Loading

Peut-on encore faire confiance aux mots de passe ?

Par Laurent Teruin | 10/10/2017
Sécurité, Mobilité, Tokenization, Office 365, Authentification

“Il ne fait aucun doute qu'au fil du temps, les gens se fieront de moins en moins aux mots de passe. Les gens utilisent le même mot de passe sur différents systèmes, ils les notent et ne répondent pas au défi pour tout ce que vous voulez vraiment sécuriser”. C’est ce que déclarait un certain Bill Gates il y a plusieurs années de cela en 2004 et entre nous, il avait, et continue d’avoir raison. Le seul souci, est que ces derniers sont de plus en plus présents et que l’authentification à facteurs multiples est très loin d’être généralisée.

Peut-on encore faire confiance aux mots de passe ?

La mobilité quotidienne

Certaines banques continuent encore d’utiliser des formulaires Web avec saisie du compte et du mot de passe pour permettre aux clients d’accéder à la gestion de leur compte sans autre dispositif de contrôle d’identité.

Plus proche de nous, nos applications de messageries mobiles, nos anciennes applications Windows, utilisent le plus souvent des méthodes d’authentification qui se basent uniquement sur un identifiant et un mot de passe. Entre temps, des sociétés comme Yahoo, Equifax ou Amazon se sont fait voler une partie des identifiants de leurs clients. 

Notre mobilité quotidienne nous invite également à faire transiter nos données sur des réseaux globalement ouverts et dont le niveau de sécurisation nous est totalement inconnu. Le chiffrement des flux (Https) dans ces environnements publics n’est qu’un pis-aller tant il est simple pour un hacker de se placer entre vous et le service demandé et intercepter vos échanges.  Bill Gates avait, et continue d’avoir raison.

Mais comment faire pour se passer de mot de passe, est ce simplement possible ? 

Dans le cadre d’un déploiement des services Office 365, nous avons fait quelques tests qui ont montré malgré toutes les techniques en vigueur, que cela n’était pas si simple que cela.  

Allez, on vous montre tout cela.

Dans l’environnement Microsoft et notamment dans l’environnement Office 365, il existe plusieurs modes d’authentification qui, soit sont agnostiques à l’environnement et donc utilisés dans d’autres environnements, soit directement issus des environnements Microsoft (NTLM). Le plus ancien mode d’authentification et par conséquent le plus obsolète au vu des risques encourus est l’authentification basique.

Le principe de base est d’envoyer au sein d’un canal crypté (Https) le compte et le mot de passe de l’utilisateur aux services concernés. Cette authentification basique est la méthode la plus simple et est extrêmement utilisée par la quasi-totalité des applications natives de messagerie sur Smartphone.  

C’est principalement cette méthode obsolète qui continue à poser des problèmes de sécurité.S’en défaire ? voyons ce que nous offre l’authentification Moderne. 

 

L’authentification moderne

La solution idéale à ce jour est d’éviter clairement l’envoi d’information de connexion aux services concernés à savoir dans notre cas, Office 365. Pour ce faire, la fédération d’identité consiste globalement à déléguer l’authentification des accès non pas à l’entité responsable du service mais à un service que vous hébergez et qui demeure sous votre responsabilité.

Cela va permettre à l’utilisateur de présenter son ticket d’accès au service sans avoir à présenter ses informations de connexion

Comment cela fonctionne ? Prenons un exemple. 

Eric Blanc veut monter dans l’avion 0365 et se présente au guichet sans carte d’embarquement. Le personnel chargé de l’embarquement le rejette et l’invite à se rendre à l’enregistrement. Eric Blanc prouvera donc son identité auprès de cet organisme (différent de celui qui opère l’avion) et obtiendra une carte d’embarquement.

Eric repartira pour embarquer avec sa carte d’embarquement délivrée par les services d’enregistrement auxquels la compagnie 0365 fait confiance et in fine, embarquera sans communiquer son identité a la compagnie 0365. Dans l’authentification moderne c’est quasiment le même principe. Alors reprenons notre exemple

Le token d’accès

Eric demande à accéder à sa boîte aux lettres mais ne possède pas de jeton d’accès (No Token), la fameuse carte d’embarquement. Le service Exchange Online (EXO) lui indique qu’il doit s’adresser au service d’authentification Microsoft (401 :Need token from AuthUrl) . 

Le client est alors redirigé vers une page de connexion hébergée par Microsoft qui l’invite à taper son identifiant de connexion sous la forme xxxxxx@nomdelacompagnie. (Show Login Page). 

Une fois que l’utilisateur aura tapé son identifiant, la partie droite de son identifiant va permettre aux services Microsoft d’identifier que ce domaine possède une fédération d’identité. Il va alors renvoyer l’utilisateur vers la page de connexion différente, qui elle, est hébergée sous la responsabilité de votre société. 

L’utilisateur va s’authentifier en communicant ses informations de connexion (Enter UserName / Password). Votre fournisseur d’identité (IdP, ici vos services ADFS Active Directory Federation services) va valider cela auprès de votre Active Directory et communiquer un token SAML a l’utilisateur lui indiquant de se présenter au service qui délivre les token (Carte d’embarquement). 

L’utilisateur va présenter son token SAML au service qui délivre les Token d’accès (Carte d’embarquement) à savoir le Service d'émission de jeton de sécurité (STS) et va recevoir deux jetons d’accès. Un jeton d’accès (access Token) et un jeton lui permettant de renouveler ce jeton d’accès (Refresh Token). Une fois muni de ces jetons d’accès, l’utilisateur se représentera à la porte du service (Exchange online) et pourra accéder à sa boîte aux lettres.

La prochaine fois l’utilisateur présentera son token d’accès sans refaire nécessairement tout ce chemin.

Si au premier abord cette méthode peut vous sembler compliquée, elle évite bel et bien d’envoyer des informations de connexion à la plateforme qui héberge le service à savoir Microsoft, ce qui en soit est l’objectif. 

Mais pour autant êtes-vous totalement tiré d’affaire ? Pas complètement en réalité. La première contrainte à en prendre en compte concerne les clients que vous utilisez et qui sauront gérer tous ces allers et retours décrits plus haut.  Dans l’univers Microsoft, tous les clients ne savent pas gérer le mode d’authentification appelée Modern Authentication. Microsoft publie la liste des clients compatibles sur le lien suivant.

Pour ce qui est des applications de messageries mobiles natives aux systèmes IOS ou Android, ‘donc hors de la responsabilité de Microsoft), elles vont envoyer leurs informations de connexion en mode basique au services Microsoft qui vont traiter ces informations et demander à votre fournisseur d’identité (IdP) de bien vouloir valider l’accès au service.

D’autres applications comme Outlook 2010 SP2 vont faire de même. On peut faire face à une tentative d’authentification basique engendrée par un client ne supportant pas l’authentification modern et le décodage des informations de connexion.

 

La paranoïa ambiante  

Ou plutôt comment empêcher un utilisateur de prendre son téléphone portable et essayer de le configurer avec l’application native pour synchroniser ses messages ? C’est simple, cela n’est pas possible.

L’accès en mode basic pour la messagerie n’est pas désactivable pour le moment sur l’environnement Microsoft, cependant et grâce aux récents développements des équipes Microsoft, les applications mobiles officielles Outlook Skype etc… elles, gèrent parfaitement et par défaut l’authentification Modern. Je vous incite donc à ne supporter dans vos déploiements que ces dernières et inciter très fortement vos utilisateurs à les utiliser.

Bannir l’authentification basique sur l’environnement Office 365 reviendrait à interdire à bon nombre d’applications tierces l’accès aux services. L’on reprocherait immédiatement à Microsoft de ne plus supporter les anciens clients et de favoriser l’utilisation de leurs clients. Comme quoi la vie d’un éditeur n’est pas toujours très simple ?? 

Il va donc falloir vivre encore quelques temps avec cette authentification basique qui, en plus, ne supporte pas l’authentification à multiples facteurs. Une des solutions consiste, si vous le pouvez à détecter depuis votre IdP ces fameux accès en mode basic et d’informer l’utilisateur qu’il a tenté d’accéder aux services de collaboration avec des outils non autorisés et l’inviter à changer son mot de passe puis à utiliser l’application adéquate. 

Certains éditeurs comme VMware  fournissent quant à eux des solutions pour détecter et bannir les accès avec usage de l’authentification basique. Microsoft offre une solution plus intégrée à leurs solutions Cloud qui passe par la mise en place d’un accès conditionnel à l’usage d’une application utilisant l’authentification Moderne. 

Certains constructeurs de téléphone viennent de proposer en standard l’authentification modern comme Apple avec la nouvelle version de L’IOS 11.

Sans vouloir ajouter à la paranoïa ambiante, le risque de piratage existe bel et bien sur l’environnement Office 365. Malgré tous les efforts que peut faire en la matière l’éditeur américain ceux-ci seront vains, si vous-mêmes ne prenez pas en compte ce risque et si vous continuez à baser uniquement votre sécurité d’accès sur ce couple identifiant / mot de passe.  Certains, comme Deloitte, l’ont appris à leurs dépens. 

 

 

 

 

Laurent Teruin Laurent Teruin - Consultant Senior Lync et MVP Lync
Consultant senior en environnement Exchange / Lync. Participe à la conception d’architecture Messagerie et UC au sein de la société Exakis. MVP Lync, il coédite notamment un…
 
Le Guide Azure pour le développement d’applications :Le Guide Azure pour le développement d’applications :Découvrez les différents scénarios adaptés au cloud, et plus particulièrement au développement d'applications à l'aide des services de plateforme disponibles sur Microsoft Azure. Apprenez comment utiliser rapidement toute l'étendue de la plateforme Azure et ses services selon le type d’application.Désamarrez maintenant !

Ressources Informatiques

Le Guide Azure pour le développement d’applications : Ce guide détaille divers scénarios adaptés au cloud, et plus particulièrement au développement d'applications à l'aide des services de plateforme…
   Microsoft | 40 pages
Découvrez le guide Azure pour le développement d’applications
BYOD : Guide des meilleures pratiques en entreprise Ce livre blanc étudie des cas d’utilisation d’entreprise courants et définit les avantages de la gestion des terminaux mobiles, de la conteneurisation…
   VMware | 8 pages
Découvrez les meilleures pratiques !
Comment sécuriser les accès et contrer la compromission d’identité ? La compromission d’identité est un vecteur d’attaque conséquent auquel les organisations sont confrontées, et avec les applications Cloud, mobiles…
   RSA | 6 pages
Téléchargez le livre blanc
Authentification forte : quels enjeux pour la sécurité du SI ? Mobilité, consumérisation et BYOD impliquent de nouveaux défis de sécurité pour les directions IT. Découvrez comment sécuriser les accès aux applications…
   RSA | 4 pages
Découvrez votre livre blanc
SMART DSI : la nouvelle revue du décideur IT Conseil et expertise IT, bénéficiez des analyses, des chroniques et des dossiers de la nouvelle revue informatique SMART DSI pour conduire la transformation…
   SMART DSI | 52 pages
Découvrez la revue SMART DSI
Libérez le Big Data et le Machine Learning Nous sommes à la veille d'un changement spectaculaire où les machines seront capables de dépasser les êtres humains dans leur capacité à prendre…
   Comsoft | 12 pages
Découvrez l’article technique
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Arnaud Lorgeron Arnaud Lorgeron Sécurity PMO pour la Banque Privée

Cédric Bravo Cédric Bravo Co-président du Guvirt

Cédric Georgeot Cédric Georgeot MVP File System Storage

Vidéos Informatiques

Adobe Document Cloud en Video Motion !Découvrez maintenant, en Video Motion, comment entrer dans l'ère du document intelligent…Par Itpro

Comment mettre en place une stratégie mobile performante ?Smartphones, tablettes, PC ultra-mobiles ont libéré les utilisateurs et transformé…Par Itpro

Hyperconvergence réussie avec les solutions Dell VxRaill'hyperconvergence intéresse et séduit les DSI par son approche intégrée et…Par Itpro

Windows 10 Professionnel : 5 Innovations pour les CollaborateursRépondre aux enjeux de mobilité des utilisateurs est un besoin réel, centré…Par Itpro

Répondre aux défis de l'hyper convergence ?Découvrez en vidéo motion les 5 atouts majeurs du partenariat DELL EMC et Misco-inmac…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI