La sécurité du réseau interne de l'entreprise doit être renforcée

La technique d’authentification la plus utilisée en entreprise est bien souvent celle installée par défaut avec le système d’exploitation des serveurs : un simple couple nom – mot de passe. Cette méthode simple est généralement fiable si la vérification dans la base de données des utilisateurs demeure sur le réseau local et si les mots de passe sont bien choisis et régulièrement changés. Hélas, l’histoire a prouvé que c’est rarement le cas, et que des mots de passe faibles ou périmés sont à l’origine de la majorité des incidents de sécurité en interne. Il est donc nécessaire de renforcer les procédures d’authentification, même sur le réseau local.

Kerberos, en attendant la PKI

Avec Unix, le strict minimum est de renforcer l’algorithme de chiffrement des mots de passe (le plus souvent avec MD5) et de recourir aux mots de passe ” cachés ” (avec Shadow Password). Windows 2000 présente en cela quelques avantages vis-à-vis d’Unix, car il propose d’emblée des procédures d’authentification modernes (contrôle dans Active Directory, Kerberos 5), bien plus fiables que celles offertes par défaut avec Unix et par le vénérable LAN Manager de Windows NT.À l’image du couple Windows 2000-Active Directory, on pourra recourir aussi à un annuaire pour Unix afin de gérer les procédures d’authentification. NIS+, une version chiffrée du Network Information System de Sun, ou NDS (Novell Directory Services) de Novell sont des solutions envisageables. Il est également possible, dans des parcs hétérogènes, de déployer une procédure d’authentification SMB (Server Message Block), compatible entre un serveur Unix et des clients Windows NT.Enfin, il est toujours possible d’installer Kerberos sur la totalité de son site. L’opération est longue et complexe, mais il s’agit encore, en attendant une démocratisation de la PKI, de la panacée du moment. Tous ces procédés permettent d’améliorer la sécurité de l’authentification sur le réseau local. Toutefois, si le processus doit utiliser un réseau public ou emprunter une série de réseaux pas entièrement maîtrisés, il est nécessaire d’avoir recours à d’autres procédés et protocoles. Les plus utilisés aujourd’hui sont représentés par des produits tels que SSH (Secure Shell), les logiciels de la société RSA, ou encore X-COD, SecurWarID, Radius. Tous donnent la possibilité de s’authentifier de manière forte sur un serveur distant, soit par des mots de passe à usage unique, soit par un système de négociation de clé tel que Diffie-Hellman ou encore par la cryptographie à clé publique. Cette dernière, par le biais de la PKI, sera bientôt la seule véritable solution d’authentification robuste et universelle.

Kerberos, l’authentification forte par excellence

Développé par le MIT, Kerberos est un protocole d’authentification depuis longtemps disponible pour Unix et récemment inclus dans Windows 2000. Kerberos permet à un service (ou à un système) et à un utilisateur de s’authentifier réciproquement sans pour autant ” se connaître “. Pour cela, chaque ressource (programmes, serveurs, services…) et chaque utilisateur dispose de sa propre clé privée générée par un Authentification Service (AS). Lorsqu’un utilisateur souhaite utiliser un service, il en fait la demande à l’AS. Ce dernier lui fait parvenir une clé de session générée aléatoirement et chiffrée avec sa propre clé privée, ainsi qu’un message (ticket) chiffré avec la clé privée du service demandé. Ce dernier contient une copie de la clé de session et le nom de l’utilisateur qui souhaite le contacter. L’utilisateur reçoit les deux éléments, et il n’a plus qu’à envoyer le ticket au service, accompagné d’un nouveau message daté, chiffré avec la clé de session. Le service peut alors déchiffrer le ticket grâce à sa clé privée, extraire la clé de session et décrypter grâce à elle le message émis par l’utilisateur. Si l’opération se déroule correctement, le dialogue s’établit alors en toute sécurité.

Cas d’entreprise : Onilait opte pour SecurID

Lorsqu’en 1995, Onilait a voulu dématérialiser une partie des documents que la firme échangeait avec ses partenaires (entreprises agricoles et directions départementales de l’Agriculture et des Forêts), elle a développé sa propre application client-serveur. “Il nous fallait une authentification forte, car nous allions servir des informations confidentielles concernant les 300 entreprises avec lesquelles nous échangeons, explique Denis Guilbaudeau. Nous avons opté pour une double authentification. Un procédé classique de mot de passe et login réalisé par nos soins, et une solution SecurID, fournie par Attel. ” Chaque utilisateur du système (aujourd’hui 120 personnes environ) doit adresser une demande personnelle à l’entreprise, que celle-ci valide avant de lui envoyer une carte SecurID, son identifiant et son mot de passe propre à l’application. ” Lors du login, notre serveur NT vérifie le couple mot de passe – ID dans une base Oracle interne, et simultanément, le serveur ACE/Server de RSA valide l’entrée fournie par la carte SecurID de l’utilisateur. Le déploiement a été très rapide. Notre application est passée en production en moins d’un semestre, l’installation et le test de la partie SecurID n’ayant pris que quelques jours. “

Onilait

L’avis de l’expert Guillaume Malgras consultant sécurité chez CF6 Groupe Telindus

” Pour la petite entreprise, le login et le mot de passe traditionnels sont la seule solution pratique. S’ils sont bien choisis et changés régulièrement, il n’y a pas de soucis. Bien sûr, il faut avoir renforcé un minimum son système : mots de passe avec MD5 et Shadow Password pour Linux, et NTLM v. 2 pour Windows, si l’on utilise LAN Manager. “Mais pour Guillaume Malgras, ” la panacée demeure tout de même Kerberos, même si avec Unix les administrateurs préfèrent se connecter sur les serveurs à travers SSH, ou avoir recours à IPSec. En revanche, avec Windows, c’est une excellente solution “. Comme l’explique Guillaume Malgras, en migrant vers Windows 2000 avec une authentification Kerberos, l’administrateur peut tout gérer grâce à l’Active Directory. Cela lui donne un point de vue global sur la sécurité, et permet une granularité très fine dans l’authentification. ” C’est la solution idéale pour qui a un gros parc de clients à gérer. Hélas, personne ne sait vraiment comment cela a été programmé, il n’y a eu aucun audit et rien ne dit qu’il n’y a pas de failles de sécurité que l’on découvrira dans quelque temps. En définitive
lorsque la PKI sera réellement déployable et utilisable, ce sera de toute façon la solution de choix. “

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Jérôme Saiz