Authentification forte avec les USG Studerus Roadshow 2014, Lausanne André Liechti, directeur technique SysCo systèmes de communication sa, Neuchâtel, Suisse S y s C o
Déroulement de la présentation Pourquoi un simple mot de passe ne suffit plus? Quelles sont les solutions qui existent pour plus de sécurité? multiotp Pro, le compagnon idéal aux produits ZyXEL Configuration d un pare-feu ZyWALL pour multiotp Pro Démonstration en live Questions / réponses 2
SysCo systèmes de communication sa Pourquoi un simple mot de passe ne suffit plus? (sur Internet, mais également ailleurs)
Pourquoi un simple mot de passe ne suffit plus? Utiliser le même mot de passe pour plusieurs services 4
Quelques «jolis» outils physiques Keylogger Caméra dans une clé de voiture 5
... Et d autres outils encore plus puissants ;-) Keylogger sans fil Clavier automatique caché dans une clé USB etc. 6
Quelles sont les solutions qui existent pour plus de sécurité? SysCo systèmes de communication sa
Quelles sont les solutions qui existent pour plus de sécurité? Authentification avec un deuxième facteur. Exemple d une combinaison de savoir et de posséder: l automate à billets On dispose d une carte bancaire physique et l on connait son code d identification personnel (PIN). 8
Authentification forte avec un mot de passe à usage unique Simplicité d utilisation pour l utilisateur, aucun logiciel à installer (ne dépend pas d un système d exploitation) Liste à biffer 9
Liste de mots de passe / liste à biffer Login = nom utilisateur + mot de passe + prochain code Liste sur le serveur Liste pour l utilisateur A 10
Leader historique du marché Générateur automatique basé sur le temps, avec un algorithme propriétaire secret 70% du marché en 2003 (25 millions d appareils ont été produits jusque-là) 11
Première solution logiciel libre pour des mots de passe à usage unique Mobile-OTP (2003) Code PIN + algorithme basé sur le temps Logiciel libre, avec plus de 40 implémentations différentes Au début, Java J2ME pour les mobiles Shell script Unix sur le serveur 12
Générateur standardisé de mots de passe uniques HOTP : HMAC-based One-time Password Algorithm (2005) La construction du code se base sur une fonction de hash cryptographique Standard ouvert (OATH: Initiative for Open Authentication) 13
Authentification HOTP sur le serveur Utilisateur Serveur 0382 0379 0380-0384 754812 14
Plus de problème de synchronisation avec TOTP TOTP : Time-based One-time Password Algorithm (2008) Basé sur HOTP Le compteur incrémental correspond au numéro de la portion de 30 secondes en cours 15
Authentification TOTP sur un serveur Utilisateur Serveur 0382 754812 16
Quelques générateurs HOTP/TOTP (tokens) 17
Tokens SMS Serveur OTP Utilisateur + mot de passe + token 18
SysCo systèmes de communication sa multiotp Pro le compagnon idéal aux produits ZyXEL basé sur notre solution open source existante depuis 2010!
multiotp Pro, le compagnon idéal 20
multiotp Pro Pourquoi avons-nous développé multiotp Pro? Les PME ne sont pas suffisamment protégées Pas de solution bon marché pour les PME Les produits existants ont besoin d une version spécifique de Windows et sont compliqués à installer Les produits existants sont complexes à utiliser Solutions existantes gourmandes en ressources Historique du produit Basé sur notre librairie open source (existante depuis 2010) Nombreux retours d utilisateurs spécialisés 21
multiotp Pro, le concept Appareil physique séparé Pas de problème de compatibilité avec les systèmes d exploitation Interface web simple et intuitif Mise en service en moins de 10 minutes Frais réduits au minimum Possibilité d utilisé des tokens logiciels Déploiement rapide des tokens TOTP et HOTP QRcode pour les tokens logiciels Enregistrement automatique des tokens physiques 22
multiotp Pro, le concept (2) Les protocoles standards sont supportés Mobile-OTP, HOTP, TOTP Tokens SMS Listes à biffer Les fichiers des tokens hardware peuvent être importés ZyXEL OTPv2 : importalpine.dat ZyXEL OTPv1 : 10OTP_data01_upgrade.sql Fichiers chiffrés PSKC 23
Configuration d un pare-feu ZyWALL pour multiotp Pro SysCo systèmes de communication sa
ZyWALL USG 100 configurer le serveur RADIUS
ZyWALL USG 100 méthode d authentification
ZyWALL USG 100 Authentification Web 27
ZyWALL USG 100 Authentification pour les VPNs 28
ZyWALL USG 100 Ajout d une règle dans le firewall 29
SSL-VPN avec authentification forte 30
SysCo systèmes de communication sa Démonstration en live avec multiotp Pro (ou comment mettre en place une authentification forte en moins de 10 minutes)
Démonstration en live avec multiotp Pro 32
multiotp Pro Authentification forte pour les PME En stock CHF 499 (TVA incluse) 20 utilisateurs inclus Egalement disponible en machine virtuelle Gratuit jusqu à 5 utilisateurs 33
Et maintenant, vos questions S y s C o systèmes de communication sa Crêt-Taconnet 13 tel 032 730 11 10 fax 032 730 11 09 2000 Neuchâtel info@sysco.ch www.sysco.ch 34
L intervenant André Liechti Directeur technique de SysCo systèmes de communication sa Ing. dipl. EPF en systèmes de communication Ing. dipl. ETS en électronique SysCo systèmes de communication sa Entreprise active depuis 16 ans, établie à Neuchâtel Sécurité, conseils et développements sur mesure Solutions sous Windows et Linux, également en open source