Module 312 Sécurité des systèmes d'information Identification, Authentification, Autorisation Identification, Authentification Droits d'accès Bibliographie Gérard-Michel Cochard cochard@u-picardie.fr
Identification, Authentification, Autorisation Identification et Authentification Identification : Se faire connaître du système Authentification : Prouver qui on est Autorisation : Avoir le droit d effectuer une opération précise Chaque usager doit être connu du système d accès aux information ; en général, tout utilisateur possède un nom d utilisateur (username) qui lui est demandé lors de la connexion (login) au système. Les usagers sont répertoriés dans un fichier «utilisateurs» (user file). Il faut ensuite prouver son identité, la reconnaissance étant effectuée par un service d authentification. La méthode d authentification la plus fréquente est celle des mots de passe (password). Le mot de passe est codé suivant un algorithme connu seulement du système qui effectue une vérification dans le fichier des utilisateurs Problème de base : faire en sorte que les mots de passe ne puissent pas être facilement devinés. Rappelons à ce propos l'étude de Morris et Thomson (1979) : 1)Établissement d une liste de mots de passe : Noms, prénoms de personnes Noms de rues Noms de villes Mots du dictionnaire. 2) Comparaison avec les mots de passe des utilisateurs Résultat : 86% des mots de passe peuvent être devinés.
Parade n 1 : Augmenter le nombre de caractères du mot de passe E exemple : mot de passe à 7 caractères (parmi 95 caractères ASCII imprimables). Les mots de passe possibles sont au nombre de : 95 7 = 70 000 000 000 000 mots de passe. Cette liste occuperait 490 000 Go, soit 350 millions de disquettes ou 765 625 CD-ROM! Si on veut comparer un mot de passe à cette liste, en supposant que l on puisse comparer 1000 mots par seconde, il faudrait 2215 ans (sans interruption de travail) pour essayer tous les mots de passe. Parade n 2 : Mettre au moins 1 minuscule, 1 majuscule, 1 caractère spécial dans un mot de passe : Plus difficile à deviner. Parade n 3 : Emploi de syllabes aléatoires exemple : (Wood- 1977) : cou as di ment or cu li nier teur par co jou pla pour fonc in con toi mo taire coulijou plapourtoi asfonctaire parculinier mots plus faciles à mémoriser mais ne figurant pas dans un dictionnaire Parade n 4 : changement périodique obligatoire du mot de passe soit conseillé soit imposé Parade n 5 : protéger le fichier des mots de passe. Méthode simpliste : coder les mots de passe avec la même règle Méthode plus adaptée : à chaque mot de passe, on fait correspondre un nombre aléatoire (avec une méthode d encryptage) et on code les groupes «mot de passe + nombre aléatoire» avec une règle commune. exemple :
Autres méthodes : utiliser non pas ce que l utilisateur «est» mais ce qu il «sait» ou ce qu il «a». Emploi d un algorithme : exemple 1 : choix d un algorithme par l utilisateur : x 2 NB: on peut changer d algorithme à mi-journée exemple 2 : algorithme utilisant des informations du système : Emploi d une carte ou d un badge Souvent utilisés avec deux niveaux de reconnaissance : Le numéro de la carte ou du badge Le mot de passe entré par l utilisateur (double contrôle). Emploi des caractéristiques de l utilisateur Empreintes digitales Reconnaissance vocale Analyse de signature Reconnaissance visuelle Certificats Utilisés pour l accès aux serveurs Web. Grande population d utilisateurs : difficulté de gestion des mots de passe Méthode impossible : partage d un mot de passe unique Un certificat contient La clé publique de chiffrement Le nom du propriétaire du certificat Le nom de l autorité qui a délivré le certificat Le numéro de série du certificat divers attributs (servent à la définition des droits d accès) Un certificat n est autre qu un permis d accès. Droits d'accès Une fois identifié et authentifié, il faut vérifier les droits d accès de l utilisateur aux objets du systèmes d information : Matériels : processeurs, terminaux, disques, imprimantes, Logiciels : processus, fichiers, bases de données, sémaphores, Première approche : la matrice d autorisation
Inconvénient majeur : matrice énorme et creuse Deuxième approche : ACL (Access Control List) Elle consiste à stocker les colonnes de la matrice en ne gardant que les éléments non nuls. exemple : 4 utilisateurs : Jules, Henri, Consuela, Marcel : uid 3 groupes : Système, Enseignant, Etudiant : gid F0 : (Jules, *, RWX) F1 : (Jules, systeme, RWX) F2 : (Jules, *, RW-)(Henri, Enseignant, R--)(Marcel,*,R--) F3 : (*, Etudiant, R--) F4 : (Consuela, *, -W-)(*, Etudiant, R--) avec (uid, gid, droits) où uid est l'identificateur d utilisateur et gid l' identificateur de groupe. Reprise du principe par UNIX en plus simple : 3 groupes d utilisateurs : le propriétaire le groupe les autres Pour chaque objet : r = read, w = write, x = execute représenté par 0(interdit) ou 1(permis)
exemple : 111110100 = (764) 8 signifie que le propriétaire peut lire, écrire, exécuter le groupe peut lire et écrire mais pas exécuter les autres peuvent seulement lire Troisième approche : C-list (liste des capacités) Le stockage de la matrice des autorisations s'effectue par ligne (listes). On peut rajouter des droits génériques : Créer une nouvelle capacité Copier un objet Retirer une capacité Détruire un objet Bibliographie A. Tanenbaum : Systèmes d exploitation (InterEditions) A. Tanenbaum : Réseaux (InterEditions) S. Ghernaouti-Helie : Sécurité Internet (Dunod) W. Stallings : Data and Computer Communications (Prentice Hall) Maekawa, Oldehoeft & Oldehoeft : Operating Systems (Benjamin) Réseaux et protection numérique des documents multimédias (études INA) Réseaux et commerce électronique (études INA) J.P. Lovinfosse : Le piratage informatique (Marabout) N.J.Yeager, R.E.McGrath : Technologie des serveurs Web (Thomson Pub.) S.M.Bellowin, W.R.Cheswick : Firewalls et sécurité Internet (Addison Wesley) A.Fenyö, F.Le Guern, S. Tardieu : Raccorder son réseau d'entreprise à l'internet (Eyrolles) Commission Nationale de l'informatique et des Libertés : http://www.cnil.fr