• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Identité Numérique et Authentification Forte
 

Identité Numérique et Authentification Forte

on

  • 2,899 views

Technologie d'authentification forte pour la protection de l'identité numérique

Technologie d'authentification forte pour la protection de l'identité numérique

Statistics

Views

Total Views
2,899
Views on SlideShare
2,897
Embed Views
2

Actions

Likes
1
Downloads
138
Comments
0

2 Embeds 2

http://www.lmodules.com 1
http://sylvain-maret.blogspot.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Identité Numérique et Authentification Forte Identité Numérique et Authentification Forte Document Transcript

    • IDENTITE NUMERIQUE POURQUOI L’AUTHENTIFICATION FORTE ? RÉDIGÉ LE 21/05/2009 AUTEUR Sylvain Maret / La Citadelle Electronique http://sylvain-maret.blogspot.com/
    • 1. POURQUOI UNE AUTHENTIFICATION FORTE ? La protection des biens et des informations est une préoccupation majeure de la société, un souci que partage tout un chacun. Certains s’en inquiètent à titre personnel, pour leurs propres biens. D’autres, pour des raisons stratégiques ou économiques. A l’ère des nouvelles technologies de l’information, les entreprises et plus particulièrement le monde bancaire se sentent de plus en plus concernées – pour des raisons propres à chacune d’entre elles – par la sécurité de leurs systèmes informatiques. Mettre en place une véritable politique de sécurité devient une obligation. Tout comme appliquer les principes de base d’une protection optimale que sont l’authentification, l'autorisation, la confidentialité, la confidentialité, l’intégrité et la traçabilité. Parmi ces cinq mécanismes, l'authentification forte, est, de mon point de vue, la clé de voûte de la sécurité informatique. Vous avez dit « authentification forte » ? L'authentification est une procédure qui vise à s'assurer de l'identité d'un individu ou d'un système informatique. C’est un préliminaire indispensable à l’activation du mécanisme d’autorisation et, donc, à la gestion des droits d’accès à un système d’information donné. Les méthodes classiques pour identifier une personne physique sont au nombre de trois: Page 2 / 13
    • 1. Quelque chose que l'on connaît: un mot de passe ou un PIN code 2. Quelque chose que l'on possède: un « token », une carte à puce, etc. 3. Quelque chose que l'on est: un attribut biométrique, tel qu'une empreinte digitale On parle d'authentification forte dès que deux de ces méthodes sont utilisées ensemble. Par exemple une carte à puce avec un PIN code ou une carte à puce couplée à un lecteur biométrique. Authentification forte ? un minimum de 2 facteurs Authentifieur Quelque chose Que l’on possède Secret Biométrie PIN Code Password Quelque chose Quelque chose Que l’on connaît Que l’on ou fait La citadelle Electronique http://sylvain-maret.blogspot.com/ Page 3 / 13
    • Pourquoi cette méthode plutôt qu’une autre? Le mot de passe est actuellement le système le plus couramment utilisé pour identifier un utilisateur. Malheureusement, il n'offre pas le niveau de sécurité requis pour assurer la protection de biens informatiques sensibles. Sa principale faiblesse réside dans la facilité avec laquelle il peut être trouvé, grâce à différentes techniques d’attaques. Mis à part l'approche, efficace, de la manipulation psychologique (« social engineering »), on recense trois grandes catégories d'attaques informatiques: • Attaque de quot;force brutequot;: Il s’agit d’une attaque qui vise à deviner un (ou plusieurs) mot de passe en utilisant des dictionnaires ou en testant toutes les combinaisons possibles. Partant du principe que la majorité des mots de passe sont « faibles » (combinaisons simples du type année de naissance, prénom de son enfant, etc.), les découvrir rapidement se révèle très facile. • Ecoute du réseau : La plupart des applications comme quot;telnetquot;, quot;ftpquot;, quot;httpquot;, quot;ldapquot;, etc., n'ont pas recours au chiffrement (encryption) lors du transport d’un mode de passe sur le réseau. « Ecouter » le trafic et en extraire le mot de passe devient un jeu d’enfant dès lors qu’on dispose d’un logiciel d’écoute appelé « sniffer » (littéralement, renifleur). Il existe un grand nombre de « sniffers » dédiés exclusivement à la capture des mots de passe. • Ecoute du clavier: Imaginons que le trafic sur le réseau soit chiffré et que l'utilisateur ait pris soin de choisir un mot de passe extrêmement « solide ». Une méthode d’attaque se révèle malgré tout imparable : l’écoute du clavier ou « key logger », qui permet de « capturer » l’ensemble des touches tapées sur un clavier. Les logiciels utilisés dans ce cas sont généralement installés sur le poste de travail, à l'insu de l'utilisateur. La « compromission » du système informatique étant le plus souvent effectuée par le biais d'un virus de type cheval de Troie. Page 4 / 13
    • 2. QUELLE TECHNOLOGIE D’AUTHENTIFICATION FORTE ? Il existe aujourd’hui un grand nombre de solutions d'authentification forte sur le marché. On peut principalement en distingué trois : • Les technologies de type OTP • La technologie PKI • Les technologies biométriques 2.1. Technologie de type OTP La technologie de type OTP (One Time Password) est actuellement la méthode d’authentification forte la plus utilisée par les entreprises. Elle est basée sur un secret partagé unique à chaque individu. Intrinsèquement cette méthode peut être utilisée uniquement pour mettre en place un mécanisme d’authentification fort. Les OTP ne sont pas capable d’offrir des services tel que la non répudiation, la signature et le chiffrement. Par contre cette technologie à l’immense avantage d’être très facile à déployer et offre une grande mobilité qui est particulièrement appréciée des utilisateurs nomades. Généralement les moyens d’authentification de type OTP sont embarqués sur des « Tokens » physiques. Le niveau d’authentification forte est généralement obtenu en combinant un « Token » physique et un PIN Code connu par l’utilisateur. Quelques exemples de « Tokens » OTP : Page 5 / 13
    • 2.2. Technologie PKI La technologie PKI est basée sur un mécanisme fondamentalement différent des OTP. Celui-ci est basé sur la cryptographie à clé public ou cryptographie asymétrique. Dans le cadre de l’authentification forte, chaque utilisateur possède une paire de clés (Une clé publique et une clé privée) ainsi qu’un certificat numérique attestant de l’identité de l’utilisateur. Muni de ces informations l’utilisateur est capable de prouver son identité. Afin de monter le niveau de sécurité, généralement le certificat numérique et la paire de clés sont stockés sur un support physique tel une carte à puce ou un Token USB. L’immense avantage de cette technologie réside dans les services de sécurité qu’elle peut amener à une entreprise. Ces services sont : • L’authentification forte • La non répudiation • Le chiffrement • La signature numérique Par contre la technologie PKI peut poser un problème dans le cas de la mobilité. Généralement utilisé avec un Token USB ou une carte à puce, il devient difficile de connecter ces « devices » sur des ordinateurs que l’on ne maîtrise pas, tel un Internet Café. Nous appellerons cette problématique : la problématique de type « Kiosk ». Quelques exemples de « Tokens » PKI : Page 6 / 13
    • Sécurisation de la clé privée L’entreprise qui souhaite sécuriser la partie privée d’un certificat dispose de plusieurs possibilités. Une des plus connues est le recours à des cartes à puce (format carte de crédit ou« Tokens » USB). Ces supports permettent le stockage aussi bien des clés que du certificat numérique. Il existe deux grandes familles de supports: les cartes mémoire et les cartes à processeur cryptographique. En termes de sécurité, la deuxième famille est à recommander, dans la mesure où la clé privée est intégrée au support et n’en sort jamais. Les calculs cryptographiques sont en effet réalisés à l'intérieur de la carte par le processeur. Cette méthode garantit une protection optimale contre les attaques qui visent à obtenir la clé privée. De plus, la carte à puce peut être protégée par un PIN code ou par un lecteur biométrique. Dans le cadre de la protection par un moyen biométrique le niveau de sécurité est supérieur. Cette solution est alors capable d’amener une preuve quasi irréfutable de l’identité de l’utilisateur. Protection par un PIN Code Protection par la biométrie Page 7 / 13
    • 2.3. Les technologies biométriques Il existe actuellement un grand nombre de solution biométrique. La majorité des solutions est déployée dans le cadre de la sécurisation des bâtiments. Cependant depuis quelques temps, un certain nombre de solutions voit le jour pour la sécurisation des environnements IT pour les entreprises soucieuse de leur sécurité du système d’information. Les technologies sont très diverses tel que : • Reconnaissance des empruntes • Reconnaissance de l’iris • Reconnaissance de la voix • ADN • Reconnaissance des veines • Etc. Dans le cadre de l’environnement IT, il est montré que la solution basée sur les empruntes des doigts est actuellement la technologie la plus utilisée. Ce graphique montre que la technologie Fingerprint est un des meilleurs compromis entre le confort et la fiabilité du système. Page 8 / 13
    • Le principe de fonctionnement de la biométrie est basé sur la transformation d’un trait physique d’une personne en une information numérique. Le résultat de cette transformation s’appelle une « Biometric Pattern ». Une fois cette information capturée et vérifiée, celle-ci doit être stockée dans un « magasin ». Ce processus s’appelle « l’Enrôlement ». Une fois le système initialisé, l’utilisateur peut effectuer une procédure de vérification afin de s’authentifier. Le système biométrique compare la « Biometric Pattern » du magasin à celle de l’utilisateur. Ci ces deux informations sont identiques alors l’utilisateur est authentifié. Page 9 / 13
    • Ce schéma explique le fonctionnement de base de la biométrie : Page 10 / 13
    • 2.4. Niveau de sécurité des solutions Biométriques ? De nombreuses étude prouvent aujourd’hui qu’il est possible d’usurpée l’identité d’un utilisateur par le biais de plusieurs moyens. Bien évidement il existe à l’heure actuelle un grand nombre de produits biométrique offrant plus ou moins de sécurité. Cependant dans le cadre d’un projet IT pour une entreprise le coût d’investissement est une composante très importante. Les études prouvent que sur ce genre de produits (IT) il est possible de contourner ces systèmes. La conclusion de ces rapports est formelle : il n’est pas recommandé d’utiliser la biométrie comme facteur unique d’authentification. Par contre la biométrie est un très bon moyen de remplacement du PIN Code ou d’un mot de passe. Exemple de méthode d’usurpation : Page 11 / 13
    • 2.4.1. Stockage des « Biometric Pattern » Afin de stocker la ou les « Biometric Pattern » il existe principalement deux approches : • Le stockage centralisé • MOC (Match On Card) Le stockage centralisé Avec un système de stockage centralisé, l’idée est de maintenir une base de données avec les « Biometric Pattern » des utilisateurs de l’entreprise. L’avantage de ce système est le coût. Par contre ce système présente trois inconvénients principaux. Le premier est la limitation en termes de mobilité. En effet, avec ce système il n’est pas possible d’offrir de la mobilité, par exemple dans le cas d’un laptop en mode « standalone ». Le deuxième inconvénient est le niveau de sécurité car il y a un échange d’information entre les postes de travail et la base de données. Celui-ci peut être détourné, usurpé, etc. Le dernier inconvénient est le niveau d’acceptante des utilisateurs. Même si il n’est pas possible de reconstituer une emprunte à partir de la « Biometric Pattern », beaucoup de personnes sont réticente au stockage centralisé des Pattern. Page 12 / 13
    • MOC (Match On Card) La technologie MOC permet de stocker la ou les « Biometric Pattern » sur un support physique tel une carte à puces ou un token usb. Avec ce système le stockage des « Biometric Pattern » dans une base de données devient obsolète. En termes de sécurité ce système est très intéressant. De plus il offre une grande mobilité car il n’y a plus besoin d’avoir un moyen de communication avec le composant de stockage des Pattern. L’inconvénient principal de cette technologie est sans aucun doute son coût. Ci-joint une explication de la technologie MOC : Page 13 / 13