---
title: Contrôle d'accès logique
tags: C&C, joffrey.chambon
authors: joffrey.chambon
---
# Définitions
## Identification
Déclarer son identité
## Authentification
Prouver son identité
## Autorisation
Donner des droits à son identité
## Traçabilité
Surveiller le comportement de quelqu'un (exemple : logs)
## Non-répudiation
Prouver qu'une action a bien été effectuée par une personne sans contestation possible
## Authenticité
## Sujet
Personne ou procédure qui souhaite accéder à un objet
## Objet
Ressource à laquelle on souhaite accéder
## Domaine de sécurité
Lorsque l'on crée plusieurs règles de sécurité dans un domaine, il est préférable d'en créer un autre.
Si plusieurs domaines : relation d'approbation
# Modèles de sécurité
## Discrétionnaire (identity based, user directed)
Le système définit son propre système de sécurité à sa discrétion
## Mandataire (rule based, administratively directed)
Le système prend la décision, règles définies par l'administrateur
## Non discrétionnaire (role based)
Création de rôles qui auront des droits
RBAC : Role Based Access Control
## Notions connexes
### DLP (Data Leak Prevention)
Eviter la fuite de données (par exemple mauvaise manip)
Nécessité de marquer la donnée -> méta-donnée, mettre des règles sur les documents, bonne gestion documentaire
# Typologie de menaces
## Ecoute sur le réseau, machine
## Interception (man in the middle)
Exemple : télécommunications, canal chiffré
## Shoulder surfing (espionnage physique, "par-dessus l'épaule")
Récupérer des moyens d'accès
## Rejeu
Utilisation de l'historique pour déduire des mots de passe
## Attaque en ligne
## Attaque hors-ligne
# Ingénierie sociale
Etablissement de liens de confiance ou liens cognitifs. Exemple : pression, récompense, pas de contrôle d'accès complet)
Plusieurs types : Fraude au président, ...
Kevin Mitnick
# Paramètres de sécurité
* Sécurisation du stockage volatile/non volatile
* Sécurisation du transport
* Sécurisation à l'éxécution
* Sécurisation de la session
Développer des contrôles d'accès c'est compliqué. Ne pas hésiter à s'intégrer à des écosystèmes existant.
# Authentification
## Comment casser un mot de passe ?
Rainbow table : créer un aléa dans la fonction de hashage
Attaque par brute force, attaque crypto
## 3 types d'authentification
* ce que je connais (mot de passe, ...)
* ce que je possède (badge, ...)
* ce que je suis (empreinte, ...)
Multifactor authentification : plus sécurisé
OTP : synchrone -> 2 compteurs synchronisé, asynchrone -> envoi d'un aléa en clair
Annuaire : optimisé pour la lecture
Service AAA :
Sign in with Wallet
Connect another wallet