samedi 18 septembre 2010

S’authentifier à la maison avec un certificat dans une carte à puce, c’est possible!

A la question “Est-il possible d’authentifier un utilisateur local avec un certificat stocké dans une carte à puce?”, Microsoft répond “Non, pour s’authentifier avec un certificat sur une carte à puce il est nécessaire d’utiliser Kerberos et l’utilisation de Kerberos n’est possible qu’avec un contrôleur de domaine”.

Eh bien moi je vous annonce qu’il est désormais possible de le faire avec l’aide de Vincent Le Toux! Merci Vincent!

Deux possibilités s’offrent à vous, vous pouvez soit:

  • créer un certificat avec vos outils préférés puis le stocker sur votre carte à puce
  • générer automatiquement votre certificat via l’outil de Vincent

J’ai personnellement utilisé le certificat généré par l’outil (ce certificat est stocké sur ma carte à puce Gemalto .NET). Je peux visualiser le contenu de ma carte à puce avec l’outil en ligne .NetUtilities.

La première étape consiste à me connecter comme d’habitude sur mon Windows 7 Edition Familiale Premium 64 bits avec mon mot de passe préféré et à installer EIDAuthenticate (la solution fonctionne avec Windows Vista, Windows 7, 32 et 64 bits selon l’auteur).

Puis je lance Smart Card Logon dans System and Security:

ScreenShot026

Je choisis l’option Configure a new set of credentials car ma carte à puce ne contient pas de certificat.

ScreenShot027

Je sélectionne le certificat généré (dans mon cas je n’en ai qu’un) après avoir décidé de lui faire confiance. Tous les boucliers doivent être verts.

ScreenShot028

Puis je saisis le mot de passe de mon compte Windows (après avoir activé Activate the remove policy pour permettre de me déconnecter à chaque retrait de ma carte à puce)

ScreenShot029

Enfin je saisis mon code PIN

ScreenShot030

Lorque je me connecte sur mon ordinateur avec ma carte à puce insérée dans mon lecteur j’ai la possibilité de m’authentifier avec mon mot de passe standard (cette option peut être désactivée) ou avec ma carte à puce. Je choisis la carte à puce et le certificat qu’elle contient et je saisis mon PIN.

ScreenShot032

En conclusion, cette solution permet d’avoir un niveau de sécurité équivalent au mot de passe. Mais elle présente l’énorme avantage de la facilité d’utilisation (on pourrait également désactiver la saisie de PIN pour plus de simplicité). Cette facilité d’utilisation est l’élément différenciateur dans un environnement familial.

Source: Vincent Le Toux - http://www.mysmartlogon.com/

dimanche 12 septembre 2010

NoScript nous protège, alors utilisons le!

Comme vous le savez déjà, de nombreuses attaques sont basées sur l'exécution de scripts dans votre browser (voir à ce sujet l’article Cross Site Request Forgery par l'image!).
NoScript est une extension de Firefox qui permet de désactiver par défaut l'exécution de scripts dans le browser et de n'autoriser que les scripts nécessaires.
Notons, que NoScript ne date pas d’hier, il existe depuis 2006, et qu’il reste une des meilleures parades à l’exécution de scripts non autorisés dans notre browser. Inconvénient: l’utilisation de NoScript peut s’avérer contraignante pour une utilisation quotidienne. La sécurité aurait-elle un prix?

ScreenShot028

Lorsque l'on accède à un page web e.g. http://www.google.fr/, NoScript présente plusieurs options:

1) Autoriser google.fr temporairement. Cette option est la plus sûre.
2) Autoriser cette page temporairement. Cette option est un peu moins sûre.
3) Autoriser toute la page (cette option est pratique pour éviter d'autoriser la page de votre site préféré à chaque lancement de votre browser). Cette option est cependant encore moins sûre que la précédente.
4) Autoriser "google.fr". Cette option signifie que l'on a une confiance absolue dans le site visité et que l'on pense qu'il ne sera jamais infecté. Hum...!.
Une autre approche consiste à configurer ce site via Options / List blanche

ScreenShot029

5) Autoriser Javascript globalement. Cette option revient à ne pas installer NoScript. A éviter absolument!

A vos browsers!

Partager avec...