L'authentification forte aux portes du système

La multiplication des actes de piraterie oblige à renforcer le contrôle d'accès au système d'information. Calculettes logicielles ou électroniques, cartes à puce ou systèmes biométriques postulent à ce rôle de vigile.

Prudence est mère de sûreté. Et l'usager inconséquent qui emprunte le même mot de passe usé met son système d'information en péril. Afin d'éviter cela, l'administrateur du réseau dispose d'outils d'authentification forte, à commencer par les mots de passe à usage unique, suivis des calculettes logicielles et du nec plus ultra, les cartes à puce.

Le mot de passe devient jetable

Le faible coût s'avance comme l'atout principal de l'authentification par mot de passe à usage unique. Un logiciel du domaine public, tel Skey sous Unix, génère des mots de passe de session, aussi appelés OTP (One time password) , puis en contrôle la validité lors de l'accès. La procédure de création emprunte une calculette logicielle. À la fin de cette génération, l'utilisateur repart avec son contingent de mots de passe non rejouables, enregistrés sur disquette, dont il usera, l'un après l'autre, pour accéder au serveur d'accès ou au coupe-feu. Un pirate qui intercepterait un mot de passe ne serait donc guère avancé, celui-ci étant périmé dès qu'il a été utilisé.
Cette procédure impose de refaire cycliquement le plein d'OTP. De plus, rien n'empêche un individu qui dispose d'une trace de la dernière session, ainsi que d'une disquette d'OTP dérobée, de sévir. Certaines entreprises munissent leurs collaborateurs de calculettes qui génèrent un code d'accès à intervalles de temps réguliers. L'usager transmet celui-ci au serveur d'authentification, qui en contrôle l'égalité avec celui qu'il a calculé grâce à une horloge synchronisée sur celle de la calculette.

Afin que l'authentification ne repose pas sur la seule possession d'une calculette, l'utilisateur décline aussi un identifiant. Associer un code secret à une calculette s'inspire du système des cartes bancaires. Avec bon sens, les fabricants de cartes à puce tentent d'imposer leur technologie. D'autant que le microprocesseur intégré à ces sésames autorise de multiples contrôles tels que l'authentification de la carte à puce par l'utilisateur et, réciproquement, de ce dernier par la carte, à travers un identifiant décliné par l'une des deux parties. Ce contrôle vaut également entre la carte et le serveur d'accès.

Des certificats X509 sur la carte à puce

Le code d'identification est alors chiffré avant de transiter sur le réseau. À la réception, le serveur, qui est doté de la même clé de cryptage, effectue un contrôle d'égalité. Dans l'affirmative, la carte à puce demande au serveur de lui transmettre un message d'identification. Elle effectue sa vérification avant d'ouvrir l'accès en toute confiance. Enfin, l'authentification forte étendue repose sur l'usage de certificats à la norme X509 stockés sur la carte à puce, dans le cadre d'une infrastructure PKI. Cela permet également la signature électronique des mails, par exemple, ainsi que la gestion des droits sur les applications de l'entreprise

Source : costkiller.net

ils ont dit...: " Authentification et Open Source font bon ménage. "

Yves Epelboin, président de l'Association des centres de calcul universitaires Eunis

Nous avons une authentification basée sur un coupe-feu Linux et sur le logiciel Opie, qui génère des mots de passe non rejouables. Cette solution est bon marché, et nous n'avons eu aucun accès frauduleux externe. La disponibilité des sources des logiciels est un gage de fiabilité, les failles étant corrigées plus rapidement que sur des produits commerciaux verrouillés. Mais la procédure de création d'OTP est contraignante, et nous migrons vers une solution SSH pour remplacer Telnet.