SlideShare une entreprise Scribd logo

Auth forte application

B
bong85
1  sur  20
Télécharger pour lire hors ligne
White Paper Quelle solution d’authentification forte pour quelle application ?? Version 2.0 SCRYPTO
SOMMAIRE 1. QU’APPELLE-T-ON AUTHENTIFICATION FORTE 3 2. PRINCIPALES TECHNIQUES D’AUTHENTIFICATION FORTE 4 2.1. LE TOKEN DE TECHNOLOGIE « SYNCHRO -TEMPS » 4 1.1.1. P RESENTATION 4 2.2. LE TOKEN DE TECHNOLOGIE « DEFI-REPONSE » 5 2.2. LE TOKEN DE TECHNOLOGIE « DEFI-REPONSE » 6 1.1.2. P RESENTATION 6 2.3. CERTIFICATS DIGITAUX SUR DISQUE 8 1.1.3. P RESENTATION 8 2.4. CARTE A PUCE A CRYPTO PROCESSEUR 10 2.5. SCHEMA DE L’AUTHENTIFICATION 10 2.6. CLE A PUCE A CRYPTO PROCESSEUR 11 1.1.4. P RESENTATION 11 1.1.5. SCHEMA DE L’AUTHENTIFICATION 12 2.7. B IOMETRIE 13 1.1.6. P RESENTATION 13 1.1.7. SCHEMA D ’AUTHENTIFICATION 14 3. BESOINS 15 3.1. ACCES AU RESEAU D’ENTREPRISE 15 3.2. ACCES INTRANET - EXTRANET 16 3.3. EVOLUTIVITE - RESPECTS DES STANDARDS 17 3.4. SINGLE S IGN-ON (SSO)- MULTI- APPLICATIONS 19 4. CONCLUSIONS 20 -2-
1. Qu’appelle-t-on Authentification Forte L’authentification forte est une vérification rigoureuse (sinon parfaite, serait-on tenté de dire !) de l’identité d’un individu, cette vérification s’effectuant au travers d’un processus s’appuyant sur une ou plusieurs technologies. A l’heure actuelle, on peut affirmer qu’aucune des technologies proposées par le marché n’est parfaite. Le «vol d’identité » est toujours possible, car dans la plupart des cas la menace et la contrainte font tomber toutes les barrières technologiques. Par exemple, au Distributeur Automatique de Billets, un voleur « persuasif » peut demander au porteur d’une carte bancaire tout l’argent qu’il souhaite (dans la limite de son plafond de retrait !) ou simplement lui « emprunter » carte et code secret pour faire ses courses ! Néanmoins, si l’on occulte l’usage de la menace physique et que l’on se place dans un environnement sécurisé (l’environnement professionnel ou le domicile) la technologie répond dans la majorité des cas précis au problème de l’usurpation. Cette usurpation serait, dans la plupart des applications, préjudiciable car un fraudeur serait capable de : - obtenir les droits afférents à cet utilisateur (accès à des ressources partagées, accès à des ressources personnelles) - signer des transactions au nom de cet utilisateur (passage d’ordres en bourse, achat de biens en ligne, etc.) Le challenge de l’authentification forte est donc de « rendre difficile la fraude pour un pirate ou un voleur » en respectant, toutefois, les contraintes liées à l’environnement technique, économique et organisationnel de l’application. Ce document présente de manière synoptique les principales méthodes disponibles sur le marché de la sécurité et essaie de répondre à la question que vous vous posez « quelle solution d’authentification forte pour mon application ? ». -3-
2. PRINCIPALES TECHNIQUES D’AUTHENTIFICATION FORTE 2.1. Le token de technologie « synchro-temps» 1.1.1. Présentation Ce système se présente sous la forme la plus simple : - petit afficheur d’une ligne - pas de clavier L’utilisateur ne transmet aucune information au token. Des variantes existent : Présence d’un clavier pour la saisie d’un code PIN permettant le déblocage de la fonction de calcul du mot de passe. Token de technologie « synchro-temps » Fonctionnement - Système de génération de mot de passe à usage unique (OTP). - Génération et affichage d’un nombre non prédictible toutes les 60 secondes (par exemple). - L’utilisateur saisit son identifiant et son mot de passe dans l’interface d’authentification : le mot de passe est une combinaison du code PIN de l’utilisateur et de l’OTP. - Validation du mot de passe transmis par le système au serveur d’authentification qui autorise ou refuse l’accès. Points clé - Périphérique unique qui ne peut être cloné. - Combiné avec un code PIN constitue une méthode d’authentification à 2 facteurs. - Ne nécessite aucun périphérique spécifique ou logiciel spécifique sur le poste client. - Administration des utilisateurs dans une base propriétaire. Faiblesses du système - Pas de single sign-on : l’utilisateur doit s’authentifier explicitement sur chaque application protégée par cette technologie. - Peut nécessiter une ré-authentification lors de sessions longues. - Pas évolutif : pas de signature possible. - Validité limitée : pas de remplacement de la pile possible . - Erreur d’authentification liée aux erreurs humaines (lecture et report du mot de passe). - Méthode non standard. - Désynchronisation possible du token. Environnement cible - Connexion depuis n’importe quel PC : pas de besoin de lecteur ou de logiciel spécifique. Application cible - Accès RAS ou VPN d’entreprise. - Intranet et extranet où les applications sont accessibles au travers du navigateur. -4-
2.2. STATION DE TRAVAIL SERVEUR D’AUTHENTIFICATION 123456 Clé secrète DUPOND OTP = Base utilisateurs 123456 UserID : DUPOND Password : ? Code **** = PIN 123456 ? ? Heure Token = Heure -5-
Le token de technologie « défi-réponse » 1.1.2. Présentation Ce token est une version évoluée du token de technologie « synchronisation sur le temps » car il dispose d’une interface clavier permettant de saisir un code PIN, un défi, éventuellement un numéro d’application. Token de technologie « défi-réponse » Fonctionnement - L’utilisateur active le token en saisissant son code PIN. - Un défi est affiché sur l’écran du token. - L’utilisateur rentre le défi au clavier du token. - Le token génère une réponse. - L’utilisateur saisit son identifiant et son mot de passe dans l’interface d’authentification : le mot de passe est la réponse générée par le token. - Validation du mot de passe transmis par le système au serveur d’authentification qui autorise ou refuse l’accès. Points clé - Token + code PIN = méthode d’authentification à deux facteurs. - Piles remplaçables. - Système non basé sur le temps : pas de problème de dérive temps. - Peut être utilisé dans certains cas comme outil de signature pour une quantité réduite de données (montant d’une transaction par exemple). Faiblesses du système - Ergonomie du système (clavier et écran de taille réduite). - Procédure de login assez complexe. - Méthode non standard. Environnement cible - Sécurisation des accès distants pour les nomades et télé-travailleurs. Application cible - Accès RAS et VPN d’entreprise. Il existe une variante pour les token de technologie « défi-réponse » : Certains fabricants proposent des lecteurs autonomes (type calculette) avec afficheur-clavier dans lesquels on peut insérer une carte à puce. Ce type de lecteur permet d s’affranchir du problème d’absence de lecteur connecté au e poste. Par contre, la taille de la zone de saisie du mot de passe dans l’interface des procédures de logon empêche la mise en œuvre de l’algorithme asymétrique RSA. La signature s’effectue, en effet, sur des données de 512, 1024 ou 2048 bits. On ne pourra utiliser qu’un algorithme symétrique pour lequel la taille des blocs chiffrés est limité à 8 octets (DES ou 3-DES) -6-
STATION DE TRAVAIL SERVEUR D’AUTHENTIFICATION DEFI PIN DEFI 123456 Clé secrète DUPOND DEFI Base UserID : DUPOND utilisateurs Password : 123456 REPONSE = 123456 Clé secrète DUPOND 123456 ? X = DEFI -7-
2.3. Certificats digitaux sur disque 1.1.3. Présentation En dehors de l’utilisation d’une carte à puce ou d’une clé à puce dans le cadre d’une PKI, le disque dur reste le moyen le plus répandu pour stocker le certificat, ainsi que la clé privée associée, de l’utilisateur. Certificats digitaux sur disque Fonctionnement - idem carte ou clé à puce à la différence près que le certificat et la clé privée sont stockée sur le disque dur du poste. Points clé - pas de matériel ou logiciel spécifique. - proposé par les principaux systèmes d’exploitation. Faiblesses du système - Mobilité réduite : il est nécessaire d’exporter son certificat et sa clé privée sur disquette. - La sécurité repose sur un simple mot de passe qui protège la clé privée (fichier PKCS#12). - L’importation des données d’identification sur des postes autres que le sien diminue la confiance que l’on peut accorder au certificat. - La compromission de la clé privée n’est pas facilement détectable (pas d’objet physique perdu, une simple copie suffit). Environnement cible - Réseaux ne nécessitant qu’un niveau réduit de sécurité. - Utilisateurs se connectant à un Intranet ou extranet toujours à partir du même poste. Application cible - E-commerce avec des transactions de faible montant. -8-
STATION DE TRAVAIL SERVEUR D’AUTHENTIFICATION CERTIFICAT Clé publique AC SIGNATURE Clé privée DUPOND DEFI DEFI DEFI ? X = COMPRIME REPONSE REPONSE REPONSE -9- ? X = DEFI
2.4. Carte à puce à crypto processeur Présentation Carte à puce à crypto processeur - La clé privée et le certificat de l’utilisateur sont stockés dans la carte. Fonctionnement - Au login l’utilisateur introduit sa carte dans le lecteur de carte. - L’identifiant et le certificat sont lus dans la carte. - Le serveur vérifie le certificat et contrôle sa non révocation. - Le code PI N est saisi et vérifié par la carte : en cas de succès, la fonction de signature avec la clé privée est débloquée. - L‘authentification de l’utilisateur est effectuée dans une procédure de défi-réponse. - Mobilité : l’utilisateur peut utiliser son certificat et sa clé privée sur d’autres postes que le sien. Points clé - En cas de perte ou de vol de la carte le certificat est révoqué par l’administrateur. - Clonage impossible : la clé privée ne peut être lue. - L’identifiant de l’utilisateur est lu directement dans la carte. - Méthode standard : utilisation certificat X.509 et algorithme asymétrique RSA. - La carte est utilisée comme outil de verrouillage de la station : le retrait de la carte provoque le verrouillage de la station. - Le dialogue appli-carte étant direct toutes les opérations de signature et de chiffrement/déchiffrement sont possibles. - Offre les fonctions de single sign-on : plusieurs couples identifiant – mot de passe peuvent être mémorisés dans la carte. - Les solutions sont compatibles avec les nombreux lecteurs PC/SC. - Compatibilité avec le standard Microsoft (CryptoAPI). - Pas de login à partir de n’importe quel PC (nécessite un lecteur et un module logiciel client Faiblesses du système spécifique). - Difficilement déployable sur les extranets (réticence des utilisateurs à installer lecteur et logiciel sur leur propre PC). - Nécessite de déployer une PKI. - L’installation et la configuration de tous les postes sont contrôlées par l’administrateur réseau : Environnement cible homogénéité des logiciels (OS, module client, drivers) et des matériels (lecteurs, cartes) - Applications de single sign-on. Application cible - Logon sécurisé sur domaine Windows 2000 (LAN ou VPN). - Authentification à toutes les applications au travers d’un portail Web. - Authentification des utilisateurs en accès VPN : compatible clients VPN du marché (compatible CryptoAPI). - Application nécessitant confidentialité (chiffrement des données) et non répudiation (signature). - Carte entreprise (multi-application). 2.5. Schéma de l’authentification Voir schéma d’authentification clé à puce - 10 -
2.6. Clé à puce à crypto processeur 1.1.4. Présentation Carte et clé à puce ont le même niveau fonctionnel. Elles peuvent cohabiter dans une même application d’authentification car elle utilisent les mêmes techniques basées sur une PKI. La clé à puce autorise moins le multi-application car les applications de contrôle d’accès physique, les applications de porte-monnaie électronique (distributeurs, automate de rechargement, etc…) ne proposent pas à l’heure actuelle des interfaces USB. Clé à puce à crypto processeur - La clé privée et le certificat de l’utilisateur sont stockés dans la clé. Fonctionnement - Au login l’utilisateur introduit sa clé dans le connecteur USB. - L’identifiant et le certificat sont lus dans la clé. - Le serveur vérifie le certificat et contrôle sa non révocation. - Le code PIN est saisi et vérifié par la clé : en cas de succès, la fonction de signature avec la clé privée est débloquée. - L‘authentification de l’utilisateur est effectuée dans une procédure de défi-réponse. - Mobilité : l’utilisateur peut utiliser son certificat et sa clé privée sur d’autres postes que le sien. Points clé - En cas de perte ou de vol de la clé le certificat est révoqué par l’administrateur. - Clonage impossible : la clé privée ne peut être lue. - L’identifiant de l’utilisateur est lu directement dans la clé. - Méthode standard : utilisation certificat X.509 et algorithme asymétrique RSA. - La clé est utilisée comme outil de verrouillage de la station : le retrait de la clé du connecteur USB provoque le verrouillage de la station . - Le dialogue appli-clé étant direct toutes les opérations de signature et de chiffrement/déchiffrement sont possibles - Offre les fonctions de single sign-on : plusieurs couples identifiant – mot de passe peuvent être mémorisés dans la clé. - Pas besoin de lecteurs (pas d’installation de driver spécifique). - Compatibilité avec standard Microsoft (CryptoAPI). - Pratique : utilisation de la clé à puce comme porte-clé. - Pas de login à partir de n’importe quel PC (nécessite un port USB). Faiblesses du système - Difficilement déployable sur les extranets (réticence des utilisateurs à installer un logiciel sur leur propre PC). - Nécessite de déployer une PKI. - L’installation et la configuration de tous les postes sont contrôlés par l’administrateur réseau : Environnement cible homogénéité des logiciels (OS, module client, drivers) et des matériels (lecteurs, cartes). - Applications de single sign-on. Application cible - Logon sécurisé sur domaine Windows 2000 (LAN ou VPN). - Authentification à toutes les applications au travers d’un portail Web. - Authentification des utilisateurs en accès VPN : compatible clients VPN du marché (compatible CryptoAPI). - Application nécessitant confidentialité (chiffrement des données) et non répudiation (signature). - 11 -
1.1.5. Schéma de l’authentification STATION DE TRAVAIL SERVEUR D’AUTHENTIFICATION CERTIFICAT Clé publique AC SIGNATURE ? X = COMPRIME Clé publique DUPOND ACCREDITATIO PIN N Clé privée DUPOND CRYPTO CRYPTO CRYPTO ACCREDITATION … ACCREDITATION - 12 -
L’accréditation peut être : § Un TGT (Ticket Granting Ticket pour accéder au TGS) : dans l’authentification Kerberos (Smart Card Logon de Windows 2000) § Plus généralement, un authentifiant pour le compte sur lequel l’utilisateur souhaite se connecter 2.7. Biométrie 1.1.6. Présentation Biométrie - L’utilisateur est authentifié à partir d’une donnée physique caractéristique telle que l’empreinte Fonctionnement digitale, l’empreinte vocale, la forme du visage, l’analyse de comportement (dynamique de signature, vitesse de frappe au clavier), etc. - Chaque type d’authentification nécessite un matériel spécifique (scanner, microphone, caméra, tablette de digitalisation, etc.) et un logiciel spécifique (implémentation d’algorithme de comparaison des données collectées avec un modèle). - Les données biométriques sont propres à un utilisateur. Points clé - Portabilité : les données biométriques font partie intégrante de l’utilisateur ! - Peut être utilisé comme moyen d’identification (recherche du modèle correspondant dans la base des utilisateurs) : évite la saisie de l’identifiant. - Pas de code PIN ou de Mot de Passe à retenir. - Nécessité de matériel spécifique coûteux. Faiblesses du système - Fiabilité : plusieurs lectures sont parf ois nécessaires (qualité des périphériques). - Risque d’erreur qu’il est nécessaire d’occulter (fixer un taux acceptable pour éviter rejets répétitifs) : notion de TFR (Taux de Faux Rejets) et de TFA (Taux de Fausses Acceptations). - Nécessite l’enregistrement de l’utilisateur (Une ou plusieurs mesures). - Identification et authentification dans des environnements dépourvus de clavier-écran (sas Environnement cible d’accès). - Contrôle d’accès logique au réseau d’entreprise (bio-identification simple). Application cible - En complément avec des solutions par carte ou clé à puce (méthode d’authentification à 3 facteurs) dans des applications très sensibles au sein d’institutions financières, dans un périmètre militaire, ou dans des centres de recherche (bio-identification évoluée). - 13 -
1.1.7. Schéma d’authentification STATION DE TRAVAIL SERVEUR D’AUTHENTIFICATION EMPREINTE REDUITE Base des utilisateurs UserID : DUPOND Password : EMPREINTE REDUITE EMPREINTE MODELE REDUITE ? SCORE < SEUIL - 14 -
3. Besoins Les tableaux ci-après font état de l’adaptation de chaque technologie pour un besoin donné. 3.1. Accès au réseau d’entreprise LAN RAS VPN Token NON OUI OUI (pas adapté) Le serveur RA S doit supporter ce Le serveur VPN doit supporter ce “chrono type d’authentification ou nécessité type d’authentification ou nécessité temps” d’un serveur RADIUS d’un serveur RADIUS Token NON OUI OUI (pas adapté) Le serveur RAS doit supporter ce Le serveur VPN doit supporter ce “défi- type d’authentification ou nécessité type d’authentification ou nécessité réponse” d’un serveur RADIUS d’un serveur RADIUS Certificat NON OUI OUI Si le client et serveur RAS supporte De nombreux éditeurs d clients e sur disque le protocole EAP VPN propose la compatibilité avec les standards (CryptoAPI de Microsoft ou PKCS#11 de RSA) Biométrie OUI OUI NON Nécessite modification de la Si le client et serveur RAS supporte Dans IPSec utilisation d’un procédure d’authentification de le protocole EAP « shared secret » (niveau de l’OS sécurité faible) =>à combiner avec certificat Carte OUI OUI OUI Windows 2000 supporte le Si le client et serveur RAS supporte De nombreux édteurs de clients et clé à puce smart card logon nativement le protocole EAP VPN propose la compatibilité avec Nécessite modification de la Ou les standards (CryptoAPI de procédure d’authentification Stockage userID-MdP du compte Microsoft ou PKCS#11 de RSA). pour les autres OS RAS dans carte/clé Dans IPSec, IKE utilise les certificats - 15 -
3.2. Accès intranet-extranet Poste banalisé Poste non banalisé Token “chrono OUI OUI temps” Token “défi- OUI OUI réponse” Certificat sur disque NON OUI Pas adapté, car nécessite l’importation du Nécessite mise en œuvre de SSL certificat et de la clé privée Biométrie NON OUI Nécessite installation lecteur et logiciel spécifique Carte et clé à puce OUI OUI Nécessite installation lecteur et logiciel spécifique Nécessite mise en œuvre de SSL La carte à puce peut être u tilisée sur un poste banalisé avec le lecteur autonome (type calculette). Dans ce cas, l’utilisation du certificat de clé publique n’est pas possible. Il est obligatoire d’utiliser l’algorithme symétrique de la carte (si disponible). - 16 -
3.3. Evolutivité - Respects des standards Standards Chiffrement Signature Token “chrono NON NON NON temps” Token “défi- OUI NON NON Fonctionnalité réduite (non réponse” standard) Certificat sur disque OUI OUI OUI CryptoAPI pour Microsoft (CSP RAS : EAP-TLS + MPPE Messagerie sécurisé : S/MIME Microsoft) VPN : IPSec (IKE) Application propriétaire : Certificat X.509 Intranet-Extranet : SSL utilisation de CryptoAPI Disque : EFS (W2000) ou propriétaire Biométrie NON NON NON Carte et clé à puce OUI OUI OUI Messagerie sécurisé : S/MIME CryptoAPI pour Microsoft (CSP RAS : EAP-TLS + MPPE Appli propriétaire : utilisation spécifique fabricant carte/clé) VPN : IPSec (IKE) de CryptoAPI Certificat X.509 Intranet-Extranet : SSL Intégration de plusieurs algo Disque : EFS (W2000) ou propriétaire standard (RSA, DES, AES, ECC) Dans le cadre d’un environnement Microsoft Windows, l’intégration dans l’architecture de sécurité CryptoAPI permet à des applications tierces, telles que le navigateur (IE) ou la messagerie (Outlook), d’exploiter le certificat et la clé privée contenus dans le support (carte ou clé). Toutefois, les fonctions d’authentification EAP-TLS, le tunneling IPSec ne sont disponibles que sur Windows 2000 et XP. C’est le cas également du système de chiffrement EFS (Encryption File System) qui est propre à Windows 2000 et XP, et qui s’appuie sur CryptoAPI. Pour être compatible CryptoAPI, chaque éditeur de solution d’authentification basée sur la carte à puce ou la clé à puce doit fournir un CSP (Cryptographic Service Provider) qui est « pluggé » dans l’architecture de Microsoft. - 17 -
Le déploiement important de Windows 2000 et Windows XP comme plate-forme pour les stations de travail des utilisateurs constitue donc un critère de choix d’une solution d’authentification forte. En l’occurrence le choix d’une solution à base de carte à puce (ou clé à puce) à cryptoprocesseur est garante de la pérennité de ses investissements. - 18 -
3.4. Single Sign-On (SSO)- multi-applications Le multi-application est apparenté à la carte d’entreprise offrant par exemple des fonctions de : - Contrôle d’accès physique (accès locaux, accès parking) - Restauration d’entreprise - Porte-monnaie électronique (distributeur café, friandise, etc.) - Etc… SSO Multi-applications Token “chrono temps” NON NON Token “défi-réponse” NON NON Certificat Sur disque OUI NON Si les applications sont compatibles PKI Biométrie NON NON Carte et clé à puce OUI OUI Mémorisation des couples identifiant-MdP La clé à puce n’est pas facilement utilisable en l’absence de port USB sur les équipements Pour le single sign-on, seules les technologies permettant la mémorisation de couples Identifiant – Mot de passe offriront des fonctionnalités de single sign-on simples. - 19 -
4. Conclusions Actuellement, les solution d’authentification forte basées sur la carte à puce ou sur la clé à puce dotée d’un cryptoprocesseur constituent le meilleur compromis quelque soit le type d’application à protéger. Les tableaux comparatifs sur les différents critères évoqués le prouvent. De plus, elles offrent de réelles perspectives d’évolutivité. Notamment, l’intégration des techniques d’identification biométrique permet d’offrir un niveau de sécurité optimum (solutions d’authentification à 3 facteurs). La reconnaissance et l’adoption du standard X.509 pour les méthodes d’authentification et de signature garantit la pérennité de ces solutions ainsi que l’interopérabilité avec de nombreuses applications externes. - 20 -

Recommandé

PKI Android : Installer, gérer, sécuriser et utiliser un secret
PKI Android : Installer, gérer, sécuriser et utiliser un secretPKI Android : Installer, gérer, sécuriser et utiliser un secret
PKI Android : Installer, gérer, sécuriser et utiliser un secretOCTO Technology
 
Installation et utilisation de l'extension ts mblock
Installation et utilisation de l'extension ts mblockInstallation et utilisation de l'extension ts mblock
Installation et utilisation de l'extension ts mblockخالد المشكوري
 
Séminaire Evolution des technologies d’authentification
Séminaire Evolution des technologies d’authentificationSéminaire Evolution des technologies d’authentification
Séminaire Evolution des technologies d’authentificatione-Xpert Solutions SA
 
Logiciels avec algorigrammes
Logiciels avec algorigrammesLogiciels avec algorigrammes
Logiciels avec algorigrammesخالد المشكوري
 
Notice alarme-cobra-7905 par autoprestige-alarmes
Notice alarme-cobra-7905 par autoprestige-alarmesNotice alarme-cobra-7905 par autoprestige-alarmes
Notice alarme-cobra-7905 par autoprestige-alarmesautoprestige
 
Petit guide des possibilités d'utilisation du logiciel scratch en technologie
Petit guide des possibilités d'utilisation du logiciel scratch en technologiePetit guide des possibilités d'utilisation du logiciel scratch en technologie
Petit guide des possibilités d'utilisation du logiciel scratch en technologieخالد المشكوري
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 

Recommandé

PKI Android : Installer, gérer, sécuriser et utiliser un secret
PKI Android : Installer, gérer, sécuriser et utiliser un secretPKI Android : Installer, gérer, sécuriser et utiliser un secret
PKI Android : Installer, gérer, sécuriser et utiliser un secretOCTO Technology
 
Installation et utilisation de l'extension ts mblock
Installation et utilisation de l'extension ts mblockInstallation et utilisation de l'extension ts mblock
Installation et utilisation de l'extension ts mblockخالد المشكوري
 
Séminaire Evolution des technologies d’authentification
Séminaire Evolution des technologies d’authentificationSéminaire Evolution des technologies d’authentification
Séminaire Evolution des technologies d’authentificatione-Xpert Solutions SA
 
Logiciels avec algorigrammes
Logiciels avec algorigrammesLogiciels avec algorigrammes
Logiciels avec algorigrammesخالد المشكوري
 
Notice alarme-cobra-7905 par autoprestige-alarmes
Notice alarme-cobra-7905 par autoprestige-alarmesNotice alarme-cobra-7905 par autoprestige-alarmes
Notice alarme-cobra-7905 par autoprestige-alarmesautoprestige
 
Petit guide des possibilités d'utilisation du logiciel scratch en technologie
Petit guide des possibilités d'utilisation du logiciel scratch en technologiePetit guide des possibilités d'utilisation du logiciel scratch en technologie
Petit guide des possibilités d'utilisation du logiciel scratch en technologieخالد المشكوري
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
Tôlerie
TôlerieTôlerie
Tôleriepdutr
 
Diaporama Hangar à banane
Diaporama Hangar à bananeDiaporama Hangar à banane
Diaporama Hangar à bananealicekiwi44
 
Piping ppt1
Piping ppt1Piping ppt1
Piping ppt1Md Gaffar Beag
 
Cours Excel
Cours ExcelCours Excel
Cours Excelhassan1488
 
Cours fabrication mécanique5
Cours fabrication mécanique5Cours fabrication mécanique5
Cours fabrication mécanique5bendrisk
 
Les conséquences de l’utilisation du pétrole sur l’environnement
Les conséquences de l’utilisation du pétrole sur l’environnementLes conséquences de l’utilisation du pétrole sur l’environnement
Les conséquences de l’utilisation du pétrole sur l’environnementEmad Odel
 
Le pétrole
Le pétroleLe pétrole
Le pétrolefrancecours
 
Codes and standards by madhur mahajan
Codes and standards by madhur mahajanCodes and standards by madhur mahajan
Codes and standards by madhur mahajanMadhur Mahajan
 
Difference between code, standard & Specification
Difference between code, standard & SpecificationDifference between code, standard & Specification
Difference between code, standard & SpecificationVarun Patel
 
Les systemes petroliers mpgp1 2014 15
Les systemes petroliers mpgp1 2014 15Les systemes petroliers mpgp1 2014 15
Les systemes petroliers mpgp1 2014 15Hassene AFFOURI
 
Piping Training course-How to be an Expert in Pipe & Fittings for Oil & Gas c...
Piping Training course-How to be an Expert in Pipe & Fittings for Oil & Gas c...Piping Training course-How to be an Expert in Pipe & Fittings for Oil & Gas c...
Piping Training course-How to be an Expert in Pipe & Fittings for Oil & Gas c...Varun Patel
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfdepinfo
 
Authentification forte via smartphone - SSO Salesforce
Authentification forte via smartphone - SSO SalesforceAuthentification forte via smartphone - SSO Salesforce
Authentification forte via smartphone - SSO SalesforceZahir MOUHOUBI
 
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO Technology
 
Le futur de l'authentification webAuthn
Le futur de l'authentification webAuthnLe futur de l'authentification webAuthn
Le futur de l'authentification webAuthnChristophe Villeneuve
 
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Microsoft
 
Oauth2 et OpenID Connect
Oauth2 et OpenID ConnectOauth2 et OpenID Connect
Oauth2 et OpenID ConnectPascal Flamand
 
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Microsoft Technet France
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 
Présentation Universign Documation 2011
Présentation Universign Documation 2011Présentation Universign Documation 2011
Présentation Universign Documation 2011Universign
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKISylvain Maret
 
Cours Authentication Manager RSA
Cours Authentication Manager RSACours Authentication Manager RSA
Cours Authentication Manager RSASylvain Maret
 

Contenu connexe

En vedette

Tôlerie
TôlerieTôlerie
Tôleriepdutr
 
Diaporama Hangar à banane
Diaporama Hangar à bananeDiaporama Hangar à banane
Diaporama Hangar à bananealicekiwi44
 
Cours fabrication mécanique5
Cours fabrication mécanique5Cours fabrication mécanique5
Cours fabrication mécanique5bendrisk
 
Les conséquences de l’utilisation du pétrole sur l’environnement
Les conséquences de l’utilisation du pétrole sur l’environnementLes conséquences de l’utilisation du pétrole sur l’environnement
Les conséquences de l’utilisation du pétrole sur l’environnementEmad Odel
 
Codes and standards by madhur mahajan
Codes and standards by madhur mahajanCodes and standards by madhur mahajan
Codes and standards by madhur mahajanMadhur Mahajan
 
Difference between code, standard & Specification
Difference between code, standard & SpecificationDifference between code, standard & Specification
Difference between code, standard & SpecificationVarun Patel
 
Les systemes petroliers mpgp1 2014 15
Les systemes petroliers mpgp1 2014 15Les systemes petroliers mpgp1 2014 15
Les systemes petroliers mpgp1 2014 15Hassene AFFOURI
 
Piping Training course-How to be an Expert in Pipe & Fittings for Oil & Gas c...
Piping Training course-How to be an Expert in Pipe & Fittings for Oil & Gas c...Piping Training course-How to be an Expert in Pipe & Fittings for Oil & Gas c...
Piping Training course-How to be an Expert in Pipe & Fittings for Oil & Gas c...Varun Patel
 

En vedette (11)

Tôlerie
TôlerieTôlerie
Tôlerie
 
Diaporama Hangar à banane
Diaporama Hangar à bananeDiaporama Hangar à banane
Diaporama Hangar à banane
 
Piping ppt1
Piping ppt1Piping ppt1
Piping ppt1
 
Cours Excel
Cours ExcelCours Excel
Cours Excel
 
Cours fabrication mécanique5
Cours fabrication mécanique5Cours fabrication mécanique5
Cours fabrication mécanique5
 
Les conséquences de l’utilisation du pétrole sur l’environnement
Les conséquences de l’utilisation du pétrole sur l’environnementLes conséquences de l’utilisation du pétrole sur l’environnement
Les conséquences de l’utilisation du pétrole sur l’environnement
 
Le pétrole
Le pétroleLe pétrole
Le pétrole
 
Codes and standards by madhur mahajan
Codes and standards by madhur mahajanCodes and standards by madhur mahajan
Codes and standards by madhur mahajan
 
Difference between code, standard & Specification
Difference between code, standard & SpecificationDifference between code, standard & Specification
Difference between code, standard & Specification
 
Les systemes petroliers mpgp1 2014 15
Les systemes petroliers mpgp1 2014 15Les systemes petroliers mpgp1 2014 15
Les systemes petroliers mpgp1 2014 15
 
Piping Training course-How to be an Expert in Pipe & Fittings for Oil & Gas c...
Piping Training course-How to be an Expert in Pipe & Fittings for Oil & Gas c...Piping Training course-How to be an Expert in Pipe & Fittings for Oil & Gas c...
Piping Training course-How to be an Expert in Pipe & Fittings for Oil & Gas c...
 

Similaire à Auth forte application

chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfdepinfo
 
Authentification forte via smartphone - SSO Salesforce
Authentification forte via smartphone - SSO SalesforceAuthentification forte via smartphone - SSO Salesforce
Authentification forte via smartphone - SSO SalesforceZahir MOUHOUBI
 
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO Technology
 
Le futur de l'authentification webAuthn
Le futur de l'authentification webAuthnLe futur de l'authentification webAuthn
Le futur de l'authentification webAuthnChristophe Villeneuve
 
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Microsoft
 
Oauth2 et OpenID Connect
Oauth2 et OpenID ConnectOauth2 et OpenID Connect
Oauth2 et OpenID ConnectPascal Flamand
 
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Microsoft Technet France
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 
Présentation Universign Documation 2011
Présentation Universign Documation 2011Présentation Universign Documation 2011
Présentation Universign Documation 2011Universign
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKISylvain Maret
 
Cours Authentication Manager RSA
Cours Authentication Manager RSACours Authentication Manager RSA
Cours Authentication Manager RSASylvain Maret
 
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014Damien Boissin
 
Mécanismes internes de la sécurité de Windows 8
Mécanismes internes de la sécurité de Windows 8Mécanismes internes de la sécurité de Windows 8
Mécanismes internes de la sécurité de Windows 8Microsoft Technet France
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Microsoft Technet France
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Microsoft Décideurs IT
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Décideurs IT
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Technet France
 
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2 L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2Alice and Bob
 
Comment concilier facilité d'utilisation et securite?
Comment concilier facilité d'utilisation et securite?Comment concilier facilité d'utilisation et securite?
Comment concilier facilité d'utilisation et securite?Sylvain Maret
 

Similaire à Auth forte application (20)

chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
 
Authentification forte via smartphone - SSO Salesforce
Authentification forte via smartphone - SSO SalesforceAuthentification forte via smartphone - SSO Salesforce
Authentification forte via smartphone - SSO Salesforce
 
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
 
Le futur de l'authentification webAuthn
Le futur de l'authentification webAuthnLe futur de l'authentification webAuthn
Le futur de l'authentification webAuthn
 
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
 
Oauth2 et OpenID Connect
Oauth2 et OpenID ConnectOauth2 et OpenID Connect
Oauth2 et OpenID Connect
 
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
Présentation Universign Documation 2011
Présentation Universign Documation 2011Présentation Universign Documation 2011
Présentation Universign Documation 2011
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
 
Cours Authentication Manager RSA
Cours Authentication Manager RSACours Authentication Manager RSA
Cours Authentication Manager RSA
 
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014
 
Mécanismes internes de la sécurité de Windows 8
Mécanismes internes de la sécurité de Windows 8Mécanismes internes de la sécurité de Windows 8
Mécanismes internes de la sécurité de Windows 8
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
 
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)
 
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2 L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
 
Comment concilier facilité d'utilisation et securite?
Comment concilier facilité d'utilisation et securite?Comment concilier facilité d'utilisation et securite?
Comment concilier facilité d'utilisation et securite?
 
TOTP - Madmous
TOTP - MadmousTOTP - Madmous
TOTP - Madmous
 

Auth forte application

  • 1. White Paper Quelle solution d’authentification forte pour quelle application ?? Version 2.0 SCRYPTO
  • 2. SOMMAIRE 1. QU’APPELLE-T-ON AUTHENTIFICATION FORTE 3 2. PRINCIPALES TECHNIQUES D’AUTHENTIFICATION FORTE 4 2.1. LE TOKEN DE TECHNOLOGIE « SYNCHRO -TEMPS » 4 1.1.1. P RESENTATION 4 2.2. LE TOKEN DE TECHNOLOGIE « DEFI-REPONSE » 5 2.2. LE TOKEN DE TECHNOLOGIE « DEFI-REPONSE » 6 1.1.2. P RESENTATION 6 2.3. CERTIFICATS DIGITAUX SUR DISQUE 8 1.1.3. P RESENTATION 8 2.4. CARTE A PUCE A CRYPTO PROCESSEUR 10 2.5. SCHEMA DE L’AUTHENTIFICATION 10 2.6. CLE A PUCE A CRYPTO PROCESSEUR 11 1.1.4. P RESENTATION 11 1.1.5. SCHEMA DE L’AUTHENTIFICATION 12 2.7. B IOMETRIE 13 1.1.6. P RESENTATION 13 1.1.7. SCHEMA D ’AUTHENTIFICATION 14 3. BESOINS 15 3.1. ACCES AU RESEAU D’ENTREPRISE 15 3.2. ACCES INTRANET - EXTRANET 16 3.3. EVOLUTIVITE - RESPECTS DES STANDARDS 17 3.4. SINGLE S IGN-ON (SSO)- MULTI- APPLICATIONS 19 4. CONCLUSIONS 20 -2-
  • 3. 1. Qu’appelle-t-on Authentification Forte L’authentification forte est une vérification rigoureuse (sinon parfaite, serait-on tenté de dire !) de l’identité d’un individu, cette vérification s’effectuant au travers d’un processus s’appuyant sur une ou plusieurs technologies. A l’heure actuelle, on peut affirmer qu’aucune des technologies proposées par le marché n’est parfaite. Le «vol d’identité » est toujours possible, car dans la plupart des cas la menace et la contrainte font tomber toutes les barrières technologiques. Par exemple, au Distributeur Automatique de Billets, un voleur « persuasif » peut demander au porteur d’une carte bancaire tout l’argent qu’il souhaite (dans la limite de son plafond de retrait !) ou simplement lui « emprunter » carte et code secret pour faire ses courses ! Néanmoins, si l’on occulte l’usage de la menace physique et que l’on se place dans un environnement sécurisé (l’environnement professionnel ou le domicile) la technologie répond dans la majorité des cas précis au problème de l’usurpation. Cette usurpation serait, dans la plupart des applications, préjudiciable car un fraudeur serait capable de : - obtenir les droits afférents à cet utilisateur (accès à des ressources partagées, accès à des ressources personnelles) - signer des transactions au nom de cet utilisateur (passage d’ordres en bourse, achat de biens en ligne, etc.) Le challenge de l’authentification forte est donc de « rendre difficile la fraude pour un pirate ou un voleur » en respectant, toutefois, les contraintes liées à l’environnement technique, économique et organisationnel de l’application. Ce document présente de manière synoptique les principales méthodes disponibles sur le marché de la sécurité et essaie de répondre à la question que vous vous posez « quelle solution d’authentification forte pour mon application ? ». -3-
  • 4. 2. PRINCIPALES TECHNIQUES D’AUTHENTIFICATION FORTE 2.1. Le token de technologie « synchro-temps» 1.1.1. Présentation Ce système se présente sous la forme la plus simple : - petit afficheur d’une ligne - pas de clavier L’utilisateur ne transmet aucune information au token. Des variantes existent : Présence d’un clavier pour la saisie d’un code PIN permettant le déblocage de la fonction de calcul du mot de passe. Token de technologie « synchro-temps » Fonctionnement - Système de génération de mot de passe à usage unique (OTP). - Génération et affichage d’un nombre non prédictible toutes les 60 secondes (par exemple). - L’utilisateur saisit son identifiant et son mot de passe dans l’interface d’authentification : le mot de passe est une combinaison du code PIN de l’utilisateur et de l’OTP. - Validation du mot de passe transmis par le système au serveur d’authentification qui autorise ou refuse l’accès. Points clé - Périphérique unique qui ne peut être cloné. - Combiné avec un code PIN constitue une méthode d’authentification à 2 facteurs. - Ne nécessite aucun périphérique spécifique ou logiciel spécifique sur le poste client. - Administration des utilisateurs dans une base propriétaire. Faiblesses du système - Pas de single sign-on : l’utilisateur doit s’authentifier explicitement sur chaque application protégée par cette technologie. - Peut nécessiter une ré-authentification lors de sessions longues. - Pas évolutif : pas de signature possible. - Validité limitée : pas de remplacement de la pile possible . - Erreur d’authentification liée aux erreurs humaines (lecture et report du mot de passe). - Méthode non standard. - Désynchronisation possible du token. Environnement cible - Connexion depuis n’importe quel PC : pas de besoin de lecteur ou de logiciel spécifique. Application cible - Accès RAS ou VPN d’entreprise. - Intranet et extranet où les applications sont accessibles au travers du navigateur. -4-
  • 5. 2.2. STATION DE TRAVAIL SERVEUR D’AUTHENTIFICATION 123456 Clé secrète DUPOND OTP = Base utilisateurs 123456 UserID : DUPOND Password : ? Code **** = PIN 123456 ? ? Heure Token = Heure -5-
  • 6. Le token de technologie « défi-réponse » 1.1.2. Présentation Ce token est une version évoluée du token de technologie « synchronisation sur le temps » car il dispose d’une interface clavier permettant de saisir un code PIN, un défi, éventuellement un numéro d’application. Token de technologie « défi-réponse » Fonctionnement - L’utilisateur active le token en saisissant son code PIN. - Un défi est affiché sur l’écran du token. - L’utilisateur rentre le défi au clavier du token. - Le token génère une réponse. - L’utilisateur saisit son identifiant et son mot de passe dans l’interface d’authentification : le mot de passe est la réponse générée par le token. - Validation du mot de passe transmis par le système au serveur d’authentification qui autorise ou refuse l’accès. Points clé - Token + code PIN = méthode d’authentification à deux facteurs. - Piles remplaçables. - Système non basé sur le temps : pas de problème de dérive temps. - Peut être utilisé dans certains cas comme outil de signature pour une quantité réduite de données (montant d’une transaction par exemple). Faiblesses du système - Ergonomie du système (clavier et écran de taille réduite). - Procédure de login assez complexe. - Méthode non standard. Environnement cible - Sécurisation des accès distants pour les nomades et télé-travailleurs. Application cible - Accès RAS et VPN d’entreprise. Il existe une variante pour les token de technologie « défi-réponse » : Certains fabricants proposent des lecteurs autonomes (type calculette) avec afficheur-clavier dans lesquels on peut insérer une carte à puce. Ce type de lecteur permet d s’affranchir du problème d’absence de lecteur connecté au e poste. Par contre, la taille de la zone de saisie du mot de passe dans l’interface des procédures de logon empêche la mise en œuvre de l’algorithme asymétrique RSA. La signature s’effectue, en effet, sur des données de 512, 1024 ou 2048 bits. On ne pourra utiliser qu’un algorithme symétrique pour lequel la taille des blocs chiffrés est limité à 8 octets (DES ou 3-DES) -6-
  • 7. STATION DE TRAVAIL SERVEUR D’AUTHENTIFICATION DEFI PIN DEFI 123456 Clé secrète DUPOND DEFI Base UserID : DUPOND utilisateurs Password : 123456 REPONSE = 123456 Clé secrète DUPOND 123456 ? X = DEFI -7-
  • 8. 2.3. Certificats digitaux sur disque 1.1.3. Présentation En dehors de l’utilisation d’une carte à puce ou d’une clé à puce dans le cadre d’une PKI, le disque dur reste le moyen le plus répandu pour stocker le certificat, ainsi que la clé privée associée, de l’utilisateur. Certificats digitaux sur disque Fonctionnement - idem carte ou clé à puce à la différence près que le certificat et la clé privée sont stockée sur le disque dur du poste. Points clé - pas de matériel ou logiciel spécifique. - proposé par les principaux systèmes d’exploitation. Faiblesses du système - Mobilité réduite : il est nécessaire d’exporter son certificat et sa clé privée sur disquette. - La sécurité repose sur un simple mot de passe qui protège la clé privée (fichier PKCS#12). - L’importation des données d’identification sur des postes autres que le sien diminue la confiance que l’on peut accorder au certificat. - La compromission de la clé privée n’est pas facilement détectable (pas d’objet physique perdu, une simple copie suffit). Environnement cible - Réseaux ne nécessitant qu’un niveau réduit de sécurité. - Utilisateurs se connectant à un Intranet ou extranet toujours à partir du même poste. Application cible - E-commerce avec des transactions de faible montant. -8-
  • 9. STATION DE TRAVAIL SERVEUR D’AUTHENTIFICATION CERTIFICAT Clé publique AC SIGNATURE Clé privée DUPOND DEFI DEFI DEFI ? X = COMPRIME REPONSE REPONSE REPONSE -9- ? X = DEFI
  • 10. 2.4. Carte à puce à crypto processeur Présentation Carte à puce à crypto processeur - La clé privée et le certificat de l’utilisateur sont stockés dans la carte. Fonctionnement - Au login l’utilisateur introduit sa carte dans le lecteur de carte. - L’identifiant et le certificat sont lus dans la carte. - Le serveur vérifie le certificat et contrôle sa non révocation. - Le code PI N est saisi et vérifié par la carte : en cas de succès, la fonction de signature avec la clé privée est débloquée. - L‘authentification de l’utilisateur est effectuée dans une procédure de défi-réponse. - Mobilité : l’utilisateur peut utiliser son certificat et sa clé privée sur d’autres postes que le sien. Points clé - En cas de perte ou de vol de la carte le certificat est révoqué par l’administrateur. - Clonage impossible : la clé privée ne peut être lue. - L’identifiant de l’utilisateur est lu directement dans la carte. - Méthode standard : utilisation certificat X.509 et algorithme asymétrique RSA. - La carte est utilisée comme outil de verrouillage de la station : le retrait de la carte provoque le verrouillage de la station. - Le dialogue appli-carte étant direct toutes les opérations de signature et de chiffrement/déchiffrement sont possibles. - Offre les fonctions de single sign-on : plusieurs couples identifiant – mot de passe peuvent être mémorisés dans la carte. - Les solutions sont compatibles avec les nombreux lecteurs PC/SC. - Compatibilité avec le standard Microsoft (CryptoAPI). - Pas de login à partir de n’importe quel PC (nécessite un lecteur et un module logiciel client Faiblesses du système spécifique). - Difficilement déployable sur les extranets (réticence des utilisateurs à installer lecteur et logiciel sur leur propre PC). - Nécessite de déployer une PKI. - L’installation et la configuration de tous les postes sont contrôlées par l’administrateur réseau : Environnement cible homogénéité des logiciels (OS, module client, drivers) et des matériels (lecteurs, cartes) - Applications de single sign-on. Application cible - Logon sécurisé sur domaine Windows 2000 (LAN ou VPN). - Authentification à toutes les applications au travers d’un portail Web. - Authentification des utilisateurs en accès VPN : compatible clients VPN du marché (compatible CryptoAPI). - Application nécessitant confidentialité (chiffrement des données) et non répudiation (signature). - Carte entreprise (multi-application). 2.5. Schéma de l’authentification Voir schéma d’authentification clé à puce - 10 -
  • 11. 2.6. Clé à puce à crypto processeur 1.1.4. Présentation Carte et clé à puce ont le même niveau fonctionnel. Elles peuvent cohabiter dans une même application d’authentification car elle utilisent les mêmes techniques basées sur une PKI. La clé à puce autorise moins le multi-application car les applications de contrôle d’accès physique, les applications de porte-monnaie électronique (distributeurs, automate de rechargement, etc…) ne proposent pas à l’heure actuelle des interfaces USB. Clé à puce à crypto processeur - La clé privée et le certificat de l’utilisateur sont stockés dans la clé. Fonctionnement - Au login l’utilisateur introduit sa clé dans le connecteur USB. - L’identifiant et le certificat sont lus dans la clé. - Le serveur vérifie le certificat et contrôle sa non révocation. - Le code PIN est saisi et vérifié par la clé : en cas de succès, la fonction de signature avec la clé privée est débloquée. - L‘authentification de l’utilisateur est effectuée dans une procédure de défi-réponse. - Mobilité : l’utilisateur peut utiliser son certificat et sa clé privée sur d’autres postes que le sien. Points clé - En cas de perte ou de vol de la clé le certificat est révoqué par l’administrateur. - Clonage impossible : la clé privée ne peut être lue. - L’identifiant de l’utilisateur est lu directement dans la clé. - Méthode standard : utilisation certificat X.509 et algorithme asymétrique RSA. - La clé est utilisée comme outil de verrouillage de la station : le retrait de la clé du connecteur USB provoque le verrouillage de la station . - Le dialogue appli-clé étant direct toutes les opérations de signature et de chiffrement/déchiffrement sont possibles - Offre les fonctions de single sign-on : plusieurs couples identifiant – mot de passe peuvent être mémorisés dans la clé. - Pas besoin de lecteurs (pas d’installation de driver spécifique). - Compatibilité avec standard Microsoft (CryptoAPI). - Pratique : utilisation de la clé à puce comme porte-clé. - Pas de login à partir de n’importe quel PC (nécessite un port USB). Faiblesses du système - Difficilement déployable sur les extranets (réticence des utilisateurs à installer un logiciel sur leur propre PC). - Nécessite de déployer une PKI. - L’installation et la configuration de tous les postes sont contrôlés par l’administrateur réseau : Environnement cible homogénéité des logiciels (OS, module client, drivers) et des matériels (lecteurs, cartes). - Applications de single sign-on. Application cible - Logon sécurisé sur domaine Windows 2000 (LAN ou VPN). - Authentification à toutes les applications au travers d’un portail Web. - Authentification des utilisateurs en accès VPN : compatible clients VPN du marché (compatible CryptoAPI). - Application nécessitant confidentialité (chiffrement des données) et non répudiation (signature). - 11 -
  • 12. 1.1.5. Schéma de l’authentification STATION DE TRAVAIL SERVEUR D’AUTHENTIFICATION CERTIFICAT Clé publique AC SIGNATURE ? X = COMPRIME Clé publique DUPOND ACCREDITATIO PIN N Clé privée DUPOND CRYPTO CRYPTO CRYPTO ACCREDITATION … ACCREDITATION - 12 -
  • 13. L’accréditation peut être : § Un TGT (Ticket Granting Ticket pour accéder au TGS) : dans l’authentification Kerberos (Smart Card Logon de Windows 2000) § Plus généralement, un authentifiant pour le compte sur lequel l’utilisateur souhaite se connecter 2.7. Biométrie 1.1.6. Présentation Biométrie - L’utilisateur est authentifié à partir d’une donnée physique caractéristique telle que l’empreinte Fonctionnement digitale, l’empreinte vocale, la forme du visage, l’analyse de comportement (dynamique de signature, vitesse de frappe au clavier), etc. - Chaque type d’authentification nécessite un matériel spécifique (scanner, microphone, caméra, tablette de digitalisation, etc.) et un logiciel spécifique (implémentation d’algorithme de comparaison des données collectées avec un modèle). - Les données biométriques sont propres à un utilisateur. Points clé - Portabilité : les données biométriques font partie intégrante de l’utilisateur ! - Peut être utilisé comme moyen d’identification (recherche du modèle correspondant dans la base des utilisateurs) : évite la saisie de l’identifiant. - Pas de code PIN ou de Mot de Passe à retenir. - Nécessité de matériel spécifique coûteux. Faiblesses du système - Fiabilité : plusieurs lectures sont parf ois nécessaires (qualité des périphériques). - Risque d’erreur qu’il est nécessaire d’occulter (fixer un taux acceptable pour éviter rejets répétitifs) : notion de TFR (Taux de Faux Rejets) et de TFA (Taux de Fausses Acceptations). - Nécessite l’enregistrement de l’utilisateur (Une ou plusieurs mesures). - Identification et authentification dans des environnements dépourvus de clavier-écran (sas Environnement cible d’accès). - Contrôle d’accès logique au réseau d’entreprise (bio-identification simple). Application cible - En complément avec des solutions par carte ou clé à puce (méthode d’authentification à 3 facteurs) dans des applications très sensibles au sein d’institutions financières, dans un périmètre militaire, ou dans des centres de recherche (bio-identification évoluée). - 13 -
  • 14. 1.1.7. Schéma d’authentification STATION DE TRAVAIL SERVEUR D’AUTHENTIFICATION EMPREINTE REDUITE Base des utilisateurs UserID : DUPOND Password : EMPREINTE REDUITE EMPREINTE MODELE REDUITE ? SCORE < SEUIL - 14 -
  • 15. 3. Besoins Les tableaux ci-après font état de l’adaptation de chaque technologie pour un besoin donné. 3.1. Accès au réseau d’entreprise LAN RAS VPN Token NON OUI OUI (pas adapté) Le serveur RA S doit supporter ce Le serveur VPN doit supporter ce “chrono type d’authentification ou nécessité type d’authentification ou nécessité temps” d’un serveur RADIUS d’un serveur RADIUS Token NON OUI OUI (pas adapté) Le serveur RAS doit supporter ce Le serveur VPN doit supporter ce “défi- type d’authentification ou nécessité type d’authentification ou nécessité réponse” d’un serveur RADIUS d’un serveur RADIUS Certificat NON OUI OUI Si le client et serveur RAS supporte De nombreux éditeurs d clients e sur disque le protocole EAP VPN propose la compatibilité avec les standards (CryptoAPI de Microsoft ou PKCS#11 de RSA) Biométrie OUI OUI NON Nécessite modification de la Si le client et serveur RAS supporte Dans IPSec utilisation d’un procédure d’authentification de le protocole EAP « shared secret » (niveau de l’OS sécurité faible) =>à combiner avec certificat Carte OUI OUI OUI Windows 2000 supporte le Si le client et serveur RAS supporte De nombreux édteurs de clients et clé à puce smart card logon nativement le protocole EAP VPN propose la compatibilité avec Nécessite modification de la Ou les standards (CryptoAPI de procédure d’authentification Stockage userID-MdP du compte Microsoft ou PKCS#11 de RSA). pour les autres OS RAS dans carte/clé Dans IPSec, IKE utilise les certificats - 15 -
  • 16. 3.2. Accès intranet-extranet Poste banalisé Poste non banalisé Token “chrono OUI OUI temps” Token “défi- OUI OUI réponse” Certificat sur disque NON OUI Pas adapté, car nécessite l’importation du Nécessite mise en œuvre de SSL certificat et de la clé privée Biométrie NON OUI Nécessite installation lecteur et logiciel spécifique Carte et clé à puce OUI OUI Nécessite installation lecteur et logiciel spécifique Nécessite mise en œuvre de SSL La carte à puce peut être u tilisée sur un poste banalisé avec le lecteur autonome (type calculette). Dans ce cas, l’utilisation du certificat de clé publique n’est pas possible. Il est obligatoire d’utiliser l’algorithme symétrique de la carte (si disponible). - 16 -
  • 17. 3.3. Evolutivité - Respects des standards Standards Chiffrement Signature Token “chrono NON NON NON temps” Token “défi- OUI NON NON Fonctionnalité réduite (non réponse” standard) Certificat sur disque OUI OUI OUI CryptoAPI pour Microsoft (CSP RAS : EAP-TLS + MPPE Messagerie sécurisé : S/MIME Microsoft) VPN : IPSec (IKE) Application propriétaire : Certificat X.509 Intranet-Extranet : SSL utilisation de CryptoAPI Disque : EFS (W2000) ou propriétaire Biométrie NON NON NON Carte et clé à puce OUI OUI OUI Messagerie sécurisé : S/MIME CryptoAPI pour Microsoft (CSP RAS : EAP-TLS + MPPE Appli propriétaire : utilisation spécifique fabricant carte/clé) VPN : IPSec (IKE) de CryptoAPI Certificat X.509 Intranet-Extranet : SSL Intégration de plusieurs algo Disque : EFS (W2000) ou propriétaire standard (RSA, DES, AES, ECC) Dans le cadre d’un environnement Microsoft Windows, l’intégration dans l’architecture de sécurité CryptoAPI permet à des applications tierces, telles que le navigateur (IE) ou la messagerie (Outlook), d’exploiter le certificat et la clé privée contenus dans le support (carte ou clé). Toutefois, les fonctions d’authentification EAP-TLS, le tunneling IPSec ne sont disponibles que sur Windows 2000 et XP. C’est le cas également du système de chiffrement EFS (Encryption File System) qui est propre à Windows 2000 et XP, et qui s’appuie sur CryptoAPI. Pour être compatible CryptoAPI, chaque éditeur de solution d’authentification basée sur la carte à puce ou la clé à puce doit fournir un CSP (Cryptographic Service Provider) qui est « pluggé » dans l’architecture de Microsoft. - 17 -
  • 18. Le déploiement important de Windows 2000 et Windows XP comme plate-forme pour les stations de travail des utilisateurs constitue donc un critère de choix d’une solution d’authentification forte. En l’occurrence le choix d’une solution à base de carte à puce (ou clé à puce) à cryptoprocesseur est garante de la pérennité de ses investissements. - 18 -
  • 19. 3.4. Single Sign-On (SSO)- multi-applications Le multi-application est apparenté à la carte d’entreprise offrant par exemple des fonctions de : - Contrôle d’accès physique (accès locaux, accès parking) - Restauration d’entreprise - Porte-monnaie électronique (distributeur café, friandise, etc.) - Etc… SSO Multi-applications Token “chrono temps” NON NON Token “défi-réponse” NON NON Certificat Sur disque OUI NON Si les applications sont compatibles PKI Biométrie NON NON Carte et clé à puce OUI OUI Mémorisation des couples identifiant-MdP La clé à puce n’est pas facilement utilisable en l’absence de port USB sur les équipements Pour le single sign-on, seules les technologies permettant la mémorisation de couples Identifiant – Mot de passe offriront des fonctionnalités de single sign-on simples. - 19 -
  • 20. 4. Conclusions Actuellement, les solution d’authentification forte basées sur la carte à puce ou sur la clé à puce dotée d’un cryptoprocesseur constituent le meilleur compromis quelque soit le type d’application à protéger. Les tableaux comparatifs sur les différents critères évoqués le prouvent. De plus, elles offrent de réelles perspectives d’évolutivité. Notamment, l’intégration des techniques d’identification biométrique permet d’offrir un niveau de sécurité optimum (solutions d’authentification à 3 facteurs). La reconnaissance et l’adoption du standard X.509 pour les méthodes d’authentification et de signature garantit la pérennité de ces solutions ainsi que l’interopérabilité avec de nombreuses applications externes. - 20 -