Technologie d'authentification forte pour la protection de l'identité numérique

1. IDENTITE NUMERIQUE
POURQUOI L’AUTHENTIFICATION FORTE ?
RÉDIGÉ LE 21/05/2009
AUTEUR Sylvain Maret / La Citadelle Electronique
http://sylvain-maret.blogspot.com/

2. 1. POURQUOI UNE AUTHENTIFICATION FORTE ?
La protection des biens et des informations est une préoccupation majeure de la société, un souci
que partage tout un chacun. Certains s’en inquiètent à titre personnel, pour leurs propres biens.
D’autres, pour des raisons stratégiques ou économiques.
A l’ère des nouvelles technologies de l’information, les entreprises et plus particulièrement le
monde bancaire se sentent de plus en plus concernées – pour des raisons propres à chacune d’entre
elles – par la sécurité de leurs systèmes informatiques. Mettre en place une véritable politique de
sécurité devient une obligation. Tout comme appliquer les principes de base d’une protection
optimale que sont l’authentification, l'autorisation, la confidentialité, la confidentialité, l’intégrité
et la traçabilité.
Parmi ces cinq mécanismes, l'authentification forte, est, de mon point de vue, la clé de voûte de la
sécurité informatique.
Vous avez dit « authentification forte » ?
L'authentification est une procédure qui vise à s'assurer de l'identité d'un individu ou d'un système
informatique. C’est un préliminaire indispensable à l’activation du mécanisme d’autorisation et,
donc, à la gestion des droits d’accès à un système d’information donné.
Les méthodes classiques pour identifier une personne physique sont au nombre de trois:
Page 2 / 13

3. 1. Quelque chose que l'on connaît: un mot de passe ou un PIN code
2. Quelque chose que l'on possède: un « token », une carte à puce, etc.
3. Quelque chose que l'on est: un attribut biométrique, tel qu'une empreinte digitale
On parle d'authentification forte dès que deux de ces méthodes sont utilisées ensemble. Par
exemple une carte à puce avec un PIN code ou une carte à puce couplée à un lecteur biométrique.
Authentification forte ? un minimum de 2 facteurs
Authentifieur
Quelque chose
Que l’on possède
Secret Biométrie
PIN Code
Password
Quelque chose Quelque chose
Que l’on connaît Que l’on ou fait
La citadelle Electronique http://sylvain-maret.blogspot.com/
Page 3 / 13

4. Pourquoi cette méthode plutôt qu’une autre?
Le mot de passe est actuellement le système le plus couramment utilisé pour identifier un
utilisateur. Malheureusement, il n'offre pas le niveau de sécurité requis pour assurer la protection
de biens informatiques sensibles. Sa principale faiblesse réside dans la facilité avec laquelle il peut
être trouvé, grâce à différentes techniques d’attaques.
Mis à part l'approche, efficace, de la manipulation psychologique (« social engineering »), on
recense trois grandes catégories d'attaques informatiques:
• Attaque de quot;force brutequot;: Il s’agit d’une attaque qui vise à deviner un (ou plusieurs) mot
de passe en utilisant des dictionnaires ou en testant toutes les combinaisons possibles.
Partant du principe que la majorité des mots de passe sont « faibles » (combinaisons
simples du type année de naissance, prénom de son enfant, etc.), les découvrir rapidement
se révèle très facile.
• Ecoute du réseau : La plupart des applications comme quot;telnetquot;, quot;ftpquot;, quot;httpquot;, quot;ldapquot;, etc.,
n'ont pas recours au chiffrement (encryption) lors du transport d’un mode de passe sur le
réseau. « Ecouter » le trafic et en extraire le mot de passe devient un jeu d’enfant dès lors
qu’on dispose d’un logiciel d’écoute appelé « sniffer » (littéralement, renifleur). Il existe
un grand nombre de « sniffers » dédiés exclusivement à la capture des mots de passe.
• Ecoute du clavier: Imaginons que le trafic sur le réseau soit chiffré et que l'utilisateur ait
pris soin de choisir un mot de passe extrêmement « solide ». Une méthode d’attaque se
révèle malgré tout imparable : l’écoute du clavier ou « key logger », qui permet de «
capturer » l’ensemble des touches tapées sur un clavier. Les logiciels utilisés dans ce cas
sont généralement installés sur le poste de travail, à l'insu de l'utilisateur. La «
compromission » du système informatique étant le plus souvent effectuée par le biais d'un
virus de type cheval de Troie.
Page 4 / 13

5. 2. QUELLE TECHNOLOGIE D’AUTHENTIFICATION FORTE ?
Il existe aujourd’hui un grand nombre de solutions d'authentification forte sur le marché. On peut
principalement en distingué trois :
• Les technologies de type OTP
• La technologie PKI
• Les technologies biométriques
2.1. Technologie de type OTP
La technologie de type OTP (One Time Password) est actuellement la méthode d’authentification
forte la plus utilisée par les entreprises. Elle est basée sur un secret partagé unique à chaque
individu. Intrinsèquement cette méthode peut être utilisée uniquement pour mettre en place un
mécanisme d’authentification fort. Les OTP ne sont pas capable d’offrir des services tel que la non
répudiation, la signature et le chiffrement. Par contre cette technologie à l’immense avantage d’être
très facile à déployer et offre une grande mobilité qui est particulièrement appréciée des utilisateurs
nomades. Généralement les moyens d’authentification de type OTP sont embarqués sur des
« Tokens » physiques. Le niveau d’authentification forte est généralement obtenu en combinant un
« Token » physique et un PIN Code connu par l’utilisateur.
Quelques exemples de « Tokens » OTP :
Page 5 / 13

6. 2.2. Technologie PKI
La technologie PKI est basée sur un mécanisme fondamentalement différent des OTP. Celui-ci est
basé sur la cryptographie à clé public ou cryptographie asymétrique. Dans le cadre de
l’authentification forte, chaque utilisateur possède une paire de clés (Une clé publique et une clé
privée) ainsi qu’un certificat numérique attestant de l’identité de l’utilisateur. Muni de ces
informations l’utilisateur est capable de prouver son identité. Afin de monter le niveau de sécurité,
généralement le certificat numérique et la paire de clés sont stockés sur un support physique tel une
carte à puce ou un Token USB.
L’immense avantage de cette technologie réside dans les services de sécurité qu’elle peut amener à
une entreprise. Ces services sont :
• L’authentification forte
• La non répudiation
• Le chiffrement
• La signature numérique
Par contre la technologie PKI peut poser un problème dans le cas de la mobilité. Généralement
utilisé avec un Token USB ou une carte à puce, il devient difficile de connecter ces « devices » sur
des ordinateurs que l’on ne maîtrise pas, tel un Internet Café. Nous appellerons cette
problématique : la problématique de type « Kiosk ».
Quelques exemples de « Tokens » PKI :
Page 6 / 13

7. Sécurisation de la clé privée
L’entreprise qui souhaite sécuriser la partie privée d’un certificat dispose de plusieurs possibilités.
Une des plus connues est le recours à des cartes à puce (format carte de crédit ou« Tokens » USB).
Ces supports permettent le stockage aussi bien des clés que du certificat numérique.
Il existe deux grandes familles de supports: les cartes mémoire et les cartes à processeur
cryptographique. En termes de sécurité, la deuxième famille est à recommander, dans la mesure où
la clé privée est intégrée au support et n’en sort jamais. Les calculs cryptographiques sont en effet
réalisés à l'intérieur de la carte par le processeur.
Cette méthode garantit une protection optimale contre les attaques qui visent à obtenir la clé
privée. De plus, la carte à puce peut être protégée par un PIN code ou par un lecteur biométrique.
Dans le cadre de la protection par un moyen biométrique le niveau de sécurité est supérieur. Cette
solution est alors capable d’amener une preuve quasi irréfutable de l’identité de l’utilisateur.
Protection par un PIN Code Protection par la biométrie
Page 7 / 13

8. 2.3. Les technologies biométriques
Il existe actuellement un grand nombre de solution biométrique. La majorité des solutions est
déployée dans le cadre de la sécurisation des bâtiments. Cependant depuis quelques temps, un
certain nombre de solutions voit le jour pour la sécurisation des environnements IT pour les
entreprises soucieuse de leur sécurité du système d’information.
Les technologies sont très diverses tel que :
• Reconnaissance des empruntes
• Reconnaissance de l’iris
• Reconnaissance de la voix
• ADN
• Reconnaissance des veines
• Etc.
Dans le cadre de l’environnement IT, il est montré que la solution basée sur les empruntes des
doigts est actuellement la technologie la plus utilisée.
Ce graphique montre que la technologie Fingerprint est un des meilleurs compromis entre le
confort et la fiabilité du système.
Page 8 / 13

9. Le principe de fonctionnement de la biométrie est basé sur la transformation d’un trait physique
d’une personne en une information numérique. Le résultat de cette transformation s’appelle une
« Biometric Pattern ». Une fois cette information capturée et vérifiée, celle-ci doit être stockée
dans un « magasin ». Ce processus s’appelle « l’Enrôlement ».
Une fois le système initialisé, l’utilisateur peut effectuer une procédure de vérification afin de
s’authentifier. Le système biométrique compare la « Biometric Pattern » du magasin à celle de
l’utilisateur. Ci ces deux informations sont identiques alors l’utilisateur est authentifié.
Page 9 / 13

10. Ce schéma explique le fonctionnement de base de la biométrie :
Page 10 / 13

11. 2.4. Niveau de sécurité des solutions Biométriques ?
De nombreuses étude prouvent aujourd’hui qu’il est possible d’usurpée l’identité d’un utilisateur
par le biais de plusieurs moyens. Bien évidement il existe à l’heure actuelle un grand nombre de
produits biométrique offrant plus ou moins de sécurité. Cependant dans le cadre d’un projet IT
pour une entreprise le coût d’investissement est une composante très importante. Les études
prouvent que sur ce genre de produits (IT) il est possible de contourner ces systèmes.
La conclusion de ces rapports est formelle : il n’est pas recommandé d’utiliser la biométrie comme
facteur unique d’authentification. Par contre la biométrie est un très bon moyen de remplacement
du PIN Code ou d’un mot de passe.
Exemple de méthode d’usurpation :
Page 11 / 13

12. 2.4.1. Stockage des « Biometric Pattern »
Afin de stocker la ou les « Biometric Pattern » il existe principalement deux approches :
• Le stockage centralisé
• MOC (Match On Card)
Le stockage centralisé
Avec un système de stockage centralisé, l’idée est de maintenir une base de données avec les
« Biometric Pattern » des utilisateurs de l’entreprise. L’avantage de ce système est le coût. Par
contre ce système présente trois inconvénients principaux. Le premier est la limitation en termes de
mobilité. En effet, avec ce système il n’est pas possible d’offrir de la mobilité, par exemple dans le
cas d’un laptop en mode « standalone ».
Le deuxième inconvénient est le niveau de sécurité car il y a un échange d’information entre les
postes de travail et la base de données. Celui-ci peut être détourné, usurpé, etc.
Le dernier inconvénient est le niveau d’acceptante des utilisateurs. Même si il n’est pas possible de
reconstituer une emprunte à partir de la « Biometric Pattern », beaucoup de personnes sont
réticente au stockage centralisé des Pattern.
Page 12 / 13

13. MOC (Match On Card)
La technologie MOC permet de stocker la ou les « Biometric Pattern » sur un support physique tel
une carte à puces ou un token usb. Avec ce système le stockage des « Biometric Pattern » dans une
base de données devient obsolète. En termes de sécurité ce système est très intéressant. De plus il
offre une grande mobilité car il n’y a plus besoin d’avoir un moyen de communication avec le
composant de stockage des Pattern. L’inconvénient principal de cette technologie est sans aucun
doute son coût.
Ci-joint une explication de la technologie MOC :
Page 13 / 13