Authentification
Upcoming SlideShare
Loading in...5
×
 

Authentification

on

  • 1,238 views

 

Statistics

Views

Total Views
1,238
Views on SlideShare
1,172
Embed Views
66

Actions

Likes
2
Downloads
71
Comments
0

1 Embed 66

http://www.scoop.it 66

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Authentification Authentification Document Transcript

  • Services d’Authentification et Annuaires Abdelghani MAZOUZI UFR Informatique UCB Lyon1 14 décembre 2009 1
  • Table des matières1 Introduction 32 Authentification 3 2.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.2 Facteurs d’authentification des personnes . . . . . . . . . . . . . . . . . . 3 2.3 Protocole d’authentification . . . . . . . . . . . . . . . . . . . . . . . . . 4 2.3.1 Protocoles d’authentification Par mot de passe statique . . . . . 4 2.3.2 Protocoles d’authentification Par mot de passe à usage unique . . 4 2.3.3 Protocole S/Key . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 2.3.4 Protocole EAP et ses méthodes . . . . . . . . . . . . . . . . . . . 4 2.3.5 Protocole 802.1x . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.3.6 Autres protocoles d’authentification . . . . . . . . . . . . . . . . . 53 Service d’authentification 5 3.1 Les protocoles AAA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 3.2 Protocole Radius . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 3.2.1 Principe de fonctionnement d’un service Radius . . . . . . . . . . 6 3.3 Protocole DIAMETER . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 3.3.1 Composition d’un réseau Diameter . . . . . . . . . . . . . . . . . 7 3.3.2 Comparaisons Diameter / Radius . . . . . . . . . . . . . . . . . . 8 3.4 Protocole TACACS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 3.4.1 Fonctionnement de Protocole TRACAS+ . . . . . . . . . . . . . . 8 3.5 Protocole Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 3.5.1 Principe de fonctionnement du service Kerberos . . . . . . . . . . 94 Annuaires 10 4.1 NIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 4.2 NIS+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 4.3 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 4.4 LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 4.5 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 Conclusion 12 2
  • 1 Introduction Tout d’abord, il faut se souvenir que dans des temps très reculés à l’échelle de l’infor-matique, dans les années 70, les terminaux étaient reliés au serveur par des liens spécia-lisés. Pour s’infiltrer, un cracker devait donc obligatoirement se brancher physiquementsur ces liens.Lorsque les réseaux ont commencé à utiliser un modèle client - serveur et que les termi-naux ont été remplacés par les PC, les administrateur s ne pouvaient plus avoir confiancedans les utilisateurs finaux. En effet, ceux- ci peuvent désormais modifier un logiciel ouécouter le réseau. Il a donc fallu mettre en place un système permet tant de rétablir cetteconfiance sur le réseau. Aujourd’hui, alors que nous consultons tous les jours nos e- mails,ou que nous échangeons des données que nous souhaiterions confidentielles, les mots depasse et les données circulent la plupart du temps « en clair » entre notre poste et leserveur ou le destinataire. Cela signifie que quiconque surveillant nos données pourra lirenos conversations, nos mots de passe et donc nos données.La solution proposée est la mise en place d’un système d’authentification, permet tantd’assurer que deux interlocuteur se connaissent et savent qui est l’autre. Comme les com-munications peuvent, en principe, être vues par n’importe qui, il a été proposé de lessécuriser, afin que seules les personnes concernées puissent consulter ces informationsconfidentielles.Avec le développement des réseaux dans les entreprises, les services offerts se sont mul-tipliés : messagerie, serveur de fichiers, agenda partagé... Pour qu’un utilisateur puisseaccéder à un de ces services, il lui est souvent demandé de s’authentifier, afin de se fairereconnaître du service en question.Chaque utilisateur dispose de données spécifiques. Ces données sont, en général, dupli-quées pour chaque service. Il faut donc les gérer autant de fois qu’il existe d’applicationsce qui n’optimise pas le travail des personnes s’occupant de mettre à jour ces informa-tions avec les risques d’incohérences que cela entraînent. Plus le réseau est vaste et plusles services se multiplient. Il est par conséquent difficile, sur un réseau étendu, de contrô-ler finement et efficacement l’ensemble des ressources. On se retrouve très rapidementavec des incohérences dans les données entre les différentes informations qui devraientpourtant être identiques.C’est là que le concept d’annuaire prend son sens. Un annuaire va permettre de centraliserles informations des utilisateurs et des services et d’en simplifier l’administration.2 Authentification2.1 Définition L’authentification est la fonction de sécurité qui consiste à apporter et à contrôler lapreuve de l’identité d’une personne, d’un logiciel, d’un equipement ...2.2 Facteurs d’authentification des personnes Les facteurs d’authetification des personnes sont : – Ce que l’on est (empreints digitals, la biometrie ...) 3
  • – Ce que l’on possède (carte à puce ...) – Ce que l’on sait (mot de passe, login ...) – Ce que l’on sait faire (signature manuscrite ...)la combinaison de deux facteurs au minimum est l’une des conditions d’une authentifica-tion forte2.3 Protocole d’authentification2.3.1 Protocoles d’authentification Par mot de passe statique – Protocole du mot de passe statique en clair : c’est le moyen d’authentification le plus utilisé dans le monde, il est faible en terme de sécurité – Protocole du mot de passe statique chiffré – Protocole du mot de passe statique haché – Protocole du mot de passe statique chiffré par une session SSL : HTTPS par exemple2.3.2 Protocoles d’authentification Par mot de passe à usage unique – Protocoles d’authentification Par mot de passe à usage unique dynamique ou OTP – Protocoles d’authentification Par mot de passe à usage unique en mode défi-réponse2.3.3 Protocole S/Key – S/Key [13] est une implantation de OTP (One Time Password) – Le mot de passe qui traverse le réseau est utilisé une et une seule fois. – Même si le mot de passe est capturé, il ne pourra pas être réutilisé. – S/Key utilise deux phase pour l’authentification – L’initialisation de la liste de mots de passe S/Key généré de façon aleatoire par le serveur à l’aide d’une fonction de hachage. L’utilisateur garde tous les mots de passes sauf le dernier qui sera gardé par le serveur. – L’authentification qui consiste en ce que le serveur demande au client d’envoyer à chaque fois un nouveau mot de passe dans l’ordre pour vérifier sa validation jusqu’à la fin de liste.2.3.4 Protocole EAP et ses méthodes Extensible Authentication Protocol (EAP) [11] [13] est une extension du protocolePPP. Il est normalisé dans la RFC 2284. Les paquets EAP sont transportés dans destrames Ethernet spécifiques EAPOL.Le succés du protocole EAP est dû en grande partie à son adoption par le protocole802.1x. Les méthodes d’authentification les plus communes sur EAP sont : – EAP-TLS (Transport Layer Security) – EAP-TTLS (Tunneled Transport Layer Security) – PEAP – EAP-MD5 – LEAP (Lightweight EAP pour Cisco) – EAP-FAST (EAP-Flexible Authentification via Secure Tunneling) – EAP-SIM 4
  • 2.3.5 Protocole 802.1x Le protocole 802.1x est une solution de sécurisation d’un réseau mis au point parpar l’organisme de standardisation IEEE en 2001. Il a pour but de contrôler l’accès àun réseau filaire ou sans fil grâce à un serveur d’authentification. Le standard permet demettre en relation le serveur d’authentification et le système à authentifier par des sé-quences par des échange EAP. Le protocole 802.1x va donc unifier les différents méthodesd’authentification sous la même bannière : le protocole EAP. La principale innovation amenée par le standard 802.1x consiste à scinder le port lo-gique, qui sont connectés en parallèle sur le port physique. le premier port logique estdit "contrôle", et peut prendre deux "ouvert" ou "fermé". Le deuxième port logique estlui toujours accessible mais il ne gère que les trames spécifique à 802.1x. Cela permet dede gérer le dialogue nécessaire à l’authentification au préalable à une connexion réseau.La connexion initiale est donc limitée à un usage de sécurité qui ouvre ultérieurement lecanal des données en cas d’authentification réussie.[11] [13]2.3.6 Autres protocoles d’authentification De nombreux protocoles existent pour l’authentification [13] – PAP (Password Authentification Protocole) : protocole classique avec utilisation d’un mot de passe statique – CHAP (Challenge Handshake) – MSCHAP : la version CHAP de Microsoft pour ses réseau windows – SSL (Secure Sockets Layer) pour assurer la confidentialités des échanges (HTTPS, FTPS, POPS3 Service d’authentification3.1 Les protocoles AAA AAA signifie Authentication, Authorization, Accounting, soit authentification, auto-risation et compte. La signification de ces termes est la suivante : – Authentification : l’authentification consiste à vérifier qu’une personne/équipement est bien celle qu’elle prétend être. – Autorisation : l’autorisation consiste à permettre l’accès à certains services ou ressources. – Accounting : le serveur AAA a la possibilité de collecter des informations sur l’utilisation des ressources.3.2 Protocole Radius Radius [11](Remote Authentication Dial-In User Service) est un protocole client-serveur, défini par le RFC 2865. permettant de centraliser des données d’authentification.Le protocole est souvent dénommé AAA (Authentication Authorization Accounting). Leprotocole établit une couche applicative au-dessus d’UDP. Les ports utilisés sont : 1812pour recevoir les requetes d’authentification et d’autorisation, 1813 pour la comptabilité. 5
  • 3.2.1 Principe de fonctionnement d’un service Radius 1. Clients Radius ou NAS (Network Access Server) qui sont les équipements réseau tels que le commutateur ou la borne sans fil Ils doivent supporter le protocole Radius et un ensemble de protocoles d’authen- tification pour permettre à l’utilisateur de s’authentifier (IEEE 802.1X , EAP et ses méthodes ...), le protocole IEEE 802.1Q si l’utilisation des réseau virtuels est souhaités. 2. Le serveur Radius : Il existe plusieurs solutions sur le marché, certains commer- ciales, d’autres libres. – ACS (Access Control Server de Cisco sous Windows) – Aegis (de MettingHouse sous Linux) – IAS (Internet authentification Service de Microsoft sous Windows) – OpenRadius (libre sous Linux) – FreeRadius (libre sous Linux, BSD, Solaris et Windows) 3. Poste clients qui représente les utilisateurs Pour permettre le communication entre serveur Radius et la NAS, il existe six typesde requête RADIUS : – Acces Request, Acces Accept, Acces Reject et Acces Challenge : ces requête sont utilisées dans les échanges d’authentification/autorisation. – Accounting-Request et Accounting Response sont utilisés dans les échanges liés à la comptabilité. Fonctionnement de protocole Radius [2] 6
  • 3.3 Protocole DIAMETER Diameter est un protocole d’authentification conçu pour servir de support à l’archi-tecture AAA, successeur du protocole RADIUS. Ce protocole est défini par la RFC 3588.Il a repris les principales fonctions de Radius ( Diameter est compatible avec Radius )et en a rajouté de nouvelles pour s’adapter aux nouvelles technologies ( IPv4 Mobile,NASREQ ... ) et plus particulièrement offrir des services aux applications mobiles. Ceprotocole se situe au niveau de la couche transport. Il utilise le port 3868 via le protocoleTCP ou bien SCTP. [3] [5]3.3.1 Composition d’un réseau Diameter 1. Client Diameter : Cela peut être, par exemple, un NAS, un agent étranger ( Foreign Agent ). Il génére des messages Diameter de demande d’authentification, d’autorisation ou de service de comptabilité. 2. Serveur Diameter : fournit les services d’authentification, d’autorisation et de gestion de comptabilité pour un réseau d’utilisateurs donné 3. Agents Diameter : Les agents Diameter regroupent les entités qui vont former les différents types de noeuds du réseau. Ils ont en commun qu’ils ne font ni d’au- torisation ni d’authentification de clients. – Proxy Diameter : va dans ses fonctions de base, relayer les messages des clients et des serveurs. – Agents relais : Les relais routent les messages Diameter vers d’autres noeuds Diameter d’après les informations contenues dans le message ( domaine destina- taire ... ). Pour cela, le relais s’aide de sa table de routage de domaine ( Realm Routing Table ) et de la connaissance de son réseau environnant. Il peuvent éga- lement être utilisés pour concentrer des demandes de plusieurs NAS dans une zone géographique donnée – Agents de redirection Diameter : Les agents de redirection vont servir à centraliser les informations de routage dans un domaine. Ainsi, plutôt que N relais Diameter aient a gérer chacun leur table de routage, il est plus simple et efficace de centraliser cette fonction en un seul point : l’agent de redirection. – Agents de conversion : Cet agent va convertir des messages entre 2 protocoles (Radius , Diameter) 7
  • Agent relais dans un réseau DIAMETER [3]3.3.2 Comparaisons Diameter / Radius – Radius n’utilise qu’un octet pour coder les transactions. Cela ne représente donc que 255 clients de connectés au même moment sur un serveur Radius. Diameter code ce champs sur 4 octets, ce qui représente un potentiel de 4 milliard de clients. – Radius utilise le protocole UDP qui est non fiable, qui n’effectue aucun contrôle d’erreur. Alors que Diameter est sur TCP qui peut gérer par exemple, une décon- nection de la communication, la congestion du réseau. – Sous Radius, toutes les retransmissions nécessaires sont faites par le NAS.Ceci, est fait sous Diameter par un agent qui détecte la nécessité de retransmission. Cela ne charge pas une entité unique à cette tache.3.4 Protocole TACACS+ TACACS+ (Terminal Access Controller Access Control System Plus) est un proto-cole de sécurité inventé dans la fin des années 90 par CISCO Systems. Même s’il a finipar remplacer les protocoles TACACS et XTACACS, TACACS+ n’est pas basé sur cesderniers. Ce protocole se situe au niveau de la couche transport. Il utilise le port 46 viale protocole TCP.TACACS+ permet de vérifier l’identité des utilisateurs distants mais aussi, grâce aumodèle AAA, d’autoriser et de contrôler leurs actions. [10] [8]3.4.1 Fonctionnement de Protocole TRACAS+ Contrairement au protocole Radius qui fait l’authentification et l’autorisation enmême temps, TRACAS+ sépare les deux derniers. Pour l’authentification, le client TRA-CAS+ peux s’authentifier auprès d’un serveur TRACAS+ ou autres serveur d’authenti-fication (Radius, Kerbéros ...). 1. Authentification : Pour commencer une session d’authentification le client en- voie un paquet "START" au serveur TACACS+. Le serveur répond alors, selon la 8
  • technologie de couche 2 utilisée, par l’intermédiaire d’un paquet "REPLY". En validant les informations qu’il a entré relative à son nom d’utilisateur, le client en envoi un paquet "CONTINUE" contenant ces informations. Le serveur TACACS vérifie alors dans sa base si l’utilisateur est présent ou non dans sa base et envoie dans un paquet "REPLY" afin d’informer le client si l’authentification a été un succès ou un échec. 2. Autorisation : Quand un utilisateur demande l’utilisation d’un service particulier, il passe par l’intermédiaire du client TACACS+ qui envoie un paquet " REQUEST ". Ce paquet comprend des arguments de types " attributs-valeurs " qui permette de définir les commandes qui doivent être exécutés. Par exemple si l’utilisateur veut utiliser le protocole FTP, le client TACACS+ enverra comme argument protocol = "ftp". Après avoir vérifié dans sa base le serveur TACACS+ répond par un paquet "RES- PONSE" qui autorise ou l’utilisation du service demandé par l’utilisateur. 3. Comptabilisation : La communication de la comptabilisation est similaire à celle de l’autorisation.3.5 Protocole Kerberos Kerberos est un protocole de sécurité originaire de monde Unix, il a pris un nouveaudépart lorsqu’il a été choisi par Microsoft pour remplacer NTLM (NT Lan Manager) dansWindows 2000. [13]Kerberos a pour objectif : – d’authentifier les utilisateurs – de leur allouer des droits d’accès à des applications (sur un serveur) sur le réseau sous forme de ticket ou jetons d’accès périssables dans le temps. – d’assurer la transmission sécurisée de ces tickets ou jetons d’accès vers les applica- tions et ressources demandées. – de protéger les échanges entre les utilisateurs et les applications.3.5.1 Principe de fonctionnement du service Kerberos Pour mettre en place un service ou "zone" Kerberos nous avons besoin d’un serveurKDC (Key Distribution Center) qui gère la base de données des identités et des mots depasse de tous les clients et serveurs rattachés. ce serveur doit être physiquement sécurisé.Les serveurs KDC sont capable de collaborer entre eux pour permettre l’accés de l’utili-sateur autorisé à d’autres zonz du réseau.Concrètement, l’utilisateur envoie un message en clair horodaté au KDC pour obtenirun ticket afin d’accéder à un serveur ou un service donné. Le KDC renvoi un messagechiffré à l’utilisateur contenant un ticket général TGT (Ticket-Granting Ticket, permet-tant d’obtenir par la suite de futurs tickets) et une clé de session horodatée. Ce messagea été chiffré en utilisant le mot de passe de l’utilisateur comme clé secrete. L’utilisateurest donc à même de déchiffrer ce message et de récupérer ainsi une clé de session qui luipermettra de dialoguer de manière sécurisée avec le KDC.L’utilisateur envoie par la ensuite par ce canal sécurisé une requête chiffré au KDC en 9
  • précisant la ressource à laquelle il veut accéder. Le KDC est ainsi en mesure de déli-vrer à l’utilisateur et à la ressource concernée une nouvelle clé de session permettant leséchanges directs entre eux. Le client et le serveur s’authentifie mutuellement par ce biaiset la communication peut se poursuivre entre eux.Le TGT expire à une date et à une heure déterminé. Il permet au client d’obtenir d’autrestickets associés à des permissions spéciales d’accés à d’autres services graçe au TGS(Ticket-Granting Service). Une fois le TGT obtenu, la manipulation des tickets addition-nels devient transparente pour l’utilisateur. [13] Communication dans un Service Kerbéros4 Annuaires Un annuaire électronique est une base de donnée spécialisée, dont la fonction premièreest de retourner un ou plusieurs attributs d’un objet grâce à des fonctions de recherchemulti-critères. Contrairement à un SGBD, un annuaire est très performant en lecturemais l’est beaucoup moins en écriture. Sa fonction peut être de servir d’entrepôt pourcentraliser des informations et les rendre disponibles, via le réseau à des applications, dessystèmes d’exploitation ou des utilisateurs.4.1 NIS Dès 1985 Sun à introduit le Network Information Service (NIS), déjà destiné à centra-liser l’administration des informations système. NIS n’est pas un standard de l’Internetmais largement utilisé. Les informations sont stockées sous forme de map contenant despaires "mots_clef/valeurs" stockées sur une machine "hôte" (Serveur), dans de simplesbases de données distribuée, accessibles par des appels RPC (Remote Procedure Call).NIS fonctionne sur le principe "clients-serveur". L’objectif de NIS est de réduire le tempsd’administration d’un parc de machine, en simplifiant la gestion des comptes, des motsde passe sous Linux. Il suffit de créer chaque un nouvel utilisateur sur le serveur NIS pourque chaque machine client NIS ait accés aux informations de cet utilisateur. [9] 10
  • 4.2 NIS+ Sun à réagit aux défauts de NIS par l’introduction dans solaris 2 des NIS+. Ils ré-pondent aux trois remarques ci-dessus en introduisant un propagation des données entremaître-esclave de manière incrémentale, en ajoutant la notion de root domain master enhaut de l’arbre hiérarchique sous lequel de trouvent des subdmain master pouvant eux-mêmes être au-dessus d’autres subdomain-master. Enfin la notion de “certificat, identité”(credential) via une paire de clé privée/publique vient combler le problème de sécurité.L’imposition d’une architecture hiérarchique de haut en bas des nis+ qui implique unecoopération entre les administrateurs systèmes des différents départements d’une organi-sation, ainsi que la gestion des paires clé privée/public fut finalement un frein au passagedes nis aux nis+. Pourtant ces derniers préfigurent beaucoups de concepts utilisés par lasuite dans LDAP.4.3 DNS Le Domain Name System (DNS) est un service permettant d’établir une correspon-dance entre une adresse IP et un nom de domaine. C’est un annuaire spécialisé.4.4 LDAP LDAP (Lightweight Directory Access Protocol, traduisez Protocole d’accès aux an-nuaires léger) est un protocole standard permettant de gérer des annuaires, c’est-à-dired’accèder à des bases d’informations sur les utilisateurs d’un réseau par l’intermédiairede protocoles TCP/IP. Les bases d’informations sont généralement relatives à des utilisateurs, mais elles sontparfois utilisées à d’autres fins comme pour gérer du matériel dans une entreprise. Le protocole LDAP, développé en 1993 par l’université du Michigan, avait pour butde supplanter le protocole DAP (servant à accéder au service d’annuaire X.500 de l’OSI),en l’intégrant à la suite TCP/IP. A partir de 1995, LDAP est devenu un annuaire natif(standalone LDAP), afin de ne plus servir uniquement à accéder à des annuaires de typeX500. LDAP est ainsi une version allégée du protocole DAP, d’où son nom de LightweightDirectory Access Protocol.Le protocole LDAP définit la méthode d’accès aux données sur le serveur au niveau duclient, et non la manière de laquelle les informations sont stockées.Le protocole LDAP en est actuellement à la version 3 et a été normalisé par l’IETF(Internet Engineering Task Force). Ainsi, il existe une RFC pour chaque version de LDAP,constituant un document de référence : [7] [12] [6] – RFC 1487 pour LDAP v.1 standard – RFC 1777 pour LDAP v.2 standard (1994) – RFC 2251 pour LDAP v.3 standard (1997) 11
  • Protocole LDAP [4]4.5 Active Directory Active Directory (AD) est la mise en oeuvre par Microsoft des services d’annuairepour une utilisation principalement destinée aux environnements Windows. Implantantle protocole LDAP, l’objectif principal d’Active Directory est de fournir des services cen-tralisés d’identification et d’authentification à un réseau d’ordinateurs utilisant le systèmeWindows. Il permet également l’attribution et l’application de stratégies, la distributionde logiciels, et l’installation de mises à jour critiques par les administrateurs. Active Direc-tory répertorie les éléments d’un réseau administré tels que les comptes des utilisateurs,les serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc. Un utilisa-teur peut ainsi facilement trouver des ressources partagées, et les administrateurs peuventcontrôler leurs utilisations grâce à des fonctionnalités de distribution, de duplication, departitionnement et de sécurisation des accès aux ressources répertoriées. Si les adminis-trateurs ont renseigné les attributs convenables, il sera possible d’interroger l’annuairepour obtenir par exemple : « Toutes les imprimantes couleurs à cet étage du bâtiment ».[1]5 Conclusion Que ce soit pour un accès à des réseau locaux ou étendue, que ces réseau soit filaires ousans fil, que ces réseaux soit en architecture client/serveur ou répartis, l’authentificationdes équipements, des services et des personnes est nécessaire.Or, les procédures d’authentification classique par identifiant et mot de passe ne suf-fisent plus. l’écoute de ligne est l’attaque numéro un qui permet de récupérer facilementl’identité d’un utilisateur. La deuxième catégorie d’attaque consiste à espionner, simu-ler, copier ou voler le moyen d’authentification des utilisateurs. La troisième concerne la 12
  • récupération des éléments d’authentification des utilisateurs stockés du coté du serveurd’authentification. La quatrième est l’ingénierie sociale qui vise à tromper la vigilance del’utilisateurs en l’amenant astucieusement à révéler volontairement ses mots de passe, sescodes ou ses secrets. Enfin, La sinquième est l’attaque dite "à force brute" qui consistepar exemple à essayer systématiquement et automatiquement tous les mots de passe pourarriver au bon.L’enjeu est d’autant plus considérable que ces menaces qui pèsent sur les particuliers,les entreprises, les organisations les administrations et leur système d’information sontbien réels. C’est lâ ou se montre le rôles des service d’authentification et annuaire pourcontroler à bien les utilisateurs.L’authentification n’est donc pas une fonction de sécurité à négliger, bien au contraire.Elle occupe une place centrale dans la sécurité des réseaux d’aujourd’hui. 13
  • Références [1] Active directory, http ://fr.wikipedia.org/wiki/active_directory. [2] http ://upload.wikimedia.org/wikipedia/commons/5/53/drawing_radius.png. [3] http ://wapiti.telecom-lille1.eu/commun/ens/peda/options/st/rio/pub/exposes/exposesrio2004/ba duchemin/diameter.htm. [4] http ://www-igm.univ-mlv.fr/ dr/xpose2006/caillaud_hassler_jorry/concepts.html#securite. [5] Introduction to diameter, http ://www.ibm.com/developerworks/wireless/library/wi- diameter/. [6] Le protocole ldap, http ://linagora.org/contrib/annuaires/formations/protocole. [7] Le protocole ldap, http ://www.commentcamarche.net/contents/internet/ldap.php3. [8] Le protocole tacacs+, http ://www.supinfo-projects.com/fr/2006/tacacsp/. [9] Nis, http ://cern91.tuxfamily.org/linux/indexnet.php ?page=nis.[10] Tacacs+ and radius comparison, http ://www.cisco.com/en/us/tech/tk59/technologies_tech_note[11] Serge Bordères. Authentification réseau avec Radius. EYROLLES, 2007.[12] Marcel Rizcallah. Annuaires LDAP. EYROLLES, septembre 2004.[13] Pascal THONIEL. Sécurité des systèmes d’information. Technique de l’ingénieur, Avril à Octobre 2009. 14