PRESENTATION DE LA

SOLUTION SOFTLOCK
OTP RADIUS SYSTEM

PRESENTATION DE SOFTLOCK OTP RADIUS SYSTEM | Site web : www.diamondsc.net | Email: info@diamondsc.net
Tlphone : +225 24011640

TABLE DES MATIERES

III-

III-

IV-

INTRODUCTION
OTP RADIUS SYSTEM
1- Description
a- Serveur OTP Radius
b- Serveur de base de donnes dutilisateurs
c- Serveur dapplication web (Client RADIUS)
d- Client OTP (OTP Generator)
2- Caractristiques
a- Interface de gestion web
b- Protocole Radius
c- Tokens logiciel
d- Compatibilit
3- Avantages
a- Scurit
b- Facilit d'utilisation
c- Flexibilit
d- Haute Performance
e- Haute disponibilit
f- Maintenance et dpannage facile
g- Certification
4- Spcification
5- Exigences du systme
IMPLEMENTATION
1- Intgration du systme
a- Intgration du client web
b- Intgration de lannuaire dutilisateurs
2- Livrables
A PROPOS DE DIAMOND SECURITY CONSULTING

PRESENTATION DE SOFTLOCK OTP RADIUS SYSTEM | Site web : www.diamondsc.net | Email: info@diamondsc.net
Tlphone : +225 24011640

I-

INTRODUCTION

Ce document prsente la solution Softlock OTP Radius System qui a t

dveloppe par lentreprise Softlock (http://www.softlock.net/) base en Egypte
et partenaire de Diamond Security Consulting.
L'automatisation des services est trs indispensable pour de nombreux fournisseurs
qui ont un grand nombre de clients satisfaire. Le plus important des dfis est la
scurisation des services logiciels. Gnralement cette scurisation se fait en
mettant une politique de mot de passe fort pour l'accs ces services. De nos jours,
les virus, les spywares et les diffrentes technologies de piratage sont rgulirement
utiliss dans le vol de mots de passe saisies par les utilisateurs. En utilisant des
solutions d'authentification forte deux facteurs, les mots de passe vols ne
peuvent pas tre stocks ou utiliss nouveaux parce-que chaque mot de passe
(Mot de passe unique ou One-Time Password ou OTP) sera valide pour une
authentification et invalide dans le cas o ce mot de passe doit tre utilis pour plus
d'une authentification. Dans ce document, nous vous prsenterons la solution OTP
RADIUS System. Cette solution offre une mthode d'authentification simple et
prcise.
II-

OTP RADIUS SYSTEM

Aujourd'hui, le mot de passe usage unique(OTP) est l'une des formes les plus
populaires d'authentification deux facteurs pour scuriser l'accs un rseau. Par
exemple, dans certaines grandes entreprises, l'accs un VPN ou un service web
ncessite souvent un token de mot de passe usage unique pour l'authentification
des utilisateurs. Les mots de passe unique sont souvent prfres aux formes
d'authentification trs puissantes telles que le PKI ou la biomtrie car ces
priphriques utiliss ne ncessite pas l'installation de pilotes logiciels sur une
machine cliente, par consquent l'utilisation de PC, de smartphone et de PDA est
possible.
1- Description
La solution OTP RADIUS System offre un moyen d'authentification des
utilisateurs en utilisant la mthode de mot de passe usage unique avec le back-end
situ ct serveur. Ce systme permet l'utilisateur final de s'authentifier en un clic.
L'utilisateur sollicite l'accs un service, le systme transfre alors cette requte vers
le serveur OTP via le protocole RADIUS qui renverra une rponse par la suite.
Pour conclure, la composante du systme qui autorise et empche lutilisateur
d'accder aux diffrents services est un service web.

PRESENTATION DE SOFTLOCK OTP RADIUS SYSTEM | Site web : www.diamondsc.net | Email: info@diamondsc.net
Tlphone : +225 24011640

La solution OTP RADIUS system contient diffrents composants fonctionnel avec

diffrentes interface d'administration. Chaque composant peut tre administr
sparment partir de sa propre interface.
D'autres part, ce systme est compatible avec diffrents systme d'exploitation, ce
qui implique qu'il est possible pour les utilisateurs finaux d'utiliser diffrents types
de terminaux tels que les PC, les tablettes et les smartphones.

PRESENTATION DE SOFTLOCK OTP RADIUS SYSTEM | Site web : www.diamondsc.net | Email: info@diamondsc.net
Tlphone : +225 24011640

Le systme peut tre divis en quatre entits :

-

Le serveur OTP RADIUS

Le client OTP
Lapplication Web NAS
La base de donnes dutilisateurs

a- Serveur OTP RADIUS

Ce module est le cur du systme et offre un processus d'authentification de haute
performance via un protocole de communication scuris qui est le protocole
RADIUS.
L'application du serveur OTP reoit les informations d'authentification des
utilisateurs, communique avec la base de donne d'utilisateurs / Serveur LDAP
pour authentifier l'utilisateur qui pour finir renvoi au serveur web une rponse qui
confirmera si Oui ou Non la demande d'authentification a t accept.

PRESENTATION DE SOFTLOCK OTP RADIUS SYSTEM | Site web : www.diamondsc.net | Email: info@diamondsc.net
Tlphone : +225 24011640

Le serveur reoit de l'application web (NAS) le paquet de demande d'accs incluant

les paramtres de l'utilisateur et le dernier mot de passe gnr. Le serveur procde
une vrification de ces informations grce au serveur de base de donnes
d'utilisateurs tout en utilisant des protocoles d'authentification tels que le PAP et le
CHAP. Le mot de passe envoy par l'utilisateur et celui prsent sur le serveur tous
deux gnrs seront compars. Les paramtres gnrs ct client et serveur
doivent tre identique.
Le protocole RADIUS peut tre dcrit comme suit:
- Si les accs sont de part et d'autre identique alors un paquet d'acceptation
d'authentification est envoy par le serveur OTP au serveur d'application web qui
son tour autorisera l'utilisateur final accder au service demand.
- En cas de non correspondance des accs, un paquet de rejet d'authentification
renvoy au serveur d'application web qui empchera l'authentification de
l'utilisateur final.
Aussi, le serveur OTP peut rpondre une demande d'accs par un paquet appel
Access-Challenge Packet. Cela se produit dans des processus d'authentification
plus complexe au cours desquels une session scuris est ouverte entre l'utilisateur
final et le serveur OTP de tels sorte que toutes les informations de connexion sont
masques partir du serveur web.

b- Serveur de base de donnes dutilisateurs

L'un des composants les plus importants de ce systme est l'entit qui a sa charge
le stockage des utilisateurs et de leurs diffrents paramtres. Cette entit peut tre
une base de donnes ou un serveur LDAP. Elle contient les noms d'utilisateurs, le

PRESENTATION DE SOFTLOCK OTP RADIUS SYSTEM | Site web : www.diamondsc.net | Email: info@diamondsc.net
Tlphone : +225 24011640

rcent mot de pass gnr et tout autre paramtre qui lui sont lis. Le serveur
OTP RADIUS peut tre intgr soit un annuaire LDAP ou une base de
donnes SQL.
c- Serveur dapplication web (Client RADIUS)
Le frontend de ce systme est le site web que l'utilisateur voit et avec lequel il
interagit directement. Dans l'environnement RADIUS, il est appel NAS (Network
Access Servers). Le NAS agit comme l'unique passerelle pour accder au serveur
OTP protg.
Le protocole RADIUS tablit une connexion uniquement avec le NAS. Ce dernier
se connecte au serveur OTP et transmet les informations d'authentification de
l'utilisateur. Le serveur OTP ce moment-l recherche l'utilisateur en question dans
la base de donnes ou dans le serveur LDAP et notifie le NAS si oui ou non il
autorise l'accs au service demand par l'utilisateur. L'authentification OTP consiste
juste transmettre le nom d'utilisateur et le mot de passe en utilisant un protocole
appropri tel que le CHAP pour enfin recevoir une rponse. Cela requiert un
passage du mcanisme ordinaire d'authentification du serveur d'application au
mcanisme OTP (authentification par un mot de passe usage unique). La
configuration se fera sur le serveur d'application pour lui permettre d'utiliser le
mcanisme OTP. Cela peut ncessiter l'intgration de certains codes au serveur
d'application, c'est--dire qu'il faudra faire appel la programmation web pour la
mise en place de cette configuration et la cration d'une communication scuris
avec le serveur OTP.
d- Client OTP (OTP Generator)
Le client OTP est un module d'authentification deux facteurs que le client utilise
pour la gnration du mot de passe usage unique requit pour l'accs au service
demand. La solution OTP RADIUS System supporte des tokens logiciels et
matriels avec diffrents types d'algorithme de gnration de mot de passe usage
unique tels que: TOTP, HOTP et MOTP.
- HOTP: L'algorithme HMAC gnre un OTP en se basant sur une cl
symtrique statique et l'augmentation de la valeur du compteur.
- TOTP: L'algorithme OTP bas sur le temps utilise l'heure en cours et une
cl partage pour la gnration du OTP
- MOTP: L'algorithme OTP Mobile est bas sur le temps de synchronisation
entre le serveur d'authentification et le client fournissant le mot de passe
Softlock fournira le gnrateur logiciel de OTP avec le systme. Le token logiciel
fonctionne avec les algorithmes cits plus haut et peut tre dploy sur diffrentes
plate-forme tels quAndroid et iOS.

PRESENTATION DE SOFTLOCK OTP RADIUS SYSTEM | Site web : www.diamondsc.net | Email: info@diamondsc.net
Tlphone : +225 24011640

Ce token logiciel utilisera l'authentification deux facteurs. Lutilisateur saisira le

code PIN qui gnrera le OTP utiliser pour l'authentification.
Cette solution peut tre aussi utilise avec une carte OTP biomtrique. L'utilisateur
doit tout d'abord s'authentifier l'aide de son empreinte digitale sur la carte qui
procdera par la suite la gnration du OTP qui apparaitre sur le petit cran de
cette dernire. Il s'agit d'une carte intelligente qui utilise une batterie intgre.

2- Caractristiques
a- Interface de gestion web
Cette fonctionnalit permet l'administrateur du systme ou l'administrateur
scurit d'ajouter, de mettre jour et de retirer des utilisateurs via l'interface web du
systme. Pendant ce temps l'oprateur peut faire du monitoring et effectuer des
tches de routine travers cette interface.
- Gestion des utilisateurs :
En utilisant cette fonctionnalit, l'administrateur systme peut ajouter, supprimer
ou suspendre des utilisateurs afin qu'ils ne puissent plus avoir accs au service.
Dans ce qui va suivre nous aurons la liste des actions qu'il est possible de mener
grce l'interface de gestion web:
Add user: Pour l'ajout d'utilisateur dans la base de donnes ou dans
l'annuaire d'utilisateur.
Edit user: Change des paramtres spcifique de l'utilisateur ou son statut
actuel.
Remove user: Pour la suppression de l'utilisateur de la base de donnes ou
de l'annuaire d'utilisateur.
Send OTP via SMS: Envoi de lOTP par SMS via un serveur SMS bien
configur.
Synchronize with AD: Si cette option est activ, toutes mise jour
appliqus aux utilisateurs du systme affecte le Active Directory.

PRESENTATION DE SOFTLOCK OTP RADIUS SYSTEM | Site web : www.diamondsc.net | Email: info@diamondsc.net
Tlphone : +225 24011640

 Print Scratch Passwords: Pour la gnration squentielle de OTP pour

certains utilisateurs pour des authentifications futures.
Assign token to User: Attribution de token (matriel ou logiciel) un
utilisateur particulier.
Print QR-code: La capacit de gnrer des OTP sous forme de QR-code.
- Configuration du serveur :
L'utilisation de cette fonctionnalit permet l'administrateur de changer la
configuration du serveur OTP. Le changement de l'adresse IP, l'ajout de nouveaux
administrateurs et le changement de mot de passe sont des paramtrages possibles
grce cette option.
- Gestion des tokens :
Elle permet l'administrateur d'ajouter des token et de changer leurs statuts. Les
actions qu'il est possible de mener en utilisant cette fonction sont:
Add token: Pour l'ajout d'un nouveau token dans la liste de tokens. Cet
ajout de token peut se faire automatiquement ou manuellement. Au moment
de l'ajout du nouveau token, l'administrateur slectionnera l'algorithme du
token parmi ceux qui sont supports par le systme et choisira la longueur
du mot de passe
Rename Token: Change le nom du token pour le rendre facile
administrer
Import from file: Dans le cas d'un token matriel, la semence initiale est
change en utilisant une infrastructure PKI pour la prservation de la
scurit du systme. La semence est envoye sous forme crypt au serveur et
est par la suite dcrypt par une cl publique
Remove token: Pour la suppression d'un token dans la liste de tokens.
Option utile en cas de perte ou d'endommagement du token
- Gestion et configuration de lannuaire utilisateur :
Cette fonctionnalit sert ajouter un nouvel annuaire utilisateur ou une nouvelle
base de donnes. Lorsque ce systme est utilis par des entreprises ayant un grand
nombre de clients, il est recommand de se connecter un annuaire d'utilisateur ou
une base de donnes. Il est compatible avec un grand nombre de SGBD tel que
Oracle, SQL Serveur, MySQL et avec des annuaires tels que LDAP ou Active
Directory.

PRESENTATION DE SOFTLOCK OTP RADIUS SYSTEM | Site web : www.diamondsc.net | Email: info@diamondsc.net
Tlphone : +225 24011640

- Gestion du serveur dapplication web :

L'administrateur du systme peut utiliser cette fonctionnalit pour la gestion du
serveur d'application qui a pour rle de contacter le serveur OTP pour
l'authentification des utilisateurs. L'administrateur l'aide de cette option peut
configurer la communication entre l'application et le serveur OTP. Cela impose
plus de scurit dans le processus d'authentification vu que le serveur OTP
rpondra uniquement au serveur d'application de confiance. Cette communication
sera crypte avec une cl secrte partage pour la scurisation des demandes
d'authentification et des rponses afin dviter certains types dattaque.
b- Protocole RADIUS
Le protocole RADIUS (Remote Authentication Dial-In User Service) est un
protocole de scurit client/serveur. Il contrle la communication entre le serveur
d'application web et le serveur OTP via des protocoles tels que: PAP, CHAP et
MS-CHAP.
PAP: Il est l'un des premiers protocoles qui tait utilis pour l'envoi du nom
d'utilisateur et du mot de passe. Le mot de passe transite en clair avec ce
protocole entre l'utilisateur et le serveur web. Cependant il sera crypt ds
qu'il sera transfr par le serveur web vers le serveur OTP.
CHAP: Challenge-Handshake Authentication Protocol est une amlioration
du PAP et ne permet pas l'envoi du mot de passe en clair. Ce protocole
utilise le three-way handshake.
MS-CHAP: Microsoft Challenge-Handshake Authentication Protocol a
juste quelques diffrences avec le CHAP. Il supporte certaines
implmentations Microsoft.
c- Tokens logiciel
La solution OTP RADIUS Sytem fournit un bon nombre de tokens logiciel aux
utilisateurs finaux avec diffrents algorithme supports. Pour les logiciels OTP
mobile, il existe normment de gnrateurs OTP gratuit qui peuvent tre intgr
au serveur OTP en fournissant les mmes paramtres supports par les plateformes
iOS et Android.
Le token logiciel personnalis de l'entreprise Softlock peut tre fournit et utilis sur
les plateformes mobile cites prcdemment.

PRESENTATION DE SOFTLOCK OTP RADIUS SYSTEM | Site web : www.diamondsc.net | Email: info@diamondsc.net
Tlphone : +225 24011640

d- Compatibilit
Le serveur OTP est un serveur autonome utilisant une distribution Linux. Il utilise
le protocole RADIUS standard pour la fourniture du service d'authentification.
Tous clients utilisant ce protocole, peut communiquer avec le serveur. Presque tous
les langages de programmation fournissent des librairies pour la communication
avec un serveur RADIUS. Aussi, tous les OS supportent diffrents types de
protocole RADIUS.
3- Avantages
a- Scurit
Le OTP RADIUS System est un systme trs scuris cot client comme serveur.
Cette solution autorise le stockage des informations de l'utilisateur sur un hte
rduisant ainsi les brches de scurit. Ce niveau lev de scurit est d tout
d'abord l'utilisation du mot de passe usage unique et enfin la communication
hautement scurise entre les diffrentes composantes du systme ralise.
Les attaques de type Man-In-The-Middle sont donc vits pour deux raisons
suivantes:
Un mot de passe est utilis qu'une seule fois donc inutile la prochaine
tentative d'authentification
Le mot de passe est transfr du serveur d'application vers le serveur OTP
l'aide de protocoles scuriss (ex: MS-CHAP et MS-CHAP v2)
La solution OTP peut tre fournit sous la forme d'authentification double
facteurs:
Le code PIN pour la gnration du OTP grce au token
Le OTP pour l'accs au service
b- Facilit d'utilisation
Un clic, une rponse. L'utilisateur n'aura pas suivre des tapes d'identification sans
fin mais il enverra plutt son nom d'utilisateur accompagn de son mot de passe et
validera. Cette solution ne ncessite pas l'installation d'un driver ct utilisateur.

PRESENTATION DE SOFTLOCK OTP RADIUS SYSTEM | Site web : www.diamondsc.net | Email: info@diamondsc.net
Tlphone : +225 24011640

c- Flexibilit
A partir de tous types de terminaux il est possible de contacter le serveur OTP
RADIUS au cours du processus d'authentification des utilisateurs. Le systme
s'intgre diffrents SGBD ou annuaires LDAP.
d- Haute Performance
Le serveur OTP rpond rapidement aux requtes dauthentification transfr par le
serveur dapplication.
e- Haute disponibilit
Bas sur une distribution linux, prcisment Ubuntu Serveur, le serveur OTP est
fiable pour des oprations sur le long terme.
f- Maintenance et dpannage facile
QCM intgr pour le dpannage et le maintien du serveur OTP ainsi qu'un module
de test du serveur OTP. Capacit d'effectuer de nouvelles synchronisations de
token au cours de l'authentification.
g- Certification
Le serveur RADIUS OTP est certifi OATH pour les tokens TOTP et HOTP. Les
fichiers crypts PSKC sont aussi supports.
4- Spcification
Systme dexploitation
Standards supports
Ouverture de session
Algorithmes
Navigateurs supports
Protocoles supports
Tokens logiciels supports
Annuaires et base de donnes
supports
Certifications

Ubuntu Server 64 bit

RFC4226, 6238, 6030,1994, 2433, 2759
Windows, Linux, Android, Mac OS X
MOTP, OATH/HOTP,
OATH/TOTP
Firefox, IE, Chrome etc.
RADIUS, RFC1994 CHAP, RFC2433
MS-CHAP, RFC2759 MS-CHAPv2
Une multitude de tokens logiciels
supportant des plateformes Android et
iOS
Hypersoniq, MySQL, PostgreSQL,
Oracle, DB2, MS SQL Server, Derby,
Sybase, Informix.
Certifi OATH

PRESENTATION DE SOFTLOCK OTP RADIUS SYSTEM | Site web : www.diamondsc.net | Email: info@diamondsc.net
Tlphone : +225 24011640

5- Exigences du systme
Systme dexploitation
Mmoire
CPU
Disque dur
Dbit de Connexion
III-

Ubuntu Server 64 bit

8 GB
Core i7
1 TB
100/1000 Ethernet

IMPLEMENTATION
1- Intgration du systme
a- Intgration du client web

Comme expliqu dans ce document, des modifications seront effectues sur le

serveur web pour l'utilisation du mcanisme d'authentification OTP. Un nouveau
module sera donc ajout au serveur web pour cela. Ce module sera dvelopp en
utilisant le mme langage utilis par les applications dj hberges sur le serveur
web puis intgr.
b- Intgration de lannuaire dutilisateurs
Le serveur OTP contactera l'annuaire utilisateur pour vrifier l'existence de
lutilisateur et ses diffrentes permissions. L'annuaire peut tre un systme LDAP,
un Active Directory ou un SGBD. Un nouveau module sera dvelopp pour
l'intgration des annuaires d'utilisateurs avec le serveur OTP Radius pour l'envoi et
la rception des requtes et aussi pour synchroniser la mise jour entre l'annuaire
OTP et l'annuaire d'utilisateur systme. Le dveloppement de ce module dpendra
de la nature de l'annuaire ou de la structure de la base de donnes.

2- Livrables
Serveur OTP
Module d'intgration de l'annuaire d'utilisateur accompagn d'une
documentation
Module pour le client web accompagn d'une documentation
Client OTP Logiciel: Application mobile jouant le rle de token
Manuel d'utilisateur et d'administration
Support de formation

PRESENTATION DE SOFTLOCK OTP RADIUS SYSTEM | Site web : www.diamondsc.net | Email: info@diamondsc.net
Tlphone : +225 24011640

IV-

A PROPOS DE DIAMOND SECURITY CONSULTING

Diamond Security Consulting en abrg DSC est une socit prestataire base
Abidjan et spcialise en scurit des Systmes d'Information et en dveloppement
d'applications. Les principaux services offerts par DSC sont:

Le Test d'intrusion: Il a pour objectif d'valuer le niveau de scurit d'un

systme en dtectant et en dmontrant l'existence de failles de scurit selon
l'tat de l'art des techniques d'intrusion informatiques utilises par les pirates.
L'Audit de Scurit des Infrastructures : Il permet d'valuer la scurit
des configurations techniques et des processus organisationnels.
L'Expertise Scurit : Architecture, analyse de risques, conseil et
accompagnement des RSSI. Il s'agit d'aider nos clients dans l'laboration de
la Politique de Scurit des Systmes d'Information (PSSI) et de les
accompagner en proposant temps plein ou partiel une expertise scurit
sur site.
La Veille en vulnrabilit : Elle offre la possibilit nos clients, travers
un service de veille et de prvention, de maintenir de faon optimale et
autonome le niveau de scurit de leur Systme d'Information.
La Formation et le dploiement de solutions de scurit : Former nos
clients sur la scurit de leur Systme d'information. Aussi, le dploiement de
solution de firewall, de serveur mandataire, l'implmentation de VPN et
d'autres solutions scuritaires.
Le Dveloppement d'application: Nos spcialistes conoivent et ralisent
des applications Web et Clientes scurises sur mesure.

En plus de notre expertise dans les domaines susmentionns, DSC offre galement
des services dans les domaines suivants :
- Cloud Computing
- Virtualisation
- Rseaux Informatiques
- Cblage Rseaux Informatiques
- Administration Systme Microsoft Windows et Linux
- Recrutements stratgiques
- SIRH
A travers ses diffrentes prestations, DSC a pour objectif de faire entrer ses
clients dans un cycle vertueux de scurisation, de contrle et d'amlioration
continue de leurs Systmes d'Information.

PRESENTATION DE SOFTLOCK OTP RADIUS SYSTEM | Site web : www.diamondsc.net | Email: info@diamondsc.net
Tlphone : +225 24011640