Un livre blanc Evidian
d ’ a u t h e n t i f i c a t i o n l e s p l u s u t i l i s é e s
Par Stéphane Vinsot Chef de produit Version 1.0
Sommaire
La bonne authentification sur le bon poste de travail
L’authentification forte : du mot de passe à l’authentification multi-facteurs,multi-supports.
Les 7 méthodes d’authentification
Un exemple de politique d’authentification
Le SSO d’entreprise intègreAppliquez votre politique
d’authentification grâce au SSO
d’entreprise.
© 2007 Evidian
Les informations contenues dans ce document reflètent l'opinion d'Evidian sur les questions abordées à la date de publication. En raison de l'évolution constante des conditions de marché auxquelles Evidian doit s'adapter, elles ne
représentent cependant pas un engagement de la part d'Evidian qui ne peut garantir l'exactitude de ces informations, passée la date de publication.
Ce document est fourni à des fins d'information uniquement.
EVIDIAN NE FAIT AUCUNE GARANTIE IMPLICITE NI EXPLICITE DANS LE PRÉSENT DOCUMENT.
Les droits des propriétaires des marques citées dans cette publication sont reconnus.
Table des matières
Avertissement ... 5
La bonne authentification sur le bon poste de travail . 6 L’authentification est la première étape du processus de connexion d’un utilisateur ...6
Le niveau de sécurité ...7
Votre Politique de sécurité ...7
Les lois et règlementations ...7
Arbitrage avec les coûts de mise en œuvre et d’exploitation ...7
L’authentification forte : du mot de passe à l’authentification multi-facteurs, multi-supports. ... 9
Authentification ou identification ? ...9
Sept éléments d’authentification ...9
L’authentification multi-facteurs ...11
Le jeton ...12
Le SSO d’entreprise permet d’appliquer l’authentification forte pour contrôler l’accès à toutes les applications ...13
Fonction de SSO et politique de sécurité : un exemple .13 Un exemple de politique de Sécurité des accès ...14
Le SSO d’Entreprise permet d’intégrer l’authentification forte au sein de la politique de sécurité ...16
Les 7 méthodes d’authentification les plus utilisées .. 17
L’infrastructure d’authentification Windows ...17
(1) Identifiant et mot de passe ...17
(2) Identifiant et OTP (One-Time Password) ...17
Architecture et principe ...17
Mise en œuvre et exploitation ...18
(3) La clef USB ou carte à puce PKI ...18
Les différents types de cartes ...19
L’infrastructure de PKI ...19
Les fonctions du CMS ...19
Le module d’authentification ...20
(4) La clef “Confidentiel Défense” ...21
(5) La carte à puce avec identifiant et mot de passe ...22
(6) Les solutions biométriques ...22
Les trois familles de solution de biométrie ...22
Les solutions de biométrie avec serveur ...23
Les solutions locales ...23
Les solutions de biométrie avec carte à puce. ...23
(7) Le RFID Actif ...23 Les éléments d’une solution de RFID Actif ...24
Un exemple de politique d’authentification ... 25 Le SSO d’entreprise intègre l’authentification
forte au sein de la politique de sécurité ... 26
Avertissement
Ce document est une introduction aux problématiques d’authentification forte et d’accès aux applications cibles.
Il fait une revue des sept méthodes d’authentification les plus utilisées actuellement et décrit leurs mécanismes principaux. Il y associe les fonctions principales d’un moteur de Single Sign-On (SSO).
Il n’adresse pas les problématiques des Web Services ou de la Fédération d’identité.
Pour plus d’information sur une méthode particulière, merci de vous reporter aux documents plus spécialisés.
La bonne authentification sur le bon poste de travail
L’authentification est la première étape du processus de connexion d’un utilisateur
Toute organisation s’appuyant sur un système d’information a besoin de fiabiliser le processus de connexion aux systèmes et applications.
La création d’une source unique et fiable des identités, associée à la gestion des droits sont les deux piliers d’un bonne infrastructure de gestion des identités et des accès.
Le processus de connexion d’un utilisateur peut alors s’effectuer. Il s’articule en général autours de 4 étapes ;
Processus initial – commun à toutes les connexions
1. Lancement du poste de travail et authentification de l’utilisateur 2. Le poste de travail vérifie les droits de l’utilisateur et le connecte à ses
ressources
Processus de connexion à l’application elle même
1. Lancement par l’utilisateur d’une application sécurisée et authentification auprès de cette application.
2. L’application vérifie les droits de l’utilisateur et le connecte à ses transactions et données.
L’authentification de l’utilisateur est l’un des points clefs de ce processus. C’est elle qui doit permettre du Système d’Information de s’assurer de l’identité de l’utilisateur et de lui associer ses droits.
Il existe de nombreuses méthodes d’authentification. Chacune de ces méthodes possède ses caractéristiques propres.
Le niveau de sécurité Votre Politique de sécurité
Toute organisation a, ou devrait avoir, une politique de sécurité concernant la protection des postes de travail, des applications, des données ou encore des systèmes du SI. Cette politique de sécurité peut définir des niveaux minima d’authentification en fonction de la criticité de la ressource utilisée.
Par exemple, il est possible d’imaginer, comme dans tout bon film d’espionnage, que l’on place un poste de travail critique dans une salle protégée par un accès contrôlé par un code confidentiel, par l’introduction d’une carte à puce et par une identification biométrique de l’œil droit. La protection est alors à son maximum, car pour entrer il faut fournir un élément que l’on sait (le code), que l’on possède (la carte) et que l’on est (l’œil).
Ce mécanisme permet effectivement de protéger un poste de travail mais il est coûteux d’un point de vue de la mise en œuvre (il nécessite une salle par PC ainsi que les lecteurs adéquats) et de l’exploitation (que se passe-t-il si un utilisateur oublie son code, perd sa carte et devient borgne de l’œil droit ?).
Les lois et règlementations
Les nouvelles règlementations, comme Sarbanes-Oxley par exemple, exigent de mettre en place des mécanismes qui permettent d’appliquer la politique de sécurité et de démontrer qu’elle est effectivement appliquée.
L’authentification de l’utilisateur est l’un des éléments clefs à prendre en compte.
Il faut effectivement authentifier l’utilisateur lors du lancement du poste de travail et/ou lors de la connexion à son application en appliquant les règles de la politique de sécurité mais aussi démontrer que la bonne méthode d’authentification est bien appliquée.
Arbitrage avec les coûts de mise en œuvre et d’exploitation
La mise en place d’une solution d’authentification forte doit aussi être analysée à l’aune des efforts pour sa mise en œuvre et son exploitation tels que :
Pour les opérations initiales
La création et la distribution des supports physiques (carte, clef,…) ou des éléments logiques (certificats X.509, mots de passe, données biométriques) aux utilisateurs,
La mise en place des lecteurs spécifiques, si nécessaires, sur les postes de travail,
La mise en œuvre de l’infrastructure logicielle adéquate (PKI, serveur Kerberos, serveur d’authentification biométrique,…),
L’intégration avec les applications ou avec le SSO d’Entreprise,
La formation des utilisateurs.Pour les opérations d’exploitation
La gestion d’un nouvel arrivant avec l’attribution de ses différents éléments,
La gestion de l’oubli d’un élément logique (oubli du mot de passe ou de l’identifiant),
La gestion de la perte d’un support physique et de son remplacement (perte d’une carte),
La gestion de l’invalidation d’un support (code pin grillé, données biométriques non valides,…).Ces efforts doivent être perçus comme des investissements qui vont permettre de protéger les données les plus sensibles de l’entreprise et d’appliquer la politique de sécurité correspondante.
L’authentification forte : du mot de passe à
l’authentification multi-facteurs, multi-supports.
Authentification ou identification ?
Il existe une différence toute simple entre identification et authentification : c’est la preuve.
Une identification s’appuie sur une simple déclaration comme la réception ou la lecture d’un code d’identification (identifiant, n° de série, code barre,…). Ce code d’identification n’est pas supposé secret. C’est une donnée publique.
L’authentification s’appuie sur un élément de preuve comme un secret partagé ou un secret asymétrique. L’authentification permet de s’assurer avec un niveau de
confiance raisonnable de l’identité de l’utilisateur.
Sept éléments d’authentification
Pour s’authentifier, un utilisateur fournit en général au moins 2 éléments :
son identifiant qui permet son identification.
un ou plusieurs éléments permettant d’assurer l’authentification elle-même.Nous retrouvons ainsi ces éléments sous des formes diverses. Voici les plus largement utilisés :
Type Description L’identifiant et le
mot de passe L’identifiant et le mot de passe sont le couple d’authentification le plus connu.
Simple, robuste, voire même rustique, son plus gros défaut est que le niveau de sécurité dépend directement de la complexité du mot de passe. Des mots de passes simples sont faibles, et des mots de passes trop complexes conduisent les utilisateurs à mettre en œuvre des stratégies de
contournement pour les gérer : Post-it, liste dans un fichier Excel ou dans le SmartPhone,…
L’identifiant et le mot de passe OTP (One-Time Password1)
L’OTP permet de sécuriser l’utilisation du mot de passe sur le réseau. En effet avec un système OTP, l’utilisateur possède un calculateur spécialisé qui lui fournit à la demande un mot de passe. Ce mot de passe est valide pendant une durée limitée seulement, et pour une seule utilisation.
Cette solution est en général mise en œuvre pour le processus d’authentification initiale pour les accès externes via IP/VPN
1 OTP : One Time Password ou encore Mot de Passe à usage unique.
Les certificats PKI sur carte à puce ou clef USB
Les certificats X.509 mettent en œuvre une technologie avancée de chiffrement qui permet de chiffrer ou signer des messages sans avoir à partager de secret.
L’identifiant est un certificat public qui est signé et donc garanti par une autorité de certification reconnue. L’utilisateur doit fournir un secret pour pouvoir utiliser les différents éléments cryptographiques : « le code PIN de sa carte ou de sa clef USB».
Cette solution est en général mise en œuvre pour le processus d’authentification initiale ou pour les connexions aux
applications Web ou de messagerie.
Clef « Confidentiel
Défense » Il s’agit d’une déclinaison particulière de l’exemple précédent.
C’est en général une clef multifonctions : stockage de certificat X.509, stockage de données, ressource cryptographique etc…
L’identifiant et le mot de passe sur une carte à puce
Le stockage de l’identifiant et du mot de passe sur une carte à puce permet de compléter la sécurisation du processus d’authentification. Le mot de passe peut ainsi être très
complexe et changé régulièrement de manière automatique et aléatoire. Sans la carte, et sans son code PIN, il n’y a plus d’accès au mot de passe.
Cette solution est généralement mise en œuvre pour le processus d’authentification initiale
Biométrie L’authentification par biométrie s’appuie sur la vérification d’un élément du corps de l’utilisateur (le plus souvent l’empreinte digitale).
Elle peut s’appuyer sur un serveur central, sur le poste ou sur une carte à puce pour stocker les données biométriques de l’utilisateur.
Cette solution est en général mise en œuvre pour le processus d’authentification initiale et/ou pour protéger l’accès à des applications très sensibles.
L’identification
sans contact Le RFID est une technologie qui aujourd’hui se déploie dans les projets d’Identification/Authentification. Une puce RFID est encastrée dans un badge et porte un numéro d’identification.
Ce numéro est ensuite associé à un utilisateur dans un système informatique. A la base c’est une technologie
d’identification qui peut, en étant couplée à un mot de passe fourni par l’utilisateur par exemple, être utilisé dans des procédures d’authentification.
Il existe 2 déclinaisons de cette technologie :
Le RFID passif ou HID, qui suppose que la carte ne possède pas d’alimentation propre. La carte est alimentée lors de la lecture par un champ électromagnétique généré par le lecteur.
Ce système est communément utilisé pour le contrôle d’accès physique par badge ou le paiement au restaurant d’entreprise.
La détection d’une carte HID se fait à quelque centimètre.
Le RFID actif s’appuie sur les protocoles de communication RFID mais associe à la carte une alimentation propre. Cette alimentation permet une détection de la carte à plus longue
portée (par exemple dès l’entrée dans une salle ou un bureau).
L’intérêt principal du RFID actif est de permettre un constat d’absence pour les postes de travail dans des zones accessibles au public
L’authentification multi-facteurs
Un facteur d’authentification est un élément que l’on sait (code secret), que l’on possède (support physique) ou que l’on est (biométrie).
Dès que plusieurs facteurs d’authentification entrent en jeu, nous parlons d’authentification multi-facteurs.
Exemples de système
d’authentification à 1 facteur : Identifiant + mot de passe (élément que l’on sait),
Identification sans contact (élément que l’on possède),
Biométrie ou identifiant + biométrie (élément que l’on est).
Exemples de système
d’authentification à 2 facteurs : Carte à puce + code PIN
(éléments que l’on possède ET que l’on sait),
Carte à puce + biométrie
(élément que l’on possède ET que l’on est),
Biométrie + mot de passe
(élément que l’on est ET que l’on sait)).
Exemple de système
d’authentification à 3 facteurs : Carte à puce + code PIN + biométrie (éléments que l’on possède ET que l’on sait ET que l’on est).
La multiplication du nombre de facteurs d’authentification augmente le niveau de sécurité général, mais pose les problèmes suivants :
Le cycle de vie de chaque facteur doit être géré : réinitialisation des mots de passe et codes PIN, distribution des cartes à puce, …,
L’ergonomie d’utilisation peut devenir trop contraignante pour les utilisateurs,
Les coûts des périphériques (cartes à puce, lecteurs, capteurs biométriques) sont additionnés. De plus, la charge du help-desk va s’accroître pour gérer l’ensemble de ces méthodes (déblocage des mots de passe et codes PIN, distribution des cartes, formation des utilisateurs à la biométrie, …).Le jeton
Une fois l’authentification initiale de l’utilisateur établie, il faut la transmettre aux applications cibles.
L’une des techniques utilisée est le « jeton » d’authentification. Ce « jeton » est un ensemble de données contenant les éléments prouvant l’identité de l’utilisateur qui le présente à l’application.
L’application cible doit pouvoir récupérer ce jeton, disponible sur le poste de travail, puis s’adresser à un serveur spécialisé qui lui confirmera la validité du jeton ainsi que l’identité associée.
Les jetons les plus répandus sont aujourd’hui les jetons Kerberos et les jetons SAML.
Les jetons de type Kerberos
Ces jetons, par exemple, sont mis en œuvre dans les environnements Windows.
Les jetons de type SAML (aussi appelée assertion SAML)
Ces jetons sont mis en œuvre dans des architectures SOA/J2EE/Web Services.
Les limites de l’approche par jeton
L’approche par jeton nécessite que les applications cibles soient capables de lire le
« jeton » et de dialoguer avec le serveur d’authentification. Malheureusement, les applications déjà en place (et même certaines nouvelles applications) ne peuvent pas toujours être adaptées simplement.
Le SSO d’entreprise permet de faire le lien entre l’authentification initiale de l’utilisateur et les applications cibles de la manière la plus universelle possible. Le SSO d’entreprise interface directement la fenêtre de demande d’identifiant/mot de passe de l’application cible qui n’a plus besoin d’être modifiée.
Le SSO d’entreprise permet d’appliquer l’authentification forte pour contrôler l’accès à toutes les applications
Le SSO d’Entreprise permet de fournir automatiquement aux applications cibles les identifiants et mots de passé qu’elles requièrent au lancement. Le SSO d’entreprise permet donc d’appliquer une politique à la gestion et l’utilisation de ces éléments.
Fonction de SSO et politique de sécurité : un exemple
La définition d’une politique de sécurité liée aux accès dépend des fonctionnalités de SSO disponibles que l’on peut appliquer aux applications et utilisateurs cibles en fonction de leurs types d’accès. Ces fonctionnalités sont par exemple :
Auto-apprentissage
Si l’utilisateur lance une application intégrée au système de SSO et pour laquelle le système de SSO ne connaît pas encore l’identifiant et le mot de passe à utiliser, le système de SSO demande à l’utilisateur de fournir son identifiant et son mot de passe pour cette application.
Comptes multiples
Lors du lancement par l’utilisateur d’une application intégrée au système de SSO et pour laquelle l’utilisateur possède plusieurs comptes applicatifs, le SSO offre à l’utilisateur le choix du compte sur lequel il souhaite se connecter.
Changements planifiés des mots de passe secondaires
Le SSO sait changer automatiquement les mots de passe en fonction de la politique de sécurité, soit en répondant à une demande de l’application soit en générant les actions qui feront apparaître la fenêtre de changement de mot de passe.
Le SSO permet alors de créer des mots de passe d’une grande longueur (par ex. 32 caractères) avec un format complexe et aléatoire. Ce mot de passe n’est alors plus du tout géré par l’utilisateur.
Délégation des accès
L’utilisateur peut, à partir de son poste de travail, déléguer ses accès à un autre utilisateur pour une période donnée et pour une application donnée. L’utilisateur délégué n’a pas besoin de connaître l’identifiant et le mot de passe de l’utilisateur déléguant pour se connecter aux applications cibles.
Intégration d’applications personnelles
L’utilisateur peut intégrer lui-même ses applications personnelles au sein du système de SSO. Dans ce cas, c’est lui qui définit les attributs associés à ses applications ainsi que les identifiants et mots de passe.
Ré-authentification pour accès sensible
Lors du lancement par l’utilisateur d’une application intégrée au système de SSO, ce dernier peut demander une ré-authentification dite primaire (la même que
l’authentification initiale) afin de vérifier si le demandeur est bien l’utilisateur courant.
Contrôler l’accès à une application en fonction du poste de travail
Le système de SSO peut limiter l’accès aux applications les plus critiques à partir d’un sous-ensemble donné de poste de travail. Par exemple, les applications de R&D ne peuvent être accessibles qu’à partir des postes du site de R&D.
L’accès via un portail Web à partir d’un browser quelconque sur Internet Certaines applications doivent pouvoir être accessibles via Internet à partir de n’importe quel poste de travail. Il faut alors que les mécanismes de SSO puissent aussi s’appliquer.
Un exemple de politique de Sécurité des accès
Voici un exemple basique de politique de sécurité des accès :
Classification des applications Attributs associés aux applications
Standards
Ce sont des applications qui sont utilisées par tout le monde (e-mail, notes de frais…). Les mots de passe doivent rester visibles pour certains utilisateurs qui doivent y accéder de l’extérieur via un portail web sécurisé
L’auto-apprentissage des identifiants et mots de passe est mis en oeuvre
La délégation est autorisée
Pas de ré-authentification lors du lancement de l’application
Accès Web via Internet CritiquesCe sont des applications dont l’utilisation est restreinte à une famille d’utilisateurs. Les mots de passe sont cachés afin de contrôler leur accès via la solution de SSO.
Les mots de passe sont cachés à l’utilisateur
Les changements de mot de passe sont gérésautomatiquement à la demande des applications
La délégation est autorisée
Pas de ré-authentification lors du lancement de l’application
Pas d’accès Web via InternetCritiques niveau supérieur
Ce sont des applications dont l’utilisation est restreinte à une famille d’utilisateurs. Leurs accès doivent être particulièrement protégés.
Les mots de passe sont cachés à l’utilisateur
Les changements de mot de passe sont gérésautomatiquement de manière planifiée
La délégation est interdite pour certains utilisateurs et autorisée pour d’autres (pour leséquipes de management).
Lors du lancement del’application, l’utilisateur doit se ré-authentifier
L’accès ne se fait qu’à partir des postes du service concerné ou à partir de la zone concernée (Public, front-office, back–offices,…)
Pas d’accès Web via Internet PersonnellesCe sont des applications que les utilisateurs veulent pouvoir intégrer au sein de leur SSO.
Les applications et les attributs sont définis par l’utilisateur (pas de délégation)
Les identifiants et les mots de passe sont définis par les utilisateurs
Pas d’accès Web via InternetLe SSO d’Entreprise permet d’intégrer l’authentification forte au sein de la politique de sécurité
Avec un SSO d’Entreprise, il devient possible d’intégrer différents modes
d’authentifications et de les appliquer en fonction du type de poste de travail. Par exemple, il est possible de mettre en œuvre
Une authentification biométrique pour protéger les postes et donc l’accès aux applications de R&D,
Une authentification RFID Actif qui permet de gérer l’accès aux postes en self- service
Une authentification par Identifiant / OTP pour protéger les accès externes via IP/VPN
Une authentification par carte à puce X.509 pour protéger les accès Internet Web sur un navigateur quelconque.
Une authentification par identifiant/mot de passe pour les postes « banalisés » Le SSO d’Entreprise peut alors gérer les accès aux applications cibles en fonction du poste et du type d’authentification.La ré-authentification
Lors du lancement d’une application sensible, le moteur de SSO peut redemander une ré-authentification. Pour les postes équipés d’un module d’authentification forte, c’est ce type de ré-authentification qui est alors redemandé.
Cette fonction permet d’appliquer l’authentification forte à une application fonctionnant avec une authentification identifiant et mot de passe, et ce sans changer l’application concernée.
Les 7 méthodes d’authentification les plus utilisées
L’infrastructure d’authentification Windows
La mise en oeuvre d’une authentification forte en environnement Windows nécessite de s’intégrer à l’infrastructure d’authentification de Windows. Il faut parfois remplacer ou compléter les composants Windows existants. Ces composants sont, par
exemple :
Le module d’authentification2 du PC qui se charge de l’authentification initiale et de la gestion des exceptions initialisé par « Ctrl+Alt+Supr ». C’est lui qui doitalimenter le log de sécurité pour la partie authentification initiale en complément des authentifications aux applications cibles.
L’annuaire des utilisateurs qui peut être Active Directory.
L’infrastructure Microsoft PKI qui permet de délivrer des certificats X.509.De plus lorsque l’on met en place des lecteurs spécifiques (biométrie, carte à puce,…) il faut installer sur Windows les éléments (les drivers) qui permettront de gérer le dialogue avec ces éléments.
(1) Identifiant et mot de passe
Cette méthode ne requiert aucune modification de l’infrastructure d’authentification Windows en place. Il suffit d’installer sur le poste de travail le module de SSO d’Entreprise pour appliquer la politique de sécurité des accès.
(2) Identifiant et OTP (One-Time Password) Architecture et principe
L’utilisateur possède un “calculateur” spécifique qui va lui permettre à la connexion de fournir un mot de passe valide durant une période limitée.
Pour pouvoir utiliser son calculateur, il doit tout d’abord y introduire un mot de passe.
Le calculateur lui fournit alors en retour un mot de passe à usage unique que l’utilisateur va, à son tour, fournir au module d’authentification du PC.
Le module d’authentification dialogue ensuite avec le serveur OTP pour s’assurer de la validité des informations fournies et pour accepter ou non la connexion.
2 Ce module est aussi connu sous le nom de GINA.
Figure 1 : Mécanismes OTP
L’une des utilisations principales de ce système par les organisations est la
sécurisation des accès sur IP/VPN à partir des PC situés au domicile des employés.
Mise en œuvre et exploitation
Cette solution suppose en générale la mise en œuvre d’un ou plusieurs serveurs spécifiques d’authentification accessibles en 24x7.
Chaque utilisateur doit posséder une calculatrice spécifique et le mot de passe associé.
Il faut donc mettre en place les procédures de gestion des demandes utilisateurs suite à la perte ou l’oubli d’une calculatrice ou à l’oubli d’un mot de passe.
(3) La clef USB ou carte à puce PKI
Les solutions à base de PKI commencent à se déployer effectivement pour assurer les authentifications initiales.
La mise en œuvre d’une solution à base de carte à puce et de certificat suppose l’agrégation de plusieurs composants
La carte avec son lecteur ainsi que le code logiciel associé qui doit être installé sur le poste de travail.
L’infrastructure de certificat X.509 doit fournir les différents composants d’une infrastructure PKI : l’Autorité de Certification et l’Autorité d’Enregistrement.
Le CMS (Card Management System) qui va gérer l’attribution des cartes (voir plus bas).
Le module d’authentification Windows.Serveur d’authentification
Validation de l’identifiant et du mot
de passe unique
Le serveur d’authentification.Les différents types de cartes
Il y a principalement deux grandes familles de carte :
Les cartes à puce cryptographique ( ) qui nécessitent un lecteur. Elles permettent d’intégrer d’autres technologies pour d’autres usages, comme par exemple : une antenne sans contact (accès physique), ou une piste magnétique (cantine, badgeur).
Les clefs USB (avec puce) qui n’ont pas besoin de lecteur et peuvent se connecter directement au PC avec les pilotes appropriés. Ces clefs USB peuvent apporter des fonctions complémentaires comme un disque externe.L’infrastructure de PKI
Une infrastructure à clé publique est en règle générale composée de trois entités distinctes :
L'autorité d'enregistrement (AE). Cette entité est chargée des opérations administratives telle que la vérification de l’identité de l’utilisateur ou le suivi des demandes.
L'autorité de certification (AC). Cette entité est chargée des tâches de création de certificats ou de signature des listes de révocation
L'Autorité de dépôt (AD). Cette entité est chargée de la conservation en sécurité des certificats à des fins de recouvrement.
Les fonctions du CMS
Un Card Management System doit pouvoir effectuer les fonctions suivantes :
Création d’une carte pour un nouvel employé : association de la carte à un employé et, dialogue avec l’AC de la PKI pour récupérer le certificat de l’employé et le mettre dans la carte
Prêt d’une carte temporaire à un employé lorsque l’employé a oublié sa carte
Mise en liste noire (blacklist) d’une carte perdue (ou retrait de la liste noire si elle est retrouvée)
Déblocage en local ou à distance d’un code pin qu’un utilisateur a « verrouillé » Il doit être utilisable par le help desk pour gérer les fonctions de déblocage d’un code pin et par les structures d’accueil des différents sites pour la création et l’affectation d’une carte ou pour le prêt d’une carte.Le module d’authentification
Le module d’authentification du poste doit permettre d’authentifier l’utilisateur : 1. Il demande l’identifiant et le code PIN de sa carte à l’utilisateur
2. Il vérifie auprès du CMS que la carte n’est pas dans la « liste noire » des cartes 3. Il récupère le certificat public dans la carte, vérifie sa signature et vérifie qu’il
n’est pas publié dans la « liste noire »
4. Il demande à la carte de signer un challenge et vérifie (ou fait vérifier par un serveur) que la signature correspond bien au certificat public
En cas de validation des éléments, ce module autorise l’accès au poste de travail sous l’identité requise.
Il doit également gérer d’autres évènements :
La perte ou l’oubli du code PIN. Le module d’authentification doit pouvoir permettre à l’utilisateur qui est au bout du monde et qui ne peut pas appeler son help-desk de récupérer un mot de passe ou un code pin en répondant à quelques questions.
La réinitialisation à distance du code PIN d’une carte par le help-desk.
La sécurisation du poste de travail lors du retrait de la carte : fermeture de la session Windows, ou verrouillage simple.
La mise en œuvre du « Changement rapide d’utilisateur » qui permet de changer rapidement le contexte du SSO d’entreprise et d’ouvrir les applications cibles dans le contexte de sécurité personnel de l’utilisateur.Le module d’authentification est au cœur d’une authentification à base de PKI.
Figure 2 : Le module d’authentification du poste au cœur de l’authentification forte
(4) La clef “Confidentiel Défense”
La clef « confidentiel défense » est une déclinaison particulière de l’exemple précédent. C’est en général une clef multi-fonctions : stockage de certificat X.509, stockage de données, ressource cryptographique pour le chiffrement à la volée du disque dur ou de tout autre composant comme la VoIP ou des flux applicatifs PC/Serveur.
Afin de contrer les risques des « key loggers3 », le code PIN d’une telle clef est composé sur la clef elle-même afin d’éviter l’utilisation du clavier.
Cette clef est capable de transporter de manière sécurisée les différents éléments du SSO d’entreprise qui devient alors portable et utilisable sur n’importe quel poste.
3 Un « key logger » est un code malveillant qui s’installe à l’insu de l’utilisateur sur son PC et qui enregistre les touches frappées par l’utilisateur pour ensuite les envoyer à un serveur.
Module d’authentification PKI
Infrastructure
Vérifie la validité du certificat et du code PIN
CMS Vérifie la validité
de la carte Réinitialise le code PIN
Authentification initiale Re-authentification
Réinitialisation du code PIN Retrait de la carte
E-SSO
Répond aux demandes de re-authentification
Ce type de clef, véritable coffre-fort électronique, permet de mettre en place une solution portable, intégrée et sécurisée d’Authentification forte et de SSO d’Entreprise.
(5) La carte à puce avec identifiant et mot de passe
Une solution plus légère permet d’utiliser la carte à puce pour stocker l’identifiant et le mot de passe Windows de l’utilisateur. A l’authentification de l’utilisateur, le module d’authentification du poste va utiliser ces éléments pour authentifier l’utilisateur auprès de l’annuaire LDAP.
La carte sera alors utilisée pour protéger les données de sécurité, comme par exemple, les mots de passe SSO.
Il n’y a plus besoin d’infrastructure PKI ; seuls le CMS et le SSO d’Entreprise restent nécessaires.
(6) Les solutions biométriques
Les solutions biométriques utilisent des lecteurs biométriques pour contrôler les accès physiques.
Il y a relativement peu de fournisseurs de lecteurs biométriques. Certains
constructeurs de portable proposent une option pour intégrer ce type de lecteur dans le corps du portable.
Les solutions de biométrie sont en général utilisées à l’intérieur de l’entreprise pour protéger l’accès aux applications les plus sensibles. Il n’y a pas actuellement de normes appliquées par les navigateur du marché qui permettraient de contrôler les accès à partir de n’importe quel PC sur internet.
Les trois familles de solution de biométrie
Le stockage et la gestion des données biométriques se sont heurtés aux
règlementations régissant la protection de l’individu. Certains pays, par exemple, n’autorisent pas la mise en place de bases de données centrales de données biométriques.
Les solutions de biométrie permettent de mettre en œuvre trois types différents d’architectures.
Stockage des données
de biométrie Vérification de l’authentification Solution à base de serveur Dans le serveur Par le serveur Solution poste Sur le poste de
l’utilisateur Par le poste de travail Solution à base de carte
cryptographique Dans la carte
cryptographique Par la carte à puce ou par le poste de travail
Les solutions de biométrie avec serveur
Elles s’appuient sur les composants suivants ;
Un serveur central,
Un module d’enrôlement des signatures biométriques,
Un module d’authentification spécifique pour gérer l’authentification.Les solutions locales
Ces solutions évitent le stockage centralisé des signatures biométriques en stockant toute donnée sensible sur le poste de l’utilisateur.
Si cette solution est plus acceptable d’un point de vue légal dans de nombreux pays, elle pose le problème de la mobilité des utilisateurs dans l’entreprise.
Les solutions de biométrie avec carte à puce.
Ces solutions évitent également l’utilisation d’un serveur central, tout en donnant à l’utilisateur la possibilité de se déplacer au sein de l’entreprise. En effet, ses
signatures biométriques sont conservées sur sa carte à puce et le suivent sur tous les postes de travail.
Si cette solution est à la fois plus sécurisée et mieux acceptée dans de nombreux pays, elle nécessite l’utilisation d’un « Card Management System » pour le
déploiement des cartes et de disposer de tous les périphériques nécessaires sur les différents postes de travail.
(7) Le RFID Actif
Les solutions à base de RFID Actif mettent en oeuvre le protocole RFID pour identifier l’utilisateur sans contact physique, à quelques mètres de distance.
Le badge de l’utilisateur possède une alimentation propre qui lui permet de dialoguer avec une antenne connectée au PC.
Le PC est alors capable de détecter l’arrivé ou le départ d’un utilisateur sans que ce dernier n’ait besoin de faire aucune action particulière. Il est possible de modifier les différents paramètres qui régissent les réactions du PC comme :
1. La distance de détection de l’arrivée d’un utilisateur et la distance de détection du départ d’un utilisateur
2. L’action à mettre en oeuvre lors du départ d’un utilisateur : fermeture de la session Windows, verrouillage de la session ou encore laisser le PC en l’état 3. L’action à mettre en œuvre lors de l’arrivée d’un utilisateur : demander le mot de
passe Windows ou non, débloquer l’écran de veille…
4. L’action à mettre en oeuvre lorsque plusieurs utilisateurs sont détectés en même temps
Ces différents paramètres permettent de décrire différents scénarios d’utilisation avancée comme par exemple : le « changement rapide d’utilisateur » dans le service des Urgences d’un hôpital ou encore la protection d’un poste de travail dans la zone publique d’une agence bancaire.
Les éléments d’une solution de RFID Actif
Les principaux éléments d’une solution de RFID Actif sont :
les éléments physiques tels que les badges des utilisateurs et l’antenne pour chaque PC
Le module d’authentification à installer sur le PC
Le Badge Management System qui va gérer les badges et dialoguer avec le module d’authentification des postes pour l’identification des badges, et la gestion des identifiants et mots de passe d’ouverture de session.Un exemple de politique d’authentification
Prenons l’exemple d’une organisation qui, pour des raisons légales et à la suite d’un incident grave ayant provoqué le vol de données sensibles, doit mettre en œuvre une politique d’authentification avancée. Elle décide alors de mettre en place les règles suivantes pour l’authentification initiale.
1. L’identifiant et le mot de passe sont les moyen standard d’authentification. Le mot de passe devra avoir au moins 10 caractères dont 2 au moins numériques et 2 au moins alphabétiques. Il devra être modifié tous les mois.
2. Les applications Web accessibles depuis Internet doivent être protégées par une carte à puce cryptographique avec certificat X.509 (PKI)
3. La biométrie est utilisée en interne pour protéger les applications de R&D 4. Le RFID Actif est utilisé pour protéger les PC des succursales qui sont en zone
« Open Space » publique. Seules certaines applications sont accessibles à partir de ces PC.
C’est le SSO d’entreprise qui va permettre d’appliquer effectivement cette politique.
Règle 1 : politique de changement de mot de passe
La politique de mot de passe ainsi définie est extrêmement contraignante. Un utilisateur ne peut pas appliquer pour toutes ses applications. C’est le SSO d’entreprise qui va s’en charger.
Par contre, l’utilisateur devra et pourra pour son authentification Windows appliquer effectivement cette politique.
Règle 2 : Accès aux applications Web via Internet
L’accès Web du moteur de SSO va permettre de mettre en place une authentification carte X.509 sans avoir à modifier les applications cibles qui pourront fonctionner avec leur identifiant et mot de passe. Ces derniers sont les mêmes que ceux fournis par l’utilisateur depuis son PC à l’intérieur de l’organisation ou par Internet.
Règle 3 : Protection des applications les plus sensibles par biométrie
Le moteur de E-SSO va permettre de restreindre l’accès aux applications R&D aux seuls postes de R&D équipés de lecteurs biométriques pour l’authentification. Un utilisateur pourra, au choix, utiliser un PC normal pour se connecter à ses applications classiques ou utiliser un PC avec lecteur biométrique lorsqu’il souhaite se connecter à ses applications R&D, en plus de ses applications.
Règle 4 : l’accès en zone publique
Le SSO d’entreprise permettra aux utilisateurs d’utiliser l’identification par badge RFID actif pour accéder aux seules applications autorisées en zone publique.
Le SSO d’entreprise intègre l’authentification forte au sein de la politique de sécurité
Mettre en place une solution d’authentification avancée pour l’authentification initiale ne sert à rien si l’on n’a pas réglé les problèmes liés à l’authentification pour l’accès aux applications cibles.
Le SSO d’entreprise va permettre de déployer efficacement une politique globale d’authentification sur le Système d’Information :
Gestion et sécurisation des accès aux applications cibles
Filtrage des applications en fonction du PC et du mode d’authentification associé
Consolidation des informations de logs pour tous les types d’authentification (initiale et aux applications cibles).Evidian peut vous aider à mettre en place un projet d’authentification de vos utilisateurs et de contrôle d’accès à vos applications.
Pour plus d’information, vous pouvez nous contacter sur : http://www.evidian.com/evidian/contacts.php&c=lbstrauth
Pour plus d'informations, consulter le site www.evidian.com/
Email : info@evidian.com
