!Authentification Forte              Concept et Technologies                                  Ibrahima FALL               ...
Identité numérique              Monde virtuel        2
Des techniques       d’attaque• Phishing• Sniffing• Keylogger (6191 keyloggers recensés  en 2008)• Man in The Middle• Ingé...
Solution???                  Monde virtuelMonde réel             4
Agenda•   Concept de l’authentification forte        Authentification forte?        Domaines d’application•   Technologies...
Les facteursd’authentification       Mémoriel         6
Les facteursd’authentification       Matériel         7
Les facteursd’authentification       Corporel         8
Les facteursd’authentification      Réactionnel          9
L’authentification     simple        Un - Facteur   Authentification Simple            10
L’authentification      forte  au moins Deux - Facteurs    Authentification Forte             11
Domainesd’application      12
Domaines      d’application•   Au sein de l’entreprise        postes du front office        postes self-service en agence•...
Agenda•   Concept de l’authentification forte•   Technologies d’authentification forte        OTP             Carte à puce...
OTP(One Time Password)         +         15
Architecture OTP                                                                                Entreprise         Interne...
Famille OTP•   OTP Asynchrone      Challenge/Response•   OTP Synchrone      Temps      Compteur                    17
OTP Asynchrone                                                                                                            ...
Carte matricielleExemple d’algorithme de chiffrement                19
OTP Synchrone                          Client                                                                 Serveur     ...
HMAC - OTP           (HOTP)•   Hashed Message Authentication Code - OTP•   Standard de l’OATH puis IETF•   RFC 4226       ...
HOTPK : clé secrète                      C : compteurh : fonction de hachage cryptographique SHA-1HOTP ( K , C ) = Tronque...
Autre solution OTP       OTP basé sur SMS            23
Synthèse OTP•   Système OTP : RFC 2289•   Avantage        est portable•   Inconvénient        n’assure pas la non-répudiat...
Démonstration...       25
Carte à puce     +     26
Famille Carte à puce • Mot de passe • Certificat X.509                  27
Infrastructure du PKI•   Autorité d’Enregistrement (AE)      vérifie l’identité de l’utilisateur      suit les demandes•  ...
Fonctions du CMS•   Nouvel employé      crée la carte et l’associe à l’employé      récupère le certificat et/ou le mot de...
Architecture générale                                        TOKENS                                                       ...
Synthèse Carte à         puce•   Avantage        assure la non-répudiation        permet de signer et de décrypter des    ...
Token Hybride      32
Radio Frequency IDentification       33
Puce RFID    +    34
Composants RFID•   Eléments physiques        badges pour les utilisateurs        antennes pour chaque poste•   Module d’au...
Paramétrage•   Lorsqu’un utilisateur arrive         demander le mot de passe ou non         débloquer l’écran de veille•  ...
Synthèse Puce RFID•   Avantage        assure la non-répudiation        permet de gagner du temps•   Inconvénient        es...
Biométrie    +    38
Architectures              Biométrie                             Stockage des données       Vérification de                ...
Synthèse Biométrie•   Avantage        assure la non-répudiation        est difficilement falsifiable•   Inconvénient      ...
BibliographieWikipédia : DéfinitionsEvidian : Livre blanc sur l’AFPronetis : Livre blanc sur OTPOATH : algorithme HOTPhttp...
Démonstration...       42
Agenda•   Concept de l’authentification forte•   Technologies d’authentification forte•   Informations supplémentaires    ...
44
Outils de        développement•   Authentification Web      JAAS Login Module ( depuis la version 1.4)•   Authentification...
Outils de       développement•   Serveur d’annuaire      OpenLDAP, Active Directory, ...•   Plugins du navigateur      PKC...
Agenda•   Concept de l’authentification forte•   Technologies d’authentification forte•   Informations supplémentaires•   ...
Mieux que      l’authentification            simple•   permet d’éliminer la plupart des attaques•   rend difficile la mise...
Coûte chère                    Coût d’investissement                                           Coût à l’unité   Coût pour ...
Ce qu’il faut retenir!Facteurs d’authentification (savoir, avoir, être)Authentification forte = au moins deux facteurs    ...
Question???     51
Prochain SlideShare
Chargement dans…5
×

L\'authentification forte : Concept et Technologies

3 759 vues

Publié le

Présenter le concept d’authentification forte avec quelques techniques de mise en oeuvre pour illustration.

Site de l’exposé : http://www-igm.univ-mlv.fr/~dr/XPOSE2010/authentificationForte/index.php#introduction

0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
3 759
Sur SlideShare
0
Issues des intégrations
0
Intégrations
8
Actions
Partages
0
Téléchargements
234
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

L\'authentification forte : Concept et Technologies

  1. 1. !Authentification Forte Concept et Technologies Ibrahima FALL Ingénieurs 2000 1
  2. 2. Identité numérique Monde virtuel 2
  3. 3. Des techniques d’attaque• Phishing• Sniffing• Keylogger (6191 keyloggers recensés en 2008)• Man in The Middle• Ingénierie sociale (efficace) 3
  4. 4. Solution??? Monde virtuelMonde réel 4
  5. 5. Agenda• Concept de l’authentification forte Authentification forte? Domaines d’application• Technologies d’authentification forte• Informations supplémentaires• Conclusion 5
  6. 6. Les facteursd’authentification Mémoriel 6
  7. 7. Les facteursd’authentification Matériel 7
  8. 8. Les facteursd’authentification Corporel 8
  9. 9. Les facteursd’authentification Réactionnel 9
  10. 10. L’authentification simple Un - Facteur Authentification Simple 10
  11. 11. L’authentification forte au moins Deux - Facteurs Authentification Forte 11
  12. 12. Domainesd’application 12
  13. 13. Domaines d’application• Au sein de l’entreprise postes du front office postes self-service en agence• En dehors de l’entreprise Accès distant aux ressources 13
  14. 14. Agenda• Concept de l’authentification forte• Technologies d’authentification forte OTP Carte à puce RFID Biométrie• Informations supplémentaires• Conclusion 14
  15. 15. OTP(One Time Password) + 15
  16. 16. Architecture OTP Entreprise Interne Module d’authentification Serveur d’authentification Serveur (Module OTP) d’annuaireTOKENS Environnement  externe LEGENDE Protocole sécurisé ( RADIUS - SSL/TLS ) Nomade 16
  17. 17. Famille OTP• OTP Asynchrone Challenge/Response• OTP Synchrone Temps Compteur 17
  18. 18. OTP Asynchrone Etape 1 Serveur génère un challenge Client 753..159 transfert le challenge au client 753..159K partagé avec K partagé avec chiffre le challenge à l’aide de k chiffre le challenge à l’aide de k le serveur Etape 2 le client et d’un algo de chiffrement et d’un algo de chiffrement AF1..9C3 AF1..9C3 génère et formate le génère et formate le résultat (OTP) résultat (OTP) transmet la réponse au serveur compare les deux réponses Etape 3 Rejeté Accepté 18
  19. 19. Carte matricielleExemple d’algorithme de chiffrement 19
  20. 20. OTP Synchrone Client Serveur génère un challenge à l’aide d’un Etape 1 génère un challenge à l’aide d’un horloge ou d’un compteur dévénement horloge ou d’un compteur dévénement 753..159 753..159K partagé avec K partagé avec chiffre le challenge à l’aide de k chiffre le challenge à l’aide de k le serveur Etape 2 le client et d’un algo de chiffrement et d’un algo de chiffrement AF1..9C3 AF1..9C3 génère et formate le génère et formate le résultat (OTP) résultat (OTP) transmet la réponse au serveur compare les deux réponses Etape 3 Rejeté Accepté 20
  21. 21. HMAC - OTP (HOTP)• Hashed Message Authentication Code - OTP• Standard de l’OATH puis IETF• RFC 4226 21
  22. 22. HOTPK : clé secrète C : compteurh : fonction de hachage cryptographique SHA-1HOTP ( K , C ) = Tronquer ( h ( K , C )) & MASKMASK : 0x7FFFFFFFHOTP-Value = HOTP ( K , C ) (mod 10 ^ d)d : nombre de digit : 6 ou 8 22
  23. 23. Autre solution OTP OTP basé sur SMS 23
  24. 24. Synthèse OTP• Système OTP : RFC 2289• Avantage est portable• Inconvénient n’assure pas la non-répudiation 24
  25. 25. Démonstration... 25
  26. 26. Carte à puce + 26
  27. 27. Famille Carte à puce • Mot de passe • Certificat X.509 27
  28. 28. Infrastructure du PKI• Autorité d’Enregistrement (AE) vérifie l’identité de l’utilisateur suit les demandes• Autorité de certification (AC) crée les certificats signe les listes de révocation• Autorité de dépôt (AD) conserve les certificats à des fins de recouvrement 28
  29. 29. Fonctions du CMS• Nouvel employé crée la carte et l’associe à l’employé récupère le certificat et/ou le mot de passe de l’employé et le met dans la carte• En cas d’oubli prête une carte temporaire à l’employé débloque en local ou à distance le code PIN• En cas de perte met en liste noire la carte perdue 29
  30. 30. Architecture générale TOKENS Vérifie la validité de la carte CMS Etape 1Utilisateur Etape 2 Authentification initiale Etape 3 Vérifie la validité du certificat Module d’authentification Etape 4 Vérifie la validité Serveur du mot de passe PKId’annuaire Infrastructure 30
  31. 31. Synthèse Carte à puce• Avantage assure la non-répudiation permet de signer et de décrypter des messages• Inconvénient est peu portable 31
  32. 32. Token Hybride 32
  33. 33. Radio Frequency IDentification 33
  34. 34. Puce RFID + 34
  35. 35. Composants RFID• Eléments physiques badges pour les utilisateurs antennes pour chaque poste• Module d’authentification installé sur le poste• Badge Management System (BMS) idem que le CMS 35
  36. 36. Paramétrage• Lorsqu’un utilisateur arrive demander le mot de passe ou non débloquer l’écran de veille• Lorsqu’un utilisateur part fermer/verrouiller la session laisser le poste en l’état• Lorsque des utilisateurs sont détectés en même temps ??? 36
  37. 37. Synthèse Puce RFID• Avantage assure la non-répudiation permet de gagner du temps• Inconvénient est peu portable 37
  38. 38. Biométrie + 38
  39. 39. Architectures Biométrie Stockage des données Vérification de de biométrie l’authentificationSolution à base de serveur dans le serveur par le serveur sur le poste de Solution poste par le poste de travail l’utilisateur Solution à base de carte dans la carte par la carte à puce ou cryptographique cryptographique par le poste de travail 39
  40. 40. Synthèse Biométrie• Avantage assure la non-répudiation est difficilement falsifiable• Inconvénient est peu portable est peu appréciée 40
  41. 41. BibliographieWikipédia : DéfinitionsEvidian : Livre blanc sur l’AFPronetis : Livre blanc sur OTPOATH : algorithme HOTPhttp://motp.sourceforge.net : démo Mobile OTP 41
  42. 42. Démonstration... 42
  43. 43. Agenda• Concept de l’authentification forte• Technologies d’authentification forte• Informations supplémentaires • Quelques offres sur le marché • Quelques outils de développement• Conclusion 43
  44. 44. 44
  45. 45. Outils de développement• Authentification Web JAAS Login Module ( depuis la version 1.4)• Authentification Bureau PAM (Solaris, Linux) GINA (Windows XP, 2003)• Infrastructure d’authentification Authentification multi-facteurs 45
  46. 46. Outils de développement• Serveur d’annuaire OpenLDAP, Active Directory, ...• Plugins du navigateur PKCS #11 module : client pour les carte à puces PKI ActiveX/java plugin : pour les scanners biométriques 46
  47. 47. Agenda• Concept de l’authentification forte• Technologies d’authentification forte• Informations supplémentaires• Conclusion • Synthèse de l’authentification forte • Ce qu’il faut retenir! 47
  48. 48. Mieux que l’authentification simple• permet d’éliminer la plupart des attaques• rend difficile la mise en place d’une attaque• augmente le sentiment de sécurité du client 48
  49. 49. Coûte chère Coût d’investissement Coût à l’unité Coût pour 50 p.Achat des tokens incluant les licences 95 € 4750 €Installation des serveurs et formation 1.100 € 1.100 € au produit GEMALTO Total invest. 5850 € Coût d’exploitation Coût mensuel Coût annuel Coût de gestion du cycle de vie du 160 € 1920 € token Coût lié à la perte/vol du token 39 € 468 € Total exploit. 2388 € 49
  50. 50. Ce qu’il faut retenir!Facteurs d’authentification (savoir, avoir, être)Authentification forte = au moins deux facteurs Facteurs + Dispositifs = différentes technologies 50
  51. 51. Question??? 51

×