Les AuteursCe document a été réalisé par la commission Identification-Authentification de Fedisa, composée de :Jean-Marie ...
SommaireI - Les enjeux de la protection des identités numériques            p.5A. Sécurité et ruptures technologiques     ...
E. Rôle du tiers de confiance en matière de contrôle d’accès                                             p.31       a) Con...
I - Les enjeux de la protection desidentités numériques                                                           standard...
Source : Clusif (www.clusif.asso.fr)                                       6
B. L’explosion des identitésnumériquesa) Le contexteQu’est-ce que l’identité numérique et pourquoi est-        improve aut...
Simplifier l’usage des e-services ou Ici, il est question avant tout de simplifier la manipulation des e-des applications ...
c) Le marchéDeux approches se profilent pour la gestion de       prendre le dessus ? Si les états ont pour eux lal’identit...
Le marché mondial de l’identité électronique              -        Les outils permettant de mettre en œuvrerégalienne est ...
II - Les stratégies clés                                    Les préoccupations de sécurité liées { l’accès ne             ...
qui font double emploi (lecteur de carte à puce pour    portables raccordés temporairement au poste deentrer dans le parki...
La première catégorie correspond aux codes,             contours de l’oreille, la signature, le timbre de lamots de passe,...
peut être accordée à un tel système                       environnement où la sécurité des systèmes estdauthentification. ...
-        le nombre de serveurs, les typologies            Le plus souvent, les programmes de recherche ded’utilisateurs,  ...
* Lidentification personnelle                              2) La longueur des mots de passeLes systèmes de mot de passe em...
modification du mot de passe par lintermédiaire du        Mots   de    passe     :  quelquesresponsable de laccès. Quel qu...
* Individualisation et inaccessibilité des mots de        Le second type d’architecture (type II) est basé surpasse       ...
dotées de systèmes hétérogènes. Cela complique              les environnements entreprise mainframe et dansdonc significat...
Ce type peut lui-même être subdivisé en deux sous-          -   Compatibilité avec les systèmes d’accèstypes :            ...
Les cartes à puce peuvent se décliner en différents     •       Les éléments de sécurité qui lui sontfacteurs de forme (Ty...
la sécurité logique : réseau, Internet, messagerie ou     3) L’authentification des utilisateurspour la sécurité physique ...
d’une    parfaite     compatibilité  des       badges     7) Cartes et usages Multi applicatifsd’entreprises avec le systè...
pas de lecteur spécifique, dès lors que le parcdordinateur est équipé de ports USB.Néanmoins, une clé USB offre actuelleme...
d) RecommandationsChoisir une solution de e- En cas d’appel { des consultants, leurs méthodologies doivent êtreprovisionin...
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Livre blanc Fedisa - Identification et authentification à l'ère numérique
Upcoming SlideShare
Loading in...5
×

Livre blanc Fedisa - Identification et authentification à l'ère numérique

2,427

Published on

Published in: Business
1 Comment
2 Likes
Statistics
Notes
No Downloads
Views
Total Views
2,427
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
88
Comments
1
Likes
2
Embeds 0
No embeds

No notes for slide

Livre blanc Fedisa - Identification et authentification à l'ère numérique

  1. 1. Les AuteursCe document a été réalisé par la commission Identification-Authentification de Fedisa, composée de :Jean-Marie Giraudon KeynectisPaul de Kervasdoué AquisFrançis Kuhn SictiamPhilippe Landeau Orange Business ServicesMichel Paillet GIP CPSPhilippe Rosé Best Practices InternationalJérôme Soufflot GemaltoThibault de Valroger KeynectisXavier Vignal Groupe STS 2
  2. 2. SommaireI - Les enjeux de la protection des identités numériques p.5A. Sécurité et ruptures technologiques p.5B. L’explosion des identités numériques p.6 a) Le contexte p.6 b) Les besoins p.6 c) Le marché p.9 d) La chaîne de valeur de l’identité électronique p.10II - Les stratégies clés d’identification/ authentification p.11A. Le contrôle d’accès physique p.11 a) Qu’est-ce que le contrôle d’accès ? p.11 b) Les objectifs d’un bon système de contrôle d’accès p.11 c) Les composantes d’un système de contrôle d’accès p.12 d) Mettre en place un contrôle d’accès physique p.12B. Contrôles d’accès logiques – Mots de passe p.13 a) Contexte p.13 b) Les enjeux p.14 c) Le processus d’intrusion p.14 d) La construction des mots de passe p.15 1) Les caractéristiques d’un mot de passe 2) La longueur des mots de passe 3) Les critères de choix des mots de passe e) Le SSO (Single sign on) p.18C. Cartes à puces et tokens USB p.18 a) Le contexte p.18 b) La carte à puce p.20 c) L’intégration dans la politique de l’entreprise p.21 1) La gestion des identités 2) Le contrôle des accès 3) L’authentification des utilisateurs 4) Convergence des systèmes d’accès 5) Gestion des cartes et cycle de vie 6) Les fonctions du Card Management System (CMS) 7) Cartes et usages Multi applicatifs 8) Simplification du déploiement 9) Mobilité et sécurité 10) Régulation (exemple pour la santé) d) Recommandations p.25D. La biométrie p.26 a) Les promesses de la biométrie p.26 b) Contexte p.27 c) Le marché p.27 d) Les applications de la biométrie p.28 e) les enjeux p.28 f) Déploiement de la biométrie p.28 g) Infrastructure et démocratisation p.29 h) Biométrie et Vie privée p.29 i) La biométrie et carte à puce ? p.29 j) Les nouvelles applications et usages p.29 1) Contrôle daccès physiques aux locaux 2) Contrôle daccès logiques 3) Equipements de communication 4) Machines & Equipements divers k) Biométrie et aspects économiques p.30 3
  3. 3. E. Rôle du tiers de confiance en matière de contrôle d’accès p.31 a) Contexte p.31 1) Qu’est ce qu’un service de certification électronique ? 2) Les 5 piliers pour établir une relation de confiance 3) Infrastructure de Confiance : comment et pourquoi ? 4) Les acteurs de la Certification Electronique b) Enjeux p.32 1) Quelles applications du certificat électronique ? 2) La dématérialisationF. Exemples parlants en matière d’identification forte, d’authentification et de CA p.33 a) La messagerie sécurisée p.33 1) Quest-ce quune messagerie sécurisée ? 2) Qu’apporte une messagerie sécurisée ? 3) Le Chiffrement * Un peu d’histoire * La cryptographie symétrique * Le cryptage asymétrique b) La signature p.34 c) Les Annuaires LDAP p.35 1) Les caractéristiques principales d’un annuaire 2) La différence entre un annuaire et une base de données 3) Historique du LDAP 4) Présentation de LDAP * Le protocole LDAP * Consultation des données en LDAP * Le format déchange de données LDIF * Evolutions possibles du protocole LDAPIII – Perspectives juridiques p.38A. Quelques définitions p.38 a) Identifiant p.38 b) Authentifiant p.38 c) Authentification p.38B. Les niveaux de confiance de l’authentification p.38 a) Aucune authentification p.38 b) Authentification de niveau bas p.38 c) Authentification de niveau moyen p.38 d) Authentification de niveau élevé p.38C. Les textes en vigueur p.38D. Principes juridiques directeurs impactant l’archivage électronique sécurisé dans la sphère privée p.39E. Principes juridiques directeurs impactant l’archivage électronique sécurisé dans la sphère publique p.40IV - Optimisation des Coûts et ROI p.41A. Le contexte p.41B. Les enjeux p.41 a) Etude a priori : analyse de risque – Méthode des scénarios et méthode PISE p.41 1) Méthode des Scénarii de risque 2) Profil de l’attaquant b) Etude a posteriori p.42C. Recommandations p.43V – Prospective en matière de contrôle d’accès p.44A. Le contexte p.44B. Les enjeux p.49C. Recommandations p.53D. Lexique p.54 4
  4. 4. I - Les enjeux de la protection desidentités numériques standardisées mais fragiles, d’autant que cela aA. Sécurité et ruptures technologiques correspondu avec une homogénéisation des systèmes d’information autour de progicielsQuatre tendances de fond, qui correspondent à des applicatifs standards (les ERP, la bureautique),évolutions technologiques historiques majeures, d’outils d’administration eux aussi standards et demontrent que la sécurité des accès aux systèmes logiciels utilitaires non moins standards. Enfin, lad’information doit être considérée comme quatrième tendance majeure concerne la nature destratégique. La première concerne la l’information. Celle-ci devient de plus en plusdécentralisation des systèmes d’information. ouverte, volontairement ou involontairement.Autant, dans les années 1960 et 1970, aux premiers Volontairement lorsque l’entreprise choisit (partemps de l’informatique, le dirigeant d’entreprise exemple sur un site Web) de diffuser des donnéespouvait avoir l’esprit relativement tranquille car son qui, historiquement, restaient dans l’entreprise.système d’information était enfoui dans un centre Involontairement lorsque les informations sontinformatique très centralisé, donc bien contrôlé, relayées, voire déformées, au fil de leurautant, dans les années 1980 et, plus encore, par la cheminement dans les réseaux.suite, le degré de tranquillité du dirigeantd’entreprise s’est effrité. Ces tendances lourdes ont trois conséquences dans le domaine de la sécurité. D’abord, la sécurité, d’unePourquoi ? D’abord parce qu’est arrivée la micro- approche technique, devient un enjeu deinformatique avec, pour corollaire, une intervention management. Autrement dit, les responsablesde l’utilisateur final sur le système d’information. On sécurité, lorsqu’ils existent, doivent se doter deconçoit que ce contexte a constitué une profonde compétences dans ce domaine, par exemple pourrupture vis-à-vis de la problématique de s’assurer que l’installation de technologies del’informatique centralisée, avec des systèmes sécurité s’effectue dans un cadre organisationnel quicontrôlés par des « spécialistes » (informaticiens). permettra une efficacité optimale. Ensuite, d’uneLorsque les postes de travail ont commencé à être problématique de direction de systèmesconnectés en réseau, le degré de sérénité des d’information, la sécurité remonte et devient unedirigeants d’entreprises et des responsables exigence de stratégie d’entreprise, de gouvernanceinformatiques a connu une nouvelle décrue. diraient les anglo-saxons, voire de gouvernement, tant la sécurité devient aussi une préoccupation desSeconde tendance majeure : l’interconnexion de ces pouvoirs publics. Enfin, si la préoccupation deréseaux. Non seulement les postes de travail sont sécurité remonte vers les directions générales, elleconnectés au sein d’une entreprise, mais les réseaux redescend également vers les utilisateurs. Ceux-cid’entreprises sont devenus interconnectés, dans un jouent un rôle central dans l’efficacité des politiquespremier temps avec des réseaux contrôlés par les de sécurité. A tous les niveaux, se pose la questionopérateurs de télécommunications et reposant sur de l’authentification-identification.des technologies relativement fiables (par exempleX25). On parle d’entreprise étendue, et cela Selon le Clusif, qui a publié son étude sur lacorrespond à une nébuleuse qui fait intervenir le sinistralité informatique 2008, « les technologies desystème d’information de l’entreprise, mais contrôle d’accès logiques restent peu déployées, etégalement celui des sous-traitants, des fournisseurs, surtout que la situation ne semble pas avoir évoluéedes clients, des administrations, voire des en deux ans, puisque les résultats 2008 sont presqueconcurrents (par exemple dans le cas de co- identiques { ceux de 2006. Alors que l’ouverture desentreprise) : la problématique d’authentification- systèmes et surtout le nomadisme se sontidentification devient encore plus stratégique car considérablement accélérés depuis 2006, cettemultidimensionnelle. absence d’évolution côté contrôle d’accès est préoccupante. »La troisième tendance de fond constitue leprolongement de la précédente et se résume à un Comme le montre le tableau ci-après, lesmot : Internet. Non seulement les postes de travail entreprises n’ont pas encore adopté massivementde l’entreprises sont interconnectés ; non seulement les technologies de contrôle d’accès, selon lails le sont avec ceux d’autres entreprises et de tiers ; dernière enquête menée par le Clusif (Club de lamais ils le sont sur des technologies ouvertes, certes sécurité de l’information français). 5
  5. 5. Source : Clusif (www.clusif.asso.fr) 6
  6. 6. B. L’explosion des identitésnumériquesa) Le contexteQu’est-ce que l’identité numérique et pourquoi est- improve authentication in a balanced manner, withce un enjeu important pour l’avenir ? L’identité full protection of privacy and civil liberties…”numérique est un ensemble de données permettantde caractériser une personne, dans un contexte C’est ensuite un enjeu économique. La maîtrise desd’utilisation donné. Elle n’est donc pas absolue, données personnelles est un actif majeur pour lescomme l’identité régalienne (état civil), mais offreurs de services. Elle permet les techniques decontextuelle : on peut avoir plusieurs identités scoring à des fins de marketing ciblé, elle offrenumériques en fonction de l’espace numérique dans d’énormes gains de productivité en permettantlequel on évolue (une identité sur Facebook, une l’automatisation de procédures, elle permet enfin deidentité pour déclarer ses impôts, une identité pour proposer de nouveaux services en ligne. Ce constatpercevoir ses remboursements de santé, …). peut paraître dérangeant { bien des égards, il n’en est pas moins réel, et nier l’importance économiqueL’identité numérique est clairement un enjeu pour de l’identité électronique reviendrait { faire prendrel’avenir : c’est d’abord un enjeu de confiance. Les à la France un retard important.utilisateurs, citoyens de démocraties modernes, ontun légitime droit à la protection de leur identité dans b) Les besoinsle contexte nouveau du cyber-espace (1,5 milliardsd’utilisateurs d’Internet aujourd’hui). Ils connaissent La gestion des identités électroniques répond àmal les risques, mais ils souhaitent que leurs quatre types de besoins, qui peuvent être classés pardonnées personnelles ne soient utilisées qu’aux fins degré de criticité :qu’ils ont approuvées, et bien sur que personne nepuisse usurper leur identité.Par ailleurs, il ne suffit pas de protéger les identitésnumériques des personnes, il faut aussi protégercelles des composants d’infrastructures (serveurs,composants réseau, base de données), qui sont desobjets mais qui sont également dotés d’une identitésur les réseaux.Outre Atlantique, l’administration Obama a réagiaux constats préoccupant sur la vulnérabilité dessystèmes en lançant un ambitieux programmeappelé « Securing Cyberspace for the 44thPresidency », dont l’un des thèmes principaux est «Identity Management for Cybersecurity ». Voici unextrait du rapport de la commission CSIS :“ …The question is wether we improve, forcybersecurity purposes, authentication while weprotect important social values such as privacy andfree speech. We have concluded that security incyberspace would benefit from strongerauthentification and that the government mustrequire strong authentication for access to criticalinfrastructure. In doing this, the United States must 7
  7. 7. Simplifier l’usage des e-services ou Ici, il est question avant tout de simplifier la manipulation des e-des applications services ou des applications par les utilisateurs. Ces derniers souhaitent autant que possible : - Eviter de ressaisir leurs informations personnelles dans les multiples formulaires qui leur sont proposés en ligne. (*) - Ne pas avoir à retenir un grand nombre de mot de passe, qui finissent par être identiques sur tous les services, au détriment évident de la sécurité. (**)Le « binding » de données Dans la plupart des transactions e-commerce, l’offreur de service n’a pas besoin de connaître l’identité détaillée de l’internaute mais seulement d’être sûr que certaines données correspondent bien { une même personne, typiquement un N° CB et une adresse de livraison (le payeur est bien le bénéficiaire). C’est ce que l’on appelle le binding de données. Il permet de garantir le e-commerce tout en préservant totalement ou partiellement l’anonymat de l’internaute.La garantie d’unicité d’utilisation Dans beaucoup de e-services ou d’applications, les utilisateurs créent un compte qui leur est propre et l’utilisent ensuite régulièrement en y gérant des informations personnelles. L’unicité d’utilisation consiste { garantir que l’utilisateur est bien toujours le même. On peut citer bien des exemples : compte de messagerie (Gmail, Yahoo, …), Compte fiscal, espace personnel sur la banque en ligne, compte joueur en ligne…. On peut aussi trouver des applications très sensibles comme le recensement d’une population (dédoublonnage), le vote électronique ou le parcours voyageur dans un aéroport. L{ encore, l’anonymat n’est pas nécessairement un problème, mais l’unicité d’utilisation doit être assurée, et l’usurpation d’identité combattue.La preuve d’identité Le niveau le plus critique de gestion de l’identité électronique est la preuve d’identité. On entre dans le champ du contrôle administratif et / ou de la traçabilité à des fins juridiques. Ici, il faut pouvoir associer les actions électroniques à une identité au sens régalien. On peut citer les documents de voyage (passeports électroniques), les contrats passés de manière électronique, les actes administratifs ou notariés électroniques, les télé-procédures…(*) Ce constat avait conduit Microsoft à créer en 2005 son (**) On parle de SSO ou « Sigle Sign On », cest-à-dire unesystème « Passeport » visant à proposer à l’utilisateur de seule authentification pour tous les accès. Selon unecentraliser ses données d’identité dans une base unique, analyse récente, plus de la moitié des internautes françaisgérée par Microsoft. Cette initiative a été abandonnée (56%) utilisent le même mot de passe sur lensemble desdevant les fortes critiques émises par les défenseurs des sites sur lesquels ils sont inscrits. Ils sont donc une majoritélibertés individuelles, au profit d’une approche plus à compromettre leur identité numérique afin de ne pasdécentralisée dans le cadre du consortium OpenID, qui sencombrer la mémoire, par négligence, par manqueregroupe d’autres grands acteurs de l’informatique tels que dimagination, ou par inconscience du danger.Google ou IBM. 8
  8. 8. c) Le marchéDeux approches se profilent pour la gestion de prendre le dessus ? Si les états ont pour eux lal’identité électronique au niveau mondiale : légitimité et la reconnaissance légale, lesl’une, régalienne, gérée par les états au travers acteurs privés maîtrisent la plus grande part desde documents d’identité électronique usages. Il est probable que les deux approchescomportant une puce ; l’autre émergeant de vont co-exister : l’approche régalienne pour lemanière plus anarchique au sein de la sphère contrôle policier de l’identité, l’administrationprivée (banques, opérateurs de électronique et les échanges nécessitant unetélécommunications) et des grands acteurs des forte valeur probante, l’approche privée pour letechnologies de l’information (Google, e-commerce. L’interpénétration des deuxFacebook, eBay, Microsoft, Apple) qui tentent approches dépendra de l’évolution du rapportde créer un standard de fait. Bien qu’elles ne de force entre les deux sphères, de la capacitésoient pas antinomiques, quelle approche va de consensus, et de l’évolution des mentalités des utilisateurs. 9
  9. 9. Le marché mondial de l’identité électronique - Les outils permettant de mettre en œuvrerégalienne est évalué aujourd’hui { quatre milliards l’identité électronique dans les différents contextesde dollars, pour un potentiel autour de 30 MD€, d’usage.selon IDC. Le marché de l’identité électroniquegérée par la sphère privée est très difficile à évaluercar il est dilué dans les usages (e-banking, e-commerce, réseaux sociaux, …). Il est certainementde loin le plus important en volume. Le (très petit)sous-ensemble de l’identité électroniqued’entreprise (IAM) est évalué { 3,5 MD€.Il est clair toutefois que, s’agissant de l’identitéélectronique, la valeur de ce marché ne se réduit pasà sa seule valeur marchande, car il est aussi porteurde très forts enjeux sociétaux.d) La chaîne de valeur de l’identitéélectroniqueLa chaîne de valeur de l’identité électroniques’organise en trois grandes couches :- les dispositifs de protection de l’identité,avec un profil d’offreurs plutôt industriel. C’est lacouche de loin la plus importante aujourd’hui, ce quiprouve la jeunesse de ce marché où la technologieprécède les process et les usages. On y trouvenotamment l’industrie de la carte { puce, très bienreprésentée en France. Une part importante de lafabrication des composants est délocalisée vers lespays à bas coût (Chine), la valeur principale restantla R&D, le marketing et la distribution.- les gestionnaires d’identité, avec un profild’offreur plutôt service. Cette couche est encoreembryonnaire pour le marché de l’identitéélectronique, mais elle représentera une partimportante, voir majoritaire de la valeur à terme,comme on a pu le voir sur le marché des moyens depaiement, ou sur le marché du fonctionnementd’Internet par exemple. Elle sera également celle quidégagera les marges les plus importantes tout enétant la plus créatrice d’emploi plus difficilementdélocalisables. 10
  10. 10. II - Les stratégies clés Les préoccupations de sécurité liées { l’accès ne sauraient être dissociées de la sécurité générale desd’identification/ authentification bâtiments. Il est recommandé de faire réaliser, par un organisme extérieur, un contrôle périodique desLe marché de l’identité numérique repose sur facteurs de risques.plusieurs technologies clés, dont certaines sont bienmaîtrisées, voir dominées, par les offreurs français, b) Les objectifs d’un bon système de contrôleet d’autres pour lesquelles la France accuse un d’accèsimportant retard. Parmi toutes ces technologies onpeut citer la carte à puce, la cryptographie, la Un système de contrôle d’accès doit répondre auxbiométrie, la PKI, le RFID, l’impression sécurisée, le impératifs suivant :cloud computing, la fédération d’identités, les - il doit être installé après une étude des besoins,annuaires… en particulier des risques d’intrusion. Cette étudeLes technologies dans ce domaine ne font pas tout, présente plusieurs avantages, d’abord économiqueun axe de plus en plus important est la capacité (le coût sera optimisé par rapport aux enjeux),d’influence sur la standardisation, car l’identité ensuite en termes d’efficacité (inutile de se prémunirélectronique ne peut se développer contre des risques hypothétiques ou de dépenserqu’accompagnée par un mouvement de trop peu pour lutter contre un risque majeur). Destandardisation technique et juridique permettant même, une étude des besoins aboutit à uneson utilisation de manière interopérable. Sur ce couverture exhaustive des locaux à protéger. Enpoint, le leadership est clairement anglo-saxon pour l’absence d’une étude des besoins, c’est l’illusion del’instant. sécurité qui prévaut, avec son cortège d’issues non fermées, d’ascenseurs desservant directement desA. Le contrôle d’accès physique locaux sensibles.a) Qu’est-ce que le contrôle d’accès ? - un dispositif de contrôle d’accès doit être cohérent et hiérarchisé par rapport aux enjeux. EnUn dispositif de contrôle d’accès est un système effet, on ne protège pas des locaux informatiquesavec plusieurs composantes dont l’objectif est de comme des salles de réunions, un hall d’accueil oucontrôler (c’est-à-dire identifier et/ou authentifier) des services de recherche-développement.les individus qui se présentent { un point d’accèspermettant de pénétrer dans un lieu donné. Pour prendre en compte cette hiérarchisation, il estL’identification consiste { déterminer si la personne préférable d’adopter une structure en anneaux, avec{ contrôler possède bien un droit d’accès. les zones suivantes :L’authentification consiste { s’assurer que la bonne - locaux stratégiques (salle informatique,personne détient le bon droit d’accès (pour éviter le local télécoms...),vol de supports de contrôle d’accès tels que lescartes à puces par exemple). - locaux à risque important (bureaux recherche-développement, entrepôts,On peut donc définir le contrôle d’accès comme direction générale...),l’interaction spécifique entre un sujet et un objet quia pour résultat d’autoriser ou non le transfert d’un - locaux { risque moyen (hall d’accueil,flux d’informations de l’un vers l’autre. Il s’agit, plus parkings...),généralement, de l’ensemble des moyensnécessaires pour accéder, stocker ou prélever des - locaux { risque faible ou zones d’échangesdonnées, pour communiquer ou pour utiliser des (cafétéria, salle de réunions...).ressources d’un système d’information. La cohérence signifie que l’on évitera de mettre en place des dispositifs inutiles (par exemple un contrôle par carte { puce { l’entrée d’une cafétéria) 11
  11. 11. qui font double emploi (lecteur de carte à puce pour portables raccordés temporairement au poste deentrer dans le parking, autre lecteur, avec une autre gestion centralisé.carte pour entrer dans les bâtiments puis autre - un dispositif d’action, par exemple pour ouvrirsystème à carte pour entrer dans une salleinformatique). les portes des locaux. Lié { l’unité de gestion centralisée, ce dispositif ouvre ou ferme les accès en- le contrôle d’accès doit prendre en compte la fonction des droits déterminés pour chaquesécurité des personnes, en fonction des impératifs individu. Ce dispositif est commandé soitd’urgence. Autrement dit, les issues de secours ne automatiquement (par exemple pour les lecteurs depermettent pas des intrusions par l’extérieur des badges), soit manuellement (poste de gardiennage),bâtiments mais ne doivent pas gêner les soit de façon semi-automatique (télécommandeévacuations, notamment en cas d’incendie. depuis un poste de gardiennage).- le dispositif de contrôle d’accès doit être adapté - des dispositifs de reconnaissance des individus,aux flux, afin de ne pas paralyser le par exemple un code ou un document permettantfonctionnement quotidien de l’entreprise. On ne de les identifier. On pourra associer aux moyensprotège pas une tour de bureaux dans laquelle 3 ou automatiques (par exemple des cartes à puces), un4000 personnes entrent le matin entre huit et neuf ensemble de moyens humains, par exemple desheures de la même manière qu’une PME de postes de gardiennage, souvent dissuasifs. Lecinquante personnes. Il importe en outre de tenir système peut être complété par de lacompte de la convivialité du système et, surtout, de vidéosurveillance, en fonction des enjeux àson rapport qualité/prix. protéger. Un tel dispositif doit être cohérent (rien ne sert de surveiller en vidéo tous les locaux dec) Les composantes d’un système de contrôle l’entreprise) et complet (surveillance des anglesd’accès morts). Le système le plus courant consiste à demander aux visiteurs le dépôt d’une pièceUn système de contrôle d’accès est composé de d’identité et { délivrer un badge provisoire, avecplusieurs éléments : l’indication de la date, de la personne visitée et,- un poste de gestion centralisé : il peut être local éventuellement, les limites des locaux autorisés.ou couvrir plusieurs sites. Le système centralisé d) Mettre en place un contrôle d’accèspermet de hiérarchiser les degrés de sécurité enfonction des locaux, de gérer les plannings horaires physiqueet calendaires selon les individus, de disposer de Le contrôle d’accès doit être conçu de façon large. Iltraces écrites et horodatées des accès, et de mettre ne se limite pas aux accès des bâtiments, mais{ jour les droits d’accès (départ ou changement également { l’ensemble du territoire immédiat. Celad’affectation des salariés, désactivation des cartes implique de vérifier la qualité des clôturesperdues ou volées). lorsqu’elles existent et d’utiliser un dispositif de- des terminaux et des capteurs qui contrôlent les surveillance périphérique (par caméras). L’ensembleaccès aux zones protégées : la communication du système doit être cohérent (c’est-à-dire adaptéentre le poste de gestion centralisé et les terminaux aux enjeux) et complet (éviter les failles).de contrôle daccès varie en fonction de la naturedes locaux, des configurations, du degré de Comment assurer l’authentificationcontrainte des procédures mises en œuvre et des d’un individu ?fonctionnalités du contrôle d’accès. Les terminaux Un individu peut être identifié par quelque chosedialoguent en temps réel avec le PC auquel ils sont qu’il connaît, par quelque chose qu’il possède, oureliés, et ils gèrent les transactions. Les terminaux par une caractéristique physique qui lui estpeuvent être autonomes, par exemple des PC propre. 12
  12. 12. La première catégorie correspond aux codes, contours de l’oreille, la signature, le timbre de lamots de passe, ou clavier numérique. La voix.reconnaissance d’un code s’apparente au système Outre leurs coûts et la nécessité de respecter lesde mots de passe utilisé dans la sécurité logique(accès aux applications informatiques). Ces contraintes juridiques, les systèmes basés sur lasystèmes se présentent sous différentes formes : reconnaissance des éléments biométriques provoquent certaines réticences de la part des- l’identification par un code commun (plusieurs individus. Ils sont pour l’instant réservés ausalariés d’un même service partagent un même contrôle des accès à des locaux très stratégiques.code),- l’identification par un code commun lié à unsystème de carte magnétique ou à puce et B. Contrôles d’accès logiques – mots del’identification personnalisée (l’utilisateur passepossède un code qui lui est personnel). a) Contexte- L’avantage essentiel réside dans la simplicitéd’utilisation et le coût modique. Lauthentification par mot de passe est le mécanisme le plus répandu. La raison essentielle estLa seconde catégorie (quelque chose en historique car il sagit de la solution qui étaitpossession de l’individu) correspond à un attribut proposée notamment par les systèmesphysique. Les systèmes les plus courants sont informatiques centraux (mainframe). Enfin, il sagitbasés sur l’emploi de cartes magnétiques ou à dun système simple dans la mesure où le schémapuces. L’inconvénient de la technique des cartes dauthentification est basé sur ce que lutilisateurmagnétiques réside dans la relative facilité sait ou connaît : son identification et son mot ded’élaborer des contrefaçons. Les lecteurs de passe.badges ou de cartes constituent l’élémentessentiel d’un dispositif de contrôle d’accès. On La compréhension de son usage par les utilisateursdistingue les lecteurs statiques, qui, en fonction est aisée et son adoption assurée car la mécaniquede la lecture d’un badge, autorisent ou non dauthentification par identifiant/mot de passe estl’ouverture d’une porte. Parmi les inconvénients, de fait employée depuis fort longtemps avant mêmeon notera : lavènement de lère informatique.- la difficulté d’établir des hiérarchies horaires, Les avantages de l’utilisation de ce type d’authentification sont nombreux. Le principal est- la difficulté d’analyser des traces écrites des que ces mécanismes sont implémentés de base dansentrées-sorties. tous les systèmes d’exploitation, les systèmes deLes lecteurs dynamiques autorisent un dialogue gestion de bases de données, les applications et lesavec le système de gestion centralisée, ce qui services. Ils utilisent les mêmes bases queannule les inconvénients des lecteurs statiques. Il l’identification ou les mêmes annuaires. Un autreest en effet possible d’effectuer une avantage vient de leur indépendance vis-à-vis dehiérarchisation des droits d’accès, selon des l’utilisation d’autres mécanismes de sécurité commecontraintes temporelles et individuelles. les canaux de communication sécurisés (type VPN…).La troisième catégorie (quelque chose de propre àl’individu) concerne la reconnaissance Lévolution du paysage informatique, et notammentbiométrique. Le principe consiste à reconnaître les sa mutation des systèmes centraux vers descaractéristiques physiques d’un individu, par systèmes distribués, est accompagnée de laexemple ses empreintes digitales, l’œil, les démocratisation de son usage à titre personnel. Cela fait apparaître des limites quant à la confiance qui 13
  13. 13. peut être accordée à un tel système environnement où la sécurité des systèmes estdauthentification. Le principe du mécanisme mis en assurée et que la criticité des données ne présenteœuvre est universel et repose sur une pas de caractère confidentiel ou secret.implémentation du procédé suivant. b) Les enjeuxLe système repose sur une transaction bipartieréalisée entre un système requêtant et un système Nous avons vu que le principal inconvénient duauthentifiant. Le système requêtant soumet un système est qu’il ne garantit pas l’authentificationidentifiant et un mot de passe que lutilisateur a du demandeur de l’accès au Système d’Informationsaisi. Le système authentifiant confronte le couple car il peut être facilement écouté, intercepté etidentifiant/empreinte soumis avec celui contenu réutilisé frauduleusement. Un autre inconvénientdans son propre référentiel. réside dans le fait que sa robustesse est complètement liée à la sensibilité de l’utilisateur { laLa simplicité dun tel système ne mettant en œuvre problématique sécurité. Même si les systèmesque deux acteurs permet denvisager un mode de d’exploitation proposent actuellement de plus enfonctionnement en mode connecté tout comme en plus d’outils d’aide { la conception de mots de passemode non connecté. Il est envisageable que les robustes.systèmes requêtant et authentifiant soient les sous-systèmes dun même système physique ou logique. Un troisième inconvénient réside dans la nonCela explique sa très forte utilisation en mode homogénéité des mécanismes de gestion des motsconnecté sur Internet. Les applications les plus de passe. Actuellement, chaque utilisateur doit, enrécentes utilisent un système basée sur la moyenne, connaître, pour accéder aux différentesconservation d’une empreinte numérique élaborée fonctions du système d’information nécessaires {par procédé cryptographique en lieu et place du ses activités, entre 3 et 5 mots de passe différents.stockage du mot de passe de l’identifiant. De même, Cette problématique entraîne la plupart du tempsla transmission du mot de passe entre les deux une réduction très importante de la robustesse deacteurs de la transaction dauthentification est l’ensemble de ces authentifications. Les individusremplacée par la communication de lempreinte utilisant à chaque fois le même mot de passe ou unnumérique. Ces sophistications permettent de mot de passe déductible du précédent par uneremédier à la problématique évidente de sécurité mnémotechnie simple.quimplique la diffusion des mots de passe des La tendance actuelle du marché est de regrouper auutilisateurs à la fois sur les infrastructures de sein d’un même annuaire la notion d’identificationcommunications et sur les systèmes authentifiant et d’authentification. Ceci permet, avec leseux-mêmes. La robustesse de la solution repose sur mécanismes de protection adéquats, de renforcer lala sécurité associée aux composants centralisation de la gestion de ces éléments.dinfrastructure, notamment pour assurer laconfidentialité des informations qui y transitent. c) Le processus d’intrusionCertains systèmes proposent lajout dunecombinaison numérique unique (nonce) associée à Les attaquants procèdent par étapes. Il leur fautcette empreinte permettant ainsi de protéger le d’abord connaître un minimum d’informations sur lesystème contre le rejeu. On parle alors de challenge. système cible. Par exemple les logiciels utilisés et leurs versions, les types d’adresses IP. Il faut ensuitePar conception, il sagit dun mécanisme identifier les failles, en fonction des versionsdauthentification qui ne permet pas dassurer la non installées. Plus les versions sont anciennes, plus larépudiation de la transaction car il ne garantit pas le tâche est facilitée. Une fois que la faille est mise àconsentement au contenu des données. profit pour entrer dans le système, le pirate pourra accéder à des informations supplémentaires commePar conséquent, lutilisation dune authentification par exemple :simple est, en principe adaptée pour un usageinterne. Cest-à-dire, quelle sinscrit dans un 14
  14. 14. - le nombre de serveurs, les typologies Le plus souvent, les programmes de recherche ded’utilisateurs, mots de passe fonctionnent selon le principe du cheval de Troie, programme informatique, en- les possibilités d’exécuter des programmes- apparence inoffensif, mais qui contient une fonctionespions. cachée. Un cheval de Troie peut donc contaminer unIl opèrera d’autant plus facilement que la plupart grand nombre d’ordinateurs, notamment s’il estdes entreprises ne disposent pas de procédures propagé par des réseaux. Une fonction cachée tented’alertes efficaces. La dernière enquête du Clusif a de rechercher les mots de passe stockés dans laainsi révélé les éléments suivants : mémoire de l’ordinateur. Il existe des chevaux de Troie plus complexes, qui peuvent simuler un écran- Plus de 75 % des entreprises ne mesurent pas leur de connexion, puis enregistrer le mot de passeniveau de sécurité régulièrement. frappé sur le clavier et qui, enfin, exécutent le vrai programme de connexion, de sorte que l’utilisateur- Dans 43 % des entreprises, le RSSI (responsable de est leurré en croyant agir dans des conditionsla sécurité des systèmes d’information) n’a pas normales.d’équipe assignée en permanence { la sécurité del’information. On notera également le phénomène de phishing, forme dusurpation didentité par laquelle, un pirate- Seulement 30 % des entreprises affirment réaliser utilise un e-mail dallure authentique afin deune analyse globale des risques liés à la sécurité de tromper son destinataire pour que ce dernier donneleur SI. de manière consentante ses données personnelles,- Seulement un tiers des entreprises ont institué des telles quun numéro de carte de crédit, de compteprogrammes de sensibilisation à la sécurité de bancaire ou de sécurité sociale.l’information. d) La construction des mots de passe- 6 entreprises sur 10 n’ont pas de gestion par rôle ou Un mot de passe peu résistant constitue le principalpar profil métier pour les habilitations. point faible des réseaux et des systèmes- 60 % des entreprises ne disposent pas dune équipe d’information en général. Celui-ci doit donc êtreconsacrée à la gestion des incidents de sécurité construit de façon suffisamment robuste pourd’origine malveillante. résister le plus longtemps possible aux attaques, qui, nous l’avons vu plus haut, se réalisent avec de- 28 % seulement des entreprises procèdent à une multiples points d’entrée. Du point de vue deévaluation de l’impact financier des incidents de l’administrateur réseau, le principal enjeu résidesécurité. dans la gestion optimale des mots de passe et des droits d’accès.- 35 % des entreprises ne mènent jamais d’audit desécurité. Le choix des mots de passe répond à un certain nombre de règles de base. Le mot de passe resteLes mots de passe constituent donc une cible toujours le secret de lutilisateur légitime deprivilégiée des pirates informatiques. Ces derniers l’information protégée.disposent de logiciels et de documentations quipermettent ou expliquent comment s’introduire 1) Les caractéristiques d’un mot de passedans un système d’information. L’un des objectifsdes hackers est évidemment de s’attacher { trouver Un système de mots de passe doit posséder aules mots de passe des machines auxquelles ils moins quatre caractéristiques :veulent accéder. Pour cela, les outils pour pénétrerdans les systèmes informatiques et les réseaux sontdisponibles gratuitement sur Internet. 15
  15. 15. * Lidentification personnelle 2) La longueur des mots de passeLes systèmes de mot de passe employés pour Le meilleur moyen de diminuer les risques estcontrôler les accès { des systèmes d’information d’utiliser des mots de passe d’une longueurdoivent identifier chaque utilisateur de ce système, suffisante afin qu’ils ne puissent être trouvésindividuellement (éviter donc les mots de passe de facilement par une « attaque brutale ». La sécuritégroupe, commun à toutes les personnes travaillant fournie par des mots de passe est déterminée par ladans un service par exemple). probabilité quun mot de passe ne puisse être deviné pendant sa durée de vie. Plus faible est cette* L’authentification probabilité, plus grande est la sécurité offerte par leLes systèmes de mot de passe doivent authentifier mot de passe.les utilisateurs, c’est-à-dire s’assurer de l’identité de 3) Les critères de choix des mots de passeceux-ci. Pour choisir un bon mot de passe, il importe donc* Le secret des mots de passe dobserver les règles suivantes, qui seront rappeléesLes systèmes de mot de passe doivent assurer, dans par exemple dans un guide de sensibilisation à lala mesure du possible, la protection de la base de sécurité de l’information diffusé au sein dedonnées des mots de passe. Ce fichier doit être l’entreprise dans le cadre de sa politique detraité comme un fichier sensible et confidentiel et sensibilisation à la sécurité.protégé comme tel. Ces critères principaux sont les suivants:* La vérification - Le mot de passe est personnel et doit, parLes systèmes de mot de passe doivent être capables conséquent, rester secret.d’offrir des fonctionnalités permettant d’analyser les - Le mot de passe ne doit pas être mémorisé dansincidents et de détecter toute compromission des des fichiers, des programmes ou des touches demots de passe ou des fichiers dans lesquels ils sont fonction auxquels des tiers ont accès.stockés. - Le mot de passe doit être choisi et géré parPar sa fragilité, lauthentification par mot de passe lutilisateur lui-même.ne pourra couvrir tous les cas de protection. Si lonprend par exemple quatre niveaux de sensibilité : - Le mot de passe ne peut être introduit que sur demande du système et par le truchement du clavier - secret (1), ou/et d’un périphérique biométrique. - hautement confidentiel (2), - Le mot de passe ne doit pas se lire à lécran lorsque - confidentiel (3), vous l´entrez. Sil saffiche, il y a lieu dinterrompre la procédure dentrée et den informer le responsable - personnel non sensible (4). de laccès.Seul le niveau 4 peut être protégé par mot de passe. - On évitera dintroduire le mot de passe en présence de tiers. Si cette présence ne peut êtreLe niveau de secret doit comporter des solutions évitée, le mot de passe sera modifié discrètementadditionnelles telles que cartes à puce, systèmes avant la sortie du système; l’utilisateur qui sait oubiométriques, etc. qui suppute que son mot de passe est connu par un tiers le changera sans tarder. - Hormis lutilisateur, seul le responsable de laccès est habilité à modifier le mot de passe. Dans des cas exceptionnels, le supérieur peut prescrire une 16
  16. 16. modification du mot de passe par lintermédiaire du Mots de passe : quelquesresponsable de laccès. Quel que soit linitiateur de la recommandations pratiquesmodification, l’utilisateur doit en être informé. * pas plus de 3 lettres à la suite du clavier ou- Il faut instituer l’obligation de changer logiques : ex : AZERTY, QWERTY, ABCDEF,régulièrement le mot de passe (tous les 3 mois par 123456,exemple), sans reprendre les précédents sur unepériode assez longue (un an par exemple) : Dans * pas de nom ou prénom ou date de naissance oucertaines entreprises à technologie "sensible" , le numéro de téléphone de lutilisateur ou de sessystème informatique oblige les ingénieurs à proches,changer leurs mots de passe toutes les deux heures.On ne doit pas pouvoir déceler le nouveau mot de * pas le numéro de lannée en cours,passe ou celui qui a été modifié par un simple * pas de nom de grandes équipes sportives duraisonnement. moment,- Une longueur minimum doit être imposée (6 * pas de noms de lieu,caractères). * pas de mot figurant dans un dictionnaire de- Les mélanges de caractères numériques et quelque langue que ce soit,alphabétiques sont préférables. Aucun mot de passene peut être formé en totalité de nombres, même * pas de mot concernant linformatique commeassocié à des signes moins ou de signes plus. Par Unix, Word, Windows, wizard, gourou, ...exemple «01-45+87-23» ne doit pas être utilisécomme type de mot de passe, car il est très facile de * pas de mot représentant une information quile deviner, en testant systématiquement tous les vous est relative (numéro de téléphone, adresse,chiffres. plaque minéralogique, date particulière ...),- Les mots de passe ne doivent pas contenir le nom, * pas de mot rentrant dans lune des catégoriesle prénom ou le numéro du terminal de l’utilisateur, précédentes écrit à lenvers ou combiné avec unni aucune permutation entre ces éléments. chiffre,- Les mots de passe de moins de dix caractères ne * pas de code postal,peuvent être totalement en minuscules ni * pas de numéros de plaques minéralogiques,totalement en majuscules : il est préférabled’alterner les deux types de constructions. Par * pas de marques de voitures,exemple «FEDISA» et «fedisa» ne doivent pas êtreconsidérés comme des mots de passe valides. Il * pas de marques de cigarettes ou de produits desuffit d’inclure soit des caractères spéciaux, soit des consommation courante,chiffres pour que ce type de mot de passe soit * pas de jours, mois ou années,valable. Par exemple, on pourra retenir «Fedisa$» ouencore «5fedisa!». * pas plus de deux signes identiques consécutifs.Soulignons encore quil est évidemment risqué Il est nécessaire de disposer d’une politique dedemployer un même mot de passe pour plusieurs gestion très stricte :comptes sur différentes machines. * Changer de mot de passe très régulièrement- Un contrôle de non trivialité évitant que le mot depasse ne soit deviné trop facilement (voir encadré ci- * Choix de mots de passe complexes à découvriraprès) doit être mis en place de manière mais simples à retenir pour l’utilisateursystématique. 17
  17. 17. * Individualisation et inaccessibilité des mots de Le second type d’architecture (type II) est basé surpasse une approche initiale identique. En cas d’acceptation de l’identification et de* Stockage rigoureux (hashage, chiffrement, l’authentification de l’utilisateur, le serveur vacloisonnement) aussi bien dans l’esprit de retourner { l’utilisateur un ticket protégé qui seral’utilisateur que dans les différents systèmes et utilisé par les applications, au moment de laapplications demande d’accès, pour authentifier* Saisie du mot de passe invisible à l’écran automatiquement l’utilisateur et donc lui attribuer ses droits.* Chiffrement du mot de passe dans lescommunications L’avantage principal de la première approche est de ne pas avoir à modifier les services et les - Une bonne méthode pour choisir est daccoler applications cibles. L’inconvénient majeur est ladeux mots qui nont aucun rapport entre eux, tout nécessité de renforcer très fortement l’architectureen y intercalant un chiffre ou un autre signe. Par d’authentification pour pallier toute indisponibilitéexemple : para2chauss, able(v(x?, tonta!rap23. Une qui bloquerait l’accès au Système d’Information. Laautre façon encore consiste à prendre la première seconde approche est exactement { l’opposée.lettre des mots dune phrase mémorisablefacilement. Par exemple, «La commission Fedisa sur Dans les deux types d’architectures, il est possiblel’authentification-identification» deviendra d’utiliser tous les types d’authentification évoqués«LCFSAI», mot de passe qui, on en conviendra, est ci-dessus et traités ci-après, du mot de passe simpledifficile à deviner avec des attaques basées sur les à la biométrie.dictionnaires (attaques de force brute). Actuellement, il y a convergence forte entre les deuxD’une manière générale, il faut se souvenir quun approches avec des démarches de type Activecode difficile à découvrir nest pas forcément un Directory qui permettent la mise en œuvre d’un SSOcode difficile à retenir. de type II, ou de type Access Master pouvant intégrer une base d’identification ete) Le SSO (Single sign on) d’authentification { la norme X509 et compatible LDAP.Un autre axe d’approche de la problématique del’authentification, a été depuis plusieurs années lamise en œuvre du concept de SSO (Single Sign On)ou mot de passe à usage unique. Le principe du SSO C. Cartes à puces et tokens USBest basé sur deux types d’architectures. a) Le contexteLe premier type d’architecture (type I) consiste {disposer d’un serveur d’authentification auquel La carte à puce est aujourdhui omniprésente dansl’utilisateur souhaitant accéder au Système notre environnement : cartes SIM, cartes bancaires,d’Information va d’abord se connecter pour cartes Vitale, cartes de décryptage de télévision pars’identifier et s’authentifier. En cas de succès, satellite ainsi que toutes les versions de cartesl’utilisateur pourra alors accéder automatiquement privatives de diverses enseignes commerciales sontaux services et aux applications pour lesquelles il est autant de cartes à puce issues dune mêmehabilité sans fournir de nouvelles identifications. technologie.C’est un service situé sur son poste de travail qui va En revanche, dans le monde de l’entreprise, l’usagese substituer { l’utilisateur. L’ensemble des de la carte est perçue très vite comme complexe ; leéchanges entre l’utilisateur, le serveur d’habilitation plus souvent le manque de standard aux niveaux deset les services accessibles se font en mode chiffré. cartes { puce et le fait qu’ils doivent s’intégrer dans une chaîne de confiance font notamment que la plupart des entreprises moyennes et grandes sont 18
  18. 18. dotées de systèmes hétérogènes. Cela complique les environnements entreprise mainframe et dansdonc significativement la gestion quotidienne de les environnements client - serveur. Il existe deleur contrôle d’accès. Aujourd’hui, la plupart des nombreuses limitations { l’usage des mots de passe.entreprises pratiquent de façon artisanale la gestion Le principal est qu’il ne garantit pas l’identificationdes identités. Ce management est le plus souvent du demandeur de l’accès au système d’informationcloisonné, sans vision d’ensemble et parfois géré car il peut être facilement écouté, intercepté etsouvent de manière manuelle. Autrement dit, réutilisé frauduleusement.l’approche manque de coordination transversale etde standardisation d’où un manque d’efficience Un autre inconvénient réside dans le fait que sa robustesse est complètement liée à la sensibilité dedans le contrôle d’accès de l’entreprise. l’utilisateur { la problématique sécurité. Même si lesLes chiffres publiés régulièrement par le Clusif (Club systèmes d’exploitation proposent actuellement dede la sécurité de l’information français) montrent le plus en plus d’outils d’aide { la conception de motsfort degré de dépendance des entreprises et des de passe robustes, il est nécessaire de disposerorganisations privées ou publiques vis à vis des d’une politique de gestion très stricte. Un troisièmesystèmes d’information : 75% des entreprises sont inconvénient réside dans la non homogénéité desexposées à une dépendance forte vis à vis du mécanismes de gestion des mots de passe.système d’information : une indisponibilité de 24heures a des conséquences graves sur l’activité Actuellement, chaque utilisateur doit, en moyenne,industrielle et commerciale. Cette indisponibilité connaître, pour accéder aux différentes fonctions dupeut être due à une grave anomalie du contrôle Système d’Information nécessaires { ses activités,d’accès. Cela peut être par exemple la perte ou le vol entre 3 et 5 mots de passe différents. Cette problématique entraîne la plus part du temps unede mot de passe. réduction très importante de la robustesse deEn pratique, sans incriminer tel ou tel qui s’est fait l’ensemble de ces authentifications, les employésvoler son mot de passe, il est important que le RSSI utilisant à chaque fois le même mot de passe ou uncommunique efficacement sur ce thème vis à vis de mot de passe déductible du précédent par unela DSI et de la Direction Générale. mnémotechnie simple. Il suffit pour s’en convaincre d’observer le nombre d’incidents qui affectent lesLe vol de mot de passe est un délit réprimé systèmes d’information et les réseaux informatiquespénalement. Maintenant pratiquement chaque et télécoms compromettant en cela la disponibilité,salarié a accès au système d’information de l’accès aux systèmes et donc la compétitivité del’entreprise, certes { des degrés divers. Il est donc l’entreprise.nécessaire au plan de la sécurité informatique del’entreprise d’étudier sous l’angle technique, Pour y parer, il est indispensable au départ de bienl’identification et par voie de conséquence identifier et authentifier le personnel de l’entreprise,l’authentification des personnes qui y travaillent. sans oublier de le doter d’une solution d’identification ou d’authentification fortes. CelaA la question : « Quelles technologies de contrôle permettrait { l’entreprise de se doter d’un bond’accès utilisez-vous ? », les résultats sont peu système de contrôle d’accès avec carte privative àadaptés aux besoins actuels et dénotent du lourd microprocesseur ou clé USB.poids du passé en la matière. L’authentification forte se fait par la combinaisonOn constate donc que dans le domaine de dau moins deux moyens dauthentificationl’entreprise le schéma dauthentification classique (exemple : ce que possède + ce que connaîtest le plus utilisé à savoir celui basé sur ce que l’utilisateur) : une carte { puce et son code porteurlutilisateur sait ou connaît : son identification et son ou bien une « calculette d’authentification » et sonmot de passe. Les mots de passe associés à code porteur.l’identification de lutilisateur ont été et sont encorela méthode prédominante dauthentification dans 19
  19. 19. Ce type peut lui-même être subdivisé en deux sous- - Compatibilité avec les systèmes d’accèstypes : physiques (bâtiments, restaurant d’entreprise, distributeurs automatiques…) - Renforcé simple : un élément sécuritaire authentifie l’utilisateur et sa carte. Mais Surtout la carte à puce notamment dans le cadre de lauthentification inverse nest pas mise en déploiement de Badge Employés est un support œuvre. efficace et très évolutif pour dautres usages que - Renforcé mutuel : en complément du lauthentification (notamment pour le calcul de précédent, l’utilisateur et sa carte (par signatures électroniques, de chiffrement…). exemple) authentifient l’élément de sécurité (ce qui constitue une parade à plusieurs La technique carte à puce est souvent encore perçue attaques et notamment au vol comme contraignante en ce sens quelle exige : dauthentifiant par usurpation didentité de - Un lecteur sur chaque station de travail lautorité d’authentification). concernée par le contrôle daccès avec authentification si la carte est de format ISOb) La carte à puce - Un système (réseau ou serveur) apte àUne carte à puce contient un processeur avec mettre en œuvre les mécanismesalgorithme(s) et clé(s) cryptographique(s), de la cryptographiques de vérification demémoire et un système dexploitation. Une carte à lauthentification (qui peut et devrait êtrepuce a considérablement plus de capacités que les mutuelle).autres mécanismes en ne se limitant pas à la seule - Et surtout une organisation humaine etidentification et authentification de l’utilisateur. procédurale pour : o Gérer les cartes à puce.La technique dauthentification utilisant la carte à  Il faut prendre en compte depuce est plus en plus implémentée "de base" dans nombreux aspects :un système d’information (type Vista) mais peut La personnalisationfaire lobjet de "rajouts" aux systèmes existants, graphique etc’est ce que l’on appelle les middlewares électrique des cartescryptographiques La distribution desCette technologie apporte un haut niveau de cartessécurité en ce sens : … o Gérer les codes d’authentification - Que le code confidentiel de la carte ne secrets (toute authentification circule pas sur le réseau; repose sur des secrets). - Que léchange visant à lauthentification,  Il faut prendre en compte de même sil est intercepté, ne peut pas être nombreux aspects rejoué ; également : - Que cette technique permet Génération des lauthentification mutuelle, rendant secrets impossible le routage dauthentification ; Stockage des - Quil est possible de procéder à une nouvelle secrets authentification régulière de façon Diffusion des transparente pour lutilisateur (toutes les 30 secrets minutes par exemple). … - Stockage de credentials (type certificats X509) non possible sur d’autres moyens Cet aspect prend une ampleur singulière quand une d’authentification. PKI est mise en place : il faut gérer les certificats et les clés privées associées. 20
  20. 20. Les cartes à puce peuvent se décliner en différents • Les éléments de sécurité qui lui sontfacteurs de forme (Type ISO bancaire) ou s’insérer associés : identifiant et mot de passe.dans un connecteur USB. L’enjeu majeur pour l’entreprise { ce niveau résidec) L’intégration dans la politique de dans la mise à jour des informations dans les basesl’entreprise de données, notamment pour les mouvements de personnel en entrées/sorties : démissions,Comme vu précédemment, le management du licenciements, recrutements).contrôle d’accès est le plus souvent cloisonné, sansvision d’ensemble et parfois manuel. Autrement dit, 2) Le contrôle des accèsl’approche manque de coordination transversale et Le contrôle des accès aux applications et donnéesde standardisation d’où un manque d’efficience. fait appel à des solutions technologiques classiquesCe constat s’aggrave dans un contexte ou la de type logiciel. La difficulté réside dans la bonnemobilité devient la norme avec des accès prise en compte du périmètre de la cible : liste despermanents depuis n’importe quel point du monde, applications à sécuriser ? Celles à laisser en accèsau système d’information de l’entreprise stricto libre ? A cela s’ajoute la taille de la matricesensu. applications/droit, en fonction des familles de profils d’utilisateurs et de la complexité des règles d’accèsMais l’ouverture des systèmes d’information de définies par la politique de l’entreprise.l’entreprise aux partenaires et aux clients renforceencore le besoin d’une gestion sûre des identités. De La notion de gestion du cycle de vie peut s’appliquerce fait, la traçabilité des accès aux systèmes aux collaborateurs d’une entreprise, tout commed’information rend impérative la mise en œuvre aux produits vendus par l’entreprise et aux clients ded’une bonne politique de sécurité pour la gestion celle-ci. On parle alors d’e-provisioning.des identités. L’e-provisioning devient la gestion centralisée duAujourd’hui en effet, du fait de l’abandon progressif personnel par une interface web unique de sondes systèmes propriétaires, pour une application de entrée { son départ de l’entreprise. L’objectif estcontrôle d’accès physique unique, le contrôle d’automatiser au maximum la gestion du « cycle ded’accès physique et le contrôle d’accès logique vie »du salarié et de la rendre indépendante desrépondent { la même politique de mise en œuvre. applications informatiques propres { l’entreprise.De ce fait l’entreprise doit au préalable dans son Il s’agit de prendre en compte, en un minimumprojet de cartes à puce intégrer la notion d’interventions humaines, l’impact sur le systèmed’infrastructure et plus précisément de la gestion d’information de toute modification significative dedes identités ou IAM (Identity and Access la situation d’un salarié dans l’entreprise de sonManagement) qui couvre trois domaines : entrée dans l’entreprise { sa sortie de celle ci, qui caractérise le cycle de vie du salarié dans1) La gestion des identités l’entreprise.La gestion des identités associe à un utilisateur un L’objectif principal est de gérer la sécurité decertain nombre de paramètres : l’entreprise en évitant que les autorisations d’accès au système d’information ne soient conservées pour• Son identité patrimoniale et ses des collaborateurs ayant quitté l’entreprise oucaractéristiques : date et lieu de naissance et changé de direction de rattachement dansrattachement familial, numéro de sécurité sociale l’entreprise.(en France) adresse, etc.; Mais { la différence d’un enregistrement « client »• Son organisation ou sa direction et son dans une entreprise, chaque collaborateur disposeservice de référence ; de plusieurs couples identifiant/ mot de passe pour 21
  21. 21. la sécurité logique : réseau, Internet, messagerie ou 3) L’authentification des utilisateurspour la sécurité physique : accès au bureau, à lacantine, au parking, à la salle ordinateur, au PABX L’authentification des utilisateurs doit être modulable depuis la simple fonction de contrôleetc. Pour la sécurité logique, il peut s’agir de droitsd’accès { plus d’une dizaine d’applications et d’accès par mot de passe associé { un identifiantd’interdiction d’accès { d’autres applications : type jusqu’aux puissants dispositifs biométriques :fichier paie par exemple. Cela permettrait { l’entreprise de se doter d’un bonSi l’accès { chaque application doit se faire système de contrôle d’accès avec carte privative àponctuellement pour plusieurs milliers de salariés, la microprocesseur notion de convergence « badgecharge de travail est énorme et source d’erreur { d’entreprise » ou clé USB sécurisée pour les employés qui travaillent à distance.chaque niveau d’accès.Gérer tous ces droits d’accès au jour le jour devient 4) Convergence des systèmes d’accès sur badgevite fastidieux. En effet le RSSI (ou son d’entreprisereprésentant) a pour mission d’activer les droits La réalisation d’un système d’accès complet passed’accès en temps réel pour que le salarié puisse donc par la convergence des accès physiques etaccéder à ses applications métiers et nous ne logiques sur un même support de type carte Badge ;parlons pas l{ de contrôle d’accès physique (accès celle-ci outre la partie microprocesseur peut intégrerau parking, accès à son bureau, parking, accès à son des technologies dites sans contact ou RFID ;bureau etc.). L’usage du RFID (Radio Frequency Identification)Il convient donc d’automatiser au maximum tous les tend { s’étendre dans le monde. Il existe deux typesprocessus liés au « cycle de vie » du collaborateur à de normes pour les puces RFID sans contact :savoir : embauche, changement de positionhiérarchique, fin de contrat de travail etc. En • Courte distance entre la puce et son lecteur :pratique, cela se traduit par un ensemble inférieure à 15 centimètres – exemple systèmed’opérations dans le système d’information de Navigo du Métro parisien.l’entreprise qui se résume en : modification des • Longue distance la puce est située à unedroits d’accès. Cela se traduit en classique distance inférieure à 1,5 mètre (150 cm.) de sontranscription d’un processus d’entreprise en lecteur : cas pratique télé - péage des autoroutesprocessus technique. françaises, parking, etc.Chacune de ces opérations est alors automatisée. A la différence de la puce classique avec contact, laDes macro-procédures types regroupent celles-ci en puce RFID dispose d’une antenne radio qui la rendfonction des événements. Une opération pouvant détectable à distance. Il est possible de bâtir unen pratique appartenir à plusieurs macro-procédures système d’identification { partir des puces RFID sanstypes. Lorsqu’un événement défini affecte un ou contact. Mais le niveau de sécurité de la puce RFIDplusieurs salariés, la procédure adéquate est est bien inférieur aujourd’hui { celui des puces avecdéclenchée, entraînant en un minimum de temps, contact pour les cartes bancaires françaises partoutes les modifications nécessaires dans le système exemple. Le fonctionnement des puces RFID estd’information. A l’aide d’un logiciel, l’ensemble des soumis à des échelles de fréquences variées allanttables et codes afférents { la situation d’un salarié jusqu’{ l’UHF. L’émission - réception peut êtreest mis à jour automatiquement de manière brouillée par la présence de liquide : comme de l’eauexhaustive sans risque d’oubli. ou l’existence d’une cage de Faraday dans un local. Compte tenu de la valeur investie dans les systèmes d’accès physiques, il est important de s’assurer 22
  22. 22. d’une parfaite compatibilité des badges 7) Cartes et usages Multi applicatifsd’entreprises avec le système physique. Désormais, les cartes cryptographiques permettent5) Gestion des cartes et cycle de vie de supporter un ensemble d’identifiants personnels de type certificats, OTP (one time passwordLa mise en œuvre d’une solution { base de carte { applications).puce et de certificat (X 509) suppose l’intégration deplusieurs composants : L’enjeu du déploiement de ces cartes passe par un recensement très fin au préalable des usagesLa carte avec son lecteur ainsi que le code logiciel potentiels fonction des risques à protéger et aussi deembarqué qui doit être installé sur le poste de la facilité d’usage qu’en attendent les employés.travail. Différents drivers peuvent accélérer le déploiementL’infrastructure du certificat X 509 doit fournir les de cartes multi-applications :différents composants d’une infrastructure PKI :L’Autorité de Certification et l’Autorité • Le smart card logon/cest-à-dire lad’Enregistrement. protection d’accès au système d’exploitation via certificat et carte.Le CMS (Card Management System) lui va gérerl’attribution des cartes (voir ci-après) et le cycle de • Le chiffrement des mails, des dossiersvie de la carte dans l’entreprise. fichiers à partir du credential stocké sur la carte.6) Les fonctions du Card Management System • La protection des accès distants notamment(CMS) avec la compatibilité des VPN (Virtual Private Network).Le CMS effectue les fonctions suivantes : Enfin le Single Sign On (mot de passe à unique) est - Création d’une carte pour le nouvel employé souvent lié { l’authentification de l’utilisateur qui est d’une entreprise (comme nous l’avons vu d’autant plus vulnérable que ce dernier dispose de dans le e-provisioning). Cela consiste à nombreux mots de passe pour l’identifier. La associer la carte à une personne (nom et protection du master password (mot de passe photo ?) et { dialoguer avec l’Autorité de primaire) sur la carte, le tout protégé par le code pin Certification (AC) de la PKI pour récupérer le de la carte, est un facteur essentiel de promotion de certificat X 509 de niveau 3 et le placer dans la carte dans l’entreprise auprès des utilisateurs la carte. - Fourniture en prêt d’une carte temporaire { 8) Simplification du déploiement (suppression des un employé de l’entreprise lorsque celui-ci a middleware) oublié sa carte. - Gestion d’une liste noire quand la carte est De nouveaux dispositifs cryptographiques perdue ou retrait de la liste noire après un désormais peuvent être déployés sans la nécessité délai raisonnable lorsque celle-ci a été de mise en place de middlewares cryptographiques retrouvée. lourds sur les postes ; c’est notamment le cas de - Déblocage en local ou { distance d’un code déploiement des badges dans le cadre des projets pin qu’un utilisateur a verrouillé. du secteur public en France avec les standards de type IAS poussées par l’administration électronique;Le choix d’un CMS doit pouvoir s’effectuer suite {une étude précise de l’infrastructure d’accès et de la 9) Mobilité et sécuritébase des utilisateurs de l’entreprise ; il doit Avec le phénomène de la mobilité s’est démocratisépermettre la prise en compte de fonctions le développement des clés USB « mass memoryutilisables en mode décentralisé auprès des storage ».Ce type de clé USB semble plusdifférents sites de l’entreprise : économique quune carte à puce car il ne nécessite 23
  23. 23. pas de lecteur spécifique, dès lors que le parcdordinateur est équipé de ports USB.Néanmoins, une clé USB offre actuellement unemoins grande protection par rapport à une carte àpuce des codes d’authentification secrets quellestocke, par rapport à une carte à puce.L’enjeu est double pour les entreprises :• Interdire la récupération d’informationsensibles au dépend de l’entreprise { travers sonsystème d’information.• Mettre en place de nouveau dispositifsécurisé de classe « PPSD » (portable personalsecurity device) qui à la fois assure une protectionforte des informations de l’entreprise et s’intègredans une gestion globale de contrôle des dispositifs.10) Régulation (exemple pour la santé)De nouveaux secteurs, tels que la santé hospitalièreen France commencent à être directement réguléspar l’administration. En effet la mise en place decartes à puce (carte type CPS), dans le cadre del’application du Décret de confidentialité, pourprotéger l’accès { des données confidentiellespatients, constitue une première dans le secteur dela santé hospitalière et la prise en considération dela problématique sécuritaire. 24
  24. 24. d) RecommandationsChoisir une solution de e- En cas d’appel { des consultants, leurs méthodologies doivent êtreprovisioning standard, éprouvée éprouvées et ils doivent disposer d’une expertise suffisante en matière deet flexible produits notamment pour la compréhension des fonctionnalités et l’implémentation des solutions ad hoc. Les fonctionnalités des différentes solutions technologiques à mettre en œuvre sont { étudier : système de mot de passe unique (SSO), systèmes d’authentification, portails web, serveurs d’authentification, infrastructures de gestion des clés, PKI, Progiciels de gestion des ressources humaines, annuaires LDAP.Evaluer correctement la Les gains directs peuvent consister en la réduction de l’hétérogénéité desréduction des coûts en solutions techniques existantes en matière de contrôle d’accès. La baisse duinvestissement et exploitation coût du support ne constitue qu’un seul des éléments de l’étude du retour sur investissement du nouveau projet. Les gains indirects peuvent être le temps gagné lors de la gestion d’un mot de passe perdu, sur le contrôle d’accès physique : vol de PC, téléphone mobile et autre matériel.Politique de sécurité et Contrôle - Bien définir les accès et les contrôles à instaurer.d’accès - Définir au besoin des indices de sécurité pour les informations sensibles et des niveaux d’habilitation pour les utilisateurs correspondants. - Identifier les personnels nomades - Mettre en place une structure centralisée de gestion de droits des identités et du contrôle d’accès. - Un sponsor, validateur du projet au niveau de la DG.Audit des systèmes existants Inventaire des types d’accès physiques /cartes. En effet, un utilisateur moyen consomme en moyenne une dizaine d’identifiants pour accéder aux applications et ressources du Système d’Information. Cela implique donc de définir au préalable les différents propriétaires des bases de données (ou LDAP) : DRH, les directions métiers, la DSI, les chefs de projets, pour obtenir les autorisations d’accès souhaitées.Considérer Avant de rechercher les solutions techniques et les produits de sécurité surl’identification/authentification le marché, il convient d’analyser l’identification et l’authentification descomme un projet informatique. personnes et des objets comme un projet informatique à part entière et de le traiter comme tel en suivant les processus énoncés précédemment. Entre autres il faudra : prendre en compte l’existant, - savoir gérer l’évolution de la solution retenue. -Bien analyser les solutions Les solutions techniques d’identification et d’authentification sonttechniques existantes afin de techniquement au point y compris les plus performantes de type carte àchoisir les mieux adaptées. microprocesseur ou clés USB... Attention qu’{ chaque type est associée une grande variété de lecteurs. 25

×