1. La fin du mot de passe pour
accéder au Cloud et SaaS
exemple de Wikimédia (Wikipédia)
26/06/2014 www.aliceandbob.fr 1

2. Objectifs
• Meilleure proposition de valeur / compétition
• Meilleure relation client / image
• Risques moindres
• Entreprise responsable
• Actifs de l’entreprise protégés
• Innovation, nouveaux usages, nouvelles sources
de revenus (signature électronique, etc.)
• Administration facilitée et coûts moindres
26/06/2014 www.aliceandbob.fr 2

3. Table des Matières
1. Le problème des mots de passe (page 3)
2. Authentification forte (page 9)
3. Authentification forte par certificats (page 12)
4. Autres solutions d’authentification forte (page 18)
5. Exemple Wikimédia (Wikipédia) (page 25)
26/06/2014 www.aliceandbob.fr 3

4. 1. Le problème des
mots de passe
26/06/2014 www.aliceandbob.fr 4

5. De trop nombreux mots de passe
• Nous avons tous maintenant des dizaines de
mots de passe et codes PIN.
26/06/2014 www.aliceandbob.fr 5

6. Des règles difficiles à suivre
• Les spécialistes de la sécurité nous recommandent :
– Des mots de passe complexes
– De les changer régulièrement
– Des mots de passes différents pour chaque usage
– Etc.
26/06/2014 www.aliceandbob.fr 6

7. Une solution peu satisfaisante
• Authentification faible facilement “craquable”
• Outils de récupération de mots de passe
• Listes de mots de passe souvent volées
• Le même mot de passe pour différents sites
• Nous les notons quelque part
• Techniques sophistiquées de vol telles que le
Phishing
26/06/2014 www.aliceandbob.fr 7

8. Par exemple …
26/06/2014 www.aliceandbob.fr 8

9. 2. Authentification forte

10. Authentification forte
• Authentification à 2 ou 3 facteurs
– Ce que je sais (un mot de passe, un code PIN)
– Ce que je possède (un Token, une carte, un SmartPhone,
etc.)
– Ce que je suis (mon empreinte digitale, ma rétine, etc.)
26/06/2014 www.aliceandbob.fr 10

11. L’Authentification forte en croissance
26/06/2014 www.aliceandbob.fr 11

12. 3. Authentification forte par
certificat
26/06/2014 www.aliceandbob.fr 12

13. L’Authentification sur un réseau par
certificat électronique
• Le certificat électronique permet de valider que
l’utilisateur ou la machine sont bien qui ils
prétendent être et de leur donner accès ou pas
• Il est installé sur les machines de l’utilisateur
• Similaires aux certificats SSL et aux certificats
utilisés pour signer des documents ou emails
• Peuvent être couplés avec d’autres moyens
d’authentification tels que le login / mot de
passe
26/06/2014 www.AliceAndBob.fr 13

14. Authentification par certificat
électronique
• Certificat électronique = « carte d’identité
numérique ».
• Ouvert grâce à un code PIN
• Le certificat permet de vérifier qui vous êtes
avant de vous laisser entrer sur les réseaux,
sur un site web, etc.
Code
PIN
OK
26/06/2014 www.aliceandbob.fr 14

15. Certificat électronique
Michael Jackson
DigiCert CA
Nom
Autorité ayant délivré le certificat
Dates de validité
26/06/2014 www.aliceandbob.fr 15

16. Authentification mutuelle
• Lorsqu’une personne se connecte avec une
machine au réseau, le certificat de la machine
et celui de l’utilisateur sont vérifiés par le
serveur du réseau
• L’ordinateur de l’utilisateur vérifie également
de son côté qu’il se connecte bien au bon
réseau et aux bons serveurs en utilisant un
certificat électronique
26/06/2014 www.AliceAndBob.fr 16

17. Mise en œuvre
• L’administrateur génère et alloue des
certificats électroniques à partir d’un portail
• L’administrateur configure son Active
Directory (AD) ou son LDAP pour allouer ces
certificats aux personnes et machines
• Il importe les certificats dans son AD ou LDAP
• Il configure ses systèmes de sécurité
26/06/2014 www.AliceAndBob.fr 17

18. 4. Autres solutions
d’authentification forte
26/06/2014 www.aliceandbob.fr 18

19. SmartCard ou Clés matérielles avec
certificat électronique
• Certificat électronique injecté sur une SmartCard,
une clé USB cryptographique, ou Token
• Une des formes les plus sûres d’authentification
• Solutions coûteuses qui requièrent un objet avec soi
• Gestion des objets physiques complexe pour
l’organisation (logistique, gestion des pertes, etc.)
• Parfois impossible de se connecter à un
Smartphone, une tablette ou un ordinateur sécurisé
qui ne possède pas de port USB
26/06/2014 www.AliceAndBob.fr 19

20. Clés matérielles ou applications
One Time Password
• Objet physique que doivent porter les utilisateurs
ou application installée sur leur Smartphone
• Code généré par cet objet et que l’utilisateur doit
saisir pour se connecter au réseau, un site web,
etc.
• Gestion des objets physiques complexe pour
l’organisation (logistique, gestion des pertes, etc.)
• Compliqué pour se connecter à partir de son
SmartPhone, l’utilisateur doit jongler
26/06/2014 www.AliceAndBob.fr 20

21. Attention aux Tokens RSA
26/06/2014 www.aliceandbob.fr 21

22. Solutions biométriques
• Validation de l’empreinte digitale, iris, signature
manuscrite, etc.
• Nécessite des capteurs dédiés
• Capteurs pas toujours précis
• L’utilisateur ne souhaite pas partager ses
informations biométriques
• Pose des problèmes CNIL
• Une fois vos données biométriques capturées
vous êtes mis à risque pour toujours
26/06/2014 www.AliceAndBob.fr 22

23. Que choisir ?
• Solutions plus coûteuses que le login / mot de
passe
• Mais contribuent à accroître la sécurité
• Les critères dans le choix des solutions sont :
– Le prix
– Le niveau de sécurité
– La facilité de mise en œuvre et d’usage
26/06/2014 www.aliceandbob.fr 23

24. Notre recommandation
• Un certificat électronique installé sur les
postes clients
• Voir l’exemple Wikipédia qui suit
26/06/2014 www.aliceandbob.fr 24

25. 5. Exemple Wikimédia
(Wikipédia)
26/06/2014 www.aliceandbob.fr 25

26. Défi
La fondation Wikimédia devait trouver une
solution sécurisée et de confiance pour
authentifier ses utilisateurs et contributeurs en
ligne et pour chiffrer (crypter) les connexions
sans compromettre l’administration du site, tout
en gagnant en efficacité.
26/06/2014 www.aliceandbob.fr 26

27. Wikimédia a développé un partenariat avec DigiCert
pour protéger Wikipédia et ses 1000 serveurs
• Utilisation de certificats électroniques sur les postes
clients des utilisateurs et contributeurs
• Dans toutes les langues et sur les SmartPhones
• En capitalisant sur la gestion SaaS de certificats
électroniques DigiCert, Enterprise Managed PKI
Services
26/06/2014 www.aliceandbob.fr 27
Solution

28. 26/06/2014 www.aliceandbob.fr 28
• Les certificats sont tracés/remplacés/mis à jour avec une
console d’administration SaaS
• Temps de gestion des
certificats réduit de 50%
• Connexions cryptées en
mode « Anywhere »
• Amélioration des temps de
réponse des « browsers »
• Sécurité étendue à toute la communauté avec moins
de personnel
Administration

29. • Solution en ligne d’authentification forte et de chiffrement
(cryptage) sur les différents sites Wikimédia incluant les accès
mobiles
• Accroît la confiance parmi la communauté des contributeurs
et des utilisateurs via l’Autorité de Certification DigiCert.
• Connexions sécurisées, et expérience utilisateur de grande
qualité, incluant des téléchargements rapides
• Permet aux équipes de Wikimédia de délivrer un haut niveau
de service à la communauté grâce à une gestion simplifiée
des certificats électroniques, accroissant la productivité via
une disponibilité en 24/7
26/06/2014 www.aliceandbob.fr 29
Résultats

30. Merci !
26/06/2014 www.aliceandbob.fr 30
marc.bellot@aliceandbob.fr - 06 30 92 86 65 – Directeur Commercial
Expert Client Workshop Audit
Partagez votre
point de vue avec
un spécialiste
Partagez
l’expérience de l’un
de vos pairs
Atelier demi-
journée,
best practices
cas réels
Etude de l’existant,
simulation
financière

31. Merci !
Voir toutes nos présentations et documents sur Slideshare:
• L’avènement de la signature électronique : en 2014
• La cryptographie et la PKI enfin expliquées simplement
• Comment bien choisir ses certificats SSL
• L’authentification forte ou vers la fin du mot de passe
• Pourquoi migrer ses certificats de Symantec vers une autre Autorité de Certification
• Accroître la confiance dans les personnes et les machines qui se connectent à votre
réseau d’entreprise
• Les solutions SaaS permettent l’avènement des usages des certificats électroniques
• La vérité sur HeartBleed
• La NSA et les Autorités de Certification : Mythe ou réalité ?
contact@aliceandbob.fr
26/06/2014 www.AliceAndBob.fr 31