jeudi 2 juin 2016

Et si on se passait des mots de passe ?

Par Frédéric Lefebvre
Ingénieur Avant-Vente
À l’heure où la cybercriminalité ne cesse d’augmenter et alors que le vol de mots de passe est devenu monnaie courante, ne serait-il pas plus judicieux d’abandonner la notion même de mot de passe ?

Les utilisateurs ne savent plus comment mémoriser leurs multiples combinaisons de chiffres et lettres pour respecter des politiques de plus en plus complexes… Ils sont alors régulièrement confrontés à la frustration de ne plus pouvoir accéder à leurs comptes…  de perdre 5 à 10 minutes à chaque fois pour réinitialiser leurs accès.

Plusieurs questions viennent donc à l’esprit : comment gérer cet afflux de mots de passe qui rythme notre quotidien personnel et professionnel ? Existe-t-il des solutions alternatives ? Comment être sûr de bien protéger ses données ?

Trop de mots de passe nous dépassent ?


Le cerveau humain ayant une capacité limitée à mémoriser autant de données complexes, il convient de proposer des solutions alternatives. On constate d’ailleurs que 50% des internautes utilisent des mots de passe identiques pour tous leurs comptes ou encore que les 10 mots de passe les plus courants ouvriraient les portes de 14% des comptes.

En effet, quelle que soit la complexité de la politique de mot de passe mise en place, il y aura fatalement des oublis, des mots de passes notés sur un post-it fixé à l’écran ou stockés dans un fichier texte sur le bureau… Les internautes français utilisent en moyenne 9 fois par an la fonction « mot de passe oublié ». Plus la complexité augmente, et plus les oublis seront fréquents ! Renouveler son mot de passe tous les 3 mois augmente mécaniquement le besoin de réinitialiser son compte, sans parler de la perte de temps engendrée, de la diminution du taux de conversion d’un panier en commande et des besoins en helpdesk…

Cependant, si on laisse le libre choix aux individus, ils utilisent des mots de passe simples et peu sécurisés : les pirates accéderont en quelques minutes à leurs comptes à l’aide de logiciels en accès libre sur internet (via les attaques brute force notamment).
Tous les éléments évoqués précédemment tendent donc à confirmer qu’il faut remplacer la notion de mot de passe et simplifier l’authentification sans pour autant négliger l’ergonomie et la sécurité.

Quelques exemples concrets de moyens d’authentification simples et rapides SANS mot de passe


L’identification RFID (puce sans contact) 


Il s’agit de présenter son support (carte RFID, montre RFID,…)  à un lecteur pour accéder à une zone protégée.

Dans le cadre professionnel, cette technologie est largement déployée pour contrôler l’accès à un ordinateur, notamment dans les centres hospitaliers ou encore le secteur du retail. Elle permet d’offrir un réel confort aux salariés, souvent amenés à se connecter de nombreuses fois par jour à leur session de travail. C’est également le moyen le plus simple et le plus rapide aujourd’hui pour partager efficacement un poste de travail entre plusieurs employés.
Attention en revanche, si l’ergonomie est au rendez-vous, l’inconvénient majeur de cette méthode réside dans la sécurité même de la technologie, facilement piratable pour les applications utilisant le numéro de série public. La perte du support est également problématique.

Ce qu’il faut retenir : c’est une solution pratique, dont le coût de déploiement est relativement modeste, mais peu sécurisée. Elle n’est pas adaptée pour accéder à des données sensibles.


L’authentification par carte à puce ou Token USB


Il s’agit de coupler un support (carte, clé USB) à la saisie d’un code PIN de 4 ou 6 chiffres pour autoriser l’accès au certificat numérique présent sur la puce.

C’est le moyen d’authentification à privilégier quand on désire protéger de manière efficace l’accès à des informations sensibles (SI d’entreprise, accès à un site internet). En effet, il est très difficile (voire impossible) de pirater un certificat et de le faire transiter sur un autre support. C’est le choix qu’a fait Google notamment en proposant une clé USB cryptographique embarquant une puce pour sécuriser l’accès à ses différents services web (drive, mail, etc.).

Ce qu’il faut retenir : la solution est sécurisée mais le coût d’équipement peut s’avérer élevé en cas de déploiement à grande échelle. La clé USB n’est pas une solution tout terrain et peut être un frein en situation de mobilité. 


L’authentification par notification sur smartphone (OTP sur Mobiles)


Il est de plus en plus fréquent sur Internet de devoir prouver son identité à travers un double mécanisme d’authentification. Cela peut prendre différentes formes, dont l’envoi de SMS ou encore l’envoi d’une notification mobile. On parle ainsi d’OTP mobiles (code à usage unique « One Time Password »).

L’avantage du SMS réside en sa faculté à être universel et bien ancré dans les usages quotidiens. En revanche, son coût peut vite grimper en cas d’usage massif. Une alternative intéressante est donc l’utilisation du mode PUSH sur smartphone : l’utilisateur reçoit  son code via une notification qui s’affiche directement sur son écran d’accueil.
Contrairement au SMS, le mode PUSH utilise le réseau 3G/4G ou wifi, ce qui réduit considérablement les coûts. Ce mode d’authentification commence à se démocratiser, notamment auprès des jeunes dont l’usage du smartphone est intensif.
Ainsi, il peut être intéressant pour une banque, une assurance, de déployer ce type d’authentification pour accéder à leurs applications web ou mobile, les jeunes étant de plus en plus nombreux à gérer leurs comptes exclusivement à distance.

Ce qu’il faut retenir : une solution alliant sécurité et ergonomie, adaptée à une cible mobile et connectée. Attention aux SMS, dont le coût peut vite être rédhibitoire.


L’authentification par biométrie


La biométrie consiste à identifier ou authentifier une personne en se basant sur ses caractéristiques physiques (morphologiques). Cette technologie s’ancre progressivement dans les usages et la reconnaissance par empreinte digitale se démocratise.
Le gain est réel et notable : le temps d’ouverture de session diminue sensiblement et il n’existe plus de risque de perte de mot de passe.
Cette méthode comporte tout de même quelques désavantages, notamment si l’empreinte digitale est altérée via la pratique d’une activité manuelle comme le bricolage par exemple ; il existe un risque de ne plus être reconnu lors de l’authentification. Les lecteurs de réseaux veineux peuvent être une bonne alternative pour pallier ce problème.

Preuve de la démocratisation de la biométrie pour le grand public, sa prise en charge native par de plus en plus d’équipements informatiques, et notamment les terminaux multimédias récents. Apple, par exemple, a intégré un capteur d’empreinte digitale « Touch ID » à ses derniers appareils afin de permettre à ses clients d’accéder rapidement et confortablement à leurs applications préférées.

Côté professionnel, la biométrie sera plutôt réservée aux secteurs sensibles, nécessitant une double authentification pour protéger des données confidentielles, comme le secteur bancaire, les assurances ou les départements R&D manipulant des brevets ou autres données sensibles par exemple.

Ce qu’il faut retenir : le coût important des technologies biométriques a longtemps freiné leur développement mais ce n’est plus le cas aujourd’hui. C’est un moyen d’authentification peu onéreux et facile d’utilisation pour les populations équipées de terminaux multimédias récents. Il faut cependant veiller à respecter le cadre imposé par la CNIL : stocker des empreintes ou toutes autres données biométriques dans une base centralisée est interdit. Le stockage doit être local au périphérique utilisé.

L’authentification par Fédération d’identité (mécanismes de Web SSO)


Pour s’affranchir de réauthentifier des utilisateurs, des mécanismes de récupération de l’identité d’un utilisateur déjà identifié sur un site peuvent être mis en place.
Il s’agit de faire transiter l’identité de la personne, de site en site, (applications SaaS, web) en mettant en œuvre des protocoles d’échanges de données (SAML, Oauth, OpenID,…) après avoir mis en place un « contrat » avec le Tiers qui fournira l’identité de la personne.

L’avènement des standards d’échange d’informations respectant les normes de fédération d’identité (SAML, Oauth, etc.) rend de plus en plus simple et rapide l’utilisation de l’identité d’une personne connue sur un autre site que le sien.

Ce qu’il faut retenir : le préalable pour mettre en place ces mécanismes de fédération d’identité est bien entendu d’avoir un fournisseur d’identité sérieux et qui possède des mécanismes d’authentification robustes. C’est nécessairement une voie qu’il convient d’explorer pour tous les éditeurs de sites à destination du grand public.


Confort utilisateur et sécurité renforcée : le duo gagnant


Les moyens d’authentifications sont nombreux et correspondent à des cinématiques très différentes. Selon le secteur d’activité (Banque ; Assurance ; VPC ; Collectivité ; Service Public…), les usages changent et les besoins ne sont pas les mêmes… sécurité, ergonomie, performance, etc.
Afin de faire le bon choix, une nécessité : connaître l’utilisateur.

Une chose est sûre : le développement fulgurant de services Web amène logiquement l’utilisateur à avoir de plus en plus de comptes différents. Les règles de sécurité finissent par être impossibles à gérer pour le commun des usagers et engendrent des frais pour la gestion du remplacement des mots de passe (courriers, helpdesk, mécanismes d’authentification des usagers, etc.), sans compter le temps perdu et l’énervement des internautes.

Ainsi, avec des moyens d’authentification optimisés et un système de SSO (fédération) adapté, l’authentification se fait sans mot de passe, de manière sécurisée, unique et rapide.

mardi 5 avril 2016

Les applications mobiles : l’innovation ne doit pas se faire au détriment de la sécurité !

Par Laurent Gautier, Président 
A l’heure où le nombre d’utilisateurs de périphériques mobiles ne cesse de progresser (plus de 2 milliards à travers le monde), aucune entreprise ne peut aujourd’hui nier que la mobilité est un vecteur de croissance considérable. Preuve en est, les applications mobiles fleurissent quotidiennement, il y a une application pour tout, et nous les utilisons tous de façon quasi-naturelle, que cela soit dans le domaine professionnel ou personnel.

Plus portées par les enjeux économiques que sécuritaires, les entreprises font trop souvent passer l’innovation, la facilité d’utilisation et les exigences des consommateurs avant les règles de base en matière de sécurité. Pourtant lorsque les vulnérabilités des applications mobiles sont exploitées, les fuites de données critiques peuvent coûter très cher à l’entreprise.

Une étude récente menée de façon indépendante par la société Wegilant sur les 100 plus grandes banques en Inde et dans la région Asie-Pacifique a montré que dans plus de 70% des cas les versions mobiles de leurs applications bancaires sous Android étaient vulnérables aux attaques et aux fuites de données.

Les pirates informatiques ont bien compris que ces applications sont des cibles idéales, vu qu’elles regorgent de données personnelles et confidentielles précieuses.

Les menaces les plus fréquentes pour les applications mobiles :

  • Vol de données stockées sur le mobile (contacts personnels, fichiers, courriers électroniques, etc.)
  • Fuites de données : une application mal codée peut entraîner la fuite et le vol d’informations sensibles non chiffrées stockées dans les logs, le cache, etc.
  • Rupture du canal secret : une application malicieuse espionne une application normale en la forçant à soumettre ses données sensibles à un faux serveur. L’interception des données échangées permet de les utiliser à des fins malveillantes.
  • Informations sensibles en dur dans le code : la décompilation de l’application révèle des informations sensibles voire des comptes d’accès à des serveurs.
  • le Clickjacking sur environnement mobile : bien connu sur le web, la technique consiste à imiter une interface utilisateur afin de le mettre en confiance et de le pousser à fournir des informations confidentielles.
  • Injection SQL : cette faille est un grand classique qui sévit aussi sur les applications mobiles amenant souvent à des vulnérabilités critiques.
  • Wifi public : les points d’accès public sont des zones de danger et peuvent exposer vos données sensibles sur le réseau si elles ne sont pas correctement sécurisées.


Afin de limiter les risques, quelques bonnes pratiques peuvent être appliquées : 

  • Ne pas stocker de données sur le mobile afin d’éviter de les exposer en cas de vol de l’appareil, ou de téléchargement d’application malveillante. Le stockage d’informations sensibles est un point clé de la sécurité d’une application mobile. Si le stockage d’informations sensibles est absolument nécessaire, les données doivent être chiffrées. Le type de solution de chiffrement à utiliser dépend du type d’informations sensibles à stocker sur l’équipement (conteneur sécurisé de l’équipement, conteneur de chiffrement tiers, etc.). Il ne faut stocker d'informations sensibles ni dans les logs de l’application,  ni  dans les caches (requêtes http), ni dans les bases de données locales (SQLLite), ni bien entendu dans le code de l’application.
  • Restreindre les permissions de l’application au strict nécessaire afin de limiter les impacts en cas d’attaque. Les permissions sensibles (envoi de SMS, positionnement GPS…) doivent être examinées avec attention.
  • Sécuriser les transactions sur le réseau, notamment les échanges entre l’application et son serveur. Les données qui transitent entre le serveur et le mobile sont souvent sensibles (données métiers, données personnelles). Il faut s’assurer qu’une gestion rigoureuse des accès et des droits de l’utilisateur soit effectuée côté serveur. Toutes les communications doivent être chiffrées car il n’est pas rare de se connecter à des réseaux non sûrs (wifi public).
  • Utiliser des moyens cryptographiques existants, sûrs et robustes, et en aucun cas ses propres algorithmes de cryptographie. Lors de chiffrement de flux au moyen d’un certificat (par exemple, pour du HTTPS), il est primordial de vérifier la validité du certificat du serveur  (date de fin de validité, pas de certificat auto-signé, autorité de certification reconnue, etc.).
  • Chiffrer l’application avant de la distribuer via les stores.
 

L’innovation ne doit pas prendre le pas sur la sécurité ! 

Les applications mobiles peuvent être de véritables passoires et pourtant elles sont de plus en plus utilisées dans des domaines où l’exigence de sécurité est primordiale (applications bancaires, e-commerce, e-administration, etc.). Par souci de productivité, leur développement est souvent confié à des sociétés tierces, qui manquent d’expertise en matière de sécurité et qui produisent des applications mobiles à la chaîne sans mettre en œuvre les protocoles nécessaires. Toutes les applications, aussi innovantes soient-elles, doivent être produites en tenant compte de la sécurité, et ce dès le lancement du projet. Des technologies de sécurité existantes peuvent être intégrées afin de limiter les risques. La collaboration des différents acteurs de l’industrie est impérative pour faire face aux menaces qui pèsent sur l’environnement mobile. Les entreprises doivent s’assurer que les applications mobiles qu’elles utilisent sont correctement sécurisées, à la fois au niveau serveur et client, avant d’autoriser leur usage. Dans un contexte où la concurrence est rude, les entreprises qui tirent leurs épingles du jeu sont celles qui comprennent que transformation digitale et sécurité sont étroitement liées !

jeudi 3 mars 2016

DROWN : une attaque contre SSL/TLS qui aurait dû être évitée

par Benoît Villa, Ingénieur R&D - Gestion des accès

Un peu d’histoire…


Dans les années 1990, Netscape édite un navigateur qui a le vent en poupe « Netscape Navigator ». En parallèle, l’entreprise pionnière du web écrit les spécifications d’un protocole permettant d’assurer la sécurité des informations échangées entre un logiciel client, un navigateur web par exemple, et un serveur, donnant ainsi naissance à la famille SSL.

Les spécifications du protocole SSLv2 sont ainsi publiées en février 1995, suivies en 1996 des spécifications du protocole SSLv3, améliorant la sécurité de son prédécesseur. Ces protocoles fêtent cette année leurs 21ème et 20ème anniversaires, un âge bien avancé dans le domaine de la sécurité informatique !

SSL : des protocoles dépassés à bannir !


Au cours des dernières années, de sérieux défauts de conception ont été découverts. L’utilisation d’algorithmes faibles (signature, chiffrement, chaînage), la non protection à l’initialisation, renégociation ou reprise de session contre les attaques de « l’homme du milieu », l’utilisation d’une unique clé pour assurer l’intégrité et la confidentialité des échanges sont quelques exemples de failles qui peuvent conduire à une réelle dégradation du niveau de sécurité.

Parallèlement, les attaques contre les protocoles SSL et leurs implémentations (OpenSSL, NSS, SChannel, …) se sont fortement perfectionnées et intensifiées : attaque de la renégociation, BEAST, BREACH, CRIME, FREZE, Ghost, Heartbleed, Logjam, POODLE, … la liste est longue !

En réaction à cette situation à risque, l’Internet Engineering Task Force (IETF), qui regroupe de grands noms de l’informatique, a publié deux RFC pour bannir l’utilisation de SSLv2 (RFC 6176, publiée en Mars 2011. Cf. https://tools.ietf.org/html/rfc6176) et SSLv3 (RFC 7568, publiée en Juin 2015. Cf. https://tools.ietf.org/html/rfc7568).

En 2012, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) réagit également en indiquant dans une de ses publications que « La version SSLv2 est dangereuse et ne doit pas être employée » (Cf. http://www.ssi.gouv.fr/uploads/IMG/pdf/SSL_TLS_etat_des_lieux_et_recommandations.pdf).

Quid de DROWN ?


En ce début de mars 2016, une nouvelle attaque contre SSLv2 secoue le monde du web et fait la une des médias : DROWN. En résumé, si un ancien serveur continue à proposer des connexions en SSLv2 (notamment pour maintenir la compatibilité avec d’anciens logiciels), il est possible via cette attaque de déchiffrer les données échangées dans le canal protégé par SSLv2.
De plus, si la clé privée est réutilisée sur d’autres serveurs ne proposant que des protocoles sécurisés récents comme TLS 1.2, l’attaque peut également avoir lieu sur les communications TLS 1.2 de ces serveurs.

Cette faille est conséquente puisque les chercheurs à l’origine de sa découverte indiquent qu’environ 33% des sites web sont vulnérables à cette attaque (Cf. https://drownattack.com/).

Que faire pour s’en prémunir ?


Le meilleur conseil qu’on puisse donner est de suivre les recommandations de l’ANSSI et l’IETF, en supprimant tout simplement le support des protocoles faibles tels que SSLv2 et SSLv3. Il faudra alors s’assurer de mettre à jour les logiciels incompatibles.

Chez Ilex International nous avons fait le choix de supprimer le support des protocoles SSLv2 et SSLv3 dans les dernières versions de nos logiciels. Sign&go, notre solution de gestion des accès, utilise désormais le protocole TLS 1.2 (ou TLS 1.1/TLS 1 en repli).

Cette dernière faille DROWN illustre bien la veille technologique permanente qu’il est nécessaire de réaliser dans le domaine de la sécurité informatique et de la cryptographie pour assurer une sécurité maximale au regard de l’état de l’art. Elle démontre également qu’entreprises de toutes tailles et particuliers doivent continuellement s’assurer de la bonne installation des mises à jour logicielles afin de protéger leurs données.

mardi 8 décembre 2015

Contrôle d’accès & Single Sign-On : une approche nécessairement globale

Par Olivier Morel
Directeur Avant-Vente

Panorama des solutions de SSO

Le marché du Single Sign-On (authentification unique, ou « SSO ») est traditionnellement divisé en 4 catégories de solutions.

L’Enterprise SSO ou eSSO

Le eSSO est généralement mis en œuvre en interne dans l’entreprise à des fins de confort utilisateur. Il nécessite le déploiement d’un (ou plusieurs) composant(s) sur les postes de travail reliés au système d’information et consiste à injecter - à la place des utilisateurs - des accréditations secondaires (couples identifiant/mot de passe des utilisateurs pour les applications visées) dans des fenêtres applicatives qui ont été au préalable enrôlées. L’avantage de cette catégorie de SSO est de pouvoir couvrir facilement tout type d’applications (client lourd, web, virtualisée, mainframe, etc.) ; l’inconvénient est qu’il faut maîtriser tous les postes de travail sur lesquels on veut déployer ce SSO.

Le Web Access Management (ou WAM, ou Web SSO)

Le WAM s'inscrit dans des architectures 100% web, de type portails extranet/intranet par exemple. Il ne couvre par conséquent que des applications web, mais permet en général de garantir plus de sécurité que le eSSO, via la mise en place de règles de contrôle d'accès avancées notamment. Il n'est pas intrusif sur les postes de travail. En revanche il peut l'être sur les applications, sauf s’il est déployé dans des composants de type reverse/proxy en frontal des applications web à protéger.

La Fédération d'identité

Dans une approche purement technique, la fédération d'identité peut être considérée comme un moyen d’opérer une action de Web SSO en utilisant les protocoles standards associés du marché : SAMLv2, OAuth2, OpenID Connect, WS-Federation... Dans une logique métier, ou ‘business’, elle permet d'échanger en toute sécurité des informations d'authentification et d'habilitations entre entités juridiques différentes : certaines sont des fournisseurs d’identités (Identity Provider) tandis que d’autres sont des fournisseurs de services (Service Provider). La fédération offre ainsi aux utilisateurs de ces entités une expérience d'authentification unique et sécurisée entre domaines web différents. De plus elle permet bien souvent de s’affranchir de la gestion des identités de ses partenaires.

Le Mobile SSO

Le Mobile SSO permet de fournir des fonctionnalités de SSO (eSSO, WAM, Fédération) sur les périphériques mobiles (smartphones, tablettes), et ainsi de sécuriser les accès aux applications du système d'information depuis ces périphériques. Ce marché est encore assez récent car il est lié à l'explosion de la mobilité. Pour le moment, il repose majoritairement sur des solutions de type « développements spécifiques », car rares sont les solutions du marché qui couvrent ce domaine.
Toutes ces catégories de solutions sont généralement couplées, plus ou moins finement, à des technologies d’authentification forte et fournissent des fonctionnalités de contrôle d’accès logique. Elles s’appuient sur des référentiels d’identités et assurent l’audit et la traçabilité des authentifications et des habilitations.

Le risque majeur : une solution de SSO par cas d’usage

Forts de ce panorama des différentes solutions de SSO, considérons à présent un système d’information lambda pour lequel on souhaite déployer des fonctions d’authentification forte, de Single Sign-On et d’audit des accès des utilisateurs aux applications de ce SI. Les motivations peuvent  être nombreuses et variées : elles découlent notamment des enjeux de confort utilisateur ou de sécurité visés pour le SI.
Dans ce SI, il est très probable que l’on trouve de tout :
  • des applications internes ou externes (en SaaS, Cloud…), maîtrisées ou non, de différentes technologies (web, client lourd, virtualisées, mainframe...) et plus ou moins critiques
  • des utilisateurs internes ou externes, travaillant sur un PC, maîtrisé ou non, ou sur d’autres types de supports (clients légers, périphériques mobiles…), certains ayant besoin d’authentification forte, d’autres non, etc.


Donc à plus ou moins long terme, on aura immanquablement besoin des fonctionnalités de eSSO, de Web Access Management, de Fédération d’identité et de Mobile SSO : soit de toutes les catégories de SSO décrites précédemment, sur des périmètres plus ou moins différents, mais pour le même système d’information.

Evidemment le déploiement de ces fonctionnalités se fera par étapes et potentiellement sur plusieurs années, selon les priorités de l’entreprise. Mais le fait est que, au bout d’un certain temps, on pourra facilement se retrouver dans la situation suivante - et c’est malheureusement le cas de très nombreuses organisations - avec par exemple :
  • une solution de eSSO déployée en interne sur les postes des utilisateurs du SI, afin de leur apporter le confort d’une authentification unique et de les rendre autonomes sur les opérations de réinitialisation de mots de passe.
  • une solution de Web Access Management protégeant des applications web, déployée dans une logique d’intranet et/ou d’extranet
  • une solution de fédération d’identité dédiée à des échanges B2B avec ses partenaires, ou utilisée pour améliorer l’expérience utilisateur pour les accès aux applications externes, de type O365, GoogleApps, ou SalesForce notamment
  • une solution de Mobile SSO pour sécuriser les accès au SI depuis des périphériques mobiles et maîtriser ainsi les effets du BYOD


Chacune de ces solutions repose peut être sur un progiciel du marché, une brique open source ou une solution maison réalisée en développement spécifique. Mais au final, on risque fort de se retrouver à administrer, maintenir, exploiter, superviser, auditer… 4 solutions différentes, qui adressent pourtant des besoins similaires, bien que pour des usages différents !

Le Global SSO : SSO nouvelle génération

Et pourtant,  il est possible d’éviter une telle situation !

Avec une seule et même solution qui adresserait toutes ces fonctions, on n’aurait plus qu’une seule infrastructure commune à exploiter et à superviser, plus qu’une seule interface d’administration pour configurer tous les usages SSO, plus qu’un seul point d’audit fournissant la traçabilité de tous les accès à toutes les applications pour tous les utilisateurs, et ainsi une vision 360° de tous les accès au SI...

Cette solution existe, c’est le Global SSO !

Alors avant de se lancer dans un projet de SSO, quel qu’il soit, il faut penser « mutualisation » et « urbanisation du SI ». Une solution de Global SSO peut à la fois couvrir vos besoins à court terme - et vous n’investirez que sur ce dont vous aurez besoin - mais également vous laisser la capacité d’adresser vos autres besoins en matière de SSO à moyen et long termes, le tout via une démarche évolutive et itérative.


jeudi 1 octobre 2015

La fédération d'identité : une technologie fiable et éprouvée

Par Fabrice Bérose
Responsable de Comptes
Le tout numérique provoque une course à la facilité d’usage. Cette quête à la performance et à l’accès instantané à l’information entraîne inexorablement une augmentation considérable des risques de cybercriminalité. En effet, cette année 2015 connaît une montée en flèche des cyberattaques massives et ciblées, des atteintes à la protection des données personnelles, des usurpations d’identités, ou encore des hacks de réseaux sociaux. Les utilisateurs, de plus en plus à l’aise avec les nouvelles technologies, sont souvent inconscients des problématiques de sécurité liées à leurs actions.

C’est aujourd’hui plus que jamais à la DSI d’accompagner les évolutions métiers tout en garantissant une sécurité accrue. A l’heure de la rationalisation des systèmes d’information, la clé est de mettre en place une infrastructure moderne et sécurisée, capable de prendre en charge et d’anticiper les nombreuses évolutions métier à venir. Des réponses existent, comme la fédération d’identité, une technologie fiable et éprouvée.


Qu’est-ce que la fédération d’identité ?


La fédération d’identité est un moyen pour deux organisations de partager des informations à propos d’un utilisateur. Le but étant qu’il puisse naviguer entre différents services après s’être authentifié une seule et unique fois auprès d’un tiers de confiance qui sera garant de son identité.

Elle contrôle les accès des utilisateurs en fonction des relations de confiance établies, de la validité de l’identité présentée et de l’authentification qui a été réalisée auprès du partenaire de confiance. Elle peut également transmettre certaines informations sur l’utilisateur (comme ses droits applicatifs) certifiées par le partenaire qui a fourni l’identité (IDP).

L’utilisateur quant à lui accède aux applications/services de manière totalement transparente, sans réauthentification, grâce au Single Sign-On (SSO) dont les principes ne sont plus à démontrer. Le confort est considérable !

Les cas d’usages


Dans un contexte de croissance externe (réorganisation, joint-venture, fusion/acquisition, externalisation…), les DSI sont confrontées à plusieurs problématiques et notamment à l'absorption d'un nombre significatif d’utilisateurs souvent dans des contraintes fortes de temps. La fédération d’identité permet d’aménager des infrastructures de gestion d’identités par entité opérationnelle, et de faciliter l’accès aux services applicatifs « groupe » pour tout type de population au sein d’organisations complexes. Autoriser l’accès aux applications fournies et hébergées par le groupe sans avoir à subir de multiples authentifications est un avantage incontestable ! L’identité des utilisateurs est transmise aux applications de façon sécurisée et standardisée par des protocoles de fédération (SAML v2 pour la plupart).

La fédération permet également de standardiser l'accès à l'écosystème de l'entreprise pour multiplier les interconnexions avec les partenaires et les fournisseurs. Prenons le cas du groupe Société Générale et de son programme SAFE (Service d'Authentification Fédérateur d'Entreprise) : il s'agit d'ouvrir en toute sécurité le système d'information de la banque à des partenaires et de simplifier les procédures d'authentification. La première utilisation de SAFE a pour objectif d'offrir un service d'accès fédérateur, via une authentification unique, à un bouquet d'applications dédié à la gestion de la monétique. Cela permet de rationaliser la gestion de nombreux identifiants potentiels, des multiples dispositifs d'authentification existant pour une population importante et un parc applicatif varié. La banque ouvre ainsi son SI tout en renforçant la sécurité de son SI en offrant un service homogène, simple d’utilisation pour ses collaborateurs, et ce au meilleur coût.

Autre cas : trouver une réponse adéquate aux problématiques posées par la démocratisation des solutions proposées en mode SAAS (Software As A Service). La DSI doit trouver des solutions pour permettre d'industrialiser et homogénéiser sa politique d'accès à ce type d'applications.

Nombreux sont les clients qui souhaitent par exemple externaliser leur système de messagerie pour passer sur Office 365 ou Google Apps tout en sollicitant le moins de ressources internes possible et ce de façon simple et standardisée. La fédération d’identité sur des applications du Cloud permet de répondre à cette problématique et d'en sécuriser les accès.

Ce besoin de simplification se fait également ressentir dans les administrations, qui s’efforcent de moderniser leurs infrastructures et de dématérialiser leurs procédures. Elles sont nombreuses à vouloir proposer un ensemble de services numériques aux citoyens. La fédération permet, en s'appuyant sur une identité numérique certifiée, d'offrir aux citoyens un accès simple et sécurisé à un ensemble de services souscrits. Le citoyen accède à un service personnalisé, en fonction de son identité, et peut ainsi effectuer certaines démarches administratives de façon numérique. Dans ce cadre, le projet France Connect qui opère déjà depuis janvier 2015 une partie du site monservicepublic.fr, a pour objectif de promouvoir l’interopérabilité entre les administrations publiques nationales et s’étendre ensuite à l’Europe.

Enfin, la fédération dite « sociale » est très certainement le cas le plus parlant pour le grand public. Concrètement il s’agit de relier les sites grand public d’une entreprise aux réseaux sociaux tels que Facebook, Google et Twitter. Cet interfaçage et l’utilisation d’identités numériques tierces est une réelle avancée tant sur le plan technique qu’au niveau du métier ! De nombreuses enseignes proposent des authentifications sociales via des mécanismes de fédération des identités. Le principe étant qu’un utilisateur authentifié sur un réseau social puisse accéder directement aux sites de ces enseignes et à leurs contenus, tout en évitant de créer un nouveau compte utilisateur. C’est le cas par exemple du groupe Canal+ qui s’appuie sur les principaux protocoles de fédération d’identité (OAUTH V2) afin de permettre l’inscription, l’authentification des utilisateurs et l’accès à leurs services à partir de leurs identifiants personnels (via Facebook notamment).

Les avantages


Avec la technologie, le consommateur attend désormais des réponses quasi instantanées à ses demandes. Il souhaite gagner en réactivité et des services personnalisés et modernes. Il désire utiliser son périphérique mobile (personnel ou professionnel) pour accéder à des applications ergonomiques. Il veut de la sécurité sans avoir à s’authentifier X fois et que tout lui paraisse simple et efficace. Dans une logique de concurrence exacerbée, celui qui lui impose trop de contraintes prend le risque de le perdre.

La fédération d’identité répond à ces problématiques : elle fidélise l’utilisateur en lui évitant des contraintes d'inscriptions ou d'authentifications répétitives et lui permet d’accéder à de multiples services en toute simplicité. C’est un réel levier de croissance et d’efficacité pour les entreprises car elle permet d’orienter un contenu en fonction d’informations pertinentes transmises en toute sécurité dans un profil. Elle permet donc d’offrir une expérience fluide et cohérente aux utilisateurs et des services de qualité répondant à leurs attentes. Elle apporte également une réponse adaptée aux problématiques de mobilité en permettant d’ouvrir le système d’information des organisations et de proposer des mécanismes sécurisés d’interconnexion communautaire. Les entreprises qui ont bien saisi les enjeux commerciaux et organisationnels intègrent désormais les protocoles de fédération d’identité dans le cadre des démarches d’urbanisation de leur SI. L’objectif de tous est désormais de concilier sécurité, simplicité et innovation technologique, la fédération d’identité est, et sera sans nul doute, au cœur de l’authentification unique dans les années à venir.

lundi 22 juin 2015

L’authentification forte dans les collectivités, une obligation légale


Par Thierry Bettini, Ilex International et Hervé Fortin, Département de l’Aisne

La mise en place d’une solution d’authentification forte au sein d'une collectivité est, dans une grande majorité des cas, perçue comme une problématique technique par la DSI, qui cantonne trop souvent ce type de projet au simple remplacement du login/mdp devenu obsolète. Dans un contexte de restriction budgétaire au sein des collectivités, la DSI peine alors à justifier un tel projet, jugé trop coûteux et relégué au second plan des priorités.

Cependant, au-delà de sa dimension technique, la mise en place d’une solution d’authentification forte garantit sécurité et traçabilité des accès au système d’information. Ceci permet ainsi aux collectivités d’être conformes aux législations en vigueur et, notamment, aux obligations de protection des données à caractère personnel encadrées par la CNIL.

La responsabilité judiciaire du RSSI/DSI directement engagée


Nombreuses sont les collectivités qui valident la déclaration informatique et libertés sans maîtriser totalement les obligations qui en découlent. En effet, la loi informatique et libertés du 6 janvier 1978 (modifiée en août 2004) définit les principes à respecter lors de la collecte, du traitement et de la conservation des informations relatives à des personnes physiques. Le champ d’applications de cette loi est très large et concerne la majorité des traitements ou fichiers mis en œuvre par les collectivités locales pour gérer leurs nombreux services : état civil, listes électorales, inscriptions scolaires, action sociale et autres services à la population, etc.

« La création et le traitement de données personnelles (numéro d'identifiant, nom, adresse, numéro de téléphone...) sont soumis à des obligations destinées à protéger les libertés individuelles et la vie privée des personnes fichées », indique Thierry Bettini directeur commercial d’Ilex International. Celles-ci varient selon la nature du fichier et la finalité des informations recueillies : déclaration normale ou simplifiée ou demande d'autorisation. Il existe aussi des obligations de sécurité, de confidentialité et d'information.

Certaines données sont particulièrement sensibles selon les domaines et doivent faire l’objet d’autorisations spécifiques auprès de la CNIL. C’est le cas notamment des informations traitées dans le domaine social, où la confidentialité est essentielle, comme par exemple le traitement de signalement "enfance en danger". Seules les personnes habilitées doivent avoir accès à certaines informations.

Avec la transformation digitale, les collectivités locales gèrent de plus en plus de données personnelles mais en réalité, combien d’entre elles savent dire aujourd’hui avec exactitude qui a accès à quoi ?

Les contrôles réalisés par la CNIL montrent que de nombreuses collectivités ne respectent pas certaines règles de base de la loi informatique et libertés. Dans la majorité des cas, ces manquements résultent d’une méconnaissance de la loi ou de négligences, mais les infractions n’en restent pas moins réelles. « Les décideurs et responsables locaux doivent en prendre conscience car ils sont directement visés en cas de non-respect des dispositions de la loi : leur responsabilité juridique peut être engagée. Ils peuvent même, dans certains cas, être pénalement sanctionnés (peine de cinq ans d’emprisonnement et 300 000 € d’amende) », souligne Hervé Fortin, RSSI et CIL du Département de l’Aisne.

L’authentification forte, une garantie de conformité avec le cadre réglementaire régi par la CNIL


Pour faire face à ces contraintes réglementaires renforcées, la maîtrise et la sécurité des accès logiques doivent rester la priorité des collectivités.

« Renforcer les mécanismes d'authentification et les règles de contrôle d’accès logiques aux applications du SI permet d'éviter toute faille/fraude», explique Thierry Bettini. Ainsi, il est primordial de proposer plusieurs mécanismes d’authentification, à n facteurs (‘ce que je sais’, ‘ce que j’ai’, ‘ce que je suis’), en fonction des usages des agents (par exemple certains peuvent utiliser des cartes à puces, d’autres des clés USB, etc.), et du niveau de criticité des applications accédées. Certaines solutions packagées sont déjà proposées par les intégrateurs et éditeurs de logiciels qui permettent de répondre à ces problématiques efficacement.

Une fois l’agent authentifié, il est possible de contrôler les droits d’accès selon des critères divers et variés tels qu’un niveau d’authentification primaire (n facteurs), un créneau horaire, un profil utilisateur récupéré dans l’annuaire d’entreprise, etc.

Et de préciser que « les authentifications, autorisations et délégations des agents doivent impérativement être tracées afin de garantir la bonne conformité avec les législations en vigueur et répondre aux exigences d’audit ».

Le RSSI/DSI d’une collectivité locale doit homogénéiser et renforcer l’authentification sur les applications dont il contrôle et trace les accès. Il pourra se dégager ainsi de toute sanction juridique relative à la confidentialité des données traitées au sein de la collectivité.

« Quelles que soient leurs tailles, toutes les collectivités sont concernées» conclut Hervé Fortin. En revanche, toutes ne mesurent pas les engagements qu’elles prennent en se déclarant conformes, ni les risques encourus en cas de contrôle de la CNIL. Une vraie prise de conscience des obligations légales est nécessaire, comme c’est le cas dans d’autres secteurs (exemple : secteur bancaire) afin de faire de la gestion des accès une véritable priorité.