Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 La sécurité des réseaux Greta industriel des technologies avancées C h a p i

1 La sécurité des réseaux Greta industriel des technologies avancées C h a p i t r e 3 : A u t h e n t i f i c a t i o n u t i l i s a t e u r Page 1 G. Valet – genael.valet@diderot.org Génaël VALET – Version 3.3 Mai 2008 Chap 3 : Authentification utilisateur La sécurité des réseaux Greta industriel des technologies avancées C h a p i t r e 3 : A u t h e n t i f i c a t i o n u t i l i s a t e u r Page 2 G. Valet – genael.valet@diderot.org Sommaire Ce que nous allons aborder dans ce chapitre L’authentification par mot de passe Les techniques d’attaques et les parades • Force brute • Par dictionnaire • Hachage • OTP : One Time Password • Les calculettes • La biométrie 2 La sécurité des réseaux Greta industriel des technologies avancées C h a p i t r e 3 : A u t h e n t i f i c a t i o n u t i l i s a t e u r Page 3 G. Valet – genael.valet@diderot.org Introduction L’authentification c’est : Le processus de vérification d’une identité annoncée par une entité Le processus d’authentification consiste à : Identifier : Présenter un identifiant au système de sécurité • Les identifiants doivent être distribués avec soin Vérifier : Présenter ou générer une information d’authentification qui prouve le lien entre l’entité et l’identifiant La sécurité des réseaux Greta industriel des technologies avancées C h a p i t r e 3 : A u t h e n t i f i c a t i o n u t i l i s a t e u r Page 4 G. Valet – genael.valet@diderot.org Authentification utilisateur Repose généralement sur le « login » Ensemble « nom d’utilisateur » + mot de passe Les noms d’utilisateurs sont limités en terme de longueur et de caractères utilisables Certains systèmes n’exigent pas d’authentification Windows 95 ou 98 par exemple Le nom d’utilisateur n’est pas suffisant car il se devine facilement 3 La sécurité des réseaux Greta industriel des technologies avancées C h a p i t r e 3 : A u t h e n t i f i c a t i o n u t i l i s a t e u r Page 5 G. Valet – genael.valet@diderot.org Mot de passe La sécurité de l’authentification repose donc uniquement sur le mot de passe Puisque le nom d’utilisateur peut être facilement deviné Le mot de passe est souvent limité A des groupes de caractères A une longueur limité (8 ou 16) Les mots de passe sont stockés sous la forme d’un hachage Même le système ne le connaît pas La vérification s’ effectue en comparant le hash du mot de passe donné par l’utilisateur avec le hash stocké La sécurité des réseaux Greta industriel des technologies avancées C h a p i t r e 3 : A u t h e n t i f i c a t i o n u t i l i s a t e u r Page 6 G. Valet – genael.valet@diderot.org Les techniques d’attaque On distingue 5 techniques d’attaque du mot de passe : Deviner le mot de passe Utiliser « l’ingénierie sociale » Recherche du mot de passe par « force brute » ou par énumération (dictionnaire) Rejeu des mots de passe déjà utilisés Utiliser les chevaux de troie ou « keylogger » 4 La sécurité des réseaux Greta industriel des technologies avancées C h a p i t r e 3 : A u t h e n t i f i c a t i o n u t i l i s a t e u r Page 7 G. Valet – genael.valet@diderot.org Ingénierie sociale Ou comment obtenir des informations sur un utilisateur ? Se faire passer pour une personne habilitée à demander un changement de mot de passe • Par email, par téléphone Et le mot de passe sur un post-it collé à l’écran d’un utilisateur? La sécurité repose alors sur le sérieux des employés Exiger une preuve d’identité avant de modifier un mot de passe Ne pas fournir de mot de passe par téléphone ou email La sécurité des réseaux Greta industriel des technologies avancées C h a p i t r e 3 : A u t h e n t i f i c a t i o n u t i l i s a t e u r Page 8 G. Valet – genael.valet@diderot.org Deviner le mot de passe Objectif : découvrir le mot de passe d’un utilisateur Pour un utilisateur donné, le mot de passe peut être déduit d’informations le concernant Nom, prenom de l’épouse ,des parents, des enfants Dates de naissance Animaux domestiques … Il faut informer les utilisateurs des dangers induits par la découverte d’un mot de passe 5 La sécurité des réseaux Greta industriel des technologies avancées C h a p i t r e 3 : A u t h e n t i f i c a t i o n u t i l i s a t e u r Page 9 G. Valet – genael.valet@diderot.org Recherche de mot de passe Les mots de passe sont statiques Les utilisateurs doivent se souvenir du mot de passe Ils choisissent des mots de passe facile à mémoriser • Souvent des lettres et pas de chiffres Un hash du mot de passe est stocké dans un fichier du système /etc/password sous Linux Base SAM sous Windows (C:\WINDOWS\SYSTEM32\CONFIG\) Certains logiciels sont capables de parcourir les hash et retrouver le mot de passe La sécurité des réseaux Greta industriel des technologies avancées C h a p i t r e 3 : A u t h e n t i f i c a t i o n u t i l i s a t e u r Page 10 G. Valet – genael.valet@diderot.org Pertinence du mot de passe Qu’est-ce qu’un bon mot de passe ? Un mot de passe long ? Alternant les chiffres et les lettres en majuscules et minuscules ? N’utilisant pas de mots du dictionnaire ? Toutes ces conditions peuvent contribuer à l’élaboration d’un bon mot de passe Ce n’est pas suffisant Exemple d’un mot de passe permettant de crypter un fichier nommé : aZe12der34.zip Le mot de passe « aZe12der34 » serait-il pertinent pour ce fichier ? 6 La sécurité des réseaux Greta industriel des technologies avancées C h a p i t r e 3 : A u t h e n t i f i c a t i o n u t i l i s a t e u r Page 11 G. Valet – genael.valet@diderot.org Exemples de mots de passe Bons ou mauvais mots de passe ? toto, 16021971, 123456789, kevin92, lilo c+dàdeviner, a2pasdici, A2Pasd'Ici jmlaSéqrité, ab12cd34ef56, a’56$*12fg 4r56$, ile2re, linuxestgrand, edrem$ Testez-les avec « Secure Password » Attention, ce logiciel de tient pas compte des attaques par énumération (dictionnaire) La sécurité des réseaux Greta industriel des technologies avancées C h a p i t r e 3 : A u t h e n t i f i c a t i o n u t i l i s a t e u r Page 12 G. Valet – genael.valet@diderot.org Attaque par « force brute » Le logiciel « pirate » effectue n tentatives pour trouver le mot de passe Si le système est protégé pour autoriser un nombre limité de tentatives : Le compte ciblé sera désactivé Un attaque sur tous les comptes peut amener à un « déni de service » où tous les comptes seront désactivés L’efficacité de l’attaque dépend de la puissance de l’ordinateur qui mène l’attaque Surtout si l’attaque est distribuée sur plusieurs ordinateurs 7 La sécurité des réseaux Greta industriel des technologies avancées C h a p i t r e 3 : A u t h e n t i f i c a t i o n u t i l i s a t e u r Page 13 G. Valet – genael.valet@diderot.org Challenge cryptographie RC5/64 bits Un challenge mondial a été mis en place pour déchiffrer un message codé en RC5 sur 64 bits Attaque distribuée par force brute Destinée à vérifier la solidité de l’algorithme 50 000 participants répartis dans 10 pays L’algorithme n’est pas prêt d’être « cracké » 1800 jours de calcul 68 719 476 736 blocs à chercher Un taux moyen d’essai de clé de 105 722 024 kilo clefs / secondes Réf : http://www.distributed.net/rc5/ La sécurité des réseaux Greta industriel des technologies avancées C h a p i t r e 3 : A u t h e n t i f i c a t i o n u t i l i s a t e uploads/Industriel/ securite-chap3-authentif-utilisateur.pdf