Après avoir expliqué pourquoi le binôme identifiant/mot de passe était devenu obsolète et présenté deux solutions biométriques. SecuriteOff termine son dossier avec des solutions plus « efficaces ».
Nous terminons ce long dossier par des solutions moins « futuristes » mais qui présentent le mérite d’être efficaces et faciles à administrer :
- le SSO (« Single Sign On »)
- les solutions de sécurisation des comptes à privilèges
- les cartes à puce.
Personne n’aime les contraintes. Pourtant, la simplicité et la facilité d’usage font rarement bon ménage avec une sécurité renforcée.
Comme nous l’avons vu dans la première partie de notre dossier, la gestion de différents mots de passe relève de la mission impossible. À mesure que nous utilisons de nouveaux services en lignes, nous dépassons largement les limites notre capacité à se rappeler de lettres ou de mots à plus ou moins court terme. Et ne parlons pas de l’imagination nécessaire pour trouver autant de mots de passe…
Face à ces difficultés, des entreprises ont retenu la technique du « Single Sign On ».
Le SSO tend à résoudre ce casse-tête des multiples mots de passe en obligeant l’utilisateur à n’en retenir qu’un seul. Comme il est destiné à protéger l’accès à tous les autres mots de passe, il doit être « fort », c’est-à-dire contenir une dizaine de lettres, chiffres et signes.
Sur le papier, le SSO permet d’atteindre trois objectifs majeurs :
Simplifier la vie de l’utilisateur en gérant automatiquement le cycle de vie de ses mots de passe et l’authentification auprès des applications
Augmenter le niveau de sécurité (authentification forte, mots de passe complexes), mais également traçabilité des utilisateurs
Diminuer les coûts liés à la gestion des mots de passe et apporter à l’utilisateur une autonomie contrôlée.
Pour que ces objectifs soient atteints, une solution de SSO doit offrir les fonctions suivantes :
La gestion des crédentiels de l’utilisateur : un utilisateur est à la fois administrateur et utilisateur normal d’une application
L’authentification auprès du SSO et des applications secondaires (Accès)
La traçabilité des utilisateurs afin de pouvoir repertorier notamment les changements de mots de passe, la délégation de crédentiels et les échecs de connexion/changements de mots de passe.
Avec un tel schéma, il apparaît que le point faible est principalement le serveur de connexion qui gère le SSO. Pour mémoriser les règles d’authentification et d’autorisation, le SSO peut utiliser une base de données locale (sa propre base de données) ou centralisée. Il doit également vérifier toutes les opérations exécutées dans la base de données des identifiants des utilisateurs. Par conséquent, la redondance est nécessaire pour minimiser les risques de défaillance unique.
Autre point faible : le mot de passe « maitre ». Si un attaquant met la main dessus, il peut accéder à différents. Il faut donc sensibiliser (les rappels réguliers de l’administrateur du SI ne sont pas inutiles…) les collaborateurs afin qu’ils créent un mot de passe « fort » et qu’ils le mémorisent dans leur tête et non pas sur un bout de feuille de papier…
La seconde piste retenue par des entreprises consiste à utiliser des logiciels spécialisés dans la sécurisation des comptes à privilèges. Ces solutions s’appuient entre autres sur un coffre-fort de mots de passe (accès individuels nominatifs) et un proxy d’administration. Ce dernier permet d’autoriser des personnes parfaitement authentifiées à administrer certaines machines ou logiciels et pas d’autres. Ce proxy permet aussi d’ouvrir une session d’administrateur sans avoir à connaître le mot de passe root ou Administrateur (l’ouverture de session est transparente). Enfin, il permet de bénéficier d’une traçabilité complète des opérations effectuées (logs en mode texte pour les clés SSH, ou « vidéo » pour les accès RDP).
Troisième et dernière solution : les cartes à puce. Selon Vincent Guyot, Directeur scientifique du Mastère Spécialisé SI&S à l’ESIEA, « une carte à puce est très difficile à casser. C’est beaucoup plus sûr qu’un certificat stocké sur un ordinateur et qu’un code malveillant peut corrompre. Quand le certificat est dans la carte à puce, le pirate ne peut pas accéder au contenu de cette carte même s’il a infecté la machine. »
Selon cet expert, « les cartes à puce devraient être généralisées dans les entreprises pour protéger les postes de travail, car toutes les procédures biométriques ont été de différentes manières retournées ».
Reste le problème des certificats. Pour une entreprise unique, aussi grosse soit elle, les certificats peuvent être émis par une autorité d’émission des certificats interne à l’entreprise. C’est le cas des certificats SSL autosignés qui sont suffisants pour un intranet. La question des certificats peut par contre être un peu plus délicate en cas d’interopérabilité entre entreprises.
Pour la distribution des cartes et des certificats, il n’y a que deux alternatives:
Le modèle bancaire pour les collaborateurs « nomades » : les cartes sont toutes programmées dans un seul endroit très sécurisé. Elles sont ensuite envoyées à l’utilisateur par la poste ou un autre service. Pour limiter les risques d’interception, le code PIN permettant leur usage est transmis par un autre canal (SMS par exemple).
Le modèle « programmation in situ »: il consiste à distribuer des cartes vierges, sans aucune valeur et ne risquant donc aucune interception. Ensuite, il faut les programmer à l’aide des certificats émis en interne. Cela implique un endroit sécurisé, car tant que le certificat n’est pas en sécurité dans la carte à puce, il est vulnérable.
Mots de passe : les conseils de l’ANSSI (Agence nationale de la sécurité des systèmes d’information)
- Utilisez des mots de passe différents pour vous authentifier auprès de systèmes distincts.
- Choisissez un mot de passe qui n’est pas lié à votre identité (mot de passe composé d’un nom de société, d’une date de naissance, etc.).
- Ne demandez jamais à un tiers de créer pour vous un mot de passe.
- Modifiez systématiquement, et au plus tôt, les mots de passe par défaut lorsque les systèmes en contiennent.
- Renouvelez vos mots de passe avec une fréquence raisonnable. Tous les 90 jours est un bon compromis pour les systèmes contenant des données sensibles.
- Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur internet), encore moins sur un papier facilement accessible.
- Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle.
- Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis.
Source : http://www.ssi.gouv.fr/IMG/pdf/NP_MDP_NoteTech.pdf