Oui, je sais, \u00e7a tue… \ud83d\ude00<\/p>\n
Si vous travaillez (allez travailler \ud83d\ude09 ) dans un grosse soci\u00e9t\u00e9 qui vous offre un acc\u00e8s VPN externe, il y a de fortes chances que vous rencontriez ce genre de joujou :<\/p>\n
<\/p>\n
ou plus proche de notre \u00e9poque \ud83d\ude09 celui ci :<\/p>\n <\/p>\n <\/p>\n On appelle cela des \u00ab\u00a0OTP Token bas\u00e9 sur le temps r\u00e9el\u00a0\u00bb.<\/p>\n NB: j’ignore si ses images sont libres de droits, et si tel n’est pas le cas, merci de m’avertir (en m\u00eame temps je fais de la pub pour RSA SecurID alors bon…)<\/p>\n <\/p>\n Je ne vais pas d\u00e9tailler ici que qu’est l’Authentification forte et les tokens bas\u00e9s sur le temps car il existe un excellent article sur Wikip\u00e9dia qui vous expliquera tout et que je vous invite fortement a lire avant de continuer. Lire ICI.<\/a><\/p>\n Ce sch\u00e9ma r\u00e9sume l’ensemble :<\/p>\n <\/p>\n <\/p>\n Pour simplifier, lorsque vous vous connectez, vous devez taper le mot de passe qu’affiche le Token dans les 60 secondes avant qu’il change. Une fois utilis\u00e9, ce mot de passe n’est plus valable.<\/p>\n Utilisant ce produit professionnellement, je me demandais si je pouvais monter la m\u00eame chose \u00e0 titre personnel.<\/p>\n <\/p>\n La premi\u00e8re question \u00e9tait \u00ab\u00a0Qu’est ce qui pourrait bien remplacer l’afficheur Token, qui ne soit pas trop encombrant que j’ai toujours sur moi ?…\u00a0\u00bb R\u00e9ponse : mon t\u00e9l\u00e9phone portable.<\/p>\n <\/p>\n Ni une, ni deux, fouille laborieuse du nain ternet ou je trouvais quelques projets dont le plus important : Mobile OTP<\/a>.<\/p>\n J’utilise d\u00e9ja l’authentification OTP chez moi (via OPIE<\/a>) et ce programme s’en rapproche mais je voulais encore plus ressemblant au cl\u00e9 RSA SecurID.<\/p>\n <\/p>\n Ce projet existe et s’appelle FreeAuth<\/a>.<\/p>\n La seule chose que l’on peut reprocher est son manque de documentation et d’explication.<\/p>\n <\/p>\n Voici donc un petit tuto pour mettre en place cette solution.<\/p>\n <\/p>\n D’abord, le plus important, synchroniser l’heure du serveur et du t\u00e9l\u00e9phone via NTP<\/a>.<\/p>\n <\/p>\n La partie surement la plus simple. Installer le package ntpdate. Puis une crontab \u00ab\u00a0ntpdate serveur de temps\u00a0\u00bb. (exemple : ntpdate fr.pool.ntp.org)<\/p>\n Apr\u00e8s quelques recherches sur le net, j’ai d\u00e9couvert un logiciel permettant une synchronisation NTP<\/a> d’un t\u00e9l\u00e9phone \u00e9quip\u00e9 de Symbian S60 r3.<\/p>\n Ce soft s’appelle FreeTimeSync et vous le trouverez sur le site du d\u00e9veloppeur ICI<\/a> .<\/p>\n <\/p>\n Par contre son installation demande quelques manipulations, le logiciel \u00e9tant toujours en d\u00e9veloppement.<\/p>\n <\/p>\n – T\u00e9l\u00e9charger l’application.<\/p>\n Ensuite il vous faut signer l’application (Certificat Symbian Open Signed).<\/p>\n <\/p>\n – Rendez vous sur le site de Symbiansigned : <\/p>\n – R\u00e9cup\u00e9rer le num\u00e9ro IMEI<\/a> de votre t\u00e9l\u00e9phone (s\u00e9quence *#06# sur la plupart des t\u00e9l\u00e9phones).<\/p>\n – Renseigner un email valide, puis le chemin o\u00f9 vous avez sauvegarder l’appli.<\/p>\n – Dans le champ \u00ab\u00a0Capability information\u00a0\u00bb , cliquez sur \u00ab\u00a0select all\u00a0\u00bb<\/p>\n Puis enfin, taper les lettres al\u00e9atoires qui s’affichent (une horreur \ud83d\ude41 compl\u00e8tement illisible et j’ai du essayer 4 ou 5 fois avant d’avoir bon).<\/p>\n <\/p>\n Vous recevrez un email de confirmation avec une URL qu’il faudra valider et quelques minutes plus tard, vous recevrez un nouvel email avec le lien pour t\u00e9l\u00e9charger votre application sign\u00e9e.<\/p>\n <\/p>\n ATTENTION : <\/strong>la synchronisation NTP ne peut se faire qu’en WiFi, par un acc\u00e8s Data ou GPS, le WAP ne laisse pas passer les requ\u00e8tes NTP.<\/p>\n <\/p>\n Quelques captures d’\u00e9crans :<\/p>\n <\/p>\n <\/p>\n T\u00e9l\u00e9charger le programme FreeAuth MIDLet sur le site :<\/p>\n http:\/\/www.freeauth.org\/site\/wiki\/FreeAuth%20MIDLet<\/a><\/p>\n <\/p>\n Personnellement, j’ai t\u00e9l\u00e9charg\u00e9 le .JAD et le .JAR sur :<\/p>\n http:\/\/wap.freeauth.org\/2.4\/<\/a><\/p>\n <\/p>\n Puis j’ai \u00e9dit\u00e9 le .JAR (qui est un fichier de param\u00e8tres) ou j’ai remplacer \u00ab\u00a0networking Y\u00a0\u00bb par \u00ab\u00a0N\u00a0\u00bb.<\/p>\n Il existe une solution de backup\/restore en MD5 int\u00e9gr\u00e9 \u00e0 l’application mais j’ai du mal a saisir son fonctionnement en mode backup. En mode DB Restore, en tra\u00e7ant les trames r\u00e9seaux, je le vois bien essayer de recuperer le fichier .bin sur le serveur que j’ai mis en param\u00e8tres dans le .JAD mais il \u00e9choue (je n’ai pas trop compris la mise en forme de la cl\u00e9 RSA priv\u00e9e \ud83d\ude41 ) <\/em><\/p>\n Ayant peu fouill\u00e9 cette fonctionnalit\u00e9, je n’en parlerais pas ici, bien qu’elle me paraisse fortement prometteuse et int\u00e9ressante. <\/p>\n Ensuite, transf\u00e9rer les 2 fichiers sur le nokia e65 (via bluetooth, wifi, cable usb… ce que vous voulez quoi) et avec le navigateur de fichiers du t\u00e9l\u00e9phone, lancer le FreeAuth.JAD.<\/p>\n <\/p>\n L’installation se passe sans soucis et vous pouvez lancer le programme (options, Next pour la page suivante) :<\/p>\n <\/p>\n Tout d’abord entrer un code pin qui vous servira a prot\u00e9ger votre configuration :<\/p>\n <\/p>\n Vous devez maintener taper al\u00e9atoirement 20 fois sur diff\u00e9rentes touches afin de g\u00e9nerer l’entropie de cryptage :<\/p>\n <\/p>\n Donner un nom de configuration :<\/p>\n <\/p>\n Le programme affiche maintenant le code d’initialisation :<\/p>\n <\/p>\n <\/p>\n On reste \u00e0 cette \u00e9tape pour l’instant !!!<\/p>\n Il vous faut les headers pam (libpam-dev)<\/p>\n R\u00e9cup\u00e9rer ensuite pam_freeauth sur le site :<\/p>\n <\/p>\n Cela installe le module pam freeauth dans \/lib\/security.<\/p>\n Copier le fichier de conf :<\/p>\n Cr\u00e9er un r\u00e9pertoire de cache<\/p>\n <\/p>\n <\/p>\n Ensuite dans \/etc\/pam.d, modifier le service PAM associ\u00e9 (ici SSH):<\/p>\n – commenter \u00ab\u00a0@include common-auth<\/tt>\u00a0\u00bb<\/p>\n – Ajouter<\/p>\n Je vous laisse peaufiner votre configuration PAM (google est votre ami…), si vous pr\u00e9f\u00e9rer directement modifier votre common-auth et common-password, c’est vous qui voyez.<\/p>\n Modifier le \/etc\/sshd_config pour positionner la variable ChallengeResponseAuthentication avec YES <\/p>\n Ensuite, avec le code d’initialisation donn\u00e9 par le nokia e65 plus haut, \u00e9diter le fichier :<\/p>\n \/etc\/security\/freeauth.conf<\/tt><\/p>\n Virer la ligne de test et remplacer par vos valeurs :<\/p>\n user code_initialisation<\/p>\n <\/p>\n Exemple ici :<\/p>\n <\/p>\n root D58]Nmaa-vdZ-m!P<\/p>\n <\/p>\n Pour le compte root (vous pouvez avoir plusieurs code d’initialisation pour un utilisateur, utile si vous avez plusieurs FreeAuth \ud83d\ude09 )<\/p>\n <\/p>\n Sur le t\u00e9l\u00e9phone, on peut lancer les s\u00e9quences :<\/p>\n <\/p>\n <\/p>\n Connectez vous en ssh sur le serveur:<\/p>\n <\/p>\n ssh root@192.168.0.111 Il vous reste qu’\u00e0 taper le code afficher sur le t\u00e9l\u00e9phone \ud83d\ude00<\/p>\n La classe \ud83d\ude00 \ud83d\ude00<\/p>\n <\/p>\n Si cela ne fonctionne pas, v\u00e9rifier que le serveur et le t\u00e9lephone nokia sont \u00e0 la m\u00eame heure UTC (en Epoch time) :<\/p>\n Sur le serveur :<\/p>\n <\/p>\n echo \u00ab\u00a0`date +%s` \/ 60\u00a0\u00bb | bc<\/p>\n 20261111<\/p>\n <\/p>\n Sinon, modifier UTC en + ou en – et surtout mettez vous \u00e0 l’heure NTP (entre nous, rien ne vous interdit d’\u00eatre en UTC+12 \ud83d\ude42 )<\/p>\n <\/p>\n <\/p>\n Et voila comment monter un syst\u00e8me d’authentification forte digne d’une offre commerciale ch\u00e8re avec \u00ab\u00a0peu\u00a0\u00bb de moyens \ud83d\ude00<\/p>\n Ne vous m\u00e9prenez pas, cette solution est largement aussi satisfaisante pour peu que vous construisiez votre architecture en cons\u00e9quence.<\/p>\n Si maintenant je vous annonce que l’on peut coupler tout cela avec un serveur RADIUS<\/a>… (avec XTRadius que vous trouverez ICI<\/a> ) vous vous dites \u00ab\u00a0omg<\/a>\u00a0\u00bb et je vous comprends…<\/p>\n Vous verrez qu’a force de fouiller le sujet, les possiblit\u00e9s sont nombreuses.<\/p>\n <\/p>\n NB: Il subsiste encore quelques bugs dans l’appli FreeAuth sur le nokia e65, surtout pour le backup. La bidouille que j’ai trouver est de toujours cliquer sur \u00ab\u00a0About\u00a0\u00bb avant de faire un \u00ab\u00a0DB backup\u00a0\u00bb et surtout, \u00eatre cool….<\/p>\n <\/p>\n <\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Alors \u00e7a si c’est pas du titre bien poilu \ud83d\ude00 Le but de billet est de vous montrer comment mettre en oeuvre une Authentification forte via OTP et un t\u00e9l\u00e9phone portable qui g\u00e9n\u00e9rera des mots de passes al\u00e9atoires et jetables … Read More ![\"RSA_id\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/800px-rsa-securid-tokens.thumbnail.jpg\")
<\/a><\/p>\n![\"rsasecurid\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/rsakeyfob.thumbnail.gif\")
<\/a><\/p>\n![\"AuthForte\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/auth-forte-b.thumbnail.png\")
<\/a><\/p>\n\n
\n
\nhttps:\/\/www.symbiansigned.com\/app\/page\/public\/openSignedOnline.do<\/a><\/p>\n![\"ntp1\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/screenshot0003.thumbnail.jpg\")
<\/a><\/p>\n![\"ntp2\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/screenshot0005.thumbnail.jpg\")
<\/a><\/p>\n![\"ntp3\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/screenshot0006.thumbnail.jpg\")
<\/a><\/p>\n![\"ntp4\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/screenshot0007.thumbnail.jpg\")
<\/a><\/p>\n![\"ntp5\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/screenshot0008.thumbnail.jpg\")
<\/a><\/p>\n![\"ntp6\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/screenshot0009.thumbnail.jpg\")
<\/a><\/p>\n\n
\n<\/em><\/p>\n
\n<\/a><\/p>\n![\"freeauth1\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/screenshot0013.thumbnail.jpg\")
<\/a><\/p>\n![\"freeauth2\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/screenshot0014.thumbnail.jpg\")
<\/a><\/p>\n![\"freeauth3\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/screenshot0015.thumbnail.jpg\")
<\/a><\/p>\n![\"freeauth4\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/screenshot0016.thumbnail.jpg\")
<\/a><\/p>\n![\"freeauth5\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/screenshot0017.thumbnail.jpg\")
<\/a><\/p>\n\n
apt-get install libpam0g-dev<\/pre>\n
<\/pre>\n
wget http:\/\/www.freeauth.org\/images\/pam_freeauth.tgz\r\ntar xzvf pam_freeauth.tgz<\/pre>\n
<\/pre>\n
cd pam_freeauth\r\nmake clean\r\nmake install<\/pre>\n
<\/pre>\n
cp -a freeauth.conf \/etc\/security\r\nchmod 600 \/etc\/security\/freeauth.conf<\/pre>\n
<\/pre>\n
mkdir -p \/var\/cache\/freeauth\/\r\nchmod 700 \/var\/cache\/freeauth\/<\/pre>\n
<\/pre>\n
auth required pam_freeauth.so<\/pre>\n
<\/pre>\n
\nRed\u00e9marrer le service SSH.<\/p>\n![\"freeauth6\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/screenshot0018.thumbnail.jpg\")
<\/a><\/p>\n![\"freeauth7\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/screenshot0019.thumbnail.jpg\")
<\/a><\/p>\n
\npasscode:<\/p>\n![\"freeauth9\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/screenshot0020.thumbnail.jpg\")
<\/a><\/p>\n![\"freeauth8\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/screenshot0021.thumbnail.jpg\")
<\/a><\/p>\n