mardi 18 octobre 2016

Quand la confidentialité des échanges sert aussi les terroristes…

Par Frédéric Lefebvre
Ingénieur Avant-vente
Aujourd’hui, de nombreux médias cherchent à savoir comment communiquent les terroristes, et quels sont les moyens qu’ils mettent en œuvre pour faire transiter des informations sans éveiller les soupçons des autorités. Parmi les moyens privilégiés, il existe des applications de messagerie instantanées (comme Telegram) qui permettent de chiffrer les échanges entre 2 terminaux (smartphones, tablettes) et ainsi de communiquer discrètement sans possibilité de voir en clair les messages échangés.

Il s’agit là d’une notion clé en sécurité informatique : le chiffrement des données ou comment éviter qu’un message intercepté par une tierce personne puisse être lu.

Qu’est-ce que le chiffrement ?


Avant toute chose c’est la cryptographie qui est mise en œuvre pour sécuriser les échanges entre un ou plusieurs utilisateurs qui détiennent un secret (appelé clé de chiffrement). Cela garantit la confidentialité des données échangées : en cas d’interception du message par un tiers, il est illisible sans détention de la clé de chiffrement. Cet usage a rapidement été utilisé dans le domaine militaire et le grand public se l’approprie aujourd'hui, des hommes politiques jusqu’aux cellules terroristes.


Comment ça marche ?


Le chiffrement des messages repose sur un algorithme, plus ou moins robuste, et qui dépend notamment de la clé utilisée.

Il existe 2 types de chiffrements principaux :
  • symétrique : la même clé est utilisée pour chiffrer et déchiffrer. : Exemples,  : les algorithmes AES, 3DES… Ce type de chiffrement impose que l’émetteur et le récepteur soient en possession de la même clé.
  • asymétrique : une clé publique et une clé privée sont utilisées pour chiffrer et déchiffrer les messages. L’émetteur du message chiffre avec la clé publique du récepteur, tandis que le récepteur déchiffre avec sa clé privée. De même, si le récepteur renvoie un message à l’émetteur d’origine, chiffré avec sa clé publique, seul celui qui détient la clé privée pourra déchiffrer le message. L’algorithme RSA et les courbes elliptiques sont actuellement les plus connus et les plus utilisés dans ce type de chiffrement.

Par ailleurs, c’est la taille des clés qui conditionne la robustesse du mécanisme de chiffrement. Plus elle est grande, plus elle est réputée comme étant sûre. Aujourd’hui, il est préconisé de générer des clés de taille 2048 bits en RSA.

En plus du chiffrement, il est également possible de « saler » les messages, c’est-à-dire d’ajouter des éléments avant le chiffrement d’un message pour ne pas le faire transiter directement sans autre protection. Par exemple, en incluant une donnée externe, comme un décalage des lettres ou un code spécifique, on améliore la résistance du chiffrement et on perturbe d’autant plus une éventuelle interception du message en rendant son déchiffrement plus complexe.


A quoi ça sert ? Des usages variés légitimes ou non…


La tendance est à la surveillance des réseaux, qu’on le veuille ou non, qu’elle soit organisée par les états eux-mêmes ou par des ‘pirates’ du web. Le seul moyen de garantir la confidentialité de ses échanges est donc de chiffrer les messages, et de faire en sorte que seul l’utilisateur auquel est destiné le message puisse le lire.

Le rapport au terrorisme est évident : l’utilisation du chiffrement dans les applications de messagerie empêche l’interception et la visualisation des messages échangés. C’est ainsi que l’application Russe ‘Telegram’ a été utilisée par de nombreux terroristes pour communiquer en toute discrétion… Elle utilise des mécanismes de chiffrement robustes et des fonctionnalités de suppression automatique des messages après affichage sur l’écran, au bout d’un certain délai ou après une inactivité du compte.

Initialement, le chiffrement était plutôt prévu pour protéger le secret des affaires, les secrets industriels, ou ceux du domaine militaire.

Plus récemment, ce sont les hommes politiques qui se sont mis à utiliser ce système pour protéger leur vie privée et garder leurs correspondances secrètes… En effet, il n’est pas rare que la presse arrive à récupérer des échanges ou des informations qui n’auraient jamais dû être divulgués.

La polémique qui plonge Hilary Clinton au centre des attentions de la justice américaine en est une illustration. Suite à l’utilisation d’une messagerie personnelle (messages non chiffrés) à la place de sa messagerie professionnelle (messages chiffrés), certains messages de Mme Clinton auraient pu être interceptés sans difficulté. De même, son serveur de mail personnel ne semblait pas suffisamment protégé pour résister à une attaque. Des informations sensibles auraient même pu être échangées sans protection, ce qui aurait mis la vie de militaires en danger...

De nombreux usages justifient ainsi l’utilisation de cette technologie. L’application de messagerie évoquée ici simplifie les correspondances tout en protégeant la vie privée. A supposer que cette application soit interdite, d’autres mécanismes d’échanges chiffrés seraient toujours possibles.


Le grand public également concerné


De nombreuses applications déploient aujourd’hui des mécanismes de cryptographie pour garantir la sécurité des informations envoyées entre les utilisateurs.

Par exemple, l’application de messagerie WhatsApp chiffre les données échangées par ses utilisateurs, avant même qu’elles ne sortent de leur mobile. Ce service a été déployé sur toutes les plateformes disposant de l’application, et est généralisé depuis le printemps 2016. Les données qui transitent sont ainsi protégées des hackers et de toute interception des messages sur internet. On peut aisément comprendre que les utilisateurs n’ont pas envie de voir des photos ou autres données personnelles tomber entre de mauvaises mains à des fins d’usurpation d’identité, de chantage, etc.

Apple s’est également trouvé sous le feu des projecteurs en ce début d’année 2016, pour avoir refusé de fournir au FBI une méthode de déverrouillage d’un iPhone permettant de déchiffrer les données présentes sur le mobile. Le détenteur de ce smartphone était l’un des auteurs présumé de l’attentat de San Bernardino. Apple n’a pas cédé et n’a pas souhaité créer un logiciel permettant au FBI d’accéder à l’iPhone.

Créer un tel logiciel aurait ouvert une faille de sécurité énorme. D’autant qu’aucune garantie ne peut être apportée quant à son utilisation : si elle venait à tomber entre des mains malveillantes les conséquences pourraient être ingérables. De nombreux acteurs de la Silicon Valley (comme Google, Facebook…) ont ainsi apporté leur soutien à Apple dans cette affaire.



Interdire ou limiter l’usage de la cryptographie ?


Pour autant, est-il possible d’interdire la cryptographie ? Il n’est probablement pas envisageable d’interdire ou limiter ces mécanismes, qui sont à la base de la sécurité en informatique. Comme vu précédemment, l’usage et l’encadrement du chiffrement donnent régulièrement lieu à des débats.

Une chose est sûre : quelle que soit l’issue des discussions, il a toujours existé des moyens de communiquer de manière « secrète ». Le chiffrement est donc avant tout un moyen de préserver le secret des échanges, et de sécuriser des communications qui circulent librement sur Internet, et ce, sans aucune maîtrise.

Chacun peut avoir sa perception sur le sujet d’une surveillance permanente des e-mails et des messageries instantanées. Il n’en reste pas moins que, pour se prémunir de toute interception de ses messages et limiter les risques de fuite de données, il est nécessaire de les chiffrer et de s’authentifier.



De nouveaux usages à venir…


L’utilisation du chiffrement n’est pas prête de diminuer, bien au contraire. A l’heure où les objets connectés sont de plus en plus présents, la question de leur sécurisation est plus actuelle que jamais. Domotique, véhicules connectés, etc… il faut trouver les mécanismes permettant de garantir l’accès uniquement aux personnes autorisées et l’exécution des bonnes commandes.

Quelques exemples :
  • De nombreux piratages de panneaux indicateurs de places de parking communiquant en Wifi sans protection ont déjà été effectués dans toutes les villes de France.
  • Des centrales permettant de contrôler des alarmes ou volets non suffisamment protégés permettent à n’importe qui de prendre le contrôle d’un système et de le désactiver.
Face à ces dangers, la cryptographie apporte des réponses claires et éprouvées.


lundi 10 octobre 2016

FranceConnect, ou comment réconcilier les citoyens avec l’administration ?

Par Frédéric Lefebvre
Ingénieur Avant-vente
Jusqu’à très récemment, chacun de ces sites nécessitait la création d’un compte, et donc de gérer autant d’accès différents, avec pour chacun un identifiant et un mot de passe, qui bien souvent n’était pas le même (respect de la politique de sécurité de chaque site, etc.)

Venait s’ajouter à cela le temps passé à récupérer différents justificatifs auprès de différentes administrations (impôts, caisse d’assurance maladie, etc.) pour les renvoyer ensuite aux bons interlocuteurs… Bref, tout cela n’était pas très simple et certainement pas en phase avec les attentes des usagers.

Grâce à la mise en œuvre de FranceConnect, officiellement lancé en juin dernier, tout cela est en train d’évoluer.
Si chacun d’entre nous effectue très régulièrement des démarches administratives auprès de différents services publics, celles-ci se font de plus en plus à travers les sites internet des organisations sous-jacentes (Mairies, Assurance Maladie, Département, etc.).


FranceConnect, qu’est-ce que c’est ?


FranceConnect est une plateforme numérique qui a été imaginée par l’état Français pour mettre en place un système d’authentification unique et d’échange d’informations de manière sécurisée pour tous les services publics, via un mécanisme de fédération d’identités.
L’idée sous-jacente de ce nouveau service est de faciliter la vie des citoyens, notamment quand ils doivent effectuer des démarches en ligne auprès de différentes administrations. En effet, mettre fin à la création d’un compte dédié sur chaque site permet de gagner en efficacité, de limiter les oublis de mot de passe et d’utiliser une identité plus fiable.
Par ailleurs, chaque administration ayant en sa possession des documents relatifs à la situation de ses concitoyens (avis d’impôts, coefficient familial, etc.), l’échange d’informations entre les différents services publics en est simplifié.
FranceConnect est conçu pour recentrer les services de l’administration sur les besoins des utilisateurs et des entreprises.


Comment ça fonctionne ?


Cette plateforme permet d’utiliser une identité numérique unique existante pour se connecter à différents services publics en ligne, par l’intermédiaire d’un bouton d’authentification spécifique intitulé « FranceConnect ».
Il ne s’agit pas de créer un n-ième nouveau compte mais justement de réutiliser un compte existant, réputé fiable et ayant été référencé par FranceConnect, et provenant d’un « fournisseur d’identité » national. A ce jour, il existe 3 fournisseurs d’identités enregistrés par FranceConnect et disponibles de fait comme moyen de connexion : les Finances Publiques (impots.gouv.fr), L’assurance Maladie (ameli.fr), et La Poste.


Garantir l’identité pour créer les conditions d’une confiance réciproque


Pour être référencé comme fournisseur d’identité auprès de FranceConnect, il faut être en mesure de prouver que l’utilisateur qui se présente, est bien celui qu’il prétend être. Cela suppose donc que l’identité de l’usager ait été vérifiée. Par exemple, La Poste, qui propose la création d’une identité numérique à chacun d’entre nous, ne valide la création de cette identité numérique qu’après une vérification de l’identité de l’usager en face-à-face par un postier (sur présentation de sa carte nationale d’identité ou de son passeport). Une fois ce processus terminé, l’usager pourra utiliser cette identité numérique comme moyen de connexion à FranceConnect notamment


L’apport aux utilisateurs


L’un des objectifs de FranceConnect est de simplifier la relation des citoyens avec l’administration, et de faciliter les échanges d’informations entre administrations sans que l’utilisateur ait besoin de chercher des justificatifs ou de multiplier les points d’échanges.
Puisque les usages liés à un bouton de connexion sont déjà bien ancrés dans les habitudes des internautes (notamment à travers l’authentification sociale « Facebook Connect »), faire émerger de nouvelles habitudes pour le service public devrait être assez facile via ce « Facebook Connect Like ». D’autant que ce service d’authentification et d’échange d’information va réellement permettre aux usagers d’éviter de multiplier les créations de comptes sur chacun des services sollicités. Réaliser des démarches en ligne deviendra alors une opération triviale et rapide.
Pour reprendre l’exemple précédent, il suffira qu’une mairie qui a mis en place une authentification FranceConnect demande à un usager souhaitant inscrire ses enfants à une cantine scolaire de valider l’accès aux données du coefficient familial pour calculer automatiquement les prix des repas.
Bien entendu, pour que le service prenne, il faudra un peu de pédagogie et surtout développer de nouveaux usages auprès des collectivités.


Ilex accompagne les collectivités et FranceConnect


Ilex International, spécialiste de la gestion des Identités et des Accès, s’implique aux côté de FranceConnect en tant qu’éditeur partenaire, et a d’ores et déjà intégré les mécanismes d’authentification FranceConnect pour permettre aux collectivités de déployer un portail proposant différents services aux citoyens et à leurs prestataires.


Extension à de nouveaux services et usages


FranceConnect s’inscrit dans une logique de simplification et d’harmonisation à l’échelle européenne, en appliquant les recommandations de la directive européenne eIDAS (Electronic Identification and Signature), qui propose de créer les conditions d’un espace de confiance Européen. La France va ainsi permettre le développement de services numériques interopérables avec des systèmes d’identification utilisés par les autres Etats membres et compatibles eIDAS.
Un citoyen européen doit ainsi être capable à terme, de réaliser n’importe quelle démarche dans un état européen, grâce au compte unique qu’il détient.
Le standard eIDAS fournit également un référentiel du niveau d’authentification requis pour accéder à un service. En fonction de l’identité connectée et du moyen d’authentification utilisé, l’accès à un service pourra être ou non autorisé (eIDAS définit 3 niveaux d’authentification différents).
A terme, il est également certain que le nombre de fournisseurs d’identités et de services va s’étoffer grandement et venir renforcer l’attractivité de ce service. Une banque, un opérateur de téléphonie, ou toute autre société ayant une large couverture nationale permettant de vérifier l’identité des personnes physiques pourrait proposer de devenir fournisseur d’identité, fournisseur de service, ou fournisseur de données.
FranceConnect ouvre ainsi la voie de la simplification, et devrait engendrer un engouement grâce aux nombreux services qui sont appelés à se développer.


Sources :

jeudi 2 juin 2016

Et si on se passait des mots de passe ?

Par Frédéric Lefebvre
Ingénieur Avant-Vente
À l’heure où la cybercriminalité ne cesse d’augmenter et alors que le vol de mots de passe est devenu monnaie courante, ne serait-il pas plus judicieux d’abandonner la notion même de mot de passe ?

Les utilisateurs ne savent plus comment mémoriser leurs multiples combinaisons de chiffres et lettres pour respecter des politiques de plus en plus complexes… Ils sont alors régulièrement confrontés à la frustration de ne plus pouvoir accéder à leurs comptes…  de perdre 5 à 10 minutes à chaque fois pour réinitialiser leurs accès.

Plusieurs questions viennent donc à l’esprit : comment gérer cet afflux de mots de passe qui rythme notre quotidien personnel et professionnel ? Existe-t-il des solutions alternatives ? Comment être sûr de bien protéger ses données ?

Trop de mots de passe nous dépassent ?


Le cerveau humain ayant une capacité limitée à mémoriser autant de données complexes, il convient de proposer des solutions alternatives. On constate d’ailleurs que 50% des internautes utilisent des mots de passe identiques pour tous leurs comptes ou encore que les 10 mots de passe les plus courants ouvriraient les portes de 14% des comptes.

En effet, quelle que soit la complexité de la politique de mot de passe mise en place, il y aura fatalement des oublis, des mots de passes notés sur un post-it fixé à l’écran ou stockés dans un fichier texte sur le bureau… Les internautes français utilisent en moyenne 9 fois par an la fonction « mot de passe oublié ». Plus la complexité augmente, et plus les oublis seront fréquents ! Renouveler son mot de passe tous les 3 mois augmente mécaniquement le besoin de réinitialiser son compte, sans parler de la perte de temps engendrée, de la diminution du taux de conversion d’un panier en commande et des besoins en helpdesk…

Cependant, si on laisse le libre choix aux individus, ils utilisent des mots de passe simples et peu sécurisés : les pirates accéderont en quelques minutes à leurs comptes à l’aide de logiciels en accès libre sur internet (via les attaques brute force notamment).
Tous les éléments évoqués précédemment tendent donc à confirmer qu’il faut remplacer la notion de mot de passe et simplifier l’authentification sans pour autant négliger l’ergonomie et la sécurité.

Quelques exemples concrets de moyens d’authentification simples et rapides SANS mot de passe


L’identification RFID (puce sans contact) 


Il s’agit de présenter son support (carte RFID, montre RFID,…)  à un lecteur pour accéder à une zone protégée.

Dans le cadre professionnel, cette technologie est largement déployée pour contrôler l’accès à un ordinateur, notamment dans les centres hospitaliers ou encore le secteur du retail. Elle permet d’offrir un réel confort aux salariés, souvent amenés à se connecter de nombreuses fois par jour à leur session de travail. C’est également le moyen le plus simple et le plus rapide aujourd’hui pour partager efficacement un poste de travail entre plusieurs employés.
Attention en revanche, si l’ergonomie est au rendez-vous, l’inconvénient majeur de cette méthode réside dans la sécurité même de la technologie, facilement piratable pour les applications utilisant le numéro de série public. La perte du support est également problématique.

Ce qu’il faut retenir : c’est une solution pratique, dont le coût de déploiement est relativement modeste, mais peu sécurisée. Elle n’est pas adaptée pour accéder à des données sensibles.


L’authentification par carte à puce ou Token USB


Il s’agit de coupler un support (carte, clé USB) à la saisie d’un code PIN de 4 ou 6 chiffres pour autoriser l’accès au certificat numérique présent sur la puce.

C’est le moyen d’authentification à privilégier quand on désire protéger de manière efficace l’accès à des informations sensibles (SI d’entreprise, accès à un site internet). En effet, il est très difficile (voire impossible) de pirater un certificat et de le faire transiter sur un autre support. C’est le choix qu’a fait Google notamment en proposant une clé USB cryptographique embarquant une puce pour sécuriser l’accès à ses différents services web (drive, mail, etc.).

Ce qu’il faut retenir : la solution est sécurisée mais le coût d’équipement peut s’avérer élevé en cas de déploiement à grande échelle. La clé USB n’est pas une solution tout terrain et peut être un frein en situation de mobilité. 


L’authentification par notification sur smartphone (OTP sur Mobiles)


Il est de plus en plus fréquent sur Internet de devoir prouver son identité à travers un double mécanisme d’authentification. Cela peut prendre différentes formes, dont l’envoi de SMS ou encore l’envoi d’une notification mobile. On parle ainsi d’OTP mobiles (code à usage unique « One Time Password »).

L’avantage du SMS réside en sa faculté à être universel et bien ancré dans les usages quotidiens. En revanche, son coût peut vite grimper en cas d’usage massif. Une alternative intéressante est donc l’utilisation du mode PUSH sur smartphone : l’utilisateur reçoit  son code via une notification qui s’affiche directement sur son écran d’accueil.
Contrairement au SMS, le mode PUSH utilise le réseau 3G/4G ou wifi, ce qui réduit considérablement les coûts. Ce mode d’authentification commence à se démocratiser, notamment auprès des jeunes dont l’usage du smartphone est intensif.
Ainsi, il peut être intéressant pour une banque, une assurance, de déployer ce type d’authentification pour accéder à leurs applications web ou mobile, les jeunes étant de plus en plus nombreux à gérer leurs comptes exclusivement à distance.

Ce qu’il faut retenir : une solution alliant sécurité et ergonomie, adaptée à une cible mobile et connectée. Attention aux SMS, dont le coût peut vite être rédhibitoire.


L’authentification par biométrie


La biométrie consiste à identifier ou authentifier une personne en se basant sur ses caractéristiques physiques (morphologiques). Cette technologie s’ancre progressivement dans les usages et la reconnaissance par empreinte digitale se démocratise.
Le gain est réel et notable : le temps d’ouverture de session diminue sensiblement et il n’existe plus de risque de perte de mot de passe.
Cette méthode comporte tout de même quelques désavantages, notamment si l’empreinte digitale est altérée via la pratique d’une activité manuelle comme le bricolage par exemple ; il existe un risque de ne plus être reconnu lors de l’authentification. Les lecteurs de réseaux veineux peuvent être une bonne alternative pour pallier ce problème.

Preuve de la démocratisation de la biométrie pour le grand public, sa prise en charge native par de plus en plus d’équipements informatiques, et notamment les terminaux multimédias récents. Apple, par exemple, a intégré un capteur d’empreinte digitale « Touch ID » à ses derniers appareils afin de permettre à ses clients d’accéder rapidement et confortablement à leurs applications préférées.

Côté professionnel, la biométrie sera plutôt réservée aux secteurs sensibles, nécessitant une double authentification pour protéger des données confidentielles, comme le secteur bancaire, les assurances ou les départements R&D manipulant des brevets ou autres données sensibles par exemple.

Ce qu’il faut retenir : le coût important des technologies biométriques a longtemps freiné leur développement mais ce n’est plus le cas aujourd’hui. C’est un moyen d’authentification peu onéreux et facile d’utilisation pour les populations équipées de terminaux multimédias récents. Il faut cependant veiller à respecter le cadre imposé par la CNIL : stocker des empreintes ou toutes autres données biométriques dans une base centralisée est interdit. Le stockage doit être local au périphérique utilisé.

L’authentification par Fédération d’identité (mécanismes de Web SSO)


Pour s’affranchir de réauthentifier des utilisateurs, des mécanismes de récupération de l’identité d’un utilisateur déjà identifié sur un site peuvent être mis en place.
Il s’agit de faire transiter l’identité de la personne, de site en site, (applications SaaS, web) en mettant en œuvre des protocoles d’échanges de données (SAML, Oauth, OpenID,…) après avoir mis en place un « contrat » avec le Tiers qui fournira l’identité de la personne.

L’avènement des standards d’échange d’informations respectant les normes de fédération d’identité (SAML, Oauth, etc.) rend de plus en plus simple et rapide l’utilisation de l’identité d’une personne connue sur un autre site que le sien.

Ce qu’il faut retenir : le préalable pour mettre en place ces mécanismes de fédération d’identité est bien entendu d’avoir un fournisseur d’identité sérieux et qui possède des mécanismes d’authentification robustes. C’est nécessairement une voie qu’il convient d’explorer pour tous les éditeurs de sites à destination du grand public.


Confort utilisateur et sécurité renforcée : le duo gagnant


Les moyens d’authentifications sont nombreux et correspondent à des cinématiques très différentes. Selon le secteur d’activité (Banque ; Assurance ; VPC ; Collectivité ; Service Public…), les usages changent et les besoins ne sont pas les mêmes… sécurité, ergonomie, performance, etc.
Afin de faire le bon choix, une nécessité : connaître l’utilisateur.

Une chose est sûre : le développement fulgurant de services Web amène logiquement l’utilisateur à avoir de plus en plus de comptes différents. Les règles de sécurité finissent par être impossibles à gérer pour le commun des usagers et engendrent des frais pour la gestion du remplacement des mots de passe (courriers, helpdesk, mécanismes d’authentification des usagers, etc.), sans compter le temps perdu et l’énervement des internautes.

Ainsi, avec des moyens d’authentification optimisés et un système de SSO (fédération) adapté, l’authentification se fait sans mot de passe, de manière sécurisée, unique et rapide.

mardi 5 avril 2016

Les applications mobiles : l’innovation ne doit pas se faire au détriment de la sécurité !

Par Laurent Gautier, Président 
A l’heure où le nombre d’utilisateurs de périphériques mobiles ne cesse de progresser (plus de 2 milliards à travers le monde), aucune entreprise ne peut aujourd’hui nier que la mobilité est un vecteur de croissance considérable. Preuve en est, les applications mobiles fleurissent quotidiennement, il y a une application pour tout, et nous les utilisons tous de façon quasi-naturelle, que cela soit dans le domaine professionnel ou personnel.

Plus portées par les enjeux économiques que sécuritaires, les entreprises font trop souvent passer l’innovation, la facilité d’utilisation et les exigences des consommateurs avant les règles de base en matière de sécurité. Pourtant lorsque les vulnérabilités des applications mobiles sont exploitées, les fuites de données critiques peuvent coûter très cher à l’entreprise.

Une étude récente menée de façon indépendante par la société Wegilant sur les 100 plus grandes banques en Inde et dans la région Asie-Pacifique a montré que dans plus de 70% des cas les versions mobiles de leurs applications bancaires sous Android étaient vulnérables aux attaques et aux fuites de données.

Les pirates informatiques ont bien compris que ces applications sont des cibles idéales, vu qu’elles regorgent de données personnelles et confidentielles précieuses.

Les menaces les plus fréquentes pour les applications mobiles :

  • Vol de données stockées sur le mobile (contacts personnels, fichiers, courriers électroniques, etc.)
  • Fuites de données : une application mal codée peut entraîner la fuite et le vol d’informations sensibles non chiffrées stockées dans les logs, le cache, etc.
  • Rupture du canal secret : une application malicieuse espionne une application normale en la forçant à soumettre ses données sensibles à un faux serveur. L’interception des données échangées permet de les utiliser à des fins malveillantes.
  • Informations sensibles en dur dans le code : la décompilation de l’application révèle des informations sensibles voire des comptes d’accès à des serveurs.
  • le Clickjacking sur environnement mobile : bien connu sur le web, la technique consiste à imiter une interface utilisateur afin de le mettre en confiance et de le pousser à fournir des informations confidentielles.
  • Injection SQL : cette faille est un grand classique qui sévit aussi sur les applications mobiles amenant souvent à des vulnérabilités critiques.
  • Wifi public : les points d’accès public sont des zones de danger et peuvent exposer vos données sensibles sur le réseau si elles ne sont pas correctement sécurisées.


Afin de limiter les risques, quelques bonnes pratiques peuvent être appliquées : 

  • Ne pas stocker de données sur le mobile afin d’éviter de les exposer en cas de vol de l’appareil, ou de téléchargement d’application malveillante. Le stockage d’informations sensibles est un point clé de la sécurité d’une application mobile. Si le stockage d’informations sensibles est absolument nécessaire, les données doivent être chiffrées. Le type de solution de chiffrement à utiliser dépend du type d’informations sensibles à stocker sur l’équipement (conteneur sécurisé de l’équipement, conteneur de chiffrement tiers, etc.). Il ne faut stocker d'informations sensibles ni dans les logs de l’application,  ni  dans les caches (requêtes http), ni dans les bases de données locales (SQLLite), ni bien entendu dans le code de l’application.
  • Restreindre les permissions de l’application au strict nécessaire afin de limiter les impacts en cas d’attaque. Les permissions sensibles (envoi de SMS, positionnement GPS…) doivent être examinées avec attention.
  • Sécuriser les transactions sur le réseau, notamment les échanges entre l’application et son serveur. Les données qui transitent entre le serveur et le mobile sont souvent sensibles (données métiers, données personnelles). Il faut s’assurer qu’une gestion rigoureuse des accès et des droits de l’utilisateur soit effectuée côté serveur. Toutes les communications doivent être chiffrées car il n’est pas rare de se connecter à des réseaux non sûrs (wifi public).
  • Utiliser des moyens cryptographiques existants, sûrs et robustes, et en aucun cas ses propres algorithmes de cryptographie. Lors de chiffrement de flux au moyen d’un certificat (par exemple, pour du HTTPS), il est primordial de vérifier la validité du certificat du serveur  (date de fin de validité, pas de certificat auto-signé, autorité de certification reconnue, etc.).
  • Chiffrer l’application avant de la distribuer via les stores.
 

L’innovation ne doit pas prendre le pas sur la sécurité ! 

Les applications mobiles peuvent être de véritables passoires et pourtant elles sont de plus en plus utilisées dans des domaines où l’exigence de sécurité est primordiale (applications bancaires, e-commerce, e-administration, etc.). Par souci de productivité, leur développement est souvent confié à des sociétés tierces, qui manquent d’expertise en matière de sécurité et qui produisent des applications mobiles à la chaîne sans mettre en œuvre les protocoles nécessaires. Toutes les applications, aussi innovantes soient-elles, doivent être produites en tenant compte de la sécurité, et ce dès le lancement du projet. Des technologies de sécurité existantes peuvent être intégrées afin de limiter les risques. La collaboration des différents acteurs de l’industrie est impérative pour faire face aux menaces qui pèsent sur l’environnement mobile. Les entreprises doivent s’assurer que les applications mobiles qu’elles utilisent sont correctement sécurisées, à la fois au niveau serveur et client, avant d’autoriser leur usage. Dans un contexte où la concurrence est rude, les entreprises qui tirent leurs épingles du jeu sont celles qui comprennent que transformation digitale et sécurité sont étroitement liées !

jeudi 3 mars 2016

DROWN : une attaque contre SSL/TLS qui aurait dû être évitée

par Benoît Villa, Ingénieur R&D - Gestion des accès

Un peu d’histoire…


Dans les années 1990, Netscape édite un navigateur qui a le vent en poupe « Netscape Navigator ». En parallèle, l’entreprise pionnière du web écrit les spécifications d’un protocole permettant d’assurer la sécurité des informations échangées entre un logiciel client, un navigateur web par exemple, et un serveur, donnant ainsi naissance à la famille SSL.

Les spécifications du protocole SSLv2 sont ainsi publiées en février 1995, suivies en 1996 des spécifications du protocole SSLv3, améliorant la sécurité de son prédécesseur. Ces protocoles fêtent cette année leurs 21ème et 20ème anniversaires, un âge bien avancé dans le domaine de la sécurité informatique !

SSL : des protocoles dépassés à bannir !


Au cours des dernières années, de sérieux défauts de conception ont été découverts. L’utilisation d’algorithmes faibles (signature, chiffrement, chaînage), la non protection à l’initialisation, renégociation ou reprise de session contre les attaques de « l’homme du milieu », l’utilisation d’une unique clé pour assurer l’intégrité et la confidentialité des échanges sont quelques exemples de failles qui peuvent conduire à une réelle dégradation du niveau de sécurité.

Parallèlement, les attaques contre les protocoles SSL et leurs implémentations (OpenSSL, NSS, SChannel, …) se sont fortement perfectionnées et intensifiées : attaque de la renégociation, BEAST, BREACH, CRIME, FREZE, Ghost, Heartbleed, Logjam, POODLE, … la liste est longue !

En réaction à cette situation à risque, l’Internet Engineering Task Force (IETF), qui regroupe de grands noms de l’informatique, a publié deux RFC pour bannir l’utilisation de SSLv2 (RFC 6176, publiée en Mars 2011. Cf. https://tools.ietf.org/html/rfc6176) et SSLv3 (RFC 7568, publiée en Juin 2015. Cf. https://tools.ietf.org/html/rfc7568).

En 2012, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) réagit également en indiquant dans une de ses publications que « La version SSLv2 est dangereuse et ne doit pas être employée » (Cf. http://www.ssi.gouv.fr/uploads/IMG/pdf/SSL_TLS_etat_des_lieux_et_recommandations.pdf).

Quid de DROWN ?


En ce début de mars 2016, une nouvelle attaque contre SSLv2 secoue le monde du web et fait la une des médias : DROWN. En résumé, si un ancien serveur continue à proposer des connexions en SSLv2 (notamment pour maintenir la compatibilité avec d’anciens logiciels), il est possible via cette attaque de déchiffrer les données échangées dans le canal protégé par SSLv2.
De plus, si la clé privée est réutilisée sur d’autres serveurs ne proposant que des protocoles sécurisés récents comme TLS 1.2, l’attaque peut également avoir lieu sur les communications TLS 1.2 de ces serveurs.

Cette faille est conséquente puisque les chercheurs à l’origine de sa découverte indiquent qu’environ 33% des sites web sont vulnérables à cette attaque (Cf. https://drownattack.com/).

Que faire pour s’en prémunir ?


Le meilleur conseil qu’on puisse donner est de suivre les recommandations de l’ANSSI et l’IETF, en supprimant tout simplement le support des protocoles faibles tels que SSLv2 et SSLv3. Il faudra alors s’assurer de mettre à jour les logiciels incompatibles.

Chez Ilex International nous avons fait le choix de supprimer le support des protocoles SSLv2 et SSLv3 dans les dernières versions de nos logiciels. Sign&go, notre solution de gestion des accès, utilise désormais le protocole TLS 1.2 (ou TLS 1.1/TLS 1 en repli).

Cette dernière faille DROWN illustre bien la veille technologique permanente qu’il est nécessaire de réaliser dans le domaine de la sécurité informatique et de la cryptographie pour assurer une sécurité maximale au regard de l’état de l’art. Elle démontre également qu’entreprises de toutes tailles et particuliers doivent continuellement s’assurer de la bonne installation des mises à jour logicielles afin de protéger leurs données.

mardi 8 décembre 2015

Contrôle d’accès & Single Sign-On : une approche nécessairement globale

Par Olivier Morel
Directeur Avant-Vente

Panorama des solutions de SSO

Le marché du Single Sign-On (authentification unique, ou « SSO ») est traditionnellement divisé en 4 catégories de solutions.

L’Enterprise SSO ou eSSO

Le eSSO est généralement mis en œuvre en interne dans l’entreprise à des fins de confort utilisateur. Il nécessite le déploiement d’un (ou plusieurs) composant(s) sur les postes de travail reliés au système d’information et consiste à injecter - à la place des utilisateurs - des accréditations secondaires (couples identifiant/mot de passe des utilisateurs pour les applications visées) dans des fenêtres applicatives qui ont été au préalable enrôlées. L’avantage de cette catégorie de SSO est de pouvoir couvrir facilement tout type d’applications (client lourd, web, virtualisée, mainframe, etc.) ; l’inconvénient est qu’il faut maîtriser tous les postes de travail sur lesquels on veut déployer ce SSO.

Le Web Access Management (ou WAM, ou Web SSO)

Le WAM s'inscrit dans des architectures 100% web, de type portails extranet/intranet par exemple. Il ne couvre par conséquent que des applications web, mais permet en général de garantir plus de sécurité que le eSSO, via la mise en place de règles de contrôle d'accès avancées notamment. Il n'est pas intrusif sur les postes de travail. En revanche il peut l'être sur les applications, sauf s’il est déployé dans des composants de type reverse/proxy en frontal des applications web à protéger.

La Fédération d'identité

Dans une approche purement technique, la fédération d'identité peut être considérée comme un moyen d’opérer une action de Web SSO en utilisant les protocoles standards associés du marché : SAMLv2, OAuth2, OpenID Connect, WS-Federation... Dans une logique métier, ou ‘business’, elle permet d'échanger en toute sécurité des informations d'authentification et d'habilitations entre entités juridiques différentes : certaines sont des fournisseurs d’identités (Identity Provider) tandis que d’autres sont des fournisseurs de services (Service Provider). La fédération offre ainsi aux utilisateurs de ces entités une expérience d'authentification unique et sécurisée entre domaines web différents. De plus elle permet bien souvent de s’affranchir de la gestion des identités de ses partenaires.

Le Mobile SSO

Le Mobile SSO permet de fournir des fonctionnalités de SSO (eSSO, WAM, Fédération) sur les périphériques mobiles (smartphones, tablettes), et ainsi de sécuriser les accès aux applications du système d'information depuis ces périphériques. Ce marché est encore assez récent car il est lié à l'explosion de la mobilité. Pour le moment, il repose majoritairement sur des solutions de type « développements spécifiques », car rares sont les solutions du marché qui couvrent ce domaine.
Toutes ces catégories de solutions sont généralement couplées, plus ou moins finement, à des technologies d’authentification forte et fournissent des fonctionnalités de contrôle d’accès logique. Elles s’appuient sur des référentiels d’identités et assurent l’audit et la traçabilité des authentifications et des habilitations.

Le risque majeur : une solution de SSO par cas d’usage

Forts de ce panorama des différentes solutions de SSO, considérons à présent un système d’information lambda pour lequel on souhaite déployer des fonctions d’authentification forte, de Single Sign-On et d’audit des accès des utilisateurs aux applications de ce SI. Les motivations peuvent  être nombreuses et variées : elles découlent notamment des enjeux de confort utilisateur ou de sécurité visés pour le SI.
Dans ce SI, il est très probable que l’on trouve de tout :
  • des applications internes ou externes (en SaaS, Cloud…), maîtrisées ou non, de différentes technologies (web, client lourd, virtualisées, mainframe...) et plus ou moins critiques
  • des utilisateurs internes ou externes, travaillant sur un PC, maîtrisé ou non, ou sur d’autres types de supports (clients légers, périphériques mobiles…), certains ayant besoin d’authentification forte, d’autres non, etc.


Donc à plus ou moins long terme, on aura immanquablement besoin des fonctionnalités de eSSO, de Web Access Management, de Fédération d’identité et de Mobile SSO : soit de toutes les catégories de SSO décrites précédemment, sur des périmètres plus ou moins différents, mais pour le même système d’information.

Evidemment le déploiement de ces fonctionnalités se fera par étapes et potentiellement sur plusieurs années, selon les priorités de l’entreprise. Mais le fait est que, au bout d’un certain temps, on pourra facilement se retrouver dans la situation suivante - et c’est malheureusement le cas de très nombreuses organisations - avec par exemple :
  • une solution de eSSO déployée en interne sur les postes des utilisateurs du SI, afin de leur apporter le confort d’une authentification unique et de les rendre autonomes sur les opérations de réinitialisation de mots de passe.
  • une solution de Web Access Management protégeant des applications web, déployée dans une logique d’intranet et/ou d’extranet
  • une solution de fédération d’identité dédiée à des échanges B2B avec ses partenaires, ou utilisée pour améliorer l’expérience utilisateur pour les accès aux applications externes, de type O365, GoogleApps, ou SalesForce notamment
  • une solution de Mobile SSO pour sécuriser les accès au SI depuis des périphériques mobiles et maîtriser ainsi les effets du BYOD


Chacune de ces solutions repose peut être sur un progiciel du marché, une brique open source ou une solution maison réalisée en développement spécifique. Mais au final, on risque fort de se retrouver à administrer, maintenir, exploiter, superviser, auditer… 4 solutions différentes, qui adressent pourtant des besoins similaires, bien que pour des usages différents !

Le Global SSO : SSO nouvelle génération

Et pourtant,  il est possible d’éviter une telle situation !

Avec une seule et même solution qui adresserait toutes ces fonctions, on n’aurait plus qu’une seule infrastructure commune à exploiter et à superviser, plus qu’une seule interface d’administration pour configurer tous les usages SSO, plus qu’un seul point d’audit fournissant la traçabilité de tous les accès à toutes les applications pour tous les utilisateurs, et ainsi une vision 360° de tous les accès au SI...

Cette solution existe, c’est le Global SSO !

Alors avant de se lancer dans un projet de SSO, quel qu’il soit, il faut penser « mutualisation » et « urbanisation du SI ». Une solution de Global SSO peut à la fois couvrir vos besoins à court terme - et vous n’investirez que sur ce dont vous aurez besoin - mais également vous laisser la capacité d’adresser vos autres besoins en matière de SSO à moyen et long termes, le tout via une démarche évolutive et itérative.