authetification forte - afup 2009
DESCRIPTION
Le mot de passe est actuellement le système le plus couramment utilisé pour identifier un utilisateur. Il n’offre cependant pas le niveau de sécurité requis pour assurer la protection d'informations sensibles. L'ajout de nouveaux facteurs d'identification permet de régler ce problème. Dans cette présentation nous verrons les concepts de l'authentification forte, la présentation d'alternatives gratuites ou à faible coût.TRANSCRIPT
Ceci n’est pas la tour
Eiffelou l’authentification
forte
vendredi 13 novembre 2009
Qui parle?• Philippe Gamache
• Parler Haut, Interagir Librement : Développement Web, audit de sécurité, formations
• Coauteur du livre Sécurité PHP 5 et MySQL avec Damien Séguy
• Édité chez Eyrolles
• Dédicaces sur demande
vendredi 13 novembre 2009
Je réponds aux questions
vendredi 13 novembre 2009
Agenda
• L’authentification vs l’autorisation
• Les problèmes de l’authentification
• Le système de mots de passe est brisé
• Les solutions
• L’authentification forte
• Des solutions pour toutes les bourses
vendredi 13 novembre 2009
Définitions
vendredi 13 novembre 2009
Définitions• Authentification
• Procédure qui permet de vérifier l'identité d'une entité (personne, ordinateur...) pour autoriser l'accès à des ressources (systèmes, réseaux, applications...).
vendredi 13 novembre 2009
Définitions• Authentification
• Procédure qui permet de vérifier l'identité d'une entité (personne, ordinateur...) pour autoriser l'accès à des ressources (systèmes, réseaux, applications...).
• Autorisation
• Procédure qui permet l'accès à des ressources uniquement aux personnes autorisées à les utiliser.
vendredi 13 novembre 2009
Les problèmes
• Identifier fidèlement l'entité
• Attaque par force brute
• Attaque par dictionnaire
• Écoute du clavier informatique (keylogger)
• Écoute du clavier informatique sans fil
vendredi 13 novembre 2009
Les problèmes
• Identifier fidèlement l'entité
• Écoute du réseau (password sniffer)
• Hameçonnage
• Attaque « homme au milieu»
• Ingénierie sociale
vendredi 13 novembre 2009
Les problèmes
• Identifier le type d'entité
• Humains
• Robots
• Sites, services web ou applications
• Accessibilité
vendredi 13 novembre 2009
Le mot de cpasse• Le facteur humain
• Donnent ses mots de passe à des étrangers sans raison
• 45 % des femmes1
• 10 % des hommes1
• Contre une barre de chocolat
• 64 % des gens
1 Infosec Europe conference 2008
vendredi 13 novembre 2009
Le mot de cpasse
• Chris Nickerson - Exotic Liability #37
vendredi 13 novembre 2009
Le mot de cpasse
• Chris Nickerson - Exotic Liability #37
vendredi 13 novembre 2009
Solutions• Signer le formulaire
• Utiliser un témoin
• Unique par utilisateur et utilisation
sha1($salt . $sessionId . $timestamp)
vendredi 13 novembre 2009
Solutions• CAPTCHA
• Prendre en considération les handicaps
• reCaptcha
http://www.captcha.net/
http://www.recaptcha.net/
vendredi 13 novembre 2009
Identifier fidèlement l'entité
• Utiliser des systèmes d'identifications externes éprouvés
• Humain
• Sites ou applications
vendredi 13 novembre 2009
Identifier fidèlementles humains
• OpenID
• Facebook Connect
http://openid.net/
http://developers.facebook.com/connect.php
vendredi 13 novembre 2009
Identifier les sites, services web ou les applications
• OAuth
• Browser-Based Authentication (BBAuth)
http://oauth.net/
http://developer.yahoo.com/auth/
vendredi 13 novembre 2009
Identifier les sites, services web ou les applications
• AOL Open Authentication API (OpenAuth)
• AuthSub Authentication
http://dev.aol.com/api/openauth
http://code.google.com/apis/accounts/docs/AuthSub.html
vendredi 13 novembre 2009
Identifier fidèlement l'entité
• Utiliser plusieurs facteurs
• Facteur mémoriel : ce qu'il sait
• Facteur physique ou corporel : ce qu'il est
• Facteur réactionnel : ce qu'il sait faire
• Facteur matériel : ce qu'il possède
vendredi 13 novembre 2009
Facteur mémoriel
• Mot de passe
• Numéro d'identification personnel
• Phrase secrète
vendredi 13 novembre 2009
Facteur mémoriel
• Informations personnelles
• Nom de votre mère• Nom de votre premier animal• Votre couleur préférée• Date de naissance• Ville de naissance• Adresse• Numéro de téléphone
vendredi 13 novembre 2009
Facteur physiqueou corporel
• Photo• Caractéristique physique ou biométrie
• Empreinte digitale• Caractéristiques de sa pupille• Rétine• Voix
vendredi 13 novembre 2009
Facteur réactionnel
• Geste
• Signature
vendredi 13 novembre 2009
Facteur matériel• Papiers
d'identification
• Acte de naissance
• Carte grise
• Carte d'identité
• Droit de propriété
• Diplôme
• Passeport
vendredi 13 novembre 2009
Facteur matériel
• Carte à puce, bande magnétique ou RFID
• Certificat électronique
• Témoin de navigateur
vendredi 13 novembre 2009
Facteur matériel
• Mot de passe à usage unique
• Jeton
• Carte
• Papier
vendredi 13 novembre 2009
Facteur matériel
• Clé USB
• Téléphone portable
• PDA
vendredi 13 novembre 2009
Exemples
vendredi 13 novembre 2009
Exemples
• Carte bancaire + NIP
• Certificat électronique et mot de passe
• Nom usager/Mot de passe et mot de passe à usage unique
• Numéro de carte bancaire et calculette
vendredi 13 novembre 2009
Exemples
• PayPal
• Nom d’usager / Mot de passe
• Mot de passe à usage technique
vendredi 13 novembre 2009
Des solutions pour toutes les bourses
vendredi 13 novembre 2009
Perfect Paper Passwords
• Format carte d'affaires
• À imprimer
• Gratuit
• Fonctionne
• Web
• Module PAM
• Login machine
• Login SSH
https://www.grc.com/ppp.htm
vendredi 13 novembre 2009
Perfect Paper Passwords
• Algorithmique
• Aucun serveur ou service
• 16,777,216 mots de passe uniques pour un mot de passe de 4 caractères sur une base de 64 caractères
• Nombre de caractères modifiable
• Longueurs
• Bases
vendredi 13 novembre 2009
Yubikey• Clé USB = Clavier universel
• Identifiant complet et un mot de passe unique
• Entre 4 € et 20 € par usager
• Fonctionne
• Web
• Module PAM
• Login machine
• Login SSHhttp://www.yubico.com/products/yubikey/
vendredi 13 novembre 2009
Yubikey• Utilise un service web
• Validation de la clé et mot de passe à usage unique
• Serveur Yubico
• Serveur personnel (Open Source)
• Peut aussi contenir un mot de passe de 32 caractères (version 2)
tgbvgflvvndijcfhftgnnldhgviktivhdvnekehejcehtgbvgflvvndiknblilkrtbdvflbdhvdvutlblkfuueelcccccccclildcuhrrhneenjbrrbbnikcvhvbgbcbnvhncccccccclildibndgdgihuvdcggthnjrbcujdkujnblv
vendredi 13 novembre 2009
Questions?
• http://www.ph-il.ca
• @SecureSyfony
• http://www.ph-il.ca/en/conferences
• http://www.ph-il.ca/fr/conferences
vendredi 13 novembre 2009
vendredi 13 novembre 2009