Les 7 mthodes dauthentification les plus utilises

Un livre blanc Evidian

Appliquez votre politique dauthentification grce au SSO dentreprise.

Par Stphane Vinsot Chef de produit Version 1.0

Sommaire
La bonne authentification sur le bon poste de travail Lauthentification forte : du mot de passe lauthentification multi-facteurs, multi-supports. Les 7 mthodes dauthentification Un exemple de politique dauthentification Le SSO dentreprise intgre lauthentification forte au sein de la politique de scurit

 2007 Evidian Les informations contenues dans ce document refltent l'opinion d'Evidian sur les questions abordes la date de publication. En raison de l'volution constante des conditions de march auxquelles Evidian doit s'adapter, elles ne reprsentent cependant pas un engagement de la part d'Evidian qui ne peut garantir l'exactitude de ces informations, passe la date de publication. Ce document est fourni des fins d'information uniquement. EVIDIAN NE FAIT AUCUNE GARANTIE IMPLICITE NI EXPLICITE DANS LE PRSENT DOCUMENT. Les droits des propritaires des marques cites dans cette publication sont reconnus.

Authentification forte

Table des matires

Avertissement .......................................... 5 La bonne authentification sur le bon poste de travail . 6

Lauthentification est la premire tape du processus de connexion dun utilisateur ..............6 Le niveau de scurit ...................................7
Votre Politique de scurit ............................ 7 Les lois et rglementations ............................ 7

Arbitrage avec les cots de mise en uvre et dexploitation ..........................................7

Lauthentification forte : du mot de passe lauthentification multi-facteurs, multi-supports. ..... 9

Authentification ou identification ? ....................9 Sept lments dauthentification ........................9 Lauthentification multi-facteurs ......................11 Le jeton ...............................................12 Le SSO dentreprise permet dappliquer lauthentification forte pour contrler laccs toutes les applications ......................13
Fonction de SSO et politique de scurit : un exemple . 13 Un exemple de politique de Scurit des accs ......... 14 Le SSO dEntreprise permet dintgrer lauthentification forte au sein de la politique de scurit ........................................... 16

Les 7 mthodes dauthentification les plus utilises .. 17

Linfrastructure dauthentification Windows ............17 (1) Identifiant et mot de passe ........................17 (2) Identifiant et OTP (One-Time Password) .............17
Architecture et principe .............................. 17 Mise en uvre et exploitation ......................... 18

(3) La clef USB ou carte puce PKI ....................18

Les diffrents types de cartes ........................ 19 Linfrastructure de PKI ............................... 19 Les fonctions du CMS .................................. 19 Le module dauthentification .......................... 20

(4) La clef Confidentiel Dfense .....................21 (5) La carte puce avec identifiant et mot de passe ...22 (6) Les solutions biomtriques .........................22
Les trois familles de solution de biomtrie ........... 22 Les solutions de biomtrie avec serveur ............... 23 Les solutions locales ................................. 23 Les solutions de biomtrie avec carte puce. ......... 23

39 F2 87LT Rev01

Authentification forte
(7) Le RFID Actif ......................................23
Les lments dune solution de RFID Actif ............. 24

Un exemple de politique dauthentification ............ 25 Le SSO dentreprise intgre lauthentification forte au sein de la politique de scurit ............. 26

39 F2 87LT Rev01

Authentification forte

Avertissement
Ce document est une introduction aux problmatiques dauthentification forte et daccs aux applications cibles. Il fait une revue des sept mthodes dauthentification les plus utilises actuellement et dcrit leurs mcanismes principaux. Il y associe les fonctions principales dun moteur de Single Sign-On (SSO). Il nadresse pas les problmatiques des Web Services ou de la Fdration didentit.

Pour plus dinformation sur une mthode particulire, merci de vous reporter aux documents plus spcialiss.

39 F2 87LT Rev01

Authentification forte

La bonne authentification sur le bon poste de travail

Lauthentification est la premire tape du processus de connexion dun utilisateur
Toute organisation sappuyant sur un systme dinformation a besoin de fiabiliser le processus de connexion aux systmes et applications. La cration dune source unique et fiable des identits, associe la gestion des droits sont les deux piliers dun bonne infrastructure de gestion des identits et des accs. Le processus de connexion dun utilisateur peut alors seffectuer. Il sarticule en gnral autours de 4 tapes ; Processus initial commun toutes les connexions 1. Lancement du poste de travail et authentification de lutilisateur 2. Le poste de travail vrifie les droits de lutilisateur et le connecte ses ressources Processus de connexion lapplication elle mme 1. Lancement par lutilisateur dune application scurise et authentification auprs de cette application. 2. Lapplication vrifie les droits de lutilisateur et le connecte ses transactions et donnes. Lauthentification de lutilisateur est lun des points clefs de ce processus. Cest elle qui doit permettre du Systme dInformation de sassurer de lidentit de lutilisateur et de lui associer ses droits. Il existe de nombreuses mthodes dauthentification. Chacune de ces mthodes possde ses caractristiques propres.

39 F2 87LT Rev01

Authentification forte

Le niveau de scurit
Votre Politique de scurit
Toute organisation a, ou devrait avoir, une politique de scurit concernant la protection des postes de travail, des applications, des donnes ou encore des systmes du SI. Cette politique de scurit peut dfinir des niveaux minima dauthentification en fonction de la criticit de la ressource utilise. Par exemple, il est possible dimaginer, comme dans tout bon film despionnage, que lon place un poste de travail critique dans une salle protge par un accs contrl par un code confidentiel, par lintroduction dune carte puce et par une identification biomtrique de lil droit. La protection est alors son maximum, car pour entrer il faut fournir un lment que lon sait (le code), que lon possde (la carte) et que lon est (lil). Ce mcanisme permet effectivement de protger un poste de travail mais il est coteux dun point de vue de la mise en uvre (il ncessite une salle par PC ainsi que les lecteurs adquats) et de lexploitation (que se passe-t-il si un utilisateur oublie son code, perd sa carte et devient borgne de lil droit ?).

Les lois et rglementations

Les nouvelles rglementations, comme Sarbanes-Oxley par exemple, exigent de mettre en place des mcanismes qui permettent dappliquer la politique de scurit et de dmontrer quelle est effectivement applique. Lauthentification de lutilisateur est lun des lments clefs prendre en compte. Il faut effectivement authentifier lutilisateur lors du lancement du poste de travail et/ou lors de la connexion son application en appliquant les rgles de la politique de scurit mais aussi dmontrer que la bonne mthode dauthentification est bien applique.

Arbitrage avec les cots de mise en uvre et dexploitation

La mise en place dune solution dauthentification forte doit aussi tre analyse laune des efforts pour sa mise en uvre et son exploitation tels que : Pour les oprations initiales La cration et la distribution des supports physiques (carte, clef,) ou des lments logiques (certificats X.509, mots de passe, donnes biomtriques) aux utilisateurs, La mise en place des lecteurs spcifiques, si ncessaires, sur les postes de travail, La mise en uvre de linfrastructure logicielle adquate (PKI, serveur Kerberos, serveur dauthentification biomtrique,), Lintgration avec les applications ou avec le SSO dEntreprise,

39 F2 87LT Rev01

Authentification forte
La formation des utilisateurs. Pour les oprations dexploitation La gestion dun nouvel arrivant avec lattribution de ses diffrents lments, La gestion de loubli dun lment logique (oubli du mot de passe ou de lidentifiant), La gestion de la perte dun support physique et de son remplacement (perte dune carte), La gestion de linvalidation dun support (code pin grill, donnes biomtriques non valides,).

Ces efforts doivent tre perus comme des investissements qui vont permettre de protger les donnes les plus sensibles de lentreprise et dappliquer la politique de scurit correspondante.

39 F2 87LT Rev01

Authentification forte

Lauthentification forte : du mot de passe lauthentification multi-facteurs, multi-supports.

Authentification ou identification ?
Il existe une diffrence toute simple entre identification et authentification : cest la preuve. Une identification sappuie sur une simple dclaration comme la rception ou la lecture dun code didentification (identifiant, n de srie, code barre,). Ce code didentification nest pas suppos secret. Cest une donne publique. Lauthentification sappuie sur un lment de preuve comme un secret partag ou un secret asymtrique. Lauthentification permet de sassurer avec un niveau de confiance raisonnable de lidentit de lutilisateur.

Sept lments dauthentification

Pour sauthentifier, un utilisateur fournit en gnral au moins 2 lments : son identifiant qui permet son identification. un ou plusieurs lments permettant dassurer lauthentification elle-mme. Nous retrouvons ainsi ces lments sous des formes diverses. Voici les plus largement utiliss : Type Lidentifiant et le mot de passe Description Lidentifiant et le mot de passe sont le couple dauthentification le plus connu. Simple, robuste, voire mme rustique, son plus gros dfaut est que le niveau de scurit dpend directement de la complexit du mot de passe. Des mots de passes simples sont faibles, et des mots de passes trop complexes conduisent les utilisateurs mettre en uvre des stratgies de contournement pour les grer : Post-it, liste dans un fichier Excel ou dans le SmartPhone, Lidentifiant et le mot de passe OTP (One-Time 1 Password ) LOTP permet de scuriser lutilisation du mot de passe sur le rseau. En effet avec un systme OTP, lutilisateur possde un calculateur spcialis qui lui fournit la demande un mot de passe. Ce mot de passe est valide pendant une dure limite seulement, et pour une seule utilisation. Cette solution est en gnral mise en uvre pour le processus dauthentification initiale pour les accs externes via IP/VPN

OTP : One Time Password ou encore Mot de Passe usage unique.

39 F2 87LT Rev01

Authentification forte
Les certificats PKI sur carte puce ou clef USB Les certificats X.509 mettent en uvre une technologie avance de chiffrement qui permet de chiffrer ou signer des messages sans avoir partager de secret. Lidentifiant est un certificat public qui est sign et donc garanti par une autorit de certification reconnue. Lutilisateur doit fournir un secret pour pouvoir utiliser les diffrents lments cryptographiques : le code PIN de sa carte ou de sa clef USB. Cette solution est en gnral mise en uvre pour le processus dauthentification initiale ou pour les connexions aux applications Web ou de messagerie. Clef Confidentiel Dfense Il sagit dune dclinaison particulire de lexemple prcdent. Cest en gnral une clef multifonctions : stockage de certificat X.509, stockage de donnes, ressource cryptographique etc Le stockage de lidentifiant et du mot de passe sur une carte puce permet de complter la scurisation du processus dauthentification. Le mot de passe peut ainsi tre trs complexe et chang rgulirement de manire automatique et alatoire. Sans la carte, et sans son code PIN, il ny a plus daccs au mot de passe. Cette solution est gnralement mise en uvre pour le processus dauthentification initiale Lauthentification par biomtrie sappuie sur la vrification dun lment du corps de lutilisateur (le plus souvent lempreinte digitale). Elle peut sappuyer sur un serveur central, sur le poste ou sur une carte puce pour stocker les donnes biomtriques de lutilisateur. Cette solution est en gnral mise en uvre pour le processus dauthentification initiale et/ou pour protger laccs des applications trs sensibles. Lidentification sans contact Le RFID est une technologie qui aujourdhui se dploie dans les projets dIdentification/Authentification. Une puce RFID est encastre dans un badge et porte un numro didentification. Ce numro est ensuite associ un utilisateur dans un systme informatique. A la base cest une technologie didentification qui peut, en tant couple un mot de passe fourni par lutilisateur par exemple, tre utilis dans des procdures dauthentification. Il existe 2 dclinaisons de cette technologie : Le RFID passif ou HID, qui suppose que la carte ne possde pas dalimentation propre. La carte est alimente lors de la lecture par un champ lectromagntique gnr par le lecteur. Ce systme est communment utilis pour le contrle daccs physique par badge ou le paiement au restaurant dentreprise. La dtection dune carte HID se fait quelque centimtre. Le RFID actif sappuie sur les protocoles de communication RFID mais associe la carte une alimentation propre. Cette alimentation permet une dtection de la carte plus longue

Lidentifiant et le mot de passe sur une carte puce

Biomtrie

39 F2 87LT Rev01

10

Authentification forte
porte (par exemple ds lentre dans une salle ou un bureau). Lintrt principal du RFID actif est de permettre un constat dabsence pour les postes de travail dans des zones accessibles au public

Lauthentification multi-facteurs
Un facteur dauthentification est un lment que lon sait (code secret), que lon possde (support physique) ou que lon est (biomtrie). Ds que plusieurs facteurs dauthentification entrent en jeu, nous parlons dauthentification multi-facteurs. Exemples de systme dauthentification 1 facteur : Identifiant + mot de passe (lment que lon sait), Identification sans contact (lment que lon possde), Biomtrie ou identifiant + biomtrie (lment que lon est). Exemples de systme dauthentification 2 facteurs : Carte puce + code PIN (lments que lon possde ET que lon sait), Carte puce + biomtrie (lment que lon possde ET que lon est), Biomtrie + mot de passe (lment que lon est ET que lon sait)). Exemple de systme dauthentification 3 facteurs : Carte puce + code PIN + biomtrie (lments que lon possde ET que lon sait ET que lon est).

La multiplication du nombre de facteurs dauthentification augmente le niveau de scurit gnral, mais pose les problmes suivants : Le cycle de vie de chaque facteur doit tre gr : rinitialisation des mots de passe et codes PIN, distribution des cartes puce, , Lergonomie dutilisation peut devenir trop contraignante pour les utilisateurs, Les cots des priphriques (cartes puce, lecteurs, capteurs biomtriques) sont additionns. De plus, la charge du help-desk va saccrotre pour grer lensemble de ces mthodes (dblocage des mots de passe et codes PIN, distribution des cartes, formation des utilisateurs la biomtrie, ).

39 F2 87LT Rev01

11

Authentification forte

Le jeton
Une fois lauthentification initiale de lutilisateur tablie, il faut la transmettre aux applications cibles. Lune des techniques utilise est le jeton dauthentification. Ce jeton est un ensemble de donnes contenant les lments prouvant lidentit de lutilisateur qui le prsente lapplication. Lapplication cible doit pouvoir rcuprer ce jeton, disponible sur le poste de travail, puis sadresser un serveur spcialis qui lui confirmera la validit du jeton ainsi que lidentit associe. Les jetons les plus rpandus sont aujourdhui les jetons Kerberos et les jetons SAML. Les jetons de type Kerberos Ces jetons, par exemple, sont mis en uvre dans les environnements Windows. Les jetons de type SAML (aussi appele assertion SAML) Ces jetons sont mis en uvre dans des architectures SOA/J2EE/Web Services. Les limites de lapproche par jeton Lapproche par jeton ncessite que les applications cibles soient capables de lire le jeton et de dialoguer avec le serveur dauthentification. Malheureusement, les applications dj en place (et mme certaines nouvelles applications) ne peuvent pas toujours tre adaptes simplement. Le SSO dentreprise permet de faire le lien entre lauthentification initiale de lutilisateur et les applications cibles de la manire la plus universelle possible. Le SSO dentreprise interface directement la fentre de demande didentifiant/mot de passe de lapplication cible qui na plus besoin dtre modifie.

39 F2 87LT Rev01

12

Authentification forte

Le SSO dentreprise permet dappliquer lauthentification forte pour contrler laccs toutes les applications
Le SSO dEntreprise permet de fournir automatiquement aux applications cibles les identifiants et mots de pass quelles requirent au lancement. Le SSO dentreprise permet donc dappliquer une politique la gestion et lutilisation de ces lments.

Fonction de SSO et politique de scurit : un exemple

La dfinition dune politique de scurit lie aux accs dpend des fonctionnalits de SSO disponibles que lon peut appliquer aux applications et utilisateurs cibles en fonction de leurs types daccs. Ces fonctionnalits sont par exemple : Auto-apprentissage Si lutilisateur lance une application intgre au systme de SSO et pour laquelle le systme de SSO ne connat pas encore lidentifiant et le mot de passe utiliser, le systme de SSO demande lutilisateur de fournir son identifiant et son mot de passe pour cette application. Comptes multiples Lors du lancement par lutilisateur dune application intgre au systme de SSO et pour laquelle lutilisateur possde plusieurs comptes applicatifs, le SSO offre lutilisateur le choix du compte sur lequel il souhaite se connecter. Changements planifis des mots de passe secondaires Le SSO sait changer automatiquement les mots de passe en fonction de la politique de scurit, soit en rpondant une demande de lapplication soit en gnrant les actions qui feront apparatre la fentre de changement de mot de passe. Le SSO permet alors de crer des mots de passe dune grande longueur (par ex. 32 caractres) avec un format complexe et alatoire. Ce mot de passe nest alors plus du tout gr par lutilisateur. Dlgation des accs Lutilisateur peut, partir de son poste de travail, dlguer ses accs un autre utilisateur pour une priode donne et pour une application donne. Lutilisateur dlgu na pas besoin de connatre lidentifiant et le mot de passe de lutilisateur dlguant pour se connecter aux applications cibles. Intgration dapplications personnelles Lutilisateur peut intgrer lui-mme ses applications personnelles au sein du systme de SSO. Dans ce cas, cest lui qui dfinit les attributs associs ses applications ainsi que les identifiants et mots de passe.

39 F2 87LT Rev01

13

Authentification forte
R-authentification pour accs sensible Lors du lancement par lutilisateur dune application intgre au systme de SSO, ce dernier peut demander une r-authentification dite primaire (la mme que lauthentification initiale) afin de vrifier si le demandeur est bien lutilisateur courant. Contrler laccs une application en fonction du poste de travail Le systme de SSO peut limiter laccs aux applications les plus critiques partir dun sous-ensemble donn de poste de travail. Par exemple, les applications de R&D ne peuvent tre accessibles qu partir des postes du site de R&D. Laccs via un portail Web partir dun browser quelconque sur Internet Certaines applications doivent pouvoir tre accessibles via Internet partir de nimporte quel poste de travail. Il faut alors que les mcanismes de SSO puissent aussi sappliquer.

Un exemple de politique de Scurit des accs

Voici un exemple basique de politique de scurit des accs : Classification des applications Standards Ce sont des applications qui sont utilises par tout le monde (e-mail, notes de frais). Les mots de passe doivent rester visibles pour certains utilisateurs qui doivent y accder de lextrieur via un portail web scuris Attributs associs aux applications Lauto-apprentissage des identifiants et mots de passe est mis en oeuvre La dlgation est autorise Pas de r-authentification lors du lancement de lapplication Accs Web via Internet Critiques Ce sont des applications dont lutilisation est restreinte une famille dutilisateurs. Les mots de passe sont cachs afin de contrler leur accs via la solution de SSO. Les mots de passe sont cachs lutilisateur Les changements de mot de passe sont grs automatiquement la demande des applications La dlgation est autorise Pas de r-authentification lors du lancement de lapplication Pas daccs Web via Internet

39 F2 87LT Rev01

14

Authentification forte
Critiques niveau suprieur Ce sont des applications dont lutilisation est restreinte une famille dutilisateurs. Leurs accs doivent tre particulirement protgs. Les mots de passe sont cachs lutilisateur Les changements de mot de passe sont grs automatiquement de manire planifie La dlgation est interdite pour certains utilisateurs et autorise pour dautres (pour les quipes de management). Lors du lancement de lapplication, lutilisateur doit se r-authentifier Laccs ne se fait qu partir des postes du service concern ou partir de la zone concerne (Public, front-office, back offices,) Pas daccs Web via Internet Personnelles Ce sont des applications que les utilisateurs veulent pouvoir intgrer au sein de leur SSO. Les applications et les attributs sont dfinis par lutilisateur (pas de dlgation) Les identifiants et les mots de passe sont dfinis par les utilisateurs Pas daccs Web via Internet

39 F2 87LT Rev01

15

Authentification forte Le SSO dEntreprise permet dintgrer lauthentification forte au sein de la politique de scurit
Avec un SSO dEntreprise, il devient possible dintgrer diffrents modes dauthentifications et de les appliquer en fonction du type de poste de travail. Par exemple, il est possible de mettre en uvre Une authentification biomtrique pour protger les postes et donc laccs aux applications de R&D, Une authentification RFID Actif qui permet de grer laccs aux postes en selfservice Une authentification par Identifiant / OTP pour protger les accs externes via IP/VPN Une authentification par carte puce X.509 pour protger les accs Internet Web sur un navigateur quelconque. Une authentification par identifiant/mot de passe pour les postes banaliss Le SSO dEntreprise peut alors grer les accs aux applications cibles en fonction du poste et du type dauthentification. La r-authentification Lors du lancement dune application sensible, le moteur de SSO peut redemander une r-authentification. Pour les postes quips dun module dauthentification forte, cest ce type de r-authentification qui est alors redemand. Cette fonction permet dappliquer lauthentification forte une application fonctionnant avec une authentification identifiant et mot de passe, et ce sans changer lapplication concerne.

39 F2 87LT Rev01

16

Authentification forte

Les 7 mthodes dauthentification les plus utilises

Linfrastructure dauthentification Windows
La mise en oeuvre dune authentification forte en environnement Windows ncessite de sintgrer linfrastructure dauthentification de Windows. Il faut parfois remplacer ou complter les composants Windows existants. Ces composants sont, par exemple : Le module dauthentification2 du PC qui se charge de lauthentification initiale et de la gestion des exceptions initialis par Ctrl+Alt+Supr . Cest lui qui doit alimenter le log de scurit pour la partie authentification initiale en complment des authentifications aux applications cibles. Lannuaire des utilisateurs qui peut tre Active Directory. Linfrastructure Microsoft PKI qui permet de dlivrer des certificats X.509. De plus lorsque lon met en place des lecteurs spcifiques (biomtrie, carte puce,) il faut installer sur Windows les lments (les drivers) qui permettront de grer le dialogue avec ces lments.

(1) Identifiant et mot de passe

Cette mthode ne requiert aucune modification de linfrastructure dauthentification Windows en place. Il suffit dinstaller sur le poste de travail le module de SSO dEntreprise pour appliquer la politique de scurit des accs.

(2) Identifiant et OTP (One-Time Password)

Architecture et principe
Lutilisateur possde un calculateur spcifique qui va lui permettre la connexion de fournir un mot de passe valide durant une priode limite. Pour pouvoir utiliser son calculateur, il doit tout dabord y introduire un mot de passe. Le calculateur lui fournit alors en retour un mot de passe usage unique que lutilisateur va, son tour, fournir au module dauthentification du PC. Le module dauthentification dialogue ensuite avec le serveur OTP pour sassurer de la validit des informations fournies et pour accepter ou non la connexion.

Ce module est aussi connu sous le nom de GINA.

39 F2 87LT Rev01

17

Authentification forte

Serveur dauthentification

Validation de lidentifiant et du mot de passe unique

Figure 1 : Mcanismes OTP Lune des utilisations principales de ce systme par les organisations est la scurisation des accs sur IP/VPN partir des PC situs au domicile des employs.

Mise en uvre et exploitation

Cette solution suppose en gnrale la mise en uvre dun ou plusieurs serveurs spcifiques dauthentification accessibles en 24x7. Chaque utilisateur doit possder une calculatrice spcifique et le mot de passe associ. Il faut donc mettre en place les procdures de gestion des demandes utilisateurs suite la perte ou loubli dune calculatrice ou loubli dun mot de passe.

(3) La clef USB ou carte puce PKI

Les solutions base de PKI commencent se dployer effectivement pour assurer les authentifications initiales. La mise en uvre dune solution base de carte puce et de certificat suppose lagrgation de plusieurs composants La carte avec son lecteur ainsi que le code logiciel associ qui doit tre install sur le poste de travail. Linfrastructure de certificat X.509 doit fournir les diffrents composants dune infrastructure PKI : lAutorit de Certification et lAutorit dEnregistrement. Le CMS (Card Management System) qui va grer lattribution des cartes (voir plus bas). Le module dauthentification Windows.

39 F2 87LT Rev01

18

Authentification forte
Le serveur dauthentification.

Les diffrents types de cartes

Il y a principalement deux grandes familles de carte : Les cartes puce cryptographique ( ) qui ncessitent un lecteur. Elles permettent dintgrer dautres technologies pour dautres usages, comme par exemple : une antenne sans contact (accs physique), ou une piste magntique (cantine, badgeur). Les clefs USB (avec puce) qui nont pas besoin de lecteur et peuvent se connecter directement au PC avec les pilotes appropris. Ces clefs USB peuvent apporter des fonctions complmentaires comme un disque externe.

Linfrastructure de PKI
Une infrastructure cl publique est en rgle gnrale compose de trois entits distinctes : L'autorit d'enregistrement (AE). Cette entit est charge des oprations administratives telle que la vrification de lidentit de lutilisateur ou le suivi des demandes. L'autorit de certification (AC). Cette entit est charge des tches de cration de certificats ou de signature des listes de rvocation L'Autorit de dpt (AD). Cette entit est charge de la conservation en scurit des certificats des fins de recouvrement.

Les fonctions du CMS

Un Card Management System doit pouvoir effectuer les fonctions suivantes : Cration dune carte pour un nouvel employ : association de la carte un employ et, dialogue avec lAC de la PKI pour rcuprer le certificat de lemploy et le mettre dans la carte Prt dune carte temporaire un employ lorsque lemploy a oubli sa carte Mise en liste noire (blacklist) dune carte perdue (ou retrait de la liste noire si elle est retrouve) Dblocage en local ou distance dun code pin quun utilisateur a verrouill Il doit tre utilisable par le help desk pour grer les fonctions de dblocage dun code pin et par les structures daccueil des diffrents sites pour la cration et laffectation dune carte ou pour le prt dune carte.

39 F2 87LT Rev01

19

Authentification forte Le module dauthentification

Le module dauthentification du poste doit permettre dauthentifier lutilisateur : 1. 2. 3. 4. Il demande lidentifiant et le code PIN de sa carte lutilisateur Il vrifie auprs du CMS que la carte nest pas dans la liste noire des cartes Il rcupre le certificat public dans la carte, vrifie sa signature et vrifie quil nest pas publi dans la liste noire Il demande la carte de signer un challenge et vrifie (ou fait vrifier par un serveur) que la signature correspond bien au certificat public

En cas de validation des lments, ce module autorise laccs au poste de travail sous lidentit requise. Il doit galement grer dautres vnements : La perte ou loubli du code PIN. Le module dauthentification doit pouvoir permettre lutilisateur qui est au bout du monde et qui ne peut pas appeler son help-desk de rcuprer un mot de passe ou un code pin en rpondant quelques questions. La rinitialisation distance du code PIN dune carte par le help-desk. La scurisation du poste de travail lors du retrait de la carte : fermeture de la session Windows, ou verrouillage simple. La mise en uvre du Changement rapide dutilisateur qui permet de changer rapidement le contexte du SSO dentreprise et douvrir les applications cibles dans le contexte de scurit personnel de lutilisateur.

39 F2 87LT Rev01

20

Authentification forte
Le module dauthentification est au cur dune authentification base de PKI.
CMS Vrifie la validit de la carte Rinitialise le code PIN

PKI Infrastructure

E-SSO

Vrifie la validit du certificat et du code PIN Module dauthentification

Rpond aux demandes de re-authentification

Authentification initiale Re-authentification Rinitialisation du code PIN Retrait de la carte

Figure 2 : Le module dauthentification du poste au cur de lauthentification forte

(4) La clef Confidentiel Dfense

La clef confidentiel dfense est une dclinaison particulire de lexemple prcdent. Cest en gnral une clef multi-fonctions : stockage de certificat X.509, stockage de donnes, ressource cryptographique pour le chiffrement la vole du disque dur ou de tout autre composant comme la VoIP ou des flux applicatifs PC/Serveur.
3 Afin de contrer les risques des key loggers , le code PIN dune telle clef est compos sur la clef elle-mme afin dviter lutilisation du clavier.

Cette clef est capable de transporter de manire scurise les diffrents lments du SSO dentreprise qui devient alors portable et utilisable sur nimporte quel poste.

Un key logger est un code malveillant qui sinstalle linsu de lutilisateur sur son PC et qui enregistre les touches frappes par lutilisateur pour ensuite les envoyer un serveur.

39 F2 87LT Rev01

21

Authentification forte
Ce type de clef, vritable coffre-fort lectronique, permet de mettre en place une solution portable, intgre et scurise dAuthentification forte et de SSO dEntreprise.

(5) La carte puce avec identifiant et mot de passe

Une solution plus lgre permet dutiliser la carte puce pour stocker lidentifiant et le mot de passe Windows de lutilisateur. A lauthentification de lutilisateur, le module dauthentification du poste va utiliser ces lments pour authentifier lutilisateur auprs de lannuaire LDAP. La carte sera alors utilise pour protger les donnes de scurit, comme par exemple, les mots de passe SSO. Il ny a plus besoin dinfrastructure PKI ; seuls le CMS et le SSO dEntreprise restent ncessaires.

(6) Les solutions biomtriques

Les solutions biomtriques utilisent des lecteurs biomtriques pour contrler les accs physiques. Il y a relativement peu de fournisseurs de lecteurs biomtriques. Certains constructeurs de portable proposent une option pour intgrer ce type de lecteur dans le corps du portable. Les solutions de biomtrie sont en gnral utilises lintrieur de lentreprise pour protger laccs aux applications les plus sensibles. Il ny a pas actuellement de normes appliques par les navigateur du march qui permettraient de contrler les accs partir de nimporte quel PC sur internet.

Les trois familles de solution de biomtrie

Le stockage et la gestion des donnes biomtriques se sont heurts aux rglementations rgissant la protection de lindividu. Certains pays, par exemple, nautorisent pas la mise en place de bases de donnes centrales de donnes biomtriques. Les solutions de biomtrie permettent de mettre en uvre trois types diffrents darchitectures. Stockage des donnes de biomtrie Solution base de serveur Solution poste Solution base de carte cryptographique Dans le serveur Sur le poste de lutilisateur Dans la carte cryptographique Vrification de lauthentification Par le serveur Par le poste de travail Par la carte puce ou par le poste de travail

39 F2 87LT Rev01

22

Authentification forte Les solutions de biomtrie avec serveur

Elles sappuient sur les composants suivants ; Un serveur central, Un module denrlement des signatures biomtriques, Un module dauthentification spcifique pour grer lauthentification.

Les solutions locales

Ces solutions vitent le stockage centralis des signatures biomtriques en stockant toute donne sensible sur le poste de lutilisateur. Si cette solution est plus acceptable dun point de vue lgal dans de nombreux pays, elle pose le problme de la mobilit des utilisateurs dans lentreprise.

Les solutions de biomtrie avec carte puce.

Ces solutions vitent galement lutilisation dun serveur central, tout en donnant lutilisateur la possibilit de se dplacer au sein de lentreprise. En effet, ses signatures biomtriques sont conserves sur sa carte puce et le suivent sur tous les postes de travail. Si cette solution est la fois plus scurise et mieux accepte dans de nombreux pays, elle ncessite lutilisation dun Card Management System pour le dploiement des cartes et de disposer de tous les priphriques ncessaires sur les diffrents postes de travail.

(7) Le RFID Actif

Les solutions base de RFID Actif mettent en oeuvre le protocole RFID pour identifier lutilisateur sans contact physique, quelques mtres de distance. Le badge de lutilisateur possde une alimentation propre qui lui permet de dialoguer avec une antenne connecte au PC. Le PC est alors capable de dtecter larriv ou le dpart dun utilisateur sans que ce dernier nait besoin de faire aucune action particulire. Il est possible de modifier les diffrents paramtres qui rgissent les ractions du PC comme : 1. La distance de dtection de larrive dun utilisateur et la distance de dtection du dpart dun utilisateur 2. 3. 4. Laction mettre en oeuvre lors du dpart dun utilisateur : fermeture de la session Windows, verrouillage de la session ou encore laisser le PC en ltat Laction mettre en uvre lors de larrive dun utilisateur : demander le mot de passe Windows ou non, dbloquer lcran de veille Laction mettre en oeuvre lorsque plusieurs utilisateurs sont dtects en mme temps

39 F2 87LT Rev01

23

Authentification forte
Ces diffrents paramtres permettent de dcrire diffrents scnarios dutilisation avance comme par exemple : le changement rapide dutilisateur dans le service des Urgences dun hpital ou encore la protection dun poste de travail dans la zone publique dune agence bancaire.

Les lments dune solution de RFID Actif

Les principaux lments dune solution de RFID Actif sont : les lments physiques tels que les badges des utilisateurs et lantenne pour chaque PC Le module dauthentification installer sur le PC Le Badge Management System qui va grer les badges et dialoguer avec le module dauthentification des postes pour lidentification des badges, et la gestion des identifiants et mots de passe douverture de session.

39 F2 87LT Rev01

24

Authentification forte

Un exemple de politique dauthentification

Prenons lexemple dune organisation qui, pour des raisons lgales et la suite dun incident grave ayant provoqu le vol de donnes sensibles, doit mettre en uvre une politique dauthentification avance. Elle dcide alors de mettre en place les rgles suivantes pour lauthentification initiale. 1. Lidentifiant et le mot de passe sont les moyen standard dauthentification. Le mot de passe devra avoir au moins 10 caractres dont 2 au moins numriques et 2 au moins alphabtiques. Il devra tre modifi tous les mois. 2. 3. 4. Les applications Web accessibles depuis Internet doivent tre protges par une carte puce cryptographique avec certificat X.509 (PKI) La biomtrie est utilise en interne pour protger les applications de R&D Le RFID Actif est utilis pour protger les PC des succursales qui sont en zone Open Space publique. Seules certaines applications sont accessibles partir de ces PC.

Cest le SSO dentreprise qui va permettre dappliquer effectivement cette politique. Rgle 1 : politique de changement de mot de passe La politique de mot de passe ainsi dfinie est extrmement contraignante. Un utilisateur ne peut pas appliquer pour toutes ses applications. Cest le SSO dentreprise qui va sen charger. Par contre, lutilisateur devra et pourra pour son authentification Windows appliquer effectivement cette politique. Rgle 2 : Accs aux applications Web via Internet Laccs Web du moteur de SSO va permettre de mettre en place une authentification carte X.509 sans avoir modifier les applications cibles qui pourront fonctionner avec leur identifiant et mot de passe. Ces derniers sont les mmes que ceux fournis par lutilisateur depuis son PC lintrieur de lorganisation ou par Internet. Rgle 3 : Protection des applications les plus sensibles par biomtrie Le moteur de E-SSO va permettre de restreindre laccs aux applications R&D aux seuls postes de R&D quips de lecteurs biomtriques pour lauthentification. Un utilisateur pourra, au choix, utiliser un PC normal pour se connecter ses applications classiques ou utiliser un PC avec lecteur biomtrique lorsquil souhaite se connecter ses applications R&D, en plus de ses applications. Rgle 4 : laccs en zone publique Le SSO dentreprise permettra aux utilisateurs dutiliser lidentification par badge RFID actif pour accder aux seules applications autorises en zone publique.

39 F2 87LT Rev01

25

Authentification forte

Le SSO dentreprise intgre lauthentification forte au sein de la politique de scurit

Mettre en place une solution dauthentification avance pour lauthentification initiale ne sert rien si lon na pas rgl les problmes lis lauthentification pour laccs aux applications cibles. Le SSO dentreprise va permettre de dployer efficacement une politique globale dauthentification sur le Systme dInformation : Gestion et scurisation des accs aux applications cibles Filtrage des applications en fonction du PC et du mode dauthentification associ Consolidation des informations de logs pour tous les types dauthentification (initiale et aux applications cibles).

Evidian peut vous aider mettre en place un projet dauthentification de vos utilisateurs et de contrle daccs vos applications. Pour plus dinformation, vous pouvez nous contacter sur : http://www.evidian.com/evidian/contacts.php&c=lbstrauth

39 F2 87LT Rev01

26

Pour plus d'informations, consulter le site www.evidian.com/ Email : info@evidian.com