Geneva Application Security Forum: Vers une authentification plus forte dans les applications web"
1. Geneva Application Security Forum 2010
« Vers une authentification plus forte dans les applications web »
Introduction
Antonio Fontes
Chapter Leader - OWASP Geneva
ThinkSwiss—Anticipate the Future
4. Objectifs OWASP 2010
• Renforcer le pont créé avec les industries
• Atteindre les développeurs et les décideurs
• Accroitre la collaboration inter-chapitres
• Continuer la mission de promotion
#4
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
5. OWASP Genève
• Structure:
– 1 responsable de section
– 1 membre donateur
– 66 inscrits à la liste de diffusion
– Situation financière: P/L: CHF 0.- (100% sponsorings)
• Activités 2009:
– Spring 2009 Meeting (90 participants)
– HEIG Yverdon: séminaire top 10 intégré au cursus master
– 2ème semestre 2009: actions de promotion de l’OWASP
#5
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
6. OWASP Genève
• Activités et objectifs 2010:
– Geneva Application Security Forum
– Accroitre la présence en conférences (Confoo Montréal mars 2010)
– Promouvoir l’OWASP en Suisse romande:
• Dépasser les 200 adhésions à la liste
• >10% de membres donateurs (25 membres)
– Promouvoir la sécurité des applications web:
• Campagne d’évangélisation (blogs, conférences, etc.)
#6
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
11. « Vers une authentification plus
forte dans les applications web »
#11
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
12. Le besoin d’authentification forte
• 62% des brèches: réalisées via les applications
(Forrester, mai 2009)
• 88% des applications développées en interne
exposent l’entreprise (Veracode, mars 2010)
• 2% des applications sous-traitées sont
évaluées en matière de sécurité (Veracode, mars 2010)
#12
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
13. • L’analyse se base pourtant sur des logiciels de
tous types! (client/serveur, web, embarqué,
etc.)
#13
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
14. Le besoin d’authentification forte
• Forte croissance dans l’utilisation des
applications mobiles
• Accès transparent aux services, à partir de
multiples points de connexion
#14
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
15. Le besoin d’authentification forte
• Risques d’interception (en ligne ou via
malware, ou keylogger)
• Attaques sociales, phishing
• Risque accru d’un stockage de mot de passes
risqué
• XSS + « mot de passe » = Vol d’identité assuré!
#15
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
16. L’authentification forte
• Une combinaison:
– Ce que je sais
– Ce que je suis
– Ce que je possède
• Des secrets uniques
– Chaque session est authentifiée par un secret
différent
• Une protection accrue de l’identité
#16
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
17. Geneva Application Security Forum 2010
• Mission:
– Encourager les organisations à réduire le risque
d’usurpation et de vol d’identité dans les
applications web.
– Sensibiliser à la gestion des identités
• Par la délégation
• Par la fédération
– Faire connaître l’authentification forte
#17
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
18. Programme
• Accueil (selon retard…)
• 18h30: Sylvain Maret (OpenID Suisse romande)
– L’intégration des technologies d’authentification
forte dans les applications web
• 19h05: Philippe Leothaud (CTO, Bee Ware)
– L’authentification dans les contrôles de sécurité: les
mesures proposées par l’OWASP
#18
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
19. Programme
• 19h40: Robert Ott (Président OpenID Suisse,
fondateur ClavID)
– La fédération des identités
#19
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
20. Programme
• 20h15: Fête! Cocktail
Offert par:
– Kiosques:
• OWASP
• OpenID, ClavID (activation de vos clés Ubikey)
• Bee Ware
• MyBestID
• 21h30: Fin.
#20
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
21. Divers
• Vos clés Ubikey: activables au kiosque OpenID
• Pauses:
– 5 minutes entre chaque intervention
– Toilettes, distributeurs de boissons
– Zone GSM de très haute qualité (réception et
résonnance) dans le hall!
• Assistance:
#21
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
22. « Bonne soirée! »
#22
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future