Glossaire

RSA SecureID

Qu'est-ce que RSA SecurID ?

RSA SecurID, ou simplement SecurID, est une technologie d'authentification à deux facteurs par chiffrement à clé publique qui sert à protéger les ressources d'un réseau. Développée par RSA Data Security, SecurID cherche à mettre fin à la difficulté rencontrée pour factoriser de très grands nombres. À cette fin, l'algorithme utilise la factorisation en nombres premiers comme méthode infaillible pour stopper les attaques par force brute. Décoder le chiffrement demande énormément de temps et une haute capacité de traitement, c'est pourquoi les attaques directes préfèrent se replier sur le système de sécurité. Il s'agit de la norme de chiffrement pour les données importantes, en particulier pour les informations échangées sur Internet.

Ce système d'authentification s'articule autour de deux éléments de protection principaux : un mot de passe ou un lecteur de code PIN connu par l'utilisateur (quelque chose que vous connaissez) et (généralement) une clé USB, une carte à puce ou une clé électronique, c'est-à-dire un jeton d'authentification (quelque chose que vous possédez). Ces deux points d'authentification sont alors utilisés conjointement avec le logiciel RSA Authentication Manager, qui contrôle les demandes d'authentification.

Comment fonctionne SecurID  ?

Si un utilisateur souhaite accéder à une ressource protégée, comme une base de données de suivi financier ou l'interface back-end d'une banque, il doit fournir son code. Le code est basé aussi bien sur le PIN fourni par le système SecurID lors de l'installation, que sur le code généré pour cette connexion par le jeton d'authentification de l'utilisateur. Dans cet exemple, l'utilisateur clique sur son appareil RSA SecurID, qui génère un code propre à la session. Ces deux codes sont ensuite envoyés au RSA Authentication Agent qui les traduit et les dirige vers le logiciel RSA Authentication Manager, qui se charge alors de les vérifier et de les approuver. Le système RSA SecurID calcule le nombre que le jeton est censé afficher en temps réel, le compare à la saisie de l'utilisateur et décide d'autoriser ou non l'accès.

Comparaison entre SecurID et d'autres services de sécurité

Contrairement à de nombreux services de sécurité, SecurID a recours à des jetons d'authentification matériels. Ces jetons fournissent une couche de protection pour lutter contre les cyberattaques au niveau des logiciels. Vous trouverez ci-dessous un tableau comparatif pour SecurID et d'autres services de sécurité connus.

RSA SecurID Services de jetons SMS Authentification par mot de passe
à usage unique
Authentification matérielle Oui Non Non
Niveau de sécurité Élevée Élevée Faible
Coût du service Élevée Faible Aucune
Facilité d'utilisation Faible Élevée Élevée
Facilité de distribution Faible Élevée Élevée

Vulnérabilités au sein de RSA SecurID

Les jetons RSA SecurID protègent des attaques par rejeu en générant des mots de passe à usage unique pour chaque session, toutefois, ils ne possèdent aucune fonctionnalité qui permette de protéger des attaques de type « l'homme du milieu ».

  • Si l'auteur de l'attaque parvient à empêcher l'utilisateur autorisé de s'authentifier sur le serveur avant que le prochain jeton ne devienne valide, il pourra se connecter au serveur à sa place. Le serveur d'authentification SecurID tente d'empêcher l'usurpation de mots de passe et les connexions simultanées en rejetant les deux demandes d'authentification si deux identifiants valides sont fournis dans un délai donné. Pour ce type d'attaque, vous pouvez renforcer votre sécurité en optant pour un mécanisme d'authentification, de type SSL par exemple.
  • Si l'auteur de l'attaque parvient à empêcher complètement l'utilisateur de s'authentifier à l'aide de son jeton, le serveur SecurID partira du principe que c'est bien l'utilisateur qui s'authentifie, et non un usurpateur, et il lui autorisera l'accès.
  • Les attaques de social engineering par phishing servent également à passer à travers la barrière de sécurité RSA SecurID. Le phishing est une des techniques de social engineering utilisées pour tromper les utilisateurs et exploiter la mauvaise ergonomie des technologies de sécurité sur le Web. Elle s'effectue généralement par usurpation d'e-mails ou de messagerie instantanée, et pousse souvent les utilisateurs à saisir leurs données sur un faux site Web dont l'apparence est très proche de celle du site copié.
  • Si l'auteur de l'attaque parvient à obtenir les identifiants saisis par l'utilisateur en texte brut, il peut rapidement les utiliser pour se faire passer pour l'utilisateur légitime avant que le jeton n'expire (généralement au bout d'une minute).
  • Les jetons matériels peuvent être subtilisés (ou acquis par social engineering) à leur utilisateurs. Le faible facteur de forme des jetons matériels rend leur vol plus facile que le piratage d'un ordinateur de bureau/portable.

La vulnérabilité la plus évidente pour les conteneurs de mots de passe de tous types reste la perte du dispositif contenant une clé spécifique ou du smartphone activé doté de la fonctionnalité intégrée. Cette vulnérabilité ne peut être contrée avec n'importe quel conteneur de jetons uniques au cours de la durée bloquée qui permet l'accès à l'aide de la clé perdue ou volée. L'utilisateur mettra généralement plus d'une journée à signaler la perte du dispositif, ce qui laisse à l'auteur de l'attaque tout le temps nécessaire pour s'introduire dans le système non protégé. Toutefois, ce cas de figure ne peut avoir lieu que si le pirate connaît également l'identifiant et le code PIN de l'utilisateur.

Pourquoi SecurID est un système important ?

À l'ère du client-serveur, les entreprises adoptaient des solutions de sécurité telles que l'authentification à deux facteurs uniquement par souci de conformité, puisqu'elles devaient respecter les réglementations en termes de protection des données financières, médicales, bancaires, etc. Aujourd'hui en revanche, c'est principalement pour des raisons de sécurité et de gestion des risques que les entreprises cherchent à mettre en place une authentification à deux facteurs. Les violations de données ne sont pas un mythe et elles touchent des millions d'utilisateurs avec des conséquences à grande échelle. Alors qu'avant seule une poignée d'applications nécessitaient un tel degré de protection, l'environnement de sécurité actuel doit couvrir des dizaines voire des centaines d'applications.

Une solution à deux facteurs se doit d'être évolutive afin d'être déployée sur toutes les applications et pour tous les employés qui traitent des informations sensibles. À mesure que le nombre d'applications et d'utilisateurs grimpe et que la cybercriminalité prend de l'ampleur, il devient essentiel de bénéficier d'un déploiement de plus en plus rapide pour votre système de sécurité.

En 2011, des hackers sont parvenus à s'introduire dans le système RSA et à s'emparer des valeurs de départ internes utilisées par RSA pour contrôler ses dispositifs physiques, et se sont servis de ces informations pour attaquer Lockheed Martin, un client de RSA, ainsi que d'autres entreprises de défense non identifiés. Ces valeurs de départ incluaient une clé secrète codée en dur dans le jeton lui-même, et agissent telles une combinaison de cadenas numérique. Cette vulnérabilité a démontré ce qu'il pouvait arriver à n'importe quel système matériel à coût élevé.

En savoir plus

Grâce à Barracuda, il est simple d'utiliser SecurID pour protéger votre site et vos applications Web contre les accès non autorisés. Barracuda Web Application Firewall propose une intégration SIEM (Gestion des événements et des informations de sécurité) aux deux principaux systèmes de gestion des identités et d'authentification multi-facteur que sont SecurID et CA SiteMinder. Contactez Barracuda pour en savoir plus sur RSA SecurID ou pour bénéficier d'un essai gratuit du produit Barracuda de votre choix.