Tutorial Authentification Forte Technologie des identités numériques

Transcription

1 e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél Fax Tutorial Authentification Forte Technologie des identités numériques Volume 2/3 Par Sylvain Maret / CTO e-xpert Solutions SA Genève / Juillet

2 L art de fortifier ne consiste pas dans des règles et des systèmes mais uniquement dans le bon sens et l expérience Sebastien le Prestre de Vauban Ingénieur Architecte

3 Agenda Un nouveau challenge Protection des données Intégration en entreprise Une étude de cas Sécurisation des données sensible Projet d authentification Forte en interne

4 Protection de votre système d information Source: OATH Données Protocoles d authentification??? Technologie authentification forte

5 App. Framework Source: OATH

6 Situation actuelle pour l Authentification forte Sécurisation du périm rimètre VPN SSL IPSEC Chiffrement (Laptop) Applications Web public Citrix Protocole d authentification Ldap, Radius, SSL, SecurID, SMS, PAM, 802.1x, etc.

7 La situation de demain: la dé-périmètrisation Source: Jericho Forum

8 Comment sécuriser les données? Applications métier ERP Stockage Domaine Microsoft Main Frame Applications Web Services Web Etc.

9 1 er étape: la classification des données Un exemple de matrice Auth. Forte Avec non répudiation Auth. forte Auth. simple

10 Quelques exemples?

11 Syncro des «comptes» via ldap Utilisation d une base de référence pour le partage des comptes utilisateur Syncro des comptes Pas de SSO Pas forcément un gain en sécurité Éventuellement l ajout d un méta annuaire

12 Schéma d une solution ldap

13 Solution Single Sign On Le rêve de toute entreprise? Plusieurs approches Single Sign On Helper Reverse Proxy Agent SSO Reduce Sign On Capture des touches Quel niveau de sécurité?

14 SSO: Helper application agent Source: Raymond Philip Causton HELSINKI UNIVERSITY OF TECHNOLOGY

15 SSO: Reverse Proxy Source: Raymond Philip Causton HELSINKI UNIVERSITY OF TECHNOLOGY

16 SSO: Native plug-in architecture Source: Raymond Philip Causton HELSINKI UNIVERSITY OF TECHNOLOGY

17 Reduce Sign On Source: Raymond Philip Causton HELSINKI UNIVERSITY OF TECHNOLOGY

18 Kerberos en deux mots Source: Raymond Philip Causton HELSINKI UNIVERSITY OF TECHNOLOGY

19 Microsoft Smart Card Logon Source: Microsoft searchwindowssecurity/downloads/declercq05.pdf

20 MS PKINIT Source: Microsoft

21 Applications Web via SSL / TLS

22 WSSO Source: Raymond Philip Causton HELSINKI UNIVERSITY OF TECHNOLOGY

23 «Legacy» application Que faire? Main Frame Clients serveurs Emulation Etc. Quelques pistes Crypto Kit Citrix VPN SSL ou IPSEC Radius, PAM Etc.

24 Une tendance très claire pour l entreprise: la carte à puces

25 Validation Protocols Source: OATH

26 Standards existant Certificate Based / PKI X509 CRL (Certificate Revocation List) SCVP Simple Certificate Validation Protocol OCSP [RFC2560] Online Certificate Status Protocol

27 Architecture OCSP Validation Authority OCSP request Valide Pas valide Inconu Web Server Alice

28 Une étude de cas 2007: L entreprise XYZ (Suisse) S.A.

29 Le challenge du projet Choix d une technologie d authentification forte pour protéger des données hautement sensibles Un besoin sécuritaire très élevés Ces données doivent être accéder uniquement par les personnes autorisées et identifiées de manière forte et par un procédé quasi irréfutable de l identitl identité de la personne

30 Les contraintes exigées et existantes Intégration avec une application de GED Microsoft Smart Card Logon PKINIT Les futures applications Web Based (.NET) SOAP / XML (SOA) Évolution vers la signature numérique Signature de workflow Chiffrement de fichiers Intégration avec le bâtiment Badge d accès Gestion simples des utilisateurs

31 Quelle technologie choisir? One Time Password (OTP) Certificat numérique X509 Public Key Infrastructure Biométrie

32 Quiz: quelle technologie d authentification choisir? Une réponse possible! Certificat numérique Comment être sur que c est la bonne personne avec la carte à puce? PKI X509 Support de type Carte à puce ou Token USB

33 Quelle technologie biométrique pour l IT?

34 Quelle technologie de Biométrie

35 Quelle technologie d authentification choisir? Quel niveau de sécurit curité pour la biométrie IT peut on espérer? S agit il d un confort uniquement? Est il possible de «by passer» la techno? Et la «privacy des utilisateurs?

36 Une 1 er réponse: Matsumoto's «Gummy Fingers» Etude Yokohama University

37 Une 2 ème réponse

38 Biométrie de confort vs Biométrie de sécurité? Authentification classique 1 facteur L empreinte Authentification forte 2 facteurs L empreinte et la carte à puce

39 Une 3ème réponse: La Technologie Match On Card

40 Le choix retenu pour ce projet: Architecture PKI Carte à puce de type crypto processeur Technologie biométrique de type «Fingerprinting» En remplacement du PIN Code Technologie Match On Card

41 1 er Phase du projet Intégration des composants PKI CA, RA & VA HSM Révocation Online des certificats (OCSP) Intégration avec Microsoft Smart Card Logon Smart Card Logon Mise en place d un service de gestion des identités Le futur: Intégration avec les SOA SOAP / XML Bâtiment intégration avec les badges Web SSO Chiffrement de fichiers SSO Intégration l application de GED Application.NET Web Application Firewall / Reverse Proxy avec SSL Firewall

42 e-xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et maintiennent au quotidien des architectures de sécurité au moyen de solutions pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux exigences de la clientèle. Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la confiance d'une clientèle issue de tout domaine d'activité et de toute taille. Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un contact de proximité.