Les types de menace
Bombe logique : Une bombe logique est un programme dormant dans un système qui ne s’exécute que si les conditions nécessaire sont réunies.
Cheval de Troie : Un cheval de Troie est un programme malveillant tout en donnant l’apparence de donner une fonction légitime.
Backdoors : Un Backdoors ou en français une porte dérobée est une faille de sécurité due à un défaut de conception accidentel ou intentionnel.
Virus : Un virus est un segment de programme capable de se reproduire et de s’adjoindre à un autre programme pour devenir un cheval de Troie.
Ver : Un ver est un programme autonome capable de se dupliquer et se propager dans le réseau à l’insu des utilisateurs.
Spamming : Le spamming est l’usage abusif d’un serveur de messagerie destiné à exposer de manière répéter et délibérément des contenus non pertinents à ses utilisateurs.
Sniffing : Sniffing ou écoute passive est l’action d’accéder à des données transmises sur un canal de communications ou un stockées sur un disque vulnérable.
Spoofing : Spoofing ou usurpation d’identité est de se faire passer pour quelqu’un d’autre afin de faire une action malveillante.
Dos /DDOS : Le dos ou déni de service en français est l’attaque d’un serveur destiné à l’empêcher de remplir sa fonction.
Face à ces menaces, nombreux sont les solutions matérielles et nom matérielles qui nous permettent de se prévenir ou d’agir contre les attaques qui nous guettent.
Notion de sso
Définition des concepts : L’identification est le processus qui permet de vérifier l’identité d’une personne via un login par exemple.
L’authentification est par contre le processus qui permet de vérifier que la personne est bien celle qu’elle prétend être.
L’autorisation permet de donner des droits d’accès à une personne. L’authentification forte est un processus combinant plusieurs moyens d’authentification.
Un web sso est une solution qui fournit une signature unique pour les web services basées sur http et https.
Un sso lourd est une solution d’entreprise qui nécessite une installation et une configuration sur chaque machine client.
Sécurité des systèmes d’information
Si un système d’information se définit comme étant l’ensemble de données, programmes, ordinateurs, procédures, personnes et d’environnement physique, alors sa sécurité se définit ainsi. L’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d’information.
Assurer la sécurité du système d’information est une activité du management du système d’information. Les systèmes informatiques sont devenus le centre nerveux des nations modernes et incontournables dans notre quotidien mais aussi le théâtre des affaires malintentionnées donnant naissances à plusieurs types de menaces.
Les solutions
La cryptographie : Jadis la cryptographie se définissait comme étant l’art d’élaborer des méthodes de transmettre des messages de manière confidentielle par chiffrement .Aujourd’hui sa raison d’être est de traiter en général des problèmes de sécurité informatique et de fournir un certain nombre d’outils de sécurité.
Elle couvre quatre grandes fonctions de sécurité :
La confidentialité : La confidentialité se définit comme étant le fait de garantir que l’information n’est accessible qu’a ceux qui en ont le droit. L’outil cryptographique permettant d’assurer cette fonction est le chiffrement.
Authentification : L’authentification garantit l’origine de l’information, en général on utilise la signature pour assurer cette fonction.
Intégrité : L’intégrité garantit que le message n’est pas altère. Il faut utiliser la signature et/ou le chiffrement pour assurer cette fonction.
La non-répudiation : Il s’agit de garantir qu’aucun des partenaires de la transaction ne puisse nier sa participation. Les certificats numériques garantissent cette fonction.
Les firewalls : Un pare-feu (de l’anglais firewall) est un logiciel et/ou un matériel permettant de faire respecter la politique de sécurité du réseau, celle-ci définissant quels sont les types de communications autorisés sur ce réseau informatique. Il mesure la prévention des applications et des paquets.
L’antivirus : Un antivirus est un logiciel informatique destiné à identifier et à effacer des logiciels malveillants (malwares en anglais), également appelés virus, Chevaux de Troie ou vers selon les formes. Les protocoles : Un protocole est une série d’étapes à suivre pour permettre une communication harmonieuse entre plusieurs ordinateurs ou périphériques reliés en réseau. Certains protocoles comme AAA, IPsec, ssh sont dédies sécurité.
Le iPS et les IDS : Un système de prévention d’intrusion (ou IPS, Intrusion Prévention System) est un outil des spécialistes en sécurité des systèmes d’information, similaire aux IDS, permettant de prendre des mesures afin de diminuer les impacts d’une attaque.
Etude des solutions sur le marché
Il existe en générale deux types de solutions d’authentification unique : des sso web généralement open source qui conviennent as des utilisateurs d’applications web mais pour une solution d’entreprise il faut se tourner vers des logiciels payants.
Evidian
Evidian entreprise SSO permet de déployer rapidement une solution efficace d’authentification unique. Les utilisateurs accèdent à leurs applications plus facilement avec une sécurité accrue. Architecture : Elle est basée sur l’annuaire de l’entreprise permettant de faire des montés en charge sans interruptions.
Pour une grande entreprise disposant d’entités ayant chacune son propre annuaire et sans relation d’approbation, le service de SSO commun à toutes les entités peut être déployé sans remettre en cause ce principe de gouvernance. Cette architecture est basée sur la mise en place d’un annuaire commun facilement déployé. Chaque utilisateur s’authentifie dans le domaine de sa propre entité et bénéfice du service de SSO mis à disposition à partir de l’annuaire commun.
Sécurité : Evidian permet d’appliquer des politiques de sécurité et de faire respecter la complexité de mot de passe. Cette politique est différente pour chaque application, même si l’application elle-même est plus permissive. Cela est possible car toutes les opérations se passent sous le contrôle du SSO. En conséquence les mots de passe peuvent être différents pour chaque application. Des exceptions sont possibles et certaines applications peuvent, sans difficulté, être déclarées comme utilisant le mot de passe de la session Windows de l’utilisateur. Mais que se passe-t-il si un employé souhaite qu’un collègue le remplace pendant une absence.
Auparavant, il lui révélait son identifiant et son mot de passe, avec tous les risques en termes de sécurité et d’audit que cela comporte.
Au contraire, Evidian Enterprise SSO permet à un employé de déléguer l’accès de façon temporaire à un collègue. Il ne peut bien sûr le faire que si vous avez autorisé cette éventualité. L’historique des accès est également conservé, ce qui permet de distinguer quelles opérations ont été effectuées par quelle personne.
Lemonldap
Se LemonLDAP a été créée par Éric German pour le ministère des finances français. Initialement baptisé LemonLDAP, en hommage à Novell, il était conçu pour être compatible avec un système d’authentification unique (SSO) de Novell. Il est basé sur l’ouvrage » Writing Apache Modules with Perl and C The Apache API and mod_perl » de Doug MacEachern et Lincoln Stein (O’reilly) Il s’est nommé LemonLDAP par la suite. À partir de 2004, le projet a été progressivement repris par la Gendarmerie nationale française pour devenir en 2005 LemonLDAP::NG. Les deux projets ont coexisté quelque temps avant l’abandon définitif du support de LemonLDAP.
Architecture : LemonLDAP: NG permet de baser l’authentification des applications web sur un annuaire LDAP, mais aussi sur de nombreux autres annuaires, bases de données, ainsi que sur d’autres systèmes tels qu’Open ID et SAML. Il peut également servir de fournisseur CAS, OpenID et SAML.
Pour la configuration il vous faut trois bases de données.
La base de configuration : par défaut, il s’agit d’un simple répertoire, mais on peut utiliser une base de données pour permettre le fonctionnement si tous les éléments ne se trouvent pas sur le même serveur. L’annuaire LDAP : outre les authentifications (qui peuvent être effectuées par un autre moyen), il est utilisé pour récupérer les caractéristiques de l’utilisateur et calculer ses droits.
la base des sessions : LemonLDAP::NG utilise les modules Apache::Session pour gérer les sessions. Par défaut, c’est le module Apache:Session:: File qui est utilisé et donc cette base est un simple répertoire. En utilisant Apache::Session::MySQL par exemple, la base devient accessible au travers du réseau permettant le déploiement de la solution sur plusieurs serveurs.
Sécurité : Les autorisations sont contrôlées seulement par les agents protégeant les applications. En effet, le portail ne peut connaître à l’avance les applications sur lesquelles l’utilisateur se connectera. En configurant votre Web-SSO, vous devez: choisir les attributs LDAP que vous souhaitez utiliser pour les autorisations et la traçabilité, créer d’éventuelles expressions Perl pour définir des groupes d’utilisateur (en utilisant les attributs LDAP), créer des règles d’accès associant des expressions régulières triant les URL à des expressions Perl calculant le droit d’accès correspondant.
Table des matières
Première partie : Environnement et méthode de travail
I.Environnement de travail
Présentation du master TDSI
II.Méthode de travail
1.Problématique
2.Objectifs
Deuxième partie : Notion de sso et sécurité des systèmes d’information
I.Sécurité des systèmes d’information
II.Notion de sso
1Définition des concepts
2.Généralité sur les solutions
a.Architecture
b.Les classes d’approches
3.Etude des solutions sur le marché
a.Evidian
b.Lemonldap
c.CAS (central authentification service)
d.Avencis ssox
4.Etude comparative des solutions
5.Choix d’une solution
Troisième partie : Proposition de solution
1.Focus sur cas : fonctionnement
2.Mise en œuvre
a.Installation de Debian 7
b.Installation de java
c.Installation de tomcat7
d.Installation maven
e.Installation de cas
g.Test
CONCLUSION
WEBOGRAPHIE