e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +1 22 727 05 55 Fax +1 22 727 05 50 Tutorial Authentification Forte Technologie des identités numériques Volume 1/3 Par Sylvain Maret / CTO e-xpert Solutions SA Genève / Juillet 2007 www.e-xpertsolutions.com
L art de fortifier ne consiste pas dans des règles et des systèmes mais uniquement dans le bon sens et l expérience Sebastien le Prestre de Vauban Ingénieur Architecte 1633-1707
Agenda Identité numérique Authentification forte Pourquoi l authentification forte? Technologies OTP PKI Biométrie Autres Les tendances 2007 Démonstrations
Identité numérique? Beaucoup de définitions
Un essai de définition technique Monde virtuel Bank Entreprise Avatar Mail / Achats Lien technologique entre une identité réel et une identité virtuel Monde réel
Identité numérique sur Internet Identification
Identification et authentification? Identification Qui êtes vous? Authentification Prouvez le!
Facteurs pour l authentification ce que l'entité connaît (Mot de passe) ce que l'entité détient (Authentifieur) ce que l'entité est ou fait (Biométrie)
Définition de l authentification forte
Authentification forte Clé de voûte de la sécurisation du système d information Conviction forte de e-xpert Solutions SA
Protection de votre système d information Source: OATH Données Protocoles d authentification??? Technologie authentification forte
Pyramide de l authentification forte
Pourquoi l authentification forte?
Keylogger: une réelle menace 6191 keyloggers recensés cette année contre 3753 l'an passé (et environ 300 en 2000), soit une progression de 65 %
Phishing - Pharming Anti-Phishing Working Group recommande l utilisation de l authentification forte http://www.antiphishing.org/phishing-dhs-report.pdf
T-FA in an Internet Banking Environment 12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive «Single Factor Authentication» n est pas suffisant pour les applications Web financière Avant la fin 2006 il est obligatoire de mettre en place un système d authentification forte http://www.ffiec.gov/press/pr101205.htm
T-FA: An Essential Component of I&AM
Liberty Alliance souhaite accélérer l'adoption de l'authentification forte 8 novembre 2005: Liberty Alliance Project forme un groupe d expert pour l authentification forte The Strong Authentication Expert Group (SAEG) Publication dès 2006 spécifications ID SAFE
Les premières réactions! Les entreprises réalisent que l authentification forte est une composante de base de la sécurité
Les technologies d authentification forte Technologies en pleine mouvance Technologie grand public Technologie pour les entreprises Tour d horizon des solutions en 2007 (Non exhaustif)
http://www.openauthentication.org/
Modèle OATH Source: OATH
Client Framework Technologies «Device» Physique Token ou Authentifieur Source: OATH
Authentication Method Authentication Method: a function for authenticating users or devices, including One-Time Password (OTP) algorithms public key certificates (PKI) Biometry and other methods SMS Scratch List Etc.
Authentification Token: définition Composant Hardware ou Software «Authentifieur» Implémente la ou les méthode(s) d authentification Réalise le mécanisme d authentification en toute sécurité Fournit un stockage sécurisé des «credentials» d authentification
Quel «Authentifieur»?
One-Time Password (OTP) Mot de passe à usage unique Basé sur le partage d un secret Généralement utilisation d une fonction de hachage Pour Contre Très portable (pour le mode non connecté) Pas de signature Pas de chiffrement Peu évolutif Pas de non répudiation! r
«Authentifieur» OTP
Exemple: RSA SecurID Source: RSA
PKI: Certificat numérique (X509) Basé sur la possession de la clé secrète (RSA, etc.) Mécanisme de type «Challenge Response» Pour Contre Offre plus de services: Authentification Signature Chiffrement non répudiation r Nécessite un moyen de transport sécurisé de la clé privée Pas vraiment portable
«Authentifieur» PKI
Le meilleur des deux mondes: Technologie hybride: OTP & PKI
Technologie SMS (OOB)
Etude de cas: Skyguide La sécurité alliée au login unique Firewall Web application Web Single Sign On Authentification forte via SMS
OTP: TAN Liste à biffer TAN (Transaction Authentication Number)
OTP «Bingo Card» AnyUser ****** 9 2 Source: Entrust
Les tendances 2007
Marché de l authentification forte
Token USB multi fonction
Le monde des portables SIM-Based Authentication GemXplore 'Xpresso Java Card SIMs from Gemplus OTA (Over-The-Air) technology
Technologie OTA http://www.gemplus.com/techno/ota/resources/white_paper.html
Trusted Platform Module [TPM] https://www.trustedcomputinggroup.org/home
Multi Application Smart Card Source: RSA
Technologie Mifare Contactless technology that is owned by Philips Electronics De Facto Standard
La biométrie Système «ancien» 1930 - carte d identité avec photo Reconnaissance de la voix Etc. Deux familles : Mesure des traits physiques uniques Mesure d un comportement unique
Mesure des traits physiques Empreintes digitales Géométrie de la main Les yeux Iris Rétine Reconnaissance du visage Nouvelles voies ADN, odeurs, oreille et «thermogram»
Mesure d un comportement Reconnaissance vocale Signature manuscrite Dynamique de frappe Clavier
Confort vs fiabilité
Fonctionnement en trois phases
Stockage des données? Par serveur d authentification Sur une smartcard Problème de sécurité Meilleure sécurité Problème de confidentialité Mode «offline» Problème de disponibilité MOC = Match On card
Equal Error Rate (EER)
Biométrie en terme de sécurité? Solution Biométrique uniquement? Confort à l utilisation N est pas un plus en terme de sécurité (en 2007) Doit être couplé à un 2ème facteurs Carte à puce par exemple
Matsumoto's «Gummy Fingers» Etude Yokohama University http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf
Niveau de sécurité? Cert Based / PKI OTP U&P
Protection de votre système d information Source: OATH Données Protocoles d authentification??? Technologie authentification forte
App. Framework Source: OATH
Questions?
e-xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et maintiennent au quotidien des architectures de sécurité au moyen de solutions pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux exigences de la clientèle. Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la confiance d'une clientèle issue de tout domaine d'activité et de toute taille. Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un contact de proximité. http://www.e-xpertsolutions.com