Quand le protocole IPv6 a été développé en 1992 par l’IETF (Internet Engineering Task Force), l’organisme en a profité pour intégrer la notion de sécurité, rendue nécessaire par l’accroissement des risques. “IPv4 étant largement déployé et IPv6 n’étant pas près de l’être, il a paru intéressant de développer des mécanismes de sécurité communs à IPv4 et IPv6”, rappelle Benoît Buonassera, responsable de la business unit sécurité de Risc Technology.
Une normalisation rapide
C’est ainsi qu’IPSec (Internet Protocol Security) a été conçu et normalisé en 1995. Trois ans plus tard, il intègre son protocole d’échange de clés (IKE – Internet Key Exchange). A l’époque, Sun avait tenté de rallier un soutien à son protocole Skip (Simple Key Management for Internet Protocols). En vain. Placé dans le domaine public en 1994, Skip a manqué du soutien de l’industrie.Le succès d’IPSec émane de la rapidité de sa normalisation. Cela n’a pas laissé le temps à un protocole propriétaire de s’imposer. L’adhésion des éditeurs et des fournisseurs de matériels de réseaux privés virtuels (VPN) est proche de 100 %. Côté utilisateurs et selon Nicolas Appert, directeur général adjoint d’Ubizen, la quasi-totalité des grands comptes européens exploiterait au moins un environnement IPSec, ou aurait initié un projet pilote. Les déploiements s’effectuant surtout entre passerelles IPSec. Ce protocole intervient directement sur la couche réseau de niveau 3. “D’autres systèmes sécurisent les applications au cas par cas. IPSec sécurise un réseau sous-jacent”, professe Benoît Buonassera. IPSec vérifie la politique de sécurité contenue dans la SPD (Security Policy Database). “Il consulte ensuite la base des Security Associations (SA) pour récupérer les caractéristiques de la SA établie entre deux parties. Si aucune SA n’est établie, IPSec fait appel à IKE pour en établir une”, explique Renaud Bidou, directeur des opérations pour Intexxia.
Un emploi encore limité des ICP
Pour créer la clé de session, IKE prône plusieurs scénarios ?” mode principal, mode agressif, etc. Il emploie l’algorithme Diffie-Hellman, qui fonctionne à partir d’un secret partagé. Les paquets IPSec comportent deux en-têtes : AH (Authentication Header ?” RFC 2402 ?” et intégrité) et ESP (Encapsuled Security Payload ?” RFC 2406). Parmi les algorithmes spécifiés, figurent, respectivement, Hash MAC MD5 ou SHA pour la signature des paquets et la garantie de leur intégrité, et DES pour les opérations de chiffrement.Les spécifications IPSec n’intègrent pas directement la notion d’ICP. Les infrastructures à clés publiques interviennent surtout en amont, lors de l’authentification des équipements. Le groupe de travail PKIX a défini à cet effet un champ alternatif dans les certificats X.509 v3 pour l’authentification de serveurs IPSec. Toutefois, dans un environnement client-serveur, l’emploi d’IPSec par l’utilisateur entraîne forcément une distribution plus large de certificats.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.