Salle de presse

NW_20010322_en_CeBIT News, 22 mars 2001MD « Résoudre le lien le plus faible de la sécurité »

Communiqués de presse
mars 22, 2001

La sécurité peut être définie très simplement comme : « L'OMS peut avoir accès à QUOI ? » Il y a très peu de doute sur le contenu ou l'exactitude de la partie « QUOI », car cela est généralement déterminé par l'organisation elle-même (et donc par le système de sécurité en place).

L'OMS, cependant, est au cœur de l'efficacité de tout système de sécurité. Le seul moyen de valider l'OMS est par l'authentification des utilisateurs.

La façon la plus populaire d'effectuer l'authentification de l'utilisateur est à travers un élément statique d'information partagée entre l'utilisateur et le système de sécurité: le mot de passe. Les mots de passe statiques sont connus comme une forme extrêmement « faible » d'authentification. Une authentification forte de l'utilisateur renforce également naturellement l'autorisation, car les droits d'accès seront accordés à la bonne personne et non à quelqu'un qui bénéficie illégalement d'un système d'authentification faible. Une authentification forte de l'utilisateur élimine également le faux sentiment de sécurité qu'un système d'autorisation sophistiqué mais protégé par mot de passe peut fournir.

La preuve d'identité qu'un utilisateur donnera sera basée sur l'un des facteurs suivants :

Connaissance : une information partagée entre l'utilisateur et le système, généralement un CODE PIN ou un mot de passe statique.

Propriété : objet physique, comme un badge ou une clé, spécifiquement attribué à l'utilisateur et qu'un périphérique système reconnaîtra.

Biométrie : caractéristique biologique mesurable de l'utilisateur, précédemment enregistrée sur le système, que l'utilisateur présentera à un dispositif « biométrique » spécifique, comme la voix, l'empreinte digitale, le balayage de la rétine, etc.

Les connaissances sont difficiles à contrôler, faciles à reproduire, souvent faciles à deviner ou à obtenir illégalement. Les utilisateurs peuvent oublier leur mot de passe, ce qui crée des coûts d'assistance. La propriété de l'objet peut être facile à reproduire ou peut être volée et la mise en œuvre d'une authentification basée sur la propriété conduit très souvent à des données statiques envoyées sur le réseau. En outre, l'entretien et le renouvellement de l'objet peuvent être coûteux. La biométrie est très coûteuse à mettre en œuvre et à déployer et la compatibilité avec les systèmes existants est extrêmement faible.

L'authentification signifie vérifier que les gens sont qui ils disent qu'ils sont, avant que vous puissiez leur faire confiance avec vos données sensibles et avant qu'ils puissent faire du mal à ces données. Fort signifie empêcher les gens de simuler l'identité d'autres utilisateurs.

Vous pouvez voir que l'authentification est considérablement renforcée en combinant au moins deux des facteurs d'authentification précédemment définis. C'est le système utilisé par les banques pour leur carte à puce e-portefeuille ou système de carte bancaire ATM. En combinant un NIP dont il faut se souvenir d'une carte que l'utilisateur autorisé possède, la barrière à l'accès non autorisé est beaucoup plus élevée, tandis que la facilité d'utilisation est maintenue.

Pour la sécurité d'accès à distance à un réseau d'entreprise ou une application bancaire sur Internet, par exemple, les appareils symboliques ou les cartes à puce combinent les deux facteurs de connaissance et de propriété. Un utilisateur doit donc posséder un jeton ou une carte à puce unique, et cet objet « intelligent » nécessite la connaissance d'un CODE pin pour être activé. En outre, ces objets contiennent des processeurs cryptographiques qui effectueront des fonctions complexes tout en communiquant avec le système de sécurité. Ces fonctions garantissent qu'un échange d'authentification ne peut pas être réutilisé ou rejoué sur le même système ou un autre.

Les certificats numériques, tels qu'ils sont utilisés dans les systèmes d'authentification basés sur PKI, sont des objets logiques qui apporteront au système de sécurité la preuve qu'une autorité de certificat a déjà authentifié l'utilisateur. La force de l'authentification basée sur PKI repose essentiellement sur la qualité et la sécurité du stockage et de la protection des certificats.

Les jetons sont la solution la plus portable pour une authentification utilisateur forte. Ils fonctionnent sans connexion et peuvent être utilisés dans tous les médias. Les cartes à puce ont une très bonne portabilité pour la carte à puce elle-même, mais elles sont limitées par la nécessité d'un lecteur de carte à puce et un logiciel client résidant sur un PC. PKI offre une faible portabilité pour les implémentations logicielles pures. Il est amélioré lorsque le certificat est hébergé dans un appareil amovible comme une carte à puce, mais ensuite vous obtenez les autres limitations associées aux cartes à puce. PKI nécessite également l'utilisation d'applications programmées pour PKI, tandis que les deux autres peuvent être utilisées comme remplacement de mots de passe statiques.

Le coût de possession des jetons dépend principalement de la fiabilité du matériel, des options d'achat et des fonctionnalités de gestion du NIP. Ces facteurs peuvent varier considérablement d'un fabricant à l'autre. Les cartes à puce souffrent du coût des lecteurs de cartes à puce, ainsi que de leur relative fragilité lorsqu'elles sont utilisées intensivement pour la connexion. Les coûts de l'ICP varient selon le type de certificats utilisés : l'utilisation de l'AC d'une entreprise pour construire des certificats n'a aucune comparaison avec l'achat de certificats auprès d'un CA public.

Un véritable défi pour toute méthode d'authentification est l'acceptation de l'utilisateur. C'est la clé d'une implémentation de sécurité réussie car si la méthode d'authentification crée trop de contraintes, ou empêche les utilisateurs de travailler en raison d'un manque de fiabilité, alors elle sera rejetée.

La meilleure méthode d'authentification devrait faire usage d'une propriété qu'un utilisateur considère comme une extension de lui-même, et ne serait jamais partager ou donner.

VASCO a constaté que le fait d'avoir des jetons personnalisés avec des couleurs ou des logos choisis par l'utilisateur renforce le sentiment de propriété qu'un utilisateur peut avoir comparé à l'utilisation d'un modèle neutre standard, et permet aux utilisateurs de choisir leur propre NIP que personne d'autre ne connaît, ainsi que de le changer quand ils le souhaitent, donne aux utilisateurs le sentiment que le jeton est le leur et pas le même que tout autre. Cela permet également d'éviter que le NIP ne soit écrit, puisque les utilisateurs sont libres d'utiliser leur propre NIP général, que les gens protègent beaucoup plus fortement que les mots de passe.