SlideShare une entreprise Scribd logo
IDENTITE NUMERIQUE




POURQUOI      L’AUTHENTIFICATION FORTE                           ?


RÉDIGÉ LE            21/05/2009
AUTEUR               Sylvain Maret / La Citadelle Electronique


                http://sylvain-maret.blogspot.com/
1.   POURQUOI UNE AUTHENTIFICATION FORTE ?


     La protection des biens et des informations est une préoccupation majeure de la société, un souci
     que partage tout un chacun. Certains s’en inquiètent à titre personnel, pour leurs propres biens.
     D’autres, pour des raisons stratégiques ou économiques.


     A l’ère des nouvelles technologies de l’information, les entreprises et plus particulièrement le
     monde bancaire se sentent de plus en plus concernées – pour des raisons propres à chacune d’entre
     elles – par la sécurité de leurs systèmes informatiques. Mettre en place une véritable politique de
     sécurité devient une obligation. Tout comme appliquer les principes de base d’une protection
     optimale que sont l’authentification, l'autorisation, la confidentialité, la confidentialité, l’intégrité
     et la traçabilité.


     Parmi ces cinq mécanismes, l'authentification forte, est, de mon point de vue, la clé de voûte de la
     sécurité informatique.




     Vous avez dit « authentification forte » ?


     L'authentification est une procédure qui vise à s'assurer de l'identité d'un individu ou d'un système
     informatique. C’est un préliminaire indispensable à l’activation du mécanisme d’autorisation et,
     donc, à la gestion des droits d’accès à un système d’information donné.


     Les méthodes classiques pour identifier une personne physique sont au nombre de trois:

                                                                                                    Page 2 / 13
1. Quelque chose que l'on connaît: un mot de passe ou un PIN code
    2. Quelque chose que l'on possède: un « token », une carte à puce, etc.
    3. Quelque chose que l'on est: un attribut biométrique, tel qu'une empreinte digitale


On parle d'authentification forte dès que deux de ces méthodes sont utilisées ensemble. Par
exemple une carte à puce avec un PIN code ou une carte à puce couplée à un lecteur biométrique.




                                    Authentification forte ? un minimum de 2 facteurs

                                                                   Authentifieur




                                                                Quelque chose
                                                               Que l’on possède


                             Secret                                                 Biométrie

                 PIN Code
                 Password



                        Quelque chose                                              Quelque chose
                        Que l’on connaît                                           Que l’on ou fait

    La citadelle Electronique http://sylvain-maret.blogspot.com/




                                                                                                      Page 3 / 13
Pourquoi cette méthode plutôt qu’une autre?


Le mot de passe est actuellement le système le plus couramment utilisé pour identifier un
utilisateur. Malheureusement, il n'offre pas le niveau de sécurité requis pour assurer la protection
de biens informatiques sensibles. Sa principale faiblesse réside dans la facilité avec laquelle il peut
être trouvé, grâce à différentes techniques d’attaques.


Mis à part l'approche, efficace, de la manipulation psychologique (« social engineering »), on
recense trois grandes catégories d'attaques informatiques:


    •   Attaque de quot;force brutequot;: Il s’agit d’une attaque qui vise à deviner un (ou plusieurs) mot
        de passe en utilisant des dictionnaires ou en testant toutes les combinaisons possibles.
        Partant du principe que la majorité des mots de passe sont « faibles » (combinaisons
        simples du type année de naissance, prénom de son enfant, etc.), les découvrir rapidement
        se révèle très facile.
    •   Ecoute du réseau : La plupart des applications comme quot;telnetquot;, quot;ftpquot;, quot;httpquot;, quot;ldapquot;, etc.,
        n'ont pas recours au chiffrement (encryption) lors du transport d’un mode de passe sur le
        réseau. « Ecouter » le trafic et en extraire le mot de passe devient un jeu d’enfant dès lors
        qu’on dispose d’un logiciel d’écoute appelé « sniffer » (littéralement, renifleur). Il existe
        un grand nombre de « sniffers » dédiés exclusivement à la capture des mots de passe.
    •   Ecoute du clavier: Imaginons que le trafic sur le réseau soit chiffré et que l'utilisateur ait
        pris soin de choisir un mot de passe extrêmement « solide ». Une méthode d’attaque se
        révèle malgré tout imparable : l’écoute du clavier ou « key logger », qui permet de «
        capturer » l’ensemble des touches tapées sur un clavier. Les logiciels utilisés dans ce cas
        sont généralement installés sur le poste de travail, à l'insu de l'utilisateur. La «
        compromission » du système informatique étant le plus souvent effectuée par le biais d'un
        virus de type cheval de Troie.




                                                                                             Page 4 / 13
2.     QUELLE TECHNOLOGIE D’AUTHENTIFICATION FORTE ?


       Il existe aujourd’hui un grand nombre de solutions d'authentification forte sur le marché. On peut
       principalement en distingué trois :


           •   Les technologies de type OTP
           •   La technologie PKI
           •   Les technologies biométriques



2.1.   Technologie de type OTP

       La technologie de type OTP (One Time Password) est actuellement la méthode d’authentification
       forte la plus utilisée par les entreprises. Elle est basée sur un secret partagé unique à chaque
       individu. Intrinsèquement cette méthode peut être utilisée uniquement pour mettre en place un
       mécanisme d’authentification fort. Les OTP ne sont pas capable d’offrir des services tel que la non
       répudiation, la signature et le chiffrement. Par contre cette technologie à l’immense avantage d’être
       très facile à déployer et offre une grande mobilité qui est particulièrement appréciée des utilisateurs
       nomades. Généralement les moyens d’authentification de type OTP sont embarqués sur des
       « Tokens » physiques. Le niveau d’authentification forte est généralement obtenu en combinant un
       « Token » physique et un PIN Code connu par l’utilisateur.



       Quelques exemples de « Tokens » OTP :




                                                                                                    Page 5 / 13
2.2.   Technologie PKI

       La technologie PKI est basée sur un mécanisme fondamentalement différent des OTP. Celui-ci est
       basé sur la cryptographie à clé public ou cryptographie asymétrique. Dans le cadre de
       l’authentification forte, chaque utilisateur possède une paire de clés (Une clé publique et une clé
       privée) ainsi qu’un certificat numérique attestant de l’identité de l’utilisateur. Muni de ces
       informations l’utilisateur est capable de prouver son identité. Afin de monter le niveau de sécurité,
       généralement le certificat numérique et la paire de clés sont stockés sur un support physique tel une
       carte à puce ou un Token USB.
       L’immense avantage de cette technologie réside dans les services de sécurité qu’elle peut amener à
       une entreprise. Ces services sont :


           •   L’authentification forte
           •   La non répudiation
           •   Le chiffrement
           •   La signature numérique


       Par contre la technologie PKI peut poser un problème dans le cas de la mobilité. Généralement
       utilisé avec un Token USB ou une carte à puce, il devient difficile de connecter ces « devices » sur
       des ordinateurs que l’on ne maîtrise pas, tel un Internet Café. Nous appellerons cette
       problématique : la problématique de type « Kiosk ».



       Quelques exemples de « Tokens » PKI :




                                                                                                   Page 6 / 13
Sécurisation de la clé privée


L’entreprise qui souhaite sécuriser la partie privée d’un certificat dispose de plusieurs possibilités.
Une des plus connues est le recours à des cartes à puce (format carte de crédit ou« Tokens » USB).
Ces supports permettent le stockage aussi bien des clés que du certificat numérique.


Il existe deux grandes familles de supports: les cartes mémoire et les cartes à processeur
cryptographique. En termes de sécurité, la deuxième famille est à recommander, dans la mesure où
la clé privée est intégrée au support et n’en sort jamais. Les calculs cryptographiques sont en effet
réalisés à l'intérieur de la carte par le processeur.


Cette méthode garantit une protection optimale contre les attaques qui visent à obtenir la clé
privée. De plus, la carte à puce peut être protégée par un PIN code ou par un lecteur biométrique.


Dans le cadre de la protection par un moyen biométrique le niveau de sécurité est supérieur. Cette
solution est alors capable d’amener une preuve quasi irréfutable de l’identité de l’utilisateur.




           Protection par un PIN Code                                   Protection par la biométrie




                                                                                             Page 7 / 13
2.3.   Les technologies biométriques

       Il existe actuellement un grand nombre de solution biométrique. La majorité des solutions est
       déployée dans le cadre de la sécurisation des bâtiments. Cependant depuis quelques temps, un
       certain nombre de solutions voit le jour pour la sécurisation des environnements IT pour les
       entreprises soucieuse de leur sécurité du système d’information.


       Les technologies sont très diverses tel que :


           •   Reconnaissance des empruntes
           •   Reconnaissance de l’iris
           •   Reconnaissance de la voix
           •   ADN
           •   Reconnaissance des veines
           •   Etc.


       Dans le cadre de l’environnement IT, il est montré que la solution basée sur les empruntes des
       doigts est actuellement la technologie la plus utilisée.
       Ce graphique montre que la technologie Fingerprint est un des meilleurs compromis entre le
       confort et la fiabilité du système.




                                                                                            Page 8 / 13
Le principe de fonctionnement de la biométrie est basé sur la transformation d’un trait physique
d’une personne en une information numérique. Le résultat de cette transformation s’appelle une
« Biometric Pattern ». Une fois cette information capturée et vérifiée, celle-ci doit être stockée
dans un « magasin ». Ce processus s’appelle « l’Enrôlement ».
Une fois le système initialisé, l’utilisateur peut effectuer une procédure de vérification afin de
s’authentifier. Le système biométrique compare la « Biometric Pattern » du magasin à celle de
l’utilisateur. Ci ces deux informations sont identiques alors l’utilisateur est authentifié.




                                                                                         Page 9 / 13
Ce schéma explique le fonctionnement de base de la biométrie :




                                                                 Page 10 / 13
2.4. Niveau de sécurité des solutions Biométriques ?

     De nombreuses étude prouvent aujourd’hui qu’il est possible d’usurpée l’identité d’un utilisateur
     par le biais de plusieurs moyens. Bien évidement il existe à l’heure actuelle un grand nombre de
     produits biométrique offrant plus ou moins de sécurité. Cependant dans le cadre d’un projet IT
     pour une entreprise le coût d’investissement est une composante très importante. Les études
     prouvent que sur ce genre de produits (IT) il est possible de contourner ces systèmes.
     La conclusion de ces rapports est formelle : il n’est pas recommandé d’utiliser la biométrie comme
     facteur unique d’authentification. Par contre la biométrie est un très bon moyen de remplacement
     du PIN Code ou d’un mot de passe.


     Exemple de méthode d’usurpation :




                                                                                             Page 11 / 13
2.4.1. Stockage des « Biometric Pattern »

       Afin de stocker la ou les « Biometric Pattern » il existe principalement deux approches :


           •   Le stockage centralisé
           •   MOC (Match On Card)


       Le stockage centralisé


       Avec un système de stockage centralisé, l’idée est de maintenir une base de données avec les
       « Biometric Pattern » des utilisateurs de l’entreprise. L’avantage de ce système est le coût. Par
       contre ce système présente trois inconvénients principaux. Le premier est la limitation en termes de
       mobilité. En effet, avec ce système il n’est pas possible d’offrir de la mobilité, par exemple dans le
       cas d’un laptop en mode « standalone ».
       Le deuxième inconvénient est le niveau de sécurité car il y a un échange d’information entre les
       postes de travail et la base de données. Celui-ci peut être détourné, usurpé, etc.
       Le dernier inconvénient est le niveau d’acceptante des utilisateurs. Même si il n’est pas possible de
       reconstituer une emprunte à partir de la « Biometric Pattern », beaucoup de personnes sont
       réticente au stockage centralisé des Pattern.




                                                                                                   Page 12 / 13
MOC (Match On Card)


La technologie MOC permet de stocker la ou les « Biometric Pattern » sur un support physique tel
une carte à puces ou un token usb. Avec ce système le stockage des « Biometric Pattern » dans une
base de données devient obsolète. En termes de sécurité ce système est très intéressant. De plus il
offre une grande mobilité car il n’y a plus besoin d’avoir un moyen de communication avec le
composant de stockage des Pattern. L’inconvénient principal de cette technologie est sans aucun
doute son coût.


Ci-joint une explication de la technologie MOC :




                                                                                         Page 13 / 13

Contenu connexe

Tendances

Herd your chickens: Ansible for DB2 configuration management
Herd your chickens: Ansible for DB2 configuration managementHerd your chickens: Ansible for DB2 configuration management
Herd your chickens: Ansible for DB2 configuration management
Frederik Engelen
 
SQL Server Clustering Part1
SQL Server Clustering Part1SQL Server Clustering Part1
SQL Server Clustering Part1
Sql Trainer Kareem
 
Database Consolidation using the Oracle Multitenant Architecture
Database Consolidation using the Oracle Multitenant ArchitectureDatabase Consolidation using the Oracle Multitenant Architecture
Database Consolidation using the Oracle Multitenant Architecture
Pini Dibask
 
Guardium Presentation
Guardium PresentationGuardium Presentation
Guardium Presentation
tsteh
 
Sql server 2019 new features
Sql server 2019 new featuresSql server 2019 new features
Sql server 2019 new features
George Walters
 
The Evolution of SQL Server as a Service - SQL Azure Managed Instance
The Evolution of SQL Server as a Service - SQL Azure Managed InstanceThe Evolution of SQL Server as a Service - SQL Azure Managed Instance
The Evolution of SQL Server as a Service - SQL Azure Managed Instance
Javier Villegas
 
Sql Server Basics
Sql Server BasicsSql Server Basics
Sql Server Basics
rainynovember12
 
NewSQL - The Future of Databases?
NewSQL - The Future of Databases?NewSQL - The Future of Databases?
NewSQL - The Future of Databases?
Elvis Saravia
 
AZ-204 : Implement Azure security
AZ-204 : Implement Azure securityAZ-204 : Implement Azure security
AZ-204 : Implement Azure security
AzureEzy1
 
Hadoop Trends
Hadoop TrendsHadoop Trends
Hadoop Trends
Hortonworks
 
SQL Server AlwaysOn for Dummies SQLSaturday #202 Edition
SQL Server AlwaysOn for Dummies SQLSaturday #202 EditionSQL Server AlwaysOn for Dummies SQLSaturday #202 Edition
SQL Server AlwaysOn for Dummies SQLSaturday #202 Edition
Mark Broadbent
 
The Basics of Getting Started With Microsoft Azure
The Basics of Getting Started With Microsoft AzureThe Basics of Getting Started With Microsoft Azure
The Basics of Getting Started With Microsoft Azure
Microsoft Azure
 
MySQL InnoDB Cluster - A complete High Availability solution for MySQL
MySQL InnoDB Cluster - A complete High Availability solution for MySQLMySQL InnoDB Cluster - A complete High Availability solution for MySQL
MySQL InnoDB Cluster - A complete High Availability solution for MySQL
Olivier DASINI
 
Pi Day 2022 - from IoT to MySQL HeatWave Database Service
Pi Day 2022 -  from IoT to MySQL HeatWave Database ServicePi Day 2022 -  from IoT to MySQL HeatWave Database Service
Pi Day 2022 - from IoT to MySQL HeatWave Database Service
Frederic Descamps
 
Oracle data guard for beginners
Oracle data guard for beginnersOracle data guard for beginners
Oracle data guard for beginners
Pini Dibask
 
SQL Server Index and Partition Strategy
SQL Server Index and Partition StrategySQL Server Index and Partition Strategy
SQL Server Index and Partition Strategy
Hamid J. Fard
 
MySQL InnoDB Cluster and Group Replication in a Nutshell
MySQL InnoDB Cluster and Group Replication in a NutshellMySQL InnoDB Cluster and Group Replication in a Nutshell
MySQL InnoDB Cluster and Group Replication in a Nutshell
Frederic Descamps
 
MYSQL-Database
MYSQL-DatabaseMYSQL-Database
SQL Server Database Migration
SQL Server Database MigrationSQL Server Database Migration
SQL Server Database Migration
Zeba Ansari
 
ssis lab
ssis labssis lab
ssis lab
rasheedam
 

Tendances (20)

Herd your chickens: Ansible for DB2 configuration management
Herd your chickens: Ansible for DB2 configuration managementHerd your chickens: Ansible for DB2 configuration management
Herd your chickens: Ansible for DB2 configuration management
 
SQL Server Clustering Part1
SQL Server Clustering Part1SQL Server Clustering Part1
SQL Server Clustering Part1
 
Database Consolidation using the Oracle Multitenant Architecture
Database Consolidation using the Oracle Multitenant ArchitectureDatabase Consolidation using the Oracle Multitenant Architecture
Database Consolidation using the Oracle Multitenant Architecture
 
Guardium Presentation
Guardium PresentationGuardium Presentation
Guardium Presentation
 
Sql server 2019 new features
Sql server 2019 new featuresSql server 2019 new features
Sql server 2019 new features
 
The Evolution of SQL Server as a Service - SQL Azure Managed Instance
The Evolution of SQL Server as a Service - SQL Azure Managed InstanceThe Evolution of SQL Server as a Service - SQL Azure Managed Instance
The Evolution of SQL Server as a Service - SQL Azure Managed Instance
 
Sql Server Basics
Sql Server BasicsSql Server Basics
Sql Server Basics
 
NewSQL - The Future of Databases?
NewSQL - The Future of Databases?NewSQL - The Future of Databases?
NewSQL - The Future of Databases?
 
AZ-204 : Implement Azure security
AZ-204 : Implement Azure securityAZ-204 : Implement Azure security
AZ-204 : Implement Azure security
 
Hadoop Trends
Hadoop TrendsHadoop Trends
Hadoop Trends
 
SQL Server AlwaysOn for Dummies SQLSaturday #202 Edition
SQL Server AlwaysOn for Dummies SQLSaturday #202 EditionSQL Server AlwaysOn for Dummies SQLSaturday #202 Edition
SQL Server AlwaysOn for Dummies SQLSaturday #202 Edition
 
The Basics of Getting Started With Microsoft Azure
The Basics of Getting Started With Microsoft AzureThe Basics of Getting Started With Microsoft Azure
The Basics of Getting Started With Microsoft Azure
 
MySQL InnoDB Cluster - A complete High Availability solution for MySQL
MySQL InnoDB Cluster - A complete High Availability solution for MySQLMySQL InnoDB Cluster - A complete High Availability solution for MySQL
MySQL InnoDB Cluster - A complete High Availability solution for MySQL
 
Pi Day 2022 - from IoT to MySQL HeatWave Database Service
Pi Day 2022 -  from IoT to MySQL HeatWave Database ServicePi Day 2022 -  from IoT to MySQL HeatWave Database Service
Pi Day 2022 - from IoT to MySQL HeatWave Database Service
 
Oracle data guard for beginners
Oracle data guard for beginnersOracle data guard for beginners
Oracle data guard for beginners
 
SQL Server Index and Partition Strategy
SQL Server Index and Partition StrategySQL Server Index and Partition Strategy
SQL Server Index and Partition Strategy
 
MySQL InnoDB Cluster and Group Replication in a Nutshell
MySQL InnoDB Cluster and Group Replication in a NutshellMySQL InnoDB Cluster and Group Replication in a Nutshell
MySQL InnoDB Cluster and Group Replication in a Nutshell
 
MYSQL-Database
MYSQL-DatabaseMYSQL-Database
MYSQL-Database
 
SQL Server Database Migration
SQL Server Database MigrationSQL Server Database Migration
SQL Server Database Migration
 
ssis lab
ssis labssis lab
ssis lab
 

Similaire à Identité Numérique et Authentification Forte

Authentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesAuthentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendances
Sylvain Maret
 
Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!
Sylvain Maret
 
Utilisation de la biométrie dans le cadre d’un projet Mobilité
Utilisation de la biométrie dans le cadre d’un projet MobilitéUtilisation de la biométrie dans le cadre d’un projet Mobilité
Utilisation de la biométrie dans le cadre d’un projet Mobilité
Sylvain Maret
 
Authentification Forte BioméTrique Dans Le Cadre D
Authentification  Forte BioméTrique Dans Le Cadre DAuthentification  Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre DSylvain Maret
 
Etude de cas Biométrie
Etude de cas BiométrieEtude de cas Biométrie
Etude de cas Biométrie
Sylvain Maret
 
Biométrie et Mobilité
Biométrie et MobilitéBiométrie et Mobilité
Biométrie et Mobilité
Sylvain Maret
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
Sylvain Maret
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forte
Nis
 
Solution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSolution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’IT
Sylvain Maret
 
Comment concilier facilité d'utilisation et securite?
Comment concilier facilité d'utilisation et securite?Comment concilier facilité d'utilisation et securite?
Comment concilier facilité d'utilisation et securite?
Sylvain Maret
 
Biométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesBiométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériques
Sylvain Maret
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
PRONETIS
 
Protection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardProtection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On Card
Sylvain Maret
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potx
BernardKabuatila
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Sylvain Maret
 
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
Nis
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrFredericPaumier
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure Fr
FredericPaumier
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
mowaffakfejja
 

Similaire à Identité Numérique et Authentification Forte (20)

Authentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesAuthentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendances
 
Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!
 
Utilisation de la biométrie dans le cadre d’un projet Mobilité
Utilisation de la biométrie dans le cadre d’un projet MobilitéUtilisation de la biométrie dans le cadre d’un projet Mobilité
Utilisation de la biométrie dans le cadre d’un projet Mobilité
 
Authentification Forte BioméTrique Dans Le Cadre D
Authentification  Forte BioméTrique Dans Le Cadre DAuthentification  Forte BioméTrique Dans Le Cadre D
Authentification Forte BioméTrique Dans Le Cadre D
 
Etude de cas Biométrie
Etude de cas BiométrieEtude de cas Biométrie
Etude de cas Biométrie
 
Biométrie et Mobilité
Biométrie et MobilitéBiométrie et Mobilité
Biométrie et Mobilité
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forte
 
Solution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSolution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’IT
 
Comment concilier facilité d'utilisation et securite?
Comment concilier facilité d'utilisation et securite?Comment concilier facilité d'utilisation et securite?
Comment concilier facilité d'utilisation et securite?
 
Biométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesBiométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériques
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time Password
 
Protection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardProtection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On Card
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potx
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
 
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
Gestion des utilisateurs privilégiés - Contrôler les accès sans dégrader la s...
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure Fr
 
Login People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure FrLogin People The Digital Dna Brochure Fr
Login People The Digital Dna Brochure Fr
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
La_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.pptLa_sécurité_des_systèmes_d-_information.ppt
La_sécurité_des_systèmes_d-_information.ppt
 

Plus de Sylvain Maret

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Sylvain Maret
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vl
Sylvain Maret
 
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
Sylvain Maret
 
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
Sylvain Maret
 
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
Sylvain Maret
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Sylvain Maret
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSO
Sylvain Maret
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
Sylvain Maret
 
Threat Modeling / iPad
Threat Modeling / iPadThreat Modeling / iPad
Threat Modeling / iPad
Sylvain Maret
 
Strong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIIStrong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS III
Sylvain Maret
 
Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011
Sylvain Maret
 
Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011
Sylvain Maret
 
Authentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationAuthentication and strong authentication for Web Application
Authentication and strong authentication for Web Application
Sylvain Maret
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
Sylvain Maret
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Sylvain Maret
 
Digital identity trust & confidence
Digital identity trust & confidenceDigital identity trust & confidence
Digital identity trust & confidence
Sylvain Maret
 
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 

Plus de Sylvain Maret (20)

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vl
 
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
 
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
 
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSO
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
 
Threat Modeling / iPad
Threat Modeling / iPadThreat Modeling / iPad
Threat Modeling / iPad
 
Strong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIIStrong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS III
 
Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011
 
Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011
 
Authentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationAuthentication and strong authentication for Web Application
Authentication and strong authentication for Web Application
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
 
Digital identity trust & confidence
Digital identity trust & confidenceDigital identity trust & confidence
Digital identity trust & confidence
 
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 

Dernier

De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 

Dernier (6)

De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 

Identité Numérique et Authentification Forte

  • 1. IDENTITE NUMERIQUE POURQUOI L’AUTHENTIFICATION FORTE ? RÉDIGÉ LE 21/05/2009 AUTEUR Sylvain Maret / La Citadelle Electronique http://sylvain-maret.blogspot.com/
  • 2. 1. POURQUOI UNE AUTHENTIFICATION FORTE ? La protection des biens et des informations est une préoccupation majeure de la société, un souci que partage tout un chacun. Certains s’en inquiètent à titre personnel, pour leurs propres biens. D’autres, pour des raisons stratégiques ou économiques. A l’ère des nouvelles technologies de l’information, les entreprises et plus particulièrement le monde bancaire se sentent de plus en plus concernées – pour des raisons propres à chacune d’entre elles – par la sécurité de leurs systèmes informatiques. Mettre en place une véritable politique de sécurité devient une obligation. Tout comme appliquer les principes de base d’une protection optimale que sont l’authentification, l'autorisation, la confidentialité, la confidentialité, l’intégrité et la traçabilité. Parmi ces cinq mécanismes, l'authentification forte, est, de mon point de vue, la clé de voûte de la sécurité informatique. Vous avez dit « authentification forte » ? L'authentification est une procédure qui vise à s'assurer de l'identité d'un individu ou d'un système informatique. C’est un préliminaire indispensable à l’activation du mécanisme d’autorisation et, donc, à la gestion des droits d’accès à un système d’information donné. Les méthodes classiques pour identifier une personne physique sont au nombre de trois: Page 2 / 13
  • 3. 1. Quelque chose que l'on connaît: un mot de passe ou un PIN code 2. Quelque chose que l'on possède: un « token », une carte à puce, etc. 3. Quelque chose que l'on est: un attribut biométrique, tel qu'une empreinte digitale On parle d'authentification forte dès que deux de ces méthodes sont utilisées ensemble. Par exemple une carte à puce avec un PIN code ou une carte à puce couplée à un lecteur biométrique. Authentification forte ? un minimum de 2 facteurs Authentifieur Quelque chose Que l’on possède Secret Biométrie PIN Code Password Quelque chose Quelque chose Que l’on connaît Que l’on ou fait La citadelle Electronique http://sylvain-maret.blogspot.com/ Page 3 / 13
  • 4. Pourquoi cette méthode plutôt qu’une autre? Le mot de passe est actuellement le système le plus couramment utilisé pour identifier un utilisateur. Malheureusement, il n'offre pas le niveau de sécurité requis pour assurer la protection de biens informatiques sensibles. Sa principale faiblesse réside dans la facilité avec laquelle il peut être trouvé, grâce à différentes techniques d’attaques. Mis à part l'approche, efficace, de la manipulation psychologique (« social engineering »), on recense trois grandes catégories d'attaques informatiques: • Attaque de quot;force brutequot;: Il s’agit d’une attaque qui vise à deviner un (ou plusieurs) mot de passe en utilisant des dictionnaires ou en testant toutes les combinaisons possibles. Partant du principe que la majorité des mots de passe sont « faibles » (combinaisons simples du type année de naissance, prénom de son enfant, etc.), les découvrir rapidement se révèle très facile. • Ecoute du réseau : La plupart des applications comme quot;telnetquot;, quot;ftpquot;, quot;httpquot;, quot;ldapquot;, etc., n'ont pas recours au chiffrement (encryption) lors du transport d’un mode de passe sur le réseau. « Ecouter » le trafic et en extraire le mot de passe devient un jeu d’enfant dès lors qu’on dispose d’un logiciel d’écoute appelé « sniffer » (littéralement, renifleur). Il existe un grand nombre de « sniffers » dédiés exclusivement à la capture des mots de passe. • Ecoute du clavier: Imaginons que le trafic sur le réseau soit chiffré et que l'utilisateur ait pris soin de choisir un mot de passe extrêmement « solide ». Une méthode d’attaque se révèle malgré tout imparable : l’écoute du clavier ou « key logger », qui permet de « capturer » l’ensemble des touches tapées sur un clavier. Les logiciels utilisés dans ce cas sont généralement installés sur le poste de travail, à l'insu de l'utilisateur. La « compromission » du système informatique étant le plus souvent effectuée par le biais d'un virus de type cheval de Troie. Page 4 / 13
  • 5. 2. QUELLE TECHNOLOGIE D’AUTHENTIFICATION FORTE ? Il existe aujourd’hui un grand nombre de solutions d'authentification forte sur le marché. On peut principalement en distingué trois : • Les technologies de type OTP • La technologie PKI • Les technologies biométriques 2.1. Technologie de type OTP La technologie de type OTP (One Time Password) est actuellement la méthode d’authentification forte la plus utilisée par les entreprises. Elle est basée sur un secret partagé unique à chaque individu. Intrinsèquement cette méthode peut être utilisée uniquement pour mettre en place un mécanisme d’authentification fort. Les OTP ne sont pas capable d’offrir des services tel que la non répudiation, la signature et le chiffrement. Par contre cette technologie à l’immense avantage d’être très facile à déployer et offre une grande mobilité qui est particulièrement appréciée des utilisateurs nomades. Généralement les moyens d’authentification de type OTP sont embarqués sur des « Tokens » physiques. Le niveau d’authentification forte est généralement obtenu en combinant un « Token » physique et un PIN Code connu par l’utilisateur. Quelques exemples de « Tokens » OTP : Page 5 / 13
  • 6. 2.2. Technologie PKI La technologie PKI est basée sur un mécanisme fondamentalement différent des OTP. Celui-ci est basé sur la cryptographie à clé public ou cryptographie asymétrique. Dans le cadre de l’authentification forte, chaque utilisateur possède une paire de clés (Une clé publique et une clé privée) ainsi qu’un certificat numérique attestant de l’identité de l’utilisateur. Muni de ces informations l’utilisateur est capable de prouver son identité. Afin de monter le niveau de sécurité, généralement le certificat numérique et la paire de clés sont stockés sur un support physique tel une carte à puce ou un Token USB. L’immense avantage de cette technologie réside dans les services de sécurité qu’elle peut amener à une entreprise. Ces services sont : • L’authentification forte • La non répudiation • Le chiffrement • La signature numérique Par contre la technologie PKI peut poser un problème dans le cas de la mobilité. Généralement utilisé avec un Token USB ou une carte à puce, il devient difficile de connecter ces « devices » sur des ordinateurs que l’on ne maîtrise pas, tel un Internet Café. Nous appellerons cette problématique : la problématique de type « Kiosk ». Quelques exemples de « Tokens » PKI : Page 6 / 13
  • 7. Sécurisation de la clé privée L’entreprise qui souhaite sécuriser la partie privée d’un certificat dispose de plusieurs possibilités. Une des plus connues est le recours à des cartes à puce (format carte de crédit ou« Tokens » USB). Ces supports permettent le stockage aussi bien des clés que du certificat numérique. Il existe deux grandes familles de supports: les cartes mémoire et les cartes à processeur cryptographique. En termes de sécurité, la deuxième famille est à recommander, dans la mesure où la clé privée est intégrée au support et n’en sort jamais. Les calculs cryptographiques sont en effet réalisés à l'intérieur de la carte par le processeur. Cette méthode garantit une protection optimale contre les attaques qui visent à obtenir la clé privée. De plus, la carte à puce peut être protégée par un PIN code ou par un lecteur biométrique. Dans le cadre de la protection par un moyen biométrique le niveau de sécurité est supérieur. Cette solution est alors capable d’amener une preuve quasi irréfutable de l’identité de l’utilisateur. Protection par un PIN Code Protection par la biométrie Page 7 / 13
  • 8. 2.3. Les technologies biométriques Il existe actuellement un grand nombre de solution biométrique. La majorité des solutions est déployée dans le cadre de la sécurisation des bâtiments. Cependant depuis quelques temps, un certain nombre de solutions voit le jour pour la sécurisation des environnements IT pour les entreprises soucieuse de leur sécurité du système d’information. Les technologies sont très diverses tel que : • Reconnaissance des empruntes • Reconnaissance de l’iris • Reconnaissance de la voix • ADN • Reconnaissance des veines • Etc. Dans le cadre de l’environnement IT, il est montré que la solution basée sur les empruntes des doigts est actuellement la technologie la plus utilisée. Ce graphique montre que la technologie Fingerprint est un des meilleurs compromis entre le confort et la fiabilité du système. Page 8 / 13
  • 9. Le principe de fonctionnement de la biométrie est basé sur la transformation d’un trait physique d’une personne en une information numérique. Le résultat de cette transformation s’appelle une « Biometric Pattern ». Une fois cette information capturée et vérifiée, celle-ci doit être stockée dans un « magasin ». Ce processus s’appelle « l’Enrôlement ». Une fois le système initialisé, l’utilisateur peut effectuer une procédure de vérification afin de s’authentifier. Le système biométrique compare la « Biometric Pattern » du magasin à celle de l’utilisateur. Ci ces deux informations sont identiques alors l’utilisateur est authentifié. Page 9 / 13
  • 10. Ce schéma explique le fonctionnement de base de la biométrie : Page 10 / 13
  • 11. 2.4. Niveau de sécurité des solutions Biométriques ? De nombreuses étude prouvent aujourd’hui qu’il est possible d’usurpée l’identité d’un utilisateur par le biais de plusieurs moyens. Bien évidement il existe à l’heure actuelle un grand nombre de produits biométrique offrant plus ou moins de sécurité. Cependant dans le cadre d’un projet IT pour une entreprise le coût d’investissement est une composante très importante. Les études prouvent que sur ce genre de produits (IT) il est possible de contourner ces systèmes. La conclusion de ces rapports est formelle : il n’est pas recommandé d’utiliser la biométrie comme facteur unique d’authentification. Par contre la biométrie est un très bon moyen de remplacement du PIN Code ou d’un mot de passe. Exemple de méthode d’usurpation : Page 11 / 13
  • 12. 2.4.1. Stockage des « Biometric Pattern » Afin de stocker la ou les « Biometric Pattern » il existe principalement deux approches : • Le stockage centralisé • MOC (Match On Card) Le stockage centralisé Avec un système de stockage centralisé, l’idée est de maintenir une base de données avec les « Biometric Pattern » des utilisateurs de l’entreprise. L’avantage de ce système est le coût. Par contre ce système présente trois inconvénients principaux. Le premier est la limitation en termes de mobilité. En effet, avec ce système il n’est pas possible d’offrir de la mobilité, par exemple dans le cas d’un laptop en mode « standalone ». Le deuxième inconvénient est le niveau de sécurité car il y a un échange d’information entre les postes de travail et la base de données. Celui-ci peut être détourné, usurpé, etc. Le dernier inconvénient est le niveau d’acceptante des utilisateurs. Même si il n’est pas possible de reconstituer une emprunte à partir de la « Biometric Pattern », beaucoup de personnes sont réticente au stockage centralisé des Pattern. Page 12 / 13
  • 13. MOC (Match On Card) La technologie MOC permet de stocker la ou les « Biometric Pattern » sur un support physique tel une carte à puces ou un token usb. Avec ce système le stockage des « Biometric Pattern » dans une base de données devient obsolète. En termes de sécurité ce système est très intéressant. De plus il offre une grande mobilité car il n’y a plus besoin d’avoir un moyen de communication avec le composant de stockage des Pattern. L’inconvénient principal de cette technologie est sans aucun doute son coût. Ci-joint une explication de la technologie MOC : Page 13 / 13