INCONTOURNABLE. Pour Sylvain Maret, CTO chez e-Xpert Solutions SA, l'authentification forte s'impose parmi les principes de base d'une protection optimale de votre identité numérique.

1. l C O M M U N I C AT I O N
Sécurité des systèmes d’information
Authentification forte :
les nouvelles tendances
INCONTOURNABLE. Pour Sylvain Maret, directeur veille techno-
logique e-Xpert Solutions SA, l’authentification forte s’impose
parmi les principes de base d’une protection optimale.
L
a protection des biens est 1. quelque chose que l’on con- du principe que la majorité des
une préoccupation majeu- naît : un mot de passe ou un PIN mots de passe sont «faibles»
re de la société, un souci code; (combinaisons simples du type
que partage tout un chacun. Cer- 2. quelque chose que l’on pos- année de naissance, prénom de
tains s’en inquiètent à titre per- sède : un «token», une carte à son enfant, etc.), les découvrir
sonnel, pour leurs propres biens. puce, etc.; rapidement se révèle très facile.
D’autres, pour des raisons mili- 3. quelque chose que l’on est :
taires ou économiques. A l’ère un attribut biométrique, tel 2) Ecoute du réseau
des nouvelles technologies de qu’une empreinte digitale; La plupart des applications
l’information, les entreprises se 4. quelque chose que l’on fait : comme «telnet», «ftp», «http»,
sentent de plus en plus concer- une action comme la parole ou «ldap», etc., n’ont pas recours
nées – pour des raisons propres une signature manuscrite. au chiffrement («encryption»)
à chacune d’entre elles – par la On parle d’authentification lors du transport d’un mot de
sécurité de leurs systèmes infor- forte dès que deux de ces passe sur le réseau. «Ecouter» le
Sylvain Maret, directeur matiques. Mettre en place une méthodes sont utilisées ensem- trafic et en extraire le mot de
veille technologique e-Xpert véritable politique de sécurité ble. Par exemple une carte à passe devient un jeu d’enfant
Solutions SA devient une obligation. Tout puce avec un PIN code. dès lors qu’on dispose d’un logi-
comme appliquer les principes ciel d’écoute appelé «sniffer»
de base d’une protection opti- Pourquoi cette méthode (littéralement, renifleur).
male que sont l’authentification, plutôt qu’une autre? Il existe un grand nombre de
l’autorisation, l’intégrité, la Le mot de passe est actuelle- «sniffers» dédiés exclusive-
non-répudiation et la confiden- ment le système le plus cou- ment à la capture des mots de
tialité. ramment utilisé pour identifier passe. Un des plus efficaces est
Parmi ces cinq mécanismes, un utilisateur. Malheureuse- «dsniff». Ce type de logiciels est
l’authentification, et plus parti- ment, il n’offre pas le niveau de également capable de capturer
culièrement l’authentification sécurité requis pour assurer la des mots de passe dans un envi-
forte, est, de mon point de vue, protection de biens informa- ronnement réseau commuté. La
la clé de voûte de la sécurité tiques sensibles. Sa principale méthode utilisée dans un tel
informatique. faiblesse réside dans la facilité environnement est celle du
avec laquelle il peut être trouvé, «ARPPoisoning».
L’authentification grâce à différentes techniques
L’authentification est une d’attaques. 3) Ecoute du clavier
procédure qui vise à s’assurer Mis à part l’approche, effi- Imaginons que le trafic sur le
de l’identité d’un individu ou cace, de la manipulation psy- réseau soit chiffré et que l’utili-
d’un système informatique. chologique («social enginee- sateur ait pris soin de choisir un
C’est un préliminaire indispen- ring»), on recense trois grandes mot de passe extrêmement
sable à l’activation du méca- catégories d’attaques informa- «solide». Une méthode d’at-
nisme d’autorisation et, donc, à tiques : taque se révèle malgré tout
la gestion des droits d’accès à un 1) Attaque de «force brute» imparable : l’écoute du clavier
système d’information donné. Il s’agit d’une attaque qui vise à ou «key logger», qui permet de
Les méthodes classiques pour deviner un ou plusieurs mots de «capturer» l’ensemble des
identifier une personne phy- passe en utilisant des diction- touches tapées sur un clavier.
sique sont au nombre de naires ou en testant toutes les Les logiciels utilisés dans ce
quatre : combinaisons possibles. Partant cas sont généralement installés
l 06/02

2. l C O M M U N I C AT I O N
sens, de Microsoft. L’architec-
ture Win2k (avec Kerberos et
PKINIT) supporte en effet, de
manière native, les certificats
stockés sur les cartes à puce. On
peut ainsi imaginer un grand
nombre d’applications gravitant
autour de cette architecture: des
solutions de «Single Sign On»,
la sécurisation d’accès au bâti-
De plus en plus pointue La sécurité prend des formes diversifiées ment, l’accès à des portails
comme empreintes ou cartes à puce. «web based», etc.
En conclusion, il ne fait plus
sur le poste de travail, à l’insu de ficat dispose de plusieurs possi- On Card). Elles offrent par de doute que l’authentification
l’utilisateur. La «compromis- bilités. Une des plus connues est ailleurs un niveau de sécurité forte devient incontournable dès
sion» du système informatique le recours à des cartes à puce très élevé pour les environne- lors qu’il s’agit de sécuriser un
étant le plus souvent effectuée (format carte de crédit ou ments sensibles tels que la système informatique. Quant au
par le biais d’un virus de type «tokens» USB). Ces supports finance, l’industrie, etc. choix de la technologie (cartes à
cheval de Troie. permettent le stockage aussi Utiliser des certificats digi- puce ou «tokens» classiques), il
bien des clés que du certificat taux sur un support physique est dépend beaucoup de l’environ-
Les nouvelles tendances numérique. donc une excellente solution nement et des contraintes
Il existe aujourd’hui un grand Il existe deux grandes pour sécuriser un système d’in- propres à chaque entreprise. l
nombre de solutions d’authenti- familles de supports : les cartes formation. Cette méthode pré-
fication forte basées sur des mémoire et les cartes à proces- sente toutefois un certain Sylvain Maret
«tokens» physiques, comme, seur cryptographique. En nombre de limitations aux-
par exemple, SecurID, Vasco, termes de sécurité, la deuxième quelles il convient d’être atten- Contact : e-Xpert Solutions SA
ActiveCard, etc. Ces technolo- famille est à recommander, dans tif. La principale est la mobilité Route de Pré-Marais 29
gies procurent un haut degré de la mesure où la clé privée est du support. Al’heure actuelle, il 1233 Bernex-Genève
sécurité et ont l’avantage d’être intégrée au support et n’en sort est très difficile d’utiliser une Tél : +41 22 727 05 55
très «mobiles». Elles sont toute- jamais. Les calculs cryptogra- carte à puce dans un cybercafé info@e-xpertsolutions.com
fois dédiées uniquement à l’au- phiques sont en effet réalisés à ou dans un hôtel. Ces supports
thentification. Elles sont en effet l’intérieur de la carte par le pro- offrent par contre un bon retour
conçues sur le principe du secret cesseur. sur investissement lorsqu’ils
partagé et ne sont dès lors pas en Cette méthode garantit une sont utilisés dans un environne- e-Xpert
mesure d’offrir la non-répudia- protection optimale contre les ment maîtrisé.
tion. attaques qui visent à obtenir la Solutions SA
Une des solutions pour com- clé privée. De plus, la carte à A quand les cartes à puce Au bénéfice d’une longue
biner authentification forte et puce peut être protégée par un dans l’entreprise? expérience dans les secteurs
non-répudiation consiste à utili- PIN code. Un des principaux freins à l’uti- financiers et industriels,
ser des certificats digitaux lisation des cartes à puce dans e-Xpert Solutions SA propose
(norme X509). Basés sur les L’avènement l’entreprise est le manque d’ap- à sa clientèle des solutions
«clés en main» dans le do-
algorithmes à clés publiques de la biométrie plications susceptibles de les
maine de la sécurité informa-
(RSA, DSA, etc.), ils sont un La biométrie – par exemple un supporter de manière native. De tique des réseaux et des appli-
excellent moyen d’authentifier lecteur d’empreintes digitales nombreuses solutions sont cations. Des solutions qui
des individus. Ils ouvrent sur- en lieu et place du PIN code des certes disponibles sur le marché, vont de la sécurité d’archi-
tout la voie à d’autres services cartes à puce – ouvre, elle aussi, mais elles demandent générale- tecture – tel le firewall, VPN,
de sécurité, comme la signature des perspectives intéressantes. ment l’ajout de composants IDS, le contrôle de contenu,
de transactions, le chiffrement L’idée est de coupler un lecteur logiciels. Comme, par exemple, l’antivirus – aux solutions plus
de données, la gestion de privi- biométrique et un lecteur de le remplacement de la mire avant-gardistes comme l’au-
thentification forte, la biomé-
lèges ou encore le Single Sign cartes à puce. L’ u t i l i s a t e u r d’authentification (GINA) trie, le Single Sign On, les
On. Reste que pour garantir un s’identifie alors par le biais de sa Microsoft. architectures PKI ou encore la
haut niveau de sécurité, il est pri- carte, ainsi que par un attribut La «démocratisation» des sécurisation des OS.
mordial de se poser la question biométrique. cartes à puce viendra, à mon
du stockage du certificat et, sur- Ces technologies sont actuel-
tout, de sa clé privée. lement disponibles sur le mar-
ché et méritent d’être évaluées.
Sécurisation Elles permettent en effet de stoc-
de la clé privée ker une signature biométrique
L’utilisateur qui souhaite sécu- sur une carte à puce – c’est ce
riser la partie privée d’un certi- qu’on appelle le MOC (Match
06/02 l 45