Que veut-on sécuriser ?

Les réseaux sont constitués de divers équipements d’une part et de liens filaires (cuivre, fibre optique) ou non filaires (infrarouge, onde radio en champ libre, faisceau hertzien dirigé) qui les relient d’autre part. Toute ou partie de ces équipements peuvent être gérés, conduits, animés, par des programmes adaptés et plusieurs sortes de données y sont stockées. Certaines d’entre elles peuvent être l’objet de transferts selon des protocoles appelés protocoles de réseaux. Dans ce cadre, la sécurité concerne celle du matériel, celle des programmes, celle des données, et celle des protocoles. Nous verrons qu’elle s’étend au delà.

Matériel Mis à part les ordinateurs que les réseaux relient, le matériel in- clut aussi, lorsqu’ils sont présents, les équipements spécialisés : répéteurs, au- tocommutateurs privés (PABX) ou publics, répartiteurs (hubs), commutateurs (Swich), routeurs, garde-barrières (firewalls), modems, serveurs, etc. Certains équipements pouvant d’ailleurs regrouper au sein d’un même boîtier plusieurs des fonctionnalités du matériel ci-dessus. La limitation de l’accès à ces maté- riels (enfouissement, salles spécialisées, équipes de gardiennage et de sécurité), participe à la sécurité de l’ensemble.

Programmes Les programmes comportent naturellement les systèmes d’ex- ploitation – y compris les pilotes de périphériques – ainsi que les logiciels, programmés ou microcodés, gérant les différents mécanismes de réseaux. Ils comportent aussi des programmes liés à certains protocoles selon le modèle client/serveur et l’on parle alors de services, par exemple telnet/telnetd pour permettre un service de connexions à distance, FireFox/Apache pour consul- ter un site web que l’on a établi, FileZilla/ftpd pour télécharger des fichiers installés dans un serveur, ChatZilla/ircd pour communiquer avec la message- rie instantanée sur Internet, Mozilla Sunbird/serveur CalDAV fournissant un service d’édition et de consultation des calendriers, etc. Des associations plus complexes peuvent être rencontrées autour de plusieurs protocoles comme Thun- derBird/popd/smtpd. On trouve aussi des logiciels de type pair-à-pair tels que Skype ou BitTorrent.

D’autre services fonctionnant en mode client/serveur ne ciblent pas directe- ment les utilisateurs mais le réseau qu’ils utilisent en permettant une meilleure gestion à distance et plus d’autonomie. On parle alors de services réseau. Parmi ces services on peut citer DHCP (Dynamic Host Configuration Protocol) qui au- tomatise l’attribution aux machines d’adresses IP, DNS (Domain Name Server) qui facilite la recherche du domaine auquel appartient une page web , Radius et Kerberos qui centralisent le contrôle d’accès au réseau, NTP (Network Time Protocol) qui permet de synchroniser les machines, SNMP (Simple Network Management Protocol) qui permet aux administrateurs du réseau de gérer et superviser les équipements du réseau à distance, etc.

Données Les données sont essentiellement de deux sortes : celles qui servent aux fonctionnement du réseau comme les tables de routage, les bases de données

2.2 Vocabulaire et méthodologie 25 des clients, les fichiers relatifs aux droits d’accès, etc. et celles qui ne relèvent pas du fonctionnement du réseau comme les documents et les archives, les photos, les vidéo, etc.

Une telle énumération ne saurait être exhaustive. La variété des réseaux construits ou imaginés à ce jour est suffisamment grande pour garantir que l’on puisse trouver d’autres exemples. Mais, dans chaque catégorie, l’énumération présentée donne une bonne idée de ce que l’on peut raisonnablement rencontrer. Par ailleurs, les évolutions technologiques : augmentation de la capacité des mémoires comme celle de la puissance des processeurs qui résultent de la loi de Moore se combinent avec des possibilités de miniaturisation toujours plus grandes pour autoriser la conception et la fabrication d’objets extrêmement complexes. Il devient alors difficile de discerner la frontière de ce qui relève du matériel spécialisé dans la gestion du réseau avec ce qui relève simplement du micro-ordinateur de bureau.

Protocoles Selon le TLFi, étymologiquement, un protocole, du grec πρωτ o « premier » et κoλλα « gomme (arabique) » est utilisé au XVIIème_{siècle pour}

désigner « un formulaire contenant la manière dont les grands princes traitent dans leurs lettres ceux à qui ils écrivent » et au XIXème _{siècle le « Protocole}

diplomatique : c’est la règle du cérémonial à suivre dans les rapports politiques officiels entre les États aussi bien qu’entre les ministres ».

Ce mot est ensuite entré, dans les années 1960, dans le vocabulaire de l’in- formatique pour désigner un « ensemble de conventions qui permettent à deux matériels de se connecter entre eux » on parle alors souvent de shake hand ou poignée de main, les normes RS 232C, IEEE 488 ou les standards bus S100, bus PC/AT donnent de bons exemples de tels protocoles6_{. Dans ces cas, les} échanges conventionnels sont des échanges de signaux logiques TTL (Transistor- Transistor-Logic). Dans les années 1970, cette notion a progressivement évoluée pour désigner un ensemble de règles permettant à deux entités de se connecter entre elles, que ce soit directement ou à travers un réseau. Un protocole implique au moins deux entités. Sa conception est tout aussi importante que son implé- mentation. Aucune des deux ne doit comporter de défauts pouvant devenir plus tard sources de dangers pour les matériels ou les programmes.

Un protocole se déroule en un ou plusieurs échanges qui peuvent prendre la forme de messages. Un message est formé d’un en-tête et d’un corps ou contenu pouvant être vide ou rempli de données de diverses sortes comme présenté plus haut.

Pour simplifier la conception de programme de traitement et suivant les idées de David Parnas [43], on procède par abstractions successives. Ainsi chaque pro- gramme s’exécute sans qu’il lui soit nécessaire de connaître les détails des trai- tements qu’il demande et qui sont pris en charge par des programmes de niveau inférieur. Un message créé par un programme sur une machine donnée peut ainsi être remis à un autre programme sur cette même machine pour qu’il le traite. Des traitements en chaîne par des programmes différents sur la même machine

6. Si les bus S100 relèvent aujourd’hui davantage de la muséographie, le bus RS232 avec son connecteur DB9 est encore présent sur beaucoup de micro-ordinateurs, le bus IEEE 488 reste très présent dans l’industrie en particulier en instrumentation et en contrôle de processus et le bus PC/AT après diverses évolutions techniques reste le standard des machines dites compatibles.

peuvent avoir lieu jusqu’à l’arrivée du message à un dernier programme qui l’en- voie, à travers un canal de communication, à un programme homologue distant. On dit qu’une telle architecture est une architecture en couche. Un programme implémentant un niveau d’abstraction s’appelle une couche de réseau. Les liens entre les différentes couches sont souvent représentés par une pile. Comme à chaque niveau d’abstraction correspond un ou plusieurs protocoles, on appelle cette pile la pile de protocoles.

On connaît deux modèles de piles de protocoles : le modèle OSI à sept couches qui est le plus abouti intellectuellement et le modèle TCP/IP à cinq couches qui reste pourtant le plus utilisé pour des raisons d’antériorité matérielle. Prenons une machine émettrice d’un message, dans l’ordre, les programmes exécutés sont ceux de la couche application, ensuite transport, puis réseau, ensuite liaison de données et enfin physique. Les programmes de la couche applicative sont nom- breux et divers contrairement à ceux des autres couches. Plus une machine est puissante en capacité de calculs et de stockage, plus elle contiendra d’applica- tions et plus elle pourra en faire tourner plusieurs au même temps.

Intégrité et continuité de service Comme toute autre entité organisée, un réseau a pour tâche première de se maintenir en état de rendre les services pour lesquels il a été conçu. Cette fonction que l’on appelle souvent maintien d’un fonctionnement normal apparaît in fine la pierre de touche d’une sécurité maîtrisée. Les opérateurs d’un réseau, que l’on désigne par là un petit groupe d’amis réunissant leurs machines pour jouer en groupe ou les responsables d’une grande société internationale ou nationale désirent assurer le fonctionnement global du réseau qu’ils gèrent. Il faut pour cela un certain nombre de garanties de fonctionnement de la totalité, ou, en cas de redondance, d’une partie suffisante des équipements qui le constituent. Pourtant, cette garantie, nécessaire, ne suffit pas à assurer la continuité d’un fonctionnement fiable de l’ensemble du réseau.