ADSILLH/secu_sujet
1
0
Fork 0
Code Issues Pull requests Releases Wiki Activity

Added "Le web plus accessible..."

Browse source
This commit is contained in:
Eol 2019-03-09 18:49:19 +01:00
parent c94641ee2b
commit 3285479617
1 changed files with 28 additions and 4 deletions
Download patch file Download diff file Expand all files Collapse all files

30
memoire.md
View file

@ -7,7 +7,9 @@ Depuis toujours, l'authentification sur des systèmes informatique est
principalement régie par l'utilisation du couple identifiant / mot de passe. principalement régie par l'utilisation du couple identifiant / mot de passe.
C'est pourtant un facteur d'identification peu fiables : utilisation du même mot C'est pourtant un facteur d'identification peu fiables : utilisation du même mot
de passe pour plusieurs - voir tous les - services, mot de passe faible, progrès de passe pour plusieurs - voir tous les - services, mot de passe faible, progrès
technique rendant leur cassage plus efficaces etc. technique rendant leur cassage plus efficaces etc. Dans un communiqué de presse
du W3C et de l'Alliance FIDO, "les mots de passe volés, faibles ou par défaut
sont à l'origine de 81% des atteintes à la protection des données".
Il existe des solution pour pallier cette faiblesse, avec notamment Il existe des solution pour pallier cette faiblesse, avec notamment
l'introduction d'un ou plusieurs autres facteurs d'authentification (TOTP, SMS l'introduction d'un ou plusieurs autres facteurs d'authentification (TOTP, SMS
@ -38,8 +40,8 @@ et une partie privée. Ces certificats peuvent assurer plusieurs rôles
### PKI - Infrastructure à clefs publiques ### PKI - Infrastructure à clefs publiques
Une infrastructure à clefs publique est un ensemble d'éléments, qu'ils soient Une infrastructure à clefs publiques est un ensemble d'éléments, qu'ils soient
humain, matériels ou logiciels destinés à gérer les clefs publiques des humain, matériels ou logiciels, destinés à gérer les clefs publiques des
utilisateurs d'un système. utilisateurs d'un système.
Cette infrastructure est utilisée pour créer, gérer, distribuer et révoquer des Cette infrastructure est utilisée pour créer, gérer, distribuer et révoquer des
@ -53,6 +55,23 @@ le fonctionnement du chiffrement TLS.
### Une SmartCard? ### Une SmartCard?
### Le Web plus accéssible aux authentifications par certificats
Aujourd'hui, l'un des principaux défauts de l'authentification par certificats,
c'est qu'elle n'est pas déployée largement : seul un petit nombre de services
l'utilisent.
Cependant, supporté par le constat que les mots de passe perdent
en efficacité, le standard WebAuthn (pour Web Authentication) a récemment été
créé et publiée par le W3C. Ce standard définit une API destinée aux
navigateurs, aux applications web et aux autres plateformes nécessitant une
authentification forte basée sur clés pulbiques.
Les grands du Web ont déjà ont déjà mit en place le support de WebAuthn sur
leurs outils : Windows 10, Android, Google Chrome, Mozilla Firefox,
Microsoft Edge et Safari. L'apparition de ce standard va sans aucun doute
encourager une adoption plus large de ce type d'authentification.
## Attaque sur les smartcard ## Attaque sur les smartcard
### Attaques sur les PKI ### Attaques sur les PKI
@ -78,3 +97,8 @@ Pixis *[Padding oracle](https://beta.hackndo.com/padding-oracle/)*
Romain Bardou, Riccardo Focardi, Yusuke Kawamoto, Lorenzo Simionato, Graham Steel, et al.. Romain Bardou, Riccardo Focardi, Yusuke Kawamoto, Lorenzo Simionato, Graham Steel, et al..
*Efficient Padding Oracle Attacks on Cryptographic Hardware.* [Research Report] RR-7944, 2012, *Efficient Padding Oracle Attacks on Cryptographic Hardware.* [Research Report] RR-7944, 2012,
pp.19. <hal-00691958v2> pp.19. <hal-00691958v2>
Marc Zaffagni *[CNETfrance.fr : Vers la fin des mots de passe ? WebAuthn est
désormais un standard du web](https://www.cnetfrance.fr/news/vers-la-fin-des-mots-de-passe-webauthn-est-desormais-un-standard-du-web-39881531.htm)*
W3C *[Web Authentication: An API for accessing Public Key Credentials](https://www.w3.org/TR/webauthn)*