23.11.2023

Vers une authentification aux réseaux d’entreprise plus sûre et plus simple

Réseau

Grâce à leurs expériences au sein du service internationale d’itinérance eduroam, la Fondation Restena et DFN ont corédigé une proposition de normalisation pour permettre le développement d’une nouvelle méthode d'authentification aux réseaux d’entreprise couplant les normes EAP et FIDO 2.

À la fin du mois d’octobre 2023, Stefan Winter, ingénieur de recherche et Chief Technology Officer à la Fondation Restena et son confrère du réseau de recherche et d’éducation allemand (Deutsches Forschungsnetz – DFN), Jan-Frederik Rieckers, ont publié un Internet-Draft intitulé ‘EAP-FIDO’ auprès de l’Internet Engineering Task Force (IETF), un organisme de normalisation (standards development organization - SDO) pour Internet. Le document a été présenté par ses auteurs lors de l’IETF meeting organisé à Prague (IETF 118) en novembre 2023 devant un parterre d’experts des protocoles d’authentification.

La cryptographie en lieu et place du mot de passe

Dans ce document de travail, les auteurs, tous deux membres de l’équipe de Recherche & Développement (R&D) internationale d’eduroam, un service mondial d'itinérance Wi-Fi pour la recherche et l’éducation, se sont attardés à spécifier une méthode d’authentification via l’EAP (Extensible Authentication Protocol) recourant aux jetons de sécurité FIDO2. D’un côté, l’EAP est une norme très répandue pour permettre l’authentification des serveurs et des utilisateurs. De l’autre, FIDO 2 est une norme basée sur la cryptographie à clé publique permettant de certifier l’identité de la personne souhaitant se connecter à un compte qui a jusqu'à présent été utilisée quasi exclusivement pour protéger les ressources à l'intérieur des navigateurs web (on parle autour de WebAuthn).

L’association de ces deux normes, qui semblaient il y encore peu de temps incompatible, pourrait révolutionner l’avenir de l’authentification des utilisateurs aux réseaux d’entreprises. Auparavant, l'authentification de l'utilisateur utilisait soit des mots de passe (envoyés sur l'internet sous une forme ou une autre), soit des certificats clients TLS (très sûrs mais également peu pratiques). Désormais, avec la méthode proposée dans le document de travail, cette authentification par mot de passe est remplacée par une cryptographie asymétrique ayant recours à des clés de chiffrement (apportant les avantages des certificats de client, mais sans leurs inconvénients), et des spécifications claires sur la manière de décider si un certificat de serveur est valide ou non pour l’authentification en cours y sont élaborées.

Une méthodologie à approfondir

Le document de travail initial, rédigé et discuté dans le cadre du groupe de travail EAP Method Update (emu) de l’IETF dont l’ambition est de mettre à jour la méthode EAP existante et produire divers documents. Il constitue la première étape d’une longue série de réflexions à venir à laquelle la communauté Internet internationale est invitée à prendre part.

Les considérations futures portent sur la façon de déterminer l'identifiant du parti relayeur nécessaire à FIDO pour fonctionner ou de mettre en place le déprovisionnement (c’est-à-dire la suppression des dispositifs permettant d’allouer automatiquement des ressources à un utilisateur) d’une configuration EAP. Ces questions ouvertes seront discutées au sein de l'IETF dans les mois à venir. Lorsque le document standard sera terminé et que les implémentations industrielles seront disponibles, les services Wi-Fi d'entreprise, Ethernet sécurisé et VPN du monde entier pourront appliquer, à l’avenir, cette nouvelle méthode d’identification.