Plan. La CID électronique Belge: leçons et développements futurs. Gestion de l'identité

Dimension: px
Commencer à balayer dès la page:

Download "Plan. La CID électronique Belge: leçons et développements futurs. Gestion de l'identité"

Transcription

1 La CID électronique Belge: leçons et développements futurs Prof. COSIC Katholieke Universiteit Leuven, Belgique Bart.Preneel(at)esat.kuleuven.be Special thanks to Danny De Cock 1 Plan Gestion de l'identité définitions gestion de l'identité 1.0 gestion de l'identité 1.5 Concepts d'identité et gestion de l'identité 2.0 CID en Belgique Interoperabilité L avenir 7 June 2010 K.U.Leuven COSIC, 2

2 Une image vaut plus que mille mots New Yorker, 1993 K.U.Leuven COSIC, 3 Qu'est-ce que la gestion des identités? l'ensemble des processus d'affaires et une infrastructure de support, pour la création, la maintenance et l'utilisation des identités numériques [Le Groupe Burton*] parfois appelée Identity & Access Management" (IAM) manque à cette définition: suppression des identités et l'application des politiques sécurité La gestion sécurisée du cycle de vie d'identité et de l'échange d'informations d'identité (par exemple, les identificateurs, les attributs et les assertions) basée sur la politique sécurité qui concerne les entités telles que: utilisateurs / groupes organisations / fédérations / enterprise / prestataires de services éléments périphériques réseau / systèmes objets (processus de demande, du contenu, des données) * Une firme de recherche spécialisée dans l'infrastructure informatique de l'entreprise K.U.Leuven COSIC, 4

3 Gestion de l'identité: identités partielles Health Care Government Work Legend: Alice Identity of Alice Tax Status Income Birthday Birthplace Phone Number Health Status Name Address Diary Blood Group Interests Telecommunication Insurance Good- Conduct Certificate Cellphone Number Credit Rating Foreign Languages Likes & Dislikes Age Driving Licence Shopping Payment Travel Boyfriend Bob MasterCard Diners Club Partial Identity of Alice Leisure K.U.Leuven COSIC, 5 Identité: définitions (1) attributs: propriétés distinctes et mesurables appartenant à une entité particulière identité: la collecte dynamique de tous les attributs de l'entité (1 personne: 1 identité) identités partielles: sous-ensemble spécifique d'attributs pertinents identifiant: attribut ou ensemble d'attributs d'une entité qui identifie de façon unique l'entité dans un contexte donné des titres de compétences («credentials»): les éléments d'information associés à une entité et attestant de l'intégrité de certains faits!! ces définitions reflètent une vision spécifique sur l'identité et la gestion des identités K.U.Leuven COSIC, 6

4 Identité: définitions (2) authentification d'entité ou l'identification: l'utilisation d'attributs (affirmés ou observés) d'une entité afin de distinguer l'entité dans un contexte donné d'autres entités Note: dans la sécurité informatique, l identification = fournir son nom d'utilisateur l'authentification = prouver qui vous êtes autorisation: l'autorisation d'une entité authentifiée pour effectuer une action définie enregistrement: processus par lequel une identité partielle est attribué à une entité et l'entité est accordé un moyen par lequel il peut être authentifiée dans l'avenir!! ces définitions reflètent une vision spécifique sur l'identité et la gestion des identités K.U.Leuven COSIC, 7 7 June 2010 K.U.Leuven COSIC, 8

5 Gestion de l'identité monde physique consommateurs entreprises e-gouvernement services et les objets K.U.Leuven COSIC, 9 Gestion de l'identité: plusieurs dimensions international technique organisationnel Il ne suffit pas d ajouter une couche d'identité à l'internet IDM politique juridique social économique K.U.Leuven COSIC, 10

6 Un nombre croissant d'applications financiers, e-commerce, e-gouvernement, e-santé, les réseaux sociaux, les compagnies aériennes, location de voiture,... K.U.Leuven COSIC, 11 L évolution du paysage informatique Cloud Computing RIA s, AJAX, Flash, Silverlight, SaaS, IaaS, PaaS, Virtualization, RSS, Social Media, Wikis, Web Services & SOA XML, SOAP, WS *, REST, ESB, WSM, Java Web Applications HTTP, HTML,.Net, Java, J2EE, TCP/IP Client/Server & Distributed Computing VB, C++, SmallTalk, ERP, Tuxedo, MQ, DCE, COM, DCOM, Corba Mainframe/mini MVS, Top Secret, RACF, ACF # d applications K.U.Leuven COSIC, 12

7 Réduire l'utilisation de mots de passe sécurité difficile à utiliser difficile à gérer coût: frais de gestions (pas de dispositifs) conformité (juridique) Bill Gates (2006): la fin des mots de passe K.U.Leuven COSIC, 13 Étape 1: centraliser (identité 1.0) intégrer l'authentification mais deplacer l'autorisation vers les applications et les services accepter plusieurs sources authentiques pour les attributs, et non pas pour les identités les noms de compte devrait être éphémère Les utilisateurs doivent être libres de choisir et de changer leur nom de compte Les applications doivent enregistrer un identifiant de compte, pas le nom de compte règles dynamiques et pas de rôles statiques K.U.Leuven COSIC, 14

8 Gestion de l'identité intégrée (à l'intérieur d'une organisation) système RH Identity Manager Staff System Sources authentiques CAS LDAP Active Directory Domain Controllers Websites Unix Hosts Windows Hosts Applications/ Services K.U.Leuven COSIC, 15 Comment grandir? Étape 2: fédérer (identité 1.5) identité fédérée: des titres de compétences ( credentials ) d'une entité qui relie l identité partielle d'une entité dans un contexte ou domaine de confiance à l'identité partielle d'une entité dans un autre contexte ou domaine de confiance Note: peut aussi être utilisé à l'intérieur d'une organisation K.U.Leuven COSIC, 16

9 Single Sign On: authentification unique Peut utiliser toute méthode d'authentification! identity provider (IDP) relying party (RP) 1 (service provider) relying party (RP) 2 (service provider) Identity provider: fournisseur d'identité Relying party: partie se fiant relying party (RP) 3 (service provider) K.U.Leuven COSIC, 17 Single Sign-On (SSO) (1/4) User 2. Redirection vers IDP IDP 3. Authentifier 4. Créer SSO token pour le sujet 5. Obtenir affirmations destinés à RP1 et créer token de sécurité 1. Accès RP1 RP1 K.U.Leuven COSIC, 18

10 Single Sign-On (SSO) (2/4) User IDP 6. Rediriger vers RP1 avec token de sécurité 3. Authentifier 4. Créer SSO token pour le sujet 5. Obtenir affirmations destinés à RP1 et créer token de sécurité RP1 SP1 SP2 K.U.Leuven COSIC, 19 Single Sign-On (SSO) (3/4) User 8. Redirection vers IDP IdP 9. Ne pas ré-authentifier sujet parce qu il existe un SSO token 10. Obtenir affirmations destinés à RP2 et créer token de sécurité 7. Accès RP2 RP2 K.U.Leuven COSIC, 20

11 Single Sign-On (SSO) (4/4) User IdP 11. Rediriger vers RP2 avec token de sécurité 9. Ne pas ré-authentifier sujet parce qu il existe un SSO token 10. Obtenir affirmations destinés à RP2 et créer token de sécurité 7. Access RP2 RP2 K.U.Leuven COSIC, 21 Single Sign-On Variantes prendre contact avec IDP ou RP token d'accès peut être poussé par l'utilisateur vers RP ou peut être tiré par RP de l IDP Token d'accès: clé symétrique ou clé publique symétrique: IDP et RP doivent partager une clé secrète (exemple: Kerberos) asymétrique (signature numérique): IDP et RP doivent faire confiance à un CA commun (exemple: SAML) K.U.Leuven COSIC, 22

12 SAML (Security Assertion Markup Language) (2001) OASIS Security Services Technical Committee (SSTC) Norme basée sur XML pour échanger des données pour l'authentification et l'autorisation SAML assertions: décrivent les tokens de sécurité représentant les usagers SAML bindings (fixations): lien avec le protocole de communication SAML profiles (profils): pour authentification unique (SSO) générique, mais plutôt complexe IDP-friendly (par exemple, préconfigurer IDP pour les RP) pseudonymes SAML 1.0 (Nov. 02) SAML 2.0 (March 05) incompatible avec 1.0/1.1 coordonnée avec Liberty Alliance ID-FF 1.2 mais pas compatible profils: Web browser SSO, WSS-Security, Liberty ID-FF and ID-WSF, XAXML v2.0 K.U.Leuven COSIC, 23 Single Sign-On pratique (facile à utiliser) plus sûr que multiples mots de passe peut s'appuyer sur un mécanisme d'authentification unique, mais plus sûr risque de violation du mécanisme d'authentification est considérablement plus élevé est-ce qu il y a un single sign-off? redirection par RP peut faciliter le phishing IDP est le point de défaillance unique si le RP est contacté d'abord, comment sait-il quel IDP il doit contacter? (problème de découverte) risques pour la protection de la vie privée le partage des données: par exemple, Facebook ou LinkedIn peuvent accéder au compte Gmail contrôle central d'accès: qui fait quoi quand K.U.Leuven COSIC, 24

13 Les normes: il y a plein de choix WS-Federation K.U.Leuven COSIC, 25 Plan Gestion de l'identité définitions gestion de l'identité 1.0 gestion de l'identité 1.5 Concepts d'identité et gestion de l'identité 2.0 CID en Belgique Interoperabilité L avenir 7 June 2010 K.U.Leuven COSIC, 26

14 Identité: principes de base [Kim Cameron, Microsoft, 05] (également appelé les lois d identité ) 1. contrôle de l'utilisateur et le consentement 2. divulgation minimale de l'information pour un usage limité 3. divulgation limitée à des parties justifiable 4. identités: omni-directionnelle et uni-directionnel 5. ouvert: opérateurs et technologies 6. l'intégration de l'homme: facilité d'utilisation 7. expérience cohérente dans tous les contextes perspicace et réfléchi dépendantes du contexte sur l'informatique et la technologie principes et non des «lois» pourrait aussi être appelé: les 7 erreurs commises par Passport K.U.Leuven COSIC, 27 Méta-système d'identité fournisseur d'identité (IDP) relying party (service provider) relying party (service provider) fournisseur d'identité (IDP) sélecteur d'identité relying party (service provider) fournisseur d'identité (IDP) relying party (service provider) K.U.Leuven COSIC, 28

15 Identité 2.0 besoin d une vue cohérente pour l'utilisateur: le sélecteur d'identité essentiels: le modèle mental et la facilité d'utilisation evoluer de centrée sur l'entreprise centrée vers centrée sur l'utilisateur (l'utilisateur a le contrôle) pas de définition unique confirmer des attributs en prouvant des assertions («claims») assertion: «une affirmation de la veracité d une proposition, notamment lorsque celle-ci est contestée ou mise en doute» questions clés: est-ce que les utilisateurs sont capables de gérer leurs identités? est-ce que les utilisateurs sont qualifiés pour gérer leurs identités? (par exemple, pas dans l'e-gouvernement) protection de la vie privée peut signifier plusieurs choses... K.U.Leuven COSIC, 29 Sélecteurs d'identité Microsoft CardSpace (précédemment InfoCard) [2006] résout le problème de la découverte de l IDP sur la base des technologies suivantes: WS-* (Security, Trust, Federation, ) SAML 2.0 Enhanced Client Proxy Profile SSL EV (extended validation) Eclipse project Higgins: open source browser add-on (plug-in API): agent d'identité services d'identité le stockage des données personnelles K.U.Leuven COSIC, 30

16 Gestion de l'identité basée sur URL: OpenID (2005) utilisateur fournit URL d identité à la RP mécanisme SSO (redirection) v v ouvert: risque pour la vie privée focus sur les consommateurs (chiffres de déc. 09): > 1 milliard openids 9 million sites offrent OpenID (AOL, BBC, Google, IBM, Microsoft, MySpace, Orange, PayPal, VeriSign, LiveJournal, Yandex, Ustream, Yahoo!) K.U.Leuven COSIC, 31 l Identité basée sur URL + simple, léger et extensible + facile pour les RP + l'utilisateur peut auto-valider attributs et héberger son propre fournisseur + utilise des technologies web/navigateur existantes + facile à adopter: pas de nouveaux logiciels nécessaires + accessible de partout inconvénient de taper les URL (pas de découverte de IDP par RP) ouverte à des attaques de phishing (à cause de redirection) modèle de confiance: noir et blanc interface utilisateur pas toujours cohérent pas de SSL requis peut-on faire confiance à des affirmations auto-validées? K.U.Leuven COSIC, 32

17 Plan Gestion de l'identité définitions gestion de l'identité 1.0 gestion de l'identité 1.5 Concepts d'identité et gestion de l'identité 2.0 CID en Belgique Interoperabilité L avenir 7 June 2010 K.U.Leuven COSIC, 33 Gestion de l'identité pour l e-gouvernement exigences spécifiques: la sécurité, l'échelle, la législation ne pas copier les solutions commerciales nécessité d'une fédération national; régional (états, territoires); ville; international? secteur des administrations publiques: impôts, sécurité sociale, santé, transport, vote contexte: le gouvernement, les finances, les assurances, les transports publics est-ce que l investissement peut être réutilisé par le secteur privé? nombre limité d'utilisations de l'e-gov par an (<2?) horizon des concepts à déploiement complet progrès rapides de la gestion de l'identité sur Internet K.U.Leuven COSIC, 34

18 CID électronique dans le monde CID dans la plupart des pays obligatoire dans 100 pays pas de CID: Australia, Canada, Denmark, Ireland, Latvia, Lithuania, USA sujet délicat la guerre, la religion, la race, les insurgés de nombreux pays sont sont en train de déployer des CID cartes d'identité électroniques (ou ils ont l'intention de le faire) Allemagne: 3 cartes (CID, carte de santé et carte d'emploi) K.U.Leuven COSIC, 35 Secteur privé/public outsourcing co-sourcing insourcing Bank ID utilisé par les portails de l'administration (Norvège) part de marché applications Autriche, Estonie, Malte, Les Pays-Bas la vie privée Belgique, Italie K.U.Leuven COSIC, 36

19 Fédération identifiants uniques globales: Belgique, République Tchèque, Hong Kong, Irlande, Luxembourg, Royaume-Uni... illégale dans certains pays identifiant par le contexte: les Pays-Bas (?) identifiant par secteur: l'autriche, la France base de données centrale, avec toutes les informations: Royaume-Uni utilisation de bases de données distinctes avec une connexion contrôlée: Belgique stockage central très limité: l'allemagne l'utilisation la cryptographie avancée credentials (divulgation minimale) K.U.Leuven COSIC, 37 Mécanismes pour la protection de la vie privée pseudonymes user master ID f code secteur sector ID l'authentification mutuelle Allemagne: certificats de courte durée (quelques jours) pour tous les lecteurs de cartes credentials (divulgation minimale) Projet ADAPID en Belgique: K.U.Leuven COSIC, 38

20 Cartes à puce contact: Autriche, Belgique, Finlande, France, Espagne, Royaume-Uni, Estonie, Italie,.. sans contact: Allemagne + mobile: Autriche Pas de carte à puce : Bosnie solution standardisée facile à déployer au niveau national/international perception du public variable des CID classiques et des cartes à puce moins flexible K.U.Leuven COSIC, 39 Biometrie biometrie (en plus d'une photo): Brésil, France, Hong Kong, Italie, Corée, Malaisie, Oman, Espagne, Royaume-Uni 2 empreintes digitales pour les passeports (demande OACI, Organisation de l'aviation Civile Internationale) empreintes digitales enlevé en Grèce (2002) peut permettre de détecter les enregistrements doubles amélioration de la sécurité risque pour la sécurité et la protection de la vie privée en cas de stockage dans une base de données centrale K.U.Leuven COSIC, 40

21 CID électronique en Belgique 1 million de cartes produits et délivrés en 6 mois Disponible dans toutes les 589 communes K.U.Leuven COSIC, 41 CID électronique en Belgique: l histoire 13 déc 1999: directive européenne enne 1999/93/EC Signature électronique 22 sept 2000: Conseil des ministres approuve CID étude de concept 19 July 2001: Conseil des ministres approuve les concepts de base (carte à puce, certificats, pas d'intégration avec la carte SIS, le ministère de l'inté- rieur est responsable de l'infrastructure RN, des municipalités s pilotes, de production de cartes, le cadre juridique,... Fedict des services de certification 3 Jan 2002: Conseil des ministres assigne l infrastructure RN à Steria sept 2002: Conseil des ministres assigne productions des cartes à Zetes,, services de certification à Belgacom 31 mars 2003: 4 premières res CID électroniques délivrées aux fonctionnaires 9 mai 2003: municipalité premier pilote commence à distribuer des CID électronique fin 2009: tous les citoyens ont une CID électronique sept : toutes les nouvelles CIDs sont des CID électronique 27 sept : début du roll-out national 25 jan : début de l'évaluation phase pilote 25 juil : 11ème municipalité pilote commence K.U.Leuven COSIC, 42

22 CID électronique: : production et délivrance (1/2) Personalisation de carte (PC) Initialisation de carte (IC) (5) (4) (6) (10a ) (8) (10a ) Registre National (RN) (3) (7) (9) Certification Authority (CA) Municipalité (0) (10b) (1) (11) Citizen PIN & PUK Authentification face à face (2) 7-Jun-10 (12) Citoyen (13) K.U.Leuven ESAT/COSIC Danny K.U.Leuven De Cock, COSIC, 43 CID électronique: : production et délivrance (2/2) 0: citoyen reçoit une lettre de convocation ou prend l'initiative 1: visite à la municipalité avec photo 2: demande formelle CID est signée 3,4: PC reçoit eid demande du RN 5: PC imprime nouvelle CID, IC démarre la génération des paires de clés sur la carte 6: RN reçoit une partie du code d'activation de la CID ( PUK1) 7: CA reçoit des demandes de certificat 8: CA génère deux nouveaux certificats et produit nouveau CRL 9: IC écrit les certificats sur la carte eid 10a: IC écrit des données des citoyens (ID, adresse,...) sur la carte et désactive la carte 10b: CI envoie une lettre d'invitation avec un code PIN et PUK2 code d'activation au citoyen 11: citoyen reçoit une lettre d'invitation 12: fonctionnaire démarre la procédure d'activation de la CID 13: CID calcule une signature avec chaque clé privée, CA supprime les certificats de la CRL K.U.Leuven COSIC, 44

23 CID électronique: fonctions non-électronique authentification visible d'une personne électronique identification numérique Saisie des données prouver son identité signature authentification Signer numériquement des données signature non-répudiation Administration changement PIN, débloquer PIN K.U.Leuven COSIC, 45 Aspects visuels d'un CID Front: Nom Les deux premiers noms Première lettre du 3ème nom Titre Nationalité Lieu et date de naissance Sexe Numéro de la carte Photo du titulaire Dates de validité de la carte (début/fin) Signature manuscrite du titulaire Dos: Lieu de livraison de la carte Numéro national d'identification (RN) Signature manuscrite du fonctionnaire Zone OACI (L'aviation civile internationale) K.U.Leuven COSIC, 46

24 CID en Belgique Citoyens Enfants Étrangers Carte CID Carte enfant Carte étrangers K.U.Leuven COSIC, 47 CID contenu PKI données d'identité du citoyen Authentification ID ID ADRESSE ADRESSE Signature Root CA CA RN 140x200 Pixels 8 BPP Octets SIGNATURE SIGNATURE RN RN SIGNATURE SIGNATURE RN RN RN = Registre National K.U.Leuven COSIC, 48

25 Fichier d identité (~160 octets) La puce: numéro de la puce Le citoyen nom 2 premiers noms première lettre du 3ème prénom numéro d'identification RN nationalité lieu et date de naissance sexe condition noble statut spécial hachage SHA-1 du photo du citoyen La carte numéro de la carte date de validité (début/ fin) municipalité de livraison Type de document La signature numérique sur le fichier d'identité calculée par le RN Roi, Prince, Comte, Baron, pas de statut, canne blanche (personnes aveugles), canne jaune (malvoyants), minorité prolongée, une combinaison Belgian citoyen/enfant, Communauté européenne citoyen/enfant, non-ce citoyen/enfant, carte bootstrap, carte habilitation Belgium Root CA Citizen CA Gov K.U.Leuven COSIC, 49 CA Certificats lier les clés publiques à des entités chaîne de certificats créés par le gouvernement belge Belgium CA Racine CA Citoyen Auth Cert Nonrep Cert K.U.Leuven COSIC, 50

26 Certificat du citoyen Citizen Qualified certificate (~1000 bytes) Version: 3 (0x2) Serial Number: 10:00:00:00:00:00:8d:8a:fa:33:d3:08:f1:7a:35:b2 Signature Algorithm: sha1withrsaencryption (1024 bit) Issuer: C=BE, CN=Citizen CA, SN= Not valid before: Apr 2 22:41: GMT Not valid after: Apr 2 22:41: GMT Subject: C=BE, CN=Sophie Dupont (Signature), SN=Dupont, GN=Sophie Nicole/serialNumber= Subject Public Key Info: RSA Public Key: [Modulus (1024 bit): 4b:e5:7e:6e: :86:17, Exponent: (0x10001)] X509v3 extensions: Certificate Policies: Policy: CPS: Key Usage: critical, Non Repudiation Belgium Root CA Citizen CA Gov Authority Key Identifier: [D1:13: :7F:AF:10] CRL Distribution Points: URI:http://crl.eid.belgium.be/eidc0002.crl Netscape Cert Type: S/MIME Authority Information Access: CA Issuers - URI:http://certs.eid.belgium.be/belgiumrs.crt OCSP - URI:http://ocsp.eid.belgium.be Qualified certificate statements: [00...F..] Signature: [74:ae:10: :e0:91] CA Citizen Authentication certificate (~980 bytes) Version: 3 (0x2) Serial Number: 10:00:00:00:00:00:0a:5d:9a:91:b1:21:dd:00:a2:7a Signature Algorithm: sha1withrsaencryption (1024 bit) Issuer: C=BE, CN=Citizen CA, SN= Not valid before: Apr 2 22:40: GMT Not valid after: Apr 2 22:40: GMT Subject: C=BE, CN=Sophie Dupont (Authentication), SN=Dupont, GN=Sophie Nicole/serialNumber= Subject Public Key Info: RSA Public Key: [Modulus (1024 bit): cf:ca:7a:77: :5c:c5, Exponent: (0x10001)] X509v3 extensions: Certificate Policies: Policy: CPS: Key Usage: critical, Digital Signature Authority Key Identifier: [D1:13: 7F:AF:10] CRL Distribution Points: URI:http://crl.eid.belgium.be/eidc0002.crl Netscape Cert Type: SSL Client, S/MIME Authority Information Access: CA Issuers - URI:http://certs.eid.belgium.be/belgiumrs.crt OCSP - URI:http://ocsp.eid.belgium.be Signature: [10:ac:04: :e9:04] K.U.Leuven COSIC, 51 Certificats et clés de signature numérique 2 paires de clés pour les citoyens Signature authentification X.509v3 certificat authentification Signature électroniques avancé (nonrépudiation) X.509v3 certificat qualifié Peut être utilisé pour produire des signatures numériques équivalentes à des signatures manuscrites, cfr.. directive européenne enne 1999/93/CE 1 paire de clé pour la carte Authentifcation de la CID (paire( de clés basique) Pas de certificate: : RN (/Registre National) connaît la clé publique qui correspond à la CID K.U.Leuven COSIC, 52

27 Signature électronique directive européenne enne 1999/93/CE Ex.: courrier electronique Signature électronique Signature électronique avancée Article 2.2 (technologie PKI) Ex. Signature numérique Ex.: Signature numérique avec certificat qualifié Signature électronique qualifiée Article 5.1 (authentification/enregistrement) +Annex I: Q-Cert +Annex II: Q-CSP +Annex III: SSCD K.U.Leuven COSIC, 53 Hiérarchie des certificats CID 2048-bit RSA Belgium Root CA ARL Belgium Root CA 2048-bit RSA Card Admin CA CRL Citizen CA CRL Foreigners CA CRL Gov CA CRL 1024-bit RSA évolue vers 2048-bit RSA Card Admin Cert Admin Auth Cert Administration de la carte: mise à jour adresse, génération de paire de clés, stocakges des certificats,... Nonrep Cert Auth Cert Nonrep Cert Server Cert Code sign Cert RRN Cert certificats pour les serveurs Web du gouvernement, signature des fichiers citoyen,... K.U.Leuven COSIC, 54

28 Utilisation d'une carte à puce sur un PC Ordinateur du citoyen navigateur clavier, souris PCSC regarde touche écran PIN Pad Lecteur carte à puce ISO 7816 K.U.Leuven COSIC, 55 Applications CID électronique E-gouvernment Demande des documents officiels attestations de l état civil, introduire une demande de permis de bâtir, accès aux bases de données RN etax déclaration d'impôt déclaration TVA ejustice La soumission électronique des conclusions eaccess L'authentification du client pour les serveurs web Secure chat (12-16 années) Contrôle d'accès: dépôt de déchets, bibliothèque, piscine,... emove factures d'eau contrats d'énergie elogin Windows Gina, Vista, Citrix etransport titre de transport (trains) ecommerce Online opening of new account Digital Rights Management Qualified signature Contract signing ebanking demande de prêt hypothécaire Le courrier recommandé authentifié ework L'enregistrement du temps de travail eadministration Saisie des données l'enregistrement d'immatriculation de voitures signature eforms signature format PDF ehealth accès au dossier patient carte d'assurance Ecotrack (future) consommation d eau, de gaz et d électricité en temps réel K.U.Leuven COSIC, 56

29 Leçons (1): complexité cryptographie, certificates, enregistrements, contrats,.. plus grande complexité: applications, évolution rapide de l informatique K.U.Leuven COSIC, 57 Leçons (2): sécurité et facilité d'utilisation sur l'ordinateur client intégrer les cartes à puce avec l'application directive/normes ETSI: très complexes pas de normes obligatoires pour les applications décision de remplacer le middleware par un applet pour exposer toutes les fonctionnalités de la CID Plates-formes: Windows, Mac OS X, Linux Navigateurs: Firefox, IE MS, Safari, Chrome K.U.Leuven COSIC, 58

30 Leçons (3): SSL/TLS utilisation principale de l'eid authentification sécurisée à distance dans des environnements clientserveur primaire environnement client-serveur: navigateur web problème TLS/SSL avec authentification mutuelle: renégociation + pas de déconnexion (logout) on ne peut pas demander que l utilisateur entre son code PIN à chaque fois conséquence: le risque de phishing ou même l'obtention de signatures sans la permission explicite des utilisateurs (si on utilise un seul PIN pour authentification/signature numérique) solution: d abord l'authentification SSL unilatérale, puis une authentification (lié au contexte) à l'intérieur du canal sécurisé K.U.Leuven COSIC, 59 Leçons (4): signature numérique vérification complexe, en particulier si la sécurité à long terme est nécessaire (XAdES-X-L) what you see is what you sign problem (wysiwys): est-ce que vous voyez ce que vous signez? il faut faire confiance à l ordinateur du citoyen phishing l'atténuation de ce risque: lecteur de carte avec écran (plus cher) K.U.Leuven COSIC, 60

31 Leçons (5): fournisseur d'identité (IDP) besoin d'un service plutôt que d'une carte basée sur SAML et open SSO interfaces avec OpenID K.U.Leuven COSIC, 61 Plan Gestion de l'identité définitions gestion de l'identité 1.0 gestion de l'identité 1.5 Concepts d'identité et gestion de l'identité 2.0 CID en Belgique Interoperabilité (projet STORK) L avenir 7 June 2010 K.U.Leuven COSIC, 62

32 STORK Roadmap (https://www.eid-stork.eu/) Framework mapping Legal interoperability priority technologies Quality authenticator scheme eid PROCESS FLOWS Functional Design Technical Design Common, SAML based specifications have recently been agreed by the STORK consortium Construction & Implementation Exploitation Evaluation Assessment on common specifications on eid Cross-border authentication platform K.U.Leuven COSIC, 63 STORK Interoperability Models One Interoperability Framework, two basic models STORK will investigate and pilot two interoperability models: 1. Middleware (MW) 2. Pan-European Proxy Services (PEPS)... and combine them (MW MW, PEPS PEPS, MW PEPS, PEPS MW) The common specifications have been designed so PEPS that major components operate on the same protocols, irrespective the model or its combinations K.U.Leuven COSIC, 64

33 STORK Example of Middleware Architectures Application MOA-ID (Server-Middleware) Service Provider Domain Application eid Server (Server-Middleware) Internet Internet Bürgerkartenumg. (Client-Middleware) Client Domain Bürgerclient (Client-Middleware) K.U.Leuven COSIC, 65 STORK PEPS data flow (logical) STORK K.U.Leuven COSIC, 66

34 Credentials anonymes [Chaum 85] Credential = titre de compétences 7 June 2010 K.U.Leuven COSIC, 67 Credentials anonymes (2/3) protocoles cryptographiques entre <IDP,utilisateur,RP> <Issuer, Prover, Verifier> Prover peut prouver qu'il est titulaire d une signature avec certains attributs ou toute autre expression calculée sur les attributs (arithmétique simple, Boolean) (par exemple salaire >= et contrat permanent) Verifier n obtient aucune information supplémentaire sauf en cas d'abus - un juge peut intervenir L'utilisateur est protégé, même si il ya une collusion entre le Issuer et le Verifier 7 June 2010 K.U.Leuven COSIC, 68

35 Credentials anonymes (3/3) protocoles cryptographiques Chaum-Pedersen and Brands: Credentica U-Prove (Microsoft) Camenish-Lysyanskaya: Idemix (IBM) annonce récente: brevets seront «libérés» note: exige des communications anonymes App App Com Com IP 7 June 2010 Alice Bob K.U.Leuven COSIC, 69 L avenir évolution vers une plus grande intégration et des systèmes ouverts: Initiative Kantara, groupe de travail Identity Commons Open Source Identity System intégration avec les téléphones portables (SIM / USIM) et de CID? architecture: plutôt tirer que pousser (trop nombreuses applications) contrôle utilisateur peut être remplacé par un contrôle de tiers mécanismes de réputation provenant de réseaux sociaux les différences culturelles très difficiles à surmonter: le rôle du gouvernement, les banques, les bureaux de notation de crédit,... K.U.Leuven COSIC, 70

36 Conclusions gestion de l'identité est étroitement liée à nos interactions sociales et économiques technologie de gestion d'identité est en évolution rapide les concepts de notre société (comme la notion d'identité) changent que lentement déploiement CID électronique: 10 ans est est une période très longue sur l internet sécurité pour la société se développera, mais la protection de la vie privée va éroder facilité d'utilisation et le profilage ont plus d'importance que la minimisation des données nous ne comprenons pas encore l impact sur notre société 7 June 2010 K.U.Leuven COSIC, Danny De Cock 71 Savoir plus? D. De Cock, K. Wouters, B. Preneel: Introduction to the Belgian EID Card: BELPIC. EuroPKI 2004, LNCS 2093, pp. 1-13, Springer-Verlag Liens Middleware: Applet: K.U.Leuven COSIC, 73

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction

Plus en détail

La renaissance de la PKI L état de l art en 2006

La renaissance de la PKI L état de l art en 2006 e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +41 22 727 05 55 Fax +41 22 727 05 50 La renaissance de la PKI L état de l art en 2006 Sylvain Maret / CTO e-xpertsolutions S.A. Clusis,

Plus en détail

Tour d horizon des différents SSO disponibles

Tour d horizon des différents SSO disponibles Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire

Plus en détail

Sécurisation des architectures traditionnelles et des SOA

Sécurisation des architectures traditionnelles et des SOA Sécurisation des architectures traditionnelles et des SOA Un livre blanc de Bull Evidian Gestion SAML des accès SSO aux applications classiques et J2EE. Max Vallot Sommaire Émergence des architectures

Plus en détail

IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr. JTO décembre 2002

IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr. JTO décembre 2002 IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr JTO décembre 2002 Chiffrement asymétrique Confidentialité d un message : le chiffrer avec la clé publique du destinataire.

Plus en détail

Formation SSO / Fédération

Formation SSO / Fédération Formation SSO / Fédération CYRIL GROSJEAN (cgrosjean@janua.fr) CONSULTANT JANUA Agenda Objectifs du SSO Terminologie, acronymes et protocoles Présentation d'architectures de SSO Présentation d'architectures

Plus en détail

Les certificats numériques

Les certificats numériques Les certificats numériques Quoi, pourquoi, comment Freddy Gridelet 9 mai 2005 Sécurité du système d information SGSI/SISY La sécurité : quels services? L'authentification des acteurs L'intégrité des données

Plus en détail

Centre de personnalisation de la puce pour la signature électronique

Centre de personnalisation de la puce pour la signature électronique REPUBLIQUE ALGERIENNE DEMOCRATIQUE ET POPULAIRE MINISTERE DE LA JUSTICE Centre de personnalisation de la puce pour la signature électronique Par Monsieur AKKA Abdelhakim Directeur Général de la Modernisation

Plus en détail

Implémentation libre de Liberty Alliance. Frédéric Péters

Implémentation libre de Liberty Alliance. Frédéric Péters <fpeters@entrouvert.com> Lasso Implémentation libre de Liberty Alliance Frédéric Péters Vandœuvre Projet «carte de vie quotidienne» de l'adae Carte démocr@tics Standards PKCS11/15, X.509, etc. Respect

Plus en détail

Authentification et contrôle d'accès dans les applications web

Authentification et contrôle d'accès dans les applications web Authentification et contrôle d'accès dans les applications web Quelques Rappels Objectifs : contrôler que seulement Certains utilisateurs Exécutent certaines opérations Sur certains objets Trois entités

Plus en détail

Middleware eid v2.6 pour Windows

Middleware eid v2.6 pour Windows Manuel d'utilisation Middleware eid v2.6 page 1 de 19 Table des matières Introduction...3 Installation...4 Les éléments du logiciel eid...6 Module pour la zone de notification dans la barre des tâches...7

Plus en détail

LA CARTE D IDENTITE ELECTRONIQUE (eid)

LA CARTE D IDENTITE ELECTRONIQUE (eid) LA CARTE D IDENTITE ELECTRONIQUE (eid) MANUEL POUR WINDOWS VERSION 1.1 Avis de rejet de responsabilité Fedict ne peut être tenu pour responsable d aucun préjudice qu un tiers pourrait subir suite à d éventuelles

Plus en détail

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France Gestion des Identités : 5 règles d'or Patrice Kiotsekian Directeur Evidian France Page 1 - Mai 2005 Défi N 1 : la gestion de la cohérence Alors que les référentiels et bases d identité et de sécurité sont

Plus en détail

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009 Aristote Groupe PIN Utilisations pratiques de la cryptographie Frédéric Pailler (CNES) 13 janvier 2009 Objectifs Décrire les techniques de cryptographie les plus courantes Et les applications qui les utilisent

Plus en détail

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com > Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com > Www.linalis.com Sommaire Présentation de Linalis Le SSO Les différentes implémentations majeures Drupal & Consort Retour d'expérience sur projet

Plus en détail

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM LemonLDAP::NG / SAML2 Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM 16, 17 et 18 MARS 2010 SOMMAIRE Définition du WebSSO Présentation de LemonLDAP::NG SAML2 et

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références 2 http://securit.free.fr Introduction aux concepts de PKI Page 1/20

Plus en détail

Du 03 au 07 Février 2014 Tunis (Tunisie)

Du 03 au 07 Février 2014 Tunis (Tunisie) FORMATION SUR LA «CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES TRANSACTIONS ELECTRONIQUES» POUR LES OPERATEURS ET REGULATEURS DE TELECOMMUNICATION Du 03 au 07 Février 2014 Tunis (Tunisie) CRYPTOGRAPHIE ET SECURITE

Plus en détail

DESCRIPTION DU COMPOSANT

DESCRIPTION DU COMPOSANT Gestion des utilisateurs et des accès Composant pour un Egov intégré Qu'est-ce qu'un composant? C est un élément indispensable à l intégration des systèmes e-gov des différents niveaux politiques. Cet

Plus en détail

Gestion des identités

Gestion des identités HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des identités 17 décembre 2004 Hervé Schauer CISSP, ProCSSI

Plus en détail

Gestion et contrôle des accès informatiques

Gestion et contrôle des accès informatiques Gestion et contrôle des accès informatiques Un livre blanc de Bull Evidian Mot de passe unique et gestion centralisée des accès pour les établissements publics et les collectivités territoriales Par Cathy

Plus en détail

Sécurité sur le GRID

Sécurité sur le GRID Enabling Grids for E-sciencE Sécurité sur le GRID Sophie Nicoud (CNRS/UREC) Tutorial EGEE EGEODE Administrateur CGG 8 Nov. 2006 www.eu-egee.org EGEE-II INFSO-RI-031688 EGEE and glite are registered trademarks

Plus en détail

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Guide Share France. Web Single Sign On. Panorama des solutions SSO Web Single Sign On Panorama des solutions SSO Agenda Concepts généraux Quelques solutions de Web SSO Questions & Réponses Définition Qu est-ce que le Single Sign-On? Solution visant à minimiser le nombre

Plus en détail

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Fédération Définit un cercle de confiance constitué de Fournisseurs d'identités

Plus en détail

Tutorial Authentification Forte Technologie des identités numériques

Tutorial Authentification Forte Technologie des identités numériques e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +1 22 727 05 55 Fax +1 22 727 05 50 Tutorial Authentification Forte Technologie des identités numériques Volume 1/3 Par Sylvain Maret /

Plus en détail

Modèle de sécurité de la Grille. Farida Fassi Master de Physique Informatique Rabat, Maroc 24-27 May 2011

Modèle de sécurité de la Grille. Farida Fassi Master de Physique Informatique Rabat, Maroc 24-27 May 2011 Modèle de sécurité de la Grille Farida Fassi Master de Physique Informatique Rabat, Maroc 24-27 May 2011 2 Plan Introduction a la sécurité sur la Grille de Calcul Grid Security Infrastructure (GSI) Authentification

Plus en détail

La fédération d identité Contexte, normes, exemples

La fédération d identité Contexte, normes, exemples La fédération d identité Contexte, normes, exemples Le 10 mai 2011 Communication, reproduction ou utilisation interdites sauf autorisation préalable d Arismore. No communication, reproduction or use without

Plus en détail

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI Cryptologie Algorithmes à clé publique Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Cryptographie à clé publique Les principes essentiels La signature électronique Infrastructures

Plus en détail

ENVOLE 1.5. Calendrier Envole

ENVOLE 1.5. Calendrier Envole ENVOLE 1.5 Calendrier Envole RSA FIM 1 avril 2008 V 1.13 sur EOLE V 2.0 1 septembre 2008 EOLE V 2.1 10 octobre 2008 V 1.15 RC sur EOLE V 2.0 Modification du SSO EOLE 2.2 (PAM-CAS, CT EOLE V 2.2 RC Prise

Plus en détail

mikael.ates@univ st etienne.fr

mikael.ates@univ st etienne.fr 2008 mikael.ates@univ st etienne.fr Sommaire Présentation générale Standards et état de l'art Logiciels et licences Cas d'usage Interopérabilité A venir dans FederID et Avenir de FederID 2 Contexte La

Plus en détail

Tutorial Authentification Forte Technologie des identités numériques

Tutorial Authentification Forte Technologie des identités numériques e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +1 22 727 05 55 Fax +1 22 727 05 50 Tutorial Authentification Forte Technologie des identités numériques Volume 2/3 Par Sylvain Maret /

Plus en détail

Chapitre 2 Rôles et fonctionnalités

Chapitre 2 Rôles et fonctionnalités 19 Chapitre 2 Rôles et fonctionnalités 1. Introduction Rôles et fonctionnalités Les rôles et fonctionnalités ci-dessous ne sont qu'une petite liste de ceux présents dans Windows Server 2012 R2. 2. Les

Plus en détail

SuisseID Mon «moi numérique»

SuisseID Mon «moi numérique» Mon «moi numérique» Si vous pouvez lire ce texte, vous devez réinsérer le transparent du modèle d'origine à l'aide de la fonction "insérer transparent" dans le menu de la Poste.. Sinon, il est impossible

Plus en détail

Les technologies de gestion de l identité

Les technologies de gestion de l identité Commission Identité Numérique Groupe de travail Gestion des identités Les technologies de gestion de l identité ATELIER 1 Paul TREVITHICK, CEO de Parity Responsable projet Higgins Président Fondation Infocard

Plus en détail

EJBCA Le futur de la PKI

EJBCA Le futur de la PKI EJBCA Le futur de la PKI EJBCA EJBCA c'est quoi? EJBCA est une PKI (Public Key infrastructure) ou IGC (Infrastructure de gestion de clés) sous licence OpenSource (LGPL) développée en Java/J2EE. EJBCA bien

Plus en détail

Le rôle Serveur NPS et Protection d accès réseau

Le rôle Serveur NPS et Protection d accès réseau Le rôle Serveur NPS et Protection d accès réseau 1 Vue d'ensemble du module Installation et configuration d'un serveur NPS Configuration de clients et de serveurs RADIUS Méthodes d'authentification NPS

Plus en détail

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante Solutions d accès sécurisées pour opérer une Market Place Saas multitenante Plan de la présentation Le Saas et les enjeux économiques des services en ligne La notion de shops multi-tenantes dans une market

Plus en détail

Introduction. aux architectures web. de Single Sign-On

Introduction. aux architectures web. de Single Sign-On Introduction aux architectures web de Single Sign-On Single Sign-on Authentifier 1 seule fois un utilisateur pour accéder à un ensemble d applications contexte web Nombre croissant d applications ayant

Plus en détail

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES TRANSACTIONS ELECTRONIQUES : STANDARDS, ALGORITHMES DE HACHAGE ET PKI» DU 22 AU 26 JUIN 2015 TUNIS (TUNISIE) CRYPTOGRAPHIE APPLIQUEE ET SECURITE DES

Plus en détail

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian Les 7 méthodes d authentification les plus utilisées Un livre blanc Evidian Appliquez votre politique d authentification grâce au SSO d entreprise. Par Stéphane Vinsot Chef de produit Version 1.0 Sommaire

Plus en détail

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs HASH LOGIC s e c u r i t y s o l u t i o n s Version 1.0 de Janvier 2007 PKI Server Une solution simple, performante et économique Les projets ayant besoin d'une infrastructure PKI sont souvent freinés

Plus en détail

Authentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011

Authentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011 1 Authentification avec CAS sous PRONOTE.net 2011 Version du lundi 19 septembre 2011 2 1 - Vocabulaire employé et documentation... 3 1.1 - SSO (Single Sign-On)... 3 1.2 - CAS (Central Authentication Service)...

Plus en détail

Secure Java Card for Federate Identity Management

Secure Java Card for Federate Identity Management Secure Java Card for Federate Identity Management Projet de diplôme 2008 David Olivier Responsables internes : Philippe Joye, Rudolf Scheurer Responsable externe : François Weissbaum Expert : Pierre-Alain

Plus en détail

Par KENFACK Patrick MIF30 19 Mai 2009

Par KENFACK Patrick MIF30 19 Mai 2009 Par KENFACK Patrick MIF30 19 Mai 2009 1 Introduction II. Qu est ce qu un OpenId? III. Acteurs IV. Principe V. Implémentation VI. Sécurité VII. conclusion I. 2 Vue le nombre croissant de sites web nous

Plus en détail

Oauth : un protocole d'autorisation qui authentifie?

Oauth : un protocole d'autorisation qui authentifie? Oauth : un protocole d'autorisation qui authentifie? Maxime Féroul Directeur Technique / KYOS IT SECURITY Application Security Forum - 2012 Western Switzerland 7-8 novembre 2012 - Y-Parc / Yverdon-les-Bains

Plus en détail

PortWise Access Management Suite

PortWise Access Management Suite Créez un bureau virtuel pour vos employés, partenaires ou prestataires depuis n importe quel endroit et n importe quel appareil avec Portwise Access Manager et Authentication Server. Fournir des accès

Plus en détail

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008 La suite logicielle Lin ID Paris Capitale du Libre 25 septembre 2008 Pourquoi Lin ID? Le domaine de la gestion des identités est vaste et complexe L'offre logicielle est réduite, dominée par quelques grands

Plus en détail

Protocole industriels de sécurité. S. Natkin Décembre 2000

Protocole industriels de sécurité. S. Natkin Décembre 2000 Protocole industriels de sécurité S. Natkin Décembre 2000 1 Standards cryptographiques 2 PKCS11 (Cryptographic Token Interface Standard) API de cryptographie développée par RSA labs, interface C Définit

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

Architectures PKI. Sébastien VARRETTE

Architectures PKI. Sébastien VARRETTE Université du Luxembourg - Laboratoire LACS, LUXEMBOURG CNRS/INPG/INRIA/UJF - Laboratoire LIG-IMAG Sebastien.Varrette@imag.fr http://www-id.imag.fr/~svarrett/ Cours Cryptographie & Securité Réseau Master

Plus en détail

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping) Modernisation, développement d applications et DB2 sous IBM i Technologies, outils et nouveautés 2013-2014 13 et 14 mai 2014 IBM Client Center Paris, Bois-Colombes S28 - La mise en œuvre de SSO (Single

Plus en détail

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft Statut : Validé Version : 1.2.4 Date prise d effet : 29/12/2009 Référence : Auteur : Frédéric BARAN Diffusion

Plus en détail

IIIII Sécurisation des accès Enterprise

IIIII Sécurisation des accès Enterprise IIIII Sécurisation des accès Enterprise IBM PULSE PARIS, 20 mai 2010 Anna Delambre / Thierry Musoles Security Business Unit / Enterprise Gemalto Agenda Présentation de Gemalto Solution IBM Tivoli Gemalto

Plus en détail

Utilisation des certificats X.509v3

Utilisation des certificats X.509v3 En pratique Utilisation des certificats X.509v3 Commerce électronique, avec HTTPS (HTTP/SSL) Authentification SSL/TLS par certificat, obligatoire pour le serveur Authentification optionnelle pour le client

Plus en détail

WEB SSO & IDENTITY MANAGEMENT PARIS 2013

WEB SSO & IDENTITY MANAGEMENT PARIS 2013 PARIS 2013 WEB SSO & IDENTITY MANAGEMENT PARIS 2013 AGENDA La problématique Quelques statistiques Identité & Authentification Les challenges Les solutions La problématique X Comptes - Mots de passe triviaux

Plus en détail

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé

PUBLIC KEY INFRASTRUCTURE. Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé PUBLIC KEY INFRASTRUCTURE Rappels PKI PKI des Impôts PKI de la Carte de Professionnel de Santé Rappels PKI Fonctionnement général Pourquoi? Authentification Intégrité Confidentialité Preuve (non-répudiation)

Plus en détail

Agenda. Atelier 1 e-gouvernement. Agenda numérique La Belgique Débat. Table ronde sur l Agenda numérique pour l Europe Bruxelles, 11.10.

Agenda. Atelier 1 e-gouvernement. Agenda numérique La Belgique Débat. Table ronde sur l Agenda numérique pour l Europe Bruxelles, 11.10. Atelier 1 e-gouvernement Table ronde sur l Agenda numérique pour l Europe Bruxelles, 11.10.2011 2 Agenda Agenda numérique La Belgique Débat 3 Agenda Agenda numérique La Belgique Débat 4 Actions prévues

Plus en détail

Introduction à OpenIDConnect

Introduction à OpenIDConnect Introduction à OpenIDConnect COURS ANF Authentification Mathrice Angers 25/09/2014 laurent.facq@math.u-bordeaux1.fr Institut de Mathématiques de Bordeaux 1/'49 «OpenID» vu de l'utilisateur L'utilisateur

Plus en détail

Le protocole SSH (Secure Shell)

Le protocole SSH (Secure Shell) Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction

Plus en détail

Groupe de travail Gestion des identités Les usages et les services ATELIER 2

Groupe de travail Gestion des identités Les usages et les services ATELIER 2 Introduction et cadrage Jean Pierre Buthion, Pdt de la Commission Identités Commission Identité Numérique Groupe de travail Gestion des identités Les usages et les services ATELIER 2 Analyse et synthèse

Plus en détail

Lisez ce premier. Droit d'auteur

Lisez ce premier. Droit d'auteur Next Generation Banking system Cloud Banking Service Provider Mobile Banking Service Provider Lisez ce premier Nous vous remercions de votre intérêt pour MBSP (Prestataire de services de Mobile Banking)

Plus en détail

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE MINISTÈRE DU TRAVAIL, DE l EMPLOI ET DE LA SANTÉ MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE MINISTÈRE DU BUDGET, DES COMPTES PUBLICS ET DE LA RÉFORME DE L ÉTAT Standard d'interopérabilité entre

Plus en détail

Règlement pour les fournisseurs de SuisseID

Règlement pour les fournisseurs de SuisseID Règlement pour les fournisseurs de SuisseID Version 1.0c du 4 novembre 2010 Règlement pour fournisseurs de SuisselD Nom Numéro de standard Catégorie Degré de maturité Règlement pour les fournisseurs de

Plus en détail

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC Certificats X509 & Infrastructure de Gestion de Clés Claude Gross CNRS/UREC 1 Confiance et Internet Comment établir une relation de confiance indispensable à la réalisation de transaction à distance entre

Plus en détail

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2. DTIC@Alg 2012 16 et 17 mai 2012, CERIST, Alger, Algérie Aspects techniques et juridiques de la signature électronique et de la certification électronique Mohammed Ouamrane, Idir Rassoul Laboratoire de

Plus en détail

Master Informatique 1ère Année 2007. Participants: Tarek Ajroud Jérémy Ameline Charles Balle Fabrice Douchant VPN SSL

Master Informatique 1ère Année 2007. Participants: Tarek Ajroud Jérémy Ameline Charles Balle Fabrice Douchant VPN SSL VPN SSL : Présentation Master Informatique 1ère Année Année 2006-2007 2007 Participants: Tarek Ajroud Jérémy Ameline Charles Balle Fabrice Douchant VPN SSL Durée : 20 minutes Remarques Intervention : 15-20

Plus en détail

Gestion de la sécurité SOA. Mokdad SALHI Architecte certifié IBM - SOA Leader msalhi@fr.ibm.com

Gestion de la sécurité SOA. Mokdad SALHI Architecte certifié IBM - SOA Leader msalhi@fr.ibm.com Gestion de la sécurité SOA Mokdad SALHI Architecte certifié IBM - SOA Leader msalhi@fr.ibm.com Agenda 1 SOA en deux mots! 2 La sécurité dans un contexte SOA 3 4 5 Le modèle WS-Security Les problématiques

Plus en détail

Les infrastructures de clés publiques (PKI, IGC, ICP)

Les infrastructures de clés publiques (PKI, IGC, ICP) Les infrastructures de clés publiques (PKI, IGC, ICP) JDLL 14 Octobre 2006 Lyon Bruno Bonfils 1 Plan L'utilisation des certificats Le rôle d'un certificat Les autorités de confiance Le

Plus en détail

Authentification et Autorisation

Authentification et Autorisation Authentification et Autorisation Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Contrôle accès Identification Authentifiction Autorisation Imputabilité (Accoutability) Conclusion

Plus en détail

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012 De l authentification au hub d identité si simplement Présentation OSSIR du 14fev2012 Olivier Perroquin In-Webo Technologies Mission et solutions d In-Webo > Apporter aux Entreprises et Opérateurs de Services

Plus en détail

COMMISSION TIC. Vade-mecum de l utilisation de la signature électronique liée à la carte d identité électronique

COMMISSION TIC. Vade-mecum de l utilisation de la signature électronique liée à la carte d identité électronique COMMISSION TIC Vade-mecum de l utilisation de la signature électronique liée à la carte d identité électronique Novembre 2008 INTRODUCTION ET MATERIEL REQUIS La signature électronique «qualifiée» permet

Plus en détail

Gestion des identités Christian-Pierre Belin

Gestion des identités Christian-Pierre Belin Gestion des identités Christian-Pierre Belin Architecte Microsoft France La gestion des identités Le périmètre et les rôles Services d annuaire Point de stockage et d administration des comptes, des informations

Plus en détail

Présentation du référentiel PCI-DSS

Présentation du référentiel PCI-DSS Présentation du référentiel PCI-DSS Hervé Hosy herve.hosy@oppida.fr 06.03.51.96.66 Page 1 Agenda Référentiel PCI-DSS Contexte Structure du référentiel Lien avec les normes ISO 270xx 2 Contexte Page 3 Contexte

Plus en détail

CERTIFICATS NUMERIQUES LUXTRUST

CERTIFICATS NUMERIQUES LUXTRUST CERTIFICATS NUMERIQUES LUXTRUST Le Partenariat Chambre de Commerce-LuxTrust S.A. Le 27 mars 2007, l autorité de certification électronique LuxTrust S.A. a lancé la commercialisation de ses «certificats

Plus en détail

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com> Arnaud Desmons Jérémie Jourdin Présentation Motivations Historique Démonstration Présentation fonctionnelle Présentation technique L'interface d'administration Roadmap

Plus en détail

Single Sign-On : Risques & Enjeux

Single Sign-On : Risques & Enjeux Single Sign-On : Risques & Enjeux TAM esso Tivoli Access Manager for Entreprise Single-Sign ON Charles Tostain charles.tostain@fr.ibm.com 13 Agenda Risques & Définition Tivoli Access Manager for E-SSO

Plus en détail

Single Sign-On open source avec CAS (Central Authentication Service)

Single Sign-On open source avec CAS (Central Authentication Service) JOSY «Authentification Centralisée» Paris, 6 mai 2010 Single Sign-On open source avec CAS (Central Authentication Service) Julien Marchal Consortium ESUP-Portail SSO open source avec CAS Introduction Pourquoi

Plus en détail

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE sommaire MIEUX COMPRENDRE LES CERTIFICATS SSL...1 SSL et certificats SSL : définition...1

Plus en détail

Citizen CA Énoncé des pratiques de Certification

Citizen CA Énoncé des pratiques de Certification Citizen CA Énoncé des pratiques de Certification BRCA 3 OID: 2.16.56.10.1.1.2 OID: 2.16.56.10.1.1.2.1 OID: 2.16.56.10.1.1.2.2 BRCA4 OID: 2.16.56.12.1.1.2 OID: 2.16.56.12.1.1.2.1 OID: 2.16.56.12.1.1.2.2

Plus en détail

La citadelle électronique séminaire du 14 mars 2002

La citadelle électronique séminaire du 14 mars 2002 e-xpert Solutions SA 29, route de Pré-Marais CH 1233 Bernex-Genève Tél +41 22 727 05 55 Fax +41 22 727 05 50 La citadelle électronique séminaire du 14 mars 2002 4 info@e-xpertsolutions.com www.e-xpertsolutions.com

Plus en détail

SÉCURITÉ POUR LES ENTREPRISES UN MONDE NUAGEUX ET MOBILE. Sophia-Antipolis 01/07/2013 Cyril Grosjean cgrosjean@janua.

SÉCURITÉ POUR LES ENTREPRISES UN MONDE NUAGEUX ET MOBILE. Sophia-Antipolis 01/07/2013 Cyril Grosjean cgrosjean@janua. SÉCURITÉ POUR LES ENTREPRISES DANS UN MONDE NUAGEUX ET MOBILE Sophia-Antipolis 01/07/2013 Cyril Grosjean cgrosjean@janua.fr 0950 677 462 Cyril Grosjean - Directeur technique de Janua depuis 2004 Expert

Plus en détail

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET http://www.chambet.com

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET http://www.chambet.com Urbanisation des SI Conduite du changement IT 20/03/09 Sécuriser ses Web Services Patrick CHAMBET http://www.chambet.com Bouygues Telecom Direction Gouvernance, Outils et Architecture / Sécurité du SI

Plus en détail

La sécurité dans les grilles

La sécurité dans les grilles La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation

Plus en détail

La carte d'identité électronique (carte eid): manuel d'installation pour Windows 2000 et Windows XP

La carte d'identité électronique (carte eid): manuel d'installation pour Windows 2000 et Windows XP Centrale des bilans Siège central: Boulevard de Berlaimont 14, 1000 Bruxelles tél. 02 221 30 01 fax 02 221 32 66 e mail: helpdesk.ba@nbb.be site internet: http://www.centraledesbilans.be La carte d'identité

Plus en détail

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale» CSSS/10/101 AVIS N 10/21 DU 7 SEPTEMBRE 2010 CONCERNANT LA DEMANDE DU MINISTRE DES AFFAIRES SOCIALES RELATIVE AU PROTOCOLE,

Plus en détail

Cours 10701A - Configuration et gestion de Microsoft SharePoint 2010

Cours 10701A - Configuration et gestion de Microsoft SharePoint 2010 Cours 10701A - Configuration et gestion de Microsoft SharePoint 2010 INTRODUCTION Ce cours apprend aux stagiaires comment installer, configurer et administrer SharePoint, ainsi que gérer et surveiller

Plus en détail

La gestion de l'identité en ligne

La gestion de l'identité en ligne La gestion de l'identité en ligne Enjeux et état de l'art Yves LIONS - D1 -Mars 2004 Qu'est ce que l'identité? Une notion de plus en plus utilisée, qui est intuitive,mais qui à l'usage n'est pas simple

Plus en détail

Citizen CA Énoncé des pratiques de Certification

Citizen CA Énoncé des pratiques de Certification Citizen CA Énoncé des pratiques de Certification OID: 2.16.56.1.1.1.2.2 OID: 2.16.56.1.1.1.2.1 VERSION: 1.1 Table des matières 1. INTRODUCTION 5 1.1 AVERTISSEMENT PRELIMINAIRE 5 1.1.1 Entités de confiance

Plus en détail

Silcor Personal CAT. Solution pratique de signature électronique avancée professionnelle. CLUSIR, Lyon, 5 février 2002. Déroulement de la présentation

Silcor Personal CAT. Solution pratique de signature électronique avancée professionnelle. CLUSIR, Lyon, 5 février 2002. Déroulement de la présentation Silcor Solution pratique de signature électronique avancée professionnelle CLUSIR, Lyon, 5 février 2002 Déroulement de la présentation 1 - Ouverture de session sécurisée par carte à puce (logon). 2 - Accès

Plus en détail

SAML et services hors web

SAML et services hors web SAML et services hors web SAML en bref Security Assertion Markup Language Fédération d'identités pour le web SingleSignOn (SSO) et SingleLogout (SLO) Diffusion contrôlée d'informations personnelles Ne

Plus en détail

Cryptographie et utilisation. Utilisation de la cryptographie. Rappel des propriétés à assurer. Assurer le secret :stockage.

Cryptographie et utilisation. Utilisation de la cryptographie. Rappel des propriétés à assurer. Assurer le secret :stockage. Rappel des propriétés à assurer Cryptographie et utilisation Secret lgorithmes symétriques : efficace mais gestion des clés difficiles lgorithmes asymétriques : peu efficace mais possibilité de diffuser

Plus en détail

Cédric Ouvry Bibliothèque nationale de France Liberty Alliance Deployment Workshop Paris December 7, 2005

Cédric Ouvry Bibliothèque nationale de France Liberty Alliance Deployment Workshop Paris December 7, 2005 Web SSO SAML Liberty Cédric Ouvry Bibliothèque nationale de France Liberty Alliance Deployment Workshop Paris December 7, 2005 PLAN Cas d utilisation Déploiement du toolkit Introduction Production depuis

Plus en détail

PREREQUIS TECHNIQUES. Yourcegid Etafi Start

PREREQUIS TECHNIQUES. Yourcegid Etafi Start PREREQUIS TECHNIQUES Yourcegid Etafi Start PRT-YC Etafi Start-14/2014 Prérequis Techniques Yourcegid Etafi Start 1. PREAMBULE... 3 2. PREREQUIS RESEAU... 4 Introduction... 4 Accès à la solution... 4 3.

Plus en détail

Poste Carte Agent ANTS: Installation environnement utilisateur En Préfecture

Poste Carte Agent ANTS: Installation environnement utilisateur En Préfecture : Installation environnement utilisateur En Préfecture Référence:ANTS_CARTES_PREF_TECH_Guide-Installation_Poste_Carte_Agent_ANTS_v1.7.doc SOMMAIRE 1 INTRODUCTION... 3 1.1 Objet... 3 1.2 Présentation du

Plus en détail

Etude d Exchange, Google Apps, Office 365 et Zimbra

Etude d Exchange, Google Apps, Office 365 et Zimbra I. Messagerie Exchange 2013 2 1) Caractéristiques 2 2) Pourquoi une entreprise choisit-elle Exchange? 2 3) Offres / Tarifs 2 4) Pré requis pour l installation d Exchange 2013 3 II. Google Apps : 5 1) Caractéristiques

Plus en détail

Certification électronique et E-Services. 24 Avril 2011

Certification électronique et E-Services. 24 Avril 2011 Certification électronique et E-Services 24 Avril 2011 C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y E-Gouvernement E-Business L avènement des NTIC favorise la dématérialisation des transactions

Plus en détail

NOTE. à l'attention de. pour information

NOTE. à l'attention de. pour information Département du Système d Information Pôle Infrastructures - Sécurité opérationnelle NOTE à l'attention de pour information CPI, RAI, DRSI, DBA Direction DSI, MSSI, Pôle infrastructures date 13/03/13 13:45

Plus en détail