2
L a protection des biens est une préoccupation majeu- re de la société, un souci que partage tout un chacun. Cer- tains s’en inquiètent à titre per- sonnel, pour leurs propres biens. D’autres, pour des raisons mili- taires ou économiques. A l’ère des nouvelles technologies de l’information, les entreprises se sentent de plus en plus concer- nées – pour des raisons propres à chacune d’entre elles – par la sécurité de leurs systèmes infor- matiques. Mettre en place une véritable politique de sécurité devient une obligation. Tout comme appliquer les principes de base d’une protection opti- male que sont l’authentification, l’autorisation, l’intégrité, la non-répudiation et la confiden- tialité. Parmi ces cinq mécanismes, l’authentification, et plus parti- culièrement l’authentification forte, est, de mon point de vue, la clé de voûte de la sécurité informatique. L’authentification L’authentification est une procédure qui vise à s’assurer de l’identité d’un individu ou d’un système informatique. C’est un préliminaire indispen- sable à l’activation du méca- nisme d’autorisation et, donc, à la gestion des droits d’accès à un système d’information donné. Les méthodes classiques pour identifier une personne phy- sique sont au nombre de quatre : 1. quelque chose que l’on con- naît : un mot de passe ou un PIN code; 2. quelque chose que l’on pos- sède : un «token», une carte à puce, etc.; 3. quelque chose que l’on est : un attribut biométrique, tel qu’une empreinte digitale; 4. quelque chose que l’on fait : une action comme la parole ou une signature manuscrite. On parle d’authentification forte dès que deux de ces méthodes sont utilisées ensem- ble. Par exemple une carte à puce avec un PIN code. Pourquoi cette méthode plutôt qu’une autre? Le mot de passe est actuelle- ment le système le plus cou- ramment utilisé pour identifier un utilisateur. Malheureuse- ment, il n’offre pas le niveau de sécurité requis pour assurer la protection de biens informa- tiques sensibles. Sa principale faiblesse réside dans la facilité avec laquelle il peut être trouvé, grâce à différentes techniques d’attaques. Mis à part l’approche, effi- cace, de la manipulation psy- chologique («social enginee- ring»), on recense trois grandes catégories d’attaques informa- tiques : 1) Attaque de «force brute» Il s’agit d’une attaque qui vise à deviner un ou plusieurs mots de passe en utilisant des diction- naires ou en testant toutes les combinaisons possibles. Partant du principe que la majorité des mots de passe sont «faibles» (combinaisons simples du type année de naissance, prénom de son enfant, etc.), les découvrir rapidement se révèle très facile. 2) Ecoute du réseau La plupart des applications comme «telnet», «ftp», «http», «ldap», etc., n’ont pas recours au chiffrement («encryption») lors du transport d’un mot de passe sur le réseau. «Ecouter» le trafic et en extraire le mot de passe devient un jeu d’enfant dès lors qu’on dispose d’un logi- ciel d’écoute appelé «sniffer» (littéralement, renifleur). Il existe un grand nombre de «sniffers» dédiés exclusive- ment à la capture des mots de passe. Un des plus efficaces est «dsniff». Ce type de logiciels est également capable de capturer des mots de passe dans un envi- ronnement réseau commuté. La méthode utilisée dans un tel environnement est celle du «ARPPoisoning». 3) Ecoute du clavier Imaginons que le trafic sur le réseau soit chiffré et que l’utili- sateur ait pris soin de choisir un mot de passe extrêmement «solide». Une méthode d’at- taque se révèle malgré tout imparable : l’écoute du clavier ou «key logger», qui permet de «capturer» l’ensemble des touches tapées sur un clavier. Les logiciels utilisés dans ce cas sont généralement installés l 06/02 l C O M M U N I C AT I O N INCONTOURNABLE. Pour Sylvain Maret, directeur veille techno- logique e-Xpert Solutions SA, l’authentification forte s’impose parmi les principes de base d’une protection optimale. Authentification forte : les nouvelles tendances Sécurité des systèmes d’information Sylvain Maret, directeur veille technologique e-Xpert Solutions SA

Authentification forte : les nouvelles tendances

Embed Size (px)

Citation preview

La protection des biens estune préoccupation majeu-re de la société, un souci

que partage tout un chacun. Cer-tains s’en inquiètent à titre per-sonnel, pour leurs propres biens.D’autres, pour des raisons mili-taires ou économiques. A l ’ è r edes nouvelles technologies del’information, les entreprises sesentent de plus en plus concer-nées – pour des raisons propresà chacune d’entre elles – par lasécurité de leurs systèmes infor-matiques. Mettre en place unevéritable politique de sécuritédevient une obligation. To u tcomme appliquer les principesde base d’une protection opti-male que sont l’authentification,l’autorisation, l’intégrité, lanon-répudiation et la confiden-t i a l i t é .

Parmi ces cinq mécanismes,l’authentification, et plus parti-culièrement l’authentification

forte, est, de mon point de vue,la clé de voûte de la sécuritéi n f o r m a t i q u e .

L’authentification L’authentification est une

procédure qui vise à s’assurerde l’identité d’un individu ou

d’un système informatique.C’est un préliminaire indispen-sable à l’activation du méca-nisme d’autorisation et, donc, àla gestion des droits d’accès à unsystème d’information donné.

Les méthodes classiques pouridentifier une personne phy-

sique sont au nombre deq u a t r e :

1. quelque chose que l’on con-n a î t : un mot de passe ou un PINc o d e ;2. quelque chose que l’on pos-s è d e : un «token», une carte àpuce, etc.;3. quelque chose que l’on est :un attribut biométrique, telqu’une empreinte digitale;4. quelque chose que l’on fait :une action comme la parole ouune signature manuscrite.

On parle d’authentificationforte dès que deux de cesméthodes sont utilisées ensem-ble. Par exemple une carte àpuce avec un PIN code.

Po u rquoi cette méthodeplutôt qu’une autre ?

Le mot de passe est actuelle-ment le système le plus cou-ramment utilisé pour identifierun utilisateur. Malheureuse-ment, il n’offre pas le niveau desécurité requis pour assurer laprotection de biens informa-tiques sensibles. Sa principalefaiblesse réside dans la facilitéavec laquelle il peut être trouvé,grâce à différentes techniquesd ’ a t t a q u e s .

Mis à part l’approche, eff i-cace, de la manipulation psy-chologique («social enginee-ring»), on recense trois grandescatégories d’attaques informa-t i q u e s :1) Attaque de «force brute»

Il s’agit d’une attaque qui vise àdeviner un ou plusieurs mots depasse en utilisant des diction-naires ou en testant toutes lescombinaisons possibles. Partant

du principe que la majorité desmots de passe sont «faibles»(combinaisons simples du typeannée de naissance, prénom deson enfant, etc.), les découvrirrapidement se révèle très facile.

2) Ecoute du réseau

La plupart des applicationscomme «telnet», «ftp», «http»,«ldap», etc., n’ont pas recoursau chiffrement («encryption»)lors du transport d’un mot depasse sur le réseau. «Ecouter» letrafic et en extraire le mot depasse devient un jeu d’enfantdès lors qu’on dispose d’un logi-ciel d’écoute appelé «sniff e r »(littéralement, renifleur).

Il existe un grand nombre de« s n i ffers» dédiés exclusive-ment à la capture des mots depasse. Un des plus efficaces est« d s n i ff». Ce type de logiciels estégalement capable de capturerdes mots de passe dans un envi-ronnement réseau commuté. Laméthode utilisée dans un telenvironnement est celle du« A R PP o i s o n i n g » .

3) Ecoute du clavier

Imaginons que le trafic sur leréseau soit chiffré et que l’utili-sateur ait pris soin de choisir unmot de passe extrêmement«solide». Une méthode d’at-taque se révèle malgré touti m p a r a b l e : l’écoute du clavierou «key logger», qui permet de«capturer» l’ensemble destouches tapées sur un clavier.

Les logiciels utilisés dans cecas sont généralement installés

l 06/02

l C O M M U N I C AT I O N

I N C O N TOURNABLE. Pour Sy l vain Ma ret, directeur veille techno-

logique e-Xpert Solutions SA, l’authentification forte s’ i m p o s e

parmi les principes de base d’une protection optimale.

Authentification fort e : les nouvelles tendances

Sécurité des systèmes d’information

Sy l vain Ma ret, directeur veille technologique e-XpertSolutions SA

sur le poste de travail, à l’insu del ’ u t i l i s a t e u r. La «compromis-sion» du système informatiqueétant le plus souvent eff e c t u é epar le biais d’un virus de typecheval de Tr o i e .

Les nouvelles tendancesIl existe aujourd’hui un grandnombre de solutions d’authenti-fication forte basées sur des«tokens» physiques, comme,par exemple, SecurID, Va s c o ,ActiveCard, etc. Ces technolo-gies procurent un haut degré desécurité et ont l’avantage d’êtretrès «mobiles». Elles sont toute-fois dédiées uniquement à l’au-thentification. Elles sont en eff e tconçues sur le principe du secretpartagé et ne sont dès lors pas enmesure d’offrir la non-répudia-t i o n .

Une des solutions pour com-biner authentification forte etnon-répudiation consiste à utili-ser des certificats digitaux(norme X509). Basés sur lesalgorithmes à clés publiques(RSA, DSA, etc.), ils sont unexcellent moyen d’authentifierdes individus. Ils ouvrent sur-tout la voie à d’autres servicesde sécurité, comme la signaturede transactions, le chiff r e m e n tde données, la gestion de privi-lèges ou encore le Single SignOn. Reste que pour garantir unhaut niveau de sécurité, il est pri-mordial de se poser la questiondu stockage du certificat et, sur-tout, de sa clé privée.

S é c u ri s a t i o nde la clé pri v é e

L’utilisateur qui souhaite sécu-riser la partie privée d’un certi-

ficat dispose de plusieurs possi-bilités. Une des plus connues estle recours à des cartes à puce(format carte de crédit ou«tokens» USB). Ces supportspermettent le stockage aussibien des clés que du certificatn u m é r i q u e .

Il existe deux grandesfamilles de supports : les cartesmémoire et les cartes à proces-seur cryptographique. Entermes de sécurité, la deuxièmefamille est à recommander, dansla mesure où la clé privée estintégrée au support et n’en sortjamais. Les calculs cryptogra-phiques sont en effet réalisés àl’intérieur de la carte par le pro-c e s s e u r.

Cette méthode garantit uneprotection optimale contre lesattaques qui visent à obtenir laclé privée. De plus, la carte àpuce peut être protégée par unPIN code.

L’ a v è n e m e n tde la biométri e

La biométrie – par exemple unlecteur d’empreintes digitalesen lieu et place du PIN code descartes à puce – ouvre, elle aussi,des perspectives intéressantes.L’idée est de coupler un lecteurbiométrique et un lecteur decartes à puce. L’ u t i l i s a t e u rs’identifie alors par le biais de sacarte, ainsi que par un attributb i o m é t r i q u e .

Ces technologies sont actuel-lement disponibles sur le mar-ché et méritent d’être évaluées.Elles permettent en effet de stoc-ker une signature biométriquesur une carte à puce – c’est cequ’on appelle le MOC (M a t c h

On Card). Elles offrent parailleurs un niveau de sécuritétrès élevé pour les environne-ments sensibles tels que lafinance, l’industrie, etc.

Utiliser des certificats digi-taux sur un support physique estdonc une excellente solutionpour sécuriser un système d’in-formation. Cette méthode pré-sente toutefois un certainnombre de limitations aux-quelles il convient d’être atten-tif. La principale est la mobilitédu support. Al’heure actuelle, ilest très difficile d’utiliser unecarte à puce dans un cybercaféou dans un hôtel. Ces supportso ffrent par contre un bon retoursur investissement lorsqu’ilssont utilisés dans un environne-ment maîtrisé.

A quand les cartes à pucedans l’ e n t re p ri s e ?

Un des principaux freins à l’uti-lisation des cartes à puce dansl’entreprise est le manque d’ap-plications susceptibles de lessupporter de manière native. Denombreuses solutions sontcertes disponibles sur le marché,mais elles demandent générale-ment l’ajout de composantslogiciels. Comme, par exemple,le remplacement de la mired’authentification (GINA)M i c r o s o f t .

La «démocratisation» descartes à puce viendra, à mon

sens, de Microsoft. L’ a r c h i t e c-ture Win2k (avec Kerberos etPKINIT) supporte en effet, demanière native, les certificatsstockés sur les cartes à puce. Onpeut ainsi imaginer un grandnombre d’applications gravitantautour de cette architecture: dessolutions de «Single Sign On»,la sécurisation d’accès au bâti-ment, l’accès à des portails«web based», etc.

En conclusion, il ne fait plusde doute que l’authentificationforte devient incontournable dèslors qu’il s’agit de sécuriser unsystème informatique. Quant auchoix de la technologie (cartes àpuce ou «tokens» classiques), ildépend beaucoup de l’environ-nement et des contraintespropres à chaque entreprise. l

Sy l vain Ma re t

C o n t a c t : e-Xpert Solutions SA

Route de Pré-Marais 29

1233 Bernex-Genève

T é l : +41 22 727 05 55

i n f o @ e - x p e r t s o l u t i o n s . c o m

4506/02 l

l C O M M U N I C AT I O N

e-Xpert Solutions SAAu bénéfice d’une longueexpérience dans les secteursfinanciers et industriels, e-Xpert Solutions SA p ro p o s eà sa clientèle des solutions«clés en main» dans le do-maine de la sécurité informa-tique des réseaux et des appli-cations. Des solutions quivont de la sécurité d’ a rc h i-t e c t u re – tel le firewall, V P N ,IDS, le contrôle de contenu,l’antivirus – aux solutions plusa va n t - g a rdistes comme l’ a u-thentification forte, la biomé-trie, le Single Sign On, lesa rc h i t e c t u res PKI ou encore lasécurisation des OS.

De plus en plus pointue La sécurité prend des formes diversifiées comme empreintes ou cartes à puce.