Chapitre I Partie 2: Authentification des Messages Et Applications

Enseigné à l’Université Catholique de Bukavu-UCB

Promotion: 2ème License en Réseaux et Télécommunications

15/11/2023 Enseignant: Ruphin Kusinza Byamungu, M.Sc

 Rappels & généralités
 Le contrôle d ’accès est la base des mécanismes informatiques:
 Il permet de spécifier la politique dans le domaine de l ’informatique.
 Il définit la façon dont le système contrôle ces droits.
 Il devrait, en théorie, encapsuler toutes les autres techniques informatiques
 Pour l’instant ce n’est pas le cas.
 Principe du moindre privilège :
 Un objet ne doit disposer que des droits qui lui sont strictement nécessaires pour réaliser les tâches qui lui
sont dévolues.
 Utilisation de politique obligatoire :
 La politique doit le moins possible dépendre des utilisateurs en tant que personne, mais reposer sur les
rôles de la politique de sécurité du système d’information.

2
 Méthodes d’authentification des personnes
 L'authentification = vérification de l'identité d'une entité.
 L'une des mesures les plus importantes de la sécurité:
 Impossible d'assurer la confidentialité, l'intégrité, la non répudiation sans la garantie de l'identité de l'entité soumettant
une requête.
 L'authentification devrait être assurée en continue (pas une fois pour toute à l'ouverture d'un objet ou en
début de session)
 Un personne peut quitter son poste en le laissant ouvert :
 procédure de déconnexion automatique
 procédure d ’authentification périodique
 Une entité informatique peut être corrompue
 une substitution peut avoir lieu (surtout en réseau, nécessité de protocoles de sécurité)
 L'authentification des personnes peut se faire par trois méthodes:
 Ce que connaît l’utilisateur (Mot de passe),
 Ce que détient l’utilisateur (carte…),
 Ce qu’est l’utilisateur (Méthode biométrique)

3
 Authentification par connaissance
 Le mot de passe, le code confidentiel
 Technique la plus simple et la plus répandue
 Problèmes bien connus:
 Si le mot de passe est simple il peut être trouvé par une attaque par dictionnaire
 Si le mot de passe est compliqué l’utilisateur le note pour s’en souvenir !
 La frappe du mot de passe peut être publique
 Les mots de passe doivent être stockés (point sensible)
 Quelques parades:
 Ne jamais utiliser son login, son nom, le nom de son chien, son n°de tél., un mot d’un dictionnaire…
 Utiliser chiffres et lettres avec des caractères spéciaux au moins 6 à 7 caractères, mais trouver un moyen mémotechnique
 Obliger l'usager à changer régulièrement de mot de passe.
 Surveiller les tentatives d'accès illicite par comptage (les afficher).
 Prévenir l'usager des connexions précédentes sur son compte en affichant la date et l'heure (par exemple du dernier accès).

4
MDP: l’exemple d’Unix/Linux crypt()
 On ne stocke pas les MDP dans /etc/passwd ou
/etc/shadow
 Utilisation d’une fonction à sens unique crypt()
 L’inverse n’existe pas.
 Propriété : Si p=p’ alors crypt(p)=crypt(p’)
 Propriété : Si crypt(p’)=crypt(p) alors p=p’
 Combinatoire importante: attaque par force brute difficile
 Alteration pat un paramètre (SALT) pour introduire des
différences entre les entités
 crypt( p, Salt)
 Habituellement, 30% des mots de passe sont devinables

5
 Authentification par objet
 Un secret matérialisé physiquement
 La clé traditionnelle
 Une carte magnétique, à code barre, à puce
 Un stick USB
 Un porte-clefs générateur de clef temporaire
 Technique simple, répandue.
 Les problèmes :
 la perte, le vol du support
 la duplication (plus ou moins facile mais toujours possible)
 Nécessite souvent l’intervention humaine

6
Authentification par l’utilisateur lui-même
 Les méthodes bio métriques
 Une solution en rapide développement
 peut-être très efficace
 souvent onéreuse,
 peut-être difficile à accepter dans certains cas par l'utilisateur
 Nécessité d'études approfondies (analyse de la variabilité) du caractère
utilisé
 à l'intérieur du groupe humain des usagers autorisés
 ou dans une population quelconque
 Incertitudes des techniques bio métriques
 La variabilité intra-individuelle
 La variabilité inter-individuelle
 Conduit à deux types d'erreurs possibles:
 Le rejet à tort d'un individu autorisé
 L'acceptation à tort d'une personne non autorisée.

7
Quelques techniques biométriques

 L'empreinte digitale
 la vascularisation de la rétine, de l’iris
 la voix
 la géométrie de la main, du visage
 dynamique de la signature
 dynamique de la frappe clavier
 empreinte génétique
 Thermographie faciale

8
BIOMETRIQUE – Reconnaissance de
voix
 Reconnaissance
 The speaker
 Par un code (dépendance
au texte)
 Par le timbre (indépendance
au texte)
 Facile à gérer
 Enregistrement possible
 Sensibilité aux bruits
parasites
 Importance des erreurs
(toux)

9
BIOMETRIQUE – Empruntes digitales
 Reconnaissance géométrique du
doigt
 Très connue et exploité
 Petite taille des dispositifs
 Faibles coûts des dispositifs
 Analyse rapide, faible taux de rejet
 Assez bien implanté
 police
 ordinateurs portables (IBM)
 Bientôt (déjà) carte d’identité à
puce
 Problèmes
 Doigts sales ou coupés
 Besoin de la coopération de
l’utilisateur
10
BIOMETRIQUE – Reconnaissance de
l’iris
 Reconnaissance de la
géométrie de l’iris
 Grande quantité
d’information
 Reconnaît les vrais jumeaux
 Très peu de rejet
 Reconnaissance à distance

 Problèmes
 Non différenciation
photo/humain
 Non différenciation fausse
iris/humain
 Coût élevé

11
BIOMETRIQUE – Reconnaissance
rétinienne
 Reconnaissance rétinienne
 Vaisseaux sanguins
 Peu de facteurs de variations
(ie peu de maladies)
 Meilleur taux de réussite
 Problèmes:
 Très cher
 Intrusif donc peu populaire
Qui veut coller son oeil dans
l’objectif ?
 Devient moins efficace avec le
temps (âge de la personne)

12
BIOMETRIQUE – Reconnaissance
faciale
 Reconnaissance de la géométrie
faciale
 Distance entre les yeux, la bouche,
le nez, …
 Facile à gérer
 Identification à distance
 Utile pour l’analyse de foule

 Problème :
 Identification impossible des vrais
jumeaux
 Sensible aux problèmes du visages
(maladies, accidents)
 Sensible aux lunettes, piercing
 Maquillage, masque, perruques 
échec
13
BIOMETRIQUE - Thermographie
 Etude du spectre
électromagnétique
 IR
 cartographie de la chaleur
du visage
 Bon taux de
reconnaissance
 Reconnaît les vrais
jumeaux
 Problèmes:
 Coût très élevé
 Expérimentale

14
MULTIMETRIQUES
 Biométriques seules sont insuffisantes
 Combinaison de différentes techniques
 Biométriques
 Reconnaissance par emprunte digitale
 Méthodes traditionnelles
 Mot de passe, Smart Cards avec des informations
 Forte taux de réussite en authentification
 Très résistant
 Nécessite le cassage des n méthodes
 Coût raisonnable

15
 Authentification – “One Time
Passwords”

 Principes :
 Utilisation de plusieurs mots de passe
 Une fois utilisé, le mot de passe n’est plus utilisable
(Utilisable une et une seule fois)
 L’utilisateur a une clef privée (le secret) connue par le serveur qui permet de générer le mot de passe
 L’utilisateur et le serveur on un calculateur logiciel ou matériel
 Génération du mot de passe
 Le serveur génère un défi et une solution (le mot de passe)
 Le serveur transmet le défi à l’utilisateur
 L’utilisateur génère la propre solution à partir du défi
 L’utilisateur la donne au serveur
 Si les solutions correspondent, l’utilisateur est authentifié
 Peut être implanté sur des systèmes embarqués
 Smart Cards, PDAs, portables, Keys Holders, etc...

16
Authentification – “One Time
Passwords”
 Désavantages
 L’utilisateur doit
 posséder l’algorithme ou une appareil capable de le faire
 un liste pré-imprimée de mots de passe
 Dangereux en cas d’utilisation de la liste !
 Exemple
 Challenge: 5241
 Rechercher du MDP 5241 dans la liste
 Rappel : La liste est générée à partir de la clef secrète
 Réponse: CLAD ROY TOP BAD CAKE MATH
 Quand la liste est expirée, on change de clef et on régénère une liste
 Difficile à gérer
 Outil les plus connus: S/Key (Neil Haller, “The S/KEY one-time
password system”, 1994), OPIE, SecurID, CryptoCard

17
Authentification bi-factuelle
 Comme pour l’authentification
multimétriques
 On combine deux méthodes :
 “Quelque chose que vous connaissez“
(secret)
 ie un mot de passe
 “Quelque chose que vous avez” (appareil)
 L’appareil stocke ou fait tourner un
algorithme de génération de clefs
uniques configurer pour l’utilisateur
 La plus part des «systèmes OPT » 18
 Quelques applications

 Authentification
 Certification
 Microsoft .NET Passport
 Kerberos
 SSL

19
Authentification
Définition

 La personne à qui j'envoie un message crypté est-

elle bien celle à laquelle je pense ?

 La personne qui m'envoie un message crypté est-elle

bien celle à qui je pense ?

20
 Authentification
Technique d’Identification

 Prouveur
 Celui qui s’identifie, qui prétend être…

 Vérifieur
 Fournisseur du service

 Challenge
 Le Vérifieur va lancer un challenge au prouveur que ce dernier doit réaliser

21
Technique A Clé Publique
Principe

 Algorithme RSA = Réversible

 ((Mess)CPu)CPr = ((Mess)CPr)CPu

 Confidentialité

 Authentification

22
Technique A Clé Publique
Confidentialité

Le Texte est totalement

confidentiel car le
destinataire est le seul a
avoir la clé privée

23
Technique A Clé Publique
Authentification

On est sûr de l’identité de

l’émetteur car il est le seul
à pouvoir chiffrer un
message avec cette clé
privée
Technique A Clé Publique
Protocole
Serveur d’authentification – Annuaire
(Clé Publiques de F & D…)
1) F demande la Clé Publique de D
2) S envoie la Clé Publique de D à F
3) F envoie le « challenge » à D:
Décrypte mon message M1(If) et
renvoie mon If pour me le prouver!

4) D décrypte M1 et demande à S la Clé

Publique de F

5) S envoie la Clé Publique de F à D

1 4 6) A son tour D envoie un « challenge »
5 à F: Décrypte mon message M2(If,
2 Id) et renvoie mon Id !

3 M1 7) F décrypte M2 et renvoie M3(Id) à

6 M2 D pour lui montrer qu’il y est arrivé
7 M3
8) F & D peuvent maintenant par ex
s’envoyer des messages en créant
8
F D une Clé Privée à partir de (If,Id)
Technique A Clé Secrète
1) F demande une Clé de Session pour
Protocole de pouvoir parler avec D
Needham – Schroeder 2) S envoie à F M1 crypté par la Clé
Serveur d’authentification – Annuaire Secrète de F:
(Clés Secrètes de F & D) M1 = une Clé de Session CSfd en clair
et une cryptée par la Clé Secrète de
D (CSfd)CPd
3) F envoie le « challenge » à D:
Décrypte mon message
M2((CSfd)CPd) et renvoie un Id
1 crypté par CSfd
4) D décrypte M2 et envoie son «
2 M1 challenge » : Décrypte mon message
M3((Id)CSfd) et renvoie Id-1
3 M2
4 M3 5) F décrypte M3 et renvoie M4((Id-
1)CSfd)
5 M4
6) F & D peuvent donc s’envoyer des
6
messages avec la Clé de Session
F D (MESSAGE)CSfd 26
Signature électronique (1)

Comment savoir que le message n’a pas été

altéré ?
 fonction de hachage

algorithmes de hachage les plus utilisés: MD5 (128 bits) et SHA (160 bits)

27
Signature électronique (2)

Pb du hachage : on est pas sur de l’expéditeur

 Scellement des données

28
Certification
Principes

 Besoins
 Chiffrement asymétrique = basé sur la distribution de clés
publiques (Annuaire)
 rien ne garantit que la clé est bien celle de l'utilisateur a qui

elle est associée…

 Certificats

 Certificats
 Carte d’identité électronique, composée de la clé publique
du porteur et d’informations relatives à ce dernier.
 Délivré par une autorité appelée tiers de confiance, qui, par
sa signature, en garantit l’authenticité.

29
Certification
Certificat
X509

30
Certification
Exemple Certificat X509
Certification

PKI (Public Key Infrastructure)

IGC (Infrastructure de Gestion de Clés)

 Système permettant la gestion de clés de chiffrement

et la délivrance de certificats numériques

 Repose sur l’utilisation de la cryptographie à clé

publique

32
PKI - Organisation

33
 Microsoft .NET Passport

 service en ligne gratuit

 permet de se connecter (en toute sécurité ?) à n'importe quel

service ou site Web Passport participant

 Utilisation d’une adresse de messagerie et d’un mot de passe

unique

34
 Microsoft .NET Passport

 Contenu obligatoire
 Email (nom d’utilisateur)
 Mot de passe

 Contenu optionnel
 Phrase de rappel
 Clé de sécurité
 Numéro de mobile
 Date de naissance, coordonnées
35
Microsoft .NET Passport
L’utilisateur contacte un site

L’utilisateur est redirige sur le site

P a rtic ip a tin g
S ite B

P a rtic ip a tin g P a rtic ip a tin g

PassPort
S ite A S ite C

In te rn e t L’utilisateur S’authentifie et reçoit un

cookie chiffré

P a s sp o rt
U ser (C o - B ran de d b y

L’Utilisateur est redirigé vers le

refe rrin g site )

premier site qui lit le cookie

L’utilisateur reste authentifié pour tout

autre site
Kerberos
Introduction

 Conditions de fonctionnement
 Les serveurs ne font aucune confiance
aux clients
 Les clients n’accordent qu’une confiance
limitée aux serveurs
 Authentification contrôlée par des
serveurs spécialisés

37
Kerberos
Service d’Authentification

 Pré-requis
 Le serveur Kerberos détient les mots de
passe utilisateurs
 Le serveur détient la clé privée du serveur
de tickets
 Le serveur de tickets détient les clés privés
de tous les serveurs

38
 Kerberos
Lexique

 Ticket
Caractérise une session entre un client C et un serveur S
Tcs={S, C, adr, Td, durée, Kcs}Ks
 Adr : adresse IP du client
 Td : heure de début de session
 Durée : durée max de session
 Kcs : clé de session partagée par C et S
 Ks : clé permanente (secrète) de S

39
 Kerberos
Lexique

 Authentifieur
caractérise le client à un instant, vis à vis d’un serveur
Acs(t)={C, adr, t}Kcs
 Engendré par le client
 Permet une authentification permanente par le serveur

40
Kerberos
Service d’Authentification
Serveur Kerberos Serveur de Tickets
1. Le client envoie sa requête et le ticket
2. Le serveur renvoie une clé de session et
un ticket pour la discussion Serveur de
tickets-Client le tout chiffre par le mot de
passe client
2 3
1 3. Le message contient le ticket et un
4 authentifieur chiffré par la clé de session
Serveur
4. Le serveur de tickets renvoie un ticket pour
Client
5 la discussion client-serveur et la clé de
session client-serveur, le tout chiffré par la
clé de session
5. Le message est chiffré par le mot de
passe utilisateur

41