Projet de fin d’études (ECE 2008)

Contexte Scolaire

Pour notre projet de fin d’études, nous avons choisi de réunir 3 des Voix d’Approfondissement enseignées à l’ECE : Biométrie (Cartes à puce), Finance, et Internet Professionnel (Sécurité & Web Services).

Contexte Financier

Dans un milieu où les actionnaires se reposent uniquement sur l’Internet pour passer leurs ordres, nous souhaitons mettre en place un système plus modulaire de gestion des portefeuilles électroniques.

Il s’agit de réaliser un module sécurisé de gestion de comptes en ligne, lequel sera accessible d’une part via Internet, mais aussi depuis des bornes extérieures reliées au serveur central. Celles-ci permettront de garantir aux actionnaires un accès perpétuel à leur compte.

L’une des nouveautés de notre solution, est qu’il faudra être muni d’une carte à puce pour accéder à son compte et ainsi garantir la sécurité du client.

Contexte Technologique

Les Transactions Électroniques Sécurisées (TES) sont un enjeu fondamental et stratégique pour la société d’aujourd’hui et de demain. Le défi à relever est celui de la confiance et de la sécurité.

Le pôle de compétitivité TES teste actuellement le paiement sans contact par téléphone portable. Nous pouvons donc imaginer les multiples applications de notre solution dans ce futur proche.

Le projet

Nous proposons de fournir un prototype fonctionnant sur le modèle suivant :

Architecture Générale

Le client doit pouvoir se connecter via son ordinateur muni d’un lecteur de carte à puce sur Internet. L’application cliente se connecte au serveur Web de l’entreprise qui procède à l’authentification via le service de gestion des accès et de la carte à puce. Une fois authentifié, le client peut alors interagir avec ses comptes via le service de gestion des comptes clients.

Le système d’authentification par carte à puce fonctionnera selon le schéma suivant :

L’utilisateur souhaitant accéder au service de gestion du portefeuille d’actions à partir de son navigateur Web utilisera une carte à puce pour s’authentifier auprès du site Internet.

Architecture Carte à puce

Trois modules devront être mis en place :

  • La partie carte à puce : utilisation d’une Javacard contenant un crypto-système pour le service d’authentification, les informations nécessaires à l’accès au service Web et les informations personnelles de l’utilisateur.
  • Une application terminale installée sur la station cliente en tant qu’intermédiaire entre la carte à puce, le serveur Web et le navigateur Web.
  • La partie serveur Web contient le service d’authentification ainsi que le site internet de gestion du portefeuille d’actions.

Virtualisation des serveurs

Afin de simplifier la gestion des serveurs, nous avons décidé de profiter des atouts de la virtualisation. Nous avons donc implémenté un serveur VMWare Linux sur une Dédibox mise à notre disposition pour les besoins du projet. Sur ce serveur, nous avons virtualisé un réseau local (LAN) avec une passerelle d’accès à l’Internet ainsi deux machines PC1 et PC2.

Implémentation & Virtualisation

Comme vous pouvez le constater sur la figure précédente, les machines PC1 et PC2 sécurisent leurs échanges en utilisant le cryptage IPSec. Le PC1 héberge l’autorité de certification ainsi qu’un servlet dispensant un service Web d’authentification. Le PC2 héberge la base de données du projet et les servlets liés à la partie finance.

Les ressources de la Dédibox ne sont pas uniquement employées pour le serveur de virtualisation, mais aussi pour l’hébergement du serveur de sources du projet.

Mise en place de l’IPSec

Pour la mise en place du canal de communication réseau sécurisé par le protocole IPSec, j’ai dû lire une bonne dizaine de tutoriaux.Mon principal souci provenait du fait que je ne souhaitais pas créer un VPN uniquement pour deux machines d’un même réseau local. Je vous propose donc de suivre mon propre tutoriel en cliquant sur les liens suivants, cela afin de vous familiariser avec la bête.

Liste des documents disponibles