Guide de planification de la sécurisation des accès par carte à puce

Présentation

Dernière mise à jour le 30 juin 2005

Les administrateurs sont de plus en plus conscients des risques qu'implique l'utilisation exclusive de noms d'utilisateurs et de mots de passe pour l'authentification réseau. Les pirates peuvent deviner les noms d'utilisateurs ou utiliser des informations accessibles à tous, telles qu'une adresse électronique sur une carte de visite, pour trouver un nom d'utilisateur. Lorsque le pirate est en possession d'un nom d'utilisateur, le seul mécanisme de sécurité restant n'est autre que le mot de passe.

Les secrets uniques comme les mots de passe peuvent constituer des contrôles de sécurité efficaces. Un mot de passe de plus de dix caractères, constitué de façon aléatoire de lettres, de chiffres et de caractères spéciaux peut être très difficile à déchiffrer. Malheureusement, pour les utilisateurs, ce type de mot de passe n'est pas toujours facile à retenir. Cela est en partie dû aux limites du genre humain.

Dans une étude publiée dans la revue The Psychological Review (1956), George A. Miller conclut que le cerveau humain a une mémoire à court terme qui ne permet de retenir qu'entre cinq et neuf caractères aléatoires, la moyenne étant de sept caractères. Toutefois, dans la plupart des conseils sur la sécurité, il est recommandé d'utiliser des mots de passe aléatoires d'au moins huit caractères. Comme la majorité des utilisateurs ne peut pas retenir un mot de passe aléatoire de huit caractères, bon nombre d'entre eux le notent sur un bout de papier.

Les utilisateurs ne sont en général pas très prudents lorsqu'ils notent leurs mots de passe et donnent ainsi l'occasion aux pirates de compromettre l'intégrité de leurs informations d'identification. En l'absence de recommandations concernant l'utilisation d'un mot de passe complexe, les utilisateurs ont tendance à choisir des mots de passe faciles à retenir, tels que « password », « motdepasse » ou d'autres mots faciles à deviner.

Les phrases de passe sont des mots de passe plus longs que les utilisateurs retiennent plus facilement. Microsoft® Windows® 2000 et les versions ultérieures de Windows prennent en charge des mots de passe pouvant compter jusqu'à 127 caractères. Une phrase de passe forte telle que « J'aime le football à 5 ! » donne beaucoup plus de fil à retordre aux outils qui utilisent des méthodes d'attaque en force des mots de passe. Par ailleurs, pour les utilisateurs, ces phrases de passe sont beaucoup plus faciles à retenir qu'un mélange aléatoire de lettres et de chiffres.

Les systèmes d'authentification à deux facteurs permettent de pallier le problème de l'authentification par secret unique en exigeant un second secret. L'authentification à deux facteurs combine les éléments suivants :

Un élément que possède l'utilisateur, tel qu'un jeton matériel ou une carte à puce.

Un élément que l'utilisateur connaît, comme un numéro d'identification personnel (PIN).

Les cartes à puce et les codes PIN associés, fiables et peu onéreuses, offrent un moyen d'identification à deux facteurs qui connaît un succès grandissant. Lorsque les contrôles appropriés sont mis en place, l'utilisateur doit posséder une carte à puce et connaître le code PIN de cette dernière pour accéder aux ressources réseau. L'authentification à deux facteurs réduit considérablement les risques d'accès non autorisé au réseau de l'entreprise.

Les cartes à puce permettent un contrôle de sécurité particulièrement efficace dans les deux scénarios suivants : pour sécuriser les comptes d'administrateurs et pour sécuriser l'accès distant. Ce guide met l'accent sur ces deux scénarios, considérant ces zones comme prioritaires dans le cadre de la mise en œuvre des cartes à puce.

Comme les comptes d'administrateurs possèdent des droits d'utilisateur étendus, si l'un de ces comptes est compromis, un intrus peut accéder à l'ensemble des ressources réseau. La protection des comptes d'administrateurs est primordiale, car le vol des informations d'identification de ce type de compte compromet l'intégrité du domaine, voire de l'ensemble de la forêt, ainsi que de toute autre forêt d'approbation. L'authentification à deux facteurs est primordiale pour authentifier l'administrateur.

Les entreprises peuvent se doter d'une couche de sécurité supplémentaire en mettant en œuvre des cartes à puce pour les utilisateurs pour lesquels une connexion à distance aux ressources réseau est nécessaire. L'authentification à deux facteurs revêt une grande importance en ce qui concerne les utilisateurs distants car pour les connexions à distance, il est impossible de fournir un contrôle d'accès physique. L'authentification à deux facteurs avec des cartes à puce peut permettre d'élever le niveau de sécurité du processus d'authentification des utilisateurs distants, lorsque ceux-ci se connectent au réseau via des liaisons de type réseau privé virtuel (VPN).

Sur cette page
Un défi pour l'entrepriseUn défi pour l'entreprise
Des avantages métierDes avantages métier
Personnes concernées par ce guidePersonnes concernées par ce guide
Connaissances préalablesConnaissances préalables
Présentation du guide de planificationPrésentation du guide de planification
Ressources correspondantes :Ressources correspondantes :
Faites-nous part de vos commentairesFaites-nous part de vos commentaires

Un défi pour l'entreprise

La compromission de l'intégrité des informations d'identification du compte d'administrateur sur des ordinateurs faisant partie d'un domaine risque de compromettre l'intégrité de l'ensemble du domaine, de la forêt dans laquelle il réside et des autres forêts et domaines qui entretiennent des relations d'approbation avec cette forêt. La compromission de comptes d'accès distant peut permettre à des pirates externes d'avoir accès à des informations sensibles via des connexions à distance ou VPN.

Le défi que représente la protection des connexions d'administrateurs et d'accès à distance consiste à fournir un niveau de sécurité sans compromettre l'utilisabilité. Une entreprise qui met en œuvre une authentification à deux facteurs ne peut pas fonctionner de façon optimale si les utilisateurs ne parviennent pas à accéder aux informations dont ils ont besoin pour accomplir leurs tâches. Il est donc primordial de trouver le bon équilibre entre l'authentification à deux facteurs et l'utilisabilité.

Des avantages métier

L'utilisation de cartes à puce pour sécuriser les comptes stratégiques peut présenter les avantages suivants :

Meilleure protection des données sensibles. Les cartes à puce permettent de réduire les risques d'accès non autorisé via des informations d'identification volées car le pirate doit non seulement dérober la carte à puce, mais également obtenir le code PIN associé.

Sécurité accrue des informations de connexion. Les cartes à puce utilisent des certificats numériques pour les informations de connexion. Ceux-ci sont particulièrement difficiles à falsifier.

Niveaux plus élevés de respect des réglementations. La possibilité de confirmer l'identité de l'utilisateur connecté accroît la crédibilité des journaux analysés.

Faible probabilité de répudiation. Avec l'authentification par carte à puce, les utilisateurs peuvent plus difficilement nier leurs actions.

Meilleure intégration avec les systèmes de gestion d'accès. Pour gérer l'accès physique, certaines cartes à puce fonctionnent comme des cartes d'accès, comme celles qui permettent d'ouvrir des portes donnant accès à un site physique et aux différentes zones de ce site. La combinaison carte à puce/carte d'accès permet de contrôler plus facilement le niveau d'accès réseau et physique exact d'un utilisateur ou d'un administrateur, ainsi que de réduire les craintes d'une atteinte à la sécurité.

Personnes concernées par ce guide

Ce guide s'adresse aux décideurs techniques, aux architectes système d'entreprise et aux administrateurs de sécurité d'entreprise qui envisagent de planifier, de déployer ou de mettre en œuvre des liaisons d'accès à distance et une sécurité réseau. Il apportera aussi une aide précieuse aux consultants désireux de planifier, de déployer ou de mettre en œuvre des réseaux Windows.

Les informations contenues dans ce guide s'appliquent aux entreprises de toutes tailles qui requièrent une protection des identités et un contrôle d'accès aux données fiables.

Connaissances préalables

Pour comprendre les solutions présentées dans ce guide, vous devez connaître et avoir assimilé les technologies et sujets suivants dans Microsoft Windows Server™ 2003 :

Routage et accès distant, ce qui inclut les composants VPN

Services de certificats et infrastructure à clé publique (PKI)

Service d'annuaire Active Directory®

Stratégie de groupe

Ce guide traite des quadrants du modèle de processus Exploitation et Support dans le cadre du Microsoft Operations Framework (MOF). Il aborde également les fonctions de gestion de service (SMF) Administration de la sécurité et Gestion des incidents dans le cadre du MOF. Pour plus d'informations sur le MOF, reportez-vous au site Web Microsoft Operations Framework, à l'adresse www.microsoft.com/france/technet/itsolutions/cits/mo/mof/index.mspx.

Présentation du guide de planification

Ce guide comprend quatre chapitres. Ils mettent tous l'accent sur les concepts requis et les problèmes rencontrés lors de la planification d'une solution d'authentification par carte à puce. Ces chapitres sont les suivants :

Chapitre 1 : Introduction

Ce chapitre comprend une synthèse, évalue les défis auxquels l'entreprise peut être confrontée et examine les avantages qui découlent de la mise en œuvre d'une solution d'authentification par carte à puce. Il indique le public visé, répertorie les connaissances préalables et donne un aperçu des chapitres et des scénarios de solution.

Chapitre 2 : Technologies des cartes à puce

Ce chapitre explique, selon plusieurs approches, comment utiliser les cartes à puce pour protéger les comptes stratégiques. Il décrit aussi les éléments essentiels pour les deux scénarios de solution dont il est question dans les chapitres 3 et 4. Ce chapitre présente également la Woodgrove Bank, qui sert de base aux deux scénarios de solution.

Chapitre 3 : Utilisation de cartes à puce pour sécuriser les comptes d'administrateurs

Ce chapitre présente les considérations de conception requises pour sécuriser des comptes d'administrateurs via des cartes à puce. Il examine ensuite les problèmes et impératifs pour la Woodgrove Bank. Il traite du concept de la solution, des conditions préalables, de l'architecture de la solution et de son fonctionnement dans le cadre du scénario. Enfin, il étudie les options d'extension possibles visant à ce que la solution intègre le processus de gestion des modifications.

Chapitre 4 : Utilisation de cartes à puce pour sécuriser les comptes d'accès distant

Ce chapitre présente des considérations de conception pour l'accès distant via des cartes à puce. Il examine ensuite les problèmes et les conditions requises dans le cadre de la mise en œuvre d'un accès distant sécurisé pour la Woodgrove Bank. Il traite du concept de la solution, des conditions préalables, de l'architecture de la solution et de son fonctionnement dans le cadre du scénario. Enfin, il étudie les options d'extension possibles visant à ce que la solution intègre un contrôle d'accès physique.

Ressources correspondantes :

Consultez d'autres solutions de sécurité de l'équipe Microsoft Solutions for Security and Compliance (MSSC).

Faites-nous part de vos commentaires

L'équipe Microsoft Solutions for Security and Compliance (MSSC) serait heureuse de recevoir vos commentaires sur ce guide et sur d'autres solutions de sécurité.

Un avis à donner ? Partagez-le sur le blog des solutions de sécurité réservé aux professionels de l'informatique.

Ou envoyez vos commentaires par courrier électronique à l'adresse suivante : SecWish@microsoft.com. Nous répondons fréquemment aux messages envoyés à cette adresse.

Nous espérons recevoir bientôt une réponse de votre part.


**
**

Télécharger

Obtenez le Guide de planification de la sécurisation des accès par carte à puce

Notifications de mise à jour

Abonnez-vous aux mises à jour et aux nouvelles versions

Commentaires

Envoyez-nous vos commentaires et vos suggestions.