View
215
Download
0
Category
Preview:
Citation preview
7/23/2019 Etat Art SSO
1/11
JRES 2013 - Montpellier 1/11
tat de l'art de l'authentification renforce
Dominique ALGLAVESG/STSI/SDITE
61-65 rue Dutot
75015 PARIS
Pascal COLOMBANISG/STSI/SDITE
61-65 rue Dutot
75015 PARIS
Nicolas ROMERO
Ple de comptence Gestion des Identits45000 ORLEANS
Sofiane FLIHSG/STSI
61-65 rue Dutot
75015 PARIS
Rsum
Plusieurs approches diffrentes concourent la scurisation globale du systme dinformation, et cumulent leursapports respectifs. Ainsi en est-il du suivi des bonnes pratiques d'une part, de la clarification du primtre protger
d'autre part et du renforcement du contrle laccs, c'est dire la premire authentification. En fin de compte, la
question de la scurisation raisonnable, du niveau technologique suffisant, demeure toujours dterminante, ne serait-ce
quau niveau budgtaire.
Lobjectif de cette tude est justement de couvrir tous les types dauthentification allant du support cryptographique
physique jusquau mot de passe, en abordant galement les nouveaux modes dauthentification prsents rcemment
dans loffre industrielle, tels que les grilles dynamiques , les jetons invisibles ou les analyses comp ortementales,
afin de permettre une comparaison de ces types aprs avoir dgag des critres de comparaison communs.
La partie mthodologique vise exposer les critres et leur pertinence ainsi que leurs limites, tandis que les
paragraphes relatifs aux rsultats permettent la fois de disposer dune description de la technologie en question, puis
d'une caractrisation sous forme de notation par critres mais aussi sous forme de radar. Enfin, ce dernier aspect
dbouche sur des comparaisons entre ces diffrentes techniques, leurs forces relatives, leurs faiblesses relatives et leur
adaptabilit telle population du ministre plutt qu telle autre.
Ce travail concerne aussi les quipes de dveloppement puisque ce tour dhorizon permet de dgager des concepts
innovants dont certains sont partiels et pourraient initier dautres dveloppements libres de droit dont limplmentation
matrise aurait un cot trs faible.
Loutil de constitution des radars sera mis disposition ds les JRES 2013.
Mots-clefsAuthentification forte, authentification faible, PKI,gestion des identits, vol didentits, gestion de risques, fdration
didentit, SSO.
https://conf-ng.jres.org/2013/user_247.htmlhttps://conf-ng.jres.org/2013/user_247.htmlhttps://conf-ng.jres.org/2013/user_247.htmlhttps://conf-ng.jres.org/2013/user_247.html7/23/2019 Etat Art SSO
2/11
JRES 2013 - Montpellier 2/11
1 Introduction
Dans les systmes dinformation intgrant toutes les briques technologiques ltat de lart, telle s que la fdration
didentit, lauthentification unique (SSO), la faiblesse de lauthentification initiale se propage lensemble du domaine
ainsi fdr. De mme la force de lauthentification initiale se propage lensemble du primtre fdr dans la mesure
o le rseau fdr est lui aussi scuris de manire adquate. Le renforcement de lauthentification du primtre du
systme dinformation est donc un enjeu de premier ordre. Cependant, mettre en uvre ce renforcement nest passimple : il requiert de minimiser les changements darchitectures pour viter des congestions laccs du systme
dinformation; il demande de modifier les habitudes de lensemble des usagers des applications ; il suppose un cot
variable mais rcurrent et couramment exorbitant par rapport aux capacits de budget de la scurit informatique. Si
bien que les points dachoppements des projets utilisant la cryptographie ne sont plus de lordre de la matrise thorique
ou des applications dveloppes mais bien de la mise en u vre globale intgrant tous les facteurs du dploiement.
Lauthentification forte utilise deux facteurs non lis parmi les trois de nature distinctes couramment prsents par ce
que je suis, ce que je possde, ce que je sais, alors que lauthentification renforce recouvre lutilisation de deux
facteurs lis parmi ces trois et prsente de nombreux avantages de lordre de la facilit du dploiement ou du cot ou de
la convivialit.
Etant donn que lamlioration de lauthentification laccs est une tape cl du renforcement de la scurit de
lensemble du systme dinformation par le biais des outils de la fdration didentit ou de lauthentification unique, il
convient de lever les derniers obstacles qui sy opposent. La seule certitude en la matire est que lusage du mot de
passe statique comme validation de lidentit laccs est aujourdhui un facteur de risque. Mais il est ncessaire de
faire linventaire des paramtres dvaluation des techniques alternatives. La caractrisation des mcanismes
dauthentification permettra ainsi de dfinir les tapes des dploiements intermdiaires vers une gnralisation de
lauthentification forte dans le futur.
Si les acteurs du systme dinformation sont par ailleurs issus de populations htrognes, alors la dfinition de classes
homognes des modes dauthentification renforce est essentielle la russite de lentreprise dam lioration du niveau
de scurit. Le rsultat conduira alors disposer dun bouquet dauthentificationsuivant les familles de population, dont
les solutions dauthentification forte feront partie et resteront lobjectif moyen terme.
Il sagit en consquence de doter les ministres dun outil capable dviter des erreurs de parcours en choisissant des
solutions dauthentification en inadquation avec les besoins rels. Lobjectif pour aujourdhui est donc : qualifier les
diffrentes technologies puis les diffrents produits dauthentification disponibles sur le march, afin de faciliter leurs
mises en uvre ventuelles tant du point de vue des usages que de leur intgration dans les infrastructures existantes. Le
cas chant, dautres solutions spcifiques peuvent tre labores partir de la prise en compte des lacunes des
solutions commerciales et permettre ainsi linstitution de disposer faible cot de solutions techniques bien adaptes.
2 Mthodologielaboration des critres
2.1 Constitution de critres dvaluations des technologies
Etant donn la diversit des solutions proposes sur le march depuis trois ans, il est complexe de prsenter une grille
danalyse fiable apte honorer les avantages sans omettre les inconvnients. Il convient donc dtablir une liste de
critres en pralable pour couvrir les grandes problmatiques communes aux diffrentes communauts constituant le
ministre, puis dvaluer les types de technologie au regards de ces critres et enfin de montrer les principaux traits
issus des choix de certains produits industriels combinant plusieurs technologies. En rsultat collatral de cette tude, il
sera possible deffectuer des comparaisons et ventuellement de concevoir des types technologiques nouveaux
rpondant mieux encore aux besoins spcifiques du ministre.
2.2 Explication des critres et justification de leur pertinence
La classification des critres part du principe dun dcoupage par domaine dvaluation regroupant des sous critres
issus de questions prcises. Lexplication de ces derniers vient ci-aprs et demeure une approche subjective.1. Domaine relatif la typologie de lauthentification
7/23/2019 Etat Art SSO
3/11
JRES 2013 - Montpellier 3/11
Lobjectif de cet aspect de la caractrisation vise situer le plus clairement possible le mode dauthentification par
rapport aux critres habituellement connus et rfrencs dans les tudes classiques de lauthentification. Etant donn
lmergence de nouveaux types, il faut revenir aux fondements de la classification base sur le facteur de forme
physique ou non, sur le partage de secret ou non ainsi que dautres paramtres permettant de les situer comparative-
ment. Plus la technologie sera forte, plus la note sera valorise.
On distingue dans ce domaine la valorisation des critres suivants :
- La famille dappartenance couvrant les possibilits suivantes: simple login et mot de passe, login et mot
de passe + Captcha, OTP Matriel, OTP Logiciel, OTP la demande, grille dynamique, authentificationenvironnementale, authentification par le risque, authentification comportementale,par lusage de la bio-
mtrie, et plus classiquement par les certificats.
- Ds lors, on peut affecter une qualification de faible trs forte en nuanant par des valuations interm-
diaires en fonction des risques identifis ou constats. Le qualificatif de trs fort tant rserv
lauthentification par certificat sur support cryptographique physique qualifipar les organismes habilits
en France dans la mesure o la matrise complte des infrastructures et des oprateurs est galement assu-
re (Le cas des compromissions dautorits denregistrement de COMODO montre que cette matrise des
oprateurs et des infrastructures fait partie de lvaluation de loffre de scurit) . Viennent ensuite les solu-
tions dOTP avec support cryptographique physique qui prsentent la vulnrabilit de la centralisation des
secrets partags dans un support qui peut ne pas tre fort et qui est vulnrable des attaques internes mul-
tiples ou des pannes potentielles mettant en dfaut le fonctionnement de lauthentification. A lextrme
vient le mot de passe simple sans politique de renforcement. Au cas par cas, il est possible de noter chaque
technologie en relatif par rapport aux deux extrmes.
- De manire complter le critre prcdent, le nombre de facteurs est ajout ltude pour prciser le pr-
cdent et donner une indication qui reste dcisive dans lusage tant par les questions de dploiement que
dattaque potentielle.
- La volont de sinscrire durablement dans la dmarche de lANSSI implique de prciser si le produit cou-
vert par le type dauthentification tudi a t qualifi ou sil entre dans une catgorie du Rfrentiel Gn-
ral de la Scurit.
La typologie de lauthentification permet aux spcialistes de situer demble les difficults prvisibles dans la mise
en uvre ou lacceptation des produits qui sy rattache.
2. Domaine relatif ladhrence vis--vis des technologies choisies
Le but de ce second domaine vise souligner le degr dadhrence technique de certaines solutions vis--vis de tout
support. Ce groupe de critres vise dceler dventuels cots cachs dans le dploiement, la maintenance, mais
galement identifier une capacit relle ou au contraire une incapacit de raction par rapport un incident techno-
logique majeur. Autrement dit, mme si dans les critres prcdents le fait quil y ait un support physique apporte un
avantage en matire de scurit, si la robustesse de lensemble est mise mal alors le support physique devient une
contrainte forte pour la reprise dactivit scurise. Il sagit de mesurer la capacit de rsilience. Donc, plus
ladhrence sera forte, plus la note sera dvalorise:
- La technologie est-elle base sur un support cryptographique physique, quel quil soit ?
- Est-elle utilisable sur un poste en libre-service sans avoir le personnaliser de manire spcifique ?
-
Y-a-t-il une installation dun pilote logiciel spcifique et dans ce cas, peut-on disposer du support pourtous les type dOS (y compris pour les tablettes) et tous les types de matriel plus pauvres en connectique ?
3. Domaine relatif la protection du secret
Les paramtres de ce troisime domaine visent mettre en exergue un groupe dvnements redouts et leur proba-
bilit associe. Cet aspect plus prcis de lanalyse de risque, faite exclusivement sur la scurisation primtrique re-
posant encore massivement sur lauthentification par mot de passe,traduit une focalisation technique : il sagit de la
sensibilit au vol du secret, et plus particulirement lorsquil est fait linsu du porteur. Le fait de focaliser sur ce
risque vise tablir les authentifications renforces comme tape intermdiaire possible vers lauthentification forte
rfrence dans le RGS. Reste en voir les nuances et en accepter ou non les risques rsiduels selon les besoins.
La protection du secret est note de plus en plus favorablement selon quelle permet de:
-
Rsister au vol didentifiant par phishing ou key logger ou encore par observation rpte- Echapper au vol par interception
7/23/2019 Etat Art SSO
4/11
JRES 2013 - Montpellier 4/11
- Et surtout de reprendre une activit de manire sre aprs attaque massive du systme de scurit ; il sagit
de mettre en valeur la rsilience intrinsque dune mthode dauthentification en cas de constat de la perte
du secret
4. Domaine relatif au cot
Par ce quatrime domaine, ltude entend prendre en compte les cots dinfrastructure et de dploiement initial ainsi
que les cots unitaires pour un porteur dauthentification. Par ailleurs, le cot de maintenance annuelle est aussi prisen compte. La prcision de ces critres est difficile obtenir sans avoir lanc un appel doffre.
5. Domaine relatif lintgration
Lintgration dun projet dauthentification dans la globalit du systme dinformation - au sens du systme qui
porte la donne - est essentielle sa bonne russite. Afin de traduire concrtement ces termes il faut prendre en
compte dune part lintgration techniquegrce aux critres suivants :
- Laisance de lintgration dans linfrastructure existante et en particulier dans linfrastructure
dauthentification et de fdration didentit, notamment par la compatibilit du modle bas sur CAS,
Shibboleth, ou larchitecture de RSA (FIM, Authentication Manager, Access Manager)
- Lindpendance par rapport certaines technologies propritaires et la capacit inter oprer avec tous les
rfrences issues des normes ou des solutions industrielles rpandues (SAML, LDAP, RADIUS pour les
premires, AD, pour les secondes, etc.)
- La capacit passer dans un mode industriel rparti dans les infrastructures des ministres. Il est vis par
ce critre lindpendance par rapport un modle en cloud computing, autant que laptitude avre du
support industriel corriger dventuels bugs par la maintenance logicielle ou lintervention par des
correctifs en urgence. De mme, la possibilit mettre en uvre une solution de haute disponibilit
ventuellement sur plusieurs sites demeure un aspect indispensable pour la continuit dactivit.
- Lindpendance vis--vis dune connexion Internet ou de laccs un centre de donnes par Internet ainsi
que la couverture gographique (DOM/TOM/COM/URB/RUR) si toutefois le mode de connexiondpendait dune communication tlphonique.
Dautre part, la notion dintgration vise galement lvaluation du niveau dintgration fonctionnelle dans les
limites suivantes :
- Le degr dacceptation et de rception, voire dadhsion du point de vue fonctionnelau sens de la fonction
rendue aux utilisateurs. Il sagit donc dtudier lacceptation de la part des diffrents agents (du premier
degr, du second degr, des agents administratifs ou de laboratoires, mais galement des tudiants, des
lycens, des collgiens ainsi que de leurs parents pour dautres usages potentiels). Lavis des matrises
douvrages est dans ce sens dterminant.
- Laisance du dploiement en matire dorganisation des remises, par les autorits locales denregistrement
ou par des dlgations de pouvoir, des paramtres de comptes et dauthentification. Le support physiquerequiert ici plus de procdures et apporte des contraintes fortes ds quil sagit de grands nombres rpartis
sur un territoire large. De mme, pour une mme technologie, si plusieurs lments secrets sont
configurer, installer ou transmettre, la difficult apparat croissante. De plus, les documents de politique
daccrditation qui ouvrent une homologation vis--vis du RGS sont dautant plus complexes laborer.
En ce qui concerne ladaptabilit aux situations rencontres, les technologies apparaissent trs diffrentes
les unes des autres.
- Enfin, du point de vue de lutilisateur, lvaluation de lutilisabilit ou de la facilit demploi dune
manire intuitive permet de donner une note de convivialit dans cette phase dinsertion dans le systme
dinformation au sens le plus large.
6.
Domaine relatif la prennit globale
7/23/2019 Etat Art SSO
5/11
JRES 2013 - Montpellier 5/11
Linvestissement dans un renforcement de lauthentification ncessite dvaluer le temps dusage minimal possible
de la technologie ainsi mise en place, ne serait-ce quen raison du cot pcuniaire et humain quil recouvre. Les
critres associs sont les suivants :
- La prennit de la ou des organisations (socits industrielles, groupes de travail, comit de normalisation)
qui promeuvent le systme dauthentification. Si le produit est trs innovant et peu partag, il convient
dvaluer sa disponibilit dans la gamme ou dans loffre des socits qui le dveloppent, ainsi que les
questions de maintenance associes aux diffrents modules, permettant ainsi de garantir les corrections debugs ou dattaques ventuels.
- De mme, la question de maintenance peut tre renforce par une conformit stricte une norme ou une
interoprabilit de plusieurs constructeurs.
2.3 Processus de comparaison des types dauthentification par laboration deRADARS
La comparaison de plusieurs types de technologie et in fine de plusieurs produits industriels est rendue possible par la
mise au point des critres prcdemment tudis. Toutefois, cet objectif de vouloir mettre en relief les avantages de
certains types par rapport dautres appelle des remarques et demande des prcautions dusage.
En effet, les critres tant dfinis en dbut de processus, la porte de ltude nest relle que dans la mesure o cescritres sont pleinement partags, pertinents et rels sur lensemble des technologies ainsi que dans les conclusions de
ltude. Il nest donc pas possible den changer en cours dtude ni den ajouter pour certaines technologies au risque de
ne rien comparer.
Ds lors, la prise en compte de la spcificit des besoins pour tel groupe dutilisateurs demande affiner lapproche des
critres. Cette approche doit tre faite de manire uniforme pour ce groupe sans modifier la liste des critres de
lensemble de ltude et sans modifier lvaluation de lapport fonctionnel selon ces critres. Autrement dit, telle
technologie dispose de tel avantage selon un critre prcis mis en exergue, et quel que soit la communaut qui lutili se,
cet avantage demeure considr comme tel, y compris par rapport toutes les autres technologies. La prise en compte
de laspect spcifique des besoins du groupe dutilisateurs considr se manifeste donc par un autre biais qui est la
pondration relative des critres dans le contexte dusage de ces technologies pour cette communaut prcise ; ces
pondrations demeurent fixes pour toute ltude ddie ces types dusage et seront ventuellement diffrentes pour un
autre type dusage. Ainsi la forme desradars peut varier dune tude contextualise une autre.
Enfin, le choix dusage dune technologie par rapport une autre sera plus vident pour une mme communaut
professionnelle si une pondration des critres a t labore pour cette population sur le primtre de ltude en
fonction des risques identifis pour le systme dinformation considr.
3 Relev des caractristiques distinctives des types dauthentificationtudis
Loffre industrielle sest toffe depuis trois ans tant en nombre dindustriels prsents sur ce nouveau march quen
types de technologies. Un dcoupage de cette typologie est prsent ci-dessous avec une brve description pour chacun
des types dans ce quils ont de plus significatif du point de vue de cette tude comparative.
3.1 Authentification forte par certificat sur support cryptographique physique
Lauthentification par certificat dont le bi-cls est tir sur le support cryptographique physique, quel que soit le facteur
de forme et avec les procdures de remise en face face, est de loin celui qui donne le plus de garanties
dauthentification mais il prsente la difficult de dploiement sur une population nombreuse et primtre gographique
tendu. Par ailleurs, il demande un dploiement sur les postes (pilote de la carte puce) et reprsente un investissement
financier plus lev. Il peut permettre dtre conforme au RGS si le produit de support est qualifi. Parmi les points
forts, il faut noter la possibilit de raliser les oprations cryptographiques (dont lauthentifica tion du systme
dexploitation du poste, la signature ou le chiffrement) en mode dconnect (sans OCSP dans ces cas).
7/23/2019 Etat Art SSO
6/11
JRES 2013 - Montpellier 6/11
3.2 Authentification forte par certificat dans un magasin cryptographique nonphysique
Par contre, lauthentification par certificat dont le bi -cls est tir sur le support cryptographique non physique, dans un
magasin cryptographique logiciel mme avec les procdures de remise en face face, ne donne pas les mmes garanties
dauthentification et demande une tude de qualification prvue par le RGS notamment pour les certificats une toile.
Par exemple, les magasins cryptographiques de Microsoft pour les systmes dexploitation depuis XP ont fait lobjet
darticles dans la presse spcialisede manire illustrer la possibilit dextraire les bi-cls et les certificats linsu de
leur porteur. Des outils logiciels ont t diffuss depuis (voir le n MISC n66 Mars Avril 2013Utilisation avance
de Mimikatzp.8 et suivantes). Ds lors, les mcanismes de rvocation (CRL ou mme OCSP) sont eux aussi mis en
chec et aucune autre protection ne pourrait contribuer empcher lusage de ce certificat drob. Limpact de cette
menace est donc trs lev. Une manire de renforcer ce service dauthentification peut tre de le coupler avec un
lment secret squestr en base centralise et de rendre lusage du certificat plus robuste, aprs interrogation par un
client logiciel de la base en question. Mais alors, la dpendance vis--vis des pilotes logiciels ainsi que de la connexion
vient contrebalancer le gain en scurit.
3.3 Authentification par gnration dauthentifiant partir dun secret partag sursupport cryptographique physique ou logiciel sur un support tiers
Lauthentification par gestion dun secret cryptographique partag entre le porteur et la base centralise permet de
dployer lusage dauthentification par mot de passe usage unique, bien connue sous le nom dOTP (pour One Time
Password). Plusieurs implmentations du gnrateur de mot de passe sont envisageables, les unes par logiciel, dautres
par matriel offrant des capacits variables de rsistance au vol.
Par rapport linfrastructure de gestion de cls publiques, linfrastructure de gestion de cl prives souffre de plusieurs
inconvnients qui sont inhrents la centralisation du secret : le service dauthentification dpend dun point unique de
dfaillance (SPOF), qui mme sil est rpliqu demande tre synchronis de manire fine quant la base de temps et
la base des comptes. Lautre point marquant rside dans la protection de ces secrets ou des squestres qui peut tre
lacunaire (attaque du serveur central ou attaque de la base de recouvrement chez le tiers de confiance dot de celle-ci).
Dans les deux cas, des renforcements sont possibles mais des exemples rcents ont montr que lors dune dfaillance de
grande ampleur1
, la rsilience est difficilement compatible avec le renforcement de la scurit. En effet, pour permettrele second, il est courant de mettre en uvre des supports cryptographiques physiques effectuant la gnration des mots
de passe usage unique et dtre ainsi dot des attributs de lauthentification forte. De surcroit, il sagit bien dans ce cas
de lauthentification du porteur du token, qui doit par ailleurs connatre le code pin. Mais, en cas de compromission
massive, la gestion de ceux-ci demande le retour en usine pour un changement des secrets embarqus ce qui est
coteux en temps, en moyen, en personneet la rsilience est ainsi mise en doute.
Parmi les mthodes rcemment apparues au titre de lauthentification renforce, la possibilit de disposer de logiciels
OTP embarqus sur des supports mobiles pourrait permettre de pallier tous ces inconvnients et permettrait de demeurer
dans le groupe de lauthentification forte au regard des trois critres (ce que je sais, ce que je possde, ce que de
connais), bien que la scurit dun support mobile ait t mise en cause de multiples reprises ces dernires annes.
Reste pourtant la difficult dunifier une flotte de mobiles pour une population nombreuse. Cet aspect, qui relve dun
autre volet de la gestion du systme dinformation, nest pas encore optimis dun point de vue technique et
conomique. Si le support mobile est dune origine externe au primtre du systme dinformation professionnel, la
matrise est encore moins assure.
Dautres technologies mergentes relevant du secret partag sont apparues rcemment et offre un traitement diffrenti
de ces dsagrments. Toutefois, le niveau de scurit en est amoindri. Elles sont dcrites ci-aprs.
3.4 Authentification par grille
Ce moyen d'authentification peut tre divis en deux parties : d'une part une grille de caractres (gnralement des
chiffres) gnre alatoirement, d'autre part un schma secret choisi par l'utilisateur qui reprsente une suite de position
sur la grille. En superposant le schma la grille, on obtient une suite de caractres qui fait office d'OTP. Dans ce cas,
la capture du mot de passe usage unique nest daucun effet sur la scurit comme pour lOTP en gnral. Aucun
1 http://www.usinenouvelle.com/article/contre-le-piratage-rsa-va-remplacer-ses-cles-securid.N153386
http://www.usinenouvelle.com/article/contre-le-piratage-rsa-va-remplacer-ses-cles-securid.N153386http://www.usinenouvelle.com/article/contre-le-piratage-rsa-va-remplacer-ses-cles-securid.N153386http://www.usinenouvelle.com/article/contre-le-piratage-rsa-va-remplacer-ses-cles-securid.N1533867/23/2019 Etat Art SSO
7/11
JRES 2013 - Montpellier 7/11
support matriel ni logiciel nest dployer.De mme le partage de postes est possible sans surcot et la rsilience est
leve puisque le changement dalgorithme peut tre effectu de manire centralise. Alors que lintgration
fonctionnelle est similaire celle des autres technologies, lintgration te chnique est dpendante du degr
dindustrialisation des fournisseurs. Il sagit donc bien dune authentification du porteur et non de celle de la machine
ou du support dlivrant le mot de passe usage unique. Par contre, lobservation rpte peut mettre mal cette
technologie si toutefois ce facteur na pas t pris en compte ds la conception.
Ci-dessous le principe de choix de la grille par lutilisateur Georges Dupont:
1 Schma secret 2 Grille alatoire
101502
3 OTP gnr
Et son utilisation lors de la connexion une application web ; dans un premier temps, le fait de donner le login
gdupont permet la base dauthentification de proposer une grille dynamique affecte ce loginprcis :
Page Web
Login
gdupont
Mot de passe
Dans un second temps, la lecture des codes, avec pour masque la grille initialement fixe, permet de taper le code dans
le champ mot de passe, comme lindique le schma ci-dessous. Il sen suitque des observations rptes pourraient
mettre mal la grille choisie. Ds lors, cette proposition dauthentification pourrait convenir un renforcement de
lauthentification, en tant que premire authentification, mais probablement pas comme seule et unique authentification
pour lensemble du SI. A partir de cet exemple prcis, dautres conceptions de mise en uvre de ces grilles dynamiques
pourraient tre proposes en dissociant la page de connexion de la page daffichage de la grille ou en mutualisant cettepage de grille alatoire pour un ensemble de personnes sy rfrent. Ces diffrentiations dune authentification par grille
restent explorer de manire durcir la scurit qui en rsulte.
7/23/2019 Etat Art SSO
8/11
JRES 2013 - Montpellier 8/11
Page Web
Login
gdupont
Mot de passe
101502
3.5 Authentification par invisible token
Le jeton immatriel et invisible (ou invisible token en anglais)utilise la technologie HTML5 pour gnrer un OTP via
le navigateur partir de plusieurs paramtres et dune fonction cryptographique charge par le navigateur. Parmi les
paramtres figurent notamment une cl chiffre et enregistre, lors de lenrlement du systme, dans larborescence des
fichiers de celui-ci. Cest lutilisation de ce paramtre dans le calcul cryptographique qui permet de raliser
lauthentification quelle soit par dfi-rponse ou gnration de jeton OTP base sur dautres calculs. Il sagit donc dun
enrlement de machine et non de personnes. Cette solution l'avantage d'tre relativement indpendante de la plate-
forme utilise puisquelle utilise la technologie des navigateurs, avec la rserve toutefois de valider la solution pourchaque flotte identifie il sera problmatique de traiter les postes chappant toute matrise. Toutefois, il faut noter
que c'est uniquement la machine (voire mme uniquement le navigateur) qui est authentifie et non l'utilisateur.
3.6 Authentification comportementale
Ces mthodes d'authentification sont bases sur la reconnaissance de schmas propres l'utilisateur. On peut
notamment citer l'analyse de la frappe au clavier ou bien la cohrence des heures et lieux de connexion au systme.
Cette mthode est gnralement considre comme un renforcement dun autre mode dauthentification pralable.
3.7 Authentification par mot de passe
Moyen d'authentification le plus rpandu, le mot de passe n'offre aujourd'hui plus une scurit suffisante. La force d'un
mot de passe est directement lie sa longueur et aux types de caractres utiliss. Les mots de passe considrs srs
sont donc peu pratiques d'utilisation (difficult de mmorisation, longueur de la saisie), ce qui encourage les
comportements pouvant entraner sa compromission. Outre les attaques par recherche exhaustive ou dictionnaire, les
mots de passe sont vulnrables aux mthodes d'ingnierie sociale (phishing) et la saisie de frappe (keylogging) .
Rpondre de la matrise dune base de mot de passe et de son degr de compromission nest pas ais.
3.8 Authentification par identification dlments matriels lis aux supports decommunication
Gnralement associ limage de lADN, lidentification dun grand nombre de caractristiques matrielles des
supports de communication peut fournir les lments ncessaires une authentification renforce. Toutefois, ce
mcanisme requiert linstallation dun module logiciel qui prempte beaucoup dinformation surles supports utiliss et
nauthentifie pas le porteur proprement parl.
7/23/2019 Etat Art SSO
9/11
JRES 2013 - Montpellier 9/11
4 Comparaisons de types dauthentification adquation aux besoinsdes diffrentes communauts professionnelles
4.1 Etudes de cas de solutions industriellessuperposition des radarsLes tudes effectues ont donn lieu la constitution de nombreux radars de manire valuer les (trs) nombreuses
implmentations industrielles des technologies considres. Les graphiques qui suivent visent prsenter certaines
dentre elles. Les solutions industrielles prsentent souvent un panel de plusieurs technologies exposes prcdemment
et sont donc polymorphiques. De manire clarifier la comparaison qui suit, une seule technologie la fois est utilise.
Une liste non exhaustive de solutions tudies estprsente ci aprs, dautres tudes sont en cours:
Famille Description
OTP par tlphone, sms ou message
vocal ou mail
Authentification sur challenge tlphonique : la scurit est apporte par le fait
que c'est toujours le systme qui appelle sur des numros prenregistrs.Avec code pin ou simple confirmation
Multiple (OTP logiciel, OTP phy-
sique installs, etc.)
Authentification par OTP sur divers supports physiques ou logiciels
OTP logiciel / la demande + au-thentification du support
Authentification multiple
OTP visuel Challenge-response : le systme demande certaines lettres d'une rponse enre-
gistre par l'utilisateur, directement sur la page de login ou SMS/email
OTP matriel Token USB sans drivers lecture de code temporaire
Biomtrie Authentification via frappe au clavier plus autres facteurs (adresse IP, heure deconnexion, version du navigateur...)
Carte puce multiservices RFID, OTP, certificats spcifiques (signature, chiffrement, authentification) surle mme support.
Conforme au RGS, prsente tous les services dOTP, de carte puce comme
support pour la signature, lauthentification, le chiffrement, ainsi que la recon-
naissance visuelle (carte agent), lidentification par RFID ou par bande magn-
tique.
Token USB/Certificat Carte puce mono usage sous un seul facteur de forme
Marquage de nombreuses caract-
ristiques des supports physiques des
systmes connects
Identification des quipements lectroniques par une combinaison unique de
facteurs
Grilles Dynamiques Elaboration dun OTP partir dune forme choisie lorigine
Risk-Based/Adaptive Authentication Authentification comportementale base sur les usages statistiques
moyens(horaire de connexion, adresse ip de provenance, usage de la connexion,
etc.)
Parmi les industriels rencontrs figurent NeximsCertificall, RSASecurid, IN-WEBO, Login People - ADN du
Numrique, CA ArcotId, SafeNet GrIDsure / eToken PRO Smart Card, Winfrasoft PINgrid / PINpass /
PINphrase, AuthenWare - Identity Authentication, Google - Google Authenticator, Gemalto, YubicoYubiKey, etc.Loutil dvelopp par PascalColombani et Sofiane Flihpeut tre fourni sur demande et permet dtre enrichi en critres
supplmentaires. Il conduit superposer des radars pour visualiser lcart par rapport un idal recherch et permet de
disposer dun cadre dvaluation commun. Cet outil traduit une mthodologie comparative mise en commun pour
valuer et visualiser les valuations des technologies venir et des implmentations de celles-ci dans le
Ci-dessous un exemple des cas tudier.
7/23/2019 Etat Art SSO
10/11
JRES 2013 - Montpellier 10/11
4.2 Consquences des valuations
Le rsultat de ces tudes montre que les diffrentes technologies dauthentification renforce ne sont pas du tout
quivalentes. Bien plus, elles sadaptent en fait des populations trs cibles aux problmatiques spcifiques quil faut
pralablement avoir bien analyses de manire rpondre aux besoins rels. Lobjectif tant clairement de permettre dereprendre la matrise de la scurit primtrique progressivement et sans modification du parc applicatif, puis dans un
second temps, moyen terme de permettre de converger vers une authentification forte au sens du RGS, tel quil est
dfini aujourdhui. Ltude a galement permis daborder la question de la mise en place de tels bouquets
dauthentification sans perturber lexistant tant sur le plan du parc applicatif que sur le plan des infrastructures
dauthentification dj en place: le fait dadjoindre un accs, annexe ceux existants, muni la fois de ce nouveau type
dauthentification renforce et de la fonction de fdration didentit SAML V2, permet de doter un systme
dinformation dune nouvelle porte dentre dont les proprits de confiance se propagent lensemble de la fdration
sans altrer lexistant, dune manire trs simple.
7/23/2019 Etat Art SSO
11/11
JRES 2013 - Montpellier 11/11
Annexe
Bibliographie
Voir le rapport de stage de Sofiane FLIH sur le sujet de lauthentification renforce et la constitution de loutil
dvaluation qui sera publi en janvier 2014.
Deux articles connexes nous ont t signals durant ltude par Dominique Launay sans que lon ait pu les exploiter
tant donn leur approche diffrente de la problmatique de lauthentification renforcemais galement faute de temps :
- le premier : une valuation comparative de mthodes dauthentification web aborde le thme sous langle
de la maturit technologique de scurit des grandes familles dauthentification renforce, sans orientationsur la constitution de radars ni la prise en compte des aspects darchitecture dintgration. Cet article est
trs labor dans son tude et mrite une lecture approfondie qui reste faire.
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-817.pdf
- Le second concerne une valuation dun produit dun lindustriel par Surfnet qui est lquivalent de RE-
NATER aux Pays-Bas. Au-del du cas prcis de ce produit, cest la mthodologie qui est analyser. Danscet article galement, une tude fouille serait faire pour continuer la prsente tude et lenrichir.
http://www.surfnet.nl/documents/rapport_201105_evaluation_vasco_dp_nano_1_0_0.pdf
Recommended