Guide de planification de la sécurisation des accès par carte à puce

  • Article

Chapitre 1 : Introduction

Dernière mise à jour le 30 juin 2005

Sur cette page

Synthèse
Présentation du guide de planification

Synthèse

Les administrateurs sont de plus en plus conscients des risques encourus dès lors qu'ils utilisent uniquement des noms d'utilisateurs et des mots de passe pour l'authentification réseau. Les pirates peuvent deviner les noms d'utilisateurs ou utiliser des informations accessibles à tous, telles qu'une adresse électronique sur une carte de visite, pour trouver un nom d'utilisateur. Lorsque le pirate est en possession d'un nom d'utilisateur, le seul mécanisme de sécurité restant n'est autre que le mot de passe.

Les secrets uniques comme les mots de passe peuvent constituer des moyens de sécurité efficaces. Un mot de passe de plus de dix caractères, constitué de façon aléatoire de lettres, de chiffres et de caractères spéciaux peut être très difficile à déchiffrer. Malheureusement, pour les utilisateurs, ce type de mot de passe n'est pas toujours facile à retenir. Cela est en partie dû aux limites du genre humain.

Dans une étude publiée dans la revue The Psychological Review (1956), George A. Miller conclut que le cerveau humain a une mémoire à court terme qui ne permet de retenir qu'entre cinq et neuf caractères aléatoires, la moyenne étant de sept caractères. Toutefois, dans la plupart des conseils sur la sécurité, il est recommandé d'utiliser des mots de passe aléatoires d'au moins huit caractères. Comme les utilisateurs (dans leur grande majorité) ne peuvent pas retenir un mot de passe aléatoire de huit caractères, la plupart le notent sur un bout de papier.

En général, les utilisateurs ne sont pas assez prudents lorsqu'ils notent leurs mots de passe et donnent ainsi l'occasion aux pirates de compromettre l'intégrité de leurs informations d'identification. En l'absence de recommandations concernant l'utilisation d'un mot de passe complexe, les utilisateurs ont tendance à opter pour des mots de passe faciles à retenir, tels que « password », « motdepasse » ou d'autres mots faciles à deviner.

Les phrases de passe sont des mots de passe plus longs que les utilisateurs retiennent plus facilement. Microsoft® Windows® 2000 et les versions ultérieures de Windows prennent en charge des mots de passe pouvant compter jusqu'à 127 caractères. Une phrase de passe forte telle que « J'aime le football à 5 ! » donne beaucoup plus de fil à retordre aux outils qui utilisent des méthodes d'attaque en force pour casser des mots de passe. Par ailleurs, pour les utilisateurs, ces phrases de passe sont beaucoup plus faciles à retenir qu'un mélange aléatoire de lettres et de chiffres.

Les systèmes d'authentification à deux facteurs permettent de pallier le problème de l'authentification par secret unique en exigeant un second secret. L'authentification à deux facteurs combine les éléments suivants :

  • Un élément que possède l'utilisateur, tel qu'un jeton matériel ou une carte à puce.

  • Un élément connu de l'utilisateur, comme un numéro d'identification personnel (PIN).

Les cartes à puce et les codes PIN associés, fiables et peu onéreuses, offrent un moyen d'identification « bifacteur » qui connaît un succès grandissant. Lorsque les contrôles appropriés sont mis en place, l'utilisateur doit posséder une carte à puce et connaître le code PIN de cette dernière pour accéder aux ressources réseau. L'authentification à deux facteurs réduit considérablement les risques d'accès non autorisé au réseau de l'entreprise.

Les cartes à puce constituent un contrôle de sécurité particulièrement efficace dans les deux scénarios suivants : la sécurisation des comptes d'administrateurs et la sécurisation de l'accès distant. Ce guide met l'accent sur ces deux scénarios, considérant ces zones comme prioritaires dans le cadre de la mise en œuvre des cartes à puce.

Comme les comptes d'administrateurs possèdent des droits d'utilisateur étendus, si l'un de ces comptes est compromis, un intrus peut accéder à l'ensemble des ressources réseau. Il est primordial de protéger les comptes d'administrateurs, car le vol des informations d'identification de ce type de compte compromet l'intégrité du domaine, voire de l'ensemble de la forêt, ainsi que de toute autre forêt d'approbation. L'authentification à deux facteurs est primordiale pour authentifier l'administrateur.

Les entreprises peuvent se doter d'une couche de sécurité supplémentaire en mettant en œuvre des cartes à puce pour les utilisateurs qui requièrent une connexion à distance aux ressources réseau. L'authentification à deux facteurs revêt une grande importance en ce qui concerne les utilisateurs distants car il est impossible de fournir un contrôle d'accès physique pour les connexions à distance. L'authentification à deux facteurs avec des cartes à puce peut permettre d'élever le niveau de sécurité du processus d'authentification des utilisateurs distants, lorsque ceux-ci se connectent au réseau via des liaisons de type réseau privé virtuel (VPN).

Un défi pour l'entreprise

Si l'intégrité des informations d'identification du compte d'administrateur sur des ordinateurs faisant partie d'un domaine est compromise, elle représente une menace pour l'intégrité de l'ensemble du domaine, de la forêt dans laquelle il réside et des autres forêts et domaines qui entretiennent des relations de confiance avec cette forêt. La compromission de comptes d'accès distant peut permettre à des pirates externes d'accéder à des informations sensibles via des connexions à distance ou VPN.

Le défi a relever pour la protection des connexions d'administrateurs et d'accès à distance consiste à atteindre un niveau de sécurité acceptable sans compromettre le confort d'utilisation. Une entreprise qui met en œuvre une authentification à deux facteurs ne peut pas fonctionner de façon optimale si les utilisateurs ne parviennent pas à accéder aux informations dont ils ont besoin pour accomplir leurs tâches. Il est donc primordial de trouver le bon équilibre entre l'authentification à deux facteurs et le confort d'utilisation.

Les avantages pour l'entreprise

L'utilisation de cartes à puce pour sécuriser les comptes stratégiques peut présenter les avantages suivants :

  • Plus grande protection des données sensibles. Les cartes à puce permettent de réduire les risques d'accès non autorisé via des informations d'identification volées car le pirate doit non seulement dérober la carte à puce, mais également obtenir le code PIN associé.

  • Sécurité accrue des informations de connexion. Les cartes à puce utilisent des certificats numériques pour les informations de connexion. Ceux-ci sont particulièrement difficiles à falsifier.

  • Niveaux plus élevés de respect des réglementations. La possibilité de confirmer l'identité de l'utilisateur connecté accroît la crédibilité des journaux analysés.

  • Faible probabilité de répudiation. Avec l'authentification par carte à puce, il sera plus difficile pour les utilisateurs de nier leurs actions.

  • Meilleure intégration avec les systèmes de gestion d'accès. Pour gérer l'accès physique, certaines cartes à puce fonctionnent comme des cartes d'accès, comme celles qui permettent d'ouvrir des portes donnant accès à un site physique et aux différentes zones de ce site. La combinaison carte à puce/carte d'accès permet de contrôler plus facilement le niveau exact d'accès réseau et physique d'un utilisateur ou d'un administrateur, tout en réduisant les craintes d'une atteinte à la sécurité.

Personnes concernées par ce guide

Ce guide s'adresse aux décideurs techniques, aux architectes système d'entreprise et aux administrateurs de sécurité d'entreprise qui désirent planifier, déployer ou mettre en œuvre des liaisons d'accès à distance et une sécurité réseau. Il apportera aussi de précieuses informations aux consultants désireux de planifier, de déployer ou de mettre en œuvre des réseaux Windows.

Les informations contenues dans ce guide s'appliquent aux entreprises de toutes tailles qui requièrent une protection des identités et un contrôle d'accès aux données fiables.

Connaissances préalables

Pour comprendre les solutions présentées dans ce guide, vous devez connaître et avoir assimilé les technologies et sujets suivants dans Microsoft Windows Server™ 2003 :

  • Routage et accès distant, ce qui inclut les composants VPN

  • Services de certificats et infrastructure à clé publique (PKI)

  • Service d'annuaire Active Directory®

  • Stratégie de groupe

Ce guide traite des quadrants du modèle de processus Exploitation et Support dans le cadre du Microsoft Operations Framework (MOF). Il aborde également les fonctions de gestion de service (SMF) Administration de la sécurité et Gestion des incidents dans le cadre du MOF. Pour plus d'informations sur le MOF, reportez-vous au site Web Microsoft Operations Framework, à l'adresse www.microsoft.com/france/technet/itsolutions/cits/mo/mof/index.mspx.

Présentation du guide de planification

Ce guide comprend quatre chapitres. Ils mettent tous l'accent sur les concepts requis et les questions essentielles relatifs à la planification d'une solution d'authentification par carte à puce. Ces chapitres sont les suivants :

Chapitre 1 : Introduction

Ce chapitre comprend une synthèse, évalue les défis auxquels l'entreprise peut être confrontée et examine les avantages offerts par la mise en œuvre d'une solution d'authentification par carte à puce. Il définit le public concerné par ce guide, répertorie les connaissances préalables et donne un aperçu des chapitres et des scénarios de solution.

Chapitre 2 : Technologies des cartes à puce

Ce chapitre explique comment utiliser les cartes à puce pour protéger les comptes stratégiques selon plusieurs approches. Il décrit aussi les éléments essentiels pour les deux scénarios de solution traités aux chapitres 3 et 4. Ce chapitre présente également la Woodgrove Bank, qui sert de base aux deux scénarios de solution.

Chapitre 3 : Utilisation de cartes à puce pour sécuriser les comptes d'administrateurs

Ce chapitre présente les éléments de conception requis pour sécuriser des comptes d'administrateurs via des cartes à puce. Il examine ensuite les problèmes et impératifs pour la Woodgrove Bank. Il traite du concept de la solution, des conditions préalables, de l'architecture de la solution et de son fonctionnement dans le cadre du scénario. Enfin, il étudie les options d'extension possibles pour que la solution intègre le processus de gestion des modifications.

Chapitre 4 : Utilisation de cartes à puce pour sécuriser les comptes d'accès distant

Ce chapitre présente des éléments de conception pour l'accès distant via des cartes à puce. Il examine ensuite les problèmes et les conditions requises dans le cadre de la mise en œuvre d'un accès distant sécurisé pour la Woodgrove Bank. Il traite du concept de la solution, des conditions préalables, de l'architecture de la solution et de son fonctionnement dans le cadre du scénario. Enfin, il étudie les options d'extension possibles pour que la solution intègre un contrôle d'accès physique.

Télécharger

Obtenez le Guide de planification de la sécurisation des accès par carte à puce

Notifications de mise à jour

Abonnez-vous aux mises à jour et aux nouvelles versions

Commentaires

Envoyez-nous vos commentaires et vos suggestions.