Génie logiciel et des TI - Cours | ÉTS MontréalJean -Marc Robert, ETS Authentification et...

Authentification et Autorisation

Jean-Marc Robert

Génie logiciel et des TI

Jean-Marc Robert, ETS 2

Plan de la présentation

◼ Introduction

◼ Contrôle accès

❑ Identification

❑ Authentifiction

❑ Autorisation

❑ Imputabilité (Accoutability)

◼ Conclusion

Jean-Marc Robert, ETS Authentification et Autorisation - A11 3

Contrôle d’accès

◼ Contrôle d’accès local à un ordinateur.

◼ Contrôle d’accès global à un système informatique

❑ Réseau

❑ Groupe d’ordinateurs (personnels ou serveurs)


Terminologie

◼ Deux concepts doivent être définis:

❑ Le sujet est l’entité désirant accéder à un processus ou une ressource.

❑ L’objet est l’entité passive à laquelle le sujet cherche à accéder.


Les concepts fondamentaux

◼ Identification

❑ Identifier de façon unique un sujet grâce à un identifiant.

◼ Authentification

❑ S’assurer que l’identité du sujet est bien celle qu’il prétend être.

◼ Autorisation

❑ Déterminer si le sujet authentifié peut poser l’action désirée sur l’objet

spécifié.

◼ Imputabilité (Accounting)

❑ Attribuer un accès à un objet ou une opération à un sujet donné afin de

s’assurer de la traçabilité de toute violation ou tentative de violation

d’une règle de sécurité.


Identification

◼ Chaque identifiant devrait être unique afin de s’assurer de

l’imputabilité des usagers.

◼ Une méthode standardisée devrait être utilisée.

❑ ASIN (Amazon Standard Identification Number) ou ISBN

(International Standard Book Number)

❑ http://openid.net/

◼ L’identifiant ne devrait pas décrire la position du sujet.

Identification.ppt

http://openid.net/

http://cyberlaw.stanford.edu/node/6740


Authentification

◼ L’authentification repose sur un authentifiant (credential) que le

sujet détient.

❑ Quelque chose que le sujet connaît.

◼ Mot de passe, numéro d’identification personnel (NIP), …

❑ Quelque chose que le sujet a.

◼ Carte magnétique, carte à puce, …

❑ Quelque chose déterminant le sujet

◼ Biométrie: empreinte digitale, rétine, iris, …

Something you know, Something you have, Something you are

Ressources/CoulFig1%5b1%5d.gif


Authentification forte

◼ Par définition, une authentification forte repose sur au moins

deux facteurs:

❑ Carte magnétique et NIP

❑ Carte magnétique et reconnaissance biométrique (iris, rétine, voix, …)

❑ Carte à puce et NIP

❑ Carte à puce et empreinte digitale

❑ …


Authentification – Mots de passe

◼ Mot de passe statique

❑ Le même mot de passe peut être utilisé pour plusieurs accès.

◼ Phrase de passe

❑ Un mot de passe virtuel (ou une clé) est dérivé de cette phrase.

◼ Mot de passe dynamique (One-time password)

❑ Un mot de passe unique est utilisé pour chaque accès.

Password.ppt


Authentification – Mots de passe dynamique

◼ Dispositif de jetons (Token device)

❑ Synchrone – Compteur◼ Le dispositif calcule le jeton à partir d’un compteur et d’un secret spécifiques à

ce dispositif (donc, à l’usager). Ce jeton est envoyé au serveur.

❑ Ce calcul se fait généralement après que l’usager ait entré son NIP. Deux facteurs.

❑ L’algorithme utilisé doit être robuste et ne pas permettre de retrouver le compteur et le secret à partir des jetons produits → Algorithme cryptographique.

◼ Le serveur central d’authentification doit connaître le compteur et le secretassociés à un dispositif.

❑ Synchrone – Temps (Ex. RSA SecureID)◼ Le dispositif calcule le jeton à partir d’un temps courant et d’un secret spécifique

à ce dispositif (donc, à l’usager). Ce jeton est envoyé au serveur.


❑ L’algorithme utilisé doit être robuste et ne pas permettre de retrouver le secret à partir des jetons produits → Algorithme cryptographique.

◼ Le serveur central d’authentification doit connaître le secret associé à un dispositif et doit avoir une horloge synchronisée avec ce dernier.

http://www.yubico.com/school-googleapps

Ressources/token-synchrone-compteur.jpg

Ressources/token-synchrone-temps.jpg


Authentification – Mots de passe dynamique

◼ Dispositif de jetons (Token device)

❑ Asynchrone

◼ Le serveur envoie à l’usager un défi (challenge) auquel il doit répondre.

◼ L’usager entre le défi dans le dispositif qui calcule la réponse appropriée. Ce calcul

repose sur un secret spécifique à ce dispositif (donc, à l’usager). Cette réponse est

envoyée au serveur.


❑ L’algorithme utilisé doit être robuste et ne pas permettre de retrouver le secret à partir des

jetons produits → Algorithme cryptographique.

◼ Le serveur central d’authentification se doit de connaître le secret associé à un

dispositif.

Ressources/token-asynchrone.gif


Authentification – Jeton (cartes à puce, jeton USB, …)

◼ Jeton ayant la capacité de traiter de l’information grâce à son

microprocesseur.

❑ Le jeton peut effectuer des calculs cryptographiques en utilisant des clés

internes – AES, DES, RSA, ...

◼ Ces calculs se font généralement après que l’usager ait entré son NIP. Deux facteurs.

❑ Permet d’automatiser le protocole de défi-réponse.

Ressources/SecurityTokens.CryptoCard.agr%5b1%5d.jpg


Authentification – Biométrie: Divers types

◼ La biométrie cherche à authentifier un sujet en analysant les

attributs physiques de ce dernier.

❑ Empreinte digitale

❑ Paume de la main

❑ Géométrie de la main

◼ Forme et largeur de la main et des doigts

❑ Topographie de la main

◼ Renflements et sillons de la main

❑ Géométrie du visage

❑ Rétine

❑ Iris

❑ Dynamique reliée à la signature

❑ Voix


Authentification – Biométrie: Taux d’erreur

◼ Lors de l’évaluation de procédés biométriques divers points

sont importants:

❑ Taux de rejet de sujets légitimes – Taux d’erreur de Type 1

❑ Taux d’acceptation d’imposteurs – Taux d’erreur de Type 2

❑ Croisement des taux d’erreur (crossover error rate – CER)


Biométrie – Croisement des taux d’erreur

Taux d

’err

eur

Sensibilité / précision

Taux de fausses acceptations Taux de faux rejets

CER


Biométrie – Croisement des taux d’erreur

Biométrie CER

Empreintes 4 à 5 %

Rétine 1.4 %

Iris 0.5 %

Géométrie de la main 2 %

Voix 10 %


Authentification – Biométrie: EmpreintesCaractéristiques

Tiré de Biometrics: A Tool for Information Security, A. K. Jain et al


Authentification – Biométrie: EmpreintesEmpreintes avec appariement



Authentification – Biométrie: EmpreintesEmpreintes sans appariement



Authentification – Biométrie: Empreintes

◼ Intégration de jeton et de la biométrie.

❑ La vérification de l’empreinte est faite par le jeton.

◼ Lors de l’initialisation, l’empreinte cible est stocké dans le jeton.

❑ Aucune opération du jeton n’est effectué sans la présentation d’une

empreinte compatible.

◼ Signature électronique autorisée sur la présentation de l’empreinte digitale du

propriétaire du jeton (donc de la clé privée).

◼ Déchiffrement d’un message (chiffré par la clé publique) sur la présentation de

l’empreinte digitale du propriétaire du jeton (donc de la clé privée).

◼ …

Est-ce la solution idéale et sans faille?


Authentification – Biométrie: Empreintes

◼ Comment s’assurer que l’empreinte n’est pas rejouée?

❑ Dans ce cas, l’empreinte deviendrait un long mot de passe.

◼ Solution idéale: le lecteur d’empreinte est intégré au jeton.

Solution 1 Solution 2


Bonne utilisation typique d’un jeton externe

◼ Un usager veut envoyer un courriel signé.

1. L’application courriel client envoie au jeton le hash du

message pour être signé.

2. Le « driver » du jeton demande à l’usager de présenter

son empreinte digitale.

3. Le jeton peut maintenant signer le hash et retourner le résultat à

l’application courriel client qui ajoute cette signature au courriel.

◼ Le courriel est envoyé.

De cette façon, la clé privée de l’usager est protégée

par le jeton. La clé ne sort jamais du jeton.


Mauvaise utilisation typique d’un jeton externe

◼ L’usager veut vérifier la signature d’un courriel

qu’il a reçu.

1. L’usager envoie au jeton la signature du courriel, le hash du

message et le certificat de celui qui a signé le message.

◼ La carte possède la clé publique permettant de vérifier les certificats.

2. Le jeton vérifie (a) la signature du certificat et (b) la signature du message.

3. Le jeton obtient le hash du message à partir de la signature du message.

4. Le jeton vérifie si le hash de la signature et celui du message sont égaux.

5. Le jeton retourne le résultat de la vérification.

◼ L’usager accepte ou refuse le courriel en se basant sur la réponse

du jeton.

Trouver l’erreur!


Mauvaise utilisation typique d’un jeton externe

◼ Premier cas : l’ordinateur n’est pas compromis.

❑ Il peut faire la vérification lui-même. Il possède tout ce

qu’il faut pour faire cette vérification (p.e. la clé publique

permettant de vérifier les certificats) et il est plus performant.

◼ Deuxième cas : l’ordinateur est compromis.

❑ Peu importe ce que le jeton répond, l’ordinateur compromis va faire ce

qu’il veut peu importe si le jeton répond OK ou KO.

Le jeton est inutile dans ce cas!


Authentification – Biométrie: Déploiement

◼ Les solutions biométriques sont plus coûteuses.

❑ L’usager doit poser une action pour s’inscrire. Cette phase peut être

longue.

❑ La quantité d’information à stocker est importante.

◼ 250KB pour une image haute définition d’une empreinte.

◼ 500 à 1000 octets pour les caractéristiques d’une empreinte pour un lecteur.

❑ Le nombre de vérifications par minute est important.

◼ Un taux acceptable est au minimum de 10 par minutes.

◼ L’acceptabilité de la part des usagers

❑ Propreté des lecteurs

❑ Information personnelle

◼ Rétine → diabète, tension artérielle

http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm


Autorisation – Modèles de contrôle d’accès

◼ Modèle d’accès discrétionnaire – Discretionary Access Control DAC

❑ Modèle où le propriétaire d’un objet défini les droits des autres sujets.

◼ Modèle d’accès obligatoire – Mandatory Access Control MAC

❑ Modèle basé sur une hiérarchisation des sujets et des objets où le système

s’assure du respect d’une politique très stricte.

◼ Modèle d’accès non-discrétionnaire – Non discretionary Access Control

❑ Modèle d’accès basé sur les rôles – Role-based Access Control RBAC


Autorisation – Modèle d’accès discrétionnaire

◼ Le sujet créant le fichier en est le propriétaire.

◼ Le propriétaire du fichier peut accorder les droits aux autres sujets.

❑ Pas d’accès ❑ Plein contrôle

❑ Lecture ❑ Écriture

❑ Exécution ❑ Élimination

❑ Changement

◼ Permet toutes les actions sauf de modifier l’ACL et le propriétaire

◼ Ce modèle est généralement implémenté avec des ACLs (Access

Control Lists)

❑ Ce modèle est utilisé par Unix, Linux, Windows, Macintosh.


Autorisation – Modèle d’accès obligatoire

◼ Ne permet pas aux sujets autant de liberté que le modèle DAC.

◼ Tous les sujets et objets possèdent une étiquette de sécurité

(security label).

❑ Hiérarchisation des sujets (habilitation de sécurité – security clearance)

et des objets (classification).

◼ Confidentiel, Secret, Top Secret, …

❑ Catégories

◼ Afin de permettre d’implémenter le principe de droit d’accès minimal.

◼ Rôles

❑ L’officier de sécurité défini les règles.

◼ En fonction des niveaux de sécurité et des catégories

❑ L’administrateur configure le système.

❑ Le système d’exploitation s’assure qu’aucune règle ne soit violée.


Autorisation – Modèle d’accès obligatoire

◼ Ce modèle est utilisé dans des environnements où la classification

et la confidentialité des informations sont essentielles.

❑ Militaire

◼ Il faut utiliser des versions particulières des systèmes

d’exploitation.

❑ Trusted Solaris

❑ SELinux (Security-Enhanced Linux)

http://www.nsa.gov/research/selinux/


Autorisation – Implémentation

◼ Matrice de contrôle d’accès

❑ Liste de contrôle d’accès (ACL)

❑ Table de possibilités (capability table)

◼ Règles de contrôle d’accès


Autorisation – Matrice de contrôle d’accès

◼ La matrice de contrôle d’accès est une matrice à deux

dimensions indiquant pour chaque sujet quelles sont les

actions que le sujet peut effectuer sur chaque objet.

◼ Généralement utilisées pour le modèle DAC.

Usager Fichier 1 Fichier 2 Fichier 3

Alice Lecture –

Écriture

Lecture –

Écriture –

Exécution

Pas d’accès

Bob Pas d’accès Lecture Lecture –

Écriture –

Exécution –

Charles Lecture Pas d’accès Lecture


Autorisation – Listes de contrôle d’accès

◼ Vecteur de la matrice de contrôle d’accès donnant les droits

des sujets pour un objet donnée.

◼ Très répandues. Systèmes d’exploitation, routeurs, …

Fichier 1

Alice:

Lecture –

Écriture

Bob:

Pas d’accès

Charles:

Lecture


Autorisation – Tables de possibilités

◼ Vecteur de la matrice de contrôle d’accès donnant les droits

d’un sujet donné pour tous les objets.

◼ Le ticket de Kerberos utilise se principe.

Alice Fichier 1:

Lecture –

Écriture

Fichier 2:

Lecture –

Écriture –

Exécution

Fichier 3:

Pas d’accès


Autorisation – Règles de contrôle d’accès

◼ Méthode très générale permettant de définir des règles

complexes du type « if X then Y ».

❑ Flexibilité très grande.

◼ Généralement utilisées pour le modèle MAC.

❑ Hiérarchisation complexe.

❑ Catégories complexes.


Imputabilité

◼ La dernière étape est de s’assurer que les actions posées par les

personnes dûment authentifiées et autorisées soient

journalisées.

◼ Les fichiers journaux permettent d’imputer les actions aux

personnes.

❑ En cas de fraudes, cela permet de retrouver les coupables.

❑ Mais ceci est la version abrégée – suite au cours GTI 719 ☺


Conclusion

◼ Afin de protéger la confidentialité et l’intégrité des actifs

informationnels, il faut s’assurer que seulement les personnes

dûment authentifiées et autorisées puissent avoir accès à ceux-

ci.

Génie logiciel et des TI - Cours | ÉTS MontréalJean -Marc Robert, ETS Authentification et...

Documents

Transcript of Génie logiciel et des TI - Cours | ÉTS MontréalJean -Marc Robert, ETS Authentification et...