Flexible Identity authentification multi-facteurs authentification sans token Version 1.0 1 of 23
historique des mises à jour date no. version auteur description mai 2014 1.0 Version initiale. Copyright Orange Business Services mai 2014 2 of 23
bienvenue Votre entreprise a choisi Flexible Identity - Authentification Multi-Facteurs pour vous aider à protéger votre identité en ligne ainsi que vos réseaux, applications et données contre les accès non autorisés. Ce guide décrit les méthodes d authentification suivantes, qui ne nécessitent pas de token : OTP par SMS GrIDsure Par mot de passe Ce guide est destiné : à vos utilisateurs : toute personne utilisant votre service Flexible Identity. à vos exploitants : toute personne qui gère les utilisateurs de votre service Flexible Identity. à vos administrateurs : toute personne qui gère votre service Flexible Identity. Si vous êtes déjà familiers avec les termes propres au service Flexible Identity et au système d authentification multi-facteurs, vous pouvez cliquer sur l une des icônes suivantes pour accéder directement à la section dédiée à votre méthode d authentification : OTP par SMS GrIDsure Par mot de passe 3 of 23
table des matières 1 aperçu... 6 1.1 qu est-ce que l OTP?... 6 1.2 qu est-ce qu un token OTP?... 6 1.3 qu est-ce qu une authentification sans token OTP?... 6 1.3.1 quelles sécurités supplémentaires sont offertes?... 6 1.3.2 comment utiliser l authentification OTP par SMS?... 7 1.3.3 que faire si je n ai pas reçu la notification d auto-inscription?... 8 1.3.4 quelle est la durée de vie des authentifications sans token OTP?... 8 1.3.5 comment fonctionnent les authentifications sans token OTP?... 8 1.4 pourquoi je n arrive pas à m authentifier?... 10 1.4.1 j ai entré un mot de passe (à usage unique) incorrect... 10 1.4.2 mon compte utilisateur est verrouillé... 10 1.4.3 mon autorisation d utilisation a été suspendue ou révoquée... 10 1.5 qu est-ce que le portail Self-service?... 11 2 OTP par SMS... 12 2.1 quelles sont mes responsabilités?... 12 2.1.1 comment protéger mon téléphone portable?... 12 2.1.2 que faire si j oublie mon téléphone portable?... 12 2.1.3 que faire si je perds mon téléphone portable?... 12 2.1.4 que faire si je perds un SMS contenant un OTP?... 12 2.1.5 comment dois-je protéger mon code PIN?... 13 2.1.6 comment renouveler mon code PIN?... 13 2.1.7 que faire si je perds mon code PIN?... 13 2.2 authentification... 13 2.3 le portail Self-service... 13 2.3.1 accès... 13 2.3.2 renouvellement du code PIN... 13 2.3.3 retransmission du SMS... 14 2.3.4 envoi d un mot de passe temporaire par courriel/sms... 14 3 GrIDsure... 15 3.1 quelles sont mes responsabilités?... 15 3.1.1 comment dois-je protéger mon PIP?... 15 3.1.2 comment renouveler mon PIP?... 15 3.1.3 que faire si je perds mon PIP?... 15 3.2 auto-inscription... 16 3.3 authentification... 17 3.4 le portail Self-service... 18 3.4.1 accès... 18 3.4.2 renouvellement du code PIN... 18 3.4.3 renouvellement du PIP... 18 3.4.4 envoi d un mot de passe temporaire par courriel/sms... 19 4 of 23
4 par mot de passe... 21 4.1 quelles sont mes responsabilités?... 21 4.1.1 comment dois-je protéger mon mot de passe?... 21 4.1.2 comment renouveler mon mot de passe?... 21 4.1.3 que faire si je perds mon mot de passe?... 21 4.2 auto-inscription... 21 4.3 authentification... 22 5 of 23
1 aperçu 1.1 qu est-ce que l OTP? L OTP («One-Time Password») est un système d authentification basé sur l utilisation de mots de passe à usage unique, ce qui permet de résoudre les inconvénients liés à l usage de mots de passe classiques. 1.2 qu est-ce qu un token OTP? Un token OTP est un moyen d authentification permettant à un utilisateur de générer des mots de passe à usage unique. 1.3 qu est-ce qu une authentification sans token OTP? Flexible Identity supporte 3 méthodes d authentification sans token OTP : OTP par SMS : c est le serveur d authentification qui génère les mots de passe à usage unique et vous les transmet par SMS. GrIDsure (aussi appelé token grille) : l authentification est basée sur une reconnaissance de motif dans une matrice carrée. par mot de passe : mécanisme courant. 1.3.1 quelles sécurités supplémentaires sont offertes? Ne concerne pas l authentification par mot de passe. L utilisation seule d un mot de passe à usage unique ne constitue pas un système d authentification forte, car basé uniquement sur un facteur. Pour remédier à ce problème, un second facteur appelé code PIN («Personal Identification Number», préféré au terme français «NIP» rarement utilisé) peut être utilisé (suivant la politique de votre entreprise). Ce code PIN est stocké sur le serveur d authentification («server-side») : lors de chaque authentification, vous devez joindre votre code PIN à votre mot de passe à usage unique. Suivant la politique de votre entreprise, votre code PIN doit être saisi avant (le cas le plus courant et proposé par défaut par Flexible Identity) ou après votre mot de passe à usage unique. 6 of 23
1.3.2 comment utiliser l authentification OTP par SMS? OTP par SMS Une tâche d approvisionnement («provisioning task») est créée sur le serveur d authentification. Elle peut être manuelle (créée par votre administrateur SI) ou automatique (déclenchée suivant certains critères). Elle permet également d activer automatiquement votre autorisation d utilisation. A la fin cette phase, vous êtes en mesure d utiliser votre authentification OTP par SMS. GrIDsure Une tâche d approvisionnement («provisioning task») est créée sur le serveur d authentification. Elle peut être manuelle (créée par votre administrateur SI) ou automatique (déclenchée suivant certains critères). Une autorisation d utilisation vous est alors allouée et une notification contenant les instructions d activation de votre authentification GrIDsure vous est envoyée par mail. La phase d activation de votre authentification GrIDsure est appelée autoinscription («self-enrollment») et s effectue via un serveur Web dédié. Durant cette phase, vous allez : o définir votre motif. o suivant la politique de votre entreprise, définir le code PIN associé à votre motif. o activer votre autorisation d utilisation. A la fin cette phase, vous êtes en mesure d utiliser votre authentification GrIDsure. par mot de passe Une tâche d approvisionnement («provisioning task») est créée sur le serveur d authentification. Elle peut être manuelle (créée par votre administrateur SI) ou automatique (déclenchée suivant certains critères). Une autorisation d utilisation vous est alors allouée et une notification contenant les instructions d activation de votre authentification par mot de passe vous est envoyée par mail. La phase d activation de votre authentification par mot de passe est appelée auto-inscription («self-enrollment») et s effectue via un serveur Web dédié. Durant cette phase, vous allez : o définir votre mot de passe o activer votre autorisation d utilisation 7 of 23
A la fin cette phase, vous êtes en mesure d utiliser votre authentification par mot de passe. 1.3.3 que faire si je n ai pas reçu la notification d auto-inscription? Ne concerne pas l authentification OTP par SMS. Contactez votre administrateur SI pour réorganiser l envoi d une nouvelle notification. 1.3.4 quelle est la durée de vie des authentifications sans token OTP? La durée de vie des authentifications sans token OTP est liée aux autorisations d utilisation, valables tant qu elles ne sont pas révoquées par votre administrateur SI. 1.3.5 comment fonctionnent les authentifications sans token OTP? OTP par SMS Suivant la politique de votre entreprise, l un des modes suivants est utilisé pour la transmission des SMS : SMS sans attente («SMS No Waiting»): une fois que vous êtes autorisé à utiliser l authentification SMS, vous recevez votre premier mot de passe à usage unique par SMS. Dès qu il est consommé (après une authentification réussie), vous recevez le mot de passe à usage unique suivant. L avantage de cette méthode (qui se rapproche le plus du mode de fonctionnement d un token OTP) est de toujours avoir un mot de passe à usage unique valide sur votre téléphone. SMS sans attente avancé («SMS No Waiting Plus»): ce mode, très similaire au précédent, permet l envoi de plusieurs mots de passe à usage unique (jusqu à 5) dans le même SMS. Ce mode est idéal lorsque le système de remise SMS n est pas disponible (pas de couverture mobile). Le schéma suivant décrit les deux méthodes précédentes: 8 of 23
SMS challenge-réponse («SMS challenge-response»): pour utiliser ce mode, vous devez vous authentifier en laissant le champ OTP vide. Le serveur d authentification vous envoie alors un SMS contenant votre mot de passé à usage unique : GrIDsure L authentification GrIDsure se base sur la connaissance d un motif («pattern») gardé secret, et composé d une séquence de cellules issues d une matrice carrée (5x5, 6x6 ou 7x7). Nous appellerons ce motif PIP (comme «Personal Identification Pattern»). Avant même de pouvoir vous authentifier grâce à cette méthode, vous devez dans un premier temps communiquer votre PIP secret au serveur d authentification, et ceci à partir d une grille dont les cellules contiennent des caractères uniques entre eux (afin de garantir cette unicité et suivant la taille de la grille, des caractères alphanumériques pourront être utilisés, même si vos mots de passe à usage unique ne sont que numériques). Pour matérialiser la séquence de votre PIP, il suffit de saisir la séquence de caractères associés aux cellules de votre PIP. Par la suite, les valeurs dans les cellules de la matrice (fournie par le serveur d authentification) changent lors de chaque nouvelle phase d authentification. Vous composez alors votre mot de passe à usage unique en saisissant la séquence de caractères qui correspond à la séquence des cellules de votre PIP. 9 of 23
(a) (b) (c) Dans l exemple ci-dessus, le PIP (a) appliqué à la matrice (b) donnerait le mot de passe à usage unique 5582 (c). Par mot de passe Il s agit du mode d authentification par mot de passe standard. 1.4 pourquoi je n arrive pas à m authentifier? Plusieurs raisons sont possibles. 1.4.1 j ai entré un mot de passe (à usage unique) incorrect C est la cause la plus fréquente. Pour éviter ce genre de problème, assurez-vous que : votre clavier n est pas verrouillé en majuscules. vous entrez les bons caractères et utilisez les bonnes combinaisons de touches. votre mot de passe (à usage unique) est correctement formé (en adéquation avec la politique de protection par code PIN appliquée à votre méthode d authentification). 1.4.2 mon compte utilisateur est verrouillé Vous avez dépassé le nombre maximum de tentatives d authentification. Vous devez attendre que le laps de temps défini par votre entreprise soit écoulé avant que votre compte utilisateur soit déverrouillé. 1.4.3 mon autorisation d utilisation a été suspendue ou révoquée Contactez votre administrateur SI. 10 of 23
1.5 qu est-ce que le portail Self-service? Flexible Identity met à votre disposition un portail Self-service («self-service portal») permettant de gérer par vous-même certaines fonctions liées à votre système d authentification sans token OTP (parmi lesquelles le renouvèlement de votre code PIN, la retransmission SMS), soulageant par la même occasion votre centre de support. Les fonctions disponibles sur ce portail dépendent de la politique de votre entreprise. Ce portail se présente sous la forme d un site Web dont le lien d accès est fourni dans la notification d auto-inscription. 11 of 23
2 OTP par SMS Pour des raisons de lisibilité, le terme mot de passe à usage unique est remplacé par OTP dans l ensemble de ce chapitre. De plus, on considère que l équipement qui réceptionne les SMS contenant les OTP est un téléphone portable. 2.1 quelles sont mes responsabilités? Orange Business Services vous invite à d observer les recommandations suivantes pour garantir un niveau de sécurité le plus élevé possible. 2.1.1 comment protéger mon téléphone portable? Vous devez le conserver à l écart de votre ordinateur, ne jamais le laisser sur votre bureau, ni dans le sac de votre portable, considérez le comme votre carte de crédit, et gardez-le avec vous en permanence. 2.1.2 que faire si j oublie mon téléphone portable? Votre téléphone portable est un équipement primordial protégeant votre identité et les ressources auxquelles vous accédez. Prenez-en soin comme un objet précieux afin de minimiser le risque de l oublier. Si cependant, le cas se présentait, merci de contacter votre administrateur SI. 2.1.3 que faire si je perds mon téléphone portable? Si vous perdez votre téléphone portable, prévenez immédiatement votre administrateur SI : il prendra les mesures nécessaires pour s assurer que les OTP perdus ne présentent pas de risques de sécurité. suivant la politique de votre entreprise, il vous fournira une solution temporaire pour vous connecter à votre réseau en attendant que vous puissiez réutiliser un nouveau téléphone portable. 2.1.4 que faire si je perds un SMS contenant un OTP? Si vous perdez un SMS qui contient un OTP, utilisez la fonction Resend SMS de votre portail Self-service ou contactez votre administrateur SI. 12 of 23
2.1.5 comment dois-je protéger mon code PIN? Si vous avez un code PIN, protégez-le comme s il s agissait du code PIN de votre carte bancaire. Ne le communiquez à personne, même aux personnes à qui vous faites confiance. Cela inclut vos collègues, les administrateurs de votre entreprise, et toute personne se revendiquant d Orange ou d un de ses partenaires. Vous devez rester extrêmement vigilants face à toute personne réclamant votre code PIN, et prévenir immédiatement votre administrateur SI de ce type d incident. Enfin, ne jamais écrire votre code PIN sur quelque support que ce soit. 2.1.6 comment renouveler mon code PIN? Si vous souhaitez renouveler votre code PIN, ou si vous pensez qu il a été compromis, utilisez la fonction «Reset PIN» de votre portail Self-service ou contactez votre administrateur SI. 2.1.7 que faire si je perds mon code PIN? Si vous perdez votre code PIN, utilisez la fonction Send sign-in password by e- mail/sms de votre portail Self-service ou contactez votre administrateur. 2.2 authentification Vous avez la possibilité de vous authentifier avec votre token auprès de tout système qui requiert un mot de passe de connexion, ce mot de passe devant être remplacé par votre OTP transmis par SMS (et précédé ou suivi de votre code PIN si vous en avez un stocké sur le serveur). 2.3 le portail Self-service 2.3.1 accès Utilisez l URL d accès fournie par votre administrateur SI (qui commence par https://ss.safenet-inc.com/...) pour vous connecter à votre portail Self-service (depuis votre navigateur Web). 2.3.2 renouvellement du code PIN Etape 1: cliquez sur l icône Reset PIN, sur le bouton Sign in using your token, puis authentifiez-vous. En cas de succès, la page «Create New PIN» est affichée. 13 of 23
Etape 2: entrez votre nouveau code PIN dans le champ Create New PIN (vous devez le saisir une seconde fois à des fins de validation), puis cliquez sur le bouton OK. Etape 3: en cas de succès, le message Your Security PIN has been successfully reset. est affiché. Cliquez sur le bouton Sign Out avant de fermer votre navigateur Web. 2.3.3 retransmission du SMS Etape 1: cliquez sur l icône Resend SMS, la page «Resend SMS User» est affichée. Etape 2: votre identifiant utilisateur dans le champ User ID, votre code PIN dans le champ PIN, puis cliquez sur le bouton Send. Etape 3: en cas de succès, le message If this user id exists and has a mobile number, you will receive a new SMS Token Code shortly. est affiché et vous allez recevoir un nouvel SMS contant votre OTP 2.3.4 envoi d un mot de passe temporaire par courriel/sms Ce mot de passe temporaire permet uniquement de vous authentifier auprès de votre portail Self-service (utile pour renouveler un code PIN oublié) et n est valide que 10 minutes. Etape 1: cliquez sur le bouton Sign In, le bouton Send Sign in password by e-mail (or Send Sign in password by SMS), entrez votre identifiant utilisateur dans le champ User ID, puis cliquez sur le bouton Send. Etape 2: vous avez ou allez recevoir une notification intitulée «Self-service Temporary Sign In Password» par courriel (ou SMS) contenant votre mot de passe temporaire. Etape 3: cliquez sur le bouton Sign In, sur le bouton Sign in using your token, puis authentifiez-vous en utilisant votre mot de passe temporaire comme valeur de l OTP. 14 of 23
3 GrIDsure Pour des raisons de lisibilité, le terme mot de passe à usage unique est remplacé par OTP dans l ensemble de ce chapitre. 3.1 quelles sont mes responsabilités? Orange vous invite à d observer les recommandations suivantes pour garantir un niveau de sécurité le plus élevé possible. 3.1.1 comment dois-je protéger mon PIP? Protégez-le comme s il s agissait du code PIN de votre carte bancaire. Ne le communiquez à personne, même aux personnes à qui vous faites confiance. Cela inclut vos collègues, les administrateurs de votre entreprise, et toute personne se revendiquant d Orange ou d un de ses partenaires. Vous devez rester extrêmement vigilants face à toute personne réclamant votre PIP, et prévenir immédiatement votre administrateur SI de ce type d incident. Enfin, ne jamais représenter votre PIP sur quelque support que ce soit. 3.1.2 comment renouveler mon PIP? Si vous souhaitez renouveler votre PIP, ou si vous pensez qu il a été compromis, utilisez la fonction «Reset PIP» de votre portail Self-service ou contactez votre administrateur SI. 3.1.3 que faire si je perds mon PIP? Si vous perdez votre code PIN, utilisez la fonction Send sign-in password by e- mail/sms de votre portail Self-service ou contactez votre administrateur. 15 of 23
3.2 auto-inscription Etape 1: vous avez ou allez recevoir une notification intitulée «Self-enrollment» par courriel. Ouvrez-la, cliquez sur le lien d accès au site Web d auto-inscription commençant par https://se.safenet-inc.com/...), puis rendez-vous sur votre navigateur Web avant de poursuivre. Etape 2: choisissez votre PIP à partir de la matrice affichée, saisir la séquence de caractères associés aux cellules de votre PIP dans le champ Enter Value. Suivant la politique de votre entreprise, les PIP simples peuvent être interdits : ligne, colonne, diagonale, 4 coins de la matrice. Le champ Enter Value est sensible à la casse. Si votre token est protégé par un code PIN et suivant la politique de votre entreprise, vous pouvez être amenés à changer votre code PIN (vous devez saisir votre code PIN une seconde fois à des fins de vérification), puis cliquez sur le bouton Next. En cas de succès, la page suivante est affichée : 16 of 23
Etape 3: retenez votre identité utilisateur (User ID) avant de fermer votre navigateur Web. Vous êtes maintenant en mesure d utiliser votre authentification GrIDsure. 3.3 authentification Vous pouvez vous authentifier uniquement sur les systèmes gérant l authentification GrIDsure (comme votre portail Self-service décrit ci-après). Etape 1: ouvrez la notification Self-enrollment (que vous avez déjà reçue par courriel), cliquez sur le lien d accès à votre portail Self-service (qui commence par https://ss.safenet-inc.com/...), puis rendez-vous sur votre navigateur Web avant de poursuivre. Cliquez sur le bouton Sign In, puis sur le bouton Sign in using your token. Etape 2: entrez votre identifiant utilisateur dans le champ User ID, cliquez sur le bouton OK sans entrer la moindre valeur dans le champ OTP pour afficher la matrice carrée, composez votre mot de passe à usage unique en saisissant la séquence de caractères qui correspond à la séquence des cellules de votre PIP, puis cliquez sur le bouton OK. Etape 3: en cas de succès, la page d accueil de votre portail Self-service s affiche à nouveau, mais le bouton Sign In a été remplacé par le bouton Sign Out. 17 of 23
3.4 le portail Self-service 3.4.1 accès Ouvrez la notification Self-enrollment (que vous avez déjà reçue par courriel), cliquez sur le lien d accès à votre portail Self-service (qui commence par https://ss.safenetinc.com/...), puis rendez-vous sur votre navigateur Web avant de poursuivre. 3.4.2 renouvellement du code PIN Etape 1: cliquez sur l icône Reset PIN, sur le bouton Sign in using your token, puis authentifiez-vous. En cas de succès, la page «Create New PIN» est affichée. Etape 2: entrez votre nouveau code PIN (vous devez le saisir une seconde fois à des fins de validation), puis cliquez sur le bouton OK. Etape 3: en cas de succès, le message Your Security PIN has been successfully reset. est affiché. Cliquez sur le bouton Sign Out avant de fermer votre navigateur Web. 3.4.3 renouvellement du PIP Etape 1: cliquez sur l icône Reset PIP, sur le bouton Sign in using your token, puis authentifiez-vous. En cas de succès, la page «Select Pattern» est affichée. 18 of 23
Etape 2: saisissez la séquence de caractères associés aux cellules de votre nouveau PIP dans le champ Enter cell values, puis cliquez sur le bouton OK. Le champ Enter cell values est sensible à la casse. Etape 3: en cas de succès, le message Your PIP was successfully reset. est affiché. Cliquez sur le bouton Sign Out avant de fermer votre navigateur Web. 3.4.4 envoi d un mot de passe temporaire par courriel/sms Ce mot de passe temporaire permet uniquement de vous authentifier auprès de votre portail Self-service (utile pour renouveler un code PIN oublié) et n est valide que 10 minutes. Etape 1: cliquez sur le bouton Sign In, sur le bouton Send Sign in password by e-mail (or Send Sign in password by SMS), entrez votre identifiant utilisateur dans le champ User ID, puis cliquez sur le bouton Send. Etape 2: vous avez ou allez recevoir une notification intitulée «Self-service Temporary Sign In Password» par courriel (ou SMS) contenant votre mot de passe temporaire. Etape 3: cliquez sur le bouton Sign In, sur le bouton Sign in using your token, puis authentifiez-vous en utilisant votre mot de passe temporaire comme valeur de l OTP. 19 of 23
20 of 23
4 par mot de passe 4.1 quelles sont mes responsabilités? Orange vous invite à d observer les recommandations suivantes pour garantir un niveau de sécurité le plus élevé possible. 4.1.1 comment dois-je protéger mon mot de passe? Protégez-le comme s il s agissait du code PIN de votre carte bancaire. Ne le communiquez à personne, même aux personnes à qui vous faites confiance. Cela inclut vos collègues, les administrateurs de votre entreprise, et toute personne se revendiquant d Orange ou d un de ses partenaires. Vous devez rester extrêmement vigilants face à toute personne réclamant votre mot de passe, et prévenir immédiatement votre administrateur SI de ce type d incident. Enfin, ne jamais représenter votre PIP sur quelque support que ce soit. 4.1.2 comment renouveler mon mot de passe? Vous devez contacter votre administrateur SI. 4.1.3 que faire si je perds mon mot de passe? Vous devez contacter votre administrateur SI. 4.2 auto-inscription Etape 1: vous avez ou allez recevoir une notification intitulée «Self-enrollment» par courriel. Ouvrez-la, cliquez sur le lien d accès au site Web d auto-inscription commençant par https://se.safenet-inc.com/...), puis rendez-vous sur votre navigateur Web avant de poursuivre. 21 of 23
Etape 2: entrez votre mot de passe dans le champ Enter Password, une deuxième fois dans le champ Confirm Password, puis cliquez sur le bouton Next. En cas de succès, la page suivante s affiche : Etape 3: retenez votre identité utilisateur (User ID) avant de fermer votre navigateur Web. Vous êtes maintenant en mesure d utiliser votre authentification par mot de passe. 4.3 authentification Vous avez la possibilité de vous authentifier avec votre token auprès de tout système qui requiert un mot de passe de connexion (comme votre portail Self-service décrit ciaprès). Etape 1: ouvrez la notification Self-enrollment (que vous avez déjà reçue par courriel), cliquez sur le lien d accès à votre portail Self-service (qui commence par https://ss.safenet-inc.com/...), puis rendez-vous sur votre navigateur Web avant de poursuivre. Cliquez sur le bouton Sign In, puis sur le bouton Sign in using your token. 22 of 23
Etape 2: entrez votre identifiant utilisateur dans le champ User ID, votre mot de passe dans le champ OTP puis cliquez sur le bouton OK. Etape 3: en cas de succès, la page d accueil de votre portail Self-service s affiche à nouveau, mais le bouton Sign In a été remplacé par le bouton Sign Out. 23 of 23