Authentification sur les systèmes Unix/Linux
L’authentification par fichiers est historiquement le premier système d’authentification sur Unix, qui continue encore d’exister. Les informations des utilisateurs sont stockés sur le fichier /etc/passwd tandis que les mots de passe sont hachés et stockés dans le fichier /etc/shadow. Ce dernier n’est accessible qu’à l’utilisateur root en lecture et il sert également à gérer la durée de vie du mot de passe et du compte. Le haché (ou hash) d’un mot de passe est une empreinte qui permet de l’identifier, mais ne peut être déchiffré. Une technique pour découvrir le mot de passe est de calculer le haché de toutes les combinaisons possibles et de comparer les résultats, c’est l’attaque par force brute. On peut plus simplement tester une quantité limité de termes, c’est l’attaque par dictionnaire. Une technique plus rapide consiste à stocker préalablement tous les hachés possibles dans des tables nommées arc-en-ciel et de trouver le résultat. Pour rendre plus compliquée l’utilisation des tables, on rajoute aléatoirement des caractères au mot de passe avant de passer par la fonction de hachage, c’est le salage.
Les algorithmes de hachage les plus courants sont :
DES : c’est une fonction de hachage basée sur l’algorithme de chiffrement DES. Il prend huit caractères au maximum. C’était la standard jusqu’à son obsolescence en 1999 ;
MD5 : une fonction de hachage utilisée dans les systèmes Unix. Une faille a été trouvée en 1996; SHA : c’est la fonction standard dans les systèmes actuels.
Le processus d’authentification est le suivant : lorsque l’utilisateur crée un mot de passe, le système génère un sel et une fonction de hachage sur la concaténation des deux éléments. Il stocke ensuite le sel et le résultat dans le fichier shadow ;
lors d’une tentative de connexion ; le système ajoute le sel au mot de passe, utilise la fonction de hachage et compare les deux résultats. S’ils sont identiques, l’utilisateur est considéré comme authentifié.
Authentification sur les systèmes Windows
Les comptes locaux Windows sont stockés dans le fichier C:\Windows\System32\config\SAM. Pour des raisons de sécurité, le fichier est généralement chiffré par l’utilitaire Syskey. Une protection supplémentaire est assurée par le fait qu’il est impossible de copier ce fichier pendant que Windows fonctionne.
Le mot de passe est stocké suivant deux hash différents : LMHash ou Lan Manager Hash est un ancien format développé par Microsoft qui possède actuellement un très faible niveau de sécurité et est désactivé sur les systèmes récents ; NTLMHash qui est le haché du mot de passe utilisé par le protocole New Technology Lan Manager (NTLM).
Le protocole d’authentification NTLM est utilisé lors de l’authentification interactive et de connexions réseaux sur des systèmes Microsoft Windows. Il n’est utilisé que lorsque des postes de travail ne sont pas membres d’un domaine Active Directory, pour lesquels une authentification Kerberos est préférée. Il en est, actuellement, à sa deuxième version NTLMv2, la première étant considérée comme faible au niveau sécurité.
C’est un protocole de type Challenge-Response où le mot de passe ne transite jamais par le réseau. Le serveur donne un challenge à déchiffrer au client, et celui-ci ne peut le faire que s’il connaît le bon mot de passe. La particularité étant que le challenge n’est pas crypté avec le mot de passe, mais avec le haché de celui-ci. Le corollaire étant que le haché du mot de passe devient aussi critique que le mot de passe lui-même. Le processus d’authentification est géré par le service «Security Account Manager» (isass.exe).
Les annuaires informatiques
Les annuaires informatiques sont mis à jour de manière épisodique. On peut citer entres autres : L’annuaire Network Information Service (NIS) qui est un système client/serveur développé par Sun et permet de partager un ensemble de fichiers de configuration communs. Il est principalement utilisé pour le partage de fichiers de configuration passwd et group, mais peut également être utilisé pour les partages réseaux et hostnames ;
L’annuaire Active Directory de Microsoft permet de centraliser les utilisateurs et les ordinateurs d’un domaine. Son rôle est de fournir des services centralisés d’identification et d’authentification à un réseau d’ordinateurs utilisant le système Windows. Active Directory répertorie les éléments d’un réseau administré tels que les comptes des utilisateurs, les serveurs, les postes de travail, les dossiers partagés, les imprimantes, etc. Un utilisateur peut ainsi facilement trouver des ressources partagées, et les administrateurs peuvent contrôler leur utilisation grâce à des fonctionnalités de distribution, de duplication, de partitionnement et de sécurisation de l’accès aux ressources répertoriées ;
Le protocole Lighweight Directory Access Protocol (LDAP) est à l’origine un protocole permettant l’interrogation et la modification des services d’annuaire reposant sur TCP/IP. Il a cependant évolué pour représenter une norme pour les systèmes d’annuaires, incluant un modèle de données, un modèle de nommage, un modèle fonctionnel basé sur le protocole LDAP, un modèle de sécurité et un modèle de réplication.
Les serveurs d’authentification
On peut en citer les trois suivants : kerberos, authentification réseau avec radius et l’authentification web.
Le protocole Kerberos
Kerberos est un protocole d’authentification réseau qui repose sur un mécanisme de clés secrètes (chiffrement symétrique) et l’utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d’interception frauduleuse des mots de passe des utilisateurs.
Les concepts de kerberos : les applications sont déchargées de l’authentification ; les applications ne recueillent pas les éléments d’authentification ; le serveur d’authentification délivre des tickets aux clients et aux applications ; la relation de confiance entre le serveur d’authentification et les applications.
C’est une référence en termes d’authentification et il est implémenté dans l’ensemble des systèmes d’exploitation actuels. Il permet un mécanisme d’authentification Single Sign-On entre les ressources informatiques d’une même entité.
Le mot de passe ne transitant pas par le réseau, il est d’une grande sûreté même dans des environnements réseaux hostiles. Il permet également d’assurer que les ressources sur lesquelles on cherche à se connecter sont bien les bonnes par un mécanisme d’authentification mutuelle. Il est à noter que kerberos ne s’occupe que d’authentification, et ne fournit aucune des informations utilisateurs nécessaires à la connexion sur un système d’exploitation. Il doit donc être couplé dans ce cas-là avec une source externe d’information, comme un annuaire LDAP. Le serveur kerberos peut également être utilisé comme source d’authentification par les serveurs réseau (Radius) ou web (CAS, Shibboleth).
L’authentification repose sur la notion de Royaume, frontière administrative où le serveur fait office d’autorité pour authentifier les ordinateurs hôtes, les services et les utilisateurs. Il est aussi possible d’établir des relations d’approbations entre différents Royaumes, entre entités se faisant confiance. Les entrées dans la base de données d’authentification sont nommées les principaux kerberos. L’authentification Kerberos se passe en trois composants : le key Distribution center (KDC) qui est un tiers de confiance, le client et le serveur d’application. Une fois l’authentification auprès du KDC effectuée, il renvoie à l’ordinateur de l’utilisateur un ticket spécifique à cette session de sorte que tout service «kerberisé» puisse rechercher le ticket sur l’ordinateur de l’utilisateur plutôt que de demander à l’utilisateur de s’authentifier à l’aide d’un mot de passe.
L’authentification avec radius
L’authentification avec radius (Remote Authentification Dial-In User Service) : radius est un protocole client-serveur permettant de centraliser des données d’authentification. Il répond principalement aux besoins d’authentification d’éléments réseau sans fil comme des commutateurs, des points d’accès réseau sans fil ou des serveurs d’accès distants. Ces clients radius peuvent également être appelés Network Access Server (NAS) ou Authentificator dans la terminologie 802.1x (standard lié à la sécurité des réseaux informatiques, mis au point par l’IEEE) ou EAP et permettent d’accéder au réseau de l’entreprise. Le protocole Extanded Authentification Protocol (EAP) est un framework d’authentification qui est déployé sur les points d’accès réseau. Il s’occupe de la négociation avec le demandeur (supplicant) et peut résoudre les requêtes d’authentification qu’il comprend. Il peut également s’appuyer sur un serveur d’authentification Radius pour les traiter. Les serveurs Radius récents supportent le protocole EAP. La norme 802.1x de l’IEEE définit l’encapsulation du protocole EAP dans un réseau local.
Le protocole Radius implémente le protocole AAA (Authentification, Autorisation et Accounting). Les concepts d’authentification et d’autorisation sont similaires à ceux de l’authentification système. L’Accounting permet la traçabilité de la consommation des ressources réseaux pouvant donc conduire à une facturation.
Le serveur Radius peut authentifier les utilisateurs lui-même ou s’appuyer sur un autre système d’authentification comme LDAP, Active Directory, Kerberos ou un autre serveur Radius.
Les trois types d’authentification sur les services
Authentification unique Windows intégrée : Les services de l’authentification unique Windows intégrée permettent de se connecter à plusieurs applications de votre réseau qui utilisent une méthode d’authentification commune.
Lorsque vous êtes connectés au réseau, ils vérifient vos informations d’identification et utilisent celles-ci pour déterminer les actions que vous pouvez exécuter en fonction de vos droits d’utilisateur. Par exemple, si les applications sont intégrées à l’aide de Kerberos, une fois vos informations d’identification authentifiées par le système, vous pouvez accéder à toutes les ressources du réseau intégré à Kerberos. Authentification unique extranet (via le web) : Ces services permettent d’accéder à des ressources via Internet à l’aide d’un ensemble unique d’informations d’identification. L’utilisateur fournit des informations d’identification qui permettent d’ouvrir une session sur différents sites Web appartenant à différentes organisations. C’est le cas par exemple de Windows Live ID pour les applications destinées aux consommateurs. Dans le cadre des scénarios fédérés, les services ADFS (Active Directory Federation Services) activent l’authentification unique via le Web. Authentification unique via un serveur intranet : Ces services permettent d’intégrer plusieurs applications et systèmes hétérogènes au sein de l’environnement de l’entreprise. Ceux-ci peuvent ne pas utiliser l’authentification commune. Chaque application possède son propre magasin d’annuaires d’utilisateurs. Par exemple, pour authentifier les utilisateurs d’une organisation, Windows utilise le service d’annuaire Active Directory et les macroordinateurs utilisent RACF (Resource Access Control Facility) d’IBM (International Business Machines Corporation). Au sein de l’entreprise, les applications intermédiaires intègrent les applications principales et frontales. L’authentification unique de l’entreprise permet aux utilisateurs de l’entreprise de se connecter aux deux types d’applications à l’aide d’un seul ensemble d’informations d’identification. Ainsi, aussi bien l’authentification unique initiée par Windows (demande initiale effectuée à partir de l’environnement du domaine Windows) que l’authentification unique initiée par l’hôte (demande initiale effectuée à partir de l’environnement d’un domaine non-Windows) est en mesure d’accéder à une ressource dans le domaine Windows.
En outre, la synchronisation de mot de passe simplifie l’administration de la base de données SSO et synchronise les mots de passe synchronisés au sein des répertoires utilisateur.
Table des matières
INTRODUCTION GENERALE
PREMIERE PARTIE : Cadre de référence et approche méthodologique
Chapitre 1er : Cadre de référence
Section 1ère : La Direction générale des Douanes
Section 2 : La Direction des Systèmes informatiques douaniers
Chapitre 2 : Approche méthodologique
Section 1ère : Etude de l’existant
Section 2 : Critique de l’existant
DEUXIEME PARTIE : Approche théorique
Chapitre 1er : Généralités sur l’identification et l’authentification
Chapitre 2 : Etat de l’art sur les techniques d’authentification
Chapitre 3 : L’authentification unique
Section 4 : Choix et justification de la solution
TROISIEME PARTIE : Implémentation de la solution
3.1 Les outils technologiques
3.2 Mise en œuvre
Lexique
CONCLUSION
WEBOGRAPGIE
BIBLIOGRAPHIE