IPSec est une suite de protocoles qui permet des communications sécurisées et cryptées entre deux ordinateurs sur un réseau non sécurisé. Le cryptage, appliqué au niveau de la couche réseau IP, est transparent pour la plupart des applications qui utilisent des protocoles spécifiques pour les communications réseau. Il offre une sécurité de bout en bout, les paquets IP étant cryptés par l'ordinateur émetteur, et n'étant pas lisibles sur le trajet. Ils ne peuvent être décryptés que par l'ordinateur destinataire.

Présentation

IPSec est une norme complexe, mise en place par l'IETF. Elle fournit les services suivants lors des transmissions de type TCP/IP :

• contrôle d'accès
• intégrité des paquets de données IP transmis sur le réseau
• authentification de l'origine des données (Kerberos, certificats ou clé à secret partagé)
• rejet de paquets redondants
• confidentialité (masquer les adresses IP d'origine lorsqu'elles sont en route).

Bien qu'assurant des fonctions pouvant paraître voisines, IPSec se distingue des systèmes de type PKI/PGP par des moyens différents :

• les PKI assurent un cryptage et une authentification au niveau logique des messages à envoyer,
• IPSec concerne essentiellement le transport physique des informations par le biais d'encapsulation et de codage des messages transmis par IP. Son application principale réside dans la sécurisation des liaisons (entre serveurs, postes, réseaux...). Il est disponible sous Windows 2000.

IKE (Internet Key Exchange) : est le sous-protocole gérant l'établissement des relations, la reconnaissance des interlocuteurs et l'échange des clés de sécurité. Il est alors fait appel aux algorithmes connus :

• cryptage : DES et 3DES
• clés publiques : DAS, RSA, Diffie-Hellman
• hachage (empreinte) : MD5 et SHA

Lors des échanges, IPSec propose deux niveaux de sécurité, grâce à deux sous-protocoles :

• AH (Authentication Header) : entête d'authentification qui garantit l'intégrité et l'origine des données mais ne protège pas la confidentialité.
• ESP (Encapsulating Security Payload) : outre les fonctions de AH, assure la confidentialité par encapsulation.

Dans la pratique, des messages utilisant les PKI pourront voyager dans des tunnels IPSec.