Apparu en 2000, le système d’identification unique reste encore d’une actualité brûlante

Le trader à l’origine de la fraude record de 5 milliards d’euros aurait simplement exploité les lacunes de la politique de sécurité de la Société générale. Des identifiants et mots de passe permettant l’accès à des applications sensibles n’étaient pas changés régulièrement.

Depuis de nombreuses années, les entreprises ont investi lourdement dans leur système de sécurité pour se prémunir d’attaques extérieures et s’aperçoivent que, dans 70 % des cas, le danger vient de l’intérieur. Cela va d’un post-it, comportant les mots de passe, laissé négligemment sur l’écran de l’ordinateur, l’utilisation d’un même mot de passe pour ses différents accès ou du non-respect de règles de modification régulière des mots de passe comme dans le cas de fraude à la Société générale.

Autre cas de figure : les collaborateurs sont obligés quotidiennement et à de multiples occasions de taper leur nom d’utilisateur et leurs différents mots de passe. On estime qu’une personne qui entre son login et son mot de passe en moyenne 10 à 15 fois par jour fait perdre chaque année 55 heures de travail à son entreprise. Une aberration dans un contexte de recherche de productivité.

On doit aussi parler de la complexification du travail des personnes en charge de gérer les authentifications, lors de l’arrivée d’un nouveau collaborateur ou quand il faut appliquer certaines politiques de sécurité.

Des solutions à la fois simples et économiques auraient pu éviter bien des soucis à de la Société générale : centralisation de l’authentification afin de pouvoir appliquer facilement une stratégie de sécurité vis-à-vis des mots de passe, mise en place d’un SSO au niveau des différentes applications web ainsi que des services (messagerie, serveurs de fichiers, serveur d’authentification...). Il existe aussi différentes méthodes d’authentification plus sécurisées que les mots de passe : les signatures digitales, les mots de passe à usage unique, la biométrie, voire une combinaison de plusieurs techniques qui pourront se présenter sous la forme de cartes à puce, de clés USB, de badges ou de token.

Cet article a été rédigé avec la participation de Didier Granjon, cofondateur de Simia.

par Laurent Le Diagon (son site) mercredi 13 février 2008 - 4 réactions

(7 votes) Votez cet article

Faire un don

2 moyens pour donner

Don défiscalisé 10€ ou plus

Obtenez une réduction fiscale de 66% avec un e-reçu. Un don de 10 € ne vous coûte que 3€40.

Grâce à votre aide, AgoraVox peut continuer à publier plus de 1000 articles par mois. En donnant à la Fondation AgoraVox, vous offrez un soutien à la liberté d'expression et d'information.

Les réactions les plus appréciées

Par MagicBuster (xxx.xxx.xxx.123) 13 février 2008 11:43

La centralisalisation de l’authentification est UNE FAIBLESSE. Le SSO (Sigle Sign On) n’est que très peu utilisé pour la sécurité.

Par contre, cette technologie est largement utilisée pour faciliter les accès aux personnes non informaticiennes dont vous faites vraissemblablement partie (DRH, Marketing, vente).

D’un point de vue purement informatique, j’espère ne pas vous apprendre qu’aucun mot de passe n’est requis pour les services de production. C’est un mécanisme de clé (cryptée - type SSH) qui permet la connexion de façon transparente depuis un serveur sécurisé vers tous les autres serveurs à exploiter.

Comme toujours, on ne résoud jamais vraiment les problèmes de sécurité, on les réduit, on les déplace, on les filtre . . . La sécurité c’est toujours une question de compromis entre les risques et le service souhaité.

Si la SG fonctionne comme elle fonctionne, c’est qu’elle l’a choisi.

Lire le commentaire dans son contexte

Réagir à l'article Réagir à ce message Signaler un abus
Par redo_fr (xxx.xxx.xxx.35) 13 février 2008 13:42

J’abonde dans le sens de MagicBuster.

En tant qu’administrateur des systèmes informatiques d’une grande entreprise, je pense que le SSO est très dangeureux : Cela signifie que si un mot de passe est compromis, tous les accès dont bénéficie cet utilisateur peuvent potentiellement être compromis eux aussi.

Le vrai problème reste, je pense, encore et toujours l’éducation des utilisateurs. Alors oui, les admins sont pénibles avec leurs mots de passe à changer régulièrement, oui, ils rabâchent tout le temps la même rengaine, mais la sécurité est à ce prix, et les tristes exemples dont nous avons été témoins récemment prouvent le danger du laxisme dans ce domaine fort délicat

Lire le commentaire dans son contexte

Réagir à l'article Réagir à ce message Signaler un abus
Par crumpet (xxx.xxx.xxx.137) 13 février 2008 14:33
À noter la possibilité d’utilisation de petits périphériques parfois appelés "clef RSA", où un nombre s’affiche et change toutes les 30 secondes environ, durée pendant laquelle ce nombre est valide. Lorsque vous voulez vous identifier vous devez rentrer le nombre affiché et votre mot de passe. Sur le serveur, le nombre change suivant le même algorithme (on ne va pas le détailler ici) que sur la clef. Un tel système augmente sensiblement la sécurité et, si on prend l’exemple que vous donnez, à savoir l’utilisation de mot de passe d’autres personnes par Jérôme K., cela aurait été beaucoup plus difficile à faire (JK aurait du "emprunter" les clef RSA).

Deux remarques sur l’article :
- on ne dit pas signatures digitales mais plutôt signatures numériques (digitale signifiant doigt)
- pourquoi voulez-vous changer les identifiants régulièrement ?
Lire le commentaire dans son contexte

Réagir à l'article Réagir à ce message Signaler un abus

Réagissez à l'article

Réactions à cet article

Par MagicBuster (xxx.xxx.xxx.123) 13 février 2008 11:43

La centralisalisation de l’authentification est UNE FAIBLESSE. Le SSO (Sigle Sign On) n’est que très peu utilisé pour la sécurité.

Par contre, cette technologie est largement utilisée pour faciliter les accès aux personnes non informaticiennes dont vous faites vraissemblablement partie (DRH, Marketing, vente).

D’un point de vue purement informatique, j’espère ne pas vous apprendre qu’aucun mot de passe n’est requis pour les services de production. C’est un mécanisme de clé (cryptée - type SSH) qui permet la connexion de façon transparente depuis un serveur sécurisé vers tous les autres serveurs à exploiter.

Comme toujours, on ne résoud jamais vraiment les problèmes de sécurité, on les réduit, on les déplace, on les filtre . . . La sécurité c’est toujours une question de compromis entre les risques et le service souhaité.

Si la SG fonctionne comme elle fonctionne, c’est qu’elle l’a choisi.

Réagir à l'article Réagir à ce message Signaler un abus Lien permanent
Par redo_fr (xxx.xxx.xxx.35) 13 février 2008 13:42

J’abonde dans le sens de MagicBuster.

En tant qu’administrateur des systèmes informatiques d’une grande entreprise, je pense que le SSO est très dangeureux : Cela signifie que si un mot de passe est compromis, tous les accès dont bénéficie cet utilisateur peuvent potentiellement être compromis eux aussi.

Le vrai problème reste, je pense, encore et toujours l’éducation des utilisateurs. Alors oui, les admins sont pénibles avec leurs mots de passe à changer régulièrement, oui, ils rabâchent tout le temps la même rengaine, mais la sécurité est à ce prix, et les tristes exemples dont nous avons été témoins récemment prouvent le danger du laxisme dans ce domaine fort délicat

Réagir à l'article Réagir à ce message Signaler un abus Lien permanent
Par crumpet (xxx.xxx.xxx.137) 13 février 2008 14:33
À noter la possibilité d’utilisation de petits périphériques parfois appelés "clef RSA", où un nombre s’affiche et change toutes les 30 secondes environ, durée pendant laquelle ce nombre est valide. Lorsque vous voulez vous identifier vous devez rentrer le nombre affiché et votre mot de passe. Sur le serveur, le nombre change suivant le même algorithme (on ne va pas le détailler ici) que sur la clef. Un tel système augmente sensiblement la sécurité et, si on prend l’exemple que vous donnez, à savoir l’utilisation de mot de passe d’autres personnes par Jérôme K., cela aurait été beaucoup plus difficile à faire (JK aurait du "emprunter" les clef RSA).

Deux remarques sur l’article :
- on ne dit pas signatures digitales mais plutôt signatures numériques (digitale signifiant doigt)
- pourquoi voulez-vous changer les identifiants régulièrement ?
Réagir à l'article Réagir à ce message Signaler un abus Lien permanent
Par Didier Granjon (xxx.xxx.xxx.170) 13 février 2008 18:13

Bonjour,

Effectivement, le SSO s’adresse particulièrement à l’ensemble des utilisateurs. Celui-çi peut être un point faible dans le sens ou un seul contrôle est demandé pour avoir l’accès aux différentes ressources. Le tout est de renforcer ce contrôle, par l’utilisation de la biométrie ou de token contenant une clé rsa et un code pin.

C’est identique au poste qui peut se connecter sur l’ensemble des serveurs via une clé SSH. La compromission de ce poste permet l’accès à l’ensemble des serveurs. On reforce alors le point le plus faible ( accès physique ou réseau à ce poste dans cet exemple, méthode d’authentification dans le cadre du SSO )

Il faut comprendre que pour un informaticien, il est peut être préférable d’utiliser plusieurs couple login/password. Mais qu’en est il de l’utilisateur à qui il faut répeter sans cesse les règles basiques de sécurité. Le SSO avec une méthode d’authentification adaptée permet justement de réduire les risques liés à ces utilisateurs qui représentent une grande partie de l’entreprise. La complexité n’est pas l’ami de la sécurité, bien au contraire.

C’est en ce sens que le SSO avec une méthode d’authentification adaptée, aurait pu éviter à la société générale l’utilisation d’un login/mot de passe par un de ces collaborateurs à qui il n’était pas destiné. L’utilisation d’un token, ou de reconnaissance digitale voir rétinienne aurait pu éviter à JK de se faire passer pour quelqu’un d’autre.

Le SSO, peut être lourd à mettre en place, ce pourquoi il est peu utilisé actuellement. Sa mise en en place nécéssite un réflexion globale vis à vis de l’architecture informatique mais également au niveau du système d’information et beaucoup de société attendent justement une refonte de leur infrastructure pour le mettre en place, réduisant ainsi les coûts en l’intégrant dans un projet global. Après, cela va dépendre de l’infrastructure et du système d’information.

Cordialement,

Mr Granjon.

Réagir à l'article Réagir à ce message Signaler un abus Lien permanent