Yoann Gini

Vous l’aurez certainement lu sur le site d’Apple, OS X Snow Leopard Server embarque un service dédié à l’accès mobile pour sécuriser l’accès à vos ressources interne sans avoir à mettre en place un système VPN lourd pour l’utilisateur. Voyons voir sur quel principe repose ce système est en quoi il est plus pratique qu’un VPN.

Comme dit sur le site d’Apple, le service Mobile Access s’appuie sur la technologie Transport Layer Security (TLS), anciennement nommé Secure Socket Layer (SSL), qui offre une méthode de chiffrement des données applicable à tout type de service, elle nécessite cependant un certificat X.509 pour fonctionner, de préférence signé par une autorité de certification. Pour simplifier l’histoire retenons simplement que via un système de certificat signé votre ordinateur peut attester de l’authenticité du serveur avec qui vous communiquez et bloque ainsi les attaques de type Man In the Middle. Dans le cas d’utilisation de certificats non signé par une autorité de certification il vous faudra fournir la clef publique du serveur de manière sécurisé à vos clients.

Ces rappels théoriques étant fait, regardons comment agit le service Mobile Access. Le principe est très simple, il est question de sécurisé l’accès aux sites web internes de la société ainsi qu’aux mails. L’accès standard à un site web se fait via le protocole HTTP et pour le mail on utilisera le SMTP et l’IMAP. Ces protocoles dispose justement d’une version sécurisé par TLS, l’HTTPS, le SMTP à travers SSL et l’IMAP à travers SSL. L’idée est donc de mettre en place un Reverse Proxy qui s’occupera de prendre tous les accès distants à travers SSL et de les renvoyer à des serveurs interne inaccessible depuis Internet.

De manière schématisé :

L’intérêt de ce système est multiple, entre autre la charge processeur nécessaire à déchiffrer les connexions SSL/TLS sera ici assuré par un serveur dédié à cette tâche, ce qui ne perturbera donc pas les autres services hébergé par votre serveur web, de plus vous allez pouvoir avoir plusieurs serveurs web accessible depuis le net.

D’autre part, ce service est conçu pour une intégration transparente pour les utilisateurs. Lorsque vous êtes dans une société il est courent de placer vos sites web d’intranet dans vos favoris Safari pour une utilisation plus aisé, dans ce cas vos favoris sont enregistrés en HTTP et non HTTPS. Ce que fera le serveur Mobile Access c’est qu’automatiquement, pour les accès externe, l’URL HTTP sera redirigée vers sa version HTTPS, sans que l’utilisateur n’ai quoi que ce soit à faire.

Les possibilités de ce service ne s’arrête pas là, il permet également de choisir quel utilisateur a le droit d’accéder à distance à vos services. Ainsi dans le cadre d’un site de suivi de production, un commercial doit avoir accès au site a distance, par contre ce n’est pas nécessaire pour le chef d’atelier, le choix se fera par la restriction d’utilisation de service. Pour que cela soit valable il faudra donc qu’il y ait une authentification au niveau du serveur Mobile Access, lorsque l’utilisateur se connectera depuis l’extérieur il sera donc accueillit par une page d’authentification.

Une fois authentifié, le site voulu est affiché. À noter que lorsqu’un utilisateur choisi de rester identifié, c’est pour une durée pré-déterminée par l’administrateur et choisi dans la configuration du service. Aussi si un utilisateur perd ses droits d’accès distant durant cette période le service le rejettera quand même.