Les réseaux locaux type LAN permettent de faire communiquer les ordinateur d'un site d'une société ensemble. Ces réseaux sont relativement sûr car ils sont quasiment toujours derrière une série de pare-feu ou coupés d'Internet et que le chemin emprunté par les données ne quitte pas l'entreprise et est connu. Ils peuvent toutefois être soumis à des attaques dites du « man-in-the-middle » qui sera l'objet d'un autre document.Sur Internet, on ne sait pas par où passent les données car les chemins changent. Ces données peuvent donc être écoutées ou interceptées. Il n'est donc pas envisageable de faire connecter deux LAN entre eux par Internet sans moyen de sécuriser le cheminement des données échangées.Il existe alors deux solutions :

• relier les deux sites par une ligne spécialisée mais hors de prix.
• créer un réseau privé virtuel sécurisé autrement dit un VPN. On encapsule (en anglais tunneling) les données dans un tunnel crypté

Voici comment peut se schématiser une Réseau Privé Virtuel ou VPN :

Mais alors pourquoi réseau virtuel privé. Virtuel simplement parce que le VPN relie deux réseaux physiques LAN par une liaison qui n'est pas réellement sûre et surtout pas dédiée à cet usage. Et privé parce que les données sont encryptées et que seuls les deux réseaux se voient mais ne sont pas vus de l'extérieur.Pour résumé le VPN permet de mettre deux sites en relation de façon sécurisée à très faible coût par une simple connexion Internet. Mais cela se fait au détriment des performances car le passage par Internet est plus lent que sur une liaison dédiée.

Le VPN repose sur un protocole de tunnelisation qui est un protocole permettant de chiffrer les données par un algorithme cryptographique entre les deux réseaux.Il existe deux types de VPN :

• le VPN d'accès permet à un utilisateur isolé de se connecter dans un réseau local interne (par exemple, de son entreprise). Dans ce cas, il peut avoir son propre client VPN afin de se connecter directement au réseau. Sinon, il doit demander à son FAI de lui fournir un serveur d'accès qui se chargera de la connexion cryptée. Seul problème, la connexion entre l'utilisateur isolé et le serveur d'accès n'est pas crypté.
• l'intranet ou extranet VPN permet de relier deux réseaux LAN entre eux. Dans le cas de l'extranet, il peut s'agir par exemple, d'un réseau d'une société et de ses clients. Dans les deux cas, les deux réseaux doivent se voir comme ci le réseau était en un seul morceau. Par exemple, on peut faire en sorte d'avoir une passerelle dans chaque réseau qui se connecterait ensemble par Internet de façon cryptée et achemineraient donc les données entre les deux réseaux.

Le VPN n'est qu'un concept, ce n'est pas une implémentation. Il se caractérise par les obligations suivantes :

• authentification des entités communicantes : le serveur VPN doit pouvoir être sûr de parler au vrai client VPN et vice-versa.
• authentification des utilisateurs : seuls les bonnes personnes doivent pouvoir se connecter au réseau virtuel. On doit aussi pouvoir conserver les logs de connexions.
• gestion des adresses : tous les utilisateurs doivent avoir une adresse privée et les nouveau client en obtenir une facilement.
• cryptage du tunnel : les données échangées sur Internet doivent être dûment cryptées entre le client VPN et le serveur VPN et vice-versa.
• les clés de cryptage doivent être régénérées souvent (automatiquement).
• le VPN dit supporter tous les protocoles afin de réaliser un vrai tunnel comme s'il y avait réellement un câble entre les deux réseaux.

VoIP en chiffre

Croissance de 57% en 9 mois

• 10% du trafic de la voix à travers le monde transige via téléphonieIP.
• Économie pour les entreprises de l'ordre de 20% par rapport au coût d'un système téléphonique traditionnel.
• Économie pour les particuliers de l'ordre de 60 à 70%.

Domaine d’utilisation

La VoIP est une solution de convergence voix et donné, applicable dans le domaine de la télécommunication qui permet de réaliser :

• La téléphonie sur IP (ToIP): Téléphonie sur Protocole Internet (IP).

On parle de ToIP quand en plus de transmettre de la voix, on associe les services de téléphonie, tels l’utilisation de combinés téléphoniques, les fonctions de centraux téléphoniques (transfert d’appel, messageries…)

• La téléphonie mobile sur IP: utiliser le téléphone portable dans un endroit fermé (l’usine, l’immeuble) ou un lieu public (la gare, l’aéroport ou l’hôpital).
• La conférence IP: réaliser une conférence audio, vidéo ou en mode texte par IP.
• La télécopie IP: envoyer une télécopie en empruntant la route IP.
• L’unification des applications: la messagerie unifiée (des messages vocaux, des courriers électroniques, des télécopies).

ToIP & VoIP

La ToIP est un ensemble de techniques qui permettent la mise en place de services téléphoniques sur un réseau IP.

La VoIP est une des techniques utilisée pour réaliser la mise en place de ce type de service.

Les concepts de la VoIP

1. Acquisition du signal :

• La première étape consiste naturellement à capter la voix à l’aide d’un micro, qu’il s’agisse de celui d’un téléphone ou d’un micro casque.

2. Numérisation :

• La voix passe alors dans un convertisseur analogique numérique qui réalise deux tâches distinctes
• Échantillonnage du signal sonore: un prélèvement périodique de ce signal, il s'agit d'enregistrer à des intervalles très rapprochés la valeur d'un signal afin de pouvoir disposer d'un enregistrement proche de la valeur réelle de ce signal.
• Quantification, qui consiste à affecter une valeur numérique (en binaire) à chaque échantillon.
• Plus les échantillons sont codés sur un nombre de bits important, meilleure sera la qualité.

3. Compression :

• Le signal une fois numérisé peut être traité par un DSP (Digital Signal Processor) qui va le compresser, c’est-à-dire réduire la quantité d’informations nécessaire pour l’exprimer.
• L’avantage de la compression est de réduire la bande passante nécessaire pour transmettre le signal.

4. Habillage des en-têtes :

• Les données doivent encore être enrichies en informations avant d’être converties en paquets de données à expédier sur le réseau.

Exemple :

• type de traffic
• synchronisation : s’assurer du réassemblage des paquets dans l’ordre

5. Émission et transport :

• Les paquets sont acheminés depuis le point d’émission pour atteindre le point de réception sans qu’un chemin précis soit réservé pour leur transport.

6. Réception :

• Lorsque les paquets arrivent à destination, il est essentiel de les replacer dans le bon ordre et assez rapidement. Faute de quoi une dégradation de la voix se fera sentir.

7. Conversion numérique analogique :

• La conversion numérique analogique est l’étape réciproque de l’étape 2.

8. Restitution :

• Dès lors, la voix peut être retranscrite par le haut-parleur du casque, du combiné téléphonique ou de l’ordinateur.

Les Protocoles de Transport (RTP / RTCP) :

• RTP (Real_Time Transport Protocol ) a pour but de fournir un moyen uniforme pour transmettre sur IP des données soumises à des contraintes de temps réel de bout en bout, par exemple des flux audio ou vidéo.
• Intégré à RTP, RTCP ( Real Time Transport Control Protocol ) permet d’avoir des informations sur la qualité des données transmises.

Les Protocoles de Signalisation :

• Il existe deux principaux protocoles de signalisation pour la voix sur IP : SIP et H.323.

H.323 :

• Standard H.323 fournit les services pour le transfert de l’audio, de la vidéo ou de données à travers des réseaux IP.
• Composants principaux : Terminal, Gatekeeper, Passerelle,MCU.

Le portier (gatekeeper) :

Il est responsable de la translation entre un numéro de téléphone et une adresse IP et fournit les mécanismes pour l'authentification et l'enregistrement des terminaux.

La passerelle H.323 (Gateway) :

La passerelle permet de faire l’interface entre différents réseaux .Elle permet à un terminal H.323 de pouvoir appeler un terminal qui est sur un réseau différent.

Le Pont de conférence (MCU : MultiPoint Control Unit) :

• Le MCU est une station sur le réseau qui fournit les possibilités pour trois terminaux ou plus de participer à une conférence multipoints.
• Le Terminal H.323: représente l'entité se trouvant à chaque extrémité d'une connexion.

SIP ( Session Initiation Protocol ) :

SIP est un protocole de signalisation défini par l'IETF (Internet Engineering Task Force) en 1999, permettant l'établissement et la modification de sessions multimédias (voix, vidéo, données). Il a été étendu afin de supporter de nombreux services tels que la messagerie instantanée, le transfert d'appel, la conférence et les services complémentaires de téléphonie.

Risques de sécurité

L'interception des appels et le détournement du service (n'importe qui pouvant alors téléphoner via l'infrastructure de l'entreprise). Ou encore l'usurpation de l'identité de l'appelant (se faire passer pour le patron d'un grand groupe auprès de quelques employés importants peu s'avérer particulièrement tentant).

Sécurité

La sécurité consiste à isoler les serveurs VoIP du reste du monde, et s'assurer qu'ils traitent uniquement des requête de VoIP, et dialoguent avec les seuls postes autorisés et authentifiés.

La sécurité du matériel est ensuite l'autre chantier sécurité: les serveurs qui hébergent le coeur de l'infrastructure

Du côté de l'infrastructure, la solution la plus évidente est de séparer totalement le trafic VoIP du reste du réseau.

Ecoute :

• La captation d’informations de session (qui appelle qui, pendant combien de temps, pour faire quoi: voix, messagerie instantanée, visioconférence…)

Usurpation d'identité :

• L’usurpation d’identité consiste pour un individu, à l’intérieur ou à l’extérieur de l’entreprise à se faire passer pour quelqu’un d’autre.

Spam / Scam :

• Le Scam est l’équivalent pour la ToIP du Spam pour l’email.

Obstruction :

• L’obstruction consiste pour un pirate à empêcher un appel entrant ou sortant d’aboutir.
• Virus
• Vol d'informations confidentielles.
• Saturation du réseau: Blocage de l'ensemble des appels.

Lorsque l'on commence à étudier le fonctionnement d'un réseau IP, l'une des premières notions que l'on aborde est celle de l'adresse MAC. Rien à voir avec les ordinateurs de la marque Apple, ici nous sommes bien sur une notion purement réseau.

Vient alors la question suivante : qu'est-ce qu'une adresse MAC ?

MAC signifie "Media Access Control" et cette adresse correspond à l'adresse physique d'un équipement réseau. Cette adresse est un identifiant, normalement unique, permettant d'identifier un équipement réseau par rapport à un autre.

Note : en théorie, un constructeur utilise une adresse MAC différente pour chaque équipement commercialisé. En pratique, il existe des logiciels offrant la possibilité de modifier son adresse MAC (d'un point de vue logiciel seulement), et plus couramment c'est une fonctionnalité offerte par les solutions de virtualisation.

Pour donner un exemple, une voiture dispose d'une plaque d'immatriculation unique. La carte réseau d'un PC quant à elle, dispose d'une adresse MAC unique qui sert à l'identifier.

L'adresse MAC est constituée de douze caractères alphanumériques (hexadécimal), c'est-à-dire de 0 à 9 et de A à F. Au niveau de son écriture, nous retrouvons des blocs de deux caractères, la plupart du temps sous l'une de ces formes (en fonction des équipements) :

Ce qui nous donne par exemple : B4-6D-83-DD-CE-49

Il est à noter que les six premiers caractères permettent d'identifier le constructeur de l'appareil. Par exemple, si vous achetez 10 ordinateurs identiques, d'une même série, il y a de très fortes chances pour que leurs adresses MAC soient identiques sur les 6 premiers caractères.

Cette partie de l'adresse MAC est appelée l'OUI : Organizationally Unique Identifier.

Un PC équipé d'une carte réseau Ethernet RJ45 dispose d'une adresse MAC, mais s'il a une carte Wi-Fi il aura également une deuxième adresse MAC. Celle-ci est propre à chaque carte réseau. Un smartphone, puisqu'il est équipé d'une puce Wi-Fi, a également une adresse MAC. Il en est de même pour une console de jeux, votre enceinte connectée Amazon Echo, votre caméra IP ou encore un switch.

Pour visualiser son adresse MAC, il existe plusieurs méthodes, notamment en fonction de votre système d'exploitation. Dans certains cas, l'équipement peut avoir une étiquette avec l'adresse MAC indiquée, sinon il faut exploiter la couche applicative pour l'obtenir.

Voici quelques exemples :

• Sous Windows, avec l'invite de commande

Il s'agit de la valeur retournée sur la ligne "adresse physique".

• Sous Windows, avec PowerShell

Vous pouvez aussi exécuter simplement la commande "getmac". Il est à noter que sur Windows, en accédant aux propriétés de la connexion réseau, nous pouvons obtenir cette information via l'interface graphique.

• Sous Unix

La commande ci-dessus affiche les informations sur la connexion réseau, sur un système Unix. Parmi ces informations, nous retrouvons l'adresse MAC de chacune des cartes réseau de la machine.

Pour aller plus loin, il est intéressant d'étudier le protocole ARP, ce dernier est notamment utilisé pour faire la correspondance entre l'adresse MAC d'un équipement et l'adresse IP.