Apparu en 2000, le système d’identification unique reste encore d’une actualité brûlante
Le trader à l’origine de la fraude record de 5 milliards d’euros aurait simplement exploité les lacunes de la politique de sécurité de la Société générale. Des identifiants et mots de passe permettant l’accès à des applications sensibles n’étaient pas changés régulièrement.
Depuis de nombreuses années, les entreprises ont investi lourdement dans leur système de sécurité pour se prémunir d’attaques extérieures et s’aperçoivent que, dans 70 % des cas, le danger vient de l’intérieur. Cela va d’un post-it, comportant les mots de passe, laissé négligemment sur l’écran de l’ordinateur, l’utilisation d’un même mot de passe pour ses différents accès ou du non-respect de règles de modification régulière des mots de passe comme dans le cas de fraude à la Société générale.
Autre cas de figure : les collaborateurs sont obligés quotidiennement et à de multiples occasions de taper leur nom d’utilisateur et leurs différents mots de passe. On estime qu’une personne qui entre son login et son mot de passe en moyenne 10 à 15 fois par jour fait perdre chaque année 55 heures de travail à son entreprise. Une aberration dans un contexte de recherche de productivité.
On doit aussi parler de la complexification du travail des personnes en charge de gérer les authentifications, lors de l’arrivée d’un nouveau collaborateur ou quand il faut appliquer certaines politiques de sécurité.
Des solutions à la fois simples et économiques auraient pu éviter bien des soucis à de la Société générale : centralisation de l’authentification afin de pouvoir appliquer facilement une stratégie de sécurité vis-à-vis des mots de passe, mise en place d’un SSO au niveau des différentes applications web ainsi que des services (messagerie, serveurs de fichiers, serveur d’authentification...). Il existe aussi différentes méthodes d’authentification plus sécurisées que les mots de passe : les signatures digitales, les mots de passe à usage unique, la biométrie, voire une combinaison de plusieurs techniques qui pourront se présenter sous la forme de cartes à puce, de clés USB, de badges ou de token.
Cet article a été rédigé avec la participation de Didier Granjon, cofondateur de Simia.
3 réactions à cet article
-
La centralisalisation de l’authentification est UNE FAIBLESSE. Le SSO (Sigle Sign On) n’est que très peu utilisé pour la sécurité.
Par contre, cette technologie est largement utilisée pour faciliter les accès aux personnes non informaticiennes dont vous faites vraissemblablement partie (DRH, Marketing, vente).
D’un point de vue purement informatique, j’espère ne pas vous apprendre qu’aucun mot de passe n’est requis pour les services de production. C’est un mécanisme de clé (cryptée - type SSH) qui permet la connexion de façon transparente depuis un serveur sécurisé vers tous les autres serveurs à exploiter.
Comme toujours, on ne résoud jamais vraiment les problèmes de sécurité, on les réduit, on les déplace, on les filtre . . . La sécurité c’est toujours une question de compromis entre les risques et le service souhaité.
Si la SG fonctionne comme elle fonctionne, c’est qu’elle l’a choisi.
-
J’abonde dans le sens de MagicBuster.
En tant qu’administrateur des systèmes informatiques d’une grande entreprise, je pense que le SSO est très dangeureux : Cela signifie que si un mot de passe est compromis, tous les accès dont bénéficie cet utilisateur peuvent potentiellement être compromis eux aussi.
Le vrai problème reste, je pense, encore et toujours l’éducation des utilisateurs. Alors oui, les admins sont pénibles avec leurs mots de passe à changer régulièrement, oui, ils rabâchent tout le temps la même rengaine, mais la sécurité est à ce prix, et les tristes exemples dont nous avons été témoins récemment prouvent le danger du laxisme dans ce domaine fort délicat
-
Bonjour,
Effectivement, le SSO s’adresse particulièrement à l’ensemble des utilisateurs. Celui-çi peut être un point faible dans le sens ou un seul contrôle est demandé pour avoir l’accès aux différentes ressources. Le tout est de renforcer ce contrôle, par l’utilisation de la biométrie ou de token contenant une clé rsa et un code pin.
C’est identique au poste qui peut se connecter sur l’ensemble des serveurs via une clé SSH. La compromission de ce poste permet l’accès à l’ensemble des serveurs. On reforce alors le point le plus faible ( accès physique ou réseau à ce poste dans cet exemple, méthode d’authentification dans le cadre du SSO )
Il faut comprendre que pour un informaticien, il est peut être préférable d’utiliser plusieurs couple login/password. Mais qu’en est il de l’utilisateur à qui il faut répeter sans cesse les règles basiques de sécurité. Le SSO avec une méthode d’authentification adaptée permet justement de réduire les risques liés à ces utilisateurs qui représentent une grande partie de l’entreprise. La complexité n’est pas l’ami de la sécurité, bien au contraire.
C’est en ce sens que le SSO avec une méthode d’authentification adaptée, aurait pu éviter à la société générale l’utilisation d’un login/mot de passe par un de ces collaborateurs à qui il n’était pas destiné. L’utilisation d’un token, ou de reconnaissance digitale voir rétinienne aurait pu éviter à JK de se faire passer pour quelqu’un d’autre.
Le SSO, peut être lourd à mettre en place, ce pourquoi il est peu utilisé actuellement. Sa mise en en place nécéssite un réflexion globale vis à vis de l’architecture informatique mais également au niveau du système d’information et beaucoup de société attendent justement une refonte de leur infrastructure pour le mettre en place, réduisant ainsi les coûts en l’intégrant dans un projet global. Après, cela va dépendre de l’infrastructure et du système d’information.
Cordialement,
Mr Granjon.
-
-
Ajouter une réaction
Pour réagir, identifiez-vous avec votre login / mot de passe, en haut à droite de cette page
Si vous n'avez pas de login / mot de passe, vous devez vous inscrire ici.
FAIRE UN DON
