Contrôle d’accès et authentification : menaces et solutions
En matière de sécurité informatique, la gestion des utilisateurs et l’accès de ceux-ci aux ressources est un enjeu majeur tant du point de vue de l’accessibilité que de la sécurité des données. Le mécanisme d’authentification intervient à cette étape puisqu’il permet de vérifier que la personne est bien celle autorisée à accéder au compte utilisateur.
Les utilisateurs finaux constituent le talon d’Achille d’un système d’information. Usurpation d’identité, accès à des ressources auxquelles ils ne devraient pas accéder… sont autant de menaces qui compromettent la sécurité des données, et peuvent faciliter ensuite des attaques informatiques (ransomware, vol d’informations…).
L’étape d’authentification avant l’accès aux ressources est donc essentielle, à tel point que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié l’année dernière, un ensemble de recommandations pour la mise en place d’une procédure d’authentification suffisamment robuste et adaptée aux différents types de systèmes.
En tant qu’expert en sécurité de l’information et en protection des données, Ventio est particulièrement sensibilisé à cette problématique de l’authentification, et détaille pour vous les solutions permettant une authentification forte et sécurisée.
1. L’authentification à un facteur et ses limites
a) Typologie des moyens d’authentification
L’authentification est un mécanisme faisant intervenir deux entités distinctes : un postulant et un vérifieur. Le postulant est un utilisateur du système d’information qui initie la procédure d’authentification et cherche à prouver son identité au vérifieur à l’aide d’un moyen d’authentification connu des deux et convenu pour l’accès à la ressource sollicitée. Il s’agit par exemple pour le postulant de démontrer sa connaissance d’une donnée secrète comme un mot de passe. Le vérifieur doit être capable de s’assurer de la validité de l’identité du postulant en contrôlant l’exactitude du moyen d’authentification, et sa validité (par exemple l’exactitude du mot de passe fourni par le postulant).
Le moyen d’authentification est généralement connu ou possédé uniquement par le postulant et permet de l’authentifier de manière unique.
Ce moyen d’authentification peut être :
- Un facteur de connaissance (un mot de passe ou un code à connaitre),
- Un facteur en possession de l’utilisateur : une clé privée physique ou électronique, une carte à puce…
- Un facteur inhérent à l’utilisateur : une donnée biométrique, empreinte digitale, ADN ou une donnée comportementale (voix…)
Le moyen d’authentification est créé ou configuré lors de l’enregistrement de l’utilisateur sur le système (inscription à un site ou création d’un nouvel utilisateur par exemple). Lors de l’authentification une fois le moyen d’authentification entré et la vérification réalisée, le vérificateur va autoriser l’accès de l’utilisateur aux ressources (données, services, applications, etc.) selon les droits définis pour ce dernier. Généralement, un seul facteur d’authentification est mis en place dans la configuration du moyen d’authentification, et ce facteur est un facteur de connaissance.
Malheureusement, ce système d’authentification, bien que très répandu, s’avère être insuffisant en termes de sécurité.
b) Limites de l’authentification à un facteur
L’authentification à un facteur est une procédure véritablement insuffisante, car elle expose à un certain nombre d’attaques informatiques visant à contourner ou craquer le processus d’authentification afin d’accéder aux ressources sans y avoir droit, et ce quel que soit le mode d’authentification retenu.
L’ANSSI a répertorié et classé les principales menaces en fonction de leurs procédés et de leurs zones d’attaques. Tour d’horizon des menaces qui pèsent sur les différentes catégories d’authentification.
- Menaces et attaques sur les facteurs de connaissance
Pirater un mot de passe, par exemple, peut se faire par recherche exhaustive, en testant toutes les combinaisons possibles ou en se limitant à une liste des mots de passe les plus courants. Les outils pour le faire sont faciles d’accès et puissants. Un système bien protégé devra anticiper ce type d’attaques en interdisant les mots de passe trop simples et en limitant le nombre d’essais infructueux trop rapprochés. Pour des attaques ciblées, l’ingénierie sociale peut s’avérer très efficace : on utilise des moyens détournés comme l’hameçonnage pour vous soutirer votre mot de passe directement.
- Menaces et attaques sur les facteurs de possession
Vous ne retrouvez plus votre carte? Les principales menaces pesant sur les facteurs de possession sont le vol, la perte, la duplication, la falsification ou bien encore la compromission totale de l’équipement qui porte le facteur de possession. Afin d’accéder aux secrets cryptographiques et usurper votre identité, les attaquants vont pouvoir réaliser des attaques ‘physiques’, par exemple en utilisant les canaux auxiliaires.
- Menaces et attaques sur les facteurs inhérents
Les films d’espionnage mettent en scène des doigts sectionnés ou des extractions d’yeux pour accéder aux secrets les plus sensibles. Dans la réalité, on pourra simplement utiliser une photographie, une séquence vidéo préenregistrée ou un moulage de votre empreinte digitale pour se faire passer pour vous.
En résumé, parmi les 3 méthodes d’authentification, la plus exposée aux attaques est celle reposant sur le facteur de connaissance, à la fois parce que les modes d’attaques sont variés, mais aussi parce qu’ils ont plus de chance d’aboutir. Bien que très répandue, l’authentification de base, reposant uniquement sur un mot de passe est donc un procédé de sécurisation clairement insuffisant pour protéger l’accès aux systèmes informatiques.
2. Quelles sont les solutions pour faire face à ces menaces sur l’authentification ?
Pour renforcer le processus d’authentification, plusieurs mesures peuvent être considérées :
- Privilégier l’authentification basé sur le facteur inhérent ou de possession
- Renforcer le facteur d’authentification
a) Privilégier l’authentification par facteur inhérent ou de possession
Vu la quantité des attaques contre les authentifications par mot de passe ou code pin, il est préférable pour une société d’opter pour un autre mode d’authentification notamment par le facteur de possession ou inhérent (badge ou carte d’accès, clé d’identification, empreinte digitale ou ADN par exemple) qui offrent plus de sécurité et réduisent le champ d’attaque.
En ce sens, ces deux méthodes (par facteur de possession et par facteur inhérent) semblent être à privilégier sur la méthode par facteur de connaissance.
Malgré tout, même si elles sont moins exposées que la première, l’authentification par facteur de possession ou par facteur inhérent ne sont pas exemptes de tout risque (vol des badges, attaque physique pour récupérer les clés de chiffrement ou signatures pour les facteurs de possession, moulages d’empreinte, deep fake… pour les facteurs inhérents).
Ces méthodes d’authentification sont aussi moins évolutives et modifiables (10 doigts, 2 yeux, une empreinte ADN…) que l’authentification par facteur de connaissance, dans laquelle on peut générer une infinité de mot de passe. En un mot, l’authentification par facteur de connaissance est assez simple à renforcer ou à faire évoluer, alors que l’authentification par facteur de possession ou par facteur inhérent est plus “figée”.
b) Renforcer le facteur d’authentification
Une façon de réduire le risque d’infiltration sur le système est de renforcer le moyen d’authentification. Il s’agit-là de rendre le moyen d’authentification assez complexe à imiter, deviner ou reproduire.
Cette méthode n’est pas très évidente à appliquer avec le facteur inhérent car il ne s’agit pas d’une donnée directement modifiable même si on peut renforcer la procédure en exigeant par exemple une acquisition plus explicite (prise d’empreintes plus complète de la surface du doigts, vérification par moment avec une seconde empreinte, changer les phrases pour une reconnaissance vocale, demander des mimiques lors de l’identification du visage…). On obtient ainsi un maximum de détails sur la donnée inhérente afin d’identifier si cette dernière est réelle ou provient d’une copie ou falsification.
Pour la méthode d’authentification basée sur la possession, on peut renforcer les algorithmes de chiffrement utilisés pour générer les clés de la carte à puce. Il faut également mettre en place des mesures de protection contre les attaques matérielles contre les cartes à puce, badge magnétique et clé physique (attaque par écoute, attaque DPA par analyse de consommation …). Ces mesures restent cependant inefficaces en cas de vol ou de reproduction du moyen d’authentification.
Enfin l’authentification sur facteur de connaissance, est quant à elle, la plus simple à renforcer. Pour cela il faut mettre en place et appliquer une bonne politique de mot de passe. Cette politique doit définir les normes à suivre pour le choix des mots de passes et des codes PIN de sorte à garantir un niveau d’entropie ou de complexité suffisamment élevé (mots de passe avec des lettres minuscules, majuscules, des chiffres et caractères spéciaux et une longueur suffisamment grande). La politique de mot de passe doit également définir et mettre à jour une liste de mots de passe non autorisés car trop faciles à deviner, ou à attaquer (mot du dictionnaire, nom propre d’une connaissance, ou mot de passe trop fréquent…). Le but est de rendre le mot de passe assez fort pour que l’attaque demande beaucoup trop de temps et de ressources pour aboutir. Il faut en plus prévoir des mesures comme la gestion du temps de validité des mots de passe et l’impossibilité de réutiliser un mot de passe précédent. Afin de réduire la surface des attaques on peut aussi éviter que le vérifieur ne connaisse explicitement le mot de passe, en enregistrant les hachages de ses derniers plutôt que le texte brut dans la base.
Le processus d’authentification peut être également renforcé en limitant le nombre de tentatives et le bannissement pour un temps des adresses IP à l’origine des tentatives infructueuses. Cela empêche les attaques par recherche exhaustive ou « force brute ».
3. L’authentification multifacteur, seule solution réellement efficace
L’authentification multifacteur est une forme d’authentification qui met en jeu plusieurs (généralement deux) facteurs d’authentification.
L’avantage est de couvrir les failles d’un facteur par l’autre. Ainsi par exemple en cas d’attaque réussie sur le facteur de connaissance (découverte du mot de passe d’un utilisateur), l’attaquant ne pourra accéder au système car il ne possèdera pas l’objet du facteur de possession (clé, badge, carte à puce…) ou inhérent (empreinte, visage…) de l’utilisateur dont il usurpe l’identité.
A côté de l’authentification multifacteur (MFA), l’authentification en deux temps présente, elle aussi, des avantages. Elle consiste à utiliser successivement deux moyens basés sur le même facteur.
Les deux moyens d’authentification peuvent être configurés pour l’utilisateur lors de son inscription ou le second peut être généré suite à la validation du premier lors de la procédure d’accès. Il peut s’agir par exemple d’un mot de passe suivi d’un code d’authentification à usage unique et à validité très limitée que le vérifieur envoie au postulant via un moyen de contact enregistré lors de son ajout au système. Cette solution offre un bon compromis également en matière de sécurité.
L’authentification multifacteur et ou l’authentification via 2 facteurs successifs, sont actuellement les méthodes d’authentification les plus sûres et les plus résistantes aux attaques. Elles doublent les charges d’attaque pour le hacker réduisant ainsi le risque d’accès au système.
Il est évidemment souhaitable de combiner toutes ces bonnes pratiques en paramétrant une authentification multifacteur assortie de mesures de renforcement, notamment si l’un des facteurs requis est un facteur de connaissance (solidité de la politique de mot de passe).
Conclusion
Il existe plusieurs méthodes d’authentification discutées par l’ANSSI avec leurs faiblesses et des alternatives pour réduire celles-ci.
L’authentification des utilisateurs est un sujet complexe, tant il constitue le talon d’Achille des systèmes informatiques. Si les technologies évoluent rapidement, offrant une grande diversité dans les applications des facteurs d’authentification, aucun procédé ne permet d’écarter totalement le risque d’attaque. Seule l’identification multifacteur et la mise en place de mesures de renforcement de ces facteurs permettent de limiter les risques. Malgré tout, ces process doivent correspondre aux usages des utilisateurs mais surtout être adaptés aux risques encourus.
Il revient donc à l’organisation et notamment au responsable de la sécurité de cette dernière d’effectuer en amont une analyse de risques afin de déterminer la solution la plus adaptée au contexte pour la mise en place de l’authentification.
Chez Ventio, conscients de la sensibilité des données de santé, nous avons développé une expertise sur l’analyse de risque associé ainsi que sur les systèmes d’authentification et de contrôle d’accès multifacteur. Si vous souhaitez vous protéger des bourrasques et de leurs conséquences lors du traitement de données sensibles, faites appel à Ventio pour une brise de tranquillité.