L’authentification avec SCEP

Quelle méthode utiliser pour l’authentification ?

Ce n’est un secret pour personne que les mots de passe ne sont plus une méthode fiable d’authentification. Cet inconvénient, associé au risque toujours présent d’apporter votre propre appareil (BYOD) et la menace croissante représentée par les ordinateurs non fiables, obligent de nombreux informaticiens à se demander comment ils peuvent garantir que seuls les utilisateurs approuvés et leurs appareils peuvent obtenir un accès.

L’utilisation intensive d’appareils mobiles dans les entreprises soulève des problèmes de sécurité, tels que l’accès aux courriels professionnels avec des appareils non autorisés, le vol de mots de passe, l’accès aux ressources de l’entreprise à partir d’appareils non fiables, etc.

Bien que l’authentification par mot de passe puisse sécuriser les périphériques et les réseaux de l’entreprise, elle présente deux inconvénients principaux :

• Les utilisateurs doivent garder en mémoire les mots de passe de chaque ressource à laquelle ils ont accès, ce qui entraîne une mauvaise expérience utilisateur ;
• Les authentifications basées sur un mot de passe sont ouvertes aux attaques par « force brute ».

L’utilisation de certificats numériques pour les périphériques d’entreprise garantit une utilisation authentique des périphériques et des réseaux d’entreprise, en les protégeant des menaces externes. Les entreprises peuvent configurer les politiques de sécurité de manière à ce que, outre le nom d’utilisateur/mot de passe, les certificats doivent être valides avant de pouvoir accéder aux ressources de l’entreprise, telles que les e-mails et le réseau Wi-Fi.

Mais ces certificats peuvent être divulgués ou volés. Afin de se protéger de telles situations, les entreprises doivent utiliser des certificats différents pour chaque périphérique. Si un certificat de périphérique est volé, l’administrateur peut bloquer ou annuler ce certificat et en émettre un nouveau pour ce périphérique particulier. Ce sera une option meilleure et plus sécurisée que d’avoir un seul certificat pour tous les périphériques de l’entreprise.

A propos du SCEP

Le protocole SCEP (Simple Certificate Enrollment Protocol) est conçu pour fournir des certificats numériques électroniquement et facilement aux utilisateurs du réseau. Il a été développé par VeriSign, Inc. pour Cisco Systems, Inc., afin de permettre à l’administrateur de réseau d’inscrire des périphériques pour les certificats à grande échelle.

Avec SCEP, il est facile de déployer des certificats uniques sur plusieurs périphériques sans une intervention manuelle.

Pour inscrire le SCEP avec les systèmes MDM, les profils SCEP doivent être créés et livrés à distance aux périphériques. Une fois les profils SCEP appliqués, les certificats émis par une autorité de certification seront générés et déployés sur les périphériques, ce qui leur permettra de se connecter à plusieurs points d’accès, tels qu’un serveur de messagerie professionnel, un réseau Wi-Fi professionnel ou un VPN.

Advantages du SCEP

L’ancien mode de déploiement des certificats était appliqué à chaque périphérique individuellement, car l’autorité de certification n’était pas en mesure d’identifier les périphériques qui n’étaient pas préautorisés par l’administrateur informatique, ce qui obligeait celui-ci à délivrer chaque certificat.

Voici trois raisons pour lesquelles vous devriez utiliser SCEP:

• SCEP allège la charge de travail de l’administration informatique en n’obligeant plus les administrateurs à spécifier des entrées pour chaque périphérique nécessitant un.
• SCEP permet aux utilisateurs finaux d’accéder automatiquement aux ressources du réseau, sans avoir à s’authentifier avec leur nom d’utilisateur ou leur mot de passe AD chaque fois qu’ils cherchent à y accéder. SCEP facilite l’authentification basée sur les certificats. Ainsi, la communication entre les périphériques et leurs points d’accès est assurée, même lorsque les utilisateurs modifient leurs mots de passe.
• SCEP contribue à la sécurité mobile en empêchant les périphériques non fiables d’accéder au réseau et en cryptant la communication entre les points d’accès au périphérique, tels que le serveur Exchange et les routeurs.

Vue d’ensemble SCEP

Pour mieux comprendre le fonctionnement SCEP un schéma est toujours bienvenu :

1. L’appareil iOS ou macOS est inscrit dans un MDM avec ABM ou manuellement ;
2. Le MDM installe le profil SCEP et les profils 802.X sur l’appareil ;
3. L’appareil génère une paire de clés ;
4. Les informations sont envoyées au serveur SCEP (Le Network Device Enrollment Service NDES est utilisé dans l’environnement Microsoft) ;
5. Le serveur SCEP demande à l’autorité de certification un certificat pour le périphérique en utilisant un template utilisateur ou machine ;
6. L’autorité de certification génère le certificat et le renvoie au serveur SCEP ;
7. Le serveur SCEP renvoie le certificat signé à l’appareil ;
8. L’appareil est authentifié et peut accéder aux ressources de l’entreprise.

Il y a toujours un compromis à trouver entre une sécurité accrue, les coûts associés et la charge pour les utilisateurs finaux. La plupart des gens n’y pensent pas, mais utiliser des certificats est très facile pour les utilisateurs finaux. Une fois le certificat installé (et dans certains cas, cela peut se produire automatiquement), il n’y a plus rien à faire. De plus, la plupart des solutions d’entreprise prennent déjà en charge l’authentification par certificat.

Une chose à garder à l’esprit, l’authentification avec un certificat standard est la même, que l’autorité de certification soit construite par Microsoft, Cisco, Symantec, Entrust, etc.

F. Andrei

crédit photo : Onlyyouqj – Freepik