AMBIENT INTELLIGENCE tech days • 2015 #mstechdays techdays.microsoft.fr
Jul 23, 2015
SEC304
Windows 10 Next GenerationCredential : vers la fin des mots de passe ?Jean-Yves Grasset
Arnaud Jumelet
Direction technique et Sécurité
Microsoft France
tech.days 2015#mstechdays
• Tentative d’hameçonnage
• Envoi de mails depuis des serveurs compromis du New York Post
• Objectif 1 des attaquants : le mot de passe du compte Twitter du Monde.fr et ses plus de 3 millions d'abonnés.
• Objectif 2 : Prise de contrôle de l’outil de publication pour diffusion d’une revendication
• Statut: Des articles de revendication sont introduits dans l’outil mais sans réussir leur publication
Exemple: Le Monde
tech.days 2015#mstechdays
• L’utilisation de mots de passe n’est pas suffisant pour garantir la sécurité des utilisateurs
• Les utilisateurs réutilisent les mêmes mots de passe
• Les utilisateurs oublient leurs mots de passe
• Les mots de passe
• Peuvent être devinés et rejoués
• Attaquables en force brute
• Propices à l’hameçonnage (phishing) et à la divulgation (brèche serveur)
Problème
tech.days 2015#mstechdays
• S’affranchir de l’utilisation des mots de passe
• Simplifier l’expérience utilisateur (biométrie, code PIN, téléphone…)
• Respect de la vie privée
• Authentification multi-facteur pour l’accès aux services Web
• Mode d’authentification pour le grand public et pour l’entreprise
• Interopérabilité: standards ouverts FIDO Alliance
Objectifs
tech.days 2015#mstechdays
• Remplacement des mots de passe par une bi-clé (clé privée-clé publique)
• Les clés sont générées par le matériel –TPM- durant la phase d’enregistrement (par logiciel en dernier recours selon politique)
• La confiance repose sur l’utilisation du composant matériel pour protéger les clés (TPM 1.2/2.0)
• La clé privée est stockée localement et disponible à travers une interaction utilisateur (PIN ou biométrique: empreinte digitale, iris, photo…)
• La clé publique est stockée sur le serveur chargé de l’authentification
Principes
tech.days 2015#mstechdays
1
2
3
4
Fournisseur d’Identité
5
6
Active Directory
Azure Active Directory
Microsoft Account
Autre IDP
tech.days 2015#mstechdays
1
2
4
Fournisseur d’Identité
53
6
Active Directory
Azure Active Directory
Microsoft Account
Autre IDP
tech.days 2015#mstechdays
• Les clés générées par le TPM peuvent être attestées
• Les clés sont stockées un container
• Un geste unique (PIN/biométrie) déverrouille l’accès au container
• La bi-clé peut être générée sur un appareil distant (téléphone, clé USB, bracelet, etc.)
• NGC existe en 2 déclinaisons
• basé sur paire de clés (orienté grand public)
• Basé sur certificats PKI pour l’entreprise (NGC Pro)
Détails
tech.days 2015#mstechdays
Container
Bi-clé par fournisseur d’identité (IDP)
Le même PIN/geste pour déverrouiller
Le même processus de reset du PIN
CLES SECURISEES PAR LE MATERIEL
tech.days 2015#mstechdays
Container
• Code PIN 4 digit par défaut
• Code PIN complexe
• Auto-submit pour code PIN 4 caractères
• Anti-brut force
• Protection contre la composition
involontaire (appareil dans la poche)
• Support du reset PIN/Bio
• PIN nécessaire pour enregistrement
biométrique
Capteur d’empreinte digitale
FPC1021
tech.days 2015#mstechdays
• Analogie avec carte bancaire
• Sécurité basée sur dispositif matériel
• Nombre d’essais limités avant blocage
• Pas de secret partagé
• 2ème facteur pour accès à des ressources distantes
Principe
• Pourquoi un code PIN de 4 caractères est-il plus sécurisé qu’un mot de passe de 4 caractères ?
tech.days 2015#mstechdays
• Contrôle de politiques pour l’entreprise et pour un usage Cloud
• Support des politiques pour le code PIN
• Englobe les cartes à puce virtuelles
• Support des certificats en plus des bi-clés
• Gestion par MDM/SCCM
• Compatible avec le protocole d’authentification Kerberos
• Suite à l’authentification NGC, SSO Kerberos et SSO Azure AD
• L’appareil doit être joint à l’organisation
• Azure AD join, Domain join ou BYOD + work account
tech.days 2015#mstechdays
Containers
CLES SECURISEES PAR LE MATERIEL
Possibilité de définir une politique de 4-20 caractères (PIN) sur container entreprise
Possibilité d’un code PIN différent pour chaque container
tech.days 2015#mstechdays
• La personne utilise un appareil (ex. smartphone) pour s’authentifier sur les services ou ouvrir une session sur d’autres appareils (PC)
• Les clés NGC sont générées sur le smartphone et enregistrées auprès de l’IDP (uniquement clés publiques)
• L’authentification NGC par appareil distant est indépendante du transport mais sera supporté au départ sur Bluetooth (+Bluetooth lowenergy), etc.
Scénarios
tech.days 2015#mstechdays
• Pour le grand public:
• Enregistrement de nouveaux appareils
• Accès à des ressources Web en environnement non fiable
• Accès à votre compte XBOX live depuis la XBOX d’un ami
• Pour les entreprises: Remplacement de la carte à puce:
• Déverrouillage de l’appareil
• Accès à Office 365 ou VPN pour les scénarios BYOD
Scénarios
tech.days 2015#mstechdays
• L’expérience utilisateur est améliorée (code PIN/Biométrie)
• L’authentification est renforcée (2 facteurs) et les risques liés aux mots de passe atténués
• Les clés privées sont stockées localement et non-exportable (TPM)
• Aucun secret stocké sur les serveurs (respect vie privée, protection compromission serveur)
• NGC adresse les scénarios grand public et de l’entreprise
• NGC Pro offre le SSO entreprise et cloud
• L’authentification par appareil distant ouvre de nouveaux scénarios
Conclusion