ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs

939 views

Published on

De par l’envergure internationale du CERN, les utilisateurs, plusieurs milliers, sont répartis un peu partout dans le monde, accédant régulièrement à leurs comptes à distance. Depuis un cyber-café, un réseau WiFi non-sécurisé, un institut (ou une université) compromis, …
Pour les attaquants, les occasions de capturer les mots de passe sont nombreuses ! L’intérêt de mots de passe forts devient très limité si ceux-ci peuvent être capturés et réutilisés facilement par des tierces personnes.
L’authentification multi-facteurs permet justement de contrer ceci, en demandant plusieurs éléments aux utilisateurs : typiquement quelque chose qu’ils connaissent (eg. un mot de passe) et quelque chose qu’ils possèdent (eg. un jeton hardware). Même si cette méthode permet de renforcer considérablement l’authentification, la solution parfaite n’existe pas, et l’étude des différents cas d’utilisations qui devront être supportés est donc primordiale.

Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Remi Mollon

Published in: Technology
1 Comment
0 Likes
Statistics
Notes
  • Be the first to like this

No Downloads
Views
Total views
939
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
33
Comments
1
Likes
0
Embeds 0
No embeds

No notes for slide

ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs

  1. 1. Authentification Multi-FacteursRetour dexperience Rémi MOLLON Analyste en Sécurité Informatique CERN Application Security Forum Western Switzerland 27 octobre 2011 - HEIGVD Yverdon-les-Bains http://appsec-forum.ch
  2. 2. Présentation personnelle• Grilles Informatiques (projet EGEE) – Développement et intégration application bio-informatiques – Développeur « Data Management » – Membre équipe sécurité opérationnelle• Équipe Sécurité Informatique du CERN – Responsable infrastructure – Sécurité opérationnelle – Développement logiciel – Audits internes Application Security Forum - Western Switzerland - 2011 2
  3. 3. Agenda• LAuthentification au CERN• Authentification par mot de passe• Authentification multi-facteurs et les différents facteurs• Les choix du CERN Application Security Forum - Western Switzerland - 2011 3
  4. 4. CERN• Organisation Européenne pour la Recherche Nucléaire – Coopération internationale entre laboratoires et instituts – Caractère purement scientifique et fondamental Application Security Forum - Western Switzerland - 2011 4
  5. 5. Les Nationalités Application Security Forum - Western Switzerland - 2011 5
  6. 6. Les Utilisateurs• Le CERN – 20 états membres – Nombreux états non-membres et contacts scientifiques• Les utilisateurs – Des centaines d’universités à travers le monde – Élèves, étudiants, professeurs, techniciens, ingénieurs, physiciens, … – Forte croissance des nouveaux comptes Application Security Forum - Western Switzerland - 2011 6
  7. 7. Milieu Académique• Réseaux très ouverts – Collaborations étroites entre instituts – Nombreux protocoles « maison » – Utilisation des « Grilles »• Ordinateurs gérés par les utilisateurs – Mauvaise configuration – Mises à jour manquantes – Aucun contrôle Application Security Forum - Western Switzerland - 2011 7
  8. 8. « Single Sign On »• Portail unique dauthentification – Microsoft ADFS / Shibboleth – Pour les applications (web) – Mot de passe, Certificats X509 – Interface WS/SOAP• Autorisations et E-Groups – Solution « maison » CERN – Synchronisation avec AD/LDAP – Contrôle d’accès fins si besoin Application Security Forum - Western Switzerland - 2011 8
  9. 9. Les Menaces• Réutilisation des mots de passe• « Brute forcing » de mots de passe• Vols de mots de passe – « Social Engineering » / Phishing• Vols dappareils – Stockage non-sécurisé• Chevaux de troie, « key loggers »• Attaque « Man in the middle » Application Security Forum - Western Switzerland - 2011 9
  10. 10. Les Limites• Négligences de certains utilisateurs• Croissance du nombre dattaques• Vol de mots de passe 1er vecteur de propagation dattaques dans le milieu académique Application Security Forum - Western Switzerland - 2011 10
  11. 11. Les Solutions• Ne plus utiliser dappareils informatiques• « Super » utilisateurs uniquement – Retenir de nombreux mots de passe complexes – Ne plus être vulnérable au « Social Engineering »• Autre méthode dauthentification... Application Security Forum - Western Switzerland - 2011 11
  12. 12. Authentification Multi-Facteurs• Plusieurs facteurs – Quelque chose que lon sait • Mot de passe • Code pin – Quelque chose que lon a • Certificat X509 • Carte a puce • Clé hardware • Génération « One Time Password » • ... – ... Application Security Forum - Western Switzerland - 2011 12
  13. 13. Authentification Multi-Facteurs (2)• Facteur dynamique – Ne doit pas être mémorisé• Résistance aux attaques – Pas de « sniffing » possible – Limite fortement la propagation• Processus dauthentification plus long – « Single Sign On » recommandé Application Security Forum - Western Switzerland - 2011 13
  14. 14. Certificat X509• Stockage a la charge de lutilisateur – Besoin de support de stockage pour être utilise sur plusieurs machines• Protection doit être assurée par lutilisateur – Souvent stocker de manière non-securisée pour une utilisation plus facile• Chiffrement asymétrique – Clés de plus en plus longues – Besoin de puissance de calcul Application Security Forum - Western Switzerland - 2011 14
  15. 15. Cartes à puce• Combinées a un code PIN• Très utilisées dans le milieu bancaire – Sécurité déjà éprouvée• Besoin de lecteur – Périphérique à avoir sur soi – Problème de driver en fonction du système Application Security Forum - Western Switzerland - 2011 15
  16. 16. Cartes à puce (2)• Différentes puces – Mémoire – Micro-processeur• Stockage sécurisé de certificat X509• Clé secrète ne peut pas être extraite – Génération de la clé sur la carte Application Security Forum - Western Switzerland - 2011 16
  17. 17. « One Time Password »• Mot de passe à usage unique• Plusieurs algorithmes – HOTP : HMAC-based OTP – TOTP : Time-based OTP – Plusieurs protocoles propriétaires• Souvent utilisés sur des appareils mobiles Application Security Forum - Western Switzerland - 2011 17
  18. 18. Authentification Mobile• Envoi de code par SMS – Mot de passe à usage unique – Compatible avec tous les mobiles – Coût denvoi• Appel téléphonique• Applications smartphones – QR code – Connexion internet nécessaire Application Security Forum - Western Switzerland - 2011 18
  19. 19. Clés Hardware• De nombreux produits sur le marché• Dépendance auprès de la compagnie• « Boîte noire » – Algorithme secret – Niveau de sécurité dur à évaluer – Quelques problèmes dans le passé – Produits marketing Application Security Forum - Western Switzerland - 2011 19
  20. 20. Yubikeys• Reconnues comme un clavier USB – Pas besoin de driver – Besoin dun port USB• Plusieurs modes – « Yubikey » – HOTP, TOTP – Mot de passe statique• Pas de batterie – Pas dhorloge interne Application Security Forum - Western Switzerland - 2011 20
  21. 21. Yubikeys (2) Dirk Merkel, Linux JournalApplication Security Forum - Western Switzerland - 2011 21
  22. 22. Biométrie• Identification en fonction de caractéristiques biologiques – Empreinte digitale – Rétine – Reconnaissance faciale• Très controversée – Changement impossible si compromis Application Security Forum - Western Switzerland - 2011 22
  23. 23. Authentification Simple-Facteur• Utilisation de facteurs secondaires – Remplacement du mot de passe – Simplicité et rapidité pour lutilisateur• Utilisation détournée – Facteurs faibles si utilisés seuls – Attaques facilitées (vols, pertes) Application Security Forum - Western Switzerland - 2011 23
  24. 24. Mais alors... Lequel ?• Pas de solution parfaite• Utilisateurs avec des besoins différents• Plusieurs facteurs proposés – Choix du côté des utilisateurs – Couvrir tous (ou presque) les cas dutilisation Application Security Forum - Western Switzerland - 2011 24
  25. 25. Les Choix du CERN• Encore en étude...• Cartes à puce – Intégration avec les cartes CERN• Authentification mobile – SMS – Application OTP pour les smartphones• Yubikeys Application Security Forum - Western Switzerland - 2011 25
  26. 26. Portail de test Application Security Forum - Western Switzerland - 2011 26
  27. 27. Conclusion• Mots de passe souvent exposés et/ou mal utilisés – Multiplication des comptes• Besoin dauthentification forte pour des services critiques – Authentification multi-facteurs• Fédération dIdentité – OpenID, Shibboleth Application Security Forum - Western Switzerland - 2011 27
  28. 28. Vos questions ?Application Security Forum - Western Switzerland - 2011 28
  29. 29. Merci!Rémi MOLLONRemi.Mollon@cern.chhttp://fr.linkedin.com/in/rmollon SLIDES A TELECHARGER PROCHAINEMENT: http://slideshare.net/ASF-WS Application Security Forum - Western Switzerland - 2011 29

×