l\'authentification forte : concept et technologies
DESCRIPTION
Présenter le concept d’authentification forte avec quelques techniques de mise en oeuvre pour illustration.Site de l’exposé : http://www-igm.univ-mlv.fr/~dr/XPOSE2010/authentificationForte/index.php#introductionTRANSCRIPT
Authentification ForteConcept et Technologies
Ibrahima FALL Ingénieurs 2000
!
1
Identité numérique
Monde virtuel
2
Des techniques d’attaque
• Phishing
• Sniffing
• Keylogger (6191 keyloggers recensés en 2008)
• Man in The Middle
• Ingénierie sociale (efficace)
3
Solution???Monde virtuel
Monde réel
4
Agenda
• Concept de l’authentification forte
Authentification forte?
Domaines d’application
• Technologies d’authentification forte
• Informations supplémentaires
• Conclusion
5
Les facteurs d’authentification
Mémoriel
6
Les facteurs d’authentification
Matériel
7
Les facteurs d’authentification
Corporel
8
Les facteurs d’authentification
Réactionnel
9
L’authentification simple
Un - Facteur
Authentification Simple
10
L’authentification forte
au moins Deux - Facteurs
Authentification Forte
11
Domaines d’application
12
Domaines d’application
• Au sein de l’entreprise
postes du front office
postes self-service en agence
• En dehors de l’entreprise
Accès distant aux ressources
13
Agenda
• Concept de l’authentification forte
• Technologies d’authentification forte
OTP Carte à puce
RFID Biométrie
• Informations supplémentaires
• Conclusion
14
OTP(One Time Password)
+
15
Environnement externe
Entreprise
Architecture OTP
TOKENS
Protocole sécurisé( RADIUS - SSL/TLS )
Interne
Serveur d’authentification(Module OTP)
Serveurd’annuaire
Nomade
Module d’authentification
LEGENDE
16
Famille OTP
• OTP Asynchrone
Challenge/Response
• OTP Synchrone
Temps
Compteur
17
OTP Asynchrone
Client
Serveur
753..159
chiffre le challenge à l’aide de k et d’un algo de chiffrement
génère et formate le résultat (OTP)
K partagé avec le serveurAF1..9C3
génère un challenge
compare les deux réponses
18
Etape 1
Etape 2
Etape 3
génère et formate le résultat (OTP)
chiffre le challenge à l’aide de k et d’un algo de chiffrement
K partagé avec le client
AF1..9C3
753..159
Rejeté Accepté
transmet la réponse au serveur
transfert le challenge au client
Carte matricielle
Exemple d’algorithme de chiffrement
19
OTP SynchroneClient Serveur
génère un challenge à l’aide d’un horloge ou d’un compteur d'événement
753..159
chiffre le challenge à l’aide de k et d’un algo de chiffrement
génère et formate le résultat (OTP)
K partagé avec le serveurAF1..9C3
génère un challenge à l’aide d’un horloge ou d’un compteur d'événement
compare les deux réponses
20
Etape 1
Etape 2
Etape 3
génère et formate le résultat (OTP)
chiffre le challenge à l’aide de k et d’un algo de chiffrement
K partagé avec le client
AF1..9C3
753..159
Rejeté Accepté
transmet la réponse au serveur
HMAC - OTP(HOTP)
• Hashed Message Authentication Code - OTP
• Standard de l’OATH puis IETF
• RFC 4226
21
HOTPK : clé secrète C : compteur
h : fonction de hachage cryptographique SHA-1
HOTP ( K , C ) = Tronquer ( h ( K , C )) & MASK
MASK : 0x7FFFFFFF
HOTP-Value = HOTP ( K , C ) (mod 10 ^ d)
d : nombre de digit : 6 ou 8
22
Autre solution OTP
OTP basé sur SMS
23
Synthèse OTP
• Système OTP : RFC 2289
• Avantage
est portable
• Inconvénient
n’assure pas la non-répudiation
24
Démonstration...
25
Carte à puce
+
26
Famille Carte à puce
• Mot de passe
• Certificat X.509
27
Infrastructure du PKI• Autorité d’Enregistrement (AE)
vérifie l’identité de l’utilisateur
suit les demandes
• Autorité de certification (AC)
crée les certificats
signe les listes de révocation
• Autorité de dépôt (AD)
conserve les certificats à des fins de recouvrement
28
Fonctions du CMS• Nouvel employé
crée la carte et l’associe à l’employé
récupère le certificat et/ou le mot de passe de l’employé et le met dans la carte
• En cas d’oubli
prête une carte temporaire à l’employé
débloque en local ou à distance le code PIN
• En cas de perte
met en liste noire la carte perdue
29
Architecture généraleTOKENS
Utilisateur
PKI Infrastructure
Moduled’authentification
CMS
Vérifie la validitédu certificat
Vérifie la validitéde la carte
Authentificationinitiale
Serveurd’annuaire
Vérifie la validitédu mot de passe
30
Etape 1
Etape 3
Etape 4
Etape 2
Synthèse Carte à puce
• Avantage
assure la non-répudiation
permet de signer et de décrypter des messages
• Inconvénient
est peu portable
31
Token Hybride
32
Radio Frequency IDentification
33
Puce RFID
+
34
Composants RFID• Eléments physiques
badges pour les utilisateurs
antennes pour chaque poste
• Module d’authentification
installé sur le poste
• Badge Management System (BMS)
idem que le CMS
35
Paramétrage• Lorsqu’un utilisateur arrive
demander le mot de passe ou non
débloquer l’écran de veille
• Lorsqu’un utilisateur part
fermer/verrouiller la session
laisser le poste en l’état
• Lorsque des utilisateurs sont détectés en même temps
???
36
Synthèse Puce RFID
• Avantage
assure la non-répudiation
permet de gagner du temps
• Inconvénient
est peu portable
37
Biométrie
+
38
Architectures Biométrie
Stockage des données de biométrie
Vérification de l’authentification
Solution à base de serveur dans le serveur par le serveur
Solution postesur le poste de
l’utilisateurpar le poste de travail
Solution à base de carte cryptographique
dans la carte cryptographique
par la carte à puce ou par le poste de travail
39
Synthèse Biométrie
• Avantage
assure la non-répudiation
est difficilement falsifiable
• Inconvénient
est peu portable
est peu appréciée
40
Bibliographie
Wikipédia : Définitions
Evidian : Livre blanc sur l’AF
Pronetis : Livre blanc sur OTP
OATH : algorithme HOTP
http://motp.sourceforge.net : démo Mobile OTP
41
Démonstration...
42
Agenda
• Concept de l’authentification forte
• Technologies d’authentification forte
• Informations supplémentaires
• Quelques offres sur le marché
• Quelques outils de développement
• Conclusion
43
44
Outils de développement
• Authentification Web
JAAS Login Module ( depuis la version 1.4)
• Authentification Bureau
PAM (Solaris, Linux)
GINA (Windows XP, 2003)
• Infrastructure d’authentification
Authentification multi-facteurs
45
Outils de développement
• Serveur d’annuaire
OpenLDAP, Active Directory, ...
• Plugins du navigateur
PKCS #11 module : client pour les carte à puces PKI
ActiveX/java plugin : pour les scanners biométriques
46
Agenda
• Concept de l’authentification forte
• Technologies d’authentification forte
• Informations supplémentaires
• Conclusion
• Synthèse de l’authentification forte
• Ce qu’il faut retenir!
47
Mieux que l’authentification
simple• permet d’éliminer la plupart des attaques
• rend difficile la mise en place d’une attaque
• augmente le sentiment de sécurité du client
48
Coûte chèreCoût à l’unité Coût pour 50 p.
Achat des tokens incluant les licences 95 € 4750 €
Installation des serveurs et formation au produit GEMALTO
1.100 € 1.100 €
Total invest. 5850 €
Coût mensuel Coût annuel
Coût de gestion du cycle de vie du token
160 € 1920 €
Coût lié à la perte/vol du token 39 € 468 €
Total exploit. 2388 €
Coût d’investissement
Coût d’exploitation
49
Ce qu’il faut retenir!
Facteurs d’authentification (savoir, avoir, être)
Authentification forte = au moins deux facteurs
Facteurs + Dispositifs
=
différentes technologies
50
Question???
51