Authentification de messages et mots de passe

Transcription

1 Sébastien Gambs Autour de l authentification : cours 1 1 et mots de passe Sébastien Gambs sgambs@irisa.fr 1 décembre 2014

2 Sébastien Gambs Autour de l authentification : cours 1 2 Introduction à l authentification Types d authentification Authentification et sécurité Plan du cours Longueur des mots de passe Stockage de mots de passe Craquage de mots de passe

3 Types d authentification Authentification et sécurité Plan du cours Sébastien Gambs Autour de l authentification : cours 1 3 Introduction à l authentification

4 Types d authentification Authentification et sécurité Plan du cours Sébastien Gambs Autour de l authentification : cours 1 4 Authentification Authentification : vérification de l identité d une entité (personne ou ordinateur) afin d autoriser l accès à certaines ressources. Preuve d identité possible par : ce que l on sait (mot de passe et identifiant personnel), ce que l on possède (certificat numérique, carte à puce, jeton), ce que l on est (empreinte digitale, iris ou voix). Authentification possible par un ou plusieurs de ces éléments.

5 Types d authentification Authentification et sécurité Plan du cours Sébastien Gambs Autour de l authentification : cours 1 5 Exemple : jeton cryptographique (ici SecurID) (Extrait d une démo des laboratoires RSA sur SecurID)

6 Types d authentification Authentification et sécurité Plan du cours Sébastien Gambs Autour de l authentification : cours 1 6 Exemples de systèmes où l authentification est nécessaire Accès à mon compte informatique depuis un poste de l université. Accès à distance à mon serveur de courriel depuis Internet. Connexion à un réseau sans-fil en accès libre. Accès physique à une zone d accès restreinte. Authenticité de mon abonnement de transport mensuel. Accès d un médecin au dossier d un de ses patients....

7 Types d authentification Authentification et sécurité Plan du cours Sébastien Gambs Autour de l authentification : cours 1 7 Types de méthodes d authentification Authentification simple : se base sur la vérification d un seul élément. Exemple : login et mot de passe. Authentification forte : combinaison de la vérification de deux facteurs ou plus. L authentification est considérée comme réussie seulement si toutes les vérifications individuelles des éléments sont validées. Exemple : jeton de sécurité + scan de l iris. Authentification unique (Single-Sign-On ou SSO en anglais) : on s authentifie une fois pour toute et ensuite on peut accéder à plusieurs applications ou services situés sur des serveurs différents. Exemples : Kantara initiative, OpenID. Améliore la facilité d utilisation mais un seul point d entrée à attaquer qui permet d accéder à toutes les ressources.

8 Types d authentification Authentification et sécurité Plan du cours Sébastien Gambs Autour de l authentification : cours 1 8 Lien entre identification et authentification Identification : connaissance de l identité d une entité. Afin de déterminer l identité, le vérificateur compare l information recue à celle de toutes les autres entités en général l identité est unique Remarque : attention à ne pas confondre authentification et identification. Pour prouver l authenticité d un utilisateur, il n est pas nécessaire de l identifier. Exemple : un utilisateur pourrait s authentifier sans déclarer son identité en prouvant qu il appartient à un groupe ou qu il dispose d une accréditation anonyme.

9 Types d authentification Authentification et sécurité Plan du cours Sébastien Gambs Autour de l authentification : cours 1 9 Triade des besoins fondamentaux de la sécurité

10 Types d authentification Authentification et sécurité Plan du cours Triade des besoins fondamentaux de la sécurité (suite) 1. Confidentialité : protéger le contenu d un message contre un espion qui écouterait les communications. Obtenu en général en utilisant un cryptosystème sécuritaire. 2. Authentification : être capable de vérifier l origine d un message ainsi qu éventuellement son intégrité. Typiquement obtenu aussi par des techniques cryptographiques (comme celles dont on va discuter dans le cours d aujourd hui). 3. Disponibilité : assurer la disponibilité d un service/système même contre un adversaire qui essayerait de l attaquer afin de le faire se crasher. Peut être prévenu en détectant une attaque ou en mettant en place des répétitions du serveur qui fourni le service. Sébastien Gambs Autour de l authentification : cours 1 10

11 Types d authentification Authentification et sécurité Plan du cours Sébastien Gambs Autour de l authentification : cours 1 11 Attaques possibles sur la sécurité d un protocole (1/3) 1. Espionnage : l adversaire capture les informations envoyées par le protocole. 2. Modification : l adversaire altère l information transmise par le protocole. 3. Rejeu : l adversaire rejoue un message capturé plus tard dans le même protocole ou dans un autre contexte.

12 Types d authentification Authentification et sécurité Plan du cours Sébastien Gambs Autour de l authentification : cours 1 12 Attaques possibles sur la sécurité d un protocole (2/3) 4. Réflection : forme spécifique d attaque par rejeu où l adversaire renvoie simplement un défi qui lui était destiné. Possible si plusieurs sessions du même protocole peuvent fonctionner en parallèle. 5. Déni de service : l adversaire empêche les participants de communiquer ou de compléter le protocole. 6. Typage : l adversaire remplace un champ du message par une autre valeur (en général chiffré).

13 Types d authentification Authentification et sécurité Plan du cours Sébastien Gambs Autour de l authentification : cours 1 13 Attaques possibles sur la sécurité d un protocole (3/3) 7. Cryptanalyse : l adversaire profite d une faiblesse cryptographique du protocole pour attaquer une de ses propriétés de sécurité. 8. Manipulation de certificat : l adversaire choisit ou modifie le certificat utilisé afin de pouvoir s authentifier. 9. Interactions de protocole : l adversaire exploite le fait que la même clé soit utilisé dans plusieurs types de protocole pour attaquer leur sécurité.

14 Types d authentification Authentification et sécurité Plan du cours Sébastien Gambs Autour de l authentification : cours 1 14 Plan du cours Durée du cours : 16h de cours magistraux + 16h de TP. Quelques sujets abordés : Introduction à l authentification, authentification de messages et contrôle d accès par mots de passe (ce cours). Introduction à l authentification biométrique. Sécurité matérielle et authentification. Kerberos. Authentification dans les réseaux sans-fil (wifi, RFID et réseaux de capteurs). Des suggestions pour d autres sujets?

15 Sébastien Gambs Autour de l authentification : cours 1 15

16 Sébastien Gambs Autour de l authentification : cours 1 16 Question fondamentale : comment est ce que Bob peut s assurer que le message prétendument envoyé par Alice a bien été envoyé par Alice et non pas par Ève? Rappel : dans ce cours, on focalise sur l authenticité du message, pas sur sa confidentialité bien que cela soit un besoin complémentaire. Confidentialité authenticité Hypothèse : Alice et Bob partagent en commun un secret non connu de Ève.

17 Sébastien Gambs Autour de l authentification : cours 1 17 ou CAM (Message Authentication Code ou MAC en anglais) : système d authentification de messages à partir d une clé secrète partagée. Objectif principal : empêcher qu Ève, qui ne connaît pas la clé secrète de Alice et Bob, ne puisse fabriquer de faux messages et emprunter l identité de l un auprès de l autre. Algorithme d authentification : génère un CAM s à partir d une clé k et d un message m : s = S k (m). Lorsqu Alice veut communiquer avec Bob, elle lui envoie la paire (m, s) sur un canal où Ève est potentiellement présente. Algorithme de vérification : vérifie si un CAM s correspond bien au message m en utilisant la clé secrète s : V k (s, m) = accept si s = S k (m) et reject sinon.

18 Sébastien Gambs Autour de l authentification : cours 1 18 Illustration du principe de CAM (Extrait de Wikipedia)

19 Propriétés des CAMs Propriété principale : sans connaissance de la clé secrète, un adversaire ne peut pas générer un message valide qui n a pas été préalablement authentifié par l envoyeur légitime. Corollaire : implique en même temps que l adversaire ne peut pas modifier un message sans être détecté par le receveur. Rappel : intégrité confidentialité. Un message peut être confidentiel sans être intègre. Exemple : le masque jetable (one-time pad en anglais) qui est inconditionnellement sécuritaire pour la confidentialité mais dont un bit peut être changé facilement. Un message peut être intègre sans être confidentiel. Exemple : m est envoyé en clair sans aucun chiffrement préalable, en même temps que s le CAM de ce message. Sébastien Gambs Autour de l authentification : cours 1 19

20 Sébastien Gambs Autour de l authentification : cours 1 20 Problème de la fraîcheur du message L intégrité n implique pas que le message est récent attaque par rejeu possible Scénario : supposons par exemple qu Alice envoie lundi le message suivant à Bob avec son code s : ( rendez-vous au restaurant ce soir a 20h, s) Ève qui est jalouse d Alice et écoute ses communications voit passer ce message et l enregistre. Mardi, Ève peut renvoyer le même message à Bob sans que celui-ci puisse mettre son authenticité en doute.

21 Contre-mesures possibles pour éviter le rejeu Contre-mesure 1 : Inclure un index i dans chaque message en plus de son contenu. Bob enregistre tous les messages envoyés par Alice et refuse un message qu il a déjà reçu. Il peut aussi détecter si Ève a bloqué la transmission d un message s il reçoit les messages d indexes i et i + 2 mais pas le message i + 1. Contre-mesure 2 : Alice introduit une étiquette temporelle dans le message transmis à Bob. Exemple : message envoyé lundi 2 janvier à 16h12. Bob refuse un message dont l étiquette temporelle a dépassé un certain délai. Sébastien Gambs Autour de l authentification : cours 1 21

22 Sébastien Gambs Autour de l authentification : cours 1 22 Intégrité inconditionnelle Il existe des mécanismes qui permettent d assurer une intégrité inconditionnelle mais qui sont plutôt inefficaces en pratique. Par exemple supposons qu Alice souhaite envoyer à Bob un message parmi n possibles : m {m 1,..., m n }. À chaque m i est associé une chaîne aléatoire s i de k bits. message CAM m Exemple : 1 s m n s n Lorsqu Alice veut envoyer le message m i à Bob, elle envoie aussi s i. Bob vérifie si le s i reçu est celui associé à m i. La probabilité qu un adversaire puisse authentifier un message m j non vu auparavant est égale à 2 k (c est-à-dire la probabilité de deviner s j aléatoirement).

23 Sébastien Gambs Autour de l authentification : cours 1 23 Limite pratique de l intégrité inconditionnelle La longueur des clés va dépendre du nombre de messages qu on souhaite authentifié. L intégrité inconditionnelle réclame des clés de longueur très importante dès que l espace possible des messages devient non-trivial. Exemple : si on considère tous les messages possibles sur 1000 bits, il faudrait qu Alice et Bob stockent un tableau de lignes, soit plus de lignes qu il n y a d atomes dans l univers. Problème fondamental en sécurité et cryptographie : comment régler le problème de la distribution et génération de clés? Facile si Alice et Bob se sont rencontrés auparavant mais difficile sur un canal qu Ève espionne potentiellement. Desideratum pratique : avoir un système nécessitant des clés courtes et réutilisables.

24 Sébastien Gambs Autour de l authentification : cours 1 24 Attaque par fouille exhaustive Si la clé choisie est de longueur trop courte et l adversaire collecte quelques messages la clé est probablement uniquement déterminée l adversaire peut la trouver en pratiquant une fouille exhaustive sur l espace des clés l adversaire peut produire tous les messages valides qu il désire Solution : utiliser une clé de longueur suffisante pour éviter toute espoir de fouille exhaustive (par exemple au moins 128 bits).

25 Sébastien Gambs Autour de l authentification : cours 1 25 CAM à partir d un chiffrement par blocs La méthode de chiffrements par blocs dans des cryptosystèmes symmétriques tel que DES ou AES peut être utilisé pour authentifier un message. Exemple : méthode d enchaînements de blocs (Cipher Block Chaining ou CBC en anglais). Fonctionnement d un : le message m est découpé en blocs de taille constante, m = m 1,..., m l et le chiffrement du dernier bloc c l joue le rôle de CAM pour le message.

26 Sébastien Gambs Autour de l authentification : cours 1 26 Sécurité de est une méthode sûre pour la génération de CAM en notant que la longueur des messages à authentifier est fixe et connue (Bellare, Kilian et Rogaway 00). Plus précisément, si le chiffrement par blocs utilisé pour implémenter est sécuritaire le résultant sera lui aussi sécuritaire Problème : la sécurité d un devient plus problématique lorsque la taille du message peut varier.

27 Sébastien Gambs Autour de l authentification : cours 1 27 Méthodes de rembourrage Lorsque la taille d un message n atteint pas un multiple de la taille des blocs, il est possible de le rembourrer (padding en anglais). Méthodes de rembourrage possibles : Méthode 1 : ajout au message d un nombre minimum de 0 pour que sa longueur soit un multiple de la taille des blocs. Faiblesse : un adversaire peut fabriquer des faux messages en enlevant ou retirant des 0 à la fin. Méthode 2 : ajout d un 1 suivi de suffisamment de 0 comme la technique précédente. Évite l attaque décrite ci-dessus mais en permet d autres. Méthode 3 : ajout de 0 s comme pour la méthode 1 ainsi qu un bloc en début de message qui précise sa taille.

28 Sébastien Gambs Autour de l authentification : cours 1 28 Transformations de l entrée et de la sortie Standard ISO/IEC : spécifie plusieurs méthodes de construction de qui peuvent appliquer des transformations au premier bloc du message et/ou au dernier bloc chiffré qui joue le rôle de l empreinte. Exemples de transformations : Double chiffrement successifs du premier bloc, nécessite une clé supplémentaire. Chiffrement supplémentaire du dernier bloc avec une clé différente. Le dernier bloc reçoit un chiffrement et un déchiffrement supplémentaire.

29 Sébastien Gambs Autour de l authentification : cours 1 29 Fonction de hachage cryptographique Une fonction h est une fonction de hachage cryptographique si : 1. h accepte en entrée des messages de longueur arbitraire et produit en sortie des messages de taille constante (par exemple de k bits) : h : {0, 1} {0, 1} k, 2. h peut être calculée efficacement, 3. il est difficile de trouver une collision, càd une paire de messages x y tel que h(x) = h(y). Remarque : la condition 1. implique qu il existe forcément des collisions mais la condition 3. requiert simplement qu elles soient difficiles à trouver k doit être choisi suffisamment grand pour qu une fouille exhaustive soit impossible.

30 Sébastien Gambs Autour de l authentification : cours 1 30 (Hash-based MAC) : pemet la géneration d un CAM à partir d une fonction de hachage cryptographique h. Utilisé dans IpSec et SSL. S k (m) = h((k opad) h((k ipad) m)). V k (m, s) = accept si h((k opad) h((k ipad) m)) = s et reject sinon. opad = 0x5c5c5c... 5c5c et ipad = 0x , ils sont tous les deux de la taille de la clé k et ont été choisis afin d avoir une distance de Hamming importante. La taille utilisée pour la clé est habituellement de 128 ou 160 bits (avec par exemple MD5 ou SHA-1 comme fonction de hachage).

31 Sébastien Gambs Autour de l authentification : cours 1 31 MD5 et SHA-1 MD5 : fonction de hachage cryptographique avec une sortie de 128 bits créé par Ron Rivest en Utilisé couramment de nombreuses applications dont vérifier l intégrité de fichier ou pour les certificats de SSL. SHA-1 : fonction de hachage qui en pratique peut servir de fonction de hachage cryptographique. Produite des empreintes de 160 bits en sortie. A été choisi par le NIST pour remplacer SHA-0 qui était soupçonné d avoir des failles permettant de trouver des collisions mais SHA-1 semble lui-même avoir des faiblesses. Des familles de fonctions de hachage SHA-2 existent mais une compétition pour trouver qui sera le successeur pour SHA-3 s est terminé en octobre 2012 avec la victoire d un algorithme du nom de Keccak (Bertoni, Daemen, Peters et Van Assche).

32 Sébastien Gambs Autour de l authentification : cours 1 32 Annonce du résultat de la compétition sur SHA-3 Remarque : avec SHA-3, il est possible d utiliser un de la forme h(k m).

33 Fonctionnement général derrière MD5 et SHA-1 MD5 et SHA-1 suivent le même schéma de fonctionnement, ils se basent sur une fonction de compression f qui prend un bloc du message m i et une valeur s pour obtenir une empreinte de taille désirée. m i est un bloc du message qui fait 512 bits et s contient 160 bits. À l initialisation, le message est découpé en t + 1 blocs de 512 bits, avec éventuellement un rembourrage de 0s afin d atteindre la taille adéquate. La valeur s 0 est initialisée à une constante choisie. Pour chaque bloc allant de i = 1 à t + 1 la valeur s i = f (m i, s i 1 ) est calculée. La valeur finale est s t+1. Sébastien Gambs Autour de l authentification : cours 1 33

34 Sébastien Gambs Autour de l authentification : cours 1 34 Illustration du basé sur SHA-1

35 Sébastien Gambs Autour de l authentification : cours 1 35 Types d attaque sur fonction de hachage Attaque par collision : chercher à générer deux messages x et y tel que x y mais h(x) = h(y). L attaque reposant sur le paradoxe de l anniversaire trouve toujours une collision en temps espéré 2 k/2 pour k la taille de la sortie de la fonction de hachage mais... il est parfois possible de trouver des attaques plus efficaces reposant sur la structure spécifique de la fonction de hachage. Attaque par pré-image : 1. étant donné un hash z cherche à générer un message x (une pré-image) tel que h(x) = z (attaque de pré-image de première ordre) ou 2. étant donné un message x, trouver un autre message y tel que h(x) = h(y) (attaque par pré-image de second ordre). Question : quelles sont les implications pratiques de ces types d attaque?

36 Sébastien Gambs Autour de l authentification : cours 1 36 Paradoxe de l anniversaire Expérience 1 : Quelle est la probabilité dans une classe de 23 étudiants qu ils y aient deux qui soient nés le même jour? Expérience 2 : Supposons qu il y ait n boules dans une urne avec des étiquettes différentes. Question : combien de fois est ce que je dois piocher au hasard en moyenne dans l urne pour espérer tomber deux fois sur la même boule si à chaque fois que je pioche une boule, je la remets ensuite dans l urne? Réponse : environ n de fois en moyenne pour avoir une probabilité de succès d au moins 1 2.

37 Comprendre le paradoxe de l anniversaire Soit une année qui compte 365 jours (on ne s occupe pas des années bissextiles). Parmi n individus (on suppose n < 365), on veut savoir s il existe au moins une paire d individus qui ont le même anniversaire, soit p(n) la probabilité de cet événement. Soit p(n), la probabilité que n individus aient des dates d anniversaire différentes. p(n) = 1 ( ) (1 2 n )... (1 365 ) = 365! 365 n (365 n)! p(n) = 1 p(n), dès que n 23 p(n) > 50% (et même 99% si n 57). Sébastien Gambs Autour de l authentification : cours 1 37

38 Sébastien Gambs Autour de l authentification : cours 1 38 Probabilité de succès du paradoxe de l anniversaire (Extrait de wikipedia)

39 Sébastien Gambs Autour de l authentification : cours 1 39 Utiliser le paradoxe de l anniversaire pour trouver une collision Algorithme : 1. Rencontre {} 2. x j choisi au hasard dans le domaine de h 3. Répéter tant que (x j, h(x j )) Rencontre ou h(x j ) n apparaît pas dans Rencontre Rencontre Rencontre + (xj, h(x j )) xj choisi au hasard dans le domaine de h 4. Retourner (x i, x j ) tel que x i x j et (x j, h(x i )) Rencontre Théorème : l algorithme ci-dessus peut générer une collision après 2 ( k 2 ) tours de boucle en moyenne pour k le nombre de bits de sortie de la fonction de hachage h.

40 Sébastien Gambs Autour de l authentification : cours 1 40 Problème de la longueur de la sortie pour les CAMs Pour un cryptosystème, on considère souvent que 64 bits de clé sont suffisants pour offrir une sécurité relativement bonne en pratique (bien qu on tende vers 128 bits minimum maintenant pour AES). Pour une fonction de hachage, une sortie sur 64 bits n est pas suffisante car un adversaire pourrait réussir à trouver une collision en 2 ( 64 2 ) = 2 32 = étapes de calcul en moyenne. Solution : avoir une sortie de longueur au moins 128 bits pour que le travail demandé pour trouver une collision soit équivalent à celui requis pour faire une fouille exhaustive sur un espace de clés de 64 bits pour un cryptosystème.

41 État des lieux des fonctions de hachage Problème fondamental : existe t il réellement des familles de fonction de hachage cryptographiques qui sont à collision difficile? État des lieux des fonctions utilisées en pratique : (Extrait de wikipedia) Sébastien Gambs Autour de l authentification : cours 1 41

42 Sébastien Gambs Autour de l authentification : cours 1 42 Quelques mots sur les signatures numériques Signature numérique : équivalent digital de la signature papier qui peut être utilisé pour authentifier un document numérique et garantir son authenticité. Basé sur le concept de cryptographie asymétrique où un utilisateur possède : une clé secrète de signature qu il peut utiliser pour signer un document et une clé de vérification publique qui peut être utilisé par n importe qui pour vérifier l authenticité d une signature. La signature numérique fournit aussi la propriété de non-répudiation, le fait qu un utilisateur ne puisse pas nier avoir signé un document (elle a valeur légale en France). Pour des raisons d efficacité, c est souvent la valeur hachée d un message qui est signée et non pas le message. Quel risque cela pose t-il si le hachage n est pas à collision difficile?

43 Sébastien Gambs Autour de l authentification : cours 1 43 Scénario : ouverture de porte de garage à distance Contexte : supposons que je souhaite créer un système qui me permet d ouvrir mon garage à distance sans sortir de ma voiture en utilisant une télécommande. Problème : je veux éviter qu un potentiel cambrioleur puisse utiliser ce système pour s introduire chez moi. Comment faire? Est ce que si je chiffre les communications entre ma télecommande et ma porte cela règle le problème? Est ce que l authentification suffirait? Aussi comment éviter les risques de rejeu?

44 Longueur des mots de passe Stockage de mots de passe Craquage de mots de passe Sébastien Gambs Autour de l authentification : cours 1 44

45 Longueur des mots de passe Stockage de mots de passe Craquage de mots de passe Sébastien Gambs Autour de l authentification : cours 1 45 Contrôle d accès par mot de passe Au coeur de la sécurité de nombreux systèmes et parfois le seul mécanisme de protection. L humain est souvent le maillon faible dans la chaîne. Points importants pour la sécurité des mots de passe : Comment sont-ils choisis? Comment sont-ils transmis entre l utilisateur et le vérificateur? Comment sont-ils stockés/protégés par l utilisateur? Comment sont-ils stockés/protégés par le vérificateur?

46 Longueur des mots de passe Stockage de mots de passe Craquage de mots de passe Sébastien Gambs Autour de l authentification : cours 1 46 Longueur des mots de passe Le nombre de NIPs possible pour une carte bancaire est de l ordre de 10 4 = possibilités cependant... il est nécessaire de posséder la carte valide correspondante et seul 3 essais sont autorisés. Les mots de passe sous UNIX sont quelques milliards de fois plus nombreux (2 52 possibilités). Si un mot de passe est trop long ou trop aléatoire, il ne pourra pas être facilement mémorisé et sera donc inutilisable en pratique. Selon certaines études, il est difficile pour un humain de retenir plus de 12 caractères. Interrogation fondamentale : qu est ce qu un bon mot de passe? Un mot de passe facile à mémoriser mais difficile à deviner?

47 Longueur des mots de passe Stockage de mots de passe Craquage de mots de passe (Extrait de Roger s information security blog) Sébastien Gambs Autour de l authentification : cours 1 47 Illustration : mot de passe facile à deviner

48 Longueur des mots de passe Stockage de mots de passe Craquage de mots de passe Difficulté de deviner un mot de passe Au-delà du nombre de mots de passe possibles, il est important de s intéresser à comment ils sont choisis. Un mot de passe long peut être facile à deviner (si par exemple il s agit d un mot du dictionnaire). Alternative raisonnable : retenir une phrase de passe plutôt qu un mot et prendre quelques lettres de cette phrase. Exemple : cette phrase est difficile à deviner si on ne la connaît pas devient cpedadsonlcp. Comment rendre les mots de passe plus sûrs : Changer régulièrement de mots de passe. Utiliser un système qui vérifie un candidat et détecte s il est potentiellement facile à deviner. Vérifier si un nouveau mot de passe est suffisamment différent de l ancien. Sébastien Gambs Autour de l authentification : cours 1 48

49 Longueur des mots de passe Stockage de mots de passe Craquage de mots de passe Sébastien Gambs Autour de l authentification : cours 1 49 Attaques possibles contre un système bancaire Après 3 essais infructueux de NIP, un compte bancaire est bloqué mais cela ne protège pas contre toutes les attaques. Attaque par falsification de carte : supposons par exemple qu Ève est capable de produire des fausses cartes bancaires qui correspondent à des noms réels de clients. Après avoir essayer quelques milliers de cartes en moyenne, Ève va pourvoir retirer de l argent dans un compte qui ne lui appartient pas. Attaque par masquarade : puisque le guichet ne s authentifie pas, il est possible d installer des faux guichets qui vont voler l information et le mot de passe d une carte bancaire. Attaque par déni de service : quelqu un pourrait utiliser la carte bancaire d une personne dans un guichet simplement pour lui faire du tort en bloquant le compte.

50 Longueur des mots de passe Stockage de mots de passe Craquage de mots de passe Sébastien Gambs Autour de l authentification : cours 1 50 Risque lié au stockage de mots de passes en clair Supposons que les paires mots de passe/logins d utilisateurs soient stockées en clair sur un serveur ou un post-it sur le bureau de l administrateur. La sécurité du serveur se base sur le fait que ce serveur est suffisamment bien protégé ou que le bureau de l administrateur est inaccessible. Risque : écroulement total du système si un adversaire réussi à accéder à cette base ou lire le post-it. Peut-on éviter de stocker le mot de passe en clair tout en permettant l authentification?

51 Longueur des mots de passe Stockage de mots de passe Craquage de mots de passe Sébastien Gambs Autour de l authentification : cours 1 51 Stockage sécurisé des mots de passe Si possible, il faut éviter de stocker des mots de passe bruts dans un fichier afin de se prémunir contre une éventuelle attaque sur le serveur ou même un administrateur trop curieux. Solution : pour chaque utilisateur, on stocke la paire (login u, f (password u )) où f est une fonction à sens unique qui est facile à évaluer mais difficile à inverser. Ainsi le système peut vérifier facilement un mot de passe qui lui est présenté mais le vol du fichier ne permet pas de retrouver le mot de passe. En pratique, f est construite soit à partir d une fonction de hachage, soit à partir d une fonction de chiffrement.

52 Longueur des mots de passe Stockage de mots de passe Craquage de mots de passe Sébastien Gambs Autour de l authentification : cours 1 52 Craquage de mots de passe Si un adversaire arrive à mettre la main sur un fichier contenant les paires (login u, f (password u )), il peut essayer de craquer certains de ces mots de passe. Exemple : l adversaire peut générer des mots de passe de manière répétitive jusqu à trouver une collision en faisant une fouille exhaustive ou une attaque par dictionnaire. Salage : ajouter une chaîne de bits aléatoires appelé sel à la fin du mot de passe avant d appliquer la fonction à sens unique afin de rendre plus coûteux la tâche d un adversaire qui voudrait calculer les valeurs possibles à l avance. Renforcement de clé : utiliser une fonction très lente à évaluer tel qu une fonction de hachage utilisé avec salage qui est répété de nombreuses fois (au moins 1000). Exemple : PBKDF2 utilisé sous WPA et WPA2.

53 Longueur des mots de passe Stockage de mots de passe Craquage de mots de passe Sébastien Gambs Autour de l authentification : cours 1 53 CAPTCHA CAPTCHA (pour Completely Automated Public Turing test to tell Computers and Humans Apart en anglais) : forme de test de Turing permettant de différencier de manière automatisée un humain d un ordinateur. Se base sur des problèmes qui sont considérés faciles à résoudre pour un humain mais difficiles pour un ordinateur. Utilisé pour éviter la création automatique d adresse de courriel par un bot mais aussi pour limiter le nombre d essais qu un ordinateur peut essayer une combinaison login/mot passe si à chaque fois il doit résoudre un CAPTCHA.

54 Longueur des mots de passe Stockage de mots de passe Craquage de mots de passe Sébastien Gambs Autour de l authentification : cours 1 54 Mot de passe à usage unique Mot de passe à usage unique : mot de passe qui est valide pour une seule session ou transaction. Avantage principal : permet déviter les attaques par rejeu. Utilisé par exemple pour les transactions bancaires. Exemple: (Extrait du site web de Entrust)

55 Longueur des mots de passe Stockage de mots de passe Craquage de mots de passe Sébastien Gambs Autour de l authentification : cours 1 55 Ingénierie sociale Même si les mots de passe sont stockées de façon sécurisées, il est toujours possible d attaquer l humain par ingénierie sociale. Attaque par hameçonnage (phishing en anglais): un pirate se fait passer pour un tiers parti de confiance afin de soutirer de l information confidentielle. Mécanismes de protection : informer l utilisateur des risques existants, authentification forte combinant un système de mots de passe avec de la biométrie ou de la sécurité matérielle.

56 Longueur des mots de passe Stockage de mots de passe Craquage de mots de passe Sébastien Gambs Autour de l authentification : cours 1 56 En résumé : quelques conseils sur les mots de passe Aider/forcer l utilisateur à choisir un bon mot de passe du point de vue sécurité mais néanmoins facile à mémoriser (par exemple les phrases de passe). Informer les utilisateurs des risques de l ingénierie sociale. Avoir un système de vérification automatique de mot de passe qui écarte d emblée ceux qui sont trop faciles à deviner. Utiliser un système de stockage sécurisé des mots de passe.

57 Longueur des mots de passe Stockage de mots de passe Craquage de mots de passe Sébastien Gambs Autour de l authentification : cours 1 57 C est la fin! Merci pour votre attention. Si vous avez des questions, n hésitez pas à m écrire à sgambs@irisa.fr