HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des identités 17 décembre 2004 Hervé Schauer CISSP, ProCSSI <Herve.Schauer@hsc.fr>
Sommaire Introduction Gestion des identités en entreprise et hors de l'entreprise Composants technologiques de la gestion des identités AD, 802.1X, SSO, LDAP,... 2 / 28 Etat des lieux Perspectives Démarche Recommandations Rôles, processus, méthode, justification Conclusion Expérience HSC sur le sujet et autres ressources
Gestion des identités / introduction Comment je comprends gestion des identités ou "Identity Management" Difficile d'y voir clair Objectif d'essayer de clarifier Enterprise Identity Management Gestion des identités en entreprise Gestion des individus de l'entreprise Gestion éventuelle des individus hors de l'entreprise qui accèdent au système d'information de l'entreprise Federated Identity, Global Identity Gestion des identités sur Internet, dans la société Gestion des identités des personnes extérieures à l'entreprise Liberty Alliance (Sun, IBM,...) vs Passport (Microsoft) 3 / 28
Gestions des identités en entreprise Gestion des utilisateurs dans une entité Et des groupes d'utilisateurs, des profils, des autorisations Gestion centralisée ou hiérarchique de leur Identitifcation Authentification Habilitation / Autorisation Permet de construire un système de contrôle d'accès des individus aux applications et aux données Ainsi que la traçabilité permettant enquêtes et responsabilisation des utilisateurs Principe le plus répandu : Individus Contrôle d'accès Données et applications 4 / 28
Gestion des identités hors de l'entreprise Un individu à authentifier plusieurs entités Confusion entre l'identification et l'authentification : des individus d'un représentant d'une fonction des applications des serveurs de l'entreprise Exemples : Administrations (ex: DGI/TéléTVA, Sécu/CPS, CNAV, URSSAF, etc) Consortiums & standards (ex: Rosettanet, ebxml, etc) Fournisseurs en général (banques, assurances, etc) 5 / 28
Gestion des identités hors de l'entreprise Gestion décentralisée dans le sens où une entité identifie et authentifie puis doit propager cet authentification aux autres systèmes en ayant besoin Cauchemar de l'authentification des webs ou portails extranets Exemple pour une PME de 15 personnes 24 comptes et mots de passe génériques partagés par l'ensemble de l'entreprise 6 fournisseurs 5 clients pour les extranet ou portails obligatoires du service achat 7 éditeurs de produits de sécurité 6 associations 3 comptes partagés par 2 personnes 2 fournisseurs, une administration 6 / 28
Technologies de gestion des identités De nombreux composants technologiques peuvent participer à un système de gestion des identités : De manière concurrente ou complémentaire Méthodes d'authentification Mot de passe, calculettes, cartes à puce, biométrie,... Systèmes d'authentification et bases de données propriétaires des systèmes d'exploitation et des applications Portails d'authentification Portails web Authentification IEEE 802.1X par le boitier réseau Systèmes de SSO (Single-Sign-On) 7 / 28
Technologies de gestion des identités De nombreux composants technologiques peuvent participer à un système de gestion des identités (suite ) : Annuaires LDAP Serveurs d'authentification RADIUS ou AAA PKI/IGC : Infrastructure de Gestion de Clés Logiciels de gestion de mots de passe Logiciels de gestion de comptes Correspondances d'identifiants différents Logiciels de gestion du personnel SAP, Peoplesoft,... 8 / 28
Systèmes d'authentification des SE Unix : Sun NIS/NIS+ Méthode d'authentification : principalement le mot de passe Microsoft W2K/W2K3 : Active Directory Remplace la base SAM de Windows NT Schéma LDAP divergeant de la norme sur plusieurs points Attributs mono-valués (Common Name), attributs classiques portant des noms différents ou éclatés en plusieurs attributs (GroupOfNames) Attributs stockant des champs de bits, utilisables via des nouvelles règles de comparaison Sert à beaucoup d'autres usages : DNS,... MS-Kerberos Méthodes d'authentification diverses 9 / 28
Portails d'authentification web Identification et authentification de l'utilisateur sur un serveur web relais une fois Le serveur web relais maintient la session authentifiée L'utilisateur accède aux applications via le relais Usage courant pour les utilisateurs externes à l'entreprise Intégré dans les serveurs web et les firewalls HTTP du marché Méthodes d'authentification HTTP Basic, HTTP Digest, SSL/TLS par certificat X.509 Bases de données diverses Serveur LDAP 10 / 28
Authentification 802.1X Poste client PPP Composant réseau Serveur d authentification (AS) Réseau d'entreprise Identification et authentification de l'utilisateur par le premier composant réseau actif : commutateur, borne réseau sans fil La station ne peut accéder qu au serveur d authentification Tous les autres flux sont bloqués par le composant réseau avant l'authentification réussie Méthodes d'authentification diverses : mot de passe, certificats,... Le serveur d'authentification est généralement RADIUS, puis AD, LDAP,... 11 / 28
Systèmes de signature unique Signature unique = SSO : Single Sign On Gestion centralisée par le SSO de l'ensemble des identifiants sur tous les systèmes d'authentification L'utilisateur s'identifie et s'authentifie une première fois lui-même auprès du serveur d'authentification du SSO Méthode d'authentification : mot de passe Le système de SSO fournit l'identification et l'authentification aux autres systèmes d'authentification Soit le système d'exploitation ou l'application est configurée pour aller chercher les données d'identification et d'authentification dans le serveur du SSO Soit le système de SSO répond sur le poste client à la place de l'utilisateur aux demandes d'identification et d'authentification 12 / 28
Annuaires LDAP Gestion dans une base centralisée des identifiants, de l'authentification, et éventuellement d'autres informations Les systèmes d'exploitation et les applications interrogent l'annuaire Unix (pam_ldap), Serveurs et portails web (Apache, etc), Protocole normalisé et sécurisé LDAPS (636/tcp), LDAP-TLS (389/tcp), authentification de la session par certificat search (uid=phochon) dn: cn=paul Hochon,dc=.. Bind DN:Cn=Paul Hochon,dc=... Pass: toto login: phocho pass: toto Application OK LDAP_SUCCESS Annuaire 13 / 28
IGC (PKI( PKI) Une IGC (Infrastructure de Gestion de Clés) est un support possible de gestion des identités Permet l'usage de certificats Les anciennes PKI utilisent souvent le terme d'identity Management qui est plus vendeur 14 / 28
Logiciels de gestion des mots de passe Synchronisation des mots de passe sur des systèmes distincts Permet à l'utilisateur un mot de passe unique Quand l'utilisateur change son mot de passe sur un système d'authentification, le système reproduit le changement sur les autres 15 / 28
Logiciels de gestion du personnel Les entreprises sont de plus en plus souvent dépendantes de leur logiciel de gestion d'entreprise (propriétaire) Les logiciels de gestion d'entreprise incluent un module de gestion du personnel Le module de gestion du personnel est le composant fonctionnel type de la gestion des identités 16 / 28
Etat des lieux Chaque individu gère généralement plus d'une douzaine d'identifiants et de mots de passe dans le cadre privé et encore plusieurs dans le contexte professionnel Le système de gestion des utilisateurs internes à l'entreprise est généralement Microsoft Active Directory Les logiciels de gestion des identités et de l'authentification sont vendus aux directeurs financiers avec des calculs de retours sur investissement Parfois imposés aux utilisateurs et exploitants à leur insu Souvent perçus comme des usines à gaz Les métiers ayant un besoin critique d'un système d'habilitation utilisent un système propriétaire ou font des développements propriétaires 17 / 28
Etat des lieux La méthode d'authentification demeure le mot de passe La gestion des comptes et des mots de passe est généralement défaillante Comptes jamais utilisés Mot de passes faibles Comptes partagés etc Un employé doit généralement être déclaré dans plusieurs systèmes Les applications sont encore souvent incapables d'utiliser une base externe à l'application pour l'identification, et/ou l'authentification, et/ou les autorisations 18 / 28
Perspectives Quelles perspectives? Contrôle d'accès dans le réseau Normes IEEE 802.1X et Radius Fermes de serveurs avec un serveur = une application, baies de stockage Indépendance vis-à-vis des fournisseurs et du type de poste de travail Tout Microsoft Tout SAP Usage du système d'identification global dans l'entreprise Adapté à l'interpénétration des sous-traitants, infogérances,... Tierce-partie d'authentification Quelles recommandations? 19 / 28
Démarche S'organiser sur le papier avant de penser à la technique Gérer dans l'ordre 1) Identification 2) Autorisation 3) Authentification Identification & autorisation seront plutôt de la responsabilité de métiers Authentification sera plutôt de la responsabilité d'un service informatique Après seuleument cette gestion réussie, un projet de PKI pourra être envisagé 20 / 28
Distinguer : Démarche La base de données originale des identités Les méthodes de publication des identités Déterminer les types d'individus à gérer et les propriétaires des identités Généralement trois types d'individus à gérer 1) Employés gérés par la DRH 2) Clients et prestataires de service gérés par le propriétaire du contrat 3) Inconnus Prestataires de prestataires, avant-ventes, auditeurs mandatés par un tiers,... 21 / 28
Recommandations : rôles DRH Est propriétaire des identités des employés Détermine le point de départ de leurs autorisations par leurs rôles et responsabilités Les propriétaires de contrats Seront généralement propriétaires des identités des prestataires externes Déterminent le point de départ de leurs autorisations Les chef de services, de projets, etc Déterminent le reste des autorisations 22 / 28
Recommandations : processus Construire son processus ou workflow adapté à son organisation Comment est approvisionné chaque fichier par son propriétaire Comment les données sont publiées ou injectées vers les autres bases de données Comment les mises à jour et désactivations seront appliquées Comment et par qui la cohérence de l'ensemble est contrôlée etc 23 / 28
Recommandations : méthode Déterminer un périmètre Obtenir l'adhésion des acteurs dans ce périmètre Construire un système d'identifiant adaptés à chaque système cible Tester sur ce sous-ensemble le processus complet En tirer des tableaux de bords Nombre de création d'identité, changements de rôle,... Prouver ainsi la faisabilité à l'ensemble de l'entreprise 24 / 28
Justification Pour justifier un projet de gestion des identités Rappeller que les règles Sarbanes-Oxley et Bâle II imposent le cloisonnement des rôles et la tracabilité des actions des individus Démontrer l'amélioration de la situation actuelle par la clarification des rôles : DRH, service informatique, métiers,... La signature unique (ou SSO) est un "bonus" d'un projet de gestion des identités Il n'y a généralement pas de retour sur investissement financier, mais une amélioration de la productivité générale de l'entreprise Choisir la non-dépendance à une technologie (Microsoft, SAP, etc) ou la dépendance en toute connaissance de cause 25 / 28
Conclusion La gestion des identités est un élément crutial de la réussite d'une politique de sécurité La gestion des identités est un préalable utile aux projets de sécurité Les technologies actuelles permettent de construire un système adapté Questions? Herve.Schauer@hsc.fr 26 / 28
Expérience HSC sur le sujet Expérience sur le sujet limitée Audits de sécurité de systèmes de SSO (Single-Sign-On) Bull AccessMaster Audits de sécurité de logiciels se qualifiant de "Identity Management" CA Netegrity Siteminder Audit de sécurité de base de données Microsoft Active Directory Audits de sécurité de systèmes propriétaires d'habilitation Etudes dans les domaines du SSO, des annuaires LDAP et de 802.1X Utilisation d'annuaires, AD, RADIUS, etc Publications Article sur l'authentification : http://www.hsc.fr/ressources/articles/dsi auth/ Cours fonctionnement des PKI : http://www.hsc.fr/ressources/cours/pki/ http://www.hsc.fr/ressources/themes.html.fr#authentification 27 / 28
Autres ressources Retour sur investissement en sécurité des systèmes d'information : quelques clés pour argumenter, Clusif, 10/04. http://www.hsc.fr/presse/clusif/rosi.pdf Federated Identity & PKI Collide, André Durand, 09/04 http://www.andredurand.com/2004/09/17.html Sur www.hsc.fr vous trouverez des présentations sur 28 / 28 Infogérance en sécurité, BS7799, Sécurité des réseaux sans-fil, Sécurité des SAN, Sécurité des bases de données SPAM, etc Sur www.hsc news.com vous pourrez vous abonner à la newsletter HSC