La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)

La fin du mot de passe pour accéder au Cloud et SaaS

exemple de Wikimédia (Wikipédia)

26/06/2014 www.aliceandbob.fr 1

http://www.aliceandbob.fr/

http://www.digicert.com/087611/

http://www.clusif.fr/

Objectifs

• Meilleure proposition de valeur / compétition • Meilleure relation client / image • Risques moindres • Entreprise responsable • Actifs de l’entreprise protégés • Innovation, nouveaux usages, nouvelles sources

de revenus (signature électronique, etc.) • Administration facilitée et coûts moindres





Table des Matières

1. Le problème des mots de passe (page 3) 2. Authentification forte (page 9) 3. Authentification forte par certificats (page 12) 4. Autres solutions d’authentification forte (page 18) 5. Exemple Wikimédia (Wikipédia) (page 25)





1. Le problème des mots de passe





De trop nombreux mots de passe

• Nous avons tous maintenant des dizaines de mots de passe et codes PIN.





Des règles difficiles à suivre

• Les spécialistes de la sécurité nous recommandent : – Des mots de passe complexes – De les changer régulièrement – Des mots de passes différents pour chaque usage – Etc.





Une solution peu satisfaisante

• Authentification faible facilement “craquable” • Outils de récupération de mots de passe • Listes de mots de passe souvent volées • Le même mot de passe pour différents sites • Nous les notons quelque part • Techniques sophistiquées de vol telles que le

Phishing





Par exemple …





2. Authentification forte




Authentification forte • Authentification à 2 ou 3 facteurs

– Ce que je sais (un mot de passe, un code PIN) – Ce que je possède (un Token, une carte, un SmartPhone,

etc.) – Ce que je suis (mon empreinte digitale, ma rétine, etc.)





L’Authentification forte en croissance





http://www.fierceitsecurity.com/story/cloud-byod-boost-demand-strong-authentication-products/2014-02-19

3. Authentification forte par certificat





L’Authentification sur un réseau par certificat électronique

• Le certificat électronique permet de valider que l’utilisateur ou la machine sont bien qui ils prétendent être et de leur donner accès ou pas

• Il est installé sur les machines de l’utilisateur • Similaires aux certificats SSL et aux certificats

utilisés pour signer des documents ou emails • Peuvent être couplés avec d’autres moyens

d’authentification tels que le login / mot de passe

26/06/2014 www.AliceAndBob.fr 13




Authentification par certificat électronique

• Certificat électronique = « carte d’identité numérique ».

• Ouvert grâce à un code PIN • Le certificat permet de vérifier qui vous êtes

avant de vous laisser entrer sur les réseaux, sur un site web, etc.

Code PIN

OK





Certificat électronique

Michael Jackson

DigiCert CA

Nom

Autorité ayant délivré le certificat

Dates de validité





Authentification mutuelle

• Lorsqu’une personne se connecte avec une machine au réseau, le certificat de la machine et celui de l’utilisateur sont vérifiés par le serveur du réseau

• L’ordinateur de l’utilisateur vérifie également de son côté qu’il se connecte bien au bon réseau et aux bons serveurs en utilisant un certificat électronique





Mise en œuvre

• L’administrateur génère et alloue des certificats électroniques à partir d’un portail

• L’administrateur configure son Active Directory (AD) ou son LDAP pour allouer ces certificats aux personnes et machines

• Il importe les certificats dans son AD ou LDAP • Il configure ses systèmes de sécurité





4. Autres solutions d’authentification forte





SmartCard ou Clés matérielles avec certificat électronique

• Certificat électronique injecté sur une SmartCard, une clé USB cryptographique, ou Token

• Une des formes les plus sûres d’authentification • Solutions coûteuses qui requièrent un objet avec soi • Gestion des objets physiques complexe pour

l’organisation (logistique, gestion des pertes, etc.) • Parfois impossible de se connecter à un

Smartphone, une tablette ou un ordinateur sécurisé qui ne possède pas de port USB





Clés matérielles ou applications One Time Password

• Objet physique que doivent porter les utilisateurs ou application installée sur leur Smartphone

• Code généré par cet objet et que l’utilisateur doit saisir pour se connecter au réseau, un site web, etc.

• Gestion des objets physiques complexe pour l’organisation (logistique, gestion des pertes, etc.)

• Compliqué pour se connecter à partir de son SmartPhone, l’utilisateur doit jongler





Attention aux Tokens RSA





http://www.zdnet.fr/actualites/rsa-securid-victime-d-une-intrusion-40-millions-de-clients-concernes-39759176.htm

Solutions biométriques

• Validation de l’empreinte digitale, iris, signature manuscrite, etc.

• Nécessite des capteurs dédiés • Capteurs pas toujours précis • L’utilisateur ne souhaite pas partager ses

informations biométriques • Pose des problèmes CNIL • Une fois vos données biométriques capturées

vous êtes mis à risque pour toujours





Que choisir ?

• Solutions plus coûteuses que le login / mot de passe

• Mais contribuent à accroître la sécurité • Les critères dans le choix des solutions sont :

– Le prix – Le niveau de sécurité – La facilité de mise en œuvre et d’usage





Notre recommandation

• Un certificat électronique installé sur les postes clients

• Voir l’exemple Wikipédia qui suit





5. Exemple Wikimédia (Wikipédia)





Défi

La fondation Wikimédia devait trouver une solution sécurisée et de confiance pour

authentifier ses utilisateurs et contributeurs en ligne et pour chiffrer (crypter) les connexions

sans compromettre l’administration du site, tout en gagnant en efficacité.





Wikimédia a développé un partenariat avec DigiCert pour protéger Wikipédia et ses 1000 serveurs • Utilisation de certificats électroniques sur les postes

clients des utilisateurs et contributeurs • Dans toutes les langues et sur les SmartPhones • En capitalisant sur la gestion SaaS de certificats

électroniques DigiCert, Enterprise Managed PKI Services


Solution





• Les certificats sont tracés/remplacés/mis à jour avec une console d’administration SaaS

• Temps de gestion des certificats réduit de 50%

• Connexions cryptées en mode « Anywhere »

• Amélioration des temps de réponse des « browsers »

• Sécurité étendue à toute la communauté avec moins de personnel

Administration




• Solution en ligne d’authentification forte et de chiffrement (cryptage) sur les différents sites Wikimédia incluant les accès mobiles

• Accroît la confiance parmi la communauté des contributeurs et des utilisateurs via l’Autorité de Certification DigiCert.

• Connexions sécurisées, et expérience utilisateur de grande qualité, incluant des téléchargements rapides

• Permet aux équipes de Wikimédia de délivrer un haut niveau de service à la communauté grâce à une gestion simplifiée des certificats électroniques, accroissant la productivité via une disponibilité en 24/7


Résultats




Merci !


[email protected] - 06 30 92 86 65 – Directeur Commercial

Expert Client Workshop Audit

Partagez votre point de vue avec

un spécialiste

Partagez l’expérience de l’un

de vos pairs

Atelier demi-journée,

best practices cas réels

Etude de l’existant, simulation financière




mailto:[email protected]

Merci ! Voir toutes nos présentations et documents sur Slideshare:

• L’avènement de la signature électronique : en 2014 • La cryptographie et la PKI enfin expliquées simplement • Comment bien choisir ses certificats SSL • L’authentification forte ou vers la fin du mot de passe • Pourquoi migrer ses certificats de Symantec vers une autre Autorité de Certification • Accroître la confiance dans les personnes et les machines qui se connectent à votre

réseau d’entreprise • Les solutions SaaS permettent l’avènement des usages des certificats électroniques • La vérité sur HeartBleed • La NSA et les Autorités de Certification : Mythe ou réalité ?

[email protected]





http://fr.slideshare.net/AliceAndBob

mailto:[email protected]

http://fr.slideshare.net/AliceAndBob

https://www.linkedin.com/company/5146086

https://www.facebook.com/aliceetbob


https://twitter.com/AliceAndBob2

La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)

Software

Transcript of La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)