SophiaConf 2010 Conférence du 30 Juin 2010 à Polytech'Nice Sophia sur la Gestion des identités et Sécurisation des services Web : Réalités et Perspectives par Hubert Le Van Gong et trois retours d'expériences : Maitre Pascal Agosti, Cabinet Caprioli&Associés; Frédéric AIME, Chief Technical Officer de JANUA; Florent Peyraud, CEO et fondateur de TRYPHON

2. Ce cycle de conférence est porté par
la Commission Open Source
Telecom Valley
dont les objectifs sont le partage de
connaissances, l'échange de best practices et
l'animation de l'éco-système du logiciel libre
azuréen
Commission Open Source
SophiaConf2010

3. 4 conférences gratuites
proposées par la commission Open Source
de Telecom Valley
Mercredi 30 Juin 17h30 Jeudi 08 Juillet 14h
Gestion des identités HTML5 :
et sécurisation des services web : une plateforme contemporaine pour le Web
réalités & perspectives
par JULIEN QUINT
par Hubert LE VAN GONG Consultant Indépendant, expert du WEB et du XML
Expert en sécurisation des services web
17h30
Lundi 05 Juillet 17h30 Méthodologie de gestion de projet agile :
SCRUM
Android :
Tout savoir sur l'évolution des 12 derniers mois par Claude AUBRY
et de l'année à venir Consultant expert dans le génie Logiciel
par Arnaud FARINE
Consultant Technique, Expert Android

4. Geston des identtés
et sécurisaton des services web :
réalités & perspectves
par Hubert LE VAN GONG
Expert en sécurisaton des services web
Mercredi 30 Juin 17h30

5. Introduction
Architecte

6. Introduction
Architecte

7. Introduction
Architecte
● Spécialiste de la Gestion des identités & services web
– Représentant Sun au sein d'organismes de standardisations
● Liberty Alliance, Kantara Initiative, IETF etc.
● Community Leader pour OpenSSO
● Dévelopeur (OAuth) – Déploiement (openid.sun.com)
● CTO's Office (interopérabilité Sun-Microsoft)
● http://blog.levangong.com
hubertlvg at gmail.com

8. Plan
● La Problématique
● Evolution des besoins
● Un cycle complet
● Technologies
● Web SSO
● Services Web
● Le Futur
5 / 63

9. Gestion Des Identités
Audience
● Service web entre entreprises
● Service web intra-entreprise
● Consumer facing companies (“web 2.0”)
Problèmes & Objectifs
● Une explosion de la complexité
● Rationalisation des coûts
● Limitation des risques
6 / 63

10. Évolution des Besoins
Dans l'Entreprise
● Outsourcing
● Intégration merger etc.
Sur le Web
● Progression des besoins // évolutions web
7 / 63

11. Evolution: Toujours Plus Complexe
# Identités Web
# Applications
Web
# Relations
En Ligne
8 / 63

12. Evolution: Toujours Plus Complexe
# Identités Web
# Applications
Web
# Relations
En Ligne
9 / 63

13. Evolution: Toujours Plus Complexe
# Identités Web
# Applications
Web
# Relations
En Ligne
10 / 63

14. Evolution: Toujours Plus Complexe
# Identités Web
# Applications
Web
Objectif !!
# Relations
En Ligne
11 / 63

15. Évolution des Besoins
Risques plus importants
● Vie privée
● Entreprises plus exposées (risques, pénal)
12 / 63

16. Évolution des Besoins
Risques plus importants
● Vie privée
● Entreprises plus exposées (risques, pénal)
Profile utilisateur Force le partage
d'informations Extension browser
public par défaut → info à Google
additionelles
Street View
Distribution d'applications → quand la tentation
non désirées est trop grande
13 / 63

17. Quels Objectifs ?
Limiter Les Risques
● Sécuriser les services webs et leurs échanges
● Limiter le vol d'identité pour le consommateur
● Limiter l'exposition légale d'une entreprise
● Traçabilité / Audit
Autres Avantages
● Meilleure interopérabilité
● Architecture plus simple, plus efficace
● Satisfaction de l'usager
14 / 63

18. Quels Objectifs
Rationaliser Les Coûts
● Réduction moyens informatiques (stockage, IT etc.)
● Eviter les duplications de BD
● Déveloper les collaborations (intra & inter entreprises)
15 / 63

19. Scenario – Privacy Freak
● Achat matériel d'espion - http://www.LaPiscine.biz
● Paiement par carte de crédit
● Livraison à mon lieu de travail
2
La Piscine Ma Banque
3
1
JeLivre.biz
Moi 4
16 / 63

20. Scenario – Privacy Freak
● Achat matériel d'espion - http://www.LaPiscine.biz
● Paiement par carte de crédit
● Livraison à mon lieu de travail
2 Achat?
Adresse? La Piscine Ma Banque
3
1 Espion?
JeLivre.biz
Moi 4
17 / 63

21. Une Gestion des Identités Globale
Un cycle complet
● Provisioning
● Authentification / Controle d'accès / Autorisation
● Logging
● Audit
● De-provisioning
18 / 63

22. Une Gestion des Identités Globale
Acteurs ?
identité identité
ou
Identités de qui ?
Emetteur
● Au niveau du message
Récepteur
Commanditaire
● Au niveau des cibles
Destinataire
19 / 63

23. Les Technologies
Passport ID-WSF 2.0 InfoCard OAuth 1.0
ID-FF 1.2
LDAP SAML 1.0 SAML 2.0 WS-* OpenID 1.0 OpenID 2.0
20 / 63

24. Fédération des Identités (1)
“Partager des informations d’identité contenues dans l’annuaire des utilisateurs
d’un établissement avec une institution partenaire pour leur permettre l’accès
contrôlé et sécurisé aux ressources de leur établissement ou aux ressources
de ce partenaire, notamment à distance.”
21 / 63

25. Fédération des Identités (1)
“Partager des informations d’identité contenues dans l’annuaire des utilisateurs
d’un établissement avec une institution partenaire pour leur permettre l’accès
contrôlé et sécurisé aux ressources de leur établissement ou aux ressources
de ce partenaire, notamment à distance.”
Cercle de Confiance
SP
IdP
SP
22 / 63

26. Fédération des Identités (1)
“Partager des informations d’identité contenues dans l’annuaire des utilisateurs
d’un établissement avec une institution partenaire pour leur permettre l’accès
contrôlé et sécurisé aux ressources de leur établissement ou aux ressources
de ce partenaire, notamment à distance.”
Délégation d'authentification
Cercle de Confiance
SP
IdP
Single Sign-On
Single Sign-On Partage d'Attributs
Partage d'Attributs
SP
L'usage, pas le stockage!
23 / 63

27. Fédération des Identités (2)
+ ● Nouvelles opportunités de business
● Délocaliser services auprès de partenaires
● Satisfaction clients/usagers
● Règles / Protocoles
● Sécurité de l'information
● Privacy
● Conformité aux lois
24 / 63

28. Fédération des Identités (3)
Principaux Protocoles
● SAML (évolution de Liberty Alliance ID-FF)
● Shibboleth
● OpenID
● WS-Federation
Adoption
● Secteur Privé (banques, Telcos etc.)
● Gouvernements: France, Nouvelle-Zélande,
Canada etc.
● Education: Universités
25 / 63

29. SAML
Security Assertion Markup Language propose:
● Single Sign-On
– Browser standards
– Clients HTTP qui connaissent l'IdP mais sans SOAP
● Single Log Out
● Fédération d'identités
– Préserve l'anomimité
– Utilise identifiant respectant la vie privée
● Échange d'attributs
26 / 63

30. SAML
Assertions
Assertions
Authentification
Authentification
Autorisation
Autorisation
Attributs
Attributs
27 / 63

31. SAML
Assertions
Assertions Protocoles
Protocoles
Authentification
Authentification Requêtes/Réponses pour
Requêtes/Réponses pour
Autorisation
Autorisation obtenir des assertions et
obtenir des assertions et
Attributs
Attributs gérer les identités
gérer les identités
SSO profiles
Artifact resolution
NameID mapping
SAML attributes
28 / 63

32. SAML
Assertions
Assertions Protocoles
Protocoles Bindings
Bindings
Authentification
Authentification Requêtes/Réponses pour
Requêtes/Réponses pour Mapper les protocoles SAML
Mapper les protocoles SAML
Autorisation
Autorisation obtenir des assertions et
obtenir des assertions et sur des protocoles
sur des protocoles
Attributs
Attributs gérer les identités
gérer les identités de message & transport
de message & transport
SSO profiles SOAP
Artifact resolution Reverse SOAP
NameID mapping HTTP Redirect
SAML attributes HTTP POST
HTTP Artifact
29 / 63

33. SAML
Assertions
Assertions Protocoles
Protocoles Bindings
Bindings
Authentification
Authentification Requêtes/Réponses pour
Requêtes/Réponses pour Mapper les protocoles SAML
Mapper les protocoles SAML
Autorisation
Autorisation obtenir des assertions et
obtenir des assertions et sur des protocoles
sur des protocoles
Attributs
Attributs gérer les identités
gérer les identités de message & transport
de message & transport
SSO profiles SOAP
Artifact resolution Reverse SOAP
NameID mapping HTTP Redirect
SAML attributes HTTP POST
HTTP Artifact
Profiles
Profiles
Ctxt AuthN
Ctxt AuthN
Metadata
Metadata Combiner protocoles,
Combiner protocoles,
assertions et bindings
assertions et bindings Information détaillée
pour satisfaire un Information détaillée
Configuration
Configuration pour satisfaire un sur type et niveau
sur type et niveau
des IdP & SP cas d'usage précis
cas d'usage précis d'authentification
des IdP & SP d'authentification
30 / 63

34. SAML
Sujet
Authentification
Autorisation
Attribut
31 / 63

35. SAML
Assertion
<saml:Assertion
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
Version="2.0"
IssueInstant="2010-06-29T12:00:00Z">
<saml:Issuer>www.MonIdP.fr</saml:Issuer>
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-
format:emailAddress">GI.Joe@MonIdP.fr</saml:NameID>
</saml:Subject>
<saml:Conditions
NotBefore="2010-06-29T12:00:00Z"
NotOnOrAfter="2010-07-01T12:00:00Z">
</saml:Conditions>
... statements ...
</saml:Assertion>
32 / 63

36. SAML
Contexte d'Authentification
<saml:Assertion ...info générale ici ...>
... et ici …
<saml:AuthnStatement
AuthnInstant=”2010-06-29T12:00:00Z”
SessionIndex=”12345678912”>
<saml:AuthnContext>
<saml:AuthnContextClassRef>
urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
</saml:AuthnContextClassRef>
</saml:AuthnContext>
</saml:AuthnStatement>
</saml:Assertion>
33 / 63

37. SAML
Les Contextes d'Authentification
Internet Protocol Password Public Key – XML Signature
Kerberos Smartcard
Mobile Smartcard PKI
One Factor unregistered Software PKI
Internet Protocol Telephony
Mobile Two Factor Unregistered Nomadic Telephony
Mobile One Factor Contract Personalized Telephony
Mobile Two Factor Contract Authenticated Telephony
Password Secure Remote Password
Password Protected Transport SSL/TLS Cert-based Client AuthN
Previous Session Time Sync Token
Public Key – X.509 Unspecifed
Public Key - PGP
Public Key - SPKI
34 / 63

38. SAML (Protocole)
Example: le Browser POST profile
35 / 63

39. SAML
Pour en savoir plus:
● Spécification – http://saml.xml.org
● Sur le respect de la vie privée:
“Achieving Privacy in a Federated Identity Management
System” - Financial Cryptography and Data Security '09
http://fc09.ifca.ai/papers/fc09-landau.pdf
36 / 63

40. Services Web
Pourquoi?
● Contourner les limitations des browsers
● Permet aux interactions basées sur l'identité de se
passer même en l'absence de l'utilisateur
● De “Payer mes factures automatiquement”
→ “Médecin accédant à mon dossier dans l'urgence”
● Collaboration sécurisée entre plusieurs services
– Personalisation
– Controle d'accès
37 / 63

41. Services Web
Objectifs
● Permettre l'échange d'attributs
● Permettre l'accès aux ressources
Les besoins
● Sécuriser les échanges
● Méchanismes de délégation d'autorisation
38 / 63

42. Services Web
Principaux Protocoles
● ID-WSF 2.0 (Liberty Alliance)
● Oauth 1.0 Rev A
● WS-*
Adoption
● Réseaux sociaux (twitter, facebook, Yahoo! Etc.)
● Le gros reste à venir
39 / 63

43. ID-WSF 2.0
Scenario:
User's browser User's cell phone
9
1
MyID.com
2
BuyPuppyStuff.com
4
3
Discovery
Service
8
6 11
5
7
10
Personal Interaction
Profile Service
Service
40 / 63

44. ID-WSF 2.0
Description
Third-
ID-SIS party
svcs Authn,
Third- SSO,
Interaction People Discovery SAML2
party Identity
Service Service Service Metadata
svcs Mapping
Data Services
Services
Template
Security Mechanisms Security
SAML Profile policy URIs
SOAP Binding
Subscription/ Security Mechanisms
Notification
Framework
WS-Addressing
SAML Token Profile
SOAP Binding
WS-Addressing
WS-Security
Core
TCP/IP, UDP, SSL/TLS, HTTP, SOAP 1.1, SAML assertions WSDL
41 / 63

45. ID-WSF 2.0
Pour en savoir plus:
http://projectliberty.org
● Spécifications
● Introduction Technique:
“Liberty Alliance Web Services Framework: a
technical overview”
42 / 63

46. OAuth
● Orienté Web 2.0
● Délégation d'autorisation
● Composé de:
● Protocole basé sur la redirection du browser/agent
– Utilisateur, Consumer, Service Provider
● Mécanismes de sécurisation
≠ SAML ou Liberty
– Authentifie toutes les parties
– Remplace RFC 2617
43 / 63

47. OAuth
44 / 63

48. Oauth - Évolutions
Oauth 2.0
Community
Oauth
Oauth 1.0 1.0a
2007 2008 2009 2010
45 / 63

49. OAuth
Ressources
● Spécification: http://oauth.net
● Librairies disponibles dans la plupart des langages
● Librairie Java pour le frwk RESTful Jersey (JAX-RS)
– Signature des messages
– Filtre Jersey côté Client (signature automatique)
– Wrapper côté serveur (vérification signature)
– http://wikis.sun.com/display/Jersey/OAuth
46 / 63

50. Oauth – Jersey Fwk
OAuthParameters params = new OauthParameters().realm(REALM).
consumerKey(CONSUMER_KEY).
signatureMethod(RSA_SIGNATURE_METHOD).
timestamp(RSA_TIMESTAMP).
nonce(RSA_NONCE).version(VERSION);
OAuthSecrets secrets = new OAuthSecrets().consumerSecret(RSA_PRIVKEY);
OAuthSignature.sign(request, params, secrets);
Consumer
params = new OAuthParameters();
params.readRequest(request);
secrets = new OAuthSecrets().consumerSecret(RSA_CERTIFICATE);
assertTrue(OAuthSignature.verify(request, params, secrets));
Service Provider
47 / 63

51. WS-*
Services Web
● Pas forcément basés sur l'identité
● SOAP/XML
Approche hyper-modulaire
● → hyper complexe...
48 / 63

52. WS-*
49 / 63

53. WS-*
Quelques spécifications se détachent:
● WS-Adressing
● WS-Security
● WS-Trust (maintenant WS-SX)
● WS-Policy
50 / 63

54. InfoCard
● Initiative de Microsoft → User Centric
● Basé sur un sous-ensemble de WS-*
● Echange d'attributs
● Notions de cartes (avec attributs) pour prouver
son identité digitale
● Interface graphique client
● Vista / Windows 7
● Linux
51 / 63

55. InfoCard
● Infocard → en train de disparaitre?
● Dernière version du serveur de Microsoft est incompatible
avec le client InfoCard
● Cycle de release tous les 2 à 3 ans...
● Reste 1 seul autre Selecteur InfoCard (Azigo) lui aussi +/-
en panne.
52 / 63

56. RESUMONS
53 / 63

57. Partage Attributs
Partage Attributs
Autorisation
Autorisation
Authentification
Authentification
Domaines
RESUMONS
54 / 63

58. Partage Attributs
Partage Attributs
Autorisation SAML
Autorisation
...
OAuth
Authentification
Authentification
Elus
Domaines
RESUMONS
55 / 63

59. Partage Attributs
Partage Attributs
Autorisation SAML
Autorisation
...
OAuth
Authentification
Authentification
Elus
Domaines
RESUMONS
Web 2.0
Web 2.0
Entreprise
Entreprise
Marchés
56 / 63

60. Et Maintenant ?
57 / 63

61. Gérer l'Hétérogénéité
L'existant est souvent important:
● Déploiement Annuaires
● Applications avec interface non-standardisées
(et non modifiables!)
Il faut pouvoir:
● Propager les sessions
Dans le futur on aimerait:
● Échanger des politiques d'accès
● ...
58 / 63

62. Accros à l'Identité
Mais de grands besoins de:
● Simplification
● Diminution de l'exposition au risque
● Confidentialité omni-présente dans certains
domaines
● Expansion de l'utilisation
– Propagation de l'IAM à d'autre domaine
ex: protection des contenus: DRM
59 / 63

63. Dévelopements Futurs (1)
Améliorer la facilité de déploiements
● Concept d'appliance / turn-key
● Meilleure console pour l'administrateur
● Écrans plus simples pour les utilisateurs
(création de comptes, provisioning etc.)
Minimiser l'intrusion pour les applications
● Exemple: collectivités locales vis-à-vis MSP
● Technique comme les Fedlets
● Authentification transparente (différent niveaux)
60 / 63

64. Dévelopements Futurs (2)
Interopérabilité entre protocoles
● Tester la conformance aux spécifications
● Déveloper les passerelles entre protocoles
– Echanger assertion SAML pour un jeton OAuth...
– Profiter de SAML pour insérer jeton OAuth dans
l'assertion SAML (piggybacking)
– Bénéficier de la confiance déjà établie avec SAML
61 / 63

65. Dévelopements Futurs (3)
Technologie
● Découverte / Localisation
● ID-WSF → le seul découverte basée sur l'identité
● Des efforts en cours
– XRD / LRD
– Oauth
● Terminaux avancés
● Smartphone, tablettes etc.
● Advanced Clients (Liberty Alliance)
62 / 63

66. MERCI !
http://blog.levangong.com
hubertlvg at gmail.com
63 / 63

67. Commission Open Source
Retours d’expériences
Maitre Pascal Agosti, Cabinet Caprioli&Associés
authentification et éléments de droit
Frédéric AIME, Chief Technical Officer de JANUA
Exemple d'intégration d'OpenID en Php et en Java
Florent Peyraud, CEO et fondateur de TRYPHON
CA Cert, une autorité de certification méconnue

68. Sophia Conf
30 juin 2010
Gestion des identités et sécurisation des
services web : réalités & perspectives
- Authentification et éléments de droit -
Pascal AGOSTI
Avocat au Barreau de Nice - Docteur en droit
© CAPRIOLI & Associés – Société d’Avocats - www.caprioli-avocats.com
contact@caprioli-avocats.com / contactparis@caprioli-avocats.com

69. Le cabinet Caprioli & Associés est une société d’avocats en droit des
affaires (privé et public) située à Paris et à Nice.
• Il est spécialisé dans :
– L’informatique, les technologies de l’information et des communications
électroniques
– La sécurité des systèmes d’information et la dématérialisation
– les propriétés intellectuelles (droit d’auteur, marques, dessins, brevets, logiciels,
bases de données, …)
• Adresses : 6, rue Saulnier, 75009 Paris
9, avenue Henri Matisse, 06200 Nice
• Site Web : www.caprioli-avocats.com
• Mél : contact@caprioli-avocats.com (Nice)
paris@caprioli-avocats.com (Paris)
Authentification et éléments de droit Introduction 30/06/10
27/01/10 3

70. • Une histoire : jugement de première instance de l’Illinois
« Epoux Shames-Yeakel c/ Citizens Financial Bank » du 21
août 2009 (Case 07 C 5387)
Les époux Shames-Yeakel étaient les clients de Citizen Financial Bank. En février 2007, une personne non
identifiée a accédé, à partir d’une autre adresse IP que celle utilisée par les Epoux, à l’un des comptes qu’ils
possédaient, en utilisant l’identifiant et le mot de passe de la femme. Cette personne a ensuite effectué un
Le juge américain accueille la plainte du couple à
virement électronique au montant de 26.500$ à partir du compte. L’argent a été alors transféré vers une
?
banque se situant à Hawaii pour finalement être envoyé vers une banquesuite d'une
l’encontre d’un établissement bancaire à la en Autriche. Quand le vol a été
découvert et les fonds localisés, la banque autrichienne a refusé de retourner la somme en question.
Par la suite, Citizens Financial a décidé d’engager la responsabilité en ligne. en exigeant le
fraude intervenue sur son compte bancaire des Epoux
Authentification à un facteur insuffisante
remboursement de sommes dues. Face à cette situation, les Epoux ont intenté un procès à Citizens
Financial Bank en alléguant que celle-ci a manqué de procéder à toutes les mesures nécessaires pour
protéger leur compte.
Authentification et éléments de droit Présentation générale 30/06/10
27/01/10 4

71. Quelques questions à se poser concernant l’accès au SI :
Qui êtes vous ? Déclaration
d’identité/Identification
Comment en être Vérification
sûr? d’identité/Authentification
Comment puis je
accéder au SI?
Politique d’Identity and
Access Management
Comment sont
gérés les droits?
Authentification et éléments de droit Présentation générale 27/01/10
30/06/10 5

72. • Définition de l’authentification et de l’identification :
« L’authentification a pour but de vérifier l’identité dont une entité
(personne ou machine) se réclame. Généralement, l’authentification est
précédée d’une identification qui permet à cette entité de se faire
reconnaître du système par un élément dont on l’a doté. En résumé,
s’identifier c’est communiquer une identité préalablement enregistrée,
s’authentifier c’est apporter la preuve de cette identité ».
Référentiel Général de Sécurité, §3.2
Authentification et éléments de droit Présentation générale 30/06/10
27/01/10 6

73. Objectifs de l’authentification :
Contrôle d’accès
Authentification
Imputabilité
Authentification et éléments de droit Présentation générale 30/06/10
27/01/10 7
7

74. Techniques d’authentification
Elles reposent sur :
• Un élément que connaît l’utilisateur (ex : mot de passe)
• Un élément que possède l’utilisateur (ex : carte à puce)
• Un élément caractérisant personnellement l’utilisateur (ex : biométrie)
CNIL
Authentification et éléments de droit Présentation générale 30/06/10
27/01/10 8

75. Principaux domaines juridiques impactés :
Droit bancaire et
Droit civil Droit public
financier
• Contractualisation en ligne • Contractualisation en • Accès à des téléservices ;
(crédit à la consommation) ; ligne Exigences du RGS
• Virement en ligne ;
• Accès aux comptes ;
Exigences authentification
non rejouable
Label IdéNum
• Objectif : fédérer les outils d'authentification émis
par différents acteurs, en garantissant un niveau
homogène de sécurité et d’interopérabilité.
Authentification et éléments de droit Présentation générale 30/06/10
27/01/10 9

76. Avez-vous des questions ?
Merci de votre attention !
Pascal AGOSTI
Avocat au Barreau de Nice
Docteur en droit
Société d’avocats
9 avenue Henri Matisse, 06200 Nice / Tél. 04 93 83 31 31
6 rue Saulnier, 75009 Paris / Tél. 01 47 70 22 12
www.caprioli-avocats.com
mél : contact@caprioli-avocats.com
p.agosti@caprioli-avocats.com
Authentification et éléments de droit Présentation générale 27/01/10
30/06/10 10

77. Commission Open Source
Retours d’expériences
Maitre Pascal Agosti, Cabinet Caprioli&Associés
authentification et éléments de droit
Frédéric AIME, Chief Technical Officer de JANUA
Exemple d'intégration d'OpenID en Php et en Java
Florent Peyraud, CEO et fondateur de TRYPHON
CA Cert, une autorité de certification méconnue

78. Présentation De Janua
● Société de services en logiciels libres (SS2L) et éditeur
fondée en 2004 à Sophia Antipolis
● Notre métier : l'expertise
● Notre crédo : l'Open Source
● Notre force : les hommes, leur vécu et leur motivation
● Notre approche : l'Open Source et gestion des
identités numériques.
● Développement au forfait à l'aide de méthodologies
"agiles", les solutions packagées et les maquettes
(POC).

79. Les compétences de Janua
• Consulting, implémentations et déploiement de solutions de gestion d'identités
(provisioning, workflows, synchronisation, SPML v2, audit et conformité), de contrôle
d'accès et gestion des droits (SSO, CDSSO, eSSO, fédération, authentification forte,
PKI, délégation d'administration).
• Expertise en annuaires LDAP (OpenLDAP, Sun DSEE, OpenDS, Red Hat directory
server) et besoins connexes comme la gestion de contenu ou les interfaces d'accès
aux annuaires.
• Etudes d'opportunités et accompagnement à la migration Open Source, déploiement
de solutions d'infrastructures.
• Développement au forfait, assistance technique et expertise sur des composants
Open Source, embarqués et temps réel, portage Android.
• Consulting Réseaux et Sécurité, expertise base de données, cluster et virtualisation.
• Editeur des logiciels LDAPTools, Jaguards, KressourcesWCAP, EZslony et
CMakeBuilder

80. Retour d'expèrience
CAS Client 1 :
Utilisation de la couche OpenID pour l'authentification dans un logiciel de sécurisation « end-point »
entrée de gamme.
* Utilisation de la stack du client pour la gestion des droits
* Utilisation de OpenID pour réaliser les opérations d'authentification
CAS Client 2 :
Utilisation de OpenID pour l'authentification dans un logiciel de widgets de bureaux pour se rapprocher
d'un contexte SSO.
* Utilisation de OpenID pour réaliser les opérations d'authentification.
* Mutualisation de l'authentification au travers de tout le framework de widgets

81. Mise en œuvre de OpenID
• De nombreuses APIs Disponibles pour divers langages de programmation
• parmi lesquelles :
•JAVA : OpenID 4 Java
•PHP 4/5 : Php-OpenID
•DotNet : DotNet OpenAuth

82. Schéma d'authentification
Response
OpenID « Provider »
Request
OpenID «Client» Base de donnée
« Pivot »

83. Base de donnée « pivot »
Aucun mot de passe stocké par l'application « cliente »

84. Implémentation en Java
Requête D'authentification

85. Implémentation en Java
Validation de la réponse

86. Implémentation en PHP
Requête d'authentification

87. Implémentation en PHP
Validation de la réponse

88. Avantages et inconvénients
• Une intégration très facile dans toute application Web
•JAVA, PHP, DotNet
•Limité à l'authentification pure
•l'identité est maintenue par le client et n'est donc pas garantie
•pas de gestion de droits
•100% Web-Based

89. Commission Open Source
Retours d’expériences
Maitre Pascal Agosti, Cabinet Caprioli&Associés
authentification et éléments de droit
Frédéric AIME, Chief Technical Officer de JANUA
Exemple d'intégration d'OpenID en Php et en Java
Florent Peyraud, CEO et fondateur de TRYPHON
CA Cert, une autorité de certification méconnue

90. Commission Open Source
Une autorité de certification peu connue
F.Peyraud - Tryphon

91. Commission Open Source
Agenda
• Who am I
• PKI : What is it ? What for ?
• PKI : components
• Certification Authorities
• CAcert, charter and concept
• CAcert, Pros and Cons
• One step beyond with CAcert !

92. Commission Open Source
Who am I ?
• Florent Peyraud
• Co-founder of Tryphon SARL
– Appliances, training and consulting
– Web applications, RoR
– Strong focus on radio stations
• Ex-president of Linux Azur
• Engineer in Electronics and Radio Freq.

93. Commission Open Source
PKI : What is it ? What for ?
• Public Key Infrastructure
– Asymetrical cryptography
– Certificates
• Roles
– Confidentiality
– Authentication
– Integrity
– Non repudiation

94. Commission Open Source
PKI : components
• EE : End Entity, user
• RA : Registration Authority
• CA : Certification Authority
• Repository : CERTs and CRLs
• KE : Key Escrow

95. Commission Open Source
Certification Authorities
• Commercial
– Thawte, Verisign, Gandi...
• Free
– Gandi (1 year), Verisign (60 days)
– CAcert (community based)
– Yourself !

96. Commission Open Source
CAcert : charter and concept
• CAcert is a certification authority
• It has all the elements of a commercial CA
• Rely on community for :
– Spreading
– Build a web of trust
• Assurers, members
• System of assurance points
• System of assurer's experience points

97. Commission Open Source
CAcert, Pros and Cons
• PROS • CONS
– Potentially as secure – Not integrated in
as a commercial CA browsers' CA list by
– Freely available default yet
certificates – No monetary guaranty
– Wolrdwide community in case if incident
makes a strong
confidence

98. Commission Open Source
One step beyond with CAcert !
• Become a member
• Get assured
• Become an assurer
• Start using CAcert signed certificates !
• Help making CAcert Root Certificate being
integrated in all main browsers
www.cacert.org