Le document traite de l'identité numérique et de l'importance de l'authentification forte, soulignant les menaces comme les keyloggers et le phishing. Il explore les technologies d'authentification, incluant les mots de passe à usage unique (OTP), la biométrie et les certificats numériques (PKI). En outre, il met en lumière les tendances en sécurité pour 2009 et encourage l'adoption de l'authentification forte dans le secteur bancaire et au-delà.

1. Identité numérique & AUTHENTIFICATION FORTE 25 février 2009 Sylvain Maret / MARET Consulting

2. "Le conseil et l'expertise pour le choix et la mise en oeuvre des technologies innovantes dans la sécurité des systèmes d'information et de l'identité numérique"

3. Agenda Identité numérique Authentification forte Pourquoi l’authentification forte? Technologies OTP PKI Biométrie Autres Les tendances 2009 Démonstrations

4. Identité numérique ? Beaucoup de définitions

5. Un essai de définition…technique Avatar Bank Mail / Achats Social network Monde réel Monde virtuel Lien technologique entre une identité réelle et une identité virtuelle

6. Identité numérique sur Internet Identification

7. Identification et authentification ? Identification Qui êtes vous ? Authentification Prouvez le !

8. Facteurs pour l’authentification ce que l'entité connaî t (Mot de passe) ce que l'entité détient (Authentifieur) ce que l'entité est ou fait (Biométrie)

9. Définition de l’authentification forte

10. Authentification forte Une des clés de voûte de la sécurisation du système d’information Conviction forte de MARET Consulting

11. Protection de votre système d’information Technologie authentification forte Protocoles d’authentification Données Identité numérique

12. Pyramide de l’authentification forte

13. Pourquoi l’authentification forte?

14. Keylogger: une réelle menace 6191 keyloggers recensés en 2008 contre 3753 en 2007 (et environ 300 en 2000), soit une progression de 65 %

15. Phishing - Pharming Anti-Phishing Working Group recommande l’utilisation de l’authentification forte http://www.antiphishing.org/Phishing-dhs-report.pdf

16. T-FA in an Internet Banking Environment 12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive « Single Factor Authentication » n’est pas suffisant pour les applications Web financière Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte http://www.ffiec.gov/press/pr101205.htm La France commence à suivre le mouvement Banque Populaire en 2009

17. Liberty Alliance souhaite accélérer l'adoption de l'authentification forte 8 novembre 2005: Liberty Alliance Project forme un groupe d’expert pour l’authentification forte The Strong Authentication Expert Group (SAEG) Publication dès 2006 spécifications ID SAFE

18. Les premières réactions… ! Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité PCI-DSS accélère le mouvement

19. “ Superior” user authentication

20. Dans le monde grand public

21. Les technologies d’authentification forte Technologies en pleine mouvance Technologie grand public Technologies en pleine mouvances Technologie grand public Technologie pour les entreprises Tour d’horizon des solutions en 2009 (Non exhaustif)

22. http://www.openauthentication.org/

23. Modèle OATH

24. Client Framework « Device » Physique Token ou Authentifieur Technologies

25. Authentication Method Authentication Method: a function for authenticating users or devices, including One-Time Password (OTP) algorithms public key certificates (PKI) Biometry and other methods SMS Scratch List TAN Etc.

26. Authentification Token: définition Composant Hardware ou Software « Authentifieur » Implémente la ou les méthode(s) d’authentification Réalise le mécanisme d’authentification en toute sécurité Fournit un stockage sécurisé des « credentials » d’authentification

27. Quel « Authentifieur » ?

28. One-Time Password (OTP) Mot de passe à usage unique Basé sur le partage d’un secret Généralement utilisation d’une fonction de hachage Pour Très portable (pour le mode non connecté) Contre Pas de signature Pas de chiffrement Peu évolutif Pas de non répudiation!

29. « Authentifieur » OTP

30. Exemple: RSA SecurID

31. PKI: Certificat numérique (X509) Basé sur la possession de la clé secrète (RSA, etc.) Mécanisme de type « Challenge Response » Pour Offre plus de services: Authentification Signature Chiffrement – non répudiation Contre Nécessite un moyen de transport sécurisé de la clé privée Pas vraiment portable

32. « Authentifieur » PKI

33. Le meilleur des deux mondes: Technologie hybride: OTP & PKI

34. Technologie SMS (OOB)

35. Etude de cas: Skyguide La sécurité alliée au login unique Firewall Web application Web Single Sign On Authentification forte via SMS http:// www.slideshare.net/smaret/etude-cas-skyguide-rsa-mobile

36. OTP « Bingo Card » 9 2 AnyUser ******

37. Les tendances 2009

38. Token USB multi fonction

39. Le monde des portables SIM-Based Authentication GemXplore 'Xpresso Java Card SIMs from Gemplus OTA (Over-The-Air) technology

40. Technologie OTA http://www.gemplus.com/techno/ota/resources/white_paper.html

41. Trusted Platform Module [TPM] https://www.trustedcomputinggroup.org/home Exemple: Authentification forte d’un portable avec technologie VPN SSL

42. Multi Application Smart Card

43. Technologie Mifare Contactless technology that is owned by Philips Electronics De Facto Standard Convergence IT Security and Building Security

44. EMV - CAP Europay Mastercard Visa Initiative de: Master Card Visa Utilise la technologie CAP Chip Authentication Protocol Authentification forte et signature des transactions

45. Risk Based Authentication

46. Internet Passport: OTP & Biométrie

47. Démonstration: OpenID & Axsionics

48. OTP USB Yubico OTP event Based Pas de driver Très simple d’usage Simule un clavier

49. Démonstration: Yubico

50. La biométrie Système « ancien » 1930 - carte d’identité avec photo Reconnaissance de la voix Etc. Deux familles : Mesure des traits physiques uniques Mesure d’un comportement unique Composé de bio- (du grec bios - «la vie») et de - métrie (du grec metron - «mesure»)

51. Définition d’une identité numérique ? Future of Identity in the Information Society Lien technologique entre une identité réelle et une identité virtuelle

52. Le marché de la biométrie

53. Mesure des traits physiques Empreintes digitales Géométrie de la main Les yeux Iris Rétine Reconnaissance du visage Réseau veineux de la main ou du doigt Nouvelles voies ADN, odeurs, oreille et « thermogram »

54. Mesure d’un comportement Reconnaissance vocale Signature manuscrite Démarche Dynamique de frappe Clavier

55. Une technologie très prometteuse Vascular Pattern Recognition By SONY

56. Confort vs fiabilité

57. Fonctionnement en trois phases

58. Stockage des données ? Par serveur d’authentification Problème de sécurité Problème de confidentialité Problème de disponibilité Sur un support externe Meilleure sécurité Mode « offline » MOC = Match On card Loi fédérale du 19 juin 1992 sur la protection des données (LPD)

59. Equal Error Rate (EER)

60. Biométrie en terme de sécurité? Solution Biométrique uniquement ? Confort à l’utilisation N’est pas un plus en terme de sécurité (en 2009) Doit être couplé à un 2ème facteurs Carte à puce par exemple

61. Démonstration: Signature d’un email

62. Matsumoto's « Gummy Fingers » Etude Yokohama University http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf

63. Questions ?

64. Quelques liens http://www.idtheftcenter.org/ http://www.antiphishing.org/ http://sylvain-maret.blogspot.com/ http://fr.wikipedia.org/wiki/Authentification_forte http://www.openauthentication.org/ http://www.fidis.net/ http://idtheftblog.wordpress.com/ http://www.regardingid.com/

65. Identité numérique