SlideShare une entreprise Scribd logo
1
Tél : +33 (0)1 58 56 10 00
Fax : +33 (0)1 58 56 10 01
www.octo.com© OCTO 2013
50, avenue des Champs-Elysées
75008 Paris - FRANCE
Philippe Prados
Aurélien Rambaux17 Juin 2013
Installer, gérer, sécuriser et utiliser
une clef privée dans Android
2
Infrastructure à clés publiques
Sauvegarder un certificat
Partager un certificat
Un scénario possible chez un client
Au menu
3
Tél : +33 (0)1 58 56 10 00
Fax : +33 (0)1 58 56 10 01
www.octo.com© OCTO 2013
50, avenue des Champs-Elysées
75008 Paris - FRANCE
Qu’est-ce ?
Infrastructure à clés publiques (PKI)
4
Fichier signé numériquement par une autorité
Equivalent à une carte d’identité
Authentification sur le mode « je possède »
Considéré comme plus sécurisé qu’un mot de passe
Sert de preuve juridique
Signature basé sur du chiffrement asymétrique
Qu’est-ce qu’un certificat numérique ?
5
Ce que je chiffre avec l’un…
… je le déchiffre avec l’autre
Une clé privée liée à une clé publique
6
Objectif d’une PKI :
Authentification mutuelle forte
Confidentialité
Non-répudiation
Pour les mobiles :
Gérer l’accès à un intranet
Gérer le vol de mobile
Infrastructure à clés publiques (PKI)
7
Comment sauver un certificat dans un espace sécurisé du
téléphone ?
Comment résister au vol du téléphone ?
Comment contrôler l’accès au certificat aux seules applications
autorisées ?
Comment distribuer le certificat aux terminaux
Dans cette session
8
Tél : +33 (0)1 58 56 10 00
Fax : +33 (0)1 58 56 10 01
www.octo.com© OCTO 2013
50, avenue des Champs-Elysées
75008 Paris - FRANCE
Comment sauvegarder un secret dans un
espace sécurisé du téléphone ?
Sauver un secret
9
Approche traditionnelle
Secure Element (SE)
Chiffrement du disque
Conteneur de certificats clients Android
KeyChain
Keystore
Approche mise en œuvre en mission
Comment sauvegarder un secret ?
10
Sauvegarder le certificat :
Non chiffré sur disque
Exploitable par analyse statique de disque
Chiffré sur disque
Mot de passe à demander encore et encore
Utiliser onSaveIntanceState() ou un extra de l’Intent
Gestion lourde
« Accessible » sur le disque
Chiffrer le disque du terminal
Pas garanti
Approche traditionnelle
11
SE : composant électronique communiquant via des trames
binaires
Disponible dans le terminal et/ou dans la carte SIM
Avantage d’un SE :
Mémorise clefs privées, accès VPN, générateurs de mots de passe
à usage unique…
Résiste aux attaques physiques
Implémente matériellement les algorithmes standards de
cryptographie (DES, AES, RSA)
Secure Element (SE) 1/2
12
Accessible via la couche NFC mais …
… impossible d’installer des application dans le SE
… impossible de communiquer avec par une application classique
Utilisé par Google Wallet
Secure Element (SE) 2/2
13
Limité à l’identification VPN et Wifi (< sdk 14)
Installation depuis la carte SD
L’effacement du certificat n’est pas physique !
Utilise le KeyStore Android
Conteneur de certificats clients
14
Pour les version d’Android supérieur à 14
Permet d’exploiter les certificats clients du terminal
Approche officielle : KeyChain
KeyChain.choosePrivateKeyAlias(this,
new KeyChainCallBack() {
@Override
public void alias(String alias) {
mAlias=alias;
}
},
new String[] {"RSA"}, // List of acceptable key types. null for any
null, // issuer, null for any
"internal.example.com", // host name of server requesting the cert
443, // port of server requesting the cert, -1 if
// unavailable
null); // alias to preselect, null if unavailable
15
La callback retourne le nom du certificat et
autorise l’application à l’utiliser
KeyChain…
KeyChain.getCertificateChain(this, mAlias);
KeyChain.getPrivateKey(this, mAlias);
16
Installation via API
KeyChain
Intent intent = KeyChain.createInstallIntent();
// Controle le nom du certificat
intent.putExtra(KeyChain.EXTRA_NAME, CERT_NAME);
intent.putExtra(KeyChain.EXTRA_PKCS12, out.toByteArray());
startActivityForResult(intent, RESULT_CODE);
17
KeyStore
Protégé par un mot de passe utilisateur
(version antérieure à 3.x)
Lié au verrouillage du téléphone (à partir
de la version 3.x)
Mais pas d’API officielle !
Ça n’empêche pas de jouer avec…
18
Récupérer la classe android.security.KeyStore
Changer le nom du package
Pour le débloquer :
Comment utiliser le KeyStore
put(), get(), byte[]
if (Build.VERSION.SDK_INT < Build.VERSION_CODES.HONEYCOMB) {
context.startActivity(
new Intent("android.credentials.UNLOCK"));
} else {
context.startActivity(
new Intent("com.android.credentials.UNLOCK"));
}
19
Simulation des API du KeyChain pour les versions antérieures
(sdk < 14)
Sur Github
Les certificats ne peuvent être partagées entre applications
Exploite le KeyStore 
https://github.com/pprados/android-keychain-backport
https://github.com/pprados/android-keychain-backport-androlib
android-keychain-backport
20
Tél : +33 (0)1 58 56 10 00
Fax : +33 (0)1 58 56 10 01
www.octo.com© OCTO 2013
50, avenue des Champs-Elysées
75008 Paris - FRANCE
Via AccountAuthenticator
Partager un certificat
21
Proposer un Account pour l’intranet
Il porte et distribue la clé privée aux
applications de confiance
Le besoin
22
<service
android:name=".CertificateAuthenticationService"
android:exported="true" >
<intent-filter>
<action android:name="android.accounts.AccountAuthenticator" />
</intent-filter>
<meta-data
android:name="android.accounts.AccountAuthenticator"
android:resource="@xml/certificate_authenticator" />
</service>
Le service…
23
<account-authenticator
xmlns:android="http://schemas.android.com/apk/res/android"
android:accountType="fr.prados.android.account.certificate"
android:icon="@drawable/ic_launcher"
android:smallIcon="@drawable/ic_launcher"
android:label="@string/authenticator_certificate_label“
/>
La description du compte…
24
Normalement utilisé pour du OAuth…
… détourné pour communiquer le certificat par la
mAccountManagerCallback
Utilisation…
mAccountManager.invalidateAuthToken(mAccountType, mAuthToken);
mAccountManager.getAuthToken(
mAccount, // Account retrieved using getAccountsByType()
mAuthTokenType, // Auth scope
mOptions, // Authenticator-specific options
this, // Your activity
mAccountManagerCallback, // Callback
mHandler); // Callback called if an error occurs
HttpsURLConnection.setDefaultSSLSocketFactory(mSocketFactory);
25
Dans getAuth
Privilège de l’appelant
public static final String KEY_CALLER_UID =
(VERSION.SDK_INT>=VERSION_CODES.HONEYCOMB) ?
AccountManager.KEY_CALLER_UID : "callerUid";
public static final String KEY_CALLER_PID =
(VERSION.SDK_INT>=VERSION_CODES.HONEYCOMB) ?
AccountManager.KEY_CALLER_PID : "callerPid";
if (options == null)
return errorDenied();
int pid = options.getInt(KEY_CALLER_PID);
int uid = options.getInt(KEY_CALLER_UID);
if (mContext.checkPermission(PERMISSION, pid, uid) ==
PackageManager.PERMISSION_DENIED)
return errorDenied();
}
26
Tél : +33 (0)1 58 56 10 00
Fax : +33 (0)1 58 56 10 01
www.octo.com© OCTO 2013
50, avenue des Champs-Elysées
75008 Paris - FRANCE
Un scénario possible
27
Enrôlement de quelques centaines de terminaux
Gestion des CDD
Gestion d’oubli des terminaux
Grande facilité et souplesse de déploiement sans sacrifier la
sécurité
L’expérience utilisateur doit être la plus simple possible !
Contraintes de sécurité : un certificat pour un triplet
Employé
Téléphone (IMEI)
SIM
Objectif de la mission
28
Enregistrement des triplets dans le SI
L’utilisateur saisi son identifiant sur le
terminal
C’est tout !
Il récupère son certificat (clés privée et
publique)
Il est protégé et partagé dans le terminal
Notre approche
29
Requête vers le serveur avec l’identité de l’utilisateur
Le serveur génère le certificat et le chiffre avec <IMEI> +
<random>
<random> est envoyé par SMS
Le téléphone capable de déchiffrer prouve son identité (le triplet
est résolu)
Processus d’enrôlement
30
Expérience utilisateur simple
Seulement 2 écrans
31
La durée de vie du certificat peut être courte (CDD)
Facilité de déploiement
En cas de vol, ajout du certificat client dans la CRL
Un utilisateur peut avoir plusieurs devices
En cas d’oubli, génération d’un certificat temporaire
Pas chère !
Adaptable à la dernière version de Chrome
Avantages de la solution
32
Tél : +33 (0)1 58 56 10 00
Fax : +33 (0)1 58 56 10 01
www.octo.com© OCTO 2013
50, avenue des Champs-Elysées
75008 Paris - FRANCE
Merci ! Des question ?
Philippe Prados
Aurélien Rambaux
G+ http://goo.gl/xljZS
arambaux@octo.com
33
Technologies de sauvegarde
des Secrets
Remarques
Sauvegarde dans le contexte de
l'application.
Les données ne sont pas chiffrées. Elles sont
vulnérables au vol du téléphone.
SE dans la carte à puce Inaccessible aux applications
SE dans le terminal Inaccessible aux applications
Chiffrement du disque Non obligatoire. Ne protège pas de vulnérabilités
des applications ou du téléphone allumé.
KeyStore Conteneur sécurisé mais non officiel. Il peut être
modifié dans les prochaines versions d'Android.
À ce jour, le meilleur endroit où sauver les secrets.
KeyChain Gestion officielle de gestion des certificats clients.
Non disponible avant l'API 14. Nous proposons
une librairie de compatibilité pour les versions
comprise entre 7 et 14.

Contenu connexe

Tendances

Windows Phone 8.1 et la sécurité
Windows Phone 8.1 et la sécuritéWindows Phone 8.1 et la sécurité
Windows Phone 8.1 et la sécurité
Microsoft Décideurs IT
 
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
Cyber Security Alliance
 
Oauth et open id connect (oidc)
Oauth et open id connect (oidc)Oauth et open id connect (oidc)
Oauth et open id connect (oidc)
Pascal Flamand
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
Microsoft
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002
Sylvain Maret
 
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
Cyber Security Alliance
 
Programmation sous Android
Programmation sous AndroidProgrammation sous Android
Programmation sous Android
Olivier Le Goaër
 
Présentations séminaire OSSA - mai 2010
Présentations séminaire OSSA - mai 2010Présentations séminaire OSSA - mai 2010
Présentations séminaire OSSA - mai 2010
LINAGORA
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
Sylvain Maret
 
Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Comment protéger les applications mobiles?
Comment protéger les applications mobiles?
Marie-Claire Willig
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
Astoine.com "Gold Certified Microsoft Cloud Technology IT"​ Formation et Conseil - Maroc
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
Sébastien GIORIA
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKISylvain Maret
 
Applications mobiles et sécurité
Applications mobiles et sécuritéApplications mobiles et sécurité
Applications mobiles et sécurité
Bitdefender en France
 
LinPKI
LinPKILinPKI
LinPKI
LINAGORA
 
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Microsoft Technet France
 
Présentation Oauth OpenID
Présentation Oauth OpenIDPrésentation Oauth OpenID
Présentation Oauth OpenID
Pascal Flamand
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forte
Nis
 
Paris Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId ConnectParis Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId Connect
François Petitit
 
Séminaire Sécurité Linagora mai 2009
Séminaire Sécurité Linagora mai 2009Séminaire Sécurité Linagora mai 2009
Séminaire Sécurité Linagora mai 2009
LINAGORA
 

Tendances (20)

Windows Phone 8.1 et la sécurité
Windows Phone 8.1 et la sécuritéWindows Phone 8.1 et la sécurité
Windows Phone 8.1 et la sécurité
 
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
ASFWS 2013 - Quels sont les défis de la fédération d’identité dans le Cloud ?...
 
Oauth et open id connect (oidc)
Oauth et open id connect (oidc)Oauth et open id connect (oidc)
Oauth et open id connect (oidc)
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002
 
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobilesASFWS 2011 - Evaluation de la sécurité des applications mobiles
ASFWS 2011 - Evaluation de la sécurité des applications mobiles
 
Programmation sous Android
Programmation sous AndroidProgrammation sous Android
Programmation sous Android
 
Présentations séminaire OSSA - mai 2010
Présentations séminaire OSSA - mai 2010Présentations séminaire OSSA - mai 2010
Présentations séminaire OSSA - mai 2010
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification Forte
 
Comment protéger les applications mobiles?
Comment protéger les applications mobiles?Comment protéger les applications mobiles?
Comment protéger les applications mobiles?
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
 
OWASP Mobile Top10 - Les 10 risques sur les mobiles
OWASP Mobile Top10 -  Les 10 risques sur les mobilesOWASP Mobile Top10 -  Les 10 risques sur les mobiles
OWASP Mobile Top10 - Les 10 risques sur les mobiles
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
 
Applications mobiles et sécurité
Applications mobiles et sécuritéApplications mobiles et sécurité
Applications mobiles et sécurité
 
LinPKI
LinPKILinPKI
LinPKI
 
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
 
Présentation Oauth OpenID
Présentation Oauth OpenIDPrésentation Oauth OpenID
Présentation Oauth OpenID
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forte
 
Paris Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId ConnectParis Web 2015 - France Connect et OpenId Connect
Paris Web 2015 - France Connect et OpenId Connect
 
Séminaire Sécurité Linagora mai 2009
Séminaire Sécurité Linagora mai 2009Séminaire Sécurité Linagora mai 2009
Séminaire Sécurité Linagora mai 2009
 

En vedette

La gouvernance du SI hybride - Principes et mise en oeuvre
La gouvernance du SI hybride - Principes et mise en oeuvreLa gouvernance du SI hybride - Principes et mise en oeuvre
La gouvernance du SI hybride - Principes et mise en oeuvre
OCTO Technology
 
Sesión 9 de junio de 2010
Sesión 9 de junio de 2010Sesión 9 de junio de 2010
Sesión 9 de junio de 2010
COMPHOR
 
La Fuerza Politica De Las Redes
La Fuerza Politica De Las RedesLa Fuerza Politica De Las Redes
La Fuerza Politica De Las Redes
Philias Community Builders
 
Algunos postres de chocolate
Algunos postres de chocolateAlgunos postres de chocolate
Algunos postres de chocolate
simona
 
62132026 politica-de-calidad
62132026 politica-de-calidad62132026 politica-de-calidad
62132026 politica-de-calidad
Independence
 
Chapitre iii9
Chapitre iii9Chapitre iii9
Chapitre iii9
Mery Limayem
 
Consejos para mantener el equipo seguro
Consejos para mantener el equipo seguroConsejos para mantener el equipo seguro
Consejos para mantener el equipo seguro
absisa
 
Melag doc-soudeuses
Melag doc-soudeusesMelag doc-soudeuses
Melag doc-soudeusesMELAG FRANCE
 
Open streetmap pour CocoaHeads Paris
Open streetmap pour CocoaHeads ParisOpen streetmap pour CocoaHeads Paris
Open streetmap pour CocoaHeads ParisCocoaHeads France
 
Microcurrículo gramática
Microcurrículo gramáticaMicrocurrículo gramática
Microcurrículo gramática
Universidad Mariana
 
Entendiendo y-definiendo-la-brecha-digital
Entendiendo y-definiendo-la-brecha-digitalEntendiendo y-definiendo-la-brecha-digital
Entendiendo y-definiendo-la-brecha-digital
CARLOS CHAVARRIA
 
Sites Femeninos en España. Women’s sites in Spain.
Sites Femeninos en España. Women’s sites in Spain.Sites Femeninos en España. Women’s sites in Spain.
Sites Femeninos en España. Women’s sites in Spain.
Jorge Segado
 
25 ans de la locale Ecolo Nandrin (partie 1: 1986-1999)
25 ans de la locale Ecolo Nandrin (partie 1: 1986-1999)25 ans de la locale Ecolo Nandrin (partie 1: 1986-1999)
25 ans de la locale Ecolo Nandrin (partie 1: 1986-1999)
François Renaville
 
Presentación Eva Soto UPLA Chile
Presentación Eva Soto UPLA ChilePresentación Eva Soto UPLA Chile
Presentación Eva Soto UPLA Chile
Ciudades Sustentables
 
Patrimonio y tursimo
Patrimonio y tursimoPatrimonio y tursimo
Patrimonio y tursimo
Arquitecto bogota
 
Presentacion herramientas web 2.0
Presentacion herramientas web 2.0Presentacion herramientas web 2.0
Presentacion herramientas web 2.0
Marco Aramayo Garcia
 
Tp arquitectura del barroco por Segundo Gelardi Day
Tp arquitectura del barroco por Segundo Gelardi DayTp arquitectura del barroco por Segundo Gelardi Day
Tp arquitectura del barroco por Segundo Gelardi Day
Segundo
 
F:\manos a la_masa
F:\manos a la_masaF:\manos a la_masa
F:\manos a la_masa
pamela brum
 

En vedette (20)

La gouvernance du SI hybride - Principes et mise en oeuvre
La gouvernance du SI hybride - Principes et mise en oeuvreLa gouvernance du SI hybride - Principes et mise en oeuvre
La gouvernance du SI hybride - Principes et mise en oeuvre
 
Sesión 9 de junio de 2010
Sesión 9 de junio de 2010Sesión 9 de junio de 2010
Sesión 9 de junio de 2010
 
La Fuerza Politica De Las Redes
La Fuerza Politica De Las RedesLa Fuerza Politica De Las Redes
La Fuerza Politica De Las Redes
 
Algunos postres de chocolate
Algunos postres de chocolateAlgunos postres de chocolate
Algunos postres de chocolate
 
62132026 politica-de-calidad
62132026 politica-de-calidad62132026 politica-de-calidad
62132026 politica-de-calidad
 
Chapitre iii9
Chapitre iii9Chapitre iii9
Chapitre iii9
 
Consejos para mantener el equipo seguro
Consejos para mantener el equipo seguroConsejos para mantener el equipo seguro
Consejos para mantener el equipo seguro
 
Melag doc-soudeuses
Melag doc-soudeusesMelag doc-soudeuses
Melag doc-soudeuses
 
Toxines
ToxinesToxines
Toxines
 
Open streetmap pour CocoaHeads Paris
Open streetmap pour CocoaHeads ParisOpen streetmap pour CocoaHeads Paris
Open streetmap pour CocoaHeads Paris
 
Microcurrículo gramática
Microcurrículo gramáticaMicrocurrículo gramática
Microcurrículo gramática
 
Entendiendo y-definiendo-la-brecha-digital
Entendiendo y-definiendo-la-brecha-digitalEntendiendo y-definiendo-la-brecha-digital
Entendiendo y-definiendo-la-brecha-digital
 
Sites Femeninos en España. Women’s sites in Spain.
Sites Femeninos en España. Women’s sites in Spain.Sites Femeninos en España. Women’s sites in Spain.
Sites Femeninos en España. Women’s sites in Spain.
 
25 ans de la locale Ecolo Nandrin (partie 1: 1986-1999)
25 ans de la locale Ecolo Nandrin (partie 1: 1986-1999)25 ans de la locale Ecolo Nandrin (partie 1: 1986-1999)
25 ans de la locale Ecolo Nandrin (partie 1: 1986-1999)
 
Presentación Eva Soto UPLA Chile
Presentación Eva Soto UPLA ChilePresentación Eva Soto UPLA Chile
Presentación Eva Soto UPLA Chile
 
Patrimonio y tursimo
Patrimonio y tursimoPatrimonio y tursimo
Patrimonio y tursimo
 
B2 c santç canada
B2 c santç canadaB2 c santç canada
B2 c santç canada
 
Presentacion herramientas web 2.0
Presentacion herramientas web 2.0Presentacion herramientas web 2.0
Presentacion herramientas web 2.0
 
Tp arquitectura del barroco por Segundo Gelardi Day
Tp arquitectura del barroco por Segundo Gelardi DayTp arquitectura del barroco por Segundo Gelardi Day
Tp arquitectura del barroco por Segundo Gelardi Day
 
F:\manos a la_masa
F:\manos a la_masaF:\manos a la_masa
F:\manos a la_masa
 

Similaire à OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un secret

Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days
 
Exec protect armored office
Exec protect armored officeExec protect armored office
Exec protect armored office
Nis
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
Microsoft Technet France
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
Microsoft Technet France
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
Microsoft Décideurs IT
 
Sécurité Communications par Daniel Fages 25/07/2012
Sécurité Communications par Daniel Fages 25/07/2012Sécurité Communications par Daniel Fages 25/07/2012
Sécurité Communications par Daniel Fages 25/07/2012
Paris Android User Group
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Microsoft Décideurs IT
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Microsoft Technet France
 
Windows Phone 8.1 et la sécurité
Windows Phone 8.1 et la sécuritéWindows Phone 8.1 et la sécurité
Windows Phone 8.1 et la sécurité
Microsoft Technet France
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
SecludIT
 
Auth forte application
Auth forte applicationAuth forte application
Auth forte applicationbong85
 
SSL.pdf
SSL.pdfSSL.pdf
SSL.pdf
Iyadtech
 
Smart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on CardSmart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on Card
Sylvain Maret
 
Cours Authentication Manager RSA
Cours Authentication Manager RSACours Authentication Manager RSA
Cours Authentication Manager RSA
Sylvain Maret
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
Microsoft Technet France
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
Microsoft
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Identity Days
 
Mise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideMise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement Hybride
Identity Days
 

Similaire à OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un secret (20)

Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
 
Exec protect armored office
Exec protect armored officeExec protect armored office
Exec protect armored office
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
 
Sécurité Communications par Daniel Fages 25/07/2012
Sécurité Communications par Daniel Fages 25/07/2012Sécurité Communications par Daniel Fages 25/07/2012
Sécurité Communications par Daniel Fages 25/07/2012
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
 
Windows Phone 8.1 et la sécurité
Windows Phone 8.1 et la sécuritéWindows Phone 8.1 et la sécurité
Windows Phone 8.1 et la sécurité
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
 
Auth forte application
Auth forte applicationAuth forte application
Auth forte application
 
SSL.pdf
SSL.pdfSSL.pdf
SSL.pdf
 
Smart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on CardSmart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on Card
 
Cours Authentication Manager RSA
Cours Authentication Manager RSACours Authentication Manager RSA
Cours Authentication Manager RSA
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
 
Mise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideMise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement Hybride
 

Plus de OCTO Technology

OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
Le Comptoir OCTO - Améliorer le Time to Market grâce au Headless : la recette...
Le Comptoir OCTO - Améliorer le Time to Market grâce au Headless : la recette...Le Comptoir OCTO - Améliorer le Time to Market grâce au Headless : la recette...
Le Comptoir OCTO - Améliorer le Time to Market grâce au Headless : la recette...
OCTO Technology
 
Le Comptoir OCTO - Qu'apporte l'analyse de cycle de vie d'un audit d'éco-conc...
Le Comptoir OCTO - Qu'apporte l'analyse de cycle de vie d'un audit d'éco-conc...Le Comptoir OCTO - Qu'apporte l'analyse de cycle de vie d'un audit d'éco-conc...
Le Comptoir OCTO - Qu'apporte l'analyse de cycle de vie d'un audit d'éco-conc...
OCTO Technology
 
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonnéLe Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
OCTO Technology
 
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloudLe Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
OCTO Technology
 
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
OCTO Technology
 
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
OCTO Technology
 
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
OCTO Technology
 
OCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Talks - Les IA s'invitent au chevet des développeursOCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Technology
 
OCTO Talks - Lancement du livre Culture Test
OCTO Talks - Lancement du livre Culture TestOCTO Talks - Lancement du livre Culture Test
OCTO Talks - Lancement du livre Culture Test
OCTO Technology
 
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
OCTO Technology
 
OCTO Talks - State of the art Architecture dans les frontend web
OCTO Talks - State of the art Architecture dans les frontend webOCTO Talks - State of the art Architecture dans les frontend web
OCTO Talks - State of the art Architecture dans les frontend web
OCTO Technology
 
Refcard GraphQL
Refcard GraphQLRefcard GraphQL
Refcard GraphQL
OCTO Technology
 
Comptoir OCTO ALD Automotive/Leaseplan
Comptoir OCTO ALD Automotive/LeaseplanComptoir OCTO ALD Automotive/Leaseplan
Comptoir OCTO ALD Automotive/Leaseplan
OCTO Technology
 
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ? Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
OCTO Technology
 
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
OCTO Technology
 
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...
Le Comptoir OCTO -  Affinez vos forecasts avec la planification distribuée et...Le Comptoir OCTO -  Affinez vos forecasts avec la planification distribuée et...
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...
OCTO Technology
 
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conceptionLe Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
OCTO Technology
 

Plus de OCTO Technology (20)

OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
Le Comptoir OCTO - Améliorer le Time to Market grâce au Headless : la recette...
Le Comptoir OCTO - Améliorer le Time to Market grâce au Headless : la recette...Le Comptoir OCTO - Améliorer le Time to Market grâce au Headless : la recette...
Le Comptoir OCTO - Améliorer le Time to Market grâce au Headless : la recette...
 
Le Comptoir OCTO - Qu'apporte l'analyse de cycle de vie d'un audit d'éco-conc...
Le Comptoir OCTO - Qu'apporte l'analyse de cycle de vie d'un audit d'éco-conc...Le Comptoir OCTO - Qu'apporte l'analyse de cycle de vie d'un audit d'éco-conc...
Le Comptoir OCTO - Qu'apporte l'analyse de cycle de vie d'un audit d'éco-conc...
 
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonnéLe Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
Le Comptoir OCTO - Se conformer à la CSRD : un levier d'action insoupçonné
 
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloudLe Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
Le Comptoir OCTO - MLOps : Les patterns MLOps dans le cloud
 
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
La Grosse Conf 2024 - Philippe Stepniewski -Atelier - Live coding d'une base ...
 
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
La Grosse Conf 2024 - Philippe Prados - Atelier - RAG : au-delà de la démonst...
 
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
Le Comptoir OCTO - Maîtriser le RAG : connecter les modèles d’IA génératives ...
 
OCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Talks - Les IA s'invitent au chevet des développeursOCTO Talks - Les IA s'invitent au chevet des développeurs
OCTO Talks - Les IA s'invitent au chevet des développeurs
 
OCTO Talks - Lancement du livre Culture Test
OCTO Talks - Lancement du livre Culture TestOCTO Talks - Lancement du livre Culture Test
OCTO Talks - Lancement du livre Culture Test
 
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
Le Comptoir OCTO - Green AI, comment éviter que votre votre potion magique d’...
 
OCTO Talks - State of the art Architecture dans les frontend web
OCTO Talks - State of the art Architecture dans les frontend webOCTO Talks - State of the art Architecture dans les frontend web
OCTO Talks - State of the art Architecture dans les frontend web
 
Refcard GraphQL
Refcard GraphQLRefcard GraphQL
Refcard GraphQL
 
Comptoir OCTO ALD Automotive/Leaseplan
Comptoir OCTO ALD Automotive/LeaseplanComptoir OCTO ALD Automotive/Leaseplan
Comptoir OCTO ALD Automotive/Leaseplan
 
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ? Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
Le Comptoir OCTO - Comment optimiser les stocks en linéaire par la Data ?
 
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
Le Comptoir OCTO - Retour sur 5 ans de mise en oeuvre : Comment le RGPD a réi...
 
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...
Le Comptoir OCTO -  Affinez vos forecasts avec la planification distribuée et...Le Comptoir OCTO -  Affinez vos forecasts avec la planification distribuée et...
Le Comptoir OCTO - Affinez vos forecasts avec la planification distribuée et...
 
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conceptionLe Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
Le Comptoir OCTO - La formation au cœur de la stratégie d’éco-conception
 

OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un secret

  • 1. 1 Tél : +33 (0)1 58 56 10 00 Fax : +33 (0)1 58 56 10 01 www.octo.com© OCTO 2013 50, avenue des Champs-Elysées 75008 Paris - FRANCE Philippe Prados Aurélien Rambaux17 Juin 2013 Installer, gérer, sécuriser et utiliser une clef privée dans Android
  • 2. 2 Infrastructure à clés publiques Sauvegarder un certificat Partager un certificat Un scénario possible chez un client Au menu
  • 3. 3 Tél : +33 (0)1 58 56 10 00 Fax : +33 (0)1 58 56 10 01 www.octo.com© OCTO 2013 50, avenue des Champs-Elysées 75008 Paris - FRANCE Qu’est-ce ? Infrastructure à clés publiques (PKI)
  • 4. 4 Fichier signé numériquement par une autorité Equivalent à une carte d’identité Authentification sur le mode « je possède » Considéré comme plus sécurisé qu’un mot de passe Sert de preuve juridique Signature basé sur du chiffrement asymétrique Qu’est-ce qu’un certificat numérique ?
  • 5. 5 Ce que je chiffre avec l’un… … je le déchiffre avec l’autre Une clé privée liée à une clé publique
  • 6. 6 Objectif d’une PKI : Authentification mutuelle forte Confidentialité Non-répudiation Pour les mobiles : Gérer l’accès à un intranet Gérer le vol de mobile Infrastructure à clés publiques (PKI)
  • 7. 7 Comment sauver un certificat dans un espace sécurisé du téléphone ? Comment résister au vol du téléphone ? Comment contrôler l’accès au certificat aux seules applications autorisées ? Comment distribuer le certificat aux terminaux Dans cette session
  • 8. 8 Tél : +33 (0)1 58 56 10 00 Fax : +33 (0)1 58 56 10 01 www.octo.com© OCTO 2013 50, avenue des Champs-Elysées 75008 Paris - FRANCE Comment sauvegarder un secret dans un espace sécurisé du téléphone ? Sauver un secret
  • 9. 9 Approche traditionnelle Secure Element (SE) Chiffrement du disque Conteneur de certificats clients Android KeyChain Keystore Approche mise en œuvre en mission Comment sauvegarder un secret ?
  • 10. 10 Sauvegarder le certificat : Non chiffré sur disque Exploitable par analyse statique de disque Chiffré sur disque Mot de passe à demander encore et encore Utiliser onSaveIntanceState() ou un extra de l’Intent Gestion lourde « Accessible » sur le disque Chiffrer le disque du terminal Pas garanti Approche traditionnelle
  • 11. 11 SE : composant électronique communiquant via des trames binaires Disponible dans le terminal et/ou dans la carte SIM Avantage d’un SE : Mémorise clefs privées, accès VPN, générateurs de mots de passe à usage unique… Résiste aux attaques physiques Implémente matériellement les algorithmes standards de cryptographie (DES, AES, RSA) Secure Element (SE) 1/2
  • 12. 12 Accessible via la couche NFC mais … … impossible d’installer des application dans le SE … impossible de communiquer avec par une application classique Utilisé par Google Wallet Secure Element (SE) 2/2
  • 13. 13 Limité à l’identification VPN et Wifi (< sdk 14) Installation depuis la carte SD L’effacement du certificat n’est pas physique ! Utilise le KeyStore Android Conteneur de certificats clients
  • 14. 14 Pour les version d’Android supérieur à 14 Permet d’exploiter les certificats clients du terminal Approche officielle : KeyChain KeyChain.choosePrivateKeyAlias(this, new KeyChainCallBack() { @Override public void alias(String alias) { mAlias=alias; } }, new String[] {"RSA"}, // List of acceptable key types. null for any null, // issuer, null for any "internal.example.com", // host name of server requesting the cert 443, // port of server requesting the cert, -1 if // unavailable null); // alias to preselect, null if unavailable
  • 15. 15 La callback retourne le nom du certificat et autorise l’application à l’utiliser KeyChain… KeyChain.getCertificateChain(this, mAlias); KeyChain.getPrivateKey(this, mAlias);
  • 16. 16 Installation via API KeyChain Intent intent = KeyChain.createInstallIntent(); // Controle le nom du certificat intent.putExtra(KeyChain.EXTRA_NAME, CERT_NAME); intent.putExtra(KeyChain.EXTRA_PKCS12, out.toByteArray()); startActivityForResult(intent, RESULT_CODE);
  • 17. 17 KeyStore Protégé par un mot de passe utilisateur (version antérieure à 3.x) Lié au verrouillage du téléphone (à partir de la version 3.x) Mais pas d’API officielle ! Ça n’empêche pas de jouer avec…
  • 18. 18 Récupérer la classe android.security.KeyStore Changer le nom du package Pour le débloquer : Comment utiliser le KeyStore put(), get(), byte[] if (Build.VERSION.SDK_INT < Build.VERSION_CODES.HONEYCOMB) { context.startActivity( new Intent("android.credentials.UNLOCK")); } else { context.startActivity( new Intent("com.android.credentials.UNLOCK")); }
  • 19. 19 Simulation des API du KeyChain pour les versions antérieures (sdk < 14) Sur Github Les certificats ne peuvent être partagées entre applications Exploite le KeyStore  https://github.com/pprados/android-keychain-backport https://github.com/pprados/android-keychain-backport-androlib android-keychain-backport
  • 20. 20 Tél : +33 (0)1 58 56 10 00 Fax : +33 (0)1 58 56 10 01 www.octo.com© OCTO 2013 50, avenue des Champs-Elysées 75008 Paris - FRANCE Via AccountAuthenticator Partager un certificat
  • 21. 21 Proposer un Account pour l’intranet Il porte et distribue la clé privée aux applications de confiance Le besoin
  • 22. 22 <service android:name=".CertificateAuthenticationService" android:exported="true" > <intent-filter> <action android:name="android.accounts.AccountAuthenticator" /> </intent-filter> <meta-data android:name="android.accounts.AccountAuthenticator" android:resource="@xml/certificate_authenticator" /> </service> Le service…
  • 24. 24 Normalement utilisé pour du OAuth… … détourné pour communiquer le certificat par la mAccountManagerCallback Utilisation… mAccountManager.invalidateAuthToken(mAccountType, mAuthToken); mAccountManager.getAuthToken( mAccount, // Account retrieved using getAccountsByType() mAuthTokenType, // Auth scope mOptions, // Authenticator-specific options this, // Your activity mAccountManagerCallback, // Callback mHandler); // Callback called if an error occurs HttpsURLConnection.setDefaultSSLSocketFactory(mSocketFactory);
  • 25. 25 Dans getAuth Privilège de l’appelant public static final String KEY_CALLER_UID = (VERSION.SDK_INT>=VERSION_CODES.HONEYCOMB) ? AccountManager.KEY_CALLER_UID : "callerUid"; public static final String KEY_CALLER_PID = (VERSION.SDK_INT>=VERSION_CODES.HONEYCOMB) ? AccountManager.KEY_CALLER_PID : "callerPid"; if (options == null) return errorDenied(); int pid = options.getInt(KEY_CALLER_PID); int uid = options.getInt(KEY_CALLER_UID); if (mContext.checkPermission(PERMISSION, pid, uid) == PackageManager.PERMISSION_DENIED) return errorDenied(); }
  • 26. 26 Tél : +33 (0)1 58 56 10 00 Fax : +33 (0)1 58 56 10 01 www.octo.com© OCTO 2013 50, avenue des Champs-Elysées 75008 Paris - FRANCE Un scénario possible
  • 27. 27 Enrôlement de quelques centaines de terminaux Gestion des CDD Gestion d’oubli des terminaux Grande facilité et souplesse de déploiement sans sacrifier la sécurité L’expérience utilisateur doit être la plus simple possible ! Contraintes de sécurité : un certificat pour un triplet Employé Téléphone (IMEI) SIM Objectif de la mission
  • 28. 28 Enregistrement des triplets dans le SI L’utilisateur saisi son identifiant sur le terminal C’est tout ! Il récupère son certificat (clés privée et publique) Il est protégé et partagé dans le terminal Notre approche
  • 29. 29 Requête vers le serveur avec l’identité de l’utilisateur Le serveur génère le certificat et le chiffre avec <IMEI> + <random> <random> est envoyé par SMS Le téléphone capable de déchiffrer prouve son identité (le triplet est résolu) Processus d’enrôlement
  • 31. 31 La durée de vie du certificat peut être courte (CDD) Facilité de déploiement En cas de vol, ajout du certificat client dans la CRL Un utilisateur peut avoir plusieurs devices En cas d’oubli, génération d’un certificat temporaire Pas chère ! Adaptable à la dernière version de Chrome Avantages de la solution
  • 32. 32 Tél : +33 (0)1 58 56 10 00 Fax : +33 (0)1 58 56 10 01 www.octo.com© OCTO 2013 50, avenue des Champs-Elysées 75008 Paris - FRANCE Merci ! Des question ? Philippe Prados Aurélien Rambaux G+ http://goo.gl/xljZS arambaux@octo.com
  • 33. 33 Technologies de sauvegarde des Secrets Remarques Sauvegarde dans le contexte de l'application. Les données ne sont pas chiffrées. Elles sont vulnérables au vol du téléphone. SE dans la carte à puce Inaccessible aux applications SE dans le terminal Inaccessible aux applications Chiffrement du disque Non obligatoire. Ne protège pas de vulnérabilités des applications ou du téléphone allumé. KeyStore Conteneur sécurisé mais non officiel. Il peut être modifié dans les prochaines versions d'Android. À ce jour, le meilleur endroit où sauver les secrets. KeyChain Gestion officielle de gestion des certificats clients. Non disponible avant l'API 14. Nous proposons une librairie de compatibilité pour les versions comprise entre 7 et 14.