Retour

Authentification continue en Cybérie

La sécurité est une affaire de compromis, d’équilibre entre confidentialité et commodité, entre contrôle et efficacité. Il serait certes facile de restreindre les accès à un SI afin de protéger les données sensibles de l’entreprise, mais il deviendrait impossible d’en faire un outil de productivité et de croissance, particulièrement à une époque où l’ouverture et la collaboration sont considérées comme des acquis. Simultanément, la maîtrise stricte et la supervision rigoureuse des utilisateurs dits « à pouvoir » revêt une importance capitale à la lumière des récents cas d’intrusion dans des systèmes d’information ayant comme origine des comptes à accès privilégiés. De plus, une part croissante des accès au SI des entreprises se réalisent maintenant depuis des terminaux mobiles (téléphone, tablettes…) ou des postes non maîtrisés (prestataires, partenaires techniques ou commerciaux…). Dans ces conditions, la conjonction de la mobilité et de la sécurité implique de devoir résoudre à deux des problèmes que l’on n’aurait pas eus tout seul[i].

 

Principes et limites de l’authentification initiale

Le principe de base de la sécurisation des accès au SI[ii] est, d’une part, de définir l’identité des personnes ou des applications qui accèdent aux ressources de l’entreprise, et, d’autre part, de confronter cette identité à des données probantes qui permettent de vérifier que l’identité présentée est légitime et valide. La première partie de cette prémisse est réalisée par des solutions de gestion des identités (#IAM) telles que Avencis Hpliance. En ce qui concerne la seconde phase, elle est assurée par le contrôle des identifiants et authentifiants que l’utilisateur présente lors de l’ouverture d’une session depuis son poste de travail, puis lors de l’accès à certaines ressources nécessitant une authentification secondaire, en général différente de l’authentification principale. L’utilisateur dispose donc de plusieurs identités numériques, qui peuvent varier au fil du temps en fonction des rôles qu’il ou elle est amené(e) à assumer dans l’entreprise.

Les mécanismes d’authentification employés aujourd’hui peuvent être très variés, même si le mot de passe représente la méthode utilisée aujourd’hui par l’immense majorité des applications. En effet, sa simplicité, son faible coût de mise en œuvre et l’habitude que les utilisateurs ont prise l’ont rendu incontournable, en dépit de ses défauts et de ses limitations : difficultés à le rendre robuste, risques inhérents à sa divulgation ou son partage, coût excessif de la gestion des oublis et pertes, etc. L’authentification multi-facteur améliore le niveau de sécurité puisque d’autres éléments sont utilisés pour vérifier l’authenticité de l’identité de l’utilisateur :

  • L’authentification à base de connaissances : l’utilisateur enrôle un jeu de réponses associées à des questions préfinies ou choisies par l’utilisateur. La faiblesse de cette méthode repose sur la facilité de deviner les réponses, grâce souvent aux informations diffusées sur les réseaux sociaux ;
  • L’authentification à base d’objets que l’utilisateur possède : carte à puce, clé USB, téléphone. Les principaux écueils à l’usage généralisé de ce type d’authentification sont le coût d’acquisition et la nécessité de disposer de l’environnement adéquat (par exemple lecteur de carte à puce). L’authentification à base de mots de passe dynamiques (OTP, One Time Passwords) envoyés sur un téléphone fait partie de cette catégorie ; cependant, les faiblesses inhérentes au protocole sous-jacent à l’envoi de SMS (SS7) font que cette solution n’est plus jugée suffisamment sure pour être recommandée aujourd’hui ;
  • L’authentification biométrique, qui peut prendre différentes formes telles que digitale, vocale ou physionomiste (iris, traits du visage). Ces solutions sont souvent coûteuses, intrusives pour la vie privée et sont fondamentalement non répudiables c’est-à-dire que des minuties corrompues ne peuvent être révoquées.

Cependant, quel que soit le mécanisme d’authentification déployé, pour les authentifications primaires ou secondaires, le principe reste le même, c’est-à-dire une vérification ponctuelle et statique de l’identité de l’utilisateur. Pour certaines actions ou applications sensibles, il existe des mécanismes de réauthentification qui demandent à l’utilisateur de confirmer son identité (rejeu du mot de passe ou du code PIN primaire par exemple) avant d’exécuter ces opérations. Toutefois, les nouvelles récentes du domaine montrent que l’usurpation d’identité, le vol de mots de passe et même le détournement de SMS atteignent des niveaux astronomiques[iii]. De ce fait, la confiance que l’on peut accorder à ce type d’authentification « classique » est intrinsèquement limitée malgré les améliorations ponctuelles apportées par les solutions de contrôle d’accès logique actuelles.

Authentification continue

Il est donc nécessaire de réévaluer les critères qui permettent de déterminer l’authenticité de l’identité d’un utilisateur, et ceci quelle que soit sa position ou sa situation géographique (dans l’entreprise, en mobilité…). De plus, la multiplicité des types d’utilisateurs (internes, externes, temporaires…) impose de savoir organiser l’hétérogénéité de cette population afin de relever le défi que représente la mise à disposition de services numériques efficaces et sécurisés.

En complément, les efforts pour mesurer plus précisément le niveau de confiance que les responsables de la sécurité du SI accordent aux utilisateurs seraient quasiment vains si l’ensemble des accès n’étaient pas fédérés au sein d’une solution globale : pour un utilisateur donné, les accès depuis n’importe quel poste au sein de l’entreprise, depuis un poste non maîtrisé hors du périmètre physique de celle-ci ou depuis un terminal mobile doivent pouvoir être suivis et supervisés de manière homogène et uniforme.

Le corollaire de cette démarche est qu’il devient également indispensable d’introduire de nouveaux éléments permettant de vérifier et de superviser l’activité des utilisateurs afin de mieux contrôler le niveau de risque courant et non plus simplement le risque initial, à la première connexion. En effet, un mot de passe peut être valide dans l’absolu mais l’environnement et le contexte dans lequel ce mot de passe est présenté peuvent fournir des raisons suffisantes pour ne pas lui faire confiance. À cet effet, l’utilisation de la biométrie comportementale va permettre de caractériser dynamiquement l’activité d’un utilisateur et fournir des éléments significatifs de la légitimité de celui ou celle-ci à exécuter certaines actions au sein du SI : par l’enregistrement et la classification de multiples sources de données, il va être possible d’évaluer dynamiquement le degré de confiance que l’on accorde à un utilisateur et, à partir de là, les actions qu’il ou elle sera autorisé(e) à réaliser, avec, dans les cas extrêmes, le blocage partiel ou total de sa session de travail. La collecte d’informations sur la dynamique des frappes au clavier et des mouvements du pointeur, la vitesse des clics de sélection sont autant de sources d’informations potentielles pour cette évaluation.

 

Authentification multi-factorielle

Néanmoins, s’il est assez facile de cataloguer les sources d’informations, il reste à modéliser le comportement des utilisateurs et à définir les règles d’acceptation ou de rejet d’une action en fonction du niveau de confiance courant. Or, c’est là que réside le nœud du problème puisque ces règles vont dépendre d’un grand nombre de facteurs, potentiellement interdépendants. En effet, pour un utilisateur accédant à une ressource depuis un terminal mobile, les sources de données pourront être très riches comme par exemple :

  • Accès biométrique (empreinte digitale, reconnaissance vocale ou faciale…) ;
  • Orientation et positionnement du mobile (accéléromètre, boussole) ;
  • Position géographique fine (GPS) ;
  • Environnement informatique (NFC, Bluetooth), sonore et visuel (micro, caméra) ;
  • Dynamique des touches sur l’écran ;
  • Mouvements de balayage et de zoom sur l’écran.

En complément, si le mobile est un dispositif professionnel et si le respect de la vie privée est garanti, l’accès à l’historique du périphérique (position, appels…) peut constituer une source complémentaire d’information assez fiable.

En revanche, un poste de travail plus traditionnel fournira beaucoup moins d’informations, la plupart des éléments précédents étant dépendants de l’équipement du poste : en effet, peu de PC disposent en standard de caméra, d’accéléromètres, de Bluetooth… Pour ces points d’accès, les données disponibles seront donc plus limitées et la caractérisation du comportement d’un utilisateur sera essentiellement constituée par :

  • Les horaires de connexion ;
  • La position du PC dans le réseau (adresse IP) ;
  • La dynamique des frappes au clavier ;
  • L’usage et les mouvements du pointeur ;
  • Les méthodes d’accès aux applications du poste (par raccourcis clavier, par ligne de commande, par raccourci graphique…) ;
  • L’activité réseau.

L’ensemble de ces éléments permet de disposer d’un nombre assez élevé de paramètres qui, lorsqu’ils sont présents et accessibles, se regroupent en 6 grandes catégories :

  • Ce que l’utilisateur sait : mot de passe, code PIN, questions/réponses…
  • Ce que l’utilisateur est : empreintes digitales, vocales, faciales…
  • Ce que l’utilisateur possède : carte à puce, générateur de code à usage unique, carte RFID…
  • Ce que l’utilisateur fait et de quelle manière : dynamique d’entrée des données, cinématiques d’accès, activité réseau, séquence de lancement d’applications…
  • Où l’utilisateur se trouve : position géographique fine ou grossière, proximité d’équipements radio connus…
  • Quand les actions de l’utilisateur sont réalisées : horaires, fréquence.

Chacune de ces sources, prise isolément, ne peut constituer une source fiable mais c’est l’ensemble de ces données, agrégées de manière adéquate qui constituera la signature numérique de l’utilisateur et qui déterminera dynamiquement son niveau de risque, par conséquent la confiance qui lui sera accordée et in fine les opérations qu’il ou elle sera autorisé(e) à exécuter. De surcroît, certaines données pourront être temporairement « hors normes » : par exemple, si l’utilisateur utilise un tunnel sécurisé pour se connecter à l’entreprise, son adresse IP pourra apparaître comme très éloignée de sa position géographique réelle (mesure de la géo-velocité) et ne devra pas induire le système d’évaluation en erreur.

L’apprentissage automatisé au service de l’authentification continue

L’authentification continue d’un utilisateur repose donc sur la modélisation de son comportement basé sur les traces qu’il ou elle laisse lors de son activité dans le système d’information. Toutefois, la complexité et l’hétérogénéité des sources de données précitées rend difficile voire impossible la définition exhaustive d’un ensemble de règles permettant d’atteindre cet objectif avec un niveau de confiance acceptable. De plus, la variabilité du contexte fait que ces règles, si elles existaient, devraient prendre en compte les différents modes d’accès qu’un même utilisateur serait susceptible d’utiliser pour accomplir sa mission, en particulier pour un administrateur qui est amené à intervenir sur des postes hétérogènes. En revanche, grâce à l’apprentissage automatisé (Machine Learning) supervisé, il est possible d’entrainer un algorithme à extraire les modèles pertinents et significatifs de l’ensemble des données collectées et, en fonction du contexte, de déterminer le niveau de confiance courant de l’utilisateur dont le comportement est en cours de supervision.

L’entrainement du modèle permet de cartographier le comportement de l’utilisateur en fonction de son contexte de travail et de ses habitudes lors de l’exécution des tâches qui constituent habituellement sa mission. À partir de l’analyse des traces disponibles, une empreinte est calculée qui représente l’identité numérique de la personne de la même manière que l’ADN identifie un individu, à la différence près que l’ADN biologique est invariant dans le temps. Dans le cas de l’authentification continue, cette empreinte va vraisemblablement varier, soit parce que le contexte de travail évolue (nouvelles versions d’applications ou de systèmes d’exploitation), soit parce que le comportement de l’utilisateur se modifie avec le temps. Des raisons conjoncturelles (maladie, fatigue) vont allonger les temps de réaction quand d’autres vont les raccourcir, par exemple quand l’utilisateur aura découvert de nouveaux raccourcis pour accéder à certaines fonctions (Contrôle-Maj-Echap pour le gestionnaire de tâches sous Windows).

En situation réelle, les responsables de la sécurité déterminent pour chaque cas d’usage, quels sont les seuils au-delà desquels le risque perçu est symptomatique d’un comportement anormal et décident d’appliquer les actions adéquates, de façon automatique ou manuelle : il peut s’agir de demander une réauthentification à l’utilisateur si le risque calculé est modéré ou d’exécuter des actions plus radicales telles que la fermeture de la session de travail dans les autres cas.

L’union fait la force

Les limitations des solutions à authentification initiale sont bien connues aujourd’hui. Sans remettre en cause leur bien fondé, l’authentification continue, en analysant le profil de comportement de l’utilisateur sur les dispositifs d’entrées/sorties du poste de travail, permet de les compléter et d’en dépasser les limites en améliorant à la fois la sécurité du SI et le confort des utilisateurs. En effet, tant que le niveau de confiance est suffisant, l’analyse de l’activité est silencieuse et transparente : l’utilisateur n’est pas perturbé dans sa mission par des interruptions intempestives liées à la vérification de son identité. En revanche, si l’indice de confiance se dégrade pour quelque raison que ce soit, l’authentification continue permet de réagir plus vite et plus efficacement à une menace, potentiellement avant même qu’elle ne se concrétise.

La mise en œuvre opérationnelle de l’authentification continue est un défi technique en raison de l’hétérogénéité des sources de données, de la variabilité des paramètres et de la rareté de l’information. C’est pourquoi les solutions intégrées de gestion des accès comme IPDiva Safe de Systancia sont des outils irremplaçables pour traiter le sujet de l’authentification des utilisateurs, en particulier pour les comptes privilégiés, puisque ce sont des plateformes capables de fédérer et centraliser tous les accès aux ressources de l’entreprise et ainsi de fournir tous les moyens de détecter des signaux faiblement corrélés mais constitutifs d’une menace pour l’entreprise.

Frédéric PIERRE – Directeur Scientifique

__________________________

[i] Il paraît que c’est aussi la définition du mariage ou du PACS…

[ii] La gestion des habilitations qui fait partie de la gestion des identités n’est pas traitée ici.

[iii] Dernier en date (décembre 2017) : divulgation de 1,4 milliard de crédentiels.