PROCEDE DE CONTROLE D'ACCES A UN RESEAU D'UN TERMINAL SOURCE UTILISANT UN TUNNEL EN MODE BLOQUANT, ET PROGRAMMES D'ORDINATEUR POUR SA MISE EN OEUVRE.

L'invention concerne, de façon générale, les techniques d'accès à un réseau informatique.

Plus précisément, l'invention concerne un procédé de contrôle d'accès d'un terminal source à un réseau comportant un point d'accès pour ce terminal, un pare-feu relié au point d'accès, et un portail d'authentification servi par une base de données d'authentification, ce portail plaçant le pare-feu dans un état d'autorisation d'accès en réponse à une requête initiale d'accès en mode de base émanant du terminal source et incluant la fourniture au portail ou au pare-feu de données d'authentification valides, à défaut desquelles le pare-feu est placé dans un état d'interdiction d'accès, le pare-feu restant dans un état d'autorisation d'accès en mode de base en réponse à la fourniture périodique, par le terminal source et sur un canal sécurisé d'échange de jeton, d'un jeton d ¹ authentification valide à défaut duquel le pare-feu est placé dans son état d'interdiction d'accès, et le terminal source communiquant sélectivement en mode tunnel avec un terminal de destination du réseau à travers un tunnel bloquant.

Le contrôle d'accès à un réseau est la procédure par laquelle l'opérateur d'un réseau autorise ou n'autorise pas un usager potentiel à utiliser son réseau.

Or il existe des situations dans lesquelles il n'est, pour

l'heure, plus possible à l'opérateur de maintenir le contrôle d'accès à son réseau parce que l'usager choisit d'utiliser un tunnel en mode bloquant, ce qui rend impossibles les communications entre l'usager et l'opérateur du réseau.

Pour des raisons fonctionnelles ou des raisons de sécurité, l'usager d'un réseau peut en effet être amené à établir un tunnel vers un hôte distant, tunnel au sein duquel il encapsule son trafic. Selon la configuration et les logiciels utilisés, ce tunnel peut être en mode bloquant, c'est-à-dire rejeter toutes les communications qui n'emprunteraient pas ce tunnel dans le sens de la réception comme dans le sens de l'émission.

Ce mode bloquant constitue en fait une garantie de sécurité supplémentaire pour l'usager. En effet, dans le cas où un usager se connecte via un tunnel au réseau privé ou "intranet" de son entreprise, un pirate ne peut pas attaquer la machine de cet usager pour l'utiliser comme relais afin d'accéder à l'intranet de l'entreprise de ce dernier.

Dans ce contexte, l'invention a pour but de proposer un procédé qui permet à l'opérateur d'un réseau de maintenir le contrôle d'accès à son réseau, même dans le cas où un usager choisit d'utiliser un tunnel en mode bloquant.

A cette fin, le procédé de l'invention, par ailleurs conforme à la définition générique qu'en donne le préambule ci-dessus, est essentiellement caractérisé en ce qu'au moins la fourniture périodique du jeton d'authentification

est réalisée par une transmission sur au moins un port non bloqué de niveau 3 du modèle OSI du canal d'échange établi entre le terminal source et le pare-feu, ce dont il résulte que la fourniture périodique du jeton d' authentification continue à être assurée lors d'une communication en mode tunnel bloquant.

Par exemple, le procédé de l'invention comprend, postérieurement à une opération initiale réussie d'authentification du terminal source, au moins une opération d'élaboration d'un secret mise en œuvre sur le terminal source et / ou sur le portail captif par l'un au moins de programmes d'application respectifs, et des opérations de retransmission de ce secret à des entités d'authentification correspondantes du terminal source et du pare-feu.

Par convention, le terme de "secret" tel qu'utilisé dans la présente description sera compris comme couvrant non seulement, au sens propre, un secret particulier, bien défini et directement utilisable, mais également tous les éléments permettant de dériver ou de reconstruire un tel secret au sens propre.

Le secret peut avantageusement être transmis du portail captif au terminal source dans une fenêtre d'authentification.

Dans ce cas, notamment, la fenêtre d'authentification peut également assurer la transmission, du portail captif vers le terminal source, d'un compteur initialisé à la fois du côté du terminal source et du portail captif.

En outre, la fenêtre d'authentification peut avantageusement comporter un bouton de déconnexion.

Postérieurement à une opération initiale réussie d ¹ authentification du terminal source, le jeton d' authentification est par exemple périodiquement fourni par l'entité d ¹ authentification du terminal source à destination de l'entité d'authentification du pare-feu, gui vérifie ce jeton.

De même, postérieurement à une opération initiale réussie d' authentification du terminal source, le compteur est de préférence périodiquement fourni par 1 ' entité d'authentification du terminal source à destination de l'entité d'authentification du pare-feu, qui vérifie ce compteur.

Après vérification de données fournies par l'entité d'authentification du terminal source, l'entité d'authentification du pare-feu peut ainsi placer un module de filtrage du pare-feu dans un état d'autorisation ou d'interdiction d'accès, en fonction du résultat de cette vérification.

L'entité d'authentification du terminal source est par exemple réalisée en langage Java, téléchargée lors de 1 ' authentification initiale de ce terminal source, et exécutée dans la fenêtre de maintien de session.

Par ailleurs, la transmission de niveau 3 établie entre les entités d ¹ authentification du terminal source et du pare- feu est avantageusement développée dans le protocole DHCP.

L' invention concerne également un premier programme d'ordinateur destiné à être implanté sur un terminal source et conçu pour autoriser conditionnellement une connexion de ce terminal source en mode tunnel bloquant avec un terminal de destination d'un réseau à travers un pare-feu contrôlé par un portail captif du réseau, ce premier programme étant caractérisé en ce qu'il comprend un module d'initialisation propre à récupérer un secret partagé en provenance du portail et à initialiser un compteur, un module de confirmation périodique d'authentification appelé par le module d'initialisation et propre à élaborer et à émettre à destination du pare-feu, et sur un port non bloqué de la couche 3 du modèle OSI, un authentifiant unique dépendant au moins du secret partagé et du contenu du compteur, et un module de mise à jour et de décision appelé par le module de confirmation périodique d ¹ authentification et propre à incrémenter le compteur, à mettre fin à la connexion en cas d'anomalie de communication avec le pare-feu, et à appeler à nouveau le module de confirmation périodique d'authentification dans le cas contraire, ce dont il résulte que le terminal source continue à être authentifié par le pare-feu pendant la connexion en mode tunnel bloquant.

L'invention concerne également un deuxième programme d'ordinateur destiné à être implanté sur un pare-feu installé dans un réseau, et contrôlé par un portail captif du réseau, pour autoriser conditionnellement une connexion

en mode tunnel bloquant entre un terminal source et un terminal de destination de ce réseau à travers le pare-feu, ce deuxième programme étant caractérisé en ce qu'il comprend un module d'écoute du réseau, un module de sélection, et un module d'analyse et de décision, en ce que le module d'écoute du réseau est propre, en réponse à une demande d' authentification reçue du terminal source, à récupérer un secret partagé en provenance de ce terminal source, en ce que le module de sélection est appelé par le module d'écoute et propre à repérer, dans un flux de trames circulant sur la couche 3 du modèle OSI, des trames d'authentification du terminal source, et à aiguiller les trames d' authentification vers le module d'analyse et de décision, et en ce que le module d'analyse et de décision vérifie le contenu des trames d'authentification, met fin à la connexion du terminal source en cas d'anomalie, et met à jour les règles d'autorisation de connexion utilisées par le pare-feu dans le cas contraire.

L'invention concerne enfin un terminal source au moins équipé du premier programme défini ci-dessus et un pare-feu au moins équipé du deuxième programme défini ci-dessus.

D'autres caractéristiques et avantages de l'invention ressortiront clairement de la description qui en est faite ci-après, à titre indicatif et nullement limitatif, en référence aux dessins annexés, dans lesquels :

la figure 1 représente schématiquement les moyens fonctionnels nécessaires à la mise en œuvre de l'invention;

- la figure 2 représente les flux d'informations mis en

œuvre entre le terminal source, le pare-feu et le portail d ¹ authentifiention, à partir de la procédure d'authentification du terminal source; et

- la figure 3 représente les flux d'informations mis en œuvre entre le terminal source, le pare-feu et le portail d'authentification, pendant l'utilisation du tunnel en mode bloquant; et

- les figures 4A et 4B sont des organigrammes représentant respectivement le programme d'ordinateur mis en œuvre sur le terminal source, et le programme d'ordinateur mis en œuvre sur le pare-feu.

Compte tenu de la nécessité, pour décrire dans le détail le procédé de l'invention d'une manière compréhensible pour l'homme du métier, d'utiliser le vocabulaire standard de ce dernier, le lecteur peu familier du domaine concerné trouvera ci-après les définitions et références utiles à sa propre compréhension de la description.

I. DéFINITIONS.

Adresse IP : Adresse d'un équipement utilisant IP (voir ce mot) comme protocole de couche 3 du modèle OSI (voir ce mot) .

Adresse MAC : Adresse d'un équipement connecté à un médium partagé utilisé par la couche 2 du modèle OSI (voir ce mot) .

ARP (Acronyme tiré de l'anglais "Address Resolution Protocol") : Protocole de résolution des adresses IP en adresses MAC, de niveau 2 du modèle OSI (voir ce mot) , permettant de faire communiquer des stations sur un réseau à base Ethernet. Les communications réelles sont en effet basées sur les adresses MAC de la source et du destinataire.

DHCP (Acronyme tiré de l'anglais "Dynamic Host Configuration Protocol") : Protocole de configuration automatique des usagers d'un réseau IP (voir ce mot) et d'attribution dynamique des adresses sur un tel réseau.

DNS (Acronyme tiré de l'anglais "Domain Name Server" ou "Domain Name System") : Service essentiel de l'Internet assurant la conversion des noms de domaines en adresses IP (voir ce mot) .

Fonction de hachage : cette expression désigne une fonction qui convertit une chaîne de caractères de longueur quelconque en une chaîne de caractères de taille fixe de taille inférieure, cette chaîne est appelée empreinte

(hash) . Le résultat d'une fonction de hachage est le même pour la même chaîne d'entrée, mais en principe il n'existe pas deux résultats semblables de fonction de hachage.

Fonction de hachage à clef : cette expression désigne une fonction de hachage qui, en plus d'une chaîne de caractères de longueur quelconque, prend en entrée une clef secrète.

HMAC-MD5 (Acronyme tiré de l'anglais "Keyed-Hashing for Message Authentification" - "Message Digest 5") :

Algorithme cryp'tographique du type "fonction à hachage à clef" (voir cette expression) .

HMAC-SHAl (Acronyme tiré de l'anglais "Keyed-Hashing for Message Authentification" - "Secure Hash Algorithm" ) : Algorithme cryptographique du type "fonction à hachage à clef" (voir cette expression) .

HTML (Acronyme tiré de l'anglais "HyperText Markup Language") : Format de document Internet défini par la Norme RFC 1866.

HTTPS (Acronyme tiré de l'anglais "HyperText Transfer Protocole Secure") : Protocole de transmission issu du navigateur "Netscape" et lié à une connexion sécurisée.

IP (Acronyme tiré de l'anglais "Internet Protocol") : Protocole de niveau réseau utilisé dans 1 ' Internet orienté sans connexion (principe du datagramme) .

IPsec (Acronyme tiré de l'anglais "Internet Protocol Security" ) : Protocole de sécurité utilisé dans l'Internet.

MAC (Acronyme tiré de l'anglais "Médium Access Control") : Terme général désignant la couche qui gère le partage d'un support de transmission entre différentes stations.

Open Source (Expression anglaise) : Logiciel libre répondant à des exigences qualitatives définies.

OSI (Acronyme tiré de l'anglais "Open System Interconnection") : Modèle d'interconnexion des systèmes

ouverts où l'ensemble des actions permettant de faire coopérer plusieurs équipements informatiques est structuré en couches correspondant à des niveaux de détails différents.

SSL (Acronyme tiré de l'anglais "Secure Socket Layer") : Norme de mode de communication sécurisée sur réseau, initialement utilisée par le navigateur de marque "Netscape", puis officialisée.

TCP (Acronyme tiré de l'anglais "Transport Control Protocol") : Protocole de transport orienté connexion, permettant un échange fiable d'une quantité quelconque de données entre deux équipements (niveau 4 OSI - voir ce mot) reliés par un ou plusieurs réseaux utilisant IP (voir ce mot) .

TLS (Acronyme tiré de l'anglais "Transport Layer Security" ) : Protocole de sécurisation de la couche transport, défini par la norme RFC 2246. La version 1.0 de TLS est en fait la version 3 de SSL (voir ce mot) .

UDP (Acronyme tiré de l'anglais "User Datagram Protocol") : Protocole de transport de blocs de données indépendants, ou "paquets", transitant sur un réseau et contenant toutes les informations nécessaires à leur routage.

URL (Acronyme tiré de l'anglais "Uniform Resource Locator") : Format d'adresse permettant de retrouver une ressource.

VPN (Acronyme tiré de l'anglais "Virtual Private Network") : Réseau privé virtuel.

II . RéFéRENCES .

[ARP] Address Resolution Protocol, "An Ethernet Address Resolution Protocol", RFC 826, November 1982.

[DHCP] DHCP Options and BOOTP Vendor Extensions, RFC 2132, Mars 1997.

[HMAC-MD5] Krawczyk H., Bellare M., and Canetti R., "HMAC : Keyed-Hashing for Message Authentification" , RFC 2104, February 1997.

[IEEE-802.1X-2001] Institute of Electrical and Electronics Engineers, "Local and Metropolitan Area Networks: Port- Based Network Access Control", IEEE Standard 802.IX, Septembre 2001.

[IEEE 802.3-2002] IEEE Standard for Information technology

Télécommunications and information exchange between

Systems - Local and metropolitan area networks - Spécifie requirements - Part 3 : Carrier Sensé Multiple Access with Collision Détection (CSMA/CD) Access Method and Physical Layer Spécifications.

[IEEE-802.11-1997] Institute of Electrical and Electronics

Engineers, "Information Technology - Télécommunications and Information Exchange between Systems - Local and

Metropolitan Area Network -Spécifie Requirements - Part 11:

Wάreless LAN Médium Access Control (MAC) and Physical Layer

(PHY) Spécifications", IEEE Standard 802.11, 1997.

[IEEE-802.11-1999] Institute of Electrical and Electronics Engineers, "Information Technology - Télécommunications and Information Exchange between Systems - Local and Metropolitan Area Network - Spécifie Requirements - Part II: Wireless LAN Médium Access Control (MAC) and Physical Layer (PHY) Spécifications", IEEE Standard 802.11, 1999.

[IEEE-802.1Ii] Institute of Electrical and Electronics Engineers, "Unapproved Draft Supplément to Standard for Télécommunications and Information Exchange Between Systems.

- LAN/MAN Spécifie Requirements - Part II: Wireless LAN Médium Access Control (MAC) and Physical Layer (PHY) Spécifications: Spécification for Enhanced Security" , IEEE Draft 802. Hi (work in progress) , 2003.

[IPsec] Kent, S., and R. Atkinson, "Security Architecture for the Internet Protocol", RFC 2401, Novembre 1998.

[NAT-T] Negotiation of NAT-Traversal in the IKE, Internet Draft, Février 2004.

[OSI] International Organization for Standardization, "Open Systems Interconnexion", ISO 7498.

[TLS] Dierks, T. and Allen, c, "The TLS Protocol version 1.0", RFC 2246, Janvier 1999.

[WPA] Wi-Fi protected Access, Wi-Fi Alliance, version 1.2,

Décembre 2002.

Le procédé décrit ci-après s'applique typiquement à un scénario dans lequel l'opérateur du réseau réalise un contrôle d'accès au niveau TCP/IP et dans lequel l'usager souhaite utiliser un tunnel tel que [IPsec] en mode bloquant.

L' invention peut trouver un usage pertinent dans les réseaux radioélectriques IEEE 802.11 ( [IEEE-802.11-1997] et

[IEEE-802.11-1999] ) de «première génération», c'est à dire qui ne mettent pas en oeuvre les nouvelles fonctionnalités de sécurité au niveau 2 du modèle [OSI] comme WPA ou

802.Hi., et dans les réseaux filaires IEEE 802.3 ([IEEE 802.3-2002]) et Ethernet qui réalisent un contrôle d'accès selon le paradigme de «portail captif».

III. ETAT DE LA TECHNIQUE ANTéRIEURE

Un préliminaire au contrôle d'accès est 1 'authentification.

L'authentification permet à l'opérateur du réseau de déterminer avec certitude l'identité de l'usager qui cherche à utiliser son réseau.

Pour authentifier un usager, l'opérateur d'un réseau doit dialoguer avec ce dernier.

En cas d ¹ authentification réussie, l'opérateur du réseau décide en fonction de l'identité de l'usager si ce dernier est autorisé ou non à accéder au réseau.

Afin d'éviter que des usagers illégitimes ne profitent indûment du réseau, il est nécessaire pour le contrôle d'accès :

- de s'assurer que seuls les usagers que l'opérateur a autorisés peuvent utiliser le réseau, c'est-à-dire d'éviter qu'un usager non-autorisé ne puisse utiliser le réseau; et

de maintenir la relation d ¹ authentification avec l'usager, c'est-à-dire de s'assurer que l'usager autorisé qui utilise le réseau est bien le même que celui qui s ' est authentifié, afin d'éviter qu'un usager non-autorisé usurpe l'identité d'un usager autorisé.

Plusieurs techniques permettent de réaliser un contrôle d'accès au réseau, en particulier :

des techniques physiques : par exemple les prises permettant d'accéder au réseau sont situées dans des locaux fermés à clefs; et

- des techniques logiques : par exemple 1 'accès au réseau est conditionné par la possession d'un secret permettant d'employer des techniques cryptographiques.

En 1 'absence de mécanismes de sécurité incluant le contrôle d'accès au niveau 2 (lien de données) du modèle à sept couches de l' [0SI] ou du fait des coûts liés au déploiement de tels mécanismes quand ils existent et du très faible taux de pénétration de ces derniers dans le parc d'équipement des usagers, le paradigme du «portail captif» a été développé.

Ce paradigme permet de réaliser un contrôle d'accès aux réseaux TCP/IP :

- en réalisant un filtrage sur les adresses MAC et IP; et

- en utilisant des jetons d ¹ authentification échangés entre le terminal source et le portail d'authentification au niveau de logiciels d'application.

Lors de sa connexion au réseau, l'usager est invité à ouvrir son navigateur Internet, et sa première requête à 1 'aide de ce dernier est automatiquement redirigée vers le portail d'authentification de l'opérateur (d'où le nom de portail captif) . Ce portail captif permet à l'usager de s'authentifier de manière sécurisée, par exemple en utilisant les protocoles SSL/ [TLS] .

Toutes les autres requêtes de l'usager non-authentifié sont bloquées par un pare-feu qui réalise un filtrage par adresse MAC et/ou adresse IP. En cas d'authentification réussie et dans .le cas où l'usager authentifié est autorisé à accéder au réseau, le pare-feu est mis à jour pour laisser passer le trafic de cet usager.

L'architecture d'un portail captif (figure 1), qui permet à un terminal source T_SOUR de communiquer en mode tunnel avec un terminal de destination T_DEST du réseau, implique ainsi globalement un point d'accès P_ACC, un pare-feu PF, le portail d ¹ authentification lui-même PORT, et une base de données d'identification BDD.

Le point d'accès P_ACC offre au terminal source T_SOUR une voie de connexion sans fil (Wi-Fi par exemple) au réseau Internet.

Le pare-feu PF contrôle directement l'accès du terminal T_SOUR au réseau Internet en filtrant les paquets (typiquement au niveau IP et TCP) , et en opérant un filtrage par adresse MAC.

Le portail PORT authentifie l'usager, intercepte les requêtes des usagers non-authentifiés, redirige ces usagers vers une page d'authentification, fait vérifier ses données d'authentification par la base de données BDD, modifie les règles du pare-feu PF en fonction du résultat de cette vérification, et pilote donc l'état du pare-feu.

La base de données BDD contient quant à elle les données valides des usagers autorisés, et répond aux requêtes du portail PORT.

Comme le contrôle d'accès par adresse MAC et adresse IP est intrinsèquement faible (il est en effet très facile, par simple manipulation logicielle, d'usurper l'adresse MAC et l'adresse IP d'un usager), le portail captif PORT utilise un contrôle d'accès supplémentaire par jeton échangé entre le terminal source et le portail d'authentification.

Le portail captif garde en effet un canal de communication sécurisé ouvert avec l'usager, sur lequel l'usager doit présenter périodiquement, ou sur événement, un jeton d'authentification. Le défaut de présentation de ce jeton entraîne la réinitialisation du pare-feu dans l'état

bloquant pour cet usager. Ainsi, un usager non-autorisé usurpant l'adresse MAC et/ou l'adresse IP d'un usager autorisé ne pourra pas présenter ce jeton et verra sa connexion terminée. Même si la présence simultanée d'un usager autorisé chargé de présenter le jeton et d'un usager non-autorisé usurpant l'adresse MAC et l'adresse IP de cet usager autorisé est envisageable, les mécanismes de fonctionnement des protocoles TCP/IP rendront les connexions inutilisables: l'usager non-autorisé, s'il veut profiter de la connexion de l'usager autorisé n'a, pour l'heure, pas d'autre choix que de faire taire l'usager autorisé, par exemple par du déni de service. Après avoir fait taire l'usager autorisé, l'usager non-autorisé ne peut profiter du service que tant que le portail captif n'exige pas la présentation du jeton, intervalle de temps qui peut être configuré au niveau du portail captif PORT.

Le paradigme de «portail captif» tel que décrit jusqu'à présent s'applique, par exemple, tant aux réseaux radioélectriques utilisant la technologie IEEE 802.11 qu'aux réseaux locaux filaires utilisant les technologies IEEE 802.3/Ethernet.

Dans le cas des réseaux radioélectriques utilisant la technologie IEEE 802.11, les mécanismes de sécurité prévus à l'origine dans la norme [IEEE802.11-1997] et [IEEE802.il-

1999] ont rapidement révélé des problèmes majeurs qui rendent leur utilisation tout aussi compliquée qu'inefficace: c'est la faillite consommée en 2000 et 2001 des mécanismes de sécurité connus sous l'acronyme "WEP".

Bien que des mécanismes de sécurité plus robustes soient en

cours de déploiement [WPA] ou de spécification [IEEE- 802.1Ii], ils ne présentent pas à l'heure actuelle de maturité suffisante pour être déployés à grande échelle.

Deux scénarios dans lesquels le paradigme de «portail captif» s'applique aux réseaux radioélectriques utilisant la technologie IEEE 802.11 sont :

- les réseaux radioélectriques locaux, appelés "Hot-Spots", utilisant la technologie IEEE 802.11 et déployés dans des lieux très fréquentés, par exemple les réceptions d'hôtels ou les salles d'attente d'aéroport, où la mise à disposition d'une connexion à Internet présente une forte valeur ajoutée; et

- les accès à un réseau offerts par une entreprise à ses visiteurs pour permettre à ces derniers de travailler plus efficacement, par exemple dans les salles de réunion.

Dans le cas des réseaux locaux filaires utilisant les technologies IEEE 802.3/Ethernet, aucun mécanisme de sécurité n'a été prévu à l'origine. Ce n'est qu'en 2001, avec l'adoption de la norme [IEEE802.1X-2001] , que des mécanismes de sécurité ont vu le jour pour ces réseaux.

Cependant leur taux de pénétration dans le parc des équipements usagers est encore faible. C'est pour cela qu'une entreprise souhaitant offrir un accès réseau à ses visiteurs, par exemple en salle de réunion, peut être amenée à utiliser le paradigme de «portail captif».

Le point faible de la technique connue de portail captif,

qui renforce le contrôle d'accès par filtrage d'adresse IP et/ou adresse MAC par un échange de jeton d'authentification, réside justement dans le fait que cette technique suppose que l'opérateur et l'usager soient capables de dialoguer pour pouvoir s'échanger le jeton.

Or, l'application la plus typique utilisée par les usagers dans les scénarios présentés précédemment consiste pour ces usagers à monter un tunnel (créant ainsi un VPN) vers l'intranet de leur entreprise.

Pour des raisons de sécurité, la plupart des applications de VPN empêchent alors toutes les communications à destination ou en provenance de l'usager, autres que celles qui passent à l'intérieur du VPN. Il s'agit donc de tunnels en mode bloquant.

Dans ce cas, il n'est donc plus possible de maintenir l'échange du jeton d'authentification, et aucune solution n'est disponible à l'heure actuelle pour résoudre ce problème.

En conséquence :

- soit la sécurisation par échange de jeton est alors purement et simplement abandonnée dans le paradigme de «portail captif», auquel cas le contrôle d'accès au réseau ne consiste plus qu'en un filtrage par adresse IP et/ou adresse MAC, ce qui présente des vulnérabilités critiques,

- soit la sécurisation par échange de jeton est maintenue et 1 'usager ne peut pas monter un tunnel en mode bloquant,

par exemple vers l'intranet de son entreprise, car la première demande d'échange de jeton postérieure à l'établissement du tunnel échouera et le trafic de l'usager sera bloqué.

IV. PRINCIPE DE L'INVENTION

L'invention permet à l'opérateur d'un réseau de maintenir un contrôle d'accès efficace à son réseau, même dans le cas où l'usager choisit d'utiliser un tunnel en mode bloquant.

Cette invention propose un mode de ré-authentification périodique totalement invisible à l'usager. Par ailleurs, l'emploi d'un canal de transmission non affecté par le mode bloquant entre le terminal et le portail captif permet l'échange d'informations supplémentaires, comme par exemple des durées de connexion ou des volumes consommés .

L'invention repose sur l'observation du fait que la technique de mode bloquant utilisée par exemple par les usagers de IPsec a la propriété de filtrer les paquets de données au niveau 3 du modèle OSI.

Néanmoins, bien que cette propriété n'ait pas été publiée par les éditeurs de logiciels, l'utilisation d'un tunnel en mode bloquant ne peut pas s'affranchir de certaines communications, telles que celles qui concernent l'attribution dynamique d'adresses sur un réseau IP et qui sont typiquement effectuées par le protocole DHCP, ou telles que celles qui dépendent de la manière dont est réalisé le mode bloquant.

En effet, le protocole DHCP permet l'établissement de la connectivité IP pour l'usager demandant les informations nécessaires au bon fonctionnement de sa connexion (@IP, @DNS, ©passerelle, masque de réseau...) . Ces informations de connectivité sont allouées à l'usager de manière

temporaire (bail) , et renouvelées périodiquement à l'initiative de l'usager. Si le renouvellement n'intervient pas avant la fin du bail, alors le serveur considère que l'usager n'est plus présent ou ne désire pas renouveler son bail (bail terminé). L'usager n'a plus alors de connectivité IP. Par conséquent, le mode "bloquant" d'un tunnel IPsec ne peut bloquer les communications lorsque les adresses sont allouées dynamiquement et temporairement par DHCP, faute de quoi des pertes de connectivité rendraient le service impossible à assurer, surtout dans le cas de baux courts (ceci est généralement le cas dans les réseaux de type "hot spot" public) .

Le protocole DHCP est transporté dans les ports 67 et 68 du protocole UDP. Ces ports (standardisés à I ¹ IANA, cf. http://www.iana.org) sont nécessairement autorisés et donc non bloqués depuis la station vers l'extérieur même en mode bloquant.

La description ci-après fera par commodité l'hypothèse que les protocoles autorisés sont de manière générale les ports 67/UDP et 68/UDP. Il est toutefois possible que d'autres ports soient autorisés (par exemple, 4500/UDP pour le NAT- Traversal) .

L'invention met à profit l'existence de ports non bloqués pour maintenir l'échange du jeton d ¹ authentification, et plus précisément utilise les ports autorisés (67/UDP, 68/UDP) par le mode "bloquant", et non les protocoles non autorisés (http ou https) utilisés dans l'art antérieur.

Cette technique permet à la fois de garder le mode bloquant

de l'usager IPsec et d'utiliser un protocole d'authentification fort, améliorant ainsi de façon notable le contrôle d'accès élémentaire actuellement réalisé sur la base de l'adresse IP et/ou MAC.

Pour ce faire, le contrôle de session, c'est-à-dire typiquement le mécanisme d'échange de jeton entre le terminal source T_SOUR et le portail PORT, est déplacé au niveau des ports autorisés (UDP/67 et UDP/68) , ce qui permet de le rendre indépendant de tout mode bloquant

(M_BLQ sur la figure 3) éventuellement mis en place par l'usager du terminal T_SOUR.

En effet, il n'est pas possible, pour l'usager d'un tunnel en mode bloquant, d'empêcher les communications de son terminal T_SOUR dans les ports autorisés (67/UDP, 68/UDP) , dans la mesure où ce terminal doit impérativement pouvoir dialoguer au niveau DHCP avec le serveur DHCP pour assurer le renouvellement de son bail de manière périodique, et où il se retrouverait donc totalement isolé du réseau si ces communications étaient interrompues.

Concrètement, l'invention utilise d'une part une entité (encore appelée "module") de protocole d'authentification PAl et un programme d'application APPLIl mis en œuvre dans le terminal source T_SOUR, d'autre part une entité (ou "module") de protocole d'authentification PA2 et une fonction (encore appelée "module") de filtrage FILT mises en œuvre dans le pare-feu PF, et enfin un programme d'application APPLI2 mis en œuvre dans le portail captif PORT.

Sur le figure 2, le dialogue Dl symbolise le dialogue permettant 1 'authentification de l'utilisateur dans une session SSL et le calcul d'un secret partagé entre le terminal source T_SOUR et le portail PORT; le dialogue D2 symbolise l'injection, dans l'entité de protocole d'authentification PAl du terminal source T_SOUR, du secret calculé grâce au dialogue Dl; et le dialogue D3 symbolise l'injection, dans l'entité de protocole d' authentification PA2 du pare-feu PF, du secret calculé grâce au dialogue Dl.

Sur le figure 3, le dialogue Dl symbolise le dialogue qui, bien que transitant à travers la couche 2 (notée L2) et la couche 1 (notée Ll) du modèle OSI, constitue un échange ECHG établi sur la couche 3 du modèle OSI entre l'entité de protocole d'authentification PAl du terminal source T_SOUR et l'entité correspondante PA2 du pare-feu PF et permet la ré-authentification périodique de l'utilisateur; le dialogue D2 symbolise la communication en IPsec entre le terminal source T_SOUR et le terminal de destination T_DEST; et le dialogue D3 symbolise la mise à jour des règles de filtrage par l'entité PA2 du pare-feu PF, en fonction du résultat de la ré-authentification.

L'entité de protocole d'authentification PAl mise en œuvre dans le terminal T_S0UR doit donc pouvoir interagir (dialogue D2 sur la Figure 2) avec le programme d'application APPLIl qui lui distribue des secrets lorsque l'authentification du terminal T_SOUR sur le réseau (dialogue Dl de la figure 2) a réussi.

L'entité de protocole d'authentification PAl mise en œuvre

dans le terminal T_SOUR doit également être en relation directe avec la couche 3 du modèle OSI, par laquelle elle communique avec 1 'entité PA2 correspondante mise en œuvre dans le pare-feu PP (dialogue Dl de la figure 3, vu dans sa forme ECHG) .

L'entité de protocole d'authentification PA2 mise en œuvre dans le pare-feu PP doit pouvoir interagir (dialogue D3 sur la Figure 2) avec le programme d'application APPLI2 qui lui distribue des secrets lorsque 1 'authentification du terminal T_SOUR sur le réseau a réussi, et avec la fonction FILT de filtrage de paquets (dialogue D3 de la figure 3) pour la rendre "passante" lorsque 1 'authentification vérifiée par les entités PAl et PA2 réussit et "bloquante" lorsque 1 'authentification vérifiée par les entités PAl et PA2 échoue.

L'entité de protocole d ¹ authentification PA2 mise en œuvre dans le pare-feu PF doit également être en relation directe avec la couche 3 du modèle OSI, par laquelle elle communique avec l'entité PAl correspondante mise en œuvre dans le terminal source T_SOUR (dialogue Dl de la figure 3, vu dans sa forme ECHG) .

Le terminal T_SOUR et le pare-feu PF doivent être en vue directe sur la couche 3 du modèle OSI, c'est-à-dire qu'ils peuvent être séparés par un nombre quelconque de routeurs, la présence de ces routeurs étant dépourvue de toute incidence sur la mise en oeuvre de l'invention.

Chronologiquement, le procédé comprend une phase initiale

d'authentification du terminal T_SOUR, et une phase ultérieure périodique de ré-authentification des entités PAl et PA2.

Durant la phase d'authentification initiale, le terminal source T_SOUR, ou son usager, s'authentifie auprès du portail captif PORT en échangeant des données via le lien sécurisé symbolisé par le dialogue Dl de la figure 2, ce lien confidentiel pouvant être réalisé en TLS/SSL de manière classique.

Des secrets sont dérivés de cette authentification, symétriquement sur le terminal source T_SOUR et sur le portail captif PORT, par les programmes d'application respectifs APPLIl et APPLI2, puis retransmis par ces derniers aux entités d'authentification correspondantes PAl et PA2 (dialogues D2 et D3 de la figure 2) .

Une fois que les entités PAl et PA2 ont reçu les secrets permettant une reconnaissance mutuelle, elles mettent périodiquement en œuvre le protocole de ré-authentification du terminal T_SOUR par le pare-feu PF (dialogue Dl de la figure 3) .

Tant que cette ré-authentification réussit, le module de filtrage FILT du pare-feu PF est commandé par l'entité PA2

(dialogue D3 de la figure 3) pour rester passant pour les données du terminal T_SOUR (dialogue D2 de la figure 3), ce module de filtrage FILT étant, dans le cas contraire, commandé pour devenir bloquant.

Dans ces conditions, tant que le module de filtrage FILT est passant, le flux de données dans lequel le terminal T_SOUR est impliqué peut librement circuler. Si ce terminal choisit de passer en mode bloquant, par exemple en appelant IPsec avec certains types de logiciels, alors la ré- authentification entre les entités PAl et PA2 peut continuer, le contrôle d'accès au niveau du pare-feu PF restant ainsi valide.

V. DESCRIPTION D'UN MODE PARTICULIER DE RéALISATION DE L'INVENTION.

Cette partie de la description explique comment le procédé de 1 ' invention peut être mis en oeuvre dans un mécanisme connu de contrôle d'accès par «portail captif».

A. Rappel du contexte actuel.

On présente ici le mode de fonctionnement classique d'une connexion d'un usager à un réseau supportant la technologie de «portail captif». Cette technologie est mise en oeuvre dans de nombreux produits commerciaux, et est disponible également dans un produit Open Source appelé NoCatAuth (notamment décrit sur le site http://nocat.net) .

Cette solution de «portail captif» Open Source pilote plusieurs moteurs de filtrage Open Source comme "iptables", "packetfilter" ou "IPFilter", respectivement décrits sur les sites : http://iptables.org, http://www.benzedrine.cx/pf.html, et http: //www.ipfilter.org.

II permet de piloter ces moteurs de filtrage grâce à un dialogue entre le portail captif et une application pilotant le moteur de filtrage.

Les étapes du processus standard de connexion sont les suivantes.

1. L'usager se connecte au réseau dont le contrôle d'accès est réalisé par le portail captif;

2. Le réseau lui permet de récupérer les informations de connectivité classique (adresse IP, adresses serveurs DNS, adresses passerelle par défaut...), ceci étant généralement effectué à l'aide d'échanges DHCP;

3. L'usager décide de s'authentifier auprès du réseau afin d'avoir accès aux services offerts par le site local (typiquement l'Internet);

4. L'usager envoie une requête vers l'Internet qui est interceptée par le moteur de filtrage (règles par défaut) et redirigée vers le «portail captif». Le «portail captif» présente alors la bannière d ¹ authentification à l'usager,-

5. L'usager entre ses données d'authentification (typiquement un nom d'utilisateur et un mot de passe) qui seront validées par le «portail captif»;

6. Le «portail captif» interagit avec le moteur de filtrage de manière à modifier les règles de filtrage par défaut pour cet usager. A ce moment-là, l'usager est alors capable de communiquer vers l'extérieur (typiquement l'Internet) en

fonction des nouvelles règles de filtrage communiquées au moteur de filtrage;

7. Le «portail captif» pousse une fenêtre d'authentification périodique à l'usager, cette fenêtre permettant de maintenir la session entre l'usager et le portail captif grâce à la notion de jeton d'authentification, et étant donc encore ici appelée «fenêtre de maintien de session».

En pratique, la fenêtre de maintien de session peut être écrite en code HTML, permettant d'initier une connexion de manière périodique vers une URL bien formatée (contenant en particulier le jeton d'authentification) .

B. Mise en œuvre de 1 'invention dans le contexte rappelé ci-dessus.

L'utilisation de la fenêtre maintien de session, qui est protégée par des mécanismes cryptographiques à base de SSL/TLS (https sur la figure 2) , permet de dériver un secret qui est propre au terminal T_SOUR et au portail captif PORT. L'invention peut alors utiliser des mécanismes cryptographiques spécifiques afin d'assurer la confidentialité des informations transportées dans le nouveau protocole spécifié dans les ports autorisés (67/UDP, 68/UDP) , ainsi que la fonction dite "anti-rejeu" , c'est-à-dire la fonction destinée à bloquer des attaques parasites de connexion consistant à faire croire qu'un usager est toujours actif et à récupérer sa connexion à un

moment choisi, par exemple lors d'une déconnexion intempestive.

Compte tenu de la multitude des possibilités offertes par les outils connus de l'homme du métier pour assurer une protection cryptographique, l'invention sera décrite ci- dessous au moyen d'un unique exemple particulier, non limitatif.

Le secret, protégé par SSL/TLS, est transmis du portail PORT vers le terminal T_SOUR dans la fenêtre d'authentification en réponse à une authentification réussie de ce terminal T_J3OUR. Dans la fenêtre d'authentification est également transmis un compteur qui est initialisé à la fois du côté du terminal T_SOUR, et du côté du portail captif PORT, ce secret et ce compteur permettant à la fois d'éviter les attaques d'usurpation d'identité et les attaques par re-jeu.

Un algorithme cryptographique de type fonction de hachage à clef (tel que HMAC-MD5 ou HMAC-SHAl) prend en entrée des informations telles que le compteur, l'adresse IP du terminal T_SOUR qui sont connues du portail captif, ainsi que le secret partagé (utilisé en tant que clef de la fonction de hachage à clef) . Il en résulte une chaîne de longueur fixe qui permet d'assurer à la fois 1 'authentification de l'utilisateur (grâce au secret partagé), l'anti-rejeu (grâce au compteur) et 1 'authentification de la machine (grâce à l'adresse IP) .

Le paquet est envoyé de l'entité PAl du terminal T_SOUR vers l'entité PA2 du pare-feu PF grâce au nouveau protocole

mis en oeuvre par l'invention dans les ports autorisés (67/UDP, 68/UDP) , puis est analysé par le portail captif PORT qui vérifie le secret et le compteur.

Si la vérification se conclut par un succès, alors le compteur est incrémenté.

Dans le cas contraire, le système de contrôle d'accès du portail PORT considère qu'il y a usurpation d'identité et choisit, en fonction de la politique de sécurité, la décision la plus appropriée à la situation, telle que celle qui consiste à fermer la connexion en envoyant une instruction au module de filtrage FILT, ou à ignorer le paquet et à continuer d'attendre la réception d'un paquet valide (la connexion étant alors fermée si aucun paquet valide n'est reçu avant l'expiration d'un délai correspondant à la durée de validité d'une authentification) .

L'invention s'insère au niveau de la 7ème étape du processus standard de connexion tel que rappelé précédemment, à savoir celle dans laquelle le portail captif pousse périodiquement une fenêtre d'authentification à l'usager pour maintenir la session entre cet usager et le portail captif grâce à l'échange d'un jeton d'authentification.

L'invention conserve cette procédure de maintien de session, mais utilise une voie différente pour l'échange de l'information d'authentification entre l'usager et le portail captif.

En pratique, la fenêtre de maintien de session comprend un logiciel d'application PAl mettant en œuvre un protocole d'authentification associé à un programme qui affiche un bouton de déconnexion permettant à l'usager du terminal source T_SOUR de se déconnecter proprement.

Cette technique repose sur un développement en mode client serveur dans les ports autorisés (67/UDP, 68/UDP) .

Le recours au langage Java pour la réalisation du logiciel du côté du terminal source est avantageux, bien que non obligatoire.

Les étapes ultérieures du processus de connexion suivant 1 ' invention sont les suivantes.

8. Le logiciel d'application exécuté sur le terminal T_SOUR envoie périodiquement des paquets sur le segment Ethernet en unicast IP vers le pare-feu PF, indiquant ainsi que ce terminal est toujours actif; si un attaquant présente des jetons d'authentification invalides, ceux-ci seront détectés par les procédés cryptographiques utilisés. La stratégie de sécurité peut facilement être adaptée à ce type d'événement. Il est alors possible, par exemple, de déconnecter l'usager et de déclencher une alarme auprès des administrateurs du portail captif. Il est également possible de ne pas considérer le jeton usurpé, de continuer d'attendre un paquet valide jusqu'à la fin d'un délai prédéterminé alloué à la connexion, et de déclencher une alarme auprès des administrateurs du portail captif.

9. Les informations contenues dans les paquets envoyés par le terminal source T_S0UR sont écoutées par un logiciel d'application PA2 présent sur le pare-feu PF. Ce dernier est capable, grâce aux informations contenues dans les paquets envoyés, de déterminer que l'usager du terminal T_SOUR est bien légitime, et que ce terminal est toujours connecté;

10. Deux cas sont possibles pour la déconnexion du terminal source T_SOUR:

I a. Si l'usager se déconnecte brutalement du réseau, c'est- à-dire sans utiliser le bouton de déconnexion de la fenêtre de maintien de session, il ferme du même coup cette fenêtre de maintien de session, de sorte que le logiciel d'application PAl cessera d'être exécuté. En conséquence, le portail captif PORT n'autorisera plus la connexion du terminal T_SOUR que pendant un temps de session résiduel préalablement fixé. Le système de contrôle d'accès du portail PORT considérera alors que l'usager n'est plus présent sur le réseau et n'est plus autorisé à communiquer à travers le pare-feu PF. Le portail captif mettra donc à jour les règles de filtrage du pare-feu PF pour interdire la connexion du terminal T_SOUR.

b. Si l'usager se déconnecte proprement du réseau, le système de contrôle d'accès du portail PORT sera informé que cet usager souhaite se déconnecter. Pour ce faire, l'usager informera le système de contrôle d'accès du portail PORT de son souhait de quitter le réseau en utilisant le bouton de déconnexion de la fenêtre de maintien de session. Le système de contrôle d'accès du

portail PORT considérera alors que l'usager n'est plus présent sur le réseau et n'est plus autorisé à communiquer à travers le pare-feu PF. Le portail captif mettra donc à jour les règles de filtrage du pare-feu PF pour interdire la connexion du terminal T_SOUR.

Dans la mesure où la communication entre le terminal T__SOUR et le portail captif PORT doit être réalisée dans un port autorisé, il est possible d'utiliser un protocole à base UDP qui remplit les fonctions souhaitées telles que décrites. L'invention peut donc être mise en oeuvre aisément en spécifiant un protocole client-serveur au niveau UDP.

Par ailleurs, dans la mesure où l'invention impose la présence d'un logiciel d'application (PAl, figure 2) à exécuter sur le terminal source, il peut être judicieux de faire en sorte :

- que ce logiciel soit téléchargé de manière transparente depuis le portail captif à la suite de 1 'authentification réussie du terminal source auprès de ce portail; ceci peut être réalisé par 1 ' intermédiaire de la fenêtre de maintien de session qui transporte le jeton d'authentification dans le procédé actuel;

- que ce logiciel soit exécuté en local sur le terminal source de manière transparente pour l'usager; et

- que ce logiciel soit désactivé à la fin de la session par la fermeture de la fenêtre de maintien de session.

L'invention offre l'avantage supplémentaire de permettre de faire transiter des informations autres que des données d'authentification. Par exemple, il est possible de profiter du canal de communication ouvert dans les ports autorisés et non susceptibles d'être bloqués pour faire passer des informations de facturation de 1 ' opérateur du portail captif vers l'usager (volume de données échangées, temps consommé, temps restant, etc. . .), ce type d'information pouvant être affiché dans la fenêtre de maintien de session sous la forme d'un tableau de bord.

Les programmes d'ordinateur mis en œuvre sur le terminal source T_SOUR et sur le pare-feu PF sont respectivement illustrés, de manière fonctionnelle et schématique, aux figures 4A et 4B.

Le programme illustré à la figure 4A, qui est implanté sur le terminal source T_SOUR, est conçu pour autoriser conditionnellement une connexion de ce terminal source en mode tunnel bloquant avec le terminal de destination T_DEST du réseau à travers le pare-feu PF.

Ce programme est essentiellement constitué d'un module d'initialisation M_INIT, d'un module de confirmation périodique d'authentification M_AUTH_PER, et d'un module de mise à jour et de décision M_MAJ_DEC.

Le module d'initialisation M_INIT a pour fonction de démarrer le processus d'authentification.

Pour ce faire, ce module M_INIT, qui est activé après l'authentification initiale du terminal source T_SOUR

auprès du portail captif PORT, permet à ce terminal source de récupérer le secret partagé S communiqué par le portail PORT, et d'initialiser un compteur n.

Le module de confirmation périodique d ¹ authentification M_AUTH__PER, qui est appelé par le module d'initialisation M_INIT, est propre à élaborer un authentifiant unique et à émettre cet authentifiant sur les ports non bloqués de la couche 3 du modèle OSI, à destination du pare-feu PF.

Comme le suggère symboliquement la figure 4A, l'authentifiant émis est par exemple élaboré comme une fonction f de l'adresse IP du terminal source, du contenu du compteur n, et du secret partagé S.

Le module de mise à jour et de décision M_MAJ_DEC, qui est appelé par le module de confirmation périodique d'authentification M_AUTH_PER, remplit essentiellement deux fonctions.

Tout d'abord ce module incrémente le compteur n en vue de la prochaine authentification du terminal source.

Et d'autre part, le module M_MAJ_DEC surveille la communication avec le pare-feu, de manière à mettre fin à la connexion en cas d'anomalie, et notamment en cas de silence prolongé de la part du pare-feu.

En l'absence d'anomalie, le M_MAJ_DEC appelle à nouveau le module de confirmation périodique d'authentification

M_AUTH_PER pour permettre à ce dernier de procéder à une nouvelle authentification du terminal source T_SOUR auprès

du pare-feu PF pendant la connexion en mode tunnel bloquant.

Le programme illustré à la figure 4B, gui est implanté sur le pare-feu PF, est conçu pour autoriser conditionnellement une connexion en mode tunnel bloquant entre le terminal source T_SOUR et la terminal de destination T_DEST du réseau à travers ce pare-feu PF.

Ce second programme comprend essentiellement un module d'écoute M_ECOUT, un module de sélection M_SELECT, et un module d'analyse et de décision M_ANAL_DEC.

Le module d'écoute M_ECOUT est en permanence à l'écoute du réseau.

Le module de sélection M_SELECT, qui est appelé par le module d'écoute M_ECOUT, est propre à repérer, dans le flux de trames circulant sur la couche 3 du modèle OSI, les trames TR qui constituent les trames d ¹ authentification TR_AUTH du terminal source T_SOUR, et à aiguiller ces trames d ¹ authentification TR_AUTH vers le module d'analyse et de décision M_ANAL_DEC.

Le module d'analyse et de décision M_ANAL_DEC a quant à lui pour fonction de vérifier le contenu des trames d ¹ authentification TR_AUTH reçues du terminal source, c'est-à-dire d'élaborer une fonction de décision g sur la base de ces trames TR_AUTH.

Si les données contenues dans les trames TR_AUTH ne sont pas reconnues comme acceptables, le module d'analyse et de

décision M_MTAL_DEC déclenche une opération INHIB_PF correspondant à la destruction, sur le pare-feu PF, des règles d'accès du terminal source T_SOUR.

Si au contraire les données contenues dans les trames TR_AUTH sont correctes, le module d'analyse et de décision M_ANAL_DEC déclenche une opération Mi\J_PF correspondant à la création ou à la mise à jour, sur le pare-feu PF, des règles d'accès du terminal source T_SOUR.