Upload
documation-gestion-de-linformation-et-du-document-numerique-en-entreprise
View
2.358
Download
5
Embed Size (px)
Citation preview
1
2
Les Auteurs
Ce document a été réalisé par la commission Identification-Authentification de Fedisa, composée de :
Jean-Marie Giraudon Keynectis Paul de Kervasdoué Aquis Françis Kuhn Sictiam Philippe Landeau Orange Business Services Michel Paillet GIP CPS Philippe Rosé Best Practices International Jérôme Soufflot Gemalto Thibault de Valroger Keynectis Xavier Vignal Groupe STS
3
Sommaire
I - Les enjeux de la protection des identités numériques p.5
A. Sécurité et ruptures technologiques p.5
B. L’explosion des identités numériques p.6
a) Le contexte p.6
b) Les besoins p.6
c) Le marché p.9
d) La chaîne de valeur de l’identité électronique p.10
II - Les stratégies clés d’identification/ authentification p.11
A. Le contrôle d’accès physique p.11
a) Qu’est-ce que le contrôle d’accès ? p.11
b) Les objectifs d’un bon système de contrôle d’accès p.11
c) Les composantes d’un système de contrôle d’accès p.12
d) Mettre en place un contrôle d’accès physique p.12
B. Contrôles d’accès logiques – Mots de passe p.13
a) Contexte p.13
b) Les enjeux p.14
c) Le processus d’intrusion p.14
d) La construction des mots de passe p.15
1) Les caractéristiques d’un mot de passe
2) La longueur des mots de passe
3) Les critères de choix des mots de passe
e) Le SSO (Single sign on) p.18
C. Cartes à puces et tokens USB p.18
a) Le contexte p.18
b) La carte à puce p.20
c) L’intégration dans la politique de l’entreprise p.21
1) La gestion des identités
2) Le contrôle des accès
3) L’authentification des utilisateurs
4) Convergence des systèmes d’accès
5) Gestion des cartes et cycle de vie
6) Les fonctions du Card Management System (CMS)
7) Cartes et usages Multi applicatifs
8) Simplification du déploiement
9) Mobilité et sécurité
10) Régulation (exemple pour la santé)
d) Recommandations p.25
D. La biométrie p.26
a) Les promesses de la biométrie p.26
b) Contexte p.27
c) Le marché p.27
d) Les applications de la biométrie p.28
e) les enjeux p.28
f) Déploiement de la biométrie p.28
g) Infrastructure et démocratisation p.29
h) Biométrie et Vie privée p.29
i) La biométrie et carte à puce ? p.29
j) Les nouvelles applications et usages p.29
1) Contrôle d'accès physiques aux locaux
2) Contrôle d'accès logiques
3) Equipements de communication
4) Machines & Equipements divers
k) Biométrie et aspects économiques p.30
4
E. Rôle du tiers de confiance en matière de contrôle d’accès p.31
a) Contexte p.31
1) Qu’est ce qu’un service de certification électronique ?
2) Les 5 piliers pour établir une relation de confiance
3) Infrastructure de Confiance : comment et pourquoi ?
4) Les acteurs de la Certification Electronique
b) Enjeux p.32
1) Quelles applications du certificat électronique ?
2) La dématérialisation
F. Exemples parlants en matière d’identification forte, d’authentification et de CA p.33
a) La messagerie sécurisée p.33
1) Qu'est-ce qu'une messagerie sécurisée ?
2) Qu’apporte une messagerie sécurisée ?
3) Le Chiffrement
* Un peu d’histoire
* La cryptographie symétrique
* Le cryptage asymétrique
b) La signature p.34
c) Les Annuaires LDAP p.35
1) Les caractéristiques principales d’un annuaire
2) La différence entre un annuaire et une base de données
3) Historique du LDAP
4) Présentation de LDAP
* Le protocole LDAP
* Consultation des données en LDAP
* Le format d'échange de données LDIF
* Evolutions possibles du protocole LDAP
III – Perspectives juridiques p.38
A. Quelques définitions p.38
a) Identifiant p.38
b) Authentifiant p.38
c) Authentification p.38
B. Les niveaux de confiance de l’authentification p.38
a) Aucune authentification p.38
b) Authentification de niveau bas p.38
c) Authentification de niveau moyen p.38
d) Authentification de niveau élevé p.38
C. Les textes en vigueur p.38
D. Principes juridiques directeurs impactant l’archivage électronique sécurisé dans la sphère privée p.39
E. Principes juridiques directeurs impactant l’archivage électronique sécurisé dans la sphère publique p.40
IV - Optimisation des Coûts et ROI p.41
A. Le contexte p.41
B. Les enjeux p.41
a) Etude a priori : analyse de risque – Méthode des scénarios et méthode PISE p.41
1) Méthode des Scénarii de risque
2) Profil de l’attaquant
b) Etude a posteriori p.42
C. Recommandations p.43
V – Prospective en matière de contrôle d’accès p.44
A. Le contexte p.44
B. Les enjeux p.49
C. Recommandations p.53
D. Lexique p.54
5
I - Les enjeux de la protection des
identités numériques
A. Sécurité et ruptures technologiques Quatre tendances de fond, qui correspondent à des évolutions technologiques historiques majeures, montrent que la sécurité des accès aux systèmes d’information doit être considérée comme stratégique. La première concerne la décentralisation des systèmes d’information. Autant, dans les années 1960 et 1970, aux premiers temps de l’informatique, le dirigeant d’entreprise pouvait avoir l’esprit relativement tranquille car son système d’information était enfoui dans un centre informatique très centralisé, donc bien contrôlé, autant, dans les années 1980 et, plus encore, par la suite, le degré de tranquillité du dirigeant d’entreprise s’est effrité.
Pourquoi ? D’abord parce qu’est arrivée la micro-informatique avec, pour corollaire, une intervention de l’utilisateur final sur le système d’information. On conçoit que ce contexte a constitué une profonde rupture vis-à-vis de la problématique de l’informatique centralisée, avec des systèmes contrôlés par des « spécialistes » (informaticiens). Lorsque les postes de travail ont commencé à être connectés en réseau, le degré de sérénité des dirigeants d’entreprises et des responsables informatiques a connu une nouvelle décrue.
Seconde tendance majeure : l’interconnexion de ces réseaux. Non seulement les postes de travail sont connectés au sein d’une entreprise, mais les réseaux d’entreprises sont devenus interconnectés, dans un premier temps avec des réseaux contrôlés par les opérateurs de télécommunications et reposant sur des technologies relativement fiables (par exemple X25). On parle d’entreprise étendue, et cela correspond à une nébuleuse qui fait intervenir le système d’information de l’entreprise, mais également celui des sous-traitants, des fournisseurs, des clients, des administrations, voire des concurrents (par exemple dans le cas de co-entreprise) : la problématique d’authentification-identification devient encore plus stratégique car multidimensionnelle.
La troisième tendance de fond constitue le prolongement de la précédente et se résume à un mot : Internet. Non seulement les postes de travail de l’entreprises sont interconnectés ; non seulement ils le sont avec ceux d’autres entreprises et de tiers ; mais ils le sont sur des technologies ouvertes, certes
standardisées mais fragiles, d’autant que cela a correspondu avec une homogénéisation des systèmes d’information autour de progiciels applicatifs standards (les ERP, la bureautique), d’outils d’administration eux aussi standards et de logiciels utilitaires non moins standards. Enfin, la quatrième tendance majeure concerne la nature de l’information. Celle-ci devient de plus en plus ouverte, volontairement ou involontairement. Volontairement lorsque l’entreprise choisit (par exemple sur un site Web) de diffuser des données qui, historiquement, restaient dans l’entreprise. Involontairement lorsque les informations sont relayées, voire déformées, au fil de leur cheminement dans les réseaux.
Ces tendances lourdes ont trois conséquences dans le domaine de la sécurité. D’abord, la sécurité, d’une approche technique, devient un enjeu de management. Autrement dit, les responsables sécurité, lorsqu’ils existent, doivent se doter de compétences dans ce domaine, par exemple pour s’assurer que l’installation de technologies de sécurité s’effectue dans un cadre organisationnel qui permettra une efficacité optimale. Ensuite, d’une problématique de direction de systèmes d’information, la sécurité remonte et devient une exigence de stratégie d’entreprise, de gouvernance diraient les anglo-saxons, voire de gouvernement, tant la sécurité devient aussi une préoccupation des pouvoirs publics. Enfin, si la préoccupation de sécurité remonte vers les directions générales, elle redescend également vers les utilisateurs. Ceux-ci jouent un rôle central dans l’efficacité des politiques de sécurité. A tous les niveaux, se pose la question de l’authentification-identification.
Selon le Clusif, qui a publié son étude sur la sinistralité informatique 2008, « les technologies de contrôle d’accès logiques restent peu déployées, et surtout que la situation ne semble pas avoir évoluée en deux ans, puisque les résultats 2008 sont presque identiques { ceux de 2006. Alors que l’ouverture des systèmes et surtout le nomadisme se sont considérablement accélérés depuis 2006, cette absence d’évolution côté contrôle d’accès est préoccupante. »
Comme le montre le tableau ci-après, les entreprises n’ont pas encore adopté massivement les technologies de contrôle d’accès, selon la dernière enquête menée par le Clusif (Club de la sécurité de l’information français).
6
Source : Clusif (www.clusif.asso.fr)
7
B. L’explosion des identités numériques
a) Le contexte Qu’est-ce que l’identité numérique et pourquoi est-ce un enjeu important pour l’avenir ? L’identité numérique est un ensemble de données permettant de caractériser une personne, dans un contexte d’utilisation donné. Elle n’est donc pas absolue, comme l’identité régalienne (état civil), mais contextuelle : on peut avoir plusieurs identités numériques en fonction de l’espace numérique dans lequel on évolue (une identité sur Facebook, une identité pour déclarer ses impôts, une identité pour percevoir ses remboursements de santé, …). L’identité numérique est clairement un enjeu pour l’avenir : c’est d’abord un enjeu de confiance. Les utilisateurs, citoyens de démocraties modernes, ont un légitime droit à la protection de leur identité dans le contexte nouveau du cyber-espace (1,5 milliards d’utilisateurs d’Internet aujourd’hui). Ils connaissent mal les risques, mais ils souhaitent que leurs données personnelles ne soient utilisées qu’aux fins qu’ils ont approuvées, et bien sur que personne ne puisse usurper leur identité. Par ailleurs, il ne suffit pas de protéger les identités numériques des personnes, il faut aussi protéger celles des composants d’infrastructures (serveurs, composants réseau, base de données), qui sont des objets mais qui sont également dotés d’une identité sur les réseaux. Outre Atlantique, l’administration Obama a réagi aux constats préoccupant sur la vulnérabilité des systèmes en lançant un ambitieux programme appelé « Securing Cyberspace for the 44th Presidency », dont l’un des thèmes principaux est « Identity Management for Cybersecurity ». Voici un extrait du rapport de la commission CSIS : “ …The question is wether we improve, for cybersecurity purposes, authentication while we protect important social values such as privacy and free speech. We have concluded that security in cyberspace would benefit from stronger authentification and that the government must require strong authentication for access to critical infrastructure. In doing this, the United States must
improve authentication in a balanced manner, with full protection of privacy and civil liberties…” C’est ensuite un enjeu économique. La maîtrise des données personnelles est un actif majeur pour les offreurs de services. Elle permet les techniques de scoring à des fins de marketing ciblé, elle offre d’énormes gains de productivité en permettant l’automatisation de procédures, elle permet enfin de proposer de nouveaux services en ligne. Ce constat peut paraître dérangeant { bien des égards, il n’en est pas moins réel, et nier l’importance économique de l’identité électronique reviendrait { faire prendre à la France un retard important.
b) Les besoins La gestion des identités électroniques répond à quatre types de besoins, qui peuvent être classés par degré de criticité :
8
Simplifier l’usage des e-services ou
des applications
Ici, il est question avant tout de simplifier la manipulation des e-
services ou des applications par les utilisateurs. Ces derniers
souhaitent autant que possible :
- Eviter de ressaisir leurs informations personnelles dans les multiples formulaires qui leur sont proposés en ligne. (*)
- Ne pas avoir à retenir un grand nombre de mot de passe, qui finissent par être identiques sur tous les services, au détriment évident de la sécurité. (**)
Le « binding » de données Dans la plupart des transactions e-commerce, l’offreur de service n’a
pas besoin de connaître l’identité détaillée de l’internaute mais
seulement d’être sûr que certaines données correspondent bien {
une même personne, typiquement un N° CB et une adresse de
livraison (le payeur est bien le bénéficiaire). C’est ce que l’on appelle
le binding de données. Il permet de garantir le e-commerce tout en
préservant totalement ou partiellement l’anonymat de l’internaute.
La garantie d’unicité d’utilisation Dans beaucoup de e-services ou d’applications, les utilisateurs créent
un compte qui leur est propre et l’utilisent ensuite régulièrement en y
gérant des informations personnelles. L’unicité d’utilisation consiste
{ garantir que l’utilisateur est bien toujours le même. On peut citer
bien des exemples : compte de messagerie (Gmail, Yahoo, …),
Compte fiscal, espace personnel sur la banque en ligne, compte
joueur en ligne…. On peut aussi trouver des applications très
sensibles comme le recensement d’une population (dédoublonnage),
le vote électronique ou le parcours voyageur dans un aéroport.
L{ encore, l’anonymat n’est pas nécessairement un problème, mais
l’unicité d’utilisation doit être assurée, et l’usurpation d’identité
combattue.
La preuve d’identité Le niveau le plus critique de gestion de l’identité électronique est la
preuve d’identité. On entre dans le champ du contrôle administratif
et / ou de la traçabilité à des fins juridiques. Ici, il faut pouvoir
associer les actions électroniques à une identité au sens régalien.
On peut citer les documents de voyage (passeports électroniques),
les contrats passés de manière électronique, les actes administratifs
ou notariés électroniques, les télé-procédures…
(*) Ce constat avait conduit Microsoft à créer en 2005 son
système « Passeport » visant à proposer à l’utilisateur de
centraliser ses données d’identité dans une base unique,
gérée par Microsoft. Cette initiative a été abandonnée
devant les fortes critiques émises par les défenseurs des
libertés individuelles, au profit d’une approche plus
décentralisée dans le cadre du consortium OpenID, qui
regroupe d’autres grands acteurs de l’informatique tels que
Google ou IBM.
(**) On parle de SSO ou « Sigle Sign On », c'est-à-dire une
seule authentification pour tous les accès. Selon une
analyse récente, plus de la moitié des internautes français
(56%) utilisent le même mot de passe sur l'ensemble des
sites sur lesquels ils sont inscrits. Ils sont donc une majorité
à compromettre leur identité numérique afin de ne pas
s'encombrer la mémoire, par négligence, par manque
d'imagination, ou par inconscience du danger.
9
c) Le marché
Deux approches se profilent pour la gestion de
l’identité électronique au niveau mondiale :
l’une, régalienne, gérée par les états au travers
de documents d’identité électronique
comportant une puce ; l’autre émergeant de
manière plus anarchique au sein de la sphère
privée (banques, opérateurs de
télécommunications) et des grands acteurs des
technologies de l’information (Google,
Facebook, eBay, Microsoft, Apple) qui tentent
de créer un standard de fait. Bien qu’elles ne
soient pas antinomiques, quelle approche va
prendre le dessus ? Si les états ont pour eux la
légitimité et la reconnaissance légale, les
acteurs privés maîtrisent la plus grande part des
usages. Il est probable que les deux approches
vont co-exister : l’approche régalienne pour le
contrôle policier de l’identité, l’administration
électronique et les échanges nécessitant une
forte valeur probante, l’approche privée pour le
e-commerce. L’interpénétration des deux
approches dépendra de l’évolution du rapport
de force entre les deux sphères, de la capacité
de consensus, et de l’évolution des mentalités
des utilisateurs.
10
Le marché mondial de l’identité électronique
régalienne est évalué aujourd’hui { quatre milliards
de dollars, pour un potentiel autour de 30 MD€,
selon IDC. Le marché de l’identité électronique
gérée par la sphère privée est très difficile à évaluer
car il est dilué dans les usages (e-banking, e-
commerce, réseaux sociaux, …). Il est certainement
de loin le plus important en volume. Le (très petit)
sous-ensemble de l’identité électronique
d’entreprise (IAM) est évalué { 3,5 MD€.
Il est clair toutefois que, s’agissant de l’identité
électronique, la valeur de ce marché ne se réduit pas
à sa seule valeur marchande, car il est aussi porteur
de très forts enjeux sociétaux.
d) La chaîne de valeur de l’identité
électronique
La chaîne de valeur de l’identité électronique
s’organise en trois grandes couches :
- les dispositifs de protection de l’identité,
avec un profil d’offreurs plutôt industriel. C’est la
couche de loin la plus importante aujourd’hui, ce qui
prouve la jeunesse de ce marché où la technologie
précède les process et les usages. On y trouve
notamment l’industrie de la carte { puce, très bien
représentée en France. Une part importante de la
fabrication des composants est délocalisée vers les
pays à bas coût (Chine), la valeur principale restant
la R&D, le marketing et la distribution.
- les gestionnaires d’identité, avec un profil
d’offreur plutôt service. Cette couche est encore
embryonnaire pour le marché de l’identité
électronique, mais elle représentera une part
importante, voir majoritaire de la valeur à terme,
comme on a pu le voir sur le marché des moyens de
paiement, ou sur le marché du fonctionnement
d’Internet par exemple. Elle sera également celle qui
dégagera les marges les plus importantes tout en
étant la plus créatrice d’emploi plus difficilement
délocalisables.
- Les outils permettant de mettre en œuvre
l’identité électronique dans les différents contextes
d’usage.
11
II - Les stratégies clés
d’identification/ authentification
Le marché de l’identité numérique repose sur
plusieurs technologies clés, dont certaines sont bien
maîtrisées, voir dominées, par les offreurs français,
et d’autres pour lesquelles la France accuse un
important retard. Parmi toutes ces technologies on
peut citer la carte à puce, la cryptographie, la
biométrie, la PKI, le RFID, l’impression sécurisée, le
cloud computing, la fédération d’identités, les
annuaires…
Les technologies dans ce domaine ne font pas tout,
un axe de plus en plus important est la capacité
d’influence sur la standardisation, car l’identité
électronique ne peut se développer
qu’accompagnée par un mouvement de
standardisation technique et juridique permettant
son utilisation de manière interopérable. Sur ce
point, le leadership est clairement anglo-saxon pour
l’instant.
A. Le contrôle d’accès physique
a) Qu’est-ce que le contrôle d’accès ?
Un dispositif de contrôle d’accès est un système
avec plusieurs composantes dont l’objectif est de
contrôler (c’est-à-dire identifier et/ou authentifier)
les individus qui se présentent { un point d’accès
permettant de pénétrer dans un lieu donné.
L’identification consiste { déterminer si la personne
{ contrôler possède bien un droit d’accès.
L’authentification consiste { s’assurer que la bonne
personne détient le bon droit d’accès (pour éviter le
vol de supports de contrôle d’accès tels que les
cartes à puces par exemple).
On peut donc définir le contrôle d’accès comme
l’interaction spécifique entre un sujet et un objet qui
a pour résultat d’autoriser ou non le transfert d’un
flux d’informations de l’un vers l’autre. Il s’agit, plus
généralement, de l’ensemble des moyens
nécessaires pour accéder, stocker ou prélever des
données, pour communiquer ou pour utiliser des
ressources d’un système d’information.
Les préoccupations de sécurité liées { l’accès ne
sauraient être dissociées de la sécurité générale des
bâtiments. Il est recommandé de faire réaliser, par
un organisme extérieur, un contrôle périodique des
facteurs de risques.
b) Les objectifs d’un bon système de contrôle
d’accès
Un système de contrôle d’accès doit répondre aux
impératifs suivant :
- il doit être installé après une étude des besoins,
en particulier des risques d’intrusion. Cette étude
présente plusieurs avantages, d’abord économique
(le coût sera optimisé par rapport aux enjeux),
ensuite en termes d’efficacité (inutile de se prémunir
contre des risques hypothétiques ou de dépenser
trop peu pour lutter contre un risque majeur). De
même, une étude des besoins aboutit à une
couverture exhaustive des locaux à protéger. En
l’absence d’une étude des besoins, c’est l’illusion de
sécurité qui prévaut, avec son cortège d’issues non
fermées, d’ascenseurs desservant directement des
locaux sensibles.
- un dispositif de contrôle d’accès doit être
cohérent et hiérarchisé par rapport aux enjeux. En
effet, on ne protège pas des locaux informatiques
comme des salles de réunions, un hall d’accueil ou
des services de recherche-développement.
Pour prendre en compte cette hiérarchisation, il est
préférable d’adopter une structure en anneaux, avec
les zones suivantes :
- locaux stratégiques (salle informatique,
local télécoms...),
- locaux à risque important (bureaux
recherche-développement, entrepôts,
direction générale...),
- locaux { risque moyen (hall d’accueil,
parkings...),
- locaux { risque faible ou zones d’échanges
(cafétéria, salle de réunions...).
La cohérence signifie que l’on évitera de mettre en
place des dispositifs inutiles (par exemple un
contrôle par carte { puce { l’entrée d’une cafétéria)
12
qui font double emploi (lecteur de carte à puce pour
entrer dans le parking, autre lecteur, avec une autre
carte pour entrer dans les bâtiments puis autre
système à carte pour entrer dans une salle
informatique).
- le contrôle d’accès doit prendre en compte la
sécurité des personnes, en fonction des impératifs
d’urgence. Autrement dit, les issues de secours ne
permettent pas des intrusions par l’extérieur des
bâtiments mais ne doivent pas gêner les
évacuations, notamment en cas d’incendie.
- le dispositif de contrôle d’accès doit être adapté
aux flux, afin de ne pas paralyser le
fonctionnement quotidien de l’entreprise. On ne
protège pas une tour de bureaux dans laquelle 3 ou
4000 personnes entrent le matin entre huit et neuf
heures de la même manière qu’une PME de
cinquante personnes. Il importe en outre de tenir
compte de la convivialité du système et, surtout, de
son rapport qualité/prix.
c) Les composantes d’un système de contrôle
d’accès
Un système de contrôle d’accès est composé de
plusieurs éléments :
- un poste de gestion centralisé : il peut être local
ou couvrir plusieurs sites. Le système centralisé
permet de hiérarchiser les degrés de sécurité en
fonction des locaux, de gérer les plannings horaires
et calendaires selon les individus, de disposer de
traces écrites et horodatées des accès, et de mettre
{ jour les droits d’accès (départ ou changement
d’affectation des salariés, désactivation des cartes
perdues ou volées).
- des terminaux et des capteurs qui contrôlent les
accès aux zones protégées : la communication
entre le poste de gestion centralisé et les terminaux
de contrôle d'accès varie en fonction de la nature
des locaux, des configurations, du degré de
contrainte des procédures mises en œuvre et des
fonctionnalités du contrôle d’accès. Les terminaux
dialoguent en temps réel avec le PC auquel ils sont
reliés, et ils gèrent les transactions. Les terminaux
peuvent être autonomes, par exemple des PC
portables raccordés temporairement au poste de
gestion centralisé.
- un dispositif d’action, par exemple pour ouvrir
les portes des locaux. Lié { l’unité de gestion
centralisée, ce dispositif ouvre ou ferme les accès en
fonction des droits déterminés pour chaque
individu. Ce dispositif est commandé soit
automatiquement (par exemple pour les lecteurs de
badges), soit manuellement (poste de gardiennage),
soit de façon semi-automatique (télécommande
depuis un poste de gardiennage).
- des dispositifs de reconnaissance des individus,
par exemple un code ou un document permettant
de les identifier. On pourra associer aux moyens
automatiques (par exemple des cartes à puces), un
ensemble de moyens humains, par exemple des
postes de gardiennage, souvent dissuasifs. Le
système peut être complété par de la
vidéosurveillance, en fonction des enjeux à
protéger. Un tel dispositif doit être cohérent (rien ne
sert de surveiller en vidéo tous les locaux de
l’entreprise) et complet (surveillance des angles
morts). Le système le plus courant consiste à
demander aux visiteurs le dépôt d’une pièce
d’identité et { délivrer un badge provisoire, avec
l’indication de la date, de la personne visitée et,
éventuellement, les limites des locaux autorisés.
d) Mettre en place un contrôle d’accès
physique
Le contrôle d’accès doit être conçu de façon large. Il
ne se limite pas aux accès des bâtiments, mais
également { l’ensemble du territoire immédiat. Cela
implique de vérifier la qualité des clôtures
lorsqu’elles existent et d’utiliser un dispositif de
surveillance périphérique (par caméras). L’ensemble
du système doit être cohérent (c’est-à-dire adapté
aux enjeux) et complet (éviter les failles).
Comment assurer l’authentification
d’un individu ?
Un individu peut être identifié par quelque chose
qu’il connaît, par quelque chose qu’il possède, ou
par une caractéristique physique qui lui est
propre.
13
La première catégorie correspond aux codes,
mots de passe, ou clavier numérique. La
reconnaissance d’un code s’apparente au système
de mots de passe utilisé dans la sécurité logique
(accès aux applications informatiques). Ces
systèmes se présentent sous différentes formes :
- l’identification par un code commun (plusieurs
salariés d’un même service partagent un même
code),
- l’identification par un code commun lié à un
système de carte magnétique ou à puce et
l’identification personnalisée (l’utilisateur
possède un code qui lui est personnel).
- L’avantage essentiel réside dans la simplicité
d’utilisation et le coût modique.
La seconde catégorie (quelque chose en
possession de l’individu) correspond à un attribut
physique. Les systèmes les plus courants sont
basés sur l’emploi de cartes magnétiques ou à
puces. L’inconvénient de la technique des cartes
magnétiques réside dans la relative facilité
d’élaborer des contrefaçons. Les lecteurs de
badges ou de cartes constituent l’élément
essentiel d’un dispositif de contrôle d’accès. On
distingue les lecteurs statiques, qui, en fonction
de la lecture d’un badge, autorisent ou non
l’ouverture d’une porte. Parmi les inconvénients,
on notera :
- la difficulté d’établir des hiérarchies horaires,
- la difficulté d’analyser des traces écrites des
entrées-sorties.
Les lecteurs dynamiques autorisent un dialogue
avec le système de gestion centralisée, ce qui
annule les inconvénients des lecteurs statiques. Il
est en effet possible d’effectuer une
hiérarchisation des droits d’accès, selon des
contraintes temporelles et individuelles.
La troisième catégorie (quelque chose de propre à
l’individu) concerne la reconnaissance
biométrique. Le principe consiste à reconnaître les
caractéristiques physiques d’un individu, par
exemple ses empreintes digitales, l’œil, les
contours de l’oreille, la signature, le timbre de la
voix.
Outre leurs coûts et la nécessité de respecter les
contraintes juridiques, les systèmes basés sur la
reconnaissance des éléments biométriques
provoquent certaines réticences de la part des
individus. Ils sont pour l’instant réservés au
contrôle des accès à des locaux très stratégiques.
B. Contrôles d’accès logiques – mots de
passe
a) Contexte
L'authentification par mot de passe est le
mécanisme le plus répandu. La raison essentielle est
historique car il s'agit de la solution qui était
proposée notamment par les systèmes
informatiques centraux (mainframe). Enfin, il s'agit
d'un système simple dans la mesure où le schéma
d'authentification est basé sur ce que l'utilisateur
sait ou connaît : son identification et son mot de
passe.
La compréhension de son usage par les utilisateurs
est aisée et son adoption assurée car la mécanique
d'authentification par identifiant/mot de passe est
de fait employée depuis fort longtemps avant même
l'avènement de l'ère informatique.
Les avantages de l’utilisation de ce type
d’authentification sont nombreux. Le principal est
que ces mécanismes sont implémentés de base dans
tous les systèmes d’exploitation, les systèmes de
gestion de bases de données, les applications et les
services. Ils utilisent les mêmes bases que
l’identification ou les mêmes annuaires. Un autre
avantage vient de leur indépendance vis-à-vis de
l’utilisation d’autres mécanismes de sécurité comme
les canaux de communication sécurisés (type
VPN…).
L'évolution du paysage informatique, et notamment
sa mutation des systèmes centraux vers des
systèmes distribués, est accompagnée de la
démocratisation de son usage à titre personnel. Cela
fait apparaître des limites quant à la confiance qui
14
peut être accordée à un tel système
d'authentification. Le principe du mécanisme mis en
œuvre est universel et repose sur une
implémentation du procédé suivant.
Le système repose sur une transaction bipartie
réalisée entre un système requêtant et un système
authentifiant. Le système requêtant soumet un
identifiant et un mot de passe que l'utilisateur a
saisi. Le système authentifiant confronte le couple
identifiant/empreinte soumis avec celui contenu
dans son propre référentiel.
La simplicité d'un tel système ne mettant en œuvre
que deux acteurs permet d'envisager un mode de
fonctionnement en mode connecté tout comme en
mode non connecté. Il est envisageable que les
systèmes requêtant et authentifiant soient les sous-
systèmes d'un même système physique ou logique.
Cela explique sa très forte utilisation en mode
connecté sur Internet. Les applications les plus
récentes utilisent un système basée sur la
conservation d’une empreinte numérique élaborée
par procédé cryptographique en lieu et place du
stockage du mot de passe de l’identifiant. De même,
la transmission du mot de passe entre les deux
acteurs de la transaction d'authentification est
remplacée par la communication de l'empreinte
numérique. Ces sophistications permettent de
remédier à la problématique évidente de sécurité
qu'implique la diffusion des mots de passe des
utilisateurs à la fois sur les infrastructures de
communications et sur les systèmes authentifiant
eux-mêmes. La robustesse de la solution repose sur
la sécurité associée aux composants
d'infrastructure, notamment pour assurer la
confidentialité des informations qui y transitent.
Certains systèmes proposent l'ajout d'une
combinaison numérique unique (nonce) associée à
cette empreinte permettant ainsi de protéger le
système contre le rejeu. On parle alors de challenge.
Par conception, il s'agit d'un mécanisme
d'authentification qui ne permet pas d'assurer la non
répudiation de la transaction car il ne garantit pas le
consentement au contenu des données.
Par conséquent, l'utilisation d'une authentification
simple est, en principe adaptée pour un usage
interne. C'est-à-dire, qu'elle s'inscrit dans un
environnement où la sécurité des systèmes est
assurée et que la criticité des données ne présente
pas de caractère confidentiel ou secret.
b) Les enjeux
Nous avons vu que le principal inconvénient du
système est qu’il ne garantit pas l’authentification
du demandeur de l’accès au Système d’Information
car il peut être facilement écouté, intercepté et
réutilisé frauduleusement. Un autre inconvénient
réside dans le fait que sa robustesse est
complètement liée à la sensibilité de l’utilisateur { la
problématique sécurité. Même si les systèmes
d’exploitation proposent actuellement de plus en
plus d’outils d’aide { la conception de mots de passe
robustes.
Un troisième inconvénient réside dans la non
homogénéité des mécanismes de gestion des mots
de passe. Actuellement, chaque utilisateur doit, en
moyenne, connaître, pour accéder aux différentes
fonctions du système d’information nécessaires {
ses activités, entre 3 et 5 mots de passe différents.
Cette problématique entraîne la plupart du temps
une réduction très importante de la robustesse de
l’ensemble de ces authentifications. Les individus
utilisant à chaque fois le même mot de passe ou un
mot de passe déductible du précédent par une
mnémotechnie simple.
La tendance actuelle du marché est de regrouper au
sein d’un même annuaire la notion d’identification
et d’authentification. Ceci permet, avec les
mécanismes de protection adéquats, de renforcer la
centralisation de la gestion de ces éléments.
c) Le processus d’intrusion
Les attaquants procèdent par étapes. Il leur faut
d’abord connaître un minimum d’informations sur le
système cible. Par exemple les logiciels utilisés et
leurs versions, les types d’adresses IP. Il faut ensuite
identifier les failles, en fonction des versions
installées. Plus les versions sont anciennes, plus la
tâche est facilitée. Une fois que la faille est mise à
profit pour entrer dans le système, le pirate pourra
accéder à des informations supplémentaires comme
par exemple :
15
- le nombre de serveurs, les typologies
d’utilisateurs,
- les possibilités d’exécuter des programmes-
espions.
Il opèrera d’autant plus facilement que la plupart
des entreprises ne disposent pas de procédures
d’alertes efficaces. La dernière enquête du Clusif a
ainsi révélé les éléments suivants :
- Plus de 75 % des entreprises ne mesurent pas leur
niveau de sécurité régulièrement.
- Dans 43 % des entreprises, le RSSI (responsable de
la sécurité des systèmes d’information) n’a pas
d’équipe assignée en permanence { la sécurité de
l’information.
- Seulement 30 % des entreprises affirment réaliser
une analyse globale des risques liés à la sécurité de
leur SI.
- Seulement un tiers des entreprises ont institué des
programmes de sensibilisation à la sécurité de
l’information.
- 6 entreprises sur 10 n’ont pas de gestion par rôle ou
par profil métier pour les habilitations.
- 60 % des entreprises ne disposent pas d'une équipe
consacrée à la gestion des incidents de sécurité
d’origine malveillante.
- 28 % seulement des entreprises procèdent à une
évaluation de l’impact financier des incidents de
sécurité.
- 35 % des entreprises ne mènent jamais d’audit de
sécurité.
Les mots de passe constituent donc une cible
privilégiée des pirates informatiques. Ces derniers
disposent de logiciels et de documentations qui
permettent ou expliquent comment s’introduire
dans un système d’information. L’un des objectifs
des hackers est évidemment de s’attacher { trouver
les mots de passe des machines auxquelles ils
veulent accéder. Pour cela, les outils pour pénétrer
dans les systèmes informatiques et les réseaux sont
disponibles gratuitement sur Internet.
Le plus souvent, les programmes de recherche de
mots de passe fonctionnent selon le principe du
cheval de Troie, programme informatique, en
apparence inoffensif, mais qui contient une fonction
cachée. Un cheval de Troie peut donc contaminer un
grand nombre d’ordinateurs, notamment s’il est
propagé par des réseaux. Une fonction cachée tente
de rechercher les mots de passe stockés dans la
mémoire de l’ordinateur. Il existe des chevaux de
Troie plus complexes, qui peuvent simuler un écran
de connexion, puis enregistrer le mot de passe
frappé sur le clavier et qui, enfin, exécutent le vrai
programme de connexion, de sorte que l’utilisateur
est leurré en croyant agir dans des conditions
normales.
On notera également le phénomène de phishing,
forme d'usurpation d'identité par laquelle, un pirate
utilise un e-mail d'allure authentique afin de
tromper son destinataire pour que ce dernier donne
de manière consentante ses données personnelles,
telles qu'un numéro de carte de crédit, de compte
bancaire ou de sécurité sociale.
d) La construction des mots de passe
Un mot de passe peu résistant constitue le principal
point faible des réseaux et des systèmes
d’information en général. Celui-ci doit donc être
construit de façon suffisamment robuste pour
résister le plus longtemps possible aux attaques, qui,
nous l’avons vu plus haut, se réalisent avec de
multiples points d’entrée. Du point de vue de
l’administrateur réseau, le principal enjeu réside
dans la gestion optimale des mots de passe et des
droits d’accès.
Le choix des mots de passe répond à un certain
nombre de règles de base. Le mot de passe reste
toujours le secret de l'utilisateur légitime de
l’information protégée.
1) Les caractéristiques d’un mot de passe
Un système de mots de passe doit posséder au
moins quatre caractéristiques :
16
* L'identification personnelle
Les systèmes de mot de passe employés pour
contrôler les accès { des systèmes d’information
doivent identifier chaque utilisateur de ce système,
individuellement (éviter donc les mots de passe de
groupe, commun à toutes les personnes travaillant
dans un service par exemple).
* L’authentification
Les systèmes de mot de passe doivent authentifier
les utilisateurs, c’est-à-dire s’assurer de l’identité de
ceux-ci.
* Le secret des mots de passe
Les systèmes de mot de passe doivent assurer, dans
la mesure du possible, la protection de la base de
données des mots de passe. Ce fichier doit être
traité comme un fichier sensible et confidentiel et
protégé comme tel.
* La vérification
Les systèmes de mot de passe doivent être capables
d’offrir des fonctionnalités permettant d’analyser les
incidents et de détecter toute compromission des
mots de passe ou des fichiers dans lesquels ils sont
stockés.
Par sa fragilité, l'authentification par mot de passe
ne pourra couvrir tous les cas de protection. Si l'on
prend par exemple quatre niveaux de sensibilité :
- secret (1),
- hautement confidentiel (2),
- confidentiel (3),
- personnel non sensible (4).
Seul le niveau 4 peut être protégé par mot de passe.
Le niveau de secret doit comporter des solutions
additionnelles telles que cartes à puce, systèmes
biométriques, etc.
2) La longueur des mots de passe
Le meilleur moyen de diminuer les risques est
d’utiliser des mots de passe d’une longueur
suffisante afin qu’ils ne puissent être trouvés
facilement par une « attaque brutale ». La sécurité
fournie par des mots de passe est déterminée par la
probabilité qu'un mot de passe ne puisse être deviné
pendant sa durée de vie. Plus faible est cette
probabilité, plus grande est la sécurité offerte par le
mot de passe.
3) Les critères de choix des mots de passe
Pour choisir un bon mot de passe, il importe donc
d'observer les règles suivantes, qui seront rappelées
par exemple dans un guide de sensibilisation à la
sécurité de l’information diffusé au sein de
l’entreprise dans le cadre de sa politique de
sensibilisation à la sécurité.
Ces critères principaux sont les suivants:
- Le mot de passe est personnel et doit, par
conséquent, rester secret.
- Le mot de passe ne doit pas être mémorisé dans
des fichiers, des programmes ou des touches de
fonction auxquels des tiers ont accès.
- Le mot de passe doit être choisi et géré par
l'utilisateur lui-même.
- Le mot de passe ne peut être introduit que sur
demande du système et par le truchement du clavier
ou/et d’un périphérique biométrique.
- Le mot de passe ne doit pas se lire à l'écran lorsque
vous l´entrez. S'il s'affiche, il y a lieu d'interrompre la
procédure d'entrée et d'en informer le responsable
de l'accès.
- On évitera d'introduire le mot de passe en
présence de tiers. Si cette présence ne peut être
évitée, le mot de passe sera modifié discrètement
avant la sortie du système; l’utilisateur qui sait ou
qui suppute que son mot de passe est connu par un
tiers le changera sans tarder.
- Hormis l'utilisateur, seul le responsable de l'accès
est habilité à modifier le mot de passe. Dans des cas
exceptionnels, le supérieur peut prescrire une
17
modification du mot de passe par l'intermédiaire du
responsable de l'accès. Quel que soit l'initiateur de la
modification, l’utilisateur doit en être informé.
- Il faut instituer l’obligation de changer
régulièrement le mot de passe (tous les 3 mois par
exemple), sans reprendre les précédents sur une
période assez longue (un an par exemple) : Dans
certaines entreprises à technologie "sensible" , le
système informatique oblige les ingénieurs à
changer leurs mots de passe toutes les deux heures.
On ne doit pas pouvoir déceler le nouveau mot de
passe ou celui qui a été modifié par un simple
raisonnement.
- Une longueur minimum doit être imposée (6
caractères).
- Les mélanges de caractères numériques et
alphabétiques sont préférables. Aucun mot de passe
ne peut être formé en totalité de nombres, même
associé à des signes moins ou de signes plus. Par
exemple «01-45+87-23» ne doit pas être utilisé
comme type de mot de passe, car il est très facile de
le deviner, en testant systématiquement tous les
chiffres.
- Les mots de passe ne doivent pas contenir le nom,
le prénom ou le numéro du terminal de l’utilisateur,
ni aucune permutation entre ces éléments.
- Les mots de passe de moins de dix caractères ne
peuvent être totalement en minuscules ni
totalement en majuscules : il est préférable
d’alterner les deux types de constructions. Par
exemple «FEDISA» et «fedisa» ne doivent pas être
considérés comme des mots de passe valides. Il
suffit d’inclure soit des caractères spéciaux, soit des
chiffres pour que ce type de mot de passe soit
valable. Par exemple, on pourra retenir «Fedisa$» ou
encore «5fedisa!».
Soulignons encore qu'il est évidemment risqué
d'employer un même mot de passe pour plusieurs
comptes sur différentes machines.
- Un contrôle de non trivialité évitant que le mot de
passe ne soit deviné trop facilement (voir encadré ci-
après) doit être mis en place de manière
systématique.
Mots de passe : quelques
recommandations pratiques
* pas plus de 3 lettres à la suite du clavier ou
logiques : ex : AZERTY, QWERTY, ABCDEF,
123456,
* pas de nom ou prénom ou date de naissance ou
numéro de téléphone de l'utilisateur ou de ses
proches,
* pas le numéro de l'année en cours,
* pas de nom de grandes équipes sportives du
moment,
* pas de noms de lieu,
* pas de mot figurant dans un dictionnaire de
quelque langue que ce soit,
* pas de mot concernant l'informatique comme
Unix, Word, Windows, wizard, gourou, ...
* pas de mot représentant une information qui
vous est relative (numéro de téléphone, adresse,
plaque minéralogique, date particulière ...),
* pas de mot rentrant dans l'une des catégories
précédentes écrit à l'envers ou combiné avec un
chiffre,
* pas de code postal,
* pas de numéros de plaques minéralogiques,
* pas de marques de voitures,
* pas de marques de cigarettes ou de produits de
consommation courante,
* pas de jours, mois ou années,
* pas plus de deux signes identiques consécutifs.
Il est nécessaire de disposer d’une politique de
gestion très stricte :
* Changer de mot de passe très régulièrement
* Choix de mots de passe complexes à découvrir
mais simples à retenir pour l’utilisateur
18
* Individualisation et inaccessibilité des mots de
passe
* Stockage rigoureux (hashage, chiffrement,
cloisonnement) aussi bien dans l’esprit de
l’utilisateur que dans les différents systèmes et
applications
* Saisie du mot de passe invisible à l’écran
* Chiffrement du mot de passe dans les
communications
- Une bonne méthode pour choisir est d'accoler
deux mots qui n'ont aucun rapport entre eux, tout
en y intercalant un chiffre ou un autre signe. Par
exemple : para2chauss, able(v(x?, tonta!rap23. Une
autre façon encore consiste à prendre la première
lettre des mots d'une phrase mémorisable
facilement. Par exemple, «La commission Fedisa sur
l’authentification-identification» deviendra
«LCFSAI», mot de passe qui, on en conviendra, est
difficile à deviner avec des attaques basées sur les
dictionnaires (attaques de force brute).
D’une manière générale, il faut se souvenir qu'un
code difficile à découvrir n'est pas forcément un
code difficile à retenir.
e) Le SSO (Single sign on)
Un autre axe d’approche de la problématique de
l’authentification, a été depuis plusieurs années la
mise en œuvre du concept de SSO (Single Sign On)
ou mot de passe à usage unique. Le principe du SSO
est basé sur deux types d’architectures.
Le premier type d’architecture (type I) consiste {
disposer d’un serveur d’authentification auquel
l’utilisateur souhaitant accéder au Système
d’Information va d’abord se connecter pour
s’identifier et s’authentifier. En cas de succès,
l’utilisateur pourra alors accéder automatiquement
aux services et aux applications pour lesquelles il est
habilité sans fournir de nouvelles identifications.
C’est un service situé sur son poste de travail qui va
se substituer { l’utilisateur. L’ensemble des
échanges entre l’utilisateur, le serveur d’habilitation
et les services accessibles se font en mode chiffré.
Le second type d’architecture (type II) est basé sur
une approche initiale identique. En cas
d’acceptation de l’identification et de
l’authentification de l’utilisateur, le serveur va
retourner { l’utilisateur un ticket protégé qui sera
utilisé par les applications, au moment de la
demande d’accès, pour authentifier
automatiquement l’utilisateur et donc lui attribuer
ses droits.
L’avantage principal de la première approche est de
ne pas avoir à modifier les services et les
applications cibles. L’inconvénient majeur est la
nécessité de renforcer très fortement l’architecture
d’authentification pour pallier toute indisponibilité
qui bloquerait l’accès au Système d’Information. La
seconde approche est exactement { l’opposée.
Dans les deux types d’architectures, il est possible
d’utiliser tous les types d’authentification évoqués
ci-dessus et traités ci-après, du mot de passe simple
à la biométrie.
Actuellement, il y a convergence forte entre les deux
approches avec des démarches de type Active
Directory qui permettent la mise en œuvre d’un SSO
de type II, ou de type Access Master pouvant
intégrer une base d’identification et
d’authentification { la norme X509 et compatible
LDAP.
C. Cartes à puces et tokens USB
a) Le contexte
La carte à puce est aujourd'hui omniprésente dans
notre environnement : cartes SIM, cartes bancaires,
cartes Vitale, cartes de décryptage de télévision par
satellite ainsi que toutes les versions de cartes
privatives de diverses enseignes commerciales sont
autant de cartes à puce issues d'une même
technologie.
En revanche, dans le monde de l’entreprise, l’usage
de la carte est perçue très vite comme complexe ; le
plus souvent le manque de standard aux niveaux des
cartes { puce et le fait qu’ils doivent s’intégrer dans
une chaîne de confiance font notamment que la
plupart des entreprises moyennes et grandes sont
19
dotées de systèmes hétérogènes. Cela complique
donc significativement la gestion quotidienne de
leur contrôle d’accès. Aujourd’hui, la plupart des
entreprises pratiquent de façon artisanale la gestion
des identités. Ce management est le plus souvent
cloisonné, sans vision d’ensemble et parfois géré
souvent de manière manuelle. Autrement dit,
l’approche manque de coordination transversale et
de standardisation d’où un manque d’efficience
dans le contrôle d’accès de l’entreprise.
Les chiffres publiés régulièrement par le Clusif (Club
de la sécurité de l’information français) montrent le
fort degré de dépendance des entreprises et des
organisations privées ou publiques vis à vis des
systèmes d’information : 75% des entreprises sont
exposées à une dépendance forte vis à vis du
système d’information : une indisponibilité de 24
heures a des conséquences graves sur l’activité
industrielle et commerciale. Cette indisponibilité
peut être due à une grave anomalie du contrôle
d’accès. Cela peut être par exemple la perte ou le vol
de mot de passe.
En pratique, sans incriminer tel ou tel qui s’est fait
voler son mot de passe, il est important que le RSSI
communique efficacement sur ce thème vis à vis de
la DSI et de la Direction Générale.
Le vol de mot de passe est un délit réprimé
pénalement. Maintenant pratiquement chaque
salarié a accès au système d’information de
l’entreprise, certes { des degrés divers. Il est donc
nécessaire au plan de la sécurité informatique de
l’entreprise d’étudier sous l’angle technique,
l’identification et par voie de conséquence
l’authentification des personnes qui y travaillent.
A la question : « Quelles technologies de contrôle
d’accès utilisez-vous ? », les résultats sont peu
adaptés aux besoins actuels et dénotent du lourd
poids du passé en la matière.
On constate donc que dans le domaine de
l’entreprise le schéma d'authentification classique
est le plus utilisé à savoir celui basé sur ce que
l'utilisateur sait ou connaît : son identification et son
mot de passe. Les mots de passe associés à
l’identification de l'utilisateur ont été et sont encore
la méthode prédominante d'authentification dans
les environnements entreprise mainframe et dans
les environnements client - serveur. Il existe de
nombreuses limitations { l’usage des mots de passe.
Le principal est qu’il ne garantit pas l’identification
du demandeur de l’accès au système d’information
car il peut être facilement écouté, intercepté et
réutilisé frauduleusement.
Un autre inconvénient réside dans le fait que sa
robustesse est complètement liée à la sensibilité de
l’utilisateur { la problématique sécurité. Même si les
systèmes d’exploitation proposent actuellement de
plus en plus d’outils d’aide { la conception de mots
de passe robustes, il est nécessaire de disposer
d’une politique de gestion très stricte. Un troisième
inconvénient réside dans la non homogénéité des
mécanismes de gestion des mots de passe.
Actuellement, chaque utilisateur doit, en moyenne,
connaître, pour accéder aux différentes fonctions du
Système d’Information nécessaires { ses activités,
entre 3 et 5 mots de passe différents. Cette
problématique entraîne la plus part du temps une
réduction très importante de la robustesse de
l’ensemble de ces authentifications, les employés
utilisant à chaque fois le même mot de passe ou un
mot de passe déductible du précédent par une
mnémotechnie simple. Il suffit pour s’en convaincre
d’observer le nombre d’incidents qui affectent les
systèmes d’information et les réseaux informatiques
et télécoms compromettant en cela la disponibilité,
l’accès aux systèmes et donc la compétitivité de
l’entreprise.
Pour y parer, il est indispensable au départ de bien
identifier et authentifier le personnel de l’entreprise,
sans oublier de le doter d’une solution
d’identification ou d’authentification fortes. Cela
permettrait { l’entreprise de se doter d’un bon
système de contrôle d’accès avec carte privative à
microprocesseur ou clé USB.
L’authentification forte se fait par la combinaison
d'au moins deux moyens d'authentification
(exemple : ce que possède + ce que connaît
l’utilisateur) : une carte { puce et son code porteur
ou bien une « calculette d’authentification » et son
code porteur.
20
Ce type peut lui-même être subdivisé en deux sous-
types :
- Renforcé simple : un élément sécuritaire
authentifie l’utilisateur et sa carte. Mais
l'authentification inverse n'est pas mise en
œuvre.
- Renforcé mutuel : en complément du
précédent, l’utilisateur et sa carte (par
exemple) authentifient l’élément de sécurité
(ce qui constitue une parade à plusieurs
attaques et notamment au vol
d'authentifiant par usurpation d'identité de
l'autorité d’authentification).
b) La carte à puce
Une carte à puce contient un processeur avec
algorithme(s) et clé(s) cryptographique(s), de la
mémoire et un système d'exploitation. Une carte à
puce a considérablement plus de capacités que les
autres mécanismes en ne se limitant pas à la seule
identification et authentification de l’utilisateur.
La technique d'authentification utilisant la carte à
puce est plus en plus implémentée "de base" dans
un système d’information (type Vista) mais peut
faire l'objet de "rajouts" aux systèmes existants,
c’est ce que l’on appelle les middlewares
cryptographiques
Cette technologie apporte un haut niveau de
sécurité en ce sens :
- Que le code confidentiel de la carte ne
circule pas sur le réseau;
- Que l'échange visant à l'authentification,
même s'il est intercepté, ne peut pas être
rejoué ;
- Que cette technique permet
l'authentification mutuelle, rendant
impossible le routage d'authentification ;
- Qu'il est possible de procéder à une nouvelle
authentification régulière de façon
transparente pour l'utilisateur (toutes les 30
minutes par exemple).
- Stockage de credentials (type certificats
X509) non possible sur d’autres moyens
d’authentification.
- Compatibilité avec les systèmes d’accès
physiques (bâtiments, restaurant
d’entreprise, distributeurs automatiques…)
Surtout la carte à puce notamment dans le cadre de
déploiement de Badge Employés est un support
efficace et très évolutif pour d'autres usages que
l'authentification (notamment pour le calcul de
signatures électroniques, de chiffrement…).
La technique carte à puce est souvent encore perçue
comme contraignante en ce sens qu'elle exige :
- Un lecteur sur chaque station de travail
concernée par le contrôle d'accès avec
authentification si la carte est de format ISO
- Un système (réseau ou serveur) apte à
mettre en œuvre les mécanismes
cryptographiques de vérification de
l'authentification (qui peut et devrait être
mutuelle).
- Et surtout une organisation humaine et
procédurale pour :
o Gérer les cartes à puce.
Il faut prendre en compte de
nombreux aspects :
La personnalisation
graphique et
électrique des cartes
La distribution des
cartes
…
o Gérer les codes d’authentification
secrets (toute authentification
repose sur des secrets).
Il faut prendre en compte de
nombreux aspects
également :
Génération des
secrets
Stockage des
secrets
Diffusion des
secrets
…
Cet aspect prend une ampleur singulière quand une
PKI est mise en place : il faut gérer les certificats et
les clés privées associées.
21
Les cartes à puce peuvent se décliner en différents
facteurs de forme (Type ISO bancaire) ou s’insérer
dans un connecteur USB.
c) L’intégration dans la politique de
l’entreprise
Comme vu précédemment, le management du
contrôle d’accès est le plus souvent cloisonné, sans
vision d’ensemble et parfois manuel. Autrement dit,
l’approche manque de coordination transversale et
de standardisation d’où un manque d’efficience.
Ce constat s’aggrave dans un contexte ou la
mobilité devient la norme avec des accès
permanents depuis n’importe quel point du monde,
au système d’information de l’entreprise stricto
sensu.
Mais l’ouverture des systèmes d’information de
l’entreprise aux partenaires et aux clients renforce
encore le besoin d’une gestion sûre des identités. De
ce fait, la traçabilité des accès aux systèmes
d’information rend impérative la mise en œuvre
d’une bonne politique de sécurité pour la gestion
des identités.
Aujourd’hui en effet, du fait de l’abandon progressif
des systèmes propriétaires, pour une application de
contrôle d’accès physique unique, le contrôle
d’accès physique et le contrôle d’accès logique
répondent { la même politique de mise en œuvre.
De ce fait l’entreprise doit au préalable dans son
projet de cartes à puce intégrer la notion
d’infrastructure et plus précisément de la gestion
des identités ou IAM (Identity and Access
Management) qui couvre trois domaines :
1) La gestion des identités
La gestion des identités associe à un utilisateur un
certain nombre de paramètres :
• Son identité patrimoniale et ses
caractéristiques : date et lieu de naissance et
rattachement familial, numéro de sécurité sociale
(en France) adresse, etc.;
• Son organisation ou sa direction et son
service de référence ;
• Les éléments de sécurité qui lui sont
associés : identifiant et mot de passe.
L’enjeu majeur pour l’entreprise { ce niveau réside
dans la mise à jour des informations dans les bases
de données, notamment pour les mouvements de
personnel en entrées/sorties : démissions,
licenciements, recrutements).
2) Le contrôle des accès
Le contrôle des accès aux applications et données
fait appel à des solutions technologiques classiques
de type logiciel. La difficulté réside dans la bonne
prise en compte du périmètre de la cible : liste des
applications à sécuriser ? Celles à laisser en accès
libre ? A cela s’ajoute la taille de la matrice
applications/droit, en fonction des familles de profils
d’utilisateurs et de la complexité des règles d’accès
définies par la politique de l’entreprise.
La notion de gestion du cycle de vie peut s’appliquer
aux collaborateurs d’une entreprise, tout comme
aux produits vendus par l’entreprise et aux clients de
celle-ci. On parle alors d’e-provisioning.
L’e-provisioning devient la gestion centralisée du
personnel par une interface web unique de son
entrée { son départ de l’entreprise. L’objectif est
d’automatiser au maximum la gestion du « cycle de
vie »du salarié et de la rendre indépendante des
applications informatiques propres { l’entreprise.
Il s’agit de prendre en compte, en un minimum
d’interventions humaines, l’impact sur le système
d’information de toute modification significative de
la situation d’un salarié dans l’entreprise de son
entrée dans l’entreprise { sa sortie de celle ci, qui
caractérise le cycle de vie du salarié dans
l’entreprise.
L’objectif principal est de gérer la sécurité de
l’entreprise en évitant que les autorisations d’accès
au système d’information ne soient conservées pour
des collaborateurs ayant quitté l’entreprise ou
changé de direction de rattachement dans
l’entreprise.
Mais { la différence d’un enregistrement « client »
dans une entreprise, chaque collaborateur dispose
de plusieurs couples identifiant/ mot de passe pour
22
la sécurité logique : réseau, Internet, messagerie ou
pour la sécurité physique : accès au bureau, à la
cantine, au parking, à la salle ordinateur, au PABX
etc. Pour la sécurité logique, il peut s’agir de droits
d’accès { plus d’une dizaine d’applications et
d’interdiction d’accès { d’autres applications : type
fichier paie par exemple.
Si l’accès { chaque application doit se faire
ponctuellement pour plusieurs milliers de salariés, la
charge de travail est énorme et source d’erreur {
chaque niveau d’accès.
Gérer tous ces droits d’accès au jour le jour devient
vite fastidieux. En effet le RSSI (ou son
représentant) a pour mission d’activer les droits
d’accès en temps réel pour que le salarié puisse
accéder à ses applications métiers et nous ne
parlons pas l{ de contrôle d’accès physique (accès
au parking, accès à son bureau, parking, accès à son
bureau etc.).
Il convient donc d’automatiser au maximum tous les
processus liés au « cycle de vie » du collaborateur à
savoir : embauche, changement de position
hiérarchique, fin de contrat de travail etc. En
pratique, cela se traduit par un ensemble
d’opérations dans le système d’information de
l’entreprise qui se résume en : modification des
droits d’accès. Cela se traduit en classique
transcription d’un processus d’entreprise en
processus technique.
Chacune de ces opérations est alors automatisée.
Des macro-procédures types regroupent celles-ci en
fonction des événements. Une opération pouvant
en pratique appartenir à plusieurs macro-procédures
types. Lorsqu’un événement défini affecte un ou
plusieurs salariés, la procédure adéquate est
déclenchée, entraînant en un minimum de temps,
toutes les modifications nécessaires dans le système
d’information. A l’aide d’un logiciel, l’ensemble des
tables et codes afférents { la situation d’un salarié
est mis à jour automatiquement de manière
exhaustive sans risque d’oubli.
3) L’authentification des utilisateurs
L’authentification des utilisateurs doit être
modulable depuis la simple fonction de contrôle
d’accès par mot de passe associé { un identifiant
jusqu’aux puissants dispositifs biométriques :
Cela permettrait { l’entreprise de se doter d’un bon
système de contrôle d’accès avec carte privative à
microprocesseur notion de convergence « badge
d’entreprise » ou clé USB sécurisée pour les
employés qui travaillent à distance.
4) Convergence des systèmes d’accès sur badge
d’entreprise
La réalisation d’un système d’accès complet passe
donc par la convergence des accès physiques et
logiques sur un même support de type carte Badge ;
celle-ci outre la partie microprocesseur peut intégrer
des technologies dites sans contact ou RFID ;
L’usage du RFID (Radio Frequency Identification)
tend { s’étendre dans le monde. Il existe deux types
de normes pour les puces RFID sans contact :
• Courte distance entre la puce et son lecteur :
inférieure à 15 centimètres – exemple système
Navigo du Métro parisien.
• Longue distance la puce est située à une
distance inférieure à 1,5 mètre (150 cm.) de son
lecteur : cas pratique télé - péage des autoroutes
françaises, parking, etc.
A la différence de la puce classique avec contact, la
puce RFID dispose d’une antenne radio qui la rend
détectable à distance. Il est possible de bâtir un
système d’identification { partir des puces RFID sans
contact. Mais le niveau de sécurité de la puce RFID
est bien inférieur aujourd’hui { celui des puces avec
contact pour les cartes bancaires françaises par
exemple. Le fonctionnement des puces RFID est
soumis à des échelles de fréquences variées allant
jusqu’{ l’UHF. L’émission - réception peut être
brouillée par la présence de liquide : comme de l’eau
ou l’existence d’une cage de Faraday dans un local.
Compte tenu de la valeur investie dans les systèmes
d’accès physiques, il est important de s’assurer
23
d’une parfaite compatibilité des badges
d’entreprises avec le système physique.
5) Gestion des cartes et cycle de vie
La mise en œuvre d’une solution { base de carte {
puce et de certificat (X 509) suppose l’intégration de
plusieurs composants :
La carte avec son lecteur ainsi que le code logiciel
embarqué qui doit être installé sur le poste de
travail.
L’infrastructure du certificat X 509 doit fournir les
différents composants d’une infrastructure PKI :
L’Autorité de Certification et l’Autorité
d’Enregistrement.
Le CMS (Card Management System) lui va gérer
l’attribution des cartes (voir ci-après) et le cycle de
vie de la carte dans l’entreprise.
6) Les fonctions du Card Management System
(CMS)
Le CMS effectue les fonctions suivantes :
- Création d’une carte pour le nouvel employé
d’une entreprise (comme nous l’avons vu
dans le e-provisioning). Cela consiste à
associer la carte à une personne (nom et
photo ?) et { dialoguer avec l’Autorité de
Certification (AC) de la PKI pour récupérer le
certificat X 509 de niveau 3 et le placer dans
la carte.
- Fourniture en prêt d’une carte temporaire {
un employé de l’entreprise lorsque celui-ci a
oublié sa carte.
- Gestion d’une liste noire quand la carte est
perdue ou retrait de la liste noire après un
délai raisonnable lorsque celle-ci a été
retrouvée.
- Déblocage en local ou { distance d’un code
pin qu’un utilisateur a verrouillé.
Le choix d’un CMS doit pouvoir s’effectuer suite {
une étude précise de l’infrastructure d’accès et de la
base des utilisateurs de l’entreprise ; il doit
permettre la prise en compte de fonctions
utilisables en mode décentralisé auprès des
différents sites de l’entreprise :
7) Cartes et usages Multi applicatifs
Désormais, les cartes cryptographiques permettent
de supporter un ensemble d’identifiants personnels
de type certificats, OTP (one time password
applications).
L’enjeu du déploiement de ces cartes passe par un
recensement très fin au préalable des usages
potentiels fonction des risques à protéger et aussi de
la facilité d’usage qu’en attendent les employés.
Différents drivers peuvent accélérer le déploiement
de cartes multi-applications :
• Le smart card logon/c'est-à-dire la
protection d’accès au système d’exploitation via
certificat et carte.
• Le chiffrement des mails, des dossiers
fichiers à partir du credential stocké sur la carte.
• La protection des accès distants notamment
avec la compatibilité des VPN (Virtual Private
Network).
Enfin le Single Sign On (mot de passe à unique) est
souvent lié { l’authentification de l’utilisateur qui est
d’autant plus vulnérable que ce dernier dispose de
nombreux mots de passe pour l’identifier. La
protection du master password (mot de passe
primaire) sur la carte, le tout protégé par le code pin
de la carte, est un facteur essentiel de promotion de
la carte dans l’entreprise auprès des utilisateurs
8) Simplification du déploiement (suppression des
middleware)
De nouveaux dispositifs cryptographiques
désormais peuvent être déployés sans la nécessité
de mise en place de middlewares cryptographiques
lourds sur les postes ; c’est notamment le cas de
déploiement des badges dans le cadre des projets
du secteur public en France avec les standards de
type IAS poussées par l’administration électronique;
9) Mobilité et sécurité
Avec le phénomène de la mobilité s’est démocratisé
le développement des clés USB « mass memory
storage ».Ce type de clé USB semble plus
économique qu'une carte à puce car il ne nécessite
24
pas de lecteur spécifique, dès lors que le parc
d'ordinateur est équipé de ports USB.
Néanmoins, une clé USB offre actuellement une
moins grande protection par rapport à une carte à
puce des codes d’authentification secrets qu'elle
stocke, par rapport à une carte à puce.
L’enjeu est double pour les entreprises :
• Interdire la récupération d’information
sensibles au dépend de l’entreprise { travers son
système d’information.
• Mettre en place de nouveau dispositif
sécurisé de classe « PPSD » (portable personal
security device) qui à la fois assure une protection
forte des informations de l’entreprise et s’intègre
dans une gestion globale de contrôle des dispositifs.
10) Régulation (exemple pour la santé)
De nouveaux secteurs, tels que la santé hospitalière
en France commencent à être directement régulés
par l’administration. En effet la mise en place de
cartes à puce (carte type CPS), dans le cadre de
l’application du Décret de confidentialité, pour
protéger l’accès { des données confidentielles
patients, constitue une première dans le secteur de
la santé hospitalière et la prise en considération de
la problématique sécuritaire.
25
d) Recommandations
Choisir une solution de e-
provisioning standard, éprouvée
et flexible
En cas d’appel { des consultants, leurs méthodologies doivent être
éprouvées et ils doivent disposer d’une expertise suffisante en matière de
produits notamment pour la compréhension des fonctionnalités et
l’implémentation des solutions ad hoc.
Les fonctionnalités des différentes solutions technologiques à mettre en
œuvre sont { étudier : système de mot de passe unique (SSO), systèmes
d’authentification, portails web, serveurs d’authentification, infrastructures
de gestion des clés, PKI, Progiciels de gestion des ressources humaines,
annuaires LDAP.
Evaluer correctement la
réduction des coûts en
investissement et exploitation
Les gains directs peuvent consister en la réduction de l’hétérogénéité des
solutions techniques existantes en matière de contrôle d’accès. La baisse du
coût du support ne constitue qu’un seul des éléments de l’étude du retour
sur investissement du nouveau projet.
Les gains indirects peuvent être le temps gagné lors de la gestion d’un mot
de passe perdu, sur le contrôle d’accès physique : vol de PC, téléphone
mobile et autre matériel.
Politique de sécurité et Contrôle
d’accès
- Bien définir les accès et les contrôles à instaurer.
- Définir au besoin des indices de sécurité pour les informations sensibles et
des niveaux d’habilitation pour les utilisateurs correspondants.
- Identifier les personnels nomades
- Mettre en place une structure centralisée de gestion de droits des identités
et du contrôle d’accès.
- Un sponsor, validateur du projet au niveau de la DG.
Audit des systèmes existants Inventaire des types d’accès physiques /cartes.
En effet, un utilisateur moyen consomme en moyenne une dizaine
d’identifiants pour accéder aux applications et ressources du Système
d’Information.
Cela implique donc de définir au préalable les différents propriétaires des
bases de données (ou LDAP) : DRH, les directions métiers, la DSI, les chefs
de projets, pour obtenir les autorisations d’accès souhaitées.
Considérer
l’identification/authentification
comme un projet informatique.
Avant de rechercher les solutions techniques et les produits de sécurité sur
le marché, il convient d’analyser l’identification et l’authentification des
personnes et des objets comme un projet informatique à part entière et de
le traiter comme tel en suivant les processus énoncés précédemment. Entre
autres il faudra :
- prendre en compte l’existant, - savoir gérer l’évolution de la solution retenue.
Bien analyser les solutions
techniques existantes afin de
choisir les mieux adaptées.
Les solutions techniques d’identification et d’authentification sont
techniquement au point y compris les plus performantes de type carte à
microprocesseur ou clés USB... Attention qu’{ chaque type est associée une
grande variété de lecteurs.
26
D. La biométrie
a) Les promesses de la biométrie
Pour la reconnaissance de la main, on retient
l’hypothèse que la géométrie constitue un critère de
distinction de chaque individu. Pour la voix, il s’agit
de mesurer les altérations liées à la parole (bouche,
gorge, thorax). Pour la signature, on s’attache {
mesure de la vitesse, les accélérations, la pression
du stylo, les dimensions et les axes directionnels.
En ce qui concerne l’empreinte rétinienne, on balaie
le fond d’oeil avec un faisceau lumineux de faible
intensité. L’identification s’effectue par rapport {
une image de référence. Les systèmes basés sur la
reconnaissance de l’empreinte digitale prennent en
compte ses caractéristiques uniques.
Il existe des dispositifs biométriques basés sur les
cartes { puces. Pour qu’un message soit signé
électroniquement, l’individu peut être authentifié
par son empreinte digitale. Rappelons que
l’empreinte digitale est un ensemble de schémas
formés par des lignes dont chaque point de départ
ou de fin, de séparation ou de circonvolution est une
caractéristique physique unique et mesurable qui
permet une identification personnelle sûre de
l’individu.
L’utilisateur doit introduire une carte dans un lecteur
de cartes à puces, puis passe son doigt dans le
capteur biométrique du lecteur. Le processus
d’acquisition de son empreinte digitale, du
traitement de l’image et d’autorisation de la
signature débute ensuite. En stockant le modèle de
référence et l’algorithme de correspondance sur la
carte à puce elle-même, le processus
d’authentification devient plus facile dans la mesure
où l’utilisateur n’a pas besoin de se rappeler ni de
saisir un code confidentiel.
Le circuit ASIC (Application Specific Integrated
Circuit) du lecteur de carte à puce reconstruit
l’image pour extraire les informations essentielles
de l’empreinte digitale. Ces informations,
constituant le modèle du «candidat» sont ensuite
transmises à la carte à puce, où le modèle de
référence a été précédemment stocké. En cas de
perte ou de vol de la carte à puce, seule la
conformité de l’empreinte digitale de l’utilisateur en
possession de la carte avec le modèle stocké peut
débloquer la carte, ceci afin d’éviter l’utilisation
frauduleuse d’une carte par des utilisateurs non
autorisés.
Cette technologie peut être par exemple utilisée
pour les contrôles d’accès { des ordinateurs
portables, en obligeant les utilisateurs d’ordinateurs
portables à prouver leur identité au moyen de leurs
empreintes digitales et/ou d’une autre méthode
d’authentification durant la procédure de pré-
démarrage. Ainsi, seuls les utilisateurs autorisés
peuvent accéder au système d’exploitation ou aux
données importantes stockées sur le disque.
Techniquement, une interface de programmation
d’application (API, Application Programming
Interface) pour l’identification de l’utilisateur sert
d’interface entre les périphériques
d’authentification et le système BIOS.
Au lieu d’être conservées sur la mémoire CMOS, les
données d’empreintes ou les autres données de
correspondance destinées { l’autorisation sont
sauvegardées dans une mémoire de stockage non
volatile. A moins que l’utilisateur ne soit identifié
grâce à ses empreintes digitales, une carte à puce,
un jeton USB ou tout autre moyen, l’accès au
système d’exploitation est complètement bloqué.
On trouve également des solutions basées sur un
senseur qui se branche sur un port USB. Le logiciel
associé comprend un centre de contrôle qui permet
{ l’administrateur et aux utilisateurs d’enregistrer
leurs empreintes digitales, de voir leurs listes de
mots de passe et de sélectionner un écran de veille.
De même, on peut utiliser un économiseur d’écran
qui protège les informations présentes { l’écran en
les recouvrant d’un écran de veille qui ne s’enlève
qu’avec la reconnaissance de l’empreinte digitale
par le système.
Autre technologie possible qui fait l’objet de
produits commerciaux : la signature manuscrite. Les
produits prennent en compte plus de cent
paramètres tels que le stress, la rapidité, la pression,
la résistance dans l’air, pour authentifier la
signature, préalablement stockée dans un serveur.
Les données sont cryptées et l’authentification
s’effectue de manière instantanée. Le système
27
stocke l’ensemble de l’historique des demandes de
validation, calcule des statistiques pour chacun des
utilisateurs, rejette systématiquement les signatures
identiques car elles sont considérées comme des
contrefaçons.
b) Contexte
La croissance internationale des échanges et des
communications dans les entreprises, tant en
volume qu'en diversité (déplacement physique,
transaction financière, accès aux services...),
implique le besoin de s'assurer de l'identité des
individus. Il y a plusieurs possibilités de prouver son
identité dans une entreprise :
• Ce que l'on possède (carte, badge,
document) ;
• Ce que l'on sait (un nom, un mot de passe) ;
• Ce que l'on est (empreintes digitales, main,
visage...) - Il s'agit de la biométrie.
La biométrie permet l'identification ou
l’authentification d'une personne sur la base de
données reconnaissables et vérifiables qui lui sont
propres.
Actuellement la majorité des entreprises s’appuie
sur une authentification de type login, mot de passe;
cependant il est fréquent d'oublier les mots de
passe. Pour éviter cet oubli, beaucoup de personnes
écrivent ce code sur un carnet, perdant ainsi toute
confidentialité. Les moyens biométriques,
permettent une authentification forte « ce que je
suis », ce qui n'est pas le cas avec les mots de passe
Le niveau de sécurité d'un système est toujours celui
du maillon le plus faible. Ce maillon faible, c'est bien
souvent l'être humain : mot de passe aisément
déchiffrable ou noté à coté de l'ordinateur. Dans la
plupart des entreprises, on exige que les mots de
passe soient modifiés régulièrement et comportent
au moins 8 caractères, mélangeant lettres
majuscules, minuscules et chiffres. L'objectif est
d'échapper aux logiciels de décodage qui peuvent en
peu de temps, balayer tous les mots du dictionnaire.
Une protection qui peut s'avérer insuffisante pour
l'accès à des applications sensibles ce qui reste pour
l’instant le marché essentiel de la biométrie
d’entreprises (par exemple : industries militaires,
nucléaires...)
c) Le marché
Parmi les secteurs les plus dynamiques, on note la
technologie des empreintes digitales et
l’identification par la voix. Le marché le plus actif
restant l’Allemagne, avec entre autre, le projet
d’inclure des caractéristiques biométriques sur les
pièces d’identité.
Bruxelles a ouvert fin septembre 2007 un portail
dédié à la biométrie. Son objectif est de «fournir une
vue d'ensemble sur toutes les activités ayant trait à
ce sujet à travers toute l'Europe», explique-t-elle.
Baptisé "European Biometrics Portal", il doit servir
de «point de départ pour une réglementation en
matière d'utilisation de la biométrie et de la vie
privée».
Il s'adresse tant aux pouvoirs publics, qu'aux sociétés
et aux citoyens qui sont invités à y ajouter leur
contribution.
Le secteur de la biométrie est en train d'achever son
premier cycle de développement. Il y a eu des
progrès jusqu'à présent, sur les fronts
technologiques, applicatifs et législatifs, mais ils se
sont révélés trop peu importants et trop fragmentés
pour envisager un déploiement de systèmes
biométriques de grande envergure », affirme la
Commission européenne.
Dans ce secteur en tout cas, elle a déjà adopté
plusieurs propositions, puisqu'elle préconise
notamment que les visas et les titres de séjour des
ressortissants des pays tiers (hors UE) intègrent des
données biométriques (numérisation du visage et
empreintes digitales). Sur recommandation du
Conseil européen, elle a également accepté que des
technologies similaires soient intégrées dans les
passeports européens.
En France, le marché de la biométrie est aujourd’hui
peu développé du fait d’un très petit nombre
d’acteurs français spécialisés. Cependant, des
systèmes ont d’ores et déj{ été installés sur certains
sites (installations militaires, sites nucléaires,
banques, établissements et cantines scolaires, ...),
28
ce qui témoigne des premières prises de conscience
au niveau de la demande. Par ailleurs, la biométrie
s’inscrit dans le marché plus global de la sécurité qui
connaît en France une forte croissance (+15%)
depuis 1997 (surveillance, sécurité, contrôle d’accès,
alarmes...).
Du coté des utilisateurs ou clients potentiels, il y a
une diminution de la réticence vis-à-vis de la
biométrie. Les demandes les plus fréquentes
concernent le remplacement du mot de passe par la
biométrie à l'ouverture d'un logiciel et le contrôle
d'accès aux locaux.
d) Les applications de la biométrie
Les techniques d'authentification biométrique sont
de plus en plus fiables et surtout très difficiles à
falsifier.
Elles reposent majoritairement sur la lecture
d'empreinte digitale mais aussi sur des techniques
de prise d'empreinte rétinienne, vocale ou
auriculaire.
Le champ d’application de la biométrie couvre
potentiellement tous les domaines de la sécurité où
il est nécessaire de connaître l’identité des
personnes. Aujourd’hui, les principales applications
sont la production de titres d’identité, le contrôle
d’accès { des sites sensibles, le contrôle des
frontières.
e) les enjeux
Le marché du contrôle d'accès s'est ouvert avec la
prolifération de systèmes dont la biométrie fait
partie ; en général, les technologies « biométrie »
dans l’entreprise tardent { être adoptées et
déployées même s’il y a donc un intérêt grandissant
pour les systèmes d'identification et
d'authentification.
Leur dénominateur commun, est le besoin d'un
moyen simple, pratique, fiable, pour vérifier
l'identité d'une personne, sans l'assistance d'une
autre personne.
Le très faible taux d'équipement actuel des
entreprises s'explique par plusieurs facteurs :
• L'absence d'acteurs majeurs sur ce segment
de marché.
• Le prix des lecteurs.
• Les incidences d’une maladie (coupure,
extinction de voix, conjonctivite,…)
• Le fait que les technologies soient encore
peu matures
• Les aspects de respect de la vie privée et
confidentialité au cœur de la relation employeur
/employé
En revanche, plusieurs raisons peuvent motiver
l'usage de la biométrie dans une entreprise
• Une haute sécurité - En l'associant à d'autres
technologies comme le cryptage, la carte à puce...
• Un confort d’usage - En remplaçant juste le
mot de passe, exemple pour l'ouverture d'un
système d'exploitation, la biométrie permet de
respecter les règles de base de la sécurité (ne pas
inscrire son mot de passe à coté du PC, ne pas
désactiver l'écran de veille pour éviter des saisies de
mots de passe fréquentes). Et quand ces règles sont
respectées, la biométrie évite aux administrateurs
de réseaux d'avoir à répondre aux nombreux appels
pour perte de mot de passe (que l'on donne parfois
au téléphone, donc sans sécurité).
• Sécurité / Psychologie - Dans certains cas,
particulièrement pour le commerce électronique,
l'usager n'a pas confiance. Il est important pour les
acteurs de ce marché de convaincre le
consommateur de faire des transactions. Un moyen
d'authentification connu comme les empreintes
digitales pourrait faire changer le comportement
des consommateurs.
f) Déploiement de la biométrie
La majeure partie de la population refuse des
systèmes trop contraignants (solutions telles que
celles basées sur la rétine).Les technologies
biométriques de reconnaissance apportent la
simplicité et le confort aux utilisateurs et un niveau
de sécurité jamais atteint, tout en étant
superposables avec les systèmes classiques
existants. Elles procurent une ergonomie non
29
négligeable dans leur utilisation et sont une brique
dans tout système de sécurité actuel et futur. Cette
technologie est applicable à un large champ
d’applications (contrôle d’accès, gestion horaire,
paiement sécurisé sur Internet, login sur ordinateur,
etc.). Cependant elles doivent être compatibles avec
des aspects économiques forcément critiques
lorsque l’on parle d’un déploiement { grande échelle
dans l’entreprise.
g) Infrastructure et démocratisation
Ce phénomène est relativement récent mais
certains grands constructeurs de PC (Dell par
exemple) s'engagent sur la voie des nouvelles
technologies comme la biométrie ou les
technologies sans contact. Ils incluent désormais ces
capteurs biométriques dans leur PC ce qui devrait
très vite démocratiser l’usage de la biométrie dans
les entreprises.
De même les fournisseurs de système d’exploitation
supportent maintenant dans leur système
d’exploitation nativement l’authentification par
biométrie ce qui devrait là aussi favoriser le
déploiement de ces technologies dans les
entreprises.
h) Biométrie et vie privée
La disparition des freins culturels et psychologiques
est un élément fondamental du succès de la
biométrie en entreprise.
L’existence de bases de données contenant les
caractéristiques physiques d’individus stockées par
des entreprises ou des instances gouvernementales,
est de nature { inquiéter l’utilisateur et le grand
public sur leur usage, mais la CNIL a un rôle
prépondérant de surveillance et de respect de
l’intégrité des personnes sur le territoire français.
L’article de la loi informatique évoqué ci-dessous
montre combien la CNIL est vigilante sur ces sujets :
i) La biométrie et carte à puce ?
La biométrie n’est pas concurrente de la carte {
puce mais complémentaire ; en effet, ces deux
technologies sont souvent associées car :
• Les cartes à puce sont des produits reconnus
comme très fiables pour sécuriser des informations.
• L'association de la biométrie et de la carte à
puce permet d'être certain que l'on est bien le
possesseur autorisé de cette carte et des
informations qu'elle contient.
• Dans la pratique, de plus en plus de schéma
de type « match on card » ; dans un premier temps,
on utilise la mémoire de la carte à puce pour
enregistrer son empreinte (pas de base de données).
• Ensuite la vérification sur la carte peut être
déployée ; cela permet { partir d’une lecture
d’empreinte d’effectuer une partie du logiciel de
comparaison également sur la carte.
j) Les nouvelles applications et usages de la
biométrie en entreprise
La liste des applications pouvant utiliser la biométrie
pour contrôler un accès (physique ou logique), peut
être très longue.
L’accès aux réseaux, systèmes d’information,
stations de travail et PC, le paiement électronique,
la signature électronique et même le chiffrement de
données constituent des applications potentielles
pour la mise en œuvre de la biométrie en entreprise.
Cette liste n’est pas exhaustive, et de nouvelles
applications vont très certainement voir rapidement
le jour.
La taille de cette liste n'est limitée que par
l'imagination de chacun.
1) Contrôle d'accès physiques aux locaux
• Salle informatique.
• Site sensible (service de recherche, site
nucléaire).
30
2) Contrôle d'accès logiques aux systèmes
d'informations
• Lancement du système d'exploitation.
• Accès au réseau informatique.
• Commerce électronique, paiement en ligne.
• Transaction (financière pour les banques,
données entre entreprises).
• Signature de document (lot de fabrication
de médicaments).
• Tous les logiciels utilisant un mot de passe.
3) Equipements de communication
• Terminaux d'accès à internet.
• Téléphones portables.
4) Machines et Equipements divers
• Accès sécurisé aux postes de travail.
• Cantine d'entreprise, cantine universitaire
(pour éviter l'utilisation d'un badge par une
personne extérieure et améliorer la gestion).
• Contrôle des adhérents dans un club, carte
de fidélité.
• Contrôle des temps de présence.
k) Biométrie et aspects économiques
Les fabricants ne recherchent pas uniquement la
sécurité absolue, ils veulent quelque chose qui
fonctionne dans la pratique. Ils cherchent donc à
diminuer le taux de faux rejets (False Rejection Rate,
FRR), tout en maintenant un taux relativement bas
de fausses acceptations (False Acceptation Rate,
FAR). Un système fonctionnel aura un FRR le plus
bas possible. D'autre part, une FA est le fait
d'accepter une personne non autorisée. Cela peut
arriver si la personne a falsifié la donnée
biométrique ou si la mesure la confond avec une
autre personne.
De manière générale, les faiblesses des systèmes ne
se situent pas au niveau de la particularité physique
sur laquelle ils reposent, mais bien sur la façon avec
laquelle ils la mesurent, et la marge d'erreur qu'ils
autorisent. La fabrication des produits
d’authentification est en pleine augmentation, dû en
l’occurrence { la nécessité croissante du besoin de
sécurité de chacun (tant dans le domaine privé que
dans le domaine professionnel ou public). Le coût
prohibitif de ces technologies a longtemps freiné
leur développement. Aujourd’hui, les organisations
(publiques et privées) entrevoient les économies
qu’elles réaliseraient { long terme en les utilisant
(ex: temps perdu par les services informatiques pour
retrouver les mots de passe oubliés).
Dans le passé, le traitement automatique
(informatisé) de la reconnaissance d'empreintes
digitales nécessitait l'utilisation d'importants
moyens matériels de traitement. Le coût
d'élaboration d'un tel système en cantonnait l'usage
à des applications spécifiques et à des organismes
très motivés qui y mettaient les moyens (judiciaire,
fichier national d'identité, contrôle d'accès haute
sécurité).
A présent, les composants possèdent la puissance
nécessaire à un traitement de ce type et leur coût ne
cesse de décroître.
En intégrant ces aspects de performance et se fixant
des objectifs réalistes et mesurables on peut
constater que la biométrie est une véritable
alternative aux mots de passe et autres identifiants.
Elle permet de vérifier que l’usager est bien la
personne qu’il prétend être. Cette technologie est
en pleine croissance et tend { s’associer { d’autres
technologies comme la carte à puce.
Quelques recommandations
Robustesse
des systèmes
Combiner les technologies.
Exemple : utiliser la technologie de
lecture empreinte avec la carte à
puce « match on card »
Evaluer
globalement
les économies
Mesurer par exemple le gain de
temps gagné par les services
informatiques s’ils n’ont plus {
retrouver les mots de passe
Définir les
niveaux de
« résultats »
acceptables
pour
l’entreprise
En vue de démocratiser l’usage de la biométrie il faut avoir le sens de la mise en pratique Un système sûr aura un FAR le plus bas possible. Dans la vie courante, les industriels cherchent principalement à avoir un compromis entre ces 2 taux, FRR et FAR.
31
E. Rôle du tiers de confiance en
matière de contrôle d’accès
a) Contexte
1) Qu’est ce qu’un service de certification
électronique ?
Les technologies Internet/Intranet ouvrent
l'informatique de l'entreprise au monde extérieur,
rendant son réseau perméable. Ce faisant, elles
accroissent de façon critique les risques de piratage,
de destruction et d'espionnage. La sécurité devient
de fait une préoccupation majeure - Le danger
pouvant venir de l’extérieur comme de l’intérieur
des entreprises. De ce fait, la sécurité interne, celle
des contenus, occupe une place de plus en plus large
dans les problématiques de sécurité.
Par ailleurs la donne change : face à la
dématérialisation croissante des échanges, la
reconnaissance légale de la signature électronique
et le développement des portails d'entreprises qui
s'étendent aux partenaires et clients, les entreprises
doivent désormais faire face au défi technologique
suivant : faire de leur espace de travail électronique
un espace de confiance.
Dans cette optique, la vocation d’un service de
certification électronique consiste à concentrer les
services de sécurité requis par les projets de
l'entreprise. L'enjeu n'est plus seulement de
"sécuriser" le réseau ; il s'agit aussi désormais de «
signer », « d'habiliter », de « certifier »...
2) Les 5 piliers pour établir une relation de
confiance
Parmi les préoccupations majeures des entreprises
liées à la sécurité Internet, on compte :
• L’authentification : être sûr de l’identité de
la partie avec laquelle vous communiquez.
• La confidentialité des données : n’ont accès
{ l’information que les personnes habilités.
• L’autorisation : être sûr que votre
interlocuteur a les droits sur l’action ou la ressource
requise.
• L’intégrité être assuré que les données
transmises ne sont pas altérées.
• La non répudiation : avoir la garantie que
l’interlocuteur consent au contenu d’un document
électronique.
Une infrastructure de confiance, appelée
communément Infrastructure à Clés Publiques (ICP)
ou PKI ‘Public Key Infrastructure en anglais) répond
{ l’ensemble de ces besoins en même temps.
3) Une Infrastructure de Confiance : comment et
pourquoi ?
Une Infrastructure à Clés Publiques (ICP) repose sur
le principe du chiffrement asymétrique utilisant un
jeu de bi-clés (l'une publique, l'autre privée). Tout le
monde peut utiliser la clé publique de quelqu'un
pour chiffrer un message car, comme son nom
l’indique, cette clé publique a vocation { être
distribuée. Mais seul le destinataire du message
détient la clé privée capable de le déchiffrer.
Le certificat électronique (type X 509), véritable
pierre angulaire de toute Infrastructure à Clés
Publiques, permet d’associer une clé publique { une
identité (individu ou système) et est, de fait, à
considérer comme une véritable « pièce d’identité
électronique ».
Schématiquement : dans le monde papier, 2
individus peuvent échanger des informations en
toute « confiance » en vérifiant leur identité sur
présentation respective de leur titre caractéristique
(passeport, carte d’identité etc.). Dans le monde
dématérialisé, 2 individus peuvent échanger des
informations en toute «confiance» par l’utilisation
de leur certificat électronique.
4) Les acteurs de la Certification Electronique
Trois grandes entités interviennent dans la gestion
des clés au sein d’une ICP :
• L’Autorité de Certification (AC) : Tiers de
confiance faisant autorité pour définir les règles
d’attribution et de gestion des certificats (en
particulier la définition des éléments et/ou
documents { fournir pour prouver l’identité des
personnes auxquelles elle délivre les certificats
32
numériques). Pour faire un parallèle avec le monde
‘réel’, le Ministère de l’Intérieur est Autorité de
Certification lorsqu’elle définit les conditions dans
lesquelles une carte d’identité ou un permis de
conduire doit être délivré.
• L'Autorité d'Enregistrement (AE) : pour
offrir son service de certification, l’AC s’appuie sur
une Autorité d’Enregistrement. Celle-ci effectue les
contrôles nécessaires, pour tous les demandeurs,
des identités et des attributs demandés sur les
certificats (comme l’adresse, la fonction, l’e-mail,
etc.). Dans le monde ‘réel’, l’AE pourrait être une
antenne de police, une agence locale de banque ou
une mairie ou dans le cas de l’entreprise une DRH.
• L’Opérateur de Services de Certification
(OSC) encore appelé Opérateur de Services de
Confiance : l’émission et la gestion du cycle de vie
des certificats électroniques, surtout en masse,
constituent un métier d’expertise { très forte valeur
ajoutée, nécessitant notamment une infrastructure
de haute sécurité et un savoir faire d’exploitation
très spécifique, lié à de fortes contraintes
sécuritaires. La barrière { l’entrée est donc
importante pour émettre le premier certificat
électronique et ce constat, qui s’est très vite imposé
sur le marché, a conduit { l’émergence du métier
d’Opérateur de Service de Certification qui
mutualise les moyens et les compétences au profit
de donneurs d’ordres nombreux (administrations,
banques, entreprises privées).
On trouve également d’autres entités qui
interviennent auprès des applications acceptant les
certificats électroniques :
• L'Autorité d'Horodatage (AH) : elle garantit
qu’un contenu existe { un instant donné. Pour cela,
elle appose une signature électronique sur le
contenu, en y ajoutant une date certaine provenant
d’une source de temps de confiance type tampon
d’horodatage.
• L’Autorité de Validation (AV) : elle joue un
rôle de centralisation dans un écosystème multi-
émetteurs. Sa fonction est de donner le statut de
validité des certificats électroniques. En effet, un
certificat peut avoir été révoqué avant sa date
d’expiration par l’Autorité de certification émettrice
si une personne a quitté une organisation ou si la clé
privée est compromise. Il est donc très important de
pouvoir s’appuyer sur un service qui puisse vérifier la
validité du certificat au moment où l’on souhaite
l’utiliser. L’AV délivre donc en temps réel, le « status
» d'un certificat en s’appuyant le plus souvent sur le
protocole OCSP « On-line Certificate Status
Protocol » (RFC2560). Elle collecte les informations
nécessaires à la détermination du « status » de
validité des certificats (listes de révocation) auprès
des différentes Autorités de Certification avec
lesquelles elle travaille.
b) Enjeux
1) Quelles applications du certificat électronique ?
Le certificat électronique est aujourd’hui intégré
dans la plupart des grandes initiatives mondiales de
modernisation des états par les échanges
électroniques pour :
• Le E-Government : le certificat électronique
est utilisé comme sésame d'authentification dans
certaines cartes d'identités et certaines cartes santé,
il permet de sécuriser les données des passeports à
puce (International Civil Aviation Organization), il
sécurise l'accès au dossier personnel fiscal ou santé
par Internet, il est normalisé et reconnu pour la
signature électronique à valeur probante dans toute
l'union européenne, aux Etats-Unis, et la plupart des
pays partenaires ont adopté ou sont en cours
d'adoption d'un cadre juridique équivalent.
• Les échanges financiers : le certificat
électronique est utilisé dans la relation Entreprise –
Banque pour le Cash Management, il est un élément
de la sécurité des échanges du réseau financier
mondial SWIFT, son implémentation est prévue
dans la prochaine génération de cartes bancaires
EMV (Eurocard Mastercard Visa). Il est également
utilisé sur le marché de la banque de détail pour
l’accès sécurisé { la banque en ligne et pour la
signature électronique dans le cadre de souscription
en ligne de produits financiers
• Les entreprises : le certificat électronique
permet en Europe d'émettre et de transmettre les
factures par voie électronique, il est utilisé pour
signer des contrats de manière électronique, il est
33
aussi utilisé pour protéger les informations sensibles
de l'entreprise (chiffrement des mails, chiffrement
des fichiers sur le disque, authentification
d’intranets/extranets, sécurisation de paiement en
ligne), il permet de mettre en oeuvre des réseaux
privés virtuels (VPN) grâce aux protocoles standard
IPSec et de plus en plus SSL, implémenté par tous
les constructeurs d'équipements réseaux.
2) La dématérialisation
La dématérialisation, c’est-à-dire la transposition
sous format électronique des échanges traditionnels
réalisés au quotidien (contrats, courriers, factures,
formulaires administratifs…) est avant tout un
moyen de fluidifier les processus métiers.
Amorcés dans les années 1990, notamment au
travers de projets de l'administration autour de la
volonté de dématérialisation des procédures, les
projets de dématérialisation couvrent
principalement le transfert de résultats comptables,
la déclaration de données sociales et la déclaration
de la TVA pour les grandes entreprises ou la
déclaration de revenus pour les contribuables
français.
Concernant pour l'heure plusieurs centaines de
milliers d'utilisateurs, l'utilisation des procédures
dématérialisées s’étend { l'ensemble des entreprises
françaises, les lois et règlements ayant consacré la
valeur juridique d’un document sous forme
électronique pour des usages déterminés.
Ainsi, de très nombreuses entreprises ont
dématérialisé certains de leurs échanges, comme
par exemple :
* Signature électronique de flux comptables entre
entités d’un même groupe.
* Connexion d’un commercial itinérant au système
d’informations de son entreprise pour passer des
commandes en ligne ou télécharger des
informations.
* Connexion sécurisée à un Extranet par les clients,
fournisseurs ou partenaires d’une société.
Les aspects novateurs et techniques de ces
applications imposent la nécessité, pour l'entreprise,
de faire appel à des prestataires de services
spécialisés et capables de jouer le rôle de tiers de
confiance - en vue, le cas échéant, de fournir la
preuve de l’échange.
Pour disposer de leur service de confiance, les Tiers
de Confiance (Autorité de Certification, Autorité
d’Horodatage, autorité de Validation) aussi bien que
les entreprises ou organisations s'appuient sur
l’unité de production d’un opérateur de service de
confiance, qui assure la gestion technique du
service.
F. Exemple parlants en matière
d’identification forte,
d’authentification et de CA
a) La messagerie sécurisée
1) Qu'est-ce qu'une messagerie sécurisée ?
Une messagerie sécurisée est une messagerie
classique du marché (Outlook, Thunderbird, Lotus
Notes, Netscape Messenger, etc. dans laquelle des
fonctions de sécurité ont été implémentées afin de
pouvoir sécuriser les données échangées entre les
participants de cette messagerie. Ce type de
messagerie est utilisé essentiellement par des
professionnels échangeant entre eux des
informations confidentielles ou « sensibles » comme
les notaires, les médecins, les pharmaciens, certains
industriels, etc.
2) Qu’apporte une messagerie sécurisée par
rapport à une messagerie ordinaire ?
Les messageries sécurisées permettent aux
professionnels de s'assurer de:
• La confidentialité des informations
échangées en les rendant illisibles pour un
destinataire n’étant pas membre de la même
messagerie sécurisée. Les données étant chiffrées
avant leur émission vers le destinataire.
• L'intégrité des données échangées en
déterminant si celles-ci n'ont pas été modifiées
durant la communication de manière accidentelle
34
ou intentionnelle. Ceci est effectué par la signature
de l'expéditeur (effectuée par une fonction dite «
hash » qui est l’empreinte numérique des données).
• L'authentification de l’émetteur du
message, cela consiste à assurer l'identité d'un
utilisateur, et donc de garantir à chacun des
correspondants que son partenaire est bien celui
qu'il croit être.
• La non répudiation de l'information, c'est-à-
dire garantir qu'aucun des correspondants ne pourra
nier la transaction. La signature permet d’empêcher
l’expéditeur de nier l’envoi du message.
Le cryptage ou chiffrement est l'opération qui
consiste à coder un message de telle façon à le
rendre secret, il se fait généralement à l'aide d'une
clef de chiffrement, le déchiffrement nécessite une
clé de déchiffrement.
Les deux axes principaux d’une messagerie
sécurisée sont donc le chiffrement et la signature.
3) Le Chiffrement
* Un peu d’histoire
Il existe deux types de cryptage l’un dit symétrique
et l’autre dit asymétrique.
* La cryptographie symétrique
Elle consiste { chiffrer le message qu’on envoie avec
une clé (ou code) et ensuite faire parvenir cette
dernière au destinataire afin qu’il puisse déchiffrer le
message. Cependant ceci étant trop risqué sur
internet cette technique n’est pas ou peu utilisée.
* Le cryptage asymétrique aussi nommée
cryptographie à clé publique
Il est utilisé dans le cadre d’une messagerie
sécurisée.
Il consiste à utiliser une paire de clés (une publique
et une privée) pour effectuer le chiffrement de son
message. La clé de cryptage est dite clé publique et
la clé de décryptage est dite clé privée.
C’est ainsi que si deux membres d’une messagerie
veulent s’envoyer un message sécurisé l’émetteur
Mr Aymé Teur va demander à Mme Tina Tair de lui
envoyer sa clé publique, avec celle-ci il va chiffrer
son message et l’envoyer à Mme Tina Tair qui va
décrypter le message avec sa clé privée. Ceci permet
d’échanger des messages de manière sûre et
d’assurer la fonction de confidentialité, en effet si
quelqu’un { l’aide d’un analyseur de réseau
intercepte les messages de Mme Tina Tair il ne
pourra pas les lire puisqu’il ne pourra pas avoir accès
à la clé privée permettant de les lire.
b) La signature
Pour la signature électronique d’un message nous
allons utiliser le même principe de cryptage
asymétrique mais les clés vont travailler { l’inverse
du chiffrement. C’est { dire que la clé privée va servir
{ constituer l’empreinte numérique du message (y
compris les pièces jointes), la clé publique servant
elle à déchiffrer le message.
Mr Aymé Teur va signer son message avec sa clé
privée et l’envoyer { Mme Tina Tair, celle-ci va
récupérer la clé publique de Mr Aymé Teur pour
déchiffrer la signature, si cela se passe correctement
Mme Tina Tair a alors la certitude que le contenu du
message n’a pas été modifié et qu’il provient bien de
Mr Aymé Teur.
Cette signature en utilisant des clés asymétriques
permet d’assumer les fonctionnalités d’intégrité,
d’authentification et de non répudiation.
La plupart des messageries sécurisées gèrent les
clés publiques dans un annuaire LDAP permettant
de gérer un nombre de requêtes élevé et d’avoir des
temps de réponses très rapides. Les certificats
numériques jouent un rôle de clé dans les
messageries sécurisées.
Un certificat est un ensemble d'informations qui
identifie un utilisateur ou un serveur et qui contient
des informations telles que le nom de l'entreprise,
l'entreprise qui a délivré le certificat, l'adresse de
courrier électronique, le pays de l'utilisateur et la clé
publique de l'utilisateur.
35
c) Les Annuaires LDAP
1) Qu’est ce qu’un annuaire ?
La définition du Littré est la suivante :
« Ouvrage qui, paraissant chaque année, consigne ce
qui est relatif à cette année, en fait de statistique, de
commerce, d'événements. Par exemple annuaire
militaire, annuaire du Bureau des longitudes, etc.»
Dans le cadre des systèmes d’identification
centralisés qui est l’objet de notre propos cela
correspond donc { un ensemble d’individus
rassemblés en un groupe ayant des intérêts
communs (entreprises, associations, universités,….).
La première application informatique universelle
d’annuaire la plus connue est sans nul doute la liste
téléphonique. C’est en s’appuyant sur cette
référence mondiale que se sont développées la
plupart des applications de contrôle d’accès.
En effet grâce à un annuaire on peut :
• Constituer un carnet d'adresse,
• Authentifier des utilisateurs (grâce à un mot
de passe, ou { un certificat d’authentification,…),
• Définir les droits de chaque utilisateur,
• Recenser des informations sur un parc
matériel (ordinateurs, serveurs, adresses IP et
adresses MAC, ...) ,
• Décrire les applications disponibles,…
2) Quelles sont les caractéristiques principales
d’un annuaire ?
Un annuaire est sûr ;
Il dispose de mécanismes d'authentification des
utilisateurs ainsi que des règles d'accès permettant
de définir les branches de l'annuaire auxquelles
l'utilisateur peut accéder,
Un annuaire est souple ;
Il permet de classer l'information de manière
structurée selon des critères multiples
Un annuaire est performant ;
Il est principalement dédié à la lecture des
informations contenues, la plupart du temps
compte tenu des coûts du Gigaoctets de RAM toute
la base peut être chargée en mémoire et les accès
sont donc optimisés.
3) La différence entre un annuaire et une base de
données
Un annuaire est un type de base de données ayant
des caractéristiques particulières : un annuaire est
prévu pour être plus sollicité qu’une base de
données et, essentiellement en lecture. C’est ainsi
que pour optimiser les temps d’accès aux données
de l’annuaire celles-ci seront totalement chargées
en mémoire permettant ainsi d’optimiser les temps
de réponse des consultations.
Les données sont stockées de manière différente
dans les bases de données dites "relationnelles", les
enregistrements sont stockés de manière tabulaire.
Alors que pour les annuaires les enregistrements
sont stockés de manière hiérarchique sous le
principe d’organisation « arborescente »
(organisation en nœuds, branches, feuille, principe
similaire à Unix mais également souvent utilisée
dans la programmation structurée).
Les annuaires utilisent souvent un protocole réseau
optimisé dans l’optique de pouvoir délivrer les
informations dans un délai minimal, ce qui explique
l’utilisation massive du protocole LDAP dans la
plupart des annuaires.
Un annuaire comporte des mécanismes permettant
de rechercher facilement une information et
d'organiser les résultats, ceci s’effectue
principalement à partir de logiciels proposant aux
utilisateurs une interface plus conviviale pour
effectuer leurs interrogations.
Ainsi, un annuaire est généralement une application
se basant sur une base de données afin d'y stocker
des enregistrements, (identifiant, certificat logiciel,
clef d’accès,…) et permettant de les retrouver
facilement et rapidement à partir de requêtes
simples.
36
Les annuaires constituent dans la majorité des cas
les fondations de la plupart des systèmes
d’identification du marché { cause de leurs
caractéristiques.
4) Historique du LDAP
C’est en 1988 que les opérateurs de
télécommunication ont élaboré le standard ISO
X500 permettant d’interconnecter tout type
d’annuaire, et ceci dans un but louable de
normalisation. Ce service X500 était composé :
• des règles de nommages pour les éléments
qu'il contient,
• des protocoles d'accès à l'annuaire (dont le
DAP),
• des moyens d'authentification de
l'utilisateur.
Cependant ce service d’annuaire X500 était
excessivement lourd et peu facile à mettre en place.
Le LDAP, acronyme de Lightweight Directory Access
Protocol (Protocole d’accès léger au répertoire), a
été créé en 1993 par l’université du Michigan et livré
dans la suite TCP/IP pour supplanter son ancêtre le
DAP qui permettait d’accéder au service d’annuaire
X500 ISO (standard conçu en 1988 par les
opérateurs télécoms prévu pour interconnecter tout
type d'annuaire).
A partir de 1995, LDAP est devenu définitivement
un annuaire natif, afin de ne plus servir uniquement
à accéder à des annuaires de type X500, mais lui
permettant de gérer sa propre base de données.
LDAP est ainsi prévu pour fonctionner avec les
protocoles TCP/IP.
5) Présentation de LDAP
Le protocole LDAP définit la méthode d'accès aux
données sur le serveur au niveau du client, et non la
manière dont les informations sont stockées.
Le protocole LDAP en est actuellement à la version 3
et a été normalisé par l'IETF (Internet Engineering
Task Force). Ainsi, il existe une RFC pour chaque
version de LDAP, constituant un document de
référence :
- RFC 1487 pour LDAP v.1 standard.
- RFC 1777 pour LDAP v.2 standard (1994).
- RFC 2251 pour LDAP v.3 standard (1997).
* Le protocole LDAP
Le protocole LDAP est uniquement prévu pour gérer
l'interfaçage avec les annuaires. Plus exactement il
s'agit d'une norme définissant la façon suivant
laquelle les informations sont échangées entre le
client et le serveur LDAP ainsi que la manière de
laquelle les données sont représentées. Ainsi ce
protocole se conforme à quatre modèles de base :
• un modèle d'information : définissant le
type d'information stocké dans l'annuaire
• un modèle de nommage (parfois appelé
modèle de désignation) : définissant la façon de
laquelle les informations sont organisées dans
l'annuaire et leur désignation
• un modèle fonctionnel (parfois appelé
modèle de services) : définissant la manière
d'accéder aux informations et éventuellement de les
modifier, c'est-à-dire les services offerts par
l'annuaire.
• un modèle de sécurité : définissant les
mécanismes d'authentification et de droits d'accès
des utilisateurs à l'annuaire.
De plus, LDAP définit la communication entre
• Le client et le serveur, c'est-à-dire les
commandes de connexion et de déconnexion au
serveur, de recherche ou de modification des
entrées
• Les serveurs eux-mêmes, pour définir d'une
part le service de réplication (replication service),
c'est-à-dire un échange de contenu entre serveurs et
synchronisation, d'autre part pour créer des liens
entre les annuaires (on parle de referral service).
Le format des données dans le protocole LDAP n'est
pas le format ASCII comme c'est le cas pour la
plupart des protocoles mais une version allégée du
37
Basic Encoding Rules (BER) appelée Lightweight
Basic Encoding Rules (LBER).
D'autre part, LDAP fournit un format d'échange
(LDIF, Lightweight Data Interchange Format)
permettant d'importer et d'exporter les données
d'un annuaire avec un simple fichier texte.
De plus, il existe un certain nombre d'API
(Application Programming Interface, c'est-à-dire
des interfaces de programmation) permettant de
développer des applications clientes permettant de
se connecter à des serveurs LDAP avec différents
langages.
Le protocole LDAP (dans sa version 3) propose des
mécanismes de chiffrement (SSL, ...) et
d'authentification (SASL) permettant de sécuriser
l'accès aux informations stockées dans la base.
Enfin, contrairement à la plupart des protocoles,
LDAP permet d'effectuer plusieurs requêtes sur le
serveur d'annuaire à l'aide d'une seule connexion,
alors que le protocole HTTP ne permet d'effectuer
qu'une et une seule requête à chaque connexion au
serveur.
* Consultation des données en LDAP
LDAP fournit un ensemble de fonctions
(procédures) pour effectuer des requêtes sur les
données des répertoires.
Voici la liste des neuf principales opérations qui
peuvent être réalisées en LDAP :
Opération Description
Abandon Abandonne l'opération envoyée au serveur
Add Ajoute une entrée à un répertoire
Bind Ouvre une nouvelle session sur le serveur LDAP
Compare Compare les entrées d'un répertoire selon certains critères
Delete Supprime l’entrée d'un répertoire
Extended Effectue des opérations étendues
Rename Change le nom d'une entrée
Search Recherche des entrées dans un répertoire
Unbind Ferme une session sur le serveur LDAP
* Le format d'échange de données LDIF
LDAP fournit un format d'échange (LDIF,
Lightweight Data Interchange Format) qui permet
d'importer et d'exporter les données d'un annuaire
avec un simple fichier texte. La majorité des
serveurs LDAP supportent ce format, ce qui permet
ainsi une grande interopérabilité entre eux ou bien
vers d’autres systèmes.
* Evolutions possibles du protocole LDAP
Le protocole LDAP version 3 a été conçu de telle
façon qu'il soit possible d'y ajouter des
fonctionnalités sans avoir à s'écarter de la norme
grâce à trois concepts :
• opérations étendues LDAP (LDAP extended
operations) permettant de rajouter une opération
aux neuf opérations originales,
• contrôles LDAP (LDAP controls) permettant
d'associer des paramètres supplémentaires à une
opération pour en modifier le comportement,
• SASL (Simple Authentification and Security
Layer), une couche supplémentaire permettant
d'utiliser des méthodes d'authentification externes
de façon modulaire.
38
III - PERSPECTIVES JURIDIQUES
A. Quelques définitions
a) Identifiant
L’identifiant est une information associée { une
personne, connue de celle-ci ou contenue sur un
support logique ou sur un support transportable
dont elle est la détentrice, et qui permet son
identification.
b) Authentifiant
L’authentifiant est une information confidentielle
détenue par la personne, qui permet son
authentification.
c) Authentification
L’authentification est un acte qui permet de valider
l’identité déclarée d’une personne.
B. Les niveaux de confiance de
l’authentification
a) Aucune authentification
Service anonyme.
Généralement, un service de nature
informationnelle.
b) Authentification de niveau bas
Lorsqu’une vérification d’identité n’est pas
essentielle mais qu’il peut être utile de reconnaître
l’utilisateur.
Souvent utilisée pour des fins de personnalisation
(exemple : conserver les préférences de l’utilisateur
au regard d’un mode d’affichage).
c) Authentification de niveau moyen
Degré de certitude raisonnable de l’identité de
l’utilisateur afin de lui offrir un service.
L’usager peut consulter des renseignements inscrits
à son dossier et y apporter des modifications.
d) Authentification de niveau élevé
Elle se justifie lorsqu’une très grande certitude de
l’identité de l’utilisateur est requise, pour des
transactions impliquant des montants d’argent
élevés, où dans les cas où sont communiqués des
renseignements de nature très sensible (risque élevé
ou très élevé).
Il n’y a pas de loi, pas de label, pas de norme qui
confère { un produit ou { un service d’archivage
l’étiquette « légal » : c’est le juge qui le détermine et
c’est par conséquent la politique d’archivage.
Pour apprécier la conformité du système le juge
dispose de plusieurs éléments :
1. les conditions légales prescrites dans les
textes, comme l’intelligibilité, l’identification
garantissant l’origine du document, l’intégrité c’est-
à-dire la non modification du contenu
informationnel et la pérennité
2. les normes techniques en vigueur ;
3. les systèmes de certification, de
référencement ou de labellisation existant ;
4. les experts informatiques.
C. Les textes en vigueur
- la loi du 13 mars 2000 portant réforme du droit de
la preuve et introduisant dans le code civil l’écrit
sous forme électronique et les signatures
électroniques, qui précise que la signature
électronique est un des éléments permettant de
garantir l'identité de l'auteur, voire l'intégrité de
l'acte sous certaines conditions.
- la loi du 21 juin 2004 pour la confiance dans
l’économie numérique reconnaissant la validité des
actes et des contrats électroniques avec ses
exceptions et ses adaptations.
- la loi de finances rectificative traitant des factures
électroniques.
39
- l’article 56 du code des marchés publics et ses
textes d’application.
- la loi du 9 décembre 2004 de simplification du
droit.
- l’ordonnance n°2005-1516 du 8 décembre 2005
relative aux échanges électroniques entre les
usagers et les autorités administratives et entre les
autorités administratives...
- L'article 4.e du Règlement CE n°460/2004 du
Parlement européen et du conseil du 10 mars 2004
définit l'authentification comme « la confirmation
de l'identité prétendue d'entités ou d'utilisateurs ».
- Articles 1316 et 1316-1 du code civil :
* Article 1316
Modifié par Loi n°2000-230 du 13 mars 2000 - art. 1
JORF 14 mars 2000
La preuve littérale, ou preuve par écrit, résulte d'une
suite de lettres, de caractères, de chiffres ou de tous
autres signes ou symboles dotés d'une signification
intelligible, quels que soient leur support et leurs
modalités de transmission.
* Article 1316-1
Créé par Loi n°2000-230 du 13 mars 2000 - art. 1
JORF 14 mars 2000
L'écrit sous forme électronique est admis en preuve
au même titre que l'écrit sur support papier, sous
réserve que puisse être dûment identifiée la
personne dont il émane et qu'il soit établi et
conservé dans des conditions de nature à en garantir
l'intégrité.
À l’analyse, il ressort de ces textes que, quand bien
même le principe de neutralité technique est
respecté, la sécurité juridique est indissociable, de
fait et de droit, de la sécurité technique, c’est-à-dire
de la sécurité des systèmes d’information.
D. Principes juridiques directeurs
impactant l’archivage électronique
sécurisé dans la sphère privée
Les principes directeurs de l’archivage électronique
dans la sphère privée permettent de mettre en
exergue :
- la nécessité d’identifier le domaine juridique dans
lequel s’inscrit le document. Durée de conservation,
finalité (validité, preuve…), formalisme connexe
(LRAR, double exemplaire…) sont autant de
paramètres à prendre en compte pour définir les
bonnes modalités d’archivage ;
- lorsque l’identification de l’auteur ou de l’origine de
l’acte fait partie intégrante de sa valeur juridique,
l’archivage électronique doit prendre en compte et
traiter l’ensemble des éléments participant {
l’imputabilité de l’acte conservé (signature
électronique, certificat…) ;
- les écrits électroniques (à titre de preuve, de
validité, qu’il s’agisse de contrat ou facture par
exemple) doivent être conservés de telle sorte que
leur intégrité soit garantie. L’archivage électronique
devra respecter cette exigence commune à la
reconnaissance juridique des écrits électroniques en
droit privé ;
- l’archivage électronique représente un enjeu
majeur : si la conservation ne garantit pas les
conditions exigées pour la reconnaissance d’un écrit
électronique et remplies à la date de son
établissement, l’écrit électronique perd sa valeur
juridique ;
- les conditions d’intelligibilité, d’imputabilité,
d’intégrité et de respect de formalités parfois
connexes (type LRAR) doivent être garanties dans le
cadre d’un archivage électronique { des fins
juridiques. L’archivage doit les garantir dans le
temps. Ainsi, le contenu informationnel doit être
maintenu dans son intégrité mais pas forcément
dans les mêmes formes et sur les mêmes supports.
Mais, comment allier l’évolution des technologies
qui a une incidence directe sur l’intelligibilité des
actes avec la garantie d’intégrité dans le temps ?
C’est l{ la problématique majeure de l’archivage
électronique.
En tout état de cause, l’archivage électronique doit
reposer sur une traçabilité des documents et des
opérations afférentes. Elle doit être garantie aux
40
différentes phases concernées et dépasse la
question des supports utilisés.
E. Principes juridiques directeurs
impactant l’archivage électronique
sécurisé dans la sphère publique
Il est certain que dans le cadre de l’archivage d’actes
électroniques, l’archivage effectué devra porter sur
l’ensemble des éléments permettant d’apprécier la
légalité et/ou la valeur probante de cet acte. En ce
sens, pour que l’archivage remplisse sa finalité
juridique, il faudra que les modalités mises en place
permettent de garantir les conditions imposées pour
la reconnaissance juridique des documents eux-
mêmes.
Dans le cadre d’un archivage électronique dans une
finalité juridique, le juge administratif pourra être
convaincu de la valeur juridique du document
archivé aux conditions cumulatives que :
- l’acte soit intelligible par lui ;
- l’auteur du document électronique puisse être
dûment identifié (garantie de la compétence
juridique de l’auteur de l’acte) ;
- le document ait été établi et conservé dans des
conditions de nature { en garantir l’intégrité (toute
altération ou modification du document doit être
détectable, à défaut le juge pourra douter de la
fiabilité de l’écrit électronique et donc de sa valeur
juridique, que ce soit à titre de preuve ou de
légalité).
De plus, pour que l’archivage électronique soit
regardé comme fiable d’un point de vue juridique, il
apparaît nécessaire que les procédures mises en
place soient précisément décrites et mises en œuvre
(il en va ainsi des métadonnées qui font à ce titre
l’objet d’un standard d’échange). L’automatisme de
certaines opérations dont la datation des
versements constitue en ce sens une sécurité.
De même, il pourrait être envisagé qu’un certain
nombre de documents soit scellé à la date de leur
versement aux archives. De la sorte, si les
administrations ont la maîtrise de l’archivage de
leurs documents, elles en garantissent l’efficacité et
la fiabilité du fait de processus externes (logiciels…)
dont elles n’ont pas la maîtrise.
41
IV - Optimisation des Coûts et ROI
en matière de contrôle d’accès
A. Le contexte
En cette période de crise économique, obtenir d’une
Direction Générale d’entreprise, la refonte des
divers modes de contrôle d’accès physique et
logique est le plus souvent une gageure. Pour
reprendre l’expression de Copernic le contrôle
d’accès « ça tourne ». Pour la terre c’est aujourd’hui
clair et démontré, mais qu’en est-il pour le Contrôle
d’Accès ?
D’abord, le plus souvent, il n’est pas unifié : contrôle
d’accès physique, d’une part, et contrôle d’accès
logique, d’autre part. Le Responsable sécurité de la
plus grande banque française avoue ne pas pouvoir
rentrer dans la moitié de ses bâtiments, faute de
moyens d’accès ad hoc : clefs, cartes { piste etc. Est-
ce que cela a un coût ? Oui. Ce coût a-t-il été
aujourd’hui déterminé. La réponse est non. Faut-il
pour autant choisir la solution de contrôle d’accès la
moins chère ? La réponse est non. Faut-il en 2009
séparer physiquement le contrôle d’accès physique
et le contrôle d’accès logique ? La réponse est
encore non si l’on utilise un bon système de badge.
Mais pour cela, il faut investir. Le retour sur
investissement est précédé dans le temps par
l’investissement.
Il est en effet impossible d’optimiser les coûts d’une
solution de contrôle d’accès si une analyse de risque
chiffrée des solutions existantes n’a pas été
entreprise au préalable. Il convient de ne pas oublier
que l’analyse de risque couvre, outre les pertes
directes du fait du sinistre, les pertes indirectes qui
représentent (Source FFSA) au minimum, 7 fois le
montant des pertes directes. Dans l’analyse
comptable type « direct costing », les pertes
indirectes passent souvent à la trappe. Prenons
l’exemple de la perte d’image : telle Agence
bancaire a été cambriolée hier. Les pertes directes
sont de 100, les pertes indirectes sont de 700 dont la
principale en coût est la perte d’image. De nouveaux
clients seront-ils tentés d’ouvrir un compte bancaire
dans une agence qui vient d’être cambriolée hier ?
Les cambrioleurs s’étaient procuré la clé de l’Agence
en prétextant une maintenance fictive…Voil{ un
exemple de perte indirecte. Si le montant des pertes
indirectes, représentant 7 fois les pertes directes,
n’est pas pris en compte comment calculer de
manière crédible le retour sur investissement ROI ?
Il est à noter que les risques de malveillance
croissent en France de plus de 10% par an (source
CLUSIF) en temps normal. En période de crise ce
taux est bien supérieur. Il faut donc protéger ses
biens et ses informations. Dans le cadre d’une
entreprise dans laquelle s’effectue une analyse de
risque en matière de contrôle d’accès, a-t-on réussi à
authentifier chaque personne qui a accès au
système d’information de manière normale et légale
? Autrement dit si plusieurs personnes se servent du
même mot de passe légalement ou non comment
chiffrer sérieusement les pertes liées à la
pénétration du réseau et { l’obtention frauduleuse
d’informations sensibles ?
B. Les enjeux
Nous savons que trois quart des entreprises
françaises utilisent le seul mot de passe comme
moyen de contrôle d’accès. Il s’agit donc d’un
moyen d’identification faible. Le plus souvent le mot
de passe n’a pas une longueur de caractères
alphanumériques suffisante (plus de 6 caractères) et
n’est pas renouvelé tous les trois mois sans
reprendre un des trois derniers mots de passe
attribués. Cela facilite grandement la pénétration de
réseau par un tiers. Il ne s’agit pas seulement ici de
l’Assistante de Direction du cadre concerné.
a) Etude à priori : analyse de risque – Méthode
des scénarios et méthode PISE
Avant d’entreprendre une analyse de risque
complète des solutions de contrôle d’accès, il est
fort utile d’entreprendre un audit informatique des
solutions de contrôle d’accès informatique et
télécom actuel. Au préalable, cela permettra
d’étudier la cible informatique et télécoms du
système de contrôle d’accès existant.
42
1) Méthode des Scénarii de risque
De manière préventive, le scénario de risque vise à
chiffrer les pertes directes et indirectes du fait d’une
tentative de pénétration de réseau malveillante. Il
convient de :
- Décrire techniquement le scénario de
pénétration potentiel ;
- Chiffrer le montant des pertes directes et
indirectes en fonction du métier et du secteur
d’activité de la personne. Cela peut être des dossiers
médicaux, des dossiers comptables et financiers,
des dossiers commerciaux (réponse { Appel d’offre),
des dossiers de crédit ou d’assurances etc.
2) Profil de l’attaquant
Aujourd’hui, le «profilage» est { la mode. Dans une
entreprise, il existe toujours des données sensibles
et l’espionnage industriel existe. Avec un mot de
passe connu de tous ou écrit sur un « post it », le
personnel de ménage peut par exemple pénétrer
dans n’importe quel système en l’absence des
salariés de l’entreprise. Cette pénétration sera t-elle
tracée ? Les log du terminal seront-ils consultés ?
Bien entendu, cette tentative de pénétration peut
être commanditée par un espion ou par un cabinet
d’Intelligence économique.
Il est nécessaire de bâtir le profil de l’attaquant
potentiel. La méthode PISE (P= grand Public, I =
Initié, S = Spécialiste, E = Expert) permet de coter le
niveau de connaissance de l’attaquant et le niveau
d’investissement spécialement en matériel
informatique et télécoms pour percer le réseau et le
système d’information.
b) Etude a posteriori
Elle s’apparente { l’étude du gain ou de la perte
d’exploitation informatique. Il s’agit de déterminer
le gain d’exploitation du fait de la nouvelle
application de contrôle d’accès. Des moyens
puissants comme la corrélation multiple peuvent
aussi être utilisés pour déterminer la partie recette
du fait du nouveau système du Contrôle d’Accès.
Cas Pratique : Enjeux du grand laboratoire
pharmaceutique LP- mise en œuvre d’un badge à
puce pour chaque salarié
En 18 mois seulement, dans les premières années du
vingt et unième siècle, le laboratoire
pharmaceutique américain LP a déployé son
système de contrôle d’accès par badge, auprès de
ses 100.000 employés dans le monde.
Le retour sur investissement (ROI) calculé par LP est
de 5 millions de dollars par an, soit 50$ par badge.
Selon les résultats de calcul du ROI, le gain de
productivité, le plus important, est lié à la Signature
Electronique. De manière générale, il y a ici chez LP,
migration de l’historique traitement des dossiers
papiers vers la gestion de documents électroniques
et donc l’exploitation de ces documents
électroniques en lieu et place des documents
papiers. Cela est le facteur principal de ce fort ROI
estimé à 50 $ par badge ce qui est important.
Ce chiffre de 50 $ est aussi légitimé par l’absence de
transactions frauduleuses. Pour trouver un gain de
50 $ par badge, cela suppose qu’une bonne analyse
de risque ait été au préalable entreprise par LP pour
déterminer les coûts induits de pénétration de
réseaux ou d’espaces physiques réservés. Cela tient
compte aussi d’une meilleure coordination des
services de santé et de l’accès sécurisé aux dossiers
électroniques numériques du Laboratoire LP.
En conclusion pour ce cas pratique, le rôle du badge
est dual. Il touche deux domaines différents par
nature :
- le contrôle d’accès physique ({ un local
réservé) et
- le contrôle d’accès logique ({ un système
d’information).
Cela illustre bien le fait que la mise en œuvre d’une
bonne solution de contrôle d’accès n’est pas un
centre de coût supplémentaire mais une ressource
pour l’entreprise avec un ROI positif. Les
comptables d’entreprise limitent trop souvent leur
première analyse au seul montant de
l’investissement, sans étudier le retour sur
Investissement. Alors c’est une pétition de principe
l’investissement de contrôle d’accès est élevé si le
43
ROI n’est pas étudié il reste donc inconnu. Dans le
passé nous avons été amené à étudier le ROI lié à
l’informatisation complète d’une société financière,
la remarque que nous soulignons ici n’est donc pas
fortuite. Elle a été vécu et le ROI était très
important…
C. Recommandations
Il est nécessaire de :
- Faire un Audit ISO 27001 de la solution de
Contrôle d’accès existante.
- Déterminer le périmètre de la cible Contrôle
d’accès.
- Bâtir un scénario de risque inductif et
professionnel pour déterminer le montant des
pertes totales encourus par l’ancien système de
contrôle d’accès.
- Elaborer le retour sur investissement du
nouveau projet de contrôle d’accès.
Il ne suffit pas d’avoir le seul montant de
l’investissement pour déterminer le ROI.
44
V - Prospective en matière de
contrôle d’accès
A. Le contexte
Afin de pouvoir se projeter dans un avenir proche sur
la notion de « contrôle d’accès », il convient tout
d’abord de définir cette notion. Le contrôle d’accès
est un dispositif qui permet d’identifier une
personne (en général), une machine ou un logiciel.
Ce dispositif est un sous-ensemble de la Gestion des
Identités, lui même intégré à la Politique de Sécurité
définie par la DSI / DG. Pour parler du contrôle
d’accès, il est nécessaire de parler d’identité. « Je
contrôle l’identité pour autoriser à accéder à telle
ressource, pour réaliser telle action ». Je vous
propose de faire dans un premier temps un état des
lieux des identités utilisées aujourd’hui. Dans un
deuxième temps, je proposerai de passer en revue
les tendances les plus significatives, ensuite je
présenterai les enjeux d’aujourd’hui et de demain et
pour finir, par des suggestions ou
recommandations.
La notion d’identité pourrait se résumer aujourd’hui
à trois grandes familles : identité physique
(représentée par les badges, papiers administratifs
…), identité administrative (N° sécurité sociale, N°
carte bancaire …) et identité numérique
(généralement login + mot de passe, carte à puce).
Pour la plupart d’entre nous, la gestion des deux
premières (et la plus ancienne) identités pose peu de
problèmes (hormis celui de la conservation).
Certains sont en train de découvrir la troisième.
Cette identité est celle qui va évoluer le plus, aussi
bien pour les utilisateurs « lambda » que pour les
professionnels telles que entreprises, collectivités,
institutions en termes d’utilisation, de nombre,
d’archivage et pour les aspects légaux et juridiques.
45
Une identité pour quoi faire
Aujourd’hui
Demain
Accéder :
- à partir de quoi (Ordinateur, PDA,
téléphone)
- physiquement quoi (un lieu, une machine)
- logiquement quoi (réseau local, Internet, ressource applicative)
- { partir d’où (en local ou d’un site
distant)
Pour :
- travailler sur ses applications métier - payer en ligne - téléphoner - jouer / parier - signer un document - télé-déclarer ses impôts, la TVA - mettre en ligne un marché
Accéder :
- à partir de quoi (Ordinateur filaire et Wifi, PDA,
téléphone mobile ou Voip, console de jeux,
TV…)
- physiquement quoi (un lieu, micro ordinateur,
mini, mainframe, téléphone, borne …)
- logiquement quoi (réseau local, Internet,
ressource applicative …)
- peu de changement
- établir une connexion directe entre personnes
- établir une connexion des personnes vers leurs
univers domestiques
Pour :
- travailler sur ses applications métier - signer un document, un mail, une transaction - être joint - souscrire - prouver - certifier - payer, déclarer - téléphoner - jouer / parier
46
Ecosystème
Aujourd’hui
Demain
- les utilisateurs de l’accès sont les
collaborateurs des entreprises, les agents des collectivités, des particuliers, voire des machines et des applications ;
- les propriétaires de l’accès sont les fournisseurs des services : entreprises et institutions publiques, associations en direct.
- les entreprises et institutions ont en charge la
définition et la gestion du référentiel des identités ;
- les accès physiques sont validés via des
lecteurs ou détecteurs, les accès informatiques via des applications sur serveurs ;
- la gestion est réalisée en interne ou
externalisée ;
- les protocoles utilisés : annuaires LDAP, Active Directory, base SAM … ;
- technologie et standard : SAML 2.0, Open-
ID, Shibboleth, Liberty alliance et WS-Federation
- plan de développement de l’économie
numérique 2012 (E. Besson)
- idem mais le nombre de machines et objets
communicants va grandissant : lié { l’introduction de l’IPV6, au Wifi. La nature de l’identité va évoluer : MAC address ou nom du matériel et le mot de passe = code WAP/WEP. VoIP où l’identité est le N° de téléphone et le mot de passe un code à 4 ou 6 chiffres; les objets vont devenir communicants (objets serveurs) : Ex : domotique, géo localisation de véhicule à des fins d’assistance, …
- peu de changements, peut-être une délégation vers des tiers de confiance en augmentation ;
- idem mais présence de tiers (autorité de gestion de
preuve) liée { l’utilisation de certificats ;
- démultiplication du nombre de lecteurs et notion de mobilité accrue ;
- peu de changements standardisation ECC
(European Citizen Card)
- peu de changements sur les protocoles. Introduction de l’archivage des éléments utilisés pour une identité (PKI par Ex.)
- réponses aux actions décrites dans le document (N°
76 à 78 par Ex)
47
Le monde numérique est en train de terminer sa
gestation. Il aura atteint demain toute sa dimension.
Nos identités, telles que nous les gérons et les
utilisons aujourd’hui, vont évoluer également. A
l’instar de notre Carte Nationale d’Identité qui va
abandonner (définitivement) le papier pour se doter
de puces électroniques, nous aurons à utiliser et à
gérer des identités plus nombreuses et plus
complexes. Un premier défi sera de gérer la période
transitoire du « papier + numérique » au « presque
tout numérique », un deuxième défi sera de rendre
transparente au plus grand nombre la complexité de
ces identités numériques.
Types d’identité
Aujourd’hui
Demain
A la maison
- Un login + mot de passe pour accéder à Internet - Des identifiants + mot de passe (différents du
précédent) pour accéder à des services / applications (site web, messagerie …). En général, un par application et par site web.
- Identifiants bancaires - Un problème : le spam. Une demande :
l’anonymisation de l’identité ou comment proposer un moyen non intrusif de joindre efficacement un contact (client …)
- Plusieurs accès Internet (fixe et Wireless) - Portail de gestion d’identité (généralisation de
système de Single Sign On ?) - Identifiants bancaires à usage éphémère - Carte d’identité numérique - Identifiants pour accéder à des lieux
(remplacement des télécommandes par le Tel mobile)
- Evolution de l’identité d’une personne { celle de ses objets communicants
En entreprise
- Un login + mot de passe pour accéder à un réseau de services (Intranet)
- Un login + mot de passe pour accéder à un réseau de services (Internet)
- Un identifiant sur le proxy d’entreprise pour accéder à Internet
- Des identifiants + mot de passe (différents du précédent) pour accéder à des services / applications (site Web, messagerie …). En général, un par application et par site web.
- Entre rien et plusieurs badges pour accéder à des locaux, restaurant, parking …
- Introduction du SSO
- Pas ou peu de révolution, - Idem ci-dessus - Utilisation du SSO - Idem ci-dessus :
- Attributs professionnels d’une identité personnelle (une seule distribution de clé, plusieurs identités pour des usages différents)
- Badge avec carte à puce pour gérer le physique et le logique
- Généralisation du SSO ou équivalent
48
La manière dont on va représenter, contrôler et
gérer son identité (ou celle des autres), est amenée
à évoluer elle aussi. Depuis très longtemps nous
gérons des papiers, depuis une vingtaine d’années
nous essayons de gérer l’identité numérique. Cette
gestion repose en partie sur « l’homme » avec tout
ce que cela comporte comme risques. Si les notions
de faux, usage de faux et usurpation d’identité ont
toujours existé, la transposition dans le monde
numérique est presque un « sport planétaire ».
L’identité demain ne servira plus uniquement à « se
faire reconnaître pour accéder à » mais aussi pour
prouver, signer et certifier.
D’où l’importance pour tout un chacun de pouvoir
comprendre, utiliser et se remémorer facilement
une identité.
Types de support de l’identité
Aujourd’hui
Demain
- mémoire de l’individu - post-it - carte (à puce ou code tournant affiché) - clé USB avec certificats (PKI)
- téléphone - carte (à puce ou code tournant affiché) - clé USB avec certificats (PKI) - carte d’identité électronique avec certificat (PKI) - l’individu - la mémoire de l’individu
Représentation de l’identité
- identifiant alphanumérique - identifiant + code simple - identifiant + code complexe + changement
régulier via demande SI - identifiant + code tournant (OTP) - biométrie - une carte
- combinaison à « n » facteurs - biométrie - le téléphone mobile + code de confiance - identifiant + code complexe + changement
régulier via demande SI - identifiant + code tournant (OTP) - identité électronique (puce) - identité numérique (certificat)
49
Pour dégager les tendances les plus significatives en
termes de contrôle d’accès, il est nécessaire de
regarder ce qui se passe dans le monde du travail, à
la maison, en déplacement, dans les univers de la
normalisation, du droit, de la politique et du
commerce. Analyser les usages ici et ailleurs. Un
constat émerge déjà : la gestion simple des identités
est en train d’évoluer vers la gestion globale des
identités, des rôles et des accès.
Tendances
Aujourd’hui
Demain
Gestion des identités Gestion des identités, des rôles et des accès
Au travail
- multitude d’identités { gérer - durée de vie des identités mal contrôlée - gestion des accès physiques indépendamment
des accès IT - gestion locale des accès IT - peu de gestion de la vie d’une identité - identité simple - 1er pas vers le Single Sign On
- généralisation du SSO - accorder une durée de vie aux identités - gestion de la preuve (3 parties pour gérer une
identité : l’utilisateur, le propriétaire, le tiers de confiance)
- mise en place des identités numériques et électroniques (pour signatures)
- joignabilité et présence - CRM renforcé
A la maison
- multitude d’identités { gérer - identités permanente - utilisation { partir de l’ordinateur - navigation, mail, achat, jeux
- mise en place du Single Sign On - notion d’Identité éphémère - gestion et contrôle de son identité - utilisation d’autres objets (TV, téléphone, borne,
objets communicants …) - développement des transactions, jeux … - signature, preuve, joignabilité,
Contrôle des identités au travail
- contrôle des badges professionnels (quand ils existent) indépendamment du contrôle des identités informatiques (pas le même support ni la même entité)
- le badge professionnel (quel que soit le type de support) sert également { s’authentifier sur son poste de travail
- lecteur biométrique
Contrôle des identités à la maison
Rien (à part les portes codées et éventuellement le
contrôle de l’utilisateur de l’ordinateur)
- lecteur biométrique sur ordinateur, téléphone (TV ?), support dédié
50
B. Les enjeux
Quels vont être les enjeux pour les différents
acteurs ? Une révolution à accomplir pour certains,
Des pistes de business pour d’autres ?
Enjeux
Aujourd’hui
Demain
Utilisateur à la maison
- Déploiement des usages simples d’Internet - Le jeu - Le commerce en ligne - Découvrir les ressources des institutions et
collectivités (télé déclaration …) - Accéder à ses comptes en ligne
- Utilisation intensive du NET - Le commerce en ligne sécurisé - Le partage de données contrôlé - La simplicité - La sécurité - Le Très Haut Débit (P2P, serveur …) - Disposer d’un identifiant « à la volée » de nature
éphémère ou permanent - Identifiant de type Instant Messaging - Accéder aux ressources des institutions, des
collectivités - Gérer son dossier médical - Contrôler son identité (anonymat, alias …)
Utilisateur au travail (mobilité ou non)
- Retrouver les mêmes ressources { l’extérieur de l’entreprise, collectivités, institutions qu’en interne
- Univers pro / perso relativement séparés
- Evolution vers d’autres média de travail - Sécurité et joignabilité améliorées - Différenciation « monde perso » vs « monde pro » - Disposer d’un identifiant « à la volée » de nature
éphémère ou permanent - Identifiant de type Instant Messaging
Pour le DSI
- Passer de rien à une gestion des identités en entreprises, institutions ou collectivités
- Mise en place de tableaux de bord
- Aller vers une gestion globale des identités, des rôles des utilisateurs, des machines et des ressources informatiques et physiques
- Généraliser les signatures électroniques - Mécanisme de certification de documents - Faciliter la vie aux utilisateurs - Tableaux de pilotage de l’entreprise - Fédération des métiers (RH, SI, MG)
51
Pour l’entreprise
- Un constat : une majorité d’entreprises en France n’ont pas ou très peu, mis en place une gestion des identités, que ce soit pour leurs collaborateurs ou pour leurs fournisseurs et clients. Ignorance des enjeux ?
- Améliorer le CRM - Réduction des coûts d’administration par
industrialisation des processus - Supporter au meilleur coût les enjeux métiers
(provisionning) - Accélérer la disponibilité des nouvelles
applications - Apporter des réponses au Plan de
développement de l’économie numérique
Pour les collectivités
- Découverte du monde « numérique » : comment y répondre, comment le traiter ?
- Fédération des sites de la collectivité - Généralisation de l’IAM - Mise en place d’outils gérant le « citoyen
numérique » - Se rapprocher du Plan de développement de
l’économie numérique 2012
Pour l’IAM
- Démocratisation de cette notion
- Meilleur contrôle de l’accès et de l’utilisation des ressources IT.
- Meilleure gestion du parc et des utilisateurs - Etre comprise par tous (simplicité, enjeux) - Nouveau outils pour l’utilisateur final pour gérer
son (ses) identité (s) et ses rôles (open id, Liberty alliance …)
- Notion d’anonymisation { prendre en compte
52
Pour l’entreprise
- -
Pour les collectivités
- Découverte du monde « numérique » : comment y répondre, comment le traiter ?
- Fédération des sites de la collectivité - Généralisation de l’IAM - Mise en place d’outils gérant le « citoyen
numérique » - Se rapprocher du Plan de développement de
l’économie numérique 2012
Pour l’IAM
- Démocratisation de cette notion - Meilleur contrôle de l’accès et de l’utilisation des ressources IT.
- Meilleure gestion du parc et des utilisateurs - Etre comprise par tous (simplicité, enjeux) - Nouveau outils pour l’utilisateur final pour gérer
son (ses) identité (s) et ses rôles (open id, Liberty alliance …)
- Notion d’anonymisation { prendre en compte
Pour l’entreprise
- Un constat : une majorité d’entreprises en France n’ont pas ou très peu, mis en place une gestion des identités, que ce soit pour leurs collaborateurs ou pour leurs fournisseurs et clients. Ignorance des enjeux ?
- Améliorer le CRM - Réduction des coûts d’administration par
industrialisation des processus - Supporter au meilleur coût les enjeux métiers
(provisionning) - Accélérer la disponibilité des nouvelles
applications - Apporter des réponses au Plan de
développement de l’économie numérique
Pour les collectivités
- Découverte du monde « numérique » : comment y répondre, comment le traiter ?
- Fédération des sites de la collectivité - Généralisation de l’IAM - Mise en place d’outils gérant le « citoyen
numérique » - Se rapprocher du Plan de développement de
l’économie numérique 2012
Pour l’IAM
- Démocratisation de cette notion - Meilleur contrôle de l’accès et de l’utilisation des ressources IT.
- Meilleure gestion du parc et des utilisateurs - Etre comprise par tous (simplicité, enjeux) - Nouveau outils pour l’utilisateur final pour gérer
son (ses) identité (s) et ses rôles (open id, Liberty alliance …)
- Notion d’anonymisation { prendre en compte
53
C. Recommandations
Pas de recette miracle pour ce paragraphe. Je
recommanderais une application du bon sens et une
solide communication envers les différents acteurs
pour obtenir leur adhésion à certaines règles
énoncées.
- Prendre conscience de la notion d’IAM. Ce n’est pas un outil mais un ensemble de moyens en accord avec une politique énoncée.
- Elle doit être en cohérence avec la politique de sécurité.
- Elle doit être intégrée à une notion de fédération d’identités
- Penser « durée de vie » de l’identité - Il faut établir une charte d’utilisation des
ressources (IT et physique) et viser l’adhésion des utilisateurs
- L’IAM doit être traitée comme un projet global avec un sponsor au Comex
- Ebauche de standards et de rédaction de normes
- Bien avoir en tête le schéma : - Avoir une Politique de Sécurité intégrant - la gestion globale des identités, des rôles et
des d’accès. Ceci doit être réalisé en mode projet.
- Ce projet doit comprendre plusieurs lots tels que :
- Le provisioning en général confié à la DRH, la fédération des identités, la durée de vie, les types d’authentification, les moyens d’identifications, l’archivage des éléments de preuves (DSI), aspects humains (adhésion des utilisateurs)
- Notion d’identité complexe (qui je suis, ce que je connais, ce que j’ai, ce que je veux)
- Prendre en compte les aspects légaux de l’IAM (article L123-1 code pénal et LCEN 21/06/04), conformité norme PCI DSS pour la gestion des identités des cartes bancaires
- Renforcer la charte avec les risques, les droits et les devoirs.
- Identité égale preuve => mise en place d’outils pour le Gd public
- Le profiling va grandissant, attention aux bases de connaissances. La CNIL veille !
- Services d’anonymisation (pour les services grand public par Ex.)
- Service de gestion de l’identité par les utilisateurs eux-mêmes.
- - Ne pas reculer devant l’obstacle ! comme toute transformation, le ROI n’est pas immédiat mais les gains sont importants à moyen terme (productivité dans la manipulation des SI, homogénéisation des applications, sécurité)
Certaines recommandations d’ordre général sont
applicables par tous les acteurs. Les fournisseurs de
services disposent déjà de nombreux outils pour
gérer et contrôler les identités. A chacun d’entre
nous de faire preuve de civilité d’engagement et
d’une certaine « discipline » dans la gestion et le
contrôle de nos identités.
54
D. Lexique
Nous proposons quelques définitions replacées dans
le contexte afin de mieux appréhender ce
document.
ACTIVE DIRECTORY : est la mise en œuvre par
Microsoft des services d'annuaire pour une
utilisation principalement destinée aux
environnements Windows. L'objectif principal
d'Active Directory est la fourniture à un réseau
d'ordinateurs utilisant le système Windows de
services centralisés d'identification et
d'authentification. Il permet également l'attribution
et l'application de stratégies.
ANONYMISATION : Action ou moyen pour
masquer ses coordonnées. Une adresse universelle
permet d’être connue par tous { condition que son
propriétaire puisse gérer lui-même une liste de
contacts autorisés ({ la manière d’un Instant
Messaging par exemple).
BASE SAM : (Security Account Manager) Partie
importante de la base de registre sous Windows.
Elle contient notamment les mots de passe ; sous
Windows NT, par défaut, les mots de passe n'étaient
pas cryptés. Sous Windows NT 4, la base de registre
servait à la fois pour les utilisateurs locaux et pour
les contrôleurs de domaine. À partir de Windows
2000, les contrôleurs de domaine sont basés sur
Active Directory et non plus sur la SAM.
BIOMETRIE : La biométrie est une technique
globale visant à établir l'identité d'une personne en
mesurant une de ses caractéristiques physiques
(empreintes digitales, géométrie de la main, analyse
de l’iris, la rétine, la voix, le visage, le comportement
sur le clavier …)
CERTIFICAT : Un certificat électronique est une
carte d'identité numérique dont l'objet est
d'identifier une entité physique ou non-physique. Le
certificat numérique ou électronique est un lien
entre l'entité physique et l'entité numérique
(Virtuel). L'autorité de certification fait foi de tiers
de confiance et atteste du lien entre l'identité
physique et l'entité numérique. Le standard le plus
utilisé pour la création des certificats numériques est
le X.509. Voir également l’échange de certificats par
clés publique et privée (PKI)
CERTIFIER : Action de valider la conformité d’un
document, d’un fait, d’une action. Ceci relève de la
compétence d’un tiers dit de confiance ou d’une
autorité de gestion de preuve.
COMEX : Comité exécutif. Ensemble des décideurs
d’une entreprise.
CRM : Customer Relationship Management.
Progiciel et/ou processus permettant de traiter la
relation entre une entreprise et ses clients et
partenaires.
IAM : Identity Access Management : gestion des
identités permettant d’accéder à des ressources de
l’entreprise.
INSTANT MESSAGING : La messagerie instantanée
(ou chat) permet l'échange instantané de messages
textuels entre plusieurs ordinateurs connectés au
même réseau informatique, et plus communément
celui de l'Internet. Contrairement au courrier
électronique, ce moyen de communication est
caractérisé par le fait que les messages s'affichent
en quasi-temps-réel et permettent un dialogue
interactif.
LDAP : Le Lightweight Directory Access Protocol
est à l'origine un protocole permettant
l'interrogation et la modification des services
d'annuaire. Ce protocole repose sur TCP/IP. Il a
cependant évolué pour représenter une norme pour
les systèmes d'annuaires, incluant un modèle de
données, un modèle de nommage, un modèle
fonctionnel basé sur le protocole LDAP, un modèle
de sécurité et un modèle de réplication. Un annuaire
LDAP respecte généralement le modèle X.500
édicté par l'UIT-T : c'est une structure arborescente
dont chacun des nœuds est constitué d'attributs
associés à leurs valeurs.
LIBERTY ALLIANCE : aussi connu sous le nom de
Project Liberty. C’est un projet qui réunit des acteurs
des mondes industriel, informatique, bancaire et
gouvernemental sous la forme d'un consortium.
L'objectif est de définir des ensembles de
spécifications de protocoles de fédération d'identité
et de communication entre services web. Ces
55
protocoles sont conçus pour être mis en œuvre aussi
bien dans le cadre de déploiements intra-entreprise
qu'inter-entreprise.
OPEN-ID : OpenID est un système
d’authentification décentralisé qui permet
l’authentification unique, ainsi que le partage
d’attributs. Il permet { un utilisateur de
s’authentifier auprès de plusieurs sites (devant
prendre en charge cette technologie) sans avoir à
retenir un identifiant pour chacun d’eux mais en
utilisant à chaque fois un unique identifiant OpenID.
Le modèle OpenID se base sur des liens de
confiance préalablement établis entre les
fournisseurs de services (sites web utilisant OpenID
par exemple) et les fournisseurs d’identité (OpenID
providers). Il permet aussi d'éviter de renseigner à
chaque fois un nouveau formulaire en réutilisant les
informations déjà disponibles.
OTP : One Time Password. Mot de passe à usage
unique. Un mécanisme entre carte ou clé USB
(dongle) synchronisé avec un serveur
d’authentification, permet de le rejouer { chaque
demande.
PDA : Personal Digital Assistant. Equipement
numérique portable. Originellement basés sur le
principe d'une calculatrice évoluée, les assistants
personnels servent d'agenda, de carnet d'adresses
et de bloc-notes. On les dote de clavier, avec des
petites touches, ou d'écran tactile, associé alors à un
stylet.
PKI : Une Infrastructure à clés publiques (ICP) ou
Infrastructure de Gestion de Clefs (IGC) ou encore
Public Key Infrastructure (PKI), est un ensemble de
composants physiques (des ordinateurs, des
équipements cryptographiques ou HSM, des cartes
à puces), de procédures humaines (vérifications,
validation) et de logiciels (système et application) en
vue de gérer le cycle de vie des certificats
numériques ou certificats électroniques.
PROFILING : Action de constituer une base de
données contenant des caractéristiques, usages,
gouts, coordonnées etc. de personnes clientes d’un
service (opt-in).
PROVISIONING : mot anglais désignant
l'approvisionnement, est un terme utilisé dans le
monde de l'informatique, désignant l'allocation
automatique de ressources. Les outils de
provisioning sont des outils de gestion de
configuration (on parle également de "gestion de
paramétrage") permettant d'installer et de
configurer des logiciels à distance (télédistribution),
ou encore d'allouer de l'espace disque, de la
puissance ou de la mémoire. Dans le monde des
télécommunications, le provisioning consiste à
adapter un service aux besoins d'un client.
SHIBBOLETH : L'objectif de la propagation
d'identités est double : déléguer l'authentification à
l'établissement d'origine de l'utilisateur et obtenir
certains attributs de l'utilisateur (pour gérer le
contrôle d'accès ou personnaliser les contenus). La
délégation de l'authentification réutilise les
techniques de Single Sign-On web (redirection,
cookies, …). Lors de l'accès initial { une ressource
numérique, l'utilisateur est redirigé vers le service de
découverte de la fédération, d'où il sélectionne son
établissement d'origine ; il est ensuite renvoyé vers
son fournisseur d'identités. Le pré-requis pour le
fournisseur d'identités est de disposer d'un service
d'authentification global tel que Central
Authentication Service (CAS) (pas forcément d'un
SSO). À l'issue de la phase d'authentification, le
fournisseur de services prend connaissance de
l'identifiant de l'utilisateur qui lui permettra, lors
d'une deuxième phase, d'obtenir ses attributs. Le
fournisseur d'identités a la possibilité de définir, de
façon différenciée pour chaque interlocuteur, quels
attributs utilisateur pourront être dévoilés.
SIGNER : Action de valider un document par
l’émetteur et par le destinataire via une
infrastructure à clé publique.
SSO : Single Sign On. Service permettant de
s’authentifier une fois pour accéder ensuite { un
ensemble de sites sans avoir { s’authentifier {
nouveau.
VOIP : Transmission de la voix (téléphonie) au
travers un réseau de données (Internet par Ex.)
respectant le protocole TCP/IP.
56
Design & Maquette Editions Licorne Aventures – 2010 – www.licorneaventures.com
57