Services d’Authentification et Annuaires

Abdelghani MAZOUZI
UFR Informatique
UCB Lyon1
14 décembre 2009

1
Table des matières
1 Introduction 3

2 Authentification 3
2.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2.2 Facteurs d’authentification des personnes . . . . . . . . . . . . . . . . . . 3
2.3 Protocole d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.3.1 Protocoles d’authentification Par mot de passe statique . . . . . 4
2.3.2 Protocoles d’authentification Par mot de passe à usage unique . . 4
2.3.3 Protocole S/Key . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.3.4 Protocole EAP et ses méthodes . . . . . . . . . . . . . . . . . . . 4
2.3.5 Protocole 802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.3.6 Autres protocoles d’authentification . . . . . . . . . . . . . . . . . 5

3 Service d’authentification 5
3.1 Les protocoles AAA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.2 Protocole Radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
3.2.1 Principe de fonctionnement d’un service Radius . . . . . . . . . . 6
3.3 Protocole DIAMETER . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
3.3.1 Composition d’un réseau Diameter . . . . . . . . . . . . . . . . . 7
3.3.2 Comparaisons Diameter / Radius . . . . . . . . . . . . . . . . . . 8
3.4 Protocole TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
3.4.1 Fonctionnement de Protocole TRACAS+ . . . . . . . . . . . . . . 8
3.5 Protocole Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.5.1 Principe de fonctionnement du service Kerberos . . . . . . . . . . 9

4 Annuaires 10
4.1 NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
4.2 NIS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
4.3 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
4.4 LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
4.5 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

5 Conclusion 12

2
1 Introduction
Tout d’abord, il faut se souvenir que dans des temps très reculés à l’échelle de l’infor-
matique, dans les années 70, les terminaux étaient reliés au serveur par des liens spécia-
lisés. Pour s’infiltrer, un cracker devait donc obligatoirement se brancher physiquement
sur ces liens.
Lorsque les réseaux ont commencé à utiliser un modèle client - serveur et que les termi-
naux ont été remplacés par les PC, les administrateur s ne pouvaient plus avoir confiance
dans les utilisateurs finaux. En effet, ceux- ci peuvent désormais modifier un logiciel ou
écouter le réseau. Il a donc fallu mettre en place un système permet tant de rétablir cette
confiance sur le réseau. Aujourd’hui, alors que nous consultons tous les jours nos e- mails,
ou que nous échangeons des données que nous souhaiterions confidentielles, les mots de
passe et les données circulent la plupart du temps « en clair » entre notre poste et le
serveur ou le destinataire. Cela signifie que quiconque surveillant nos données pourra lire
nos conversations, nos mots de passe et donc nos données.
La solution proposée est la mise en place d’un système d’authentification, permet tant
d’assurer que deux interlocuteur se connaissent et savent qui est l’autre. Comme les com-
munications peuvent, en principe, être vues par n’importe qui, il a été proposé de les
sécuriser, afin que seules les personnes concernées puissent consulter ces informations
confidentielles.
Avec le développement des réseaux dans les entreprises, les services offerts se sont mul-
tipliés : messagerie, serveur de fichiers, agenda partagé... Pour qu’un utilisateur puisse
accéder à un de ces services, il lui est souvent demandé de s’authentifier, afin de se faire
reconnaître du service en question.
Chaque utilisateur dispose de données spécifiques. Ces données sont, en général, dupli-
quées pour chaque service. Il faut donc les gérer autant de fois qu’il existe d’applications
ce qui n’optimise pas le travail des personnes s’occupant de mettre à jour ces informa-
tions avec les risques d’incohérences que cela entraînent. Plus le réseau est vaste et plus
les services se multiplient. Il est par conséquent difficile, sur un réseau étendu, de contrô-
ler finement et efficacement l’ensemble des ressources. On se retrouve très rapidement
avec des incohérences dans les données entre les différentes informations qui devraient
pourtant être identiques.
C’est là que le concept d’annuaire prend son sens. Un annuaire va permettre de centraliser
les informations des utilisateurs et des services et d’en simplifier l’administration.

2 Authentification
2.1 Définition
L’authentification est la fonction de sécurité qui consiste à apporter et à contrôler la
preuve de l’identité d’une personne, d’un logiciel, d’un equipement ...

2.2 Facteurs d’authentification des personnes

Les facteurs d’authetification des personnes sont :
– Ce que l’on est (empreints digitals, la biometrie ...)

3
 – Ce que l’on possède (carte à puce ...)
– Ce que l’on sait (mot de passe, login ...)
– Ce que l’on sait faire (signature manuscrite ...)
la combinaison de deux facteurs au minimum est l’une des conditions d’une authentifica-
tion forte

2.3 Protocole d’authentification

2.3.1 Protocoles d’authentification Par mot de passe statique
– Protocole du mot de passe statique en clair : c’est le moyen d’authentification le
plus utilisé dans le monde, il est faible en terme de sécurité
– Protocole du mot de passe statique chiffré
– Protocole du mot de passe statique haché
– Protocole du mot de passe statique chiffré par une session SSL : HTTPS par exemple

2.3.2 Protocoles d’authentification Par mot de passe à usage unique

– Protocoles d’authentification Par mot de passe à usage unique dynamique ou OTP
– Protocoles d’authentification Par mot de passe à usage unique en mode défi-réponse

2.3.3 Protocole S/Key

– S/Key [13] est une implantation de OTP (One Time Password)
– Le mot de passe qui traverse le réseau est utilisé une et une seule fois.
– Même si le mot de passe est capturé, il ne pourra pas être réutilisé.
– S/Key utilise deux phase pour l’authentification
– L’initialisation de la liste de mots de passe S/Key généré de façon aleatoire par
le serveur à l’aide d’une fonction de hachage. L’utilisateur garde tous les mots de
passes sauf le dernier qui sera gardé par le serveur.
– L’authentification qui consiste en ce que le serveur demande au client d’envoyer
à chaque fois un nouveau mot de passe dans l’ordre pour vérifier sa validation
jusqu’à la fin de liste.

2.3.4 Protocole EAP et ses méthodes

Extensible Authentication Protocol (EAP) [11] [13] est une extension du protocole
PPP. Il est normalisé dans la RFC 2284. Les paquets EAP sont transportés dans des
trames Ethernet spécifiques EAPOL.
Le succés du protocole EAP est dû en grande partie à son adoption par le protocole
802.1x. Les méthodes d’authentification les plus communes sur EAP sont :
– EAP-TLS (Transport Layer Security)
– EAP-TTLS (Tunneled Transport Layer Security)
– PEAP
– EAP-MD5
– LEAP (Lightweight EAP pour Cisco)
– EAP-FAST (EAP-Flexible Authentification via Secure Tunneling)
– EAP-SIM

4
2.3.5 Protocole 802.1x
Le protocole 802.1x est une solution de sécurisation d’un réseau mis au point par
par l’organisme de standardisation IEEE en 2001. Il a pour but de contrôler l’accès à
un réseau filaire ou sans fil grâce à un serveur d’authentification. Le standard permet de
mettre en relation le serveur d’authentification et le système à authentifier par des sé-
quences par des échange EAP. Le protocole 802.1x va donc unifier les différents méthodes
d’authentification sous la même bannière : le protocole EAP.
La principale innovation amenée par le standard 802.1x consiste à scinder le port lo-
gique, qui sont connectés en parallèle sur le port physique. le premier port logique est
dit "contrôle", et peut prendre deux "ouvert" ou "fermé". Le deuxième port logique est
lui toujours accessible mais il ne gère que les trames spécifique à 802.1x. Cela permet de
de gérer le dialogue nécessaire à l’authentification au préalable à une connexion réseau.
La connexion initiale est donc limitée à un usage de sécurité qui ouvre ultérieurement le
canal des données en cas d’authentification réussie.[11] [13]

2.3.6 Autres protocoles d’authentification

De nombreux protocoles existent pour l’authentification [13]
– PAP (Password Authentification Protocole) : protocole classique avec utilisation
d’un mot de passe statique
– CHAP (Challenge Handshake)
– MSCHAP : la version CHAP de Microsoft pour ses réseau windows
– SSL (Secure Sockets Layer) pour assurer la confidentialités des échanges (HTTPS,
FTPS, POPS

3 Service d’authentification
3.1 Les protocoles AAA
AAA signifie Authentication, Authorization, Accounting, soit authentification, auto-
risation et compte. La signification de ces termes est la suivante :

– Authentification : l’authentification consiste à vérifier qu’une personne/équipement

est bien celle qu’elle prétend être.
– Autorisation : l’autorisation consiste à permettre l’accès à certains services ou
ressources.
– Accounting : le serveur AAA a la possibilité de collecter des informations sur
l’utilisation des ressources.

3.2 Protocole Radius

Radius [11](Remote Authentication Dial-In User Service) est un protocole client-
serveur, défini par le RFC 2865. permettant de centraliser des données d’authentification.
Le protocole est souvent dénommé AAA (Authentication Authorization Accounting). Le
protocole établit une couche applicative au-dessus d’UDP. Les ports utilisés sont : 1812
pour recevoir les requetes d’authentification et d’autorisation, 1813 pour la comptabilité.

5
3.2.1 Principe de fonctionnement d’un service Radius
1. Clients Radius ou NAS (Network Access Server) qui sont les équipements réseau
tels que le commutateur ou la borne sans fil
Ils doivent supporter le protocole Radius et un ensemble de protocoles d’authen-
tification pour permettre à l’utilisateur de s’authentifier (IEEE 802.1X , EAP et
ses méthodes ...), le protocole IEEE 802.1Q si l’utilisation des réseau virtuels est
souhaités.
2. Le serveur Radius : Il existe plusieurs solutions sur le marché, certains commer-
ciales, d’autres libres.
– ACS (Access Control Server de Cisco sous Windows)
– Aegis (de MettingHouse sous Linux)
– IAS (Internet authentification Service de Microsoft sous Windows)
– OpenRadius (libre sous Linux)
– FreeRadius (libre sous Linux, BSD, Solaris et Windows)
3. Poste clients qui représente les utilisateurs
Pour permettre le communication entre serveur Radius et la NAS, il existe six types
de requête RADIUS :
– Acces Request, Acces Accept, Acces Reject et Acces Challenge : ces requête
sont utilisées dans les échanges d’authentification/autorisation.
– Accounting-Request et Accounting Response sont utilisés dans les échanges
liés à la comptabilité.

Fonctionnement de protocole Radius [2]

6
3.3 Protocole DIAMETER
Diameter est un protocole d’authentification conçu pour servir de support à l’archi-
tecture AAA, successeur du protocole RADIUS. Ce protocole est défini par la RFC 3588.
Il a repris les principales fonctions de Radius ( Diameter est compatible avec Radius )
et en a rajouté de nouvelles pour s’adapter aux nouvelles technologies ( IPv4 Mobile,
NASREQ ... ) et plus particulièrement offrir des services aux applications mobiles. Ce
protocole se situe au niveau de la couche transport. Il utilise le port 3868 via le protocole
TCP ou bien SCTP. [3] [5]

3.3.1 Composition d’un réseau Diameter

1. Client Diameter : Cela peut être, par exemple, un NAS, un agent étranger (
Foreign Agent ). Il génére des messages Diameter de demande d’authentification,
d’autorisation ou de service de comptabilité.
2. Serveur Diameter : fournit les services d’authentification, d’autorisation et de
gestion de comptabilité pour un réseau d’utilisateurs donné
3. Agents Diameter : Les agents Diameter regroupent les entités qui vont former
les différents types de noeuds du réseau. Ils ont en commun qu’ils ne font ni d’au-
torisation ni d’authentification de clients.
– Proxy Diameter : va dans ses fonctions de base, relayer les messages des clients
et des serveurs.
– Agents relais : Les relais routent les messages Diameter vers d’autres noeuds
Diameter d’après les informations contenues dans le message ( domaine destina-
taire ... ). Pour cela, le relais s’aide de sa table de routage de domaine ( Realm
Routing Table ) et de la connaissance de son réseau environnant. Il peuvent éga-
lement être utilisés pour concentrer des demandes de plusieurs NAS dans une
zone géographique donnée
– Agents de redirection Diameter : Les agents de redirection vont servir à
centraliser les informations de routage dans un domaine. Ainsi, plutôt que N
relais Diameter aient a gérer chacun leur table de routage, il est plus simple et
efficace de centraliser cette fonction en un seul point : l’agent de redirection.
– Agents de conversion : Cet agent va convertir des messages entre 2 protocoles
(Radius , Diameter)

7
 Agent relais dans un réseau DIAMETER [3]

3.3.2 Comparaisons Diameter / Radius

– Radius n’utilise qu’un octet pour coder les transactions. Cela ne représente donc
que 255 clients de connectés au même moment sur un serveur Radius. Diameter
code ce champs sur 4 octets, ce qui représente un potentiel de 4 milliard de clients.
– Radius utilise le protocole UDP qui est non fiable, qui n’effectue aucun contrôle
d’erreur. Alors que Diameter est sur TCP qui peut gérer par exemple, une décon-
nection de la communication, la congestion du réseau.
– Sous Radius, toutes les retransmissions nécessaires sont faites par le NAS.Ceci, est
fait sous Diameter par un agent qui détecte la nécessité de retransmission. Cela ne
charge pas une entité unique à cette tache.

3.4 Protocole TACACS+

TACACS+ (Terminal Access Controller Access Control System Plus) est un proto-
cole de sécurité inventé dans la fin des années 90 par CISCO Systems. Même s’il a fini
par remplacer les protocoles TACACS et XTACACS, TACACS+ n’est pas basé sur ces
derniers. Ce protocole se situe au niveau de la couche transport. Il utilise le port 46 via
le protocole TCP.
TACACS+ permet de vérifier l’identité des utilisateurs distants mais aussi, grâce au
modèle AAA, d’autoriser et de contrôler leurs actions. [10] [8]

3.4.1 Fonctionnement de Protocole TRACAS+

Contrairement au protocole Radius qui fait l’authentification et l’autorisation en
même temps, TRACAS+ sépare les deux derniers. Pour l’authentification, le client TRA-
CAS+ peux s’authentifier auprès d’un serveur TRACAS+ ou autres serveur d’authenti-
fication (Radius, Kerbéros ...).
1. Authentification : Pour commencer une session d’authentification le client en-
voie un paquet "START" au serveur TACACS+. Le serveur répond alors, selon la

8
 technologie de couche 2 utilisée, par l’intermédiaire d’un paquet "REPLY".
En validant les informations qu’il a entré relative à son nom d’utilisateur, le client
en envoi un paquet "CONTINUE" contenant ces informations. Le serveur TACACS
vérifie alors dans sa base si l’utilisateur est présent ou non dans sa base et envoie
dans un paquet "REPLY" afin d’informer le client si l’authentification a été un
succès ou un échec.
2. Autorisation : Quand un utilisateur demande l’utilisation d’un service particulier,
il passe par l’intermédiaire du client TACACS+ qui envoie un paquet " REQUEST
". Ce paquet comprend des arguments de types " attributs-valeurs " qui permette
de définir les commandes qui doivent être exécutés. Par exemple si l’utilisateur veut
utiliser le protocole FTP, le client TACACS+ enverra comme argument protocol =
"ftp".
Après avoir vérifié dans sa base le serveur TACACS+ répond par un paquet "RES-
PONSE" qui autorise ou l’utilisation du service demandé par l’utilisateur.
3. Comptabilisation : La communication de la comptabilisation est similaire à celle
de l’autorisation.

3.5 Protocole Kerberos

Kerberos est un protocole de sécurité originaire de monde Unix, il a pris un nouveau
départ lorsqu’il a été choisi par Microsoft pour remplacer NTLM (NT Lan Manager) dans
Windows 2000. [13]
Kerberos a pour objectif :
– d’authentifier les utilisateurs
– de leur allouer des droits d’accès à des applications (sur un serveur) sur le réseau
sous forme de ticket ou jetons d’accès périssables dans le temps.
– d’assurer la transmission sécurisée de ces tickets ou jetons d’accès vers les applica-
tions et ressources demandées.
– de protéger les échanges entre les utilisateurs et les applications.

3.5.1 Principe de fonctionnement du service Kerberos

Pour mettre en place un service ou "zone" Kerberos nous avons besoin d’un serveur
KDC (Key Distribution Center) qui gère la base de données des identités et des mots de
passe de tous les clients et serveurs rattachés. ce serveur doit être physiquement sécurisé.
Les serveurs KDC sont capable de collaborer entre eux pour permettre l’accés de l’utili-
sateur autorisé à d’autres zonz du réseau.
Concrètement, l’utilisateur envoie un message en clair horodaté au KDC pour obtenir
un ticket afin d’accéder à un serveur ou un service donné. Le KDC renvoi un message
chiffré à l’utilisateur contenant un ticket général TGT (Ticket-Granting Ticket, permet-
tant d’obtenir par la suite de futurs tickets) et une clé de session horodatée. Ce message
a été chiffré en utilisant le mot de passe de l’utilisateur comme clé secrete. L’utilisateur
est donc à même de déchiffrer ce message et de récupérer ainsi une clé de session qui lui
permettra de dialoguer de manière sécurisée avec le KDC.
L’utilisateur envoie par la ensuite par ce canal sécurisé une requête chiffré au KDC en

9
précisant la ressource à laquelle il veut accéder. Le KDC est ainsi en mesure de déli-
vrer à l’utilisateur et à la ressource concernée une nouvelle clé de session permettant les
échanges directs entre eux. Le client et le serveur s’authentifie mutuellement par ce biais
et la communication peut se poursuivre entre eux.
Le TGT expire à une date et à une heure déterminé. Il permet au client d’obtenir d’autres
tickets associés à des permissions spéciales d’accés à d’autres services graçe au TGS
(Ticket-Granting Service). Une fois le TGT obtenu, la manipulation des tickets addition-
nels devient transparente pour l’utilisateur. [13]

Communication dans un Service Kerbéros

4 Annuaires
Un annuaire électronique est une base de donnée spécialisée, dont la fonction première
est de retourner un ou plusieurs attributs d’un objet grâce à des fonctions de recherche
multi-critères. Contrairement à un SGBD, un annuaire est très performant en lecture
mais l’est beaucoup moins en écriture. Sa fonction peut être de servir d’entrepôt pour
centraliser des informations et les rendre disponibles, via le réseau à des applications, des
systèmes d’exploitation ou des utilisateurs.

4.1 NIS
Dès 1985 Sun à introduit le Network Information Service (NIS), déjà destiné à centra-
liser l’administration des informations système. NIS n’est pas un standard de l’Internet
mais largement utilisé. Les informations sont stockées sous forme de map contenant des
paires "mots_clef/valeurs" stockées sur une machine "hôte" (Serveur), dans de simples
bases de données distribuée, accessibles par des appels RPC (Remote Procedure Call).
NIS fonctionne sur le principe "clients-serveur". L’objectif de NIS est de réduire le temps
d’administration d’un parc de machine, en simplifiant la gestion des comptes, des mots
de passe sous Linux. Il suffit de créer chaque un nouvel utilisateur sur le serveur NIS pour
que chaque machine client NIS ait accés aux informations de cet utilisateur. [9]

10
4.2 NIS+
Sun à réagit aux défauts de NIS par l’introduction dans solaris 2 des NIS+. Ils ré-
pondent aux trois remarques ci-dessus en introduisant un propagation des données entre
maître-esclave de manière incrémentale, en ajoutant la notion de root domain master en
haut de l’arbre hiérarchique sous lequel de trouvent des subdmain master pouvant eux-
mêmes être au-dessus d’autres subdomain-master. Enfin la notion de “certificat, identité”
(credential) via une paire de clé privée/publique vient combler le problème de sécurité.
L’imposition d’une architecture hiérarchique de haut en bas des nis+ qui implique une
coopération entre les administrateurs systèmes des différents départements d’une organi-
sation, ainsi que la gestion des paires clé privée/public fut finalement un frein au passage
des nis aux nis+. Pourtant ces derniers préfigurent beaucoups de concepts utilisés par la
suite dans LDAP.

4.3 DNS
Le Domain Name System (DNS) est un service permettant d’établir une correspon-
dance entre une adresse IP et un nom de domaine. C’est un annuaire spécialisé.

4.4 LDAP
LDAP (Lightweight Directory Access Protocol, traduisez Protocole d’accès aux an-
nuaires léger) est un protocole standard permettant de gérer des annuaires, c’est-à-dire
d’accèder à des bases d’informations sur les utilisateurs d’un réseau par l’intermédiaire
de protocoles TCP/IP.
Les bases d’informations sont généralement relatives à des utilisateurs, mais elles sont
parfois utilisées à d’autres fins comme pour gérer du matériel dans une entreprise.
Le protocole LDAP, développé en 1993 par l’université du Michigan, avait pour but
de supplanter le protocole DAP (servant à accéder au service d’annuaire X.500 de l’OSI),
en l’intégrant à la suite TCP/IP. A partir de 1995, LDAP est devenu un annuaire natif
(standalone LDAP), afin de ne plus servir uniquement à accéder à des annuaires de type
X500. LDAP est ainsi une version allégée du protocole DAP, d’où son nom de Lightweight
Directory Access Protocol.
Le protocole LDAP définit la méthode d’accès aux données sur le serveur au niveau du
client, et non la manière de laquelle les informations sont stockées.
Le protocole LDAP en est actuellement à la version 3 et a été normalisé par l’IETF
(Internet Engineering Task Force). Ainsi, il existe une RFC pour chaque version de LDAP,
constituant un document de référence : [7] [12] [6]
– RFC 1487 pour LDAP v.1 standard
– RFC 1777 pour LDAP v.2 standard (1994)
– RFC 2251 pour LDAP v.3 standard (1997)

11
 Protocole LDAP [4]

4.5 Active Directory

Active Directory (AD) est la mise en oeuvre par Microsoft des services d’annuaire
pour une utilisation principalement destinée aux environnements Windows. Implantant
le protocole LDAP, l’objectif principal d’Active Directory est de fournir des services cen-
tralisés d’identification et d’authentification à un réseau d’ordinateurs utilisant le système
Windows. Il permet également l’attribution et l’application de stratégies, la distribution
de logiciels, et l’installation de mises à jour critiques par les administrateurs. Active Direc-
tory répertorie les éléments d’un réseau administré tels que les comptes des utilisateurs,
les serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc. Un utilisa-
teur peut ainsi facilement trouver des ressources partagées, et les administrateurs peuvent
contrôler leurs utilisations grâce à des fonctionnalités de distribution, de duplication, de
partitionnement et de sécurisation des accès aux ressources répertoriées. Si les adminis-
trateurs ont renseigné les attributs convenables, il sera possible d’interroger l’annuaire
pour obtenir par exemple : « Toutes les imprimantes couleurs à cet étage du bâtiment ».
[1]

5 Conclusion
Que ce soit pour un accès à des réseau locaux ou étendue, que ces réseau soit filaires ou
sans fil, que ces réseaux soit en architecture client/serveur ou répartis, l’authentification
des équipements, des services et des personnes est nécessaire.
Or, les procédures d’authentification classique par identifiant et mot de passe ne suf-
fisent plus. l’écoute de ligne est l’attaque numéro un qui permet de récupérer facilement
l’identité d’un utilisateur. La deuxième catégorie d’attaque consiste à espionner, simu-
ler, copier ou voler le moyen d’authentification des utilisateurs. La troisième concerne la

12
récupération des éléments d’authentification des utilisateurs stockés du coté du serveur
d’authentification. La quatrième est l’ingénierie sociale qui vise à tromper la vigilance de
l’utilisateurs en l’amenant astucieusement à révéler volontairement ses mots de passe, ses
codes ou ses secrets. Enfin, La sinquième est l’attaque dite "à force brute" qui consiste
par exemple à essayer systématiquement et automatiquement tous les mots de passe pour
arriver au bon.
L’enjeu est d’autant plus considérable que ces menaces qui pèsent sur les particuliers,
les entreprises, les organisations les administrations et leur système d’information sont
bien réels. C’est lâ ou se montre le rôles des service d’authentification et annuaire pour
controler à bien les utilisateurs.
L’authentification n’est donc pas une fonction de sécurité à négliger, bien au contraire.
Elle occupe une place centrale dans la sécurité des réseaux d’aujourd’hui.

13
Références
[1] Active directory, http ://fr.wikipedia.org/wiki/active_directory.
[2] http ://upload.wikimedia.org/wikipedia/commons/5/53/drawing_radius.png.
[3] http ://wapiti.telecom-lille1.eu/commun/ens/peda/options/st/rio/pub/exposes/exposesrio2004/ba
duchemin/diameter.htm.
[4] http ://www-igm.univ-mlv.fr/ dr/xpose2006/caillaud_hassler_jorry/concepts.html#securite.
[5] Introduction to diameter, http ://www.ibm.com/developerworks/wireless/library/wi-
diameter/.
[6] Le protocole ldap, http ://linagora.org/contrib/annuaires/formations/protocole.
[7] Le protocole ldap, http ://www.commentcamarche.net/contents/internet/ldap.php3.
[8] Le protocole tacacs+, http ://www.supinfo-projects.com/fr/2006/tacacsp/.
[9] Nis, http ://cern91.tuxfamily.org/linux/indexnet.php ?page=nis.
[10] Tacacs+ and radius comparison, http ://www.cisco.com/en/us/tech/tk59/technologies_tech_note
[11] Serge Bordères. Authentification réseau avec Radius. EYROLLES, 2007.
[12] Marcel Rizcallah. Annuaires LDAP. EYROLLES, septembre 2004.
[13] Pascal THONIEL. Sécurité des systèmes d’information. Technique de l’ingénieur,
Avril à Octobre 2009.

14