Vous êtes sur la page 1sur 4

LE FUTUR DE LAUTHENTIFICATION

LE FUTUR DE LAUTHENTIFICATION
Linternet est en pleine volution grce aux nouvelles technologies (HTML5, JS, ...) ce qui nous permet davoir un internet dynamique et innovant. Nous verrons dans cet article comment les services dauthentification voluent eux aussi.
Cet article explique...
les diffrents nouveaux systmes dauthentification

authentification est un point crucial sur les sites et les services du net. Aujourdhui, nous ne pouvons plus naviguer sur la toile sans tre identifi sur des dizaines de sites diffrents. Imaginer pass une journe sans vous identifier sur un seul site, vous aurez accs un internet trs partiel et aucun service personnel tel que vos mails, votre compte facebook, votre timeline twitter. Dans cet article nous expliquerons comment lauthentification fonctionne. Quels sont les diffrents modles de lauthentification existants. Que nous rserve le futur.

jeurs de lInternet du XXIme sicle, tant sur le plan technique, juridique ou social.

Quest-ce que lon appelle lauthentification ?

Lidentit sur internet

Avant de parler dauthentification, nous devons tout dabord dfinir ce que lon appelle lidentit numrique dun individu. Une identit doit tre unique, elle ne doit dfinir quune seule entit. La rciproque, par contre, nest pas vraie. En effet, une personne peut possder plusieurs identits numriques. Souvent on associe une identit une adresse email car elle est obligatoirement unique et vrifiable trs simplement par lenvoi dun email.

Avoir une identit numrique est quasiment un prrequis la navigation internet daujourdhui. Le problme est, comme pour une identit classique, quil faut prouver quun utilisateur X est bien X et non Y. Cest l quintervient la procdure dauthentification. Lauthentification est donc une procdure de validation dune identit. Attention ne pas confondre avec lidentification qui permet juste dinformer dune identit sans aucune vrification.

De lidentification lauthentification

Web 2.0, la naissance de lidentit numrique:

Lavnement du Web2.0 compltement modifi la manire de lutilisateur daborder Internet. Via des sites de plus en plus communautaires, linternaute se place de plus en plus souvent dans le rle de contributeur. Il doit alors (re)crer un profil, grer laccs ce dernier ainsi que les informations quil partage, on parle alors didentit numrique ou de cyberidentit. Contrairement au monde rel il est tout fait possible de disposer de plusieurs identits numriques sur internet, notamment grce lutilisation de pseudonymes, inversement une identit numrique peut trs bien tre partage entre plusieurs personnes physiques cas des entreprises. Laccs et la gestion de ces informations caractres personnels font parti des enjeux ma-

Pour accder aux fonctionnalits 2.0 dun site commentaires, votes, chats il est demand de fournir votre identit numrique sous la forme de la cration rbarbative dun n-ime profil utilisateur, certains sites tel que des forums ne vous ouvrirons simplement pas leurs portes si vous ne crez pas de compte . Cette solution rpond au besoin du webmaster de reconnatre les utilisateurs, le concept dauthentification permet de valider lidentit prtendue de lutilisateur et dviter toute usurpation. Ce mcanisme gnralement bas sur un secret que seul lutilisateur dtenteur de lidentit est capable de fournir. Il peut sagir dun mot de passe, dune caractristique biomtrique, dun badge, Pour quune authentification soit considre comme forte, il est ncessaire que lutilisateur doive fournir au minimum 2 secrets distincts. La technique dauthentification la plus utilise sur internet reste bien entendu le mot de passe, dont la robustesse a dj t maintes fois dbattue, les personnes malveillantes disposent dun arsenal de techniques : Force Brute, keylogger , sniffing, phishing, social engineering mais le plus simple reste souvent de rpondre la place de votre victime la fameuse question secrte .

28

4/2012

LE FUTUR DE LAUTHENTIFICATION

Le modle pass

On peut commencer parler dauthentification web avec lapparition du protocole HTTP 1.0 qui implmente directement le processus dauthentification. Cette procdure reste aujourdhui une des procdures les plus facilement et rapidement implmentable car il suffit de renseigner votre serveur web la base dutilisateurs souhaite.
Exemple avec le serveur apache : AuthUserFile .htpasswd AuthType Basic

AuthName Accs Restreint

Ce qui a pour effet de modifier les requtes HTTP : Demande de la page GET /private/index.html HTTP/1.1

Host: localhost

Rponse

HTTP/1.1 401 Authorization Required Date: Thu, 22 Mar 2012 13:12:47 GMT Server: Apache/2.2.16 (Debian) Vary: Accept-Encoding Content-Length: 595 WWW-Authenticate: Basic realm=Accs Restreint

Content-Type: text/html; charset=iso-8859-1 Nouvelle demande avec lauthentification GET /private/index.html HTTP/1.1 Host: localhost

Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ== La page nous est renvoy avec succs: HTTP/1.1 200 OK

De nos jours ce type dauthentification est trs peu utilis par les webmasters qui se tournent vers leur propre systme dauthentification. En effet il nest pas des plus compliqu de dvelopper une procdure dauthentification pour un simple service web en utilisant les technologies PHP pour le mcanisme dauthentification et MySQL pour le stockage des identits.

laying Party, RP) et enfin fournisseur didentit (Identity Provider, IdP) auprs duquel lutilisateur sinscrit et qui il fait confiance pour grer son identit. Le protocole de SSO le plus connu et le plus robuste est certainement Kerberos, que lon retrouve notamment dans lincontournable ActiveDirectory de Mircrosoft permettant de grer lauthentification de manire scurise et ce mme dans un environnement compltement compromis. Lide de retrouver un modle semblable pour le Web parcourt les esprits depuis longtemps et dbouch sur la mise en place de nombreux protocoles et implmentations tant de la part des gants du web que du cot de la communaut libre. CAS Central Authentication Service est un Web-SSO reprenant le concept de Kerberos, dvelopp au dpart pour des besoins universitaires, le systme est aujourdhui largement rpandu, notamment au travers de uPortal. Il permet de connecter un ensemble de services locaux une base de donnes dutilisateurs ActiveDirectory par exemple. On retrouve le concept de ticket de scurit comme dans Kerberos adapt pour fonctionner la mode du Web, cest dire avec des cookies et des redirections. La principale contrainte pour les Web-SSO gnrique est quaucun des trois acteurs nest issu de la mme organisation, et que leurs motivations diffrent. Aux seins des campus universitaires par exemple, il est des services partags entre les diffrentes facults, la gestion de lauthentification se retrouve ici compliqu. Une des solutions vient du consortium Internet2, qui regroupe 207 universits et centres de recherches avec Shibboleth. Il sagit de laisser simplement le choix lutilisateur de spcifier ltablissement dont il est issu via un formulaire WAYF (Where are you from ?) puisque ce dernier dispose dj dun mcanisme dauthentification fonctionnel. Ici aussi, tout lattirail de redirections et de cookies caractristique des systmes de Web-SSO est utilis pour guider le navigateur de lutilisateur dans le processus dauthentification et permettre au service de valider lassertion didentit fournie, tout cela est dcrit dans le protocole SAML -- Security Assertion Markup Language maintenant en version 2.0. SAML, bas sur XML, XML signature, XML encryption et HTTPS prosose une solution de SSO lpreuve du web.

Prsentation

Le concept du Single-Sign-On:

Avec en moyenne une douzaine de profils attribus la mme personne physique, la gestion des informations dauthentification ainsi que mise jour des profils posent aujourdhui un vritable problme. Effectivement la modification de tous les profils dans le but de modifier le mot de passe ou mme une adresse demande aujourdhui une patience et des nerfs toute preuve. Nexiste-il pas une solution ce casse-tte numrique ? Le Single-Sign-On cherche simplifier la vie de lutilisateur en centralisant laccs un groupe de service auquel lutilisateur est inscrit via un seul service dauthentification. Bien entendu si le mot de passe principal est dcouvert, lintgralit des services protgs par le SSO devient accessible, il convient donc de renforcer ce point faible et des mthodes dauthentification forte devraient idalement tre combines. La procdure de Web-SSO fait intervenir trois acteurs, lutilisateur tout dabord, reprsent par son navigateur (UserAgent, UA), le service auquel il souhaite se connecter (Re-

Dans cette partie nous prsenterons les diffrences entre diffrent fournisseur de mcanisme dauthentification. Nous ne pouvons expliquer prcisment chaque diffrences entre chaque protocole car pour les solutions propritaires, les organismes ne mettent pas disposition une documentation avanc de leur mcanisme.

OpenID : Le SSO libre

OpenID est un mcanisme de SSO libre ce qui nous permet dexpliquer plus en dtail le fonctionnement de ce mcanisme (Figure 1). 1. Une personne lambda ce rend sur un site qui ncessite lauthentification. A ce moment-l il doit entrer son identifiant OpenID qui est unique et ressemble alice.idprovider.com . Dans cet exemple lidentit de alice est stock sur idprovider.com. 2. Si le RP ne possde pas de cl partager non expir avec lIdentity Provider alors ils schange une cl grce la mthode de Diffie-Hellman.

www.hakin9.org/fr

29

LE FUTUR DE LAUTHENTIFICATION

Figure 1. Processus dauthentification dOpenId

3. Le site qui demande lauthentification transmet lIdentity Provider un message contenant une URL. Cette URL indique o rediriger lutilisateur aprs identification. Cet demande transite par le navigateur de lutilisateur. Ce genre de message sappelle Browser relayed message (BRM). 4. Lutilisateur sauthentifie sur son Identity Provider grce aux mthodes didentifications quil utilise (login/password, biomtrie, etc..) 5. Une fois lutilisateur authentifi, il est redirig sur lURL envoy ltape 4 avec des informations sur lidentit de lutilisateur ansi quune signature numrique. 6. Le RP vrifie la signature numrique auprs de lIdentity Provider et autorise la connexion. Un des avantages dOpenID se situe au niveau des Identitys Providers. Tout le monde peut hberger son propre Identity Provider et par consquent rest matre de son identit numrique ainsi que de choisir ses mcanismes dauthentifications (login/ password , biomtrie , etc.). De plus vous pouvez directement vous connectez avec plusieurs grand IdP, tel que Google ou Yahoo.

la signature des assertions didentits fournies par les utlisateurs sous la forme dun JWT -- JSON Web Token qui contient ladresse lemail, ainsi que la date de validit signe par la clef publique. Pour le stockage de la clef prive, BrowserID fait appel aux fonctionnalits interne des navigateurs modernes pour le stockage et la protection par mot de passe de la clef prive. Ainsi lutilisateur peut facilement partager sa session utilisateur entre les diffrentes machines dont il dispose et lui laisse tout de mme le libre choix de son identifiant qui peut tre diffrent sur chaque site. Bien entendu, de srieuses questions de scurit son souleve quant lutilisation de ces principes, notamment en cas de prise en main du navigateur par une personne mal-

BrowserID : Le choix de ladresse E-Mail comme identifiant

Avec BrowserID Mozzila va plus loin et fait le choix de ladresse E-Mail en lieu et place didentifiant. BrowserID introduit lide de possession de lobjet, en lassociant une ou plusieurs identit numriques reprsentes par leur adresse Email. En utilisant le protocol VEP -- verified email protocol, Mozzila fait appel la la robustesse de la cryptographie asymtrique et de SSL. En effet, une fois le mail de validation accus, une paire de clef est gnre par le navigateur en faisant appel la fonction javascript saveVerifiedEmail(), indpendemment de lintervention du fournisseur de mail. La clef publique est ensuite envoye sur les serveurs de lIdP qui la diffusera aux RP qui souhaite vrifier

Figure 2.

30

4/2012

LE FUTUR DE LAUTHENTIFICATION DE LAUTHENTIFICATION LE FUTUR

veillante ou un rootkit, lorsque lon sait que ces derniers sont une des cibles de prdilection de ces derniers. De plus tous les RP doivent implmenter correctement les mchanismes de protection contre les attaques de type CSRF pour assurer la confidentialit de lauthentification (Figure 2).

Les autres SSO

Sans le savoir vous utilisez srement dj diffrents SSO. Parmi les plus connu on retrouve .NET PASSPORT qui nous permet de nous connecter aux services avec notre WindowsLiveID. Nous retrouvons aussi GoogleID ou le Facebook Connect qui commence ce dmocratis surtout au niveau de commentaire sur les blogs. Ceci permet aux crateur du blog de ne pas grer une base dutilisateur mais garde une trace de lidentit des auteurs de commentaires. Les SSO sont aussi grandement utilis pour accder aux services dune mme entreprise.

Problmatique

Lauthentification par SSO paratre tre un mcanisme qui semble prometteur. Cependant plusieurs polmiques se posent. Tout dabord, comme cit plus haut, le vole de notre lment didentification (souvent un mot de passe) ou mme une faille dimplmentation du mchanisme permet lattaquant daccder tous les services. En ce qui concerne la scurit des donnes trs peu de SSO permettent comme OpenId dutiliser son propre IdP ce qui nous oblige rentres des informations privs des organismes tiers tel que Google ou Facebook. Il faut aussi comprendre que le SSO ne garanti pas la scurit de lIdP, si il est corrompu par un attaquant, il aura aussi accs vos diffrents services.

Outils danalyse

Si vous souhaitez pouss le sujet, il peut tre intressant danalyser les BRM qui passent par votre navigateur. Pour cela vous pouvez utiliser le plugin Firebug pour Firefox ou Fiddler qui est utilisable comme proxy pour analyser les trames HTTP.

Conclusion

Lauthentification par SSO est en net progression sur les services webs mais ils ne sont pas une scurit absolue loin de l. Pour plus dinformation sur les failles de scurit des SSO vous pouvez lire une publication de Microsoft disponible ici : http:// research.microsoft.com/pubs/160659/websso-final.pdf

Sur Internet
http://www.buschini.com/2009/12/04/ identite-traditionnelle-versus-identite-numerique/` http://research.microsoft.com/pubs/160659/websso-final.pdf http://openid.net/specs/openid-authentication-2_0.html http://lloyd.io/how-browserid-works https://wiki.mozilla.org/Labs/Identity/VerifiedEmailProtocol

LOC PORTE & CHARLES ANTOINE MATHIEU


Administrateurs dans le domaine des systmes et rseaux spcialis GNU/Linux et Charles Antoine MATHIEU Administrateur RSS en stage de fin dtudes chez OVH.net. Tout deux ancien de lcole SUPNFO, passions de scurit, adepte du monde du libre et de lopen-source. Vous pouvez lire dautre de leurs articles et les contacter grce leur blog technique http://bibabox.fr

www.hakin9.org/fr

31