Authentification ForteConcept et Technologies

Ibrahima FALL Ingénieurs 2000

!

1

Identité numérique

Monde virtuel

2

Des techniques d’attaque

• Phishing

• Sniffing

• Keylogger (6191 keyloggers recensés en 2008)

• Man in The Middle

• Ingénierie sociale (efficace)

3

Solution???Monde virtuel

Monde réel

4

Agenda

• Concept de l’authentification forte

Authentification forte?

Domaines d’application

• Technologies d’authentification forte

• Informations supplémentaires

• Conclusion

5

Les facteurs d’authentification

Mémoriel

6

Les facteurs d’authentification

Matériel

7

Les facteurs d’authentification

Corporel

8

Les facteurs d’authentification

Réactionnel

9

L’authentification simple

Un - Facteur

Authentification Simple

10

L’authentification forte

au moins Deux - Facteurs

Authentification Forte

11

Domaines d’application

12

Domaines d’application

• Au sein de l’entreprise

postes du front office

postes self-service en agence

• En dehors de l’entreprise

Accès distant aux ressources

13

Agenda

• Concept de l’authentification forte

• Technologies d’authentification forte

OTP Carte à puce

RFID Biométrie

• Informations supplémentaires

• Conclusion

14

OTP(One Time Password)

+

15

Environnement externe

Entreprise

Architecture OTP

TOKENS

Protocole sécurisé( RADIUS - SSL/TLS )

Interne

Serveur d’authentification(Module OTP)

Serveurd’annuaire

Nomade

Module d’authentification

LEGENDE

16

Famille OTP

• OTP Asynchrone

Challenge/Response

• OTP Synchrone

Temps

Compteur

17

OTP Asynchrone

Client

Serveur

753..159

chiffre le challenge à l’aide de k et d’un algo de chiffrement

génère et formate le résultat (OTP)

K partagé avec le serveurAF1..9C3

génère un challenge

compare les deux réponses

18

Etape 1

Etape 2

Etape 3

génère et formate le résultat (OTP)

chiffre le challenge à l’aide de k et d’un algo de chiffrement

K partagé avec le client

AF1..9C3

753..159

Rejeté Accepté

transmet la réponse au serveur

transfert le challenge au client

Carte matricielle

Exemple d’algorithme de chiffrement

19

OTP SynchroneClient Serveur

génère un challenge à l’aide d’un horloge ou d’un compteur d'événement

753..159

chiffre le challenge à l’aide de k et d’un algo de chiffrement

génère et formate le résultat (OTP)

K partagé avec le serveurAF1..9C3

génère un challenge à l’aide d’un horloge ou d’un compteur d'événement

compare les deux réponses

20

Etape 1

Etape 2

Etape 3

génère et formate le résultat (OTP)

chiffre le challenge à l’aide de k et d’un algo de chiffrement

K partagé avec le client

AF1..9C3

753..159

Rejeté Accepté

transmet la réponse au serveur

HMAC - OTP(HOTP)

• Hashed Message Authentication Code - OTP

• Standard de l’OATH puis IETF

• RFC 4226

21

HOTPK : clé secrète C : compteur

h : fonction de hachage cryptographique SHA-1

HOTP ( K , C ) = Tronquer ( h ( K , C )) & MASK

MASK : 0x7FFFFFFF

HOTP-Value = HOTP ( K , C ) (mod 10 ^ d)

d : nombre de digit : 6 ou 8

22

Autre solution OTP

OTP basé sur SMS

23

Synthèse OTP

• Système OTP : RFC 2289

• Avantage

est portable

• Inconvénient

n’assure pas la non-répudiation

24

Démonstration...

25

Carte à puce

+

26

Famille Carte à puce

• Mot de passe

• Certificat X.509

27

Infrastructure du PKI• Autorité d’Enregistrement (AE)

vérifie l’identité de l’utilisateur

suit les demandes

• Autorité de certification (AC)

crée les certificats

signe les listes de révocation

• Autorité de dépôt (AD)

conserve les certificats à des fins de recouvrement

28

Fonctions du CMS• Nouvel employé

crée la carte et l’associe à l’employé

récupère le certificat et/ou le mot de passe de l’employé et le met dans la carte

• En cas d’oubli

prête une carte temporaire à l’employé

débloque en local ou à distance le code PIN

• En cas de perte

met en liste noire la carte perdue

29

Architecture généraleTOKENS

Utilisateur

PKI Infrastructure

Moduled’authentification

CMS

Vérifie la validitédu certificat

Vérifie la validitéde la carte

Authentificationinitiale

Serveurd’annuaire

Vérifie la validitédu mot de passe

30

Etape 1

Etape 3

Etape 4

Etape 2

Synthèse Carte à puce

• Avantage

assure la non-répudiation

permet de signer et de décrypter des messages

• Inconvénient

est peu portable

31

Token Hybride

32

Radio Frequency IDentification

33

Puce RFID

+

34

Composants RFID• Eléments physiques

badges pour les utilisateurs

antennes pour chaque poste

• Module d’authentification

installé sur le poste

• Badge Management System (BMS)

idem que le CMS

35

Paramétrage• Lorsqu’un utilisateur arrive

demander le mot de passe ou non

débloquer l’écran de veille

• Lorsqu’un utilisateur part

fermer/verrouiller la session

laisser le poste en l’état

• Lorsque des utilisateurs sont détectés en même temps

???

36

Synthèse Puce RFID

• Avantage

assure la non-répudiation

permet de gagner du temps

• Inconvénient

est peu portable

37

Biométrie

+

38

Architectures Biométrie

Stockage des données de biométrie

Vérification de l’authentification

Solution à base de serveur dans le serveur par le serveur

Solution postesur le poste de

l’utilisateurpar le poste de travail

Solution à base de carte cryptographique

dans la carte cryptographique

par la carte à puce ou par le poste de travail

39

Synthèse Biométrie

• Avantage

assure la non-répudiation

est difficilement falsifiable

• Inconvénient

est peu portable

est peu appréciée

40

Bibliographie

Wikipédia : Définitions

Evidian : Livre blanc sur l’AF

Pronetis : Livre blanc sur OTP

OATH : algorithme HOTP

http://motp.sourceforge.net : démo Mobile OTP

41

Démonstration...

42

Agenda

• Concept de l’authentification forte

• Technologies d’authentification forte

• Informations supplémentaires

• Quelques offres sur le marché

• Quelques outils de développement

• Conclusion

43

44

Outils de développement

• Authentification Web

JAAS Login Module ( depuis la version 1.4)

• Authentification Bureau

PAM (Solaris, Linux)

GINA (Windows XP, 2003)

• Infrastructure d’authentification

Authentification multi-facteurs

45

Outils de développement

• Serveur d’annuaire

OpenLDAP, Active Directory, ...

• Plugins du navigateur

PKCS #11 module : client pour les carte à puces PKI

ActiveX/java plugin : pour les scanners biométriques

46

Agenda

• Concept de l’authentification forte

• Technologies d’authentification forte

• Informations supplémentaires

• Conclusion

• Synthèse de l’authentification forte

• Ce qu’il faut retenir!

47

Mieux que l’authentification

simple• permet d’éliminer la plupart des attaques

• rend difficile la mise en place d’une attaque

• augmente le sentiment de sécurité du client

48

Coûte chèreCoût à l’unité Coût pour 50 p.

Achat des tokens incluant les licences 95 € 4750 €

Installation des serveurs et formation au produit GEMALTO

1.100 € 1.100 €

Total invest. 5850 €

Coût mensuel Coût annuel

Coût de gestion du cycle de vie du token

160 € 1920 €

Coût lié à la perte/vol du token 39 € 468 €

Total exploit. 2388 €

Coût d’investissement

Coût d’exploitation

49

Ce qu’il faut retenir!

Facteurs d’authentification (savoir, avoir, être)

Authentification forte = au moins deux facteurs

Facteurs + Dispositifs

=

différentes technologies

50

Question???

51