|
| |
|
|
| Sommaire Sécurité |
 |
| Pour une bonne authentification sur le poste de travail |
| PKI, carte à puce, biométrie, etc. Dans son dernier livre blanc, Bull Evidian inventorie 7 techniques d'authentification et rappelle les inconvénients de chacune. L'éditeur insiste sur le coût d'exploitation.
(13/02/2007) |
|
Avant de passer à l'authentification unique centralisée (SSO), il est obligatoire de définir des niveaux d'authentification minima pour chacune de ses ressources informatiques et de ses applications cibles. Le dernier livre blanc de Bull Evidian, dresse les avantages et inconvénients des 7 méthodes d'authentification les plus courantes sur le poste de travail, et rappelle les critères d'arbitrage.
Première méthode d'authentification, l'infrastructure Windows offre un système de mot de passe et d'identifiant assurant un premier niveau de sécurité. Très simple à mettre en œuvre, l'authentification sous Windows par mot de passe propose un niveau de sécurité à la merci de la complexité du mot de passe. Si ce mot de passe est trop complexe, les utilisateurs risquent de l'oublier fréquemment ou de contourner le problème en le notant sur post-it.
Cette méthode demeure cependant incontournable puisqu'elle se charge de l'authentification initiale. Dans le cas de la mise en œuvre d'une solution d'authentification forte, Bull Evidian précise qu'il faudra parfois remplacer ou compléter les composants Windows existants. Il faudra tenir compte des exceptions provoquées par la commande "Ctrl+Alt+Suppr", de l'annuaire utilisateur sous Active Directory ou de l'infrastructure Microsoft PKI.
Plus sécurisée, la méthode dite OTP (One Time Password) reprend le couple identifiant / mot de passe, mais ajoute le principe d'un algorithme générant un mot de passe temporaire valable pour une seule utilisation et dans une durée limitée. Ce mécanisme nécessite un calculateur chargé de générer les codes aléatoires, et un serveur d'authentification pour analyser la validité de ce code. Le risque concerne la perte ou l'oubli d'une calculatrice.
| Sur des postes très critiques, ces méthodes peuvent être combinées entre elles |
Même problème pour l'infrastructure à clé publique (PKI). Cette fois-ci, l'entreprise décide de crypter ses ressources informatiques et de n'en délivrer l'accès qu'aux possesseurs d'un certificat signé et garanti par une autorité reconnue, après validation d'un code PIN. Mais tout comme la méthode OTP, il faudra prévoir des procédures pour les utilisateurs ayant oublié leur certificat (carte à puce ou clé USB).
La quatrième méthode d'authentification identifiée par Bull concerne la sécurisation des postes critiques à travers la clef "Confidentiel Défense". Cette clef reprend la logique du PKI mais en évitant la saisie du code PIN par l'utilisateur, ce code étant composé par la clef elle-même de manière à se protéger d'éventuels enregistreurs de frappes clavier (ou keylogger).
Moins lourd à gérer, le stockage de l'identifiant et du mot de passe sur carte à puce évite le recours à un organisme de certification reconnu. Les informations de connexion au poste de travail sont transmises directement à l'annuaire LDAP pour authentification. Si l'utilisateur peut toujours oublier sa carte à puce et donc son moyen de connexion, l'entreprise peut désormais appliquer une politique de choix des mots de passe sécurisée sans gêner ses salariés.
Les solutions biométriques basent leur vérification sur un élément du corps de l'utilisateur, avec des solutions basées soit sur un serveur central, soit sur le poste de travail ou encore sur une carte à puce. Le corps est toutefois susceptible de changer avec le temps (vieillesse, maladie, accidents) et pose un véritable problème juridique dans certains pays. En revanche, dans les endroits où les contrôles biométriques peuvent être accompagnés d'un contrôle visuel de la personne, cette procédure offre un niveau de sécurité élevé.
Enfin, le RFID actif incrusté dans un badge permet d'identifier sans contact un utilisateur à quelques mètres. Si le système semble pratique, il est vulnérable au vol tout comme les solutions de PKI ou OTP. Mais il peut être combiné avec une autre méthode pour augmenter le niveau de sécurité.
Pour faire la différence entre toutes ces méthodes, Bull recommande de définir des objectifs de sécurité, d'envisager ce que permet la loi et les réglementations, puis d'arbitrer en fonction du coût de la mise en œuvre et du coût d'exploitation. Il faut inclure dans les coûts des éléments telles que : la formation des utilisateurs, la gestion de l'invalidation d'un code, la gestion de la perte ou d'un oubli d'une carte à puce, la gestion d'un nouveau salarié, l'intégration avec ses applications métiers, et la mise en place de l'infrastructure (serveurs, lecteurs de cartes, cartes).
|
| |
| |
|
|
|
