authetification forte - afup 2009
DESCRIPTION
Le mot de passe est actuellement le système le plus couramment utilisé pour identifier un utilisateur. Il n’offre cependant pas le niveau de sécurité requis pour assurer la protection d'informations sensibles. L'ajout de nouveaux facteurs d'identification permet de régler ce problème. Dans cette présentation nous verrons les concepts de l'authentification forte, la présentation d'alternatives gratuites ou à faible coût.TRANSCRIPT
![Page 1: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/1.jpg)
Ceci n’est pas la tour
Eiffelou l’authentification
forte
vendredi 13 novembre 2009
![Page 2: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/2.jpg)
Qui parle?• Philippe Gamache
• Parler Haut, Interagir Librement : Développement Web, audit de sécurité, formations
• Coauteur du livre Sécurité PHP 5 et MySQL avec Damien Séguy
• Édité chez Eyrolles
• Dédicaces sur demande
vendredi 13 novembre 2009
![Page 3: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/3.jpg)
Je réponds aux questions
vendredi 13 novembre 2009
![Page 4: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/4.jpg)
Agenda
• L’authentification vs l’autorisation
• Les problèmes de l’authentification
• Le système de mots de passe est brisé
• Les solutions
• L’authentification forte
• Des solutions pour toutes les bourses
vendredi 13 novembre 2009
![Page 5: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/5.jpg)
Définitions
vendredi 13 novembre 2009
![Page 6: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/6.jpg)
Définitions• Authentification
• Procédure qui permet de vérifier l'identité d'une entité (personne, ordinateur...) pour autoriser l'accès à des ressources (systèmes, réseaux, applications...).
vendredi 13 novembre 2009
![Page 7: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/7.jpg)
Définitions• Authentification
• Procédure qui permet de vérifier l'identité d'une entité (personne, ordinateur...) pour autoriser l'accès à des ressources (systèmes, réseaux, applications...).
• Autorisation
• Procédure qui permet l'accès à des ressources uniquement aux personnes autorisées à les utiliser.
vendredi 13 novembre 2009
![Page 8: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/8.jpg)
Les problèmes
• Identifier fidèlement l'entité
• Attaque par force brute
• Attaque par dictionnaire
• Écoute du clavier informatique (keylogger)
• Écoute du clavier informatique sans fil
vendredi 13 novembre 2009
![Page 9: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/9.jpg)
Les problèmes
• Identifier fidèlement l'entité
• Écoute du réseau (password sniffer)
• Hameçonnage
• Attaque « homme au milieu»
• Ingénierie sociale
vendredi 13 novembre 2009
![Page 10: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/10.jpg)
Les problèmes
• Identifier le type d'entité
• Humains
• Robots
• Sites, services web ou applications
• Accessibilité
vendredi 13 novembre 2009
![Page 11: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/11.jpg)
Le mot de cpasse• Le facteur humain
• Donnent ses mots de passe à des étrangers sans raison
• 45 % des femmes1
• 10 % des hommes1
• Contre une barre de chocolat
• 64 % des gens
1 Infosec Europe conference 2008
vendredi 13 novembre 2009
![Page 12: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/12.jpg)
Le mot de cpasse
• Chris Nickerson - Exotic Liability #37
vendredi 13 novembre 2009
![Page 13: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/13.jpg)
Le mot de cpasse
• Chris Nickerson - Exotic Liability #37
vendredi 13 novembre 2009
![Page 14: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/14.jpg)
Solutions• Signer le formulaire
• Utiliser un témoin
• Unique par utilisateur et utilisation
sha1($salt . $sessionId . $timestamp)
vendredi 13 novembre 2009
![Page 15: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/15.jpg)
Solutions• CAPTCHA
• Prendre en considération les handicaps
• reCaptcha
http://www.captcha.net/
http://www.recaptcha.net/
vendredi 13 novembre 2009
![Page 16: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/16.jpg)
Identifier fidèlement l'entité
• Utiliser des systèmes d'identifications externes éprouvés
• Humain
• Sites ou applications
vendredi 13 novembre 2009
![Page 17: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/17.jpg)
Identifier fidèlementles humains
• OpenID
• Facebook Connect
http://openid.net/
http://developers.facebook.com/connect.php
vendredi 13 novembre 2009
![Page 18: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/18.jpg)
Identifier les sites, services web ou les applications
• OAuth
• Browser-Based Authentication (BBAuth)
http://oauth.net/
http://developer.yahoo.com/auth/
vendredi 13 novembre 2009
![Page 19: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/19.jpg)
Identifier les sites, services web ou les applications
• AOL Open Authentication API (OpenAuth)
• AuthSub Authentication
http://dev.aol.com/api/openauth
http://code.google.com/apis/accounts/docs/AuthSub.html
vendredi 13 novembre 2009
![Page 20: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/20.jpg)
Identifier fidèlement l'entité
• Utiliser plusieurs facteurs
• Facteur mémoriel : ce qu'il sait
• Facteur physique ou corporel : ce qu'il est
• Facteur réactionnel : ce qu'il sait faire
• Facteur matériel : ce qu'il possède
vendredi 13 novembre 2009
![Page 21: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/21.jpg)
Facteur mémoriel
• Mot de passe
• Numéro d'identification personnel
• Phrase secrète
vendredi 13 novembre 2009
![Page 22: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/22.jpg)
Facteur mémoriel
• Informations personnelles
• Nom de votre mère• Nom de votre premier animal• Votre couleur préférée• Date de naissance• Ville de naissance• Adresse• Numéro de téléphone
vendredi 13 novembre 2009
![Page 23: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/23.jpg)
Facteur physiqueou corporel
• Photo• Caractéristique physique ou biométrie
• Empreinte digitale• Caractéristiques de sa pupille• Rétine• Voix
vendredi 13 novembre 2009
![Page 24: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/24.jpg)
Facteur réactionnel
• Geste
• Signature
vendredi 13 novembre 2009
![Page 25: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/25.jpg)
Facteur matériel• Papiers
d'identification
• Acte de naissance
• Carte grise
• Carte d'identité
• Droit de propriété
• Diplôme
• Passeport
vendredi 13 novembre 2009
![Page 26: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/26.jpg)
Facteur matériel
• Carte à puce, bande magnétique ou RFID
• Certificat électronique
• Témoin de navigateur
vendredi 13 novembre 2009
![Page 27: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/27.jpg)
Facteur matériel
• Mot de passe à usage unique
• Jeton
• Carte
• Papier
vendredi 13 novembre 2009
![Page 28: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/28.jpg)
Facteur matériel
• Clé USB
• Téléphone portable
• PDA
vendredi 13 novembre 2009
![Page 29: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/29.jpg)
Exemples
vendredi 13 novembre 2009
![Page 30: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/30.jpg)
Exemples
• Carte bancaire + NIP
• Certificat électronique et mot de passe
• Nom usager/Mot de passe et mot de passe à usage unique
• Numéro de carte bancaire et calculette
vendredi 13 novembre 2009
![Page 31: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/31.jpg)
Exemples
• PayPal
• Nom d’usager / Mot de passe
• Mot de passe à usage technique
vendredi 13 novembre 2009
![Page 32: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/32.jpg)
Des solutions pour toutes les bourses
vendredi 13 novembre 2009
![Page 33: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/33.jpg)
Perfect Paper Passwords
• Format carte d'affaires
• À imprimer
• Gratuit
• Fonctionne
• Web
• Module PAM
• Login machine
• Login SSH
https://www.grc.com/ppp.htm
vendredi 13 novembre 2009
![Page 34: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/34.jpg)
Perfect Paper Passwords
• Algorithmique
• Aucun serveur ou service
• 16,777,216 mots de passe uniques pour un mot de passe de 4 caractères sur une base de 64 caractères
• Nombre de caractères modifiable
• Longueurs
• Bases
vendredi 13 novembre 2009
![Page 35: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/35.jpg)
Yubikey• Clé USB = Clavier universel
• Identifiant complet et un mot de passe unique
• Entre 4 € et 20 € par usager
• Fonctionne
• Web
• Module PAM
• Login machine
• Login SSHhttp://www.yubico.com/products/yubikey/
vendredi 13 novembre 2009
![Page 36: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/36.jpg)
Yubikey• Utilise un service web
• Validation de la clé et mot de passe à usage unique
• Serveur Yubico
• Serveur personnel (Open Source)
• Peut aussi contenir un mot de passe de 32 caractères (version 2)
tgbvgflvvndijcfhftgnnldhgviktivhdvnekehejcehtgbvgflvvndiknblilkrtbdvflbdhvdvutlblkfuueelcccccccclildcuhrrhneenjbrrbbnikcvhvbgbcbnvhncccccccclildibndgdgihuvdcggthnjrbcujdkujnblv
vendredi 13 novembre 2009
![Page 37: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/37.jpg)
Questions?
• http://www.ph-il.ca
• @SecureSyfony
• http://www.ph-il.ca/en/conferences
• http://www.ph-il.ca/fr/conferences
vendredi 13 novembre 2009
![Page 38: Authetification Forte - AFUP 2009](https://reader033.vdocuments.site/reader033/viewer/2022042714/55619f6bd8b42ad9538b4912/html5/thumbnails/38.jpg)
vendredi 13 novembre 2009