Post on 15-Jul-2015
e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Le bon sens et l’expérience | www.e-xpertsolutions.com 4
Volume 2/3
Par Sylvain Maret / CTO e-Xpert Solutions SA
Genève / Juillet 2007
TutorialAuthentification Forte
Technologie des identités numériques
4
4 Le bon sens et l’expérience
“ L’art de fortifier ne consiste pas dans des règles et des systèmesmais uniquement dans le bon sens et l’expérience ”
Sebastien le Prestre de VaubanIngénieur Architecte 1633-1707
4
4 Le bon sens et l’expérience
Agenda
� Un nouveau challenge� Protection des données
� Intégration en entreprise
� Une étude de cas� Sécurisation des données sensible
� Projet d’authentification Forte en interne
4
4 Le bon sens et l’expérience
Protection de votre système d’information
Technologie authentification forte
Protocoles d’authentification ???
Données
Source: OATH
4
4 Le bon sens et l’expérience
App. Framework
Source: OATH
4
4 Le bon sens et l’expérience
Situation actuelle pour l’Authentification forte
� Sécurisation du ppppéééérimrimrimrimèèèètretretretre� VPN
� SSL� IPSEC
� Chiffrement (Laptop)� Applications Web public� Citrix
� Protocole d’authentification� Ldap, Radius, SSL, SecurID, � SMS, PAM, 802.1x, etc.
4
4 Le bon sens et l’expérience
La situation de demain: la dé-périmètrisation
http://www.opengroup.org/jericho/
Source: Jericho Forum
4
4 Le bon sens et l’expérience
Comment sécuriser les données ?
� Applications métier
� ERP
� Stockage
� Domaine Microsoft
� Main Frame
� Applications Web
� Services Web
� Etc.
4
4 Le bon sens et l’expérience
1er étape: la classification des données
Un exemple de matrice
Auth. ForteAvec non répudiation
Auth. forte
Auth. simple
4
4 Le bon sens et l’expérience
Quelques exemples ?
4
4 Le bon sens et l’expérience
Syncro des « comptes » via ldap
� Utilisation d’une base de référence pour le partage des comptes utilisateur� Syncro des comptes
� Pas de SSO
� Pas forcément un gain en sécurité
� Éventuellement l’ajout d’un méta annuaire
4
4 Le bon sens et l’expérience
Schéma d’une solution ldap
4
4 Le bon sens et l’expérience
Solution Single Sign On
� Le rêve de toute entreprise…?� Plusieurs approches
� Single Sign On� Helper� Reverse Proxy� Agent SSO
� Reduce Sign On� Capture des touches
� Quel niveau de sécurité ?
4
4 Le bon sens et l’expérience
SSO: Helper application agent
Source: Raymond Philip CaustonHELSINKI UNIVERSITY OF TECHNOLOGY
4
4 Le bon sens et l’expérience
SSO: Reverse Proxy
Source: Raymond Philip CaustonHELSINKI UNIVERSITY OF TECHNOLOGY
4
4 Le bon sens et l’expérience
SSO: Native plug-in architecture
Source: Raymond Philip CaustonHELSINKI UNIVERSITY OF TECHNOLOGY
4
4 Le bon sens et l’expérience
Reduce Sign On
Source: Raymond Philip CaustonHELSINKI UNIVERSITY OF TECHNOLOGY
4
4 Le bon sens et l’expérience
Kerberos en deux mots
Source: Raymond Philip CaustonHELSINKI UNIVERSITY OF TECHNOLOGY
4
4 Le bon sens et l’expérience
Microsoft Smart Card Logon
http://www.microsoft.com/windows2000/docs/sclogonwp.dochttp://searchwindowssecurity.techtarget.com/searchWindowsSecurity/downloads/DeClercq05.pdf
Source: Microsoft
4
4 Le bon sens et l’expérience
MS PKINIT
Source: Microsoft
4
4 Le bon sens et l’expérience
Applications Web via SSL / TLS
4
4 Le bon sens et l’expérience
WSSO
Source: Raymond Philip CaustonHELSINKI UNIVERSITY OF TECHNOLOGY
4
4 Le bon sens et l’expérience
« Legacy » application
� Que faire ?� Main Frame� Clients serveurs� Emulation� Etc.
� Quelques pistes� Crypto Kit� Citrix� VPN SSL ou IPSEC� Radius, PAM� Etc.
4
4 Le bon sens et l’expérience
Une tendance très claire pour l’entreprise: la carte à puces
4
4 Le bon sens et l’expérience
Validation Protocols
Source: OATH
4
4 Le bon sens et l’expérience
Standards existant
� Certificate Based / PKI X509� CRL (Certificate Revocation
List)
� SCVP� Simple Certificate Validation
Protocol
� OCSP [RFC2560]� Online Certificate Status
Protocol
4
4 Le bon sens et l’expérience
Architecture OCSP
Web ServerWeb ServerWeb ServerWeb ServerAliceAliceAliceAlice
ValidationValidationValidationValidationAuthorityAuthorityAuthorityAuthority
ValideValideValideValidePas validePas validePas validePas valideInconuInconuInconuInconu
OCSP OCSP OCSP OCSP requestrequestrequestrequest
4
4 Le bon sens et l’expérience
Une étude de cas 2007: L’entreprise XYZ (Suisse) S.A.
4
4 Le bon sens et l’expérience
Le challenge du projet
� Choix d’une technologie dddd’’’’authentification forteauthentification forteauthentification forteauthentification fortepour protéger des données hautement sensibles
� Un besoin sécuritaire très élevés
� Ces données doivent être accéder uniquement par les personnes autorisées et identifiées de manière forte et
par un procprocprocprocééééddddéééé quasi irrquasi irrquasi irrquasi irrééééfutable de lfutable de lfutable de lfutable de l’’’’identitidentitidentitidentitéééé de de de de la personnela personnela personnela personne
4
4 Le bon sens et l’expérience
Les contraintes exigées et existantes
� Intégration avec une application de GED
� Microsoft Smart Card Logon� PKINIT
� Les futures applications� Web Based (.NET)� SOAP / XML (SOA)
� Évolution vers la signature numérique
� Signature de workflow
� Chiffrement de fichiers
� Intégration avec le bâtiment� Badge d’accès
� Gestion simples des utilisateurs
4
4 Le bon sens et l’expérience
Quelle technologie choisir ?
� One Time Password (OTP)
� Certificat numérique X509� Public Key Infrastructure
� Biométrie
4
4 Le bon sens et l’expérience
Quiz: quelle technologie d’authentification choisir?
� Une réponse possible!
� Certificat numérique� PKI X509
� Support de type Carte à puce ou Token USB
� Comment être sur que c’est la bonne personne avec la carte àpuce ?
4
4 Le bon sens et l’expérience
Quelle technologie biométrique pour l’IT ?
4
4 Le bon sens et l’expérience
Quelle technologie de Biométrie
4
4 Le bon sens et l’expérience
Quelle technologie d’authentification choisir?
Quel niveau de sQuel niveau de sQuel niveau de sQuel niveau de séééécuritcuritcuritcuritéééé pour la biompour la biompour la biompour la bioméééétrie IT peut on esptrie IT peut on esptrie IT peut on esptrie IT peut on espéééérer ?rer ?rer ?rer ?
SSSS’’’’agit il dagit il dagit il dagit il d’’’’un confort uniquement?un confort uniquement?un confort uniquement?un confort uniquement?
Est il possible de Est il possible de Est il possible de Est il possible de «««« by passer by passer by passer by passer »»»» la techno ?la techno ?la techno ?la techno ?
Et la Et la Et la Et la «««« privacyprivacyprivacyprivacy des utilisateurs ?des utilisateurs ?des utilisateurs ?des utilisateurs ?
4
4 Le bon sens et l’expérience
Une 1er réponse: Matsumoto's « Gummy Fingers »
Etude Yokohama University
http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf
4
4 Le bon sens et l’expérience
Une 2ème réponse
4
4 Le bon sens et l’expérience
Biométrie de confort vs Biométrie de sécurité ?
Authentification classique
1 facteur
L’empreinte
Authentification forte
2 facteurs
L’empreinte et la carte à puce
4
4 Le bon sens et l’expérience
Une 3ème réponse: La Technologie Match On Card
4
4 Le bon sens et l’expérience
Le choix retenu pour ce projet:
� Architecture PKI
� Carte à puce de type crypto processeur
� Technologie biométrique de type « Fingerprinting »� En remplacement du PIN Code
� Technologie Match On Card
4
4 Le bon sens et l’expérience
1er Phase du projet
� Intégration des composants PKI� CA, RA & VA� HSM
� Révocation Online des certificats (OCSP)
� Intégration avec Microsoft Smart Card Logon
� Smart Card Logon
� Intégration l’application de GED� Application .NET� Web Application Firewall / Reverse
Proxy avec SSL� Firewall
� Mise en place d’un service de gestion des identités
� Le futur:� Intégration avec les SOA
� SOAP / XML� Bâtiment intégration avec les
badges� Web SSO� Chiffrement de fichiers� SSO
4
4 Le bon sens et l’expérience
e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécuritéinformatique dont les fondateurs ont fait de leur passion leur métier :
La sécurité des systèmes d'information
Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et maintiennent au quotidien des architectures de sécurité au moyen de solutions pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux exigences de la clientèle.
Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la confiance d'une clientèle issue de tout domaine d'activité et de toute taille.
Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un contact de proximité.
http://www.e-xpertsolutions.com