e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +1 22 727 05 55 Fax +1 22 727 05 50 Tutorial Authentification Forte Technologie des identités numériques Volume 2/3 Par Sylvain Maret / CTO e-xpert Solutions SA Genève / Juillet 2007 www.e-xpertsolutions.com
L art de fortifier ne consiste pas dans des règles et des systèmes mais uniquement dans le bon sens et l expérience Sebastien le Prestre de Vauban Ingénieur Architecte 1633-1707
Agenda Un nouveau challenge Protection des données Intégration en entreprise Une étude de cas Sécurisation des données sensible Projet d authentification Forte en interne
Protection de votre système d information Source: OATH Données Protocoles d authentification??? Technologie authentification forte
App. Framework Source: OATH
Situation actuelle pour l Authentification forte Sécurisation du périm rimètre VPN SSL IPSEC Chiffrement (Laptop) Applications Web public Citrix Protocole d authentification Ldap, Radius, SSL, SecurID, SMS, PAM, 802.1x, etc.
La situation de demain: la dé-périmètrisation Source: Jericho Forum http://www.opengroup.org/jericho/
Comment sécuriser les données? Applications métier ERP Stockage Domaine Microsoft Main Frame Applications Web Services Web Etc.
1 er étape: la classification des données Un exemple de matrice Auth. Forte Avec non répudiation Auth. forte Auth. simple
Quelques exemples?
Syncro des «comptes» via ldap Utilisation d une base de référence pour le partage des comptes utilisateur Syncro des comptes Pas de SSO Pas forcément un gain en sécurité Éventuellement l ajout d un méta annuaire
Schéma d une solution ldap
Solution Single Sign On Le rêve de toute entreprise? Plusieurs approches Single Sign On Helper Reverse Proxy Agent SSO Reduce Sign On Capture des touches Quel niveau de sécurité?
SSO: Helper application agent Source: Raymond Philip Causton HELSINKI UNIVERSITY OF TECHNOLOGY
SSO: Reverse Proxy Source: Raymond Philip Causton HELSINKI UNIVERSITY OF TECHNOLOGY
SSO: Native plug-in architecture Source: Raymond Philip Causton HELSINKI UNIVERSITY OF TECHNOLOGY
Reduce Sign On Source: Raymond Philip Causton HELSINKI UNIVERSITY OF TECHNOLOGY
Kerberos en deux mots Source: Raymond Philip Causton HELSINKI UNIVERSITY OF TECHNOLOGY
Microsoft Smart Card Logon Source: Microsoft http://www.microsoft.com/windows2000/docs/sclogonwp.doc http://searchwindowssecurity.techtarget.com/ searchwindowssecurity/downloads/declercq05.pdf
MS PKINIT Source: Microsoft
Applications Web via SSL / TLS
WSSO Source: Raymond Philip Causton HELSINKI UNIVERSITY OF TECHNOLOGY
«Legacy» application Que faire? Main Frame Clients serveurs Emulation Etc. Quelques pistes Crypto Kit Citrix VPN SSL ou IPSEC Radius, PAM Etc.
Une tendance très claire pour l entreprise: la carte à puces
Validation Protocols Source: OATH
Standards existant Certificate Based / PKI X509 CRL (Certificate Revocation List) SCVP Simple Certificate Validation Protocol OCSP [RFC2560] Online Certificate Status Protocol
Architecture OCSP Validation Authority OCSP request Valide Pas valide Inconu Web Server Alice
Une étude de cas 2007: L entreprise XYZ (Suisse) S.A.
Le challenge du projet Choix d une technologie d authentification forte pour protéger des données hautement sensibles Un besoin sécuritaire très élevés Ces données doivent être accéder uniquement par les personnes autorisées et identifiées de manière forte et par un procédé quasi irréfutable de l identitl identité de la personne
Les contraintes exigées et existantes Intégration avec une application de GED Microsoft Smart Card Logon PKINIT Les futures applications Web Based (.NET) SOAP / XML (SOA) Évolution vers la signature numérique Signature de workflow Chiffrement de fichiers Intégration avec le bâtiment Badge d accès Gestion simples des utilisateurs
Quelle technologie choisir? One Time Password (OTP) Certificat numérique X509 Public Key Infrastructure Biométrie
Quiz: quelle technologie d authentification choisir? Une réponse possible! Certificat numérique Comment être sur que c est la bonne personne avec la carte à puce? PKI X509 Support de type Carte à puce ou Token USB
Quelle technologie biométrique pour l IT?
Quelle technologie de Biométrie
Quelle technologie d authentification choisir? Quel niveau de sécurit curité pour la biométrie IT peut on espérer? S agit il d un confort uniquement? Est il possible de «by passer» la techno? Et la «privacy des utilisateurs?
Une 1 er réponse: Matsumoto's «Gummy Fingers» Etude Yokohama University http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf
Une 2 ème réponse
Biométrie de confort vs Biométrie de sécurité? Authentification classique 1 facteur L empreinte Authentification forte 2 facteurs L empreinte et la carte à puce
Une 3ème réponse: La Technologie Match On Card
Le choix retenu pour ce projet: Architecture PKI Carte à puce de type crypto processeur Technologie biométrique de type «Fingerprinting» En remplacement du PIN Code Technologie Match On Card
1 er Phase du projet Intégration des composants PKI CA, RA & VA HSM Révocation Online des certificats (OCSP) Intégration avec Microsoft Smart Card Logon Smart Card Logon Mise en place d un service de gestion des identités Le futur: Intégration avec les SOA SOAP / XML Bâtiment intégration avec les badges Web SSO Chiffrement de fichiers SSO Intégration l application de GED Application.NET Web Application Firewall / Reverse Proxy avec SSL Firewall
e-xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et maintiennent au quotidien des architectures de sécurité au moyen de solutions pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux exigences de la clientèle. Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la confiance d'une clientèle issue de tout domaine d'activité et de toute taille. Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un contact de proximité. http://www.e-xpertsolutions.com