Sécurité des systèmes d`information

Module 312
Sécurité des systèmes d'information
Identification, Authentification, Autorisation
Identification, Authentification
Droits d'accès
Bibliographie
Gérard-Michel Cochard
[email protected]
Identification, Authentification, Autorisation
Identification et Authentification
●
●
●
Identification : Se faire connaître du système
Authentification : Prouver qui on est
Autorisation : Avoir le droit d’effectuer une opération précise
Chaque usager doit être connu du système d’accès aux information ; en général, tout utilisateur possède
un nom d’utilisateur (username) qui lui est demandé lors de la connexion (login) au système. Les usagers
sont répertoriés dans un fichier « utilisateurs » (user file).
Il faut ensuite prouver son identité, la reconnaissance étant effectuée par un service d’authentification.
La méthode d’authentification la plus fréquente est celle des mots de passe (password). Le mot de passe
est codé suivant un algorithme connu seulement du système qui effectue une vérification dans le fichier
des utilisateurs
Problème de base : faire en sorte que les mots de passe ne puissent pas être facilement devinés.
Rappelons à ce propos l'étude de Morris et Thomson (1979) :
1)Établissement d’une liste de mots de passe :
Noms, prénoms de personnes
Noms de rues
Noms de villes
Mots du dictionnaire
…….
2) Comparaison avec les mots de passe des utilisateurs
Résultat : 86% des mots de passe peuvent être devinés.
Parade n°1 : Augmenter le nombre de caractères du mot de passe E
exemple : mot de passe à 7 caractères (parmi 95 caractères ASCII imprimables). Les mots de passe
possibles sont au nombre de : 957 = 70 000 000 000 000 mots de passe. Cette liste occuperait 490 000
Go, soit 350 millions de disquettes ou 765 625 CD-ROM ! Si on veut comparer un mot de passe à cette
liste, en supposant que l’on puisse comparer 1000 mots par seconde, il faudrait 2215 ans (sans
interruption de travail) pour essayer tous les mots de passe.
Parade n°2 : Mettre au moins 1 minuscule, 1 majuscule, 1 caractère spécial dans un mot de passe : Plus
difficile à deviner.
Parade n°3 : Emploi de syllabes aléatoires
exemple : (Wood- 1977) :
cou
as
di
ment
or
cu
li
nier
teur
par
co
jou
pla
pour
fonc
in
coulijou
plapourtoi
asfonctaire
parculinier
con
toi
mo
taire
mots plus faciles à
mémoriser mais ne
figurant pas dans un
dictionnaire
Parade n°4 : changement périodique obligatoire du mot de passe
●
●
soit conseillé
soit imposé
Parade n°5 : protéger le fichier des mots de passe.
●
●
Méthode simpliste : coder les mots de passe avec la même règle
Méthode plus adaptée : à chaque mot de passe, on fait correspondre un nombre aléatoire (avec
une méthode d’encryptage) et on code les groupes « mot de passe + nombre aléatoire » avec une
règle commune.
exemple :
Autres méthodes : utiliser non pas ce que l’utilisateur « est » mais ce qu’il « sait » ou ce qu’il « a ».
●
Emploi d’un algorithme :
exemple 1 : choix d’un algorithme par l’utilisateur : x2
NB: on peut changer d’algorithme à mi-journée
exemple 2 : algorithme utilisant des informations du système :
●
●
●
Emploi d’une carte ou d’un badge Souvent utilisés avec deux niveaux de reconnaissance : Le
numéro de la carte ou du badge Le mot de passe entré par l’utilisateur (double contrôle).
Emploi des caractéristiques de l’utilisateur Empreintes digitales Reconnaissance vocale Analyse
de signature Reconnaissance visuelle
Certificats Utilisés pour l’accès aux serveurs Web. Grande population d’utilisateurs : difficulté de
gestion des mots de passe Méthode impossible : partage d’un mot de passe unique Un certificat
contient La clé publique de chiffrement Le nom du propriétaire du certificat Le nom de l’autorité
qui a délivré le certificat Le numéro de série du certificat divers attributs (servent à la
définition des droits d’accès) Un certificat n’est autre qu’un permis d’accès.
Droits d'accès
Une fois identifié et authentifié, il faut vérifier les droits d’accès de l’utilisateur aux objets du
systèmes d’information : Matériels : processeurs, terminaux, disques, imprimantes, … Logiciels :
processus, fichiers, bases de données, sémaphores, …
●
Première approche : la matrice d’autorisation
Inconvénient majeur : matrice énorme et creuse
Deuxième approche : ACL (Access Control List)
●
Elle consiste à stocker les colonnes de la matrice en ne gardant que les éléments non nuls.
exemple :
●
●
4 utilisateurs : Jules, Henri, Consuela, Marcel : uid
3 groupes : Système, Enseignant, Etudiant : gid
F0 : (Jules, *, RWX)
F1 : (Jules, systeme, RWX)
F2 : (Jules, *, RW-)(Henri, Enseignant, R--)(Marcel,*,R--)
F3 : (*, Etudiant, R--)
F4 : (Consuela, *, -W-)(*, Etudiant, R--)
avec (uid, gid, droits) où uid est l'identificateur d’utilisateur et gid l' identificateur de groupe.
Reprise du principe par UNIX en plus simple : 3 groupes d’utilisateurs :
●
●
●
le propriétaire
le groupe §
les autres
Pour chaque objet :
r = read, w = write, x = execute
représenté par 0(interdit) ou 1(permis)
exemple : 111110100 = (764)8 signifie que
●
●
●
●
le propriétaire peut lire, écrire, exécuter
le groupe peut lire et écrire mais pas exécuter
les autres peuvent seulement lire
Troisième approche : C-list (liste des capacités)
Le stockage de la matrice des autorisations s'effectue par ligne (listes).
On peut rajouter des droits génériques :
●
●
●
●
Créer une nouvelle capacité
Copier un objet
Retirer une capacité
Détruire un objet
Bibliographie
●
●
●
●
●
●
●
●
●
●
●
●
A. Tanenbaum : Systèmes d’exploitation (InterEditions)
A. Tanenbaum : Réseaux (InterEditions)
S. Ghernaouti-Helie : Sécurité Internet (Dunod)
W. Stallings : Data and Computer Communications (Prentice Hall)
Maekawa, Oldehoeft & Oldehoeft : Operating Systems (Benjamin)
Réseaux et protection numérique des documents multimédias (études INA)
Réseaux et commerce électronique (études INA)
J.P. Lovinfosse : Le piratage informatique (Marabout)
N.J.Yeager, R.E.McGrath : Technologie des serveurs Web (Thomson Pub.)
S.M.Bellowin, W.R.Cheswick : Firewalls et sécurité Internet (Addison Wesley)
A.Fenyö, F.Le Guern, S. Tardieu : Raccorder son réseau d'entreprise à l'Internet (Eyrolles)
Commission Nationale de l'Informatique et des Libertés : http://www.cnil.fr