Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Authentification Forte & PCI DSS : ce qui change vraiment en 2017

mars 2017 par Provadys

Courant février 2017, le PCI SSC (Payment Card Industry Security Standard Concil) a publié un document dont l’objectif est de définir et préciser les principes et les bonnes implémentations de l’authentification multi-facteurs (i.e. multi-factor authentication ou MFA) : Multi-Factor Authentication Guidance.

Provadys, en tant que société QSA, souhaite apporter son éclairage sur les informations et les règles précisées dans le document.

Que dit le document ?

Indépendance des facteurs d’authentification

L’authentification multi-facteurs consiste en l’utilisation d’au moins 2 facteurs parmi 3 durant le processus d’authentification. Ces facteurs sont :
• Quelque chose que vous seul connaissez (ex : un mot de passe),
• Quelque chose que vous seul possédez (ex : une clé USB contenant un certificat),
• Quelque chose que vous seul êtes (ex : une empreinte biométrique)

Il convient que les facteurs soient indépendants les uns des autres. Mais attention, l’indépendance couvre différents concepts :
• Indépendance de compromission
• Indépendance physique
• Indépendance logique
• Indépendance de validation

Concernant l’authentification multi-facteurs, c’est l’indépendance de compromission qui est l’élément essentiel. Cela signifie que la compromission d’un des facteurs ne doit en aucun cas permettre la compromission d’un autre facteur.

A titre d’exemple, si les deux facteurs sont un mot de passe et un objet unique (token / carte), la compromission (vol ou duplication) de l’objet ne doit pas permettre de révéler le mot de passe. De même, la compromission (capture ou cassage) du mot de passe ne doit pas permettre de dupliquer l’objet.

Authentification multicanaux

Comme le demande le PCI SSC, l’utilisation de différents canaux ou réseaux pour transporter les secrets d’authentification est un moyen d’augmenter le niveau de sécurité d’une authentification (un mot de passe saisi sur un ordinateur et un OTP généré ou reçu sur un téléphone mobile, par exemple). A contrario, si tous les facteurs transitent par le même composant avant d’être soumis à un serveur, l’efficacité de l’authentification multi-facteurs est considérablement amoindrie dès lors que le composant intermédiaire est compromis.   Il existe 3 aspects à prendre en compte lors de la mise en place de MFA :
• La génération des facteurs Les différents facteurs ne doivent pas être générés sur un même composant
• La transmission des facteurs

La transmission doit être réalisée à travers des canaux de communication distincts, de sorte qu’un attaquant sur un canal ne puisse récupérer au mieux qu’un facteur
• L’utilisation des facteurs
A l’exception du composant dont la fonction est de valider les facteurs afin d’autoriser l’accès, il convient de limiter le transit des facteurs sur un même composant.

Protection des facteurs d’authentification

La confidentialité et l’intégrité des moyens d’authentification doivent être protégées. C’est ce qu’intègre le standard PCI DSS dans les exigences du chapitre 8. Ainsi :
• Les mots de passe et données du type « quelque chose que vous connaissez » doivent être robustes et ne pas être dévoilés (8.2.1, 8.2.3, 8.2.4, 8.2.5).
• Les empreintes biométriques et données du type « quelque chose que vous êtes » ne doivent pas pouvoir être facilement recopiées ou utilisées par d’autres personnes (8.2.1, 8.6).
• Les certificats ou données du type « quelque chose que vous possédez » ne doivent pas être partagés ni copiables (8.2.1, 8.6).

Multi-étapes VS multi-facteurs

Le PCI SSC distingue l’authentification multi-étapes de l’authentification multi-facteurs.

Authentification multi-étapes :

Dans ce scénario, il faut valider l’authentification du facteur 1 avant de pouvoir utiliser le facteur 2. C’est par exemple, le cas lorsqu’il y a une validation de mot de passe suivie de la demande de saisie d’un OTP, lorsque le mot de passe est correct.
Cette approche n’est pas recommandée par le PCI SSC car elle permet d’avoir des informations sur le facteur d’authentification 1 (si l’attaquant arrive au facteur 2 alors il sait que le facteur 1 est correct).

Authentification multi-facteurs :

Dans ce scénario, la validation est effectuée une fois que le facteur 1 et le facteur 2 ont été soumis. Il faut donc, par exemple, saisir un mot de passe, saisir un OTP puis le système d’authentification valide ensuite que l’authentification globale est correcte et accepte ou non d’autoriser les accès à la ressource.
C’est l’approche recommandée par le PCI SSC.

L’utilisation du SMS

Dans son document, le PCI SSC rappelle également que selon le NIST, l’utilisation du SMS ou de la voix sont des moyens d’authentification qui ne sont plus approuvés (mais pas pour autant interdits). Cependant, ils pourraient l’être explicitement dans une prochaine version du standard.

Lois et règlementations

Le PCI SSC précise qu’il existe un certain nombre de règlementations locales qui prévalent sur les exigences PCI DSS, en particulier concernant le MFA. Ce point nous concerne en premier lieu à travers la Directive européenne sur les Services de Paiements (DSP2) qui vise, entre autres, à améliorer la sécurité des paiements. Cela passe par exemple par la mise à disposition de solutions de type MFA pour les clients. En synthèse, pour effectuer une authentification multi-facteurs conforme PCI DSS, il faut :
1. L’indépendance des mécanismes d’authentification entre eux (indépendance de compromission)
2. L’utilisation de dispositifs différents associés à différents canaux
3. Une cryptographie robuste sur le token le cas échéant
4. Une protection physique sur le token physique le cas échéant
5. Ne pas utiliser le SMS comme facteur d’authentification
6. Ne pas traiter les facteurs de façon séquentielle (ne pas faire du multi-étapes)

Qu’en pense Provadys ?

A travers ce document, le PCI SSC essaie d’uniformiser les approches et les évaluations des QSA sur l’ensemble des solutions MFA utilisées par les acteurs qui sont certifiés ou en cours de certification PCI DSS.

Deux points nous semblent cependant importants à noter :
• La volonté du PCI SSC de refuser l’authentification multi-étapes
• Le caractère non opposable de ce guide

Ne pas traiter les facteurs de façon séquentielle. Et pourquoi pas ?

Il existe aujourd’hui de nombreuses solutions qui permettent d’effectuer une authentification multi facteur de façon séquentielle (et non simultanée comme le demande le PCI SSC). Ceci est souvent dû à un héritage historique et à l’empilement des solutions.

Cependant, qu’apporte l’approche recommandée par le PCI SSC, en termes de sécurité ?

Selon Provadys, dès lors que l’indépendance de compromission des différents facteurs d’authentification est respectée, le gain en matière de sécurité est négligeable. En effet, si un attaquant réussit à compromettre le mot de passe d’un utilisateur, tant qu’il ne dispose pas du second facteur (OTP généré sur une calculette cryptographique par exemple), il n’aura pas accès à la CDE. Et l’inverse est vrai : si un utilisateur se fait voler ou compromettre sa calculette, tant que son mot de passe n’est pas compromis, l’attaquant n’a pas accès à la CDE.
Le fait d’avoir une validation séquentielle ne provoque pas d’augmentation du risque par rapport à une validation indépendante dès lors que la connaissance de l’un des facteurs n’augmente pas les chances de compromission du second facteur.

Qui est le plus fort ? Le guide ou le standard ?

Comme précisé ci-dessus, le document produit par le PCI SSC est un guide qui vise à aider la compréhension et l’approche relative à l’authentification multi-facteurs.

Néanmoins, cette publication ne reste qu’un guide. Cela signifie concrètement qu’il n’est pas opposable et que c’est bien le standard PCI DSS (qui a une approche moins contraignante sur l’authentification) qui fait foi.

Attention cependant à ne pas trop s’éloigner des recommandations du guide : les précisions fournies par le PCI SSC sont souvent intégrées ultérieurement lors des révisions du standard. Il convient d’ores et déjà d’étudier les différentes options disponibles pour se conformer aux dispositions de ce guide afin d’anticiper les évolutions du standard.


Provadys est une société de conseil spécialiste des technologies de l’information. Nous accompagnons les organisations en matière de Cybersécurité, Infrastructure & Cloud, Transformation du système d’information. Nous mettons nos savoir-faire au service des DSI et des RSSI pour traiter les défis liés à la sécurisation ou aux mutations des Systèmes d’Information.
Provadys rayonne partout en France, possède des bureaux à Paris, Sophia-Antipolis et Nantes et compte plus de 500 clients.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants