fil. Dans la terminologie réseau, on parle

également de service d'accès au réseau. Ce point d'accès sans fil gère
l'accès au réseau et crypte le trafic sans fil. Il permet d'échanger en toute
sécurité des clés de cryptage avec le client, afin de sécuriser le trafic du
réseau. Enfin, il peut interroger un service d'authentification et
d'autorisation pour autoriser ou refuser l'accès au réseau.

F Le service NAAS (Network Authentication and Authorization Service). Ce

service stocke et vérifie l'identité des utilisateurs habilités, et gère les
accès conformément à la stratégie de contrôle d'accès définie. Il peut
également collecter des informations de comptabilité et d'audit sur l'accès
du client au réseau.
Remarque : NAAS n'est pas un acronyme officiel, il n'est utilisé dans ce
document que pour des raisons de commodité.

F Le réseau interne. Il s'agit d'une zone sécurisée de services réseau, à

laquelle l'application cliente sans fil doit avoir accès.

Les numéros indiqués sur le diagramme illustrent le processus d'accès au

réseau que les étapes suivantes décrivent plus en détail :

1.

Le client sans fil doit, à un moment donné, être authentifié par une
autorité centrale pour se connecter au réseau sans fil.

2.

Lorsque le client demande à accéder au réseau, il transmet ses

informations d'identité (ou, plus précisément, la preuve qu'il détient ces
informations d'identité) au point d'accès sans fil qui, à son tour, les renvoie
au NAAS pour demander l'autorisation.

3.

Le NAAS vérifie les informations d'identité, consulte sa stratégie d'accès et

autorise ou refuse l'accès au client.

4.

S'il est reconnu, le client est autorisé à accéder au réseau et échange les
clés de cryptage avec le point d'accès sans fil. En fait, les clés sont
générées par le service NAAS et transmises au point d'accès sans fil via un
canal sécurisé. Si le client n'est pas reconnu par le service NAAS, il n'est
pas autorisé à accéder au réseau et la communication s'interrompt.
5.

Grâce aux clés de cryptage, le client et le point d'accès sans fil établissent
une connexion sans fil sécurisée, ce qui permet au client et au réseau
interne de communiquer.

6.

Le client commence à communiquer avec des périphériques du réseau

interne.

Le diagramme ci-dessous illustre ce processus en détail.

Figure 10 : Vue détaillée du processus d'accès EAP-TLS 802.1X

VI.3 COMPOSANTS LOGICIELS ET MATERIELS NECESSAIRES

Comme matériel et logiciels, on aura besoin :

A. Composants logiciels

F Un système d'exploitation serveur : Windows 2003 Server Entreprise

Edition

Nous l'avons choisi car il inclut la gestion des certificats, il dispose d'un
serveur RADIUS intégré sous le nom d'IAS (Internet Authentication Service)
pouvant gérer un nombre infini de clients RADIUS; les couples login/mot de
passe pourront être gérés avec l'annuaire Active Directory.

L'autre solution aurait été d'utiliser une distribution Linux, sur ce on aurait
sollicité Ubuntu car c'est la distribution Linux utilisée à CaWaD. Avec ce
choix, on aurait utilisé FreeRadius pour l'authentification. Mais cette
solution s'étant avérée compromettante vis-à-vis du cahier des charges du
projet (par souci de devoir réutiliser l'infrastructure matérielle et logicielle
déjà en place), nous lui avons préféré Windows 2003 Server.

F Un analyseur de réseau sans fil : Airmagnet

Airmagnet est un analyseur de réseaux sans-fil, compatible 802.11a, b et

g, utile au niveau du déploiement et de la maintenance. Il permet
d'évaluer la sécurité d'un réseau sans-fil (déceler les accès pirates,...),
analyser la qualité du signal émis, la puissance, le nombre de paquets
erronés ou la quantité de bande passante disponible (informations de la
couche 1 et 2 du protocole 802.11).

B. Composants matériels

F Le serveur. Il devra avoir au moins les caractéristiques suivantes :

Ressource

Configuration minimale

Processeur

Pentium III 850 mégahertz (MHz)

Mémoire vive

512 Mo (méga-octets)

Carte réseau
Deux cartes réseau

Disque dur

Un disque dur de 10 Go

Tableau 5 : Configuration matérielle minimale du serveur d'authentification

Comme évoqué dans les postulats, nous ne devons remettre en cause le

matériel existant. Le serveur en cours d'utilisation dans l'entreprise répond
totalement à ces exigences.

F Le point d'accès DLINK DWL-2100AP.

F Un boîtier métallique pour sécuriser le point d'accès.

F Des clés USB sans fil D-Link DWA-110.

VI.4 ESTIMATION DU COÛT DE DÉPLOIEMENT

D'après ce qui précède on évalue la solution envisagée à :

Nombre

Désignation

Marque/modèle

PU
Coût

01

Point d'accès

D-Link DWL-2100AP

50 000

50 000

01

Boîtier métallique

10 000

10 000

10

Clé USB sans fil 802.11g 54 Mbps

D-Link DWA-110

12 000
120 000

Coût total

180 000

Tableau 6 : Coût de déploiement du Wi-Fi à CaWaD

Remarques : Nous n'avons pas mentionné les systèmes d'exploitation car

ils sont déjà disponibles. Quant à l'analyseur de réseau sans fil, nous n'en
n'avons pas fait mention car il nous a été conseillé d'utiliser une version
d'évaluation. De plus, le choix d'une solution avec 10 clés USB sans fil est
dû au fait que nous supposons que tous les Laptops disposent de nos jours
intégré un adaptateur Wi-Fi. Ainsi avec 10 PCs et une dizaine de Laptops
on reste dans les prévisions. Seulement ça ne poserait aucun problème si
ce nombre venait à augmenter car le point d'accès choisi a une capacité
de satisfaction pour une trentaine de postes. Toutefois il faudra évidement
prévoir des adaptateurs pour les nouveaux clients n'en disposant pas.

Le point d'accès est livré avec son câble Ethernet et son kit d'alimentation.
Si le câble offert à l'achat venait à être insuffisant, on trouvera bien sur
place avec quoi l'augmenter. Quant à l'alimentation du point d'accès, il y'a
une prise murale juste à coté de l'emplacement que nous avons choisi
pour l'installer. Ainsi on n'aura pas besoin d'évaluer le coût du câblage
électrique.

Sur ce, nous pensons qu'une fois le matériel acquis, nous pourrons nous
lancer à la réalisation effective des travaux d'installation de notre réseau
sans fil Wi-Fi.

VII. MISE EN PLACE ÉFFECTIVE DE LA SOLUTION RETENUE

VII.1 PLAN D'ADRESSAGE

Comme exigé dans le cahier des charges, nous ne devons pas changer
l'adressage IP. Ainsi, notre réseau conserve les informations suivantes :

F Adresse sous réseau : 192.168.10.0

F Masque du sous réseau : 255.255.255.0

F Adresse du serveur : 192.168.10.2

F Adresse du point d'accès : 192.168.10.1

F Adresses des postes clients : 192.168.10.3 - 192.168.10.255

Par conséquent, notre réseau sans fil s'intégrera facilement dans le réseau
filaire existant et le passage du filaire au sans fil se fera de manière
transparente pour les utilisateurs.

VII.2 INSTALLATION D'UNE AUTORITÉ DE CERTIFICAT RACINE

Au préalable le serveur de noms devra être installé. En effet il n'y a pas

d'autorité de certification sans DNS (Domain Name System). Nous ne
ferons pas mention ici de la procédure d'installation du DNS car ce dernier
est déjà installé sur le serveur (mais pas encore utilisé). Notons tout
simplement que le domaine de CaWaD se nomme cawad.com.

L'installation d'une autorité de certificat racine nécessite tout d'abord

l'installation des services IIS (Internet Information Server).

A. Installation des Services IIS

L'installation des Services IIS peut s'effectuer de deux manières :

F 1ère possibilité : par l'outil " Gérer votre serveur " situé dans les outils
d'administration. Après ajouter un rôle à notre serveur, on choisit Serveurs
d'application (IIS, ASP.NET).

Puis nous avons le choix d'installer les extensions du serveur FrontPage

et/ou la structure ASP.NET. Dans notre cas nous utiliserons ASP.NET car
l'autorité de certificat nécessite cette technologie. L'installation va se
poursuivre sans autre difficulté majeure jusqu'à la fin.

F 2ème possibilité : par l'outil " Ajout/Suppression de composants Windows

" situé dans " Ajout/Suppression de programmes " du Panneau de
configuration. Sélectionner Serveur d'applications puis cocher Services IIS.

L'installation va se poursuivre sans difficulté.

Ensuite, nous allons pouvoir installer une Autorité de Certification Racine.

B. Installation d'une Autorité de Certification Racine

Nous utilisons l'outil " Ajout/Suppression de composants Windows " situé

dans " Ajout/Suppression de programmes " du Panneau de configuration.

Puis on sélectionne Services de certificats

Un message d'erreur apparaît et stipule qu'après installation des Services

de certificats l' ordinateur ne devra ni changer de nom ni changer de
domaine car les certificats émis par notre autorité risqueraient de ne plus
être valides.
Nous validons par oui puis continuons l'installation.

Ensuite, on sélectionne le type d'autorité de certification. Nous choisissons

Autorité racine d'entreprise car il s'agit de la première autorité installée.

L'installation continue, il faut alors choisir le nom de notre autorité.

Dans notre cas nous choisissons : certificat-cawad.

Puis on sélectionne l'emplacement de la base de données et le journal de

certificats : C:\WINDOWS\system32\Certlog

Une alerte signale que pour continuer l'installation, les Services IIS doivent
être redémarrés. On valide donc par oui.

L'installation nous signale qu'ASP doit être activé pour permettre aux
services de certificats de fournir un service d'inscription par le Web. On
valide par oui et l'installation des Services de certificat se poursuit et
s'achève sans encombre.

VII.3 INSTALLATION ET CONFIGURATION DU SERVEUR RADIUS

A. Installation du serveur RADIUS

Nous utilisons l'outil " Ajout/Suppression de composants Windows " situé

dans " Ajout/Suppression de programmes " du Panneau de configuration.
 Nous sélectionnons par la suite Services de mise en réseau, puis dans
détails il faut cocher Service d'Authentification Internet.

Puis l'installation continue.

Après l'installation, nous allons créer des comptes utilisateurs et un groupe

dans Active Directory pour les utilisateurs du réseau Wi-Fi, avant de passer
à la configuration du serveur Radius.

B. Création d'un utilisateur et d'un groupe dans Active Directory

Allez dans le menu Démarrer puis Outils d'administration et enfin

sélectionner Utilisateurs et ordinateurs Active Directory.

Dans le dossier Users on fait un click droit avec la souris puis Nouvel
utilisateur.

On crée alors un utilisateur util1-wifi.

On entre ensuite le mot de passe, ainsi que les options concernant le

compte.

Puis on fait un click droit sur l'utilisateur util1-wifi, dans propriétés on va

dans l'onglet Appel entrant.

Puis dans Autorisation d'accès distant (appel entrant ou VPN) on coche

Autoriser l'accès.
Nous pouvons maintenant créer un groupe d'utilisateurs qui contiendra les
utilisateurs autorisés à accéder au réseau Wi-Fi.

Dans le dossier Users, on fait un click droit puis Nouveau groupe que l'on
appellera groupe-wifi.

On va faire un click droit sur le groupe groupe-wifi puis aller dans

propriétés. Dans l'onglet Membres, on sélectionne ajouter. On ajoute alors
l'utilisateur util1-wifi.

L'utilisateur util1-wifi fait donc maintenant partie de groupe-wifi. On

répétera la procédure autant de fois pour créer d'autres utilisateurs.

Maintenant on peut donc passer à la configuration du serveur Radius.

C. Configuration du serveur Radius

Tout d'abord on va dans le menu Démarrer puis Outils d'administration et

enfin on sélectionne Service d'authentification Internet.

Dans le dossier Stratégie d'accès distant, on fait un click droit puis

Nouvelle stratégie d'accès distant.

On coche Utiliser cet assistant pour paramétrer une stratégie par défaut
pour un scénario commun. Puis on va entrer le nom de la nouvelle
stratégie.
On valide par suivant puis on coche la méthode d'accès Sans fil.

On continue en validant par suivant et on ajoute le groupe groupe-wifi à la

liste d'accès.

On clique sur Suivant puis on sélectionne Carte à puce ou autre certificat.

On sélectionne configurer pour vérifier qu'il s'agit bien du serveur sur

lequel on vient d'installer l'autorité de certification racine. Dans notre cas,
l'émetteur est certificat-cawad et le certificat est délivré à cawad.com
(nom DNS du serveur).

On fini l'installation en cliquant sur suivant et terminer.

Nous allons maintenant vérifier les paramètres de la nouvelle stratégie. On

fait un click droit sur la nouvelle stratégie Accès-Wifi puis propriétés. On
vérifie que l'option Accorder l'autorisation d'accès distant est bien cochée.

Maintenant, dans le dossier Client Radius on fait un click droit puis ajouter
un client RADIUS.
Puis on entre un nom convivial qui sera celui de notre point d'accès Wi-Fi
ainsi que son adresse IP.

On choisi le nom ca-wifi et le mot de passe : ******** et on valide par

suivant puis on va définir le secret partagé entre le point d'accès et le
serveur Radius. Dans notre cas nous utiliserons la marque de notre point
d'accès.

Le point d'accès apparaît alors dans la liste des clients Radius.

La configuration du serveur Radius est maintenant terminée.

Pour plus d'informations sur le fonctionnement de RADIUS, consulter

l'annexe 4.

VII.4 INSTALLATION ET SÉCURISATION DU POINT D'ACCÈS WI-FI

L'étude du site avant le déploiement est primordiale. Du placement du

point d'accès dépend la couverture et les performances du réseau sans-fil.
Celle-ci s'effectue par le logiciel Airmagnet. Nous l'utilisons sur un une
DELL Latitude avec la carte Proxim Orinco 802.11a/b/g ComboCard. Après
quelques minutes de scan, les résultats stipulent qu'aucun autre point
d'accès n'est installé dans les environs, ainsi tous les canaux sont
disponibles, nous ne pouvons craindre un quelconque problème
d'interférences. De plus, Airmagnet permet de détecter les machines
disposant d'adaptateurs Wi-Fi et situées dans les environs.

Nous branchons notre point d'accès sur un port libre du commutateur et

l'alimentons sur la prise murale disponible au pied du mur. Après cette
installation, nous passons à la configuration.
On ouvre Internet Explorer sur une machine connectée sur un autre port
du commutateur (dans ce cas c'est notre serveur) et on saisit l'adresse par
défaut du point d'accès, http://192.168.10.1. Une fenêtre de connexion
s'affiche. Alors, on entre notre login et notre mot de passe (ce login et ce
mot de passe sont fournis avec l'équipement) puis on va dans le menu
paramètres sans fil.

Première opération de sécurité : on désactive la diffusion du nom SSID.

Puis on clique sur le bouton configuration de la liste d'accès.

Deuxième opération de sécurité : on change le mot de passe par défaut de

l'AP et on en prend un qui soit compliqué.

Troisième opération de sécurité : on active le contrôle d'accès et on va à la

section liste d'accès. Là, on entre les adresses MAC des clients autorisés à
accéder au réseau Wi-Fi.

Enfin on choisit l'option de sécurité WPA-802.1X. On entre l'adresse IP de

notre Serveur Radius et le port de communication (par défaut 1812 pour
l'authentification et 1813 pour l'accounting). Puis on entre la clé partagée
qu'on a saisie sur le serveur Radius.

La configuration de la borne d'accès terminée, nous allons pouvoir passer

à la configuration des clients d'accès Wi-Fi.

VII.5 CONFIGURATION D'UN CLIENT D'ACCÈS WI-FI SOUS WINDOWS XP

SP2

A. Installation du certificat auto signé du serveur d'authentification et du

certificat d'un utilisateur
Nous allons devoir récupérer un certificat émis par l'autorité de
certification.

Tout d'abord on ouvre une session sous le nom de l'utilisateur qui recevra
le certificat sur cette machine.

Puis dans un navigateur, on se connecte sur le serveur de l'autorité de

certification : http:// "nom du serveur "/certsrv. Dans notre cas
http://cawad.com/certsrv.

On entre le login et le mot de passe de l'utilisateur «util1-wifi» par

exemple dans la fenêtre de connexion qui surgit.

A la page d'accueil, on clique sur Télécharger un certificat d'autorité de

certification, une chaine de certificats ou une liste de révocation de
certificats puis sur Installer cette chaîne de certificats d'autorité de
certification.

Une fenêtre s'ouvre, on clique sur oui pour confirmer l'installation.

Puis on retourne à la page d'accueil et on va maintenant suivre le lien

demander un certificat, puis le lien certificat utilisateur et enfin on clique
sur le bouton envoyer.
On confirme la demande de certificat en cliquant sur oui.

On clique sur installer ce certificat. Puis, sur oui on valide qu'on fait
confiance à ce site et le certificat est installé.

Pour vérifier l'effectivité de ces paramètres, dans Internet Explorer on va

dans le menu déroulant Outils puis Options Internet puis dans l'onglet
contenu, enfin on clique sur certificats. On vérifie que le certificat pour
l'utilisateur util1-wifi est bien présent.

On vérifie également que le serveur de certificat est bien présent dans la

liste des autorités principales de confiance.

L'installation du certificat est maintenant terminée. Nous allons pouvoir

passer à la configuration de la connexion réseau sans-fil.

B. Configuration de la connexion réseau sans-fil

On va dans Panneau de Configuration puis Connexions réseaux.

On fait un click droit sur Connexion réseaux sans-fil puis on entre dans les
propriétés. Dans l'onglet Configuration réseaux sans-fil on clique sur
ajouter. On entre le nom de notre réseau et on choisit la méthode
d'authentification de type WPA et un cryptage de type TKIP.
Dans l'onglet authentification on sélectionne Activer l'authentification IEEE
802.1X pour ce réseau et on clique sur propriétés du type EAP.

On décoche l'option connexion à ces serveurs.

Puis on sélectionne notre serveur de certificat dans la liste des autorités

de certification racine de confiance.

La connexion est configurée et opérationnelle sur cette machine, on peut

donc désormais se connecter au réseau sans-fil dessus. On va répéter la
procédure pour toutes les autres machines clientes tournant sous Windows
XP.

VII.6 CONFIGURATION D'UN CLIENT D'ACCÈS WI-FI SOUS LINUX UBUNTU

A. Installation de wpasupplicant

Les cartes Wi-Fi sont de mieux en mieux reconnues et souvent tout

marche directement. Les packages à installer sont néanmoins les
suivants :

F wireless-tools : contient les outils iwconfig et iwlist permettant une

gestion de la connectivité wireless. iwlist permet de scanner le réseau Wi-
Fi afin de détecter les points d'accès accessibles. iwconfig est un
équivalent "wireless" à la commande ifconfig. Cet utilitaire nous permet
d'afficher et configurer l'adaptateur client sans fil Wi-Fi.

F wpagui : interface graphique d'accès aux réseaux Wi-Fi

F wpasupplicant : client d'accès au supplicant.

Pour installer ces paquets, on tape dans un terminal:

aptitude install wpasupplicant wpagui wireless-tools

Ensuite, on édite le fichier /etc/network/interfaces :

sudo nano /etc/network/interfaces

Là dedans on modifie la section correspondant à la carte Wi-Fi (ici eth1) :

auto eth1

wpa-conf /etc/wpa_supplicant/wpa_supplicant.conf

Ensuite on va s'assurer que l'adresse MAC de l'interface Wi-Fi de la

machine figure dans la liste d'adresse Mac filtrée du point d'accès.

Pour connaître son adresse MAC il suffit de taper ifconfig dans un terminal
avec le compte root.

B. Exportation et importation du certificat de l'autorité de certification

La première étape du paramétrage du poste client consiste donc en

l'exportation du certificat de notre autorité de certificat ayant certifié le
serveur d'authentification et de l'importer sur le client Linux.

Pour cela authentifions-nous sur le serveur d'authentification (IAS) du

domaine.

1. Cliquer sur Démarrer... Outils Administratifs... Autorité de certification

2. Cliquer avec le bouton droit sur le nom de l'autorité de certification puis
sélectionner Propriétés

3. Cliquer sur Voir le Certificat et dans l'onglet Détails choisir Exporter vers
un fichier

4. Choisir le format PKCS # 7 et cocher Inclure tous les certificats du

chemin de certification si possible

5. Finir d'exporter ce fichier en le sauvegardant sur un support amovible.

Une fois ce fichier exporté, on va le copier dans le répertoire où ont été

placés les fichiers de connexion Wi-Fi de l'utilisateur /home/user2/wifi/ et
procéder à sa conversion de format.

Nous devons convertir notre certificat encodé PKCS7 (Public Key Crypto
System) au format PEM (Privacy Enhanced Mail). Nous réalisons l'opération
grâce à OpenSSL et à la commande :

openssl pkcs7 -in cacert.p7b -out cacert.pem

Où cacert.p7b représente le fichier que nous avons récupéré de l'autorité

de certification et cacert.pem est le certificat que nous utiliserons avec
wpa_supplicant.

C. Exportation et importation du certificat de l'utilisateur

La seconde étape du paramétrage consiste en l'exportation du certificat

(clé publique et clé privée) de l'utilisateur avec lequel nous souhaitons
nous connecter sur l'infrastructure. Pour obtenir les certificats utilisateurs,
connectons-nous sur une machine du domaine avec le compte utilisateur
souhaité. Nous présenterons ici une autre méthode pour exporter un
certificat différente de celles vues ci-dessus :
1. Cliquer sur Démarrer... Exécuter...

2. Taper mmc puis ok

3. Cliquer sur Ajouter un composant logiciel enfichable dans le menu

Fichier

4. Cliquer sur Aouter puis sur Certificats. Choisir : Le compte utilisateur

puis valider

5. Effectuer une requête de certificat pour cet utilisateur si celui-ci n'en

dispose pas déjà :

a. Cliquer sur Personnel puis Certificats avec le bouton droit... Choisir

Toutes les Tâches... Demander un nouveau certificat

b. Choisir le type Authentification du client

c. Cocher : Paramètres avancés

d. Cocher : Marquer cette clé comme exportable

e. Finir l'assistant pour obtenir le certificat

6. Cliquer sur le certificat utilisateur avec le bouton droit et cliquer sur

Propriétés

7. Dans l'onglet Détails choisir Exporter vers un fichier

8. Choisir Oui, exporter la clé privée

9. Choisir le format PKCS # 12 et valider

10. Définir un mot de passe pour protéger ces clés

11. Finir d'exporter ce fichier en le sauvegardant sur un support amovible.

Comme précédemment nous devons convertir notre certificat encodé

PKCS12 au format PEM. Nous réalisons l'opération grâce à OpenSSL et à la
commande :

openssl pkcs12 -in cert.pfx -out user2cert.pem -nodes

Où cert.pfx représente le fichier que nous avons récupéré de l'autorité de

certification et user2cert.pem est le certificat que nous utiliserons avec
wpa_supplicant (ici on a renommé pour l'utilisateur user2).

D. Configuration de wpa_supplicant

La configuration de wpa_supplicant repose sur l'édition du fichier de

configuration wpa_supplicant.conf. Nous placerons ce fichier de
configuration dans un répertoire utilisateur afin que celui-ci reste
confidentiel et ne puisse être utilisé par un autre utilisateur de la machine.
Un bon endroit pour stocker ce fichier ainsi que les certificats associés
peut être le répertoire /home de l'utilisateur si les droits adéquats sont
placés dessus. L'édition de wpa_supplicant.conf donne :

ctrl_interface=/var/run/wpa_supplicant

ctrl_interface_group=0

eapol_version=2
ap_scan=1

fast_reauth=1

network={

ssid="wifi-cawad"

proto=WPA

key_mgmt=WPA-EAP

eap=TLS

identity="[email protected]"

ca_cert="/home/user2/wifi/cacert.pem"

client_cert="/home/user2/wifi/user2cert.pem"

private_key="/home/user2/wifi/user2pk.pem"

private_key_passwd="password"

Nous déclarons dans la section network un ensemble de paramètres

relatifs à la connexion comme suit :
Rubrique

Paramètre

Ssid

Nom de notre réseau sans fil

key_mgmt

Méthode de gestion de la négociation des clés 802.11

Proto

Méthode de chiffrement utilisé par le point d'accès sans fil

Eap

Nom de la méthode EAP utilisée

identity

Nom d'utilisateur complet du domaine auquel on souhaite se connecter.

Celui-ci doit coïncider avec le nom déclaré dans le certificat de l'utilisateur
que l'on fourni.

ca_cert

Certificat de l'autorité de certification ayant délivré le certificat au serveur

authentifiant les clients
client_cert

Certificat de l'utilisateur

private_key

Clé privée de l'utilisateur

private_key_password

Mot de passe d'utilisation de la clé privée déclaré lors de son importation

sur la machine cliente.

Maintenant, on va configurer l'interface en lui donnant une adresse IP, le

masque de sous réseau, l'adresse de la passerelle et les adresses DNS. On
va alors éditer le fichier : /etc/network/interfaces.

Si tout est prêt, on peut directement utiliser ifup pour connecter l'interface
et ifdown pour déconnecter l'interface: sudo ifup eth1.

La configuration des différents éléments du réseau effectuée, nous

passons aux observations et aux tests afin de faire part de tous les
contours de notre projet.

VIII. OBSERVATIONS ET TESTS

Comme vous l'avez sûrement remarqué, la connexion au réseau Wi-Fi de

CaWaD s'effectue lors d'une ouverture de session sur le domaine
cawad.com.

Ainsi, lorsqu'un utilisateur souhaite accéder au réseau, il devra ouvrir une

session sur le réseau avec son compte du domaine qui lui aura été fourni
préalablement par l'administrateur du réseau. Si tout a été
convenablement configuré sur la machine utilisée, la connexion au réseau
se fera de manière transparente. Si la connexion ne fonctionne pas, il
faudra s'adresser au service technique. Ainsi, toutes les machines
nécessitant se connecter au réseau devront automatiquement passer par
le service technique pour être configurées et les utilisateurs aussi afin
d'obtenir les informations sur leurs comptes d'accès.

Par défaut, l'adaptateur sans fil Wi-Fi du poste client gère les déconnexions
après un certain temps d'inactivité. Bien plus la fermeture de session ou
l'extinction du poste client réalise la déconnexion du réseau. Nous pensons
que ceci permettra de renforcer la sécurité de notre réseau sans fil Wi-Fi.

Pour les machines disposant en plus de l'adaptateur Wi-Fi une carte

Ethernet, la configuration IP de cette dernière devra être similaire avec
celle de l'adaptateur Wi-Fi afin que le passage du sans fil au filaire se fasse
de manière transparente. Et notons ici que la connexion au réseau se fera
tout naturellement au démarrage de la machine sans passer par une
authentification préalable.

Nous allons maintenant tester si les machines arrivent à communiquer

entre elles. La commande utilisée est PING (Packet INternet Groper), elle
sert à vérifier la connectivité IP à un autre ordinateur en envoyant des
messages Requête d'écho ICMP (Internet Control Message Protocol). Si
tout est bien configuré on reçoit des réponses positives signifiant que les
deux machines arrivent à communiquer entre elles. On réalise ce test sur
chaque ordinateur du réseau Wi-Fi.

Maintenant que le réseau sans fil Wi-Fi a été installé, nous pensons à
l'avenir afin de savoir ce que nous réserve le temps.

IX. PERSPECTIVES D'AVENIR DU RÉSEAU WI-FI DE CAWAD

IX.1 LA VEILLE TECHNOLOGIQUE

Les réseaux sans-fil sont en évolution permanente : de nouvelles normes

sont sans cesse en étude pour améliorer les débits, la fiabilité, la qualité et
la sécurité. En ce qui concerne les normes Wi-Fi, le prochain saut
technique important est le 802.11n, qui porte le débit maximum théorique
à 200 ou 500Mbit/s. Cette norme, qui a été ratifiée en fin 2005 et qui a
commencé à être utilisée depuis 2006, demande des équipements
spécifiques et nécessiterait donc une mise à jour matérielle pour être
supportée.

Quant aux réseaux Wi-Fi maillés (mesh networks) qui pourraient

théoriquement concurrencer tous les réseaux Wi-Fi à infrastructure, la
plupart des projets sont encore peu développés et utilisables et la norme
IEEE correspondante (802.11s) n'en est qu`a ses balbutiements ; d'autre
part, le concept même de réseau maillé pose de sérieux problèmes de
sécurité.

Les mises à jour du réseau sans fil de CaWaD ne devraient pas poser de
problèmes, mais elles supposent un travail de maintenance et de veille
technologique léger mais sérieux et régulier. L'avenir à long terme du
réseau Wi-Fi CaWaD ne peut être évoqué sérieusement et de façon réaliste
dans ce rapport, étant donné la vitesse d'évolution des technologies à
l'oeuvre.

IX.2 LES PORTAILS CAPTIFS OU « CYBERCAFÉS VIRTUELS »

Ce projet nous a permis d'entrevoir un autre : la mise en place des «

cybercafés virtuels » ou portails captifs. Les cybercafés virtuels sont des
cybercafés comme on l'entend mais dont les machines se situent chez les
clients. Le principe ici est simple : nous souscrivons un abonnement chez
un fournisseur d'accès, ensuite nous installons notre point d'accès dans le
quartier ou la zone concernée. Avec ce PA, nous pouvons rayonner notre
connexion aux alentours et permettre aux populations environnantes d'en
avoir accès moyennant une modeste contribution. Ceci nous permet
d'atteindre deux objectifs : permettre aux populations d'accéder à Internet
vu que ceci reste encore une denrée rare pour de nombreuses personnes
dans notre pays, et dans un second plan de produire des devises au profit
de CaWaD Sarl et de l'économie de notre pays.

Seulement cette opération ne peut se faire aussi évidement car il

nécessite des moyens d'authentification qui en plus d'être sécurisés se
doivent d'être souples. Ceci d'autant plus que la majorité de clients sont
en quelque sorte des profanes. Voici à quoi ressemble l'architecture d'un
tel système.
Figure 11 : Cybercafés virtuels

Plusieurs logiciels ont été développés pour permettre de déployer de telles

solutions. On les appelle : portails captifs.

Techniquement, un portail captif est une structure permettant un accès

rapide à Internet. Lorsqu'un utilisateur cherche à accéder à une page Web
pour la première fois, le portail captif capture la demande de connexion
par un routage interne et propose à l'utilisateur de s'identifier afin de
pouvoir recevoir son accès. Cette demande d'authentification se fait via
une page Web stockée localement sur le portail captif grâce à un serveur
HTTP. Ceci permet à tout ordinateur équipé d'un navigateur web et d'un
accès Wi-Fi de se voir proposer un accès à Internet. La connexion au
serveur est sécurisée par SSL grâce au protocole HTTPS, ce qui garanti
l'inviolabilité de la transaction.

Les identifiants de connexion (identifiant, mot de passe) de chaque

utilisateur sont stockés dans une base de données qui est hébergée
localement ou sur un serveur distant. Une fois l'utilisateur authentifié, les
règles du Firewall le concernant sont modifiées et celui-ci se voit alors
autorisé à utiliser son accès pour une durée limitée fixée par
l'administrateur. A la fin de la durée définie, l'utilisateur se voit
redemander ses identifiants de connexion afin d'ouvrir une nouvelle
session.

Figure 12 : Schéma théorique d'un portail captif

Nous avons jusqu'à ce jour testé plusieurs portails captifs et celui qui
présente le plus de potentialités est Pfsence. Nous ne pouvons entrer dans
plus de détails sur ce sujet car il constitue l'objet de tout un autre projet.
Notons seulement que cette solution a déjà fait ses preuves dans plusieurs
pays africains et dans le monde et on vient à se demander ce qui peut être
la cause de ce grand retard avec le Cameroun.

X. LA CONDUITE DU PROJET

Bien au-delà de la simple installation d'un réseau Wireless, nous avons

également beaucoup appris sur le management de projet. En effet, au
départ, chacun d'entre nous était convaincu qu'il allait apprendre
énormément au niveau de la sécurisation des réseaux sans-fil, mais bien
peu pensaient apprendre une méthodologie de projet.

Au cours de l'année nous avions eu à faire des études sur le Wi-Fi. C'est
pourquoi lorsque ce thème nous a été remis nous nous sommes
immédiatement rendu compte de l'importance du projet, et à ce titre, avec
l'aide de nos encadreurs il nous a semblé important de fixer des deadlines
pour les phases successives de la partie technique:

1. Etude fonctionnelle des besoins et rédaction d'un document présenté au

maître de stage pour validation : 1 semaine ;

2. Etude des différentes solutions techniques et choix de la solution : 4

semaines ;

3. Réflexion sur l'architecture et le fonctionnement du réseau : 3

semaines ;

4. Installation effective du réseau : 1 semaine ;

5. Mise en route du réseau : 1 semaine.

Dès la première réunion avec M. BINIGA, celui-ci nous a rappelé
l'importance du planning et de la sauvegarde. Sous ses recommandations,
nous sommes passés en action et avons sollicité MS Project pour la gestion
du planning. Pour les sauvegardes, nous avons pensé une solution quelque
originale. Cette solution consiste à s'envoyer par mail nos rapports en
cours de rédaction afin de les tenir en sécurité sur Internet et éviter ainsi
toute gaucherie après une perte de données locale. Afin de garder une
trace de l'évolution de la rédaction, nous renommons chaque version avec
un nom différent daté sous la forme : rapport-fotso-04-08-08 pour dire
rapport de FOTSO du 04 août 2008.

Finalement, nous avons pu respecter ce planning jusqu'à la mi-août. En

effet, c'est à ce moment qu'est apparu un sérieux obstacle au projet :
l'absence de fonds pour la réalisation effective des travaux. Heureusement
la situation a été améliorée avec l'acquisition d'un point d'accès par un
camarade ce qui nous a permis de faire des installations et de
configurations en attendant l'acquisition du matériel par la société CaWaD.

CONCLUSION

Ainsi, nous avons tout au long de ce stage mis en place une infrastructure
Wi-Fi la plus sécurisée possible tout en restant compatible avec les
différentes technologies existantes.

Notons cependant que si le réseau Wi-Fi présente des avantages en

confort et en utilisation qui sont considérables, il n'est pas adapté à de
lourdes charges, et il faut savoir que les coûts économisés en évitant un
câblage Ethernet pour les postes des utilisateurs peuvent être dépassés
par d'autres coûts auxquels on n'a pas forcément pensé à l'origine.

En pratique, les réseaux Wi-Fi sont performants en mode client-serveur

avec des échanges courts (navigation Internet par exemple), ce qui
explique leur succès auprès des particuliers.

Enfin, avec la solution des cybercafés virtuels, nous pensons pouvoir

produire des devises à CaWaD et par la même occasion participer au
mieux à la réduction du fossé numérique qui existe entre le Nord et le Sud.
BIBLIOGRAPHIE

Authentification réseau avec Radius 802.1x - EAP - FreeRadius Auteur :

Serge Bordères Édition : Eyrolles Collection : Blanche.

WEBOGRAPHIE

http://www.cisco.com : configuration, point d'accès, bases du WI-FI.

http://www.dlink.fr : configuration, point d'accès, bases du WI-FI.

http://www.foundrynet.com : standard 802.1X, protocole EAP.

http://www.freeradius.org : protocole RADIUS.

http://www.guill.net : authentification générale.

http://www.highsecu.net : protocoles d'authentification.

http://www.ieee.org : protocole 802.1x.

http://www.linux-france.org : généralités sur le Wi-Fi.

http://www.microsoft.com : clients 802.1x.

http://www.rfc-editor.org/ : RFC.

http://www.bccanet.com : cybercafé virtuel.

ANNEXES

Annexe1 Généralités sur le Wi-Fi

1. Historique

La première norme des réseaux locaux sans fils est validée en 1997 sous
la norme 802.11 et connu du grand public sous le nom de WLAN (Wireless
Local Area Network) ou RLAN (Radio LAN).

Figure 13 : Bande de fréquences utilisées par le Wi-Fi

A ce jour, plusieurs variantes de la norme 802.11 ont été définies pour

apporter des améliorations aux performances et à la sécurité. En voici
quelques unes :

F 802.11a : WLAN haut débit (54 Mbits/s) dans la bande 5 GHz ;

F 802.11b : Wi-Fi à 11 Mbits/s dans la bande des 2.4 GHz ;

F 802.11d : adaptation du WLAN aux aspects réglementaires de chaque

pays ;

F 802.11e : amélioration de la couche MAC du 802.11 pour supporter la

qualité de service (QoS) ;

F 802.11f : amélioration de l'interopérabilité des systèmes ; compatibilité

des Access Point ou IAPP (Inter Access Point Protocol) ;
F 802.11g : extension du 802.11b (Wi-Fi) pour gérer le haut débit identique
à celui du 802.11a tout en utilisant la bande ISM de 2.4 GHz (54 Mbits/s) ;

F 802.11h: amélioration du 802.11a pour la gestion et le contrôle du

spectre (Spectrum managed) ;

F 802.11i : Amélioration du mécanisme de la sécurité (WPA2) sur le Wi-Fi ;

F 802.11j : version japonaise de la norme 802.11.

Comme on peut le constater à partir du 802.11b le WECA qui est le groupe

de travail en charge des réseaux locaux sans fils au sein de l'IEEE a définit
le Label Wi-Fi (Wireless Fidelity).

On utilise le terme Wi-Fi5 pour designer le 802.11a ou encore le Wi-Fi dans

la bande des 5 GHz.

Ainsi le Wi-Fi est utilisé dans le langage courant pour désigner les réseaux
de données (réseaux locaux) sans fils, devenant ainsi le symbole de
l'informatique et de l'Internet nomades.

2. Quelle utilisation pour le Wi-Fi ?

F Couverture d'une salle difficile d'accès par câble.

F Interconnexion de bâtiments.

F Mise en place de réseau urbain de type communautaire.

F Point d'accès public à Internet de type « Hots Spot ».

F Extension des réseaux filaires de bureau pour les utilisateurs nomades.

3. Avantages du Wi-Fi

F Internet haut débit avec mobilité garantie au bureau à domicile ou dans

les espaces publics ;

F Possibilité de déplacer les postes de travail n'importe où dans le

bâtiment sans perdre la connectivité au (sans contrainte de recâblage) ;

F Redéploiement facile du réseau en cas de déménagement ;

F Intégration facile au réseau existant pour offrir de la mobilité aux

utilisateurs ;

F Flexibilité d'aménagement des locaux.

4. Inconvénients du Wi-Fi

F Solution quelque un peu plus onéreuse que le câblé ;

F Bande passante partagé ce qui est conséquence des débits encore

réduits ;

F Sécurisation complexe.

5. La sécurité sur le Wi-Fi

Différents mécanismes sont mis en oeuvre pour garantir un minimum de

sécurité sur le réseau Wi-Fi de base:
F Le cryptage WEP dont la philosophie de base est d'offrir sur le réseau Wi-
Fi une sécurité équivalente à celle du réseau filaire. Mais trop des failles
ont été trouvées sur ce mécanisme.

F Le filtrage par adresse MAC permettant de définir une liste

d'équipements autorisés à se connecter au réseau ou une liste interdite
sur le réseau.

F Des mécanismes d'authentifications (RADIUS ...) sont aussi mis en

oeuvre sur certains équipements ou dans une partie du réseau.

Pour palier aux failles du WEP, et renforcer la sécurité d'une manière

générale d'autres normes sont adoptés ou en cours d'adoption : WPA,
802.11i, ...

6. Les performances d'un réseau Wi-Fi

Les performances théoriques sont :

F Portée : jusqu'à 300m de rayon de couverture sans obstacle (à la

propagation des ondes).

F Débits : variable de 1 à 108 Mbit/s (jusqu'à 11 Mbit/s pour le 802.11b, 22

Mbit/s pour le 802.11b+, 54 Mbit/s pour le 802.11g et 108 Mbit/s pour le
802.11g+).

Mais dans la pratique ces données sont fonction :

§ de la qualité des équipements ;

§ de l'environnement dans lequel les équipements sont déployés ;

§ du nombre de clients Wi-Fi connectés à la fois au réseau.

7. Les différentes architectures d'un réseau WI-FI

D'abord, de base, il existe deux modes d'architectures d'un réseau Wi-Fi :

F Le mode ad hoc : tous les clients (terminaux ou postes) des réseaux Wi-
Fi communiquent entre eux sans passer par un équipement central.

F Le mode Infrastructure : dans ce mode un équipement central appelé

Access Point est indispensable pour gérer la communication entre les
différents clients Wi-Fi.

Il est possible de construire son réseau Wi-Fi avec une architecture plus
complexe combinant des AP (avec des fonctions différentes) et des
équipements de réseaux filaires pour des raisons de couverture ou de
sécurité.

8. Les équipements Wi-Fi : L'Access Point

Le Point d'Accès ou Access Point (AP) : c'est l'équipement central qui gère
l'aspect radio du réseau sans fil. Il joue souvent le rôle de routeur, modem
et gère la connexion avec le réseau filaire (Internet). Certains peuvent
aussi assurer les fonctions de pont et de répéteur. Les interfaces
disponibles su un AP sont :

F RJ45 : utilisé généralement pour interconnecter le réseau sans fil à un

autre réseau (filaire...) ou un terminal ne disposant pas de carte Wi-Fi ;

F RJ11 : sert pour les accès ADSL ;

F RJ14 : utilisé pour l'accès console (administration) ;

F Port USB : pour connecter d'autres périphériques en USB.

9. Les équipements Wi-Fi : Les accessoires pour les postes clients du Wi-Fi

Pour qu'un poste soit connecté à un réseau Wi-Fi il est indispensable qu'il
soit équipé de l'un des éléments suivants :

1. Matériels

F Carte PCMCIA Wi-Fi généralement utilisé pour les PC Portable

F Carte PCI Wi-Fi pour les PC ou autres

F Une clé USB Wi-Fi pour tout périphérique équipé d'un port USB

F Un adaptateur Wi-Fi quelconque : Ethernet/Wi-Fi ou Port parallèle/Wi-Fi

ou Port série/Wi-Fi

2. Logiciels

Les interfaces clients sont généralement vendues avec des

pilotes/utilitaires (sur CD) pour leur configuration sous différents OS
(WINDOWS98/2000/Me/XP ou MAC OS). Par ailleurs, d'autres terminaux
peuvent être pré-équipés Wi-Fi ce qui dispense l'usager d'acquisition de
matériel supplémentaire :

Exemples : Caméra Wi-Fi, PC Portable Centrino, Imprimante Wi-Fi, Agenda

Electronique Wi-Fi.

10. Principe de fonctionnement du Wi-Fi

Une fois l'Access Point convenablement installé, certains mécanismes sont
indispensables avant qu'un poste client Wi-Fi se trouvant dans la zone de
couverture de l'Access Point puisse échanger les informations sur le réseau
:

F d'abord ces postes clients et l'Access Point doivent utiliser un canal radio
identique choisie une liste allant de 1 à 14) ;

F ensuite se déroule l'authentification et l'association afin que le poste

client Wi-Fi soit logiquement connecté au réseau. Pendant cette phase
d'association et d'authentification, l'Access Point et les postes clients
échangent un identifiant «le nom du réseau (SSID)» sur lequel ils se
trouvent ainsi que la nature du cryptage utilisé ;

F c'est après l'échange de ces informations indispensables que les postes

clients seront connectés au réseau Wi-Fi.

11. Quelques outils d'analyses des réseaux Wi-Fi

F AirMagnet Handheld ou AirMagnet Duo a/b

F AirSnort Fluke Networks Waverunner

F NAI Sniffer Wireless

F NetStumbler

12. Quelques constructeurs

3 com, Bewan, Inventel, LinkSys, Olitec, Netgear, SMC, Apple, Asus,

Cometlabs, D-Link, Sonicwall, Symbol, Cisco, Belkin, Zyxel-West Modem,
Siemens, Sagem, Netopia, Thomsom, US-Robotics...
13. Aspects réglementaires :

Le cadre réglementaire de déploiement et d'utilisation d'un réseau Wi-Fi

varie d'un pays à l'autre. Avant de mettre en oeuvre son réseau Wi-Fi, il
faut se renseigner sur les aspects réglementaires : les canaux autorisés,
les procédures de déclaration obligatoire. Pour le faire, il faut s'adresser à
l'ART (Agence de Régulation des Télécommunications). D'après nos
renseignements, la réglementation camerounaise autorise le déploiement
du Wi-Fi en intérieur ou en extérieur. Seulement, pour un déploiement en
extérieur une lettre d'information devra être adressée à l'ART pour «
information ».

Annexe2 Généralités sur les attaques dans un réseau sans fil

On peut classifier les attaques dans un réseau sans fil Wi-Fi en deux
groupes principaux : les attaques passives et les attaques actives, qui sont
bien évidemment plus dangereuses.

A. Attaques passives

Dans un réseau sans fil, l'écoute passive est d'autant plus facile que le
média air est difficilement maîtrisable. Bien souvent, la zone de couverture
radio d'un point d'accès déborde du domaine privé d'une entreprise ou
d'un particulier. L'attaque passive la plus répandue est la recherche de
point d'accès. Cette attaque (appelée Wardriving) est devenu le " jeu "
favori de nombreux pirates informatique, les points d'accès sont
facilement détectables grâce à un scanner (portable équipé d'une carte
WI-FI et d'un logiciel spécifique de recherche de PA.) Ces cartes Wi-Fi sont
équipées d'antennes directives permettant d'écouter le trafic radio à
distance hors de la zone de couverture du point d'accès. Il existe deux
types de scanners, les passifs (Kismet, Wi-Fiscanner, Prismstumbler...) ne
laissant pas de traces (signatures), quasiment indétectables et les
actifs(Netstumbler, Dstumbler) détectables en cas d'écoute, ils envoient
des " probe request ". Seul Netstumbler fonctionne sous Windows, les
autres fonctionnent sous Linux. Les sites détectés sont ensuite indiqués
par un marquage extérieur (à la craie) suivant un code (warchalking) :
Figure 14 : Le Wardriving

Une première analyse du trafic permet de trouver le SSID (nom du réseau),

l'adresse MAC du point d'accès, le débit, le type de cryptage utilisé et la
qualité du signal. Associé à un GPS, ces logiciels permettent de localiser
(latitude, longitude) ces points d'accès.

A un niveau supérieur, des logiciels (Aisnort ou Wepcrack) permettent en

quelques heures (suivant le trafic), de déchiffrer les clés WEP et ainsi avec
des outils d'analyse de réseaux conventionnels la recherche d'informations
peut aller plus loin. Le pirate peut alors passer à une attaque dite active.

B. Attaques actives

Les différentes attaques connues dans les réseaux sans fil Wi-Fi sont :

F DoS (Denial of Service)

Le déni de service réseau est souvent l'alternative à d'autres formes

d'attaques car dans beaucoup de cas il est plus simple à mettre en oeuvre,
nécessite moins de connaissances et est moins facilement traçable qu'une
attaque directe. Cette attaque a pour but d'empêcher des utilisateurs
légitimes d'accéder à des services en saturant de fausses requêtes ces
services. Elle se base généralement sur des " bugs " logiciel. Dans le
domaine du Wi-Fi, cela consiste notamment à bloquer des points d'accès
soit en l'inondant de requête de désassociation ou de désauthentification
(programme Airjack), ou plus simplement en brouillant les signaux
hertzien.

F Spoofing (usurpation d'identité)

L'IP spoofing est une technique permettant à un pirate d'envoyer à une

machine des paquets semblant provenir d'une adresse IP autre que celle
de la machine du pirate. L'IP spoofing n'est pas pour autant un
changement d'adresse IP. Plus exactement il s'agit d'une mascarade (il
s'agit du terme technique) de l'adresse IP au niveau des paquets émis,
c'est-à-dire que les paquets envoyés sont modifiés afin qu'ils semblent
parvenir d'une autre machine.

F Man in the middle (home au milieu)

Cette attaque consiste pour un réseau Wi-Fi, a disposer un point d'accès

étranger à proximité des autres PA légitimes. Les stations désirant se
connecter au réseau livreront au PA " félon " leurs informations
nécessaires à la connexion. Ces informations pourront être utilisées par
une station pirate. Il suffit tout simplement à une station pirate écoutant le
trafic, de récupérer l'adresse MAC d'une station légitime et de son PA, et
de s'intercaler au milieu.

Annexe3 Généralités sur les certificats

Un certificat de clé publique, généralement appelé simplement un

certificat, est une instruction signée numériquement qui lie la valeur d'une
clé publique à l'identité de la personne, de la machine ou du service qui
contient la clé privée correspondante. La plupart des certificats
communément utilisés sont basés sur la norme de certificat X.509v3
(Version 3 de la recommandation X.509 de l'ITU-T relative à la syntaxe et
au format des certificats).

Des certificats peuvent être émis pour une variété de fonctions telles que
l'authentification d'utilisateurs Web, l'authentification de serveurs Web, la
sécurisation d'une messagerie, la sécurité IP (IPSec), la Transport Layer
Security (TLS). Des certificats sont également délivrés par une certification
authority (CA) à une autre afin d'établir une hiérarchie de certification.

L'entité qui reçoit le certificat est appelée le sujet du certificat. L'émetteur

et signataire du certificat est une autorité de certification.

En général, les certificats contiennent les informations suivantes :

F La valeur de la clé publique du sujet

F Des informations identifiant le sujet, par exemple son nom et son

adresse de messagerie

F La période de validité (durée pendant laquelle le certificat est valide)

F Des informations identifiant l'émetteur

F La signature numérique de l'émetteur qui atteste la validité de la liaison

entre la clé publique du sujet et les informations d'identification de ce
dernier.

Un certificat n'est valide que pour la durée spécifiée à l'intérieur ; chaque

certificat contient les dates Valide à partir du et Valide jusqu'au qui
définissent les limites de la période de validité. Une fois que la période de
validité d'un certificat est dépassée, un nouveau certificat doit être
demandé par le sujet du certificat expiré.

Dans le cas où il devient nécessaire de défaire la liaison déclarée dans un

certificat, ce dernier peut être révoqué par l'émetteur. Chaque émetteur
gère une liste de révocation de certificats qui peut être utilisée par des
programmes lors de la vérification de la validité de n'importe quel
certificat.

L'un des principaux avantages des certificats est que les hôtes n'ont plus
besoin de gérer un jeu de mots de passe pour des sujets individuels qui
doivent être authentifiés avant d'obtenir un accès. Il suffit désormais à
l'hôte d'établir une relation d'approbation avec un émetteur de certificats.

Lorsqu'un hôte, tel qu'un serveur Web sécurisé, désigne un émetteur en

tant qu'autorité racine approuvée, l'hôte approuve implicitement les
stratégies que l'émetteur a utilisées pour établir les liaisons des certificats
qu'il émet. En fait, l'hôte fait confiance à l'émetteur en ce qui concerne la
vérification de l'identité du sujet du certificat. Un hôte désigne un
émetteur en tant qu'autorité racine de confiance en plaçant le certificat
auto-signé de l'émetteur contenant sa clé publique dans le magasin de
certificats de l'autorité de certification racine de confiance de l' ordinateur
hôte. Les autorités de certification intermédiaires ou secondaires ne sont
approuvées que si elles ont un chemin d'accès de la certification valide à
partir d'une autorité de certification racine de confiance.

Lorsque deux entités (machines, personnes, applications ou services)

essaient d'établir leur identité et leur relation d'approbation, le fait que les
deux entités approuvent la même autorité de certification permet d'établir
entre elles le lien d'identité et d'approbation. Une fois qu'un sujet de
certificat a présenté un certificat émis par une autorité de certification
approuvée, l'entité qui essaie d'établir la relation d'approbation peut
entreprendre un échange d'informations en stockant le certificat du sujet
dans son propre magasin de certificats et, le cas échéant, en utilisant la
clé publique contenue dans le certificat pour crypter une clé de session
afin de sécuriser toutes les communications suivantes avec le sujet du
certificat.

Annexe4 Généralités sur le protocole RADIUS

L'authentification est l'opération par laquelle le destinataire et/ou

l'émetteur d'un message s'assure (nt) de l'identité de son interlocuteur.
L'authentification est une phase cruciale pour la sécurisation de la
communication. Les utilisateurs doivent pouvoir prouver leur identité à
leurs partenaires de communication et doivent également pouvoir vérifier
l'identité des autres utilisateurs. L'authentification de l'identité sur un
réseau est une opération complexe, car les parties qui communiquent ne
se rencontrent pas physiquement lors de la communication. Un utilisateur
malveillant peut ainsi intercepter des messages ou emprunter l'identité
d'une autre personne ou entité.

Le protocole RADIUS (Remote Authentication Dial-In User Service) en

français « service d'authentification distante des utilisateurs d'accès à
distance », mis au point initialement par la société Livingston, est un
protocole d'authentification standard, défini par les RFC 2865 (pour
l'authentification) et 2866 (pour la comptabilité).
Le fonctionnement de RADIUS est basé sur un système client/serveur
chargé de définir les accès d'utilisateurs distants à un réseau en utilisant
le protocole UDP et les ports 1812 et 1813. Le protocole RADIUS repose
principalement sur un serveur (le serveur RADIUS), relié à une base
d'identification (base de données, Active Directory, annuaire LDAP, etc.) et
un client RADIUS, appelé NAS (Network Access Server), faisant office
d'intermédiaire entre l'utilisateur final et le serveur. L'ensemble des
transactions entre le client RADIUS et le serveur RADIUS est chiffrée et
authentifiée grâce à un secret partagé.

Le scénario du principe de fonctionnement est le suivant :

F Un utilisateur envoie une requête au NAS afin d'autoriser une connexion

à distance ;

F Le NAS achemine la demande au serveur RADIUS ;

F Le serveur RADIUS consulte la base de données d'identification afin de

connaître le type de scénario d'identification demandé pour l'utilisateur.
Soit le scénario actuel convient, soit une autre méthode d'identification est
demandée à l'utilisateur. Le serveur RADIUS retourne ainsi une des quatre
réponses suivantes :

o ACCEPT : l'identification a réussi ;

o REJECT : l'identification a échoué ;

o CHALLENGE : le serveur RADIUS souhaite des informations

supplémentaires de la part de l'utilisateur et propose un « défi » (en
anglais « challenge ») ;

o CHANGE PASSWORD : le serveur RADIUS demande à l'utilisateur un

nouveau mot de passe.
Suite à cette phase dit d'authentification, débute une phase d'autorisation
où le serveur retourne les autorisations de l'utilisateur.

Figure 15 : RADIUS

Il est à noter que le serveur RADIUS peut faire office de proxy, c'est-à-dire
transmettre les requêtes du client à d'autres serveurs RADIUS. L'en-tête du
paquet RADIUS comporte 5 champs:

o Code : Définit le type de trame (acceptation, rejet, challenges, requête)

o Identifier : Associe les réponses reçues aux requêtes envoyées.

o Length : Champ longueur.

o Authentificator : Champ d'authentification comprenant les éléments

nécessaires.

o Attributes : Ensemble de couples (attribut, valeur).

Figure 16 : En-tête d'un paquet RADIUS

Annexe5 Glossaire des principaux sigles et acronymes utilisés

Terme
Définition

Adresse MAC (Media Access Control)

Adresse matérielle d'un périphérique raccordé à un support de réseau

partagé.

AES (Advanced Encryption Standard)

Technique de cryptage de données par bloc de 128 bits symétrique.

Bande ISM (Intermediate Service Module)

Bande radio utilisée dans les transmissions de mise en réseau sans fil.

Bit (chiffre binaire)

Plus petite unité d'information d'une machine.

CSMA/CA (Accès multiple par détection de porteur./Autorité de

certification)

Méthode de transfert de données utilisée pour empêcher les collisions de

données.

DHCP (Dynamic Host Configuration Protocol)

Protocole qui permet à un périphérique d'un réseau local, le serveur DHCP,

d'affecter des adresses IP temporaires à d'autres périphériques réseau,
généralement des ordinateurs.
DNS (serveur de nom de domaine)

Adresse IP du serveur de votre ISP, qui traduit les noms des sites Web en
adresses IP.

Domaine

Nom spécifique d'un réseau d'ordinateurs.

EAP (Extensible Authentication Protocol)

Protocole d'authentification général utilisé pour contrôler l'accès au

réseau. De nombreuses méthodes d'authentification fonctionnent avec
cette infrastructure.

EAP-PEAP (Extensible Authentication Protocol-Protected Extensible

Authentication Protocol)

Méthode d'authentification mutuelle qui utilise des certificats numériques

en plus d'un autre système, tels que des mots de passe.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Méthode d'authentification mutuelle qui utilise des certificats numériques.

Étalement du spectre

Technique de fréquence radio large bande utilisée pour une transmission

de données plus fiable et sécurisée.

IEEE (The Institute of Electrical and Electronics Engineers)

Institut indépendant qui développe des normes de mise en réseau.

Infrastructure

Matériel informatique et de mise en réseau actuellement installé.

ISP (fournisseur de services Internet)

Société qui procure un accès à Internet.

LAN (réseau local)

Ordinateurs et produits de mise en réseau qui constituent le réseau à

votre domicile ou votre bureau.

Mbit/s (Mégabits par seconde)

Un million de bits par second ; unité de mesure pour la transmission de

données.

NAT (traduction d'adresses réseau)

La technologie NAT traduit des adresses IP du réseau local en adresses IP

différentes pour Internet.

NNTP (Network News Transfer Protocol)

Protocole utilisé pour se connecter à des groupes Usenet sur Internet.

OFDM (multiplexage fréquentiel orthogonal)

Type de technologie de modulation qui sépare le flux de données en un

nombre de flux de données bas débit, qui sont ensuite transmises en
parallèle.

PoE (Power over Ethernet)

Technologie permettant à un câble réseau Ethernet de fournir des données

et l'alimentation électrique.

RADIUS (Remote Authentication Dial-In User Service)

Protocole qui utilise un serveur d'authentification pour contrôler l'accès au

réseau.

SNMP (Simple Network Management Protocol)

Protocole de contrôle et de surveillance du réseau largement utilisé.

SSID (Service Set IDentifier)

Nom de votre réseau sans fil.

TCP/IP (Transmission Control Protocol/Internet Protocol)

Protocole réseau de transmission de données qui exige un accusé de

réception du destinataire des données envoyées.

TKIP (Temporal Key Integrity Protocol)

Protocole de cryptage sans fil qui modifie périodiquement la clé de
cryptage, la rendant plus difficile à décoder.

TLS (Transport Layer Security)

Protocole qui garantie la protection des informations confidentielles et

l'intégrité des données entre les applications client/serveur qui
communiquent sur Internet.

UDP (User Datagram Protocol)

Protocole réseau de transmission de données qui n'exige aucun accusé de

réception du destinataire des données envoyées.

URL (Uniform Resource Locator)

Adresse d'un fichier qui se trouve sur Internet.

WEP (Wired Equivalency Protocol)

WEP est un protocole de sécurité pour les réseaux sans fil. WEP offre un
niveau de sécurité de base mais satisfaisant pour la transmission de
données sans fil.

WLAN (réseau local sans fil)

Groupe d'ordinateurs et de périphériques associés qui communiquent sans

fil entre eux.

WPA (Wi-Fi Protected Access)

Protocole de sécurité pour les réseaux sans fil qui repose sur les
fondations de base du protocole WEP. Il sécurise la transmission de
données sans fil en utilisant une clé similaire à la clé WEP, mais sa force
est que cette clé change dynamiquement. Il est donc plus difficile pour un
pirate de la découvrir et d'accéder au réseau.