De par l’envergure internationale du CERN, les utilisateurs, plusieurs milliers, sont répartis un peu partout dans le monde, accédant régulièrement à leurs comptes à distance. Depuis un cyber-café, un réseau WiFi non-sécurisé, un institut (ou une université) compromis, …
Pour les attaquants, les occasions de capturer les mots de passe sont nombreuses ! L’intérêt de mots de passe forts devient très limité si ceux-ci peuvent être capturés et réutilisés facilement par des tierces personnes.
L’authentification multi-facteurs permet justement de contrer ceci, en demandant plusieurs éléments aux utilisateurs : typiquement quelque chose qu’ils connaissent (eg. un mot de passe) et quelque chose qu’ils possèdent (eg. un jeton hardware). Même si cette méthode permet de renforcer considérablement l’authentification, la solution parfaite n’existe pas, et l’étude des différents cas d’utilisations qui devront être supportés est donc primordiale.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Remi Mollon
ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs
1. Authentification Multi-Facteurs
Retour d'experience
Rémi MOLLON
Analyste en Sécurité Informatique
CERN
Application Security Forum
Western Switzerland
27 octobre 2011 - HEIGVD Yverdon-les-Bains
http://appsec-forum.ch
2. Présentation personnelle
• Grilles Informatiques (projet EGEE)
– Développement et intégration application
bio-informatiques
– Développeur « Data Management »
– Membre équipe sécurité opérationnelle
• Équipe Sécurité Informatique du CERN
– Responsable infrastructure
– Sécurité opérationnelle
– Développement logiciel
– Audits internes
Application Security Forum - Western Switzerland - 2011 2
3. Agenda
• L'Authentification au CERN
• Authentification par mot de passe
• Authentification multi-facteurs et les
différents facteurs
• Les choix du CERN
Application Security Forum - Western Switzerland - 2011 3
4. CERN
• Organisation Européenne pour la
Recherche Nucléaire
– Coopération internationale entre
laboratoires et instituts
– Caractère purement scientifique et
fondamental
Application Security Forum - Western Switzerland - 2011 4
5. Les Nationalités
Application Security Forum - Western Switzerland - 2011 5
6. Les Utilisateurs
• Le CERN
– 20 états membres
– Nombreux états non-membres et contacts
scientifiques
• Les utilisateurs
– Des centaines d’universités à travers le monde
– Élèves, étudiants, professeurs, techniciens,
ingénieurs, physiciens, …
– Forte croissance des nouveaux comptes
Application Security Forum - Western Switzerland - 2011 6
7. Milieu Académique
• Réseaux très ouverts
– Collaborations étroites entre instituts
– Nombreux protocoles « maison »
– Utilisation des « Grilles »
• Ordinateurs gérés par les utilisateurs
– Mauvaise configuration
– Mises à jour manquantes
– Aucun contrôle
Application Security Forum - Western Switzerland - 2011 7
8. « Single Sign On »
• Portail unique d'authentification
– Microsoft ADFS / Shibboleth
– Pour les applications (web)
– Mot de passe, Certificats X509
– Interface WS/SOAP
• Autorisations et E-Groups
– Solution « maison » CERN
– Synchronisation avec AD/LDAP
– Contrôle d’accès fins si besoin
Application Security Forum - Western Switzerland - 2011 8
9. Les Menaces
• Réutilisation des mots de passe
• « Brute forcing » de mots de passe
• Vols de mots de passe
– « Social Engineering » / Phishing
• Vols d'appareils
– Stockage non-sécurisé
• Chevaux de troie, « key loggers »
• Attaque « Man in the middle »
Application Security Forum - Western Switzerland - 2011 9
10. Les Limites
• Négligences de certains utilisateurs
• Croissance du nombre d'attaques
• Vol de mots de passe 1er vecteur de
propagation d'attaques dans le
milieu académique
Application Security Forum - Western Switzerland - 2011 10
11. Les Solutions
• Ne plus utiliser d'appareils
informatiques
• « Super » utilisateurs uniquement
– Retenir de nombreux mots de passe
complexes
– Ne plus être vulnérable au « Social
Engineering »
• Autre méthode d'authentification...
Application Security Forum - Western Switzerland - 2011 11
12. Authentification
Multi-Facteurs
• Plusieurs facteurs
– Quelque chose que l'on sait
• Mot de passe
• Code pin
– Quelque chose que l'on a
• Certificat X509
• Carte a puce
• Clé hardware
• Génération « One Time Password »
• ...
– ...
Application Security Forum - Western Switzerland - 2011 12
13. Authentification
Multi-Facteurs (2)
• Facteur dynamique
– Ne doit pas être mémorisé
• Résistance aux attaques
– Pas de « sniffing » possible
– Limite fortement la propagation
• Processus d'authentification plus long
– « Single Sign On » recommandé
Application Security Forum - Western Switzerland - 2011 13
14. Certificat X509
• Stockage a la charge de l'utilisateur
– Besoin de support de stockage pour être
utilise sur plusieurs machines
• Protection doit être assurée par
l'utilisateur
– Souvent stocker de manière non-securisée
pour une utilisation plus facile
• Chiffrement asymétrique
– Clés de plus en plus longues
– Besoin de puissance de calcul
Application Security Forum - Western Switzerland - 2011 14
15. Cartes à puce
• Combinées a un code PIN
• Très utilisées dans le milieu bancaire
– Sécurité déjà éprouvée
• Besoin de lecteur
– Périphérique à avoir sur soi
– Problème de driver en
fonction du système
Application Security Forum - Western Switzerland - 2011 15
16. Cartes à puce (2)
• Différentes puces
– Mémoire
– Micro-processeur
• Stockage sécurisé de certificat X509
• Clé secrète ne peut pas être extraite
– Génération de la clé sur la carte
Application Security Forum - Western Switzerland - 2011 16
17. « One Time Password »
• Mot de passe à usage unique
• Plusieurs algorithmes
– HOTP : HMAC-based OTP
– TOTP : Time-based OTP
– Plusieurs protocoles propriétaires
• Souvent utilisés sur des appareils
mobiles
Application Security Forum - Western Switzerland - 2011 17
18. Authentification Mobile
• Envoi de code par SMS
– Mot de passe à usage unique
– Compatible avec tous les mobiles
– Coût d'envoi
• Appel téléphonique
• Applications smartphones
– QR code
– Connexion internet nécessaire
Application Security Forum - Western Switzerland - 2011 18
19. Clés Hardware
• De nombreux produits sur le marché
• Dépendance auprès de la compagnie
• « Boîte noire »
– Algorithme secret
– Niveau de sécurité dur à évaluer
– Quelques problèmes dans le passé
– Produits marketing
Application Security Forum - Western Switzerland - 2011 19
20. Yubikeys
• Reconnues comme un clavier USB
– Pas besoin de driver
– Besoin d'un port USB
• Plusieurs modes
– « Yubikey »
– HOTP, TOTP
– Mot de passe statique
• Pas de batterie
– Pas d'horloge interne
Application Security Forum - Western Switzerland - 2011 20
21. Yubikeys (2)
Dirk Merkel, Linux Journal
Application Security Forum - Western Switzerland - 2011 21
22. Biométrie
• Identification en fonction de
caractéristiques biologiques
– Empreinte digitale
– Rétine
– Reconnaissance faciale
• Très controversée
– Changement impossible
si compromis
Application Security Forum - Western Switzerland - 2011 22
23. Authentification
Simple-Facteur
• Utilisation de facteurs secondaires
– Remplacement du mot de passe
– Simplicité et rapidité pour l'utilisateur
• Utilisation détournée
– Facteurs faibles si utilisés seuls
– Attaques facilitées (vols, pertes)
Application Security Forum - Western Switzerland - 2011 23
24. Mais alors... Lequel ?
• Pas de solution parfaite
• Utilisateurs avec des besoins
différents
• Plusieurs facteurs proposés
– Choix du côté des utilisateurs
– Couvrir tous (ou presque) les cas
d'utilisation
Application Security Forum - Western Switzerland - 2011 24
25. Les Choix du CERN
• Encore en étude...
• Cartes à puce
– Intégration avec les cartes CERN
• Authentification mobile
– SMS
– Application OTP pour les smartphones
• Yubikeys
Application Security Forum - Western Switzerland - 2011 25
26. Portail de test
Application Security Forum - Western Switzerland - 2011 26
27. Conclusion
• Mots de passe souvent exposés et/ou
mal utilisés
– Multiplication des comptes
• Besoin d'authentification forte pour
des services critiques
– Authentification multi-facteurs
• Fédération d'Identité
– OpenID, Shibboleth
Application Security Forum - Western Switzerland - 2011 27