13
I DENTITE N UMERIQUE P OURQUOI L AUTHENTIFICATION FORTE ? RÉDIGÉ LE 21/05/2009 AUTEUR Sylvain Maret / La Citadelle Electronique http://sylvain-maret.blogspot.com/

Identité Numérique et Authentification Forte

Embed Size (px)

DESCRIPTION

Technologie d'authentification forte pour la protection de l'identité numérique

Citation preview

Page 1: Identité Numérique et Authentification Forte

I DENTITE NUMERIQUE

PO U R Q U O I L’ A U T H E NT I F I C A T I ON F O R T E ?

RÉDIGÉ LE 21/05/2009

AUTEUR Sylvain Maret / La Citadelle Electronique

http://sylvain-maret.blogspot.com/

Page 2: Identité Numérique et Authentification Forte

Page 2 / 13

1. POURQUOI UNE AUTHENTIFICATION FORTE ?

La protection des biens et des informations est une préoccupation majeure de la société, un souci que partage tout un chacun. Certains s’en inquiètent à titre personnel, pour leurs propres biens. D’autres, pour des raisons stratégiques ou économiques.

A l’ère des nouvelles technologies de l’information, les entreprises et plus particulièrement le monde bancaire se sentent de plus en plus concernées – pour des raisons propres à chacune d’entre elles – par la sécurité de leurs systèmes informatiques. Mettre en place une véritable politique de sécurité devient une obligation. Tout comme appliquer les principes de base d’une protection optimale que sont l’authentification, l'autorisation, la confidentialité, la confidentialité, l’intégrité et la traçabilité.

Parmi ces cinq mécanismes, l'authentification forte, est, de mon point de vue, la clé de voûte de la sécurité informatique.

Vous avez dit « authentification forte » ?

L'authentification est une procédure qui vise à s'assurer de l'identité d'un individu ou d'un système informatique. C’est un préliminaire indispensable à l’activation du mécanisme d’autorisation et, donc, à la gestion des droits d’accès à un système d’information donné.

Les méthodes classiques pour identifier une personne physique sont au nombre de trois:

Page 3: Identité Numérique et Authentification Forte

Page 3 / 13

1. Quelque chose que l'on connaît: un mot de passe ou un PIN code

2. Quelque chose que l'on possède: un « token », une carte à puce, etc.

3. Quelque chose que l'on est: un attribut biométrique, tel qu'une empreinte digitale

On parle d'authentification forte dès que deux de ces méthodes sont utilisées ensemble. Par exemple une carte à puce avec un PIN code ou une carte à puce couplée à un lecteur biométrique.

Authentifieur

Secret Biométrie

PIN Code

Password

Quelque chose

Que l’on connaît

Quelque chose

Que l’on ou fait

Quelque chose

Que l’on possède

Authentification forte ? un minimum de 2 facteurs

La citadelle Electronique http://sylvain-maret.blogspot.com/

Page 4: Identité Numérique et Authentification Forte

Page 4 / 13

Pourquoi cette méthode plutôt qu’une autre?

Le mot de passe est actuellement le système le plus couramment utilisé pour identifier un utilisateur. Malheureusement, il n'offre pas le niveau de sécurité requis pour assurer la protection de biens informatiques sensibles. Sa principale faiblesse réside dans la facilité avec laquelle il peut être trouvé, grâce à différentes techniques d’attaques.

Mis à part l'approche, efficace, de la manipulation psychologique (« social engineering »), on recense trois grandes catégories d'attaques informatiques:

• Attaque de "force brute": Il s’agit d’une attaque qui vise à deviner un (ou plusieurs) mot de passe en utilisant des dictionnaires ou en testant toutes les combinaisons possibles. Partant du principe que la majorité des mots de passe sont « faibles » (combinaisons simples du type année de naissance, prénom de son enfant, etc.), les découvrir rapidement se révèle très facile.

• Ecoute du réseau : La plupart des applications comme "telnet", "ftp", "http", "ldap", etc., n'ont pas recours au chiffrement (encryption) lors du transport d’un mode de passe sur le réseau. « Ecouter » le trafic et en extraire le mot de passe devient un jeu d’enfant dès lors qu’on dispose d’un logiciel d’écoute appelé « sniffer » (littéralement, renifleur). Il existe un grand nombre de « sniffers » dédiés exclusivement à la capture des mots de passe.

• Ecoute du clavier: Imaginons que le trafic sur le réseau soit chiffré et que l'utilisateur ait pris soin de choisir un mot de passe extrêmement « solide ». Une méthode d’attaque se révèle malgré tout imparable : l’écoute du clavier ou « key logger », qui permet de « capturer » l’ensemble des touches tapées sur un clavier. Les logiciels utilisés dans ce cas sont généralement installés sur le poste de travail, à l'insu de l'utilisateur. La « compromission » du système informatique étant le plus souvent effectuée par le biais d'un virus de type cheval de Troie.

Page 5: Identité Numérique et Authentification Forte

Page 5 / 13

2. QUELLE TECHNOLOGIE D’AUTHENTIFICATION FORTE ?

Il existe aujourd’hui un grand nombre de solutions d'authentification forte sur le marché. On peut principalement en distingué trois :

• Les technologies de type OTP

• La technologie PKI

• Les technologies biométriques

2.1. Technologie de type OTP

La technologie de type OTP (One Time Password) est actuellement la méthode d’authentification forte la plus utilisée par les entreprises. Elle est basée sur un secret partagé unique à chaque individu. Intrinsèquement cette méthode peut être utilisée uniquement pour mettre en place un mécanisme d’authentification fort. Les OTP ne sont pas capable d’offrir des services tel que la non répudiation, la signature et le chiffrement. Par contre cette technologie à l’immense avantage d’être très facile à déployer et offre une grande mobilité qui est particulièrement appréciée des utilisateurs nomades. Généralement les moyens d’authentification de type OTP sont embarqués sur des « Tokens » physiques. Le niveau d’authentification forte est généralement obtenu en combinant un « Token » physique et un PIN Code connu par l’utilisateur.

Quelques exemples de « Tokens » OTP :

Page 6: Identité Numérique et Authentification Forte

Page 6 / 13

2.2. Technologie PKI

La technologie PKI est basée sur un mécanisme fondamentalement différent des OTP. Celui-ci est basé sur la cryptographie à clé public ou cryptographie asymétrique. Dans le cadre de l’authentification forte, chaque utilisateur possède une paire de clés (Une clé publique et une clé privée) ainsi qu’un certificat numérique attestant de l’identité de l’utilisateur. Muni de ces informations l’utilisateur est capable de prouver son identité. Afin de monter le niveau de sécurité, généralement le certificat numérique et la paire de clés sont stockés sur un support physique tel une carte à puce ou un Token USB.

L’immense avantage de cette technologie réside dans les services de sécurité qu’elle peut amener à une entreprise. Ces services sont :

• L’authentification forte

• La non répudiation

• Le chiffrement

• La signature numérique

Par contre la technologie PKI peut poser un problème dans le cas de la mobilité. Généralement utilisé avec un Token USB ou une carte à puce, il devient difficile de connecter ces « devices » sur des ordinateurs que l’on ne maîtrise pas, tel un Internet Café. Nous appellerons cette problématique : la problématique de type « Kiosk ».

Quelques exemples de « Tokens » PKI :

Page 7: Identité Numérique et Authentification Forte

Page 7 / 13

Sécurisation de la clé privée

L’entreprise qui souhaite sécuriser la partie privée d’un certificat dispose de plusieurs possibilités. Une des plus connues est le recours à des cartes à puce (format carte de crédit ou« Tokens » USB). Ces supports permettent le stockage aussi bien des clés que du certificat numérique.

Il existe deux grandes familles de supports: les cartes mémoire et les cartes à processeur cryptographique. En termes de sécurité, la deuxième famille est à recommander, dans la mesure où la clé privée est intégrée au support et n’en sort jamais. Les calculs cryptographiques sont en effet réalisés à l'intérieur de la carte par le processeur.

Cette méthode garantit une protection optimale contre les attaques qui visent à obtenir la clé privée. De plus, la carte à puce peut être protégée par un PIN code ou par un lecteur biométrique.

Dans le cadre de la protection par un moyen biométrique le niveau de sécurité est supérieur. Cette solution est alors capable d’amener une preuve quasi irréfutable de l’identité de l’utilisateur.

Protection par un PIN Code Protection par la biométrie

Page 8: Identité Numérique et Authentification Forte

Page 8 / 13

2.3. Les technologies biométriques

Il existe actuellement un grand nombre de solution biométrique. La majorité des solutions est déployée dans le cadre de la sécurisation des bâtiments. Cependant depuis quelques temps, un certain nombre de solutions voit le jour pour la sécurisation des environnements IT pour les entreprises soucieuse de leur sécurité du système d’information.

Les technologies sont très diverses tel que :

• Reconnaissance des empruntes

• Reconnaissance de l’iris

• Reconnaissance de la voix

• ADN

• Reconnaissance des veines

• Etc.

Dans le cadre de l’environnement IT, il est montré que la solution basée sur les empruntes des doigts est actuellement la technologie la plus utilisée.

Ce graphique montre que la technologie Fingerprint est un des meilleurs compromis entre le confort et la fiabilité du système.

Page 9: Identité Numérique et Authentification Forte

Page 9 / 13

Le principe de fonctionnement de la biométrie est basé sur la transformation d’un trait physique d’une personne en une information numérique. Le résultat de cette transformation s’appelle une « Biometric Pattern ». Une fois cette information capturée et vérifiée, celle-ci doit être stockée dans un « magasin ». Ce processus s’appelle « l’Enrôlement ».

Une fois le système initialisé, l’utilisateur peut effectuer une procédure de vérification afin de s’authentifier. Le système biométrique compare la « Biometric Pattern » du magasin à celle de l’utilisateur. Ci ces deux informations sont identiques alors l’utilisateur est authentifié.

Page 10: Identité Numérique et Authentification Forte

Page 10 / 13

Ce schéma explique le fonctionnement de base de la biométrie :

Page 11: Identité Numérique et Authentification Forte

Page 11 / 13

2.4. Niveau de sécurité des solutions Biométriques ?

De nombreuses étude prouvent aujourd’hui qu’il est possible d’usurpée l’identité d’un utilisateur par le biais de plusieurs moyens. Bien évidement il existe à l’heure actuelle un grand nombre de produits biométrique offrant plus ou moins de sécurité. Cependant dans le cadre d’un projet IT pour une entreprise le coût d’investissement est une composante très importante. Les études prouvent que sur ce genre de produits (IT) il est possible de contourner ces systèmes.

La conclusion de ces rapports est formelle : il n’est pas recommandé d’utiliser la biométrie comme facteur unique d’authentification. Par contre la biométrie est un très bon moyen de remplacement du PIN Code ou d’un mot de passe.

Exemple de méthode d’usurpation :

Page 12: Identité Numérique et Authentification Forte

Page 12 / 13

2.4.1. Stockage des « Biometric Pattern »

Afin de stocker la ou les « Biometric Pattern » il existe principalement deux approches :

• Le stockage centralisé

• MOC (Match On Card)

Le stockage centralisé

Avec un système de stockage centralisé, l’idée est de maintenir une base de données avec les « Biometric Pattern » des utilisateurs de l’entreprise. L’avantage de ce système est le coût. Par contre ce système présente trois inconvénients principaux. Le premier est la limitation en termes de mobilité. En effet, avec ce système il n’est pas possible d’offrir de la mobilité, par exemple dans le cas d’un laptop en mode « standalone ».

Le deuxième inconvénient est le niveau de sécurité car il y a un échange d’information entre les postes de travail et la base de données. Celui-ci peut être détourné, usurpé, etc.

Le dernier inconvénient est le niveau d’acceptante des utilisateurs. Même si il n’est pas possible de reconstituer une emprunte à partir de la « Biometric Pattern », beaucoup de personnes sont réticente au stockage centralisé des Pattern.

Page 13: Identité Numérique et Authentification Forte

Page 13 / 13

MOC (Match On Card)

La technologie MOC permet de stocker la ou les « Biometric Pattern » sur un support physique tel une carte à puces ou un token usb. Avec ce système le stockage des « Biometric Pattern » dans une base de données devient obsolète. En termes de sécurité ce système est très intéressant. De plus il offre une grande mobilité car il n’y a plus besoin d’avoir un moyen de communication avec le composant de stockage des Pattern. L’inconvénient principal de cette technologie est sans aucun doute son coût.

Ci-joint une explication de la technologie MOC :