Conception et développement d'un système d'authentification forte par SMS 10765

Extrait / Introduction

Conception et développement d\'un système d\'authentification forte par SMS est un rapport de Informatique Administration de Bac+5, proposé par chaaben

Extrait / Introduction :

La tendance actuelle de la plupart des entreprises est de faire confiance aux utilisateurs
internes et d'interdire leurs accès depuis l'extérieur. Mais, avec les exigences du marché et le
besoin d'améliorer la productivité et la compétitivité de l'entreprise, on ne peut plus restreindre
l’utilisation des équipements et des ressources à l’infrastructure du réseau local.
L'accès au réseau à distance en utilisant un mot de passe comme le seul moyen
d'authentification peut être dangereux pour la sécurité et la confidentialité des données de
l'entreprise. Pour être sûr que la personne qui se connecte est réellement celle qu'elle prétend
être, il faut se procurer d'autres moyens d'authentifications plus sûres.
Aujourd'hui, avec l'arrivé des techniques d'authentification forte, la sécurité n'est plus un
frein pour des solutions de mobilité. L'authentification forte est devenue indispensable pour les
solutions de mobilité des utilisateurs. C'est une technique d'authentification centralisée utilisant
un serveur d'authentification spécialisé. Elle fournit une authentification mutuelle permettant
l'authentification du serveur d'application auprès de l'utilisateur. Cette technique fait intervenir
deux facteurs, un mot de passe secret et quelque chose que l'on possède.
L'authentification forte est devenue un maillon de la chaîne de sécurité mais leurs coûts
de déploiement et d'exploitation sont énormes. Le choix entre une technique parmi d'autre doit
tenir en compte les ressources de l'entreprise, ses besoins et les exigences de ses employer.
Ainsi une demande a été initiée par le haut de management de Tunisiana pour exploiter le
fait qu'elle est un opérateur de télécommunications et que chaque employé possède une ligne
GSM propre à lui pour utiliser la carte SIM comme un deuxième facteur d'authentification. Cette
solution permet d'éliminer les coûts engendrés par un système d'authentification forte existant à
Tunisiana et d'avoir une solution propre à l'entreprise. Elle doit fournir une authentification forte,
ouverte, extensible et conforme aux besoins fonctionnels et aux contraintes opérationnelles et
techniques de l'entreprise. Les utilisateurs nomades accèdent au système d'information
facilement et en toute confiance.

Plan

Plan :

INTRODUCTION GENERALE...............................................................................................................................1
PRESENTATION DE LA SOCIETE D'ACCUEIL................................................................................................3
CHAPITRE I : ............................................................................................................................................................5
ETUDE DE L'EXISTANT.........................................................................................................................................5
I.1 INTRODUCTION ...............................................................................................................................................5
I.2 LES MECANISMES D’AUTHENTIFICATION..........................................................................................................5
I.2.1 Les mots de passe statiques ...................................................................................................................5
I.2.2 Les mots de passe à usage unique..........................................................................................................6
I.2.3 L’authentification par cryptographie à clé publique .............................................................................6
I.2.4 Authentification par Jeton de contrôle...................................................................................................7
I.3 LE PROTOCOLE RADIUS ................................................................................................................................8
I.3.1 Les protocoles d'authentification...........................................................................................................8
I.3.2 RADIUS et AAA ....................................................................................................................................9
I.3.3 Principe de fonctionnement .................................................................................................................10
I.3.4 Sécurité de RADIUS............................................................................................................................12
I.4 FAIBLESSES DANS LES SYSTEMES D'AUTHENTIFICATION CLASSIQUE ..............................................................13
I.4.1 Faiblesses du login/mot de passe statiques..........................................................................................13
I.4.2 Les attaques utilisant les failles d'authentification ..............................................................................14
I.5 L'AUTHENTIFICATION FORTE..........................................................................................................................15
I.5.1 Principe de l'authentification forte ......................................................................................................15
I.5.2 Solutions d’authentification forte sur le marché..................................................................................16
I.6 SOLUTION EXISTANTE ...................................................................................................................................17
I.6.1 Architecture de la solution de sécurité globale....................................................................................17
I.6.2 Besoin d'accès distants : ......................................................................................................................19
I.6.3 Solution d’authentification utilisée ......................................................................................................19
I.6.4 Inconvénients de la solution existante .................................................................................................20
I.7 CONCLUSION.................................................................................................................................................20
CHAPITRE II :.........................................................................................................................................................21
ETUDE PRELIMINAIRE.......................................................................................................................................21
II.1 INTRODUCTION.........................................................................................................................................21
II.2 ELABORATION DU CAHIER DE CHARGES ....................................................................................................21
II.2.1 Présentation du projet .........................................................................................................................21
II.2.2 Grands choix techniques.....................................................................................................................24
II.2.3 Recueil des besoins fonctionnels..........................................................................................................29
II.2.4 Recueil des besoins opérationnels .......................................................................................................30
II.3 IDENTIFICATION DES ACTEURS ..................................................................................................................30
II.3.1 Administrateur ....................................................................................................................................30
II.3.2 Client RADIUS....................................................................................................................................30
II.3.3 SMSC ..................................................................................................................................................31
II.4 IDENTIFICATION DES MESSAGES ................................................................................................................31
II.4.1 Messages émies par le système SMS_Authentication ..........................................................................31
II.4.2 Messages reçus par le système SMS_Authentication...........................................................................31
II.5 MODELISATION DU CONTEXTE ..................................................................................................................32
II.5.1 Modélisation du contexte dynamique...................................................................................................32
II.5.2 Modélisation du contexte statique .......................................................................................................33
II.5.3 Diagramme générique .........................................................................................................................33
II.6 CONCLUSION............................................................................................................................................34
CHAPITRE III : .......................................................................................................................................................35
ANALYSE ET CONCEPTION...............................................................................................................................35
III.1 INTRODUCTION.........................................................................................................................................35
III.2 CAPTURE DES BESOINS FONCTIONNELS .....................................................................................................35
III.2.1 Identification des cas d'utilisation...................................................................................................35
III.2.2 Description des cas d’utilisation.....................................................................................................37
III.2.3 Organisation des cas d’utilisation ..................................................................................................46
III.3 CAPTURE DES BESOINS TECHNIQUES .........................................................................................................48
III.3.1 Spécification technique du point de vue matériel............................................................................48
III.3.2 Spécification d’architecture............................................................................................................50
III.4 DEVELOPPEMENT DU MODELE STATIQUE ..................................................................................................50
III.4.1 Diagramme des classes participantes de "Authentification" ..........................................................51
III.4.2 Diagramme des classes participantes de "Accounting"..................................................................52
III.4.3 Diagramme des classes participantes de "Administration" ............................................................52
III.5 DEVELOPPEMENT DU MODELE DYNAMIQUE ..............................................................................................53
III.5.1 Diagrammes de séquence d’une première phase d'authentification forte par SMS réussite ..........54
III.5.2 Diagrammes de séquence d’une deuxième phase d'authentification forte par SMS réussite..........55
III.6 LES CLASSES DE CONCEPTION ...................................................................................................................56
III.6.1 Diagramme représentant l'architecture du package Authentification-Accounting.........................56
III.6.2 Diagramme représentant l'architecture du sous package OTP ......................................................57
III.6.3 Diagramme représentant l'architecture du package Administration ..............................................57
III.6.4 Diagramme représentant la classe SMSAuthenticationServer........................................................58
III.7 CONCLUSION............................................................................................................................................58
CHAPITRE IV : .......................................................................................................................................................59
REALISATION ET TESTS.....................................................................................................................................59
IV.1 INTRODUCTION.........................................................................................................................................59
IV.2 DEVELOPPEMENT .....................................................................................................................................59
IV.2.1 Environnement de travail :..............................................................................................................59
IV.2.2 Etapes de réalisation......................................................................................................................60
IV.3 PRESENTATION DE L'APPLICATION D'ADMINISTRATION .............................................................................61
IV.3.1 Authentification de l'administrateur................................................................................................61
IV.3.2 Gestion de l'état du serveur.............................................................................................................62
IV.3.3 Gestion des Client d'SMS_Authentication.......................................................................................63
IV.3.4 Gestion des utilisateurs...................................................................................................................64
IV.3.5 Gestion du profil des administrateurs.............................................................................................65
IV.3.6 Statistiques, supervision et visualisation des rapports....................................................................65
IV.4 TESTS ET ETUDE DE PERFORMANCES : .......................................................................................................65
IV.4.1 Tests avec "NTRadPing".................................................................................................................66
IV.4.2 Tests d’un cas d'accès interne.........................................................................................................68
IV.4.3 Tests d'un accès externe..................................................................................................................70
IV.5 CONCLUSION............................................................................................................................................72
CONCLUSION ........................................................................................................................................................73
ANNEXE..................................................................................................................................................................... I
LISTE DES ACRONYMES....................................................................................................................................... I
BIBLIOGRAPHIE ..................................................................................................................................................... I
WEBOGRAPHIE....................................................................................................................................................... I

Signaler un abus