Vous êtes sur la page 1sur 6

Dune Manire plus Dtailler

Lauthentification forte est, en scurit des systmes d'information, une procdure didentification qui
requiert la concatnation dau moins deux facteurs dauthentification.

La Norme FIDO fixe la rfrence en la matire. D'ailleurs Windows 10 intgrera dans sa version dfinitive un
mcanisme d'authentification FIDO compatible.

Les facteurs de l'authentification forte


La notion dauthentification s'oppose celle de lidentification d'une personne physique ou morale
(dirigeant et toute personne autorise). Cette distinction est importante puisque par abus de langage, on
parle d'authentification alors qu'il s'agit d'identification. Lorsqu'une personne prsente sa pice d'identit
lors d'un contrle, elle est identifie grce un document officiel, mais n'est pas authentifie, car le lien
entre la pice d'identit et la personne n'est pas tablie de faon indiscutable, irrvocable et reconnue par
les tribunaux en cas de litige.

Par opposition, lorsqu'une personne est authentifie, cette authentification doit-tre apporte par un tiers
de confiance et par une preuve au sens juridique reconnue devant les tribunaux (ex: la signature
lectronique de la carte bancaire).

Ainsi, pour le e-Commerce, un achat ralis en confirmant le mot de passe ou le SMS reu sur son
tlphone portable, indique seulement que ce message affich au propritaire de la ligne de tlphone a
t recopi sur une page Web marchand (mme si l'ouverture de session du tlphone se fait par
biomtrie). Mais ne suppose aucunement de l'engagement du propritaire de la ligne car ce dernier n'a pas
t authentifi (cas du vol d'un portable et utilisation par un tiers). Autrement dit, aucune preuve
matrielle ne permet de s'assurer de son engagement dans la transaction.

En synthse, la charge de la preuve manant d'un tiers de confiance distingue l'identification de


l'authentification en cas de litige ou de contestation.

Les systmes d'authentification courants utilisent un seul facteur (en gnral un mot de passe). Le principe
de l'authentification forte est d'utiliser plusieurs facteurs de nature distincte afin de rendre la tche plus
complique un ventuel attaquant. Les facteurs d'authentification sont classiquement prsents comme
suit :

Ce que l'entit connat (un mot de passe, un code NIP, une phrase secrte, etc.)
Ce que l'entit dtient (une carte magntique, RFID, une cl USB, un PDA, une carte puce, un
smartphone, etc.). Soit un lment physique appel jeton d'authentification, authentifieur ou
token.
Ce que l'entit est, soit une personne physique (empreinte digitale, empreinte rtinienne, structure
de la main, structure osseuse du visage ou tout autre lment biomtrique)
Ce que l'entit sait faire ou fait, soit une personne physique (biomtrie comportementale tel que
signature manuscrite, reconnaissance de la voix, un type de calcul connu de lui seul, un
comportement, etc.)
O l'entit est, soit un endroit d'o, la suite d'une identification et authentification russie, elle
est autorise (accder un systme logique d'un endroit prescrit)
Dans la majorit des cas, l'entit est une personne physique - individu - personne morale, mais elle peut
tre un objet comme, par exemple, une application web utilisant le protocole SSL, un serveur SSH, un objet
de luxe, une marchandise, un animal, etc.

On peut considrer que l'authentification forte est une des fondations essentielles pour garantir :

L'autorisation ou contrle d'accs (qui peut y avoir accs)


La confidentialit (qui peut le voir)
L'intgrit (qui peut le modifier)
La traabilit (qui l'a fait)
L'irrvocabilit (qui peut le prouver).

Cette approche est toutefois module par l'ANSSI dans son rfrentiel gnral de scurit1.

Pourquoi l'authentification forte et l'authentification deux-facteurs ?


Le mot de passe est actuellement le systme le plus couramment utilis pour authentifier un utilisateur. Il
noffre plus le niveau de scurit requis pour assurer la protection de biens informatiques sensibles, car
diffrentes techniques dattaque permettent de le trouver facilement. On recense plusieurs catgories
dattaques informatiques pour obtenir un mot de passe :

Attaque par force brute


Attaque par dictionnaire
coute du clavier informatique (keylogger), par voie logicielle (cheval de troie...), ou par coute
distante (champ lectrique des claviers filaires, ou ondes radio faiblement chiffres pour les claviers
sans fils2)
coute du rseau (password sniffer) : plus facilement avec les protocoles rseau sans chiffrement,
comme HTTP, Telnet, FTP, LDAP, etc.
Hameonnage (ou filoutage), appel en anglais phishing
Attaque de l'homme du milieu ou man in the middle attack (MITM) : par exemple avec les
protocoles SSL ou SSH
Ingnierie sociale
Extorsion d'informations par torture, chantage ou menaces

L'attaque par force brute n'est pas vraiment une mthode de cassage puisque le principe est applicable
toutes les mthodes. Elle est toutefois intressante car elle permet de dfinir le temps maximum que doit
prendre une attaque sur une mthode cryptographique. Le but de la cryptographie est de rendre
impraticable l'usage de la force brute en augmentant les dlais de rsistance cette mthode. En thorie, il
suffit que le dlai de rsistance soit suprieur la dure de vie utilenote 1 de l'information protger.
Cette dure varie selon l'importance de l'information protger.

Familles technologiques pour l'authentification forte


On dnombre trois familles :

One Time Password (OTP) / Mot de passe usage unique. Exemple : RSA SecurID3,
Certificat numrique4,
Biomtrienote 2,5
One Time Password (OTP) / Mot de passe usage unique
Article dtaill : Mot de passe usage unique.

Cette technologie permet de s'authentifier avec un mot de passe usage unique. Elle est fonde sur
l'utilisation d'un secret partag (cryptographie symtrique) ou l'utilisation d'une carte matricielle
d'authentification. Il n'est donc pas possible de garantir une vritable non-rpudiation.

Certificat Numrique
Cette technologie est fonde sur l'utilisation de la cryptographie asymtrique et l'utilisation d'un challenge.
Il est possible de garantir la non-rpudiation car uniquement l'identit possde la cl prive.

Infrastructure cls publiques (PKI)


RSA
PKINIT

Biomtrie
Cette technologie est fonde sur la reconnaissance d'une caractristique ou d'un comportement unique.

Biomtrie
Technologie Match on Card

Authentifieur de type One-Time-Password


Cette technologie est fonde sur un secret partag unique. L'authentifieur contient le secret. Le serveur
d'authentification contient le mme secret. Grce au partage de ce dnominateur commun il est alors
possible de gnrer des mots de passe usage unique (One-Time-Password). Du fait que ce type de
technologie utilise un secret partag il n'est pas possible d'assurer la non-rpudiation. La technologie du
certificat numrique permet a contrario de garantir la non-rpudiation.

Il existe deux modes de fonctionnement :

le fonctionnement dit synchrone,


le fonctionnement dit asynchrone

Exemple de solution de type OTP


La liste biffer ou TAN (Transaction Authentication Number). Il s'agit de rentrer un OTP (One-Time
Password) provenant d'une liste de codes fournie par exemple par la banque. Cette liste est
considre comme un authentifieur.
Fonctionnement d'une carte matricielle.
Matrix card authentication ou authentification carte matricielle. Il s'agit de rentrer un OTP
provenant d'une carte matricielle fournie. Ce systme utilise les coordonnes en Y et X. La carte
matricielle est considre comme un authentifieur.
Fonctionnement d'un One Time Password via SMS.
Utilisation des SMS. Ce systme utilise la technologie des SMS. L'utilisateur reoit un OTP
directement sur son tlphone portable. Le tlphone portable est considr comme un
authentifieur.
Fonctionnement d'un authentifieur fond sur le temps.
Authentifieur fond sur le temps
Fonctionnement d'un authentifieur fond sur un compteur.

Ces authentifieurs utilisent, en plus du secret partag, un dnominateur commun qui est le temps. Chaque
partie est synchronise sur le temps universel coordonn (UTC). On utilise alors un Code NIP comme
deuxime facteur d'authentification. Ces authentifieurs sont dfinis comme une technologie dite
synchrone. Chaque minute, par exemple, ces authentifieurs affichent un nouveau Token Code , le One
Time Password.

L'exemple le plus connu est SecurID de la socit RSA Security.

Authentifieur fond sur un compteur


Fonctionnement d'un authentifieur fond sur un mcanisme de Challenge Response .

Ces authentifieurs utilisent, en plus du secret partag, un dnominateur commun qui est un compteur.
Chaque partie se synchronise sur le compteur. On utilise alors un Code NIP comme deuxime facteur
d'authentification. Le code NIP peut tre entr sur un mini clavier. Comme la technologie fonde sur le
temps, ces authentifieurs ne sont pas capables d'offrir la non-rpudiation. Ces authentifieurs sont dfinis
comme une technologie dite synchrone.

Authentifieur fond sur une authentification dfi-rponse ou challenge-rponse


Les authentifications dfi-rponse utilisent, en plus du secret partag, un nombre alatoire (appel nonce)
gnr par le serveur d'authentification. Le client reoit ce nonce et rpond au serveur. On utilise alors un
Code NIP comme deuxime facteur d'authentification. Le code NIP peut tre entr sur un mini clavier.
Comme cette technologie utilise un secret partag, ces authentifieurs ne sont pas capables d'offrir la non-
rpudiation.

Ces authentifieurs sont dfinis comme une technologie dite asynchrone OCRA normalise par l'Initiative
for Open Authentification OATH .

Type d'Authentifieur ou Token PKI


Carte puce
Pour scuriser la cl prive et stocker le certificat numrique, la carte puce est une solution trs efficace.
Cette technologie permet aussi d'implmenter d'autres fonctions telles que scurit des btiments,
badgeuse, etc.

Gnralement, la carte puce est lie l'utilisation d'un code NIP ou par l'utilisation de la biomtrie.

Lorsque la biomtrie remplace le code NIP, le systme offre une preuve "quasi absolue" du porteur de la
carte (cf technologie Match On Card).

Authentifieur USB
Ces authentifieurs utilisent la mme technologie cryptographique que les cartes puces. Ce type
d'authentifieur est capable de stocker, gnrer du matriel cryptographique de faon trs scurise. Ces
authentifieurs sont dfinis comme une technologie dite connecte. En d'autres termes, il est ncessaire de
brancher cet authentifieur sur l'ordinateur via le port USB. L'inconvnient majeur de cette technologie
est qu'elle n'est pas vraiment portable. Par exemple, il est difficile d'utiliser son authentifieur USB sur une
borne Internet (Kiosk, Htel, etc.).
Type d'Authentifieur ou Token de type Hybride
Ces authentifieurs offrent le meilleur des deux mondes. Ils sont capables de grer les certificats numriques
et d'offrir une solution trs portable pour les nomades avec la technologie OTP.

Authentification VPN
Les rseaux privs virtuels (VPN) ont chang la faon dont les individus travaillent. Les employs et les
partenaires commerciaux peuvent dsormais accder des ressources commerciales confidentielles sur
Internet en tout lieu et toute heure. Or, les organisations doivent aussi vrifier l'identit des utilisateurs
qui obtiennent cet accs.

Les VPN garantissent la confidentialit en mettant en place un tunnel priv sur Internet pour un accs
distance au rseau. Pour une scurit totale, votre VPN doit tre accompagn d'un mcanisme fiable
d'authentification des utilisateurs, qui scurise les points d'extrmit du VPN.

L'authentification du nom d'utilisateur et du mot de passe n'est pas suffisante. C'est une mthode faible et
trs expose au piratage, l'enregistrement des frappes clavier et d'autres attaques. Il suffit d'un mot de
passe dcouvert pour que votre organisation perde le contrle des accs rseau. Une authentification forte
des utilisateurs avec un VPN permet un accs distance vritablement scuris pour les travailleurs
mobiles d'aujourd'hui.

Les solutions d'authentification VPN SafeNet fonctionnent en toute transparence avec tous les principaux
produits de VPN :

Microsoft
Check Point
Cisco
Juniper
Nortel
Siemens

du VPN

Grce nos partenariats avec des fournisseurs de solutions de premier ordre, les authentificateurs
SafeNet permettent de disposer d'une solution VPN solide et scurise :
Authentification VPN forte des utilisateurs au moyen de diffrentes mthodes, y compris des
certificats, des mots de passe usage unique et des tokens logiciels
Accs scuris partir de n'importe quelle plateforme, avec une prise en charge ingale des accs
reposant sur des certificats sur des plateformes Windows, Linux et Mac OS
Dploiement rapide et facile avec le systme de gestion de tokens (TMS) SafeNet : un seul systme
gre toute la solution d'authentification

Scurit du VPN par l'authentification forte

Authentification multi-facteurs (MFA)


Authentification en tant que service
Plateformes de gestion
Authentificateurs
Authentification OTP
Smart cards bases sur un certificat
Authentification USB base sur certificat
Authentificateurs mixtes
Authentification par tlphone et logiciel
Applications de scurit
Meilleures pratiques de l'authentification forte
Solutions d'authentification deux facteurs (2FA)
Authentification selon le contexte
Scurit SaaS : Contrle d'accs cloud
Accs distant scuris avec authentification de l'utilisateur
Contrle d'accs rseau
Accs scuris aux VDI
Accs VPN scuris
Accs scuris aux applications web

Vue d'ensemble
Fonctionnalits et avantages

Dans l'environnement informatique actuel, dcentralis, le rseau priv virtuel (VPN) est l'une des
mthodes d'accs aux ressources rseau confidentielles et aux applications mtier critiques. Les
organisations exposent leurs applications mtier centrales et leurs ressources sensibles via davantage de
serveurs dans le Web, le Cloud ou sur site.

En mme temps, avec des employs de plus en plus mobiles et qui s'attendent un accs plus large, les
organisations cherchent s'assurer d'un accs VPN scuris. Les administrateurs doivent donc crer des
rgles cohrentes d'authentification pour scuriser l'accs aux ressources d'entreprise, et maintenir leur
solution d'authentification souple, conomique et facile dployer.

Solutions efficaces d'authentification VPN


Les plates-formes SafeNet d'authentification permettent aux organisations de scuriser efficacement
l'accs des employs au VPN. La gestion centralise de toutes les activits administratives, comme le
provisioning et le dploiement, rduit le cot total de possession, les cots de maintenance informatique et
les tches oprationnelles, tout en prservant la souplesse et l'volutivit.

SafeNet propose aux organisations la souplesse optimale avec une large gamme de formats et de mthodes
d'authentfiication : par logiciel, matriel, smartcards, USB et mots de passe usage unique (OTP),
ventuellement dploys ensemble en fonction des besoins en facilit d'utilisation et des droits
organisationnels.