ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs

Application Security ForumWestern Switzerland

27 octobre 2011 - HEIGVD Yverdon-les-Bainshttp://appsec-forum.ch

Authentification Multi-FacteursRetour d'experience

Rémi MOLLONAnalyste en Sécurité InformatiqueCERN

Application Security Forum - Western Switzerland - 2011 2

Présentation personnelle• Grilles Informatiques (projet EGEE)– Développement et intégration application

bio-informatiques– Développeur « Data Management »–Membre équipe sécurité opérationnelle

• Équipe Sécurité Informatique du CERN– Responsable infrastructure– Sécurité opérationnelle– Développement logiciel– Audits internes


Agenda

• L'Authentification au CERN• Authentification par mot de passe• Authentification multi-facteurs et les

différents facteurs• Les choix du CERN


CERN• Organisation Européenne pour la

Recherche Nucléaire– Coopération internationale entre

laboratoires et instituts– Caractère purement scientifique et

fondamental


Les Nationalités


Les Utilisateurs

• Le CERN– 20 états membres– Nombreux états non-membres et contacts

scientifiques

• Les utilisateurs– Des centaines d’universités à travers le monde– Élèves, étudiants, professeurs, techniciens,

ingénieurs, physiciens, …– Forte croissance des nouveaux comptes


Milieu Académique

• Réseaux très ouverts– Collaborations étroites entre instituts– Nombreux protocoles « maison »– Utilisation des « Grilles »

• Ordinateurs gérés par les utilisateurs–Mauvaise configuration–Mises à jour manquantes– Aucun contrôle


« Single Sign On »• Portail unique d'authentification–Microsoft ADFS / Shibboleth– Pour les applications (web)–Mot de passe, Certificats X509– Interface WS/SOAP

• Autorisations et E-Groups– Solution « maison » CERN– Synchronisation avec AD/LDAP– Contrôle d’accès fins si besoin


Les Menaces• Réutilisation des mots de passe• « Brute forcing » de mots de passe• Vols de mots de passe– « Social Engineering » / Phishing

• Vols d'appareils– Stockage non-sécurisé

• Chevaux de troie, « key loggers »• Attaque « Man in the middle »


Les Limites

• Négligences de certains utilisateurs• Croissance du nombre d'attaques• Vol de mots de passe 1er vecteur de

propagation d'attaques dans le milieu académique


Les Solutions

• Ne plus utiliser d'appareils informatiques

• « Super » utilisateurs uniquement– Retenir de nombreux mots de passe

complexes– Ne plus être vulnérable au « Social

Engineering »

• Autre méthode d'authentification...


AuthentificationMulti-Facteurs

• Plusieurs facteurs– Quelque chose que l'on sait• Mot de passe• Code pin

– Quelque chose que l'on a• Certificat X509• Carte a puce• Clé hardware• Génération « One Time Password »• ...

– ...


AuthentificationMulti-Facteurs (2)

• Facteur dynamique– Ne doit pas être mémorisé

• Résistance aux attaques– Pas de « sniffing » possible– Limite fortement la propagation

• Processus d'authentification plus long– « Single Sign On » recommandé


Certificat X509• Stockage a la charge de l'utilisateur– Besoin de support de stockage pour être

utilise sur plusieurs machines

• Protection doit être assurée par l'utilisateur– Souvent stocker de manière non-securisée

pour une utilisation plus facile

• Chiffrement asymétrique– Clés de plus en plus longues– Besoin de puissance de calcul


Cartes à puce

• Combinées a un code PIN• Très utilisées dans le milieu bancaire– Sécurité déjà éprouvée

• Besoin de lecteur– Périphérique à avoir sur soi– Problème de driver en

fonction du système


Cartes à puce (2)

• Différentes puces–Mémoire–Micro-processeur

• Stockage sécurisé de certificat X509• Clé secrète ne peut pas être extraite– Génération de la clé sur la carte


« One Time Password »

• Mot de passe à usage unique• Plusieurs algorithmes– HOTP : HMAC-based OTP– TOTP : Time-based OTP– Plusieurs protocoles propriétaires

• Souvent utilisés sur des appareils mobiles


Authentification Mobile

• Envoi de code par SMS–Mot de passe à usage unique– Compatible avec tous les mobiles– Coût d'envoi

• Appel téléphonique• Applications smartphones– QR code– Connexion internet nécessaire


Clés Hardware

• De nombreux produits sur le marché• Dépendance auprès de la compagnie• « Boîte noire »– Algorithme secret– Niveau de sécurité dur à évaluer– Quelques problèmes dans le passé– Produits marketing


Yubikeys

• Reconnues comme un clavier USB– Pas besoin de driver– Besoin d'un port USB

• Plusieurs modes– « Yubikey »– HOTP, TOTP–Mot de passe statique

• Pas de batterie– Pas d'horloge interne


Yubikeys (2)

Dirk Merkel, Linux Journal


Biométrie

• Identification en fonction de caractéristiques biologiques– Empreinte digitale– Rétine– Reconnaissance faciale

• Très controversée– Changement impossible

si compromis


AuthentificationSimple-Facteur

• Utilisation de facteurs secondaires– Remplacement du mot de passe– Simplicité et rapidité pour l'utilisateur

• Utilisation détournée– Facteurs faibles si utilisés seuls– Attaques facilitées (vols, pertes)


Mais alors... Lequel ?

• Pas de solution parfaite• Utilisateurs avec des besoins

différents• Plusieurs facteurs proposés– Choix du côté des utilisateurs– Couvrir tous (ou presque) les cas

d'utilisation


Les Choix du CERN

• Encore en étude...• Cartes à puce– Intégration avec les cartes CERN

• Authentification mobile– SMS– Application OTP pour les smartphones

• Yubikeys


Portail de test


Conclusion

• Mots de passe souvent exposés et/ou mal utilisés–Multiplication des comptes

• Besoin d'authentification forte pour des services critiques– Authentification multi-facteurs

• Fédération d'Identité– OpenID, Shibboleth


Vos questions ?


Merci!

SLIDES A TELECHARGER PROCHAINEMENT:

http://slideshare.net/ASF-WS

Rémi [email protected]://fr.linkedin.com/in/rmollon

mailto:[email protected]

Technology

ASFWS 2011 : Sur le chemin de l’authentification multi-facteurs