Sécuriser un site par la machine

[occitech]

Bonjour,

Je cherche à autoriser l'accès à un site que depuis certaines machines, mais plus compliqué qu'un simple filtrage IP.

J'ai pensé aux certificats mais je ne sais pas si on peut lier un certificat à la machine ? A priori un certificat ca se copie et s'installe sur une autre machine....(de ce que j'en sais).

Sinon y a aussi les systèmes d'identification par carte à puce qu'on retrouve sur certains PC PRO mais ca m'étonnerait que l'interface d'authentification puisse se lier au navigateur, et donc à un site Web.

Avez-vous d'autres idées ?

Par adresse MAC : mauvaise idée, se craque facilement.

Merci.

[Kioob]

Hello,

les certificats servent justement à cela oui. Créer un certificat différent par machine, à installer dans chaque navigateur.

[jcaron]

J'ai pensé aux certificats mais je ne sais pas si on peut lier un certificat à la machine ? A priori un certificat ca se copie et s'installe sur une autre machine....(de ce que j'en sais).

Sinon y a aussi les systèmes d'identification par carte à puce qu'on retrouve sur certains PC PRO mais ca m'étonnerait que l'interface d'authentification puisse se lier au navigateur, et donc à un site Web.

Ben justement si, je pense que tu peux utiliser une carte à puce pour stocker un certificat non copiable, le tout utilisable dans (au moins) IE. Jamais essayé, mais c'est prévu pour. Il y a un peu de doc dans IE (Options -> Internet -> Contenu -> Certificats -> En savoir plus sur les certificats), sinon je pense qu'il faut aller voir sur MSDN pour avoir plus de détails.

Jacques.

[Dadou]

Je cherche à autoriser l'accès à un site que depuis certaines machines, mais plus compliqué qu'un simple filtrage IP.

Quel intérêt d'un tel filtrage ?

[Kioob]

A priori : le même que pour une connexion SSH via une clé plutôt qu'un mot de passe.

C'est bien beau d'utiliser un "super cryptage" pour la communication, mais si au final l'utilisateur met le prénom de ses enfants, de sa copine ou encore sa date de naissance, ça ne sert plus à grand chose. Dans ce genre de cas utiliser un certificat me semble assez pertinent.

Pour moi c'est une identification bien plus "forte" qu'un couple login/mot de passe qui seront notés sur un post-it sur l'écran car trop complexes.

Enfin je vois ça comme ça, il y a sûrement d'autres avantages. Pour quoi les impôts (pour la déclaration en ligne) par exemple utilisent cette technique ? Est ce dans un but ergonomique, technique, juridique, autre ?

[Dadou]

Non, pourquoi vouloir bloquer à une machine, si moi à l'autre bout je désire investir dans une autre, ou tout simplement, y acceder ailleurs : au bureau et a la maison??

[Kioob]

Bah tout comme pour une clé SSH, tu la conserves. Ce n'est pas lié au numéro de série de ton processeur ou autre.

Ce n'est ni plus ni moins qu'un "badge de sécurité" version numérique. Tu le conserves sur toi pour tes déplacements si besoin.

[Dadou]

Justement ce qui semble gêner occitech c'est le fait que l'on puisse "deplacer" ce certificat, d'où mon interrogation : pourquoi vouloir absolument faire un filtrage par machine

[Kioob]

Ah oki, je ne te suivais pas. Dans ce cas oui comme le signale jcaron via une carte à puce cela doit probablement être faisable... même si la carte en question reste probablement déplaçable. Dans tous les cas il ne faut pas se leurrer : ce n'est pas pour du grand public, donc peu importe la contrainte matérielle, la société fera avec. Non ?

Mais pour le coup le plus simple serait probablement le VPN, ainsi seuls les ordinateurs "physiquement" (hem, wifi tout ça) reliés au réseau de la société auraient accès au site en question.... si c'est bien de ça que nous parlons.

[occitech]

Bonjour,

Cela concerne un projet Extranet donc je veux que les gens puissent se connecter uniquement depuis leur lieu de travail.

Un filtrage IP n'est pas suffisant car avec les connexions WIFI non protégées ou en apportant son portable sur place.

Un certificat est copiable vers une autre machine.

Il ne me reste donc qu'à sécuriser la machine...

[Dadou]

Dans ton extranet les machines sont-elle reliées à un annuaire ldap (du genre active directory) commun?? si oui, tu peux peut être utiliser le système CAS (Central Authentication Service) : http://www.ja-sig.org/products/cas/ qui permet de reconnaitre tout utilisateur connecté à l'active directory

[occitech]

Bonjour Dadou,

Je ne pense pas que ce soit le cas, et cela ne verrouille pas la machine non plus, on peut très bien installer OUTLOOK sur un portable et accéder avec ses identifiants au domaine.

Je crois que les solutions propriétaires avec dongle USB restent le plus simple. Dommage qu'on ne puisse pas lier un certificat à une machine uniquement.

[captain_torche]

Un dongle USB n'identifie pas formellement une machine, mais juste ... un dongle USB.

En clair, n'importe quelle personne en possession du matériel (ici, par définition, facile à dissimuler ou à subtiliser) peut se connecter au réseau, quelle que soit sa provenance.

Les données échangées sont si importantes que cela ?

Avec une politique de ce genre, tu empêches un collaborateur (donc, membre légitime) d'accéder au réseau en déplacement clientèle, par exemple.

[Dadou]

Bonjour Dadou,

Je ne pense pas que ce soit le cas, et cela ne verrouille pas la machine non plus, on peut très bien installer OUTLOOK sur un portable et accéder avec ses identifiants au domaine.

Je crois que les solutions propriétaires avec dongle USB restent le plus simple. Dommage qu'on ne puisse pas lier un certificat à une machine uniquement.

Oui et non, dans le cadre d'un active directory, si la machine n'est pas inscrite dans le domaine, tu ne peux te connecter au domaine, le CAS permet d'autologuer sur le portail toute personne connecté au domaine.

Après la machine peut être connecté au domaine par vpn, mais elle reste dans le domaine

[occitech]

Un dongle USB n'identifie pas formellement une machine, mais juste ... un dongle USB.

En clair, n'importe quelle personne en possession du matériel (ici, par définition, facile à dissimuler ou à subtiliser) peut se connecter au réseau, quelle que soit sa provenance.

Les données échangées sont si importantes que cela ?

Avec une politique de ce genre, tu empêches un collaborateur (donc, membre légitime) d'accéder au réseau en déplacement clientèle, par exemple.

Effectivement, mais chaque dongle est désactivable par la suite, et puis il y a du middleware à installer + configuration pour fonctionner sur une autre machine.

De plus pas de consultation en déplacement, et nous allons programmer un accès sans dongle pour la direction.

Je me suis tourné vers la solution eToken de la société Aladdin qui correspond à mes besoins pour un coût limité (moins de 60 HT / dongle tout compris).

Ce dongle permet d'y sauvegarder un certificat puis de l'interfacer avec IE et FF.

A+ et merci pour vos idées et commentaires.

[Kioob]

Finalement tu optes pour un certificat sur clé USB quoi

[occitech]

Exactement, sachant que la clé dispose de droits d'accès qui empêchent de copier le certificat ailleurs.

[delete]

La solution de sécurité la plus safe et flexible que je connaisse est celle ci : http://www.rsa.com/node.aspx?id=1156