Suite à un test d’intrusion réalisé par un prestataire et au rapport d’audit qui vous a été transmis, plusieurs mots de passe utilisateurs ont été récupérés. Cela a mis en évidence les limites de

l’authentification appliquée actuellement au sein de votre entreprise. Votre responsable a pris le temps de lire les recommandations relatives à l’authentification multifacteur et aux mots de passe publiées par l’ANSSI . Ainsi, il vous est demandé de proposer des solutions permettant de renforcer la sécurité liée à l’authentification.

• 1 smartphone Android avec l’application FreeOTP+ ou Authy (ou autre app d'authentification) ou un iPhone avec l’application FreeOTP Authenticator ou Authy (ou autre app d'authentification).
• 1 machine virtuelle cliente sous Windows 10/11 Professionnel/Education.
• 1 machine virtuelle serveur sous Debian 12 avec OpenSSH installé et fonctionnel.

L’intégralité des VM doit disposer d’un accès réseau complet.

• Sur votre smartphone, installez l’application d'authentification OTP (FreeOTP+, Authy, etc.).
• Sur le serveur Debian,
  • créez un compte etudiant qui pourra se connecter en SSH avec uen authentifiation 2FA
  • installez le paquet qrencode qui permet de générer un QR code afin de paramétrer l’application OTP en lien avec le service oath présent sur le serveur Debian 12.

root@serveur:~# apt install qrencode

• Vérifiez que la connexion SSH entre votre ordinateur et le serveur Debian est pleinement opérationnel avec mot de passe.

clientwindows> ssh etudiant@192.168.1.90
etudiant@192.168.1.90's password:
Linux serveur 6.1.0-17-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.69-1 (2023-12-30) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Wed Jan  3 19:34:10 2024 from 192.168.1.85
etudiant@serveur:~$

Dans un premier temps, il sera nécessaire d’installer les paquets permettant de mettre en œuvre le mécanisme d’OTP nommé OATH sur le serveur.

root@serveur:~# apt install libpam-oath oathtool

Définissez un secret sous forme hexadécimal qui sera utilisé par le générateur TOTP/HOTP en lien avec l’utilisateur étudiant et qui sera soumis à la double authentification.

root@serveur:~# KEY=$(openssl rand -hex 20)
root@serveur:~# echo "HOTP/T30/6 etudiant - ${KEY}" >> /etc/security/users.oath
root@serveur:~# chown root /etc/security/users.oath
root@serveur:~# chown 600 /etc/security/users.oath

Il faut récupérer le secret en base 32 pour générer un QR code pour l'application Android.

root@serveur:~# cat /etc/security/users.oath
HOTP/T30/6 etudiant – 65f43c705ce51c9c058ec8bb4b7f64b656681866
root@serveur:~# oathtool -v -d 6 65f43c705ce51c9c058ec8bb4b7f64b656681866
Hex secret: 65f43c705ce51c9c058ec8bb4b7f64b656681866
Base32 secret: MX2DY4C44UOJYBMOZC5UW73EWZLGQGDG
Digits: 6
Window size: 0
Start counter: 0x0 (0)

root@serveur:~# qrencode -o etudiant.png 'otpauth://totp/etudiant@192.168.1.90?secret=MX2DY4C44UOJYBMOZC5UW73EWZLGQGDG'

root@serveur:~# ls -l
…
-rw-r--r-- 1 etudiant etudiant        471  3 janv. 23:08  etudiant.png

Récupérez l'image etudiant.png sur votre poste Windows pour permette de configurer l'application OPT de votre smartphone.

Il faut maintenant configurer PAM (Pluggable Authentication Modules), le service qui contrôle les authentifications sur le serveur Debian.

root@serveur:~# nano /etc/pam.d/sshd

# PAM configuration for the Secure Shell service

# Standard Un*x authentication.
#@include common-auth

auth required pam_unix.so nullok_secure
auth required pam_oath.so usersfile=/etc/security/users.oath window=20 digits=6

Il faut éditer le fichier de configuration du service SSH afin de définir l’usage de l’authentification 2FA.

root@serveur:~# nano /etc/ssh/sshd_config

ChallengeResponseAuthentication yes
#KbdInteractiveAuthentication no
#La ligne ci-dessous est normalement déjà décommentée
UsePAM yes

• commentez la ligne KdbInteractiveAuthentication
• activez les deux autres lignes avec la valeur yes.

Redémarrer le service SSH.

root@serveur:~# systemctl restart ssh

Configuration du client et de l’application Android FreeOTP+

Il s’agit maintenant de paramétrer correctement la machine cliente et l’application OTP afin de rendre opérationnel l’authentification SSH 2FA.

Ouvrez le fichier PNG sur le poste Windows puis ouvrez l’application OTP sur le smartphone.

Sélectionner l’icône « Appareil photo » en bas à droite. Puis prenez en photo le QR code présent sur l’écran du client. Une nouvelle configuration pour votre utilisateur et votre serveur est automatiquement créée.

Nous pouvons ensuite supprimer le fichier PNG contenant le QR code, car il contient le secret à ne pas compromettre.

Sur le client Windows, vous pouvez lancer une connexion SSH vers le serveur avec le compte etudiant. Après avoir entré votre mot de passe, un OTP vous est demandé. Dans l’application OTP, sélectionnez la nouvelle configuration. Celle-ci vous fournit un code de 6 chiffres valable 30 secondes.

etudiant@client:> ssh etudiant@192.168.1.90               
(etudiant@192.168.1.90) Password:
(etudiant@192.168.1.90) One-time password (OATH) for `etudiant':
Linux serveur 6.1.0-17-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.69-1 (2023-12-30) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Wed Jan  3 22:17:13 2024 from 192.168.1.85
etudiant@serveur:~$

• Authentification multifacteur