[Security] – Protocoles et systèmes d’authentifications, partie 1 – Introduction aux systèmes d’authentifications

[Security] – Protocoles et systèmes d’authentifications, partie 2 – comprendre comment Windows stocke et gère votre identité au sein du réseau d’entreprise – http://danstoncloud.com/blogs/jordanlaurent/archive/2013/12/07/security-protocoles-et-syst-232-mes-d-authentifications-partie-2-comprendre-comment-windows-stocke-et-g-232-re-votre-identit-233-au-sein-du-r-233-seau-d-entreprise.aspx

[Security] – Protocoles et systèmes d’authentifications, partie 3.1 – Protocoles d’authentification – Local Authentication – http://danstoncloud.com/blogs/jordanlaurent/archive/2013/12/09/security-protocoles-et-syst-232-mes-d-authentifications-partie-3-1-protocoles-d-authentification-local-authentication.aspx

[Security] – Protocoles et systèmes d’authentifications, partie 3.2 – Protocoles d’authentification – Basic Authentication – http://danstoncloud.com/blogs/jordanlaurent/archive/2013/12/20/security-protocoles-et-syst-232-mes-d-authentifications-partie-3-2-protocoles-d-authentification-basic-authentication.aspx

[Security] – Protocoles et systèmes d’authentifications, partie 3.3.1 – Protocoles d’authentification – Introduction aux Challenge-Response Protocols – http://danstoncloud.com/blogs/jordanlaurent/archive/2013/12/23/security-protocoles-et-syst-232-mes-d-authentifications-partie-3-3-1-protocoles-d-authentifications-challenge-response-protocols-digest-authentication.aspx

[Security]
– Protocoles et systèmes d’authentifications, partie 3.3.2 – Protocoles
d’authentification – Digest Authentication –
http://danstoncloud.com/blogs/jordanlaurent/archive/2014/01/10/security-protocoles-et-syst-232-mes-d-authentifications-partie-3-3-2-protocoles-d-authentifications-digest-authentication.aspx


Cet article sur la sécurité des objets et des protocoles d’authentifications prise en charge par Microsoft sera écrit en plusieurs parties étant donné la densité du sujet et celui-ci couvrira la première partie « introduction aux systèmes d’authentifications ». 

Dans un précédent article, nous avions expliqué que les ordinateurs ou utilisateurs peuvent être appelés dans le langage courant des « sujets » et dans la terminologie Microsoft des « entités principales de sécurité » (Security Principals).

Si cette notion fondamentale ne vous paraît pas claire, je vous conseille de lire cet article avant de commencer celui-ci 🙂 – http://danstoncloud.com/blogs/jordanlaurent/archive/2013/11/29/active-directory-concepts-des-annuaires-informatiques-sujet-objet-et-quot-action-tuple-quot.aspx

Une fois que vous avez compris ce concept, vous serez donc d’accord pour dire que cet entité principal de sécurité a besoin de prouver qu’il est vraiment celui qu’il prétend être pour accéder à des ressources de votre réseau. Prenons un cas très classique dans le monde réel dans lequel vous souhaitez acheter quelque chose avec une carte de crédit dans un magasin…

Vous avez votre identité: vous. Toutefois, le personnel du magasin ne sait pas qui vous êtes et votre achat pourrait nécessiter une preuve d’authentification supplémentaire. Pour apporter la preuve que la carte de crédit vous appartient, vous utilisez un authentificateur (comme une carte d’identité ou un passeport) et vous le présentez alors à l’employé du magasin. Nous pourrions donc dire que votre carte d’identité ou votre passeport sert dans ce cas de protocole d’authentification.

Le monde virtuel (informatique) n’est pas différent, à l’exception que l’entité à laquelle vous faites appel pour vous authentifier comprend dans notre exemple qu’une signature (sur le dos de votre carte de crédit) et n’est pas un authentificateur « fiable », elle ne fournit absolument aucune preuve d’identité, ce que signifie que vous avez besoin d’une forme d’authentification plus forte!

 

  • Les 3 types d’authentificateurs standards

De manière générale, vous pouvez prouver votre identité au sein d’un système informatique (ou de la vie quotidienne!) en utilisant un des trois systèmes ci-dessous.

 – Fournir quelque chose que vous connaissez – Un secret que vous connaissez (partagé avec le système auquel vous accédez) est la manière la plus simple (et la plus répandue) de prouver votre identité. Le mot de passe en est un parfait exemple!

 – Fournir quelque chose que vous avezUn jeton (token) que vous avez en votre possession est un système différent d’authentificateur. Vous vous authentifiez vous-même  en prouvant que vous êtes en possession de ce jeton. Un bon exemple de ce système est la carte à puce (smart card) ou un dispositif de mot de passe unique lié à votre appareil comme un jeton RSA (http://www.rsa.com/node.aspx?id=1156). Ces types de jetons sont presque toujours associées à quelque chose que vous savez, et améliorent la sécurité des demandes d’authentification. On parle alors d’authentification forte.

 – Fournir quelque chose qui vous caractérise – Le dernier authentificateur utilisé / définit est celui qui utilise quelque chose qui vous caractérise pour prouver votre identité. Nous rentrons alors dans la catégorie des authentificateurs biométriques…Les exemples de cette catégorie sont nombreux (Analyse de la rétine, empreintes digitales, échantillons de sang, reconnaissance vocale). Certains systèmes peuvent même prendre en compte la cadence de frappe d’un mot de passe avec un clavier d’ordinateur. Vous me direz que cela est discutable et que même dans le monde de la biométrie, certains systèmes permettent de s’assurer que la donnée envoyée qui vous caractérise est plus unique qu’une autre (un échantillon de votre sang le sera – l’ADN est unique – mais difficile à utiliser dans l’informatique!!)…par exemple, Windows 8 prend en charge l’authentification en analysant votre visage (via WBF – Windows Biometric Framework – http://danstoncloud.com/blogs/jordanlaurent/archive/2012/01/02/les-quot-pictures-passwords-quot-dans-windows-8-windows-8-developer-preview.aspx). Sommes-nous sûr que chaque forme de visage est unique? Et au délà de cette simple question, encore faut-il connaître les caractéristiques prise en charge par l’authentificateur (ici Windows 8), prend t’il en charge chaque infime partie de la forme du visage ou une forme beaucoup plus globale? Cela pourrait poser un problème d’authentification si une personne vous ressemble fortement (il suffit de regarder une série TV ou un bon vieux film d’espionnage pour observer que cette méthode est souvent utilisé). Un système externe pourrait également « facilement » capturer et rejouer la séquence d’authentification sans nuire ou gêner le sujet initial…

Comment dit plus haut, les systèmes biométriques sont malheureusement souvent imprécis quand à l’exactitudes des informations envoyées. Alors que l’ADN fournit une correspondance exacte, la plupart des gens seraient réticents à donner un échantillon de sang pour utiliser un ordinateur. La plupart des facteurs biométriques ne sont pas aussi précis que l’analyse d’un échantillon sanguin. Par exemple, les empreintes digitales sont considérés comme étant unique…cependant, il n’est pas certain que l’enregistrer de multiples fois donnent des résultats exactes. Par conséquent, les systèmes d’authentification biométriques fonctionnent généralement sur ​​une plage de valeurs acceptables. Sur cette base, le système développe la gamme acceptable pour votre authentificateur.

 

  • Les lacunes dont souffrent les systèmes biométriques

Premièrement, ils nécessitent des dispositifs matériels à usage spécifique à chaque client.

Deuxièmement, les méthodes biométriques sont imprécises. Avec certaines méthodes, cela peut être fatal. Si pour une raison quelconque, votre authentificateur biométrique a changé, votre authentification échouera (Par exemple, si vous utilisez la reconnaissance vocale et que vous êtes malade ou fatigué, cela affectera votre voix…).

Troisièmement, beaucoup de personnes considèrent l’authentification biométrique très intrusive. En effet, avoir des détails extrêmement personnelles telles que les empreintes digitales stockées sur un système informatique n’est pas du goût de tout le monde!

Quatrièmement, de nombreux experts en sécurité estiment les dispositifs biométriques survendus. Les entreprises dans le secteur de la vente de systèmes biométriques font souvent des revendications impossibles ou de la mauvaise information (parfois trop marketing… – lors de l’achat pré-intrégré d’un dispositif d’empreintes digitales chez un constructeur, vous trouverez généralement deux gammes différentes…un authentificateur biométrique à quelques dizaines d’euros…et un autre coûtant plus de cent euros mais certifié FIPS – Federal Information Processing Standards – en d’autres mots réputé inviolable)  Par exemple, une entreprise qui fabrique une solution logicielle qui mesure la frappe de cadence prétend protéger les clients contre les enregistreurs de frappe (keystroke logging). C’est impossible En effet, l’utilisateur doit toujours taper le mot de passe sur un client, et un enregistreur de frappe sur le client pourrait être facilement « amélioré » ou détourné pour capturer tous les informations que le logiciel biométrique capture. Le dispositif pourrait également comporter un « backdoor » et cette information pourrait être facilement rejoué pour s’authentifier avec succès. Nous pourrions également soutenir le même argument au niveau des navigateurs web qui stockent vos mots de passe à la demande de l’utilisateur (Webmail, portail d’authentification, etc.) et les nombreux sites web qui utilisent le système de « cookies » qui seront stockés sur votre ordinateur pour améliorer votre « confort » de navigation sur Internet…

Cinquièmement, il y a une idée fausse que les systèmes biométriques sont sûrs parce qu’ils sont intrinsèquement une part de l’utilisateur et ne peuvent pas être laissées à la traînela façon dont les mots de passe écrits sur un post-it caché en dessous un clavier…nous avons tous connus ça de la part de nos chers utilisateur 🙂 ). De plus, cela n’est pas seulement lié au fait que les séquences d’authentification biométriques peuvent être capturés, comme les empreintes digitales sur un verre, mais les jetons eux-mêmes sont aussi amovibles (l’exportation de la clé est techniquement possible!).

Pour finir, il y a relativement peu de choix pour les authentificateurs biométriques. Dans un système utilisant les empreintes digitales, vous n’avez qu’une dizaine de choix différents auprès des constructeurs d’ordinateurs professionnels… Si l’un d’eux est compromis ou perdue il vous en restera neuf. La capture et la relecture d’informations d’identification est un risque réel, le manque de choix d’authentificateurs est une menace à ne pas prendre à la légère.

Choisir une solution de sécurité fiable, autant pour la communication serveur-serveur ou client-serveur, n’est pas une chose simple. C’est pour cela que le système de certificat (catégorie 2 – « fournir quelque chose que vous avez ») géré par une infrastructure à clés publiques (PKI – Public Key Infrastructure) est devenu aujourd’hui chose courante pour effectuer une authentification forte. La sécurité au sein de votre système informatique est un gros projet mais est heureusement pris en compte par de plus en plus entreprises pour cacher les informations que celles-ci transmettent (Intranet ou Internet). Cela sera traité dans une partie spécifique de cet article sur la sécurité dans le monde Microsoft…mais procédons par étape, pour être tous sur la même longueur d’onde 🙂 à la lecture de ces parties complexes.

La 2e partie de cet article portera sur « comprendre comment Windows stocke et gère votre identité au sein du réseau d’entreprise ».

Ressources :

PASSWORD SAFE – DESIGNED BY THE RENOWNED CRYPTOGRAPHER : Bruce Schneier – http://passwordsafe.sourceforge.net/

VALIDATED FIPS 140-1 AND FIPS 140-2 CRYPTOGRAPHIC MODULES – http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401val2013.htm

WINDOWS BIOMETRIC FRAMEWORK OVERVIEW – http://technet.microsoft.com/en-us/library/hh831396.aspx

WHAT’S NEW IN BIOMETRICS IN WINDOWS 8.1 – http://technet.microsoft.com/en-us/library/dn344916.aspx

INTRODUCTION TO THE WINDOWS BIOMETRIC FRAMEWORK – http://msdn.microsoft.com/en-us/library/windows/hardware/gg463089.aspx

Non classé

jordanlaurent

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *