Application Security ForumWestern Switzerland
27 octobre 2011 - HEIGVD Yverdon-les-Bainshttp://appsec-forum.ch
Authentification Multi-FacteursRetour d'experience
Rémi MOLLONAnalyste en Sécurité InformatiqueCERN
Application Security Forum - Western Switzerland - 2011 2
Présentation personnelle• Grilles Informatiques (projet EGEE)– Développement et intégration application
bio-informatiques– Développeur « Data Management »–Membre équipe sécurité opérationnelle
• Équipe Sécurité Informatique du CERN– Responsable infrastructure– Sécurité opérationnelle– Développement logiciel– Audits internes
Application Security Forum - Western Switzerland - 2011 3
Agenda
• L'Authentification au CERN• Authentification par mot de passe• Authentification multi-facteurs et les
différents facteurs• Les choix du CERN
Application Security Forum - Western Switzerland - 2011 4
CERN• Organisation Européenne pour la
Recherche Nucléaire– Coopération internationale entre
laboratoires et instituts– Caractère purement scientifique et
fondamental
Application Security Forum - Western Switzerland - 2011 5
Les Nationalités
Application Security Forum - Western Switzerland - 2011 6
Les Utilisateurs
• Le CERN– 20 états membres– Nombreux états non-membres et contacts
scientifiques
• Les utilisateurs– Des centaines d’universités à travers le monde– Élèves, étudiants, professeurs, techniciens,
ingénieurs, physiciens, …– Forte croissance des nouveaux comptes
Application Security Forum - Western Switzerland - 2011 7
Milieu Académique
• Réseaux très ouverts– Collaborations étroites entre instituts– Nombreux protocoles « maison »– Utilisation des « Grilles »
• Ordinateurs gérés par les utilisateurs–Mauvaise configuration–Mises à jour manquantes– Aucun contrôle
Application Security Forum - Western Switzerland - 2011 8
« Single Sign On »• Portail unique d'authentification–Microsoft ADFS / Shibboleth– Pour les applications (web)–Mot de passe, Certificats X509– Interface WS/SOAP
• Autorisations et E-Groups– Solution « maison » CERN– Synchronisation avec AD/LDAP– Contrôle d’accès fins si besoin
Application Security Forum - Western Switzerland - 2011 9
Les Menaces• Réutilisation des mots de passe• « Brute forcing » de mots de passe• Vols de mots de passe– « Social Engineering » / Phishing
• Vols d'appareils– Stockage non-sécurisé
• Chevaux de troie, « key loggers »• Attaque « Man in the middle »
Application Security Forum - Western Switzerland - 2011 10
Les Limites
• Négligences de certains utilisateurs• Croissance du nombre d'attaques• Vol de mots de passe 1er vecteur de
propagation d'attaques dans le milieu académique
Application Security Forum - Western Switzerland - 2011 11
Les Solutions
• Ne plus utiliser d'appareils informatiques
• « Super » utilisateurs uniquement– Retenir de nombreux mots de passe
complexes– Ne plus être vulnérable au « Social
Engineering »
• Autre méthode d'authentification...
Application Security Forum - Western Switzerland - 2011 12
AuthentificationMulti-Facteurs
• Plusieurs facteurs– Quelque chose que l'on sait• Mot de passe• Code pin
– Quelque chose que l'on a• Certificat X509• Carte a puce• Clé hardware• Génération « One Time Password »• ...
– ...
Application Security Forum - Western Switzerland - 2011 13
AuthentificationMulti-Facteurs (2)
• Facteur dynamique– Ne doit pas être mémorisé
• Résistance aux attaques– Pas de « sniffing » possible– Limite fortement la propagation
• Processus d'authentification plus long– « Single Sign On » recommandé
Application Security Forum - Western Switzerland - 2011 14
Certificat X509• Stockage a la charge de l'utilisateur– Besoin de support de stockage pour être
utilise sur plusieurs machines
• Protection doit être assurée par l'utilisateur– Souvent stocker de manière non-securisée
pour une utilisation plus facile
• Chiffrement asymétrique– Clés de plus en plus longues– Besoin de puissance de calcul
Application Security Forum - Western Switzerland - 2011 15
Cartes à puce
• Combinées a un code PIN• Très utilisées dans le milieu bancaire– Sécurité déjà éprouvée
• Besoin de lecteur– Périphérique à avoir sur soi– Problème de driver en
fonction du système
Application Security Forum - Western Switzerland - 2011 16
Cartes à puce (2)
• Différentes puces–Mémoire–Micro-processeur
• Stockage sécurisé de certificat X509• Clé secrète ne peut pas être extraite– Génération de la clé sur la carte
Application Security Forum - Western Switzerland - 2011 17
« One Time Password »
• Mot de passe à usage unique• Plusieurs algorithmes– HOTP : HMAC-based OTP– TOTP : Time-based OTP– Plusieurs protocoles propriétaires
• Souvent utilisés sur des appareils mobiles
Application Security Forum - Western Switzerland - 2011 18
Authentification Mobile
• Envoi de code par SMS–Mot de passe à usage unique– Compatible avec tous les mobiles– Coût d'envoi
• Appel téléphonique• Applications smartphones– QR code– Connexion internet nécessaire
Application Security Forum - Western Switzerland - 2011 19
Clés Hardware
• De nombreux produits sur le marché• Dépendance auprès de la compagnie• « Boîte noire »– Algorithme secret– Niveau de sécurité dur à évaluer– Quelques problèmes dans le passé– Produits marketing
Application Security Forum - Western Switzerland - 2011 20
Yubikeys
• Reconnues comme un clavier USB– Pas besoin de driver– Besoin d'un port USB
• Plusieurs modes– « Yubikey »– HOTP, TOTP–Mot de passe statique
• Pas de batterie– Pas d'horloge interne
Application Security Forum - Western Switzerland - 2011 21
Yubikeys (2)
Dirk Merkel, Linux Journal
Application Security Forum - Western Switzerland - 2011 22
Biométrie
• Identification en fonction de caractéristiques biologiques– Empreinte digitale– Rétine– Reconnaissance faciale
• Très controversée– Changement impossible
si compromis
Application Security Forum - Western Switzerland - 2011 23
AuthentificationSimple-Facteur
• Utilisation de facteurs secondaires– Remplacement du mot de passe– Simplicité et rapidité pour l'utilisateur
• Utilisation détournée– Facteurs faibles si utilisés seuls– Attaques facilitées (vols, pertes)
Application Security Forum - Western Switzerland - 2011 24
Mais alors... Lequel ?
• Pas de solution parfaite• Utilisateurs avec des besoins
différents• Plusieurs facteurs proposés– Choix du côté des utilisateurs– Couvrir tous (ou presque) les cas
d'utilisation
Application Security Forum - Western Switzerland - 2011 25
Les Choix du CERN
• Encore en étude...• Cartes à puce– Intégration avec les cartes CERN
• Authentification mobile– SMS– Application OTP pour les smartphones
• Yubikeys
Application Security Forum - Western Switzerland - 2011 26
Portail de test
Application Security Forum - Western Switzerland - 2011 27
Conclusion
• Mots de passe souvent exposés et/ou mal utilisés–Multiplication des comptes
• Besoin d'authentification forte pour des services critiques– Authentification multi-facteurs
• Fédération d'Identité– OpenID, Shibboleth
Application Security Forum - Western Switzerland - 2011 28
Vos questions ?
Application Security Forum - Western Switzerland - 2011 29
Merci!
SLIDES A TELECHARGER PROCHAINEMENT:
http://slideshare.net/ASF-WS
Rémi [email protected]://fr.linkedin.com/in/rmollon
Top Related