Geneva Application Security Forum: Vers une authentification plus forte dans ...
Authentification Forte 1
1. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Le bon sens et l’expérience | www.e-xpertsolutions.com4
Volume 1/3
Par Sylvain Maret / CTO e-Xpert Solutions SA
Genève / Juillet 2007
Tutorial
Authentification Forte
Technologie des identités numériques
2. 4
4 Le bon sens et l’expérience
“ L’art de fortifier ne consiste pas dans des règles et des systèmes
mais uniquement dans le bon sens et l’expérience ”
Sebastien le Prestre de Vauban
Ingénieur Architecte 1633-1707
3. 4
4 Le bon sens et l’expérience
Agenda
Identité numérique
Authentification forte
Pourquoi l’authentification forte?
Technologies
OTP
PKI
Biométrie
Autres
Les tendances 2007
Démonstrations
4. 4
4 Le bon sens et l’expérience
Identité numérique ?
Beaucoup de définitions
5. 4
4 Le bon sens et l’expérience
Un essai de définition…technique
Avatar
Bank
Mail / Achats
Entreprise
Monde réel
Monde virtuel
Lien technologique entre une identité réel et une identité virtuel
6. 4
4 Le bon sens et l’expérience
Identité numérique sur Internet
Identification
7. 4
4 Le bon sens et l’expérience
Identification et authentification ?
Identification
Qui êtes vous ?
Authentification
Prouvez le !
8. 4
4 Le bon sens et l’expérience
Facteurs pour l’authentification
ce que l'entité connaconnaconnaconnaîîîît (Mot de
passe)
ce que l'entité ddddéééétienttienttienttient
(Authentifieur)
ce que l'entité est ou faitest ou faitest ou faitest ou fait
(Biométrie)
9. 4
4 Le bon sens et l’expérience
Définition de l’authentification forte
10. 4
4 Le bon sens et l’expérience
Authentification forte
Clé de voûte de la sécurisation du système d’information
Conviction forte de e-Xpert Solutions SA
11. 4
4 Le bon sens et l’expérience
Protection de votre système d’information
Technologie authentification forte
Protocoles d’authentification ???
Données
Source: OATH
12. 4
4 Le bon sens et l’expérience
Pyramide de l’authentification forte
13. 4
4 Le bon sens et l’expérience
Pourquoi l’authentification forte?
15. 4
4 Le bon sens et l’expérience
Keylogger: une réelle menace
6191 keyloggers recensés cette année
contre 3753 l'an passé (et environ 300 en 2000), soit une
progression de 65 %
16. 4
4 Le bon sens et l’expérience
Phishing - Pharming
Anti-Phishing Working Group recommande l’utilisation de
l’authentification forte
http://www.antiphishing.org/Phishing-dhs-report.pdf
17. 4
4 Le bon sens et l’expérience
T-FA in an Internet Banking Environment
12 octobre 2005: le Federal Financial Institutions
Examination Council (FFIEC) émet une directive
« Single Factor Authentication » n’est pas suffisant pour les
applications Web financière
Avant la fin 2006 il est obligatoire de mettre en place un système
d’authentification forte
http://www.ffiec.gov/press/pr101205.htm
18. 4
4 Le bon sens et l’expérience
T-FA: An Essential Component of I&AM
19. 4
4 Le bon sens et l’expérience
Liberty Alliance souhaite accélérer
l'adoption de l'authentification forte
8 novembre 2005:
Liberty Alliance Project forme un groupe d’expert pour
l’authentification forte
The Strong Authentication Expert Group (SAEG)
Publication dès 2006
spécifications ID SAFE
20. 4
4 Le bon sens et l’expérience
Les premières réactions… !
Les entreprises réalisent que l’authentification forte est
une composante de base de la sécurité
21. 4
4 Le bon sens et l’expérience
Les technologies d’authentification forte
Technologies en pleine mouvance
Technologie grand public
Technologie pour les entreprises
Tour d’horizon des solutions en 2007
(Non exhaustif)
22. 4
4 Le bon sens et l’expérience
http://www.openauthentication.org/
23. 4
4 Le bon sens et l’expérience
Modèle OATH
Source: OATH
24. 4
4 Le bon sens et l’expérience
Client Framework
« Device » Physique
Token ou AuthentifieurTechnologies
Source: OATH
25. 4
4 Le bon sens et l’expérience
Authentication Method
Authentication Method:
a function for authenticating users or devices, including
One-Time Password (OTP) algorithms
public key certificates (PKI)
Biometry
and other methods
SMS
Scratch List
Etc.
26. 4
4 Le bon sens et l’expérience
Authentification Token: définition
Composant Hardware ou
Software
« Authentifieur »
Implémente la ou les
méthode(s) d’authentification
Réalise le mécanisme
d’authentification en toute
sécurité
Fournit un stockage sécurisé
des « credentials »
d’authentification
27. 4
4 Le bon sens et l’expérience
Quel « Authentifieur » ?
28. 4
4 Le bon sens et l’expérience
One-Time Password (OTP)
Mot de passe à usage unique
Basé sur le partage d’un secret
Généralement utilisation d’une
fonction de hachage
Pour
Très portable (pour le mode non
connecté)
Contre
Pas de signature
Pas de chiffrement
Peu évolutif
Pas de non rnon rnon rnon réééépudiation!pudiation!pudiation!pudiation!
29. 4
4 Le bon sens et l’expérience
« Authentifieur » OTP
30. 4
4 Le bon sens et l’expérience
Exemple: RSA SecurID
Source: RSA
31. 4
4 Le bon sens et l’expérience
PKI: Certificat numérique (X509)
Basé sur la possession de la clé
secrète (RSA, etc.)
Mécanisme de type « Challenge
Response »
Pour
Offre plus de services:
Authentification
Signature
Chiffrement – non rnon rnon rnon réééépudiationpudiationpudiationpudiation
Contre
Nécessite un moyen de transport
sécurisé de la clde la clde la clde la cléééé privprivprivprivééééeeee
Pas vraiment portable
32. 4
4 Le bon sens et l’expérience
« Authentifieur » PKI
33. 4
4 Le bon sens et l’expérience
Le meilleur des deux mondes:
Technologie hybride: OTP & PKI
34. 4
4 Le bon sens et l’expérience
Technologie SMS (OOB)
35. 4
4 Le bon sens et l’expérience
Etude de cas: Skyguide
La sécurité alliée au login
unique
Firewall Web application
Web Single Sign On
Authentification forte via SMS
36. 4
4 Le bon sens et l’expérience
OTP: TAN
Liste à biffer
TAN (Transaction Authentication Number)
37. 4
4 Le bon sens et l’expérience
OTP « Bingo Card »
9 2
AnyUser
******
Source: Entrust
38. 4
4 Le bon sens et l’expérience
Les tendances 2007
39. 4
4 Le bon sens et l’expérience
Marché de l’authentification forte
40. 4
4 Le bon sens et l’expérience
Token USB multi fonction
41. 4
4 Le bon sens et l’expérience
Le monde des portables
SIM-Based Authentication
GemXplore 'Xpresso Java Card SIMs from Gemplus
OTA (Over-The-Air) technology
42. 4
4 Le bon sens et l’expérience
Technologie OTA
http://www.gemplus.com/techno/ota/resources/white_paper.html
43. 4
4 Le bon sens et l’expérience
Trusted Platform Module [TPM]
https://www.trustedcomputinggroup.org/home
44. 4
4 Le bon sens et l’expérience
Multi Application Smart Card
Source: RSA
45. 4
4 Le bon sens et l’expérience
Technologie Mifare
Contactless technology that is
owned by Philips Electronics
De Facto Standard
46. 4
4 Le bon sens et l’expérience
La biométrie
Système « ancien »
1930 - carte d’identité avec photo
Reconnaissance de la voix
Etc.
Deux familles :
Mesure des traits physiques uniques
Mesure d’un comportement unique
47. 4
4 Le bon sens et l’expérience
Mesure des traits physiques
Empreintes digitales
Géométrie de la main
Les yeux
Iris
Rétine
Reconnaissance du visage
Nouvelles voies
ADN, odeurs, oreille et
« thermogram »
48. 4
4 Le bon sens et l’expérience
Mesure d’un comportement
Reconnaissance vocale
Signature manuscrite
Dynamique de frappe
Clavier
49. 4
4 Le bon sens et l’expérience
Confort vs fiabilité
50. 4
4 Le bon sens et l’expérience
Fonctionnement en trois phases
51. 4
4 Le bon sens et l’expérience
Stockage des données ?
Par serveur d’authentification
Problème de sécurité
Problème de confidentialité
Problème de disponibilité
Sur une smartcard
Meilleure sécurité
Mode « offline »
MOC = Match On card
52. 4
4 Le bon sens et l’expérience
Equal Error Rate (EER)
53. 4
4 Le bon sens et l’expérience
Biométrie en terme de sécurité?
Solution Biométrique
uniquement ?
Confort à l’utilisation
N’est pas un plus en terme de
sécurité (en 2007)
Doit être couplé à un 2ème
facteurs
Carte à puce par exemple
54. 4
4 Le bon sens et l’expérience
Matsumoto's « Gummy Fingers »
Etude Yokohama University
http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf
55. 4
4 Le bon sens et l’expérience
Niveau de sécurité?
OTPCert Based / PKI U&P
56. 4
4 Le bon sens et l’expérience
Protection de votre système d’information
Technologie authentification forte
Protocoles d’authentification ???
Données
Source: OATH
57. 4
4 Le bon sens et l’expérience
App. Framework
Source: OATH
59. 4
4 Le bon sens et l’expérience
e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité
informatique dont les fondateurs ont fait de leur passion leur métier :
La sécurité des systèmes d'information
Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et
maintiennent au quotidien des architectures de sécurité au moyen de solutions
pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux
exigences de la clientèle.
Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une
intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la
confiance d'une clientèle issue de tout domaine d'activité et de toute taille.
Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un
contact de proximité.
http://www.e-xpertsolutions.com