Comment accéder concrètement, simplement et sans investissement aux bénéfices de l'authentification forte pour vos applications SI ou métier, Cloud, mobile ou web Didier Perrot Olivier Perroquin In-Webo Technologies
Authentification forte ++! Sécuriser les applications en ligne, les applications mobiles, les accès distants, les paiements, par une authentification forte intégrée au navigateur, au téléphone ou aux applications. Permettre enfin l accès d une authentification forte et sécurisée au plus grand nombre. Créer grâce à une authentification forte démocratisée de nouveaux usages à valeur ajoutée (paiement sécurisé, dématérialisation des souscriptions, protection des données des applications en mode Cloud ) Page 2
Prouver l identité m-banking Extranet pari en ligne paiement 3D secure e-gouv Authentification applicative jeux en ligne smart app sécurisée helpdesk authentifié VPN web mail e-santé vote électronique TV media box signature d opération de maintenance e-digicode groupware
Propositions de valeur Permettre des déploiements massifs et simplifiés Réduire le TCO global de l authentification forte existante Dématérialisation du token tout en maintenant sa sécurité Externalisation avec des moyens répondant aux contraintes règlementaires (SOX, PCI, ) et business (sécurité, disponibilité) Pas d investissement (outils gratuits, pas de FAS), facturation à l usage Effort d intégration minimal, pas d équipement à administrer Selfcare pour la gestion des outils des utilisateurs Sécuriser les nouveaux usages de l Entreprise (applications mobiles / tablettes, applications SaaS, B2B) Page 4
Simplifier Simplification de l usage grâce à des outils intégrés au parcours client sur le téléphone dans le navigateur intégré aux applications Fonctionnement SSO-like pour les utilisateurs Enrôlement simple compatible avec les exigences métiers Réduction de la lourdeur de gestion des tokens
Positionnement des solutions Sécurité (suppression du maillon faible) Mots de passe MDP + politique de gestion Soft tokens du marché Tokens brevetés In-Webo Tokens Cartes à puce Vulnérable Sûr Coûts de revient (solution + gestion + support) Cartes à puce Cher Tokens Soft tokens du marché MDP + politique de gestion Solution In-Webo Entreprise Mots de passe Abordable Adapté aux usages (fixe, mobile) & simple (Administrateurs & Utilisateurs) Tokens Cartes à puce Soft tokens du marché Peu adapté & complexe MDP + politique de gestion Mots de passe Connecteurs multi-canal In-Webo Adapté & simple
Authentification forte sécurisée Une authentification forte sécurisée doit répondre à plusieurs critères : Doit être multi-facteur (ce que j ai, ce que je sais, ) Ne doit être valide qu'une seule fois, si possible pendant un laps de temps limité Doit être non-prédictible, même en cas de compromission d un des facteurs! Les solutions dématérialisées du marché ne remplissent pas ce critère
Sécurité One Time Password Historique ( ) + + = Clé perso dispositif Code personnel Compteur Hash OTP Nouvelle Génération IN WEBO ( ) + + + + = Clé perso dispositif Code personnel Compteur Clé d application Clé aléatoire dynamique Hash
In-Webo - Architecture «SaaaS» (Strong authentication as a Service) Moyens d authentification forte Emission et gestion de moyens d authentification forte HSM Génèrent des mots de passe à usage unique Connexion aux applications Connecteurs d'authentification API Application (Web, VPN, Mobile, Cloud, etc.) API Web Console Solutions construites autour de briques modulaires Moyens d authentification gratuits, objets de brevets liés à leur sécurité Administration technique Gestion et support utilisateurs Connecteurs d authentification Console pour paramétrer la solution selon les besoins de l Entreprise
Usages
Générateur universel d OTP sur téléphone Générateur universel d OTP - Pas de sms ni de connexion, fonctionne sans couverture radio - Administration de la politique, du format de l OTP - Ajout de nouveaux Favoris indépendants à la volée - Basé sur un protocole bien mieux sécurisé qu OATH pour les environnements sans «Secure Element» - Fonctionne également en mode défi/réponse ou scellement - Disponible pour Androïd, ios, Blackberry, j2me, Windows Mobile, - Certification prévue pour Q4 2011 Usages dans tous environnements Page 11 - Applications web professionnelles et Grand Public - Clients applicatifs (VPN IPSec, SAP, Citrix, ) - Call centers -
Accès sécurisé depuis un ordinateur personnel Connexion sécurisée et automatisée aux applications web - Outil intégré, ergonomie optimale - Vérifications de sécurité (phishing, MITM, html injection, ) - Génération de l OTP et interaction avec la page d authentification (pas d intégration) - Administration de la politique, du format de l OTP - Ajout de nouveaux Favoris indépendants à la volée - Disponible pour IE, Firefox, Chrome, Safari Usages depuis un (ou plusieurs) ordinateurs personnels - Applications web professionnelles et Grand Public - Services web B2B - Clients applicatifs Page 12
Exemple d intégration Google Apps
Authentification forte d application embarquée Librairie maccess Host / GUI Données d activation générées Clé jetable saisie Personnalisation 2) OTP généré 1) PIN saisi 3) Identifiant / OTP transmis Portail / serveur applicatif Application mobile / tablette / desktop Sécurisation de l accès via les applications embarquées - SDK permettant d embarquer l authentification dans toutes les Apps - Parcours client transparent, inséré dans l existant - Principes de sécurisation brevetés Usages depuis un smartphone, une tablette, une TV connectée - Applications métier - Mobile banking -
Authentification forte d application embarquée In-Webo maccess : exemple de scénario applicable 1) lancement l application mobile 2) saisie du code PIN
m-banque
Plateformes supportées Téléphones et smartphones OS et navigateurs et tout téléphone Java MIDP 2.0
Mise en œuvre et gestion
Provisionning et activation 1 Création d un code d activation dédié par utilisateur Sélection des utilisateurs (IAM, Sync AD, workflow, base) et requête de provisioning Application Web Services provisionning Code activation «159 839 914» API HSM 2 courrier, @, face à face, SMS, «159 839 914» Distribution du code d activation à l utilisateur 3 Saisie du code d activation dans l un des dispositifs «159 839 914» Synchronisation du dispositif et récupération de la politique choisie par l Application
Activation des dispositifs
Intégration (1/2) Intégration du serveur d authentification Intégration d un webservice (exemples de code fournis) Site Web, Portail mobile, Extranet Web Services validation validation API Paramétrage de l interface d administration (pas d intégration!) SaaS SAML validation API HSM Configuration d une politique Radius (pas d intégration!) VPN, accès distant Radius validation API
Intégration (2/2) Administration et Provisioning Administration de la politique et/ou provisioning des utilisateurs via Console Web (pas d intégration!) Administrateur WebConsole API Provisioning des utilisateurs via outil / workflow existant (API webservice avec exemples de code) Web Services provisioning API HSM Provisioning des utilisateurs par synchronisation AD/LDAP/.csv avec utilitaire java fourni (pas d intégration!) Administrateur IWDS API
Gestion en selfcare du service d authentification cogito ergo sum
Administration des Services
Administration des utilisateurs
Hub d identité Nouveaux usages
Hub d identité Application 1 demandeur Hub d identité Présenter mes moyens de paiement Utiliser une donnée applicative Application 2 fournisseur & demandeur Moyens de paiement Identité, @, préférences Clé de coffre-fort Coordonnées bancaires Justificatifs de domicile Scoring Programmes de fidélités Serveur de validation HSM Obtenir la clé de mon coffre-fort Présenter les pièces certifiées pour conclure un contrat API (data externe) Monétisation Data store
Merci pour votre attention Contacts Olivier Perroquin, olivier.perroquin@in-webo.com Didier Perrot, didier.perrot@in-webo.com Plus d information www.in-webo.com