Les 7 méthodes d authentification les plus utilisées Un livre blanc Evidian Appliquez votre politique d authentification grâce au SSO d entreprise. Par Stéphane Vinsot Chef de produit Version 1.0 Sommaire La bonne authentification sur le bon poste de travail L authentification forte : du mot de passe à l authentification multi-facteurs, multi-supports. Les 7 méthodes d authentification Un exemple de politique d authentification Le SSO d entreprise intègre l authentification forte au sein de la politique de sécurité
2007 Evidian Les informations contenues dans ce document reflètent l'opinion d'evidian sur les questions abordées à la date de publication. En raison de l'évolution constante des conditions de marché auxquelles Evidian doit s'adapter, elles ne représentent cependant pas un engagement de la part d'evidian qui ne peut garantir l'exactitude de ces informations, passée la date de publication. Ce document est fourni à des fins d'information uniquement. EVIDIAN NE FAIT AUCUNE GARANTIE IMPLICITE NI EXPLICITE DANS LE PRÉSENT DOCUMENT. Les droits des propriétaires des marques citées dans cette publication sont reconnus.
Table des matières Avertissement... 5 La bonne authentification sur le bon poste de travail. 6 L authentification est la première étape du processus de connexion d un utilisateur...6 Le niveau de sécurité...7 Votre Politique de sécurité...7 Les lois et règlementations...7 Arbitrage avec les coûts de mise en œuvre et d exploitation...7 L authentification forte : du mot de passe à l authentification multi-facteurs, multi-supports.... 9 Authentification ou identification?...9 Sept éléments d authentification...9 L authentification multi-facteurs...11 Le jeton...12 Le SSO d entreprise permet d appliquer l authentification forte pour contrôler l accès à toutes les applications...13 Fonction de SSO et politique de sécurité : un exemple.13 Un exemple de politique de Sécurité des accès...14 Le SSO d Entreprise permet d intégrer l authentification forte au sein de la politique de sécurité...16 Les 7 méthodes d authentification les plus utilisées.. 17 L infrastructure d authentification Windows...17 (1) Identifiant et mot de passe...17 (2) Identifiant et OTP (One-Time Password)...17 Architecture et principe...17 Mise en œuvre et exploitation...18 (3) La clef USB ou carte à puce PKI...18 Les différents types de cartes...19 L infrastructure de PKI...19 Les fonctions du CMS...19 Le module d authentification...20 (4) La clef Confidentiel Défense...21 (5) La carte à puce avec identifiant et mot de passe...22 (6) Les solutions biométriques...22 Les trois familles de solution de biométrie...22 Les solutions de biométrie avec serveur...23 Les solutions locales...23 Les solutions de biométrie avec carte à puce....23 39 F2 87LT Rev01 3
(7) Le RFID Actif...23 Les éléments d une solution de RFID Actif...24 Un exemple de politique d authentification... 25 Le SSO d entreprise intègre l authentification forte au sein de la politique de sécurité... 26 39 F2 87LT Rev01 4
Avertissement Ce document est une introduction aux problématiques d authentification forte et d accès aux applications cibles. Il fait une revue des sept méthodes d authentification les plus utilisées actuellement et décrit leurs mécanismes principaux. Il y associe les fonctions principales d un moteur de Single Sign-On (SSO). Il n adresse pas les problématiques des Web Services ou de la Fédération d identité. Pour plus d information sur une méthode particulière, merci de vous reporter aux documents plus spécialisés. 39 F2 87LT Rev01 5
La bonne authentification sur le bon poste de travail L authentification est la première étape du processus de connexion d un utilisateur Toute organisation s appuyant sur un système d information a besoin de fiabiliser le processus de connexion aux systèmes et applications. La création d une source unique et fiable des identités, associée à la gestion des droits sont les deux piliers d un bonne infrastructure de gestion des identités et des accès. Le processus de connexion d un utilisateur peut alors s effectuer. Il s articule en général autours de 4 étapes ; Processus initial commun à toutes les connexions 1. Lancement du poste de travail et authentification de l utilisateur 2. Le poste de travail vérifie les droits de l utilisateur et le connecte à ses ressources Processus de connexion à l application elle même 1. Lancement par l utilisateur d une application sécurisée et authentification auprès de cette application. 2. L application vérifie les droits de l utilisateur et le connecte à ses transactions et données. L authentification de l utilisateur est l un des points clefs de ce processus. C est elle qui doit permettre du Système d Information de s assurer de l identité de l utilisateur et de lui associer ses droits. Il existe de nombreuses méthodes d authentification. Chacune de ces méthodes possède ses caractéristiques propres. 39 F2 87LT Rev01 6
Le niveau de sécurité Votre Politique de sécurité Les lois et règlementations Toute organisation a, ou devrait avoir, une politique de sécurité concernant la protection des postes de travail, des applications, des données ou encore des systèmes du SI. Cette politique de sécurité peut définir des niveaux minima d authentification en fonction de la criticité de la ressource utilisée. Par exemple, il est possible d imaginer, comme dans tout bon film d espionnage, que l on place un poste de travail critique dans une salle protégée par un accès contrôlé par un code confidentiel, par l introduction d une carte à puce et par une identification biométrique de l œil droit. La protection est alors à son maximum, car pour entrer il faut fournir un élément que l on sait (le code), que l on possède (la carte) et que l on est (l œil). Ce mécanisme permet effectivement de protéger un poste de travail mais il est coûteux d un point de vue de la mise en œuvre (il nécessite une salle par PC ainsi que les lecteurs adéquats) et de l exploitation (que se passe-t-il si un utilisateur oublie son code, perd sa carte et devient borgne de l œil droit?). Les nouvelles règlementations, comme Sarbanes-Oxley par exemple, exigent de mettre en place des mécanismes qui permettent d appliquer la politique de sécurité et de démontrer qu elle est effectivement appliquée. L authentification de l utilisateur est l un des éléments clefs à prendre en compte. Il faut effectivement authentifier l utilisateur lors du lancement du poste de travail et/ou lors de la connexion à son application en appliquant les règles de la politique de sécurité mais aussi démontrer que la bonne méthode d authentification est bien appliquée. Arbitrage avec les coûts de mise en œuvre et d exploitation La mise en place d une solution d authentification forte doit aussi être analysée à l aune des efforts pour sa mise en œuvre et son exploitation tels que : Pour les opérations initiales La création et la distribution des supports physiques (carte, clef, ) ou des éléments logiques (certificats X.509, mots de passe, données biométriques) aux utilisateurs, La mise en place des lecteurs spécifiques, si nécessaires, sur les postes de travail, La mise en œuvre de l infrastructure logicielle adéquate (PKI, serveur Kerberos, serveur d authentification biométrique, ), L intégration avec les applications ou avec le SSO d Entreprise, 39 F2 87LT Rev01 7
La formation des utilisateurs. Pour les opérations d exploitation La gestion d un nouvel arrivant avec l attribution de ses différents éléments, La gestion de l oubli d un élément logique (oubli du mot de passe ou de l identifiant), La gestion de la perte d un support physique et de son remplacement (perte d une carte), La gestion de l invalidation d un support (code pin grillé, données biométriques non valides, ). Ces efforts doivent être perçus comme des investissements qui vont permettre de protéger les données les plus sensibles de l entreprise et d appliquer la politique de sécurité correspondante. 39 F2 87LT Rev01 8
L authentification forte : du mot de passe à l authentification multi-facteurs, multi-supports. Authentification ou identification? Il existe une différence toute simple entre identification et authentification : c est la preuve. Une identification s appuie sur une simple déclaration comme la réception ou la lecture d un code d identification (identifiant, n de série, code barre, ). Ce code d identification n est pas supposé secret. C est une donnée publique. L authentification s appuie sur un élément de preuve comme un secret partagé ou un secret asymétrique. L authentification permet de s assurer avec un niveau de confiance raisonnable de l identité de l utilisateur. Sept éléments d authentification Pour s authentifier, un utilisateur fournit en général au moins 2 éléments : son identifiant qui permet son identification. un ou plusieurs éléments permettant d assurer l authentification elle-même. Nous retrouvons ainsi ces éléments sous des formes diverses. Voici les plus largement utilisés : Type L identifiant et le mot de passe L identifiant et le mot de passe OTP (One-Time Password 1 ) Description L identifiant et le mot de passe sont le couple d authentification le plus connu. Simple, robuste, voire même rustique, son plus gros défaut est que le niveau de sécurité dépend directement de la complexité du mot de passe. Des mots de passes simples sont faibles, et des mots de passes trop complexes conduisent les utilisateurs à mettre en œuvre des stratégies de contournement pour les gérer : Post-it, liste dans un fichier Excel ou dans le SmartPhone, L OTP permet de sécuriser l utilisation du mot de passe sur le réseau. En effet avec un système OTP, l utilisateur possède un calculateur spécialisé qui lui fournit à la demande un mot de passe. Ce mot de passe est valide pendant une durée limitée seulement, et pour une seule utilisation. Cette solution est en général mise en œuvre pour le processus d authentification initiale pour les accès externes via IP/VPN 1 OTP : One Time Password ou encore Mot de Passe à usage unique. 39 F2 87LT Rev01 9
Les certificats PKI sur carte à puce ou clef USB Clef «Confidentiel Défense» L identifiant et le mot de passe sur une carte à puce Biométrie L identification sans contact Les certificats X.509 mettent en œuvre une technologie avancée de chiffrement qui permet de chiffrer ou signer des messages sans avoir à partager de secret. L identifiant est un certificat public qui est signé et donc garanti par une autorité de certification reconnue. L utilisateur doit fournir un secret pour pouvoir utiliser les différents éléments cryptographiques : «le code PIN de sa carte ou de sa clef USB». Cette solution est en général mise en œuvre pour le processus d authentification initiale ou pour les connexions aux applications Web ou de messagerie. Il s agit d une déclinaison particulière de l exemple précédent. C est en général une clef multifonctions : stockage de certificat X.509, stockage de données, ressource cryptographique etc Le stockage de l identifiant et du mot de passe sur une carte à puce permet de compléter la sécurisation du processus d authentification. Le mot de passe peut ainsi être très complexe et changé régulièrement de manière automatique et aléatoire. Sans la carte, et sans son code PIN, il n y a plus d accès au mot de passe. Cette solution est généralement mise en œuvre pour le processus d authentification initiale L authentification par biométrie s appuie sur la vérification d un élément du corps de l utilisateur (le plus souvent l empreinte digitale). Elle peut s appuyer sur un serveur central, sur le poste ou sur une carte à puce pour stocker les données biométriques de l utilisateur. Cette solution est en général mise en œuvre pour le processus d authentification initiale et/ou pour protéger l accès à des applications très sensibles. Le RFID est une technologie qui aujourd hui se déploie dans les projets d Identification/Authentification. Une puce RFID est encastrée dans un badge et porte un numéro d identification. Ce numéro est ensuite associé à un utilisateur dans un système informatique. A la base c est une technologie d identification qui peut, en étant couplée à un mot de passe fourni par l utilisateur par exemple, être utilisé dans des procédures d authentification. Il existe 2 déclinaisons de cette technologie : Le RFID passif ou HID, qui suppose que la carte ne possède pas d alimentation propre. La carte est alimentée lors de la lecture par un champ électromagnétique généré par le lecteur. Ce système est communément utilisé pour le contrôle d accès physique par badge ou le paiement au restaurant d entreprise. La détection d une carte HID se fait à quelque centimètre. Le RFID actif s appuie sur les protocoles de communication RFID mais associe à la carte une alimentation propre. Cette alimentation permet une détection de la carte à plus longue 39 F2 87LT Rev01 10
portée (par exemple dès l entrée dans une salle ou un bureau). L intérêt principal du RFID actif est de permettre un constat d absence pour les postes de travail dans des zones accessibles au public L authentification multi-facteurs Un facteur d authentification est un élément que l on sait (code secret), que l on possède (support physique) ou que l on est (biométrie). Dès que plusieurs facteurs d authentification entrent en jeu, nous parlons d authentification multi-facteurs. Exemples de système d authentification à 1 facteur : Exemples de système d authentification à 2 facteurs : Exemple de système d authentification à 3 facteurs : Identifiant + mot de passe (élément que l on sait), Identification sans contact (élément que l on possède), Biométrie ou identifiant + biométrie (élément que l on est). Carte à puce + code PIN (éléments que l on possède ET que l on sait), Carte à puce + biométrie (élément que l on possède ET que l on est), Biométrie + mot de passe (élément que l on est ET que l on sait)). Carte à puce + code PIN + biométrie (éléments que l on possède ET que l on sait ET que l on est). La multiplication du nombre de facteurs d authentification augmente le niveau de sécurité général, mais pose les problèmes suivants : Le cycle de vie de chaque facteur doit être géré : réinitialisation des mots de passe et codes PIN, distribution des cartes à puce,, L ergonomie d utilisation peut devenir trop contraignante pour les utilisateurs, Les coûts des périphériques (cartes à puce, lecteurs, capteurs biométriques) sont additionnés. De plus, la charge du help-desk va s accroître pour gérer l ensemble de ces méthodes (déblocage des mots de passe et codes PIN, distribution des cartes, formation des utilisateurs à la biométrie, ). 39 F2 87LT Rev01 11
Le jeton Une fois l authentification initiale de l utilisateur établie, il faut la transmettre aux applications cibles. L une des techniques utilisée est le «jeton» d authentification. Ce «jeton» est un ensemble de données contenant les éléments prouvant l identité de l utilisateur qui le présente à l application. L application cible doit pouvoir récupérer ce jeton, disponible sur le poste de travail, puis s adresser à un serveur spécialisé qui lui confirmera la validité du jeton ainsi que l identité associée. Les jetons les plus répandus sont aujourd hui les jetons Kerberos et les jetons SAML. Les jetons de type Kerberos Ces jetons, par exemple, sont mis en œuvre dans les environnements Windows. Les jetons de type SAML (aussi appelée assertion SAML) Ces jetons sont mis en œuvre dans des architectures SOA/J2EE/Web Services. Les limites de l approche par jeton L approche par jeton nécessite que les applications cibles soient capables de lire le «jeton» et de dialoguer avec le serveur d authentification. Malheureusement, les applications déjà en place (et même certaines nouvelles applications) ne peuvent pas toujours être adaptées simplement. Le SSO d entreprise permet de faire le lien entre l authentification initiale de l utilisateur et les applications cibles de la manière la plus universelle possible. Le SSO d entreprise interface directement la fenêtre de demande d identifiant/mot de passe de l application cible qui n a plus besoin d être modifiée. 39 F2 87LT Rev01 12
Le SSO d entreprise permet d appliquer l authentification forte pour contrôler l accès à toutes les applications Le SSO d Entreprise permet de fournir automatiquement aux applications cibles les identifiants et mots de passé qu elles requièrent au lancement. Le SSO d entreprise permet donc d appliquer une politique à la gestion et l utilisation de ces éléments. Fonction de SSO et politique de sécurité : un exemple Auto-apprentissage Comptes multiples La définition d une politique de sécurité liée aux accès dépend des fonctionnalités de SSO disponibles que l on peut appliquer aux applications et utilisateurs cibles en fonction de leurs types d accès. Ces fonctionnalités sont par exemple : Si l utilisateur lance une application intégrée au système de SSO et pour laquelle le système de SSO ne connaît pas encore l identifiant et le mot de passe à utiliser, le système de SSO demande à l utilisateur de fournir son identifiant et son mot de passe pour cette application. Lors du lancement par l utilisateur d une application intégrée au système de SSO et pour laquelle l utilisateur possède plusieurs comptes applicatifs, le SSO offre à l utilisateur le choix du compte sur lequel il souhaite se connecter. Changements planifiés des mots de passe secondaires Délégation des accès Le SSO sait changer automatiquement les mots de passe en fonction de la politique de sécurité, soit en répondant à une demande de l application soit en générant les actions qui feront apparaître la fenêtre de changement de mot de passe. Le SSO permet alors de créer des mots de passe d une grande longueur (par ex. 32 caractères) avec un format complexe et aléatoire. Ce mot de passe n est alors plus du tout géré par l utilisateur. L utilisateur peut, à partir de son poste de travail, déléguer ses accès à un autre utilisateur pour une période donnée et pour une application donnée. L utilisateur délégué n a pas besoin de connaître l identifiant et le mot de passe de l utilisateur déléguant pour se connecter aux applications cibles. Intégration d applications personnelles L utilisateur peut intégrer lui-même ses applications personnelles au sein du système de SSO. Dans ce cas, c est lui qui définit les attributs associés à ses applications ainsi que les identifiants et mots de passe. 39 F2 87LT Rev01 13
Ré-authentification pour accès sensible Lors du lancement par l utilisateur d une application intégrée au système de SSO, ce dernier peut demander une ré-authentification dite primaire (la même que l authentification initiale) afin de vérifier si le demandeur est bien l utilisateur courant. Contrôler l accès à une application en fonction du poste de travail Le système de SSO peut limiter l accès aux applications les plus critiques à partir d un sous-ensemble donné de poste de travail. Par exemple, les applications de R&D ne peuvent être accessibles qu à partir des postes du site de R&D. L accès via un portail Web à partir d un browser quelconque sur Internet Certaines applications doivent pouvoir être accessibles via Internet à partir de n importe quel poste de travail. Il faut alors que les mécanismes de SSO puissent aussi s appliquer. Un exemple de politique de Sécurité des accès Voici un exemple basique de politique de sécurité des accès : Classification des applications Standards Ce sont des applications qui sont utilisées par tout le monde (e-mail, notes de frais ). Les mots de passe doivent rester visibles pour certains utilisateurs qui doivent y accéder de l extérieur via un portail web sécurisé Critiques Ce sont des applications dont l utilisation est restreinte à une famille d utilisateurs. Les mots de passe sont cachés afin de contrôler leur accès via la solution de SSO. Attributs associés aux applications L auto-apprentissage des identifiants et mots de passe est mis en oeuvre La délégation est autorisée Pas de ré-authentification lors du lancement de l application Accès Web via Internet Les mots de passe sont cachés à l utilisateur Les changements de mot de passe sont gérés automatiquement à la demande des applications La délégation est autorisée Pas de ré-authentification lors du lancement de l application Pas d accès Web via Internet 39 F2 87LT Rev01 14
Critiques niveau supérieur Ce sont des applications dont l utilisation est restreinte à une famille d utilisateurs. Leurs accès doivent être particulièrement protégés. Personnelles Ce sont des applications que les utilisateurs veulent pouvoir intégrer au sein de leur SSO. Les mots de passe sont cachés à l utilisateur Les changements de mot de passe sont gérés automatiquement de manière planifiée La délégation est interdite pour certains utilisateurs et autorisée pour d autres (pour les équipes de management). Lors du lancement de l application, l utilisateur doit se ré-authentifier L accès ne se fait qu à partir des postes du service concerné ou à partir de la zone concernée (Public, front-office, back offices, ) Pas d accès Web via Internet Les applications et les attributs sont définis par l utilisateur (pas de délégation) Les identifiants et les mots de passe sont définis par les utilisateurs Pas d accès Web via Internet 39 F2 87LT Rev01 15
Le SSO d Entreprise permet d intégrer l authentification forte au sein de la politique de sécurité La ré-authentification Avec un SSO d Entreprise, il devient possible d intégrer différents modes d authentifications et de les appliquer en fonction du type de poste de travail. Par exemple, il est possible de mettre en œuvre Une authentification biométrique pour protéger les postes et donc l accès aux applications de R&D, Une authentification RFID Actif qui permet de gérer l accès aux postes en selfservice Une authentification par Identifiant / OTP pour protéger les accès externes via IP/VPN Une authentification par carte à puce X.509 pour protéger les accès Internet Web sur un navigateur quelconque. Une authentification par identifiant/mot de passe pour les postes «banalisés» Le SSO d Entreprise peut alors gérer les accès aux applications cibles en fonction du poste et du type d authentification. Lors du lancement d une application sensible, le moteur de SSO peut redemander une ré-authentification. Pour les postes équipés d un module d authentification forte, c est ce type de ré-authentification qui est alors redemandé. Cette fonction permet d appliquer l authentification forte à une application fonctionnant avec une authentification identifiant et mot de passe, et ce sans changer l application concernée. 39 F2 87LT Rev01 16
Les 7 méthodes d authentification les plus utilisées L infrastructure d authentification Windows La mise en oeuvre d une authentification forte en environnement Windows nécessite de s intégrer à l infrastructure d authentification de Windows. Il faut parfois remplacer ou compléter les composants Windows existants. Ces composants sont, par exemple : Le module d authentification 2 du PC qui se charge de l authentification initiale et de la gestion des exceptions initialisé par «Ctrl+Alt+Supr». C est lui qui doit alimenter le log de sécurité pour la partie authentification initiale en complément des authentifications aux applications cibles. L annuaire des utilisateurs qui peut être Active Directory. L infrastructure Microsoft PKI qui permet de délivrer des certificats X.509. De plus lorsque l on met en place des lecteurs spécifiques (biométrie, carte à puce, ) il faut installer sur Windows les éléments (les drivers) qui permettront de gérer le dialogue avec ces éléments. (1) Identifiant et mot de passe Cette méthode ne requiert aucune modification de l infrastructure d authentification Windows en place. Il suffit d installer sur le poste de travail le module de SSO d Entreprise pour appliquer la politique de sécurité des accès. (2) Identifiant et OTP (One-Time Password) Architecture et principe L utilisateur possède un calculateur spécifique qui va lui permettre à la connexion de fournir un mot de passe valide durant une période limitée. Pour pouvoir utiliser son calculateur, il doit tout d abord y introduire un mot de passe. Le calculateur lui fournit alors en retour un mot de passe à usage unique que l utilisateur va, à son tour, fournir au module d authentification du PC. Le module d authentification dialogue ensuite avec le serveur OTP pour s assurer de la validité des informations fournies et pour accepter ou non la connexion. 2 Ce module est aussi connu sous le nom de GINA. 39 F2 87LT Rev01 17
Serveur d authentification Validation de l identifiant et du mot de passe unique Figure 1 : Mécanismes OTP Mise en œuvre et exploitation L une des utilisations principales de ce système par les organisations est la sécurisation des accès sur IP/VPN à partir des PC situés au domicile des employés. Cette solution suppose en générale la mise en œuvre d un ou plusieurs serveurs spécifiques d authentification accessibles en 24x7. Chaque utilisateur doit posséder une calculatrice spécifique et le mot de passe associé. Il faut donc mettre en place les procédures de gestion des demandes utilisateurs suite à la perte ou l oubli d une calculatrice ou à l oubli d un mot de passe. (3) La clef USB ou carte à puce PKI Les solutions à base de PKI commencent à se déployer effectivement pour assurer les authentifications initiales. La mise en œuvre d une solution à base de carte à puce et de certificat suppose l agrégation de plusieurs composants La carte avec son lecteur ainsi que le code logiciel associé qui doit être installé sur le poste de travail. L infrastructure de certificat X.509 doit fournir les différents composants d une infrastructure PKI : l Autorité de Certification et l Autorité d Enregistrement. Le CMS (Card Management System) qui va gérer l attribution des cartes (voir plus bas). Le module d authentification Windows. 39 F2 87LT Rev01 18
Le serveur d authentification. Les différents types de cartes L infrastructure de PKI Les fonctions du CMS Il y a principalement deux grandes familles de carte : Les cartes à puce cryptographique ( ) qui nécessitent un lecteur. Elles permettent d intégrer d autres technologies pour d autres usages, comme par exemple : une antenne sans contact (accès physique), ou une piste magnétique (cantine, badgeur). Les clefs USB (avec puce) qui n ont pas besoin de lecteur et peuvent se connecter directement au PC avec les pilotes appropriés. Ces clefs USB peuvent apporter des fonctions complémentaires comme un disque externe. Une infrastructure à clé publique est en règle générale composée de trois entités distinctes : L'autorité d'enregistrement (AE). Cette entité est chargée des opérations administratives telle que la vérification de l identité de l utilisateur ou le suivi des demandes. L'autorité de certification (AC). Cette entité est chargée des tâches de création de certificats ou de signature des listes de révocation L'Autorité de dépôt (AD). Cette entité est chargée de la conservation en sécurité des certificats à des fins de recouvrement. Un Card Management System doit pouvoir effectuer les fonctions suivantes : Création d une carte pour un nouvel employé : association de la carte à un employé et, dialogue avec l AC de la PKI pour récupérer le certificat de l employé et le mettre dans la carte Prêt d une carte temporaire à un employé lorsque l employé a oublié sa carte Mise en liste noire (blacklist) d une carte perdue (ou retrait de la liste noire si elle est retrouvée) Déblocage en local ou à distance d un code pin qu un utilisateur a «verrouillé» Il doit être utilisable par le help desk pour gérer les fonctions de déblocage d un code pin et par les structures d accueil des différents sites pour la création et l affectation d une carte ou pour le prêt d une carte. 39 F2 87LT Rev01 19
Le module d authentification Le module d authentification du poste doit permettre d authentifier l utilisateur : 1. Il demande l identifiant et le code PIN de sa carte à l utilisateur 2. Il vérifie auprès du CMS que la carte n est pas dans la «liste noire» des cartes 3. Il récupère le certificat public dans la carte, vérifie sa signature et vérifie qu il n est pas publié dans la «liste noire» 4. Il demande à la carte de signer un challenge et vérifie (ou fait vérifier par un serveur) que la signature correspond bien au certificat public En cas de validation des éléments, ce module autorise l accès au poste de travail sous l identité requise. Il doit également gérer d autres évènements : La perte ou l oubli du code PIN. Le module d authentification doit pouvoir permettre à l utilisateur qui est au bout du monde et qui ne peut pas appeler son help-desk de récupérer un mot de passe ou un code pin en répondant à quelques questions. La réinitialisation à distance du code PIN d une carte par le help-desk. La sécurisation du poste de travail lors du retrait de la carte : fermeture de la session Windows, ou verrouillage simple. La mise en œuvre du «Changement rapide d utilisateur» qui permet de changer rapidement le contexte du SSO d entreprise et d ouvrir les applications cibles dans le contexte de sécurité personnel de l utilisateur. 39 F2 87LT Rev01 20
Le module d authentification est au cœur d une authentification à base de PKI. PKI Infrastructure Vérifie la validité de la carte Réinitialise le code PIN CMS E-SSO Vérifie la validité du certificat et du code PIN Répond aux demandes de re-authentification Module d authentification Authentification initiale Re-authentification Réinitialisation du code PIN Retrait de la carte Figure 2 : Le module d authentification du poste au cœur de l authentification forte (4) La clef Confidentiel Défense La clef «confidentiel défense» est une déclinaison particulière de l exemple précédent. C est en général une clef multi-fonctions : stockage de certificat X.509, stockage de données, ressource cryptographique pour le chiffrement à la volée du disque dur ou de tout autre composant comme la VoIP ou des flux applicatifs PC/Serveur. Afin de contrer les risques des «key loggers 3», le code PIN d une telle clef est composé sur la clef elle-même afin d éviter l utilisation du clavier. Cette clef est capable de transporter de manière sécurisée les différents éléments du SSO d entreprise qui devient alors portable et utilisable sur n importe quel poste. 3 Un «key logger» est un code malveillant qui s installe à l insu de l utilisateur sur son PC et qui enregistre les touches frappées par l utilisateur pour ensuite les envoyer à un serveur. 39 F2 87LT Rev01 21