Réseaux privés virtuels

Les défis liés à la création et à la gestion

de réseaux VPN sécurisés
Sommaire

Introduction................................................................................................... 5

Qu’appelle-t-on un VPN ? ............................................................................... 6

Quels sont les besoins de la plupart des utilisateurs en matière de réseau VPN ? ....... 6

Architectures classiques et composants techniques ................................................ 7

Architecture .................................................................................................. 7

Services ...................................................................................................... 7

Protocoles .................................................................................................... 7

Mécanismes.................................................................................................. 9

Composants.................................................................................................. 9

Défis ..........................................................................................................10

Défi 1 : performances des applications e-business ..............................................10

Défi 2 : les problèmes liés à la gestion et à l’administration du réseau VPN ............11

Défi 3 : le défi de la sécurité ..........................................................................12

Conclusion .................................................................................................14

-3-
Introduction

L’objectif de ce document est de préciser le périmètre permettant la mise en œuvre

et la gestion de la sécurité des applications E-business sur une infrastructure

Internet/Intranet/Extranet.

Il s’agit tout d'abord de décrire l’ensemble des composants techniques permettant

d’assurer la sécurité des transactions E-business en utilisant les protocoles IPSEC ou

SSL, sans modifier les couches réseau ou application.

Puis d’apporter une réponse aux principaux défis techniques auxquels doivent faire

face les entreprises lorsqu'elles mettent en œuvre ce type de réseau privé virtuel,

en mettant l'accent sur les notions d'architecture, de performances et de gestion.

Enfin, d’analyser les critères permettant de définir objectivement le niveau de

confiance qui doit être accordé aux produits de sécurité en fonction des dernières

informations reçues concernant les programmes de certification et les

réglementations relatives au chiffrement.

En conclusion, les recommandations concernant la mise en œuvre de solutions de

sécurité efficaces et facilement gérables pour les applications E-business.

-5-
Qu’appelle-t-on un VPN ?
Aujourd'hui, les technologies Internet modifient
le fonctionnement des entreprises et cette
évolution ne va pas sans affecter les relations
entre citoyens et administrations publiques.
Si on les compare avec des réseaux à ligne
spécialisée dédiée ou avec des réseaux X25
traditionnels, les infrastructures de réseau
public IP telles qu'Internet constituent un réseau
générique à faible coût, largement accessible
et facile à utiliser, qui permet d'échanger
presque tous les types d'informations entre tous
les types d'entreprises ou de particuliers dans
le monde entier.
Le réseau VPN (réseau privé virtuel) est une
solution qui intègre cette nouvelle
infrastructure, en apportant des garanties
supplémentaires de sécurité et de
confidentialité des connexions pour les
applications qui utilisent Internet comme moyen
de transport.
Quels sont les besoins de la plupart des utilisateurs
en matière de réseau VPN ?
Pour être efficace, la plupart des utilisateurs se
concentrent sur leur métier et leur savoir-faire,
et non sur la technologie qu'ils utilisent. Ils ont
besoin d'une infrastructure de réseau Internet
sécurisée, fiable et gérable qui permette des
échanges de type e-business rapides et fiables.
On peut alors décrire ainsi les exigences en
matière de VPN :
1. un nombre minimum de contraintes pour
l'utilisateur (et même aucune Contrainte, si
possible !) ;
2. la possibilité de travailler avec toute
application Internet standard (Web,
courrier électronique, transfert de fichiers,
bases de données, …) et sans aucune
modification ou configuration particulière
de ces applications ;
-6-
Un réseau VPN peut être considéré comme un
tuyau permettant l'échange des données entre
un émetteur et un récepteur.
Ce tuyau est virtuel car il est établi de façon
logique et dynamique entre l'émetteur et le
récepteur au moment de la connexion (en
utilisant l'adresse IP Internet unique de
chacun). Il est privé car il utilise une série de
protocoles spécifiques. Etant donné que ces
protocoles de sécurité fonctionnent au niveau
réseau ou transport, ils permettent d'obtenir un
chemin totalement sécurisé entre l'émetteur et
le récepteur, quels que soient l'application
utilisée et le type de données échangées.
Il apporte également les garanties suivantes :
• personne d'autre sur Internet ne peut utiliser
ce tuyau virtuel privé pour accéder à vos
informations système personnelles ;
• personne d'autre sur Internet ne peut écouter
ou modifier les données échangées.
3. la possibilité d’utiliser une architecture
reposant sur des couches réseau
physiques hétérogènes (802.3,
802.11…) ;
4. une disponibilité fiable et immédiate sans
dégradation des performances du
réseau ;
5. une évolutivité vers n'importe quel nombre
d'utilisateurs, y compris des utilisateurs
mobiles ou à distance (employés,
partenaires, clients, …) ;
6. une gestion centralisée adaptée et des
possibilités d'intégration des outils de
gestion réseau de l'entreprise ;
7. la garantie du niveau de sécurité
nécessaire pour chaque type d'activité.
Architectures classiques et composants techniques
Architecture Les architectures VPN classiques sont de 3
types :
• VPN Intranet : réseau VPN entre les différents
services d'une entreprise, les bureaux des
filiales, les bureaux situés à l'étranger, etc.
• VPN Nomades : extension du VPN Intranet
Services Les architectures VPN fournissent les services
de sécurité suivants :
• Authentification : service utilisé pour vérifier
que les deux entités (émetteur et récepteur)
possèdent des identités valides (c'est-à-dire,
prouvent qu'elles sont effectivement la
personne ou le système qu'elles prétendent
être).
Il faut noter que l'entité peut être un humain,
mais aussi un système tel qu'une passerelle,
un pare-feu, un serveur, etc.
• Contrôle d'accès : service qui contrôle les
droits d'accès d'une entité donnée à un
système ou à un groupe de systèmes
particulier.
L'authentification mutuelle et le contrôle
d'accès doivent toujours avoir lieu lors de la
phase d'initialisation du VPN et donc avant
tout échange de données.
• Authentification de l'origine des données :
service utilisé pour vérifier que des données
ont réellement été envoyées par une entité
préalablement authentifiée.
• Confidentialité des données : service
assurant que seule l'entité réceptrice
préalablement authentifiée peut utiliser les
données transmises.
Protocoles Dans un réseau VPN, les services de sécurité
sont mis en œuvre via les composants des
protocoles. Les deux principaux protocoles
-7-
qui permet de connecter les utilisateurs
Nomades aux bureaux de l'entreprise
• VPN Extranet : extension du VPN Intranet qui
permet de connecter les utilisateurs ne faisant
pas partie de l'entreprise (partenaires,
fournisseurs, clients...) aux bureaux de
l'entreprise.
• Intégrité et non-rejet des données : service
utilisé pour vérifier que les données reçues
sont exactement celles qui ont été transmises
par l'entité émettrice authentifiée. La fonction
de non-rejet des données reçues (ou émises)
peut facultativement être garantie au
récepteur (ou à l'émetteur).
• Les services de génération et d'échange de
clefs ne sont généralement pas visibles par
l'utilisateur, mais constituent un composant
essentiel de tout système basé sur le
chiffrement car la plupart des autres services
reposent sur l'utilisation de clefs de
chiffrement.
• D'autres services peuvent être facultativement
fournis :
• Protection contre la ré-exécution :
permet d'éviter la réception de data
grammes IP en double.
• Compression des données : améliore
l'utilisation de la bande passante.
• Confidentialité du flux de données :
permet de préserver la confidentialité des
caractéristiques du flux de données (type
de protocole de transmission, fréquence,
taille des données, etc.).
pouvant être utilisés sont SSL (Secure Socket
Layer) et IPSEC.
SSL/TLS est SSL est un protocole de couche 4 (niveau mécanismes de sécurité à utiliser, algorithmes
généralement bien transport) utilisé par une application pour et clefs de chiffrement, etc.) qui seront utilisés
adapté aux applications établir un canal de communication sécurisé durant le reste de la session (phase 2) pour
de commerce avec une autre application. sécuriser les données échangées.
électronique entre
SSL est généralement utilisé comme une SSL a évolué vers la norme IETF appelée
entreprises et clients sur
fonction standard dans la plupart des Transport Layer Security [TLS] et peut être
le Web et aux échanges navigateurs Internet et des logiciels serveur considéré comme une solution VPN des
électroniques entre Web. applications de Web Extranet très étendues
citoyens et On peut considérer qu'il existe une
administrations SSL est un protocole en deux phases : au cours interopérabilité complète entre les diverses
publiques de la phase 1, le client et le serveur négocient mises en œuvre de SSL effectuées par la
les paramètres de sécurité (services et plupart des fournisseurs.

Le protocole IPSEC IPSEC est un protocole de couche 3 (niveau
constitue le meilleur réseau) qui étend le protocole IP natif avec les
choix pour un réseau services de sécurité nécessaires à la création
VPN Intranet d'un réseau VPN. Ces extensions se
composent de deux nouveaux en-têtes ajoutés
d'entreprise (incluant
(soit séparément, soit ensemble) au data
des utilisateurs mobiles)
gramme IP :
car il est utilisé dans de
nombreux produits • L'en-tête AH est utilisée pour fournir
logiciels et matériels l'authentification de l'origine, l'intégrité des
données et facultativement la protection
contre la ré-exécution.
• L'en-tête ESP est utilisée pour fournir la
confidentialité des données et facultativement
tous les services de l'en-tête AH L'en-tête ESP
est généralement utilisé en "mode tunnel",
mode dans lequel la totalité du data gramme
IP est encapsulée (et chiffrée), ce qui permet
d'obtenir une certaine forme de protection
de la confidentialité du flux de données.
• En complément, le groupe de travail IETF a
défini le protocole IKE Internet Key Exchange
comme le protocole clef standard associé à
IPSEC.
Il fournit les mécanismes nécessaires pour
négocier entre les entités les paramètres de
sécu rité et les éléments de chiffrement qui
seront utilisés avec les en-têtes AH et ESP.

Rappel Les réseaux Wi-Fi ou réseaux sans fil longueur (40 bits) et est la même pour tous
composent une grande famille, dans laquelle les éléments accédant au réseau. WEP est
sur les réseaux Wi-Fi on retrouve le « WLAN », les WLAN étant au donc peu fiable.
La plupart des analystes sans fil ce qu’est le 802.3 au réseau filaire.
La technologie WLAN regroupe elle même • 802.11i : Ce protocole a été développé par
affirment que les
deux normes : La norme HiperLAN, et 802.11, l’IEEE pour pallier aux failles de WEP.
différents protocoles
cette dernière étant pour le moment plus il permet notamment de générer des clefs
utilisés par les répandue. WEP dynamiques. 802.11i ne permet pas
constructeurs sont Les réseaux Wi-Fi présentent de nombreux toutefois de gérer l’authentification aux
suffisants pour assurer avantages que nous ne détaillerons pas, mais différents points d’accès, ce qui constitue une
un bon niveau de présentent de part leur conception de gros faille éventuelle au niveau de l’accès au
sécurité. Cependant la problèmes de sécurité. réseau.
solution la plus sûre Afin de pallier les failles de sécurité des
reste d’utiliser un réseaux Wi-Fi, des protocoles ont été • 802.11x : Cette norme est compatible avec
système VPN. La développés : les réseaux 802.3, 802.5 et 802.11. Elle est
complémentaire à 802.11i car elle permet
technologie VPN
• WEP : Wired Equivalent Privacy est le de gérer l’authentification aux différents
présente surtout premier protocole ayant été développé pour accès du réseau.
l’avantage d’utiliser le sécuriser les réseaux utilisant la norme 802.11x présente cependant l’inconvénient
802.11 sans se lier 802.11. Ce protocole est basé sur d’exister en plusieurs versions différentes,
spécifiquement à un l’algorithme de chiffrement RC4. La clef selon les différents constructeurs, ce qui
constructeur. utilisée pour chiffrer les communications entre oblige l’utilisateur à investir dans du matériel
les différents équipements est hélas de faible mono constructeur.

-8-
Mécanismes Ces services de sécurité sont mis en œuvre à
l'aide de mécanismes techniques de sécurité
qui sont indépendants des services de sécurité.
La plupart de ces mécanismes sont des normes
ou des normes "de facto".
A l’exception du service de contrôle d'accès,
ils utilisent tous des mécanismes basés sur le
chiffrement.
Les mécanismes de sécurité de base utilisés
dans un réseau VPN sont les suivants :
• Le chiffrement est une fonction
cryptographique utilisée pour brouiller des
données de texte en clair à l'aide d'une clef
et les transformer en un texte chiffré. Il ne
peut être déchiffré par le récepteur que s'il
possède la clef de déchiffrement correcte.
Lorsque les clefs de chiffrement et de
déchiffrement sont identiques, la fonction de
chiffrement est appelée algorithme
symétrique. Les algorithmes symétriques
classiques sont DES, RC4, IDEA, etc. Ils sont
relativement rapides (généralement 500
Mo/s pour les applications matérielles) et
sont utilisés pour fournir des services de
confidentialité des données et des flux.
Lorsque les clefs de chiffrement et de
déchiffrement sont différentes (mais liées
ensemble par une relation mathématique), la
fonction de chiffrement est appelée
algorithme asymétrique (ou à clef publique).
Les algorithmes asymétriques classiques sont
RSA, DH, etc. Ils sont principalement utilisés
pour fournir des services de non-rejet des
données, d'authentification et d'échange de
Composants Le schéma suivant indique les composants de
base d'une architecture VPN classique :
Gestionnaire
VPN
Site de
l'entreprise
Partenaire/
Fournisseur
Client
VPN
Passerelle
VPN
Réseau IP
Passerelle
VPN
Client
VPN
Client
VPN
Site
éloigné Utilisateurs mobiles
Clef RCI
-9-
clefs. Comme ils nécessitent des calculs
mathématiques exponentiels très longs, ils
sont relativement lents (généralement
1Mo/s), ce qui explique qu'ils ne sont
généralement pas utilisés pour la
confidentialité des données.
• Les fonctions de hachage sont des fonctions
mathématiques unidirectionnelles utilisées
pour calculer, à partir d'un message d'une
longueur quelconque, un court message
compressé (généralement 128 ou 160 bits).
Les fonctions de hachage classiques sont
MD5 et SHA .
• Les fonctions de hachage à clef sont des
fonctions basées sur des fonctions de
hachage standard associées avec certaines
clefs de chiffrement. Lorsque des clefs
secrètes partagées sont utilisées, un code
MAC (code d'authentification de message)
est généré. Les codes MAC sont utilisés par
les services d'authentification et d'intégrité.
Vous trouverez une description des fonctions
de hachage à clef dans le document RFC
2104.
• Les signatures sont générées lorsqu'une clef
privée est utilisée pour générer un code
MAC. Comme le récepteur utilise uniquement
la clef publique correspondante pour vérifier
la signature, cette dernière est utilisée
lorsqu'un service de non-rejet est requis en
plus des services d'authentification et
d'intégrité.
• Les passerelles VPN qui protègent une station
ou un réseau local d'entreprise.
• Le logiciel client VPN (éventuellement associé
avec des jetons matériels tels qu'une carte à
puce ou mieux une clef RCI : ressource
cryptographie individuelle) qui étend le
réseau VPN aux employés nomades ou aux
utilisateurs de l'Extranet.
• Le système d’administration VPN
(gestionnaire VPN) qui fournit des fonctions
d'administration hautement sécurisées pour
la configuration, le contrôle d'accès, les clefs
privées, les alarmes, les audits, etc.
Défis
Comme on peut le constater à la lecture du
premier chapitre, la technologie n'est pas le
souci majeur des utilisateurs qui souhaitent
acheter ou choisir un réseau VPN et, comme
l'indique le compte-rendu du symposium de
technologie européen qui s'est tenu à Bruxelles
en 1999 [ETS99], la plupart des concepts et
composants techniques nécessaires ont déjà
été développés par les chercheurs et par
l'industrie.
Pour en être encore plus convaincu, il suffit de
surfer sur le Web et de rechercher le mot VPN
avec votre moteur de recherche préféré : la
plupart des brochures techniques que vous
trouverez sont impressionnantes car elles
soulignent toutes que les offres proposées
Défi 1 : performances des applications e-business
Nous vous Un réseau VPN utilise largement les techniques
recommandons d'utiliser de chiffrement. Or, l'expérience montre que
du matériel dédié VPN cela peut avoir un impact important sur les
et de lui faire subir des performances globales du système
tests de performances informatique : les utilisateurs doivent faire face
avec un trafic réseau à des délais de réponse en augmentation, au
ralentissement des téléchargements et au refus
d'accès à certaines applications.
Cette dégradation des performances affecte
les équipements serveur et réseau et est
essentiellement due aux facteurs suivants :
• Les applications Internet actuelles manipulent
de grandes quantités de données et des
largeurs de bande sans cesse croissantes,
cela signifiant que de plus en plus de data
grammes IP devront être traités par les
composants VPN. Les équipements non
dédiés VPN (tels que les routeurs, les
serveurs d'application, les pare-feu…) utilisés
lors de la création du réseau VPN des
sociétés de grande envergure n'ont pas la
- 10 -
prennent en charge presque tous les
algorithmes, protocoles et normes existants (et
parfois même à venir !), en particulier DH,
DSA, RSA, DES, 3DES, SSL, TLS, RC4,
SHA, MD5, IDEA, HMAC, PKCS#11,
X509, SKIP, IPSEC, ISAKMP, PPTP, L2TP,
SocksV5, IKE, … !!!
En fait, les expériences des utilisateurs ont
démontré que de nombreuses "solutions"
proposées mettent plus l'accent sur la
technologie que sur les exigences
professionnelles et pratiques. Elles n'offrent pas
de réponse aux principaux besoins et défis
auxquels sont confrontés les utilisateurs du
réseau VPN dans la réalité imposée par la
concurrence mondiale.
possibilité de traiter les data grammes IPSEC
ou SSL à la vitesse requise.
• L'utilisation de calculs algorithmiques
asymétriques (RSA) lors de l'établissement
d'une session sécurisée entre deux entités
implique une utilisation intensive du
processeur.
Bien que cela ne constitue généralement pas
un problème pour les réseaux VPN basés sur
IPSEC, cela devient problématique pour les
serveurs Web compatibles SSL car la plupart
de la puissance du processeur du serveur est
"gaspillée" dans l'exécution de calculs de
clef privée RSA très consommateurs de
temps.
Les schémas suivants indiquent les
performances et les temps de réponse
correspondants d'un serveur Web sécurisé
classique avec et sans installation d'un
accélérateur de chiffrement.
 Performances classiques d'un serveur Web Temps de réponse classique d'un serveur Web
Pour optimiser les avec protocole SSL avec protocole SSL
performances des
serveurs Web utilisant Nb de
transactions Secondes
SSL pour sécuriser les par seconde
sans accélérateur de
échanges électroniques, 40 37
chiffrement 5
avec un accélérateur
de chiffrement de 100
nous considérons 30 avec un accélérateur 4
4,7 transactions/s
avec un accélérateur
comme obligatoire de chiffrement de 25
transactions/s
3 de chiffrement de 25
d'utiliser des 20 18
avec un accélérateur
2 1,7
transactions/s
sans accélérateur de
accélérateurs de 10
de chiffrement de 100
transactions/s
1 chiffrement
0,9
chiffrement matériels 7 0
0 Temps de réponse

Transfert de pages Web 50 ko, 32 fils Transfert de pages Web 50 ko, 32 fils
sur un serveur Pentium Pro sur un serveur Pentium Pro

Défi 2 : les problèmes liés à la gestion et à l’administration

du réseau VPN

Nous vous La configuration et la gestion au quotidien A l'heure actuelle, la configuration et la

recommandons de d'un grand réseau VPN avec des dizaines ou
toujours gérer le des centaines de sites et des milliers
déploiement d'un réseau d'utilisateurs n'est pas une tâche aisée pour les
raisons suivantes :
VPN comme vous
géreriez un grand
• La configuration d'un réseau VPN requiert
projet, avec une forte une connaissance approfondie de la
implication des équipes topologie logique et physique du réseau IP
de sécurité, de gestion (cela revenant à savoir quelle adresse IP est
du réseau et des associée à un système particulier situé sur un
applications et avec des site physique particulier), ainsi que la
objectifs (périmètre, capacité à décider des paramètres de
planification, budget, sécurité (droits d'accès, services de sécurité
etc.) clairement définis obligatoires, etc.) à associer avec chaque
utilisateur/système.
par le chef de projet et
avalisés par l'équipe Une telle tâche exige une étroite coopération
d'encadrement entre l'équipe de gestion du réseau, l'équipe
de sécurité et le propriétaire des applications
et des bases de données associées. Le
manque de coordination et de dialogue
entre ces équipes est souvent l'une des
principales raisons de l'échec du
déploiement d'un réseau VPN.
Les problèmes classiques que l'on constate
sont les suivants : une détérioration de la
disponibilité du réseau, une impossibilité
d'accès aux applications, une configuration
inadaptée qui ouvre des brèches dans le
VPN pouvant être utilisées par un intrus pour
accéder à des systèmes et à des données à
accès restreint.
gestion centralisées du réseau IP sont
devenues une réalité : un protocole standard
(SNMP) est pris en charge par tout
l'équipement associé et les opérateurs
télécom peuvent souvent fournir des services
de gestion intégrés. Ces systèmes de gestion
sophistiqués sont largement disponibles et
ont prouvé leur fiabilité. Même dans le cadre
d'un très vaste réseau IP international, les
outils de gestion possèdent toutes les
fonctions (y compris la gestion des alarmes,
le test des capacités d'analyse des incidents,
la gestion de la largeur de bande, etc.) leur
permettant d'assurer des performances
optimales aux utilisateurs.
Malheureusement, la situation en matière de
configuration et de gestion centralisée des
réseaux VPN se présente sous forme d'un
tableau assez contrasté :
• Il n'existe pas encore de protocole
standard de gestion des réseaux VPN.
• La plupart des produits VPN possèdent
des équipements de configuration
obsolètes, de mauvaises interfaces
utilisateur, des capacités d'alarme et de
contrôle insuffisantes, etc. En outre,
souvent, même la sécurité intrinsèque du
protocole de gestion laisse à désirer.
• Souvent, l'interaction et la coopération
avec les systèmes de gestion du réseau
n'ont jamais été sérieusement étudiées.

- 11 -
Nous vous • La configuration d'un réseau VPN requiert à
recommandons la fois une vue topologique "physique" du
d'analyser et de tester réseau (adresses IP des systèmes) et une vue
les performances des logique spécifique des règles de sécurité
(systèmes, utilisateurs ou applications
outils de gestion vendus
partageant un sous-réseau privé virtuel avec
par les fournisseurs de
leurs propres attributs de sécurité).
VPN en prêtant une En fait, un réseau VPN possède les
attention toute caractéristiques suivantes :
particulière à la • Au niveau logique, il est construit à
politique et à partir de nombreux sous-réseaux VPN
l'organisation indépendants faits d'entités partageant
d'entreprise en termes les mêmes privilèges de sécurité.
de gestion du réseau et
de sécurité.
Défi 3 : le défi de la sécurité
Le défi le plus important pour les réseaux VPN
est le défi de la sécurité. Les fonctions de
sécurité sont extrêmement difficiles à évaluer
et, à l'heure actuelle, il n'existe pas de
méthodes formalisées disponibles pour prouver
l'efficacité d'un système de sécurité basé
totalement sur la technique de chiffrement.
Mais il y a pire : les attaques des systèmes
informatiques constituent pour les entreprises et
les états les meilleurs moyens actuels et futurs
d'obtenir d'énormes avantages économiques
et financiers. Un rapport du Parlement
européen préparé en décembre 1997 et
publié en juillet 2001 [EPR] a démontré la
réalité et l'efficacité de cette "Cyber-guerre" à
l'intelligence économique et son impact
dramatique sur la compétitivité des entreprises
et sur la vie privée des citoyens.
Un réseau VPN est fondé principalement sur
les techniques de chiffrement pour atteindre
des objectifs en matière de sécurité, mais ces
techniques ne sont pas magiques : ce n'est pas
parce qu'un système utilise des algorithmes
connus et des longueurs de clef de 128 bits
(ou plus) que ce système est sécurisé et fiable.
La fiabilité de la sécurisation d'une solution
VPN (ou de tout autre produit basé sur la
technique de chiffrement) requiert les
conditions suivantes :
- 12 -
• Au niveau physique, il est construit à
partir d'un réseau statique avec des
adresses IP fixes (et parfois certaines
adresses à allocation dynamique pour
les utilisateurs mobiles).
Cette dualité ne peut être prise en
compte avec les systèmes de gestion
VPN très simples que l’on peut
actuellement trouver sur le marché, qui
sont basés sur l'adresse IP existante.
• La fiabilité des algorithmes de chiffrement.
Pour atteindre au plus près cet objectif, une
solution VPN doit utiliser exclusivement les
algorithmes publics qui ont passé avec
succès les tests effectués depuis de longues
années par la communauté scientifique. Il
faut à tout prix éviter les algorithmes privés,
les algorithmes standards "améliorés" ou les
nouveaux algorithmes.
• La fiabilité des protocoles de sécurité. Cet
objectif est plus difficile à atteindre car les
protocoles publics ne couvrent pas encore
tous les besoins et ne sont pas encore
stables.
En outre, même s'ils le sont, ils ne sont pas
exempts de faiblesses pouvant être utilisées
par des intrus. Par exemple, le protocole
IPSEC utilisé en "mode tunnel" chiffre du
texte en clair dans les en-têtes IP et TCP qui
peut être utilisé dans le cadre d'attaques
cryptoanalytique.
• La fiabilité du matériel utilisé pour générer
les clefs. La plupart des algorithmes de
chiffrement et des protocoles se fondent sur
du matériel tel que les clefs secrètes et les
valeurs aléatoires. De nombreux systèmes ont
été attaqués par des cryptoanalystes qui ont
cassé le générateur aléatoire utilisé pour
Le seul moyen
d'atteindre cet objectif
est d'utiliser des produits
qui peuvent
raisonnablement
prouver la
caractéristique aléatoire
des clefs et du
générateur aléatoire et
qui ne sont pas soumis à
des restrictions
d'utilisation ou à
l'exportation qui
peuvent conduire à une
réduction déclarée ou
cachée de l'entropie des
clefs.
fournir des clefs de chiffrement ou qui ont
découvert les relations existant entre
différentes clefs ou valeurs aléatoires utilisées
dans les protocoles. Les algorithmes et
protocoles sécurisés, même s'ils sont
correctement mis en œuvre, ne fournissent
presque aucune sécurité ; s'ils utilisent du
matériel de génération de clef de faible
niveau, de par sa mauvaise conception ou
les restrictions techniques sur la longueur de
clef imposées par les réglementations à
l'export, à l'import ou à l'utilisation (en
d'autres termes, le nombre de bits annoncés
des clefs doit effectivement être le même que
celui des bits aléatoires vrais utilisés dans
toutes les opérations de chiffrement).
• La fiabilité de la mise en œuvre. Les
algorithmes, protocoles et générateurs
aléatoires les meilleurs, ne fournissent pas
encore un niveau réel de sécurité, s'ils ne
sont pas mis en œuvre en respectant des
règles techniques et des procédures de
développement pouvant donner à l'utilisateur
un niveau de confiance suffisant dans le
produit.
La mauvaise mise en œuvre d'un produit de
sécurité peut être intentionnelle ou
involontaire. Voici quelques exemples de
mauvaises mises en œuvre involontaires :
• erreurs de fonctionnement du matériel ou
du logiciel qui ne font pas l'objet
d'interruptions et qui génèrent un
fonctionnement erroné pouvant être utilisé
pour effectuer une cryptoanalyse du
système ;
• défauts de conception provoqués par des
développeurs insuffisamment
expérimentés ;
• procédures de fonctionnement et
conditions d'installation qui ne sont pas
adaptées à l'environnement utilisateur.
- 13 -
Les mises en œuvre intentionnellement
erronées sont assez courantes :
• produits de sécurité qui sont fondés sur des
éléments logiciels non sécurisés
(généralement, un système d'exploitation
qui n'a pas été conçu comme un système
sécurisé et dont le code source ne peut être
contrôlé). Les systèmes d'exploitation non
sécurisés (et en particulier Windows) ne
peuvent fournir de stockage des clefs
sécurisé et sont extrêmement vulnérables
aux attaques perpétrées par des intrus (de
l'extérieur ou de l'intérieur). La découverte
récente [FERN] sous Windows
95/98/NT/2000 d'une clef suspectée
d'être une clef d'accès NSA détournée
dans la couche de sécurité CAPI Microsoft
CAPI est une preuve supplémentaire du fait
que les solutions VPN et les autres solutions
de pare-feu construites sur un système
d'exploitation non sécurisé doivent être
considérées comme des produits auxquels
on ne peut faire confiance ;
• conception tronquée (allant de choix de
conception meilleur marché/plus rapides à
appliquer à des tests insuffisants) créée par
des objectifs de coût de revient et de délai
de mise sur le marché trop difficiles à
atteindre ;
• mise en œuvre de restrictions de la taille
des clefs, de mécanismes de récupération
de clefs et d'autres défauts volontairement
impliqués.
La restriction de la taille des clefs (KSL) et la
récupération des clefs (KR) sont probablement
les pratiques les plus controversées. Leur but
théorique est de fournir un accès aux données
chiffrées dans le cadre du respect des
réglementations en vigueur mais l'une de leurs
utilisations pratiques est sans aucun doute le
COMINT (Communication Intelligence –
écoute de communications).
Conclusion

Dans la plupart de nos pays, ces infrastructures dépendent de plus en plus des systèmes

d'informations en réseau. Nous pensons que l'attention portée sur ce problème et les efforts

en faveur d'une augmentation drastique de la sécurité de ces systèmes et d'une réduction

de leur vulnérabilité doivent devenir une priorité et doivent être fortement soutenus par les

principaux acteurs économiques et par les autorités publiques.

Dans ce document, nous avons identifié les performances et l'administration comme des

défis importants et la fiabilité des infrastructures de sécurité comme le défi principal.

Pour relever ces défis, nous faisons les recommandations suivantes aux utilisateurs de

réseaux VPN :

• Utilisez des éléments séparés pour construire des réseaux sécurisés (un produit pour le

transport et le routage des paquets IP, un autre pour le pare-feu, un autre pour le VPN)

afin de minimiser les risques en cas de panne ou de mauvais fonctionnement de l'un

des éléments.

• Préférez les produits qui ont été certifiés ou labellisés par un organisme d'évaluation

compétent (par exemple : certification effectuée par des laboratoires indépendants).

Exemple de certification : www.ssi.gouv.fr/site_documents/certificats/2004_30.pdfun

• Concernant les administrations publiques et les infrastructures et industries nationales

essentielles, utilisez exclusivement des produits évalués et certifiés voir cautionnés par la

DCSSI.

• Insérez des clauses de fiabilité dans les contrats d'acquisition en cas de dommages

provoqués par la présence de défauts ou de faiblesses de conception volontaires

destinée à réduire le niveau de protection contractuellement offert par le fournisseur.

Souvenez-vous que le VPN IPSEC couvre uniquement la protection des accès et le transport

des informations. Il convient de compléter un projet VPN, par un projet de sécurisations des

données au niveau du stockage et de l'application, niveaux auxquels une infrastructure de

sécurité des données est également.

- 14 -
W-ReseauxPrivesVirtuels_vf1

© Bull SAS – juin 2007

RCS Versailles B 642 058 739 - Bull reconnaît les droits de propriété des marques de commerce mentionnées dans ce document. Bull se réserve le droit de modifier ce document à tout
moment, sans notification. Certaines offres, entières ou partielles, décrites dans ce document peuvent ne pas être disponibles dans votre pays. Veuillez consulter votre correspondant Bull
local pour obtenir des informations concernant les offres susceptibles d’être disponibles dans votre pays.
- 16 -
Bull – rue Jean Jaurès - 78340 Les Clayes-sous-Bois