Gérer les identités, un premier pas pour la sécurité

Olivier Ménager , 01 Réseaux, le 21/09/2005 à 07h00
Gérer les identités, un premier pas pour la sécurité

Ou comment faire de la sécurité la meilleure excuse vers un système totalitaire liberticide

Citation :

Connaître les utilisateurs du réseau implique de gérer les identités pour garantir l'accès sécurisé aux outils de travail.

L'annonce faite par le ministre de l'Intérieur, Dominique de Villepin, le 12 avril 2005, des nouvelles cartes d'identité sécurisées aura donné une nouvelle dimension aux solutions de gestion des identités pour l'entreprise. On voit mal comment l'entreprise pourrait, à terme, faire moins que l'État pour identifier ses membres et gérer l'accès à ses données. En précisant que « c'est un enjeu majeur pour la sécurité de notre territoire, la lutte contre le détournement de droits et l'escroquerie à l'identité » , Dominique de Villepin a certainement indirectement convaincu que la nécessité de procédures d'accès sécurisées n'était plus un luxe. « Nous sommes dans un marché qui a déjà 100 % de croissance, car les entreprises ont désormais besoin d'intégrer la sécurité dans leurs applications » , précisait Sarah Gates, responsable mondiale de Sun Microsystems pour la gestion des identités, lors d'une tournée à Paris fin mars. Et cela commence par un audit approfondi.

La simple création d'un utilisateur au sein d'un système soulève immédiatement l'intérêt de l'allocation automatique de ressources. Vos applications sont-elles sensibles à la modification des identités des utilisateurs ? Le premier audit coûtera le plus, parce qu'il remet souvent en cause l'administration informatique interne et certains logiciels déjà mis en oeuvre pour garantir la sécurité. Ce n'est pas toujours une révolution car, dans certaines grandes entreprises, on utilise depuis le milieu des années 80 des annuaires X500 comme ceux de Retix et de DEC.

Sous la pression des lois de sécurité financière

L'administration d'annuaires pour les réseaux de PC a, depuis, été démocratisée par Novell, avec ses NDS, puis par Microsoft, avec son Active Directory au coeur de Windows 2000 durant les années 90. Mais la principale évolution a été l'intégration des applications ouvertes sur le Web. Celles-ci étant accessibles de n'importe quel point du globe, les annuaires LDAP et les produits de droit d'accès, comme le Web SSO (Single sign-on) , issus du monde de l' open source , sont devenus des outils phares. Pour Yves Le Roux, de Computer Associates, c'est aussi la pression réglementaire liée aux lois de sécurité financière et Sarbanes Oaxley qui forcent les sociétés cotées en Bourse à prendre des mesures pour assurer une extrême confidentialité des informations.

La nécessité d'une grande interopérabilité entre les logiciels d'administration et de sécurité s'est donc fait jour. La Liberty Alliance, consortium de cent cinquante sociétés, fédère depuis 1998 tous les moyens d'échanger des identités sur Internet en dehors des solutions propriétaires proposées par Microsoft. Ainsi, le 12 avril 2005, ce consortium présentait trois nouvelles interfaces pour mettre à jour les carnets d'adresses et les services de localisation et de présence. Des fonctions qui seront utiles aux développeurs d'applications pour créer des services Web ou orientés messages.

Pour Bjorn Wigforss, de Nokia, également président de la Liberty Alliance, ces spécifications faciliteront l'intégration de services géolocalisés chez les opérateurs. On a désormais l'habitude de mettre en évidence cinq points essentiels autres que les annuaires. Il s'agit de la gestion des mots de passe ; l'allocation des droits d'accès ; la gestion des utilisateurs ; et les procédures d'accès de SSO, en direct ou par le Web. Les SSO permettent, avec un seul mot de passe, d'utiliser plusieurs services.

Une vague d'acquisitions indispensables

Autour de ces fonctions de base se greffent d'autres extensions comme celle de sécurité forte, les workflows ou la sécurisation des services Web. On parle alors de suites logicielles dans ce domaine. C'est le cas d'ASG, de Beta Systems Software et d'Evidian, qui ont chacun des arguments originaux. Chez les grands spécialistes de la sécurité, le principal et le plus investi est RSA Security, la plupart de ses concurrents ne proposant que des composants accessoires. Pour Sarah Gates, certaines solutions, comme celle de Sun, offrent l'avantage, dans le cas d'une intégration à des applications déjà existantes, de n'être pas intrusives et de rester indépendantes, car elles ne reposent pas sur une technologie d'agents. « Les applications, en évoluant, nécessitent souvent des corrections sur les agents pour fonctionner normalement » , précise-t-elle.

L'urgence créée par les problèmes de sécurité explique en grande partie la récente vague d'acquisitions des spécialistes de la gestion des identités par les grands du logiciel. BMC Software s'est ainsi offert en moins de deux mois deux acteurs de pointe : Calendra (gestion d'annuaires virtuels et workflow ) et Open Network (contrôle d'accès au Web et d'authentification unique). Le rachat, l'an passé, de Netegrity par Computer Associates a marqué les esprits. L'allocation dynamique des ressources et le Web SSO constituaient une nouveauté à ce moment-là. Depuis, HP, avec Trulogica, et Oracle, avec Oblix, ont fait de l'allocation de ressources un « must » . Pour les principaux acteurs du logiciel et de l'administration, compléter leur portefeuille dans la gestion d'identités était une obligation.

Simplifier la gestion des droits

Le marché devrait continuer avec, en particulier, le succès grandissant des solutions de virtualisation. À l'occasion de BrainShare 2005, qui s'est tenu fin mars, Novell a introduit cette notion avec son NVDS (Novell virtual directory services) . Comme les annuaires de Radiant Logic, MaXware et Octet Spring, NVDS permet de créer un annuaire virtuel, qui devient un point d'accrochage pour tous les utilisateurs extérieurs. Chez Microsoft, la solution virtuelle nommée Adam (Active directory application mode) n'est qu'une des facettes du MIIS 2003 (Microsoft identity integration server) . Bill Gates lui-même annonçait, lors de la conférence RSA Security fin février, que MIIS évoluerait pour simplifier la gestion des droits d'autres applications que celles de Microsoft. Un premier pas vers la Liberty Alliance... L'an passé, la firme de Redmond avait déjà abandonné son fameux Passport, trop propriétaire, qui servait d'identifiant unique pour accéder à MSN Messenger.

Parmi les fonctions attendues dans le futur Longhorn, successeur de Windows XP, on attend des services de workflow pour gérer les droits d'accès, et peut-être aussi Infocards, la nouvelle technologie envisagée par Microsoft pour succéder au système Passport. Selon le groupe d'études Forrester, la principale évolution en 2004 et au début 2005 a été, dans les grandes entreprises, les extensions de la gestion des identités à celle des principaux partenaires. Pour ceux qui étaient déjà équipés, l'intégration de systèmes d'identification fortes et la lutte contre le phishing ont constitué une seconde vague de projets.

Citation :

Une solution de référence pour le monde hospitalier

Pour Olivier Tinland, ingénieur en charge de la sécurité au CHU de Montpellier, la gestion des accès de près de sept mille utilisateurs à une centaine d'applications (dont 50 en mode Web) est un projet qui aura duré près de deux ans, dont un réservé aux validations et tests.

Il lui fallait fédérer plusieurs annuaires : NDS, Netscape et Base Coffre 2000, un système créé sur mesure pour l'accès aux applications métiers. Le cahier des charges prévoyait un système de signature unique pour les applications Web et clients-serveurs, et la reprise d'un système d'authentification et d'annuaires ancien, le tout verrouillé par une carte d'authentification forte.

Avec l'aide d'Atos Origin comme hébergeur et des logiciels de SSO d'Ilex, l'équipe informatique du CHU a mis au point une solution de référence pour le monde hospitalier.

Citation :

Biométrie : jusqu'où identifier ?

Pour l'instant, seules la photo et deux empreintes digitales constitueront les repères biométriques de la carte d'identité nationale. Mais « dans le futur, un troisième élément, l'iris de l'oeil, pourrait être pris en compte » , a expliqué le ministre de l'Intérieur, Dominique de Villepin, qui pilote le programme Ines (Identité nationale électronique sécurisée). Il rappelle que « le projet a été élaboré dans le respect strict des libertés individuelles et a fait l'objet d'avis préalables de la Commission nationale informatique et libertés et du Conseil d'État » . Trois à quatre mille mairies vont recevoir le matériel nécessaire pour l'identification biométrique. À terme, gendarmes, douaniers et policiers seront équipés de lecteurs portables pour lire ces données numérisées.

source : http://www.01net.com/editorial/288832/securite/gerer-les-identites-un-premier-pas-pour-la-securite/

@+