Élèves et enseignants, à chacun son accès réseau

Les faits

Le projet Eole, en charge d'élaborer des projets d'architecture internet-intranet au sein de l'académie de Dijon, a entamé le déploiement de NuFW, d'INL, une solution libre d'authentification. Au total 7 000 pare-feu Linux seront mis à jour d'ici à deux ans sur tout le territoire.

L'analyse

' Les connexions réseaux des établissements scolaires ne sont pas sécurisées ', constatait tout net en 1999 Luc Bourdot, à l'époque administrateur système du rectorat de Dijon. Depuis, chargé de projet des accès internet des collèges et lycées, il crée, en 2001, le pôle Eole (Ensemble ouvert libre et évolutif). L'objectif est de proposer des solutions clés en main pour la mise en place de serveurs intranet-internet avec, comme son nom l'indique, des applications issues du monde du libre gratuites sous licence GPL. En sortira une distribution au nom éponyme basée sur Ubuntu qui, forte de son succès, sera présente quatre ans plus tard dans neuf académies sur dix. Eole est composé de sept modules (messagerie, collaboratif, serveur de fichiers, etc.), le module Amon prenant en charge la sécurité.En matière d'accès réseau, l'établissement scolaire est un cas particulier. Très peu d'utilisateurs disposent d'un ordinateur dédié et les enseignants, en fonction de leur emploi du temps, sont amenés à utiliser différents postes. Ce phénomène de nomadisme interne pose un réel problème de sécurité. Sachant qu'élèves et professeurs peuvent également être conduits à utiliser le même point d'accès, le pare-feu dans son utilisation basique ne remplit plus son rôle de rempart. Il est nécessaire de protéger les premiers des dangers d'internet, tout en laissant plus de libertés aux seconds. De même, les établissements scolaires utilisant de plus en plus l'outil informatique pour leurs procédures internes s'exposent à de nouveaux types de malversations. La falsification de bulletins scolaires, par exemple, en fait partie. ' Nous ne pouvions plus nous contenter de réglementer les accès en fonction de l'adresse IP ', résume Luc Bourdot. Une méthode d'authentification s'avérait donc indispensable. Si une solution forte paraît comme étant la plus appropriée, elle n'est pas la plus simple à déployer, et reste encore assez onéreuse. ' Cela fait partie de la philosophie d'Eole, à savoir proposer une offre simple à mettre en ?"uvre avec une tarification accessible étant donné les budgets alloués aux systèmes d'informations ', ajoute Luc Bourdot. Depuis deux ans, Eole et la société INL travaillent à la mise en ?"uvre d'une solution alternative.

Différencier adresse IP et utilisateur

Au final, Amon est constitué du pare-feu NetFilter, auquel s'ajoute la version 2.2 du module NuFW d'INL. Ce dernier se greffe au pare-feu en tant que serveur d'authentification, lui permettant ainsi de s'affranchir de l'équation ' adresse IP = utilisateur '. NuFW s'appuie sur le système d'authentification utilisé pour l'ouverture de la session utilisateur et, grâce à la bibliothèque PAM (Pluggable Authentification Module), est relié à l'annuaire qui contient les règles utilisateur. Un agent est installé sur chaque poste de travail et reste en liaison avec le serveur d'authentification à qui il fournira, au moment de la requête réseau, les informations sur l'utilisateur.Le module prévient aussi les attaques type IP spoofing ou ARP spoofing (Address Resolution Protocol) grâce au principe de ' quadruplet '. Un quadruplet est constitué des adresses IP source et destination, et des ports source et destination. En cas de tentative d'usurpation adresse, un de ces éléments, en l'occurrence le port source, ne sera jamais le même. En effet, à l'établissement d'une connexion, chaque flux sort du réseau via un port différent qu'il est impossible de prévoir ou de s'attribuer indûment.