« Vers une authentification plus forte dans les applications web » OWASP / OpenID

1. Geneva Application Security Forum 2010
« Vers une authentification plus forte dans les applications web »
Introduction
Antonio Fontes
Chapter Leader - OWASP Geneva
ThinkSwiss—Anticipate the Future

2.  Merci!
#2
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

3. OWASP
#3
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

4. Objectifs OWASP 2010
• Renforcer le pont créé avec les
industries
• Atteindre les développeurs et les
décideurs
• Accroitre la collaboration inter-chapitres
• Continuer la mission de promotion
#4
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

5. OWASP Genève


• Structure:
– 1 responsable de section
– 1 membre donateur
– 66 inscrits à la liste de diffusion
– Situation financière: P/L: CHF 0.- (100%
sponsorings)
• Activités 2009:
– Spring 2009 Meeting (90 participants)
– HEIG Yverdon: séminaire top 10 intégré au
#5 cursus master
– 2èm semestre 2009: actions de promotion de
e
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
l’OWASP

6. OWASP Genève


• Activités et objectifs 2010:
– Geneva Application Security Forum
– Accroitre la présence en conférences (Confoo
Montréal mars 2010)
– Promouvoir l’OWASP en Suisse romande:
• Dépasser les 200 adhésions à la liste
• >10% de membres donateurs (25 membres)
– Promouvoir la sécurité des applications
#6 web:
• Campagne d’évangélisation (blogs,
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
conférences, etc.)

7. •

 qui êtes-vous?
#7
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

8. #8
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

9. #9
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

10. #10
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

11. •

 « Vers une authentification plus
forte dans les applications web »
#11
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

12. Le besoin d’authentification
forte
• 62% des brèches: réalisées via les
applications
 (Forrester, mai 2009)
• 88% des applications développées en
interne exposent l’entreprise (Veracode,
mars 2010)
• 2% des applications sous-traitées
sont évaluées en matière de
sécurité (Veracode, mars 2010)
#12 
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

13. •
•
•
• L’analyse se base pourtant sur des
logiciels de tous types!
(client/serveur, web, embarqué,
etc.)
#13
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

14. Le besoin d’authentification
forte
• Forte croissance dans l’utilisation des
applications mobiles
• Accès transparent aux services, à
partir de multiples points de
connexion

#14
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

15. Le besoin d’authentification forte
• Risques d’interception (en ligne ou via
malware, ou keylogger)
• Attaques sociales, phishing
• Risque accru d’un stockage de mot de
passes risqué
• XSS + « mot de passe » = Vol
d’identité assuré!
#15
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

16. L’authentification forte
• Une combinaison:
– Ce que je sais
– Ce que je suis
– Ce que je possède
• Des secrets uniques
– Chaque session est authentifiée par un
secret différent
• Une protection accrue de l’identité
#16
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

17. Geneva Application Security
Forum 2010
• Mission:
– Encourager les organisations à réduire
le risque d’usurpation et de vol
d’identité dans les applications web.
– Sensibiliser à la gestion des identités
• Par la délégation
• Par la fédération
– Faire connaître l’authentification forte
•
#17 
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

18. Programme
• Accueil (selon retard…)
• 18h30: Sylvain Maret (OpenID Suisse
romande)
– L’intégration des technologies
d’authentification forte dans les
applications web
• 19h05: Philippe Leothaud (CTO, Bee
Ware)
#18
– L’authentification dans les contrôles de
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
sécurité: les mesures proposées par

19. Programme
• 19h40: Robert Ott (Président OpenID
Suisse, fondateur ClavID)
– La fédération des identités
#19
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

20. Programme
• 20h15: Fête! Cocktail
 Offert par:
–
– Kiosques:
• OWASP
• OpenID, ClavID (activation de vos clés
Ubikey)
• Bee Ware
• MyBestID

#20 • 21h30: Fin.
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

21. Divers
• Vos clés Ubikey: activables au kiosque
OpenID
• Pauses:
– 5 minutes entre chaque intervention
– Toilettes, distributeurs de boissons
– Zone GSM de très haute qualité
(réception et résonnance) dans le
hall!
#21
• Assistance:
–
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

22. •

 « Bonne soirée! »
#22
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future