Accroître la confiance dans les personnes et les machines qui se

connectent à votre réseau d’entreprise

26/06/2014 www.AliceAndBob.fr 1

L’authentification sur un réseau par certificat électronique

• Le certificat électronique permet de valider que l’utilisateur ou la machine sont bien qui ils prétendent être et de leur donner accès ou pas

• Il est installé sur les machines de l’utilisateur • Ces certificats électroniques sont similaires aux

certificats SSL et aux certificats utilisés pour signer des documents ou emails

• Ils peuvent être couplés avec d’autres moyens d’authentification tels que le login / mot de passe ou d’authentification forte.

26/06/2014 www.AliceAndBob.fr 2

Mise en œuvre

• L’administrateur génère et alloue des certificats électroniques à partir d’un portail tel que celui de DigiCert (Managed PKI)

• L’administrateur configure son Active Directory (AD) ou son LDAP pour allouer ces certificats aux différentes personnes et machines

• Il importe les différents certificats dans son AD ou LDAP

• Il configure ses systèmes de sécurité en fonction

26/06/2014 www.AliceAndBob.fr 3

Authentification mutuelle

• Lorsqu’une personne se connecte avec une machine au réseau, le certificat de la machine et celui de l’utilisateur sont vérifiés par le serveur du réseau afin de s’assurer que c’est la bonne personne et qu’elle en a bien les droits

• L’ordinateur de l’utilisateur vérifie également de son côté qu’il se connecte bien au bon réseau et aux bons serveurs en utilisant également un certificat électronique

26/06/2014 www.AliceAndBob.fr 4

Transparent pour l’utilisateur

• Contrairement à d’autres solutions, cette approche permet d’accroître la confiance et la sécurité sans créer une étape supplémentaire ou de la complexité pour l’utilisateur.

• Ceci est important car c’est le point numéro 1 que reprochent les utilisateurs aux solutions d’authentifications fortes

• Cette solution peut être combinée avec d’autres solutions d’authentification forte

26/06/2014 www.AliceAndBob.fr 5

Les clés matérielles One Time Password

• Un objet physique que doivent porter avec eux les utilisateurs ou une application installée sur un Smartphone.

• Une code généré par cet objet et que l’utilisateur doit saisir pour se connecter au réseau, une application ou un site web (Extranet, Intranet par exemple).

• Compliqué quand on doit se connecter à partir de son SmartPhone. L’utilisateur doit jongler un peu.

• La gestion des objets physiques est complexe pour l’organisation (logistique, gestion des pertes, etc.)

26/06/2014 www.AliceAndBob.fr 6

Le SMS One Time Password

• Un code unique utilisable une fois dans un court délais de temps est envoyé sur le téléphone portable

• Il faut saisir ce code pour accéder au réseau • Contraignant pour les utilisateurs. Nécessite

d’avoir un portable chargé et que le réseau soit bon

26/06/2014 www.AliceAndBob.fr 7

Les SmartCard ou Clés matérielles avec certificat électronique

• Un certificat électronique est injecté sur une SmartCard, une clé USB cryptographique, ou un Token.

• C’est une des formes les plus sûres d’authentification. • Ces solutions sont coûteuses et requièrent d’avoir un

objet avec soi. • Il est parfois impossible de se connecter à un

Smartphone, une tablette ou un ordinateur sécurisé qui ne possède pas de port USB.

• La gestion des objets physiques est complexe pour l’organisation (logistique, gestion des pertes, etc.)

26/06/2014 www.AliceAndBob.fr 8

Les solutions biométriques

• Validation de votre empreinte digitale, votre iris, votre signature manuscrite, etc.

• Nécessite des capteurs dédiés • Les capteurs ne sont pas toujours très précis • En général l’utilisateur ne souhaite pas partager

ses informations biométriques • Pose des problèmes de CNIL • Une fois vos données biométriques capturées

vous êtes mis à risque pour toujours

26/06/2014 www.AliceAndBob.fr 9

Conclusion

• L’authentification par certificat combinée ou pas avec d’autres méthodes est une solution élégante pour accroître la sécurité des accès au réseau des organisations

• La gestion des accès, la traçabilité, l’audit et l’étude des historiques sont améliorés

• Cette solution est totalement transparente pour les utilisateurs

26/06/2014 www.AliceAndBob.fr 10

Merci ! Voir toutes nos présentations et documents sur Slideshare:

• L’avènement de la signature électronique : en 2014 • La cryptographie et la PKI enfin expliquées simplement • Comment bien choisir ses certificats SSL • L’authentification forte ou vers la fin du mot de passe • Pourquoi migrer ses certificats de Symantec vers une autre Autorité de Certification • Accroitre la confiance dans les personnes et les machines qui se connectent à votre

réseau d’entreprise • Les solutions SaaS permettent l’avènement des usages des certificats électroniques • La vérité sur HeartBleed • La NSA et les Autorités de Certification : Mythe ou réalité ?

contact@aliceandbob.fr

26/06/2014 www.AliceAndBob.fr 11