IPSEC – Protocole qui permet d’encrypter les données qui vont transiter sur un réseau RPV (Réseau Privé
Virtuel). Ce protocole a été défini par l’IETF. Ensemble de normes de sécurité offrant des services de
confidentialité et de d’authentification au niveau de la couche IP (Internet Protocol).
Certaines entreprises souhaitent que les données soient cryptées afin d’échapper aux regards d’éventuels
pirates ou de concurrents mal intentionnés. IPsec est le complément naturel du protocole L2TP. Il adresse
les besoins de confidentialité des données transmises sur Internet. Le standard IPsec est complexe du fait
des nombreuses fonctions qui lui incombent. II inclut en effet les services de confidentialité (encryptage),
d’authentification (certification de l’émetteur), d’intégrité (détection des tentatives de détournement
d’information) et de protection des réémissions. 11 permet ainsi de se protéger contre les réémissions non
autorisées d’informations.
IPsec peut être utilisé au niveau des équipements terminaux ou au niveau de passerelles de sécurité,
permettant ainsi des approches de sécurisation « lien par lien » ou « de bout en bout ». IPsec peut être utilisé
pour créer des réseaux privés virtuels mais aussi pour sécuriser des accès distants. Enfin, pour en finir avec
ses caractéristiques, signalons que IPsec comporte deux modes, le mode transport, qui protège juste les
données transportées, et le mode tunnel, qui protège en plus l’en-tête IP. Avec IPsec, il est donc possible de
renforcer de manière significative la sécurité d’un VPN et de se prémunir efficacement contre tout
détournement des informations transitant sur le réseau.
IPsec fait appel à deux mécanismes de sécurité pour le trafic IP: les mécanismes AH (Authentication
Header) et ESP (Encapsulating Security Payload).
- AH est un entête conçu pour assurer l’intégrité et l’authentification des datagrammes IP sans chiffrement
des données. Son but est d’ajouter aux datagrammes IP classiques un champ supplémentaire permettant,
lorsqu’ils arrivent à destination, de vérifier l’authenticité des données incluses dans le datagramme.
- ESP a, quant à lui, pour objectif d’assurer la confidentialité des données. II peut aussi être utilisé pour
garantir leur authenticité. À partir d’un datagramme IP, l’ESP génère un nouveau datagramme dans lequel
les données, et éventuellement l’en-tête original, sont chiffrés.
AH et ESP utilisent tous les deux un certain nombre de paramètres (algorithmes de chiffrement, clés,
mécanismes sélectionnés…) sur lesquels les équipements doivent s’entendre afin d’être sûrs de pouvoir
communiquer. Ces paramètres sont gérés grâce à la Security Association (SA), une base de données où
sont stockées les informations décrivant l’ensemble des paramètres associés à une communication donnée.
Cette base de données contient donc la clé utilisée pour le cryptage des données. IPsec spécifie en outre
une méthodologie pour la gestion des clés: il s’agit de l’Internet Key Exchange (IKE). Cette méthodologie
décrit une série d’étapes afin de définir les clés utilisées pour l’encryption et pour le décryptage des données.
II s’agit en fait de définir un langage commun afin que les deux parties puissent s’entendre.