1

Université De Bretagne Du Sud

Ecole Nationale Supérieure D'ingénieurs De Bretagne-Sud

Architecture technique de sécurité :

Vote électronique

Dossier 2 : Sécurité des systèmes d’information

Réalisé par Encadré par

Adnane AL ECHCHEIKH EL ALOUI

M. Charles PREAUX

Année Universitaire 2011/2012

2

Sommaire I. L’architecture technique générale .................................................................................................................. 3

II. le principe de fonctionnement du mécanisme de sécurité associé.................................................................. 7

1) sécurisation des postes de travail y compris des nomades : ....................................................................... 7

2) Mécanismes de TLS : .................................................................................................................................. 7

3) Mécanismes de Signature électronique et scellement des données : ......................................................... 8

4) Mécanisme d’Authentification au serveur web CAS .................................................................................. 10

5) Mécanisme d’Authentification des votants au serveur web ..................................................................... 11

6) Mécanisme d’intra-connexion des sites (VPN) ......................................................................................... 11

7) Mécanisme d’interconnexion de site (DMZ) ............................................................................................ 13

8) Mécanisme d’Authentification des Administrateurs ................................................................................. 14

9) Modes de fonctionnement dégradés qui garantissent la disponibilité globale du système ........................ 15

10) Mécanisme de protection locale des données ...................................................................................... 15

11) gestion de la sécurité avec service d’archivage, service de répartition de charge et service d’horodatage

12) sécurisation et garanti de bon acheminement des Listes Electorales (LE) & Bulletins de Vote (BV) et les

résultats de Vote (RV). ..................................................................................................................................... 18

13) Le déroulement du vote ...................................................................................................................... 19

3

I. L’architecture technique générale

Notre choix d'architecture générale du système se présente sur 4 zones de vote, interconnectées

entre elles suivant le principe de sécurité VPN (Virtual Private Network) qui repose sur un

protocole, appelé protocole de tunnelisation, c'est-à-dire un protocole permettant aux données

passant d'une extrémité à l'autre du VPN d'être sécurisées par des algorithmes de cryptographie.

Figure1 : Répartition du système de vote au niveau national

4

Figure2 : Zoom sur l’interconnexion entre les 4 sites.

Ce schéma donne un aperçu général (zoomé sur la carte comme indiqué ci-dessus) sur les différents

composants dans chaque zone, et l’interconnexion entres les 4 zones en utilisant un protocole de

Tunneling reposant sur le principe de VPN, pour permettre une meilleure circulation des

informations entres les sites et la sauvegarde de la confidentialité. Ce service assure aussi la

rapidité et la fluidité de circulation des données dans une confidentialité totale via les routeurs

Cisco reconnus par la fiabilité et la performance.

5

On verra par la suite ce que contient chaque zone à part. Ici dans ce schéma on zoom sur l'une des 4

zones pour voir de prêt son architecture.

Zoom sur une zone :

Figure3 : Zoom sur l’architecture d’un site.

Dans chacune des 4 zones, les votants s'authentifient à partir de leurs postes en passant par le

réseau Internet via des routeurs, au site web qui permet le vote électronique, les votants n'ont

accès qu'à la zone DMZ «zone démilitarisé» représentant une 'zone' contenant des applications

qu'on a jugé publics et accessibles par les votants telle que (l'authentification, le vote).Sur le

schémas on représenté un Client (VPN), qui fait partie de l'équipe ayant le droit de consulter le

déroulement du vote, ou à titre d'exemple avoir une idée sur le nombre de votants...etc.

La zone DMZ contient les équipements suivant:

a. Un serveur d'authentification: qui est un moyen de sécurité permettant de filtrer (selon le

couple: login/Password), l’accès au servie de vote électronique.

6

b. Un serveur Web: contenant l'application (le site web), permettant de choisir la région (le

votant est directement redirigé vers la zone qui correspond à son emplacement via le

serveur DNS), l'authentification, et le vote.

c. Serveur d'annuaire: regroupant les informations sur l'ensemble des votants./

Le cadre bleu contenant l'ensemble de serveurs:

a. Serveur de vote: ne garde pas les traces de ceux qui ont déjà voté (ces traces seront

stockées sur le serveur d'émargement).

b. Serveur de sauvegarde: qui va servir à dupliquer et à mettre en sécurité les données

contenues dans le serveur de stockage en réseau (NAS: Network Attached Storage).

De cette manière on aura toujours un backup des données de vote pendant toute sa durée.

Le firewall isole la zone DMZ de la zone contenant les différents serveurs !

Figure4 : Synchronisation des données entre les différentes zones.

Pour des raisons de sécurité nous avons envisagé une mise à jour synchrone des données stockées

dans les serveurs de stockage, ce qui nous permettra d’éviter, à titre d’exemple, qu’un utilisateur

vote plusieurs fois, si jamais il change sa position géographique (d’une zone à une autre).

Cette mise à jour fera en sorte d’avoir les mêmes données, d’une manière synchrone, dans les

quatre zones en question.

7

II. le principe de fonctionnement du mécanisme de sécurité associé

1) sécurisation des postes de travail y compris des nomades :

Les nomades doivent faire l'objet d'un traitement séparé au sein du SI. La politique de sécurité doit prévoir les mesures qui leur sont spécifiques.

Risque : Quels que soient les dispositifs de sécurité utilisés pour authentifier un poste nomade à distance, ces dispositifs peuvent faillir car le poste nomade est moins protégé. Par exemple, les secrets utilisés par le client nomade pour se connecter peuvent être dérobés et exploités par un clone frauduleux de ce client. Il faut donc toujours distinguer l'accès nomade d'un accès interne : seules des données exportables vers les clients nomades doivent être accessibles au niveau du serveur, placé dans un segment d'interface (DMZ) et dédié à ces accès.

Même lorsqu'ils sont utilisés au sein de l'organisme, les postes nomades doivent continuer à accéder aux informations internes via leur accès distant. Dans le cas contraire, ces postes pourraient devenir des vecteurs d'attaque interne par cheval de Troie.

La bonne configuration et le maintien à jour de son poste de travail sont la meilleure défense contre les menaces externes.

Remarque Dans le cas d'un poste nomade, cette politique est souvent à appliquer par l'utilisateur, car le poste n'appartient pas au réseau d'infrastructure.

2) Mécanismes de TLS :

Transport Layer Security (TLS), anciennement nommé Secure Socket Layer (SSL), est un protocole de sécurisation des échanges sur Internet. Il utilise 2 éléments dans sa communication : - la clef privée - le certificat. Le certificat contient les informations sur le certificat (autorité de certification / propriétaire / algo / validité), la clef publique liée au certificat et la signature du certificat (hash de la clef et des informations signé par la clef privée de l'autorité).

8

Figure5 : Mécanismes de TLS.

3) Mécanismes de Signature électronique et scellement des données :

Signature électronique est un procédé permettant de garantir l'authenticité de l'expéditeur et

de vérifier l'intégrité du message reçu.

La signature électronique assure également une fonction de non-répudiation, c'est-à-dire qu'elle permet d'assurer que l'expéditeur a bien envoyé le message.

L'utilisation d'une fonction de hachage permet de vérifier que l'empreinte correspond bien au message reçu, mais rien ne prouve que le message a bien été envoyé par celui que l'on croit être

l'expéditeur.

9

Ainsi, pour garantir l'authentification du message, il suffit à l'expéditeur de chiffrer (on dit généralement signer) le condensé à l'aide de sa clé privée (le haché signé est appelé sceau) et

d'envoyer le sceau au destinataire

Figure6 : Mécanismes de signature eléctronique et scellement des données .

On va utiliser ce mécanisme pour vérifier l’intégrité des données (Listes électorales) envoyées par le ministère, et aussi pour transmettre les résultats de vote de la CCI centrale.

10

4) Mécanisme d’Authentification au serveur CAS

Le principe d'authentification est le suivant : Les données d’authentifications (Identifiant/Mot de passe) personnalisés pour les votants, seront transmis à ces derniers via des courriers postaux, et lors de l’authentification, un code de validation sera envoyé par téléphone.

Figure7 : mécanisme d’authenfication au serveur web

1. Un internaute accède à une ressource web.

2. Le navigateur est redirigé vers le serveur cas

3. Le serveur envoie le formulaire d'authentification

4. Réponse de l'internaute.

5. Le serveur vérifie le couple compte / mot de passe.

6. Le serveur CAS crée un cookie de session (TGC) et redirige le navigateur vers la ressource

web avec un Service Ticket (ST) à utilisation unique

7. L'application valide le ST en contactant directement le serveur cas qui retourne

l'identifiant de la personne.

8. L'internaute accède à la ressource demandée

CAS : est un système d'authentification unique : on s'authentifie sur un site Web, et on est alors

authentifié sur tous les sites Web qui utilisent le même serveur CAS. Il évite de s'authentifier à

chaque fois qu'on accède à une application en mettant en place un système de ticket.

11

5) Mécanisme d’Authentification des votants au serveur web

6) Mécanisme d’intra-connexion des sites (VPN)

Figure8 : Mécanisme d’intra-connexion des sites (VPN)

Le VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en œuvre des

équipements terminaux .Le VPN vise à apporter certains éléments essentiels dans la transmission

de données : l'authentification (et donc l'identification) des interlocuteurs, la confidentialité des

données (le chiffrement vise à les rendre inutilisables par quelqu'un d'autre que le destinataire).

12

On va utiliser les deux protocoles de tunnelisation.

L2TP (Layer Two Tunneling Protocol) Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.

IPsec est un protocole de niveau 3, permettant de transporter des données chiffrées pour les

réseaux IP.

Authentification VPN

Figure9 : Authentification VPN.

13

7) Mécanisme d’interconnexion de site (DMZ)

Figure10 : Mécanisme d’interconnexion de site (DMZ).

La zone démilitarisée est un sous-réseau séparé du réseau local et isolé de celui-ci et d'Internet par

un pare-feu. Ce sous-réseau contient les machines étant susceptibles d'être accédées depuis

Internet.

Le pare-feu bloquera donc les accès au réseau local pour garantir sa sécurité. Et les services

susceptibles d'être accédés depuis Internet seront situés en DMZ.

En cas de compromission d'un des services dans la DMZ, le pirate n'aura accès qu'aux machines de

la DMZ et non au réseau local.

14

8) Mécanisme d’Authentification des Administrateurs

Le schéma suivant présente le processus d’authentification d’un administrateur du système afin d’effectuer des modifications au niveau des différents serveurs.

Figure11 : Mécanisme d’authentification des administrateurs.

Une fois une connexion sécurisée quelconque (SSL) établie entre l’administrateur et le serveur, le protocole d'authentification mutuelle commence :

1. Après avoir demandé à l'utilisateur d'entrer son nom d'utilisateur et son mot de passe dans

des champs correspondants, le client envoie son nom d'utilisateur au serveur, ainsi qu'une

valeur aléatoire qui fait office de challenge.

2. Ce dernier ressort de sa base client le hash du mot de passe, et encrypte le challenge avec ce

hash. Il envoie au client le résultat de cette encryption ainsi qu'une autre valeur aléatoire,

15

qui est le challange du client.

3. Le client décrypte la réponse du serveur et le compare avec la valeur envoyée. Si les 2

concordent, le client est alors sûr de parler au bon serveur et peut donc encrypter le

challenge du serveur avec le hash de son mot de passe et retourner le tout au serveur.

4. Le serveur reçoit le hash du client, et le compare avec la valeur de sa base client. Si les 2

correspondent, le client est alors identifié sûrement.

9) Modes de fonctionnement dégradés qui garantissent la disponibilité globale du

système

La disponibilité est aujourd'hui un enjeu important des infrastructures informatiques, et encore plus dans un système critique tel que le vote électronique. Pour notre système nous allons mettre en place les mécanismes suivants pour garantir sa haute disponibilité :

Redondance des matériels : La mise en place d'une infrastructure matérielle dédiée,

généralement en se basant sur de la redondance matérielle, donc on trouvera la même

infrastructure dans chacune des 4 zones, ce qui nous garantira la disponibilité de notre

système en permanence même dans le pire des cas où 3 zones sont en pannes.

Sauvegarde & Backup : chacune des 4 zones possède un serveur de sauvegarde dans le lequel on

sauvegarde l’ensemble des données des 4 sites (zones).

10) Mécanisme de protection locale des données

Le serveur NAS a pour vocation d'être accessible depuis les serveurs à travers le réseau pour y stocker des données. La gestion centralisée sous forme de fichiers a plusieurs avantages :

Figure12 : Mécanisme de protection locale des données.

16

faciliter la gestion des sauvegardes des données d'un réseau ;

prix intéressant des disques de grande capacité par rapport à l'achat de disques en grand nombre sur chaque serveur du réseau ;

accès par plusieurs postes clients aux mêmes données stockées sur le NAS ;

réduction du temps d'administration des postes clients en gestion d'espace disques.

RAID 5 : volume agrégé par bandes à parité répartie

Le RAID 5 combine la méthode du volume agrégé par bandes (striping) à une parité répartie. Il

s'agit là d'un ensemble à redondance. La parité, qui est incluse avec chaque écriture se retrouve

répartie circulairement sur les différents disques. Chaque bande est donc constituée de blocs de

données et d'un bloc de parité. Ainsi, en cas de défaillance de l'un des disques de la grappe, pour

chaque bande il manquera soit un bloc de données soit le bloc de parité. Si c'est le bloc de parité, ce

n'est pas grave, car aucune donnée ne manque. Si c'est un bloc de données, on peut calculer son

contenu à partir des autres blocs de données et du bloc de parité. L'intégrité des données de

chaque bande est préservée. Donc non seulement la grappe est toujours en état de fonctionner,

mais il est de plus possible de reconstruire le disque une fois échangé à partir des données et des

informations de parité contenues sur les autres disques.

Figure13 : schéma d’un Raid5.

17

11) gestion de la sécurité avec service d’archivage, service de répartition de charge

et service d’horodatage

L’architecture générale adoptée pour ce système de vote électronique est répartie, mais pour la récupération des résultats du vote, la gestion d’horodatage, et l’archivage des données , on met en place une CCI centrale dans laquelle s’effectue le traitement de ces opérations.

Figure14 : L’interconnexion entre la CCI centrale avec les 4 zones.

18

12) sécurisation et garanti de bon acheminement des Listes Electorales (LE) &

Bulletins de Vote (BV) et les résultats de Vote (RV).

Le schéma suivant décrit le mécanisme d’acheminement des listes électorales, dès leur réception du ministère de commerce, après le passage par le mécanisme de scellement des données décrit précédemment.

Figure15 : Acheminement des listes eléctorales.

19

13) Le déroulement du vote

1) le SV (Serveur de vote) crée paires de clés publique /privée . 2) le SE (Serveur émargement) récupère toutes les clés de SV (des votants).

3) le SV récupère clé publique de l’SD (serveur de dépouillement).

4) le SV(Serveur de vote) crée une clé secrète pour le bulletin de vote. 5) le SV hache le bulletin de vote 6) le SV fait le brouillage du bulletin de vote.

7) le SV crée aussi une signature du bulletin brouillé avec sa clé privée . 8) le SV envoie bulletin + signature au SE.

9) le SE vérifie la signature du SV avec la clé publique correspondante. 10)le SE marque le votant comme ayant voté ou réfuse son vote s’il a déjà voté. 11)le SE signe en aveugle le bulletin brouillé

20

12)le SE renvoie le bulletin signé au SV.

13)SV dé-brouille le bulletin.

14)SV chiffre le bulletin de vote avec la clé secrète . 15)SV envoie au SD(serveur de dépouillement). le bulletin de vote haché et signé, ainsi que le

bulletin de vote chiffré. 16)SD(serveur de dépouillement). vérifie la signature du bulletin haché et place le bulletin

crypté dans la liste des votes à compter. 17)SD renvoie le bulletin haché, signé par l’SD même. 18)SV vérifie signature de l’SD, la garde comme accusé de réception, et renvoie sa clé

secrète à l’SD.

19)SD décrypte les bulletins avec les clés secrètes reçues et fait les décomptes.