Comment installer, gérer, sécuriser et utiliser une clef privée ? Comment partager une clef privée entres applications? Comment résister au vol du téléphone? Via des API cachées, des scénarios originaux et autres subtilités.
Windows 10 Next Generation Credentials (NGC) constitue une implémentation d’un nouveau principe d'authentification sans mot de passe, s'appuyant principalement sur le module matériel TPM – que l’on retrouve désormais sur la plupart des appareils – ainsi que sur des authentificateurs biométriques comme un lecteur d’empreinte digitale. Cette nouvelle approche permet de simplifier l'expérience utilisateur tout en renforçant la sécurité et en garantissant le respect de la vie privée. L'Alliance Fast IDentification Online (FIDO), dont Microsoft est membre et contributeur a récemment publié les versions finales des spécifications UAF Universal Authentication Framework qui sont au cœur de ce mode d'authentification sans mot de passe. Cette session fera la lumière sur les principes de l'authentification sans mot de passe disponibles sous Windows 10. Attention, pas de magie mais une solution astucieuse basée sur de la crypto asymétrique bien connue et des protocoles dont les spécifications sont publiques. Juste un petit un bémol : les démos ne seront possibles que si la version Consumer Preview de Windows 10 de fin janvier le permet.
Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...François Petitit
Support de la présentation sur l'utilisation du protocole OpenID Connect, basé sur OAuth2, sur le projet FranceConnect.
Présenation donnée par François Petitit lors de la soirée HumanTalks Paris le 7 juillet 2015
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Microsoft Décideurs IT
Session Metsys : Le développement exponentiel des solutions cloud ainsi que les révélations de Snowden sur les pratiques de la NSA positionnent la sécurité au cœur des préoccupations des entreprises. Maitriser et sécuriser son Active Directory d’entreprise devient un enjeu stratégique : - Les projets cloud nécessitent une infrastructure basée sur Active Directory pour accéder aux services hébergés en ligne. - La sécurité des infrastructures informatiques passe par le renforcement l'Active Directory. Lors de cette session, nous vous proposons de découvrir : 1. Comment disposer d'une architecture d’annuaire sécurisée et compatible avec les projets d’externalisation : - La définition d’une architecture Active Directory sécurisée (forêt / domaines) qui répond aux besoins de l’entreprise - La configuration des protocoles d’authentification Active Directory et des privilèges systèmes Windows (Debug memory…). - Les stratégies de mots de passe Active Directory. - La gestion des accès à l’annuaire Active Directory pour les personnes extérieures à l’entreprise - La mise en œuvre d’outils de synchronisation d’annuaire. - La mise en œuvre d’outils de fédération d’identité. - L’utilisation de scripts PowerShell pour auditer les changements sur l’annuaire Active Directory. - La mise en œuvre d’un plan de reprise d’activité pour répondre aux risques de compromission de la sécurité de votre annuaire. 2. Comment sécuriser les contrôleurs de domaine Active Directory ? - Les solutions pour protéger les contrôleurs de domaine et pour sauvegarder l’Active Directory contre le vol et les accès non autorisés. - Les solutions pour standardiser le déploiement des contrôleurs de domaine. - Les solutions pour déployer les correctifs de sécurité sur les contrôleurs de domaine. - La configuration système des contrôleurs de domaine (pare feu / UAC, bureau à distance, accès Internet…). 3. Tester la sécurité de votre annuaire : top 10 des attaques Active Directory et les contre-mesures à appliquer : - Evaluer le niveau de sécurité de l'Active Directory. - Attaques DOS et Active Directory et contre-mesures. - Attaques par élévation de privilège (Pass the Hash, Pass The Ticket) et contre-mesures. - Usurpation d’identité (désactivation du LMHASH…) et contre-mesures. - Vols de contrôleur de domaine et contre-mesures.
Windows 10 - Nouvelles menaces et nouvelles réponsesMaxime Rastello
La sécurité est un enjeu majeur de plus en plus d'entreprises. L'actualité récente des ransomwares comme WannaCrypt imposent de nouvelles réflexions en manière de détection des vulnérabilités et de protection de l'information. Dans ce webcast, venez découvrir Windows Defender Advanced Threat Protection (ATP), et Windows Information Protection (WIP).
Paris Web 2015 - France Connect et OpenId ConnectFrançois Petitit
France Connect est un nouvel outil mis en œuvre par la DISIC et visant à améliorer l'accès aux administrations françaises en facilitant l'authentification et l'identification des usagers ainsi que l'échange de données. Pour cela, nous avons utilisé le protocole OpenID Connect.
Ce protocole ouvert basé sur OAuth2, successeur de OpenID, et soutenu par des grands acteurs, permet à une application cliente d'utiliser n'importe quel fournisseur d'identité pourvu qu'il implémente aussi ce standard.
contact : fpetitit@octo.com, @francoispetitit
Nous verrons dans cette présentation quels sont les cas d'usages de ce protocole (authentification sur le web, sur des applications mobiles…), quels sont ses avantages et inconvénients, et comment le mettre en oeuvre.
Windows 10 Next Generation Credentials (NGC) constitue une implémentation d’un nouveau principe d'authentification sans mot de passe, s'appuyant principalement sur le module matériel TPM – que l’on retrouve désormais sur la plupart des appareils – ainsi que sur des authentificateurs biométriques comme un lecteur d’empreinte digitale. Cette nouvelle approche permet de simplifier l'expérience utilisateur tout en renforçant la sécurité et en garantissant le respect de la vie privée. L'Alliance Fast IDentification Online (FIDO), dont Microsoft est membre et contributeur a récemment publié les versions finales des spécifications UAF Universal Authentication Framework qui sont au cœur de ce mode d'authentification sans mot de passe. Cette session fera la lumière sur les principes de l'authentification sans mot de passe disponibles sous Windows 10. Attention, pas de magie mais une solution astucieuse basée sur de la crypto asymétrique bien connue et des protocoles dont les spécifications sont publiques. Juste un petit un bémol : les démos ne seront possibles que si la version Consumer Preview de Windows 10 de fin janvier le permet.
Human talks paris - OpenID Connect et FranceConnect - Francois Petitit - 7 ju...François Petitit
Support de la présentation sur l'utilisation du protocole OpenID Connect, basé sur OAuth2, sur le projet FranceConnect.
Présenation donnée par François Petitit lors de la soirée HumanTalks Paris le 7 juillet 2015
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Microsoft Décideurs IT
Session Metsys : Le développement exponentiel des solutions cloud ainsi que les révélations de Snowden sur les pratiques de la NSA positionnent la sécurité au cœur des préoccupations des entreprises. Maitriser et sécuriser son Active Directory d’entreprise devient un enjeu stratégique : - Les projets cloud nécessitent une infrastructure basée sur Active Directory pour accéder aux services hébergés en ligne. - La sécurité des infrastructures informatiques passe par le renforcement l'Active Directory. Lors de cette session, nous vous proposons de découvrir : 1. Comment disposer d'une architecture d’annuaire sécurisée et compatible avec les projets d’externalisation : - La définition d’une architecture Active Directory sécurisée (forêt / domaines) qui répond aux besoins de l’entreprise - La configuration des protocoles d’authentification Active Directory et des privilèges systèmes Windows (Debug memory…). - Les stratégies de mots de passe Active Directory. - La gestion des accès à l’annuaire Active Directory pour les personnes extérieures à l’entreprise - La mise en œuvre d’outils de synchronisation d’annuaire. - La mise en œuvre d’outils de fédération d’identité. - L’utilisation de scripts PowerShell pour auditer les changements sur l’annuaire Active Directory. - La mise en œuvre d’un plan de reprise d’activité pour répondre aux risques de compromission de la sécurité de votre annuaire. 2. Comment sécuriser les contrôleurs de domaine Active Directory ? - Les solutions pour protéger les contrôleurs de domaine et pour sauvegarder l’Active Directory contre le vol et les accès non autorisés. - Les solutions pour standardiser le déploiement des contrôleurs de domaine. - Les solutions pour déployer les correctifs de sécurité sur les contrôleurs de domaine. - La configuration système des contrôleurs de domaine (pare feu / UAC, bureau à distance, accès Internet…). 3. Tester la sécurité de votre annuaire : top 10 des attaques Active Directory et les contre-mesures à appliquer : - Evaluer le niveau de sécurité de l'Active Directory. - Attaques DOS et Active Directory et contre-mesures. - Attaques par élévation de privilège (Pass the Hash, Pass The Ticket) et contre-mesures. - Usurpation d’identité (désactivation du LMHASH…) et contre-mesures. - Vols de contrôleur de domaine et contre-mesures.
Windows 10 - Nouvelles menaces et nouvelles réponsesMaxime Rastello
La sécurité est un enjeu majeur de plus en plus d'entreprises. L'actualité récente des ransomwares comme WannaCrypt imposent de nouvelles réflexions en manière de détection des vulnérabilités et de protection de l'information. Dans ce webcast, venez découvrir Windows Defender Advanced Threat Protection (ATP), et Windows Information Protection (WIP).
Paris Web 2015 - France Connect et OpenId ConnectFrançois Petitit
France Connect est un nouvel outil mis en œuvre par la DISIC et visant à améliorer l'accès aux administrations françaises en facilitant l'authentification et l'identification des usagers ainsi que l'échange de données. Pour cela, nous avons utilisé le protocole OpenID Connect.
Ce protocole ouvert basé sur OAuth2, successeur de OpenID, et soutenu par des grands acteurs, permet à une application cliente d'utiliser n'importe quel fournisseur d'identité pourvu qu'il implémente aussi ce standard.
contact : fpetitit@octo.com, @francoispetitit
Nous verrons dans cette présentation quels sont les cas d'usages de ce protocole (authentification sur le web, sur des applications mobiles…), quels sont ses avantages et inconvénients, et comment le mettre en oeuvre.
Ce livre souhaite mettre en lumière les bénéfices qu'une entreprise peut attendre de la structuration d'un écosystème Linkedin et d'une démarche éditoriale ciblée sur les pages Entreprises et les Groupes Linkedin.
Bonne lecture et bonne prise en main de cet outil efficace et encore trop sous-utilisé.
International Tourism Fair Madagascar 2012 (ITM)
Le tourisme inclusif, l’approche du Centre du commerce international (ITC) par Ramin Granfar Administrateur en promotion commerciale - Centre du commerce international (ITC)
Nuevos medios para la comunicación y el periodismoGobernabilidad
Presentación del periodista Wilfredo Jordan para el Encuentro de comunicadores y periodistas para hablar del Derecho a la Información y la Comunicación y el delineamiento de acciones para el ejercicio de derechos
Incidiendo en los presupuestos públicos para incrementar el financiamiento p...Gobernabilidad
Presentación "Incidiendo en los presupuestos públicos para incrementar el financiamiento para la igualdad de género: Estrategias globales, propuestas locales", de ONU Mujeres, para el seminario global sobre Experiencias y metodologías de costeo para la equidad de género, efectuado en Santa Cruz entre el 10 y 12 de septiembre de 2013.
Ce livre souhaite mettre en lumière les bénéfices qu'une entreprise peut attendre de la structuration d'un écosystème Linkedin et d'une démarche éditoriale ciblée sur les pages Entreprises et les Groupes Linkedin.
Bonne lecture et bonne prise en main de cet outil efficace et encore trop sous-utilisé.
International Tourism Fair Madagascar 2012 (ITM)
Le tourisme inclusif, l’approche du Centre du commerce international (ITC) par Ramin Granfar Administrateur en promotion commerciale - Centre du commerce international (ITC)
Nuevos medios para la comunicación y el periodismoGobernabilidad
Presentación del periodista Wilfredo Jordan para el Encuentro de comunicadores y periodistas para hablar del Derecho a la Información y la Comunicación y el delineamiento de acciones para el ejercicio de derechos
Incidiendo en los presupuestos públicos para incrementar el financiamiento p...Gobernabilidad
Presentación "Incidiendo en los presupuestos públicos para incrementar el financiamiento para la igualdad de género: Estrategias globales, propuestas locales", de ONU Mujeres, para el seminario global sobre Experiencias y metodologías de costeo para la equidad de género, efectuado en Santa Cruz entre el 10 y 12 de septiembre de 2013.
Une sécurité totale pour protéger les données sensibles des cadres mobiles et des décisionnaires dans les entreprises
Gemalto est au cœur de l’évolution du monde numérique. Chaque jour, des entreprises et des gouvernements du monde entier placent en nous leur confiance pour les aider à offrir à leurs utilisateurs des services où facilité d’usage rime avec sécurité.
Aujourd’hui, avec des collaborateurs de plus en plus mobiles, les risques associés aux données exposées en dehors du périmètre protégé du bureau sont croissants.
Avec ExecProtect, les cadres sont assurés que leurs ordinateurs portables et leurs données sont en sécurité, parfaitement protégés par le cryptage et les identifiants d’accès les plus puissants au monde. Même en cas de vol ou de perte de leur ordinateur portable, les informations sensibles restent inaccessibles au commun des utilisateurs qui ne parviendront pas à déjouer l’authentification et l’autorisation multi-facteurs.
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...Microsoft
Dans le contexte du BYOD (Bring Your Own Device), les professionnels de l'informatique doivent répondre au mieux, aux attentes des utilisateurs qui désirent travailler avec leur propre appareil. Face à cette transformation de l’IT et des usages, des solutions modernes sont nécessaires. Elles doivent garantir la sécurité en cas d'accès aux ressources de l'entreprise depuis des appareils personnels. C’est le fondement de toute réflexion d’un programme BYOD qui passe par la protection de l’identité des utilisateurs, sésame numérique et véritable talon d'Achille du système d’information. Découvrez dans cette session, les fonctionnalités de sécurité Microsoft adaptés au monde de l’entreprise comme l’enregistrement d’appareils, les cartes à puce virtuelles mais également l’authentification multi-facteurs qui permet de contrôler l'accès aux ressources en fonction de l’appareil utilisé par l’utilisateur. Vous découvrirez également comment avec Windows Server 2012 R2 et la solution partenaire Versatile Security il est possible de maitriser le processus d'inscription des appareils, de délivrer une carte à puce virtuelle et les certificats numériques associés, puis de gérer le cycle de vie de ce mode d’authentification moderne.
Speakers : Arnaud Jumelet (Microsoft France), William Houry (Versatile Security)
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...Microsoft Technet France
Dans le contexte du BYOD (Bring Your Own Device), les professionnels de l'informatique doivent répondre au mieux, aux attentes des utilisateurs qui désirent travailler avec leur propre appareil. Face à cette transformation de l’IT et des usages, des solutions modernes sont nécessaires. Elles doivent garantir la sécurité en cas d'accès aux ressources de l'entreprise depuis des appareils personnels. C’est le fondement de toute réflexion d’un programme BYOD qui passe par la protection de l’identité des utilisateurs, sésame numérique et véritable talon d'Achille du système d’information. Découvrez dans cette session, les fonctionnalités de sécurité Microsoft adaptés au monde de l’entreprise comme l’enregistrement d’appareils, les cartes à puce virtuelles mais également l’authentification multi-facteurs qui permet de contrôler l'accès aux ressources en fonction de l’appareil utilisé par l’utilisateur. Vous découvrirez également comment avec Windows Server 2012 R2 et la solution partenaire Versatile Security il est possible de maitriser le processus d'inscription des appareils, de délivrer une carte à puce virtuelle et les certificats numériques associés, puis de gérer le cycle de vie de ce mode d’authentification moderne.
Speakers : Arnaud Jumelet (Microsoft France), William Houry (Versatile Security)
Windows 10 Next Generation Credentials (NGC) constitue une implémentation d’un nouveau principe d'authentification sans mot de passe, s'appuyant principalement sur le module matériel TPM – que l’on retrouve désormais sur la plupart des appareils – ainsi que sur des authentificateurs biométriques comme un lecteur d’empreinte digitale. Cette nouvelle approche permet de simplifier l'expérience utilisateur tout en renforçant la sécurité et en garantissant le respect de la vie privée. L'Alliance Fast IDentification Online (FIDO), dont Microsoft est membre et contributeur a récemment publié les versions finales des spécifications UAF Universal Authentication Framework qui sont au cœur de ce mode d'authentification sans mot de passe. Cette session fera la lumière sur les principes de l'authentification sans mot de passe disponibles sous Windows 10. Attention, pas de magie mais une solution astucieuse basée sur de la crypto asymétrique bien connue et des protocoles dont les spécifications sont publiques. Juste un petit un bémol : les démos ne seront possibles que si la version Consumer Preview de Windows 10 de fin janvier le permet.
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Microsoft Technet France
Session Metsys : Le développement exponentiel des solutions cloud ainsi que les révélations de Snowden sur les pratiques de la NSA positionnent la sécurité au cœur des préoccupations des entreprises. Maitriser et sécuriser son Active Directory d’entreprise devient un enjeu stratégique : - Les projets cloud nécessitent une infrastructure basée sur Active Directory pour accéder aux services hébergés en ligne. - La sécurité des infrastructures informatiques passe par le renforcement l'Active Directory. Lors de cette session, nous vous proposons de découvrir : 1. Comment disposer d'une architecture d’annuaire sécurisée et compatible avec les projets d’externalisation : - La définition d’une architecture Active Directory sécurisée (forêt / domaines) qui répond aux besoins de l’entreprise - La configuration des protocoles d’authentification Active Directory et des privilèges systèmes Windows (Debug memory…). - Les stratégies de mots de passe Active Directory. - La gestion des accès à l’annuaire Active Directory pour les personnes extérieures à l’entreprise - La mise en œuvre d’outils de synchronisation d’annuaire. - La mise en œuvre d’outils de fédération d’identité. - L’utilisation de scripts PowerShell pour auditer les changements sur l’annuaire Active Directory. - La mise en œuvre d’un plan de reprise d’activité pour répondre aux risques de compromission de la sécurité de votre annuaire. 2. Comment sécuriser les contrôleurs de domaine Active Directory ? - Les solutions pour protéger les contrôleurs de domaine et pour sauvegarder l’Active Directory contre le vol et les accès non autorisés. - Les solutions pour standardiser le déploiement des contrôleurs de domaine. - Les solutions pour déployer les correctifs de sécurité sur les contrôleurs de domaine. - La configuration système des contrôleurs de domaine (pare feu / UAC, bureau à distance, accès Internet…). 3. Tester la sécurité de votre annuaire : top 10 des attaques Active Directory et les contre-mesures à appliquer : - Evaluer le niveau de sécurité de l'Active Directory. - Attaques DOS et Active Directory et contre-mesures. - Attaques par élévation de privilège (Pass the Hash, Pass The Ticket) et contre-mesures. - Usurpation d’identité (désactivation du LMHASH…) et contre-mesures. - Vols de contrôleur de domaine et contre-mesures.
Lors de cette session venez découvrir comment Windows Phone aborde le thème de la sécurité et quels sont les éléments à connaître pour estimer le périmètre de risques liés à ces usages mobiles. Vous y découvrirez toutes les caractéristiques et les spécificités techniques en termes de sécurité de l’OS Windows Phone ainsi que toutes les nouveautés apportées par la dernière version (Windows Phone 8.1).
Lors de cette session venez découvrir comment Windows Phone aborde le thème de la sécurité et quels sont les éléments à connaître pour estimer le périmètre de risques liés à ces usages mobiles. Vous y découvrirez toutes les caractéristiques et les spécificités techniques en termes de sécurité de l’OS Windows Phone ainsi que toutes les nouveautés apportées par la dernière version (Windows Phone 8.1).
La sécurité dans un monde principalement mobile et Cloud.
Azure Active Directory
Protégez votre entreprise grâce à la gestion des identités et des accès dans le Cloud.
- Protection avec Windows 10.
- Office 365 Sécurité.
Authentification Multi-facteurs
Mobile Device Management
Rights Management
Data. Loss Prevention
Anti-malware / Anti-spam
Détection d’anomalies
Rapports d’activité
Remédiation (reset password, lock account, wipe device)
Contrôle sur le partage extérieur
- ATP : Sécurité avancée Messagerie
- Sécurité avancée des données AIP
- MDM Microsoft Intune
- Azure Security Center
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Microsoft Technet France
Cette session revient, dans un premier temps, sur l’architecture Cartes à puce de la plateforme Windows et ses évolutions en termes de middleware et de prise en charge d’algorithmes cryptographiques. Dans ce contexte, la session présente les principes de fonctionnement du « Smart Card Logon », les possibilités de mappage en termes de certificats X.509 v3, les extensions apportées notamment vis-à-vis d’OCSP, etc. Fort de ces éléments, la session vise à donner, dans un second temps, un retour d’expérience sur la prise en charge et l’utilisation des cartes à puce avec Windows 7. La session se conclura sur un ensemble de bonnes pratiques illustrées au travers de démonstrations (démos !) de scénarios d’utilisation.
4. 4
Fichier signé numériquement par une autorité
Equivalent à une carte d’identité
Authentification sur le mode « je possède »
Considéré comme plus sécurisé qu’un mot de passe
Sert de preuve juridique
Signature basé sur du chiffrement asymétrique
Qu’est-ce qu’un certificat numérique ?
5. 5
Ce que je chiffre avec l’un…
… je le déchiffre avec l’autre
Une clé privée liée à une clé publique
6. 6
Objectif d’une PKI :
Authentification mutuelle forte
Confidentialité
Non-répudiation
Pour les mobiles :
Gérer l’accès à un intranet
Gérer le vol de mobile
Infrastructure à clés publiques (PKI)
7. 7
Comment sauver un certificat dans un espace sécurisé du
téléphone ?
Comment résister au vol du téléphone ?
Comment contrôler l’accès au certificat aux seules applications
autorisées ?
Comment distribuer le certificat aux terminaux
Dans cette session
9. 9
Approche traditionnelle
Secure Element (SE)
Chiffrement du disque
Conteneur de certificats clients Android
KeyChain
Keystore
Approche mise en œuvre en mission
Comment sauvegarder un secret ?
10. 10
Sauvegarder le certificat :
Non chiffré sur disque
Exploitable par analyse statique de disque
Chiffré sur disque
Mot de passe à demander encore et encore
Utiliser onSaveIntanceState() ou un extra de l’Intent
Gestion lourde
« Accessible » sur le disque
Chiffrer le disque du terminal
Pas garanti
Approche traditionnelle
11. 11
SE : composant électronique communiquant via des trames
binaires
Disponible dans le terminal et/ou dans la carte SIM
Avantage d’un SE :
Mémorise clefs privées, accès VPN, générateurs de mots de passe
à usage unique…
Résiste aux attaques physiques
Implémente matériellement les algorithmes standards de
cryptographie (DES, AES, RSA)
Secure Element (SE) 1/2
12. 12
Accessible via la couche NFC mais …
… impossible d’installer des application dans le SE
… impossible de communiquer avec par une application classique
Utilisé par Google Wallet
Secure Element (SE) 2/2
13. 13
Limité à l’identification VPN et Wifi (< sdk 14)
Installation depuis la carte SD
L’effacement du certificat n’est pas physique !
Utilise le KeyStore Android
Conteneur de certificats clients
14. 14
Pour les version d’Android supérieur à 14
Permet d’exploiter les certificats clients du terminal
Approche officielle : KeyChain
KeyChain.choosePrivateKeyAlias(this,
new KeyChainCallBack() {
@Override
public void alias(String alias) {
mAlias=alias;
}
},
new String[] {"RSA"}, // List of acceptable key types. null for any
null, // issuer, null for any
"internal.example.com", // host name of server requesting the cert
443, // port of server requesting the cert, -1 if
// unavailable
null); // alias to preselect, null if unavailable
15. 15
La callback retourne le nom du certificat et
autorise l’application à l’utiliser
KeyChain…
KeyChain.getCertificateChain(this, mAlias);
KeyChain.getPrivateKey(this, mAlias);
16. 16
Installation via API
KeyChain
Intent intent = KeyChain.createInstallIntent();
// Controle le nom du certificat
intent.putExtra(KeyChain.EXTRA_NAME, CERT_NAME);
intent.putExtra(KeyChain.EXTRA_PKCS12, out.toByteArray());
startActivityForResult(intent, RESULT_CODE);
17. 17
KeyStore
Protégé par un mot de passe utilisateur
(version antérieure à 3.x)
Lié au verrouillage du téléphone (à partir
de la version 3.x)
Mais pas d’API officielle !
Ça n’empêche pas de jouer avec…
18. 18
Récupérer la classe android.security.KeyStore
Changer le nom du package
Pour le débloquer :
Comment utiliser le KeyStore
put(), get(), byte[]
if (Build.VERSION.SDK_INT < Build.VERSION_CODES.HONEYCOMB) {
context.startActivity(
new Intent("android.credentials.UNLOCK"));
} else {
context.startActivity(
new Intent("com.android.credentials.UNLOCK"));
}
19. 19
Simulation des API du KeyChain pour les versions antérieures
(sdk < 14)
Sur Github
Les certificats ne peuvent être partagées entre applications
Exploite le KeyStore
https://github.com/pprados/android-keychain-backport
https://github.com/pprados/android-keychain-backport-androlib
android-keychain-backport
24. 24
Normalement utilisé pour du OAuth…
… détourné pour communiquer le certificat par la
mAccountManagerCallback
Utilisation…
mAccountManager.invalidateAuthToken(mAccountType, mAuthToken);
mAccountManager.getAuthToken(
mAccount, // Account retrieved using getAccountsByType()
mAuthTokenType, // Auth scope
mOptions, // Authenticator-specific options
this, // Your activity
mAccountManagerCallback, // Callback
mHandler); // Callback called if an error occurs
HttpsURLConnection.setDefaultSSLSocketFactory(mSocketFactory);
25. 25
Dans getAuth
Privilège de l’appelant
public static final String KEY_CALLER_UID =
(VERSION.SDK_INT>=VERSION_CODES.HONEYCOMB) ?
AccountManager.KEY_CALLER_UID : "callerUid";
public static final String KEY_CALLER_PID =
(VERSION.SDK_INT>=VERSION_CODES.HONEYCOMB) ?
AccountManager.KEY_CALLER_PID : "callerPid";
if (options == null)
return errorDenied();
int pid = options.getInt(KEY_CALLER_PID);
int uid = options.getInt(KEY_CALLER_UID);
if (mContext.checkPermission(PERMISSION, pid, uid) ==
PackageManager.PERMISSION_DENIED)
return errorDenied();
}
27. 27
Enrôlement de quelques centaines de terminaux
Gestion des CDD
Gestion d’oubli des terminaux
Grande facilité et souplesse de déploiement sans sacrifier la
sécurité
L’expérience utilisateur doit être la plus simple possible !
Contraintes de sécurité : un certificat pour un triplet
Employé
Téléphone (IMEI)
SIM
Objectif de la mission
28. 28
Enregistrement des triplets dans le SI
L’utilisateur saisi son identifiant sur le
terminal
C’est tout !
Il récupère son certificat (clés privée et
publique)
Il est protégé et partagé dans le terminal
Notre approche
29. 29
Requête vers le serveur avec l’identité de l’utilisateur
Le serveur génère le certificat et le chiffre avec <IMEI> +
<random>
<random> est envoyé par SMS
Le téléphone capable de déchiffrer prouve son identité (le triplet
est résolu)
Processus d’enrôlement
31. 31
La durée de vie du certificat peut être courte (CDD)
Facilité de déploiement
En cas de vol, ajout du certificat client dans la CRL
Un utilisateur peut avoir plusieurs devices
En cas d’oubli, génération d’un certificat temporaire
Pas chère !
Adaptable à la dernière version de Chrome
Avantages de la solution
33. 33
Technologies de sauvegarde
des Secrets
Remarques
Sauvegarde dans le contexte de
l'application.
Les données ne sont pas chiffrées. Elles sont
vulnérables au vol du téléphone.
SE dans la carte à puce Inaccessible aux applications
SE dans le terminal Inaccessible aux applications
Chiffrement du disque Non obligatoire. Ne protège pas de vulnérabilités
des applications ou du téléphone allumé.
KeyStore Conteneur sécurisé mais non officiel. Il peut être
modifié dans les prochaines versions d'Android.
À ce jour, le meilleur endroit où sauver les secrets.
KeyChain Gestion officielle de gestion des certificats clients.
Non disponible avant l'API 14. Nous proposons
une librairie de compatibilité pour les versions
comprise entre 7 et 14.