Plan. La CID électronique Belge: leçons et développements futurs. Gestion de l'identité

Dimension: px
Commencer à balayer dès la page:

Download "Plan. La CID électronique Belge: leçons et développements futurs. Gestion de l'identité"

Transcription

1 La CID électronique Belge: leçons et développements futurs Prof. COSIC Katholieke Universiteit Leuven, Belgique Bart.Preneel(at)esat.kuleuven.be Special thanks to Danny De Cock 1 Plan Gestion de l'identité définitions gestion de l'identité 1.0 gestion de l'identité 1.5 Concepts d'identité et gestion de l'identité 2.0 CID en Belgique Interoperabilité L avenir 7 June 2010 K.U.Leuven COSIC, 2

2 Une image vaut plus que mille mots New Yorker, 1993 K.U.Leuven COSIC, 3 Qu'est-ce que la gestion des identités? l'ensemble des processus d'affaires et une infrastructure de support, pour la création, la maintenance et l'utilisation des identités numériques [Le Groupe Burton*] parfois appelée Identity & Access Management" (IAM) manque à cette définition: suppression des identités et l'application des politiques sécurité La gestion sécurisée du cycle de vie d'identité et de l'échange d'informations d'identité (par exemple, les identificateurs, les attributs et les assertions) basée sur la politique sécurité qui concerne les entités telles que: utilisateurs / groupes organisations / fédérations / enterprise / prestataires de services éléments périphériques réseau / systèmes objets (processus de demande, du contenu, des données) * Une firme de recherche spécialisée dans l'infrastructure informatique de l'entreprise K.U.Leuven COSIC, 4

3 Gestion de l'identité: identités partielles Health Care Government Work Legend: Alice Identity of Alice Tax Status Income Birthday Birthplace Phone Number Health Status Name Address Diary Blood Group Interests Telecommunication Insurance Good- Conduct Certificate Cellphone Number Credit Rating Foreign Languages Likes & Dislikes Age Driving Licence Shopping Payment Travel Boyfriend Bob MasterCard Diners Club Partial Identity of Alice Leisure K.U.Leuven COSIC, 5 Identité: définitions (1) attributs: propriétés distinctes et mesurables appartenant à une entité particulière identité: la collecte dynamique de tous les attributs de l'entité (1 personne: 1 identité) identités partielles: sous-ensemble spécifique d'attributs pertinents identifiant: attribut ou ensemble d'attributs d'une entité qui identifie de façon unique l'entité dans un contexte donné des titres de compétences («credentials»): les éléments d'information associés à une entité et attestant de l'intégrité de certains faits!! ces définitions reflètent une vision spécifique sur l'identité et la gestion des identités K.U.Leuven COSIC, 6

4 Identité: définitions (2) authentification d'entité ou l'identification: l'utilisation d'attributs (affirmés ou observés) d'une entité afin de distinguer l'entité dans un contexte donné d'autres entités Note: dans la sécurité informatique, l identification = fournir son nom d'utilisateur l'authentification = prouver qui vous êtes autorisation: l'autorisation d'une entité authentifiée pour effectuer une action définie enregistrement: processus par lequel une identité partielle est attribué à une entité et l'entité est accordé un moyen par lequel il peut être authentifiée dans l'avenir!! ces définitions reflètent une vision spécifique sur l'identité et la gestion des identités K.U.Leuven COSIC, 7 7 June 2010 K.U.Leuven COSIC, 8

5 Gestion de l'identité monde physique consommateurs entreprises e-gouvernement services et les objets K.U.Leuven COSIC, 9 Gestion de l'identité: plusieurs dimensions international technique organisationnel Il ne suffit pas d ajouter une couche d'identité à l'internet IDM politique juridique social économique K.U.Leuven COSIC, 10

6 Un nombre croissant d'applications financiers, e-commerce, e-gouvernement, e-santé, les réseaux sociaux, les compagnies aériennes, location de voiture,... K.U.Leuven COSIC, 11 L évolution du paysage informatique Cloud Computing RIA s, AJAX, Flash, Silverlight, SaaS, IaaS, PaaS, Virtualization, RSS, Social Media, Wikis, Web Services & SOA XML, SOAP, WS *, REST, ESB, WSM, Java Web Applications HTTP, HTML,.Net, Java, J2EE, TCP/IP Client/Server & Distributed Computing VB, C++, SmallTalk, ERP, Tuxedo, MQ, DCE, COM, DCOM, Corba Mainframe/mini MVS, Top Secret, RACF, ACF # d applications K.U.Leuven COSIC, 12

7 Réduire l'utilisation de mots de passe sécurité difficile à utiliser difficile à gérer coût: frais de gestions (pas de dispositifs) conformité (juridique) Bill Gates (2006): la fin des mots de passe K.U.Leuven COSIC, 13 Étape 1: centraliser (identité 1.0) intégrer l'authentification mais deplacer l'autorisation vers les applications et les services accepter plusieurs sources authentiques pour les attributs, et non pas pour les identités les noms de compte devrait être éphémère Les utilisateurs doivent être libres de choisir et de changer leur nom de compte Les applications doivent enregistrer un identifiant de compte, pas le nom de compte règles dynamiques et pas de rôles statiques K.U.Leuven COSIC, 14

8 Gestion de l'identité intégrée (à l'intérieur d'une organisation) système RH Identity Manager Staff System Sources authentiques CAS LDAP Active Directory Domain Controllers Websites Unix Hosts Windows Hosts Applications/ Services K.U.Leuven COSIC, 15 Comment grandir? Étape 2: fédérer (identité 1.5) identité fédérée: des titres de compétences ( credentials ) d'une entité qui relie l identité partielle d'une entité dans un contexte ou domaine de confiance à l'identité partielle d'une entité dans un autre contexte ou domaine de confiance Note: peut aussi être utilisé à l'intérieur d'une organisation K.U.Leuven COSIC, 16

9 Single Sign On: authentification unique Peut utiliser toute méthode d'authentification! identity provider (IDP) relying party (RP) 1 (service provider) relying party (RP) 2 (service provider) Identity provider: fournisseur d'identité Relying party: partie se fiant relying party (RP) 3 (service provider) K.U.Leuven COSIC, 17 Single Sign-On (SSO) (1/4) User 2. Redirection vers IDP IDP 3. Authentifier 4. Créer SSO token pour le sujet 5. Obtenir affirmations destinés à RP1 et créer token de sécurité 1. Accès RP1 RP1 K.U.Leuven COSIC, 18

10 Single Sign-On (SSO) (2/4) User IDP 6. Rediriger vers RP1 avec token de sécurité 3. Authentifier 4. Créer SSO token pour le sujet 5. Obtenir affirmations destinés à RP1 et créer token de sécurité RP1 SP1 SP2 K.U.Leuven COSIC, 19 Single Sign-On (SSO) (3/4) User 8. Redirection vers IDP IdP 9. Ne pas ré-authentifier sujet parce qu il existe un SSO token 10. Obtenir affirmations destinés à RP2 et créer token de sécurité 7. Accès RP2 RP2 K.U.Leuven COSIC, 20

11 Single Sign-On (SSO) (4/4) User IdP 11. Rediriger vers RP2 avec token de sécurité 9. Ne pas ré-authentifier sujet parce qu il existe un SSO token 10. Obtenir affirmations destinés à RP2 et créer token de sécurité 7. Access RP2 RP2 K.U.Leuven COSIC, 21 Single Sign-On Variantes prendre contact avec IDP ou RP token d'accès peut être poussé par l'utilisateur vers RP ou peut être tiré par RP de l IDP Token d'accès: clé symétrique ou clé publique symétrique: IDP et RP doivent partager une clé secrète (exemple: Kerberos) asymétrique (signature numérique): IDP et RP doivent faire confiance à un CA commun (exemple: SAML) K.U.Leuven COSIC, 22

12 SAML (Security Assertion Markup Language) (2001) OASIS Security Services Technical Committee (SSTC) Norme basée sur XML pour échanger des données pour l'authentification et l'autorisation SAML assertions: décrivent les tokens de sécurité représentant les usagers SAML bindings (fixations): lien avec le protocole de communication SAML profiles (profils): pour authentification unique (SSO) générique, mais plutôt complexe IDP-friendly (par exemple, préconfigurer IDP pour les RP) pseudonymes SAML 1.0 (Nov. 02) SAML 2.0 (March 05) incompatible avec 1.0/1.1 coordonnée avec Liberty Alliance ID-FF 1.2 mais pas compatible profils: Web browser SSO, WSS-Security, Liberty ID-FF and ID-WSF, XAXML v2.0 K.U.Leuven COSIC, 23 Single Sign-On pratique (facile à utiliser) plus sûr que multiples mots de passe peut s'appuyer sur un mécanisme d'authentification unique, mais plus sûr risque de violation du mécanisme d'authentification est considérablement plus élevé est-ce qu il y a un single sign-off? redirection par RP peut faciliter le phishing IDP est le point de défaillance unique si le RP est contacté d'abord, comment sait-il quel IDP il doit contacter? (problème de découverte) risques pour la protection de la vie privée le partage des données: par exemple, Facebook ou LinkedIn peuvent accéder au compte Gmail contrôle central d'accès: qui fait quoi quand K.U.Leuven COSIC, 24

13 Les normes: il y a plein de choix WS-Federation K.U.Leuven COSIC, 25 Plan Gestion de l'identité définitions gestion de l'identité 1.0 gestion de l'identité 1.5 Concepts d'identité et gestion de l'identité 2.0 CID en Belgique Interoperabilité L avenir 7 June 2010 K.U.Leuven COSIC, 26

14 Identité: principes de base [Kim Cameron, Microsoft, 05] (également appelé les lois d identité ) 1. contrôle de l'utilisateur et le consentement 2. divulgation minimale de l'information pour un usage limité 3. divulgation limitée à des parties justifiable 4. identités: omni-directionnelle et uni-directionnel 5. ouvert: opérateurs et technologies 6. l'intégration de l'homme: facilité d'utilisation 7. expérience cohérente dans tous les contextes perspicace et réfléchi dépendantes du contexte sur l'informatique et la technologie principes et non des «lois» pourrait aussi être appelé: les 7 erreurs commises par Passport K.U.Leuven COSIC, 27 Méta-système d'identité fournisseur d'identité (IDP) relying party (service provider) relying party (service provider) fournisseur d'identité (IDP) sélecteur d'identité relying party (service provider) fournisseur d'identité (IDP) relying party (service provider) K.U.Leuven COSIC, 28

15 Identité 2.0 besoin d une vue cohérente pour l'utilisateur: le sélecteur d'identité essentiels: le modèle mental et la facilité d'utilisation evoluer de centrée sur l'entreprise centrée vers centrée sur l'utilisateur (l'utilisateur a le contrôle) pas de définition unique confirmer des attributs en prouvant des assertions («claims») assertion: «une affirmation de la veracité d une proposition, notamment lorsque celle-ci est contestée ou mise en doute» questions clés: est-ce que les utilisateurs sont capables de gérer leurs identités? est-ce que les utilisateurs sont qualifiés pour gérer leurs identités? (par exemple, pas dans l'e-gouvernement) protection de la vie privée peut signifier plusieurs choses... K.U.Leuven COSIC, 29 Sélecteurs d'identité Microsoft CardSpace (précédemment InfoCard) [2006] résout le problème de la découverte de l IDP sur la base des technologies suivantes: WS-* (Security, Trust, Federation, ) SAML 2.0 Enhanced Client Proxy Profile SSL EV (extended validation) Eclipse project Higgins: open source browser add-on (plug-in API): agent d'identité services d'identité le stockage des données personnelles K.U.Leuven COSIC, 30

16 Gestion de l'identité basée sur URL: OpenID (2005) utilisateur fournit URL d identité à la RP mécanisme SSO (redirection) v v ouvert: risque pour la vie privée focus sur les consommateurs (chiffres de déc. 09): > 1 milliard openids 9 million sites offrent OpenID (AOL, BBC, Google, IBM, Microsoft, MySpace, Orange, PayPal, VeriSign, LiveJournal, Yandex, Ustream, Yahoo!) K.U.Leuven COSIC, 31 l Identité basée sur URL + simple, léger et extensible + facile pour les RP + l'utilisateur peut auto-valider attributs et héberger son propre fournisseur + utilise des technologies web/navigateur existantes + facile à adopter: pas de nouveaux logiciels nécessaires + accessible de partout inconvénient de taper les URL (pas de découverte de IDP par RP) ouverte à des attaques de phishing (à cause de redirection) modèle de confiance: noir et blanc interface utilisateur pas toujours cohérent pas de SSL requis peut-on faire confiance à des affirmations auto-validées? K.U.Leuven COSIC, 32

17 Plan Gestion de l'identité définitions gestion de l'identité 1.0 gestion de l'identité 1.5 Concepts d'identité et gestion de l'identité 2.0 CID en Belgique Interoperabilité L avenir 7 June 2010 K.U.Leuven COSIC, 33 Gestion de l'identité pour l e-gouvernement exigences spécifiques: la sécurité, l'échelle, la législation ne pas copier les solutions commerciales nécessité d'une fédération national; régional (états, territoires); ville; international? secteur des administrations publiques: impôts, sécurité sociale, santé, transport, vote contexte: le gouvernement, les finances, les assurances, les transports publics est-ce que l investissement peut être réutilisé par le secteur privé? nombre limité d'utilisations de l'e-gov par an (<2?) horizon des concepts à déploiement complet progrès rapides de la gestion de l'identité sur Internet K.U.Leuven COSIC, 34

18 CID électronique dans le monde CID dans la plupart des pays obligatoire dans 100 pays pas de CID: Australia, Canada, Denmark, Ireland, Latvia, Lithuania, USA sujet délicat la guerre, la religion, la race, les insurgés de nombreux pays sont sont en train de déployer des CID cartes d'identité électroniques (ou ils ont l'intention de le faire) Allemagne: 3 cartes (CID, carte de santé et carte d'emploi) K.U.Leuven COSIC, 35 Secteur privé/public outsourcing co-sourcing insourcing Bank ID utilisé par les portails de l'administration (Norvège) part de marché applications Autriche, Estonie, Malte, Les Pays-Bas la vie privée Belgique, Italie K.U.Leuven COSIC, 36

19 Fédération identifiants uniques globales: Belgique, République Tchèque, Hong Kong, Irlande, Luxembourg, Royaume-Uni... illégale dans certains pays identifiant par le contexte: les Pays-Bas (?) identifiant par secteur: l'autriche, la France base de données centrale, avec toutes les informations: Royaume-Uni utilisation de bases de données distinctes avec une connexion contrôlée: Belgique stockage central très limité: l'allemagne l'utilisation la cryptographie avancée credentials (divulgation minimale) K.U.Leuven COSIC, 37 Mécanismes pour la protection de la vie privée pseudonymes user master ID f code secteur sector ID l'authentification mutuelle Allemagne: certificats de courte durée (quelques jours) pour tous les lecteurs de cartes credentials (divulgation minimale) Projet ADAPID en Belgique: K.U.Leuven COSIC, 38

20 Cartes à puce contact: Autriche, Belgique, Finlande, France, Espagne, Royaume-Uni, Estonie, Italie,.. sans contact: Allemagne + mobile: Autriche Pas de carte à puce : Bosnie solution standardisée facile à déployer au niveau national/international perception du public variable des CID classiques et des cartes à puce moins flexible K.U.Leuven COSIC, 39 Biometrie biometrie (en plus d'une photo): Brésil, France, Hong Kong, Italie, Corée, Malaisie, Oman, Espagne, Royaume-Uni 2 empreintes digitales pour les passeports (demande OACI, Organisation de l'aviation Civile Internationale) empreintes digitales enlevé en Grèce (2002) peut permettre de détecter les enregistrements doubles amélioration de la sécurité risque pour la sécurité et la protection de la vie privée en cas de stockage dans une base de données centrale K.U.Leuven COSIC, 40

21 CID électronique en Belgique 1 million de cartes produits et délivrés en 6 mois Disponible dans toutes les 589 communes K.U.Leuven COSIC, 41 CID électronique en Belgique: l histoire 13 déc 1999: directive européenne enne 1999/93/EC Signature électronique 22 sept 2000: Conseil des ministres approuve CID étude de concept 19 July 2001: Conseil des ministres approuve les concepts de base (carte à puce, certificats, pas d'intégration avec la carte SIS, le ministère de l'inté- rieur est responsable de l'infrastructure RN, des municipalités s pilotes, de production de cartes, le cadre juridique,... Fedict des services de certification 3 Jan 2002: Conseil des ministres assigne l infrastructure RN à Steria sept 2002: Conseil des ministres assigne productions des cartes à Zetes,, services de certification à Belgacom 31 mars 2003: 4 premières res CID électroniques délivrées aux fonctionnaires 9 mai 2003: municipalité premier pilote commence à distribuer des CID électronique fin 2009: tous les citoyens ont une CID électronique sept : toutes les nouvelles CIDs sont des CID électronique 27 sept : début du roll-out national 25 jan : début de l'évaluation phase pilote 25 juil : 11ème municipalité pilote commence K.U.Leuven COSIC, 42

22 CID électronique: : production et délivrance (1/2) Personalisation de carte (PC) Initialisation de carte (IC) (5) (4) (6) (10a ) (8) (10a ) Registre National (RN) (3) (7) (9) Certification Authority (CA) Municipalité (0) (10b) (1) (11) Citizen PIN & PUK Authentification face à face (2) 7-Jun-10 (12) Citoyen (13) K.U.Leuven ESAT/COSIC Danny K.U.Leuven De Cock, COSIC, 43 CID électronique: : production et délivrance (2/2) 0: citoyen reçoit une lettre de convocation ou prend l'initiative 1: visite à la municipalité avec photo 2: demande formelle CID est signée 3,4: PC reçoit eid demande du RN 5: PC imprime nouvelle CID, IC démarre la génération des paires de clés sur la carte 6: RN reçoit une partie du code d'activation de la CID ( PUK1) 7: CA reçoit des demandes de certificat 8: CA génère deux nouveaux certificats et produit nouveau CRL 9: IC écrit les certificats sur la carte eid 10a: IC écrit des données des citoyens (ID, adresse,...) sur la carte et désactive la carte 10b: CI envoie une lettre d'invitation avec un code PIN et PUK2 code d'activation au citoyen 11: citoyen reçoit une lettre d'invitation 12: fonctionnaire démarre la procédure d'activation de la CID 13: CID calcule une signature avec chaque clé privée, CA supprime les certificats de la CRL K.U.Leuven COSIC, 44

23 CID électronique: fonctions non-électronique authentification visible d'une personne électronique identification numérique Saisie des données prouver son identité signature authentification Signer numériquement des données signature non-répudiation Administration changement PIN, débloquer PIN K.U.Leuven COSIC, 45 Aspects visuels d'un CID Front: Nom Les deux premiers noms Première lettre du 3ème nom Titre Nationalité Lieu et date de naissance Sexe Numéro de la carte Photo du titulaire Dates de validité de la carte (début/fin) Signature manuscrite du titulaire Dos: Lieu de livraison de la carte Numéro national d'identification (RN) Signature manuscrite du fonctionnaire Zone OACI (L'aviation civile internationale) K.U.Leuven COSIC, 46

24 CID en Belgique Citoyens Enfants Étrangers Carte CID Carte enfant Carte étrangers K.U.Leuven COSIC, 47 CID contenu PKI données d'identité du citoyen Authentification ID ID ADRESSE ADRESSE Signature Root CA CA RN 140x200 Pixels 8 BPP Octets SIGNATURE SIGNATURE RN RN SIGNATURE SIGNATURE RN RN RN = Registre National K.U.Leuven COSIC, 48

25 Fichier d identité (~160 octets) La puce: numéro de la puce Le citoyen nom 2 premiers noms première lettre du 3ème prénom numéro d'identification RN nationalité lieu et date de naissance sexe condition noble statut spécial hachage SHA-1 du photo du citoyen La carte numéro de la carte date de validité (début/ fin) municipalité de livraison Type de document La signature numérique sur le fichier d'identité calculée par le RN Roi, Prince, Comte, Baron, pas de statut, canne blanche (personnes aveugles), canne jaune (malvoyants), minorité prolongée, une combinaison Belgian citoyen/enfant, Communauté européenne citoyen/enfant, non-ce citoyen/enfant, carte bootstrap, carte habilitation Belgium Root CA Citizen CA Gov K.U.Leuven COSIC, 49 CA Certificats lier les clés publiques à des entités chaîne de certificats créés par le gouvernement belge Belgium CA Racine CA Citoyen Auth Cert Nonrep Cert K.U.Leuven COSIC, 50

26 Certificat du citoyen Citizen Qualified certificate (~1000 bytes) Version: 3 (0x2) Serial Number: 10:00:00:00:00:00:8d:8a:fa:33:d3:08:f1:7a:35:b2 Signature Algorithm: sha1withrsaencryption (1024 bit) Issuer: C=BE, CN=Citizen CA, SN= Not valid before: Apr 2 22:41: GMT Not valid after: Apr 2 22:41: GMT Subject: C=BE, CN=Sophie Dupont (Signature), SN=Dupont, GN=Sophie Nicole/serialNumber= Subject Public Key Info: RSA Public Key: [Modulus (1024 bit): 4b:e5:7e:6e: :86:17, Exponent: (0x10001)] X509v3 extensions: Certificate Policies: Policy: CPS: Key Usage: critical, Non Repudiation Belgium Root CA Citizen CA Gov Authority Key Identifier: [D1:13: :7F:AF:10] CRL Distribution Points: URI:http://crl.eid.belgium.be/eidc0002.crl Netscape Cert Type: S/MIME Authority Information Access: CA Issuers - URI:http://certs.eid.belgium.be/belgiumrs.crt OCSP - URI:http://ocsp.eid.belgium.be Qualified certificate statements: [00...F..] Signature: [74:ae:10: :e0:91] CA Citizen Authentication certificate (~980 bytes) Version: 3 (0x2) Serial Number: 10:00:00:00:00:00:0a:5d:9a:91:b1:21:dd:00:a2:7a Signature Algorithm: sha1withrsaencryption (1024 bit) Issuer: C=BE, CN=Citizen CA, SN= Not valid before: Apr 2 22:40: GMT Not valid after: Apr 2 22:40: GMT Subject: C=BE, CN=Sophie Dupont (Authentication), SN=Dupont, GN=Sophie Nicole/serialNumber= Subject Public Key Info: RSA Public Key: [Modulus (1024 bit): cf:ca:7a:77: :5c:c5, Exponent: (0x10001)] X509v3 extensions: Certificate Policies: Policy: CPS: Key Usage: critical, Digital Signature Authority Key Identifier: [D1:13: 7F:AF:10] CRL Distribution Points: URI:http://crl.eid.belgium.be/eidc0002.crl Netscape Cert Type: SSL Client, S/MIME Authority Information Access: CA Issuers - URI:http://certs.eid.belgium.be/belgiumrs.crt OCSP - URI:http://ocsp.eid.belgium.be Signature: [10:ac:04: :e9:04] K.U.Leuven COSIC, 51 Certificats et clés de signature numérique 2 paires de clés pour les citoyens Signature authentification X.509v3 certificat authentification Signature électroniques avancé (nonrépudiation) X.509v3 certificat qualifié Peut être utilisé pour produire des signatures numériques équivalentes à des signatures manuscrites, cfr.. directive européenne enne 1999/93/CE 1 paire de clé pour la carte Authentifcation de la CID (paire( de clés basique) Pas de certificate: : RN (/Registre National) connaît la clé publique qui correspond à la CID K.U.Leuven COSIC, 52

27 Signature électronique directive européenne enne 1999/93/CE Ex.: courrier electronique Signature électronique Signature électronique avancée Article 2.2 (technologie PKI) Ex. Signature numérique Ex.: Signature numérique avec certificat qualifié Signature électronique qualifiée Article 5.1 (authentification/enregistrement) +Annex I: Q-Cert +Annex II: Q-CSP +Annex III: SSCD K.U.Leuven COSIC, 53 Hiérarchie des certificats CID 2048-bit RSA Belgium Root CA ARL Belgium Root CA 2048-bit RSA Card Admin CA CRL Citizen CA CRL Foreigners CA CRL Gov CA CRL 1024-bit RSA évolue vers 2048-bit RSA Card Admin Cert Admin Auth Cert Administration de la carte: mise à jour adresse, génération de paire de clés, stocakges des certificats,... Nonrep Cert Auth Cert Nonrep Cert Server Cert Code sign Cert RRN Cert certificats pour les serveurs Web du gouvernement, signature des fichiers citoyen,... K.U.Leuven COSIC, 54

28 Utilisation d'une carte à puce sur un PC Ordinateur du citoyen navigateur clavier, souris PCSC regarde touche écran PIN Pad Lecteur carte à puce ISO 7816 K.U.Leuven COSIC, 55 Applications CID électronique E-gouvernment Demande des documents officiels attestations de l état civil, introduire une demande de permis de bâtir, accès aux bases de données RN etax déclaration d'impôt déclaration TVA ejustice La soumission électronique des conclusions eaccess L'authentification du client pour les serveurs web Secure chat (12-16 années) Contrôle d'accès: dépôt de déchets, bibliothèque, piscine,... emove factures d'eau contrats d'énergie elogin Windows Gina, Vista, Citrix etransport titre de transport (trains) ecommerce Online opening of new account Digital Rights Management Qualified signature Contract signing ebanking demande de prêt hypothécaire Le courrier recommandé authentifié ework L'enregistrement du temps de travail eadministration Saisie des données l'enregistrement d'immatriculation de voitures signature eforms signature format PDF ehealth accès au dossier patient carte d'assurance Ecotrack (future) consommation d eau, de gaz et d électricité en temps réel K.U.Leuven COSIC, 56

29 Leçons (1): complexité cryptographie, certificates, enregistrements, contrats,.. plus grande complexité: applications, évolution rapide de l informatique K.U.Leuven COSIC, 57 Leçons (2): sécurité et facilité d'utilisation sur l'ordinateur client intégrer les cartes à puce avec l'application directive/normes ETSI: très complexes pas de normes obligatoires pour les applications décision de remplacer le middleware par un applet pour exposer toutes les fonctionnalités de la CID Plates-formes: Windows, Mac OS X, Linux Navigateurs: Firefox, IE MS, Safari, Chrome K.U.Leuven COSIC, 58

30 Leçons (3): SSL/TLS utilisation principale de l'eid authentification sécurisée à distance dans des environnements clientserveur primaire environnement client-serveur: navigateur web problème TLS/SSL avec authentification mutuelle: renégociation + pas de déconnexion (logout) on ne peut pas demander que l utilisateur entre son code PIN à chaque fois conséquence: le risque de phishing ou même l'obtention de signatures sans la permission explicite des utilisateurs (si on utilise un seul PIN pour authentification/signature numérique) solution: d abord l'authentification SSL unilatérale, puis une authentification (lié au contexte) à l'intérieur du canal sécurisé K.U.Leuven COSIC, 59 Leçons (4): signature numérique vérification complexe, en particulier si la sécurité à long terme est nécessaire (XAdES-X-L) what you see is what you sign problem (wysiwys): est-ce que vous voyez ce que vous signez? il faut faire confiance à l ordinateur du citoyen phishing l'atténuation de ce risque: lecteur de carte avec écran (plus cher) K.U.Leuven COSIC, 60

31 Leçons (5): fournisseur d'identité (IDP) besoin d'un service plutôt que d'une carte basée sur SAML et open SSO interfaces avec OpenID K.U.Leuven COSIC, 61 Plan Gestion de l'identité définitions gestion de l'identité 1.0 gestion de l'identité 1.5 Concepts d'identité et gestion de l'identité 2.0 CID en Belgique Interoperabilité (projet STORK) L avenir 7 June 2010 K.U.Leuven COSIC, 62

32 STORK Roadmap (https://www.eid-stork.eu/) Framework mapping Legal interoperability priority technologies Quality authenticator scheme eid PROCESS FLOWS Functional Design Technical Design Common, SAML based specifications have recently been agreed by the STORK consortium Construction & Implementation Exploitation Evaluation Assessment on common specifications on eid Cross-border authentication platform K.U.Leuven COSIC, 63 STORK Interoperability Models One Interoperability Framework, two basic models STORK will investigate and pilot two interoperability models: 1. Middleware (MW) 2. Pan-European Proxy Services (PEPS)... and combine them (MW MW, PEPS PEPS, MW PEPS, PEPS MW) The common specifications have been designed so PEPS that major components operate on the same protocols, irrespective the model or its combinations K.U.Leuven COSIC, 64

33 STORK Example of Middleware Architectures Application MOA-ID (Server-Middleware) Service Provider Domain Application eid Server (Server-Middleware) Internet Internet Bürgerkartenumg. (Client-Middleware) Client Domain Bürgerclient (Client-Middleware) K.U.Leuven COSIC, 65 STORK PEPS data flow (logical) STORK K.U.Leuven COSIC, 66

34 Credentials anonymes [Chaum 85] Credential = titre de compétences 7 June 2010 K.U.Leuven COSIC, 67 Credentials anonymes (2/3) protocoles cryptographiques entre <IDP,utilisateur,RP> <Issuer, Prover, Verifier> Prover peut prouver qu'il est titulaire d une signature avec certains attributs ou toute autre expression calculée sur les attributs (arithmétique simple, Boolean) (par exemple salaire >= et contrat permanent) Verifier n obtient aucune information supplémentaire sauf en cas d'abus - un juge peut intervenir L'utilisateur est protégé, même si il ya une collusion entre le Issuer et le Verifier 7 June 2010 K.U.Leuven COSIC, 68

35 Credentials anonymes (3/3) protocoles cryptographiques Chaum-Pedersen and Brands: Credentica U-Prove (Microsoft) Camenish-Lysyanskaya: Idemix (IBM) annonce récente: brevets seront «libérés» note: exige des communications anonymes App App Com Com IP 7 June 2010 Alice Bob K.U.Leuven COSIC, 69 L avenir évolution vers une plus grande intégration et des systèmes ouverts: Initiative Kantara, groupe de travail Identity Commons Open Source Identity System intégration avec les téléphones portables (SIM / USIM) et de CID? architecture: plutôt tirer que pousser (trop nombreuses applications) contrôle utilisateur peut être remplacé par un contrôle de tiers mécanismes de réputation provenant de réseaux sociaux les différences culturelles très difficiles à surmonter: le rôle du gouvernement, les banques, les bureaux de notation de crédit,... K.U.Leuven COSIC, 70

36 Conclusions gestion de l'identité est étroitement liée à nos interactions sociales et économiques technologie de gestion d'identité est en évolution rapide les concepts de notre société (comme la notion d'identité) changent que lentement déploiement CID électronique: 10 ans est est une période très longue sur l internet sécurité pour la société se développera, mais la protection de la vie privée va éroder facilité d'utilisation et le profilage ont plus d'importance que la minimisation des données nous ne comprenons pas encore l impact sur notre société 7 June 2010 K.U.Leuven COSIC, Danny De Cock 71 Savoir plus? D. De Cock, K. Wouters, B. Preneel: Introduction to the Belgian EID Card: BELPIC. EuroPKI 2004, LNCS 2093, pp. 1-13, Springer-Verlag Liens Middleware: Applet: K.U.Leuven COSIC, 73

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction

Plus en détail

SIGNATURE DIGITALE ET AUTHENTIFICATION FORTE

SIGNATURE DIGITALE ET AUTHENTIFICATION FORTE SIGNATURE DIGITALE ET AUTHENTIFICATION FORTE Michel Laloy 18/06/2002 Objectifs Expliquer les mécanismes de la signature digitale et de l authentification forte Montrer comment ces mécanismes s'appliquent

Plus en détail

LA CARTE D IDENTITE ELECTRONIQUE

LA CARTE D IDENTITE ELECTRONIQUE LA CARTE D IDENTITE ELECTRONIQUE HISTORIQUE Le Conseil des Ministres du 22 novembre 2000 a approuvé une note concernant une infrastructure PKI (Public Key Infrastructure) et l utilisation d une carte d

Plus en détail

Tour d horizon des différents SSO disponibles

Tour d horizon des différents SSO disponibles Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire

Plus en détail

Certificats électroniques

Certificats électroniques Certificats électroniques Matthieu Herrb Jean-Luc Archimaud, Nicole Dausque & Marie-Claude Quidoz Février 2002 CNRS-LAAS Plan Services de sécurité Principes de cryptographie et signature électronique Autorités

Plus en détail

La renaissance de la PKI L état de l art en 2006

La renaissance de la PKI L état de l art en 2006 e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +41 22 727 05 55 Fax +41 22 727 05 50 La renaissance de la PKI L état de l art en 2006 Sylvain Maret / CTO e-xpertsolutions S.A. Clusis,

Plus en détail

FEDERATION DES IDENTITES

FEDERATION DES IDENTITES 1 FEDERATION DES IDENTITES Quel protocole de fédération pour quel usage? OAUTH & SAML Fabrice VAZQUEZ Consultant Sécurité du SI +331 73 54 3000 Cabinet de conseil et d expertise technique en sécurité du

Plus en détail

Les certificats numériques

Les certificats numériques Les certificats numériques Quoi, pourquoi, comment Freddy Gridelet 9 mai 2005 Sécurité du système d information SGSI/SISY La sécurité : quels services? L'authentification des acteurs L'intégrité des données

Plus en détail

IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr. JTO décembre 2002

IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr. JTO décembre 2002 IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr JTO décembre 2002 Chiffrement asymétrique Confidentialité d un message : le chiffrer avec la clé publique du destinataire.

Plus en détail

Centre de personnalisation de la puce pour la signature électronique

Centre de personnalisation de la puce pour la signature électronique REPUBLIQUE ALGERIENNE DEMOCRATIQUE ET POPULAIRE MINISTERE DE LA JUSTICE Centre de personnalisation de la puce pour la signature électronique Par Monsieur AKKA Abdelhakim Directeur Général de la Modernisation

Plus en détail

Solution de déploiement de certificats à grande échelle. En savoir plus...

Solution de déploiement de certificats à grande échelle. En savoir plus... Solution de déploiement de certificats à grande échelle permet un déploiement des certificats numériques à grande échelle en toute sécurité sans avoir à fournir un support physique (token, carte à puce

Plus en détail

Authentification et contrôle d'accès dans les applications web

Authentification et contrôle d'accès dans les applications web Authentification et contrôle d'accès dans les applications web Quelques Rappels Objectifs : contrôler que seulement Certains utilisateurs Exécutent certaines opérations Sur certains objets Trois entités

Plus en détail

Formation SSO / Fédération

Formation SSO / Fédération Formation SSO / Fédération CYRIL GROSJEAN (cgrosjean@janua.fr) CONSULTANT JANUA Agenda Objectifs du SSO Terminologie, acronymes et protocoles Présentation d'architectures de SSO Présentation d'architectures

Plus en détail

LA CARTE D IDENTITE ELECTRONIQUE

LA CARTE D IDENTITE ELECTRONIQUE LA CARTE D IDENTITE ELECTRONIQUE HISTORIQUE Le Conseil des Ministres du 22 novembre 2000 a approuvé une note concernant une infrastructure PKI (Public Key Infrastructure) et l utilisation d une carte d

Plus en détail

Implémentation libre de Liberty Alliance. Frédéric Péters

Implémentation libre de Liberty Alliance. Frédéric Péters <fpeters@entrouvert.com> Lasso Implémentation libre de Liberty Alliance Frédéric Péters Vandœuvre Projet «carte de vie quotidienne» de l'adae Carte démocr@tics Standards PKCS11/15, X.509, etc. Respect

Plus en détail

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références 2 http://securit.free.fr Introduction aux concepts de PKI Page 1/20

Plus en détail

Sécurisation des architectures traditionnelles et des SOA

Sécurisation des architectures traditionnelles et des SOA Sécurisation des architectures traditionnelles et des SOA Un livre blanc de Bull Evidian Gestion SAML des accès SSO aux applications classiques et J2EE. Max Vallot Sommaire Émergence des architectures

Plus en détail

Du 03 au 07 Février 2014 Tunis (Tunisie)

Du 03 au 07 Février 2014 Tunis (Tunisie) FORMATION SUR LA «CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES TRANSACTIONS ELECTRONIQUES» POUR LES OPERATEURS ET REGULATEURS DE TELECOMMUNICATION Du 03 au 07 Février 2014 Tunis (Tunisie) CRYPTOGRAPHIE ET SECURITE

Plus en détail

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010 Support de SAML2 dans LemonLDAP::NG Clément OUDOT Mercredi 7 juillet 2010 SOMMAIRE Enjeux et usages du SSO Présentation de LemonLDAP::NG SAML2 et la fédération d'identités Support SAML2 dans LemonLDAP::NG

Plus en détail

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France Gestion des Identités : 5 règles d'or Patrice Kiotsekian Directeur Evidian France Page 1 - Mai 2005 Défi N 1 : la gestion de la cohérence Alors que les référentiels et bases d identité et de sécurité sont

Plus en détail

Middleware eid v2.6 pour Windows

Middleware eid v2.6 pour Windows Manuel d'utilisation Middleware eid v2.6 page 1 de 19 Table des matières Introduction...3 Installation...4 Les éléments du logiciel eid...6 Module pour la zone de notification dans la barre des tâches...7

Plus en détail

Middleware eid v2.5 pour Mac OS X

Middleware eid v2.5 pour Mac OS X Manuel d'utilisation Middleware eid v2.5 pour Mac OS X page 1 de 14 Table des matières Introduction...3 Installation...4 Les éléments du logiciel eid...5 Le module PKCS#11...6 Application pour lire et

Plus en détail

ENVOLE 1.5. Calendrier Envole

ENVOLE 1.5. Calendrier Envole ENVOLE 1.5 Calendrier Envole RSA FIM 1 avril 2008 V 1.13 sur EOLE V 2.0 1 septembre 2008 EOLE V 2.1 10 octobre 2008 V 1.15 RC sur EOLE V 2.0 Modification du SSO EOLE 2.2 (PAM-CAS, CT EOLE V 2.2 RC Prise

Plus en détail

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM LemonLDAP::NG / SAML2 Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM 16, 17 et 18 MARS 2010 SOMMAIRE Définition du WebSSO Présentation de LemonLDAP::NG SAML2 et

Plus en détail

LA CARTE D IDENTITE ELECTRONIQUE (eid)

LA CARTE D IDENTITE ELECTRONIQUE (eid) LA CARTE D IDENTITE ELECTRONIQUE (eid) MANUEL POUR WINDOWS VERSION 1.1 Avis de rejet de responsabilité Fedict ne peut être tenu pour responsable d aucun préjudice qu un tiers pourrait subir suite à d éventuelles

Plus en détail

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009 Aristote Groupe PIN Utilisations pratiques de la cryptographie Frédéric Pailler (CNES) 13 janvier 2009 Objectifs Décrire les techniques de cryptographie les plus courantes Et les applications qui les utilisent

Plus en détail

Sécurité sur le GRID

Sécurité sur le GRID Enabling Grids for E-sciencE Sécurité sur le GRID Sophie Nicoud (CNRS/UREC) Tutorial EGEE EGEODE Administrateur CGG 8 Nov. 2006 www.eu-egee.org EGEE-II INFSO-RI-031688 EGEE and glite are registered trademarks

Plus en détail

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI Cryptologie Algorithmes à clé publique Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Cryptographie à clé publique Les principes essentiels La signature électronique Infrastructures

Plus en détail

La fédération d identité Contexte, normes, exemples

La fédération d identité Contexte, normes, exemples La fédération d identité Contexte, normes, exemples Le 10 mai 2011 Communication, reproduction ou utilisation interdites sauf autorisation préalable d Arismore. No communication, reproduction or use without

Plus en détail

DESCRIPTION DU COMPOSANT

DESCRIPTION DU COMPOSANT Gestion des utilisateurs et des accès Composant pour un Egov intégré Qu'est-ce qu'un composant? C est un élément indispensable à l intégration des systèmes e-gov des différents niveaux politiques. Cet

Plus en détail

Tutorial Authentification Forte Technologie des identités numériques

Tutorial Authentification Forte Technologie des identités numériques e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +1 22 727 05 55 Fax +1 22 727 05 50 Tutorial Authentification Forte Technologie des identités numériques Volume 2/3 Par Sylvain Maret /

Plus en détail

Modèle de sécurité de la Grille. Farida Fassi Master de Physique Informatique Rabat, Maroc 24-27 May 2011

Modèle de sécurité de la Grille. Farida Fassi Master de Physique Informatique Rabat, Maroc 24-27 May 2011 Modèle de sécurité de la Grille Farida Fassi Master de Physique Informatique Rabat, Maroc 24-27 May 2011 2 Plan Introduction a la sécurité sur la Grille de Calcul Grid Security Infrastructure (GSI) Authentification

Plus en détail

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Fédération Définit un cercle de confiance constitué de Fournisseurs d'identités

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com > Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com > Www.linalis.com Sommaire Présentation de Linalis Le SSO Les différentes implémentations majeures Drupal & Consort Retour d'expérience sur projet

Plus en détail

Chapitre 2 Rôles et fonctionnalités

Chapitre 2 Rôles et fonctionnalités 19 Chapitre 2 Rôles et fonctionnalités 1. Introduction Rôles et fonctionnalités Les rôles et fonctionnalités ci-dessous ne sont qu'une petite liste de ceux présents dans Windows Server 2012 R2. 2. Les

Plus en détail

Gestion des identités

Gestion des identités HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des identités 17 décembre 2004 Hervé Schauer CISSP, ProCSSI

Plus en détail

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Guide Share France. Web Single Sign On. Panorama des solutions SSO Web Single Sign On Panorama des solutions SSO Agenda Concepts généraux Quelques solutions de Web SSO Questions & Réponses Définition Qu est-ce que le Single Sign-On? Solution visant à minimiser le nombre

Plus en détail

mikael.ates@univ st etienne.fr

mikael.ates@univ st etienne.fr 2008 mikael.ates@univ st etienne.fr Sommaire Présentation générale Standards et état de l'art Logiciels et licences Cas d'usage Interopérabilité A venir dans FederID et Avenir de FederID 2 Contexte La

Plus en détail

Tutorial Authentification Forte Technologie des identités numériques

Tutorial Authentification Forte Technologie des identités numériques e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +1 22 727 05 55 Fax +1 22 727 05 50 Tutorial Authentification Forte Technologie des identités numériques Volume 1/3 Par Sylvain Maret /

Plus en détail

Chapitre 3 INTÉGRITÉ ET AUTHENTIFICATION

Chapitre 3 INTÉGRITÉ ET AUTHENTIFICATION Chapitre 3 INTÉGRITÉ ET AUTHENTIFICATION 32 Services souhaités par la cryptographie Confidentialité : Rendre le message secret entre deux tiers Authentification : Le message émane t-il de l expéditeur

Plus en détail

Le rôle Serveur NPS et Protection d accès réseau

Le rôle Serveur NPS et Protection d accès réseau Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS

Plus en détail

QuEST Didacticiel sur les signatures électroniques qualifiées. Glossaire et abréviations

QuEST Didacticiel sur les signatures électroniques qualifiées. Glossaire et abréviations QuEST Didacticiel sur les signatures électroniques qualifiées Glossaire et abréviations Veuillez noter que ce document est fourni uniquement à des fins éducatives et qu'il ne doit pas être considéré comme

Plus en détail

Introduction. aux architectures web. de Single Sign-On

Introduction. aux architectures web. de Single Sign-On Introduction aux architectures web de Single Sign-On Single Sign-on Authentifier 1 seule fois un utilisateur pour accéder à un ensemble d applications contexte web Nombre croissant d applications ayant

Plus en détail

PortWise Access Management Suite

PortWise Access Management Suite Créez un bureau virtuel pour vos employés, partenaires ou prestataires depuis n importe quel endroit et n importe quel appareil avec Portwise Access Manager et Authentication Server. Fournir des accès

Plus en détail

EJBCA Le futur de la PKI

EJBCA Le futur de la PKI EJBCA Le futur de la PKI EJBCA EJBCA c'est quoi? EJBCA est une PKI (Public Key infrastructure) ou IGC (Infrastructure de gestion de clés) sous licence OpenSource (LGPL) développée en Java/J2EE. EJBCA bien

Plus en détail

La carte d'identité électronique (EID)

La carte d'identité électronique (EID) La carte d'identité électronique (EID) GUIDE D INSTALLATION EID MIDDLEWARE HOME POUR WINDOWS VERSION 1.1 FR Disclaimer Fedict se dégage de toute responsabilité inhérente à quelque dommage que ce soit que

Plus en détail

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES TRANSACTIONS ELECTRONIQUES : STANDARDS, ALGORITHMES DE HACHAGE ET PKI» DU 22 AU 26 JUIN 2015 TUNIS (TUNISIE) CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES

Plus en détail

euthanasie Manuel Version Commune service public fédéral sante publique, securite de la chaine alimentaire et environnement Smals

euthanasie Manuel Version Commune service public fédéral sante publique, securite de la chaine alimentaire et environnement Smals Version Commune Manuel euthanasie Version 1.0/août 2008 - Bureau de communication - Smals service public fédéral sante publique, securite de la chaine alimentaire et environnement index 2 Introduire un

Plus en détail

La vie privée dans les environnements fédérés

La vie privée dans les environnements fédérés La vie privée dans les environnements fédérés Kheira BEKARA, Maryline LAURENT Institut Télécom, Télécom SudParis, SAMOVAR UMR 5157, 9 rue Charles Fourier, 91011 Evry, France Cet article présente la problématique

Plus en détail

Par KENFACK Patrick MIF30 19 Mai 2009

Par KENFACK Patrick MIF30 19 Mai 2009 Par KENFACK Patrick MIF30 19 Mai 2009 1 Introduction II. Qu est ce qu un OpenId? III. Acteurs IV. Principe V. Implémentation VI. Sécurité VII. conclusion I. 2 Vue le nombre croissant de sites web nous

Plus en détail

Gestion et contrôle des accès informatiques

Gestion et contrôle des accès informatiques Gestion et contrôle des accès informatiques Un livre blanc de Bull Evidian Mot de passe unique et gestion centralisée des accès pour les établissements publics et les collectivités territoriales Par Cathy

Plus en détail

SuisseID Mon «moi numérique»

SuisseID Mon «moi numérique» Mon «moi numérique» Si vous pouvez lire ce texte, vous devez réinsérer le transparent du modèle d'origine à l'aide de la fonction "insérer transparent" dans le menu de la Poste.. Sinon, il est impossible

Plus en détail

Référentiel Général de Sécurité. version 1.0. Annexe A4

Référentiel Général de Sécurité. version 1.0. Annexe A4 Premier ministre Agence nationale de la sécurité des systèmes d information Ministère du budget, des comptes publics et de la réforme de l État Direction générale de la modernisation de l État Référentiel

Plus en détail

Les technologies de gestion de l identité

Les technologies de gestion de l identité Commission Identité Numérique Groupe de travail Gestion des identités Les technologies de gestion de l identité ATELIER 1 Paul TREVITHICK, CEO de Parity Responsable projet Higgins Président Fondation Infocard

Plus en détail

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs HASH LOGIC s e c u r i t y s o l u t i o n s Version 1.0 de Janvier 2007 PKI Server Une solution simple, performante et économique Les projets ayant besoin d'une infrastructure PKI sont souvent freinés

Plus en détail

ICP/PKI: Infrastructures à Clés Publiques

ICP/PKI: Infrastructures à Clés Publiques ICP/PKI: Infrastructures à Clés Publiques Aspects Techniques et organisationnels Dr. Y. Challal Maître de conférences Université de Technologie de Compiègne Heudiasyc UMR CNRS 6599 France Plan Rappels

Plus en détail

CONVENTION D'UTILISATION FAS

CONVENTION D'UTILISATION FAS CONVENTION D'UTILISATION Objectif du document : Une convention d'utilisation est un contrat spécifique à un service qui stipule les conditions liées à l'utilisation d'un service spécifique de Fedict. Il

Plus en détail

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC Certificats X509 & Infrastructure de Gestion de Clés Claude Gross CNRS/UREC 1 Confiance et Internet Comment établir une relation de confiance indispensable à la réalisation de transaction à distance entre

Plus en détail

Gestion et contrôle des accès informatiques

Gestion et contrôle des accès informatiques Gestion et contrôle des accès informatiques Un livre blanc de Bull Evidian Mot de passe unique et gestion centralisée des accès pour une Chambre de Commerce et d Industrie Par Cathy Demarquois Responsable

Plus en détail

Cryptographie. Cours 6/8 - Gestion de clés

Cryptographie. Cours 6/8 - Gestion de clés Cryptographie Cours 6/8 - Gestion de clés Plan du cours Importance de la gestion des clés Clés secrètes, clés publiques Certificats Infrastructure à clé publique (Public Key Infrastructure, PKI) Dans le

Plus en détail

IIIII Sécurisation des accès Enterprise

IIIII Sécurisation des accès Enterprise IIIII Sécurisation des accès Enterprise IBM PULSE PARIS, 20 mai 2010 Anna Delambre / Thierry Musoles Security Business Unit / Enterprise Gemalto Agenda Présentation de Gemalto Solution IBM Tivoli Gemalto

Plus en détail

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping) Modernisation, développement d applications et DB2 sous IBM i Technologies, outils et nouveautés 2013-2014 13 et 14 mai 2014 IBM Client Center Paris, Bois-Colombes S28 - La mise en œuvre de SSO (Single

Plus en détail

Politique de signature OID : xxx.xxx.xxx.xxx

Politique de signature OID : xxx.xxx.xxx.xxx ALIENCE INTERNATIONNALE DES ASSURANCES Politique de signature OID : xxx.xxx.xxx.xxx Version 1.0 AID 3 RUE ALLAL BEN ABDALLAH 20000 CASABLANCA FAX :05 22 27 52 94 TEL : 05 22 48 38 38 MAIL : INFO@AID.MA

Plus en détail

Oauth : un protocole d'autorisation qui authentifie?

Oauth : un protocole d'autorisation qui authentifie? Oauth : un protocole d'autorisation qui authentifie? Maxime Féroul Directeur Technique / KYOS IT SECURITY Application Security Forum - 2012 Western Switzerland 7-8 novembre 2012 - Y-Parc / Yverdon-les-Bains

Plus en détail

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé PUBLIC KEY INFRASTRUCTURE Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé Rappels PKI Fonctionnement général Pourquoi? Authentification Intégrité Confidentialité Preuve (non-répudiation)

Plus en détail

Lisez ce premier. Droit d'auteur

Lisez ce premier. Droit d'auteur Next Generation Banking system Cloud Banking Service Provider Mobile Banking Service Provider Lisez ce premier Nous vous remercions de votre intérêt pour MBSP (Prestataire de services de Mobile Banking)

Plus en détail

Master Informatique 1ère Année 2007. Participants: Tarek Ajroud Jérémy Ameline Charles Balle Fabrice Douchant VPN SSL

Master Informatique 1ère Année 2007. Participants: Tarek Ajroud Jérémy Ameline Charles Balle Fabrice Douchant VPN SSL VPN SSL : Présentation Master Informatique 1ère Année Année 2006-2007 2007 Participants: Tarek Ajroud Jérémy Ameline Charles Balle Fabrice Douchant VPN SSL Durée : 20 minutes Remarques Intervention : 15-20

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008 La suite logicielle Lin ID Paris Capitale du Libre 25 septembre 2008 Pourquoi Lin ID? Le domaine de la gestion des identités est vaste et complexe L'offre logicielle est réduite, dominée par quelques grands

Plus en détail

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante Solutions d accès sécurisées pour opérer une Market Place Saas multitenante Plan de la présentation Le Saas et les enjeux économiques des services en ligne La notion de shops multi-tenantes dans une market

Plus en détail

Secure Java Card for Federate Identity Management

Secure Java Card for Federate Identity Management Secure Java Card for Federate Identity Management Projet de diplôme 2008 David Olivier Responsables internes : Philippe Joye, Rudolf Scheurer Responsable externe : François Weissbaum Expert : Pierre-Alain

Plus en détail

Sécurité sous Windows 2000 Server

Sécurité sous Windows 2000 Server Sécurité sous Windows 2000 Server Thomas W. SHINDER Debra Littlejohn SHINDER D. Lynn WHITE Groupe Eyrolles, 2002 ISBN : 2-212-11185-1 Table des matières Remerciements..............................................

Plus en détail

Présentation du projet EvalSSL

Présentation du projet EvalSSL 24 SSLTeam FévrierPrésentation 2011 du projet EvalSSL 1 / 36 Présentation du projet EvalSSL SSLTeam : Radoniaina ANDRIATSIMANDEFITRA, Charlie BOULO, Hakim BOURMEL, Mouloud BRAHIMI, Jean DELIME, Mour KEITA

Plus en détail

Authentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011

Authentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011 1 Authentification avec CAS sous PRONOTE.net 2011 Version du lundi 19 septembre 2011 2 1 - Vocabulaire employé et documentation... 3 1.1 - SSO (Single Sign-On)... 3 1.2 - CAS (Central Authentication Service)...

Plus en détail

Protocole industriels de sécurité. S. Natkin Décembre 2000

Protocole industriels de sécurité. S. Natkin Décembre 2000 Protocole industriels de sécurité S. Natkin Décembre 2000 1 Standards cryptographiques 2 PKCS11 (Cryptographic Token Interface Standard) API de cryptographie développée par RSA labs, interface C Définit

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

Windows Server 2008. Chapitre 2: Les roles et fonctionnalités de Windows server 2008

Windows Server 2008. Chapitre 2: Les roles et fonctionnalités de Windows server 2008 Windows Server 2008 Chapitre 2: Les roles et fonctionnalités de Windows server 2008 Objectives À la fin de ce module, vous serez capable de : Comprendre les méthodes d installation de Windows Server 2008

Plus en détail

Groupe de travail Gestion des identités Les usages et les services ATELIER 2

Groupe de travail Gestion des identités Les usages et les services ATELIER 2 Introduction et cadrage Jean Pierre Buthion, Pdt de la Commission Identités Commission Identité Numérique Groupe de travail Gestion des identités Les usages et les services ATELIER 2 Analyse et synthèse

Plus en détail

Carte TOOAL v1.0. Fonctions de sécurité

Carte TOOAL v1.0. Fonctions de sécurité Carte TOOAL v1.0 Fonctions de sécurité Mediscs Société créée : 2004 Labellisée OSEO-ANVAR -> DMP Stockage des données sur une CD-RW Brevet d auto-gravure Vers les systèmes d authentification Dispositif

Plus en détail

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian Les 7 méthodes d authentification les plus utilisées Un livre blanc Evidian Appliquez votre politique d authentification grâce au SSO d entreprise. Par Stéphane Vinsot Chef de produit Version 1.0 Sommaire

Plus en détail

Architectures PKI. Sébastien VARRETTE

Architectures PKI. Sébastien VARRETTE Université du Luxembourg - Laboratoire LACS, LUXEMBOURG CNRS/INPG/INRIA/UJF - Laboratoire LIG-IMAG Sebastien.Varrette@imag.fr http://www-id.imag.fr/~svarrett/ Cours Cryptographie & Securité Réseau Master

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès.

La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès. Etat de l art Synchronisation des identités pour un référentiel d identités multi-annuaires La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès.

Plus en détail

Utilisation des certificats X.509v3

Utilisation des certificats X.509v3 En pratique Utilisation des certificats X.509v3 Commerce électronique, avec HTTPS (HTTP/SSL) Authentification SSL/TLS par certificat, obligatoire pour le serveur Authentification optionnelle pour le client

Plus en détail

Règlement pour les fournisseurs de SuisseID

Règlement pour les fournisseurs de SuisseID Règlement pour les fournisseurs de SuisseID Version 1.0c du 4 novembre 2010 Règlement pour fournisseurs de SuisselD Nom Numéro de standard Catégorie Degré de maturité Règlement pour les fournisseurs de

Plus en détail

3. Gestion de la signature électronique dans le Hub Electronique de Documents. 4. Signature manuscrite scannée et signature numérique dans le Hub

3. Gestion de la signature électronique dans le Hub Electronique de Documents. 4. Signature manuscrite scannée et signature numérique dans le Hub Certificat et Signature électronique by LegalBox Certificat et Signature électronique Table des matières : 1. Qu'est-ce qu'une signature électronique? 2. Qu est-ce qu un certificat électronique? 3. Gestion

Plus en détail

Gestion de la sécurité SOA. Mokdad SALHI Architecte certifié IBM - SOA Leader msalhi@fr.ibm.com

Gestion de la sécurité SOA. Mokdad SALHI Architecte certifié IBM - SOA Leader msalhi@fr.ibm.com Gestion de la sécurité SOA Mokdad SALHI Architecte certifié IBM - SOA Leader msalhi@fr.ibm.com Agenda 1 SOA en deux mots! 2 La sécurité dans un contexte SOA 3 4 5 Le modèle WS-Security Les problématiques

Plus en détail

Utilisation des cartes à puce avec Windows 2003

Utilisation des cartes à puce avec Windows 2003 Utilisation s cartes à puce avec Windows 2003 Nicolas RUFF nicolas.ruff@elweb.fr page 1 Plan Pourquoi les cartes à puce? Architecture logicielle PKI PKI AD AD Format s s certificats Protocoles d'authentification

Plus en détail

Gestion des identités Christian-Pierre Belin

Gestion des identités Christian-Pierre Belin Gestion des identités Christian-Pierre Belin Architecte Microsoft France La gestion des identités Le périmètre et les rôles Services d annuaire Point de stockage et d administration des comptes, des informations

Plus en détail

COMMISSION TIC. Vade-mecum de l utilisation de la signature électronique liée à la carte d identité électronique

COMMISSION TIC. Vade-mecum de l utilisation de la signature électronique liée à la carte d identité électronique COMMISSION TIC Vade-mecum de l utilisation de la signature électronique liée à la carte d identité électronique Novembre 2008 INTRODUCTION ET MATERIEL REQUIS La signature électronique «qualifiée» permet

Plus en détail

POLITIQUE DE SIGNATURE ELECTRONIQUE EN LIGNE SEPA

POLITIQUE DE SIGNATURE ELECTRONIQUE EN LIGNE SEPA POLITIQUE DE SIGNATURE ELECTRONIQUE EN LIGNE SEPA 1.2.250.1.35.25.2.1.2.12.1 1.0 Août 13 PUBLIC 1/16 Récapitulatif des éditions Version Date Nom du rédacteur Nature de la modification 1.0 08/08/13 Christian

Plus en détail

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012 De l authentification au hub d identité si simplement Présentation OSSIR du 14fev2012 Olivier Perroquin In-Webo Technologies Mission et solutions d In-Webo > Apporter aux Entreprises et Opérateurs de Services

Plus en détail

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2. DTIC@Alg 2012 16 et 17 mai 2012, CERIST, Alger, Algérie Aspects techniques et juridiques de la signature électronique et de la certification électronique Mohammed Ouamrane, Idir Rassoul Laboratoire de

Plus en détail

Identités numériques

Identités numériques Identités numériques Guillaume Allègre Allegre.Guillaume@free.fr Guilde Guilde 2011-10-13 L'identité numérique de la préhistoire à nos jours Identité numérique : les trois aspects Identication login biométrie...

Plus en détail

Single Sign-On : Risques & Enjeux

Single Sign-On : Risques & Enjeux Single Sign-On : Risques & Enjeux TAM esso Tivoli Access Manager for Entreprise Single-Sign ON Charles Tostain charles.tostain@fr.ibm.com 13 Agenda Risques & Définition Tivoli Access Manager for E-SSO

Plus en détail

Le protocole SSH (Secure Shell)

Le protocole SSH (Secure Shell) Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction

Plus en détail

Cours 14. Crypto. 2004, Marc-André Léger

Cours 14. Crypto. 2004, Marc-André Léger Cours 14 Crypto Cryptographie Définition Science du chiffrement Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible Bases Une clé = chaîne de nombres binaires (0 et 1)

Plus en détail

Sécurité des réseaux sans fil

Sécurité des réseaux sans fil Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification

Plus en détail