PKI Android : Installer, gérer, sécuriser et utiliser un secretOCTO Technology
Comment installer, gérer, sécuriser et utiliser une clef privée ? Comment partager une clef privée entres applications? Comment résister au vol du téléphone? Via des API cachées, des scénarios originaux et autres subtilités.
Séminaire e-Xpert Solutions : Evolution des technologies d'authentification
Le mot de passe
Faiblesse d’utilisation du mot de passe statique
Attaques et vulnérabilités liées
L’authentification forte
Définition de l’authentification forte
One Time Password
Public Key Infrastructure et Biométrie
Tendances du marché
Corroboration
Transaction Data Signing
Risk Based Authentication
De nouveaux Standards
Initiative for Open authentication - OATH
OpenID / SAML
PKI Android : Installer, gérer, sécuriser et utiliser un secretOCTO Technology
Comment installer, gérer, sécuriser et utiliser une clef privée ? Comment partager une clef privée entres applications? Comment résister au vol du téléphone? Via des API cachées, des scénarios originaux et autres subtilités.
Séminaire e-Xpert Solutions : Evolution des technologies d'authentification
Le mot de passe
Faiblesse d’utilisation du mot de passe statique
Attaques et vulnérabilités liées
L’authentification forte
Définition de l’authentification forte
One Time Password
Public Key Infrastructure et Biométrie
Tendances du marché
Corroboration
Transaction Data Signing
Risk Based Authentication
De nouveaux Standards
Initiative for Open authentication - OATH
OpenID / SAML
This document provides an overview of piping systems and components. It discusses that piping is used to convey liquids, gases, or materials through a tubular system. Key piping components include pipes, fittings, flanges, valves, and strainers. Common piping materials include carbon steel, alloy steels, and stainless steels. The document also discusses piping design considerations like material selection, insulation, supports, flexibility analysis, and piping and instrumentation diagrams (P&IDs). Piping stress analysis is conducted to ensure stresses from pressures, temperatures, and other loads do not exceed design limits.
Codes provide legally binding guidelines for design, construction, and installation of piping systems, while standards provide sizes, ratings, and joining methods of piping components. Dimensional standards ensure interchangeability of similar components from different suppliers. Major organizations establishing standards include ASME, BIS, BSI, and DIN. Commonly used codes include ASME B31.1 through B31.12 governing various piping applications. ASME B16 standards specify pipes and fittings.
Difference between code, standard & SpecificationVarun Patel
This document defines and compares codes, standards, and specifications as they relate to engineering. Standards establish technical requirements and quality guidelines to provide consistency, while codes refer to standards that have been adopted into law. Specifications provide additional requirements for specific products or applications. The document then provides examples of material and dimensional standards for process piping components, outlining what each covers such as material properties, testing requirements, dimensions, and tolerances to ensure reliability and safety. Overall, codes, standards and specifications are necessary to establish consistent engineering practices and requirements.
Piping Training course-How to be an Expert in Pipe & Fittings for Oil & Gas c...Varun Patel
Course Description
Piping a must know skill to work in Oil & Gas and similar Process Industries.
Oil and Gas industry is become a very competitive in the current time. Getting right mentor and right exposer within industry is difficult. With limited training budget spent by company on employee training, it is difficult to acquire the knowledge to success.
Knowing cross-functional skill give you an edge over others in your career success.
This course design based on years of field experience to ensure student will comprehend technical details easily and enjoy overall journey.
Learn in detail every aspect of Pipe & Pipe Fittings used in process industry
•Different types of Pipe, Pipe fittings (Elbow, Tee, reducers, Caps etc.), Flanges, Gaskets, Branch Connection, Bolting materials
•Materials (Metal-Carbon Steel, Stainless Steel, Alloy Steel etc. Non-Metal- PVC/VCM, HDPE, GRE-GRP etc.)
•Manufacturing methods
•Heat treatment requirements
•Inspection and Testing requirements (Non Destructive Testing, Mechanical & Chemical testing)
•Dimensions & Markings requirements
•Code & Standard used in piping
Content and Overview
With 2 hours of content including 30 lectures & 8 Quizzes, this course cover every aspect of Pipe, Pipe fittings, flanges, gaskets, branch connections and bolting material used in Process Piping.
This Course is divided in three parts.
1st part of the course covers fundamental of process industries. In this Part, you will learn about fundamental process piping. You will also learn about Code, Standard & Specification used in process industries.
2nd part cover various types of material used in process industries. In this part, you will learn about Metallic and Non-Metallic material used to manufacture pipe and other piping components.
3rd parts covers in detail about pipe and piping components used in Process piping. In this part we will learn about Industry terminology of Piping components, types of industrial material grade used in manufacturing and entire manufacturing process of these components. You will learn about different manufacturing methods, Heat treatment requirements, Destructive and Non-destructive testing, Visual & Dimensional inspection and Product marking requirements.
Upon completion, you will be able to use this knowledge direct on your Job and you can easily answer any interview question on pipe & fittings.
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO Technology
Comment installer, gérer, sécuriser et utiliser une clef privée ? Comment partager une clef privée entres applications? Comment résister au vol du téléphone? Via des API cachées, des scénarios originaux et autres subtilités.
Présentation effectuée au Meetup Lizard Secu (27 aout 2020)par Christophe Villeneuve sur "Le futur de l'authentification WebAuthn".
Vous allez voir comment se passer du mot de passe en utilisant WebAuthn
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Microsoft
Cette session portera sur les outils disponibles dans Windows que vous pouvez utiliser pour fournir une expérience d'authentification dans vos applications. Quelques lignes de code suffisent pour obtenir des scénarios sécurisés notamment dans le cas d’applications LOB pour les entreprises ! Nous ferons le tour des possibilités de l’authentification traditionnelle jusqu’aux dernières techniques grâce aux api disponibles dans Windows 8.1 : de l’authentification biométrique, en passant par la carte à puce ainsi que la gestion de plusieurs comptes, venez découvrir avec nous les nouvelles façons d’authentifier vos utilisateurs.
Speakers : Nathalie Belval (Soat), Nathanaël Marchand (Soat)
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Microsoft Technet France
Cette session revient, dans un premier temps, sur l’architecture Cartes à puce de la plateforme Windows et ses évolutions en termes de middleware et de prise en charge d’algorithmes cryptographiques. Dans ce contexte, la session présente les principes de fonctionnement du « Smart Card Logon », les possibilités de mappage en termes de certificats X.509 v3, les extensions apportées notamment vis-à-vis d’OCSP, etc. Fort de ces éléments, la session vise à donner, dans un second temps, un retour d’expérience sur la prise en charge et l’utilisation des cartes à puce avec Windows 7. La session se conclura sur un ensemble de bonnes pratiques illustrées au travers de démonstrations (démos !) de scénarios d’utilisation.
This document provides an overview of piping systems and components. It discusses that piping is used to convey liquids, gases, or materials through a tubular system. Key piping components include pipes, fittings, flanges, valves, and strainers. Common piping materials include carbon steel, alloy steels, and stainless steels. The document also discusses piping design considerations like material selection, insulation, supports, flexibility analysis, and piping and instrumentation diagrams (P&IDs). Piping stress analysis is conducted to ensure stresses from pressures, temperatures, and other loads do not exceed design limits.
Codes provide legally binding guidelines for design, construction, and installation of piping systems, while standards provide sizes, ratings, and joining methods of piping components. Dimensional standards ensure interchangeability of similar components from different suppliers. Major organizations establishing standards include ASME, BIS, BSI, and DIN. Commonly used codes include ASME B31.1 through B31.12 governing various piping applications. ASME B16 standards specify pipes and fittings.
Difference between code, standard & SpecificationVarun Patel
This document defines and compares codes, standards, and specifications as they relate to engineering. Standards establish technical requirements and quality guidelines to provide consistency, while codes refer to standards that have been adopted into law. Specifications provide additional requirements for specific products or applications. The document then provides examples of material and dimensional standards for process piping components, outlining what each covers such as material properties, testing requirements, dimensions, and tolerances to ensure reliability and safety. Overall, codes, standards and specifications are necessary to establish consistent engineering practices and requirements.
Piping Training course-How to be an Expert in Pipe & Fittings for Oil & Gas c...Varun Patel
Course Description
Piping a must know skill to work in Oil & Gas and similar Process Industries.
Oil and Gas industry is become a very competitive in the current time. Getting right mentor and right exposer within industry is difficult. With limited training budget spent by company on employee training, it is difficult to acquire the knowledge to success.
Knowing cross-functional skill give you an edge over others in your career success.
This course design based on years of field experience to ensure student will comprehend technical details easily and enjoy overall journey.
Learn in detail every aspect of Pipe & Pipe Fittings used in process industry
•Different types of Pipe, Pipe fittings (Elbow, Tee, reducers, Caps etc.), Flanges, Gaskets, Branch Connection, Bolting materials
•Materials (Metal-Carbon Steel, Stainless Steel, Alloy Steel etc. Non-Metal- PVC/VCM, HDPE, GRE-GRP etc.)
•Manufacturing methods
•Heat treatment requirements
•Inspection and Testing requirements (Non Destructive Testing, Mechanical & Chemical testing)
•Dimensions & Markings requirements
•Code & Standard used in piping
Content and Overview
With 2 hours of content including 30 lectures & 8 Quizzes, this course cover every aspect of Pipe, Pipe fittings, flanges, gaskets, branch connections and bolting material used in Process Piping.
This Course is divided in three parts.
1st part of the course covers fundamental of process industries. In this Part, you will learn about fundamental process piping. You will also learn about Code, Standard & Specification used in process industries.
2nd part cover various types of material used in process industries. In this part, you will learn about Metallic and Non-Metallic material used to manufacture pipe and other piping components.
3rd parts covers in detail about pipe and piping components used in Process piping. In this part we will learn about Industry terminology of Piping components, types of industrial material grade used in manufacturing and entire manufacturing process of these components. You will learn about different manufacturing methods, Heat treatment requirements, Destructive and Non-destructive testing, Visual & Dimensional inspection and Product marking requirements.
Upon completion, you will be able to use this knowledge direct on your Job and you can easily answer any interview question on pipe & fittings.
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO Technology
Comment installer, gérer, sécuriser et utiliser une clef privée ? Comment partager une clef privée entres applications? Comment résister au vol du téléphone? Via des API cachées, des scénarios originaux et autres subtilités.
Présentation effectuée au Meetup Lizard Secu (27 aout 2020)par Christophe Villeneuve sur "Le futur de l'authentification WebAuthn".
Vous allez voir comment se passer du mot de passe en utilisant WebAuthn
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Microsoft
Cette session portera sur les outils disponibles dans Windows que vous pouvez utiliser pour fournir une expérience d'authentification dans vos applications. Quelques lignes de code suffisent pour obtenir des scénarios sécurisés notamment dans le cas d’applications LOB pour les entreprises ! Nous ferons le tour des possibilités de l’authentification traditionnelle jusqu’aux dernières techniques grâce aux api disponibles dans Windows 8.1 : de l’authentification biométrique, en passant par la carte à puce ainsi que la gestion de plusieurs comptes, venez découvrir avec nous les nouvelles façons d’authentifier vos utilisateurs.
Speakers : Nathalie Belval (Soat), Nathanaël Marchand (Soat)
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Microsoft Technet France
Cette session revient, dans un premier temps, sur l’architecture Cartes à puce de la plateforme Windows et ses évolutions en termes de middleware et de prise en charge d’algorithmes cryptographiques. Dans ce contexte, la session présente les principes de fonctionnement du « Smart Card Logon », les possibilités de mappage en termes de certificats X.509 v3, les extensions apportées notamment vis-à-vis d’OCSP, etc. Fort de ces éléments, la session vise à donner, dans un second temps, un retour d’expérience sur la prise en charge et l’utilisation des cartes à puce avec Windows 7. La session se conclura sur un ensemble de bonnes pratiques illustrées au travers de démonstrations (démos !) de scénarios d’utilisation.
Sécuriser ses ap is avec oauth2 jug montpellier 16 avril 2014Damien Boissin
Présentation d'oauth 2 et d'openid connect au Jug Montpellier.
Elle traite la question de l'utilisation d'une api par une application tierce et d'authentifier les utilisateurs de cette application.
Cette présentation aborde les nouveautés de Windows 8 concernant les mécanismes internes de la sécurité : l'ouverture de session, les méthodes d'authentification, les cartes à puces virtuelles, les autorisations, le contrôle d'accès, ainsi que les mécanismes d'isolation des applications Windows 8.
Windows 10 Next Generation Credentials (NGC) constitue une implémentation d’un nouveau principe d'authentification sans mot de passe, s'appuyant principalement sur le module matériel TPM – que l’on retrouve désormais sur la plupart des appareils – ainsi que sur des authentificateurs biométriques comme un lecteur d’empreinte digitale. Cette nouvelle approche permet de simplifier l'expérience utilisateur tout en renforçant la sécurité et en garantissant le respect de la vie privée. L'Alliance Fast IDentification Online (FIDO), dont Microsoft est membre et contributeur a récemment publié les versions finales des spécifications UAF Universal Authentication Framework qui sont au cœur de ce mode d'authentification sans mot de passe. Cette session fera la lumière sur les principes de l'authentification sans mot de passe disponibles sous Windows 10. Attention, pas de magie mais une solution astucieuse basée sur de la crypto asymétrique bien connue et des protocoles dont les spécifications sont publiques. Juste un petit un bémol : les démos ne seront possibles que si la version Consumer Preview de Windows 10 de fin janvier le permet.
Windows 10 Next Generation Credentials (NGC) constitue une implémentation d’un nouveau principe d'authentification sans mot de passe, s'appuyant principalement sur le module matériel TPM – que l’on retrouve désormais sur la plupart des appareils – ainsi que sur des authentificateurs biométriques comme un lecteur d’empreinte digitale. Cette nouvelle approche permet de simplifier l'expérience utilisateur tout en renforçant la sécurité et en garantissant le respect de la vie privée. L'Alliance Fast IDentification Online (FIDO), dont Microsoft est membre et contributeur a récemment publié les versions finales des spécifications UAF Universal Authentication Framework qui sont au cœur de ce mode d'authentification sans mot de passe. Cette session fera la lumière sur les principes de l'authentification sans mot de passe disponibles sous Windows 10. Attention, pas de magie mais une solution astucieuse basée sur de la crypto asymétrique bien connue et des protocoles dont les spécifications sont publiques. Juste un petit un bémol : les démos ne seront possibles que si la version Consumer Preview de Windows 10 de fin janvier le permet.
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Décideurs IT
Aujourd'hui, tout un chacun souhaite aspire à travailler de n'importe où, sur n'importe quel appareil, etc. Comment permettre une telle expérience avec les ressources internes et dans le cloud (hybride) de l’entreprise, tout en conservant le contrôle dans le contexte du BYOD (Amenez votre propre appareil). Sur la base de l’enregistrement d’appareils abordé dans la première partie (session SEC306), cette session illustrera comment configurer les stratégies d’accès conditionnel qui s'appuient d'une manière souple et intuitive sur les nouvelles capacités d’AD FS comme la connaissance des emplacements réseau, l'authentification de l'appareil et l'authentification à facteurs multiples. Elle abordera comment vous pouvez contrôler les méthodes d'authentification qui sont mises à disposition des utilisateurs finaux, comment ajouter des fournisseurs d'authentification supplémentaires et bien sûr comment configurer des stratégies distinctes régissant les accès extranet. Cette session explore au final comment AD FS (et Azure AD) vous permet d'éviter les scénarios de type « Amener votre propre désastre » (BYOD) ;-) en offrant le niveau de confiance appropriée pour l’accès aux ressources de l'entreprise.
(Azure) Active Directory + BYOD = tranquillité d’esprit, chiche ! (2nde Partie)Microsoft Technet France
Aujourd'hui, tout un chacun souhaite aspire à travailler de n'importe où, sur n'importe quel appareil, etc. Comment permettre une telle expérience avec les ressources internes et dans le cloud (hybride) de l’entreprise, tout en conservant le contrôle dans le contexte du BYOD (Amenez votre propre appareil). Sur la base de l’enregistrement d’appareils abordé dans la première partie (session SEC306), cette session illustrera comment configurer les stratégies d’accès conditionnel qui s'appuient d'une manière souple et intuitive sur les nouvelles capacités d’AD FS comme la connaissance des emplacements réseau, l'authentification de l'appareil et l'authentification à facteurs multiples. Elle abordera comment vous pouvez contrôler les méthodes d'authentification qui sont mises à disposition des utilisateurs finaux, comment ajouter des fournisseurs d'authentification supplémentaires et bien sûr comment configurer des stratégies distinctes régissant les accès extranet. Cette session explore au final comment AD FS (et Azure AD) vous permet d'éviter les scénarios de type « Amener votre propre désastre » (BYOD) ;-) en offrant le niveau de confiance appropriée pour l’accès aux ressources de l'entreprise.
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2Alice and Bob
1. Vers la fin du mot de passe ? 2. L'authentification forte : le b.a.ba 3. L'authentification forte garantit les connexions au système d'information 4. Bénéfices business : Point d'entrée de la transformation digitale Témoignage : Directrice Générale de ChamberSign 5. Exemples de mécanismes d'authentification forte 6. Choisir sa solution d'authentification forte 7. Le Cloud et le BYOD accélèrent le demande pour les solutions d'authentification forte 8. Les Experts Comptables utilisent l'authentification forte par certificat sur leur site web 9. Wikipédia adopte l'authentification par certificat en mode SaaS 10. Authentification forte et BYOD 11. Le certificat installé sur le terminal : une solution élégante 12.Gérer simplement les certificats électroniques en SaaS
1. White Paper
Quelle solution
d’authentification forte
pour quelle
application ??
Version 2.0
SCRYPTO
2. SOMMAIRE
1. QU’APPELLE-T-ON AUTHENTIFICATION FORTE 3
2. PRINCIPALES TECHNIQUES D’AUTHENTIFICATION FORTE 4
2.1. LE TOKEN DE TECHNOLOGIE « SYNCHRO -TEMPS » 4
1.1.1. P RESENTATION 4
2.2. LE TOKEN DE TECHNOLOGIE « DEFI-REPONSE » 5
2.2. LE TOKEN DE TECHNOLOGIE « DEFI-REPONSE » 6
1.1.2. P RESENTATION 6
2.3. CERTIFICATS DIGITAUX SUR DISQUE 8
1.1.3. P RESENTATION 8
2.4. CARTE A PUCE A CRYPTO PROCESSEUR 10
2.5. SCHEMA DE L’AUTHENTIFICATION 10
2.6. CLE A PUCE A CRYPTO PROCESSEUR 11
1.1.4. P RESENTATION 11
1.1.5. SCHEMA DE L’AUTHENTIFICATION 12
2.7. B IOMETRIE 13
1.1.6. P RESENTATION 13
1.1.7. SCHEMA D ’AUTHENTIFICATION 14
3. BESOINS 15
3.1. ACCES AU RESEAU D’ENTREPRISE 15
3.2. ACCES INTRANET - EXTRANET 16
3.3. EVOLUTIVITE - RESPECTS DES STANDARDS 17
3.4. SINGLE S IGN-ON (SSO)- MULTI- APPLICATIONS 19
4. CONCLUSIONS 20
-2-
3. 1. Qu’appelle-t-on Authentification
Forte
L’authentification forte est une vérification rigoureuse (sinon parfaite, serait-on tenté de dire !)
de l’identité d’un individu, cette vérification s’effectuant au travers d’un processus s’appuyant
sur une ou plusieurs technologies.
A l’heure actuelle, on peut affirmer qu’aucune des technologies proposées par le marché
n’est parfaite. Le «vol d’identité » est toujours possible, car dans la plupart des cas la
menace et la contrainte font tomber toutes les barrières technologiques.
Par exemple, au Distributeur Automatique de Billets, un voleur « persuasif » peut demander
au porteur d’une carte bancaire tout l’argent qu’il souhaite (dans la limite de son plafond de
retrait !) ou simplement lui « emprunter » carte et code secret pour faire ses courses !
Néanmoins, si l’on occulte l’usage de la menace physique et que l’on se place dans un
environnement sécurisé (l’environnement professionnel ou le domicile) la technologie répond
dans la majorité des cas précis au problème de l’usurpation.
Cette usurpation serait, dans la plupart des applications, préjudiciable car un fraudeur serait
capable de :
- obtenir les droits afférents à cet utilisateur (accès à des ressources partagées,
accès à des ressources personnelles)
- signer des transactions au nom de cet utilisateur (passage d’ordres en bourse,
achat de biens en ligne, etc.)
Le challenge de l’authentification forte est donc de « rendre difficile la fraude pour un pirate
ou un voleur » en respectant, toutefois, les contraintes liées à l’environnement technique,
économique et organisationnel de l’application.
Ce document présente de manière synoptique les principales méthodes disponibles sur le
marché de la sécurité et essaie de répondre à la question que vous vous posez « quelle
solution d’authentification forte pour mon application ? ».
-3-
4. 2. PRINCIPALES TECHNIQUES
D’AUTHENTIFICATION FORTE
2.1. Le token de technologie « synchro-temps»
1.1.1. Présentation
Ce système se présente sous la forme la plus simple :
- petit afficheur d’une ligne
- pas de clavier
L’utilisateur ne transmet aucune information au token.
Des variantes existent :
Présence d’un clavier pour la saisie d’un code PIN permettant le déblocage de la fonction de
calcul du mot de passe.
Token de technologie « synchro-temps »
Fonctionnement - Système de génération de mot de passe à usage unique (OTP).
- Génération et affichage d’un nombre non prédictible toutes les 60 secondes (par
exemple).
- L’utilisateur saisit son identifiant et son mot de passe dans l’interface
d’authentification : le mot de passe est une combinaison du code PIN de l’utilisateur
et de l’OTP.
- Validation du mot de passe transmis par le système au serveur d’authentification
qui autorise ou refuse l’accès.
Points clé - Périphérique unique qui ne peut être cloné.
- Combiné avec un code PIN constitue une méthode d’authentification à 2
facteurs.
- Ne nécessite aucun périphérique spécifique ou logiciel spécifique sur le poste
client.
- Administration des utilisateurs dans une base propriétaire.
Faiblesses du système - Pas de single sign-on : l’utilisateur doit s’authentifier explicitement sur chaque
application protégée par cette technologie.
- Peut nécessiter une ré-authentification lors de sessions longues.
- Pas évolutif : pas de signature possible.
- Validité limitée : pas de remplacement de la pile possible .
- Erreur d’authentification liée aux erreurs humaines (lecture et report du mot de
passe).
- Méthode non standard.
- Désynchronisation possible du token.
Environnement cible - Connexion depuis n’importe quel PC : pas de besoin de lecteur ou de logiciel
spécifique.
Application cible - Accès RAS ou VPN d’entreprise.
- Intranet et extranet où les applications sont accessibles au travers du navigateur.
-4-
5. 2.2.
STATION DE TRAVAIL SERVEUR D’AUTHENTIFICATION
123456
Clé secrète
DUPOND
OTP =
Base utilisateurs
123456 UserID : DUPOND
Password :
?
Code
**** =
PIN
123456
?
?
Heure Token = Heure
-5-
6. Le token de technologie « défi-réponse »
1.1.2. Présentation
Ce token est une version évoluée du token de technologie « synchronisation sur le temps »
car il dispose d’une interface clavier permettant de saisir un code PIN, un défi,
éventuellement un numéro d’application.
Token de technologie « défi-réponse »
Fonctionnement - L’utilisateur active le token en saisissant son code PIN.
- Un défi est affiché sur l’écran du token.
- L’utilisateur rentre le défi au clavier du token.
- Le token génère une réponse.
- L’utilisateur saisit son identifiant et son mot de passe dans l’interface
d’authentification : le mot de passe est la réponse générée par le token.
- Validation du mot de passe transmis par le système au serveur d’authentification
qui autorise ou refuse l’accès.
Points clé - Token + code PIN = méthode d’authentification à deux facteurs.
- Piles remplaçables.
- Système non basé sur le temps : pas de problème de dérive temps.
- Peut être utilisé dans certains cas comme outil de signature pour une quantité
réduite de données (montant d’une transaction par exemple).
Faiblesses du système - Ergonomie du système (clavier et écran de taille réduite).
- Procédure de login assez complexe.
- Méthode non standard.
Environnement cible - Sécurisation des accès distants pour les nomades et télé-travailleurs.
Application cible - Accès RAS et VPN d’entreprise.
Il existe une variante pour les token de technologie « défi-réponse » :
Certains fabricants proposent des lecteurs autonomes (type calculette) avec afficheur-clavier
dans lesquels on peut insérer une carte à puce.
Ce type de lecteur permet d s’affranchir du problème d’absence de lecteur connecté au
e
poste.
Par contre, la taille de la zone de saisie du mot de passe dans l’interface des procédures de
logon empêche la mise en œuvre de l’algorithme asymétrique RSA. La signature s’effectue,
en effet, sur des données de 512, 1024 ou 2048 bits.
On ne pourra utiliser qu’un algorithme symétrique pour lequel la taille des blocs chiffrés est
limité à 8 octets (DES ou 3-DES)
-6-
7. STATION DE TRAVAIL SERVEUR D’AUTHENTIFICATION
DEFI
PIN DEFI
123456
Clé secrète DUPOND
DEFI
Base
UserID : DUPOND utilisateurs
Password : 123456
REPONSE =
123456
Clé secrète DUPOND
123456
?
X = DEFI
-7-
8. 2.3. Certificats digitaux sur disque
1.1.3. Présentation
En dehors de l’utilisation d’une carte à puce ou d’une clé à puce dans le cadre d’une PKI, le disque dur
reste le moyen le plus répandu pour stocker le certificat, ainsi que la clé privée associée, de l’utilisateur.
Certificats digitaux sur disque
Fonctionnement - idem carte ou clé à puce à la différence près que le certificat et la clé privée sont
stockée sur le disque dur du poste.
Points clé - pas de matériel ou logiciel spécifique.
- proposé par les principaux systèmes d’exploitation.
Faiblesses du système - Mobilité réduite : il est nécessaire d’exporter son certificat et sa clé privée sur
disquette.
- La sécurité repose sur un simple mot de passe qui protège la clé privée (fichier
PKCS#12).
- L’importation des données d’identification sur des postes autres que le sien diminue
la confiance que l’on peut accorder au certificat.
- La compromission de la clé privée n’est pas facilement détectable (pas d’objet
physique perdu, une simple copie suffit).
Environnement cible - Réseaux ne nécessitant qu’un niveau réduit de sécurité.
- Utilisateurs se connectant à un Intranet ou extranet toujours à partir du même
poste.
Application cible - E-commerce avec des transactions de faible montant.
-8-
9. STATION DE TRAVAIL SERVEUR D’AUTHENTIFICATION
CERTIFICAT
Clé publique
AC
SIGNATURE
Clé privée DUPOND
DEFI DEFI
DEFI
?
X = COMPRIME
REPONSE REPONSE
REPONSE
-9-
?
X = DEFI
10. 2.4. Carte à puce à crypto processeur
Présentation
Carte à puce à crypto processeur
- La clé privée et le certificat de l’utilisateur sont stockés dans la carte.
Fonctionnement
- Au login l’utilisateur introduit sa carte dans le lecteur de carte.
- L’identifiant et le certificat sont lus dans la carte.
- Le serveur vérifie le certificat et contrôle sa non révocation.
- Le code PI N est saisi et vérifié par la carte : en cas de succès, la fonction de signature avec la
clé privée est débloquée.
- L‘authentification de l’utilisateur est effectuée dans une procédure de défi-réponse.
- Mobilité : l’utilisateur peut utiliser son certificat et sa clé privée sur d’autres postes que le sien.
Points clé
- En cas de perte ou de vol de la carte le certificat est révoqué par l’administrateur.
- Clonage impossible : la clé privée ne peut être lue.
- L’identifiant de l’utilisateur est lu directement dans la carte.
- Méthode standard : utilisation certificat X.509 et algorithme asymétrique RSA.
- La carte est utilisée comme outil de verrouillage de la station : le retrait de la carte provoque le
verrouillage de la station.
- Le dialogue appli-carte étant direct toutes les opérations de signature et de
chiffrement/déchiffrement sont possibles.
- Offre les fonctions de single sign-on : plusieurs couples identifiant – mot de passe peuvent être
mémorisés dans la carte.
- Les solutions sont compatibles avec les nombreux lecteurs PC/SC.
- Compatibilité avec le standard Microsoft (CryptoAPI).
- Pas de login à partir de n’importe quel PC (nécessite un lecteur et un module logiciel client
Faiblesses du système
spécifique).
- Difficilement déployable sur les extranets (réticence des utilisateurs à installer lecteur et logiciel
sur leur propre PC).
- Nécessite de déployer une PKI.
- L’installation et la configuration de tous les postes sont contrôlées par l’administrateur réseau :
Environnement cible
homogénéité des logiciels (OS, module client, drivers) et des matériels (lecteurs, cartes)
- Applications de single sign-on.
Application cible
- Logon sécurisé sur domaine Windows 2000 (LAN ou VPN).
- Authentification à toutes les applications au travers d’un portail Web.
- Authentification des utilisateurs en accès VPN : compatible clients VPN du marché (compatible
CryptoAPI).
- Application nécessitant confidentialité (chiffrement des données) et non répudiation (signature).
- Carte entreprise (multi-application).
2.5. Schéma de l’authentification
Voir schéma d’authentification clé à puce
- 10 -
11. 2.6. Clé à puce à crypto processeur
1.1.4. Présentation
Carte et clé à puce ont le même niveau fonctionnel. Elles peuvent cohabiter dans une même
application d’authentification car elle utilisent les mêmes techniques basées sur une PKI.
La clé à puce autorise moins le multi-application car les applications de contrôle d’accès
physique, les applications de porte-monnaie électronique (distributeurs, automate de
rechargement, etc…) ne proposent pas à l’heure actuelle des interfaces USB.
Clé à puce à crypto processeur
- La clé privée et le certificat de l’utilisateur sont stockés dans la clé.
Fonctionnement
- Au login l’utilisateur introduit sa clé dans le connecteur USB.
- L’identifiant et le certificat sont lus dans la clé.
- Le serveur vérifie le certificat et contrôle sa non révocation.
- Le code PIN est saisi et vérifié par la clé : en cas de succès, la fonction de signature avec la clé
privée est débloquée.
- L‘authentification de l’utilisateur est effectuée dans une procédure de défi-réponse.
- Mobilité : l’utilisateur peut utiliser son certificat et sa clé privée sur d’autres postes que le sien.
Points clé
- En cas de perte ou de vol de la clé le certificat est révoqué par l’administrateur.
- Clonage impossible : la clé privée ne peut être lue.
- L’identifiant de l’utilisateur est lu directement dans la clé.
- Méthode standard : utilisation certificat X.509 et algorithme asymétrique RSA.
- La clé est utilisée comme outil de verrouillage de la station : le retrait de la clé du connecteur
USB provoque le verrouillage de la station .
- Le dialogue appli-clé étant direct toutes les opérations de signature et de
chiffrement/déchiffrement sont possibles
- Offre les fonctions de single sign-on : plusieurs couples identifiant – mot de passe peuvent être
mémorisés dans la clé.
- Pas besoin de lecteurs (pas d’installation de driver spécifique).
- Compatibilité avec standard Microsoft (CryptoAPI).
- Pratique : utilisation de la clé à puce comme porte-clé.
- Pas de login à partir de n’importe quel PC (nécessite un port USB).
Faiblesses du système
- Difficilement déployable sur les extranets (réticence des utilisateurs à installer un logiciel sur
leur propre PC).
- Nécessite de déployer une PKI.
- L’installation et la configuration de tous les postes sont contrôlés par l’administrateur réseau :
Environnement cible
homogénéité des logiciels (OS, module client, drivers) et des matériels (lecteurs, cartes).
- Applications de single sign-on.
Application cible
- Logon sécurisé sur domaine Windows 2000 (LAN ou VPN).
- Authentification à toutes les applications au travers d’un portail Web.
- Authentification des utilisateurs en accès VPN : compatible clients VPN du marché (compatible
CryptoAPI).
- Application nécessitant confidentialité (chiffrement des données) et non répudiation (signature).
- 11 -
12. 1.1.5. Schéma de l’authentification
STATION DE TRAVAIL SERVEUR D’AUTHENTIFICATION
CERTIFICAT Clé publique
AC
SIGNATURE
?
X = COMPRIME
Clé publique DUPOND
ACCREDITATIO
PIN
N
Clé privée
DUPOND
CRYPTO CRYPTO
CRYPTO
ACCREDITATION …
ACCREDITATION
- 12 -
13. L’accréditation peut être :
§ Un TGT (Ticket Granting Ticket pour accéder au TGS) : dans l’authentification
Kerberos (Smart Card Logon de Windows 2000)
§ Plus généralement, un authentifiant pour le compte sur lequel l’utilisateur souhaite
se connecter
2.7. Biométrie
1.1.6. Présentation
Biométrie
- L’utilisateur est authentifié à partir d’une donnée physique caractéristique telle que l’empreinte
Fonctionnement
digitale, l’empreinte vocale, la forme du visage, l’analyse de comportement (dynamique de
signature, vitesse de frappe au clavier), etc.
- Chaque type d’authentification nécessite un matériel spécifique (scanner, microphone, caméra,
tablette de digitalisation, etc.) et un logiciel spécifique (implémentation d’algorithme de
comparaison des données collectées avec un modèle).
- Les données biométriques sont propres à un utilisateur.
Points clé
- Portabilité : les données biométriques font partie intégrante de l’utilisateur !
- Peut être utilisé comme moyen d’identification (recherche du modèle correspondant dans la
base des utilisateurs) : évite la saisie de l’identifiant.
- Pas de code PIN ou de Mot de Passe à retenir.
- Nécessité de matériel spécifique coûteux.
Faiblesses du système
- Fiabilité : plusieurs lectures sont parf ois nécessaires (qualité des périphériques).
- Risque d’erreur qu’il est nécessaire d’occulter (fixer un taux acceptable pour éviter rejets
répétitifs) : notion de TFR (Taux de Faux Rejets) et de TFA (Taux de Fausses Acceptations).
- Nécessite l’enregistrement de l’utilisateur (Une ou plusieurs mesures).
- Identification et authentification dans des environnements dépourvus de clavier-écran (sas
Environnement cible
d’accès).
- Contrôle d’accès logique au réseau d’entreprise (bio-identification simple).
Application cible
- En complément avec des solutions par carte ou clé à puce (méthode d’authentification à 3
facteurs) dans des applications très sensibles au sein d’institutions financières, dans un
périmètre militaire, ou dans des centres de recherche (bio-identification évoluée).
- 13 -
14. 1.1.7. Schéma d’authentification
STATION DE TRAVAIL SERVEUR D’AUTHENTIFICATION
EMPREINTE REDUITE
Base des utilisateurs
UserID : DUPOND
Password : EMPREINTE
REDUITE
EMPREINTE
MODELE
REDUITE
?
SCORE < SEUIL
- 14 -
15. 3. Besoins
Les tableaux ci-après font état de l’adaptation de chaque technologie pour un besoin donné.
3.1. Accès au réseau d’entreprise
LAN RAS VPN
Token NON OUI OUI
(pas adapté) Le serveur RA S doit supporter ce Le serveur VPN doit supporter ce
“chrono
type d’authentification ou nécessité type d’authentification ou nécessité
temps” d’un serveur RADIUS d’un serveur RADIUS
Token NON OUI OUI
(pas adapté) Le serveur RAS doit supporter ce Le serveur VPN doit supporter ce
“défi-
type d’authentification ou nécessité type d’authentification ou nécessité
réponse” d’un serveur RADIUS d’un serveur RADIUS
Certificat NON OUI OUI
Si le client et serveur RAS supporte De nombreux éditeurs d clients
e
sur disque
le protocole EAP VPN propose la compatibilité avec
les standards (CryptoAPI de
Microsoft ou PKCS#11 de RSA)
Biométrie OUI OUI NON
Nécessite modification de la Si le client et serveur RAS supporte Dans IPSec utilisation d’un
procédure d’authentification de le protocole EAP « shared secret » (niveau de
l’OS sécurité faible) =>à combiner avec
certificat
Carte OUI OUI OUI
Windows 2000 supporte le Si le client et serveur RAS supporte De nombreux édteurs de clients
et clé à puce
smart card logon nativement le protocole EAP VPN propose la compatibilité avec
Nécessite modification de la Ou les standards (CryptoAPI de
procédure d’authentification Stockage userID-MdP du compte Microsoft ou PKCS#11 de RSA).
pour les autres OS RAS dans carte/clé Dans IPSec, IKE utilise les
certificats
- 15 -
16. 3.2. Accès intranet-extranet
Poste banalisé Poste non banalisé
Token
“chrono OUI OUI
temps”
Token
“défi- OUI OUI
réponse”
Certificat
sur disque NON OUI
Pas adapté, car nécessite l’importation du Nécessite mise en œuvre de SSL
certificat et de la clé privée
Biométrie
NON OUI
Nécessite installation lecteur et logiciel spécifique
Carte
et clé à puce OUI OUI
Nécessite installation lecteur et logiciel spécifique
Nécessite mise en œuvre de SSL
La carte à puce peut être u tilisée sur un poste banalisé avec le lecteur autonome (type calculette).
Dans ce cas, l’utilisation du certificat de clé publique n’est pas possible. Il est obligatoire d’utiliser
l’algorithme symétrique de la carte (si disponible).
- 16 -
17. 3.3. Evolutivité - Respects des standards
Standards Chiffrement Signature
Token
“chrono
NON NON NON
temps”
Token
“défi- OUI
NON NON Fonctionnalité réduite (non
réponse”
standard)
Certificat
sur disque OUI OUI OUI
CryptoAPI pour Microsoft (CSP RAS : EAP-TLS + MPPE Messagerie sécurisé : S/MIME
Microsoft) VPN : IPSec (IKE) Application propriétaire :
Certificat X.509 Intranet-Extranet : SSL utilisation de CryptoAPI
Disque : EFS (W2000) ou propriétaire
Biométrie
NON NON NON
Carte
et clé à puce
OUI OUI OUI
Messagerie sécurisé : S/MIME
CryptoAPI pour Microsoft (CSP RAS : EAP-TLS + MPPE
Appli propriétaire : utilisation
spécifique fabricant carte/clé) VPN : IPSec (IKE)
de CryptoAPI
Certificat X.509 Intranet-Extranet : SSL
Intégration de plusieurs algo Disque : EFS (W2000) ou propriétaire
standard (RSA, DES, AES, ECC)
Dans le cadre d’un environnement Microsoft Windows, l’intégration dans l’architecture de
sécurité CryptoAPI permet à des applications tierces, telles que le navigateur (IE) ou la
messagerie (Outlook), d’exploiter le certificat et la clé privée contenus dans le support (carte
ou clé).
Toutefois, les fonctions d’authentification EAP-TLS, le tunneling IPSec ne sont disponibles
que sur Windows 2000 et XP.
C’est le cas également du système de chiffrement EFS (Encryption File System) qui est
propre à Windows 2000 et XP, et qui s’appuie sur CryptoAPI.
Pour être compatible CryptoAPI, chaque éditeur de solution d’authentification basée sur la
carte à puce ou la clé à puce doit fournir un CSP (Cryptographic Service Provider) qui est
« pluggé » dans l’architecture de Microsoft.
- 17 -
18. Le déploiement important de Windows 2000 et Windows XP comme plate-forme pour les
stations de travail des utilisateurs constitue donc un critère de choix d’une solution
d’authentification forte.
En l’occurrence le choix d’une solution à base de carte à puce (ou clé à puce) à
cryptoprocesseur est garante de la pérennité de ses investissements.
- 18 -
19. 3.4. Single Sign-On (SSO)- multi-applications
Le multi-application est apparenté à la carte d’entreprise offrant par exemple des fonctions de :
- Contrôle d’accès physique (accès locaux, accès parking)
- Restauration d’entreprise
- Porte-monnaie électronique (distributeur café, friandise, etc.)
- Etc…
SSO Multi-applications
Token
“chrono temps” NON NON
Token
“défi-réponse” NON NON
Certificat
Sur disque OUI NON
Si les applications sont compatibles PKI
Biométrie
NON NON
Carte
et clé à puce OUI OUI
Mémorisation des couples identifiant-MdP La clé à puce n’est pas facilement utilisable en
l’absence de port USB sur les équipements
Pour le single sign-on, seules les technologies permettant la mémorisation de couples Identifiant –
Mot de passe offriront des fonctionnalités de single sign-on simples.
- 19 -
20. 4. Conclusions
Actuellement, les solution d’authentification forte basées sur la carte à puce ou sur la clé à
puce dotée d’un cryptoprocesseur constituent le meilleur compromis quelque soit le type
d’application à protéger. Les tableaux comparatifs sur les différents critères évoqués le
prouvent.
De plus, elles offrent de réelles perspectives d’évolutivité. Notamment, l’intégration des
techniques d’identification biométrique permet d’offrir un niveau de sécurité optimum
(solutions d’authentification à 3 facteurs).
La reconnaissance et l’adoption du standard X.509 pour les méthodes d’authentification et
de signature garantit la pérennité de ces solutions ainsi que l’interopérabilité avec de
nombreuses applications externes.
- 20 -