Présentation de RADIUS, EAP et FreeRADIUS - 3ème partie
Présentation de RADIUS, EAP et FreeRADIUS - 3ème partie
Présentation de RADIUS, EAP et FreeRADIUS - 3ème partie
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>EAP</strong>/TLS, <strong>EAP</strong>/SIM, <strong>EAP</strong>/GTC<br />
• La métho<strong>de</strong> <strong>EAP</strong>/TLS ne transm<strong>et</strong> aucun mot <strong>de</strong> passe : lors <strong>de</strong><br />
l’authentification, l’utilisateur vérifie le certificat du serveur, <strong>et</strong> le<br />
serveur vérifie le certificat <strong>de</strong> l’utilisateur<br />
➡ C<strong>et</strong>te métho<strong>de</strong> est invulnérable aux attaques <strong>de</strong> dictionnaire horsligne<br />
<strong>et</strong> même en-ligne (car aucun mot <strong>de</strong> passe n’est échangé) <strong>et</strong> est<br />
invulnérable aux attaques <strong>de</strong> redite. C’est donc une métho<strong>de</strong> encore<br />
plus sûre que les métho<strong>de</strong>s P<strong>EAP</strong> <strong>et</strong> TTLS...<br />
➡ ...mais elle est pénible à m<strong>et</strong>tre en oeuvre car il faut au préalable<br />
installer un certificat TLS sur le poste <strong>de</strong> chaque utilisateur<br />
• On aura un niveau <strong>de</strong> sécurité encore supérieure avec une carte à<br />
puce, car l’utilisateur possè<strong>de</strong> alors à la fois un obj<strong>et</strong> physique <strong>et</strong> un<br />
secr<strong>et</strong> (le co<strong>de</strong> PIN) : on parle d’authentification à <strong>de</strong>ux facteurs (2FA).<br />
Cela suppose une infrastructure matérielle <strong>et</strong> logicielle plus complexe,<br />
donc c’est réservé généralement aux opérateurs <strong>et</strong> gran<strong>de</strong>s<br />
entreprises. La métho<strong>de</strong> <strong>EAP</strong> utilisée est soit <strong>EAP</strong>/SIM (opérateurs<br />
mobiles) soit <strong>EAP</strong>/GTC (pour les autres cartes <strong>de</strong> sécurité)<br />
mercredi 19 janvier 2011