From 3285479617044ef6d9a5c57e48229e3246b289a4 Mon Sep 17 00:00:00 2001 From: Eol Date: Sat, 9 Mar 2019 18:49:19 +0100 Subject: [PATCH] Added "Le web plus accessible..." --- memoire.md | 32 ++++++++++++++++++++++++++++---- 1 file changed, 28 insertions(+), 4 deletions(-) diff --git a/memoire.md b/memoire.md index a103e80..c6837c5 100644 --- a/memoire.md +++ b/memoire.md @@ -7,7 +7,9 @@ Depuis toujours, l'authentification sur des systèmes informatique est principalement régie par l'utilisation du couple identifiant / mot de passe. C'est pourtant un facteur d'identification peu fiables : utilisation du même mot de passe pour plusieurs - voir tous les - services, mot de passe faible, progrès -technique rendant leur cassage plus efficaces etc. +technique rendant leur cassage plus efficaces etc. Dans un communiqué de presse +du W3C et de l'Alliance FIDO, "les mots de passe volés, faibles ou par défaut +sont à l'origine de 81% des atteintes à la protection des données". Il existe des solution pour pallier cette faiblesse, avec notamment l'introduction d'un ou plusieurs autres facteurs d'authentification (TOTP, SMS @@ -22,7 +24,7 @@ en œuvre et tenter d'exposer ses limites. La norme X.509 régissant les formats les format pour les certificats à clé publique. Elle est définie par l'Union Internationale des Télécommunications et -établie : +établie : - Le **format de certificat** - La **liste de révocation** des certificats @@ -38,8 +40,8 @@ et une partie privée. Ces certificats peuvent assurer plusieurs rôles ### PKI - Infrastructure à clefs publiques -Une infrastructure à clefs publique est un ensemble d'éléments, qu'ils soient -humain, matériels ou logiciels destinés à gérer les clefs publiques des +Une infrastructure à clefs publiques est un ensemble d'éléments, qu'ils soient +humain, matériels ou logiciels, destinés à gérer les clefs publiques des utilisateurs d'un système. Cette infrastructure est utilisée pour créer, gérer, distribuer et révoquer des @@ -53,6 +55,23 @@ le fonctionnement du chiffrement TLS. ### Une SmartCard? +### Le Web plus accéssible aux authentifications par certificats + +Aujourd'hui, l'un des principaux défauts de l'authentification par certificats, +c'est qu'elle n'est pas déployée largement : seul un petit nombre de services +l'utilisent. + +Cependant, supporté par le constat que les mots de passe perdent +en efficacité, le standard WebAuthn (pour Web Authentication) a récemment été +créé et publiée par le W3C. Ce standard définit une API destinée aux +navigateurs, aux applications web et aux autres plateformes nécessitant une +authentification forte basée sur clés pulbiques. + +Les grands du Web ont déjà ont déjà mit en place le support de WebAuthn sur +leurs outils : Windows 10, Android, Google Chrome, Mozilla Firefox, +Microsoft Edge et Safari. L'apparition de ce standard va sans aucun doute +encourager une adoption plus large de ce type d'authentification. + ## Attaque sur les smartcard ### Attaques sur les PKI @@ -78,3 +97,8 @@ Pixis *[Padding oracle](https://beta.hackndo.com/padding-oracle/)* Romain Bardou, Riccardo Focardi, Yusuke Kawamoto, Lorenzo Simionato, Graham Steel, et al.. *Efficient Padding Oracle Attacks on Cryptographic Hardware.* [Research Report] RR-7944, 2012, pp.19. + +Marc Zaffagni *[CNETfrance.fr : Vers la fin des mots de passe ? WebAuthn est +désormais un standard du web](https://www.cnetfrance.fr/news/vers-la-fin-des-mots-de-passe-webauthn-est-desormais-un-standard-du-web-39881531.htm)* + +W3C *[Web Authentication: An API for accessing Public Key Credentials](https://www.w3.org/TR/webauthn)*