Geneva Application Security Forum: Vers une authentification plus forte dans ...
Utilisation de la biométrie dans le cadre d’un projet Mobilité
1. Utilisation de la biométrie dans le cadre d’un projet Mobilité http://fr.securityvibes.com/projet-mobilite-biometrie-article-1006.html
Accueil Infos Q&A Membre Communauté A propos
Articles & Opinions
Accueil » Article » Utilisation de la biométrie dans le cadre d’un projet Mobilité
Go
Utilisation de la biométrie dans le cadre d’un DERNIERS ARTICLES
projet Mobilité
Sylvain [En ligne]
Utilisation de la biométrie dans le cadre...
Le retour d'expérience d'une banque privée pour lier sécurité, mobilité
Contributeur
Les sorties de la semaine : téléphones...
et confort des utilisateurs.
Security tools FIRST, Facebook et eWeek.com dans...
Mobilité et sécurité : pour Le retour des PDF piégés
Article écrit par Sylvain et
les banques privées, il ne Une nouvelle tête pour Skyrecon
proposé le 10 Mar 2009.
Virtualisation : la seconde vague
s’agit pas là de vains mots,
IDC Risk Management : les brèves de comptoir
mais des fondements
Sylvain prépare son cours 2009 : Le monde selon IDC
même de leur mode de
pour l'Uni à Genève Conficker : les systèmes embarqués aussi
fonctionnement dans un monde toujours plus compétitif. Il
[ Change status ] Conformité, sécurité ou opérabilité :...
reste que la sécurité et la mobilité ne doivent pas se faire au
Tous les articles
détriment de l’utilisateur et de son confort.
Une solution informatique qui garantirait les premières sans
se soucier du second aurait en effet de fortes chances d’être
rejetée par les utilisateurs.
Trop souvent pourtant les mécanismes de sécurité
informatique sont mis en place au détriment du confort de
l’utilisateur. Celui-ci se retrouve alors avec un outil de travail
qui présente de fortes contraintes. Le système est compliqué,
le système est lent. Il nécessite plusieurs mots de passe, ou
l’utilisation d’un « Token » de type SecurID ou autre. Bref, la
solution n’est pas simple à utiliser. Mais elle est quot;securequot;…
C'est pourtant un écueil qu'il est possible d'éviter : le projet COMMENTAIRES RÉCENTS
Mobilité mené par un établissement bien connu sur la place
Il y a 1 jours - et aussi quelque chose
financière genevoise apporte la preuve que mobilité, sécurité
d'un ami Belge qui vous veut du bien.......
et confort d’utilisation ne sont pas incompatibles.
S à propos de Le retour des PDF piégés
Objectif du projet
Dans le cadre du projet présenté ici, l’objectif était de
repenser la mobilité de sorte à offrir un outil de travail
Il y a 12 jours - Pour ceux interessés,
réellement simple. Pour cela, nous avons remis les compteurs
voici l'analyse de Mr WebSense...
à zéro, nous sommes parti d’une feuille blanche. Avec l’idée
de proposer aux collaborateurs de la banque un nouveau
laptop qu’ils puissent utiliser lors de leurs voyages, depuis la S à propos de Le retour des PDF piégés
maison, un hôtel ou ailleurs, via Internet.
Il y a 14 jours - Milw0rm :
Comment faire ? Comment concilier simplicité d’utilisation et
http://www.milw0rm.com/exploits/8099 ...
fortes contraintes de sécurité ? Est-ce la quadrature du cercle
loits/8099
? Avant de répondre à cette question, énumérons de façon
plus précise les contraintes auxquelles il fallait faire face. Elles
CedricP à propos de Le retour des PDF piégés
sont de deux nature : les contraintes pour l’accès aux
applications informatiques à disposition des utilisateurs et les
contraintes de sécurité. Dans le cadre de cet article, nous
Il y a 2 semaines - La désactivation de
allons nous focaliser sur certaines d’entre elles.
JavaScript ne devrait avoir aucun impact,
sauf si vous...
• Les données sur le laptop doivent rester confidentielles
• L’accès à la banque doit se faire par le biais d’Internet
nruff à propos de Le retour des PDF piégés
• La procédure d’authentification doit être simple
• Idéalement, une seule authentification doit être demandée
Il y a 2 semaines - Ah, et j'allais oublier
Si l’authentification forte s’est rapidement imposée comme la
pour les admin qui peuvent se permettre
solution à retenir, restait encore à définir le système le plus
de desactiver...
approprié. A déterminer le dispositif à même d’apporter
sécurité et confort, tout en intégrant les technologies utilisées
Samuel à propos de Le retour des PDF piégés
pour ce projet. A savoir une technologie de chiffrement
complet du disque dur du laptop, une technologie de type VPN
(Virtual Private Network) pour accéder à la banque par
1 of 5 11.03.2009 00:20
2. Utilisation de la biométrie dans le cadre d’un projet Mobilité http://fr.securityvibes.com/projet-mobilite-biometrie-article-1006.html
Internet, une authentification de type Single Sign On pour Souscrivez à nos flux RSS
accéder au compte Microsoft et une technologie de type Web
Single Sign On (authentification unique) pour accéder aux
applications.
Nous voilà au cœur du challenge technologique. Trouver un
mécanisme d’authentification forte, simple à utiliser et capable
d’être associé aux technologies de sécurité (Chiffrement,
VPN, Authentification Microsoft et Web Single Sign On).
Mais avant de définir plus avant ce mécanisme, expliquons ce
qu’est l’authentification forte et pourquoi l’utiliser.
Qu’est-ce que l’authentification forte?
Les méthodes classiques pour identifier une personne
physique sont au nombre de quatre :
1. Quelque chose que l’on connaît: un mot de passe ou un
PIN code;
2. Quelque chose que l’on possède: un «token», une carte à
puce, etc.;
3. Quelque chose que l’on est: un attribut biométrique, tel
qu’une empreinte digitale;
4. Quelque chose que l’on fait: une action comme la parole ou
une signature manuscrite.
On parle d’authentification forte dès que deux de ces
méthodes sont utilisées ensemble. Par exemple une carte à
puce et un PIN code.
Pourquoi cette méthode plutôt qu’une autre?
Le mot de passe. Il s’agit là du système le plus couramment
retenu pour reconnaître un utilisateur. Il s’avère toutefois que
celui-ci n’offre pas un niveau de sécurité optimal. Qu’il ne
permet pas d’assurer une protection efficace de biens
informatiques sensibles.
Sa principale faiblesse réside dans la facilité avec laquelle il
peut être identifié. Au nombre des techniques d’attaques
destinées à briser un mot de passe, on peut citer l’écoute du
clavier par le biais d’un logiciel malveillant (keylogger) ou plus
simplement encore, un keylogger matériel placé entre le
clavier et l'unité centrale.
Quelle technologie choisir?
Un grand nombre de technologies d’authentification forte sont
disponibles sur le marché. Celles de type «One Time
Password» (par exemple SecurID), les cartes à puces et
«token» USB cryptographiques ou encore la biométrie. C’est
cette dernière qui a été retenue dans le cas qui nous
intéresse. Avant tout pour répondre à une exigence
fondamentale posée par le client : garantir la facilité
d’utilisation.
Quel système de biométrie pour la mobilité ?
Lecture de l’iris, de la rétine, reconnaissance faciale ou
vocale, empreinte digitale. Quand on parle de biométrie,
différentes options sont envisageables. Le choix final a été
guidé par le souci de trouver un compromis entre le niveau de
sécurité (fiabilité) de la solution, son prix et sa facilité
d’utilisation.
C’est surtout là que résidait une des principales clés du
succès. L’adhésion des utilisateurs était en effet
indispensable. Et celle ci passait par la simplicité de
fonctionnement, par la convivialité du dispositif. Le lecteur
d’empreinte digitale s’est alors imposé assez naturellement, et
2 of 5 11.03.2009 00:20
3. Utilisation de la biométrie dans le cadre d’un projet Mobilité http://fr.securityvibes.com/projet-mobilite-biometrie-article-1006.html
entre autre parce que la plupart des ordinateurs portables
récents sont désormais équipés d'un tel lecteur.
Qu’en est-il de la sécurité?
La biométrie peut-elle être considérée comme un moyen
d’authentification forte?
La réponse est clairement non. Le recours à cette technique
comme seul facteur d’authentification constitue certes une
solution «confortable» pour les utilisateurs. Mais il n’en
demeure pas moins qu’elle n’offre pas des garanties de
sécurité suffisamment solides.
Diverses études ont en effet montré qu’il est possible de
falsifier assez aisément les systèmes biométriques actuels.
Leur utilisation croissante par les entreprises et les
gouvernements, notamment aux Etats-Unis, ne fait en outre
que renforcer la détermination des hackers à en identifier les
failles. C’est un des paradoxes de la biométrie.
Dès lors, il est judicieux de la coupler à un second dispositif
d’authentification forte. Dans le cadre de ce projet, un support
de type carte à puce a été retenu.
Concrètement, l’utilisateur est identifié aussi bien par sa carte
que par ses caractéristiques physiques (empreinte digitale, en
l’occurrence). La première ne fonctionne que si elle est
combinée aux secondes. L’ensemble offre ainsi une preuve
irréfutable de l’identité de la personne.
Pourquoi une carte à puce?
La carte à puce présente l’avantage d’être une solution
dynamique, évolutive. Elle permet en effet de stocker des
identités numériques (via un certificat). Ce qui ouvre la porte à
un grand nombre d’applications comme la signature
électronique de documents, l’intégrité de transactions, le
chiffrement de données et bien évidemment l’authentification
forte des utilisateurs. Les certificats numériques constituent
dès lors une base très solide pour construire la sécurité d’une
solution de mobilité.
Biométrie: où stocker les données?
La biométrie pose la question du stockage des informations
relatives aux utilisateurs.
Il s’agit là d’une question extrêmement sensible. Nombreux
sont en effet ceux qui, à juste titre, s’interrogent sur l’usage
qui est fait des données les concernant.
Où celles-ci vont-elles être conservées? Qui y aura accès?
L’information numérique permet-elle de reconstituer une
empreinte digitale? Les réticences face à ce procédé sont
réelles.
Pour surmonter cet obstacle à l’acceptation d’une telle
solution par les utilisateurs, la formule choisie consiste à
stocker les informations directement sur la carte à puce. Le
détenteur de la carte est ainsi le seul propriétaire de ses
données biométriques.
L'approche de type match-on-card
Baptisée match-on-card (quot;validation à même la cartequot;), cette
approche répond parfaitement à la problématique posée. Non
seulement, elle permet le stockage d’informations
biométriques sur la carte à puce, mais elle assure aussi la
vérification de l’empreinte digitale, directement sur cette
dernière. Elle donne ainsi aux utilisateurs un contrôle total sur
3 of 5 11.03.2009 00:20
4. Utilisation de la biométrie dans le cadre d’un projet Mobilité http://fr.securityvibes.com/projet-mobilite-biometrie-article-1006.html
les données les concernant. Cette approche a le mérite de
susciter la confiance des personnes amenées à avoir
recours au système.
La réponse au challenge technologique
Les technologies biométriques, à commencer par le match-
on-card, ont clairement un aspect avant-gardiste, notamment
sur les laptop. Le développement mené dans cette banque
privée genevoise a cependant démontré qu’il est
technologiquement possible de mettre en œuvre un système
d’authentification forte basé sur la biométrie et sur l’utilisation
conjointe de certificats numériques afin d'assurer aussi bien
une protection optimale qu’un grand confort pour les
utilisateurs. Cette solution a, de fait, parfaitement répondu aux
contraintes technologiques imposées par le projet.
L’authentification unique est ainsi réalisée par le biais de la
biométrie, la sécurisation de l’ouverture du VPN à travers
Internet est prise en charge par un certificat numérique de
type machine, stocké dans une puce cryptographique (TPM,
Trusted Platform Module) embarquée sur le laptop.
Dans le cadre de ce projet une contrainte n’a toutefois pas pu
être respectée. A savoir, utiliser la biométrie de type match-
on-card pour le chiffrement complet du laptop. En raison de
son côté avant-gardiste, cette technologie n’est en effet pas
compatible avec les principales solutions de chiffrement des
disques (FDE, Full Disk Encryption). Ce sera le défi à relever
pour la phase 2 de ce projet (fin 2009). Il devrait alors être
possible d’intégrer la technologie match-on-card à une
solution de chiffrement complète du disque.
Retour d’expérience
La technologie mise en place – biométrie de type match-
on-card et utilisation des certificats numériques – à répondu
aux objectifs et aux contraintes de ce projet Mobilité. Mais la
technologie ne fait pas tout : la structure organisationnelle à
mettre en place pour soutenir la technique, et notamment
assurer la gestion des identités, s’est ainsi révélée être un
des défis majeurs posé par le projet.
Cela a abouti à la création d'une entité dont la mission est de
gérer l’ensemble des processus qui gravitent autour du
système biométrique : enregistrement des utilisateurs, gestion
de l’oubli ou de la perte de la carte à puce, formation des
utilisateurs, etc.
Cette entité constitue un des piliers de la réussite du projet.
Mots clés : Mobilité, biométrie, PKI, SecureID, RSA, Token
USB, chip, carte à puce, cryptographie, authentification forte
ARTICLES SIMILAIRES
Les études de cas révèlent le pour et le contre de la...
En 1994, je travaillais en tant qu'administrateur de réseau pour une grande...
L'authentification forte se généralise et s'offre...
Les solutions d'authentification fortes, jusqu'alors réservées à une...
Identity Management : Microsoft s'empare de Alacris
Microsoft a annoncé aujourd'hui l'acquisition de Alacris Inc., un éditeur...
À l'écoute (indiscrète) de nos touches de claviers...
Partant d'une étude réalisée en 2004 sur les émanations acoustiques de...
Utilisation de la biométrie dans le cadre d’un projet...
Le retour d'expérience d'une banque privée pour lier sécurité,...
XavierD, maceopf, sdesbordes, mestrade, acz, Sylvain, JSaiz ...
Comments
4 of 5 11.03.2009 00:20