Livre blanc Fedisa - Identification et authentification à l'ère numérique
1.
2. Les Auteurs
Ce document a été réalisé par la commission Identification-Authentification de Fedisa, composée de :
Jean-Marie Giraudon Keynectis
Paul de Kervasdoué Aquis
Françis Kuhn Sictiam
Philippe Landeau Orange Business Services
Michel Paillet GIP CPS
Philippe Rosé Best Practices International
Jérôme Soufflot Gemalto
Thibault de Valroger Keynectis
Xavier Vignal Groupe STS
2
3. Sommaire
I - Les enjeux de la protection des identités numériques p.5
A. Sécurité et ruptures technologiques p.5
B. L’explosion des identités numériques p.6
a) Le contexte p.6
b) Les besoins p.6
c) Le marché p.9
d) La chaîne de valeur de l’identité électronique p.10
II - Les stratégies clés d’identification/ authentification p.11
A. Le contrôle d’accès physique p.11
a) Qu’est-ce que le contrôle d’accès ? p.11
b) Les objectifs d’un bon système de contrôle d’accès p.11
c) Les composantes d’un système de contrôle d’accès p.12
d) Mettre en place un contrôle d’accès physique p.12
B. Contrôles d’accès logiques – Mots de passe p.13
a) Contexte p.13
b) Les enjeux p.14
c) Le processus d’intrusion p.14
d) La construction des mots de passe p.15
1) Les caractéristiques d’un mot de passe
2) La longueur des mots de passe
3) Les critères de choix des mots de passe
e) Le SSO (Single sign on) p.18
C. Cartes à puces et tokens USB p.18
a) Le contexte p.18
b) La carte à puce p.20
c) L’intégration dans la politique de l’entreprise p.21
1) La gestion des identités
2) Le contrôle des accès
3) L’authentification des utilisateurs
4) Convergence des systèmes d’accès
5) Gestion des cartes et cycle de vie
6) Les fonctions du Card Management System (CMS)
7) Cartes et usages Multi applicatifs
8) Simplification du déploiement
9) Mobilité et sécurité
10) Régulation (exemple pour la santé)
d) Recommandations p.25
D. La biométrie p.26
a) Les promesses de la biométrie p.26
b) Contexte p.27
c) Le marché p.27
d) Les applications de la biométrie p.28
e) les enjeux p.28
f) Déploiement de la biométrie p.28
g) Infrastructure et démocratisation p.29
h) Biométrie et Vie privée p.29
i) La biométrie et carte à puce ? p.29
j) Les nouvelles applications et usages p.29
1) Contrôle d'accès physiques aux locaux
2) Contrôle d'accès logiques
3) Equipements de communication
4) Machines & Equipements divers
k) Biométrie et aspects économiques p.30
3
4. E. Rôle du tiers de confiance en matière de contrôle d’accès p.31
a) Contexte p.31
1) Qu’est ce qu’un service de certification électronique ?
2) Les 5 piliers pour établir une relation de confiance
3) Infrastructure de Confiance : comment et pourquoi ?
4) Les acteurs de la Certification Electronique
b) Enjeux p.32
1) Quelles applications du certificat électronique ?
2) La dématérialisation
F. Exemples parlants en matière d’identification forte, d’authentification et de CA p.33
a) La messagerie sécurisée p.33
1) Qu'est-ce qu'une messagerie sécurisée ?
2) Qu’apporte une messagerie sécurisée ?
3) Le Chiffrement
* Un peu d’histoire
* La cryptographie symétrique
* Le cryptage asymétrique
b) La signature p.34
c) Les Annuaires LDAP p.35
1) Les caractéristiques principales d’un annuaire
2) La différence entre un annuaire et une base de données
3) Historique du LDAP
4) Présentation de LDAP
* Le protocole LDAP
* Consultation des données en LDAP
* Le format d'échange de données LDIF
* Evolutions possibles du protocole LDAP
III – Perspectives juridiques p.38
A. Quelques définitions p.38
a) Identifiant p.38
b) Authentifiant p.38
c) Authentification p.38
B. Les niveaux de confiance de l’authentification p.38
a) Aucune authentification p.38
b) Authentification de niveau bas p.38
c) Authentification de niveau moyen p.38
d) Authentification de niveau élevé p.38
C. Les textes en vigueur p.38
D. Principes juridiques directeurs impactant l’archivage électronique sécurisé dans la sphère privée p.39
E. Principes juridiques directeurs impactant l’archivage électronique sécurisé dans la sphère publique p.40
IV - Optimisation des Coûts et ROI p.41
A. Le contexte p.41
B. Les enjeux p.41
a) Etude a priori : analyse de risque – Méthode des scénarios et méthode PISE p.41
1) Méthode des Scénarii de risque
2) Profil de l’attaquant
b) Etude a posteriori p.42
C. Recommandations p.43
V – Prospective en matière de contrôle d’accès p.44
A. Le contexte p.44
B. Les enjeux p.49
C. Recommandations p.53
D. Lexique p.54
4
5. I - Les enjeux de la protection des
identités numériques
standardisées mais fragiles, d’autant que cela a
A. Sécurité et ruptures technologiques correspondu avec une homogénéisation des
systèmes d’information autour de progiciels
Quatre tendances de fond, qui correspondent à des applicatifs standards (les ERP, la bureautique),
évolutions technologiques historiques majeures, d’outils d’administration eux aussi standards et de
montrent que la sécurité des accès aux systèmes logiciels utilitaires non moins standards. Enfin, la
d’information doit être considérée comme quatrième tendance majeure concerne la nature de
stratégique. La première concerne la l’information. Celle-ci devient de plus en plus
décentralisation des systèmes d’information. ouverte, volontairement ou involontairement.
Autant, dans les années 1960 et 1970, aux premiers Volontairement lorsque l’entreprise choisit (par
temps de l’informatique, le dirigeant d’entreprise exemple sur un site Web) de diffuser des données
pouvait avoir l’esprit relativement tranquille car son qui, historiquement, restaient dans l’entreprise.
système d’information était enfoui dans un centre Involontairement lorsque les informations sont
informatique très centralisé, donc bien contrôlé, relayées, voire déformées, au fil de leur
autant, dans les années 1980 et, plus encore, par la cheminement dans les réseaux.
suite, le degré de tranquillité du dirigeant
d’entreprise s’est effrité. Ces tendances lourdes ont trois conséquences dans
le domaine de la sécurité. D’abord, la sécurité, d’une
Pourquoi ? D’abord parce qu’est arrivée la micro- approche technique, devient un enjeu de
informatique avec, pour corollaire, une intervention management. Autrement dit, les responsables
de l’utilisateur final sur le système d’information. On sécurité, lorsqu’ils existent, doivent se doter de
conçoit que ce contexte a constitué une profonde compétences dans ce domaine, par exemple pour
rupture vis-à-vis de la problématique de s’assurer que l’installation de technologies de
l’informatique centralisée, avec des systèmes sécurité s’effectue dans un cadre organisationnel qui
contrôlés par des « spécialistes » (informaticiens). permettra une efficacité optimale. Ensuite, d’une
Lorsque les postes de travail ont commencé à être problématique de direction de systèmes
connectés en réseau, le degré de sérénité des d’information, la sécurité remonte et devient une
dirigeants d’entreprises et des responsables exigence de stratégie d’entreprise, de gouvernance
informatiques a connu une nouvelle décrue. diraient les anglo-saxons, voire de gouvernement,
tant la sécurité devient aussi une préoccupation des
Seconde tendance majeure : l’interconnexion de ces pouvoirs publics. Enfin, si la préoccupation de
réseaux. Non seulement les postes de travail sont sécurité remonte vers les directions générales, elle
connectés au sein d’une entreprise, mais les réseaux redescend également vers les utilisateurs. Ceux-ci
d’entreprises sont devenus interconnectés, dans un jouent un rôle central dans l’efficacité des politiques
premier temps avec des réseaux contrôlés par les de sécurité. A tous les niveaux, se pose la question
opérateurs de télécommunications et reposant sur de l’authentification-identification.
des technologies relativement fiables (par exemple
X25). On parle d’entreprise étendue, et cela Selon le Clusif, qui a publié son étude sur la
correspond à une nébuleuse qui fait intervenir le sinistralité informatique 2008, « les technologies de
système d’information de l’entreprise, mais contrôle d’accès logiques restent peu déployées, et
également celui des sous-traitants, des fournisseurs, surtout que la situation ne semble pas avoir évoluée
des clients, des administrations, voire des en deux ans, puisque les résultats 2008 sont presque
concurrents (par exemple dans le cas de co- identiques { ceux de 2006. Alors que l’ouverture des
entreprise) : la problématique d’authentification- systèmes et surtout le nomadisme se sont
identification devient encore plus stratégique car considérablement accélérés depuis 2006, cette
multidimensionnelle. absence d’évolution côté contrôle d’accès est
préoccupante. »
La troisième tendance de fond constitue le
prolongement de la précédente et se résume à un Comme le montre le tableau ci-après, les
mot : Internet. Non seulement les postes de travail entreprises n’ont pas encore adopté massivement
de l’entreprises sont interconnectés ; non seulement les technologies de contrôle d’accès, selon la
ils le sont avec ceux d’autres entreprises et de tiers ; dernière enquête menée par le Clusif (Club de la
mais ils le sont sur des technologies ouvertes, certes sécurité de l’information français).
5
7. B. L’explosion des identités
numériques
a) Le contexte
Qu’est-ce que l’identité numérique et pourquoi est- improve authentication in a balanced manner, with
ce un enjeu important pour l’avenir ? L’identité full protection of privacy and civil liberties…”
numérique est un ensemble de données permettant
de caractériser une personne, dans un contexte C’est ensuite un enjeu économique. La maîtrise des
d’utilisation donné. Elle n’est donc pas absolue, données personnelles est un actif majeur pour les
comme l’identité régalienne (état civil), mais offreurs de services. Elle permet les techniques de
contextuelle : on peut avoir plusieurs identités scoring à des fins de marketing ciblé, elle offre
numériques en fonction de l’espace numérique dans d’énormes gains de productivité en permettant
lequel on évolue (une identité sur Facebook, une l’automatisation de procédures, elle permet enfin de
identité pour déclarer ses impôts, une identité pour proposer de nouveaux services en ligne. Ce constat
percevoir ses remboursements de santé, …). peut paraître dérangeant { bien des égards, il n’en
est pas moins réel, et nier l’importance économique
L’identité numérique est clairement un enjeu pour de l’identité électronique reviendrait { faire prendre
l’avenir : c’est d’abord un enjeu de confiance. Les à la France un retard important.
utilisateurs, citoyens de démocraties modernes, ont
un légitime droit à la protection de leur identité dans b) Les besoins
le contexte nouveau du cyber-espace (1,5 milliards
d’utilisateurs d’Internet aujourd’hui). Ils connaissent La gestion des identités électroniques répond à
mal les risques, mais ils souhaitent que leurs quatre types de besoins, qui peuvent être classés par
données personnelles ne soient utilisées qu’aux fins degré de criticité :
qu’ils ont approuvées, et bien sur que personne ne
puisse usurper leur identité.
Par ailleurs, il ne suffit pas de protéger les identités
numériques des personnes, il faut aussi protéger
celles des composants d’infrastructures (serveurs,
composants réseau, base de données), qui sont des
objets mais qui sont également dotés d’une identité
sur les réseaux.
Outre Atlantique, l’administration Obama a réagi
aux constats préoccupant sur la vulnérabilité des
systèmes en lançant un ambitieux programme
appelé « Securing Cyberspace for the 44th
Presidency », dont l’un des thèmes principaux est «
Identity Management for Cybersecurity ». Voici un
extrait du rapport de la commission CSIS :
“ …The question is wether we improve, for
cybersecurity purposes, authentication while we
protect important social values such as privacy and
free speech. We have concluded that security in
cyberspace would benefit from stronger
authentification and that the government must
require strong authentication for access to critical
infrastructure. In doing this, the United States must
7
8. Simplifier l’usage des e-services ou Ici, il est question avant tout de simplifier la manipulation des e-
des applications services ou des applications par les utilisateurs. Ces derniers
souhaitent autant que possible :
- Eviter de ressaisir leurs informations personnelles dans les
multiples formulaires qui leur sont proposés en ligne. (*)
- Ne pas avoir à retenir un grand nombre de mot de passe, qui
finissent par être identiques sur tous les services, au
détriment évident de la sécurité. (**)
Le « binding » de données Dans la plupart des transactions e-commerce, l’offreur de service n’a
pas besoin de connaître l’identité détaillée de l’internaute mais
seulement d’être sûr que certaines données correspondent bien {
une même personne, typiquement un N° CB et une adresse de
livraison (le payeur est bien le bénéficiaire). C’est ce que l’on appelle
le binding de données. Il permet de garantir le e-commerce tout en
préservant totalement ou partiellement l’anonymat de l’internaute.
La garantie d’unicité d’utilisation Dans beaucoup de e-services ou d’applications, les utilisateurs créent
un compte qui leur est propre et l’utilisent ensuite régulièrement en y
gérant des informations personnelles. L’unicité d’utilisation consiste
{ garantir que l’utilisateur est bien toujours le même. On peut citer
bien des exemples : compte de messagerie (Gmail, Yahoo, …),
Compte fiscal, espace personnel sur la banque en ligne, compte
joueur en ligne…. On peut aussi trouver des applications très
sensibles comme le recensement d’une population (dédoublonnage),
le vote électronique ou le parcours voyageur dans un aéroport.
L{ encore, l’anonymat n’est pas nécessairement un problème, mais
l’unicité d’utilisation doit être assurée, et l’usurpation d’identité
combattue.
La preuve d’identité Le niveau le plus critique de gestion de l’identité électronique est la
preuve d’identité. On entre dans le champ du contrôle administratif
et / ou de la traçabilité à des fins juridiques. Ici, il faut pouvoir
associer les actions électroniques à une identité au sens régalien.
On peut citer les documents de voyage (passeports électroniques),
les contrats passés de manière électronique, les actes administratifs
ou notariés électroniques, les télé-procédures…
(*) Ce constat avait conduit Microsoft à créer en 2005 son (**) On parle de SSO ou « Sigle Sign On », c'est-à-dire une
système « Passeport » visant à proposer à l’utilisateur de seule authentification pour tous les accès. Selon une
centraliser ses données d’identité dans une base unique, analyse récente, plus de la moitié des internautes français
gérée par Microsoft. Cette initiative a été abandonnée (56%) utilisent le même mot de passe sur l'ensemble des
devant les fortes critiques émises par les défenseurs des sites sur lesquels ils sont inscrits. Ils sont donc une majorité
libertés individuelles, au profit d’une approche plus à compromettre leur identité numérique afin de ne pas
décentralisée dans le cadre du consortium OpenID, qui s'encombrer la mémoire, par négligence, par manque
regroupe d’autres grands acteurs de l’informatique tels que d'imagination, ou par inconscience du danger.
Google ou IBM.
8
9. c) Le marché
Deux approches se profilent pour la gestion de prendre le dessus ? Si les états ont pour eux la
l’identité électronique au niveau mondiale : légitimité et la reconnaissance légale, les
l’une, régalienne, gérée par les états au travers acteurs privés maîtrisent la plus grande part des
de documents d’identité électronique usages. Il est probable que les deux approches
comportant une puce ; l’autre émergeant de vont co-exister : l’approche régalienne pour le
manière plus anarchique au sein de la sphère contrôle policier de l’identité, l’administration
privée (banques, opérateurs de électronique et les échanges nécessitant une
télécommunications) et des grands acteurs des forte valeur probante, l’approche privée pour le
technologies de l’information (Google, e-commerce. L’interpénétration des deux
Facebook, eBay, Microsoft, Apple) qui tentent approches dépendra de l’évolution du rapport
de créer un standard de fait. Bien qu’elles ne de force entre les deux sphères, de la capacité
soient pas antinomiques, quelle approche va de consensus, et de l’évolution des mentalités
des utilisateurs.
9
10. Le marché mondial de l’identité électronique - Les outils permettant de mettre en œuvre
régalienne est évalué aujourd’hui { quatre milliards l’identité électronique dans les différents contextes
de dollars, pour un potentiel autour de 30 MD€, d’usage.
selon IDC. Le marché de l’identité électronique
gérée par la sphère privée est très difficile à évaluer
car il est dilué dans les usages (e-banking, e-
commerce, réseaux sociaux, …). Il est certainement
de loin le plus important en volume. Le (très petit)
sous-ensemble de l’identité électronique
d’entreprise (IAM) est évalué { 3,5 MD€.
Il est clair toutefois que, s’agissant de l’identité
électronique, la valeur de ce marché ne se réduit pas
à sa seule valeur marchande, car il est aussi porteur
de très forts enjeux sociétaux.
d) La chaîne de valeur de l’identité
électronique
La chaîne de valeur de l’identité électronique
s’organise en trois grandes couches :
- les dispositifs de protection de l’identité,
avec un profil d’offreurs plutôt industriel. C’est la
couche de loin la plus importante aujourd’hui, ce qui
prouve la jeunesse de ce marché où la technologie
précède les process et les usages. On y trouve
notamment l’industrie de la carte { puce, très bien
représentée en France. Une part importante de la
fabrication des composants est délocalisée vers les
pays à bas coût (Chine), la valeur principale restant
la R&D, le marketing et la distribution.
- les gestionnaires d’identité, avec un profil
d’offreur plutôt service. Cette couche est encore
embryonnaire pour le marché de l’identité
électronique, mais elle représentera une part
importante, voir majoritaire de la valeur à terme,
comme on a pu le voir sur le marché des moyens de
paiement, ou sur le marché du fonctionnement
d’Internet par exemple. Elle sera également celle qui
dégagera les marges les plus importantes tout en
étant la plus créatrice d’emploi plus difficilement
délocalisables.
10
11. II - Les stratégies clés Les préoccupations de sécurité liées { l’accès ne
sauraient être dissociées de la sécurité générale des
d’identification/ authentification bâtiments. Il est recommandé de faire réaliser, par
un organisme extérieur, un contrôle périodique des
Le marché de l’identité numérique repose sur
facteurs de risques.
plusieurs technologies clés, dont certaines sont bien
maîtrisées, voir dominées, par les offreurs français, b) Les objectifs d’un bon système de contrôle
et d’autres pour lesquelles la France accuse un d’accès
important retard. Parmi toutes ces technologies on
peut citer la carte à puce, la cryptographie, la Un système de contrôle d’accès doit répondre aux
biométrie, la PKI, le RFID, l’impression sécurisée, le impératifs suivant :
cloud computing, la fédération d’identités, les
- il doit être installé après une étude des besoins,
annuaires…
en particulier des risques d’intrusion. Cette étude
Les technologies dans ce domaine ne font pas tout, présente plusieurs avantages, d’abord économique
un axe de plus en plus important est la capacité (le coût sera optimisé par rapport aux enjeux),
d’influence sur la standardisation, car l’identité ensuite en termes d’efficacité (inutile de se prémunir
électronique ne peut se développer contre des risques hypothétiques ou de dépenser
qu’accompagnée par un mouvement de trop peu pour lutter contre un risque majeur). De
standardisation technique et juridique permettant même, une étude des besoins aboutit à une
son utilisation de manière interopérable. Sur ce couverture exhaustive des locaux à protéger. En
point, le leadership est clairement anglo-saxon pour l’absence d’une étude des besoins, c’est l’illusion de
l’instant. sécurité qui prévaut, avec son cortège d’issues non
fermées, d’ascenseurs desservant directement des
A. Le contrôle d’accès physique locaux sensibles.
a) Qu’est-ce que le contrôle d’accès ? - un dispositif de contrôle d’accès doit être
cohérent et hiérarchisé par rapport aux enjeux. En
Un dispositif de contrôle d’accès est un système effet, on ne protège pas des locaux informatiques
avec plusieurs composantes dont l’objectif est de comme des salles de réunions, un hall d’accueil ou
contrôler (c’est-à-dire identifier et/ou authentifier) des services de recherche-développement.
les individus qui se présentent { un point d’accès
permettant de pénétrer dans un lieu donné. Pour prendre en compte cette hiérarchisation, il est
L’identification consiste { déterminer si la personne préférable d’adopter une structure en anneaux, avec
{ contrôler possède bien un droit d’accès. les zones suivantes :
L’authentification consiste { s’assurer que la bonne
- locaux stratégiques (salle informatique,
personne détient le bon droit d’accès (pour éviter le
local télécoms...),
vol de supports de contrôle d’accès tels que les
cartes à puces par exemple). - locaux à risque important (bureaux
recherche-développement, entrepôts,
On peut donc définir le contrôle d’accès comme
direction générale...),
l’interaction spécifique entre un sujet et un objet qui
a pour résultat d’autoriser ou non le transfert d’un - locaux { risque moyen (hall d’accueil,
flux d’informations de l’un vers l’autre. Il s’agit, plus parkings...),
généralement, de l’ensemble des moyens
nécessaires pour accéder, stocker ou prélever des - locaux { risque faible ou zones d’échanges
données, pour communiquer ou pour utiliser des (cafétéria, salle de réunions...).
ressources d’un système d’information.
La cohérence signifie que l’on évitera de mettre en
place des dispositifs inutiles (par exemple un
contrôle par carte { puce { l’entrée d’une cafétéria)
11
12. qui font double emploi (lecteur de carte à puce pour portables raccordés temporairement au poste de
entrer dans le parking, autre lecteur, avec une autre gestion centralisé.
carte pour entrer dans les bâtiments puis autre
- un dispositif d’action, par exemple pour ouvrir
système à carte pour entrer dans une salle
informatique). les portes des locaux. Lié { l’unité de gestion
centralisée, ce dispositif ouvre ou ferme les accès en
- le contrôle d’accès doit prendre en compte la fonction des droits déterminés pour chaque
sécurité des personnes, en fonction des impératifs individu. Ce dispositif est commandé soit
d’urgence. Autrement dit, les issues de secours ne automatiquement (par exemple pour les lecteurs de
permettent pas des intrusions par l’extérieur des badges), soit manuellement (poste de gardiennage),
bâtiments mais ne doivent pas gêner les soit de façon semi-automatique (télécommande
évacuations, notamment en cas d’incendie. depuis un poste de gardiennage).
- le dispositif de contrôle d’accès doit être adapté - des dispositifs de reconnaissance des individus,
aux flux, afin de ne pas paralyser le par exemple un code ou un document permettant
fonctionnement quotidien de l’entreprise. On ne de les identifier. On pourra associer aux moyens
protège pas une tour de bureaux dans laquelle 3 ou automatiques (par exemple des cartes à puces), un
4000 personnes entrent le matin entre huit et neuf ensemble de moyens humains, par exemple des
heures de la même manière qu’une PME de postes de gardiennage, souvent dissuasifs. Le
cinquante personnes. Il importe en outre de tenir système peut être complété par de la
compte de la convivialité du système et, surtout, de vidéosurveillance, en fonction des enjeux à
son rapport qualité/prix. protéger. Un tel dispositif doit être cohérent (rien ne
sert de surveiller en vidéo tous les locaux de
c) Les composantes d’un système de contrôle l’entreprise) et complet (surveillance des angles
d’accès morts). Le système le plus courant consiste à
demander aux visiteurs le dépôt d’une pièce
Un système de contrôle d’accès est composé de
d’identité et { délivrer un badge provisoire, avec
plusieurs éléments :
l’indication de la date, de la personne visitée et,
- un poste de gestion centralisé : il peut être local éventuellement, les limites des locaux autorisés.
ou couvrir plusieurs sites. Le système centralisé
d) Mettre en place un contrôle d’accès
permet de hiérarchiser les degrés de sécurité en
fonction des locaux, de gérer les plannings horaires physique
et calendaires selon les individus, de disposer de Le contrôle d’accès doit être conçu de façon large. Il
traces écrites et horodatées des accès, et de mettre ne se limite pas aux accès des bâtiments, mais
{ jour les droits d’accès (départ ou changement également { l’ensemble du territoire immédiat. Cela
d’affectation des salariés, désactivation des cartes implique de vérifier la qualité des clôtures
perdues ou volées). lorsqu’elles existent et d’utiliser un dispositif de
- des terminaux et des capteurs qui contrôlent les surveillance périphérique (par caméras). L’ensemble
accès aux zones protégées : la communication du système doit être cohérent (c’est-à-dire adapté
entre le poste de gestion centralisé et les terminaux aux enjeux) et complet (éviter les failles).
de contrôle d'accès varie en fonction de la nature
des locaux, des configurations, du degré de
Comment assurer l’authentification
contrainte des procédures mises en œuvre et des d’un individu ?
fonctionnalités du contrôle d’accès. Les terminaux
Un individu peut être identifié par quelque chose
dialoguent en temps réel avec le PC auquel ils sont
qu’il connaît, par quelque chose qu’il possède, ou
reliés, et ils gèrent les transactions. Les terminaux
par une caractéristique physique qui lui est
peuvent être autonomes, par exemple des PC
propre.
12
13. La première catégorie correspond aux codes, contours de l’oreille, la signature, le timbre de la
mots de passe, ou clavier numérique. La voix.
reconnaissance d’un code s’apparente au système
Outre leurs coûts et la nécessité de respecter les
de mots de passe utilisé dans la sécurité logique
(accès aux applications informatiques). Ces contraintes juridiques, les systèmes basés sur la
systèmes se présentent sous différentes formes : reconnaissance des éléments biométriques
provoquent certaines réticences de la part des
- l’identification par un code commun (plusieurs individus. Ils sont pour l’instant réservés au
salariés d’un même service partagent un même contrôle des accès à des locaux très stratégiques.
code),
- l’identification par un code commun lié à un
système de carte magnétique ou à puce et B. Contrôles d’accès logiques – mots de
l’identification personnalisée (l’utilisateur
passe
possède un code qui lui est personnel).
a) Contexte
- L’avantage essentiel réside dans la simplicité
d’utilisation et le coût modique. L'authentification par mot de passe est le
mécanisme le plus répandu. La raison essentielle est
La seconde catégorie (quelque chose en
historique car il s'agit de la solution qui était
possession de l’individu) correspond à un attribut
proposée notamment par les systèmes
physique. Les systèmes les plus courants sont
informatiques centraux (mainframe). Enfin, il s'agit
basés sur l’emploi de cartes magnétiques ou à
d'un système simple dans la mesure où le schéma
puces. L’inconvénient de la technique des cartes
d'authentification est basé sur ce que l'utilisateur
magnétiques réside dans la relative facilité
sait ou connaît : son identification et son mot de
d’élaborer des contrefaçons. Les lecteurs de
passe.
badges ou de cartes constituent l’élément
essentiel d’un dispositif de contrôle d’accès. On La compréhension de son usage par les utilisateurs
distingue les lecteurs statiques, qui, en fonction est aisée et son adoption assurée car la mécanique
de la lecture d’un badge, autorisent ou non d'authentification par identifiant/mot de passe est
l’ouverture d’une porte. Parmi les inconvénients, de fait employée depuis fort longtemps avant même
on notera : l'avènement de l'ère informatique.
- la difficulté d’établir des hiérarchies horaires, Les avantages de l’utilisation de ce type
d’authentification sont nombreux. Le principal est
- la difficulté d’analyser des traces écrites des
que ces mécanismes sont implémentés de base dans
entrées-sorties.
tous les systèmes d’exploitation, les systèmes de
Les lecteurs dynamiques autorisent un dialogue gestion de bases de données, les applications et les
avec le système de gestion centralisée, ce qui services. Ils utilisent les mêmes bases que
annule les inconvénients des lecteurs statiques. Il l’identification ou les mêmes annuaires. Un autre
est en effet possible d’effectuer une avantage vient de leur indépendance vis-à-vis de
hiérarchisation des droits d’accès, selon des l’utilisation d’autres mécanismes de sécurité comme
contraintes temporelles et individuelles. les canaux de communication sécurisés (type
VPN…).
La troisième catégorie (quelque chose de propre à
l’individu) concerne la reconnaissance L'évolution du paysage informatique, et notamment
biométrique. Le principe consiste à reconnaître les sa mutation des systèmes centraux vers des
caractéristiques physiques d’un individu, par systèmes distribués, est accompagnée de la
exemple ses empreintes digitales, l’œil, les démocratisation de son usage à titre personnel. Cela
fait apparaître des limites quant à la confiance qui
13
14. peut être accordée à un tel système environnement où la sécurité des systèmes est
d'authentification. Le principe du mécanisme mis en assurée et que la criticité des données ne présente
œuvre est universel et repose sur une pas de caractère confidentiel ou secret.
implémentation du procédé suivant.
b) Les enjeux
Le système repose sur une transaction bipartie
réalisée entre un système requêtant et un système Nous avons vu que le principal inconvénient du
authentifiant. Le système requêtant soumet un système est qu’il ne garantit pas l’authentification
identifiant et un mot de passe que l'utilisateur a du demandeur de l’accès au Système d’Information
saisi. Le système authentifiant confronte le couple car il peut être facilement écouté, intercepté et
identifiant/empreinte soumis avec celui contenu réutilisé frauduleusement. Un autre inconvénient
dans son propre référentiel. réside dans le fait que sa robustesse est
complètement liée à la sensibilité de l’utilisateur { la
La simplicité d'un tel système ne mettant en œuvre problématique sécurité. Même si les systèmes
que deux acteurs permet d'envisager un mode de d’exploitation proposent actuellement de plus en
fonctionnement en mode connecté tout comme en plus d’outils d’aide { la conception de mots de passe
mode non connecté. Il est envisageable que les robustes.
systèmes requêtant et authentifiant soient les sous-
systèmes d'un même système physique ou logique. Un troisième inconvénient réside dans la non
Cela explique sa très forte utilisation en mode homogénéité des mécanismes de gestion des mots
connecté sur Internet. Les applications les plus de passe. Actuellement, chaque utilisateur doit, en
récentes utilisent un système basée sur la moyenne, connaître, pour accéder aux différentes
conservation d’une empreinte numérique élaborée fonctions du système d’information nécessaires {
par procédé cryptographique en lieu et place du ses activités, entre 3 et 5 mots de passe différents.
stockage du mot de passe de l’identifiant. De même, Cette problématique entraîne la plupart du temps
la transmission du mot de passe entre les deux une réduction très importante de la robustesse de
acteurs de la transaction d'authentification est l’ensemble de ces authentifications. Les individus
remplacée par la communication de l'empreinte utilisant à chaque fois le même mot de passe ou un
numérique. Ces sophistications permettent de mot de passe déductible du précédent par une
remédier à la problématique évidente de sécurité mnémotechnie simple.
qu'implique la diffusion des mots de passe des
La tendance actuelle du marché est de regrouper au
utilisateurs à la fois sur les infrastructures de
sein d’un même annuaire la notion d’identification
communications et sur les systèmes authentifiant
et d’authentification. Ceci permet, avec les
eux-mêmes. La robustesse de la solution repose sur
mécanismes de protection adéquats, de renforcer la
la sécurité associée aux composants
centralisation de la gestion de ces éléments.
d'infrastructure, notamment pour assurer la
confidentialité des informations qui y transitent. c) Le processus d’intrusion
Certains systèmes proposent l'ajout d'une
combinaison numérique unique (nonce) associée à Les attaquants procèdent par étapes. Il leur faut
cette empreinte permettant ainsi de protéger le d’abord connaître un minimum d’informations sur le
système contre le rejeu. On parle alors de challenge. système cible. Par exemple les logiciels utilisés et
leurs versions, les types d’adresses IP. Il faut ensuite
Par conception, il s'agit d'un mécanisme identifier les failles, en fonction des versions
d'authentification qui ne permet pas d'assurer la non installées. Plus les versions sont anciennes, plus la
répudiation de la transaction car il ne garantit pas le tâche est facilitée. Une fois que la faille est mise à
consentement au contenu des données. profit pour entrer dans le système, le pirate pourra
accéder à des informations supplémentaires comme
Par conséquent, l'utilisation d'une authentification
par exemple :
simple est, en principe adaptée pour un usage
interne. C'est-à-dire, qu'elle s'inscrit dans un
14
15. - le nombre de serveurs, les typologies Le plus souvent, les programmes de recherche de
d’utilisateurs, mots de passe fonctionnent selon le principe du
cheval de Troie, programme informatique, en
- les possibilités d’exécuter des programmes-
apparence inoffensif, mais qui contient une fonction
espions. cachée. Un cheval de Troie peut donc contaminer un
Il opèrera d’autant plus facilement que la plupart grand nombre d’ordinateurs, notamment s’il est
des entreprises ne disposent pas de procédures propagé par des réseaux. Une fonction cachée tente
d’alertes efficaces. La dernière enquête du Clusif a de rechercher les mots de passe stockés dans la
ainsi révélé les éléments suivants : mémoire de l’ordinateur. Il existe des chevaux de
Troie plus complexes, qui peuvent simuler un écran
- Plus de 75 % des entreprises ne mesurent pas leur de connexion, puis enregistrer le mot de passe
niveau de sécurité régulièrement. frappé sur le clavier et qui, enfin, exécutent le vrai
programme de connexion, de sorte que l’utilisateur
- Dans 43 % des entreprises, le RSSI (responsable de
est leurré en croyant agir dans des conditions
la sécurité des systèmes d’information) n’a pas
normales.
d’équipe assignée en permanence { la sécurité de
l’information. On notera également le phénomène de phishing,
forme d'usurpation d'identité par laquelle, un pirate
- Seulement 30 % des entreprises affirment réaliser
utilise un e-mail d'allure authentique afin de
une analyse globale des risques liés à la sécurité de
tromper son destinataire pour que ce dernier donne
leur SI.
de manière consentante ses données personnelles,
- Seulement un tiers des entreprises ont institué des telles qu'un numéro de carte de crédit, de compte
programmes de sensibilisation à la sécurité de bancaire ou de sécurité sociale.
l’information.
d) La construction des mots de passe
- 6 entreprises sur 10 n’ont pas de gestion par rôle ou
Un mot de passe peu résistant constitue le principal
par profil métier pour les habilitations.
point faible des réseaux et des systèmes
- 60 % des entreprises ne disposent pas d'une équipe d’information en général. Celui-ci doit donc être
consacrée à la gestion des incidents de sécurité construit de façon suffisamment robuste pour
d’origine malveillante. résister le plus longtemps possible aux attaques, qui,
nous l’avons vu plus haut, se réalisent avec de
- 28 % seulement des entreprises procèdent à une multiples points d’entrée. Du point de vue de
évaluation de l’impact financier des incidents de l’administrateur réseau, le principal enjeu réside
sécurité. dans la gestion optimale des mots de passe et des
droits d’accès.
- 35 % des entreprises ne mènent jamais d’audit de
sécurité. Le choix des mots de passe répond à un certain
nombre de règles de base. Le mot de passe reste
Les mots de passe constituent donc une cible
toujours le secret de l'utilisateur légitime de
privilégiée des pirates informatiques. Ces derniers
l’information protégée.
disposent de logiciels et de documentations qui
permettent ou expliquent comment s’introduire 1) Les caractéristiques d’un mot de passe
dans un système d’information. L’un des objectifs
des hackers est évidemment de s’attacher { trouver Un système de mots de passe doit posséder au
les mots de passe des machines auxquelles ils moins quatre caractéristiques :
veulent accéder. Pour cela, les outils pour pénétrer
dans les systèmes informatiques et les réseaux sont
disponibles gratuitement sur Internet.
15
16. * L'identification personnelle 2) La longueur des mots de passe
Les systèmes de mot de passe employés pour Le meilleur moyen de diminuer les risques est
contrôler les accès { des systèmes d’information d’utiliser des mots de passe d’une longueur
doivent identifier chaque utilisateur de ce système, suffisante afin qu’ils ne puissent être trouvés
individuellement (éviter donc les mots de passe de facilement par une « attaque brutale ». La sécurité
groupe, commun à toutes les personnes travaillant fournie par des mots de passe est déterminée par la
dans un service par exemple). probabilité qu'un mot de passe ne puisse être deviné
pendant sa durée de vie. Plus faible est cette
* L’authentification probabilité, plus grande est la sécurité offerte par le
Les systèmes de mot de passe doivent authentifier mot de passe.
les utilisateurs, c’est-à-dire s’assurer de l’identité de 3) Les critères de choix des mots de passe
ceux-ci.
Pour choisir un bon mot de passe, il importe donc
* Le secret des mots de passe d'observer les règles suivantes, qui seront rappelées
Les systèmes de mot de passe doivent assurer, dans par exemple dans un guide de sensibilisation à la
la mesure du possible, la protection de la base de sécurité de l’information diffusé au sein de
données des mots de passe. Ce fichier doit être l’entreprise dans le cadre de sa politique de
traité comme un fichier sensible et confidentiel et sensibilisation à la sécurité.
protégé comme tel. Ces critères principaux sont les suivants:
* La vérification - Le mot de passe est personnel et doit, par
Les systèmes de mot de passe doivent être capables conséquent, rester secret.
d’offrir des fonctionnalités permettant d’analyser les - Le mot de passe ne doit pas être mémorisé dans
incidents et de détecter toute compromission des des fichiers, des programmes ou des touches de
mots de passe ou des fichiers dans lesquels ils sont
fonction auxquels des tiers ont accès.
stockés.
- Le mot de passe doit être choisi et géré par
Par sa fragilité, l'authentification par mot de passe
l'utilisateur lui-même.
ne pourra couvrir tous les cas de protection. Si l'on
prend par exemple quatre niveaux de sensibilité : - Le mot de passe ne peut être introduit que sur
demande du système et par le truchement du clavier
- secret (1), ou/et d’un périphérique biométrique.
- hautement confidentiel (2), - Le mot de passe ne doit pas se lire à l'écran lorsque
- confidentiel (3), vous l´entrez. S'il s'affiche, il y a lieu d'interrompre la
procédure d'entrée et d'en informer le responsable
- personnel non sensible (4). de l'accès.
Seul le niveau 4 peut être protégé par mot de passe. - On évitera d'introduire le mot de passe en
présence de tiers. Si cette présence ne peut être
Le niveau de secret doit comporter des solutions
évitée, le mot de passe sera modifié discrètement
additionnelles telles que cartes à puce, systèmes
avant la sortie du système; l’utilisateur qui sait ou
biométriques, etc.
qui suppute que son mot de passe est connu par un
tiers le changera sans tarder.
- Hormis l'utilisateur, seul le responsable de l'accès
est habilité à modifier le mot de passe. Dans des cas
exceptionnels, le supérieur peut prescrire une
16
17. modification du mot de passe par l'intermédiaire du Mots de passe : quelques
responsable de l'accès. Quel que soit l'initiateur de la
recommandations pratiques
modification, l’utilisateur doit en être informé.
* pas plus de 3 lettres à la suite du clavier ou
- Il faut instituer l’obligation de changer
logiques : ex : AZERTY, QWERTY, ABCDEF,
régulièrement le mot de passe (tous les 3 mois par
123456,
exemple), sans reprendre les précédents sur une
période assez longue (un an par exemple) : Dans * pas de nom ou prénom ou date de naissance ou
certaines entreprises à technologie "sensible" , le numéro de téléphone de l'utilisateur ou de ses
système informatique oblige les ingénieurs à proches,
changer leurs mots de passe toutes les deux heures.
On ne doit pas pouvoir déceler le nouveau mot de * pas le numéro de l'année en cours,
passe ou celui qui a été modifié par un simple
* pas de nom de grandes équipes sportives du
raisonnement.
moment,
- Une longueur minimum doit être imposée (6
* pas de noms de lieu,
caractères).
* pas de mot figurant dans un dictionnaire de
- Les mélanges de caractères numériques et
quelque langue que ce soit,
alphabétiques sont préférables. Aucun mot de passe
ne peut être formé en totalité de nombres, même * pas de mot concernant l'informatique comme
associé à des signes moins ou de signes plus. Par Unix, Word, Windows, wizard, gourou, ...
exemple «01-45+87-23» ne doit pas être utilisé
comme type de mot de passe, car il est très facile de * pas de mot représentant une information qui
le deviner, en testant systématiquement tous les vous est relative (numéro de téléphone, adresse,
chiffres. plaque minéralogique, date particulière ...),
- Les mots de passe ne doivent pas contenir le nom, * pas de mot rentrant dans l'une des catégories
le prénom ou le numéro du terminal de l’utilisateur, précédentes écrit à l'envers ou combiné avec un
ni aucune permutation entre ces éléments. chiffre,
- Les mots de passe de moins de dix caractères ne * pas de code postal,
peuvent être totalement en minuscules ni
* pas de numéros de plaques minéralogiques,
totalement en majuscules : il est préférable
d’alterner les deux types de constructions. Par * pas de marques de voitures,
exemple «FEDISA» et «fedisa» ne doivent pas être
considérés comme des mots de passe valides. Il * pas de marques de cigarettes ou de produits de
suffit d’inclure soit des caractères spéciaux, soit des consommation courante,
chiffres pour que ce type de mot de passe soit
* pas de jours, mois ou années,
valable. Par exemple, on pourra retenir «Fedisa$» ou
encore «5fedisa!». * pas plus de deux signes identiques consécutifs.
Soulignons encore qu'il est évidemment risqué Il est nécessaire de disposer d’une politique de
d'employer un même mot de passe pour plusieurs gestion très stricte :
comptes sur différentes machines.
* Changer de mot de passe très régulièrement
- Un contrôle de non trivialité évitant que le mot de
passe ne soit deviné trop facilement (voir encadré ci- * Choix de mots de passe complexes à découvrir
après) doit être mis en place de manière mais simples à retenir pour l’utilisateur
systématique.
17
18. * Individualisation et inaccessibilité des mots de Le second type d’architecture (type II) est basé sur
passe une approche initiale identique. En cas
d’acceptation de l’identification et de
* Stockage rigoureux (hashage, chiffrement,
l’authentification de l’utilisateur, le serveur va
cloisonnement) aussi bien dans l’esprit de retourner { l’utilisateur un ticket protégé qui sera
l’utilisateur que dans les différents systèmes et utilisé par les applications, au moment de la
applications demande d’accès, pour authentifier
* Saisie du mot de passe invisible à l’écran automatiquement l’utilisateur et donc lui attribuer
ses droits.
* Chiffrement du mot de passe dans les
communications L’avantage principal de la première approche est de
ne pas avoir à modifier les services et les
- Une bonne méthode pour choisir est d'accoler applications cibles. L’inconvénient majeur est la
deux mots qui n'ont aucun rapport entre eux, tout nécessité de renforcer très fortement l’architecture
en y intercalant un chiffre ou un autre signe. Par d’authentification pour pallier toute indisponibilité
exemple : para2chauss, able(v(x?, tonta!rap23. Une qui bloquerait l’accès au Système d’Information. La
autre façon encore consiste à prendre la première seconde approche est exactement { l’opposée.
lettre des mots d'une phrase mémorisable
facilement. Par exemple, «La commission Fedisa sur Dans les deux types d’architectures, il est possible
l’authentification-identification» deviendra d’utiliser tous les types d’authentification évoqués
«LCFSAI», mot de passe qui, on en conviendra, est ci-dessus et traités ci-après, du mot de passe simple
difficile à deviner avec des attaques basées sur les à la biométrie.
dictionnaires (attaques de force brute). Actuellement, il y a convergence forte entre les deux
D’une manière générale, il faut se souvenir qu'un approches avec des démarches de type Active
code difficile à découvrir n'est pas forcément un Directory qui permettent la mise en œuvre d’un SSO
code difficile à retenir. de type II, ou de type Access Master pouvant
intégrer une base d’identification et
e) Le SSO (Single sign on) d’authentification { la norme X509 et compatible
LDAP.
Un autre axe d’approche de la problématique de
l’authentification, a été depuis plusieurs années la
mise en œuvre du concept de SSO (Single Sign On)
ou mot de passe à usage unique. Le principe du SSO C. Cartes à puces et tokens USB
est basé sur deux types d’architectures.
a) Le contexte
Le premier type d’architecture (type I) consiste {
disposer d’un serveur d’authentification auquel La carte à puce est aujourd'hui omniprésente dans
l’utilisateur souhaitant accéder au Système notre environnement : cartes SIM, cartes bancaires,
d’Information va d’abord se connecter pour cartes Vitale, cartes de décryptage de télévision par
s’identifier et s’authentifier. En cas de succès, satellite ainsi que toutes les versions de cartes
l’utilisateur pourra alors accéder automatiquement privatives de diverses enseignes commerciales sont
aux services et aux applications pour lesquelles il est autant de cartes à puce issues d'une même
habilité sans fournir de nouvelles identifications. technologie.
C’est un service situé sur son poste de travail qui va En revanche, dans le monde de l’entreprise, l’usage
se substituer { l’utilisateur. L’ensemble des
de la carte est perçue très vite comme complexe ; le
échanges entre l’utilisateur, le serveur d’habilitation
plus souvent le manque de standard aux niveaux des
et les services accessibles se font en mode chiffré. cartes { puce et le fait qu’ils doivent s’intégrer dans
une chaîne de confiance font notamment que la
plupart des entreprises moyennes et grandes sont
18
19. dotées de systèmes hétérogènes. Cela complique les environnements entreprise mainframe et dans
donc significativement la gestion quotidienne de les environnements client - serveur. Il existe de
leur contrôle d’accès. Aujourd’hui, la plupart des nombreuses limitations { l’usage des mots de passe.
entreprises pratiquent de façon artisanale la gestion Le principal est qu’il ne garantit pas l’identification
des identités. Ce management est le plus souvent du demandeur de l’accès au système d’information
cloisonné, sans vision d’ensemble et parfois géré car il peut être facilement écouté, intercepté et
souvent de manière manuelle. Autrement dit, réutilisé frauduleusement.
l’approche manque de coordination transversale et
de standardisation d’où un manque d’efficience Un autre inconvénient réside dans le fait que sa
robustesse est complètement liée à la sensibilité de
dans le contrôle d’accès de l’entreprise.
l’utilisateur { la problématique sécurité. Même si les
Les chiffres publiés régulièrement par le Clusif (Club systèmes d’exploitation proposent actuellement de
de la sécurité de l’information français) montrent le plus en plus d’outils d’aide { la conception de mots
fort degré de dépendance des entreprises et des de passe robustes, il est nécessaire de disposer
organisations privées ou publiques vis à vis des d’une politique de gestion très stricte. Un troisième
systèmes d’information : 75% des entreprises sont inconvénient réside dans la non homogénéité des
exposées à une dépendance forte vis à vis du mécanismes de gestion des mots de passe.
système d’information : une indisponibilité de 24
heures a des conséquences graves sur l’activité Actuellement, chaque utilisateur doit, en moyenne,
industrielle et commerciale. Cette indisponibilité connaître, pour accéder aux différentes fonctions du
peut être due à une grave anomalie du contrôle Système d’Information nécessaires { ses activités,
d’accès. Cela peut être par exemple la perte ou le vol entre 3 et 5 mots de passe différents. Cette
problématique entraîne la plus part du temps une
de mot de passe.
réduction très importante de la robustesse de
En pratique, sans incriminer tel ou tel qui s’est fait l’ensemble de ces authentifications, les employés
voler son mot de passe, il est important que le RSSI utilisant à chaque fois le même mot de passe ou un
communique efficacement sur ce thème vis à vis de mot de passe déductible du précédent par une
la DSI et de la Direction Générale. mnémotechnie simple. Il suffit pour s’en convaincre
d’observer le nombre d’incidents qui affectent les
Le vol de mot de passe est un délit réprimé systèmes d’information et les réseaux informatiques
pénalement. Maintenant pratiquement chaque et télécoms compromettant en cela la disponibilité,
salarié a accès au système d’information de l’accès aux systèmes et donc la compétitivité de
l’entreprise, certes { des degrés divers. Il est donc
l’entreprise.
nécessaire au plan de la sécurité informatique de
l’entreprise d’étudier sous l’angle technique, Pour y parer, il est indispensable au départ de bien
l’identification et par voie de conséquence identifier et authentifier le personnel de l’entreprise,
l’authentification des personnes qui y travaillent. sans oublier de le doter d’une solution
d’identification ou d’authentification fortes. Cela
A la question : « Quelles technologies de contrôle permettrait { l’entreprise de se doter d’un bon
d’accès utilisez-vous ? », les résultats sont peu système de contrôle d’accès avec carte privative à
adaptés aux besoins actuels et dénotent du lourd
microprocesseur ou clé USB.
poids du passé en la matière.
L’authentification forte se fait par la combinaison
On constate donc que dans le domaine de d'au moins deux moyens d'authentification
l’entreprise le schéma d'authentification classique (exemple : ce que possède + ce que connaît
est le plus utilisé à savoir celui basé sur ce que l’utilisateur) : une carte { puce et son code porteur
l'utilisateur sait ou connaît : son identification et son ou bien une « calculette d’authentification » et son
mot de passe. Les mots de passe associés à code porteur.
l’identification de l'utilisateur ont été et sont encore
la méthode prédominante d'authentification dans
19
20. Ce type peut lui-même être subdivisé en deux sous- - Compatibilité avec les systèmes d’accès
types : physiques (bâtiments, restaurant
d’entreprise, distributeurs automatiques…)
- Renforcé simple : un élément sécuritaire
authentifie l’utilisateur et sa carte. Mais Surtout la carte à puce notamment dans le cadre de
l'authentification inverse n'est pas mise en déploiement de Badge Employés est un support
œuvre. efficace et très évolutif pour d'autres usages que
- Renforcé mutuel : en complément du l'authentification (notamment pour le calcul de
précédent, l’utilisateur et sa carte (par signatures électroniques, de chiffrement…).
exemple) authentifient l’élément de sécurité
(ce qui constitue une parade à plusieurs La technique carte à puce est souvent encore perçue
attaques et notamment au vol comme contraignante en ce sens qu'elle exige :
d'authentifiant par usurpation d'identité de - Un lecteur sur chaque station de travail
l'autorité d’authentification). concernée par le contrôle d'accès avec
authentification si la carte est de format ISO
b) La carte à puce
- Un système (réseau ou serveur) apte à
Une carte à puce contient un processeur avec mettre en œuvre les mécanismes
algorithme(s) et clé(s) cryptographique(s), de la cryptographiques de vérification de
mémoire et un système d'exploitation. Une carte à l'authentification (qui peut et devrait être
puce a considérablement plus de capacités que les mutuelle).
autres mécanismes en ne se limitant pas à la seule - Et surtout une organisation humaine et
identification et authentification de l’utilisateur. procédurale pour :
o Gérer les cartes à puce.
La technique d'authentification utilisant la carte à Il faut prendre en compte de
puce est plus en plus implémentée "de base" dans nombreux aspects :
un système d’information (type Vista) mais peut La personnalisation
faire l'objet de "rajouts" aux systèmes existants, graphique et
c’est ce que l’on appelle les middlewares électrique des cartes
cryptographiques La distribution des
Cette technologie apporte un haut niveau de cartes
sécurité en ce sens : …
o Gérer les codes d’authentification
- Que le code confidentiel de la carte ne secrets (toute authentification
circule pas sur le réseau; repose sur des secrets).
- Que l'échange visant à l'authentification, Il faut prendre en compte de
même s'il est intercepté, ne peut pas être nombreux aspects
rejoué ; également :
- Que cette technique permet Génération des
l'authentification mutuelle, rendant secrets
impossible le routage d'authentification ; Stockage des
- Qu'il est possible de procéder à une nouvelle secrets
authentification régulière de façon Diffusion des
transparente pour l'utilisateur (toutes les 30 secrets
minutes par exemple). …
- Stockage de credentials (type certificats
X509) non possible sur d’autres moyens Cet aspect prend une ampleur singulière quand une
d’authentification. PKI est mise en place : il faut gérer les certificats et
les clés privées associées.
20
21. Les cartes à puce peuvent se décliner en différents • Les éléments de sécurité qui lui sont
facteurs de forme (Type ISO bancaire) ou s’insérer associés : identifiant et mot de passe.
dans un connecteur USB.
L’enjeu majeur pour l’entreprise { ce niveau réside
c) L’intégration dans la politique de dans la mise à jour des informations dans les bases
l’entreprise de données, notamment pour les mouvements de
personnel en entrées/sorties : démissions,
Comme vu précédemment, le management du licenciements, recrutements).
contrôle d’accès est le plus souvent cloisonné, sans
vision d’ensemble et parfois manuel. Autrement dit, 2) Le contrôle des accès
l’approche manque de coordination transversale et
Le contrôle des accès aux applications et données
de standardisation d’où un manque d’efficience.
fait appel à des solutions technologiques classiques
Ce constat s’aggrave dans un contexte ou la de type logiciel. La difficulté réside dans la bonne
mobilité devient la norme avec des accès prise en compte du périmètre de la cible : liste des
permanents depuis n’importe quel point du monde, applications à sécuriser ? Celles à laisser en accès
au système d’information de l’entreprise stricto libre ? A cela s’ajoute la taille de la matrice
sensu. applications/droit, en fonction des familles de profils
d’utilisateurs et de la complexité des règles d’accès
Mais l’ouverture des systèmes d’information de définies par la politique de l’entreprise.
l’entreprise aux partenaires et aux clients renforce
encore le besoin d’une gestion sûre des identités. De La notion de gestion du cycle de vie peut s’appliquer
ce fait, la traçabilité des accès aux systèmes aux collaborateurs d’une entreprise, tout comme
d’information rend impérative la mise en œuvre aux produits vendus par l’entreprise et aux clients de
d’une bonne politique de sécurité pour la gestion celle-ci. On parle alors d’e-provisioning.
des identités.
L’e-provisioning devient la gestion centralisée du
Aujourd’hui en effet, du fait de l’abandon progressif personnel par une interface web unique de son
des systèmes propriétaires, pour une application de entrée { son départ de l’entreprise. L’objectif est
contrôle d’accès physique unique, le contrôle d’automatiser au maximum la gestion du « cycle de
d’accès physique et le contrôle d’accès logique vie »du salarié et de la rendre indépendante des
répondent { la même politique de mise en œuvre. applications informatiques propres { l’entreprise.
De ce fait l’entreprise doit au préalable dans son Il s’agit de prendre en compte, en un minimum
projet de cartes à puce intégrer la notion d’interventions humaines, l’impact sur le système
d’infrastructure et plus précisément de la gestion d’information de toute modification significative de
des identités ou IAM (Identity and Access la situation d’un salarié dans l’entreprise de son
Management) qui couvre trois domaines : entrée dans l’entreprise { sa sortie de celle ci, qui
caractérise le cycle de vie du salarié dans
1) La gestion des identités l’entreprise.
La gestion des identités associe à un utilisateur un L’objectif principal est de gérer la sécurité de
certain nombre de paramètres : l’entreprise en évitant que les autorisations d’accès
au système d’information ne soient conservées pour
• Son identité patrimoniale et ses
des collaborateurs ayant quitté l’entreprise ou
caractéristiques : date et lieu de naissance et
changé de direction de rattachement dans
rattachement familial, numéro de sécurité sociale
l’entreprise.
(en France) adresse, etc.;
Mais { la différence d’un enregistrement « client »
• Son organisation ou sa direction et son
dans une entreprise, chaque collaborateur dispose
service de référence ;
de plusieurs couples identifiant/ mot de passe pour
21
22. la sécurité logique : réseau, Internet, messagerie ou 3) L’authentification des utilisateurs
pour la sécurité physique : accès au bureau, à la
cantine, au parking, à la salle ordinateur, au PABX L’authentification des utilisateurs doit être
modulable depuis la simple fonction de contrôle
etc. Pour la sécurité logique, il peut s’agir de droits
d’accès { plus d’une dizaine d’applications et d’accès par mot de passe associé { un identifiant
d’interdiction d’accès { d’autres applications : type jusqu’aux puissants dispositifs biométriques :
fichier paie par exemple. Cela permettrait { l’entreprise de se doter d’un bon
Si l’accès { chaque application doit se faire système de contrôle d’accès avec carte privative à
ponctuellement pour plusieurs milliers de salariés, la microprocesseur notion de convergence « badge
charge de travail est énorme et source d’erreur { d’entreprise » ou clé USB sécurisée pour les
employés qui travaillent à distance.
chaque niveau d’accès.
Gérer tous ces droits d’accès au jour le jour devient 4) Convergence des systèmes d’accès sur badge
vite fastidieux. En effet le RSSI (ou son d’entreprise
représentant) a pour mission d’activer les droits La réalisation d’un système d’accès complet passe
d’accès en temps réel pour que le salarié puisse donc par la convergence des accès physiques et
accéder à ses applications métiers et nous ne logiques sur un même support de type carte Badge ;
parlons pas l{ de contrôle d’accès physique (accès celle-ci outre la partie microprocesseur peut intégrer
au parking, accès à son bureau, parking, accès à son des technologies dites sans contact ou RFID ;
bureau etc.).
L’usage du RFID (Radio Frequency Identification)
Il convient donc d’automatiser au maximum tous les tend { s’étendre dans le monde. Il existe deux types
processus liés au « cycle de vie » du collaborateur à de normes pour les puces RFID sans contact :
savoir : embauche, changement de position
hiérarchique, fin de contrat de travail etc. En • Courte distance entre la puce et son lecteur :
pratique, cela se traduit par un ensemble inférieure à 15 centimètres – exemple système
d’opérations dans le système d’information de Navigo du Métro parisien.
l’entreprise qui se résume en : modification des
• Longue distance la puce est située à une
droits d’accès. Cela se traduit en classique
distance inférieure à 1,5 mètre (150 cm.) de son
transcription d’un processus d’entreprise en
lecteur : cas pratique télé - péage des autoroutes
processus technique.
françaises, parking, etc.
Chacune de ces opérations est alors automatisée.
A la différence de la puce classique avec contact, la
Des macro-procédures types regroupent celles-ci en
puce RFID dispose d’une antenne radio qui la rend
fonction des événements. Une opération pouvant
détectable à distance. Il est possible de bâtir un
en pratique appartenir à plusieurs macro-procédures
système d’identification { partir des puces RFID sans
types. Lorsqu’un événement défini affecte un ou
contact. Mais le niveau de sécurité de la puce RFID
plusieurs salariés, la procédure adéquate est
est bien inférieur aujourd’hui { celui des puces avec
déclenchée, entraînant en un minimum de temps,
contact pour les cartes bancaires françaises par
toutes les modifications nécessaires dans le système
exemple. Le fonctionnement des puces RFID est
d’information. A l’aide d’un logiciel, l’ensemble des
soumis à des échelles de fréquences variées allant
tables et codes afférents { la situation d’un salarié
jusqu’{ l’UHF. L’émission - réception peut être
est mis à jour automatiquement de manière
brouillée par la présence de liquide : comme de l’eau
exhaustive sans risque d’oubli.
ou l’existence d’une cage de Faraday dans un local.
Compte tenu de la valeur investie dans les systèmes
d’accès physiques, il est important de s’assurer
22
23. d’une parfaite compatibilité des badges 7) Cartes et usages Multi applicatifs
d’entreprises avec le système physique.
Désormais, les cartes cryptographiques permettent
5) Gestion des cartes et cycle de vie de supporter un ensemble d’identifiants personnels
de type certificats, OTP (one time password
La mise en œuvre d’une solution { base de carte {
applications).
puce et de certificat (X 509) suppose l’intégration de
plusieurs composants : L’enjeu du déploiement de ces cartes passe par un
recensement très fin au préalable des usages
La carte avec son lecteur ainsi que le code logiciel potentiels fonction des risques à protéger et aussi de
embarqué qui doit être installé sur le poste de
la facilité d’usage qu’en attendent les employés.
travail.
Différents drivers peuvent accélérer le déploiement
L’infrastructure du certificat X 509 doit fournir les
de cartes multi-applications :
différents composants d’une infrastructure PKI :
L’Autorité de Certification et l’Autorité • Le smart card logon/c'est-à-dire la
d’Enregistrement. protection d’accès au système d’exploitation via
certificat et carte.
Le CMS (Card Management System) lui va gérer
l’attribution des cartes (voir ci-après) et le cycle de • Le chiffrement des mails, des dossiers
vie de la carte dans l’entreprise. fichiers à partir du credential stocké sur la carte.
6) Les fonctions du Card Management System • La protection des accès distants notamment
(CMS) avec la compatibilité des VPN (Virtual Private
Network).
Le CMS effectue les fonctions suivantes :
Enfin le Single Sign On (mot de passe à unique) est
- Création d’une carte pour le nouvel employé
souvent lié { l’authentification de l’utilisateur qui est
d’une entreprise (comme nous l’avons vu d’autant plus vulnérable que ce dernier dispose de
dans le e-provisioning). Cela consiste à nombreux mots de passe pour l’identifier. La
associer la carte à une personne (nom et protection du master password (mot de passe
photo ?) et { dialoguer avec l’Autorité de primaire) sur la carte, le tout protégé par le code pin
Certification (AC) de la PKI pour récupérer le de la carte, est un facteur essentiel de promotion de
certificat X 509 de niveau 3 et le placer dans
la carte dans l’entreprise auprès des utilisateurs
la carte.
- Fourniture en prêt d’une carte temporaire { 8) Simplification du déploiement (suppression des
un employé de l’entreprise lorsque celui-ci a middleware)
oublié sa carte.
- Gestion d’une liste noire quand la carte est De nouveaux dispositifs cryptographiques
perdue ou retrait de la liste noire après un désormais peuvent être déployés sans la nécessité
délai raisonnable lorsque celle-ci a été de mise en place de middlewares cryptographiques
retrouvée. lourds sur les postes ; c’est notamment le cas de
- Déblocage en local ou { distance d’un code déploiement des badges dans le cadre des projets
pin qu’un utilisateur a verrouillé. du secteur public en France avec les standards de
type IAS poussées par l’administration électronique;
Le choix d’un CMS doit pouvoir s’effectuer suite {
une étude précise de l’infrastructure d’accès et de la 9) Mobilité et sécurité
base des utilisateurs de l’entreprise ; il doit Avec le phénomène de la mobilité s’est démocratisé
permettre la prise en compte de fonctions le développement des clés USB « mass memory
utilisables en mode décentralisé auprès des storage ».Ce type de clé USB semble plus
différents sites de l’entreprise : économique qu'une carte à puce car il ne nécessite
23
24. pas de lecteur spécifique, dès lors que le parc
d'ordinateur est équipé de ports USB.
Néanmoins, une clé USB offre actuellement une
moins grande protection par rapport à une carte à
puce des codes d’authentification secrets qu'elle
stocke, par rapport à une carte à puce.
L’enjeu est double pour les entreprises :
• Interdire la récupération d’information
sensibles au dépend de l’entreprise { travers son
système d’information.
• Mettre en place de nouveau dispositif
sécurisé de classe « PPSD » (portable personal
security device) qui à la fois assure une protection
forte des informations de l’entreprise et s’intègre
dans une gestion globale de contrôle des dispositifs.
10) Régulation (exemple pour la santé)
De nouveaux secteurs, tels que la santé hospitalière
en France commencent à être directement régulés
par l’administration. En effet la mise en place de
cartes à puce (carte type CPS), dans le cadre de
l’application du Décret de confidentialité, pour
protéger l’accès { des données confidentielles
patients, constitue une première dans le secteur de
la santé hospitalière et la prise en considération de
la problématique sécuritaire.
24
25. d) Recommandations
Choisir une solution de e- En cas d’appel { des consultants, leurs méthodologies doivent être
provisioning standard, éprouvée éprouvées et ils doivent disposer d’une expertise suffisante en matière de
et flexible produits notamment pour la compréhension des fonctionnalités et
l’implémentation des solutions ad hoc.
Les fonctionnalités des différentes solutions technologiques à mettre en
œuvre sont { étudier : système de mot de passe unique (SSO), systèmes
d’authentification, portails web, serveurs d’authentification, infrastructures
de gestion des clés, PKI, Progiciels de gestion des ressources humaines,
annuaires LDAP.
Evaluer correctement la Les gains directs peuvent consister en la réduction de l’hétérogénéité des
réduction des coûts en solutions techniques existantes en matière de contrôle d’accès. La baisse du
investissement et exploitation coût du support ne constitue qu’un seul des éléments de l’étude du retour
sur investissement du nouveau projet.
Les gains indirects peuvent être le temps gagné lors de la gestion d’un mot
de passe perdu, sur le contrôle d’accès physique : vol de PC, téléphone
mobile et autre matériel.
Politique de sécurité et Contrôle - Bien définir les accès et les contrôles à instaurer.
d’accès - Définir au besoin des indices de sécurité pour les informations sensibles et
des niveaux d’habilitation pour les utilisateurs correspondants.
- Identifier les personnels nomades
- Mettre en place une structure centralisée de gestion de droits des identités
et du contrôle d’accès.
- Un sponsor, validateur du projet au niveau de la DG.
Audit des systèmes existants Inventaire des types d’accès physiques /cartes.
En effet, un utilisateur moyen consomme en moyenne une dizaine
d’identifiants pour accéder aux applications et ressources du Système
d’Information.
Cela implique donc de définir au préalable les différents propriétaires des
bases de données (ou LDAP) : DRH, les directions métiers, la DSI, les chefs
de projets, pour obtenir les autorisations d’accès souhaitées.
Considérer Avant de rechercher les solutions techniques et les produits de sécurité sur
l’identification/authentification le marché, il convient d’analyser l’identification et l’authentification des
comme un projet informatique. personnes et des objets comme un projet informatique à part entière et de
le traiter comme tel en suivant les processus énoncés précédemment. Entre
autres il faudra :
prendre en compte l’existant,
-
savoir gérer l’évolution de la solution retenue.
-
Bien analyser les solutions Les solutions techniques d’identification et d’authentification sont
techniques existantes afin de techniquement au point y compris les plus performantes de type carte à
choisir les mieux adaptées. microprocesseur ou clés USB... Attention qu’{ chaque type est associée une
grande variété de lecteurs.
25