Académique Documents
Professionnel Documents
Culture Documents
Authentification forte :
les nouvelles tendances
INCONTOURNABLE. Pour Sylvain Maret, directeur veille techno-
logique e-Xpert Solutions SA, l’authentification forte s’impose
parmi les principes de base d’une protection optimale.
L
a protection des biens est 1. quelque chose que l’on con- du principe que la majorité des
une préoccupation majeu- naît : un mot de passe ou un PIN mots de passe sont «faibles»
re de la société, un souci code; (combinaisons simples du type
que partage tout un chacun. Cer- 2. quelque chose que l’on pos- année de naissance, prénom de
tains s’en inquiètent à titre per- sède : un «token», une carte à son enfant, etc.), les découvrir
sonnel, pour leurs propres biens. puce, etc.; rapidement se révèle très facile.
D’autres, pour des raisons mili- 3. quelque chose que l’on est :
taires ou économiques. A l’ère un attribut biométrique, tel 2) Ecoute du réseau
des nouvelles technologies de qu’une empreinte digitale; La plupart des applications
l’information, les entreprises se 4. quelque chose que l’on fait : comme «telnet», «ftp», «http»,
sentent de plus en plus concer- une action comme la parole ou «ldap», etc., n’ont pas recours
nées – pour des raisons propres une signature manuscrite. au chiffrement («encryption»)
à chacune d’entre elles – par la On parle d’authentification lors du transport d’un mot de
sécurité de leurs systèmes infor- forte dès que deux de ces passe sur le réseau. «Ecouter» le
Sylvain Maret, directeur matiques. Mettre en place une méthodes sont utilisées ensem- trafic et en extraire le mot de
veille technologique e-Xpert véritable politique de sécurité ble. Par exemple une carte à passe devient un jeu d’enfant
Solutions SA devient une obligation. Tout puce avec un PIN code. dès lors qu’on dispose d’un logi-
comme appliquer les principes ciel d’écoute appelé «sniffer»
de base d’une protection opti- Pourquoi cette méthode (littéralement, renifleur).
male que sont l’authentification, plutôt qu’une autre? Il existe un grand nombre de
l’autorisation, l’intégrité, la Le mot de passe est actuelle- «sniffers» dédiés exclusive-
non-répudiation et la confiden- ment le système le plus cou- ment à la capture des mots de
tialité. ramment utilisé pour identifier passe. Un des plus efficaces est
Parmi ces cinq mécanismes, un utilisateur. Malheureuse- «dsniff». Ce type de logiciels est
l’authentification, et plus parti- ment, il n’offre pas le niveau de également capable de capturer
culièrement l’authentification sécurité requis pour assurer la des mots de passe dans un envi-
forte, est, de mon point de vue, protection de biens informa- ronnement réseau commuté. La
la clé de voûte de la sécurité tiques sensibles. Sa principale méthode utilisée dans un tel
informatique. faiblesse réside dans la facilité environnement est celle du
avec laquelle il peut être trouvé, «ARPPoisoning».
L’authentification grâce à différentes techniques
L’authentification est une d’attaques. 3) Ecoute du clavier
procédure qui vise à s’assurer Mis à part l’approche, effi- Imaginons que le trafic sur le
de l’identité d’un individu ou cace, de la manipulation psy- réseau soit chiffré et que l’utili-
d’un système informatique. chologique («social enginee- sateur ait pris soin de choisir un
C’est un préliminaire indispen- ring»), on recense trois grandes mot de passe extrêmement
sable à l’activation du méca- catégories d’attaques informa- «solide». Une méthode d’at-
nisme d’autorisation et, donc, à tiques : taque se révèle malgré tout
la gestion des droits d’accès à un 1) Attaque de «force brute» imparable : l’écoute du clavier
système d’information donné. Il s’agit d’une attaque qui vise à ou «key logger», qui permet de
Les méthodes classiques pour deviner un ou plusieurs mots de «capturer» l’ensemble des
identifier une personne phy- passe en utilisant des diction- touches tapées sur un clavier.
sique sont au nombre de naires ou en testant toutes les Les logiciels utilisés dans ce
quatre : combinaisons possibles. Partant cas sont généralement installés
l 06/02
l C O M M U N I C AT I O N
06/02 l 45