SlideShare une entreprise Scribd logo

ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs

Cyber Security Alliance
Cyber Security Alliance

De par l’envergure internationale du CERN, les utilisateurs, plusieurs milliers, sont répartis un peu partout dans le monde, accédant régulièrement à leurs comptes à distance. Depuis un cyber-café, un réseau WiFi non-sécurisé, un institut (ou une université) compromis, … Pour les attaquants, les occasions de capturer les mots de passe sont nombreuses ! L’intérêt de mots de passe forts devient très limité si ceux-ci peuvent être capturés et réutilisés facilement par des tierces personnes. L’authentification multi-facteurs permet justement de contrer ceci, en demandant plusieurs éléments aux utilisateurs : typiquement quelque chose qu’ils connaissent (eg. un mot de passe) et quelque chose qu’ils possèdent (eg. un jeton hardware). Même si cette méthode permet de renforcer considérablement l’authentification, la solution parfaite n’existe pas, et l’étude des différents cas d’utilisations qui devront être supportés est donc primordiale. Application Security Forum 2011 27.10.2011 - Yverdon-les-Bains (Suisse) Conférencier: Remi Mollon

Technologie
1  sur  29
Télécharger pour lire hors ligne
Authentification Multi-Facteurs Retour d'experience Rémi MOLLON Analyste en Sécurité Informatique CERN Application Security Forum Western Switzerland 27 octobre 2011 - HEIGVD Yverdon-les-Bains http://appsec-forum.ch
Présentation personnelle • Grilles Informatiques (projet EGEE) – Développement et intégration application bio-informatiques – Développeur « Data Management » – Membre équipe sécurité opérationnelle • Équipe Sécurité Informatique du CERN – Responsable infrastructure – Sécurité opérationnelle – Développement logiciel – Audits internes Application Security Forum - Western Switzerland - 2011 2
Agenda • L'Authentification au CERN • Authentification par mot de passe • Authentification multi-facteurs et les différents facteurs • Les choix du CERN Application Security Forum - Western Switzerland - 2011 3
CERN • Organisation Européenne pour la Recherche Nucléaire – Coopération internationale entre laboratoires et instituts – Caractère purement scientifique et fondamental Application Security Forum - Western Switzerland - 2011 4
Les Nationalités Application Security Forum - Western Switzerland - 2011 5
Les Utilisateurs • Le CERN – 20 états membres – Nombreux états non-membres et contacts scientifiques • Les utilisateurs – Des centaines d’universités à travers le monde – Élèves, étudiants, professeurs, techniciens, ingénieurs, physiciens, … – Forte croissance des nouveaux comptes Application Security Forum - Western Switzerland - 2011 6
Milieu Académique • Réseaux très ouverts – Collaborations étroites entre instituts – Nombreux protocoles « maison » – Utilisation des « Grilles » • Ordinateurs gérés par les utilisateurs – Mauvaise configuration – Mises à jour manquantes – Aucun contrôle Application Security Forum - Western Switzerland - 2011 7
« Single Sign On » • Portail unique d'authentification – Microsoft ADFS / Shibboleth – Pour les applications (web) – Mot de passe, Certificats X509 – Interface WS/SOAP • Autorisations et E-Groups – Solution « maison » CERN – Synchronisation avec AD/LDAP – Contrôle d’accès fins si besoin Application Security Forum - Western Switzerland - 2011 8
Les Menaces • Réutilisation des mots de passe • « Brute forcing » de mots de passe • Vols de mots de passe – « Social Engineering » / Phishing • Vols d'appareils – Stockage non-sécurisé • Chevaux de troie, « key loggers » • Attaque « Man in the middle » Application Security Forum - Western Switzerland - 2011 9
Les Limites • Négligences de certains utilisateurs • Croissance du nombre d'attaques • Vol de mots de passe 1er vecteur de propagation d'attaques dans le milieu académique Application Security Forum - Western Switzerland - 2011 10
Les Solutions • Ne plus utiliser d'appareils informatiques • « Super » utilisateurs uniquement – Retenir de nombreux mots de passe complexes – Ne plus être vulnérable au « Social Engineering » • Autre méthode d'authentification... Application Security Forum - Western Switzerland - 2011 11
Authentification Multi-Facteurs • Plusieurs facteurs – Quelque chose que l'on sait • Mot de passe • Code pin – Quelque chose que l'on a • Certificat X509 • Carte a puce • Clé hardware • Génération « One Time Password » • ... – ... Application Security Forum - Western Switzerland - 2011 12
Authentification Multi-Facteurs (2) • Facteur dynamique – Ne doit pas être mémorisé • Résistance aux attaques – Pas de « sniffing » possible – Limite fortement la propagation • Processus d'authentification plus long – « Single Sign On » recommandé Application Security Forum - Western Switzerland - 2011 13
Certificat X509 • Stockage a la charge de l'utilisateur – Besoin de support de stockage pour être utilise sur plusieurs machines • Protection doit être assurée par l'utilisateur – Souvent stocker de manière non-securisée pour une utilisation plus facile • Chiffrement asymétrique – Clés de plus en plus longues – Besoin de puissance de calcul Application Security Forum - Western Switzerland - 2011 14
Cartes à puce • Combinées a un code PIN • Très utilisées dans le milieu bancaire – Sécurité déjà éprouvée • Besoin de lecteur – Périphérique à avoir sur soi – Problème de driver en fonction du système Application Security Forum - Western Switzerland - 2011 15
Cartes à puce (2) • Différentes puces – Mémoire – Micro-processeur • Stockage sécurisé de certificat X509 • Clé secrète ne peut pas être extraite – Génération de la clé sur la carte Application Security Forum - Western Switzerland - 2011 16
« One Time Password » • Mot de passe à usage unique • Plusieurs algorithmes – HOTP : HMAC-based OTP – TOTP : Time-based OTP – Plusieurs protocoles propriétaires • Souvent utilisés sur des appareils mobiles Application Security Forum - Western Switzerland - 2011 17
Authentification Mobile • Envoi de code par SMS – Mot de passe à usage unique – Compatible avec tous les mobiles – Coût d'envoi • Appel téléphonique • Applications smartphones – QR code – Connexion internet nécessaire Application Security Forum - Western Switzerland - 2011 18
Clés Hardware • De nombreux produits sur le marché • Dépendance auprès de la compagnie • « Boîte noire » – Algorithme secret – Niveau de sécurité dur à évaluer – Quelques problèmes dans le passé – Produits marketing Application Security Forum - Western Switzerland - 2011 19
Yubikeys • Reconnues comme un clavier USB – Pas besoin de driver – Besoin d'un port USB • Plusieurs modes – « Yubikey » – HOTP, TOTP – Mot de passe statique • Pas de batterie – Pas d'horloge interne Application Security Forum - Western Switzerland - 2011 20
Yubikeys (2) Dirk Merkel, Linux Journal Application Security Forum - Western Switzerland - 2011 21
Biométrie • Identification en fonction de caractéristiques biologiques – Empreinte digitale – Rétine – Reconnaissance faciale • Très controversée – Changement impossible si compromis Application Security Forum - Western Switzerland - 2011 22
Authentification Simple-Facteur • Utilisation de facteurs secondaires – Remplacement du mot de passe – Simplicité et rapidité pour l'utilisateur • Utilisation détournée – Facteurs faibles si utilisés seuls – Attaques facilitées (vols, pertes) Application Security Forum - Western Switzerland - 2011 23
Mais alors... Lequel ? • Pas de solution parfaite • Utilisateurs avec des besoins différents • Plusieurs facteurs proposés – Choix du côté des utilisateurs – Couvrir tous (ou presque) les cas d'utilisation Application Security Forum - Western Switzerland - 2011 24
Les Choix du CERN • Encore en étude... • Cartes à puce – Intégration avec les cartes CERN • Authentification mobile – SMS – Application OTP pour les smartphones • Yubikeys Application Security Forum - Western Switzerland - 2011 25
Portail de test Application Security Forum - Western Switzerland - 2011 26
Conclusion • Mots de passe souvent exposés et/ou mal utilisés – Multiplication des comptes • Besoin d'authentification forte pour des services critiques – Authentification multi-facteurs • Fédération d'Identité – OpenID, Shibboleth Application Security Forum - Western Switzerland - 2011 27
Vos questions ? Application Security Forum - Western Switzerland - 2011 28
Merci! Rémi MOLLON Remi.Mollon@cern.ch http://fr.linkedin.com/in/rmollon SLIDES A TELECHARGER PROCHAINEMENT: http://slideshare.net/ASF-WS Application Security Forum - Western Switzerland - 2011 29

Recommandé

ASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r ReloadedASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r ReloadedCyber Security Alliance
 
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...Pôle Systematic Paris-Region
 
Windows RT en entreprise
Windows RT en entrepriseWindows RT en entreprise
Windows RT en entrepriseMicrosoft Technet France
 
Owasp
OwaspOwasp
OwaspODC Orange Developer Center
 
Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...Alice and Bob
 
BYOD, progrès ou tracas ?
BYOD, progrès ou tracas ?BYOD, progrès ou tracas ?
BYOD, progrès ou tracas ?ljaquet
 
Présentation Master
Présentation Master Présentation Master
Présentation Master Bilel Trabelsi
 
2014 évacuation - tous établissements - 01
2014 évacuation - tous établissements - 012014 évacuation - tous établissements - 01
2014 évacuation - tous établissements - 01APS&I - Formations
 

Recommandé

ASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r ReloadedASFWS 2011 - MiniMySqlat0r Reloaded
ASFWS 2011 - MiniMySqlat0r ReloadedCyber Security Alliance
 
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...
OSIS19_IoT : State of the art in security for embedded systems and IoT, by Pi...Pôle Systematic Paris-Region
 
Windows RT en entreprise
Windows RT en entrepriseWindows RT en entreprise
Windows RT en entrepriseMicrosoft Technet France
 
Owasp
OwaspOwasp
OwaspODC Orange Developer Center
 
Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...Alice and Bob
 
BYOD, progrès ou tracas ?
BYOD, progrès ou tracas ?BYOD, progrès ou tracas ?
BYOD, progrès ou tracas ?ljaquet
 
Présentation Master
Présentation Master Présentation Master
Présentation Master Bilel Trabelsi
 
2014 évacuation - tous établissements - 01
2014 évacuation - tous établissements - 012014 évacuation - tous établissements - 01
2014 évacuation - tous établissements - 01APS&I - Formations
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéMicrosoft
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéMicrosoft Technet France
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 
9 presentation ssi-kettani_septi
9 presentation ssi-kettani_septi9 presentation ssi-kettani_septi
9 presentation ssi-kettani_septikenane toufik
 
La Citadelle Electronique
La Citadelle ElectroniqueLa Citadelle Electronique
La Citadelle ElectroniqueSylvain Maret
 
SSL.pdf
SSL.pdfSSL.pdf
SSL.pdfIyadtech
 
Owasp geneva-201102-trouvez vosbugslepremier
Owasp geneva-201102-trouvez vosbugslepremierOwasp geneva-201102-trouvez vosbugslepremier
Owasp geneva-201102-trouvez vosbugslepremierThomas Hofer
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
Les capteurs de l'Internet des Objets, par Jean-Samuel Chenard
Les capteurs de l'Internet des Objets, par Jean-Samuel ChenardLes capteurs de l'Internet des Objets, par Jean-Samuel Chenard
Les capteurs de l'Internet des Objets, par Jean-Samuel ChenardCleverToday
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdfTestTest449467
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfdepinfo
 
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSEvaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSNBS System
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockNicolas Lourenço
 
SplunkLive! Paris 2018: Banque de France
SplunkLive! Paris 2018: Banque de FranceSplunkLive! Paris 2018: Banque de France
SplunkLive! Paris 2018: Banque de FranceSplunk
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Sylvain Maret
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 
Bug Bounty @ Swisscom
Bug Bounty @ SwisscomBug Bounty @ Swisscom
Bug Bounty @ SwisscomCyber Security Alliance
 
Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Cyber Security Alliance
 

Contenu connexe

Similaire à ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs

Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéMicrosoft
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsBertrand Carlier
 
9 presentation ssi-kettani_septi
9 presentation ssi-kettani_septi9 presentation ssi-kettani_septi
9 presentation ssi-kettani_septikenane toufik
 
La Citadelle Electronique
La Citadelle ElectroniqueLa Citadelle Electronique
La Citadelle ElectroniqueSylvain Maret
 
Owasp geneva-201102-trouvez vosbugslepremier
Owasp geneva-201102-trouvez vosbugslepremierOwasp geneva-201102-trouvez vosbugslepremier
Owasp geneva-201102-trouvez vosbugslepremierThomas Hofer
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
Les capteurs de l'Internet des Objets, par Jean-Samuel Chenard
Les capteurs de l'Internet des Objets, par Jean-Samuel ChenardLes capteurs de l'Internet des Objets, par Jean-Samuel Chenard
Les capteurs de l'Internet des Objets, par Jean-Samuel ChenardCleverToday
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesPhonesec
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfdepinfo
 
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSEvaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSNBS System
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockNicolas Lourenço
 
SplunkLive! Paris 2018: Banque de France
SplunkLive! Paris 2018: Banque de FranceSplunkLive! Paris 2018: Banque de France
SplunkLive! Paris 2018: Banque de FranceSplunk
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Sylvain Maret
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesSébastien GIORIA
 

Similaire à ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs (20)

Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
GS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIsGS Days 2017 - La sécurité des APIs
GS Days 2017 - La sécurité des APIs
 
9 presentation ssi-kettani_septi
9 presentation ssi-kettani_septi9 presentation ssi-kettani_septi
9 presentation ssi-kettani_septi
 
La Citadelle Electronique
La Citadelle ElectroniqueLa Citadelle Electronique
La Citadelle Electronique
 
SSL.pdf
SSL.pdfSSL.pdf
SSL.pdf
 
Owasp geneva-201102-trouvez vosbugslepremier
Owasp geneva-201102-trouvez vosbugslepremierOwasp geneva-201102-trouvez vosbugslepremier
Owasp geneva-201102-trouvez vosbugslepremier
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 
Les capteurs de l'Internet des Objets, par Jean-Samuel Chenard
Les capteurs de l'Internet des Objets, par Jean-Samuel ChenardLes capteurs de l'Internet des Objets, par Jean-Samuel Chenard
Les capteurs de l'Internet des Objets, par Jean-Samuel Chenard
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Sécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et MobilesSécurité des Développements Webs et Mobiles
Sécurité des Développements Webs et Mobiles
 
SRI.pdf
SRI.pdfSRI.pdf
SRI.pdf
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
 
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSEvaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 
SplunkLive! Paris 2018: Banque de France
SplunkLive! Paris 2018: Banque de FranceSplunkLive! Paris 2018: Banque de France
SplunkLive! Paris 2018: Banque de France
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobilesOWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 

Plus de Cyber Security Alliance

Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Cyber Security Alliance
 
iOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itiOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itCyber Security Alliance
 
Why huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksWhy huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksCyber Security Alliance
 
Corporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCorporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCyber Security Alliance
 
Introducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsIntroducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsCyber Security Alliance
 
Understanding the fundamentals of attacks
Understanding the fundamentals of attacksUnderstanding the fundamentals of attacks
Understanding the fundamentals of attacksCyber Security Alliance
 
Reverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemReverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemCyber Security Alliance
 
Easy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fEasy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fCyber Security Alliance
 
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Cyber Security Alliance
 
Offline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupOffline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupCyber Security Alliance
 
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...Cyber Security Alliance
 
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptWarning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptCyber Security Alliance
 
Killing any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureKilling any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureCyber Security Alliance
 

Plus de Cyber Security Alliance (20)

Bug Bounty @ Swisscom
Bug Bounty @ SwisscomBug Bounty @ Swisscom
Bug Bounty @ Swisscom
 
Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?
 
iOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itiOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce it
 
Why huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksWhy huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacks
 
Corporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCorporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomware
 
Blockchain for Beginners
Blockchain for Beginners Blockchain for Beginners
Blockchain for Beginners
 
Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16
 
Introducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsIntroducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging apps
 
Understanding the fundamentals of attacks
Understanding the fundamentals of attacksUnderstanding the fundamentals of attacks
Understanding the fundamentals of attacks
 
Rump : iOS patch diffing
Rump : iOS patch diffingRump : iOS patch diffing
Rump : iOS patch diffing
 
An easy way into your sap systems v3.0
An easy way into your sap systems v3.0An easy way into your sap systems v3.0
An easy way into your sap systems v3.0
 
Reverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemReverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande Modem
 
Easy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fEasy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 f
 
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
 
Offline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupOffline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setup
 
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
 
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptWarning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
 
Killing any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureKilling any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented feature
 
Rump attaque usb_caralinda_fabrice
Rump attaque usb_caralinda_fabriceRump attaque usb_caralinda_fabrice
Rump attaque usb_caralinda_fabrice
 
Operation emmental appsec
Operation emmental appsecOperation emmental appsec
Operation emmental appsec
 

ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs

  • 1. Authentification Multi-Facteurs Retour d'experience Rémi MOLLON Analyste en Sécurité Informatique CERN Application Security Forum Western Switzerland 27 octobre 2011 - HEIGVD Yverdon-les-Bains http://appsec-forum.ch
  • 2. Présentation personnelle • Grilles Informatiques (projet EGEE) – Développement et intégration application bio-informatiques – Développeur « Data Management » – Membre équipe sécurité opérationnelle • Équipe Sécurité Informatique du CERN – Responsable infrastructure – Sécurité opérationnelle – Développement logiciel – Audits internes Application Security Forum - Western Switzerland - 2011 2
  • 3. Agenda • L'Authentification au CERN • Authentification par mot de passe • Authentification multi-facteurs et les différents facteurs • Les choix du CERN Application Security Forum - Western Switzerland - 2011 3
  • 4. CERN • Organisation Européenne pour la Recherche Nucléaire – Coopération internationale entre laboratoires et instituts – Caractère purement scientifique et fondamental Application Security Forum - Western Switzerland - 2011 4
  • 5. Les Nationalités Application Security Forum - Western Switzerland - 2011 5
  • 6. Les Utilisateurs • Le CERN – 20 états membres – Nombreux états non-membres et contacts scientifiques • Les utilisateurs – Des centaines d’universités à travers le monde – Élèves, étudiants, professeurs, techniciens, ingénieurs, physiciens, … – Forte croissance des nouveaux comptes Application Security Forum - Western Switzerland - 2011 6
  • 7. Milieu Académique • Réseaux très ouverts – Collaborations étroites entre instituts – Nombreux protocoles « maison » – Utilisation des « Grilles » • Ordinateurs gérés par les utilisateurs – Mauvaise configuration – Mises à jour manquantes – Aucun contrôle Application Security Forum - Western Switzerland - 2011 7
  • 8. « Single Sign On » • Portail unique d'authentification – Microsoft ADFS / Shibboleth – Pour les applications (web) – Mot de passe, Certificats X509 – Interface WS/SOAP • Autorisations et E-Groups – Solution « maison » CERN – Synchronisation avec AD/LDAP – Contrôle d’accès fins si besoin Application Security Forum - Western Switzerland - 2011 8
  • 9. Les Menaces • Réutilisation des mots de passe • « Brute forcing » de mots de passe • Vols de mots de passe – « Social Engineering » / Phishing • Vols d'appareils – Stockage non-sécurisé • Chevaux de troie, « key loggers » • Attaque « Man in the middle » Application Security Forum - Western Switzerland - 2011 9
  • 10. Les Limites • Négligences de certains utilisateurs • Croissance du nombre d'attaques • Vol de mots de passe 1er vecteur de propagation d'attaques dans le milieu académique Application Security Forum - Western Switzerland - 2011 10
  • 11. Les Solutions • Ne plus utiliser d'appareils informatiques • « Super » utilisateurs uniquement – Retenir de nombreux mots de passe complexes – Ne plus être vulnérable au « Social Engineering » • Autre méthode d'authentification... Application Security Forum - Western Switzerland - 2011 11
  • 12. Authentification Multi-Facteurs • Plusieurs facteurs – Quelque chose que l'on sait • Mot de passe • Code pin – Quelque chose que l'on a • Certificat X509 • Carte a puce • Clé hardware • Génération « One Time Password » • ... – ... Application Security Forum - Western Switzerland - 2011 12
  • 13. Authentification Multi-Facteurs (2) • Facteur dynamique – Ne doit pas être mémorisé • Résistance aux attaques – Pas de « sniffing » possible – Limite fortement la propagation • Processus d'authentification plus long – « Single Sign On » recommandé Application Security Forum - Western Switzerland - 2011 13
  • 14. Certificat X509 • Stockage a la charge de l'utilisateur – Besoin de support de stockage pour être utilise sur plusieurs machines • Protection doit être assurée par l'utilisateur – Souvent stocker de manière non-securisée pour une utilisation plus facile • Chiffrement asymétrique – Clés de plus en plus longues – Besoin de puissance de calcul Application Security Forum - Western Switzerland - 2011 14
  • 15. Cartes à puce • Combinées a un code PIN • Très utilisées dans le milieu bancaire – Sécurité déjà éprouvée • Besoin de lecteur – Périphérique à avoir sur soi – Problème de driver en fonction du système Application Security Forum - Western Switzerland - 2011 15
  • 16. Cartes à puce (2) • Différentes puces – Mémoire – Micro-processeur • Stockage sécurisé de certificat X509 • Clé secrète ne peut pas être extraite – Génération de la clé sur la carte Application Security Forum - Western Switzerland - 2011 16
  • 17. « One Time Password » • Mot de passe à usage unique • Plusieurs algorithmes – HOTP : HMAC-based OTP – TOTP : Time-based OTP – Plusieurs protocoles propriétaires • Souvent utilisés sur des appareils mobiles Application Security Forum - Western Switzerland - 2011 17
  • 18. Authentification Mobile • Envoi de code par SMS – Mot de passe à usage unique – Compatible avec tous les mobiles – Coût d'envoi • Appel téléphonique • Applications smartphones – QR code – Connexion internet nécessaire Application Security Forum - Western Switzerland - 2011 18
  • 19. Clés Hardware • De nombreux produits sur le marché • Dépendance auprès de la compagnie • « Boîte noire » – Algorithme secret – Niveau de sécurité dur à évaluer – Quelques problèmes dans le passé – Produits marketing Application Security Forum - Western Switzerland - 2011 19
  • 20. Yubikeys • Reconnues comme un clavier USB – Pas besoin de driver – Besoin d'un port USB • Plusieurs modes – « Yubikey » – HOTP, TOTP – Mot de passe statique • Pas de batterie – Pas d'horloge interne Application Security Forum - Western Switzerland - 2011 20
  • 21. Yubikeys (2) Dirk Merkel, Linux Journal Application Security Forum - Western Switzerland - 2011 21
  • 22. Biométrie • Identification en fonction de caractéristiques biologiques – Empreinte digitale – Rétine – Reconnaissance faciale • Très controversée – Changement impossible si compromis Application Security Forum - Western Switzerland - 2011 22
  • 23. Authentification Simple-Facteur • Utilisation de facteurs secondaires – Remplacement du mot de passe – Simplicité et rapidité pour l'utilisateur • Utilisation détournée – Facteurs faibles si utilisés seuls – Attaques facilitées (vols, pertes) Application Security Forum - Western Switzerland - 2011 23
  • 24. Mais alors... Lequel ? • Pas de solution parfaite • Utilisateurs avec des besoins différents • Plusieurs facteurs proposés – Choix du côté des utilisateurs – Couvrir tous (ou presque) les cas d'utilisation Application Security Forum - Western Switzerland - 2011 24
  • 25. Les Choix du CERN • Encore en étude... • Cartes à puce – Intégration avec les cartes CERN • Authentification mobile – SMS – Application OTP pour les smartphones • Yubikeys Application Security Forum - Western Switzerland - 2011 25
  • 26. Portail de test Application Security Forum - Western Switzerland - 2011 26
  • 27. Conclusion • Mots de passe souvent exposés et/ou mal utilisés – Multiplication des comptes • Besoin d'authentification forte pour des services critiques – Authentification multi-facteurs • Fédération d'Identité – OpenID, Shibboleth Application Security Forum - Western Switzerland - 2011 27
  • 28. Vos questions ? Application Security Forum - Western Switzerland - 2011 28
  • 29. Merci! Rémi MOLLON Remi.Mollon@cern.ch http://fr.linkedin.com/in/rmollon SLIDES A TELECHARGER PROCHAINEMENT: http://slideshare.net/ASF-WS Application Security Forum - Western Switzerland - 2011 29