Le document aborde la problématique de l'authentification par mot de passe, soulignant sa faiblesse face aux pratiques de sécurité modernes comme le phishing. Il présente des solutions d'authentification forte, telles que l'utilisation de certificats électroniques et de facteurs multiples, et discute des défis et des coûts associés à ces solutions. Enfin, bien que les mots de passe restent en usage, leur efficacité diminue au profit de méthodes d'authentification plus fiables.

1. L’authentification forte
ou
Vers la fin du mot de passe ?
26/06/2014 www.aliceandbob.fr 1

2. De trop nombreux mots de passe
• Nous avons tous maintenant des dizaines de
mots de passe et code PIN. Pour:
– nos ordinateurs et nos Smartphones,
– accéder à nos résidences,
– les différents sites web,
– nos comptes de messageries électroniques,
– nos comptes bancaires,
– accéder à différentes applications Cloud,
– nos réseaux d’entreprises, etc.
26/06/2014 www.aliceandbob.fr 2

3. Un mot de passe par site
26/06/2014 www.aliceandbob.fr 3

4. Des règles difficiles à suivre
• Les spécialistes de la sécurité nous
recommandent :
– d’utiliser des mots de passe complexes avec des
chiffres, des lettres et des caractères spéciaux
– de les changer régulièrement
– d’utiliser des mots de passes différents pour
chaque usage
26/06/2014 www.aliceandbob.fr 4

5. Sommes-nous si loin de la réalité?
"Sorry, your password has been in use for 30 days and has expired - you must register a new one."
"New password:"
roses
"Sorry, too few characters."
pretty roses
"Sorry, you must use at least one numerical character."
1 pretty rose
"Sorry, you cannot use blank spaces."
1prettyrose
"Sorry, you must use at least 10 different characters."
1fuckingprettyrose
"Sorry, you must use at least one upper case character."
1FUCKINGprettyrose
"Sorry, you cannot use more than one upper case character consecutively."
1FuckingPrettyRose
"Sorry, you must use no fewer than 20 total characters."
1FuckingPrettyRoseShovedUpYourAssIfYouDon'tGiveMeAccessRightFuckingNow!
"Sorry, you cannot use punctuation."
1FuckingPrettyRoseShovedUpYourAssIfYouDontGiveMeAccessRightFuckingNow
"Sorry, that password is already in use."
26/06/2014 www.aliceandbob.fr 5

6. Une solution peu satisfaisante
• Malgré toutes ces contraintes impossibles à appliquer le
mot de passe reste une solution d’authentification faible
facilement “craquable”.
• Des outils de récupération de mots de passe surgissent.
• Des listes de mots de passe sont souvent volées.
• Les personnes comme vous et moi utilisons plusieurs fois le
même mot de passe.
• Nous les notons quelque part.
• Le banditisme utilise aujourd’hui des techniques de plus en
plus sophistiquées pour vous voler vos données
personnelles telles que le Phishing.
• Netcraft par exemple a déjà recensé plus de 7 millions sites
de phishing.
26/06/2014 www.aliceandbob.fr 6

7. Pas très sécurisé tout ça …
26/06/2014 www.aliceandbob.fr 7

8. Vraiment pas très sécurisé …
26/06/2014 www.aliceandbob.fr 8

9. La technique du phishing
26/06/2014 www.aliceandbob.fr 9

10. Authentification forte
• Authentification à 2 ou 3 facteurs
– Ce que je sais (un mot de passe, un code PIN)
– Ce que je possède (un Token, une carte, un SmartPhone,
etc.)
– Ce que je suis (mon empreinte digitale, ma rétine, etc.)
26/06/2014 www.aliceandbob.fr 10

11. L’authentification forte
• Le SMS One Time Password
Un code SMS vous est envoyé sur votre téléphone portable. Ce code n’est utilisable qu’une seule
fois dans un délai très court. Vous entrez ce code via votre écran de saisie pour vous authentifier.
• Le certificat électronique installé sur votre ordinateur ou smartphone
Un certificat électronique et sa clé privée sont installés sur votre machine. Ce certificat
électronique et sa clé privée ne peuvent être interrogés que sur votre machine. Ils sont accessibles
via un code PIN.
• Le certificat électronique sur Token, carte à puce ou clé USB à puce
Un certificat électronique et sa clé privée sont installés dans une puce. Ils ne sont pas extractibles
de la puce. Il faut posséder la puce pour y accéder. Ils sont accessibles via un code PIN.
• Les Token One Time Password
Ces solutions génèrent un mot de passe utilisable une fois dans un délai limité. Le Token le génère
en fonction d’un secret partagé avec le serveur d’authentification et de l’heure / date. Il faut
posséder le Token pour pouvoir entrer le bon code, en plus de votre mot de passe. Attention
néanmoins, le Token de l’entreprise RSA s’est avéré moins solide qu’espéré comme le montre par
exemple l’article de ZDNet ci-dessous.
• Les solutions d’identification biométriques
Les 4 grandes catégories d’identification biométriques sont: la reconnaissance digitale, la
reconnaissance d'iris, la reconnaissance faciale et la reconnaissance vocale. Ces systèmes sont
souvent coûteux, pas encore 100% fiables, et posent des problèmes juridiques face au stockage de
bases de données d’informations biométriques. Enfin dans le cas de l’empreinte digitale, il est
possible de reconstituer une empreinte trouvée par exemple sur un verre et de s’authentifier avec.
26/06/2014 www.aliceandbob.fr 11

12. De nombreuses solutions
26/06/2014 www.aliceandbob.fr 12

13. La perspective de l’utilisateur
• L’authentification forte est une contrainte
• Les opérations supplémentaires et les objets à
porter sur soi complexifient les usages
• Le certificat électronique est une solution
élégante car elle ne requiert rien et est
transparente pour les utilisateurs
26/06/2014 www.aliceandbob.fr 13

14. Le SMS OTP*
*SMS OTP : SMS One Time Password
Code valable une fois pendant une durée limitée
26/06/2014 www.aliceandbob.fr 14

15. Authentification par certificat
électronique
• Un certificat électronique est votre « carte
d’identité numérique ».
• Il est ouvert grâce à un code PIN
• Lorsque vous vous authentifiez sur un réseau,
un site web, etc. ce certificat permet de
vérifier qui vous êtes avant de vous laisser
entrer Code
PIN
OK
26/06/2014 www.aliceandbob.fr 15

16. Clé USB cryptographique
La USB cryptographique contient un puce exactement comme une carte de crédit.
Cette puce contient un certificat électronique et la clé privée. Il est possible d’utiliser
la clé privée mais pas de l’extraire. Un code PIN est demandé, comme pour une
carte de crédit.
26/06/2014 www.aliceandbob.fr 16

17. Certificat électronique
Michael Jackson
DigiCert CA
Nom
Autorité ayant délivré le certificat
Dates de validité
26/06/2014 www.aliceandbob.fr 17

18. Différents niveaux de validité
Installé sur votre machine.
Vérification uniquement de
votre adresse email
Installé sur une clé USB
cryptographique.
Vérification de votre carte
d’identité, etc.
Remise en face à face.
Validation faible
Moins de valeur légale
Validation forte
Plus de valeur légale
26/06/2014 www.aliceandbob.fr 18

19. Que choisir ?
Toutes ces solutions sont plus coûteuses que le
login / mot de passe, mais contribuent à
accroître la sécurité.
Les critères dans le choix des solutions sont :
– le prix certes,
– mais aussi le niveau de sécurité,
– et surtout la facilité de mise en œuvre et d’usage.
26/06/2014 www.aliceandbob.fr 19

20. Des standards et initiatives
Kerberos
26/06/2014 www.aliceandbob.fr 20

21. Attention aux Tokens RSA
26/06/2014 www.aliceandbob.fr 21

22. L’authentification forte en croissance
26/06/2014 www.aliceandbob.fr 22

23. Un marché en expansion
Frost & Sullivan's new Analysis of the Strong Authentication
and One-Time Password (OTP) Market finds the market
earned revenue of $1.52 billion in 2013 and estimates this to
reach $2.16 billion in 2018 at a compound annual growth
rate of nearly 7 percent. The research notes new strong
authentication methods are less expensive than the dominant
hardware OTP method, fueling adoption. The analysis also
finds RSA remains the largest vendor in the industry, with
about one-fifth of the market revenue; however, the breadth
of strong authentication methods creates a market for many
players.
Note: Le marché français correspond à 3,5% du marché
mondial soit $53,2M soit 38,8M€
26/06/2014 www.aliceandbob.fr 23

24. Un poisson d’Avril amusant
Authentification forte : une lutte fratricide au
sommet de l’Etat profite à Google
Interrogé quant à la solidité de sa solution par rapport à celle, largement plus mûre, de
RSA, Paul McHire semble confiant : « nous utilisons beaucoup plus de chiffres.
Beaucoup, beaucoup, plus de chiffres« , révèle McHire. Et à voir le token qui sera fourni
aux collaborateurs des Ministères, on veut bien le croire.
26/06/2014 www.aliceandbob.fr 24

25. Conclusion
• Le mot de passe est très loin d’être
parfait
• Il perd du terrain mais a encore quelques
beaux jours devant lui
• Les solutions d’authentification
commencent à sérieusement émerger
26/06/2014 www.aliceandbob.fr 25

26. Merci !
Voir toutes nos présentations et documents sur Slideshare:
• L’avènement de la signature électronique : en 2014
• La cryptographie et la PKI enfin expliquées simplement
• Comment bien choisir ses certificats SSL
• L’authentification forte ou vers la fin du mot de passe
• Pourquoi migrer ses certificats de Symantec vers une autre Autorité de Certification
• Accroitre la confiance dans les personnes et les machines qui se connectent à votre
réseau d’entreprise
• Les solutions SaaS permettent l’avènement des usages des certificats électroniques
• La vérité sur HeartBleed
• La NSA et les Autorités de Certification : Mythe ou réalité ?
contact@aliceandbob.fr
26/06/2014 www.AliceAndBob.fr 26