Académique Documents
Professionnel Documents
Culture Documents
Sommaire
La bonne authentification sur le bon poste de travail Lauthentification forte : du mot de passe lauthentification multi-facteurs, multi-supports. Les 7 mthodes dauthentification Un exemple de politique dauthentification Le SSO dentreprise intgre lauthentification forte au sein de la politique de scurit
2007 Evidian Les informations contenues dans ce document refltent l'opinion d'Evidian sur les questions abordes la date de publication. En raison de l'volution constante des conditions de march auxquelles Evidian doit s'adapter, elles ne reprsentent cependant pas un engagement de la part d'Evidian qui ne peut garantir l'exactitude de ces informations, passe la date de publication. Ce document est fourni des fins d'information uniquement. EVIDIAN NE FAIT AUCUNE GARANTIE IMPLICITE NI EXPLICITE DANS LE PRSENT DOCUMENT. Les droits des propritaires des marques cites dans cette publication sont reconnus.
Authentification forte
Lauthentification est la premire tape du processus de connexion dun utilisateur ..............6 Le niveau de scurit ...................................7
Votre Politique de scurit ............................ 7 Les lois et rglementations ............................ 7
(4) La clef Confidentiel Dfense .....................21 (5) La carte puce avec identifiant et mot de passe ...22 (6) Les solutions biomtriques .........................22
Les trois familles de solution de biomtrie ........... 22 Les solutions de biomtrie avec serveur ............... 23 Les solutions locales ................................. 23 Les solutions de biomtrie avec carte puce. ......... 23
39 F2 87LT Rev01
Authentification forte
(7) Le RFID Actif ......................................23
Les lments dune solution de RFID Actif ............. 24
Un exemple de politique dauthentification ............ 25 Le SSO dentreprise intgre lauthentification forte au sein de la politique de scurit ............. 26
39 F2 87LT Rev01
Authentification forte
Avertissement
Ce document est une introduction aux problmatiques dauthentification forte et daccs aux applications cibles. Il fait une revue des sept mthodes dauthentification les plus utilises actuellement et dcrit leurs mcanismes principaux. Il y associe les fonctions principales dun moteur de Single Sign-On (SSO). Il nadresse pas les problmatiques des Web Services ou de la Fdration didentit.
Pour plus dinformation sur une mthode particulire, merci de vous reporter aux documents plus spcialiss.
39 F2 87LT Rev01
Authentification forte
39 F2 87LT Rev01
Authentification forte
Le niveau de scurit
Votre Politique de scurit
Toute organisation a, ou devrait avoir, une politique de scurit concernant la protection des postes de travail, des applications, des donnes ou encore des systmes du SI. Cette politique de scurit peut dfinir des niveaux minima dauthentification en fonction de la criticit de la ressource utilise. Par exemple, il est possible dimaginer, comme dans tout bon film despionnage, que lon place un poste de travail critique dans une salle protge par un accs contrl par un code confidentiel, par lintroduction dune carte puce et par une identification biomtrique de lil droit. La protection est alors son maximum, car pour entrer il faut fournir un lment que lon sait (le code), que lon possde (la carte) et que lon est (lil). Ce mcanisme permet effectivement de protger un poste de travail mais il est coteux dun point de vue de la mise en uvre (il ncessite une salle par PC ainsi que les lecteurs adquats) et de lexploitation (que se passe-t-il si un utilisateur oublie son code, perd sa carte et devient borgne de lil droit ?).
39 F2 87LT Rev01
Authentification forte
La formation des utilisateurs. Pour les oprations dexploitation La gestion dun nouvel arrivant avec lattribution de ses diffrents lments, La gestion de loubli dun lment logique (oubli du mot de passe ou de lidentifiant), La gestion de la perte dun support physique et de son remplacement (perte dune carte), La gestion de linvalidation dun support (code pin grill, donnes biomtriques non valides,).
Ces efforts doivent tre perus comme des investissements qui vont permettre de protger les donnes les plus sensibles de lentreprise et dappliquer la politique de scurit correspondante.
39 F2 87LT Rev01
Authentification forte
39 F2 87LT Rev01
Authentification forte
Les certificats PKI sur carte puce ou clef USB Les certificats X.509 mettent en uvre une technologie avance de chiffrement qui permet de chiffrer ou signer des messages sans avoir partager de secret. Lidentifiant est un certificat public qui est sign et donc garanti par une autorit de certification reconnue. Lutilisateur doit fournir un secret pour pouvoir utiliser les diffrents lments cryptographiques : le code PIN de sa carte ou de sa clef USB. Cette solution est en gnral mise en uvre pour le processus dauthentification initiale ou pour les connexions aux applications Web ou de messagerie. Clef Confidentiel Dfense Il sagit dune dclinaison particulire de lexemple prcdent. Cest en gnral une clef multifonctions : stockage de certificat X.509, stockage de donnes, ressource cryptographique etc Le stockage de lidentifiant et du mot de passe sur une carte puce permet de complter la scurisation du processus dauthentification. Le mot de passe peut ainsi tre trs complexe et chang rgulirement de manire automatique et alatoire. Sans la carte, et sans son code PIN, il ny a plus daccs au mot de passe. Cette solution est gnralement mise en uvre pour le processus dauthentification initiale Lauthentification par biomtrie sappuie sur la vrification dun lment du corps de lutilisateur (le plus souvent lempreinte digitale). Elle peut sappuyer sur un serveur central, sur le poste ou sur une carte puce pour stocker les donnes biomtriques de lutilisateur. Cette solution est en gnral mise en uvre pour le processus dauthentification initiale et/ou pour protger laccs des applications trs sensibles. Lidentification sans contact Le RFID est une technologie qui aujourdhui se dploie dans les projets dIdentification/Authentification. Une puce RFID est encastre dans un badge et porte un numro didentification. Ce numro est ensuite associ un utilisateur dans un systme informatique. A la base cest une technologie didentification qui peut, en tant couple un mot de passe fourni par lutilisateur par exemple, tre utilis dans des procdures dauthentification. Il existe 2 dclinaisons de cette technologie : Le RFID passif ou HID, qui suppose que la carte ne possde pas dalimentation propre. La carte est alimente lors de la lecture par un champ lectromagntique gnr par le lecteur. Ce systme est communment utilis pour le contrle daccs physique par badge ou le paiement au restaurant dentreprise. La dtection dune carte HID se fait quelque centimtre. Le RFID actif sappuie sur les protocoles de communication RFID mais associe la carte une alimentation propre. Cette alimentation permet une dtection de la carte plus longue
Biomtrie
39 F2 87LT Rev01
10
Authentification forte
porte (par exemple ds lentre dans une salle ou un bureau). Lintrt principal du RFID actif est de permettre un constat dabsence pour les postes de travail dans des zones accessibles au public
Lauthentification multi-facteurs
Un facteur dauthentification est un lment que lon sait (code secret), que lon possde (support physique) ou que lon est (biomtrie). Ds que plusieurs facteurs dauthentification entrent en jeu, nous parlons dauthentification multi-facteurs. Exemples de systme dauthentification 1 facteur : Identifiant + mot de passe (lment que lon sait), Identification sans contact (lment que lon possde), Biomtrie ou identifiant + biomtrie (lment que lon est). Exemples de systme dauthentification 2 facteurs : Carte puce + code PIN (lments que lon possde ET que lon sait), Carte puce + biomtrie (lment que lon possde ET que lon est), Biomtrie + mot de passe (lment que lon est ET que lon sait)). Exemple de systme dauthentification 3 facteurs : Carte puce + code PIN + biomtrie (lments que lon possde ET que lon sait ET que lon est).
La multiplication du nombre de facteurs dauthentification augmente le niveau de scurit gnral, mais pose les problmes suivants : Le cycle de vie de chaque facteur doit tre gr : rinitialisation des mots de passe et codes PIN, distribution des cartes puce, , Lergonomie dutilisation peut devenir trop contraignante pour les utilisateurs, Les cots des priphriques (cartes puce, lecteurs, capteurs biomtriques) sont additionns. De plus, la charge du help-desk va saccrotre pour grer lensemble de ces mthodes (dblocage des mots de passe et codes PIN, distribution des cartes, formation des utilisateurs la biomtrie, ).
39 F2 87LT Rev01
11
Authentification forte
Le jeton
Une fois lauthentification initiale de lutilisateur tablie, il faut la transmettre aux applications cibles. Lune des techniques utilise est le jeton dauthentification. Ce jeton est un ensemble de donnes contenant les lments prouvant lidentit de lutilisateur qui le prsente lapplication. Lapplication cible doit pouvoir rcuprer ce jeton, disponible sur le poste de travail, puis sadresser un serveur spcialis qui lui confirmera la validit du jeton ainsi que lidentit associe. Les jetons les plus rpandus sont aujourdhui les jetons Kerberos et les jetons SAML. Les jetons de type Kerberos Ces jetons, par exemple, sont mis en uvre dans les environnements Windows. Les jetons de type SAML (aussi appele assertion SAML) Ces jetons sont mis en uvre dans des architectures SOA/J2EE/Web Services. Les limites de lapproche par jeton Lapproche par jeton ncessite que les applications cibles soient capables de lire le jeton et de dialoguer avec le serveur dauthentification. Malheureusement, les applications dj en place (et mme certaines nouvelles applications) ne peuvent pas toujours tre adaptes simplement. Le SSO dentreprise permet de faire le lien entre lauthentification initiale de lutilisateur et les applications cibles de la manire la plus universelle possible. Le SSO dentreprise interface directement la fentre de demande didentifiant/mot de passe de lapplication cible qui na plus besoin dtre modifie.
39 F2 87LT Rev01
12
Authentification forte
Le SSO dentreprise permet dappliquer lauthentification forte pour contrler laccs toutes les applications
Le SSO dEntreprise permet de fournir automatiquement aux applications cibles les identifiants et mots de pass quelles requirent au lancement. Le SSO dentreprise permet donc dappliquer une politique la gestion et lutilisation de ces lments.
39 F2 87LT Rev01
13
Authentification forte
R-authentification pour accs sensible Lors du lancement par lutilisateur dune application intgre au systme de SSO, ce dernier peut demander une r-authentification dite primaire (la mme que lauthentification initiale) afin de vrifier si le demandeur est bien lutilisateur courant. Contrler laccs une application en fonction du poste de travail Le systme de SSO peut limiter laccs aux applications les plus critiques partir dun sous-ensemble donn de poste de travail. Par exemple, les applications de R&D ne peuvent tre accessibles qu partir des postes du site de R&D. Laccs via un portail Web partir dun browser quelconque sur Internet Certaines applications doivent pouvoir tre accessibles via Internet partir de nimporte quel poste de travail. Il faut alors que les mcanismes de SSO puissent aussi sappliquer.
39 F2 87LT Rev01
14
Authentification forte
Critiques niveau suprieur Ce sont des applications dont lutilisation est restreinte une famille dutilisateurs. Leurs accs doivent tre particulirement protgs. Les mots de passe sont cachs lutilisateur Les changements de mot de passe sont grs automatiquement de manire planifie La dlgation est interdite pour certains utilisateurs et autorise pour dautres (pour les quipes de management). Lors du lancement de lapplication, lutilisateur doit se r-authentifier Laccs ne se fait qu partir des postes du service concern ou partir de la zone concerne (Public, front-office, back offices,) Pas daccs Web via Internet Personnelles Ce sont des applications que les utilisateurs veulent pouvoir intgrer au sein de leur SSO. Les applications et les attributs sont dfinis par lutilisateur (pas de dlgation) Les identifiants et les mots de passe sont dfinis par les utilisateurs Pas daccs Web via Internet
39 F2 87LT Rev01
15
Authentification forte Le SSO dEntreprise permet dintgrer lauthentification forte au sein de la politique de scurit
Avec un SSO dEntreprise, il devient possible dintgrer diffrents modes dauthentifications et de les appliquer en fonction du type de poste de travail. Par exemple, il est possible de mettre en uvre Une authentification biomtrique pour protger les postes et donc laccs aux applications de R&D, Une authentification RFID Actif qui permet de grer laccs aux postes en selfservice Une authentification par Identifiant / OTP pour protger les accs externes via IP/VPN Une authentification par carte puce X.509 pour protger les accs Internet Web sur un navigateur quelconque. Une authentification par identifiant/mot de passe pour les postes banaliss Le SSO dEntreprise peut alors grer les accs aux applications cibles en fonction du poste et du type dauthentification. La r-authentification Lors du lancement dune application sensible, le moteur de SSO peut redemander une r-authentification. Pour les postes quips dun module dauthentification forte, cest ce type de r-authentification qui est alors redemand. Cette fonction permet dappliquer lauthentification forte une application fonctionnant avec une authentification identifiant et mot de passe, et ce sans changer lapplication concerne.
39 F2 87LT Rev01
16
Authentification forte
39 F2 87LT Rev01
17
Authentification forte
Serveur dauthentification
Figure 1 : Mcanismes OTP Lune des utilisations principales de ce systme par les organisations est la scurisation des accs sur IP/VPN partir des PC situs au domicile des employs.
39 F2 87LT Rev01
18
Authentification forte
Le serveur dauthentification.
Linfrastructure de PKI
Une infrastructure cl publique est en rgle gnrale compose de trois entits distinctes : L'autorit d'enregistrement (AE). Cette entit est charge des oprations administratives telle que la vrification de lidentit de lutilisateur ou le suivi des demandes. L'autorit de certification (AC). Cette entit est charge des tches de cration de certificats ou de signature des listes de rvocation L'Autorit de dpt (AD). Cette entit est charge de la conservation en scurit des certificats des fins de recouvrement.
39 F2 87LT Rev01
19
En cas de validation des lments, ce module autorise laccs au poste de travail sous lidentit requise. Il doit galement grer dautres vnements : La perte ou loubli du code PIN. Le module dauthentification doit pouvoir permettre lutilisateur qui est au bout du monde et qui ne peut pas appeler son help-desk de rcuprer un mot de passe ou un code pin en rpondant quelques questions. La rinitialisation distance du code PIN dune carte par le help-desk. La scurisation du poste de travail lors du retrait de la carte : fermeture de la session Windows, ou verrouillage simple. La mise en uvre du Changement rapide dutilisateur qui permet de changer rapidement le contexte du SSO dentreprise et douvrir les applications cibles dans le contexte de scurit personnel de lutilisateur.
39 F2 87LT Rev01
20
Authentification forte
Le module dauthentification est au cur dune authentification base de PKI.
CMS Vrifie la validit de la carte Rinitialise le code PIN
PKI Infrastructure
E-SSO
Cette clef est capable de transporter de manire scurise les diffrents lments du SSO dentreprise qui devient alors portable et utilisable sur nimporte quel poste.
Un key logger est un code malveillant qui sinstalle linsu de lutilisateur sur son PC et qui enregistre les touches frappes par lutilisateur pour ensuite les envoyer un serveur.
39 F2 87LT Rev01
21
Authentification forte
Ce type de clef, vritable coffre-fort lectronique, permet de mettre en place une solution portable, intgre et scurise dAuthentification forte et de SSO dEntreprise.
39 F2 87LT Rev01
22
39 F2 87LT Rev01
23
Authentification forte
Ces diffrents paramtres permettent de dcrire diffrents scnarios dutilisation avance comme par exemple : le changement rapide dutilisateur dans le service des Urgences dun hpital ou encore la protection dun poste de travail dans la zone publique dune agence bancaire.
39 F2 87LT Rev01
24
Authentification forte
Cest le SSO dentreprise qui va permettre dappliquer effectivement cette politique. Rgle 1 : politique de changement de mot de passe La politique de mot de passe ainsi dfinie est extrmement contraignante. Un utilisateur ne peut pas appliquer pour toutes ses applications. Cest le SSO dentreprise qui va sen charger. Par contre, lutilisateur devra et pourra pour son authentification Windows appliquer effectivement cette politique. Rgle 2 : Accs aux applications Web via Internet Laccs Web du moteur de SSO va permettre de mettre en place une authentification carte X.509 sans avoir modifier les applications cibles qui pourront fonctionner avec leur identifiant et mot de passe. Ces derniers sont les mmes que ceux fournis par lutilisateur depuis son PC lintrieur de lorganisation ou par Internet. Rgle 3 : Protection des applications les plus sensibles par biomtrie Le moteur de E-SSO va permettre de restreindre laccs aux applications R&D aux seuls postes de R&D quips de lecteurs biomtriques pour lauthentification. Un utilisateur pourra, au choix, utiliser un PC normal pour se connecter ses applications classiques ou utiliser un PC avec lecteur biomtrique lorsquil souhaite se connecter ses applications R&D, en plus de ses applications. Rgle 4 : laccs en zone publique Le SSO dentreprise permettra aux utilisateurs dutiliser lidentification par badge RFID actif pour accder aux seules applications autorises en zone publique.
39 F2 87LT Rev01
25
Authentification forte
Evidian peut vous aider mettre en place un projet dauthentification de vos utilisateurs et de contrle daccs vos applications. Pour plus dinformation, vous pouvez nous contacter sur : http://www.evidian.com/evidian/contacts.php&c=lbstrauth
39 F2 87LT Rev01
26