769776603 Page 1 LE RÉSEAU MONDIAL INTERNET LE RÉSEAU MONDIAL INTERNET ................................................................................................................... 1 Introduction ......................................................................................................................................................... 2 Adressage dans l'Internet..................................................................................................................................... 2 Routage dans l'internet ........................................................................................................................................ 3 Les services de l'internet ..................................................................................................................................... 3 Les services de base ........................................................................................................................................ 3 Les services d'information............................................................................................................................... 4 Les Protocoles de l'Internet ................................................................................................................................. 4 Le raccordement à l'internet ................................................................................................................................ 5 Protocoles de raccordement ............................................................................................................................ 5 Equipements de raccordement ........................................................................................................................ 5 Utilisation d'un serveur relais (proxy) ............................................................................................................. 5 Partage d'accès sur un réseau local .................................................................................................................. 5 Les limites de l'internet ....................................................................................................................................... 6 Sécurité sur l'internet ........................................................................................................................................... 6 Des constats..................................................................................................................................................... 6 Des services de sécurisation ............................................................................................................................ 6 Les services de sécurisation réseau ................................................................................................................. 7 Les services de sécurisation des transactions .................................................................................................. 7 769776603 Page 2 Introduction Considéré comme un prototype des autoroutes de l’information, l'internet est une interconnexion de réseaux, un ensemble de réseaux interconnectés grâce à des passerelles et ce à l'échelle mondiale. Il s'agit d'une interconnexion de réseaux locaux, de réseaux nationaux et internationaux. C'est le plus grand réseau décentralisé du monde. Les supports de communication sont très diversifiés (lignes téléphoniques, câbles coaxiaux, fibres optiques et satellites) ; toutes les machines communiquent grâce à l'emploi de protocoles communs : TCP/ IP. Les nœuds sont reliés par des routeurs IP. Fournisseur d'accès Internet Fournisseur d'accès Internet Routeur DORSALE DU FOURNISSEUR D'ACCES Fournisseur d'accès Internet Fourni sseur d'a ccès Liaison avec le f ournisseur d'accès Site raccordé à Internet Serveur Imprimante Site raccordé à Internet Routeur IP Réseau local Site ra ccordé à Internet Station MAC Station PC En France, chaque fournisseur dispose d'un centre d'opérations techniques principal situé généralement en région parisienne. Pour le raccordement des usagers, les fournisseurs disposent de points de présence près des grandes villes, pour minimiser les coûts de communications de leurs abonnés. Les points de présence sont reliés par liaisons spécialisées en étoile au centre d'opérations techniques principal. Adressage dans l'Internet L’adressage IP Chaque machine accédant à Internet est identifiée par une adresse réseau, dite adresse IP sur 32 bits (version 4 du protocole IP) codant le réseau et la machine. Il existe plusieurs classes d’adresses IP selon le nombre de bits utilisés pour coder le réseau. L’attribution des adresses est du ressort de l'IANA (Internet Assigned Numbers Autority) qui a délégué à des organismes dits Internet Registries (registres Internet) la gestion de blocs d'adresses Internet. 769776603 Page 3 L'adressage par noms Ces adresses binaires sont associées à des noms plus faciles à mémoriser. L’espace des noms est une structure hiérarchique en arbre à partir d’une racine fictive. . Top Level Domain fr ac-creteil com org microsoft Un nom de domaine complet ou FQDN (Fully Qualified Domain Name) se termine par un point. Un domaine permet de regrouper des noms de machines ou de services. Un domaine peut être organisé en sous-domaines. Chaque machine a donc un nom articulé de la manière suivante nom-machine.domaine. Les TLD ou zones sont attribués selon des règles précises par l'organisme registre. Les principaux TLD sont récapitulés dans le tableau ci-après : com Entité commerciale edu Université, école net Fournisseur de l'internet org organisation fr France us USA NIC-France est chargé de gérer l'attribution des noms de domaine pour la zone ".fr". La gestion des adresses Internet n’est pas centralisée. Une organisation ayant un nom de domaine est chargée de gérer ses adresses Internet et installe un logiciel dit « serveur de noms ». Les serveurs de noms coopèrent pour assurer le service au niveau mondial. Cette méthode est appelée DNS (Domain Name System). Le service DNS peut être considéré en un annuaire distribué au niveau de la planète où des serveurs coopèrent pour la résolution des noms. Routage dans l'internet Chaque entité qui gère un ensemble de réseaux et de routeurs est considérée comme un système autonome. Chaque système autonome est libre de choisir une politique de routage ou IGP (Interior Gateway Protocol). Chaque système autonome doit échanger des informations de routage avec les routeurs voisins des autres systèmes autonomes selon le protocole EGP (Exterior Gateway Protocol). Les services de l'internet Les services de base La messagerie (courrier électronique ou E-mail) pour recevoir et envoyer des messages. Le message est déposé dans une boîte aux lettres électronique (zone disque). Chaque abonné est identifié par une adresse [email protected]. Il est possible de s'abonner à des listes de diffusion qui permettent de recevoir et d'envoyer du courrier diffusé à un ensemble d'abonnés. Le DNS est le service réparti de résolution de noms. La connexion à distance par le service Telnet pour se connecter en tant que terminal d'une machine distante. 769776603 Page 4 Les forums de discussion (news) où les utilisateurs peuvent consulter des informations ou s'exprimer sur différents sujets. Un sujet ou news group est organisé de manière hiérarchique pour permettre une exploitation plus aisée. A un sujet est parfois associée une liste des questions les plus fréquentes et leur réponse (FAQ Frequently Asked Questions). Les services d'information Le transfert de fichiers FTP ( File Transfer Protocol) permet d’effectuer des transferts de fichiers entre deux machines. Il est ainsi possible de se connecter sur un serveur en déclarant un nom d’utilisateur. Certaines machines autorisent la connexion d’un utilisateur sans identification (serveurs FTP anonyme). Par exemple FTP permet de copier des logiciels (téléchargement de logiciels publics -freeware- ou shareware). Le WAIS (Wide Area Information Service) permet la recherche en texte intégral dans des bases de données textuelles. En spécifiant un ensemble de mots souhaités présents dans un document, le système WAIS recherche dans les bases de données indexées (sources WAIS) les documents correspondants. W3 (World Wide Web) est un réseau d’informations multimédia réparties. Un système Web crée des liens entre des pages d’informations réparties sur des machines différentes ou serveurs Web. Une page est un document hypertexte. Le Web permet donc un accès aléatoire à l’information en suivant le cheminement de l’utilisateur, qui déroule lentement la toile d’araignée. La mise en forme des pages publiées sur le Web s’effectue grâce à un langage dit HTML (Hyper Text Markup Language). Il permet donc de décrire le formatage des données de la page mais aussi de nommer les ressources réseaux référencées. Ces ressources sont désignées par leur URL (Uniform Resource Locators) qui se présentent ainsi : protocole://machine.domaine[:port]/chemin/fichier. Le port est le port TCP, il s'agit d'un numéro associé à un processus chargé de gérer un service (WWW, FTP, DNS…). Les services standardisés ont un numéro de port fixé par l'IANA. Le protocole de transfert de données hypermédia est HTTP (Hypertext Transfer Protocol). La consultation du Web s’effectue grâce à un logiciel de navigation (browser) présentant une interface graphique, par exemple Internet Explorer ou Netscape Communicator. Aujourd’hui les navigateurs intègrent les outils permettant l’accès aux autres applications de l’Internet. La recherche d'informations peut se faire via des moteurs de recherche. Le dialogue interactif IRC (Internet Relay Chat) permet de dialoguer en direct. Les services IP multicast permettent l'audio et vidéo-conférence, ainsi que d'autres nombreux services coopératifs. Les Protocoles de l'Internet Les protocoles sont définis au sein de documents appelés RFC (Request for Comments) disponibles sur le réseau lui-même. Nous citerons ici les protocoles les plus utilisés. Service Messagerie Protocoles mis en jeu SMTP (Simple Message Transfer Protocol) pour la transmission des messages entre serveurs POP (Post Office Protocol) et IMAP (Internet Mail Access Protocol) : protocoles définissant le dialogue entre un serveur de messagerie et un client. Résolution de noms DNS Connexion à distance Telnet Forum de discussion NNTP (Network News Transport Protocol) 769776603 Page 5 Transfert de fichiers FTP MIME (Multipurpose Internet Mail Extensions) définit un ensemble de règles pour la mise en forme, la transmission et l'analyse des messages pouvant contenir n'importe quel type de données. Il permet notamment d'intégrer plusieurs documents dans un même message, de transmettre du son, des images, de la vidéo. Web HTTP HTML Le raccordement à l'internet Pour se connecter à Internet, il faut passer par un opérateur ou fournisseur (Internet provider). Pour se raccorder au réseau de l’opérateur, il est possible d'utiliser les réseaux longue distance : RTC, Transfix, Numéris ou Transpac. Protocoles de raccordement Le protocole de raccordement dépend du type d'accès. Type d'accès RTC RNIS LS Transpac Protocoles courants PPP asynchrone, SLIP PPP synchrone PPP synchrone Encapsulation IP dans X25 PPP ( Point to Point Protocol) permet d'encapsuler les datagrammes sur des liaisons série. Lorsqu'une passerelle gère PPP, elle peut exploiter la technique Dial-on-Demand sur une liaison commutée (RTC, Numéris) permettant de libérer une communication en cas d'inactivité ou au contraire d'établir une communication avec le fournisseur lorsque le client envoie des paquets. PPP peut traverser des liaisons synchrones ou asynchrones. SLIP (Serial Link Internet Protocol) permet également d'encapsuler les datagrammes sur des liaisons série mais il est moins riche en fonctionnalités. Equipements de raccordement Le site client doit disposer de l'ETCD (modem ou adaptateur) et du logiciel de gestion TCP/IP sur la passerelle d'accès à Internet. Utilisation d'un serveur relais (proxy) Certains fournisseurs d’accès utilisent un serveur Proxy. Il s’agit d’une machine chargée de stocker localement les données afin de ne pas avoir à les rechercher sur le réseau. Lors d’une requête, si une page est absente ou a été mise à jour, le serveur télécharge le document et le stocke. L’avantage est double : pour le fournisseur d’accès, cela diminue les échanges avec les autres opérateurs, pour le client les téléchargements s’effectuent plus rapidement. Le serveur proxy peut aussi être utilisé comme système de sécurisation d'un réseau privé (voir plus bas). Partage d'accès sur un réseau local 769776603 Page 6 Il est aussi possible au sein d'un réseau local de partager un accès Internet par une solution matérielle ou logicielle. Il est notamment possible d'installer au sein du réseau local un serveur proxy. Les limites de l'internet Aujourd’hui le succès de l'Internet est indéniable et l’encombrement du réseau des réseaux très important. Aussi est-il nécessaire : de revoir les infrastructures de communication afin de développer les réseaux hauts débits. Réseaux hauts débits Aujourd’hui il faut transporter une quantité toujours plus grande d’informations sur des distances de plus en plus importantes. Les réseaux de transport de données longue distance offrent des débits beaucoup plus faibles que les réseaux locaux. Les réseaux à hauts débits dits aussi réseaux large bande doivent être capables d’offrir des vitesses de transmission dépassant les 2 Mbps et atteignant les 100 Mbps. Des services multiples vont nécessiter des débits très élevés : interconnexion de réseaux locaux (MAN Metropolitan Aera Network), distribution de la télévision, visiophonie, GED, CAO/DAO, imagerie médicale, banque de données images, sauvegarde centralisée de plusieurs serveurs. Aussi les autoroutes de l’information doivent-elles s’appuyer sur des réseaux numériques à intégration de services large bande (RNIS Large Bande). Plusieurs technologies émergent pour faire évoluer les réseaux de transmission vers les hauts débits. La fibre optique Câble réalisé généralement en silice, il permet de véhiculer les signaux sous forme d’une onde lumineuse. Il s’agit d’un support de transmission qui offre une excellente immunité au bruit et une large bande passante. La commutation ATM (Asynchronous Transfer Mode) Il s’agit d’un mode de commutation de paquets de taille fixe et suffisamment petite pour permettre une commutation à des cadences élevées. Un paquet est appelé cellule d’où le nom de relais de cellules parfois donné à l’ATM. Comme X25, les paquets empruntent des circuits virtuels, où l’acheminement s’effectue de façon logique. Mais le contrôle d’erreurs est beaucoup moins important que dans X25 du fait de la qualité des réseaux fibre optique. Cette technologie est asynchrone, car les cellules sont envoyées à la demande des terminaux. L’allocation des débits nécessaires s’effectue dynamiquement selon la bande passante disponible grâce à l’utilisation du multiplexage statistique. De passer à un adressage IP 64 bits : Ipv6 Sécurité sur l'internet Des constats Si l'internet existe, c'est pour permettre des communications ouvertes et la collaboration entre utilisateurs. Cependant ce n'est pas sans poser des problèmes. N'importe qui peut utiliser l'Internet ou devenir fournisseur de services. Un utilisateur ne contrôle pas le chemin emprunté par les informations qu'il transmet, il n'a pas l'assurance que l'information arrive bien au destinataire. Il n'existe pas de mécanisme pour prévenir la lecture, la copie ou le changement de l'information. Les services Web se heurtent eux à des problèmes plus spécifiques. Au niveau des logiciels de consultation, ceux-ci font appel à des applications complémentaires qui exécutent des instructions transmises par fichier texte. Côté serveur, ceux-ci lancent des scripts CGI. Dans un cas comme dans l'autre, il est possible d'insérer des commandes nuisibles mettant en péril les ressources. L'ouverture de l'Internet aux activités de l'entreprise (commerce électronique notamment) nécessite la mise en place de mécanismes de sécurisation fiables. Des services de sécurisation 769776603 Page 7 Les services peuvent être classés en deux familles selon le niveau fonctionnel couvert en référence au modèle OSI. D'une part, les services de sécurisation réseau protègent les machines contre un usage non autorisé. D'autre part, les services de sécurisation des communications et des transactions rendent possibles l'établissement d'une communication privée entre deux entités à travers l'Internet. Par ailleurs il existe un logiciel, Satan, capable de révéler les faiblesses d'un système face aux incursions malveillantes. Les services de sécurisation réseau Ces services sont couverts par le terme générique de mur pare-feu (fire-wall). Il s'agit du point de passage entre le réseau public et le réseau privé. Il existe divers modes d'implantation et différents degrés de protection. L'implantation d'un mur pare-feu de type réseau s'effectue avec un routeur qui filtre les paquets IP en fonction de la source, de la destination et éventuellement du port TCP ou UDP. Il ne contrôle pas l'accès au niveau applicatif. Les murs-pare-feu de type applicatif ( ou garde-barrière ) filtre les paquets IP en fonction de la source, de la destination et du type d'application. Le relais applicatif (ou bastion) est une machine placée entre le réseau public et le réseau privé. Elle est chargée d’effectuer un contrôle d'intégrité et d’autoriser ou non une connexion sur la machine distante. Capables de contrôler l'accès à la couche application, les serveurs proxy en sont un exemple. L'utilisateur, depuis le réseau privé, se déclare auprès du serveur proxy qui lui permet l'accès à l'application si il est autorisé. De l'extérieur, il est possible de s'authentifier auprès du serveur proxy mais les éléments d'identification (nom d'utilisateur et mot de passe) peuvent être attaqués au sein du réseau public d'où l'utilité de recourir à la carte à mémoire. Une autre catégorie de dispositif combine les fonctions de filtre IP et de bastion, il s’agit des dual-home gateways. Pour une sécurité maximale du réseau privé, il est possible de choisir des adresses IP qui ne seront pas routées sur l'internet. Les adresses IP privées recommandées sont : Classe A 10.0.0.0 Classe B 16 réseaux compris entre 172.16.0.0 et 172.31.0.0 Classe C 256 réseaux compris entre 192.168.0.0 et 192.168.255.0 Les services de sécurisation des transactions Ces services sont aujourd'hui nécessaires pour le développement du commerce électronique sur l'Internet. Ils doivent couvrir tous les aspects sécuritaires, à savoir : - assurer la confidentialité des messages par leur chiffrement, - respecter l'intégrité des messages par la signature et le chiffrement, - veiller à l'identification et l'authentification de l'émetteur et du récepteur par la signature. Le chiffrement Le chiffrement consiste à appliquer sur le message utilisateur un algorithme pour produire un message crypté. L'émetteur utilise une clef pour chiffrer le message et le récepteur utilise une clef de déchiffrement. Plus la clef est longue (en nombre de bits), plus l'algorithme est difficile à "casser" (en essayant toutes les clefs possibles). Il exite deux types d'algorithme de chiffrement : - à clef privée ou symétrique où l'émetteur et le récepteur utilisent la même clef connue d'eux seuls. L'émetteur chiffre son message avec la clef du destinataire qui déchiffre le message avec la même clef. Ce protocole nécessite une phase d'échange de clef entre l'expéditeur et ses destinataires, ce qui est une opération lourde. Normalisé ANSI depuis 1981, DES (Data Encryption Standard) est le plus célèbre des algorithmes à clef privé ; - à clef asymétrique ou clef publique (utilisation d'une clef dite publique et d'une clef dite privée). Ces algorithmes utilisent une clef privée (secrète) et une clef publique (connue de tous) liées par une relation mathématique. La clef publique est disponible sur un serveur, ce qui évite les problèmes de distribution. L'expéditeur chiffre le message avec la clef publique du destinataire tandis que ce dernier le déchiffre 769776603 Page 8 avec sa clef privée associée à la clef publique. Le plus célèbre des algorithmes de ce type est RSA (Rivest, Shamir, Adleman) inventé en 1975. L’objectif de cet algorithme est double : assurer la confidentialité des opérations transmises ainsi que l’authentification de l’émetteur et du récepteur. Les algorithmes à clef publique sont plus lents. D'où l'idée de combiner les deux systèmes. C'est le cas de l'algorithme PGP (Pretty Good Privacy) disponible sur l'Internet depuis 1991. Il est capable de générer une "clef de session" aléatoire (128 bits aux Etats-Unis). L'utilisateur chiffre le message en utilisant la clef de session comme clef privée. La clé de session est également chiffrée avec un algorithme à clef publique : celle du destinataire. Ce dernier décode d'abord la clef de session (avec sa clef publique) puis, avec la clef de session, le reste du message. Un programme similaire, appelé PEM (Privacy Enhanced Mail), a été adopté par l'IETF. La signature Le chiffrement est également utilisé pour construire une signature digitale. Il s'agit d'une chaîne de bits établie à partir du contenu du message et d'une clef privée. L'émetteur envoie le message avec la signature. Le récepteur déchiffre la signature avec une clef publique et la compare au message. Si il y a cohérence, le récepteur en déduit qu'il s'agit du message original. La certification digitale fonctionne comme l'identification à l'aide de cartes électroniques : une clef publique personnelle, l'identification de la personne (nom, adresse), période d'utilisation et signature digitale d'un organisme agrée. La clef publique et l'identification de l'utilisateur sont insérés dans le navigateur. Actuellement deux méthodes de sécurisation des transactions sont en cours de normalisation. Ces deux mécanismes chargés de sécuriser le Web sont SSL (Secure Sockets Layer) et S-HTTP (Secure HTTP). SSL (Secure Sockets Layer) Il s'agit d'un protocole agissant au niveau session entre le client et le serveur disponible depuis septembre 1995. Aujourd'hui présent dans le navigateur de Netscape, il fonctionne selon le même principe que PGP. Une fois la génération de clef effectuée, une session de communication s'ouvre entre le client et le serveur où les informations échangées sont chiffrées avec la clef de session. L'avantage est que ce protocole est indépendant de l'application, ainsi ni le navigateur ni le logiciel serveur n'ont besoin de subir des transformations radicales. En revanche, dans la mesure où seul le serveur est authentifié, il est insuffisant pour des applications de type bancaire. Web client HTTP Messages en clair Messages en clair Couche transport S-HTTPCryptage/décryptage (Secure HTTP) Web serveur Protocole de sécurisation SSL d’après Le Monde Informatique du 14 juin 1996 Couche transport Canal crypté Cryptage/décryptage S-HTTP (Secure HTTP) Il s'agit d'un système de sécurisation qui agit au niveau application. Il permet de marquer des champs ou des documents comme privés et chiffrés par l'émetteur. Développée par l'IET, cette version sécurisée de HTTP est assez souple et permet l'utilisation de divers algorithmes de chiffrement, d'échange de clefs, d'authentification de messages. Il ajoute un en-tête aux messages HTTP puis les chiffre ou les signe avant de les encapsuler dans un message S-HTTP. Ceci est mis en oeuvre au niveau du serveur au travers d'un script CGI ou d'une application intégrée au code du logiciel. Le client doit avoir recours à une application additionnelle (plug-in) pour supporter l'algorithme utilisé par le serveur. 769776603 Page 9 Web client Web serveur HTTP Cryptage/décryptage Cryptage/décryptage Messages cryptés Couche transport Messages cryptés Canal non crypté Protocole de sécurisation S-HTTP d’après Le Monde Informatique du 14 juin 1996 Couche transport En ce qui concerne le commerce électronique, deux consortiums proposent une extension à SSL et S-HTTP. SEPP (Secure Electronic Payment Protocol) est proposé par un consortium dont font partie notamment IBM, Netscape et Mastercard. Il s'agit d'un système intègrant la technologie IKP pour sécuriser une transaction entre un détenteur de carte et un commerçant. Le deuxième consortium, dont font partie Microsoft et Visa, propose deux nouveaux protocoles : PCT (Private Communication Technology) qui est une extension à SSL et STT (Secure Transaction Technology) chargé de sécuriser les transactions de cartes de crédit à travers réseau public et privé. Aujourd'hui il existe des solutions matérielles et logicielles permettant le paiement électronique sur Internet. On peut citer la solution proposée par Europay, intermédiaire financier qui propose aux détenteurs de cartes bancaires un système de paiement basé sur l'utilisation d'un lecteur de cartes. Une solution logicielle SET (Secure Electronic Transaction) garantit le paiement en ligne par la saisie d'un certificat numérique et d'un mot de passe.