Sécurité des systèmes d informations



Documents pareils
Journées MATHRICE "Dijon-Besançon" DIJON mars Projet MySafeKey Authentification par clé USB

VOTRE SOLUTION OPTIMALE D AUTHENTIFICATION

Authentification à deux facteurs Cryptage portable gratuit des lecteurs USB Cryptage du disque dur

LEADER DES SOLUTIONS D AUTHENTIFICATION FORTE

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian

Le protocole SSH (Secure Shell)

Version 2.2. Version 3.02

2 FACTOR + 2. Authentication WAY

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

La sécurité dans les grilles

HASH LOGIC. Web Key Server. Solution de déploiement des certificats à grande échelle. A quoi sert le Web Key Server? A propos de HASHLOGIC

Tutorial Authentification Forte Technologie des identités numériques

Le rôle Serveur NPS et Protection d accès réseau

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

La renaissance de la PKI L état de l art en 2006

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Cours 14. Crypto. 2004, Marc-André Léger

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

[ Sécurisation des canaux de communication

TrueCrypt : installation et paramétrage

Concilier mobilité et sécurité pour les postes nomades

Du 03 au 07 Février 2014 Tunis (Tunisie)

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

TheGreenBow IPsec VPN Client. Guide de Déploiement Options PKI. Site web: Contact:

Sécurité des réseaux sans fil

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

Services de Confiance numérique en Entreprise Conférence EPITA 27 octobre 2008

SSL ET IPSEC. Licence Pro ATC Amel Guetat

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

INF4420: Éléments de Sécurité Informatique

Étudiant : Nicolas Favre-Félix IFIPS Info 3. Les One Time Passwords, Mots de passe à usage unique

Meilleures pratiques de l authentification:

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Intégrer le chiffrement et faciliter son intégration dans votre entreprise!

Protocole industriels de sécurité. S. Natkin Décembre 2000

Chapitre 2 Rôles et fonctionnalités

Manuel d'utilisation du client VPN Édition 1

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

EJBCA Le futur de la PKI

Devoir Surveillé de Sécurité des Réseaux

SafeGuard Enterprise Manuel d'utilisation. Version du produit : 6.1

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Livre blanc sur l authentification forte

Middleware eid v2.6 pour Windows

Mettre en place un accès sécurisé à travers Internet

La Technologie Carte à Puce EAP TLS v2.0

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

La convergence des contrôles d accès physique et logique

EJBCA PKI. Yannick Quenec'hdu Reponsable BU sécurité

et dépannage de PC Configuration Sophie Lange Guide de formation avec exercices pratiques Préparation à la certification A+

1. Présentation de WPA et 802.1X

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Certificats Electronique d AE sur Clé USB

CA SIC Directives de certification Certificate Practice Statement (CPS) du SIC Customer ID CA 1024 Level 2

Réseaux Privés Virtuels

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Fiche technique. NCP Secure Enterprise Management, SEM. Technologie d'accès à distance au réseau nouvelle génération

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

HP ProtectTools Manuel de l'utilisateur

La citadelle électronique séminaire du 14 mars 2002

Authentification de messages et mots de passe

HP ProtectTools Manuel de l utilisateur

Sauvegardes par Internet avec Rsync

Solutions IBM Client Security. Logiciel Client Security version 5.3 Guide d installation

Service de lettre électronique sécurisée de bpost. Spécificités techniques

Présentation BAI -CITC

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi

PFE. Gestion de portefeuille électronique par carte à puce. Equipe N 16 Projet N 98. «Sujet non industriel proposé par les élèves»

Sécurité des usages du WEB. Pierre DUSART Damien SAUVERON

SafeNet La protection

Groupe Eyrolles, 2006, ISBN : X

FORMATIONS

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

La Carte d Identité Electronique

EMV, S.E.T et 3D Secure

SED SELF ENCRYPTING DRIVE Disques durs chiffrant : la solution contre les pertes de données

Dans le cadre du déploiement de l application «Base élèves premier degré (BE1D)» chaque directeur d école et agent de mairie va disposer d un outil d

Les certificats numériques

1 Présentation de la solution client/serveur Mobilegov Digital DNA ID BOX

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI

Livre blanc. Sécuriser les échanges

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

La haute disponibilité de la CHAINE DE

L authentification de NTX Research au service des Banques

Fonctionnement de Windows XP Mode avec Windows Virtual PC

L'accès aux ressources informatiques de l'ufr des Sciences

BlackBerry Business Cloud Services. Guide de référence sur les stratégies

Accès Mobile Sécurisé à L'aide de VPN SSL

Manuel de la sécurité intégrée HP ProtectTools Ordinateurs d entreprise HP modèle dx5150

Sécurité des réseaux wi fi

AccessMaster PortalXpert

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

Transcription:

Sécurité des systèmes d informations Etat de l art des medias d authentification 27 Janvier 2006 Michaud Matthieu Bauvin Germain Rofes-Vernis Pierre-Yves michau_m bauvin_g rofes-_p

Sommaire INTRODUCTION...2 LES CALCULETTES...3 CLEF USB...7 LES CARTES A PUCE...9 LES INCLASSABLES...10 CONCLUSION...12-1 -

Introduction Dans un système d'information sensible, l'authentification par une simple paire d'identifiant et de mot de passe n'est parfois pas satisfaisante. On met en concurrence un identifiant souvent connu du public et un mot de passe seulement connu de l'utilisateur. Un utilisateur est donc authentifié parce qu'il sait son mot de passe et qu'il est le seul. Le recours à des algorithmes d'encryptions forts, symétriques ou asymétriques, est une première solution pour augmenter le niveau de sécurité de ce type d'authentification. Cela prévient de l'interception du mot de passe pendant son transport. Cependant, un mot de passe peut toujours être volé autre part. A sa saisie, par exemple en espionnant les frappes du clavier, ou sa validation, lors de la comparaison avec sa valeur connu du système d'authentification. N'importe quelle personne en connaissance de cette information est donc considérée comme l'utilisateur. En d'autres termes ce procédé est répudiable. L'authentification forte consiste à ajouter d autres facteurs. Pour y parvenir, les solutions proposées font souvent appel à des éléments matériels portatifs. A l'heure actuelle, il en existe à base de calculette, carte à puce et clef USB. L'utilisateur a besoin d'avoir un élément qui lui est propre en sa possession et non plus uniquement son mot de passe. Des moyens cryptographiques forts protègent le contenu des medias. Ce document présente de manière synthétique l'offre d authentification forte du marché ainsi que les technologies employées pour assurer le niveau de sécurité promis. - 2 -

Les calculettes L un des éléments phares de l authentification forte est l utilisation de mot de passe à usage unique (One Time Password ou OTP). Plusieurs éléments sont utilisés pour calculer ces mots de passe. Cela peut être l heure où il a été généré et un élément connu de l utilisateur seul (mot de passe, PIN). Afin de faciliter la génération de ces jetons éphémères, certaines entreprises du domaine de la sécurité ont développé des systèmes, matériels et logiciels, qui se chargent de cette partie du travail. Nous ne nous intéresserons dans ce dossier qu'aux solutions matérielles. Se présentant sous la forme d un petit boîtier, contenant ou non un clavier (selon que l utilisateur a des informations à renseigner ou non), la calculette dispose d un écran LCD lui permettant d indiquer à l utilisateur le code à taper pour s authentifier sur la machine ou le serveur désiré. Sur certains modèles, l OTP est directement envoyer à l ordinateur via USB. En ce qui concerne le déploiement, il reste le même quel que soit le produit choisi. En effet, tout les jetons (en anglais Token), demandent à être initialisés par une semence (Seed dans la langue de Shakespeare), propre au client. Pour cela, seuls sont nécessaires un périphérique d initialisation et le logiciel approprié. Un seul suffit pour toute une entreprise, permettant de configurer les différents paramètres de chaque jeton en un temps réduit. CryptoCard, par exemple, table sur 15 secondes environ par jeton. Une fois chaque utilisateur en possession de son générateur, reste la mise en place logicielle. Elle consiste en la mise en place d un serveur qui se charge de la centralisation des tâches d authentification et de client pour contrôler l accès aux machines et aux services de la société. Vous trouverez un tableau récapitulatif des principales offres du marché à la page suivante. Elle est accompagnée d une page d illustrations de la plupart de ces produits. - 3 -

Constructeur Nom du produit Format Génération Informations requises Algorithme de Hachage AES DES / (3)DES Autre Prix RSA SecurID 700 porte-clefs toutes les 60sec temporelle + Semence X 65,00$ RSA SecurID 800 clef USB* toutes les 60sec temporelle + Semence X / RSA Security RSA SecurID 600 porte-clefs toutes les 60sec temporelle + Semence X / RSA SecurID 200 carte toutes les 60sec temporelle + Semence X / RSA SecurID 520 carte avec clavier sur demande temporelle + Semence + PIN X / DigiPass G01 porte-clefs sur demande temporelle + Semence X / DigiPass G03 porte-clefs sur demande temporelle + Semence X / DigiPass 250** calculette sur demande temporelle + challenge X / Vasco DigiPass 260** calculette sur demande temporelle + challenge X / DigiPass 300** calculette sur demande temporelle + challenge X / DigiPass 550** calculette sur demande temporelle + challenge X X / DigiPass 560** calculette sur demande temporelle + challenge X X / DigiPass 580** calculette sur demande temporelle + challenge X X / Alladin etoken NG-OTP clef USB* sur demande temporelle + Semence X RSA (1024 bits), SHA1 89,00$ ActivIdentity ActivIdentity Token porte-clefs avec touches sur demande temporelle + Semence + PIN X / Key Chain Token porte-clefs sur demande temporelle + Semence X X AES 128, 192, 256 69,00$ CryptoCard Pin Pad Token carte avec clavier sur demande temporelle + Semence + PIN X X AES 128, 192, 256 69,00$ La colonne Format correspond à la forme que prend le jeton La colonne Génération correspond à quand un nouvelle OTP est généré : à intervalle régulier ou bien lorsque l utilisateur appuie sur un bouton ou entre son code PIN. Enfin la colonne Information requises indique les information utilisées par le jeton pour générer l OTP à un instant donné. *: Ces jetons sont des hybrides, intégrant une interface USB en plus de l écran LCD. Elle permet la mémorisation de couple identifiant/mots de passe pour des authentifications par medias USB. **: Ces produits très complets proposent également d autres fonctions, notamment la signature électronique.

RSA Security RSA SecurID 700 RSA SecurID 800 RSA SecurID 600 RSA SecurID 200 RSA SecurID 520 Vasco Alladin: ActivIdentity: NG-OPT ActivIdentity Tokens - 5 -

CryptoCard: RB-1 PIN Pad KT-1 Key Chain - 6 -

Clef USB Avec la forte démocratisation de l USB, l idée qui semble désormais évidente d utiliser des clefs USB cryptographiquement protégées est apparue. On y stocke des informations confidentielles. Le contenu est irréversiblement encrypté, l utilisateur peut y accéder s il valide l étape d authentification (code PIN, emprunte digitale, ). En pratique, des clefs privées peuvent y être stockées et non plus rester sur un disque dur en attente d être dérobé. Quitter le travail avec ses données sensibles apporte la tranquillité d esprit. Parmi les fonctionnalités supplémentaires il existe : o Fournisseur de certificats Certains produits supportent le standard SSLv3 avec des certificats X.509. Cela permet de profiter des points forts de cette technologie largement utilisée. Dans un réseau comportant une autorité de certification, on bénéficie aussi d une tierce partie et de la révocation. o Echange de clefs Internet Pour sécuriser un flux IP, il est possible d encapsuler des paquets encryptés dans des paquets en clair, c est l IPSEC en mode transport ou encore un VPN. Pour accomplir l encryptage, les passerelles échangent des clefs pré-partagées puis des publiques. Certaines clefs USB cryptographiques prennent en charge le protocole d échange de clefs Internet (IKE) pour établir des connexions réseaux sécurisé au niveau du protocole et non au niveau applicatif. Voici une présentation des produits de référence sur le marché. - 7 -

Constructeur Nom du produit Capacités cryptographiques Administration / Deploiement Coût RSA Security USB Authenticator - Génération de clefs : DES, 3DES, RSA - Signature : RSA - Encryptage : DES, 3-DES, SHA-1 - Lecteur inclus sur la clef : pas d interface si ce n est le port USB - Avec RSA SecurID, authentification Windows et réseau - JavaCard Framework - Global Plateform - ISO 7816 compliant CryptoGram ikey - Encryptage : 3DES - Compatible avec CryptoGram SecureLogin et CryptoGram Folder - Compatible avec RSA PKCS #11 Cryptoki - Authentification Windows (possiblement plusieurs comptes) - Administration centralisé - Code PIN Aladdin etoken Pro USB - Encryptage : RSA (jusqu'à 2048), DES, 3-DES, SHA-1 - Facilement integrable dans une PKI - Certifie ITSEC LE4 - Standards : ISO 7816, PKCS#11 v2.01, CAPI (Microsoft Crypto API), APDU (Siemens/Infineon), PC/SC, X.509 v3, SSL v3, IPSec/IKE Xelios Secure Bio Drive Key - Encryptage : AES-256 - La clef a deux segments : un prive et un publique. Un lecteur d emprunte digitale contrôle l accès a la zone prive. - Console d administration pour redimensionner les deux partitions. - FAR (taux de fausse acceptance) < 0.05 - FRR (taux de faux rejet) < 0.1 - Stocke jusqu'à 10 empruntes CRYPTOCard UB-1 USB Token - Encryptage : DES, 3DES, AES 128, 192, 256 58.50 $ 159 $ 90 107 $ (64M) 285 $ (1G)

Les cartes à puce Depuis son invention par Roland Moreno en 1974, la carte à puce s'est largement développée et son usage s'est diversifié. Au départ il s'agissait d'un dispositif passif aux capacités limitées, mais des évolutions importantes ont été rendues possibles grâce aux progrès rapides de l'électronique. Ainsi les modèles les plus récents intègrent désormais un microprocesseur et jusqu'a plusieurs mégaoctets de mémoire vive pour les modèles haut de gamme. Grâce à ces nouveaux modèles, il est maintenant possible de régler une consultation médicale (carte Vitale), de prouver son identité dans des pays ayant adopte la carte d'identité électronique, comme par exemple la Belgique, ou encore de déverrouiller l'accès à son ordinateur, la plupart du temps dans un contexte professionnel. Ces usages nécessitent donc un niveau de sécurité élevé, afin de rendre la falsification ou la contrefaçon les plus difficiles possible, sachant qu'aucun système n'est parfait. Une des protections réside dans le fait que le microprocesseur et la mémoire sont contenus sur la même puce, et donc pour pouvoir accéder a la mémoire il faut obligatoirement passer par l'interface du microprocesseur. Pour pouvoir s'authentifier, la carte est le plus souvent protégée par un code PIN. Les standards utilisés ne sont malheureusement pas disponibles librement, mais pour interagir avec la carte il existe les PKCS(Public key Encryption System) développé par les laboratoires RSA, notamment le 11 qui définit une API fournissant des fonctions cryptographiques permettant de communiquer avec la carte indépendamment de la technologie, et le 15 qui définit le format des métadonnées présentes dans la mémoire de la carte afin d'assurer l'interopérabilité et la portabilité entre les différents matériels. Le déploiement nécessite dans tous les cas des lecteurs adaptés. Dans le cas des cartes bancaires, les frais seront a la charge des commerçants souhaitant s'équiper, de même que les médecins pour la carte Vitale. - 9 -

Les inclassables Au gré de nos pérégrinations sur le web, nous sommes tombés sur un fournisseur proposant des périphériques d authentification atypique. En effet, ces jetons servent de capteurs biométriques, permettant ainsi une identification de l individu relativement efficace. L authentification par biométrie peut s effectuer par le biais de l analyse de différentes parties de l anatomie humaine, allant de l empreint digitale au tracer de la paume, de l analyse morphologique du visage au tracé des réseaux veineux de la rétine. Jusqu'à très récemment, ces procédés nécessitaient la mise en place d infrastructures lourdes et l achat de matériel onéreux. Mais quelques fournisseurs se lancent désormais dans ce domaine. Constructeur Nom du produit Format Plus Prix lecteur filaire Intégré directement dans le Microsoft Fingerprint Reader OU souris 39 matériel OU clavier MorphoSmart MSO300 Lecteur de carte a puce intégré lecteur filaire / Xelios & MSO350 MorphoSmart MSO1300x lecteur filaire dans le MSO350 Contrôle d'intégrité via signature numérique ou Chiffrements des transferts lecteur filaire stockage des données sur carte BioSIMKey G4 / portable SIM TouchChip G4 lecteur filaire aucun / / Ces lecteurs doivent être utilisés en complément de la solution logicielle appropriée l une d elle est CryptoGram Secure Login qui permet l utilisation de toute sortes de jetons et de capteurs biométriques pour s identifier et authentifier. Microsoft Le login Windows simplifié par Microsoft - 10 -

Xelios MSO300 & 350 MSO1330x BioSIMKey G4 TouchChip G4-11 -

Conclusion Nous avons vu qu'il existe de nombreuse solutions différentes pour améliorer la sécurité dans une entreprise grâce à l'authentification forte. Au milieu de tant de possibilité, l'aspect financier se révèle souvent décisif. Les mêmes entreprises se retrouvant dans la plupart des constructeurs, se référer à leur expertise et faire jouer la concurrence entre eux pourrait être une bonne approche pour mettre en place la solution la plus pertinente. - 12 -

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back