Comment Sécurisé son Identité NumériqueSylvain Maret
Usurpation de votre identité ! Réalité ou fiction ?Identité numérique et authentification forte
Utilisation de SeatBelt de Verisign
Protection de vos comptes Linkedin, Facebook et Google
Sylvain Maret 7 juin 20009
Comment Sécurisé son Identité NumériqueSylvain Maret
Usurpation de votre identité ! Réalité ou fiction ?Identité numérique et authentification forte
Utilisation de SeatBelt de Verisign
Protection de vos comptes Linkedin, Facebook et Google
Sylvain Maret 7 juin 20009
Strong Authentication in Web Application / ConFoo.ca 2011Sylvain Maret
Strong Authentication in Web Application: State of the Art 2011
* Risk Based Authentication
* Biometry - Match on Card
* OTP for Smartphones
* PKI
* Mobile-OTP
* OATH-HOTP
* TOTP
* Open Source approach
How to integrate Strong Authentication in Web Application
* OpenID, SAML, Liberty Alliance / Kantara
* API, Agents, Web Services, Modules
* PAM, Radius, JAAS
* Reverse Proxy (WAF) and WebSSO
* PKI / SSL client authentication
* PHP example with Multi-OTP PHP class
DEFERLANTE. Le 19 juillet 2001, Code Red infectait 250000 ordinateurs en l'espace de 9 heures. Quelque temps après,
c'était au tour de Nimda. Puis, cette année, du virus Klez, qui se propage par la messagerie.
Strong Authentication & SMS / skyguide ProjectSylvain Maret
“Zero-footprint” SMS strong authentication secures sensitive services a compagny headquartered in Geneva and is responsible for civil and military air traffic
control in both Swiss and delegated portions of airspace from neighbor countries.
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Sylvain Maret
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le Web 2.0?
Workshop der SATW ICT Commission
20./21. Mai 2010, Parkhotel Schloss Münchenwiler
Strong Authentication in Web Application / ConFoo.ca 2011Sylvain Maret
Strong Authentication in Web Application: State of the Art 2011
* Risk Based Authentication
* Biometry - Match on Card
* OTP for Smartphones
* PKI
* Mobile-OTP
* OATH-HOTP
* TOTP
* Open Source approach
How to integrate Strong Authentication in Web Application
* OpenID, SAML, Liberty Alliance / Kantara
* API, Agents, Web Services, Modules
* PAM, Radius, JAAS
* Reverse Proxy (WAF) and WebSSO
* PKI / SSL client authentication
* PHP example with Multi-OTP PHP class
DEFERLANTE. Le 19 juillet 2001, Code Red infectait 250000 ordinateurs en l'espace de 9 heures. Quelque temps après,
c'était au tour de Nimda. Puis, cette année, du virus Klez, qui se propage par la messagerie.
Strong Authentication & SMS / skyguide ProjectSylvain Maret
“Zero-footprint” SMS strong authentication secures sensitive services a compagny headquartered in Geneva and is responsible for civil and military air traffic
control in both Swiss and delegated portions of airspace from neighbor countries.
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Sylvain Maret
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le Web 2.0?
Workshop der SATW ICT Commission
20./21. Mai 2010, Parkhotel Schloss Münchenwiler
Présentation de Beer Bergman (Quixys France Services Internet) sur l'historique, les fondamentaux et les enjeux du Web2.0 devant un public d'entrepreneurs et membres du SPN, le 9 juin 2009 au Musée d'Agesci à Niort (France).
2010 - Les technologies d'authentification forte dans les applications web: c...Cyber Security Alliance
a) L'état de l'art 2010 sur les technologies d'authentification forte:
Out of Band Authentication
Risk Based Authentication
Biométrie Match on Card
OTP pour les smartphones notamment l'Iphone
PKI
Soft Token
Passeport Internet
Cryptographie matricielle
Les tendances...
b) Les approches pour l'intégration avec vos applications Web:
OpenID, SAML, Liberty Alliance / Kantara
API, Agents, Web Services, Modules
PAM, Radius, JAAS, SecurID, Kerberos, GSSAPI
Approche authentification périmétrique / Reverse Proxy (WAF) et WebSSO
Par Sylvain MARET
De la Securité Informatique a l’Identite Numerique 2.0Eric Herschkorn
De la Sécurité Informatique à l’identité Numérique sur les plateformes SaaS.(Internet)
Devoir de mémoire d’Eric Herschkorn & Patrick Barrabé. Éléments d'analyse prospective sur l'evolution de la securite du systeme d'information 2.0
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretSylvain Maret
Avec l’expansion des services en lignes via le cloud ou tout simplement l’interconnexion des SI, le besoin d’exposer des services vers l’extérieur est croissant. Les WebServices sont une solution
maintenant éprouvée depuis longtemps pour répondre à ce besoin.
Que l’on utilise SOAP ou REST un problème se pose toujours : comment faire pour sécuriser l’accès à mon SI alors que j’en ouvre une porte en exposant mon métier ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.
Strong Authentication in Web Application #SCS IIISylvain Maret
Swiss Cyber Storm 3 Security Conference / OWASP Track
Strong Authentication: State of the Art 2011
Risk Based Authentication
Biometry - Match on Card
OTP for Smartphones
OTP SMS
PKI
SuisseID
Mobile-OTP
OATH (HOTP, TOTP, OCRA)
Open Source approach
How to integrate Strong Authentication in Web Application?
OpenID, SAML, Identity Federation for Strong Authentication
API, SDK, Agents, Web Services, Modules
PAM, Radius, JAAS
Reverse Proxy (WAF) and WebSSO
PKI / SSL client authentication
PHP example with Multi-OTP PHP class
AppSec (Threat Modeling - OWASP)
Strong Authentication in Web Applications: State of the Art 2011Sylvain Maret
Sylvain’s talk will focus on risk based authentication, biometry, OTP for smartphones, PKIs, Mobile-OTP, OATH-HOTP, TOTP and the open-source approach to this subjet.
PHP Demo with multiotp class.
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Sylvain Maret
First- hand feedback on the implementation of identity management within a bank.
Technological choices ? Issues ? Concept and design, implementation, training and human aspects. A hands-on experience.
Corrélation d'évènements dans un environnement VoIP avec ExaProtectSylvain Maret
Ce projet est né d’une initiative d’e-Xpert Solutions SA, Exaprotect et IICT qui désiraient collaborer dans le domaine de la sécurité VoIP. En effet, grâce à l’aboutissement de la première étape du projet Vadese (www.vadese.org), l’IICT souhaitait déployer une solution de type SIEM (Security Information and Event Management) disponible sur le marché dans le but de créer un démonstrateur de fonctions de détection et traitement des alertes VoIP.
L’objectif de ce travail de diplôme consiste essentiellement à repérer des sessions SIP et de détecter des attaques complexes basées sur la corrélation de messages SIP et RTP/RTPC utilisés lors de l’établissement d’une communication téléphonique ainsi que l’enregistrement et l’actualisation du client (UA) auprès du proxy SIP.
1. MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch
Protéger votre identité numérique sur Facebook
Identité numérique et authentification forte
Utilisation de OpenID sur Facebook
Protection de votre compte Facebook
Sylvain Maret 15 juin 20009
Conseil en technologies
2. Usurpation de votre identité ! Réalité ou fiction ?
www.maret-consulting.ch Conseil en technologies
3. Imaginez que quelqu’un modifie votre profil Facebook ?
www.maret-consulting.ch Conseil en technologies
5. 25 mai 2009: Vol de 4’000 couple username / password sur Facebook….
www.maret-consulting.ch Conseil en technologies
6. Et si il y avait le votre ?
www.maret-consulting.ch Conseil en technologies
7. Pour éviter cela utilisez une authentification forte
www.maret-consulting.ch Conseil en technologies
8. Une solution avec OpenID
Utilisation de l’IDP OpenID de Verisign
Ou un autre IDP OpenID
Permet l’utilisation de certificat digital pour avoir une
authentification forte
Certificat software ou hardware
Bénéficiez de la souplesse d’OpenID
Une solution de Secure Single Sign On
www.maret-consulting.ch Conseil en technologies
10. Configuration de Facebook pour le support de OpenID (1/2)
www.maret-consulting.ch Conseil en technologies
11. Configuration de Facebook pour le support de OpenID (2/2)
www.maret-consulting.ch Conseil en technologies
12. 1ère étape: se connecter sur votre fournisseur d’identité (IDP OpenID)
www.maret-consulting.ch Conseil en technologies
13. Authentification forte sur l’IDP de Verisign: avec votre mot de passe (1er
facteur)
www.maret-consulting.ch Conseil en technologies
14. L’IDP va maintenant vérifier votre certificat numérique (X509)
www.maret-consulting.ch Conseil en technologies
15. Authentification mutuelle TLS/SSL avec un certificat numérique X509: 2ème
facteur (Certificat Sofware ou Hardware)
www.maret-consulting.ch Conseil en technologies
16. Tester Facebook et OpenID
www.maret-consulting.ch Conseil en technologies
17. Juste après, vous êtes connecté sur Facebook sans entrer votre couple
username/password
www.maret-consulting.ch Conseil en technologies
18. Utilisez une autre technologie authentification forte pour plus de sécurité
www.maret-consulting.ch Conseil en technologies
19. Quelques exemples de technologies
Utilisation d’un Token Hardware
pour le stockage du certificat
Comme par exemple un Token
Aladdin
Un OTP (Comme Yubico)
La Biométrie
Etc.
www.maret-consulting.ch Conseil en technologies
20. Quelques liens
La Citadelle Electronique (mon blog)
http://sylvain-maret.blogspot.com/
Documents authentification forte sur Slide Share
http://www.slideshare.net/smaret
www.maret-consulting.ch Conseil en technologies
21. "Le conseil et l'expertise pour le choix et la mise
en oeuvre des technologies innovantes dans la sécurité
des systèmes d'information et de l'identité numérique"
www.maret-consulting.ch Conseil en technologies