Universit De Bretagne Du Sud

Ecole Nationale Suprieure D'ingnieurs De Bretagne-Sud

Architecture technique de scurit : Vote lectronique

Dossier 2 : Scurit des systmes dinformation

Ralis par Adnane AL ECHCHEIKH EL ALOUI

Encadr par M. Charles PREAUX

Anne Universitaire 2011/2012

Sommaire
I. II. 1) 2) 3) 4) 5) 6) 7) 8) 9) 10) 11) Larchitecture technique gnrale .................................................................................................................. 3 le principe de fonctionnement du mcanisme de scurit associ.................................................................. 7 scurisation des postes de travail y compris des nomades : ....................................................................... 7 Mcanismes de TLS : .................................................................................................................................. 7 Mcanismes de Signature lectronique et scellement des donnes : ......................................................... 8 Mcanisme dAuthentification au serveur web CAS.................................................................................. 10 Mcanisme dAuthentification des votants au serveur web ..................................................................... 11 Mcanisme dintra-connexion des sites (VPN) ......................................................................................... 11 Mcanisme dinterconnexion de site (DMZ) ............................................................................................ 13 Mcanisme dAuthentification des Administrateurs ................................................................................. 14 Modes de fonctionnement dgrads qui garantissent la disponibilit globale du systme ........................ 15 Mcanisme de protection locale des donnes ...................................................................................... 15 gestion de la scurit avec service darchivage, service de rpartition de charge et service dhorodatage

12) scurisation et garanti de bon acheminement des Listes Electorales (LE) & Bulletins de Vote (BV) et les rsultats de Vote (RV). ..................................................................................................................................... 18 13) Le droulement du vote ...................................................................................................................... 19

I.

Larchitecture technique gnrale

Notre choix d'architecture gnrale du systme se prsente sur 4 zones de vote, interconnectes entre elles suivant le principe de scurit VPN (Virtual Private Network) qui repose sur un protocole, appel protocole de tunnelisation, c'est--dire un protocole permettant aux donnes passant d'une extrmit l'autre du VPN d'tre scurises par des algorithmes de cryptographie.

Figure1 : Rpartition du systme de vote au niveau national

Figure2 : Zoom sur linterconnexion entre les 4 sites.

Ce schma donne un aperu gnral (zoom sur la carte comme indiqu ci-dessus) sur les diffrents composants dans chaque zone, et linterconnexion entres les 4 zones en utilisant un protocole de Tunneling reposant sur le principe de VPN, pour permettre une meilleure circulation des informations entres les sites et la sauvegarde de la confidentialit. Ce service assure aussi la rapidit et la fluidit de circulation des donnes dans une confidentialit totale via les routeurs Cisco reconnus par la fiabilit et la performance.

On verra par la suite ce que contient chaque zone part. Ici dans ce schma on zoom sur l'une des 4 zones pour voir de prt son architecture. Zoom sur une zone :

Figure3 : Zoom sur larchitecture dun site.

Dans chacune des 4 zones, les votants s'authentifient partir de leurs postes en passant par le rseau Internet via des routeurs, au site web qui permet le vote lectronique, les votants n'ont accs qu' la zone DMZ zone dmilitaris reprsentant une 'zone' contenant des applications qu'on a jug publics et accessibles par les votants telle que (l'authentification, le vote).Sur le schmas on reprsent un Client (VPN), qui fait partie de l'quipe ayant le droit de consulter le droulement du vote, ou titre d'exemple avoir une ide sur le nombre de votants...etc.

La zone DMZ contient les quipements suivant: a. Un serveur d'authentification: qui est un moyen de scurit permettant de filtrer (selon le couple: login/Password), laccs au servie de vote lectronique.

b. Un serveur Web: contenant l'application (le site web), permettant de choisir la rgion (le votant est directement redirig vers la zone qui correspond son emplacement via le serveur DNS), l'authentification, et le vote. c. Serveur d'annuaire: regroupant les informations sur l'ensemble des votants./ Le cadre bleu contenant l'ensemble de serveurs: a. Serveur de vote: ne garde pas les traces de ceux qui ont dj vot (ces traces seront stockes sur le serveur d'margement). b. Serveur de sauvegarde: qui va servir dupliquer et mettre en scurit les donnes contenues dans le serveur de stockage en rseau (NAS: Network Attached Storage). De cette manire on aura toujours un backup des donnes de vote pendant toute sa dure. Le firewall isole la zone DMZ de la zone contenant les diffrents serveurs !

Figure4 : Synchronisation des donnes entre les diffrentes zones.

Pour des raisons de scurit nous avons envisag une mise jour synchrone des donnes stockes dans les serveurs de stockage, ce qui nous permettra dviter, titre dexemple, quun utilisateur vote plusieurs fois, si jamais il change sa position gographique (dune zone une autre). Cette mise jour fera en sorte davoir les mmes donnes, dune manire synchrone, dans les quatre zones en question.

II.

le principe de fonctionnement du mcanisme de scurit associ

1) scurisation des postes de travail y compris des nomades : Les nomades doivent faire l'objet d'un traitement spar au sein du SI. La politique de scurit doit prvoir les mesures qui leur sont spcifiques. Risque : Quels que soient les dispositifs de scurit utiliss pour authentifier un poste nomade distance, ces dispositifs peuvent faillir car le poste nomade est moins protg. Par exemple, les secrets utiliss par le client nomade pour se connecter peuvent tre drobs et exploits par un clone frauduleux de ce client. Il faut donc toujours distinguer l'accs nomade d'un accs interne : seules des donnes exportables vers les clients nomades doivent tre accessibles au niveau du serveur, plac dans un segment d'interface (DMZ) et ddi ces accs. Mme lorsqu'ils sont utiliss au sein de l'organisme, les postes nomades doivent continuer accder aux informations internes via leur accs distant. Dans le cas contraire, ces postes pourraient devenir des vecteurs d'attaque interne par cheval de Troie. La bonne configuration et le maintien jour de son poste de travail sont la meilleure dfense contre les menaces externes. Remarque Dans le cas d'un poste nomade, cette politique est souvent appliquer par l'utilisateur, car le poste n'appartient pas au rseau d'infrastructure. 2) Mcanismes de TLS : Transport Layer Security (TLS), anciennement nomm Secure Socket Layer (SSL), est un protocole de scurisation des changes sur Internet. Il utilise 2 lments dans sa communication : - la clef prive - le certificat. Le certificat contient les informations sur le certificat (autorit de certification / propritaire / algo / validit), la clef publique lie au certificat et la signature du certificat (hash de la clef et des informations sign par la clef prive de l'autorit).

Figure5 : Mcanismes de TLS.

3) Mcanismes de Signature lectronique et scellement des donnes : Signature lectronique est un procd permettant de garantir l'authenticit de l'expditeur et de vrifier l'intgrit du message reu. La signature lectronique assure galement une fonction de non-rpudiation, c'est--dire qu'elle permet d'assurer que l'expditeur a bien envoy le message. L'utilisation d'une fonction de hachage permet de vrifier que l'empreinte correspond bien au message reu, mais rien ne prouve que le message a bien t envoy par celui que l'on croit tre l'expditeur.

Ainsi, pour garantir l'authentification du message, il suffit l'expditeur de chiffrer (on dit gnralement signer) le condens l'aide de sa cl prive (le hach sign est appel sceau) et d'envoyer le sceau au destinataire

Figure6 : Mcanismes de signature elctronique et scellement des donnes .

On va utiliser ce mcanisme pour vrifier lintgrit des donnes (Listes lectorales) envoyes par le ministre, et aussi pour transmettre les rsultats de vote de la CCI centrale.

4) Mcanisme dAuthentification au serveur CAS Le principe d'authentification est le suivant : Les donnes dauthentifications (Identifiant/Mot de passe) personnaliss pour les votants, seront transmis ces derniers via des courriers postaux, et lors de lauthentification, un code de validation sera envoy par tlphone.

Figure7 : mcanisme dauthenfication au serveur web

1. 2. 3. 4. 5. 6. 7. 8.

Un internaute accde une ressource web. Le navigateur est redirig vers le serveur cas Le serveur envoie le formulaire d'authentification Rponse de l'internaute. Le serveur vrifie le couple compte / mot de passe. Le serveur CAS cre un cookie de session (TGC) et redirige le navigateur vers la ressource web avec un Service Ticket (ST) utilisation unique L'application valide le ST en contactant directement le serveur cas qui retourne l'identifiant de la personne. L'internaute accde la ressource demande

CAS : est un systme d'authentification unique : on s'authentifie sur un site Web, et on est alors authentifi sur tous les sites Web qui utilisent le mme serveur CAS. Il vite de s'authentifier chaque fois qu'on accde une application en mettant en place un systme de ticket.
10

5) Mcanisme dAuthentification des votants au serveur web

6) Mcanisme dintra-connexion des sites (VPN)

Figure8 : Mcanisme dintra-connexion des sites (VPN)

Le VPN permet donc d'obtenir une liaison scurise moindre cot, si ce n'est la mise en uvre des quipements terminaux .Le VPN vise apporter certains lments essentiels dans la transmission de donnes : l'authentification (et donc l'identification) des interlocuteurs, la confidentialit des donnes (le chiffrement vise les rendre inutilisables par quelqu'un d'autre que le destinataire).

11

On va utiliser les deux protocoles de tunnelisation. L2TP (Layer Two Tunneling Protocol) Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP. IPsec est un protocole de niveau 3, permettant de transporter des donnes chiffres pour les rseaux IP.
Authentification VPN

Figure9 : Authentification VPN.

12

7) Mcanisme dinterconnexion de site (DMZ)

Figure10 : Mcanisme dinterconnexion de site (DMZ).

La zone dmilitarise est un sous-rseau spar du rseau local et isol de celui-ci et d'Internet par un pare-feu. Ce sous-rseau contient les machines tant susceptibles d'tre accdes depuis Internet. Le pare-feu bloquera donc les accs au rseau local pour garantir sa scurit. Et les services susceptibles d'tre accds depuis Internet seront situs en DMZ. En cas de compromission d'un des services dans la DMZ, le pirate n'aura accs qu'aux machines de la DMZ et non au rseau local.

13

8) Mcanisme dAuthentification des Administrateurs Le schma suivant prsente le processus dauthentification dun administrateur du systme afin deffectuer des modifications au niveau des diffrents serveurs.

Figure11 : Mcanisme dauthentification des administrateurs.

Une fois une connexion scurise quelconque (SSL) tablie entre ladministrateur et le serveur, le protocole d'authentification mutuelle commence : 1. Aprs avoir demand l'utilisateur d'entrer son nom d'utilisateur et son mot de passe dans des champs correspondants, le client envoie son nom d'utilisateur au serveur, ainsi qu'une valeur alatoire qui fait office de challenge. 2. Ce dernier ressort de sa base client le hash du mot de passe, et encrypte le challenge avec ce hash. Il envoie au client le rsultat de cette encryption ainsi qu'une autre valeur alatoire,

14

qui est le challange du client. 3. Le client dcrypte la rponse du serveur et le compare avec la valeur envoye. Si les 2 concordent, le client est alors sr de parler au bon serveur et peut donc encrypter le challenge du serveur avec le hash de son mot de passe et retourner le tout au serveur. 4. Le serveur reoit le hash du client, et le compare avec la valeur de sa base client. Si les 2 correspondent, le client est alors identifi srement.

9) Modes de fonctionnement dgrads qui garantissent la disponibilit globale du systme La disponibilit est aujourd'hui un enjeu important des infrastructures informatiques, et encore plus dans un systme critique tel que le vote lectronique. Pour notre systme nous allons mettre en place les mcanismes suivants pour garantir sa haute disponibilit : Redondance des matriels : La mise en place d'une infrastructure matrielle ddie, gnralement en se basant sur de la redondance matrielle, donc on trouvera la mme infrastructure dans chacune des 4 zones, ce qui nous garantira la disponibilit de notre systme en permanence mme dans le pire des cas o 3 zones sont en pannes. Sauvegarde & Backup : chacune des 4 zones possde un serveur de sauvegarde dans le lequel on
sauvegarde lensemble des donnes des 4 sites (zones).

10)

Mcanisme de protection locale des donnes

Le serveur NAS a pour vocation d'tre accessible depuis les serveurs travers le rseau pour y stocker des donnes. La gestion centralise sous forme de fichiers a plusieurs avantages :

Figure12 : Mcanisme de protection locale des donnes.

15

faciliter la gestion des sauvegardes des donnes d'un rseau ; prix intressant des disques de grande capacit par rapport l'achat de disques en grand nombre sur chaque serveur du rseau ; accs par plusieurs postes clients aux mmes donnes stockes sur le NAS ; rduction du temps d'administration des postes clients en gestion d'espace disques.

RAID 5 : volume agrg par bandes parit rpartie Le RAID 5 combine la mthode du volume agrg par bandes (striping) une parit rpartie. Il s'agit l d'un ensemble redondance. La parit, qui est incluse avec chaque criture se retrouve rpartie circulairement sur les diffrents disques. Chaque bande est donc constitue de blocs de donnes et d'un bloc de parit. Ainsi, en cas de dfaillance de l'un des disques de la grappe, pour chaque bande il manquera soit un bloc de donnes soit le bloc de parit. Si c'est le bloc de parit, ce n'est pas grave, car aucune donne ne manque. Si c'est un bloc de donnes, on peut calculer son contenu partir des autres blocs de donnes et du bloc de parit. L'intgrit des donnes de chaque bande est prserve. Donc non seulement la grappe est toujours en tat de fonctionner, mais il est de plus possible de reconstruire le disque une fois chang partir des donnes et des informations de parit contenues sur les autres disques.

Figure13 : schma dun Raid5.

16

11) gestion de la scurit avec service darchivage, service de rpartition de charge et service dhorodatage Larchitecture gnrale adopte pour ce systme de vote lectronique est rpartie, mais pour la rcupration des rsultats du vote, la gestion dhorodatage, et larchivage des donnes, on met en place une CCI centrale dans laquelle seffectue le traitement de ces oprations.

Figure14 : Linterconnexion entre la CCI centrale avec les 4 zones.

17

12) scurisation et garanti de bon acheminement des Listes Electorales (LE) & Bulletins de Vote (BV) et les rsultats de Vote (RV). Le schma suivant dcrit le mcanisme dacheminement des listes lectorales, ds leur rception du ministre de commerce, aprs le passage par le mcanisme de scellement des donnes dcrit prcdemment.

Figure15 : Acheminement des listes elctorales.

18

13)

Le droulement du vote

1) le SV (Serveur de vote) cre paires de cls publique /prive . 2) le SE (Serveur margement) rcupre toutes les cls de SV (des votants). 3) le SV rcupre cl publique de lSD (serveur de dpouillement). pour le bulletin de vote.

4) le SV(Serveur de vote) cre une cl secrte 5) le SV hache le bulletin de vote 6) le SV fait le brouillage du bulletin de vote.

7) le SV cre aussi une signature du bulletin brouill avec sa cl prive 8) le SV envoie bulletin + signature au SE.

9) le SE vrifie la signature du SV avec la cl publique correspondante. 10)le SE marque le votant comme ayant vot ou rfuse son vote sil a dj vot. 11)le SE signe en aveugle le bulletin brouill

19

12)le SE renvoie le bulletin sign au SV. 13)SV d-brouille le bulletin. 14)SV chiffre le bulletin de vote avec la cl secrte . 15)SV envoie au SD(serveur de dpouillement). le bulletin de vote hach et sign, ainsi que le bulletin de vote chiffr. 16)SD(serveur de dpouillement). vrifie la signature du bulletin hach et place le bulletin crypt dans la liste des votes compter. 17)SD renvoie le bulletin hach, sign par lSD mme. 18)SV vrifie signature de lSD, la garde comme accus de rception, et renvoie sa cl secrte lSD. reues et fait les dcomptes.

19)SD dcrypte les bulletins avec les cls secrtes

20