Authentification Forte 1

826 vues

Publié le

Tutoriel sur l'authentification forte / identités numériques

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
826
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
33
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Authentification Forte 1

  1. 1. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Le bon sens et l’expérience | www.e-xpertsolutions.com4 Volume 1/3 Par Sylvain Maret / CTO e-Xpert Solutions SA Genève / Juillet 2007 Tutorial Authentification Forte Technologie des identités numériques
  2. 2. 4 4 Le bon sens et l’expérience “ L’art de fortifier ne consiste pas dans des règles et des systèmes mais uniquement dans le bon sens et l’expérience ” Sebastien le Prestre de Vauban Ingénieur Architecte 1633-1707
  3. 3. 4 4 Le bon sens et l’expérience Agenda Identité numérique Authentification forte Pourquoi l’authentification forte? Technologies OTP PKI Biométrie Autres Les tendances 2007 Démonstrations
  4. 4. 4 4 Le bon sens et l’expérience Identité numérique ? Beaucoup de définitions
  5. 5. 4 4 Le bon sens et l’expérience Un essai de définition…technique Avatar Bank Mail / Achats Entreprise Monde réel Monde virtuel Lien technologique entre une identité réel et une identité virtuel
  6. 6. 4 4 Le bon sens et l’expérience Identité numérique sur Internet Identification
  7. 7. 4 4 Le bon sens et l’expérience Identification et authentification ? Identification Qui êtes vous ? Authentification Prouvez le !
  8. 8. 4 4 Le bon sens et l’expérience Facteurs pour l’authentification ce que l'entité connaconnaconnaconnaîîîît (Mot de passe) ce que l'entité ddddéééétienttienttienttient (Authentifieur) ce que l'entité est ou faitest ou faitest ou faitest ou fait (Biométrie)
  9. 9. 4 4 Le bon sens et l’expérience Définition de l’authentification forte
  10. 10. 4 4 Le bon sens et l’expérience Authentification forte Clé de voûte de la sécurisation du système d’information Conviction forte de e-Xpert Solutions SA
  11. 11. 4 4 Le bon sens et l’expérience Protection de votre système d’information Technologie authentification forte Protocoles d’authentification ??? Données Source: OATH
  12. 12. 4 4 Le bon sens et l’expérience Pyramide de l’authentification forte
  13. 13. 4 4 Le bon sens et l’expérience Pourquoi l’authentification forte?
  14. 14. 4 4 Le bon sens et l’expérience
  15. 15. 4 4 Le bon sens et l’expérience Keylogger: une réelle menace 6191 keyloggers recensés cette année contre 3753 l'an passé (et environ 300 en 2000), soit une progression de 65 %
  16. 16. 4 4 Le bon sens et l’expérience Phishing - Pharming Anti-Phishing Working Group recommande l’utilisation de l’authentification forte http://www.antiphishing.org/Phishing-dhs-report.pdf
  17. 17. 4 4 Le bon sens et l’expérience T-FA in an Internet Banking Environment 12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive « Single Factor Authentication » n’est pas suffisant pour les applications Web financière Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte http://www.ffiec.gov/press/pr101205.htm
  18. 18. 4 4 Le bon sens et l’expérience T-FA: An Essential Component of I&AM
  19. 19. 4 4 Le bon sens et l’expérience Liberty Alliance souhaite accélérer l'adoption de l'authentification forte 8 novembre 2005: Liberty Alliance Project forme un groupe d’expert pour l’authentification forte The Strong Authentication Expert Group (SAEG) Publication dès 2006 spécifications ID SAFE
  20. 20. 4 4 Le bon sens et l’expérience Les premières réactions… ! Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité
  21. 21. 4 4 Le bon sens et l’expérience Les technologies d’authentification forte Technologies en pleine mouvance Technologie grand public Technologie pour les entreprises Tour d’horizon des solutions en 2007 (Non exhaustif)
  22. 22. 4 4 Le bon sens et l’expérience http://www.openauthentication.org/
  23. 23. 4 4 Le bon sens et l’expérience Modèle OATH Source: OATH
  24. 24. 4 4 Le bon sens et l’expérience Client Framework « Device » Physique Token ou AuthentifieurTechnologies Source: OATH
  25. 25. 4 4 Le bon sens et l’expérience Authentication Method Authentication Method: a function for authenticating users or devices, including One-Time Password (OTP) algorithms public key certificates (PKI) Biometry and other methods SMS Scratch List Etc.
  26. 26. 4 4 Le bon sens et l’expérience Authentification Token: définition Composant Hardware ou Software « Authentifieur » Implémente la ou les méthode(s) d’authentification Réalise le mécanisme d’authentification en toute sécurité Fournit un stockage sécurisé des « credentials » d’authentification
  27. 27. 4 4 Le bon sens et l’expérience Quel « Authentifieur » ?
  28. 28. 4 4 Le bon sens et l’expérience One-Time Password (OTP) Mot de passe à usage unique Basé sur le partage d’un secret Généralement utilisation d’une fonction de hachage Pour Très portable (pour le mode non connecté) Contre Pas de signature Pas de chiffrement Peu évolutif Pas de non rnon rnon rnon réééépudiation!pudiation!pudiation!pudiation!
  29. 29. 4 4 Le bon sens et l’expérience « Authentifieur » OTP
  30. 30. 4 4 Le bon sens et l’expérience Exemple: RSA SecurID Source: RSA
  31. 31. 4 4 Le bon sens et l’expérience PKI: Certificat numérique (X509) Basé sur la possession de la clé secrète (RSA, etc.) Mécanisme de type « Challenge Response » Pour Offre plus de services: Authentification Signature Chiffrement – non rnon rnon rnon réééépudiationpudiationpudiationpudiation Contre Nécessite un moyen de transport sécurisé de la clde la clde la clde la cléééé privprivprivprivééééeeee Pas vraiment portable
  32. 32. 4 4 Le bon sens et l’expérience « Authentifieur » PKI
  33. 33. 4 4 Le bon sens et l’expérience Le meilleur des deux mondes: Technologie hybride: OTP & PKI
  34. 34. 4 4 Le bon sens et l’expérience Technologie SMS (OOB)
  35. 35. 4 4 Le bon sens et l’expérience Etude de cas: Skyguide La sécurité alliée au login unique Firewall Web application Web Single Sign On Authentification forte via SMS
  36. 36. 4 4 Le bon sens et l’expérience OTP: TAN Liste à biffer TAN (Transaction Authentication Number)
  37. 37. 4 4 Le bon sens et l’expérience OTP « Bingo Card » 9 2 AnyUser ****** Source: Entrust
  38. 38. 4 4 Le bon sens et l’expérience Les tendances 2007
  39. 39. 4 4 Le bon sens et l’expérience Marché de l’authentification forte
  40. 40. 4 4 Le bon sens et l’expérience Token USB multi fonction
  41. 41. 4 4 Le bon sens et l’expérience Le monde des portables SIM-Based Authentication GemXplore 'Xpresso Java Card SIMs from Gemplus OTA (Over-The-Air) technology
  42. 42. 4 4 Le bon sens et l’expérience Technologie OTA http://www.gemplus.com/techno/ota/resources/white_paper.html
  43. 43. 4 4 Le bon sens et l’expérience Trusted Platform Module [TPM] https://www.trustedcomputinggroup.org/home
  44. 44. 4 4 Le bon sens et l’expérience Multi Application Smart Card Source: RSA
  45. 45. 4 4 Le bon sens et l’expérience Technologie Mifare Contactless technology that is owned by Philips Electronics De Facto Standard
  46. 46. 4 4 Le bon sens et l’expérience La biométrie Système « ancien » 1930 - carte d’identité avec photo Reconnaissance de la voix Etc. Deux familles : Mesure des traits physiques uniques Mesure d’un comportement unique
  47. 47. 4 4 Le bon sens et l’expérience Mesure des traits physiques Empreintes digitales Géométrie de la main Les yeux Iris Rétine Reconnaissance du visage Nouvelles voies ADN, odeurs, oreille et « thermogram »
  48. 48. 4 4 Le bon sens et l’expérience Mesure d’un comportement Reconnaissance vocale Signature manuscrite Dynamique de frappe Clavier
  49. 49. 4 4 Le bon sens et l’expérience Confort vs fiabilité
  50. 50. 4 4 Le bon sens et l’expérience Fonctionnement en trois phases
  51. 51. 4 4 Le bon sens et l’expérience Stockage des données ? Par serveur d’authentification Problème de sécurité Problème de confidentialité Problème de disponibilité Sur une smartcard Meilleure sécurité Mode « offline » MOC = Match On card
  52. 52. 4 4 Le bon sens et l’expérience Equal Error Rate (EER)
  53. 53. 4 4 Le bon sens et l’expérience Biométrie en terme de sécurité? Solution Biométrique uniquement ? Confort à l’utilisation N’est pas un plus en terme de sécurité (en 2007) Doit être couplé à un 2ème facteurs Carte à puce par exemple
  54. 54. 4 4 Le bon sens et l’expérience Matsumoto's « Gummy Fingers » Etude Yokohama University http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf
  55. 55. 4 4 Le bon sens et l’expérience Niveau de sécurité? OTPCert Based / PKI U&P
  56. 56. 4 4 Le bon sens et l’expérience Protection de votre système d’information Technologie authentification forte Protocoles d’authentification ??? Données Source: OATH
  57. 57. 4 4 Le bon sens et l’expérience App. Framework Source: OATH
  58. 58. 4 4 Le bon sens et l’expérience Questions ?
  59. 59. 4 4 Le bon sens et l’expérience e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et maintiennent au quotidien des architectures de sécurité au moyen de solutions pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux exigences de la clientèle. Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la confiance d'une clientèle issue de tout domaine d'activité et de toute taille. Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un contact de proximité. http://www.e-xpertsolutions.com

×