17 novembre 2014

La gestion des accès par contrôle statique (mot de passe enregistré en dur ou dans un annuaire) vit ses dernières heures. La vulnérabilité de protocoles utilisés quotidiennement tel que le SSL est un des facteurs qui pousse les utilisateurs à prendre conscience de ce phénomène.

Le 7 avril 2014, les révélations autour de la faille heartbleed provoquaient un séisme. La faille présente dans certaines versions d’OpenSSL obligeait l’ensemble des acteurs vulnérables à procéder à des ajustements (mises à jour de la version d’OpenSSL, roll back de version, changement des mots de passes, changement et révocation de certificats).

Concrètement, les sytèmes sur lequels une version vulnérable à la faille Heartbleed d’OpenSSL est installée conserve dans un buffer des informations sur les sessions précédemment établies. Il est possible de récupérer des clés de chiffrement ou des mots de passes utilisateurs bien que les communications soient chiffrées entre client et serveur.

OpenSSL a depuis corrigé de nouvelles failles. La question que l’on est en droit de se poser est « Combien de failles n’ont pas encore été découvertes? » . Il est fort probable qu’un incident de ce type puisse se reproduire à l’avenir (Pour en savoir plus sur la vulnérabilité de SSL)

 

Même s’il ne faut pas tomber dans la psychose, une chose est certaine, la sécurité offerte par un mot de passe statique est faible :

  • Les utilisateurs ont tendance à utiliser des mots de passes simples donc facilement récupérables
  • La multiplication des authentifications conduit souvent les utilisateurs à choisir le même mot de passe
  • Si le mot de passe définit est trop compliqué, les utilisateurs ont tendance à le sauvegarder dans un fichier texte ou excel (voir sur un post-it)

Il existe pourtant une solution simple pour protéger les canaux d’authentification : l’authentification forte.
Elle utilise plusieurs facteurs pour générer un accès (dérivation de clé de chiffrement multiple, facteur temporelle).

Avec notre partenaire HID Global et sa gamme de produit 4TRESS ActivIdentity, nous proposons des solutions pour mettre en place de l’authentification forte.

La technologie repose sur la génération de mots de passe uniquement valables dans un intervalle de temps réduit et non réutilisables (One-Time-Password ou OTP). Ces codes OTP peuvent être générés à partir de support physique (carte à puce, token physique, smartphone), software (empreinte de poste, clavier virtuel intégré à la page d’authentification) ou en utilisant des passerelles SMS pour envoyer le mot de passe sur un téléphone.

La flexibilité de la solution permet également de s’interfacer avec un grand nombre d’applications et d’équipements (Salesforce, Office365, F5, Juniper, Zscaler, Authentification de session Windows).

 

Pour plus d’information sur ce sujet, n’hésitez pas à nous contacter.

Partager :

Auteurs