MOVEit Transfer utilise les normes TlS et SSH pour transférer les données de façon sécurisée vers les différents clients. MOVEit Transfer agit comme un serveur durant tous ces transferts ; ainsi MOVEit Transfer doit disposer d'un certificat de serveur TLS/SSL (parfois également appelé, « cert » ou « certificat X.509 ») et d'une clé de serveur SSH.

Les certificats client et les clés client sont des éléments d'informations FACULTATIFS pouvant être utilisés à la place ou en complément d'un mot de passe pour authentifier un utilisateur particulier. Les certificats clients peuvent être utilisés avec les deux interfaces TLS (SSL) (HTTPS et FTPS) et les clés client peuvent être utilisées avec l'interface SSH. Dans certains cas, les certificats client sont stockés sur des jetons matériels.

Les sections de cette rubrique décrivent les composants et se réfèrent à d'autres sections de la documentation fournissant des informations de configuration détaillées.

Les procédures suivantes sont également utiles pour la prise en main :

Certificats de serveur TLS (SSL)

Les certificats de serveur TLS sont habituellement obtenus à partir de Comodo, Thawte, Verisign ou autres applications des autorités de certificat (CA) du marché. Des certificats auto-générés peuvent également être utilisés. Cependant, l'utilisation d'un certificat provenant d'un CA commercial comporte des avantages car la plupart des navigateurs populaires, comme IE et Firefox, feront automatiquement confiance à votre site (le verrou est affiché). Dans le cas contraire, vos clients devront choisir explicitement de faire confiance à votre site.

Les certificats du serveur MOVEit Transfer sont configurés à deux emplacements :

  • HTTP/TLS (Web) : un certificat doit être attribué à votre site Web MOVEit Transfer via l'application Microsoft Internet Services Manager. (Menu [Site] Properties (Propriétés), onglet Directory Security (Sécurité de répertoire), section Secure Communications (Sécuriser les communications))
  • FTP/TLS : le même certificat doit également être attribué à votre site MOVEit Transfer FTP via l'application de configuration MOVEit Transfer. (onglet FTP Certs (Certificats FTP))

Certificats client TLS (SSL)

Les utilisateurs sont susceptibles de devoir présenter un certificat client TLS durant le processus de connexion lors de l'utilisation des interfaces HTTPS ou FTP/TLS. Des informations détaillées sont disponibles dans la section Certificats client - Présentation et FTP - Configuration (Exiger des certificats client).

Clés de serveur SSH

Les clés de serveur n'ont aucun lien avec le signataire, donc le serveur SSH MOVEit Transfer génère simplement sa propre clé lors de sa première exécution.

Vous pouvez afficher l'empreinte digitale de votre clé SSH à tout moment, via l'application de configuration MOVEit Transfer. (Onglet SSH)

Clés du client SSH

Tout utilisateur SSH devra peut-être présenter une clé de client SSH lors de la procédure de connexion. Vous trouverez des informations complètes dans Clés SSH - Clés du client - Vue d'ensemble.

Sécurité relative des mots de passe, des clés et des certificats

Pour protéger les mots de passe, MOVEit Transfer inclut des exigences de force et de vieillissement du mot de passe, de restrictions IP par utilisateur, de restrictions de session par utilisateur, de verrouillages automatiques ainsi que l'utilisation des canaux chiffrés TLS et SSH afin de transmettre des mots de passe en toute sécurité.

Les certificats et les clés client sont généralement associés à des ordinateurs ou des jetons matériels spécifiques. Pour faire mauvais usage de ces informations d'identification, un attaquant doit généralement prendre le contrôle d'un ordinateur de bureau/portable (pour utiliser une clé ou un certificat installé) ou posséder un jeton matériel. Tous les certificats et les clés client reposent sur la cryptographie de « clé publique / clé privée ». Conformément à ce modèle, la prise de possession de la clé privée d'un utilisateur donné suffit souvent pour agir à la place de cet utilisateur. MOVEit Transfer ne fonctionne pas directement avec les moitiés de clés privées de certificats/clés client, ce qui permet d'éviter les problèmes de protection de clé privée.

En raison de la faiblesse des mots de passe et des certificats/clés client, les utilisateurs doivent généralement s'authentifier avec à la fois un mot de passe et un certificat/une clé client. Pour contrecarrer ce schéma, un attaquant doit posséder le mot de passe d'un utilisateur et accéder à la clé privée de cet utilisateur. Un attaquant rencontrera plus de difficultés à percer ce niveau à deux facteurs (mot de passe plus certificat/clé) qu'à un seul.

Différence entre les clés et les certificats

La principale différence qui existe entre les clés SSH et les certificats TLS (X.509) repose sur le fait que les clés SSH sont des informations d'authentification autonomes, tandis que les certificats TLS doivent être vérifiés.

Les serveurs SSH (MOVEit Transfer inclus) associent des clés de client SSH spécifiques à des utilisateurs précis. Si un client SSH présente une clé SSH et qu'elle correspond à celle qui est stockée sur l'enregistrement de l'utilisateur, la clé de client SSH sera authentifiée.

Les serveurs TLS (MOVEit Transfer inclus) associent également des certificats de client TLS à des utilisateurs précis. Toutefois les serveurs TLS effectuent une vérification en arrière-plan supplémentaire sur les certificats de client SSL entrants. Les certificats de client TLS sont signés (émis) par des autorités de certification (CA). Les serveurs TLS tiennent à jour une liste d'autorités de certification en lesquelles ils ont confiance. Si un serveur TLS reçoit un certificat client TLS valide, tandis que l'autorité de certification du certificat client n'est pas fiable, le serveur TLS rejette la connexion.

La configuration de l'authentification TLS est plus compliquée que la configuration de l'authentification SSH.

Informations d'identification nécessaires

Les utilisateurs de MOVEit Transfer peuvent s'authentifier à l'aide de mots de passe, de clés client (SSH seulement) ou de certificats client (HTTPS et FTP/TLS). Vous pouvez utiliser les options sur chaque profil d'utilisateur afin d'appliquer exactement les combinaisons autorisées. (Les paramètres par défaut sont disponibles au niveau de l'organisation.) Les paramètres possibles sont les suivants :

  • Password Only (Mot de passe uniquement) (Toute clé/tout certificat est ignoré)
  • Key/Cert Only (Clé/certificat uniquement) (Tout mot de passe est ignoré)
  • Password OR Key/Cert (Mot de passe OU clé/certificat) (Si l'une des informations d'identification correspond, l'autre est ignorée)
  • Password AND Key/Cert (Mot de passe ET clé/certificat) (Voir également « Authentification à deux facteurs »)

Authentification à deux facteurs

Les systèmes qui nécessitent une authentification à deux facteurs requièrent les éléments suivants :

  • Statement of Identity (Déclaration d'identité) (généralement, un nom d'utilisateur)
  • Unique Credential #1 (Informations d'identification uniques n°1) (Généralement, un mot de passe)
  • Unique Credential #2 (Informations d'identification uniques n°2) (Généralement, un certificat client ou une clé client)

MOVEit Transfer prend en charge un mécanisme d'authentification à deux facteurs sur ses interfaces HTTPS et FTP/TLS avec des certificats client et sur son interface FTP sur SSH avec des clés client. Pour appliquer cette condition à un utilisateur spécifique, les options de niveau utilisateur suivantes DOIVENT être activées sur chaque interface.

  • Clé/certificat client nécessaire
  • Mot de passe nécessaire en cas de présentation de clé/certificat

Bon nombre de clients FTP/TLS fonctionnent avec des paramètres à deux facteurs (« Mot de passe et certificat ») dans les modes interactifs et par lot. Toutefois, le client SSH le plus répandu (OpenSSH) ne fonctionnera qu'en mode interactif lorsque deux facteurs sont appliqués [OpenSSH nécessite un paramètre Key Only (Clé uniquement) ou Password OR Key (Mot de passe OU clé) à un seul facteur en mode par lot.]