Le rôle Serveur NPS et Protection d’accès réseau
1
Vue d'ensemble du module
• Installation et configuration d'un serveur NPS
•Configuration de clients et de serveurs RADIUS
•Méthodes d'authentification NPS
•Analyse et dépannage d'un serveur NPS
2
Leçon 1 : Installation et configuration d'un serveur NPS
•Qu'est-ce qu'un serveur NPS ?
•Scénarios d'utilisation d'un serveur NPS
•Démonstration : Comment installer le serveur NPS
•Outils de gestion d'un serveur NPS
•Démonstration : Configuration des paramètres NPS généraux
3
Qu'est-ce qu'un serveur NPS ?
Serveur NPS Windows Server 2008 :
• Serveur RADIUS
• Proxy RADIUS
• Protection d'accès réseau (NAP)
4
Scénarios d'utilisation d'un serveur NPS
Les scénarios suivants sont propices à l'utilisation d'un serveur NPS :
• Protection d'accès réseau (NAP)
• Contrainte de mise en conformité pour le trafic IPsec
• Contrainte de mise en conformité pour l'accès 802.1x câblé et sans fil
• Contrainte de mise en conformité pour le protocole DHCP
• Contrainte de mise en conformité pour VPN
• Accès câblé et sans fil sécurisé
• RADIUS
• Passerelle Terminal Server
5
Outils de gestion d'un serveur NPS
Outils disponibles pour la gestion d'un serveur NPS :
• Ligne de commande netsh pour configurer tous les aspects du serveur NPS, notamment :
• Commandes de serveur NPS
• Commandes de client RADIUS
• Commandes de stratégie de demande de connexion
• Commandes de groupe de serveurs RADIUS distants
• Commandes de stratégie réseau
• Commandes de protection d'accès réseau
• Commandes de comptes
• Console MMC NPS
6
Leçon 2 : Configuration de clients et de serveurs RADIUS
•Qu'est-ce qu'un client RADIUS ?
•Qu'est-ce qu'un proxy RADIUS ?
•Démonstration : Configuration d'un client RADIUS
•Configuration du traitement des demandes de connexion
•Qu'est-ce qu'une stratégie de demande de connexion ?
•Démonstration : Création d'une nouvelle stratégie de demande de connexion
7
Qu'est-ce qu'un client RADIUS ?
• Les clients RADIUS sont des serveurs d'accès réseau, par exemple :
• Points d'accès sans fil
• Commutateurs d'authentification 802.1x
• Serveurs VPN
• Serveurs d'accès à distance
• Le serveur NPS est un serveur RADIUS
• Les clients RADIUS envoient des demandes de connexion et des messages de comptes aux serveurs RADIUS pour l'authentification, l'autorisation et la gestion de comptes
8
Qu'est-ce qu'un proxy RADIUS ?
Un proxy RADIUS est requis pour :
• Les fournisseurs de services sous-traitant des services d'accès réseau à distance, VPN ou sans fil
• Authentifier et autoriser les comptes d'utilisateurs qui ne sont pas des membres Active Directory
• Authentifier et autoriser les utilisateurs en utilisant une base de données qui n'est pas une base de données de comptes Windows
• Équilibrer la charge des demandes de connexion entre plusieurs serveurs RADIUS
Un proxy RADIUS reçoit des tentatives de connexion des clients RADIUS et les transmet au serveur RADIUS approprié ou à un autre proxy RADIUS pour d'autres opérations de routage
• Fournir le service RADIUS aux fournisseurs de services sous-traités et limiter les types de trafic par le biais du pare-feu
9
Démonstration : Configuration d'un client RADIUS
Dans cette démonstration, vous allez apprendre à :
•Ajouter un nouveau client RADIUS au serveur NPS
•Configurer le service de routage et d'accès à distance en tant que client RADIUS
10
Configuration du traitement des demandes de connexion
Configuration Description
Authentification locale / RADIUS
• L'authentification locale est effectuée par rapport à la base de données des comptes de sécurité locale ou Active Directory. Des stratégies de connexion existent sur ce serveur
• L'authentification RADIUS transmet la demande de connexion à un serveur RADIUS à des fins d'authentification par rapport à une base de données de sécurité. Le serveur RADIUS gère un magasin central de toutes les stratégies de connexion
Groupes de serveurs RADIUS
Utilisés lorsqu'un ou plusieurs serveurs RADIUS sont capables de gérer des demandes de connexion. La charge des demandes de connexion est équilibrée selon des critères spécifiés lors de la création du groupe de serveurs RADIUS si plusieurs serveurs RADIUS figurent dans le groupe
Ports par défaut pour la gestion de comptes et l'authentification avec RADIUS
Les ports requis pour les demandes de comptes et d'authentification qui sont transmises à un serveur RADIUS sont UDP 1812/1645 et UDP 1813/1646
11
Qu'est-ce qu'une stratégie de demande de connexion ?
Stratégies de demande de connexion disponibles :
• Des conditions, telles que :
• Protocole de trames
• Type de service
• Type de tunnel
• Restrictions relatives aux jours et aux heures
Les stratégies de demande de connexion sont des jeux de conditions et de paramètres qui désignent les serveurs RADIUS qui authentifient et autorisent les demandes de connexion que le serveur NPS reçoit des clients RADIUS
• Des paramètres, tels que :
• Authentification
• Gestion
• Manipulation d'attribut
• Paramètres avancés
Les stratégies de demande de connexion personnalisées sont requises pour transmettre la demande à un autre proxy, serveur RADIUS ou groupe de serveurs pour l'autorisation et l'authentification, ou pour spécifier un autre serveur pour les informations de comptes
12
Démonstration : Création d'une nouvelle stratégie de demande de connexion
Dans cette démonstration, vous allez apprendre à :
•Utiliser l'Assistant Stratégie de demande de connexion pour créer une stratégie de demande de connexion
•Désactiver ou supprimer une stratégie de demande de connexion
13
Leçon 3 : Méthodes d'authentification NPS
•Méthodes d'authentification par mot de passe
•Utilisation de certificats pour l'authentification
•Certificats requis pour les méthodes d'authentification NPS
•Déploiement de certificats pour l'authentification PEAP et EAP
14
Méthodes d'authentification par mot de passe
Méthodes d'authentification disponibles pour un serveur NPS :
• MS-CHAPv2
• MS-CHAP
• CHAP
• PAP
• Accès non authentifié
15
Utilisation de certificats pour l'authentification
Authentification basée sur les certificats sur le serveur NPS :
• Types de certificats :
• Certificat d'autorité de certification : vérifie le chemin d'accès d'approbation d'autres certificats
• Certificat d'ordinateur client : délivré à l'ordinateur pour prouver son identité au serveur NPS pendant l'authentification
• Certificat de serveur : délivré à un serveur NPS pour prouver son identité aux ordinateurs clients pendant l'authentification
• Certificat d'utilisateur : délivré aux individus pour prouver leur identité aux serveurs NPS pendant l'authentification
• Vous pouvez obtenir des certificats auprès de fournisseurs d'autorité de certification publique ou vous pouvez héberger vos propres services de certificats Active Directory
• Pour spécifier l'authentification basée sur les certificats dans une stratégie réseau, configurez les méthodes d'authentification sous l'onglet Contraintes
16
Certificats requis pour les méthodes d'authentification NPS
Type Impératifs
Certificats de serveur
• Doivent contenir un attribut Objet qui n'est pas NULL
• Doivent être liés à une autorité de certification racine de confiance
• Doivent être configurés avec le rôle Authentification du serveur dans les extensions EKU
• Doivent être configurés avec l'algorithme requis du chiffrement RSA avec une longueur de clé minimale de 2 048 octets
• L'extension Autre nom de l'objet, si elle est utilisée, doit contenir le nom DNS
Certificats clients
• Doivent être émis par une autorité de certification d'entreprise ou mappés à un compte dans Active Directory
• Doivent être liés à une autorité de certification racine de confiance
• Pour les certificats d'ordinateur, l'autre nom de l'objet doit contenir le nom de domaine complet
• Pour les certificats utilisateur, l'autre nom de l'objet doit contenir le nom de l'utilisateur principal (UPN)
Tous les certificats doivent répondre aux spécifications de la norme X.509 et fonctionner avec des connexions SSL/TLS
17
Déploiement de certificats pour l'authentification PEAP et EAP
• Pour les comptes d'ordinateurs et d'utilisateurs de domaine, utilisez la fonctionnalité d'inscription automatique dans la Stratégie de groupe
• Pour l'inscription de non-membres du domaine, un administrateur doit demander un certificat d'utilisateur ou d'ordinateur à l'aide de l'outil Inscription de l'autorité de certification via le Web
• L'administrateur doit enregistrer le certificat d'utilisateur ou d'ordinateur sur une disquette ou tout autre support amovible, puis installer manuellement le certificat sur l'ordinateur n'appartenant pas au domaine
• L'administrateur peut distribuer des certificats utilisateur sur une carte à puce
18
Vue d'ensemble du module
•Vue d'ensemble de la protection d'accès réseau
• Fonctionnement de la protection d'accès réseau
•Configuration de la protection d'accès réseau
•Analyse et dépannage de la protection d'accès réseau
Configuration de la protection d'accès réseau
19
Leçon 1 : Vue d'ensemble de la protection d'accès réseau
•Qu'est-ce que la protection d'accès réseau ?
•Scénarios de protection d'accès réseau
•Méthodes de contrainte de mise en conformité NAP
•Architecture de la plateforme NAP
• Interactions dans une architecture NAP
• Infrastructure NAP côté client
• Infrastructure NAP côté serveur
•Communication entre les composants de la plateforme NAP
20
La protection d'accès réseau peut :
Qu'est-ce que la protection d'accès réseau ?
• Mettre en vigueur des stratégies de spécification d'intégrité sur les ordinateurs clients 0
• Restreindre l'accès réseau des ordinateurs exécutant des versions de Windows antérieures à Windows XP SP2 lorsque des règles d'exception sont configurées pour ces ordinateurs
• Assurer la mise à jour des ordinateurs qui ne répondent pas aux spécifications d'intégrité
La protection d'accès réseau ne peut pas :
• Empêcher des utilisateurs autorisés équipés d'ordinateurs conformes d'effectuer des opérations malveillantes sur le réseau
• Restreindre l'accès réseau des ordinateurs exécutant des versions de Windows antérieures à Windows XP SP2 lorsque des règles d'exception sont configurées pour ces ordinateurs
21
Scénarios de protection d'accès réseau
La protection d'accès réseau est utile pour l'infrastructure réseau car elle vérifie l'état d'intégrité des ordinateurs suivants :
• Ordinateurs portables itinérants
• Ordinateurs de bureau
• Ordinateurs portables externes à l'entreprise
• Ordinateurs non gérés destinés à un usage privé
22
Méthode Points clés
Contrainte de mise en conformité IPsec pour les communications protégées par IPsec
• L'ordinateur doit être conforme pour pouvoir communiquer avec d'autres ordinateurs conformes
• Type de contrainte de mise en conformité NAP le plus puissant, qui peut être appliqué en fonction d'une adresse IP ou d'un numéro de port de protocole
Contrainte de mise en conformité 802.1X pour les connexions câblées ou sans fil authentifiées par le protocole IEEE 802.1X
• L'ordinateur doit être conforme pour pouvoir obtenir un accès illimité via une connexion 802.1X (commutateur d'authentification ou point d'accès)
Contrainte de mise en conformité VPN pour les connexions d'accès à distance
• L'ordinateur doit être conforme pour pouvoir obtenir un accès illimité via une connexion d'accès à distance
Contrainte de mise en conformité par DHCP pour la configuration d'adresse basée sur DHCP
• L'ordinateur doit être conforme pour pouvoir recevoir une configuration d'adresse IPv4 à accès illimité de DHCP
• Il s'agit de la forme de contrainte de mise en conformité NAP la plus faible
Méthodes de contrainte de mise en conformité NAP
23
Architecture de la plateforme NAP
Intranet
Serveurs de mise à jour
Internet Serveur
de stratégie de contrôle
d'intégrité NAP
Serveur DHCP
Autorité HRA
Périphériques IEEE 802.1X
Active Directory
Serveur VPN
Réseau restreint
Client NAP avec accès limité
Réseau de périmètre
24
Interactions dans une architecture NAP
HRA
Serveur VPN
Serveur DHCP
Périphériques d'accès réseau IEEE 802.1X
Serveur de spécification
d'intégrité
Serveur de mise à jour
Client NAP Serveur de stratégie de contrôle
d'intégrité NAP
Messages RADIUS
Mises à jour d'intégrité système
Spécifications d'intégrité
système Requêtes
25
Infrastructure NAP côté client
Client NAP
Serveur de mise à jour 2
Serveur de mise à jour 1
Agent NAP
API du client de contrainte de mise en conformité NAP
Client de contrai
nte de mise en
conformité NAP_A
Client de contrai
nte de mise en
conformité NAP_B
Client de contrai
nte de mise en
conformité NAP_C
API de l'agent d'intégrité système
SHA_1 SHA_2 SHA_3
. . .
. . .
26
Infrastructure NAP côté serveur
Serveur de spécification d'intégrité 2
Serveur de spécification d'intégrité 1
Serveur d'administration NAP
API du programme de validation d'intégrité système
SHV_1 SHV_2 SHV_3
. . .
Service NPS
Serveur de stratégie de
contrôle d'intégrité NAP
Serveur de contrainte de mise en conformité
NAP_A
Serveur de contrainte de mise en conformité
NAP_B
Serveur de contrainte de mise en conformité
NAP_C . . .
Point de contrainte de mise en
conformité NAP Windows
RADIUS
27
Communication entre les composants de la plateforme NAP
Serveur de stratégie de
contrôle d'intégrité
NAP
Point de contrainte de mise en
conformité NAP Windows
Serveur d'administration NAP
API du programme de validation d'intégrité système
SHV_1 SHV_2 SHV_2
Service NPS
RADIUS
Serveur de spécification d'intégrité 1
Serveur de spécification d'intégrité 2
Agent NAP
API du client de contrainte de mise en conformité NAP
Client de contrainte de mise en conformité
NAP_A
API de l'agent d'intégrité système
SHA1 SHA2
Client NAP
Serveur de mise à jour 1
Serveur de mise à jour 2
Serveur de contrainte de
mise en conformité
NAP_B
Serveur de contrainte de
mise en conformité
NAP_A
Client de contrainte de mise en conformité NAP_B
28
Leçon 2 : Fonctionnement de la protection d'accès réseau
• Processus de contrainte de mise en conformité NAP
• Fonctionnement de la contrainte de mise en conformité IPsec
• Fonctionnement de la contrainte de mise en conformité 802.1X
• Fonctionnement de la contrainte de mise en conformité VPN
• Fonctionnement de la contrainte de mise en conformité par DHCP
29
Serveur de stratégie de
contrôle d'intégrité
NAP
Point de contrainte de mise en conformité
NAP Windows
Serveur d'administration NAP
API du programme de validation d'intégrité système
SHV_1 SHV_2 SHV_2
Service NPS
RADIUS
Serveur de spécification d'intégrité 1
Serveur de spécification d'intégrité 2
Agent NAP
API du client de contrainte de mise en
conformité NAP
Client de contrainte de mise en conformité
NAP_A
Client de contrainte de mise en conformité
NAP_B
API de l'agent d'intégrité système
SHA1 SHA2
Client NAP
Serveur de mise à jour 1
Serveur de mise à jour 2
Serveur de contrainte de
mise en conformité
NAP_B
Serveur de contrainte de
mise en conformité
NAP_A
Pour valider l'accès à un réseau en fonction de l'intégrité du système, une infrastructure réseau doit fournir les fonctionnalités suivantes :
• Validation des stratégies de contrôle d'intégrité : détermine si les ordinateurs sont conformes aux spécifications des stratégies de contrôle d'intégrité
• Limitation de l'accès réseau : limite l'accès des ordinateurs non conformes
• Mise à jour automatique : fournit les mises à jour nécessaires pour permettre à un ordinateur non conforme de devenir conforme
• Conformité constante : met automatiquement à jour les ordinateurs conformes afin qu'ils intègrent les modifications régulièrement apportées aux spécifications des stratégies de contrôle d'intégrité
Processus de contrainte de mise en conformité NAP
30
Intranet
Serveurs de mise à jour
Internet Serveur de stratégie de
contrôle d'intégrité
NAP
Serveur DHCP
Autorité HRA
Périphériques IEEE 802.1X
Active Directory
Serveur VPN
Réseau restreint
Client NAP avec accès limité
Réseau de périmètre
Fonctionnement de la contrainte de mise en conformité IPsec
Points clés de la contrainte de mise en conformité NAP IPsec :
• Inclut un serveur de certificats d'intégrité et un client de contrainte de mise en conformité NAP IPsec
• Le serveur de certificats d'intégrité délivre des certificats X.509 aux clients de quarantaine lorsque ces derniers prouvent qu'ils sont conformes
• Les certificats sont ensuite utilisés pour authentifier les clients NAP lorsqu'ils établissent des communications protégées par IPsec avec d'autres clients NAP sur un intranet
• La contrainte de mise en conformité IPsec restreint la communication sur un réseau aux nœuds considérés comme conformes
• Vous pouvez définir des spécifications pour les communications sécurisées avec des clients conformes en fonction d'une adresse IP ou d'un numéro de port TCP/UDP
31
Intranet
Serveurs de mise à jour
Internet Serveur de stratégie
de contrôle d'intégrité
NAP
Serveur DHCP
Autorité HRA
Périphériques IEEE 802.1X
Active Directory
Serveur VPN
Réseau restreint
Client NAP avec accès limité
Réseau de périmètre
Fonctionnement de la contrainte de mise en conformité 802.1X
Points clés de la contrainte de mise en conformité NAP pour les connexions 802.1X câblées ou sans fil :
• L'ordinateur doit être conforme pour pouvoir obtenir un accès réseau illimité via une connexion réseau authentifiée par le protocole 802.1X
• L'accès des ordinateurs non conformes est limité au moyen d'un profil d'accès restreint que le commutateur Ethernet ou le point d'accès sans fil place sur la connexion
• Les profils d'accès restreint peuvent spécifier des filtres de paquets IP ou un identificateur de réseau local virtuel (VLAN) qui correspond au réseau restreint
• La contrainte de mise en conformité 802.1X analyse activement l'état d'intégrité du client NAP connecté et applique le profil d'accès restreint à la connexion si le client devient non conforme
La contrainte de mise en conformité 802.1X comprend le serveur NPS dans Windows Server 2008 et un client de contrainte de mise
en conformité EAPHost dans Windows Vista, Windows XP SP2 (avec le Client NAP pour Windows XP) et Windows Server 2008
32
Intranet
Serveurs de mise à jour
Internet Serveur de stratégie
de contrôle d'intégrité
NAP
Serveur DHCP
Autorité HRA
Périphériques IEEE 802.1X
Active Directory
Serveur VPN
Réseau restreint
Client NAP avec accès limité
Réseau de périmètre
Points clés de la contrainte de mise en conformité NAP VPN :
• L'ordinateur doit être conforme pour pouvoir obtenir un accès réseau illimité via une connexion VPN d'accès à distance
• L'accès réseau des ordinateurs non conformes est limité au moyen d'un jeu de filtres de paquets IP appliqués à la connexion VPN par le serveur VPN
• La contrainte de mise en conformité VPN analyse activement l'état d'intégrité du client NAP et applique les filtres de paquets IP du réseau restreint à la connexion VPN si le client devient non conforme
La contrainte de mise en conformité VPN comprend le serveur NPS dans Windows Server 2008 et un client de contrainte de mise en conformité
VPN qui fait partie du client d'accès à distance dans Windows Vista, Windows XP SP2 (avec le Client NAP pour Windows XP) et Windows Server 2008
Fonctionnement de la contrainte de mise en conformité VPN
33
Intranet
Serveurs de mise à jour
Internet Serveur de stratégie
de contrôle d'intégrité
NAP
Serveur DHCP
Autorité HRA
Périphériques IEEE 802.1X
Active Directory
Serveur VPN
Réseau restreint
Client NAP avec accès limité
Réseau de périmètre
Points clés de la contrainte de mise en conformité NAP par DHCP :
• Un ordinateur doit être conforme pour pouvoir obtenir une configuration d'adresse IPv4 pour un accès illimité à partir d'un serveur DHCP
• Pour les ordinateurs non conformes, l'accès réseau est limité par une configuration d'adresse IPv4 qui autorise uniquement l'accès au réseau restreint
• La contrainte de mise en conformité par DHCP analyse activement l'état d'intégrité du client NAP et renouvelle la configuration d'adresse IPv4 pour l'accès au réseau restreint uniquement, si le client devient non conforme
La contrainte de mise en conformité par DHCP comprend un serveur de contrainte de mise en conformité par DHCP qui fait partie du service
Serveur DHCP de Windows Server 2008, et un client de contrainte DHCP qui fait partie du service Client DHCP de Windows Vista, Windows XP SP2 (avec le Client NAP pour Windows XP) et Windows Server 2008
Fonctionnement de la contrainte de mise en conformité par DHCP
34
Leçon 3 : Configuration de la protection d'accès réseau
•Qu'est-ce que les programmes de validation d'intégrité système ?
•Qu'est-ce qu'une stratégie de contrôle d'intégrité ?
•Qu'est-ce que les groupes de serveurs de mise à jour ?
•Configuration du client NAP
•Démonstration : Utilisation de l'Assistant de configuration NAP pour appliquer des stratégies d'accès réseau
35
Qu'est-ce que les programmes de validation d'intégrité système ?
Les programmes de validation d'intégrité système sont les équivalents côté serveur des agents d'intégrité système
• Chaque agent d'intégrité système sur le client possède un programme de validation d'intégrité système correspondant dans le service NPS
• Les programmes de validation d'intégrité système permettent au service NPS de vérifier la déclaration d'intégrité produite par l'agent d'intégrité système correspondant sur le client
• Les programmes de validation d'intégrité système contiennent les paramètres de configuration requis sur les ordinateurs clients
• Le programme de validation d'intégrité système de la sécurité Windows correspond à l'agent d'intégrité système Microsoft sur les ordinateurs clients
36
Qu'est-ce qu'une stratégie de contrôle d'intégrité ?
Pour pouvoir exploiter le programme de validation d'intégrité de la sécurité Windows, vous devez configurer une stratégie de contrôle d'intégrité et lui affecter le programme de validation d'intégrité système
• Les stratégies de contrôle d'intégrité incluent un ou plusieurs programmes de validation d'intégrité système, ainsi que d'autres paramètres, qui vous permettent de définir les critères de configuration des ordinateurs clients pour les ordinateurs compatibles NAP qui tentent de se connecter à votre réseau
• Vous pouvez définir des stratégies de contrôle d'intégrité des clients dans le service NPS en ajoutant un ou plusieurs programmes de validation d'intégrité système à la stratégie de contrôle d'intégrité
• La contrainte de mise en conformité NAP est accomplie par le serveur NPS et les stratégies sont spécifiques à un réseau
• Une fois que vous avez créé une stratégie de contrôle d'intégrité en ajoutant un ou plusieurs programmes de validation d'intégrité système à la stratégie, vous pouvez ajouter la stratégie de contrôle d'intégrité à la stratégie réseau et activer la contrainte de mise en conformité NAP dans la stratégie
37
Qu'est-ce que les groupes de serveurs de mise à jour ?
Lorsque la contrainte de mise en conformité NAP est mise en oeuvre, vous devez spécifier des groupes de serveurs de mise à jour afin que les clients aient accès aux ressources qui assurent la mise en conformité des clients non conformes compatibles avec la protection d'accès réseau
• Un serveur de mise à jour héberge les mises à jour que l'agent NAP peut utiliser pour que les ordinateurs clients non conformes deviennent conformes à la stratégie de contrôle d'intégrité définie par le serveur NPS
• Un groupe de serveurs de mise à jour est une liste de serveurs sur le réseau restreint auxquels les clients NAP non conformes peuvent accéder pour obtenir des mises à jour logicielles
38
Configuration du client NAP
• Certains déploiements NAP qui utilisent le programme de validation d'intégrité de la sécurité Windows requièrent l'activation du Centre de sécurité
• Le service de protection d'accès réseau est requis lorsque vous déployez la protection d'accès réseau sur des ordinateurs clients compatibles avec la protection d'accès réseau
• Vous devez également configurer les clients de contrainte de mise en conformité NAP sur les ordinateurs compatibles avec la protection d'accès réseau
39
Révision de l'atelier pratique
• La méthode de contrainte de mise en conformité NAP par DHCP est la méthode la plus faible dans Microsoft Windows Server 2008. Pourquoi est-elle moins intéressante que les autres méthodes ?
• Est-ce que vous pourriez utiliser la solution NAP pour l'accès à distance avec la solution NAP pour IPsec ? Quel serait l'avantage d'un scénario de ce type ?
• Est-ce que vous auriez pu utiliser la contrainte de mise en conformité NAP par DHCP pour le client ? Expliquez pourquoi
40