isep1516-Rapport-T13PM

17 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
17
Sur SlideShare
0
Issues des intégrations
0
Intégrations
0
Actions
Partages
0
Téléchargements
3
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

isep1516-Rapport-T13PM

  1. 1. Identification et authentification Groupe 13 - 27 mai 2016
 IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 1 Maëva ROUALT Camille LECONTE Thibault THUILLIER Chloé VAN CAUWENBERGHE Meriem AARAB Amina OULD KHERROUBI
  2. 2. Introduction 3 I-) Définition 4 a-) L’identification 4 b-) Le processus d’authentification 4 c-) La gestion des identités 6 d-)Pourquoi d’identifier et s’authentifier ? 7 II. Exemples de protocoles d’authentification 7 a) SSL 7 b) NTLM 8 c) Kerberos 8 d) Central authentification Services (CAS) 8 e) 802.1x 9 III-) Risques 9 VI-) Solutions 13 IV-) L’authentification avancée (2FA) 15 a-) Qu’est ce que l’authentification avancée ? 15 b-) Contraintes de l’authentification avancée 16 c-) La double authentification grâce aux smartphones 16 c-) Exemples de systèmes utilisant des protocoles d’authentification avancée 17 V-) Une alternative à l’authentification classique la biométrie 18 a-) Qu’est ce que la biométrie ? 18 b-) Principe de fonctionnement 18 C-) Techniques d’authentification 19 D-) Exemples biométriques 22 IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 2
  3. 3. Introduction Le 5 mai 2016, 272 millions de comptes gmail, yahoo et outlook ont été piratés. Ce qui a permis l’accès aux données personnelles de 272 millions de personnes. De la signature avec l’empreinte du pouce dans le commerce à Babylone, moins de 3 000 ans avant Jésus-Christ, aux premiers équipements de contrôle d'accès des années 1980, la notion d'identité et de reconnaissance est une notion humaine fondamentale. Aujourd’hui, nous allons tenter de répondre à la problématique suivante  : En quoi consistent les processus d’authentification et d’identification ? Quels sont les risques et les solutions sécuritaires pour éviter le piratage  IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 3
  4. 4. I-) Définition a-) L’identification L’identification permet de connaître l’identité d’une personne, elle se caractérise par un login et elle est unique. La phase repose sur des éléments de preuve constitutifs d'une identité purement humaine. Afin d’élaborer une identité numérique, il faut extraire des éléments de l'identité tels qu'ils soient : · Uniques · Evidents · Non ambigus · Authentifiables de façon sûre C'est pourquoi cette étape favorisera les facteurs de preuve plus ou moins faibles ou forts élaborés à partir d'éléments d'identités humains de nature mémorielle, physique et/ou physiologique. 1. « Ce que je connais », est un élément mémoriel, il s’agit d’un élément faible car il repose sur un élément du souvenir comme un mot de passe ou un instrument de musique préféré. 2. « Ce que je possède », est un élément matériel, il s’agit d’un élément fort car il fait appel à une référence comme une carte d'identité ou une carte à puce avec un certificat. 3. « Ce que je montre », est un élément corporel, il s’agit d’un élément fort car il fait appel à une référence physique comme une empreinte digitale, vocale, gestuelle, biométrique. 4. « Ce que je fais », est une connaissance sur les habitudes comportementales comme un geste habituel ou une signature, est un élément fort. En outre, la combinaison de plusieurs de ces facteurs élève de façon importante leur complexité en introduisant, par ce biais, un point dur face à des attaques de vol d'identité. b-) Le processus d’authentification L’authentification permet de vérifier l’identité d’une personne, à l’aide d’un mot de passe qui n’est connu que de l’utilisateur. Nous allons maintenant voir plus en détails ce processus d’authentification. IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 4
  5. 5. · Contrôle d’accès Le contrôle d'accès est la base pour le maintien de la confidentialité. Lors de cette opération, le client (1) contacte le serveur qui lui retourne une réponse appelée défi (2) en ce sens que le client doit prouver son identité en relevant ce défi (3) ; le serveur vérifie et accepte, ou non, l'accès (4) ; le client reçoit alors l'information recherchée (5). · Intégrité L'intégrité est le second volet développé dans les modèles de contrôle des flux. De nombreuses attaques visent la « captation des identifiants ». Ces identifiants sont des éléments précieux qui constituent une condition clé en vue de la pénétration d'un système. Pour cette raison, les échanges 1, 2, 3 et 5 du schéma ci-dessus peuvent être chiffrés lors des opérations d'authentification afin d’élever le niveau de protection jusqu'à une plus grande robustesse. Pour optimiser la phase de distribution et de vérification des identifiants, et éviter les attaques fondées sur une usurpation d'identité, un protocole d'identification et d'authentification devra respecter plusieurs propriétés : · La non-répudiation, proche de l'imputabilité, assure que la source qui émet les données ne peut pas contester leur émission ; elle doit être identifiée et identifiable sans réserves. · La non-réutilisation de l'objet, garantit que les ressources telles que la mémoire centrale ou les zones de stockage sur disque peuvent être réutilisées en préservant la sécurité. · L'audit est la capacité à collecter des informations sur l'utilisation des ressources pour superviser ou adresser une facture à un utilisateur suivant sa consommation. IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 5
  6. 6. · L’alarme garantit que les relations spécifiques entre les différentes données sont maintenues et remontées sans être altérées. c-) La gestion des identités La gestion des identités est un processus clé de la sécurité de l`entreprise. Elle permet de regrouper l'ensemble des prérogatives d'un collaborateur sur le système d'information. L’ensemble du processus informatisé (messagerie, gestion des ressources humaines, affectations d'équipements informatiques pour les collaborateurs) sont regroupés en un point afin d'affecter des autorisations. La gestion des identités permet également de mettre la gestion des collaborateurs sous la direction des ressources humaines alors que souvent elle se trouve encore sous la responsabilité de la direction informatique. Afin de regrouper l'ensemble des utilisateurs d'une même entité, une base de données commune est constituée au sein de laquelle chaque utilisateur sera vu comme un objet. Afin de classer chacun d'entre eux, on utilise un annuaire. L'annuaire suit une organisation hiérarchique afin de s'adapter aux multiples formes de l'organisation de l'entreprise. La norme la plus déployée est la norme X.500 qui permet de définir une structure hiérarchique de l'annuaire. IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 6
  7. 7. d-)Pourquoi d’identifier et s’authentifier ? Pour protéger les données sensibles qui peuvent être d’ordre privées (Facebook, Twitter, …), les données bancaires et les données d’entreprise. Nous allons maintenant aborder les risques liés à l’authentification et à l’identification. II. Exemples de protocoles d’authentification Chaque protocole d’authentification possède sa propre manière d’authentifier un utilisateur ou une machine. Ils utilisent différents algorithmes, différentes techniques. Cependant, le principe de fonctionnement reste le même. Il est à base de clé. Nous allons voir dans ce qui suit quelques exemples de protocoles d’authentification et leur fonctionnement. a) SSL Secure Sockets Layer (SSL) est un protocole de sécurisation conçu pour les échanges sur internet. Il a été développé à l’origine par Netscape. L’IETF s’est chargé de poursuivre son développement en le rebaptisant Transport Layer Security (TLS). Pour désigner indifféremment SSL ou TLS on parle de SSL/TLS. Le mode de fonctionnement de SSL (ou TLS) est un mode client-serveur. Il permet de remplir les objectifs de sécurité suivants : · l'authentification du serveur ; · la confidentialité des données échangées; · l'intégrité des données échangées ; · de manière optionnelle, l'authentification du client (mais dans la réalité celle-ci est souvent assurée par le serveur). Ce protocole est très souvent utilisé. Ce qui facilite sa mise en œuvre est le fait que Le protocole est très largement utilisé, sa mise en œuvre est facilitée par le fait que les protocoles de la couche application, comme HTTP, n'ont pas à être modifiés IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 7
  8. 8. intégralement pour utiliser une connexion sécurisée, mais uniquement implémentés au-dessus de SSL/TLS, ce qui pour HTTP a donné le protocoleHTTPS. Un projet spécial de l'IETF a donné naissance au TLS et à son équivalent en mode UDP, leDTLS. Depuis qu'il est repris par l'IETF, le protocole TLS a connu trois versions, TLS v1.0 en 1999, TLS v1.1 en 2006 et TLS v1.2 en 2008. Un premier brouillon de TLS v1.3 est sorti en 2014. b) NTLM NTLM (NT Lan Manager) est un protocole d'identification pris en charge par le « NTLMSSP » qui est un fournisseur de support de sécurité NT LM. Il est utilisé dans diverses implémentations des protocoles réseau Microsoft. Non seulement il est utilisé pour une authentification et une négociation sécurisé, NTLM est aussi utilisé dans de nombreux systèmes de Microsoft comme un mécanisme d’authentification unique (single sign-on). c) Kerberos Kerberos est un protocole d'authentification réseau qui se base sur un mécanisme de clés secrètes (également appelé chiffrement symétrique) et de tickets au lieu de mots de passe en clair, dans le but d’éviter ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs. Ce protocole a été créé au Massachusetts Institute of Technology et il porte le nom grec de Cerbère, gardien des Enfers. Kerberos a d'abord été mis en œuvre sur des systèmes Unix. d) Central authentification Services (CAS) Le Central Authentication Service (CAS) est un protocole d'authentification conçu uniquement pour le web. Il a été développé par Shawn Bayern de l'Université Yale. Ce logiciel est très utilisé dans plusieurs universités et organismes dans le monde. CAS est un système d’authentification unique : on s’authentifie sur un site Web et on est alors authentifié sur tous les sites Web qui utilisent le même serveur CAS. Il évite de s'authentifier à chaque fois qu'on accède à une application grâce à un système de ticket. IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 8
  9. 9. e) 802.1x 802.1X est un standard lié à la sécurité des réseaux informatiques. Il a été mis au point en 2001 par l'IEEE. Son rôle est de contrôler l’accès aux équipements d’infrastructure réseau et donc de relayer les informations liées aux dispositifs d’identification. Le déploiement de l'IEEE 802.1X offre une couche de sécurité pour l'utilisation des réseaux câblés et sans fil, En s'appuyant sur le protocole EAP pour le transport des informations d'identification en mode client/serveur, et sur un serveur d'authentification (tel que RADIUS, TACACS, CAS, etc.) Il est possible de contrôler l’accès a chacun des ports (PAE) des équipement réseau actif (commutateur réseau ou borne Wi-Fi, à condition que cet équipement soit compatible avec la norme IEEE.1X, Indépendamment du type de connexion, chaque port se comporte alors comme une bascule à deux états : un état contrôlé en cas de succès d'identification et un état non contrôlé. Nous allons maintenant aborder les risques liés à l’authentification et à l’identification. III-) Risques a- Les causes du hackage Nos mots de passe servent donc à conserver, protéger nos données personnelles et nos données d’entreprises. Il est donc primordial de protéger nos données, cependant, chaque jour, des données sont piratées. La question qui se pose est donc à cause de quoi les mots de passe sont-ils craqués et quelles méthodes utilisent les hackers pour voler nos identifiants et mots de passe. Nous allons donc voir que les principales causes du vol de nos données sont la divulgation des mots de passes, les mots de passe qui sont dit “trop faibles”, les keyloggers, les cookies, les virus informatique, le réseau Wifi et enfin le phishing. IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 9
  10. 10. $ La première cause de hackage des mots de passe est due aux mots de passe dits “faibles”, c’est-à-dire qu’ils sont classiques, trop simples et donc faciles à deviner. Voici le top 10 des mots de passe dit “faibles” les plus utilisés : - 123456 - 123456789 - Password - 101 - 12345678 - 12345 - Password1 - Qwerty - 1234 - 111111 ● Nous allons vous présenter les méthodes utilisée pour hacker un compte utilisateur. Une méthode utilisée par les hackers pour voler des identifiants et des mots de passe est le keylogger. Un keylogger est un  logiciel espion (ou un  périphérique)  qui espionne électroniquement l'utilisateur d'un ordinateur. Le hacker viole par conséquent la vie privée de celui qu’il espionne. Par exemple, lorsque vous taper un mot de passe, le hacker, grâce au keylogger, va enregistrer votre saisie et donc connaitre votre mot de passe. Le but de cet outil est varié, mais peut avoir de graves conséquences, comme par exemple le vol de données bancaire. ● Une autre méthode utilisée par les hackers pour voler des données sensibles et le cookie. Un cookie est l'équivalent d'un petit fichier texte stocké sur le navigateur de l'internaute. Les cookies existent depuis environ une vingtaines d’années et permettent aux développeurs de sites internet de conserver les données utilisateur, afin de faciliter leur navigation sur le web. Par exemple, lorsqu’un utilisateur se connecte pour la première fois sur un site web, il a la possiblité d’enregistrer ses identifiants et mots de passe afin qu’il n’ai pas besoin de les rentrer à chaque fois qu’il revient sur le site. Cette possibilité d’enregistrer est possible grâce aux cookies. Cependant, les cookies sont plus ou moins controversés car ils contiennent des informations personnelles, comme les identifiants et les mots de passes, pouvant potentiellement être exploitées par des personnes malveillantes, telles que les hackers. Voici une petite citation qui résume bien l’utilisation malveillante des cookies: « Cookie : Anciennement petit gâteau sucré, qu’on acceptait avec plaisir. Aujourd’hui : petit fichier informatique drôlement salé, qu’il faut refuser avec véhémence. » - Luc Fayard ● Une autre technique consiste à utiliser un virus. Un virus se présente sous la forme d’un programme malveillant, qui est envoyé sur votre ordinateur. Il peut se trouver sous la forme d'une pièce jointe dans un e-mail qui s'installera une fois ce IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 10
  11. 11. fichier enregistré, dans un lien de téléchargment, sur une clé USB... Ce  virus pourra conserver, enregistrer des données de votre ordinateur sans que vous le sachiez et sans votre accord, par exemple des informations bancaires, des mots de passe qui protègent différents comptes, des données personnelles, des données d’entreprise. ● Une autre méthode utilisée par les pirates informatiques est celui des réseaux Wi- Fi de lieux publics. La méthode consiste à infiltrer le réseau Wifi pour accéder à des comptes privés. Par exemple, le réseau Wi-Fi d'un bar, d’un restaurant ou d'un magasin ne possède pas la même sécurité qu'un réseau privé. Il est donc plus simple pour les pirates de subtiliser les informations sensibles des personnes qui se connectent à ces réseaux publics.. ● Une dernière méthode que nous allons voir qui est utilisée par les hackers pour le vol de données est le hameçonnage,  appelé également phishing  ou  filoutage. C’  est une technique utilisée par des fraudeurs et hackers pour obtenir des données personnelles dans le but d’usurper l'identité de la personne hackée. La technique consiste à faire croire à la victime qu'elle s'adresse à une entreprise, une personne de confiance — banque, administration— afin de lui soutirer des renseignements personnels, tels que ses mots de passe, son numéro de carte de crédit, sa date de naissance.... Cette attaque peut se faire par e-mail, par des sites web falsifiés et encore d’autres interfaces. b- Les conséquences du hackage Le hackage a un impact très important sur différents domaines, que ce soit bancaire, vie privée ou entreprises. Les conséquences peuvent être très graves et avoir beaucoup d’ampleur. Nous allons donc voir quels sont les risques liés à l’authentification et à l’identification et voir quelques exemples concrets, et voir que le piratage de comptes ou le vol d’identifiant et de mot de passe est courant mais pas anodin. Voici quelques chiffres : ● Le 12 octobre 2011, 93.000 comptes Sony ont été hackés L’entreprise SONY n’en est pas a sa première attaque de piratage et vol d’identifiant et de mots de passe. Cette fois-ci, près de 93 000 comptes ont été piratés dont 60 000 comptes PSN et 33 000 comptes “Sony Online Entertainment”. L’entreprise a affirmé que les cartes de crédits associées aux comptes victime de phishing n’ont pas été menacées. ● Le 07 mai 2012, plus de 55.000 comptes Twitter ont été hackés 55.000 comptes utilisateurs de Twitter ont été piratés et postés sur le site de partage de fichiers Pastebin.com, notamment les logins, dont les adresses email des utilisateurs, et IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 11
  12. 12. les mots de passe. Les mots de passe étaient apparemment stockés en “clair”. L’entreprise Twitter a réinitialisé tous les mots de passe dévoilés. ● L06 juin 2012, 6,5 millions de comptes LinkedIn ont été piratés 6.5 millions de mots de passe ont été piratés par un hacker, sur les 150 millions d'utilisateurs de LinkedIn. Le pirate a profité d'une faille de sécurité pouraccéder à tous les comptes du réseau LinkedIn, dont les mots de passe piratés ont été cryptés. ● 20 juin 2012 - 50GO de données bancaires hackées Selon ZDNet ou l'Express.be, par exemple, l’hacktiviste « Reckz0r » prétend posséder 50 Go de données bancaires obtenus depuis les sites Internet de 79 banques américaines et mondiales. Une partie de ces données ont été mises en ligne sur le site Pastebin. ● Le 12 juillet 2012, un groupe de hackers pirate 453.000 comptes Yahoo! Affirmant vouloir rendre service à l'entreprise, des hackers ont récupéré et diffusé sur Internet les mots de passe de milliers d'utilisateurs Yahoo!, qui apparemment n’étaient pas cryptés, sur un fichier de 18 Mo. En effet, plus de 453.000 identifiants et mots de passe d'utilisateurs ont circulé sur Internet. Les mots de passe étaient apparement reliés à plusieurs autres comptes et mail, donc d’autres adresses e-mail, dont des adresses yahoo.com, gmail.com et aol.com. ● Le 10 septembre 2012, 11.000 comptes du jeu Guild Wars 2 ont été hackés 11074 comptes de joueurs ont été détournés et recensés par le site ArenaNet. Les pirates ont récupéré les identifiants et mots de passe grâce à des malwares, en exploitant des failles de sécurité sur plusieurs sites internet,dont un site de fan dédié au jeu. ● Le 05 octobre 2012, le nom, le prénom et leTéléphone de tous les comptes FaceBook ont été hackés Une faille du système de recherche de Facebook a permis à n’importe quelle personne de récolter automatiquement les noms, prénoms et numéros de téléphones associés aux comptes Facebook. ● Le 01 février 2013, 250.000 comptes Twitter ont été piratés De même que le 07 mai 2012, des compte Twitter ont été à nouveau piratés. Il a été recommandé de changer immédiatement tous les mots de passe. IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 12
  13. 13. ● Le 22 juillet 2013, 250.000 comptes Twitter piratés ! Encore une fois, Twitter a été victime de vol de comptes… Aprèsinvestigations en interne, il paraitrait qu'un hackeur ait réussi à obtenir les accès sur un compte email d'un des administrateurs système de Twitter, ce qui leur a permis d’obtenir l'accès sur le VPN interne d’autres employés. Puis grâce à cet accès VPN, le hacker a fini par compromettre les accès de l'un des administrateurs système qui s'occupe du backoffice interne. Après tous ces exemples, nous pouvons voir que le vol de comptes n’est pas un phénomène ponctuel. Cela peut arriver à n’importe qui, n’importe quand et il est important de protéger ses comptes. En effet, d’après une étude réalisée par Deloitte, 90% des mots de passe peuvent être piratés. Il est important de protéger ses identifiants et mots de passe et il existe des solutions pour pouvoir protéger ses informations. VI-) Solutions a-) Les solutions Les solutions consistent : ● À éviter la saisie préenregistrée ● À avoir des mots de passe avec au moins 8 caractères, des minuscules, des majuscules, des chiffres, des caractères spéciaux. ● À renouveler régulièrement ses mots de passe ● À utiliser un gestionnaire de mots de passe comme KeyPass, Dashlane, LastPass, 1Password ● L’utilisation de l’authentification en 2 étapes (2FA). Quelle attitude adopter face à ce genre de comportement ? Il existe un certain nombre de conseils à suivre et à adopter pour protéger plus efficacement son ordinateur et son compte, du simple repérage à l'outil informatique. 
 Repérer les attaques
 Dans le cadre du phishing, plusieurs indices permettent de repérer des e-mails dangereux ou des sites fictifs : la plupart de ces messages contiennent par exemple des fautes d'orthographe ou des erreurs sur le logo ; sur le site, le nom de domaine comporte également des irrégularités. Il se rapproche du nom de domaine réel, mais peut être différent d'un caractère. Surtout, retenez qu'en règle générale, les établissements publics ou bancaires ne vous demanderont jamais de renseigner des données personnelles via un e-mail. L'objet renseigné dans ces messages est également un bon indice de tentative frauduleuse ; ne vous laissez pas avoir par des intitulés vous faisant croire par exemple qu'il y a un problème urgent sur votre compte. 
 Antivirus et logiciels de protection
 IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 13
  14. 14. Pour naviguer en toute sécurité sur Internet sans faire courir de risques à votre ordinateur, il est fortement conseillé d'installer un antivirus, ou logiciel de protection. Celui-ci constituera un rempart contre les virus qui pourraient tenter d'infiltrer votre ordinateur, et pourront signaler ou directement supprimer les programmes malveillants. Généralement, ces logiciels proposent de scanner régulièrement votre ordinateur à la recherche de possibles menaces, qu'ils suppriment ensuite. 
 Attention aux mots de passe
 Un conseil très simple qui permet de renforcer la sécurité de ses comptes est de faire un effort sur les mots de passe ; ces derniers doivent être assez complexes pour éviter d'être trouvés ou piratés facilement par des utilisateurs malveillants. Il est fortement déconseillé d'utiliser des informations personnelles comme mot de passe (nom de famille, film préféré, date d'anniversaire des enfants...). Ces informations sont facilement récupérables, notamment sur les réseaux sociaux. À éviter également, les mots de passe basiques comme « 12345 », très faciles à trouver. Dans la mesure du possible, il est préférable d'utiliser un mot de passe différent pour chaque compte, assez long et imprévisible, avec un mélange de différents caractères (lettres, chiffres, signes spéciaux s'ils sont permis). Dans tous les cas, mot de passe compliqué ou non, évitez de vous connecter sur votre compte bancaire, ou autre compte sensible, via un réseau Wi-Fi public. b-) Le protocole 3-D Secure 3-D Secure est un protocole sécurisé de paiement sur Internet. Déployé sous les appellations commerciales Verified By Visa et MasterCard SecureCode, 3-D Secure a été développé par Visa et Mastercard pour permettre aux marchands de limiter les risques de fraude sur Internet, liés aux tentatives d’usurpation d’identité. Il consiste à s’assurer, lors de chaque paiement en ligne, que la carte est utilisée par son véritable titulaire. Dans le cas où, à la fois le commerçant et la banque du porteur de la carte sont équipés, une étape supplémentaire a lieu au moment du paiement. En plus du numéro de carte bancaire, de la date d'expiration de la carte et des trois chiffres du code de sécurité (imprimés au dos de la carte), l’internaute doit saisir un mot de passe, tel que sa date de naissance (authentification simple) ou un code dynamique à usage unique (authentification forte). IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 14
  15. 15. IV-) L’authentification avancée (2FA) a-) Qu’est ce que l’authentification avancée ? Malgré toutes les précautions que l’on peut prendre pour sécuriser les protocoles d’authentification, des pirates ont toujours la possibilité de dérober les identifiants, aussi complexes soient-ils, nécessaires à l’identification. Pour rendre la tâche plus difficile aux pirates, l’authentification avancée (2FA: Two Form Access) s’est largement répandue ces dernières années et il est aujourd’hui possible de l’utiliser sur la plupart des plateformes majeures (Google, Facebook…). Le processus d’authentification avancée est une méthode de confirmation du type identification multi-facteurs utilisant la combinaison de deux élements différents. Ces élements peuvent être êtres connus de l’utilisateur, quelque chose que l’utilisateur possède ou quelque chose dont il ne peut pas être séparé. Ces élements peuvent-être: $ Un élément physique en possésion de l’utilisateur, comme une clef USB avec un token secret, une carte bancaire, une clef… ; $ Une secret possédé par l’utilisateur, comme un mot de passe, un PIN… ; $ Un caractère physique de l’utilisateur (biométrique) comme une empreinte digitale, une empreinte rétinienne, sa voix, ou même sa vitesse d’écriture au clavier... L’authentification avancée est basé sur l’hypothèse qu’un utilisateur non-autorisé n’est pas susceptible de présenter tous les facteurs requis pour accéder aux données. Si lors d’une tentative d’authentification au moins un des composants est manquant, l’identité de l’utilisateur n’est pas jugée suffisement certaine pour lui donner accès aux données. IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 15
  16. 16. b-) Contraintes de l’authentification avancée L’inconvénient principal de l’authentification avancée avec un objet physique est que l’utilisateur doit l’avoir sur lui tout le temps. Si cet objet n’est pas en possésion de l’utilisateur, il ne pourra pas s’authentifier même en cas d’urgence. De plus, si l’utilisateur perd ou se fait voler cet objet, n’importe qui en possession de l’objet a les mêmes chances d’accéder aux données que si il n’y avait pas d’authentification avancée. Il y a également des problèmes financiers engendrés par la perte, la déterioration et les dysfonctionnements de ces éléments physiques c-) La double authentification grâce aux smartphones La double authentification par mobile a été développée pour réduire les contraintes liés aux éléments physiques de l’authentification multi-facteurs. En effet, les smartphones sont aujourd’hui totalement intégrés dans nos vies et il est rare que l’on s’en sépare, la contrainte de l’oubli ou de la perte est largement réduite. De plus, en cas de vol les données du smartphone sont souvent protégées par un mot de passe. En cas d’un nombre de saisies incorrectes du mot de passe pour accéder au smartphone trop grand, le système peut se bloquer automatiquement, ajoutant ainsi une sécurité. La double authentication par mobile a aussi l’avantage d’être “user-friendly”, c’est à dire qu’elle se configure très simplement et est facile à prendre en main pour tous les utilisateurs. La double authentification par mobile peut s’effectuer de plusieurs manières: $ Un code de vérification valable pendant un intervalle de temps limité (quelques minutes) peut-être envoyé par SMS à l’utilisateur au moment de l’authentification; $ Un application spéciale peut générer un token dynamique constitué de chiffres, généralement valable moins de deux minutes; $ Un appel où le code de vérification est dicté peut même être émis vers l’utilisateur, valable quelques minutes; $ Les systèmes les plus avancés comme celui de Google permettent à l’utilisateur d’avoir la possibilité d’avoir des codes de double authentication en permanence. Ces codes à usage unique, et valable sur des périodes pouvant aller jusqu’à plusieurs mois, sont générés à la demande de l’utilisateur qui peut craindre de ne plus disposer de son téléphone mobile ou d’internet à un instant où il aurait besoin d’accéder à ses données. Mais même la double authentification par mobile n’est pas infaillible et possède des inconvénients. $ Tout d’abord, même si l’utilisateur est plus susceptible d’être avec son téléphone mobile, il est possible qu’il l’oublie, ne dispose pas d’internet ou que le smartphone n’ait plus de batterie; IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 16
  17. 17. $ Les utilisateurs doivent pour la plupart utiliser un numéro de téléphone mobile personnel, ce qui réduit la confidentialité et peut exposer à du SPAM; $ Les messages textes ou les appels ne sont pas effectués ou reçus instantanément, ce qui augmente le délai de validité du token et diminue par conséquent la sécurité de l’information; $ Les smartphones sont utilisés tant pour stocker nos informations personnelles, nos e-mails, nos informations et applications de double-vérification. Si le smartphone tombe entre de mauvaises mains, le pirate a alors accès à toutes les informations et peut facilement contourner toutes les procédures de d’authentification avancée. $ Il y a enfin un problème de sécurité qu’il incombe à l’opérateur de neutraliser: les problèmes de réseau. En effet, il est possible d’intercepter des SMS, et le token, de vérification peut-être volé. La carte SIM peut également être clonée. Cet aspect est donc non-maitrisable par l’utilisateur et doit être géré par les opérateurs. Malgré tout ces inconvénients, l’authentification avancée par mobile reste aujourd’hui la méthode ayant le meilleur rapport d’expérience/sécurité. C’est à dire que c’est une méthode très sûre accessible à tous, simplement. Les avancées sont très rapides, et des sociétés sont déjà en train de travailler sur des systèmes utilisant de plus en plus de capacités des smartphones comme le GPS, le microphone, ou le gyroscope. On peut imaginer que dans peu de temps, notre smartphone détecte automatiquement que le bruit ambiant et la localisation du téléphone devront coincider avec ceux de l’ordinateur sur lequel l’utilisateur essaye de s’identifier. c-) Exemples de systèmes utilisant des protocoles d’authentification avancée Un exemple connu de tous est celui des distributeur bancaires: l’utilisateur doit à la fois posséder sa carte de crédit et connaître son code secret (PIN). L’accès aux comptes bancaires en lignes professionnels est généralement soumise à l’authentification avancée: les banques fournissent généralement des boitiers générant dynamiquement des tokens. Aujourd’hui, Google propose d’utiliser l’authentification avancée de plusieurs manières: $ Grâce à l’application Google Authenticator qui génère toutes les minutes des token dynamiques permettant de compléter l’authentification par mot de passe sur les machines non-reconnues; $ Grâce à un système d’appel et de SMS classique; IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 17
  18. 18. $ Grâce à la génération de tokens complexes à usage unique valables plusieurs mois. Facebook utilise également ce protocole et il est possible de recevoir des SMS pour s’authentifier en plus de son mot de passe. V-) Une alternative à l’authentification classique la biométrie a-) Qu’est ce que la biométrie ? La biométrie est la science qui permet d’identifier un individu de façon automatique en se basant sur des caractéristiques physique (voix, iris , empreintes digitales, ADN…) ou comportementales (Signature, démarche etc… ). Elle permet de vérifier avec certitude que l’utilisateur est bien la personne qui s’authentifie. Cette technologie est donc en plein essor notamment pour ce qui est des titres d’identités. En plus d’apporter une sécurité supplémentaire, cette technologie d’authentification est un réel gain de temps puisqu’elle permet de s’affranchir des mots de passe et donc du temps perdu à retrouver les mots de passe oubliés au sein des entreprises par exemple. De plus, afin de renforcer la sécurité des systèmes d’authentification biométrique, il est possible de d’associer simultanément plusieurs techniques (par exemple, on peut procéder à une authentification digitale et de l’iris). b-) Principe de fonctionnement Il existe différentes techniques de systèmes d’authentification biométrique mais toutes ces techniques ont globalement le même principe de fonctionnement. 1. Un élément physique de référence de l’utilisateur est tout d’abord capturé. 2. Cette information est traité, analysée et les caractéristiques de cette donnée sont stockées dans un fichier appelée “signature” ou “gabarit”. Par la suite, ce fichier est mis en mémoire sur le support (sécurisé). IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 18
  19. 19. Remarque : Si les éléments physiques ne sont pas stockées tels quels, c’est dans un soucis d’efficacité. La comparaison de deux fichiers sources serait beaucoup plus longue, de plus, cela permet un gain de stockage non négligeable. En effet, l’on passe d’un fichier image de 100 000 octet à environ 500 pour un fichier “gabarit”. Lors d’une requête de vérification, les étapes 1 et 2 sont répétés sur le nouvel échantillon, et à cela se rajoute : Le nouveau fichier signature subit un ensemble de procédure de comparaison (propre au système biométrique lui-même) avec l’élément de référence afin d’en déterminer un taux de similitude et ainsi conclure et confirmer ou infirmer l’identification. Lorsqu’on compare deux fichiers gabarit, le taux de similitude n’est jamais à 100%, du fait que deux images ne sont jamais identiques. Cependant, certaines technologies permettent d’atteindre un plus grand taux de similitude que d’autres. Tous ces paramètres sont donc à prendre en compte lors du choix d’une technologie. C-) Techniques d’authentification Nous verrons que les techniques d’authentification biométrique sont multiples. Et ces différentes alternatives permettent de choisir une technologie adaptée à la situation, au contexte et selon les coûts. Nous allons maintenant nous attarder un peu plus sur les différentes techniques de mise en place: $ les empreintes digitales Cette technique est la plus ancienne, elle a été commercialisée dès les années 1960, notamment pour les enquêtes criminelles. Le principe est assez simple puisque l’image obtenue est sous forme de lignes, le traitement peut donc se faire sur des images binaires. L’apparition de capteurs bon marchés a démocratisé l’utilisation de cette technique que l’on retrouve par exemple aujourd’hui dans la plus part des smartphones. IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 19
  20. 20. Les avantages de ce procédé sont multiples, sa technologie abordable et efficace en fait la technologie biométrique la plus répandu à travers le monde. Cependant il existe beaucoup de vulnérabilité. En effet il est facile de nos jours de recréer à partir de trace laissée sur un verre par exemple, ou même d’une image d’assez bonne qualité, des faux doigts qui permettent de fausser toute identification. Deplus, une blessure quelconque aux doigts nullifie tout résultat. $ Reconnaissance faciale Cette technique consiste à modéliser à partir d’une image, un résultat numérique que l’on peut donc, par la suite, comparer. Afin de permettre au système de s’adapter, plusieurs captures peuvent être effecutées afin de pouvoir toujours identifier l’individu même avec une luminosité changeante, du maquillage, ou un changement mineur sur cette personne. La précision du logiciel peut alors grandement varier, et les solutions peuvent aller de la simple comparaison d’image à l’utilisation de modelisation 3D avec des algorithmes plus ou moins complexes. L’un des avantages de ce procédé, considéré comme peu invasif en comparaison avec les autres procédés, la vitesse d’analyse (de l’ordre de la dizaine de secondes) et la facilité de mise en oeuvre. Une caméra et un logiciel suffisent. Il existe cependant des procédés afin de contourner cette identification. Présenter une simple image devant la caméra, voir même faire simuler une caméra virtuelle en passant une vidéo enregistré à l’avance. Heureusement, des analyses plus poussés pour détecter les photos (clignement des yeux) et les vidéos ( demande d’une posture ou attitude particulière ) sont possibles. $ Authentification par la rétine Chaque personne possède un arrangement unique aux niveaux des vaisseaux sanguins de sa rétine. D’un risque de confusion de l’ordre de 1 sur 1 millions, cette technique fut largement utilisée par l’armée américaine, et ce dès les années 1970. Afin d’avoir une image claire et précise, il est nécéssaire que l’utilisateur présente son oeil nu proche de la caméra spécialisée. Cette technique présente l’avantage d’un risque d’erreur quasi nulle. Mais sa mise en oeuvre est couteuse, et désagréable pour l’utilisateur. Autre détail mineur, des erreurs peuvent survenir due à un taux d’alcool, au diabète, ou tout autre évènement affectant le réseau veineux. $ Authentification par l’iris La forme, la taille et la couleur de l’iris sont également unique pour chaque individu. De plus, il ne varie pas au cours du temps. il s’agit donc d’un élément stable à analyser. C’est pourquoi de nombreuses applications telles que IrisScan ont été développées. Cette technique pourrait être utiliser dans les distributeurs de billets et même pour les paiements sur internet dans un futur proche. IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 20
  21. 21. Avec des avantages similaires à ceux de authentification par la rétine, elle présente comme désaventage celui d’être relativement sensible à la luminosité, à la fatigue, etc. $ Authentification par la main La biométrie par la forme de la main est une technologie reposant sur la géométrie de la main. Souvent avec une image en trois dimension, la caméra ne prends généralement pas en compte la pigmentation. Ce système, généralement utiliser lors du contrôle d’accès physique ou pour le pointage horaire, est relativement simple et bon marché. Elle présente un gain de temps d’identification importante par rapport au mot de passe, et il n’y a pas de badge que l’on peut oublier. Elle est communément aisément acceptée par les utilisateurs qui ne la considèrent pas comme trop intrusive d’un point de vue personnel. Evidemment, la précision n’est pas sufissante lors que l’on souhaite distinguer des personnes morphologiquement proches comme des jumeaux, et le lecteur de contour de main est relativement volumineux, mais elle répond à une certaine demande. $ Authentification comportementale De manière générale, l’idée n’est plus d’identifier un individu de par une caractéristique physique, mais par l’unicité de la combinaisons des actions qui définissent son auteur. Il y a trois grandes catégorie d’authentification comportementale : Le keystroke-scan : Qui consiste à identifier les caractéristiques d’écriture dactylographique d’un individu. En effet, chaque individu à une vitesse de frappe entre chaque lettre en fonction de leur contexte différente. Le voice-scan : Qui consiste à identifier une voix de part son timbre et ses intonations, mais aussi l’élocution et tout autre élement qui permettent d’identifier une voix. Le signature-scan : Qui consiste à identifier toutes les caractéristiques d’écritures manuscrits d’un individu, la vitesse et l’accélération d’écriture, les pressions exercées, les formes et etc. Cependant, ses authentications sont encore au stade de l’expérimentation et il existe peu de modèle prototype de nos jours. $ Autre techniques d’authentification D’autres techniques sont aujourd’hui à l’étude telles que des techniques basée sur l’ADN ou les scans biologiques complets. IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 21
  22. 22. D-) Exemples biométriques A l’heure actuelle, le groupe Samsung propose déjà des reconnaissance des empreintes pour leurs smartphones. Mais le groupe a aussi récément poser des brevets afin de permettre une authentification avec d’identifier le réseau veineux de la main d’un utilisateur, pour les montres connectés, ainsi que la forme des oreilles pour certains appels. Ces possibilités d’identifications pourrait intervenir dans le cas des interactions avec le paiement mobile, le déblocage de serrure intelligente ou tout autre scénario possible dans un avenir pas si lointain. Et si Visa et MasterCard ont déjà inauguré une passerelle avec Samsung pour la tokenisation , ils envisagent aussi la biométrie en s’associant, par exemple pour Visa avec Morpho, filiale de safran, et leurs système de capture MorphoWave (identifiant 4 empreintes digitales en moins d’une seconde), ou Wisekey pour MasterCard. Les principaux utilisateurs de la reconnaissance rétinienne sont les institutions à aux risques, comme sur les sites nucléaires militaires ou bien médicales. Le FBI et la CIA ont par exemple choisi ce systeme d’identification. Un exemple d’utilisation de la biométrie par la main, est l’aéroport de san Francisco. Ces employés utilise en effet ce systeme afin d’accèder aux zones réservées. Le keystroke-scan fut évoqué une première fois dans un épisode de numb3rs afin de distinguer deux utilisateurs d’ordinateurs. Quant à la signature-scan, la société Wondernet a mis au point une première tablette graphique. IDENTIFICATION ET AUTHENTIFICATION - GROUPE 13 22

×