tat de l'art de l'authentification renforce

Dominique ALGLAVE
SG/STSI/SDITE
61-65 rue Dutot
75015 PARIS

Pascal COLOMBANI
SG/STSI/SDITE
61-65 rue Dutot
75015 PARIS

Nicolas ROMERO
Ple de comptence Gestion des Identits
45000 ORLEANS

Sofiane FLIH
SG/STSI
61-65 rue Dutot
75015 PARIS

Rsum
Plusieurs approches diffrentes concourent la scurisation globale du systme dinformation, et cumulent leurs
apports respectifs. Ainsi en est-il du suivi des bonnes pratiques d'une part, de la clarification du primtre protger
d'autre part et du renforcement du contrle laccs, c'est dire la premire authentification. En fin de compte, la
question de la scurisation raisonnable, du niveau technologique suffisant, demeure toujours dterminante, ne serait-ce
quau niveau budgtaire.
Lobjectif de cette tude est justement de couvrir tous les types dauthentification allant du support cryptographique
physique jusquau mot de passe, en abordant galement les nouveaux modes dauthentification prsents rcemment
dans loffre industrielle, tels que les grilles dynamiques , les jetons invisibles ou les analyses comportementales,
afin de permettre une comparaison de ces types aprs avoir dgag des critres de comparaison communs.
La partie mthodologique vise exposer les critres et leur pertinence ainsi que leurs limites, tandis que les
paragraphes relatifs aux rsultats permettent la fois de disposer dune description de la technologie en question, puis
d'une caractrisation sous forme de notation par critres mais aussi sous forme de radar. Enfin, ce dernier aspect
dbouche sur des comparaisons entre ces diffrentes techniques, leurs forces relatives, leurs faiblesses relatives et leur
adaptabilit telle population du ministre plutt qu telle autre.
Ce travail concerne aussi les quipes de dveloppement puisque ce tour dhorizon permet de dgager des concepts
innovants dont certains sont partiels et pourraient initier dautres dveloppements libres de droit dont limplmentation
matrise aurait un cot trs faible.
Loutil de constitution des radars sera mis disposition ds les JRES 2013.

Mots-clefs
Authentification forte, authentification faible, PKI, gestion des identits, vol didentits, gestion de risques, fdration
didentit, SSO.
JRES 2013 - Montpellier

1/11

1 Introduction
Dans les systmes dinformation intgrant toutes les briques technologiques ltat de lart, telles que la fdration
didentit, lauthentification unique (SSO), la faiblesse de lauthentification initiale se propage lensemble du domaine
ainsi fdr. De mme la force de lauthentification initiale se propage lensemble du primtre fdr dans la mesure
o le rseau fdr est lui aussi scuris de manire adquate. Le renforcement de lauthentification du primtre du
systme dinformation est donc un enjeu de premier ordre. Cependant, mettre en uvre ce renforcement nest pas
simple : il requiert de minimiser les changements darchitectures pour viter des congestions laccs du systme
dinformation ; il demande de modifier les habitudes de lensemble des usagers des applications ; il suppose un cot
variable mais rcurrent et couramment exorbitant par rapport aux capacits de budget de la scurit informatique. Si
bien que les points dachoppements des projets utilisant la cryptographie ne sont plus de lordre de la matrise thorique
ou des applications dveloppes mais bien de la mise en uvre globale intgrant tous les facteurs du dploiement.
Lauthentification forte utilise deux facteurs non lis parmi les trois de nature distinctes couramment prsents par ce
que je suis, ce que je possde, ce que je sais, alors que lauthentification renforce recouvre lutilisation de deux
facteurs lis parmi ces trois et prsente de nombreux avantages de lordre de la facilit du dploiement ou du cot ou de
la convivialit.
Etant donn que lamlioration de lauthentification laccs est une tape cl du renforcement de la scurit de
lensemble du systme dinformation par le biais des outils de la fdration didentit ou de lauthentification unique, il
convient de lever les derniers obstacles qui sy opposent. La seule certitude en la matire est que lusage du mot de
passe statique comme validation de lidentit laccs est aujourdhui un facteur de risque. Mais il est ncessaire de
faire linventaire des paramtres dvaluation des techniques alternatives. La caractrisation des mcanismes
dauthentification permettra ainsi de dfinir les tapes des dploiements intermdiaires vers une gnralisation de
lauthentification forte dans le futur.
Si les acteurs du systme dinformation sont par ailleurs issus de populations htrognes, alors la dfinition de classes
homognes des modes dauthentification renforce est essentielle la russite de lentreprise damlioration du niveau
de scurit. Le rsultat conduira alors disposer dun bouquet dauthentification suivant les familles de population, dont
les solutions dauthentification forte feront partie et resteront lobjectif moyen terme.
Il sagit en consquence de doter les ministres dun outil capable dviter des erreurs de parcours en choisissant des
solutions dauthentification en inadquation avec les besoins rels. Lobjectif pour aujourdhui est donc : qualifier les
diffrentes technologies puis les diffrents produits dauthentification disponibles sur le march, afin de faciliter leurs
mises en uvre ventuelles tant du point de vue des usages que de leur intgration dans les infrastructures existantes. Le
cas chant, dautres solutions spcifiques peuvent tre labores partir de la prise en compte des lacunes des
solutions commerciales et permettre ainsi linstitution de disposer faible cot de solutions techniques bien adaptes.

2 Mthodologie laboration des critres

Constitution de critres dvaluations des technologies

2.1

Etant donn la diversit des solutions proposes sur le march depuis trois ans, il est complexe de prsenter une grille
danalyse fiable apte honorer les avantages sans omettre les inconvnients. Il convient donc dtablir une liste de
critres en pralable pour couvrir les grandes problmatiques communes aux diffrentes communauts constituant le
ministre, puis dvaluer les types de technologie au regards de ces critres et enfin de montrer les principaux traits
issus des choix de certains produits industriels combinant plusieurs technologies. En rsultat collatral de cette tude, il
sera possible deffectuer des comparaisons et ventuellement de concevoir des types technologiques nouveaux
rpondant mieux encore aux besoins spcifiques du ministre.

2.2

Explication des critres et justification de leur pertinence

La classification des critres part du principe dun dcoupage par domaine dvaluation regroupant des sous critres
issus de questions prcises. Lexplication de ces derniers vient ci-aprs et demeure une approche subjective.
1.

Domaine relatif la typologie de lauthentification

JRES 2013 - Montpellier

2/11

Lobjectif de cet aspect de la caractrisation vise situer le plus clairement possible le mode dauthentification par
rapport aux critres habituellement connus et rfrencs dans les tudes classiques de lauthentification. Etant donn
lmergence de nouveaux types, il faut revenir aux fondements de la classification base sur le facteur de forme
physique ou non, sur le partage de secret ou non ainsi que dautres paramtres permettant de les situer comparativement. Plus la technologie sera forte, plus la note sera valorise.
On distingue dans ce domaine la valorisation des critres suivants :
- La famille dappartenance couvrant les possibilits suivantes : simple login et mot de passe, login et mot
de passe + Captcha, OTP Matriel, OTP Logiciel, OTP la demande, grille dynamique, authentification
environnementale, authentification par le risque, authentification comportementale, par lusage de la biomtrie, et plus classiquement par les certificats.
- Ds lors, on peut affecter une qualification de faible trs forte en nuanant par des valuations intermdiaires en fonction des risques identifis ou constats. Le qualificatif de trs fort tant rserv
lauthentification par certificat sur support cryptographique physique qualifi par les organismes habilits
en France dans la mesure o la matrise complte des infrastructures et des oprateurs est galement assure (Le cas des compromissions dautorits denregistrement de COMODO montre que cette matrise des
oprateurs et des infrastructures fait partie de lvaluation de loffre de scurit). Viennent ensuite les solutions dOTP avec support cryptographique physique qui prsentent la vulnrabilit de la centralisation des
secrets partags dans un support qui peut ne pas tre fort et qui est vulnrable des attaques internes multiples ou des pannes potentielles mettant en dfaut le fonctionnement de lauthentification. A lextrme
vient le mot de passe simple sans politique de renforcement. Au cas par cas, il est possible de noter chaque
technologie en relatif par rapport aux deux extrmes.
- De manire complter le critre prcdent, le nombre de facteurs est ajout ltude pour prciser le prcdent et donner une indication qui reste dcisive dans lusage tant par les questions de dploiement que
dattaque potentielle.
- La volont de sinscrire durablement dans la dmarche de lANSSI implique de prciser si le produit couvert par le type dauthentification tudi a t qualifi ou sil entre dans une catgorie du Rfrentiel Gnral de la Scurit.
La typologie de lauthentification permet aux spcialistes de situer demble les difficults prvisibles dans la mise
en uvre ou lacceptation des produits qui sy rattache.
2.

Domaine relatif ladhrence vis--vis des technologies choisies

Le but de ce second domaine vise souligner le degr dadhrence technique de certaines solutions vis--vis de tout
support. Ce groupe de critres vise dceler dventuels cots cachs dans le dploiement, la maintenance, mais
galement identifier une capacit relle ou au contraire une incapacit de raction par rapport un incident technologique majeur. Autrement dit, mme si dans les critres prcdents le fait quil y ait un support physique apporte un
avantage en matire de scurit, si la robustesse de lensemble est mise mal alors le support physique devient une
contrainte forte pour la reprise dactivit scurise. Il sagit de mesurer la capacit de rsilience. Donc, plus
ladhrence sera forte, plus la note sera dvalorise :
- La technologie est-elle base sur un support cryptographique physique, quel quil soit ?
- Est-elle utilisable sur un poste en libre-service sans avoir le personnaliser de manire spcifique ?
- Y-a-t-il une installation dun pilote logiciel spcifique et dans ce cas, peut-on disposer du support pour
tous les type dOS (y compris pour les tablettes) et tous les types de matriel plus pauvres en connectique ?
3.

Domaine relatif la protection du secret

Les paramtres de ce troisime domaine visent mettre en exergue un groupe dvnements redouts et leur probabilit associe. Cet aspect plus prcis de lanalyse de risque, faite exclusivement sur la scurisation primtrique reposant encore massivement sur lauthentification par mot de passe, traduit une focalisation technique : il sagit de la
sensibilit au vol du secret, et plus particulirement lorsquil est fait linsu du porteur. Le fait de focaliser sur ce
risque vise tablir les authentifications renforces comme tape intermdiaire possible vers lauthentification forte
rfrence dans le RGS. Reste en voir les nuances et en accepter ou non les risques rsiduels selon les besoins.
La protection du secret est note de plus en plus favorablement selon quelle permet de :
- Rsister au vol didentifiant par phishing ou key logger ou encore par observation rpte
- Echapper au vol par interception

JRES 2013 - Montpellier

3/11

4.

Et surtout de reprendre une activit de manire sre aprs attaque massive du systme de scurit ; il sagit
de mettre en valeur la rsilience intrinsque dune mthode dauthentification en cas de constat de la perte
du secret

Domaine relatif au cot

Par ce quatrime domaine, ltude entend prendre en compte les cots dinfrastructure et de dploiement initial ainsi
que les cots unitaires pour un porteur dauthentification. Par ailleurs, le cot de maintenance annuelle est aussi pris
en compte. La prcision de ces critres est difficile obtenir sans avoir lanc un appel doffre.

5. Domaine relatif lintgration

Lintgration dun projet dauthentification dans la globalit du systme dinformation - au sens du systme qui
porte la donne - est essentielle sa bonne russite. Afin de traduire concrtement ces termes il faut prendre en
compte dune part lintgration technique grce aux critres suivants :
-

Laisance de lintgration dans linfrastructure existante et en particulier dans linfrastructure

dauthentification et de fdration didentit, notamment par la compatibilit du modle bas sur CAS,
Shibboleth, ou larchitecture de RSA (FIM, Authentication Manager, Access Manager)

Lindpendance par rapport certaines technologies propritaires et la capacit inter oprer avec tous les
rfrences issues des normes ou des solutions industrielles rpandues (SAML, LDAP, RADIUS pour les
premires, AD, pour les secondes, etc.)

La capacit passer dans un mode industriel rparti dans les infrastructures des ministres. Il est vis par
ce critre lindpendance par rapport un modle en cloud computing, autant que laptitude avre du
support industriel corriger dventuels bugs par la maintenance logicielle ou lintervention par des
correctifs en urgence. De mme, la possibilit mettre en uvre une solution de haute disponibilit
ventuellement sur plusieurs sites demeure un aspect indispensable pour la continuit dactivit.

Lindpendance vis--vis dune connexion Internet ou de laccs un centre de donnes par Internet ainsi
que la couverture gographique (DOM/TOM/COM/URB/RUR) si toutefois le mode de connexion
dpendait dune communication tlphonique.

Dautre part, la notion dintgration vise galement lvaluation du niveau dintgration fonctionnelle dans les
limites suivantes :

6.

Le degr dacceptation et de rception, voire dadhsion du point de vue fonctionnel au sens de la fonction
rendue aux utilisateurs. Il sagit donc dtudier lacceptation de la part des diffrents agents (du premier
degr, du second degr, des agents administratifs ou de laboratoires, mais galement des tudiants, des
lycens, des collgiens ainsi que de leurs parents pour dautres usages potentiels). Lavis des matrises
douvrages est dans ce sens dterminant.

Laisance du dploiement en matire dorganisation des remises, par les autorits locales denregistrement
ou par des dlgations de pouvoir, des paramtres de comptes et dauthentification. Le support physique
requiert ici plus de procdures et apporte des contraintes fortes ds quil sagit de grands nombres rpartis
sur un territoire large. De mme, pour une mme technologie, si plusieurs lments secrets sont
configurer, installer ou transmettre, la difficult apparat croissante. De plus, les documents de politique
daccrditation qui ouvrent une homologation vis--vis du RGS sont dautant plus complexes laborer.
En ce qui concerne ladaptabilit aux situations rencontres, les technologies apparaissent trs diffrentes
les unes des autres.

Enfin, du point de vue de lutilisateur, lvaluation de lutilisabilit ou de la facilit demploi dune

manire intuitive permet de donner une note de convivialit dans cette phase dinsertion dans le systme
dinformation au sens le plus large.

Domaine relatif la prennit globale

JRES 2013 - Montpellier

4/11

Linvestissement dans un renforcement de lauthentification ncessite dvaluer le temps dusage minimal possible
de la technologie ainsi mise en place, ne serait-ce quen raison du cot pcuniaire et humain quil recouvre. Les
critres associs sont les suivants :
-

2.3

La prennit de la ou des organisations (socits industrielles, groupes de travail, comit de normalisation)

qui promeuvent le systme dauthentification. Si le produit est trs innovant et peu partag, il convient
dvaluer sa disponibilit dans la gamme ou dans loffre des socits qui le dveloppent, ainsi que les
questions de maintenance associes aux diffrents modules, permettant ainsi de garantir les corrections de
bugs ou dattaques ventuels.
De mme, la question de maintenance peut tre renforce par une conformit stricte une norme ou une
interoprabilit de plusieurs constructeurs.

Processus de comparaison des types dauthentification par laboration de

RADARS

La comparaison de plusieurs types de technologie et in fine de plusieurs produits industriels est rendue possible par la
mise au point des critres prcdemment tudis. Toutefois, cet objectif de vouloir mettre en relief les avantages de
certains types par rapport dautres appelle des remarques et demande des prcautions dusage.
En effet, les critres tant dfinis en dbut de processus, la porte de ltude nest relle que dans la mesure o ces
critres sont pleinement partags, pertinents et rels sur lensemble des technologies ainsi que dans les conclusions de
ltude. Il nest donc pas possible den changer en cours dtude ni den ajouter pour certaines technologies au risque de
ne rien comparer.
Ds lors, la prise en compte de la spcificit des besoins pour tel groupe dutilisateurs demande affiner lapproche des
critres. Cette approche doit tre faite de manire uniforme pour ce groupe sans modifier la liste des critres de
lensemble de ltude et sans modifier lvaluation de lapport fonctionnel selon ces critres. Autrement dit, telle
technologie dispose de tel avantage selon un critre prcis mis en exergue, et quel que soit la communaut qui lutilise,
cet avantage demeure considr comme tel, y compris par rapport toutes les autres technologies. La prise en compte
de laspect spcifique des besoins du groupe dutilisateurs considr se manifeste donc par un autre biais qui est la
pondration relative des critres dans le contexte dusage de ces technologies pour cette communaut prcise ; ces
pondrations demeurent fixes pour toute ltude ddie ces types dusage et seront ventuellement diffrentes pour un
autre type dusage. Ainsi la forme des radars peut varier dune tude contextualise une autre.
Enfin, le choix dusage dune technologie par rapport une autre sera plus vident pour une mme communaut
professionnelle si une pondration des critres a t labore pour cette population sur le primtre de ltude en
fonction des risques identifis pour le systme dinformation considr.

3 Relev des caractristiques distinctives des types dauthentification

tudis
Loffre industrielle sest toffe depuis trois ans tant en nombre dindustriels prsents sur ce nouveau march quen
types de technologies. Un dcoupage de cette typologie est prsent ci-dessous avec une brve description pour chacun
des types dans ce quils ont de plus significatif du point de vue de cette tude comparative.

3.1

Authentification forte par certificat sur support cryptographique physique

Lauthentification par certificat dont le bi-cls est tir sur le support cryptographique physique, quel que soit le facteur
de forme et avec les procdures de remise en face face, est de loin celui qui donne le plus de garanties
dauthentification mais il prsente la difficult de dploiement sur une population nombreuse et primtre gographique
tendu. Par ailleurs, il demande un dploiement sur les postes (pilote de la carte puce) et reprsente un investissement
financier plus lev. Il peut permettre dtre conforme au RGS si le produit de support est qualifi. Parmi les points
forts, il faut noter la possibilit de raliser les oprations cryptographiques (dont lauthentification du systme
dexploitation du poste, la signature ou le chiffrement) en mode dconnect (sans OCSP dans ces cas).

JRES 2013 - Montpellier

5/11

3.2

Authentification forte par certificat dans un magasin cryptographique non

physique

Par contre, lauthentification par certificat dont le bi-cls est tir sur le support cryptographique non physique, dans un
magasin cryptographique logiciel mme avec les procdures de remise en face face, ne donne pas les mmes garanties
dauthentification et demande une tude de qualification prvue par le RGS notamment pour les certificats une toile.
Par exemple, les magasins cryptographiques de Microsoft pour les systmes dexploitation depuis XP ont fait lobjet
darticles dans la presse spcialise de manire illustrer la possibilit dextraire les bi-cls et les certificats linsu de
leur porteur. Des outils logiciels ont t diffuss depuis (voir le n MISC n66 Mars Avril 2013 Utilisation avance
de Mimikatz p.8 et suivantes). Ds lors, les mcanismes de rvocation (CRL ou mme OCSP) sont eux aussi mis en
chec et aucune autre protection ne pourrait contribuer empcher lusage de ce certificat drob. Limpact de cette
menace est donc trs lev. Une manire de renforcer ce service dauthentification peut tre de le coupler avec un
lment secret squestr en base centralise et de rendre lusage du certificat plus robuste, aprs interrogation par un
client logiciel de la base en question. Mais alors, la dpendance vis--vis des pilotes logiciels ainsi que de la connexion
vient contrebalancer le gain en scurit.

3.3

Authentification par gnration dauthentifiant partir dun secret partag sur

support cryptographique physique ou logiciel sur un support tiers

Lauthentification par gestion dun secret cryptographique partag entre le porteur et la base centralise permet de
dployer lusage dauthentification par mot de passe usage unique, bien connue sous le nom dOTP (pour One Time
Password). Plusieurs implmentations du gnrateur de mot de passe sont envisageables, les unes par logiciel, dautres
par matriel offrant des capacits variables de rsistance au vol.
Par rapport linfrastructure de gestion de cls publiques, linfrastructure de gestion de cl prives souffre de plusieurs
inconvnients qui sont inhrents la centralisation du secret : le service dauthentification dpend dun point unique de
dfaillance (SPOF), qui mme sil est rpliqu demande tre synchronis de manire fine quant la base de temps et
la base des comptes. Lautre point marquant rside dans la protection de ces secrets ou des squestres qui peut tre
lacunaire (attaque du serveur central ou attaque de la base de recouvrement chez le tiers de confiance dot de celle-ci).
Dans les deux cas, des renforcements sont possibles mais des exemples rcents ont montr que lors dune dfaillance de
grande ampleur1, la rsilience est difficilement compatible avec le renforcement de la scurit. En effet, pour permettre
le second, il est courant de mettre en uvre des supports cryptographiques physiques effectuant la gnration des mots
de passe usage unique et dtre ainsi dot des attributs de lauthentification forte. De surcroit, il sagit bien dans ce cas
de lauthentification du porteur du token, qui doit par ailleurs connatre le code pin. Mais, en cas de compromission
massive, la gestion de ceux-ci demande le retour en usine pour un changement des secrets embarqus ce qui est
coteux en temps, en moyen, en personne et la rsilience est ainsi mise en doute.
Parmi les mthodes rcemment apparues au titre de lauthentification renforce, la possibilit de disposer de logiciels
OTP embarqus sur des supports mobiles pourrait permettre de pallier tous ces inconvnients et permettrait de demeurer
dans le groupe de lauthentification forte au regard des trois critres (ce que je sais, ce que je possde, ce que de
connais), bien que la scurit dun support mobile ait t mise en cause de multiples reprises ces dernires annes.
Reste pourtant la difficult dunifier une flotte de mobiles pour une population nombreuse. Cet aspect, qui relve dun
autre volet de la gestion du systme dinformation, nest pas encore optimis dun point de vue technique et
conomique. Si le support mobile est dune origine externe au primtre du systme dinformation professionnel, la
matrise est encore moins assure.
Dautres technologies mergentes relevant du secret partag sont apparues rcemment et offre un traitement diffrenti
de ces dsagrments. Toutefois, le niveau de scurit en est amoindri. Elles sont dcrites ci-aprs.

3.4

Authentification par grille

Ce moyen d'authentification peut tre divis en deux parties : d'une part une grille de caractres (gnralement des
chiffres) gnre alatoirement, d'autre part un schma secret choisi par l'utilisateur qui reprsente une suite de position
sur la grille. En superposant le schma la grille, on obtient une suite de caractres qui fait office d'OTP. Dans ce cas,
la capture du mot de passe usage unique nest daucun effet sur la scurit comme pour lOTP en gnral. Aucun

http://www.usinenouvelle.com/article/contre-le-piratage-rsa-va-remplacer-ses-cles-securid.N153386

JRES 2013 - Montpellier

6/11

support matriel ni logiciel nest dployer. De mme le partage de postes est possible sans surcot et la rsilience est
leve puisque le changement dalgorithme peut tre effectu de manire centralise. Alors que lintgration
fonctionnelle est similaire celle des autres technologies, lintgration technique est dpendante du degr
dindustrialisation des fournisseurs. Il sagit donc bien dune authentification du porteur et non de celle de la machine
ou du support dlivrant le mot de passe usage unique. Par contre, lobservation rpte peut mettre mal cette
technologie si toutefois ce facteur na pas t pris en compte ds la conception.
Ci-dessous le principe de choix de la grille par lutilisateur Georges Dupont :

101502
1 Schma secret

2 Grille alatoire

3 OTP gnr

Et son utilisation lors de la connexion une application web ; dans un premier temps, le fait de donner le login
gdupont permet la base dauthentification de proposer une grille dynamique affecte ce login prcis :

Page Web
Login
gdupont

Mot de passe

Dans un second temps, la lecture des codes, avec pour masque la grille initialement fixe, permet de taper le code dans
le champ mot de passe, comme lindique le schma ci-dessous. Il sen suit que des observations rptes pourraient
mettre mal la grille choisie. Ds lors, cette proposition dauthentification pourrait convenir un renforcement de
lauthentification, en tant que premire authentification, mais probablement pas comme seule et unique authentification
pour lensemble du SI. A partir de cet exemple prcis, dautres conceptions de mise en uvre de ces grilles dynamiques
pourraient tre proposes en dissociant la page de connexion de la page daffichage de la grille ou en mutualisant cette
page de grille alatoire pour un ensemble de personnes sy rfrent. Ces diffrentiations dune authentification par grille
restent explorer de manire durcir la scurit qui en rsulte.

JRES 2013 - Montpellier

7/11

Page Web
Login
gdupont

Mot de passe
101502

3.5

Authentification par invisible token

Le jeton immatriel et invisible (ou invisible token en anglais) utilise la technologie HTML5 pour gnrer un OTP via
le navigateur partir de plusieurs paramtres et dune fonction cryptographique charge par le navigateur. Parmi les
paramtres figurent notamment une cl chiffre et enregistre, lors de lenrlement du systme, dans larborescence des
fichiers de celui-ci. Cest lutilisation de ce paramtre dans le calcul cryptographique qui permet de raliser
lauthentification quelle soit par dfi-rponse ou gnration de jeton OTP base sur dautres calculs. Il sagit donc dun
enrlement de machine et non de personnes. Cette solution l'avantage d'tre relativement indpendante de la plateforme utilise puisquelle utilise la technologie des navigateurs, avec la rserve toutefois de valider la solution pour
chaque flotte identifie il sera problmatique de traiter les postes chappant toute matrise. Toutefois, il faut noter
que c'est uniquement la machine (voire mme uniquement le navigateur) qui est authentifie et non l'utilisateur.

3.6

Authentification comportementale

Ces mthodes d'authentification sont bases sur la reconnaissance de schmas propres l'utilisateur. On peut
notamment citer l'analyse de la frappe au clavier ou bien la cohrence des heures et lieux de connexion au systme.
Cette mthode est gnralement considre comme un renforcement dun autre mode dauthentification pralable.

3.7

Authentification par mot de passe

Moyen d'authentification le plus rpandu, le mot de passe n'offre aujourd'hui plus une scurit suffisante. La force d'un
mot de passe est directement lie sa longueur et aux types de caractres utiliss. Les mots de passe considrs srs
sont donc peu pratiques d'utilisation (difficult de mmorisation, longueur de la saisie), ce qui encourage les
comportements pouvant entraner sa compromission. Outre les attaques par recherche exhaustive ou dictionnaire, les
mots de passe sont vulnrables aux mthodes d'ingnierie sociale (phishing) et la saisie de frappe (keylogging).
Rpondre de la matrise dune base de mot de passe et de son degr de compromission nest pas ais.

3.8

Authentification par identification dlments matriels lis aux supports de

communication

Gnralement associ limage de lADN, lidentification dun grand nombre de caractristiques matrielles des
supports de communication peut fournir les lments ncessaires une authentification renforce. Toutefois, ce
mcanisme requiert linstallation dun module logiciel qui prempte beaucoup dinformation sur les supports utiliss et
nauthentifie pas le porteur proprement parl.
JRES 2013 - Montpellier

8/11

4 Comparaisons de types dauthentification adquation aux besoins

des diffrentes communauts professionnelles
4.1

Etudes de cas de solutions industrielles superposition des radars

Les tudes effectues ont donn lieu la constitution de nombreux radars de manire valuer les (trs) nombreuses
implmentations industrielles des technologies considres. Les graphiques qui suivent visent prsenter certaines
dentre elles. Les solutions industrielles prsentent souvent un panel de plusieurs technologies exposes prcdemment
et sont donc polymorphiques. De manire clarifier la comparaison qui suit, une seule technologie la fois est utilise.
Une liste non exhaustive de solutions tudies est prsente ci aprs, dautres tudes sont en cours :
Famille

Description

OTP par tlphone, sms ou message Authentification sur challenge tlphonique : la scurit est apporte par le fait
vocal ou mail
que c'est toujours le systme qui appelle sur des numros prenregistrs.
Avec code pin ou simple confirmation
Multiple (OTP logiciel, OTP phyAuthentification par OTP sur divers supports physiques ou logiciels
sique installs, etc.)
OTP logiciel / la demande + auAuthentification multiple
thentification du support
OTP visuel
Challenge-response : le systme demande certaines lettres d'une rponse enregistre par l'utilisateur, directement sur la page de login ou SMS/email
OTP matriel
Token USB sans drivers lecture de code temporaire
Biomtrie
Authentification via frappe au clavier plus autres facteurs (adresse IP, heure de
connexion, version du navigateur...)
Carte puce multiservices
RFID, OTP, certificats spcifiques (signature, chiffrement, authentification) sur
le mme support.
Conforme au RGS, prsente tous les services dOTP, de carte puce comme
support pour la signature, lauthentification, le chiffrement, ainsi que la reconnaissance visuelle (carte agent), lidentification par RFID ou par bande magntique.
Token USB/Certificat
Carte puce mono usage sous un seul facteur de forme
Marquage de nombreuses caractIdentification des quipements lectroniques par une combinaison unique de
ristiques des supports physiques des facteurs
systmes connects
Grilles Dynamiques
Elaboration dun OTP partir dune forme choisie lorigine
Risk-Based/Adaptive Authentication Authentification comportementale base sur les usages statistiques
moyens(horaire de connexion, adresse ip de provenance, usage de la connexion,
etc.)
Parmi les industriels rencontrs figurent Nexims Certificall, RSA Securid, IN-WEBO, Login People - ADN
du
Numrique, CA ArcotId, SafeNet GrIDsure / eToken PRO Smart Card, Winfrasoft PINgrid / PINpass /
PINphrase, AuthenWare - Identity Authentication, Google - Google Authenticator, Gemalto, Yubico YubiKey, etc.
Loutil dvelopp par Pascal Colombani et Sofiane Flih peut tre fourni sur demande et permet dtre enrichi en critres
supplmentaires. Il conduit superposer des radars pour visualiser lcart par rapport un idal recherch et permet de
disposer dun cadre dvaluation commun. Cet outil traduit une mthodologie comparative mise en commun pour
valuer et visualiser les valuations des technologies venir et des implmentations de celles-ci dans le
Ci-dessous un exemple des cas tudier.

JRES 2013 - Montpellier

9/11

4.2

Consquences des valuations

Le rsultat de ces tudes montre que les diffrentes technologies dauthentification renforce ne sont pas du tout
quivalentes. Bien plus, elles sadaptent en fait des populations trs cibles aux problmatiques spcifiques quil faut
pralablement avoir bien analyses de manire rpondre aux besoins rels. Lobjectif tant clairement de permettre de
reprendre la matrise de la scurit primtrique progressivement et sans modification du parc applicatif, puis dans un
second temps, moyen terme de permettre de converger vers une authentification forte au sens du RGS, tel quil est
dfini aujourdhui. Ltude a galement permis daborder la question de la mise en place de tels bouquets
dauthentification sans perturber lexistant tant sur le plan du parc applicatif que sur le plan des infrastructures
dauthentification dj en place : le fait dadjoindre un accs, annexe ceux existants, muni la fois de ce nouveau type
dauthentification renforce et de la fonction de fdration didentit SAML V2, permet de doter un systme
dinformation dune nouvelle porte dentre dont les proprits de confiance se propagent lensemble de la fdration
sans altrer lexistant, dune manire trs simple.

JRES 2013 - Montpellier

10/11

Annexe
Bibliographie
Voir le rapport de stage de Sofiane FLIH sur le sujet de lauthentification renforce et la constitution de loutil
dvaluation qui sera publi en janvier 2014.
Deux articles connexes nous ont t signals durant ltude par Dominique Launay sans que lon ait pu les exploiter
tant donn leur approche diffrente de la problmatique de lauthentification renforce mais galement faute de temps :
le premier : une valuation comparative de mthodes dauthentification web aborde le thme sous langle
de la maturit technologique de scurit des grandes familles dauthentification renforce, sans orientation
sur la constitution de radars ni la prise en compte des aspects darchitecture dintgration. Cet article est
trs labor dans son tude et mrite une lecture approfondie qui reste faire.
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-817.pdf
-

Le second concerne une valuation dun produit dun lindustriel par Surfnet qui est lquivalent de RENATER aux Pays-Bas. Au-del du cas prcis de ce produit, cest la mthodologie qui est analyser. Dans
cet article galement, une tude fouille serait faire pour continuer la prsente tude et lenrichir.
http://www.surfnet.nl/documents/rapport_201105_evaluation_vasco_dp_nano_1_0_0.pdf
-

JRES 2013 - Montpellier

11/11