Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Look up keyword
Like this
3Activity
0 of .
Results for:
No results containing your search query
P. 1
Authentification Forte et Identité numérique

Authentification Forte et Identité numérique

Ratings: (0)|Views: 31|Likes:
Published by Sylvain MARET

More info:

Published by: Sylvain MARET on Apr 06, 2009
Copyright:Traditional Copyright: All rights reserved

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

09/01/2010

pdf

text

original

 
L
a protection des biens estune préoccupation majeu-re de la société, un soucique partage tout un chacun. Cer-tains s’en inquiètent à titre per-sonnel, pour leurs propres biens.D’autres, pour des raisons mili-taires ou économiques. Alère des nouvelles technologies del’information, les entreprises sesentent de plus en plus concer-nées – pour des raisons propresà chacune d’entre elles – par lasécurité de leurs systèmes infor-matiques. Mettre en place unevéritable politique de sécuritédevient une obligation. To u tcomme appliquer les principesde base d’une protection opti-male que sont l’authentification,l’autorisation, l’intégrité, lanon-répudiation et la confiden-tialité. Parmi ces cinq mécanismes,l’authentification, et plus parti-culièrement l’authentificationforte, est, de mon point de vue,la clé de voûte de la sécuritéinormatique.
L’authentification
L’authentification est uneprocédure qui vise à s’assurerde l’identité d’un individu oud’un système informatique.C’est un préliminaire indispen-sable à l’activation du méca-nisme d’autorisation et, donc, àla gestion des droits d’accès à unsystème d’information donné.Les méthodes classiques pouridentifier une personne phy-sique sont au nombre dequatre: 1. quelque chose que l’on con-na î t: un mot de passe ou un PIN code; 2. quelque chose que l’on pos-sède: un «token», une carte à puce, etc.;3. quelque chose que l’on est:un attribut biométrique, telqu’une empreinte digitale;4. quelque chose que l’on fait:une action comme la parole ouune signature manuscrite.On parle d’authentificationforte dès que deux de cesméthodes sont utilisées ensem-ble. Par exemple une carte àpuce avec un PIN code.
Pourquoi cette méthodeplutôt qu’une autre?
Le mot de passe est actuelle-ment le système le plus cou-ramment utilisé pour identifierun utilisateur. Malheureuse-ment, il n’offre pas le niveau desécurité requis pour assurer laprotection de biens informa-tiques sensibles. Sa principalefaiblesse réside dans la facilitéavec laquelle il peut être trouvé,grâce à différentes techniquesdattaques. Mis à part l’approche, eff i-cace, de la manipulation psy-chologique («social enginee-ring»), on recense trois grandescatégories d’attaques informa-tiques:
1) Attaque de «force brute»
Il s’agit d’une attaque qui vise àdeviner un ou plusieurs mots depasse en utilisant des diction-naires ou en testant toutes lescombinaisons possibles. Partantdu principe que la majorité desmots de passe sont «faibles»(combinaisons simples du typeannée de naissance, prénom deson enfant, etc.), les découvrirrapidement se révèle très facile.
2) Ecoute du réseau
La plupart des applicationscomme «telnet», «ftp», «http»,«ldap», etc., n’ont pas recoursau chiffrement («encryption»)lors du transport d’un mot depasse sur le réseau. «Ecouter» letrafic et en extraire le mot depasse devient un jeu d’enfantdès lors qu’on dispose d’un logi-ciel d’écoute appelé «sniff er» (littéralement, renifleur).Il existe un grand nombre de« s n i ffers» dédiés exclusive-ment à la capture des mots depasse. Un des plus efficaces est«dsniff». Ce type de logiciels est également capable de capturerdes mots de passe dans un envi-ronnement réseau commuté. Laméthode utilisée dans un telenvironnement est celle du«ARPPoisoning».
 3) Ecoute du clavier 
Imaginons que le trafic sur leréseau soit chiffré et que l’utili-sateur ait pris soin de choisir unmot de passe extrêmement«solide». Une méthode d’at-taque se révèle malgré toutimparable: l’écoute du clavier ou «key logger», qui permet de«capturer» l’ensemble destouches tapées sur un clavier.Les logiciels utilisés dans cecas sont généralement installés
l
06/02
l
C O M M U N I C AT I O N
INCONTOURNABLE.
Pour Sylvain Maret, directeur veille techno- logique e-Xpert Solutions SA, l’authentification forte s’impose parmi les principes de base d’une protection optimale.
 Authentification fort e:les nouvelles tendances
Sécurité des systèmes d’information
Sy l vain Maret,
directeur veille technologique e-XpertSolutions SA

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->