L'accès
aux Technologies de l'Information et de la Communication a
un prix, et les offres de forfaits avantageux qui fleurissent
plus particulièrement depuis l'arrivée de l'ADSL
sont intéressantes à bien des niveaux :
augmentation des débits, coûts forfaitaires pour
des temps de connexion illimités, sont autant d'arguments
qui incitent les utilisateurs à privilégier
l'aspect économique aux dépends de la sécurité.
En effet, les dangers potentiels liés à
ces types de forfaits sont trop souvent occultés,
et les économies réalisées peuvent
se révéler bien négligeables comparées
aux dépenses liées aux problèmes de
sécurité. Si les plus connus sont les
dysfonctionnements, même mineurs, mais occasionnant
une perte de temps onéreuse, les intrusions, dégradations
ou destructions totales des fichiers constituent, en plus
des coûts induits par les opérations nécessaires
pour réparer les dégâts, une atteinte
insupportable à la liberté de chacun. C'est
pour résoudre vos exigences budgétaires tout
en continuant à vous garantir un service sans failles
sécuritaires, que le CRI a développé
un PingOO routeur sécurisé spécialement
adapté à l'ADSL.
Cécile BLONAY.
Un PingOO routeur sécurisé
pour l'ADSL
Un nouveau type de routeur pour PingOO
PingOO IGWan - Internet Gateway to
Wan (Routeur ADSL, VPN et Firewall) est né
d'une forte demande de nos utilisateurs qui désiraient
avoir des connexions rapides et une meilleure maîtrise
des coûts de connexion. Pour répondre complètement
à cette demande, le CRI a développé
une solution, encore en phase expérimentale, fondée
entièrement sur des logiciels libres et des standards
ouverts.
Qu'est-ce que l'ADSL ?
La technologie ADSL (Asymetric Digital Subscriber
Line) permet de faire transiter sur une simple ligne
téléphonique des données numériques
avec un débit pouvant atteindre le Mbits/s (1 000
000 de bits/s), voire plus dans un avenir proche, et dans
la mesure où la ligne ne dépasse pas 6 km.
Cette limite en distance ne permet pas de distribuer l'ADSL
à l'intégralité de la population. Actuellement
80 % de la population pourrait bénéficier
d'une couverture ADSL (contre 60 % uniquement en
Haute-Savoie).
L'ADSL utilise un principe asymétrique pour le
transfert des données. En effet, le débit
pour la voie descendante (ce que vous récupérez
depuis l'extérieur) est plus important que celui
de la voie montante (ce que vous envoyez vers l'extérieur).
Les débits actuellement commercialisés sont
:
Outre le débit qui est nettement plus important
qu'une connexion RTC (avec un modem classique à la
norme V90 nous avons des débits en voie montante
de 33,6 kbits/s et en voie descendante de 56 kbits/s) ou
qu'une connexion RNIS (en voie montante ou descendante :
64 kbits/s), l'ADSL a la particularité d'avoir une
tarification de type forfaitaire
(connexion illimitée) et ce quel que soit le nombre
de données transférées (pas de surcoût
en cas de gros transferts). L'usager est à même
de prévoir ses coûts de connexion à
l'avance et cela évite les mauvaises surprises à
la reception de la facture téléphonique.
Dans une offre ADSL nous avons deux acteurs. Le premier
est le "fournisseur de connexion", celui qui va
vous permettre de vous relier "physiquement" au
réseau. Aujourd'hui en France, il n'en existe qu'un
seul et c'est France Télécom. Le deuxième
est le fournisseur d'accès Internet (FAI), qui vous
permet d'accéder à Internet et vous offre
différents services, tels que la messagerie ou de
l'hébergement web. Il en existe plusieurs mais ils
ne sont pas forcément présents partout.
ADSL et la sécurité
Le fait de se connecter à Internet quelle que soit
la méthode, entraîne
des risques de piratage de sa propre machine. En
vous connectant, votre FAI vous affecte une adresse qui
rend votre machine visible du monde entier. Dans
une connexion classique (RTC ou RNIS), le problème
se pose moins puisqu'en général, vous restez
connecté moins longtemps et à un débit
assez bas. Par contre l'aspect forfaitaire de l'ADSL (on
reste connecté très longtemps voire en permanence)
et son débit (votre machine peut répondre
plus vite aux requêtes) attire fortement les pirates.
Très peu de personnes se soucient de la sécurité
de leur machine, pourtant par défaut la majorité
d'entre elles ne sont pas sécurisées. Que
ce soit le mot de passe administrateur qui n'existe pas
ou des failles de sécurité des services qui
tournent dessus, personne n'est réellement conscient
des risques, tant qu'il n'a pas été victime
d'une agression. Les pirates cherchent des failles de sécurité
pour s'introduire sur la machine. Dans le meilleur des cas,
seules des données confidentielles
peuvent être lues (ses messages, son compte
en banque, ses photos ou vidéos personnelles), mais
il y a des scenarii plus graves, comme la possibilité
au pirate de modifier les fichiers,
d'y introduire des virus, de supprimer les données,
ou d'utiliser la machine pour aller pirater une machine
plus importante à ses yeux et d'en faire porter la
responsabilité au "piraté".
VPN et Firewall
Pour remédier aux problèmes de sécurité,
nos avons mis en place dans notre solution un Firewall
(pare-feu). Cet outil permet de filtrer les éventuelles
attaques venant de l'extérieur.
Afin de relier le réseau de l'établissement
au réseau du CRI, et ce de manière sécurisée
et confidentielle, nous avons mis en place ce que l'on appelle
un VPN (Virtual Private Network, Réseau Privé
Virtuel). D'ordinaire, pour relier deux réseaux distants
et y faire transiter des données qui peuvent être
confidentielles, on utilise des liaisons spé-cialisées,
des liaisons RNIS ou d'autres technologies. Dans le cas
d'une connexion ADSL, le seul moyen de faire la même
chose est d'utiliser un VPN parce que le seul lien qui existe
entre les deux réseaux, est le réseau Internet.
Toutes les données à destination du réseau
du CRI sont cryptées par le routeur PingOO IGWan
et décryptées par le serveur VPN au CRI (voir
schéma ci-dessous). Aucune distinction n'est
faite quant au type de données, le cryptage est fait
"à la volée", le seul critère
de sélection correspond à l'adresse de destination
des données et non à leur contenu.
Le cryptage utilise le principe de clés
asymétriques, avec une clé publique (connue
de tous) qui permet de crypter des données, et une
clé privée (connue par le serveur VPN ou le
PingOO IgWan) qui permet le décryptage. A
l'installation du routeur, nous faisons un échange
de clés publiques pour que les deux machines puissent
crypter avec la clé publique de l'autre.
Expérimentation
L'expérimentation
a débuté le 16 octobre avec un seul
établissement, et elle continue avec une dizaine
d'établissements jusqu'à fin 2002. Les premiers
retours que nous avons eus sont très satisfaisants,
aussi bien sur la rapidité de la connexion, qu'au
point de vue de la liaison virtuelle avec le CRI.
Déploiement
Afin de satisfaire un maximum d'établissements,
le CRI a travaillé sur un processus d'installation
rapide des routeurs. Le déploiement
officiel débutera en janvier 2003.
