L’authentification forte

personnes authentifiées et autorisées
• L’auditabilité car il est possible de connaître la personne qui accède à une ressource.
• L’intégrité puisque les personnes n’ayant pas d’autorisation ne pourront accéder aux ressources.

Dans un environnement Windows standard, l’authentification est principalement basée sur un login et un mot de passe. De solides mécanismes sous-jacents comme le Kerberos permettent de restreindre autant que possible les tentatives d’attaques et d’assurer un niveau de sécurité correct.

Malgré tout, cela ne saurait protéger le système d’information de l’entreprise de l’usurpation d’identité comme par exemple:

• Un keylogger sur un poste public (cybercafé). Toutes les frappes de l’utilisateur sont enregistrées
• Un cheval de Troie sur une poste de travail
• Un regard indiscret au dessus de l’épaule d’un utilisateur
• Etc.

Le meilleur moyen de se protéger contre ces attaques est l’authentification forte ou authentification à double facteur. Cela signifie que l’utilisateur doit fournir deux types d’éléments différents pour prouver son identité parmi:

• Quelque chose que l’on connait : c’est typiquement le cas d’un login, d’un mot de passe ou même d’un PIN code.
• Quelque chose que l’on possède comme par exemple un certificat stocké sur une carte ou un jeton de génération de clés uniques
• Quelque chose que l’on est : une caractéristique physique et intrinsèque telle qu’une empreinte digitale ou rétinienne.
• Quelque chose que l’on sait faire telle qu’une signature manuscrite

Une authentification forte est une authentification basée sur au moins deux de ces quatre conditions.

L’utilisation d’une PKI permettra de bénéficier rapidement des avantages de l’authentification forte. On déploiera par exemple, des certificats stockés sur des cartes à puces protégés par un PIN code. On est bien dans le cadre d’une authentification à double facteurs basée sur quelque chose que l’utilisateur possède (la carte à puce) et quelque chose qu’il connaît (le PIN code).
Si on vole la carte de l’utilisateur, elle sera bien inutile sans son code PIN. Si un usurpateur arrive à connaître le code PIN d’un utilisateur, il sera inutile sans carte à puce. Il faut le couple carte à puce/code PIN pour s’authentifier complètement.

L’un des enjeux du déploiement de carte à puce pour l’authentification Windows est le fait d’obliger l’utilisateur

• A se servir de sa carte à puce plutôt que de son login / mot de passe
• A retirer sa carte à puce du lecteur pour verrouiller ou fermer sa session lorsqu’il s’éloigne de son bureau

Le premier point est possible grâce aux GPO. Il faut définir l’option de sécurité « Ouverture de session interactive : Nécessite une carte à puce —> Activé »
Le deuxième point se configure également par une GPO : « Ouverture de session interactive Comportement lorsque la carte à puce est retirée —> Verrouiller la station de travail / Forcer la fermeture de session »

Il existe également un petit truc : ne proposer à l’utilisateur qu’une seule carte à puce pour le login Windows, le login VPN, les badgeuses, l’ouverture des portes, la cantine, la machine à café, etc. De la sorte, l’utilisateur est obligé de toujours avoir sa carte avec lui et il la retire donc de son poste de travail lorsqu’il s’en éloigne.

Les fabricants de cartes à puce sont aujourd’hui en mesure de vous proposer des solutions d’unification de vos cartes à puce existantes.