View
581
Download
1
Embed Size (px)
DESCRIPTION
De par l’envergure internationale du CERN, les utilisateurs, plusieurs milliers, sont répartis un peu partout dans le monde, accédant régulièrement à leurs comptes à distance. Depuis un cyber-café, un réseau WiFi non-sécurisé, un institut (ou une université) compromis, … Pour les attaquants, les occasions de capturer les mots de passe sont nombreuses ! L’intérêt de mots de passe forts devient très limité si ceux-ci peuvent être capturés et réutilisés facilement par des tierces personnes. L’authentification multi-facteurs permet justement de contrer ceci, en demandant plusieurs éléments aux utilisateurs : typiquement quelque chose qu’ils connaissent (eg. un mot de passe) et quelque chose qu’ils possèdent (eg. un jeton hardware). Même si cette méthode permet de renforcer considérablement l’authentification, la solution parfaite n’existe pas, et l’étude des différents cas d’utilisations qui devront être supportés est donc primordiale. Application Security Forum 2011 27.10.2011 - Yverdon-les-Bains (Suisse) Conférencier: Remi Mollon
Citation preview
Application Security ForumWestern Switzerland
27 octobre 2011 - HEIGVD Yverdon-les-Bainshttp://appsec-forum.ch
Authentification Multi-FacteursRetour d'experience
Rémi MOLLONAnalyste en Sécurité InformatiqueCERN
Application Security Forum - Western Switzerland - 2011 2
Présentation personnelle• Grilles Informatiques (projet EGEE)– Développement et intégration application
bio-informatiques– Développeur « Data Management »–Membre équipe sécurité opérationnelle
• Équipe Sécurité Informatique du CERN– Responsable infrastructure– Sécurité opérationnelle– Développement logiciel– Audits internes
Application Security Forum - Western Switzerland - 2011 3
Agenda
• L'Authentification au CERN• Authentification par mot de passe• Authentification multi-facteurs et les
différents facteurs• Les choix du CERN
Application Security Forum - Western Switzerland - 2011 4
CERN• Organisation Européenne pour la
Recherche Nucléaire– Coopération internationale entre
laboratoires et instituts– Caractère purement scientifique et
fondamental
Application Security Forum - Western Switzerland - 2011 5
Les Nationalités
Application Security Forum - Western Switzerland - 2011 6
Les Utilisateurs
• Le CERN– 20 états membres– Nombreux états non-membres et contacts
scientifiques
• Les utilisateurs– Des centaines d’universités à travers le monde– Élèves, étudiants, professeurs, techniciens,
ingénieurs, physiciens, …– Forte croissance des nouveaux comptes
Application Security Forum - Western Switzerland - 2011 7
Milieu Académique
• Réseaux très ouverts– Collaborations étroites entre instituts– Nombreux protocoles « maison »– Utilisation des « Grilles »
• Ordinateurs gérés par les utilisateurs–Mauvaise configuration–Mises à jour manquantes– Aucun contrôle
Application Security Forum - Western Switzerland - 2011 8
« Single Sign On »• Portail unique d'authentification–Microsoft ADFS / Shibboleth– Pour les applications (web)–Mot de passe, Certificats X509– Interface WS/SOAP
• Autorisations et E-Groups– Solution « maison » CERN– Synchronisation avec AD/LDAP– Contrôle d’accès fins si besoin
Application Security Forum - Western Switzerland - 2011 9
Les Menaces• Réutilisation des mots de passe• « Brute forcing » de mots de passe• Vols de mots de passe– « Social Engineering » / Phishing
• Vols d'appareils– Stockage non-sécurisé
• Chevaux de troie, « key loggers »• Attaque « Man in the middle »
Application Security Forum - Western Switzerland - 2011 10
Les Limites
• Négligences de certains utilisateurs• Croissance du nombre d'attaques• Vol de mots de passe 1er vecteur de
propagation d'attaques dans le milieu académique
Application Security Forum - Western Switzerland - 2011 11
Les Solutions
• Ne plus utiliser d'appareils informatiques
• « Super » utilisateurs uniquement– Retenir de nombreux mots de passe
complexes– Ne plus être vulnérable au « Social
Engineering »
• Autre méthode d'authentification...
Application Security Forum - Western Switzerland - 2011 12
AuthentificationMulti-Facteurs
• Plusieurs facteurs– Quelque chose que l'on sait• Mot de passe• Code pin
– Quelque chose que l'on a• Certificat X509• Carte a puce• Clé hardware• Génération « One Time Password »• ...
– ...
Application Security Forum - Western Switzerland - 2011 13
AuthentificationMulti-Facteurs (2)
• Facteur dynamique– Ne doit pas être mémorisé
• Résistance aux attaques– Pas de « sniffing » possible– Limite fortement la propagation
• Processus d'authentification plus long– « Single Sign On » recommandé
Application Security Forum - Western Switzerland - 2011 14
Certificat X509• Stockage a la charge de l'utilisateur– Besoin de support de stockage pour être
utilise sur plusieurs machines
• Protection doit être assurée par l'utilisateur– Souvent stocker de manière non-securisée
pour une utilisation plus facile
• Chiffrement asymétrique– Clés de plus en plus longues– Besoin de puissance de calcul
Application Security Forum - Western Switzerland - 2011 15
Cartes à puce
• Combinées a un code PIN• Très utilisées dans le milieu bancaire– Sécurité déjà éprouvée
• Besoin de lecteur– Périphérique à avoir sur soi– Problème de driver en
fonction du système
Application Security Forum - Western Switzerland - 2011 16
Cartes à puce (2)
• Différentes puces–Mémoire–Micro-processeur
• Stockage sécurisé de certificat X509• Clé secrète ne peut pas être extraite– Génération de la clé sur la carte
Application Security Forum - Western Switzerland - 2011 17
« One Time Password »
• Mot de passe à usage unique• Plusieurs algorithmes– HOTP : HMAC-based OTP– TOTP : Time-based OTP– Plusieurs protocoles propriétaires
• Souvent utilisés sur des appareils mobiles
Application Security Forum - Western Switzerland - 2011 18
Authentification Mobile
• Envoi de code par SMS–Mot de passe à usage unique– Compatible avec tous les mobiles– Coût d'envoi
• Appel téléphonique• Applications smartphones– QR code– Connexion internet nécessaire
Application Security Forum - Western Switzerland - 2011 19
Clés Hardware
• De nombreux produits sur le marché• Dépendance auprès de la compagnie• « Boîte noire »– Algorithme secret– Niveau de sécurité dur à évaluer– Quelques problèmes dans le passé– Produits marketing
Application Security Forum - Western Switzerland - 2011 20
Yubikeys
• Reconnues comme un clavier USB– Pas besoin de driver– Besoin d'un port USB
• Plusieurs modes– « Yubikey »– HOTP, TOTP–Mot de passe statique
• Pas de batterie– Pas d'horloge interne
Application Security Forum - Western Switzerland - 2011 21
Yubikeys (2)
Dirk Merkel, Linux Journal
Application Security Forum - Western Switzerland - 2011 22
Biométrie
• Identification en fonction de caractéristiques biologiques– Empreinte digitale– Rétine– Reconnaissance faciale
• Très controversée– Changement impossible
si compromis
Application Security Forum - Western Switzerland - 2011 23
AuthentificationSimple-Facteur
• Utilisation de facteurs secondaires– Remplacement du mot de passe– Simplicité et rapidité pour l'utilisateur
• Utilisation détournée– Facteurs faibles si utilisés seuls– Attaques facilitées (vols, pertes)
Application Security Forum - Western Switzerland - 2011 24
Mais alors... Lequel ?
• Pas de solution parfaite• Utilisateurs avec des besoins
différents• Plusieurs facteurs proposés– Choix du côté des utilisateurs– Couvrir tous (ou presque) les cas
d'utilisation
Application Security Forum - Western Switzerland - 2011 25
Les Choix du CERN
• Encore en étude...• Cartes à puce– Intégration avec les cartes CERN
• Authentification mobile– SMS– Application OTP pour les smartphones
• Yubikeys
Application Security Forum - Western Switzerland - 2011 26
Portail de test
Application Security Forum - Western Switzerland - 2011 27
Conclusion
• Mots de passe souvent exposés et/ou mal utilisés–Multiplication des comptes
• Besoin d'authentification forte pour des services critiques– Authentification multi-facteurs
• Fédération d'Identité– OpenID, Shibboleth
Application Security Forum - Western Switzerland - 2011 28
Vos questions ?
Application Security Forum - Western Switzerland - 2011 29
Merci!
SLIDES A TELECHARGER PROCHAINEMENT:
http://slideshare.net/ASF-WS
Rémi [email protected]://fr.linkedin.com/in/rmollon