Authentification des utilisateurs, peut-on avancer ?

authentification forte d'utilisateurAuthentifier des utilisateurs est aujourd’hui un vrai enjeu de sécurité. Tout le monde connait la faiblesse des mots de passe utilisés et sait combien il est compliqué de faire évoluer les choses dans ce domaine (cf  Born to be breached: the worst passwords are still the most common  [en]). Néanmoins, la sécurité de l’information est un réel sujet d’actualité qu’il faut en permanence surveiller, auditer, critiquer au niveau de son système d’information.

On peut distinguer deux types d’utilisateurs : les internes et les externes. Les premiers, des utilisateurs du système d’information de l’entreprise, doivent être authentifiés et autorisés avant d’effectuer des actions sur les différents composants de celui-ci, souvent sur la base d’un annuaire d’entreprise. Les externes sont des clients (administrés, patients, usagers…), on leur propose du service, de l’accès à des informations, la possibilité d’interagir ; il est primordial de les authentifier mais en respectant des contraintes différentes : protection de la vie privée, simplicité, inscription ou enrôlement simplifié, oubli, coût, self-care.

Chaque population est gérée d’une façon très différente techniquement, même si l’objectif reste similaire : connaitre l’utilisateur au niveau des applications et pouvoir se baser sur ses droits pour le laisser effectuer des actions. Pour les internes, on peut imposer des choix techniques et de sécurité, par exemple sur la dureté de leur mot de passe ou le fait d’en changer régulièrement. Les utilisateurs trouveront à se plaindre si cela ne fonctionne pas et on a tout intérêt à les aider pour ne pas pénaliser la productivité. En revanche, pour les externes, c’est différent. Ils sont plus autonomes et moins connus, parfois s’inscrivent de façon forcée lors d’un processus d’achat, par exemple sur un site marchand et de plus en plus sont regardant par rapport aux informations détenues sur leur personne. Les récentes affaires outre-Atlantique ont réveillé quelques soupçons sur les données conservées et utilisées par les grands noms de l’internet, les sites de commerce électronique ou les opérateurs de téléphonie.

Afin de renforcer la sécurité des systèmes d’informations, on dispose aujourd’hui d’outils d’authentification forte des utilisateurs. Par le biais d’un tiers de confiance ou d’un outil complémentaire, on peut assez simplement ajouter un rempart supplémentaire contre l’usurpation d’identité et la découverte du mot de passe (par force brute par exemple). On se base alors sur un code variable dans le temps (TOTP: Time-Based One-Time Password Algorithm RFC6238 ), sur un SMS envoyé lors d’un acte de paiement par carte bancaire (3Dsecure) ou toute autre information que l’utilisateur doit détenir sur un support physique et qui permettra de l’identifier de façon plus stricte.

Autant cette sécurisation est assez rarement vue à l’intérieur de l’entreprise, pour les internes, car difficile à mettre en oeuvre, elle est très souvent présente pour les accès depuis l’extérieur. En effet, la sécurité périmétrique mise en place par les entreprises depuis de nombreuses années pousse à une authentification forte des utilisateurs lorsqu’ils se trouvent à l’extérieur (accès via un VPN ou webmail par exemple). La mise en œuvre d’une solution d’authentification forte est néanmoins possible en interne avec les outils d’annuaire standards via des tokens ou supports de certificat numérique permettant ainsi de très nettement augmenter le niveau de sécurité interne du système d’information (cf Strong Authentication with One-Time Passwords in Windows 7 and Windows Server 2008 R2 [en]).

Pour les utilisateurs externes, il existe également des moyens techniques intéressants. Vous connaissez déjà probablement OAUTH qui permet de s’authentifier sur un site en déléguant la responsabilité de l’authentification à un autre site plus gros (ie twitter, facebook, google). Il existe les solutions à base de OpenID ou l’identité de l’utilisateur est stockée et déléguée à un site web de confiance qui gère son identité. On trouve également des outils pour faire de l’authentification par token (one-time password), qu’il soit physique (RSA, SecureID, Entrust) ou logique (logiciel sur un smartphone). L’avantage de ce dernier domaine est qu’il est essentiellement basé sur des algorithmes publics, audités et critiqués et très simples à mettre en œuvre au niveau d’un site web ou d’une application maison. L’utilisation de smartphones permet de mettre en place des solutions ludiques où la saisie de la partie utilisateur et mot de passe est automatisée via un QRcode  (jetez un œil sur TiQR par exemple). On pourra également regarder la solution Google Authenticator qui permet de protéger, via un code supplémentaire,  l’accès à sa messagerie GMail ou à certains sites compatibles (le code est open-source) comme le gestionnaire de mots de passe LastPass.

La clé du moment (et depuis quelques temps déjà) est donc la fédération d’identité ou comment simplifier l’accès à des ressources informatiques par un utilisateur avec une identité contrôlée, révocable, dotée d’une authentification forte et d’un contrôle sur ce qui est partagé. Un des serpents de mer de l’informatique d’entreprise s’appelait SSO (single sign on), il s’appelle désormais SaaS.

On trouve plusieurs pistes de réponse à cette problématique. Tout d’abord en entreprise pour les utilisateurs internes qui, de plus en plus, doivent avoir accès à des applications en mode SaaS, on utilisera le SAML qui permet d’exposer son système de contrôle d’identité à un tiers et de simplifier la gestion. Il n’est alors pas nécessaire de créer une identité sur chaque site de service SaaS, l’utilisateur pourra s’authentifier avec les mêmes informations que sur son système interne d’entreprise, voire même de façon transparente (idéal donc). Les solutions techniques sont à la hauteur des enjeux, lourdes et complexes, mais proposent réellement d’apporter de la valeur (ie Microsoft ADFS ou shibboleth.net). Sur internet, pas de solution universelle pour l’instant, mais beaucoup d’initiatives autour de OpenID et OAuth, par exemple ClavID qui vous permet une identification OpenID sur n’importe quel site le supportant tout en ayant un niveau d’authentification fort via des moyens multiples (token, Google Authenticator, mot de passe, certificat numérique).

On pourrait imaginer que les états soient intéressés par un moyen national d’identifier les administrés pour toutes les démarches numériques administratives, qu’elles soient publiques ou pour des organismes tiers (retraite, complémentaire santé, banque, transport, énergie…). Ceci permettrait peut-être de répondre à la problématique de la pérennité du service et à la localisation des données car utiliser Google ou twitter pour authentifier des utilisateurs sur son site marchand passe encore, mais pas sur un site de mutuelle ou d’organisme bancaire. Ceci permettrait peut-être aussi de concentrer les moyens nécessaires, financiers et humains, autour de la sureté d’une telle installation afin de garantir la sécurité des informations stockées, de leur accès limité et contrôlé. Mais on a bien vu que les états pouvaient également être tentés de regarder dans la boîte à des fins moins justifiées, c’est probablement une des limites de la fédération d’identité nationale.

On continuera donc probablement encore quelques temps à utiliser des identifiants et des mots de passe pour nos démarches quotidiennes, à la maison ou en entreprise, mais cela ne nous empêche pas de penser à faire mieux.

image: http://www.signify.net

Et aussi

  • 4 novembre 2013 Améliorer la sécurité réseau avec RPF Non, pas de police des frontières ou autre parti politique, derrière l'acronyme RPF on trouve « Reverse Path Forwarding ». En substance, on s'autorise à ne pas laisser entrer une trame IP sur son réseau si l'adresse source n'est pas routable via l'interface d'arrivée. Bien connue des ISP, préconisée dans la majorité des cas, on peut imaginer que si tout le monde appliquait une telle […]
  • 14 octobre 2013 Bug, non grossière erreur #DLink Développer rapidement ne signifie pas faire n'importe quoi. Quand on répète que l'écriture de code informatique exige de la qualité dans le test et la documentation, ce n'est pas juste pour embêter les développeurs, c'est bien pour apporter de la valeur au produit final. L'affaire D-Link ne fera peut-être pas beaucoup de mal à la marque, mais cela met en lumière que de mauvaises […]
  • 14 octobre 2013 Avons-nous des Backdoors dans les OS de nos PC / serveurs ? Ne soyons pas naïfs, les pressions à créer des backdoors étaient inévitables. On a maintenant la preuve qu'elles existent comme le rappelle cette interview de Linus Torvalds, que la NSA a manifestement approché. Comme le fait remarquer Greg Ferro qui a été ma source de ce lien, les présomptions sur les OS de Microsoft sont très très fortes (cf. les coopérations de Skype depuis son […]