ALCASAR, un projet de contrôleur d’accès au réseau basé sur Mageia

« ALCASAR est un contrôleur sécurisé d’accès à Internet pour les réseaux publics ou domestiques. Il authentifie et protège les connexions des utilisateurs indépendamment de leurs équipements (PC, tablette, smartphone, console de jeux, TV, etc.). »

J’ai rencontré les membres d’ALCASAR en 2012 pendant le salon Solutions Linux. J’ai découvert aux détours d’une conversation qu’ils utilisaient Mageia dans le cadre d’un projet professionnel. Le temps a passé… vite ! Mais finalement nous l’avons fait, voici les réponses de Richard Rey à nos questions.

Peux-tu te présenter ? Ton expérience technique, comment es-tu arrivé sur le projet ALCASAR ?

RR: Richard REY (alias Rexy). Je suis directeur adjoint du laboratoire de recherche en sécurité informatique (C+V)° à l’ESIEA « grande école d’ingénieurs des technologies du numérique ». Cette école, qui est une association « loi 1901 », est agréée CTI (Commission des Titres d’Ingénieurs). Elle est implantée sur trois campus (Paris, Ivry et Laval).

J’ai quitté l’armée française il y a quatre ans après avoir effectué 27 années de carrière dans les domaines des télécommunications numériques, de la guerre électronique et de la lutte informatique.

La genèse du projet ALCASAR : Alors que j’étais RSSI d’un grand Commandement, j’ai été confronté à la mise en place sur un grand nombre de sites géographiques d’un outil technique permettant de répondre aux exigences de la Loi pour la Confiance à l’Économie Numérique (LCEN). Cette loi impose de tracer et d’imputer pendant un an toutes les connexions des utilisateurs d’un réseau de consultation Internet. Pour moi, l’objectif était clair : protéger les responsables des réseaux de consultation Internet (ceux qui paient l’abonnement) des enquêtes judiciaires liées aux indélicatesses que peuvent réaliser les utilisateurs connectés sur leurs réseaux (incitation à la haine raciale, proxénétisme, pédopornographie, escroqueries, extorsions, apologie du terrorisme, etc.).

Après plusieurs recherches infructueuses (produits incomplets, trop complexes ou « hors budget »), j’ai décidé de constituer une équipe avec laquelle nous avons conçu ALCASAR (Application Libre pour le Contrôle d’Accès Sécurisé et Authentifié au Réseau).

Peux-tu décrire le projet Alcasar, sa communauté et ses fonctionnalités ?

RR: Dès le début du projet, nous nous sommes imposé des contraintes techniques et éthiques assez fortes : toutes les traces de connexion de tous les protocoles doivent être stockées pendant un an (LCEN). Elles doivent être consultables uniquement par les autorités compétentes (CNIL). Une trace doit intégrer la notion de volume, de durée et doit permettre de retrouver un usager « humain » (un humain n’est pas une adresse IP…).

Le cœur du projet a pris forme autour de quatre briques principales : le serveur Radius freeradius, le NAC (Network Access Controller) coova-chilli, le SGBDR mariadb et le parefeu netfilter.

C’est après avoir ajouté apache et PHP pour proposer une interface d’administration Web conviviale que le projet s’est fait connaître à l’extérieur de la sphère militaire.

De nouvelles fonctionnalités nous ont alors été demandées (filtrage de noms de domaine et d’URL, filtrage de type « blacklist » et « whitelist », filtrage de protocoles, filtrage spécifique par utilisateur ou par groupe d’utilisateurs, import de blacklist/whitelist personnalisées, gestion des temps de connexion, identification par SMS, authentification par adresse MAC, internationalisation des interfaces, etc.).

Fidèle à nos racines militaires, le fonctionnement de la communauté est très pyramidal. Seuls trois ou quatre contributeurs peuvent interagir directement sur notre SVN. Les autres proposent leurs contributions à ces quatre « privilégiés ». Une vingtaine de personnes de toutes nationalités sont actuellement inscrites sur le projet (une dizaine sont actives).

Sur votre page d’accueil, il est indiqué que Mageia fait partie de votre écosystème logiciel. Pourquoi ce choix ?

RR: Au début du projet, j’utilisais la distribution Mandrake Linux qui correspondait à mes besoins professionnels et personnels. J’appréciais tout particulièrement la rigueur des mises à jour de sécurité (pas de mauvaise surprise) et le côté « Made In France ». Nous sommes restés fidèles et avons naturellement fait évoluer ALCASAR sur Mandriva Linux puis sur Mageia. La prochaine version 3.1 d’ALCASAR s’installera sur Mageia 5.1. Nous poursuivrons naturellement ce cycle avec Mageia 6.

Avez-vous une idée des utilisateurs aujourd’hui d’Alcasar ?

RR: En termes de volume : non. En termes d’emploi, nous savons que des ministères français et étrangers l’exploitent. Des entreprises l’ont déployé et l’ont parfois inscrit dans leur politique de sécurité. Nous savons aussi que des ESN l’installent et l’administrent pour le compte de leurs clients. Nous avons pas mal de retours d’hôteliers, de proviseurs, d’associations, de responsables de camping, de clubs de vacances…

Quelles sont les relations entre Alcasar et Mageia ? Contribuez-vous à Mageia ? Comment Mageia peut-il vous aider ?

RR: ALCASAR ne tourne que sur Mageia et il n’est pas question pour l’instant de changer cela. Ce lien intime nous permet de nous consacrer aux évolutions des fonctionnalités plutôt qu’à perdre notre temps à l’adapter pour d’autres distributions.

Nous contribuons assez peu (trop peu à mon goût) à Mageia. Nous remontons les bugs qui ont un impact sur la vingtaine de briques logicielles que nous exploitons. Nous packageons certains logiciels que nous sommes, à mon avis, les seuls à exploiter (HAVP, sonde noyau Netflow, coova-chilli).

Cette entrée a été publiée dans Mageia. Vous pouvez la mettre en favoris avec ce permalien.

5 réponses à ALCASAR, un projet de contrôleur d’accès au réseau basé sur Mageia

  1. zezinho dit :

    Si j’ai bien suivi, les logiciels nécessaires sont dans Mageia, mais pas ALCASAR. Pourquoi?

  2. Rexy dit :

    Bonjour,

    ALCASAR est un système de logiciels qui exploitent de manière particulière une vingtaine de briques élémentaires. La configuration interne de ce système ne permet pas de le « packager » (RPM), car les actions de configuration post installation sont beaucoup trop complexes à réaliser et certaines nécessitent des informations propres à chaque installation qui sont renseignées par l’administrateur.
    Tous les logiciels installés sont sous licence libre. Le code spécifique à ALCASAR est lui même sous licence libre (GPLV3).

  3. JF Bellanger dit :

    Il est utilisé dans les ministères de l’éducation nationale et du ministère de l’intérieur.
    Il fait partie intégrante de la politique de sécurité des systèmes d’information et nous essayons de participer à son amélioration.
    C’est un bon produits qui fait ce qu’on lui demande et il le fait bien.
    Je vous le recommande 😉
    Merci Richard !!!

  4. Rémi Verschelde dit :

    Un gros bravo à Richard et toute l’équipe ALCASAR pour cet excellent projet libre, et un autre bravo pour tous les clients d’ALCASAR qui font le choix du logiciel libre pour leur parc informatique !