Tutorial Authentification Forte Technologie des identités numériques

Transcription

1 e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél Fax Tutorial Authentification Forte Technologie des identités numériques Volume 1/3 Par Sylvain Maret / CTO e-xpert Solutions SA Genève / Juillet

2 L art de fortifier ne consiste pas dans des règles et des systèmes mais uniquement dans le bon sens et l expérience Sebastien le Prestre de Vauban Ingénieur Architecte

3 Agenda Identité numérique Authentification forte Pourquoi l authentification forte? Technologies OTP PKI Biométrie Autres Les tendances 2007 Démonstrations

4 Identité numérique? Beaucoup de définitions

5 Un essai de définition technique Monde virtuel Bank Entreprise Avatar Mail / Achats Lien technologique entre une identité réel et une identité virtuel Monde réel

6 Identité numérique sur Internet Identification

7 Identification et authentification? Identification Qui êtes vous? Authentification Prouvez le!

8 Facteurs pour l authentification ce que l'entité connaît (Mot de passe) ce que l'entité détient (Authentifieur) ce que l'entité est ou fait (Biométrie)

9 Définition de l authentification forte

10 Authentification forte Clé de voûte de la sécurisation du système d information Conviction forte de e-xpert Solutions SA

11 Protection de votre système d information Source: OATH Données Protocoles d authentification??? Technologie authentification forte

12 Pyramide de l authentification forte

13 Pourquoi l authentification forte?

14

15 Keylogger: une réelle menace 6191 keyloggers recensés cette année contre 3753 l'an passé (et environ 300 en 2000), soit une progression de 65 %

16 Phishing - Pharming Anti-Phishing Working Group recommande l utilisation de l authentification forte

17 T-FA in an Internet Banking Environment 12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive «Single Factor Authentication» n est pas suffisant pour les applications Web financière Avant la fin 2006 il est obligatoire de mettre en place un système d authentification forte

18 T-FA: An Essential Component of I&AM

19 Liberty Alliance souhaite accélérer l'adoption de l'authentification forte 8 novembre 2005: Liberty Alliance Project forme un groupe d expert pour l authentification forte The Strong Authentication Expert Group (SAEG) Publication dès 2006 spécifications ID SAFE

20 Les premières réactions! Les entreprises réalisent que l authentification forte est une composante de base de la sécurité

21 Les technologies d authentification forte Technologies en pleine mouvance Technologie grand public Technologie pour les entreprises Tour d horizon des solutions en 2007 (Non exhaustif)

22

23 Modèle OATH Source: OATH

24 Client Framework Technologies «Device» Physique Token ou Authentifieur Source: OATH

25 Authentication Method Authentication Method: a function for authenticating users or devices, including One-Time Password (OTP) algorithms public key certificates (PKI) Biometry and other methods SMS Scratch List Etc.

26 Authentification Token: définition Composant Hardware ou Software «Authentifieur» Implémente la ou les méthode(s) d authentification Réalise le mécanisme d authentification en toute sécurité Fournit un stockage sécurisé des «credentials» d authentification

27 Quel «Authentifieur»?

28 One-Time Password (OTP) Mot de passe à usage unique Basé sur le partage d un secret Généralement utilisation d une fonction de hachage Pour Contre Très portable (pour le mode non connecté) Pas de signature Pas de chiffrement Peu évolutif Pas de non répudiation! r

29 «Authentifieur» OTP

30 Exemple: RSA SecurID Source: RSA

31 PKI: Certificat numérique (X509) Basé sur la possession de la clé secrète (RSA, etc.) Mécanisme de type «Challenge Response» Pour Contre Offre plus de services: Authentification Signature Chiffrement non répudiation r Nécessite un moyen de transport sécurisé de la clé privée Pas vraiment portable

32 «Authentifieur» PKI

33 Le meilleur des deux mondes: Technologie hybride: OTP & PKI

34 Technologie SMS (OOB)

35 Etude de cas: Skyguide La sécurité alliée au login unique Firewall Web application Web Single Sign On Authentification forte via SMS

36 OTP: TAN Liste à biffer TAN (Transaction Authentication Number)

37 OTP «Bingo Card» AnyUser ****** 9 2 Source: Entrust

38 Les tendances 2007

39 Marché de l authentification forte

40 Token USB multi fonction

41 Le monde des portables SIM-Based Authentication GemXplore 'Xpresso Java Card SIMs from Gemplus OTA (Over-The-Air) technology

42 Technologie OTA

43 Trusted Platform Module [TPM]

44 Multi Application Smart Card Source: RSA

45 Technologie Mifare Contactless technology that is owned by Philips Electronics De Facto Standard

46 La biométrie Système «ancien» carte d identité avec photo Reconnaissance de la voix Etc. Deux familles : Mesure des traits physiques uniques Mesure d un comportement unique

47 Mesure des traits physiques Empreintes digitales Géométrie de la main Les yeux Iris Rétine Reconnaissance du visage Nouvelles voies ADN, odeurs, oreille et «thermogram»

48 Mesure d un comportement Reconnaissance vocale Signature manuscrite Dynamique de frappe Clavier

49 Confort vs fiabilité

50 Fonctionnement en trois phases

51 Stockage des données? Par serveur d authentification Sur une smartcard Problème de sécurité Meilleure sécurité Problème de confidentialité Mode «offline» Problème de disponibilité MOC = Match On card

52 Equal Error Rate (EER)

53 Biométrie en terme de sécurité? Solution Biométrique uniquement? Confort à l utilisation N est pas un plus en terme de sécurité (en 2007) Doit être couplé à un 2ème facteurs Carte à puce par exemple

54 Matsumoto's «Gummy Fingers» Etude Yokohama University

55 Niveau de sécurité? Cert Based / PKI OTP U&P

56 Protection de votre système d information Source: OATH Données Protocoles d authentification??? Technologie authentification forte

57 App. Framework Source: OATH

58 Questions?

59 e-xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et maintiennent au quotidien des architectures de sécurité au moyen de solutions pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux exigences de la clientèle. Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la confiance d'une clientèle issue de tout domaine d'activité et de toute taille. Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un contact de proximité.