Comparés aux PC fixes, les systèmes nomades cumulent toutes les vulnérabilités. Le risque de vol ?” ou de perte – est, en effet, un problème crucial. En outre, dès qu’ils sont connectés à l’entreprise, surtout via Internet, ils se voient attribuer une adresse IP qui les rend aussi vulnérables que tout autre système directement relié au réseau. Or, un ordinateur portable ne peut se retrancher derrière le coupe-feu de l’entreprise ni recevoir en temps réel les derniers fichiers de signatures antivirus. Il faut donc mettre en place un processus d’authentification des utilisateurs nomades et, pour leur confort, l’intégrer à l’infrastructure existante.
Chiffrer contre le vol
Pour se prémunir contre les conséquences d’un vol, rien de tel que le chiffrement. Il existe des produits proposés par des éditeurs comme AB Soft (client OEM de Cryptogram), Calyx Datacontrol, Net Secure, Network Associates, ou encore, MSI. La plupart d’entre eux chiffrent à l’aide d’un algorithme symétrique tel que DES, triple DES, Idea ou Cast. Une longueur de clé de 128 bits peut être considérée comme très sûre, compte tenu que le décryptage nécessiterait des moyens industriels. Ces produits requièrent la collaboration active de l’usager. Les uns chiffrent un fichier donné ; les autres, les fichiers présents dans des répertoires spécifiés à l’avance. L’opération est réalisée soit à intervalles réguliers, soit au moment où l’application est fermée, soit encore à la volée, dès qu’un fichier est déplacé dans le répertoire.Par ailleurs, la gestion et le recouvrement des clés (en cas de perte), ainsi que le déploiement d’une telle solution sont possibles à partir d’un outil d’administration centralisé. Enfin, les clés peuvent être inscrites sur des supports amovibles (carte à puce ou clé USB), ce qui évite la saisie d’un long mot de passe.Le portable est vulnérable également une fois connecté au réseau. Mais, dans ce cas, il s’agit d’authentifier l’utilisateur, de garantir la confidentialité des échanges et de prévenir les risques d’intrusion sur le portable lui-même. La confidentialité s’obtient de multiples façons : session SSL, pour le dialogue HTTP ; ou S/Mime, pour la messagerie.
Sécuriser les échanges
Plus simples encore à mettre en ?”uvre, les outils de chiffrement de fichiers s’intègrent aux messageries, afin de chiffrer les pièces jointes. On générera ainsi un fichier autoextractible, dès lors que le destinataire connaît le mot de passe permettant de reconstituer la clé secrète. Cependant, si l’on veut assurer la confidentialité quelle que soit l’application, mieux vaut recourir à un ” tunnel “, au niveau du réseau. Un PC terminera un tel tunnel virtuel grâce à un client de réseau privé virtuel (ou VPN). Ceux qui sont proposés par Check Point Software et F-Secure intègrent le protocole IPSec, ce qui leur permet, en principe, de traverser n’importe quelle passerelle VPN. Celui de Computer Associates reste, pour l’instant, propriétaire. Sur ces offres, le chiffrement est logiciel, ce qui peut se révéler pénalisant pour un protocole aussi gourmand que triple DES. C’est pourquoi des fournisseurs comme 3Com ou Intel proposent des cartes réseaux intégrant le chiffrement tout en offrant le support IPSec sous la forme d’un logiciel client (dont Windows 2000 n’a d’ailleurs pas besoin).
Un seul niveau d’authentification
Quant à la protection contre les intrusions, elle est offerte par les coupe-feu personnels. Ils filtrent aussi les accès au système d’information. Chez la plupart des éditeurs, une console offre à l’administrateur le moyen de centraliser leur configuration, voire leur déploiement automatique. Cela consiste à interdire tous les accès entrants et sortants, puis à autoriser certains accès sortants en spécifiant les adresses de destination, les ports ou les protocoles permis.En pratique, client VPN et coupe-feu personnel fonctionnent souvent de concert. Dans l’offre de F-Secure, le second permet ainsi de contrôler l’accès à un tunnel initié par le premier. Check Point réunit même les deux fonctions, au sein de son offre VPN Secure Client. L’intégration de l’antivirus et du pare-feu est aussi souhaitable, le second invoquant le premier afin d’analyser le contenu entrant.Le serveur d’accès distant, le routeur ou le firewall délègue généralement l’authentification des utilisateurs nomades à un serveur Radius. Mais, une fois traversé ce point d’accès, l’usager doit à nouveau s’authentifier auprès d’un système, d’un serveur Intranet ou d’une application. Un serveur de SSO (Single sign-on) évitera éventuellement ces authentifications multiples de second niveau, sans pour autant supprimer le premier niveau. Comment fédérer ces deux étages successifs ? Ou comment offrir à l’usager le Single Log-In (SLI) ? Des solutions existent, dès lors qu’on se cantonne à un environnement Microsoft. Certains serveurs Radius peuvent répercuter la requête d’un PC sous Windows vers un système NT, auquel l’utilisateur accède directement.Sur le même principe, mais dans le cas d’un accès via un VPN, le client IPSec demandera à la passerelle de provoquer une demande de session sur un serveur NT.Certaines solutions de SSO permettent la mise en ?”uvre d’un SLI. L’offre SiteMinder, de Netegrity, propose deux architectures. Le serveur Radius existant peut être détaché du point d’accès et rattaché au serveur de SSO. L’utilisateur traverse alors le point d’accès sans s’authentifier avant d’être pris en charge par le serveur SSO, qui interroge le serveur Radius. Dans la seconde architecture, le point d’accès interroge directement le serveur de SSO, capable de se comporter en serveur Radius. La solution de Computer Associates prend la forme d’une intégration de sa passerelle de VPN et de son serveur de SSO, ce qui assure la transmission des données d’authentification, vérifiées par le serveur Radius.Difficile pourtant d’échapper au premier niveau d’authentification, lorsque l’entrée sur le réseau de l’entreprise passe par celui d’un opérateur. “C’est possible avec certains opérateurs qui initient un tunnel L2TP avec une authentification confiée au point d’accès de l’entreprise, plutôt qu’au POP”, affirme Pascal Delprat, spécialiste sécurité chez Cisco Systems.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
