-
7/23/2019 Etat Art SSO
1/11
JRES 2013 - Montpellier 1/11
tat de l'art de l'authentification renforce
Dominique ALGLAVESG/STSI/SDITE
61-65 rue Dutot
75015 PARIS
Pascal COLOMBANISG/STSI/SDITE
61-65 rue Dutot
75015 PARIS
Nicolas ROMERO
Ple de comptence Gestion des Identits45000 ORLEANS
Sofiane FLIHSG/STSI
61-65 rue Dutot
75015 PARIS
Rsum
Plusieurs approches diffrentes concourent la scurisation globale
du systme dinformation, et cumulent leursapports respectifs. Ainsi
en est-il du suivi des bonnes pratiques d'une part, de la
clarification du primtre protger
d'autre part et du renforcement du contrle laccs, c'est dire la
premire authentification. En fin de compte, la
question de la scurisation raisonnable, du niveau technologique
suffisant, demeure toujours dterminante, ne serait-ce
quau niveau budgtaire.
Lobjectif de cette tude est justement de couvrir tous les types
dauthentification allant du support cryptographique
physique jusquau mot de passe, en abordant galement les nouveaux
modes dauthentification prsents rcemment
dans loffre industrielle, tels que les grilles dynamiques , les
jetons invisibles ou les analyses comp ortementales,
afin de permettre une comparaison de ces types aprs avoir dgag
des critres de comparaison communs.
La partie mthodologique vise exposer les critres et leur
pertinence ainsi que leurs limites, tandis que les
paragraphes relatifs aux rsultats permettent la fois de disposer
dune description de la technologie en question, puis
d'une caractrisation sous forme de notation par critres mais
aussi sous forme de radar. Enfin, ce dernier aspect
dbouche sur des comparaisons entre ces diffrentes techniques,
leurs forces relatives, leurs faiblesses relatives et leur
adaptabilit telle population du ministre plutt qu telle
autre.
Ce travail concerne aussi les quipes de dveloppement puisque ce
tour dhorizon permet de dgager des concepts
innovants dont certains sont partiels et pourraient initier
dautres dveloppements libres de droit dont limplmentation
matrise aurait un cot trs faible.
Loutil de constitution des radars sera mis disposition ds les
JRES 2013.
Mots-clefsAuthentification forte, authentification faible,
PKI,gestion des identits, vol didentits, gestion de risques,
fdration
didentit, SSO.
https://conf-ng.jres.org/2013/user_247.htmlhttps://conf-ng.jres.org/2013/user_247.htmlhttps://conf-ng.jres.org/2013/user_247.htmlhttps://conf-ng.jres.org/2013/user_247.html
-
7/23/2019 Etat Art SSO
2/11
JRES 2013 - Montpellier 2/11
1 Introduction
Dans les systmes dinformation intgrant toutes les briques
technologiques ltat de lart, telle s que la fdration
didentit, lauthentification unique (SSO), la faiblesse de
lauthentification initiale se propage lensemble du domaine
ainsi fdr. De mme la force de lauthentification initiale se
propage lensemble du primtre fdr dans la mesure
o le rseau fdr est lui aussi scuris de manire adquate. Le
renforcement de lauthentification du primtre du
systme dinformation est donc un enjeu de premier ordre.
Cependant, mettre en uvre ce renforcement nest passimple : il
requiert de minimiser les changements darchitectures pour viter des
congestions laccs du systme
dinformation; il demande de modifier les habitudes de lensemble
des usagers des applications ; il suppose un cot
variable mais rcurrent et couramment exorbitant par rapport aux
capacits de budget de la scurit informatique. Si
bien que les points dachoppements des projets utilisant la
cryptographie ne sont plus de lordre de la matrise thorique
ou des applications dveloppes mais bien de la mise en u vre
globale intgrant tous les facteurs du dploiement.
Lauthentification forte utilise deux facteurs non lis parmi les
trois de nature distinctes couramment prsents par ce
que je suis, ce que je possde, ce que je sais, alors que
lauthentification renforce recouvre lutilisation de deux
facteurs lis parmi ces trois et prsente de nombreux avantages de
lordre de la facilit du dploiement ou du cot ou de
la convivialit.
Etant donn que lamlioration de lauthentification laccs est une
tape cl du renforcement de la scurit de
lensemble du systme dinformation par le biais des outils de la
fdration didentit ou de lauthentification unique, il
convient de lever les derniers obstacles qui sy opposent. La
seule certitude en la matire est que lusage du mot de
passe statique comme validation de lidentit laccs est aujourdhui
un facteur de risque. Mais il est ncessaire de
faire linventaire des paramtres dvaluation des techniques
alternatives. La caractrisation des mcanismes
dauthentification permettra ainsi de dfinir les tapes des
dploiements intermdiaires vers une gnralisation de
lauthentification forte dans le futur.
Si les acteurs du systme dinformation sont par ailleurs issus de
populations htrognes, alors la dfinition de classes
homognes des modes dauthentification renforce est essentielle la
russite de lentreprise dam lioration du niveau
de scurit. Le rsultat conduira alors disposer dun bouquet
dauthentificationsuivant les familles de population, dont
les solutions dauthentification forte feront partie et resteront
lobjectif moyen terme.
Il sagit en consquence de doter les ministres dun outil capable
dviter des erreurs de parcours en choisissant des
solutions dauthentification en inadquation avec les besoins
rels. Lobjectif pour aujourdhui est donc : qualifier les
diffrentes technologies puis les diffrents produits
dauthentification disponibles sur le march, afin de faciliter
leurs
mises en uvre ventuelles tant du point de vue des usages que de
leur intgration dans les infrastructures existantes. Le
cas chant, dautres solutions spcifiques peuvent tre labores
partir de la prise en compte des lacunes des
solutions commerciales et permettre ainsi linstitution de
disposer faible cot de solutions techniques bien adaptes.
2 Mthodologielaboration des critres
2.1 Constitution de critres dvaluations des technologies
Etant donn la diversit des solutions proposes sur le march
depuis trois ans, il est complexe de prsenter une grille
danalyse fiable apte honorer les avantages sans omettre les
inconvnients. Il convient donc dtablir une liste de
critres en pralable pour couvrir les grandes problmatiques
communes aux diffrentes communauts constituant le
ministre, puis dvaluer les types de technologie au regards de
ces critres et enfin de montrer les principaux traits
issus des choix de certains produits industriels combinant
plusieurs technologies. En rsultat collatral de cette tude, il
sera possible deffectuer des comparaisons et ventuellement de
concevoir des types technologiques nouveaux
rpondant mieux encore aux besoins spcifiques du ministre.
2.2 Explication des critres et justification de leur
pertinence
La classification des critres part du principe dun dcoupage par
domaine dvaluation regroupant des sous critres
issus de questions prcises. Lexplication de ces derniers vient
ci-aprs et demeure une approche subjective.1. Domaine relatif la
typologie de lauthentification
-
7/23/2019 Etat Art SSO
3/11
JRES 2013 - Montpellier 3/11
Lobjectif de cet aspect de la caractrisation vise situer le plus
clairement possible le mode dauthentification par
rapport aux critres habituellement connus et rfrencs dans les
tudes classiques de lauthentification. Etant donn
lmergence de nouveaux types, il faut revenir aux fondements de
la classification base sur le facteur de forme
physique ou non, sur le partage de secret ou non ainsi que
dautres paramtres permettant de les situer comparative-
ment. Plus la technologie sera forte, plus la note sera
valorise.
On distingue dans ce domaine la valorisation des critres
suivants :
- La famille dappartenance couvrant les possibilits suivantes:
simple login et mot de passe, login et mot
de passe + Captcha, OTP Matriel, OTP Logiciel, OTP la demande,
grille dynamique, authentificationenvironnementale,
authentification par le risque, authentification
comportementale,par lusage de la bio-
mtrie, et plus classiquement par les certificats.
- Ds lors, on peut affecter une qualification de faible trs
forte en nuanant par des valuations interm-
diaires en fonction des risques identifis ou constats. Le
qualificatif de trs fort tant rserv
lauthentification par certificat sur support cryptographique
physique qualifipar les organismes habilits
en France dans la mesure o la matrise complte des
infrastructures et des oprateurs est galement assu-
re (Le cas des compromissions dautorits denregistrement de
COMODO montre que cette matrise des
oprateurs et des infrastructures fait partie de lvaluation de
loffre de scurit) . Viennent ensuite les solu-
tions dOTP avec support cryptographique physique qui prsentent
la vulnrabilit de la centralisation des
secrets partags dans un support qui peut ne pas tre fort et qui
est vulnrable des attaques internes mul-
tiples ou des pannes potentielles mettant en dfaut le
fonctionnement de lauthentification. A lextrme
vient le mot de passe simple sans politique de renforcement. Au
cas par cas, il est possible de noter chaque
technologie en relatif par rapport aux deux extrmes.
- De manire complter le critre prcdent, le nombre de facteurs
est ajout ltude pour prciser le pr-
cdent et donner une indication qui reste dcisive dans lusage
tant par les questions de dploiement que
dattaque potentielle.
- La volont de sinscrire durablement dans la dmarche de lANSSI
implique de prciser si le produit cou-
vert par le type dauthentification tudi a t qualifi ou sil entre
dans une catgorie du Rfrentiel Gn-
ral de la Scurit.
La typologie de lauthentification permet aux spcialistes de
situer demble les difficults prvisibles dans la mise
en uvre ou lacceptation des produits qui sy rattache.
2. Domaine relatif ladhrence vis--vis des technologies
choisies
Le but de ce second domaine vise souligner le degr dadhrence
technique de certaines solutions vis--vis de tout
support. Ce groupe de critres vise dceler dventuels cots cachs
dans le dploiement, la maintenance, mais
galement identifier une capacit relle ou au contraire une
incapacit de raction par rapport un incident techno-
logique majeur. Autrement dit, mme si dans les critres prcdents
le fait quil y ait un support physique apporte un
avantage en matire de scurit, si la robustesse de lensemble est
mise mal alors le support physique devient une
contrainte forte pour la reprise dactivit scurise. Il sagit de
mesurer la capacit de rsilience. Donc, plus
ladhrence sera forte, plus la note sera dvalorise:
- La technologie est-elle base sur un support cryptographique
physique, quel quil soit ?
- Est-elle utilisable sur un poste en libre-service sans avoir
le personnaliser de manire spcifique ?
-
Y-a-t-il une installation dun pilote logiciel spcifique et dans
ce cas, peut-on disposer du support pourtous les type dOS (y
compris pour les tablettes) et tous les types de matriel plus
pauvres en connectique ?
3. Domaine relatif la protection du secret
Les paramtres de ce troisime domaine visent mettre en exergue un
groupe dvnements redouts et leur proba-
bilit associe. Cet aspect plus prcis de lanalyse de risque,
faite exclusivement sur la scurisation primtrique re-
posant encore massivement sur lauthentification par mot de
passe,traduit une focalisation technique : il sagit de la
sensibilit au vol du secret, et plus particulirement lorsquil
est fait linsu du porteur. Le fait de focaliser sur ce
risque vise tablir les authentifications renforces comme tape
intermdiaire possible vers lauthentification forte
rfrence dans le RGS. Reste en voir les nuances et en accepter ou
non les risques rsiduels selon les besoins.
La protection du secret est note de plus en plus favorablement
selon quelle permet de:
-
Rsister au vol didentifiant par phishing ou key logger ou encore
par observation rpte- Echapper au vol par interception
-
7/23/2019 Etat Art SSO
4/11
JRES 2013 - Montpellier 4/11
- Et surtout de reprendre une activit de manire sre aprs attaque
massive du systme de scurit ; il sagit
de mettre en valeur la rsilience intrinsque dune mthode
dauthentification en cas de constat de la perte
du secret
4. Domaine relatif au cot
Par ce quatrime domaine, ltude entend prendre en compte les cots
dinfrastructure et de dploiement initial ainsi
que les cots unitaires pour un porteur dauthentification. Par
ailleurs, le cot de maintenance annuelle est aussi prisen compte.
La prcision de ces critres est difficile obtenir sans avoir lanc un
appel doffre.
5. Domaine relatif lintgration
Lintgration dun projet dauthentification dans la globalit du
systme dinformation - au sens du systme qui
porte la donne - est essentielle sa bonne russite. Afin de
traduire concrtement ces termes il faut prendre en
compte dune part lintgration techniquegrce aux critres suivants
:
- Laisance de lintgration dans linfrastructure existante et en
particulier dans linfrastructure
dauthentification et de fdration didentit, notamment par la
compatibilit du modle bas sur CAS,
Shibboleth, ou larchitecture de RSA (FIM, Authentication
Manager, Access Manager)
- Lindpendance par rapport certaines technologies propritaires
et la capacit inter oprer avec tous les
rfrences issues des normes ou des solutions industrielles
rpandues (SAML, LDAP, RADIUS pour les
premires, AD, pour les secondes, etc.)
- La capacit passer dans un mode industriel rparti dans les
infrastructures des ministres. Il est vis par
ce critre lindpendance par rapport un modle en cloud computing,
autant que laptitude avre du
support industriel corriger dventuels bugs par la maintenance
logicielle ou lintervention par des
correctifs en urgence. De mme, la possibilit mettre en uvre une
solution de haute disponibilit
ventuellement sur plusieurs sites demeure un aspect
indispensable pour la continuit dactivit.
- Lindpendance vis--vis dune connexion Internet ou de laccs un
centre de donnes par Internet ainsi
que la couverture gographique (DOM/TOM/COM/URB/RUR) si toutefois
le mode de connexiondpendait dune communication tlphonique.
Dautre part, la notion dintgration vise galement lvaluation du
niveau dintgration fonctionnelle dans les
limites suivantes :
- Le degr dacceptation et de rception, voire dadhsion du point
de vue fonctionnelau sens de la fonction
rendue aux utilisateurs. Il sagit donc dtudier lacceptation de
la part des diffrents agents (du premier
degr, du second degr, des agents administratifs ou de
laboratoires, mais galement des tudiants, des
lycens, des collgiens ainsi que de leurs parents pour dautres
usages potentiels). Lavis des matrises
douvrages est dans ce sens dterminant.
- Laisance du dploiement en matire dorganisation des remises,
par les autorits locales denregistrement
ou par des dlgations de pouvoir, des paramtres de comptes et
dauthentification. Le support physiquerequiert ici plus de
procdures et apporte des contraintes fortes ds quil sagit de grands
nombres rpartis
sur un territoire large. De mme, pour une mme technologie, si
plusieurs lments secrets sont
configurer, installer ou transmettre, la difficult apparat
croissante. De plus, les documents de politique
daccrditation qui ouvrent une homologation vis--vis du RGS sont
dautant plus complexes laborer.
En ce qui concerne ladaptabilit aux situations rencontres, les
technologies apparaissent trs diffrentes
les unes des autres.
- Enfin, du point de vue de lutilisateur, lvaluation de
lutilisabilit ou de la facilit demploi dune
manire intuitive permet de donner une note de convivialit dans
cette phase dinsertion dans le systme
dinformation au sens le plus large.
6.
Domaine relatif la prennit globale
-
7/23/2019 Etat Art SSO
5/11
JRES 2013 - Montpellier 5/11
Linvestissement dans un renforcement de lauthentification
ncessite dvaluer le temps dusage minimal possible
de la technologie ainsi mise en place, ne serait-ce quen raison
du cot pcuniaire et humain quil recouvre. Les
critres associs sont les suivants :
- La prennit de la ou des organisations (socits industrielles,
groupes de travail, comit de normalisation)
qui promeuvent le systme dauthentification. Si le produit est
trs innovant et peu partag, il convient
dvaluer sa disponibilit dans la gamme ou dans loffre des socits
qui le dveloppent, ainsi que les
questions de maintenance associes aux diffrents modules,
permettant ainsi de garantir les corrections debugs ou dattaques
ventuels.
- De mme, la question de maintenance peut tre renforce par une
conformit stricte une norme ou une
interoprabilit de plusieurs constructeurs.
2.3 Processus de comparaison des types dauthentification par
laboration deRADARS
La comparaison de plusieurs types de technologie et in fine de
plusieurs produits industriels est rendue possible par la
mise au point des critres prcdemment tudis. Toutefois, cet
objectif de vouloir mettre en relief les avantages de
certains types par rapport dautres appelle des remarques et
demande des prcautions dusage.
En effet, les critres tant dfinis en dbut de processus, la porte
de ltude nest relle que dans la mesure o cescritres sont pleinement
partags, pertinents et rels sur lensemble des technologies ainsi
que dans les conclusions de
ltude. Il nest donc pas possible den changer en cours dtude ni
den ajouter pour certaines technologies au risque de
ne rien comparer.
Ds lors, la prise en compte de la spcificit des besoins pour tel
groupe dutilisateurs demande affiner lapproche des
critres. Cette approche doit tre faite de manire uniforme pour
ce groupe sans modifier la liste des critres de
lensemble de ltude et sans modifier lvaluation de lapport
fonctionnel selon ces critres. Autrement dit, telle
technologie dispose de tel avantage selon un critre prcis mis en
exergue, et quel que soit la communaut qui lutili se,
cet avantage demeure considr comme tel, y compris par rapport
toutes les autres technologies. La prise en compte
de laspect spcifique des besoins du groupe dutilisateurs considr
se manifeste donc par un autre biais qui est la
pondration relative des critres dans le contexte dusage de ces
technologies pour cette communaut prcise ; ces
pondrations demeurent fixes pour toute ltude ddie ces types
dusage et seront ventuellement diffrentes pour un
autre type dusage. Ainsi la forme desradars peut varier dune
tude contextualise une autre.
Enfin, le choix dusage dune technologie par rapport une autre
sera plus vident pour une mme communaut
professionnelle si une pondration des critres a t labore pour
cette population sur le primtre de ltude en
fonction des risques identifis pour le systme dinformation
considr.
3 Relev des caractristiques distinctives des types
dauthentificationtudis
Loffre industrielle sest toffe depuis trois ans tant en nombre
dindustriels prsents sur ce nouveau march quen
types de technologies. Un dcoupage de cette typologie est prsent
ci-dessous avec une brve description pour chacun
des types dans ce quils ont de plus significatif du point de vue
de cette tude comparative.
3.1 Authentification forte par certificat sur support
cryptographique physique
Lauthentification par certificat dont le bi-cls est tir sur le
support cryptographique physique, quel que soit le facteur
de forme et avec les procdures de remise en face face, est de
loin celui qui donne le plus de garanties
dauthentification mais il prsente la difficult de dploiement sur
une population nombreuse et primtre gographique
tendu. Par ailleurs, il demande un dploiement sur les postes
(pilote de la carte puce) et reprsente un investissement
financier plus lev. Il peut permettre dtre conforme au RGS si le
produit de support est qualifi. Parmi les points
forts, il faut noter la possibilit de raliser les oprations
cryptographiques (dont lauthentifica tion du systme
dexploitation du poste, la signature ou le chiffrement) en mode
dconnect (sans OCSP dans ces cas).
-
7/23/2019 Etat Art SSO
6/11
JRES 2013 - Montpellier 6/11
3.2 Authentification forte par certificat dans un magasin
cryptographique nonphysique
Par contre, lauthentification par certificat dont le bi -cls est
tir sur le support cryptographique non physique, dans un
magasin cryptographique logiciel mme avec les procdures de
remise en face face, ne donne pas les mmes garanties
dauthentification et demande une tude de qualification prvue par
le RGS notamment pour les certificats une toile.
Par exemple, les magasins cryptographiques de Microsoft pour les
systmes dexploitation depuis XP ont fait lobjet
darticles dans la presse spcialisede manire illustrer la
possibilit dextraire les bi-cls et les certificats linsu de
leur porteur. Des outils logiciels ont t diffuss depuis (voir le
n MISC n66 Mars Avril 2013Utilisation avance
de Mimikatzp.8 et suivantes). Ds lors, les mcanismes de
rvocation (CRL ou mme OCSP) sont eux aussi mis en
chec et aucune autre protection ne pourrait contribuer empcher
lusage de ce certificat drob. Limpact de cette
menace est donc trs lev. Une manire de renforcer ce service
dauthentification peut tre de le coupler avec un
lment secret squestr en base centralise et de rendre lusage du
certificat plus robuste, aprs interrogation par un
client logiciel de la base en question. Mais alors, la dpendance
vis--vis des pilotes logiciels ainsi que de la connexion
vient contrebalancer le gain en scurit.
3.3 Authentification par gnration dauthentifiant partir dun
secret partag sursupport cryptographique physique ou logiciel sur
un support tiers
Lauthentification par gestion dun secret cryptographique partag
entre le porteur et la base centralise permet de
dployer lusage dauthentification par mot de passe usage unique,
bien connue sous le nom dOTP (pour One Time
Password). Plusieurs implmentations du gnrateur de mot de passe
sont envisageables, les unes par logiciel, dautres
par matriel offrant des capacits variables de rsistance au
vol.
Par rapport linfrastructure de gestion de cls publiques,
linfrastructure de gestion de cl prives souffre de plusieurs
inconvnients qui sont inhrents la centralisation du secret : le
service dauthentification dpend dun point unique de
dfaillance (SPOF), qui mme sil est rpliqu demande tre synchronis
de manire fine quant la base de temps et
la base des comptes. Lautre point marquant rside dans la
protection de ces secrets ou des squestres qui peut tre
lacunaire (attaque du serveur central ou attaque de la base de
recouvrement chez le tiers de confiance dot de celle-ci).
Dans les deux cas, des renforcements sont possibles mais des
exemples rcents ont montr que lors dune dfaillance de
grande ampleur1
, la rsilience est difficilement compatible avec le renforcement
de la scurit. En effet, pour permettrele second, il est courant de
mettre en uvre des supports cryptographiques physiques effectuant
la gnration des mots
de passe usage unique et dtre ainsi dot des attributs de
lauthentification forte. De surcroit, il sagit bien dans ce cas
de lauthentification du porteur du token, qui doit par ailleurs
connatre le code pin. Mais, en cas de compromission
massive, la gestion de ceux-ci demande le retour en usine pour
un changement des secrets embarqus ce qui est
coteux en temps, en moyen, en personneet la rsilience est ainsi
mise en doute.
Parmi les mthodes rcemment apparues au titre de
lauthentification renforce, la possibilit de disposer de
logiciels
OTP embarqus sur des supports mobiles pourrait permettre de
pallier tous ces inconvnients et permettrait de demeurer
dans le groupe de lauthentification forte au regard des trois
critres (ce que je sais, ce que je possde, ce que de
connais), bien que la scurit dun support mobile ait t mise en
cause de multiples reprises ces dernires annes.
Reste pourtant la difficult dunifier une flotte de mobiles pour
une population nombreuse. Cet aspect, qui relve dun
autre volet de la gestion du systme dinformation, nest pas
encore optimis dun point de vue technique et
conomique. Si le support mobile est dune origine externe au
primtre du systme dinformation professionnel, la
matrise est encore moins assure.
Dautres technologies mergentes relevant du secret partag sont
apparues rcemment et offre un traitement diffrenti
de ces dsagrments. Toutefois, le niveau de scurit en est
amoindri. Elles sont dcrites ci-aprs.
3.4 Authentification par grille
Ce moyen d'authentification peut tre divis en deux parties :
d'une part une grille de caractres (gnralement des
chiffres) gnre alatoirement, d'autre part un schma secret choisi
par l'utilisateur qui reprsente une suite de position
sur la grille. En superposant le schma la grille, on obtient une
suite de caractres qui fait office d'OTP. Dans ce cas,
la capture du mot de passe usage unique nest daucun effet sur la
scurit comme pour lOTP en gnral. Aucun
1
http://www.usinenouvelle.com/article/contre-le-piratage-rsa-va-remplacer-ses-cles-securid.N153386
http://www.usinenouvelle.com/article/contre-le-piratage-rsa-va-remplacer-ses-cles-securid.N153386http://www.usinenouvelle.com/article/contre-le-piratage-rsa-va-remplacer-ses-cles-securid.N153386http://www.usinenouvelle.com/article/contre-le-piratage-rsa-va-remplacer-ses-cles-securid.N153386
-
7/23/2019 Etat Art SSO
7/11
JRES 2013 - Montpellier 7/11
support matriel ni logiciel nest dployer.De mme le partage de
postes est possible sans surcot et la rsilience est
leve puisque le changement dalgorithme peut tre effectu de
manire centralise. Alors que lintgration
fonctionnelle est similaire celle des autres technologies,
lintgration te chnique est dpendante du degr
dindustrialisation des fournisseurs. Il sagit donc bien dune
authentification du porteur et non de celle de la machine
ou du support dlivrant le mot de passe usage unique. Par contre,
lobservation rpte peut mettre mal cette
technologie si toutefois ce facteur na pas t pris en compte ds
la conception.
Ci-dessous le principe de choix de la grille par lutilisateur
Georges Dupont:
1 Schma secret 2 Grille alatoire
101502
3 OTP gnr
Et son utilisation lors de la connexion une application web ;
dans un premier temps, le fait de donner le login
gdupont permet la base dauthentification de proposer une grille
dynamique affecte ce loginprcis :
Page Web
Login
gdupont
Mot de passe
Dans un second temps, la lecture des codes, avec pour masque la
grille initialement fixe, permet de taper le code dans
le champ mot de passe, comme lindique le schma ci-dessous. Il
sen suitque des observations rptes pourraient
mettre mal la grille choisie. Ds lors, cette proposition
dauthentification pourrait convenir un renforcement de
lauthentification, en tant que premire authentification, mais
probablement pas comme seule et unique authentification
pour lensemble du SI. A partir de cet exemple prcis, dautres
conceptions de mise en uvre de ces grilles dynamiques
pourraient tre proposes en dissociant la page de connexion de la
page daffichage de la grille ou en mutualisant cettepage de grille
alatoire pour un ensemble de personnes sy rfrent. Ces
diffrentiations dune authentification par grille
restent explorer de manire durcir la scurit qui en rsulte.
-
7/23/2019 Etat Art SSO
8/11
JRES 2013 - Montpellier 8/11
Page Web
Login
gdupont
Mot de passe
101502
3.5 Authentification par invisible token
Le jeton immatriel et invisible (ou invisible token en
anglais)utilise la technologie HTML5 pour gnrer un OTP via
le navigateur partir de plusieurs paramtres et dune fonction
cryptographique charge par le navigateur. Parmi les
paramtres figurent notamment une cl chiffre et enregistre, lors
de lenrlement du systme, dans larborescence des
fichiers de celui-ci. Cest lutilisation de ce paramtre dans le
calcul cryptographique qui permet de raliser
lauthentification quelle soit par dfi-rponse ou gnration de
jeton OTP base sur dautres calculs. Il sagit donc dun
enrlement de machine et non de personnes. Cette solution
l'avantage d'tre relativement indpendante de la plate-
forme utilise puisquelle utilise la technologie des navigateurs,
avec la rserve toutefois de valider la solution pourchaque flotte
identifie il sera problmatique de traiter les postes chappant toute
matrise. Toutefois, il faut noter
que c'est uniquement la machine (voire mme uniquement le
navigateur) qui est authentifie et non l'utilisateur.
3.6 Authentification comportementale
Ces mthodes d'authentification sont bases sur la reconnaissance
de schmas propres l'utilisateur. On peut
notamment citer l'analyse de la frappe au clavier ou bien la
cohrence des heures et lieux de connexion au systme.
Cette mthode est gnralement considre comme un renforcement dun
autre mode dauthentification pralable.
3.7 Authentification par mot de passe
Moyen d'authentification le plus rpandu, le mot de passe n'offre
aujourd'hui plus une scurit suffisante. La force d'un
mot de passe est directement lie sa longueur et aux types de
caractres utiliss. Les mots de passe considrs srs
sont donc peu pratiques d'utilisation (difficult de mmorisation,
longueur de la saisie), ce qui encourage les
comportements pouvant entraner sa compromission. Outre les
attaques par recherche exhaustive ou dictionnaire, les
mots de passe sont vulnrables aux mthodes d'ingnierie sociale
(phishing) et la saisie de frappe (keylogging) .
Rpondre de la matrise dune base de mot de passe et de son degr
de compromission nest pas ais.
3.8 Authentification par identification dlments matriels lis aux
supports decommunication
Gnralement associ limage de lADN, lidentification dun grand
nombre de caractristiques matrielles des
supports de communication peut fournir les lments ncessaires une
authentification renforce. Toutefois, ce
mcanisme requiert linstallation dun module logiciel qui prempte
beaucoup dinformation surles supports utiliss et
nauthentifie pas le porteur proprement parl.
-
7/23/2019 Etat Art SSO
9/11
JRES 2013 - Montpellier 9/11
4 Comparaisons de types dauthentification adquation aux
besoinsdes diffrentes communauts professionnelles
4.1 Etudes de cas de solutions industriellessuperposition des
radarsLes tudes effectues ont donn lieu la constitution de nombreux
radars de manire valuer les (trs) nombreuses
implmentations industrielles des technologies considres. Les
graphiques qui suivent visent prsenter certaines
dentre elles. Les solutions industrielles prsentent souvent un
panel de plusieurs technologies exposes prcdemment
et sont donc polymorphiques. De manire clarifier la comparaison
qui suit, une seule technologie la fois est utilise.
Une liste non exhaustive de solutions tudies estprsente ci aprs,
dautres tudes sont en cours:
Famille Description
OTP par tlphone, sms ou message
vocal ou mail
Authentification sur challenge tlphonique : la scurit est
apporte par le fait
que c'est toujours le systme qui appelle sur des numros
prenregistrs.Avec code pin ou simple confirmation
Multiple (OTP logiciel, OTP phy-
sique installs, etc.)
Authentification par OTP sur divers supports physiques ou
logiciels
OTP logiciel / la demande + au-thentification du support
Authentification multiple
OTP visuel Challenge-response : le systme demande certaines
lettres d'une rponse enre-
gistre par l'utilisateur, directement sur la page de login ou
SMS/email
OTP matriel Token USB sans drivers lecture de code
temporaire
Biomtrie Authentification via frappe au clavier plus autres
facteurs (adresse IP, heure deconnexion, version du
navigateur...)
Carte puce multiservices RFID, OTP, certificats spcifiques
(signature, chiffrement, authentification) surle mme support.
Conforme au RGS, prsente tous les services dOTP, de carte puce
comme
support pour la signature, lauthentification, le chiffrement,
ainsi que la recon-
naissance visuelle (carte agent), lidentification par RFID ou
par bande magn-
tique.
Token USB/Certificat Carte puce mono usage sous un seul facteur
de forme
Marquage de nombreuses caract-
ristiques des supports physiques des
systmes connects
Identification des quipements lectroniques par une combinaison
unique de
facteurs
Grilles Dynamiques Elaboration dun OTP partir dune forme choisie
lorigine
Risk-Based/Adaptive Authentication Authentification
comportementale base sur les usages statistiques
moyens(horaire de connexion, adresse ip de provenance, usage de
la connexion,
etc.)
Parmi les industriels rencontrs figurent NeximsCertificall,
RSASecurid, IN-WEBO, Login People - ADN du
Numrique, CA ArcotId, SafeNet GrIDsure / eToken PRO Smart Card,
Winfrasoft PINgrid / PINpass /
PINphrase, AuthenWare - Identity Authentication, Google - Google
Authenticator, Gemalto, YubicoYubiKey, etc.Loutil dvelopp par
PascalColombani et Sofiane Flihpeut tre fourni sur demande et
permet dtre enrichi en critres
supplmentaires. Il conduit superposer des radars pour visualiser
lcart par rapport un idal recherch et permet de
disposer dun cadre dvaluation commun. Cet outil traduit une
mthodologie comparative mise en commun pour
valuer et visualiser les valuations des technologies venir et
des implmentations de celles-ci dans le
Ci-dessous un exemple des cas tudier.
-
7/23/2019 Etat Art SSO
10/11
JRES 2013 - Montpellier 10/11
4.2 Consquences des valuations
Le rsultat de ces tudes montre que les diffrentes technologies
dauthentification renforce ne sont pas du tout
quivalentes. Bien plus, elles sadaptent en fait des populations
trs cibles aux problmatiques spcifiques quil faut
pralablement avoir bien analyses de manire rpondre aux besoins
rels. Lobjectif tant clairement de permettre dereprendre la matrise
de la scurit primtrique progressivement et sans modification du
parc applicatif, puis dans un
second temps, moyen terme de permettre de converger vers une
authentification forte au sens du RGS, tel quil est
dfini aujourdhui. Ltude a galement permis daborder la question
de la mise en place de tels bouquets
dauthentification sans perturber lexistant tant sur le plan du
parc applicatif que sur le plan des infrastructures
dauthentification dj en place: le fait dadjoindre un accs,
annexe ceux existants, muni la fois de ce nouveau type
dauthentification renforce et de la fonction de fdration
didentit SAML V2, permet de doter un systme
dinformation dune nouvelle porte dentre dont les proprits de
confiance se propagent lensemble de la fdration
sans altrer lexistant, dune manire trs simple.
-
7/23/2019 Etat Art SSO
11/11
JRES 2013 - Montpellier 11/11
Annexe
Bibliographie
Voir le rapport de stage de Sofiane FLIH sur le sujet de
lauthentification renforce et la constitution de loutil
dvaluation qui sera publi en janvier 2014.
Deux articles connexes nous ont t signals durant ltude par
Dominique Launay sans que lon ait pu les exploiter
tant donn leur approche diffrente de la problmatique de
lauthentification renforcemais galement faute de temps :
- le premier : une valuation comparative de mthodes
dauthentification web aborde le thme sous langle
de la maturit technologique de scurit des grandes familles
dauthentification renforce, sans orientationsur la constitution de
radars ni la prise en compte des aspects darchitecture dintgration.
Cet article est
trs labor dans son tude et mrite une lecture approfondie qui
reste faire.
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-817.pdf
- Le second concerne une valuation dun produit dun lindustriel
par Surfnet qui est lquivalent de RE-
NATER aux Pays-Bas. Au-del du cas prcis de ce produit, cest la
mthodologie qui est analyser. Danscet article galement, une tude
fouille serait faire pour continuer la prsente tude et
lenrichir.
http://www.surfnet.nl/documents/rapport_201105_evaluation_vasco_dp_nano_1_0_0.pdf
