Authentification forte

Un article de Wikipédia, l'encyclopédie libre.

Cet article est une ébauche à compléter concernant la sécurité informatique, vous pouvez partager vos connaissances en le modifiant.

[modifier] Introduction

En sécurité des systèmes d'information, une authentification forte est une procédure d'identification qui requiert concaténation d'au moins deux éléments ou « facteurs » d'authentification qui sont :

ce que l'entité connaît (un mot de passe, un code NIP, une phrase secrète, etc.),
ce que l'entité détient (une carte magnétique, RFID, une clé USB, un PDA, une carte à puce, etc. Soit un « Authentifieur » ou « Token »),
ce que l'entité est, soit une personne physique (empreinte digitale, empreinte rétinienne, structure de la main, structure osseuse du visage ou tout autre élément biométrique)
ce que l'entité sait faire, soit une personne physique (biométrie comportementale tel que signature manuscrite, reconnaissance de la voix, un type de calcul connu de lui seul, etc.)

Dans la majorité des cas l'entité est une personne physique - individu - personne morale, mais l'entité peut être une machine comme par exemple un serveur web utilisant le protocole SSL ou encore une applet, et.

Le schéma ci-dessous illustre quelques possibilité d'authentification forte pour un individu.

On peut considérer que l'authentification forte est une des fondations essentielle pour garantir:

l'autorisation ou Contrôle d'accès (Qui peut y avoir accès?)
la Confidentialité (Qui peut le voir)
l'Intégrité (Qui peut le modifier)
La traçabilité (Qui l'a fait)

Le schéma ci-dessous illustre cette fondation de base sous la forme d'une pyramide: La pyramide de l'authentification forte.

[modifier] Pourquoi l'Authentification Forte ?

Le mot de passe est actuellement le système le plus couramment utilisé pour identifier un utilisateur. Il n’offre plus le niveau de sécurité requis pour assurer la protection de biens informatiques sensibles. Sa principale faiblesse réside dans la facilité avec laquelle il peut être trouvé, grâce à différentes techniques d’attaques. Mis à part l’approche, efficace, de l'Ingénierie sociale («social engineering»), on recense plusieurs catégories d’attaques informatiques pour obtenir le mot de passe:

Attaque par force brute
Attaque par dictionnaire
Ecoute du clavier informatique (keylogger)
Ecoute du réseau (Password Sniffer): plus facilement avec les protocole réseau sans chiffrement, comme HTTP, Telnet, FTP, LDAP, etc.
L'hameçonnage (ou filoutage), appelé en anglais phishing
Attaque de l'homme du milieu ou man in the middle attack (MITM): par exemple avec les protocoles SSL ou SSH

[modifier] Technologies d'authentification forte

[modifier] One Time Password

Mot de passe à usage unique. Cette technologie permet de s'authentifier avec un mot de passe à usage unique. Cette technologie est basée sur le partage d'un secret partagé. Il n'est donc pas possible de garantir la non-répudiation avec cette technologie.

[modifier] Certificat Numérique X.509 (PKI)

PKI ou Infrastructure à clés publiques
PKINIT Smart Card Logon pour un environement Microsoft

[modifier] Biométrie

Biométrie
Technologie Match on Card

[modifier] Autres

La liste a biffer ou TAN (Transaction Authentication Number¨)
Bingo Card ou carte matriciel
Utilisation des SMS

[modifier] « Authentifieur » ou « Token » de type OTP

Ce type de « Token » est basé sur un secret partagé unique. Le « Token » contient le secret. Le serveur d'authentification contient le même secret. Grace au partage de ce dénominateur commun il est alors possible de générer des mots de passe à usage unique (One Time Password). Du fait que ce type de Token utilise un secret partagé il n'est pas possible d'assurer la non-répudiation. La technologie du certificat numérique permet a contrario de garantir la non-répudiation.

Il existe deux modes de fonctionnement:

Le fonctionnement dit Synchrone
Le fonctionnement dit Asynchrone

[modifier] Token basé sur le temps

Ces tokens utilisent, en plus du secret partagé, un dénominateur commun qui est le temps. Chaque partie est synchronisée sur le temps universel (UTC). On utilise alors un Code NIP comme deuxième facteur d'authentification. Ces Token sont défini comme une technologie dite Synchrone. Chaque minute, par exemple, ces Token affichent un nouveau « Token Code », le One Time Password.

Le schéma ci-dessous explique le fonctionnement basé sur une Fonction de hachage:

L'exemple le plus connue est SecurID de la société RSA.

[modifier] Token basé sur un compteur

Ces tokens utilisent, en plus du secret partagé, un dénominateur commun qui est un compteur. Chaque partie se syncronise sur le compteur. On utilise alors un Code NIP comme deuxième facteurs d'authentification. Le Code NIP peut être entré sur un mini clavier. Comme la technologie basée sur le temps, ces Token ne sont pas capable d'offrir la non-répudiation. Ces Token sont défini comme une technologie dite Synchrone.

Le schéma ci-dessous explique le fonctionement basé sur une Fonction de hachage:

[modifier] Token basé sur un mécanisme de « Challenge Response »

[modifier] Type « d'Authentifieur » ou « Token » de type PKI

[modifier] Carte à puce

Pour sécuriser la clé privée et stocker le certificat numérique, la carte à puce est une solution très efficace. Cette technologie permet aussi d'implémenter d'autres fonctions telles que sécurité des batiments, badgeuse, etc.

Généralement, la carte à puce est liée à l'utilisation d'un code NIP.

[modifier] Token USB

Ces Token utilise la même technologie cryptographique que les cartes à puces. Ce type de Token est capable de stocker, générer du matériel cryptographique de façon très sécurisé. Ces Token sont définit comme une technologie dite connectée. En d'autre termes il est nécessaire de « brancher » ce Token sur l'ordinateur via le port USB. L'inconvénient majeur de cette technologie est qu'elle n'est pas vraiment portable. Par exemple il est difficile d'utiliser son Token sur une « borne » Internet (Kiosk, Hôtel, etc.).