Diplôme d'etudes Approfondies Réseaux de télécommunications

Transcription

1 UNIVERSITE LIBANAISE (Faculté de Génie) UNIVERSITE SAINT-JOSEPH (Faculté d'ingénierie) Sous l'égide de l'agence Universitaire de la Francophonie AUF Diplôme d'etudes Approfondies Réseaux de télécommunications Analyse, définition et conception d une solution de sécurité de la voix Par Nathalie Boulos Encadré par : M. Nicolas Rouhana Soutenance le 23 Décembre 2003 devant le jury composé de MM. Samir Tohmé Mohamad Zoaeter Wajdi Najem Imad Mougharbel Nicolas Rouhana Mahmoud Doughan Maroun Chamoun Président Membre Membre Membre Membre Membre Membre

2 Remerciements Je remercie chaleureusement M. Nicolas Rouhana et Mlle Carole Bassil pour l aide qu ils m ont apportée. C est grâce à leurs qualités professionnelles, à leur patience, à leur encouragement et à l efficacité de leur collaboration que le succès de ce mémoire est assuré. Nathalie Boulos - 2 -

3 Sommaire Sujet 5 Introduction 7 La voix sur IP 7 Critères de sécurité 7 Travail effectué 8 I. Bluetooth A. Bluetooth technologie Historique La technologie Bluetooth Bluetooth architecture protocolaire Transmission de voix et données Format d un paquet Bluetooth 14 B. Bluetooth sécurité Gestion des clés Chiffrement dans Bluetooth Algorithme E Authentification dans Bluetooth Algorithme E Problèmes de sécurité 22 C. Performance de la voix sur ACL Introduction Simulation Expérimentation Conclusion 28 D. Synthèse 28 II. GSM A. GSM architecture 29 B. GSM sécurité authentification GSM Chiffrement GSM 32 C. Synthèse 33 III. Wireless LAN A architecture 34 B sécurité Wired Equivalent Protocol 36 a. chiffrement WEP 36 b. authentification WEP 38 c. conclusion L authentification 802.1X 39 Extensible Authentication Protocol (EAP) Le standard i 43 a. WiFi Protected Access 44 b. Robust Security Network 44 c. Advanced Encryption Standard 44 C. Voix sur e

4 2. Simulation de la voix sur WLAN 49 D. Synthèse 52 IV. IPsec A. Le protocole IPsec Authentication Header (AH) Encapsulating Security Payload (ESP) Internet Key Exchange (IKE) synthèse 60 B. La voix sur IP 1. voix sur IP et Bande Passante voix sur IPsec 63 C. Synthèse 64 V. Real Time Protocol 68 A. Le protocole RTP RTP RTCP Taille d un paquet RTP 72 B. Le protocole SRTP 72 VI. Synthèse globale 77 A. Tableau comparatif 77 B. Conception d une solution de sécurité de la voix Le service d authentification Le service de chiffrement 84 Références

5 Sujet : Analyse, définition et conception d une solution de sécurité de la voix. Depuis l invention du premier téléphone par Alexandre Graham Bell en 1869, la téléphonie n a cessé d évoluer : de la commutation de circuit à la commutation par paquet, pour passer ensuite à la voix sur IP, au GSM, à la voix sur IP sur réseau mobile. Plusieurs architectures ont été crées où la voix est combinée aux données et à l imagerie. Un seul réseau est utilisé pour le transport de la voix et des données. De nouvelles architectures émergent : l architecture H.323 qui regroupe une diversité de protocoles nécessaires à la voix, aux données et à l imagerie, à la signalisation et au contrôle. Le partage des ressources entre ces différentes composantes du réseau implique l application de plusieurs protocoles pour gérer la bande passante tout en assurant une qualité de service appropriée à chaque service offert. L application de ces protocoles implique un temps de traitement énorme dont l impact est néfaste à la qualité de la voix, puisque cette dernière est sensible aux délais. La nature de ces réseaux ouverts a un impact sur la voix en terme de sécurité. D où le besoin imminent de sécuriser la voix tout en assurant une bonne qualité de service à la voix et aux donnés aussi bien dans un réseau fixe que dans un réseau mobile. Des solutions de sécurisation sont proposées pour les données. Mais des solutions partielles voir incomplètes sont proposées pour la voix. Nous proposons ce qui suit : 0- Etudier les solutions proposés pour les données 1- Analyse des différentes architectures utilisées pour la voix que ce soit pour un réseau fixe ou un réseau mobile 2- Problématique de la sécurité de la voix : a. Au niveau du réseau fixe b. Au niveau du réseau mobile Faut-il sécuriser la voix de bout en bout (niveau applicatif) ou il suffit de sécuriser au niveau des couches basses du réseau entre deux nœuds du réseau. 3- Analyse des protocoles utilisés pour la sécurité de la voix sur les différentes paltformes. Etudier l impact des protocoles associés (protocole de signalisation), leur temps de traitement sur la voix

6 Est-ce que les protocoles existants répondent aux exigences de la voix et sa sécurité? 4- Trouver une solution pour la sécurité de la voix, voir définir un nouveau protocole

7 Introduction La voix sur IP L Internet est le réseau le plus déployé à travers le monde actuellement. Beaucoup d équipements de communication supportent déjà le protocole TCP/IP pour se connecter à l Internet, comme les téléphones portables et les nouveaux PDA. La mobilité de l utilisateur devient de plus en plus indispensable, et la convergence de différents services comme les données et le multimédia, font augmenter la complexité des technologies actuelles. Tout le monde veut faire de la téléphonie, de la vidéoconférence, et du transfert de fichiers à partir du même poste, en utilisant le même réseau. C est ce qui devient la tendance de l Internet actuel, la convergence des services. Mais chaque type de service a des contraintes différentes. Par exemple le trafic de données par paquets est de type «Bursty». Les paquets peuvent avoir des longueurs variables engendrant des délais élastiques pendant leur transfert. Alors que le trafic de voix a des contraintes en termes de délai. S il est mélangé avec le trafic de données sans avoir une priorité sur celui-ci, les contraintes ne seront pas respectées et la qualité de réception sera médiocre. Ceci impose l implémentation des techniques de Qualité de Service sur le réseau pour assurer un compromis de performances. Le sujet des performances et de la qualité de service est un sujet à part, et ne fait pas l objet de cette étude. Et puisque l Internet est un réseau ouvert au grand public, ceci incite les attaques et l écoute de ce qui transite sur le réseau. D où s impose l utilisation de mécanismes de sécurité pour protéger les flux contre les attaques malintentionnées. Critères de la sécurité La sécurité devient de plus en plus importante dans le domaine des réseaux quelle que soit leur nature, mais surtout dans les réseaux sans fils dits Wireless. La sécurité dépendra du niveau demandé par l utilisateur, et la sensibilité des données en question. Des applications requièrent parfois un niveau élevé de sécurité, et d autres aucun niveau de sécurité. Ces niveaux de sécurité requis par des applications sensibles sont classifiés selon les critères listés ci-dessous : 1. Confidentialité des données: pour protéger les données transmises entre différents nœuds du réseau. La confidentialité existe uniquement en combinaison avec une authentification et un chiffrement appropriés

8 2. Authentification : vérification de l identité des entités communicantes, pour la prévention de l intervention d autres entités. 3. Intégrité : comme dans la confidentialité, les données circulant sur le réseau doivent être altérées uniquement par la source ou par des entités autorisées. Un processus de vérification de l intégrité du message transmis doit être mis en place. Ce processus est réalisé par une fonction de hachage. 4. Contrôle d accès : les services présents sur le réseau doivent être accessibles par des nœuds autorisés du réseau. 5. Non-répudiation : garantie que l origine d un message ne peut pas nier d avoir envoyé ce message. 6. Non-rejeu : le récepteur doit recevoir les données une seule fois afin d éviter l intervention d un troisième parti ayant pour rôle de dupliquer puis renvoyer les données modifiées. Travail effectué Tout d abord, les technologies suivantes ont été développées, avec leurs apports en termes de sécurité, et une idée brève de l impacte de la sécurité sur les performances de la voix. La Technologie Bluetooth est une technologie wireless. Elle est par nature conçue pour transporter un trafic de voix et multimédia, et a ses propres algorithmes de sécurité et assure les services d authentification et de chiffrement sans ajouter des entêtes aux paquets à envoyer. Elle est détaillée dans la première partie de ce document. Les réseaux GSM sont utilisés principalement pour la téléphonie. L accès au lien radio étant accessible au grand public engendre la nécessité d implémenter de la sécurité. Aussi, le besoin d authentification de l utilisateur auprès de l opérateur s impose. L aspect sécurité du réseau GSM est développé dans la deuxième partie de ce document. L utilisation des réseaux Wireless LAN devient de plus en plus demandée. Et le fait de pouvoir y intégrer plusieurs services, y compris celui de la téléphonie sur IP, le rend de plus en plus convoité. Pourtant les réseaux sont initialement conçus pour le transfert des données, l aspect sécurité de ces réseaux est développé dans la troisième partie de ce document. La quatrième partie présente l impact du protocole IP sur le transport du trafic de voix à contraintes temps réel, ainsi que les services de sécurité d IPsec et leur impact sur la voix. Le protocole RTP spécialement conçu pour le trafic de voix est présenté avec son profil sécurisé SRTP dans la cinquième partie

9 Enfin, la synthèse de toute cette étude a résulté en un tableau comparatif des différents mécanismes de sécurité de chacune de ces technologies, et une conception de sécurité de la voix sur IP indépendante des technologies utilisées

10 I. Bluetooth A. Bluetooth Technologie 1. Historique Durant les années précédentes, les données furent transférées sur des mediums différents assurant l interconnexion d applications et d équipements. Il est évident qu un des problèmes de connexion de base est la connexion physique entre les équipements. La technologie Bluetooth introduit la possibilité de communication sans fils entre plusieurs équipements. Bluetooth est développée par Bluetooth Special Interest Group (SIG) en En 1994, Ericsson a investi dans la recherche pour découvrir une technologie à prix et consommation en ressources électriques assez bas, entre les téléphones portables et leurs accessoires. Plusieurs compagnies furent alors intéressées par Bluetooth, elles formèrent avec Ericsson le group SIG. 2. la technologie Bluetooth La technologie Bluetooth est conçue pour être à bas prix et basse consommation en courant, et permettre la communication entre équipements sans se soucier du câblage, c.à.d. le médium est l interface Air (Radio). C est une technologie robuste et efficace. Trois classes d équipements existent actuellement (classement par consommation électrique) : 1. classe 1 : équipements ayant une puissance de transmission allant jusqu à 100mW et ayant une portée de 100 mètres 2. classe 2 : équipement ayant 1-2.5mW de puissance de transmission et une portée de 10m 3. class 3 : 1mW de puissance et une portée de 1-10m respectivement Le standard Bluetooth spécifie l opération sur la bande de fréquences de 2.45GHz. et supporte des débits allant jusqu à 720kbps Bluetooth a deux types d architectures de réseaux fonctionnant selon l architecture maître/esclave (master/slave) : piconet étant le réseau le plus simple constitué d un seul maître et de un ou plusieurs esclaves (voir figure 1 suivante). Donc il support 2 à 8 équipements actifs dont un seul est le maître. scatternet tant l ensemble de plusieurs piconets interconnectés (voir figure 2 suivante) Chaque équipement peut participer à un ou plusieurs piconets (3 au maximum) soit comme esclave ou comme maître dans un piconet et esclave dans l autre

11 Figure 1 : Exemple d un Piconet Figure 2 : Exemple d un scatternet (composé de 3 piconets) 3. Bluetooth architecture protocolaire L architecture protocolaire générale de Bluetooth est représentée à la figure suivante. Un profil définit quelle partie des couches protocolaires est chargée dans un équipement pour effectuer une communication avec un autre, selon le type de service qu il utilisera. Figure 3 : architecture protocolaire Bluetooth

12 Les significations des différentes couches sont regroupées dans le tableau suivant : Link Manager Pour authentification et gestion du piconet : configuration et établissement du lien de communication HCI Host Controller Interface L2CAP Link Layer Control and Adaptation Protocol: segmentation et réassemblage + qualité de service RFCOMM Protocole de transport pour émulation de port série (pour connexions d imprimantes et d ordinateurs portables) TCS Telephony Control protocol Specification : pour le contrôle d appels et la signalisation SDP Service Discovery Protocol : pour que l application voit les services proposés par Bluetooth OBEX Object Exchange protocol 4. Transmission de voix et données Pour éviter les interférences dues à d autres signaux, Bluetooth utilise la technique de saut de fréquences avec étalement de spectre (Frequency Hpooing Spread Spectrum) décrite à la figure 4 suivante. Nous n allons pas rentrer dans les détails de cette technologie, mais juste citer que l information, quelle que soit sa nature (temps réel ou données), est transmise sur des intervalles de temps (time slots) sautant en fréquence pour minimiser l influence des interférences

13 Figure 4 : technique de saut de fréquences L accès au médium est contrôlé par la station maître. C est le rôle principale de cette dernière : synchroniser et distribuer l accès au medium entre les nœuds d un même piconet. Chaque intervalle de temps a une durée de 625µs et peut contenir un paquet Bluetooth. La taille des paquets peut varier. Chaque paquet peut occuper soit 1, 3 ou 5 intervalles de temps. Deux types de liens utilisés dans Bluetooth sont représentés dans le tableau suivant : Synchrones SCO Asynchrones ACL Synchronous Connection Oriented Asynchronous Connection Less 64kbps chacune Asymétrique (57.6kbps 723kbps) Symétrique (432.6kbps) Les liens SCO forment une émulation de circuit pour le transport d information à contraintes temps réel, typiquement pour le transport de la voix. Le maître peut effectuer jusqu à 3 connexions avec le même esclave. Chaque esclave peut supporter 3 liens SCO en provenance du même maître, mais 2 SCO simultanés provenant de maîtres différents. Les liens ACL ferment une commutation de paquets entre les entités Bluetooth. Dans un piconet, un seul lien ACL peut exister entre un maître et un esclave. Chaque paquet circulant sur un lien ACL peut être mis sur 1, 3 ou 5 intervalles de temps. Types de poayload : DV (Données + voix ) DMx Data Medium de type ACL avec correction d erreurs, avec x le nombre de slots occupés DHx Data High de type ACL mais sans correction d erreurs. Ceci permet un débit effectif plus grand

14 HVy High quality Voice de type SCO avec y déterminant le type de contrôle d erreurs: Y=1 FEC 1/3 Y=2 FEC 2/3 Y=3 pas de FEC 5. Format d un paquet Bluetooth Toute information transitant dans un piconet entre un maître et un esclave est sous la forme de paquets. Le format d un paquet Bluetooth est le suivant : Figure 5 : Format du paquet Bluetooth Figure 6 : champs de l entête Bluetooth Les différents champs du paquet Bluetooth sont illustrés dans le tableau suivant : Access Code Header Payload 68/72 bits 54 bits bits Dérivé de l adresse bluetooth du maître (BD_ADDR) pour identifier un canal physique AM_ADDR active member Address TYPE type de paquet et le nombre de slots qu il occupe FLOW Contrôle de flux des paquets sur le lien asynchrone ARQN Numéro d acquittement SEQN Numéro de séquence HEC Header Error Check: correction d erreur de l entête. Données utiles

15 B. Bluetooth Sécurité Trois niveaux de sécurité sont définis dans Bluetooth : sans sécurité authentification et confidentialité au choix authentification et confidentialité obligatoires La spécification Bluetooth définit trois modes de sécurité : 1. mode non sécurisé 2. sécurité niveau service : mise en place après l établissement de la communication 3. sécurité niveau lien : établie avant l établissement du canal Remarque : Dans Bluetooth, les équipements sont authentifiés et non les utilisateurs donc on ne peut pas appliquer la non répudiation. Dans chaque équipement Bluetooth, quatre entités existent pour maintenir la sécurité au niveau lien : - l adresse Bluetooth (BD_ADDR) codée sur 48 bits, et unique pour chaque équipement Bluetooth et définie par l IEEE (Institute of Electrical and Electronics Engineers) - la clé d authentification qui est un nombre aléatoire de 128 bits, utilisée pour l authentification. - la clé de chiffrement privée de 8 à 128 bits utilisée dans le chiffrement - un nombre aléatoire RAND généré par l équipement Bluetooth lui-même. Sa longueur est de 128 bits et sa valeur change fréquemment Dans un profil générique d accès Bluetooth, la sécurité est divisée en trois modes : 1. mode non-sécurisé 2. mode de sécurité renforcé niveau service 3. mode de sécurité renforcé niveau lien La différence entre les modes 2 et 3 est que dans le mode 3, l équipement Bluetooth commence les procédures de sécurité avant l établissement du canal. Sécurité niveau liaison Comme toute forme de réseau sans fil, les signaux Bluetooth peuvent être interceptés. Les données interceptées peuvent être alors falsifiées. La spécification Bluetooth définit deux modes de sécurité niveau liaison : a- Saut de fréquence sur la bande de 2.4GHz. Tous les participants d un même piconet sautent ensemble sur les mêmes fréquences b- authentification avec lancement d un défi et réception d une réponse 1. Gestion des clés Toutes les transactions sécurisées entre deux ou plusieurs partis sont prises en charge par la clé de lien (ou link key). Cette dernière est un nombre aléatoire de 128 bits. Elle

16 est utilisée dans la procédure d authentification et pour la dérivation de la clé de chiffrement. La durée de vie de la clé de lien dépend de son type temporaire ou semi permanente : - une clé semi permanente peut être utilisée après la terminaison de la session courante pour l authentification des équipements communicants - la clé temporaire dure seulement jusqu à ce que la session courante soit terminée, et ne peut pas être réutilisée. Un usage commun de cette clé est dans les sessions point à multipoint où la même information est transmise à plusieurs récipients. Différents types de clés sont définis dans Bluetooth. Les «link keys» peuvent être : - combination keys - unit keys - master keys - initialisation keys et ce, selon le type d application. En plus des clés «link keys», vient s ajouter la clé de chiffrement. Génération des clés : 1. unit key est générée dans un équipement lors de son installation 2. combination key générée à partir d information collectée de deux équipements Bluetooth. Elle est générée entre deux équipements désirant communiquer. 3. master key est une clé temporaire destinée à remplacer la clé «link key» courante. Elle peut être utilisée lorsque l équipement maître veut transmettre à plusieurs esclaves

17 4. initialisatio key est utilisée comme clé de lien durant la procédure d initialisation quand il n y a pas encore de clé unit ou combination. Elle est utilisée uniquement durant l installation Note : La longueur du code PIN (Personal Identification Number) utilisé dans les équipements Bluetooth peut varier de 1 à 16 octets. Le code de 4 digits peu être suffisant pour quelques types d applications, mais d autres applications ayant besoin d une sécurité plus renforcée peuvent utiliser des PIN plus longs. Figure 8 : Algorithme E22 générant les clés master et d initialisation a. initialization key elle est utilisée quand deux équipements ont besoin d initier une communication. Durant la procédure d initialisation, le code PIN est entré par l utilisateur dans les deux équipements. La clé d initialisation elle est générée par l algorithme E22 qui lui utilise le code PIN, d adresse Bluetooth de l équipement désirant communiquer, et un nombre aléatoire de 128 bits généré par l équipement comme données d entrée pour l algorithme E22. La clé d initialisation résultante est utilisée pour l échange de clés durant la génération de la clé de lien. Après l échange de clés, la clé d initialisation est rejetée

18 b. unit key Figure 9 : Algorithme E21 pour la generation des clés unit et combination La clé unit est générée par l algorithme E21 lorsqu un équipement Bluetooth rentre en opération pour la première fois. Après sa création, elle est enregistrée dans une mémoire non volatile dans l équipement et n est modifiée que rarement. Un autre équipement peut utiliser la clé unit d un autre comme clé de lien. c. combination key La clé combination est générée durant le processus d initialisation si les équipements ont décidé de l utiliser. Elle est générée par les deux partis en même temps. En premier temps, les deux unités génèrent un nombre aléatoire. Avec l algorithme de génération de clés E21, les deux équipements génèrent une clé, et combinent le nombre aléatoire avec leur BD_ADDR. Suite à cela, les équipements échangent de façon sécurisée leurs nombres aléatoires et calculent la clé de combinaison qui sera utilisée entre eux. d. Master key La clé master est la seule clé temporaire entre les clés de lien décrites ci-dessus. Elle est générée par l équipement maître en utilisant l algorithme E22 avec deux nombres aléatoires de 128 bits. Toutes les clés de lien ont une longueur de 128 bits, la sortie de l algorithme E22 est aussi de 128 bits. Un troisième nombre aléatoire est transmis à l esclave et avec l algorithme et la clé de lien courante, un résultat est calculé par le maître et l esclave. Le maître effectue alors l opération OU-exclusif sur la clé master et le résultat retourné précédemment et l envoie à l esclave qui lui calcule la master key. Cette procédure doit être répétée entre chaque deux équipements maître/esclave désirant communiquer en utilisant la master key

19 e. clé de chiffrement ou encryption key Figure 10 : Algorithme E3 pour génération de la clé de chiffrement La clé de chiffrement est générée à partir de la clé de lien courante, et un nombre de 96-bits, le COF (Cyphering Offset Number), qui lui est généré par la procédure d authentification. Quand le Link Manager active le chiffrement, la clé de chiffrement est générée. Elle est changée automatiquement à chaque fois que l équipement Bluetooth rentre dans le mode chiffrement. 2. Chiffrement dans Bluetooth Algorithme E0 Le système de chiffrement dans Bluetooth chiffre les données utiles (payload seulement) et non n ensemble des paquets. Ceci est fait par l algorithme de chiffrement E0 qui est re-synchronisé avec chaque bloc de données utiles. Le schéma logique de l algorithme E0 est décrit dans la figure suivante

20 Figure 11 : La procédure de chiffrement Plusieurs modes de chiffrement sont envisageables, dépendamment de l utilisation de clés semi permanentes ou de la master key. Si la clé unit ou combination est utilisée, le trafic de type broadcast ou diffusion n est pas chiffré. Le trafic adressé à une ou plusieurs stations pourrait éventuellement être chiffré. Si la clé master est utilisée, 3 modes possibles existent : - Mode de chiffrement 1 : rien n est chiffré - Mode de chiffrement 2 : le trafic de diffusion n est pas chiffré mais le trafic adressé est chiffré avec la clé master - Mode de chiffrement 3 : tout le trafic est chiffré avec la clé master Comme la taille de la clé de chiffrement varie de 8 à 128 bits, cette taille doit être négociée entre deux équipements désirant communiquer. Dans chacun d eux, il y a un paramètre définissant la taille maximale permise pour une clé. Durant la négociation de la taille des clés, le maître envoie à l esclave la taille qu il suggère pour la clé de chiffrement. L esclave à son tour peut accepter la taille suggérée et envoyer un acquittement positif, ou bien suggérer une autre taille au maître. Ceci se répète jusqu à ce que les deux partis consentent, ou bien l un deux arrête la négociation. L arrêt de la négociation est décidé au niveau applicatif, et dans ce cas, le chiffrement ne peut pas être appliqué. Ceci est nécessaire pour éviter des situations où un équipement mal intentionné force l utilisation d une clé de chiffrement faible, facilement craquable pour des fins néfastes

21 3. Authentification Algorithme E1 L authentification sous bluetooth utilise la stratégie défi/réponse. Le protocole d authentification utilise une clé symétrique. Alors une authentification réussie est basée sur la même clé possédée par les deux partis. L ACO (Authenticated cyphering Offset) utilisé par l algorithme E3 ci-dessus, est calculé et enregistré dans les deux équipements et est utilisé pour la génération de la clé de chiffrement. Figure 12 : La procédure d authentification Les deux participants utilisent la fonction d authentification E1 avec un nombre aléatoire, l adresse Bluetooth et la clé de lien courante pour calculer la réponse au défi lancé. La réponse est envoyée l autre parti qui à son tour vérifie l identité. L application utilisée indique qui doit être authentifié. Alors l équipement effectuant la vérification n est pas nécessairement le maître. Certaines applications requièrent une authentification dans un seul sens, ainsi un des partis est authentifié uniquement. Ceci n est pas toujours le cas, où parfois les deux partis doivent être authentifiés tour à tour. Si l authentification échoue, un intervalle de temps doit s écouler avant qu un nouvel essai d authentification ne soit fait. Cet intervalle de temps est doublé à chaque fois qu une tentative échoue, à partir d une même adresse, jusqu à ce que le temps d attente maximal soit atteint. Ce temps d attente diminue exponentiellement jusqu à atteindre un minimum lorsque aucune tentative d authentification n échoue durant une période de temps

22 4. Problèmes de sécurité de Bluetooth a. Chiffrement et KeyStream La procédure de chiffrement dans Bluetooth présente plusieurs vulnérabilités. L algorithme de chiffrement E0 avec une clé de 128 bits peut être cassé dans certaines circonstances. Nous n allons pas nous attarder sur la preuve mathématique dans ce document. Toutefois, cette attaque est prise en compte dans la spécification Bluetooth. Pour l exécuter on a besoin d accéder au KeyStream chiffrant chaque paquet. Or le KeyStream a une fréquence de re-synchronisation assez grande de sorte à ce qu un bout de keystream différent est utilisé pour chiffrer chaque trame. Alors la possibilité d attaque devient médiocre. b. Entrer le code PIN Le problème d utilisation d équipements Bluetooth se pose aussi. L utilisation du code PIN dans la procédure d initialisation d un équipement Bluetooth est assez embêtante. Le faite de faire rentrer le code PIN au niveau des deux équipements désirant communiquer est assez ennuyante même si on utilise des codes courts. Or la spécification Bluetooth suggère l utilisation d une clé au niveau applicatif avec des PIN longs (de l ordre de 16 octets). De cette façon le code PIN n a pas besoin d être rentré à chaque connexion, mais sera échangé entre les équipements avec un algorithme de gestion de clés comme Deffie-Hellman. c. la clé d initialisation La génération de la clé d initialisation doit aussi être prise en compte. La force de la clé d initialisation est proportionnelle à la longueur du code PIN. Le générateur E22 de la clé d initialisation dérive la clé du code PIN, la longueur du PIN et un nombre aléatoire qui est transmis sur l interface radio. La sortie de cet algorithme est suspecte, tant que le seul secret est le code PIN. En utilisant un code PIN de 4 digits, possibilités existent seulement, en rajoutant que dans 50% des cas le code PIN est composé de quatre La fiabilité de la clé d initialisation s avère être assez faible. d. la clé unit L authentification et le chiffrement Bluetooth sont basés sur le secret partagé qui est la clé de lien. Toute autre information utilisée dans ces procédures est publique. On suppose que deux équipements A et B utilisent la clé unit de A comme leur link key partagée. En même temps ou un peu plus tard, l équipement C désire communiquer avec A en utilisant la clé unit de A comme link key. Ceci implique que B qui a déjà obtenu la clé unit de A peut l utiliser avec une fausse BD_ADDR

23 pour calculer la clé de chiffrement, et ainsi écouter le trafic transitant sur le lien radio. Il peut aussi s authentifier auprès de A comme étant C, et auprès de C comme étant A. d. l adresse Bluetooth L adresse Bluetooth, qui elle est unique à chaque équipement Bluetooth, introduit un nouveau problème. Une adresse Bluetooth identifiant un équipement identifie aussi son utilisateur. Les transactions effectuées sur le réseau par cette personne peuvent être enregistrées et ceci viole la confidentialité et la privatisation. C. Performances de la voix sur ACL 1. Introduction Deux types de connexions peuvent être établies dans un piconet. - Synchronous Connection Oriented (SCO) ou bien connexions synchrones orientées connexion - Asynchronous connection less (ACL) ou bien asynchrones et non orientées connexion Les liens SCO offrent un service orienté circuit avec bande passante constante et une allocation périodique constante de slots. En contrepartie, les connexions ACL offrent un service paquet. Dans les deux cas, l équipement maître utilise un mécanisme de polling pour diviser la bande passante du piconet entre les liens ACL et SCO. Les liens SCO par leur nature laissent peu de bande passante pour les ACL qui à un certain moment peuvent être à court de bande. Pour cette raison, une tendance à utiliser des liens ACL pour la voix a été développée et des simulations et des expériences ont été faites pour montrer que la qualité de la voix sur ACL n est pas moins bonne que sur SCO. (Référence article «Bluetooth : carrying voice over ACL links» par Rohit Kapoor, Ling-Jyh Chen, Yeng-Zong Lee et Mario Gerla). Les experiences faites dans cet article montrent que la voix est peu affectée par son transit sur des liens ACL au lieu de SCO. La performance de TCP est meilleure sur les liens ACL. Le maître divise la bande passante équitablement entre les esclaves. Et selon les mécanismes de polling d accès au médium contrôlés par le maître, les liens ACL suffisent pour la circulation d une bonne qualité de voix sur IP. Ceci permet l utilisation de façon plus efficace de la bande passante. La voix risque

24 toutefois de se dégrader sur ACL, comparé à SCO, lorsque le trafic augmente. Les expériences suivantes le montrent. 2. Simulation Environnement Soit un piconet avec 7 esclaves. Les esclaves communiquent entre eux deux à deux. Les points source et destination sont choisis aléatoirement. Les sources de voix sont basées sur le modèle ON-OFF. Le codage de la voix est basé sur un échantillonnage de 8kbps et la période de paquétisation est de 20ms. Ce qui résulte en un payload de 20 bytes. La compression d entête existant dans Bluetooth, ceci implique une chaque paquet aura une taille de 30 bytes. La transmission de la voix utilise RTP sur UDP. Résultat et commentaires La figure suivante montre la distribution de délai lorsque le nombre de connexions varie de 5 à 15 dans le piconet. Figure 1 : Distribution du délai de la voix lors de son transport sur ACL On remarque une augmentation de délai de 80 ms environ selon tout le graphe en abscisse. Mais toutefois, le délai restera toujours inférieur à 100ms, ce qui est toujours acceptable pour la voix

25 3. Expérimentation But on veut comparer les délais de ACL par rapport aux différents niveaux de SCO (HV1, HV2 et HV3). Environnement Des paquets de voix de 100 bytes sont codés sur 100ms. Dans ce cas les délais seront supérieurs à ceux de la recommandation Bluetooth. Soit un piconet avec deux esclaves et un maître. Chaque esclave établissant une connexion avec le maître selon des conditions ci-dessus. Résultats Le tableau suivant donne la valeur moyenne du délai pour les différents types de connexions, dans le cas ou on ouvre une seule connexion de voix entre un esclave et le maître : Délai moyen par paquet de voix (ms) SCO (HV1) SCO (HV2) SCO (HV3) ACL On remarque que le délai pour ACL se trouve entre HV2 et HV3. Donc, ACL peut être plus efficace en termes de délai par rapport à SCO et pour la voix. Les figures suivantes montrent la distribution du délai de ACL par rapport aux types de SCO et en fonction de l augmentation du nombre de connexions. 1 er cas : Les deux esclaves effectuent une connexion de voix avec le maître, mail l un d eux sur ACL et l autre sur SCO. Ceci a donné les deux graphes ci-dessous selon le type du lien SCO : HV2 (fig 2 ci-dessous) et HV3 (Fig 3 ci-dessous)

26 Figure 2 : Distribution du délai de la voix pour ACL et SCO HV2 Figure 3 : Distribution du délai de la voix pour ACL et SCO HV3 2 ème cas : Deux esclaves communiquent avec la station maître. Un des esclave effectue une connexion TCP et l autre fait de la voix. L expérience est répétée deux fois : - Une fois avec la voix sur ACL - Une deuxième fois avec la voix sur SCO HV2 (fig 4 suivante) et HV3 (fig 5 suivante)

27 Figure 4 : Distribution du délai de la voix pour ACL et SCO HV2 Figure 5 : Distribution du délai de la voix pour ACL et SCO HV3 Les figures ci-dessus renforcent les résultats du tableau et montrent que les performances en terme de délai de ACL sont meilleures que HV3 mais pire que HV

28 4. Conclusion On peut dire que la voix sur ACL ou bien la voix paquetisée peut bien être utilisé, sauf si le besoin d une qualité impeccable s impose. Donc ACL est un bon choix pour l acheminement de la voix. L utilisation de ACL rend les algorithmes d ordonnancement plus simples. Ceci est aussi un avantage d ACL pour le transport de la voix, mais ce ne sera pas couvert dans ce compte rendu. D. Synthèse Les réseaux Bluetooth sont initialement conçus pour supporter le trafic à contraintes temps réel. Ceci est démontré par la présence de canaux SCO pour le transport de la voix. Nous avons déjà vu que le nombre de connexions entre maître et esclave est limité, selon le type de lien établi. Ainsi, les performances des algorithmes d authentification et de chiffrement (respectivement E1 et E0) ne seront pas affectées et n affecteront pas la qualité de la voix transmise. La voix sur Bluetooth n est pas transportée sur IP. Elle est mise dans des paquets juste au dessus du niveau bande de base. (Voir la figure 1 de l architecture protocolaire au début du document). La signalisation sera transportée par la couche TCS (Telephony Control protocol Specification) sur L2CAP. Les services de sécurité couverts par Bluetooth sont : l authentification des équipements et non des utilisateurs. Ainsi, la non répudiation ne peut pas être implémentée L authentification est assurée par l algorithme E1 décrit dans la partie précédente la confidentialité assurée par l algorithme E0 L algorithme de chiffrement E0 de Bluetooth est câblé. Pour cela, il n y a aucun souci d affectation des performances de la voix. Le chiffrement dans Bluetooth est effectué au dessus de la couche BaseBand. Ainsi, tous les paquets, que ce soit ACL ou SCO, sont chiffrés. Des failles des sécurité existent dans Bluetooth, et sont dues à l algorithme E0 qui peut dans certains cas être craqué. Pour renforcer cela, il suffit de choisir un code PIN plus grand et assez aléatoire

29 II. GSM Global System for Mobile Communication (GSM) est le système de téléphonie mobile le plus populaire dans le monde. Un de ses grands avantages est le roaming international permettant à l utilisateur la mobilité dans 168 pays à travers le monde. A. GSM Architecture L architecture d un réseau GSM est représentée à la figure 1 suivante. L objectif de notre étude n est pas d exposer l architecture GSM, mais la sécurité de la voix qui y est implémentée. Figure 1 : architecture d un réseau GSM Quelques composants d un réseau GSM sont listés dans le tableau suivant : MS BSS MSC OMC VLR/HLR Station mobile Base station subsystem composée de la station de base contenant l antenne d une cellule, et la BSC qui est le contrôleur central à plusieurs BTS Le commutateur central du réseau GSM Station de gestion du réseau Bases de données contenant des informations sur les utilisateurs, dont les triplets qu on verra dans la partie sécurité suivante Entre le téléphone mobile et la BTS, la communication passe sur l interface radio, en utilisant des canaux logiques qui ne sont pas l objet de notre étude

30 Vu la présence de l interface Air (radio), l écoute sur le réseau s avère possible dans le cas qu aucune mesure de sécurité n est prise. L accès au medium dans le réseau GSM est contrôlé par le réseau de l opérateur. Tout comme Bluetooth, une technique de saut de fréquences est adoptée pour protéger le lien radio des interférences dues aux canaux adjacents ou bien à un troisième parti malintentionné. Les accès se font à des instants bien déterminés. Les échantillons de voix codés sur 8 bits sont entrelacés avec d autres et mis dans des slots ou intervalles de temps. Les slots sont acheminés à la MSC qui effectue la commutation vers la destination. Ainsi nous allons nous arrêter sur la sécurité implémentée sur l interface radio du réseau GSM. B. GSM sécurité La sécurité de GSM doit assurer ce qui suit : Confidentialité et anonymat sur le lien radio Authentification forte du client pour protéger l opérateur contre les fraudes (surtout dans le domaine de la tarification) Empêcher la surveillance inter opérateurs pour alléger la pression due à la compétition Les mécanismes de sécurité ne doivent pas ajouter de la lourdeur à l établissement de l appel, ni augmenter l utilisation de la bande passante, ni augmenter le taux d erreurs, ni ajouter de la complexité au système. Chaque équipement mobile GSM a une carte SIM (Subscriber Identity Module). La carte SIM donne à la station mobile une identité unique IMSI (International Mobile Subscriber Identity). La carte SIM est comme une clé sans laquelle la station mobile ne pourra pas fonctionner. Cette carte est capable d enregistrer des numéros de téléphone et des messages courts (SMS) La carte SIM contient aussi de l information relative à la sécurité comme : l algorithme A3 utilisé pour l authentification l algorithme A8 générant la clé de chiffrement la clé d authentification Ki et l identité IMSI La station mobile abrite l algorithme A5 de chiffrement. Le modèle de sécurité de GSM est basé sur un secret partagé entre la base de donnée HLR (Home location Register) de l opérateur de l abonné. Le secret partagé est la clé

31 Ki de 128 bits, utilisée pour générer une réponse SRES au défi RAND envoyé par le MSC. 1. l authentification GSM La MSC lance un défi à la station mobile à authentifier. Ce défi est un nombre aléatoire RAND que la MSC envoie sur l interface radio à la station mobile. Cette dernière, après réception de RAND, le passe à l algorithme A3 (figure 2) avec la clé partagée Ki et génère en sortie une réponse SRES Figure 2 : Algorithme A3 d authentification SRES sera signé et renvoyé à la MSC sur le lien radio. La MSC possède pour chaque utilisateur, dans les bases de données VLR/HLR, un triplet composé de RAND, SRES et la clé Kc de chiffrement (voir figure 4). Suite à cela, la MSC vérifie que SRES reçu par le mobile est bien celui enregistré dans le triplet (voir figure 3 suivante). Figure 3 : procédures d authentification et de chiffrement dans GSM

32 2. le chiffrement GSM A la réception du défi RAND, la carte SIM va le passer à l algorithme A8 qui va générer la clé de chiffrement Kc qui sera utilisée comme clé symétrique pour chiffrer l information transitant dans les deux sens sur le lien radio entre le mobile et le MSC. Figure 5 : Algorithme A8 de génération de la clé de chiffrement Kc La clé Kc va alors alimenter l algorithme A5 pour chiffrer le flux de voix à envoyer sur l interface Air (ou radio). Le déchiffrement se fera aussi avec A5 à l autre bout. Figure 6 : Algorithme de chiffrement/déchiffrement A5 La spécification de l algorithme de chiffrement A5 de GSM 2 ème génération n a jamais été publiée. Ce qui fait qu il existe une version faible de cet algorithme susceptible aux attaques. Les algorithmes A3 et A8 sont dépendants de l opérateur. Chaque opérateur peut acheter une version au group GSM, ou bien de la modifier pour avoir son propre algorithme. Certains utilisent la fonction COMP128 pour remplacer les deux algorithmes A3 et A8 de la carte SIM

33 Figure 7 : Fonction COMP128 remplaçant A3 et A8 chez certains opérateurs La fonction COMP128 comme la figure 7 ci-dessus le montre, a comme entrées les mêmes données que A3 et A8, et la sortie unique est la combinaison de SRES et de la clé Kc de chiffrement. C. Synthèse GSM est un réseau conçu à la base pour la commutation de circuits de voix. Donc les performances sont étudiées pour ne pas affecter la qualité de la voix, surtout que le service GSM est essentiellement un service de voix. Le réseau GSM 2 ème génération n est pas conçu pour faire de la voix sur IP comme le réseau UMTS tout IP qui ne fait pas partie de notre étude. Les algorithmes d authentification et de chiffrement sont câblés dans la carte SIM (A3 et A8) et dans le téléphone mobile lui-même (A5). Ainsi les performances ne seront pas affectées. Les services de sécurité couverts par GSM sont : L authentification de la carte SIM, qui peut être considérée comme authentification de l utilisateur car l opérateur considère que la personne qui a acheté la carte l utilise. Cette authentification est faite vis-à-vis de l opérateur pour la tarification en premier lieu, et de bout en bout afin que l appelé sache qui l appelle s il a l option CLIP (Caller Line ID) Le chiffrement sur le lien radio uniquement, entre l opérateur et la station mobile, car la partie câblée de l opérateur est considérée comme fiable. L authentification vis-à-vis du réseau GSM requiert la présence d un tiers, qui est la base de données contenant le triplet relatif chaque station mobile (ou carte SIM). La carte SIM identifie l utilisateur auprès de l opérateur. Donc dans ce cas on va audelà de l authentification de l équipement qui fut le cas de Bluetooth. Ainsi, la présence d une base de données peut être envisageable pour une nouvelle idée de conception de sécurité de la voix sur IP

34 III. Wireless LAN Actuellement, dans tous les environnements de travail on trouve un réseau Ethernet câblé. Dans ce cas, chaque PC doit être raccordé au réseau avec un câble. Les réseaux dits Wireless ou sans fils offrent les mêmes services mais sans fils. Le raccordement d un PC au réseau se fait à travers un lien radio. Les réseaux WLAN ou Wireless Local Area Network sont standardisés par le groupe IEEE comme ont été standardisés Ethernet ou Token Ring. Le standard WLAN est connu sous le terme IEEE A Architecture Le but de notre étude n est pas l architecture des WLAN, mais le côté sécurité de ceux-ci et surtout l impact de la voix sur Pour cela, un passage rapide sera fait sur le côté architecture de ces réseaux-là. Chaque PC avec sa carte réseau wireless va se connecter au réseau WLAN via un point d accès. Le point d accès est l interface entre l environnement Wireless et le monde câblé. Figure 1 : Accès au Réseau Wireless Les fréquences utilisées sur le lien radio par un réseau WLAN sont : 900MHz, 2.4GHz et 5GHz. L interface radio peut aussi fonctionner sur Infra Rouge, mais l inconvénient devient la couverture qui devient assez étroite (l espace d une chambre puisque les murs sont isolants). Les systèmes WLAN à large bande fonctionnent par étalement de spectre pour éviter les interférences environnantes. Deux formes d étalement de spectre s imposent :

35 FHSS : Frequency Hopping Spread Spectrum DSSS : Direct Sequence Spread Spectrum Le coût d implémentation de FHSS est inférieur mais DSSS peut offrir des débits supérieurs, une largeur de bande supérieure et une capacité intégrée de correction d erreurs. FHSS : La porteuse saute en fréquences en fonction du temps. Chaque équipement est programmé avec un code de saut qui détermine l ordre des fréquences. Pour communiquer correctement, les équipements doivent avoir le même code de saut pour synchronisation. On peut assigner plusieurs codes de sauts à un même WLAN afin d éviter les interférences entre deux sous WLAN. Ainsi, la bande de 2.4GHz est divisée en 75 canaux. Le signal saute sur les canaux selon one séquence gérée par un code pseudo aléatoire détenu par l émetteur et par le récepteur. Il existe 22 séquences prédéfinies. Le récepteur détecte la séquence suivie par l émetteur. Le fait que le signal soit étalé sur plusieurs fréquences minimise le risque d interférences. DSSS : L émetteur ajoute une chip aux paquets à émettre. Le récepteur doit posséder le même chip pour décoder les paquets. Ainsi le signal résultant émis n est pas susceptible aux interférences. Comme la taille du signal étalé augmente après l ajout du chip, DSSS requiert alors plus de bande passante pour fonctionner. La capacité de correction d erreurs élimine les besoins de retransmission. Ainsi, en plus de détails, chaque bit à émettre est multiplié par un chip de 11 bits. Chaque chip est transformé en une sinusoïde et envoyé sur une large bande de fréquences. Le récepteur peut ainsi décoder le chip reçu pour avoir le signal émis. Dans le standard , il existe 64 codes de 8 bits pour étaler le signal. Le standard b Le standard fonctionne sur la bande GHz b utilise uniquement la technique de transmission DSSS. Le débit dans ces réseaux-là peut atteindre 5.5 et 11Mbps. Malgré les avantages des réseaux sans fils, WLAN est vulnérable aux failles de sécurité. Les failles communes dans WLAN sans sécurité sont : l écoute de l information transitante (sniffing) l accès non autorisé au réseau les interférences et le brouillage les pannes physiques

36 Ces failles peuvent être évitées selon la configuration du WLAN : Les systèmes utilisant la technologie d étalement de spectre résistent aux interférences et à l écoute passive des canaux La mise en place d algorithmes de sécurité ou le remaniement du standard peut cependant introduire l authentification et le chiffrement. Ceci sera le sujet de notre étude dans le paragraphe suivant Une bonne formation des utilisateurs est aussi très importante afin de réduire les risques B sécurité Comme les réseaux Wireless dont nous avons étudié l aspect sécurité (Bluetooth et GSM), les réseaux ont une interface radio à sécuriser. 1. Wired Equivalent Protocol (WEP) Comme son nom l indique, il permet de sécuriser le transfert sur l interface radio de façon à avoir l équivalent d un réseau câblé. Son but est d assurer un certain niveau de confidentialité en cryptant le signal à émettre sur le lien radio et de ne pas permettre à des utilisateurs non autorisés d accéder au WLAN. Donc WEP assure confidentialité, intégrité et authentification. a- Chiffrement WEP WEP utilise dans son chiffrement une clé partagée de 40 à 128 bits de taille, entre la station mobile et le point d accès. Le standard permet d allouer à chaque station sa propre clé partagée selon un tableau enregistré dans le point d accès. Par défaut, une seule clé est partagée entre toutes les stations reliées au même point d accès. Le chiffrement WEP est décrit à la figure 2 suivante. Un vecteur d initialisation (IV) est ajouté à la clé secrète partagée, et en clair dans le payload à envoyer sur le lien. La clé secrète et le IV alimentent un générateur pseudo aléatoire qui donnera en sortie la clé de chiffrement. Les données à transmettre dites Plaintext sont passées à un algorithme de calcul d intégrité qui dans le cas de WEP est le RC4. C est une fonction de hachage qui calcule un condensât du Plaintext. Ensuite, le Plaintext et le condensât subissent l opération OU-Exclusif avec la clé de chiffrement formant ainsi en sortie le message chiffré prêt à l envoi, dit Ciphertext

37 Figure 2 : Chiffrement WEP L opération de déchiffrement à la réception est décrite à la figure 3 suivante. Le récepteur reçoit le Ciphertext et en extrait le vecteur d initialisation IV, et passe ce dernier avec la clé secrète partagée avec l émetteur à un générateur de nombre pseudo aléatoire (le même que celui de la source) pour avoir la même clé de chiffrement. L opération OU-Exclusif sera exécutée sur le Ciphertext et la clé de chiffrement pour en retirer le Plaintext initial. Le contrôle d intégrité sera alors effectué en appliquant le même hachage RC4 sur le Plaintext résultant et le comparant avec la valeur du condensât reçu de l émetteur (le ICV sur le schéma Integrity Check Value). Figure 3 : Déchiffrement WEP et contrôle d intégrité Le vecteur d initialisation est changé à chaque message envoyé. Remarque : La distribution de la clé partagée s avère être un problème de sécurité. Certains administrateurs préfèrent la configurer eux-mêmes sur chaque station à connecter sur le WLAN. Mais la vulnérabilité persiste vu que la clé est enregistrée sur le disque dur et peut être accédée

38 b- Authentification dans WEP Deux types d accès sont présents dans les réseaux : Open system : tous les utilisateurs peuvent accéder au point d accès donc au réseau Shared Key Authentication : authentification basée sur la clé partagée utilisée aussi dans le chiffrement déjà vu ci-dessus La deuxième méthode est bien sûr la plus sécurisée. Lorsqu une station essaie de communiquer avec un point d accès, ce dernier lui lance un défi qui est un texte aléatoire. La station doit alors utiliser la copie de sa clé secrète pour chiffrer ce défi avec la fonction XOR (OU-Exclusif) et l envoyer au point d accès afin de s authentifier. Le point d accès à son tour décrypte le texte reçu avec XOR et le compare à celui qu il a envoyé. S ils sont identiques, le point d accès envoie un message de confirmation à la source. Sinon le point d accès n autorise pas l accès à la station source. Figure 4 : procédure d authentification WEP Notes : Il faut remarquer que l authentification avec clé partagée ne peut être effectuée que si la chiffrement est mis en œuvre. S il ne l est pas, le point d accès sera dans le mode Open System. Dans le cas où la clé est partagée entre toutes les stations, l authentification individuelle est impossible. Cette vulnérabilité peut aboutir à un accès non autorisé surtout si le système supporte un grand nombre d utilisateurs. Dans plusieurs systèmes WLAN, la même clé partagée utilisée dans le chiffrement est utilisée dans l authentification. Donc si un attaquant possède la clé, il peut non seulement accéder au réseau mais aussi décrypter les données qui y transitent