bUg <BR>Oth3r | Sécurité | vie privée | RE:vue de web |     | vie-privee.org | Big Brother Awards France | RenseignementsGeneraux.net
Fichier extrait de la mémoire cache de Bb) et -donc- des archives de bUg<BR>Oth3r, et +- nettoyé pour impression par rapport à sa VO sise à le 15 avril 2002 (la page a peut-être été modifiée depuis).

Bb) n'est ni affilié aux auteurs de cette page ni responsable de son contenu.

La carte d’identité numérique existe : elle s’appelle SSO
Dixit : Réseaux & Télécoms, dans le cadre d’un dossier sur la sécurité->http://www.reseaux-telecoms.net/dossiers/rubriques ?rub=S%E9curit%E9].

Un pour tous... C’est la devise des serveurs SSO (Single Sign On) ou serveurs de contrôle d’accès à identification unique. Bénédiction pour l’utilisateur, panacée pour les DRH et les DSI, ces usines à mots de passe sont le passage obligé vers les architectures hétérogènes d’aujourd’hui et les services web de demain.

Il y a de cela quelques années, la Securities Industries Association se livrait à un petit calcul prenant en compte le salaire moyen d’un employé et le temps consacré à entrer nom d’utilisateur et mot de passe, le tout en fonction d’une moyenne de quatre applications nécessitant crédence. Le résultat dépassait 44 heures par an soit, pour un groupe de 10 000 personnes et avec un salaire horaire de 24 dollars, une dépense globale annuelle frisant 8 millions de dollars. L’anecdote est amusante.

Ce qui l’est moins, en revanche, c’est l’estimation de divers cabinets d’analyse, qui situent entre 15 et 30 % le nombre d’appels aux services de support liés à un problème de mot de passe oublié ou expiré. Au tarif horaire du personnel d’administration, la dépense induite par l’intervention devient non négligeable. En outre, cette situation constitue une plaie béante dans le flanc sécurité de l’entreprise. Une pratique courante des hackers consiste à se faire passer pour un usager distrait et à obtenir, de la part d’un service de helpdesk débordé, une « entrée gratuite » sur le réseau. De ce fait, le plus sophistiqué des firewalls devient aussi efficace qu’un tue-mouches face à une charge de rhinocéros. Alors vint le Single Sign On (SSO), ou passerelle d’identification unique.

Le SSO est un serveur capable de reconnaître un usager puis de lui donner accès, en fonction d’une définition de profil, à un éventail de services. Le tout, bien sûr, sans que l’utilisateur ait à décliner ses crédits lors de chaque accès aux services concernés. Pour le membre du réseau, c’est la fin d’une pénible gymnastique mnémotechnique, puisqu’il ne doit plus retenir qu’un seul mot de passe. Pour l’administrateur, c’est la possibilité de changer en permanence les crédences destinées aux applications, avec des séquences complexes de lettres et chiffres, ce qui améliore la sécurité de l’infrastructure, voire d’appliquer des mécanismes de « mot de passe dynamique » dépendant d’un mécanisme crypté lié à un serveur PKI par exemple. Ce point de passage obligé que constitue le SSO chez presque tous les éditeurs dispose des outils et routines facilitant la mise en oeuvre de politiques de mot de passe strictes : élimination des côtés trop « transparents » (prénoms, dates de naissance...), vérification des règles de renouvellement, etc.

N’importe quel amateur de romans d’espionnage comprend tout de suite qu’un tel schéma facilite le travail du hacker : un seul mot de passe à pirater, et tout le réseau s’ouvre comme par magie. D’autant que l’unicité de la crédence ne supprime pas totalement les oublis et les SOS désespérés au service de helpdesk. « Cela ne fait pas de doute, avouent les spécialistes du domaine. Mais les employés des services informatiques sont plus attentifs face à une erreur devenue plus rare. En outre, les principaux outils disponibles intègrent des procédures de contre-vérification de l’identité de l’appelant. » Ces procédures sont généralement des phrases clés, des renseignements complémentaires très personnels, plus difficiles à obtenir par les méthodes classiques du social engineering.

Reste que la méthode est loin d’être parfaite. Cette procédure n’exigeant, dans le cadre normal du travail, qu’une seule « pièce d’identité » est baptisée : authentification à facteur unique. Les sites nécessitant un niveau de protection plus important doivent recourir à une technique dite à double, voire triple facteur. Il s’agit de renforcer un mot de passe ou code PIN par une clé, un dongle à brancher sur un port série ou USB, une carte à puce, une interface de reconnaissance biométrique, ou une calculette spéciale délivrant un code aléatoire reconnu du seul serveur SSO. C’est l’association de cet identifiant matériel et d’un mot de passe connu du seul usager qui peut mériter le nom d’« authentification à deux facteurs ». On notera, pour le déplorer, que bon nombre de vendeurs de périphériques biométriques ou de systèmes de login automatique n’insistent pas assez sur la nécessaire complémentarité des deux méthodes. En effet, une carte à puce, une Java ring (sorte de « bague à puce » inventée par Sun) se perdent ou se dérobent parfois bien plus aisément qu’un mot de passe.

(...)