Track 2 : Fédérer les identités et développer leurs usages dans de nouveaux contextes Symposium International de la Transaction Electronique Sécurisée 11 et 12 Juin 2008 Rabat, Maroc
1. Introduction Le contexte Tiers de Confiance Une identité et n identifiants Identifiant multi-applications Utilisateur (Particulier, Entreprise) Identifiant mono-application d application (sites WEB): commerçant, service, banque, administration Identifiant par application 24/06/2008 Présentation ADN co SITES 2
Sommaire 1. Introduction 2. Présentation d ADN co (qui sommes-nous?) 3. Quelques définitions 4. La situation actuelle 5. Les besoins et enjeux 6. Vers la fédération des identifiants? 7. Perspective d application dans le paiement par carte en ligne (3D Secure/Visa) 8. Conclusion 24/06/2008 Présentation ADN co SITES 3
2. Présentation ADN co Créé en 1992, ADN co est un cabinet de conseil indépendant. Ses consultants sont issus du monde de la banque et des services. Ils ont suivi l ensemble des évolutions de la carte, des moyens de paiement et du crédit, en France et à l étranger sur les aspects stratégiques, marketing et techniques Pôle Monétique et moyens de paiement Pôle Crédit et cobranding Pôle SEPA et marché européen Pôle Nouvelles Technologies et TES 24/06/2008 Présentation ADN co SITES 4
Nos offres Sur la base de cette expertise, ADN co propose un accompagnement modulaire dans les projets de ses clients, de l amont à la mise en place opérationnelle. Accompagnement en amont Accompagnement dans la mise en oeuvre 1 2 3 Accompagnement et conseil en amont Accompagnement de projet Mise en place opérationnelle Conseil en stratégie Conseil marketing amont Maîtrise d ouvrage stratégique et fonctionnelle Organisation Direction de projet et maîtrise d ouvrage opérationnelle Veille et études Audit Appels d offres Montage de partenariats Formation Marketing opérationnel 24/06/2008 Présentation ADN co SITES 5
Nos principales références Secteur financier Autres secteurs 24/06/2008 Présentation ADN co SITES 6
Identité 3. Quelques définitions Une seule (Vie réelle/vie virtuelle) Biologique (ADN) Identifiant Donnée technique = une représentation de l identité pour un besoin applicatif particulier Un identifiant unique ou de multiples identifiants? Réponse avant tout d ordre sociétal (Privacy, confidentialité, traçabilité) Multiplicité des identifiants Représente le contexte applicatif dans lequel l utilisateur se trouve En tant que particulier (personne privée): citoyen, En tant que salarié d une entreprise ou d une administration (personne publique) Etc 24/06/2008 Présentation ADN co SITES 7
Identification et Authentification Identification et Authentification, deux choses différentes! S identifier c est communiquer un identifiant reconnu comme clé d accès par le Système d Information et l application S authentifier c est apporter la preuve de son identité Un identifiant auto-déclaré Un identifiant certifié Par ce que je connais Par ce ce que je possède Par ce que je suis 24/06/2008 Présentation ADN co SITES 8
L identification Identité autodéclarée Par l utilisateur/client directement Messagerie Réseaux sociaux Etc Identité certifiée Par un fournisseur d application: Commerçant/CRM, banque (Internet Banking ), etc Par un Tiers de Confiance: banque, Etat, Autorité de Certification, etc 24/06/2008 Présentation ADN co SITES 9
L authentification: les différents facteurs Combinaison d un identifiant avec un facteur d authentification Ce que je sais Ce que je possède Ce que je suis Le moyen qui se rapproche le plus de l identité 24/06/2008 Présentation ADN co SITES 10
L authentification: les différents types Authentification faible A un seul facteur Authentification forte A deux voire plus de facteurs Selon la sensibilité de l application (gestion de risques) 24/06/2008 Présentation ADN co SITES 11
4. Situation actuelle La fraude aux identifiants (cyber-criminalité) s est développée au même rythme que l usage des services sur Internet (> 50 Mds $ - FBI) Phishing, keylogging Un internaute américain sur deux déclare avoir reçu au moins un mail de phishing (source Gartner). 1134 messages de phishing/jour en 2007 (Symantec) 571 % d augmentation de programmes malveillants en 2007 (Symantec) Carding, skimming (vols de numéros de cartes) Marché de revente des informations volées sur le WEB Communication des attributs (données personnelles) non maîtrisée par l individu Présentation ADN co SITES 12
Inflation des identifiants! Situation actuelle 24/06/2008 Présentation ADN co SITES 13
5. Besoins et enjeux Développement croissant des services en ligne et de l économie numérique (Internet) ecommerce (B2C,B2B, C2C) eadministration (téléprocédures) Besoin de simplifier l accès sécurisé aux services L identité est le pivot de confiance Mutualisation des identifiants certifiés au sein d un cercle de confiance Quelle définition pour ce cercle (secteur professionnel, système de place, un marché, )? Respect des Libertés Individuelles (Privacy) Développement de l usage de l authentification forte A qualifier selon une gestion de risque de l application Recommandations sectorielles: Bâle II, etc Gestion cohérente Identification/Authentification/Autorisation 24/06/2008 Présentation ADN co SITES 14
6. Vers la fédération des identités? Le fournisseur d identité émet un identifiant et un moyen d authentification correspondant à la gestion du risque du fournisseur d application L utilisateur se connecte avec un seul identifiant pour l ensemble des fournisseurs d application du cercle de confiance de services de services de services d identité de services de services d identité de services de service Relation inter cercle permettant à l utilisateur de se connecter dans un cercle avec un identifiant émis par un de service Relation de garantie de service entre les fournisseurs d identité et de fournisseur d id d un autre cercle 24/06/2008 Présentation ADN co SITES 15 services (intersectoriel)
Vers la fédération des identités? Les principales solutions techniques de la fédération d identité Interopérabilité? 24/06/2008 Présentation ADN co SITES 16
Cardspace d identité 6 5 3 Utilisateur (Particulier, Entreprise) 7 4 1 8 2 d application (sites WEB): commerçant, service, banque, administration 24/06/2008 Présentation ADN co SITES 17
Liberty Alliance d identité Standards SAML, SOAP, WS-Security, XML 3 2 Utilisateur (Particulier, Entreprise) 1 5 4 d application (sites WEB): commerçant, service, banque, administration 24/06/2008 Présentation ADN co SITES 18
Vers la fédération des identités? Au-delà des solutions techniques quelques questions d ordre marketing et de business: s d identités: quel marché? Acceptation de la délégation des mécanismes d authentification par les fournisseurs d application à des Tiers. Définition d une gamme d offre de solutions d authentification Relation identifiant Tiers/identifiant Client au sein du fournisseur d application? Confiance des utilisateurs Quel acteur (s) potentiel (s): Banques avec la carte bancaire? Etat/Administration (identité régalienne)? Autre? Comment gérer la régulation de la garantie de services entre les cercles de confiance? Quelle gouvernance? 24/06/2008 Présentation ADN co SITES 19
Schéma du 3D Secure 7. Perspective d application sur le paiement par carte en ligne EMETTEUR INTERBANCAIRE ACQUEREUR Access Control Server 8 9 7 4 10 3 Authentication History Server Directory Server 2 5 12 11 6 Merchant Plug-in 1 24/06/2008 Présentation ADN co SITES 20
Perspective d application sur le paiement par carte en ligne Schéma du 3D Secure (Verified by Visa/MasterCard Secure Code) possible avec un fournisseur d identité (Windows Cardspace, ) EMETTEUR INTERBANCAIRE ACQUEREUR d identité certifiée 3 6 4 Access Control Server 5 Authentication History Server Directory Server 8 7 2 Merchant Plug-in 1 24/06/2008 Présentation ADN co SITES 21
8. Conclusion Pour accompagner et accélérer le développement des services en ligne (Internet), la gestion de l identité mérite d être simplifiée et sécurisée En respectant les libertés individuelles Droit à l anonymat, droit à l oubli (effacement des traces) En favorisant la fédération des identités (certifiées) En facilitant les usages Les mécanismes d authentification forte doivent être simples d emploi En laissant l individu au centre Consentement de l utilisateur sur le partage de ses attributs (données personnelles associées à son identité) 24/06/2008 Présentation ADN co SITES 22
Harris MONTEIRO DA SILVA Pôle de compétences nouvelles technologies et transactions électroniques sécurisées d ADN Co, Ayant une expérience de 25 ans dans toutes les nouvelles technologies sécurisées qui ont été associées au développement de la monétique. Il a accompagné le développement initial du système Carte Bleue au niveau des différentes composantes de sa filière autorisation et gestion de la fraude, participé aux différents projets nationaux de paiement sécurisé sur Internet notamment avec la carte à puce B0 /EMV, A développé une ligne d offre de services d infrastructures de confiance pour le marché des Transactions Électroniques Sécurisées (TES) pour une grande SSII. A été administrateur de la FNTC (Fédération Nationale des Tiers de Confiance). A participé au montage et au lancement de deux projets qualifiés par le pôle de compétitivité TES de Caen en Basse-Normandie: l un sur le paiement par mobile NFC et l autre relatif à la fédération des identités en ligne (projet FC²: Fédération des Cercles de Confiance) et a participé activement au développement du pôle TES dont il a été administrateur. Ecole polytechnique de l Université de Tours et master professionnel en sciences économiques et politiques de l Université Paris 1 Panthéon -Sorbonne 24/06/2008 Présentation ADN co SITES 23
Harris MONTEIRO DA SILVA ADN co Pôle de Compétences Nouvelles Technologies et Transactions Electroniques Sécurisées 64 rue des Mathurins 75 008 Paris Fin Tel : +33 (0)1 44 71 90 04; +33 (0)6 09 15 73 19 Email: harris.monteiro@adn-conseil.com http://www.adn-co.fr 24/06/2008 Présentation ADN co SITES 24