Ceci n’est pas la tour
Eiffelou l’authentification
forte
vendredi 13 novembre 2009
Qui parle?• Philippe Gamache
• Parler Haut, Interagir Librement : Développement Web, audit de sécurité, formations
• Coauteur du livre Sécurité PHP 5 et MySQL avec Damien Séguy
• Édité chez Eyrolles
• Dédicaces sur demande
vendredi 13 novembre 2009
Je réponds aux questions
vendredi 13 novembre 2009
Agenda
• L’authentification vs l’autorisation
• Les problèmes de l’authentification
• Le système de mots de passe est brisé
• Les solutions
• L’authentification forte
• Des solutions pour toutes les bourses
vendredi 13 novembre 2009
Définitions
vendredi 13 novembre 2009
Définitions• Authentification
• Procédure qui permet de vérifier l'identité d'une entité (personne, ordinateur...) pour autoriser l'accès à des ressources (systèmes, réseaux, applications...).
vendredi 13 novembre 2009
Définitions• Authentification
• Procédure qui permet de vérifier l'identité d'une entité (personne, ordinateur...) pour autoriser l'accès à des ressources (systèmes, réseaux, applications...).
• Autorisation
• Procédure qui permet l'accès à des ressources uniquement aux personnes autorisées à les utiliser.
vendredi 13 novembre 2009
Les problèmes
• Identifier fidèlement l'entité
• Attaque par force brute
• Attaque par dictionnaire
• Écoute du clavier informatique (keylogger)
• Écoute du clavier informatique sans fil
vendredi 13 novembre 2009
Les problèmes
• Identifier fidèlement l'entité
• Écoute du réseau (password sniffer)
• Hameçonnage
• Attaque « homme au milieu»
• Ingénierie sociale
vendredi 13 novembre 2009
Les problèmes
• Identifier le type d'entité
• Humains
• Robots
• Sites, services web ou applications
• Accessibilité
vendredi 13 novembre 2009
Le mot de cpasse• Le facteur humain
• Donnent ses mots de passe à des étrangers sans raison
• 45 % des femmes1
• 10 % des hommes1
• Contre une barre de chocolat
• 64 % des gens
1 Infosec Europe conference 2008
vendredi 13 novembre 2009
Le mot de cpasse
• Chris Nickerson - Exotic Liability #37
vendredi 13 novembre 2009
Le mot de cpasse
• Chris Nickerson - Exotic Liability #37
vendredi 13 novembre 2009
Solutions• Signer le formulaire
• Utiliser un témoin
• Unique par utilisateur et utilisation
sha1($salt . $sessionId . $timestamp)
vendredi 13 novembre 2009
Solutions• CAPTCHA
• Prendre en considération les handicaps
• reCaptcha
http://www.captcha.net/
http://www.recaptcha.net/
vendredi 13 novembre 2009
Identifier fidèlement l'entité
• Utiliser des systèmes d'identifications externes éprouvés
• Humain
• Sites ou applications
vendredi 13 novembre 2009
Identifier fidèlementles humains
• OpenID
• Facebook Connect
http://openid.net/
http://developers.facebook.com/connect.php
vendredi 13 novembre 2009
Identifier les sites, services web ou les applications
• OAuth
• Browser-Based Authentication (BBAuth)
http://oauth.net/
http://developer.yahoo.com/auth/
vendredi 13 novembre 2009
Identifier les sites, services web ou les applications
• AOL Open Authentication API (OpenAuth)
• AuthSub Authentication
http://dev.aol.com/api/openauth
http://code.google.com/apis/accounts/docs/AuthSub.html
vendredi 13 novembre 2009
Identifier fidèlement l'entité
• Utiliser plusieurs facteurs
• Facteur mémoriel : ce qu'il sait
• Facteur physique ou corporel : ce qu'il est
• Facteur réactionnel : ce qu'il sait faire
• Facteur matériel : ce qu'il possède
vendredi 13 novembre 2009
Facteur mémoriel
• Mot de passe
• Numéro d'identification personnel
• Phrase secrète
vendredi 13 novembre 2009
Facteur mémoriel
• Informations personnelles
• Nom de votre mère• Nom de votre premier animal• Votre couleur préférée• Date de naissance• Ville de naissance• Adresse• Numéro de téléphone
vendredi 13 novembre 2009
Facteur physiqueou corporel
• Photo• Caractéristique physique ou biométrie
• Empreinte digitale• Caractéristiques de sa pupille• Rétine• Voix
vendredi 13 novembre 2009
Facteur réactionnel
• Geste
• Signature
vendredi 13 novembre 2009
Facteur matériel• Papiers
d'identification
• Acte de naissance
• Carte grise
• Carte d'identité
• Droit de propriété
• Diplôme
• Passeport
vendredi 13 novembre 2009
Facteur matériel
• Carte à puce, bande magnétique ou RFID
• Certificat électronique
• Témoin de navigateur
vendredi 13 novembre 2009
Facteur matériel
• Mot de passe à usage unique
• Jeton
• Carte
• Papier
vendredi 13 novembre 2009
Facteur matériel
• Clé USB
• Téléphone portable
• PDA
vendredi 13 novembre 2009
Exemples
vendredi 13 novembre 2009
Exemples
• Carte bancaire + NIP
• Certificat électronique et mot de passe
• Nom usager/Mot de passe et mot de passe à usage unique
• Numéro de carte bancaire et calculette
vendredi 13 novembre 2009
Exemples
• PayPal
• Nom d’usager / Mot de passe
• Mot de passe à usage technique
vendredi 13 novembre 2009
Des solutions pour toutes les bourses
vendredi 13 novembre 2009
Perfect Paper Passwords
• Format carte d'affaires
• À imprimer
• Gratuit
• Fonctionne
• Web
• Module PAM
• Login machine
• Login SSH
https://www.grc.com/ppp.htm
vendredi 13 novembre 2009
Perfect Paper Passwords
• Algorithmique
• Aucun serveur ou service
• 16,777,216 mots de passe uniques pour un mot de passe de 4 caractères sur une base de 64 caractères
• Nombre de caractères modifiable
• Longueurs
• Bases
vendredi 13 novembre 2009
Yubikey• Clé USB = Clavier universel
• Identifiant complet et un mot de passe unique
• Entre 4 € et 20 € par usager
• Fonctionne
• Web
• Module PAM
• Login machine
• Login SSHhttp://www.yubico.com/products/yubikey/
vendredi 13 novembre 2009
Yubikey• Utilise un service web
• Validation de la clé et mot de passe à usage unique
• Serveur Yubico
• Serveur personnel (Open Source)
• Peut aussi contenir un mot de passe de 32 caractères (version 2)
tgbvgflvvndijcfhftgnnldhgviktivhdvnekehejcehtgbvgflvvndiknblilkrtbdvflbdhvdvutlblkfuueelcccccccclildcuhrrhneenjbrrbbnikcvhvbgbcbnvhncccccccclildibndgdgihuvdcggthnjrbcujdkujnblv
vendredi 13 novembre 2009
Questions?
• http://www.ph-il.ca
• @SecureSyfony
• http://www.ph-il.ca/en/conferences
• http://www.ph-il.ca/fr/conferences
vendredi 13 novembre 2009
vendredi 13 novembre 2009
Recommended
