3. PAP : Password Authentication Protocol
Le protocole PAP est un protocole d’authentification
qui permet d’identifier un utilisateur lors de sa
connexion à un serveur Internet.
Lors de cette authentification, le mot de passe est
transmis en clair.
Le protocole PAP est utilisé avec le protocole PPP. Il
s’agit d’un protocole d’autorisation d’accès pour
l’ouverture d’une session sur le réseau.
4. • Échange en deux étapes (après la demande d’authentification) :
Envoie des informations d’authentification.
Acceptation ou refus.
Méthode simple d’authentification : Emission de la combinaison
utilisateur/password de façon répétée jusqu’à :
Confirmation de l’authentification.
Interruption de la connexion.
PAP n’est pas très efficace :
Mots de passe envoyés en clair.
Aucune protection (Lecture répétée des informations, attaques répétées par
essais et erreurs).
Le nœud s’authentifiant contrôle la fréquence et la durée des tentatives
d’authentification.
Pour le protocole PAP, on a le choix entre une authentification :
Unidirectionnelle : Seul le client est authentifié sur le serveur de compte.
Bidirectionnelle : Chaque hôte authentifie l’autre.
5. Échange en trois étapes (après la demande d’authentification) :
o Confirmation.
o Réponse.
o Acceptation ou refus.
Méthode d’authentification plus évoluée :
Vérification régulière de l’identité du noeud distant (A l’établissement puis à tout
moment).
Authentification dans les deux sens.
Impossibilité de tenter une authentification sans avoir reçu une demande de
confirmation.
Authentification cryptée via l’algorithme MD5 lors du transit sur la liaison.
Efficacité contre le piratage :
Utilisation d’une valeur de confirmation variable, unique et imprévisible.
Répétition des demandes de confirmation visant à limiter la durée d’exposition
aux attaques.
Chaque côté contrôle la fréquence et la durée des tentatives d’authentification.
6.
7.
8.
9.
10. Étape 1. R1 négocie la connexion de la liaison à l’aide du protocole LCP avec le
routeur R2 et les deux systèmes s’accordent à utiliser l’authentification CHAP
lors de la négociation LCP PPP.
Étape 2. Le routeur R2 génère un ID et un numéro aléatoire, et envoie ces
informations ainsi qu’un nom d’utilisateur sous forme de paquet de demande
de confirmation CHAP à R1.
Étape 3. R1 utilisera le nom d’utilisateur du demandeur (R2) et le comparera à
sa base de données locale pour trouver le mot de passe associé. R1 générera un
numéro de hachage MD5 unique en utilisant le nom d’utilisateur, l’ID, le
numéro aléatoire et le mot de passe secret partagé de R2.
Étape 4. Le routeur R1 envoie l’ID de demande de confirmation, la valeur
hachée et son nom d’utilisateur (R1) à R2.
Étape 5. R2 génère sa propre valeur de hachage en utilisant l’ID, le mot de passe
secret partagé et le numéro aléatoire envoyé à l’origine à R1.
Étape 6. R2 compare sa valeur de hachage à la valeur envoyée par R1. Si ces
valeurs sont identiques, R2 envoie une réponse d’établissement de liaison à R1.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20. Le protocole CHAP utilise un système de défi réponse qui
consiste de la part du serveur à envoyer au client une clé destinée
à chiffrer le nom d’utilisateur et le mot de passe dés lors que le
client fait sa demande d’accès.
Avec le protocole CHAP, l’authentification se fait en cinq étapes :
Le serveur envoie une requête contenant son nom : c’est le défi
Le client transforme ce défi avec sa clé et l’algorithme MD 5
Le client envoie son résultat au serveur : c’est la réponse
Le serveur applique le même algorithme avec la clé du
client, puis compare son résultat avec celui du client
Le serveur accorde ou rejette la connexion
21.
22. Un seul paquet de protocole d'authentification (CHAP) est
encapsulé dans le champ information d'une trame de
couche liaison de données PPP où le champ protocole
indique le type en hexadécimal.
Code : Il est défini sur un octet et identifie le type de paquet
CHAP.
1=Challenge 2= Réponse 3= Succès 4= Echec
Identificateur : Le champ identificateur est d'un octet et
permet d’optimiser les étapes
suivantes : challenges, réponses et répliques.
Longueur : Le champ longueur est de deux octets et
indique la longueur du paquet CHAP.
Données : Le champ données est de zéro octets ou plus. Le
format de ce champ est déterminé par le champ code.
28. A. Le protocole PAP connaît un énorme défaut. Il n’est pas
nécessaire de connaître le mot de passe, il suffit juste d'avoir son
cryptogramme. Le risque est qu’une personne intercepte le mot de passe
chiffré, car cette personne pourra se connecter en reproduisant le même
cryptogramme sans même savoir sa signification en clair.
B. La première solution pour remédier à cette faille est l’utilisation
du système One Time Password (OTP), qui permet à chaque utilisateur de se
connecter une seule fois avec son nom d’utilisateur et son mot de passe. A la
prochaine connexion,l’utilisateur devra obtenir de la part de l’administrateur
réseau un nouveau login de connexion ainsi qu’un nouveau mot de passe.
C. La seconde solution pour remédier au problème du protocole
PAP est l’utilisation de CHAP. Si une personne mal intentionnée intercepte
le secret, ellesera incapable d’avoir le mot de passe utilisé puisque celuici
n'est pas transmis.