S y s C o
®-
Authentification forte avec les USG
Studerus Roadshow 2014, Lausanne
André Liechti, directeur technique
SysCo systèmes de communication sa, Neuchâtel, Suisse
Déroulement de la présentation
Pourquoi un simple mot de passe ne suffit plus ?
Quelles sont les solutions qui existent pour plus de sécurité ?
multiOTP
®Pro, le compagnon idéal aux produits ZyXEL
Configuration d’un pare-feu ZyWALL pour multiOTP
®Pro
Démonstration en live
Questions / réponses
11.06.2014
© SysCo systèmes de communication sa
2
Pourquoi un simple mot de passe ne suffit plus ?
(sur Internet, mais également ailleurs)
© SysCo systèmes de communication sa
11.06.2014
Pourquoi un simple mot de passe ne suffit plus ?
Utiliser le même mot de passe pour plusieurs services…
11.06.2014
© SysCo systèmes de communication sa
4
Quelques «jolis» outils physiques…
11.06.2014
© SysCo systèmes de communication sa
5
Keylogger…
Caméra dans une clé de voiture…
Clavier automatique caché dans une clé USB …
... Et d’autres outils encore plus puissants…;-)
11.06.2014
© SysCo systèmes de communication sa
6
Keylogger sans fil…
etc.
Quelles sont les solutions qui existent pour plus de sécurité ?
© SysCo systèmes de communication sa
11.06.2014
Quelles sont les solutions qui existent pour plus de sécurité ?
Authentification avec un deuxième facteur.
Exemple d’une combinaison de savoir et de posséder:
l’automate à billets
On dispose d’une carte bancaire physique et l’on connait son code d’identification personnel (PIN).
11.06.2014
© SysCo systèmes de communication sa
8
Authentification forte avec un mot de passe à usage unique
Simplicité d’utilisation pour l’utilisateur, aucun logiciel à installer (ne dépend pas d’un système d’exploitation)
Liste à biffer
11.06.2014
© SysCo systèmes de communication sa
9
Liste de mots de passe / liste à biffer
Login = nom utilisateur + mot de passe + prochain code
11.06.2014
© SysCo systèmes de communication sa
10
Liste sur le serveur
Liste pour l’utilisateur A
Leader historique du marché
Générateur automatique basé sur le temps, avec un algorithme propriétaire secret
70% du marché en 2003
(25 millions d’appareils ont été produits jusque-là)
11.06.2014
© SysCo systèmes de communication sa
11
Première solution logiciel libre pour des mots de passe à usage unique
Mobile-OTP (2003)
Code PIN + algorithme basé sur le temps
Logiciel libre, avec plus de 40 implémentations différentes
Au début, Java J2ME pour les mobiles
Shell script Unix sur le serveur
11.06.2014
© SysCo systèmes de communication sa
12
Générateur standardisé de mots de passe uniques
HOTP : HMAC-based One-time Password Algorithm (2005)
La construction du code se base sur une fonction de hash cryptographique
Standard ouvert (OATH: Initiative for Open Authentication)
11.06.2014
© SysCo systèmes de communication sa
13
Authentification HOTP sur le serveur
11.06.2014
© SysCo systèmes de communication sa
14
Utilisateur Serveur
0382
754812
0380-0384
0379
Plus de problème de synchronisation avec TOTP
TOTP : Time-based One-time Password Algorithm (2008)
Basé sur HOTP
Le compteur incrémental correspond au numéro de la portion de 30 secondes en cours
11.06.2014
© SysCo systèmes de communication sa
15
Authentification TOTP sur un serveur
11.06.2014
© SysCo systèmes de communication sa
16
Utilisateur Serveur
0382
754812
Quelques générateurs HOTP/TOTP (tokens)
11.06.2014
© SysCo systèmes de communication sa
17
Serveur OTP
Tokens SMS
11.06.2014
© SysCo systèmes de communication sa
18
Utilisateur + mot de passe + token
multiOTP
®Pro
le compagnon idéal aux produits ZyXEL
… basé sur notre solution open source existante depuis 2010 !
© SysCo systèmes de communication sa
11.06.2014
multiOTP
®Pro, le compagnon idéal…
11.06.2014
© SysCo systèmes de communication sa
20
multiOTP
®Pro
Pourquoi avons-nous développé multiOTP
®Pro ?
Les PME ne sont pas suffisamment protégées
Pas de solution bon marché pour les PME
Les produits existants ont besoin d’une version spécifique de Windows et sont compliqués à installer
Les produits existants sont complexes à utiliser
Solutions existantes gourmandes en ressources
Historique du produit
Basé sur notre librairie open source (existante depuis 2010)
Nombreux retours d’utilisateurs spécialisés
11.06.2014
© SysCo systèmes de communication sa
21
multiOTP
®Pro, le concept
Appareil physique séparé
Pas de problème de compatibilité avec les systèmes d’exploitation
Interface web simple et intuitif
Mise en service en moins de 10 minutes
Frais réduits au minimum
Possibilité d’utilisé des tokens logiciels
Déploiement rapide des tokens TOTP et HOTP
QRcode pour les tokens logiciels
Enregistrement automatique des tokens physiques
11.06.2014
© SysCo systèmes de communication sa
22
multiOTP
®Pro, le concept (2)
Les protocoles standards sont supportés
Mobile-OTP, HOTP, TOTP
Tokens SMS
Listes à biffer
Les fichiers des tokens hardware peuvent être importés
ZyXEL OTPv2 : importAlpine.dat
ZyXEL OTPv1 : 10OTP_data01_upgrade.sql
Fichiers chiffrés PSKC
11.06.2014
© SysCo systèmes de communication sa
23
Configuration d’un pare-feu
ZyWALL pour multiOTP ® Pro
© SysCo systèmes de communication sa
11.06.2014
ZyWALL USG 100 – configurer le serveur RADIUS
ZyWALL USG 100 – méthode d’authentification
ZyWALL USG 100 – Authentification Web
© SysCo systèmes de communication sa
27
ZyWALL USG 100 – Authentification pour les VPNs
11.06.2014
© SysCo systèmes de communication sa
28
ZyWALL USG 100 – Ajout d’une règle dans le firewall
11.06.2014
© SysCo systèmes de communication sa
29
SSL-VPN avec authentification forte
11.06.2014
© SysCo systèmes de communication sa
30
Démonstration en live avec multiOTP ® Pro
(ou comment mettre en place une authentification forte en moins de 10 minutes)
© SysCo systèmes de communication sa
11.06.2014
Démonstration en live avec multiOTP
®Pro
11.06.2014
© SysCo systèmes de communication sa
32
multiOTP
®Pro – Authentification forte pour les PME
11.06.2014
© SysCo systèmes de communication sa
33
En stock
CHF 499 (TVA incluse)
20 utilisateurs inclus
Egalement disponible en machine virtuelle
Gratuit jusqu’à 5 utilisateurs
Et maintenant, vos questions…
11.06.2014
© SysCo systèmes de communication sa
34
Crêt-Taconnet 13 tel 032 730 11 10 fax 032 730 11 09
2000 Neuchâtel info@sysco.ch www.sysco.ch
S y s C o
® systèmes de communication saL’intervenant
André Liechti
Directeur technique de SysCo systèmes de communication sa
Ing. dipl. EPF en systèmes de communication
Ing. dipl. ETS en électronique
SysCo systèmes de communication sa
Entreprise active depuis 16 ans, établie à Neuchâtel
Sécurité, conseils et développements sur mesure
Solutions sous Windows et Linux, également en open source
11.06.2014
© SysCo systèmes de communication sa