L'authentification forte ou vers la mort du mot de passe

L’authentification forte ou

Vers la fin du mot de passe ?

26/06/2014 www.aliceandbob.fr 1

http://www.aliceandbob.fr/

http://www.clusif.fr/

http://www.digicert.com/087611/

De trop nombreux mots de passe

• Nous avons tous maintenant des dizaines de mots de passe et code PIN. Pour: – nos ordinateurs et nos Smartphones, – accéder à nos résidences, – les différents sites web, – nos comptes de messageries électroniques, – nos comptes bancaires, – accéder à différentes applications Cloud, – nos réseaux d’entreprises, etc.





Un mot de passe par site





Des règles difficiles à suivre

• Les spécialistes de la sécurité nous recommandent : – d’utiliser des mots de passe complexes avec des

chiffres, des lettres et des caractères spéciaux – de les changer régulièrement – d’utiliser des mots de passes différents pour

chaque usage





Sommes-nous si loin de la réalité? "Sorry, your password has been in use for 30 days and has expired - you must register a new one." "New password:" roses "Sorry, too few characters." pretty roses "Sorry, you must use at least one numerical character." 1 pretty rose "Sorry, you cannot use blank spaces." 1prettyrose "Sorry, you must use at least 10 different characters." 1fuckingprettyrose "Sorry, you must use at least one upper case character." 1FUCKINGprettyrose "Sorry, you cannot use more than one upper case character consecutively." 1FuckingPrettyRose "Sorry, you must use no fewer than 20 total characters." 1FuckingPrettyRoseShovedUpYourAssIfYouDon'tGiveMeAccessRightFuckingNow! "Sorry, you cannot use punctuation." 1FuckingPrettyRoseShovedUpYourAssIfYouDontGiveMeAccessRightFuckingNow "Sorry, that password is already in use."





Une solution peu satisfaisante • Malgré toutes ces contraintes impossibles à appliquer le

mot de passe reste une solution d’authentification faible facilement “craquable”.

• Des outils de récupération de mots de passe surgissent. • Des listes de mots de passe sont souvent volées. • Les personnes comme vous et moi utilisons plusieurs fois le

même mot de passe. • Nous les notons quelque part. • Le banditisme utilise aujourd’hui des techniques de plus en

plus sophistiquées pour vous voler vos données personnelles telles que le Phishing.

• Netcraft par exemple a déjà recensé plus de 7 millions sites de phishing.





Pas très sécurisé tout ça …





Vraiment pas très sécurisé …





La technique du phishing





Authentification forte • Authentification à 2 ou 3 facteurs

– Ce que je sais (un mot de passe, un code PIN) – Ce que je possède (un Token, une carte, un SmartPhone,

etc.) – Ce que je suis (mon empreinte digitale, ma rétine, etc.)





L’authentification forte • Le SMS One Time Password

Un code SMS vous est envoyé sur votre téléphone portable. Ce code n’est utilisable qu’une seule fois dans un délai très court. Vous entrez ce code via votre écran de saisie pour vous authentifier.

• Le certificat électronique installé sur votre ordinateur ou smartphone Un certificat électronique et sa clé privée sont installés sur votre machine. Ce certificat électronique et sa clé privée ne peuvent être interrogés que sur votre machine. Ils sont accessibles via un code PIN.

• Le certificat électronique sur Token, carte à puce ou clé USB à puce Un certificat électronique et sa clé privée sont installés dans une puce. Ils ne sont pas extractibles de la puce. Il faut posséder la puce pour y accéder. Ils sont accessibles via un code PIN.

• Les Token One Time Password Ces solutions génèrent un mot de passe utilisable une fois dans un délai limité. Le Token le génère en fonction d’un secret partagé avec le serveur d’authentification et de l’heure / date. Il faut posséder le Token pour pouvoir entrer le bon code, en plus de votre mot de passe. Attention néanmoins, le Token de l’entreprise RSA s’est avéré moins solide qu’espéré comme le montre par exemple l’article de ZDNet ci-dessous.

• Les solutions d’identification biométriques Les 4 grandes catégories d’identification biométriques sont: la reconnaissance digitale, la reconnaissance d'iris, la reconnaissance faciale et la reconnaissance vocale. Ces systèmes sont souvent coûteux, pas encore 100% fiables, et posent des problèmes juridiques face au stockage de bases de données d’informations biométriques. Enfin dans le cas de l’empreinte digitale, il est possible de reconstituer une empreinte trouvée par exemple sur un verre et de s’authentifier avec.





De nombreuses solutions





La perspective de l’utilisateur

• L’authentification forte est une contrainte • Les opérations supplémentaires et les objets à

porter sur soi complexifient les usages • Le certificat électronique est une solution

élégante car elle ne requiert rien et est transparente pour les utilisateurs





Le SMS OTP*

*SMS OTP : SMS One Time Password Code valable une fois pendant une durée limitée





Authentification par certificat électronique

• Un certificat électronique est votre « carte d’identité numérique ».

• Il est ouvert grâce à un code PIN • Lorsque vous vous authentifiez sur un réseau,

un site web, etc. ce certificat permet de vérifier qui vous êtes avant de vous laisser entrer

Code PIN

OK





Clé USB cryptographique

La USB cryptographique contient un puce exactement comme une carte de crédit. Cette puce contient un certificat électronique et la clé privée. Il est possible d’utiliser la clé privée mais pas de l’extraire. Un code PIN est demandé, comme pour une carte de crédit.





Certificat électronique

Michael Jackson

DigiCert CA

Nom

Autorité ayant délivré le certificat

Dates de validité





Différents niveaux de validité

Installé sur votre machine. Vérification uniquement de votre adresse email

Installé sur une clé USB cryptographique. Vérification de votre carte d’identité, etc. Remise en face à face.

Validation faible Moins de valeur légale

Validation forte Plus de valeur légale





Que choisir ?

Toutes ces solutions sont plus coûteuses que le login / mot de passe, mais contribuent à accroître la sécurité. Les critères dans le choix des solutions sont :

– le prix certes, – mais aussi le niveau de sécurité, – et surtout la facilité de mise en œuvre et d’usage.





Des standards et initiatives

Kerberos





Attention aux Tokens RSA





L’authentification forte en croissance





Un marché en expansion

Frost & Sullivan's new Analysis of the Strong Authentication and One-Time Password (OTP) Market finds the market earned revenue of $1.52 billion in 2013 and estimates this to reach $2.16 billion in 2018 at a compound annual growth rate of nearly 7 percent. The research notes new strong authentication methods are less expensive than the dominant hardware OTP method, fueling adoption. The analysis also finds RSA remains the largest vendor in the industry, with about one-fifth of the market revenue; however, the breadth of strong authentication methods creates a market for many players.

Note: Le marché français correspond à 3,5% du marché mondial soit $53,2M soit 38,8M€





Un poisson d’Avril amusant

Authentification forte : une lutte fratricide au sommet de l’Etat profite à Google

Interrogé quant à la solidité de sa solution par rapport à celle, largement plus mûre, de RSA, Paul McHire semble confiant : « nous utilisons beaucoup plus de chiffres. Beaucoup, beaucoup, plus de chiffres« , révèle McHire. Et à voir le token qui sera fourni aux collaborateurs des Ministères, on veut bien le croire.





http://magazine.qualys.fr/produits-technologies/authentification-forte-une-lutte-fratricide-au-sommet-de-letat-profite-a-google/sthash.SE2EzdTx.dpuf

http://magazine.qualys.fr/produits-technologies/authentification-forte-une-lutte-fratricide-au-sommet-de-letat-profite-a-google/sthash.SE2EzdTx.dpuf

Conclusion

• Le mot de passe est très loin d’être parfait

• Il perd du terrain mais a encore quelques beaux jours devant lui

• Les solutions d’authentification commencent à sérieusement émerger





Merci ! Voir toutes nos présentations et documents sur Slideshare:

• L’avènement de la signature électronique : en 2014 • La cryptographie et la PKI enfin expliquées simplement • Comment bien choisir ses certificats SSL • L’authentification forte ou vers la fin du mot de passe • Pourquoi migrer ses certificats de Symantec vers une autre Autorité de Certification • Accroitre la confiance dans les personnes et les machines qui se connectent à votre

réseau d’entreprise • Les solutions SaaS permettent l’avènement des usages des certificats électroniques • La vérité sur HeartBleed • La NSA et les Autorités de Certification : Mythe ou réalité ?

[email protected]

26/06/2014 www.AliceAndBob.fr 26




http://fr.slideshare.net/AliceAndBob

mailto:[email protected]

http://fr.slideshare.net/AliceAndBob

https://www.linkedin.com/company/5146086

https://www.facebook.com/aliceetbob


https://twitter.com/AliceAndBob2

Internet

L'authentification forte ou vers la mort du mot de passe