Identité numérique Authentification Forte [Compatibility Mode]

Identité numériqueIdentité numériqueIdentité numériqueIdentité numérique&&&&

AUTHENTIFICATION AUTHENTIFICATION AUTHENTIFICATION AUTHENTIFICATION FORTEFORTEFORTEFORTE

Conseil en technologies

AUTHENTIFICATION AUTHENTIFICATION AUTHENTIFICATION AUTHENTIFICATION FORTEFORTEFORTEFORTE

25 février 2009

Sylvain Maret / MARET Consulting

Conseil en technologieswww.maret-consulting.ch

"Le conseil et l'expertise pour le choix et la mise

en oeuvre des technologies innovantes dans la sécurité

des systèmes d'information et de l'identité numérique"

Agenda

� Identité numérique� Authentification forte

Pourquoi l’authentification forte?

� Pourquoi l’authentification forte?� Technologies

� OTP� PKI� Biométrie� Autres

� Les tendances 2009� Démonstrations

Identité numérique ?

Beaucoup de définitions

Un essai de définition…technique

Avatar

Mail / Achats

Social networkMonde virtuel

Monde réel

Lien technologique entre une identité réelle et une identité virtuelle

Identité numérique sur Internet

Identification

Identification et authentification ?

� Identification� Qui êtes vous ?

� Authentification� Prouvez le !

Facteurs pour l’authentification

� ce que l'entité connaîconnaîconnaîconnaît (Mot de passe)

� ce que l'entité détientdétientdétientdétient (Authentifieur)

� ce que l'entité est ou fait est ou fait est ou fait est ou fait (Biométrie)

Définition de l’authentification forte

Authentification forte

Une des clés de voûte de la sécurisation du système d’information

Conviction forte de MARET Consulting

Protection de votre système d’information

Données

Technologie authentification forte

Protocoles d’authentification

Identité

numérique

Pyramide de l’authentification forte

Pourquoi l’authentification forte?

Keylogger: une réelle menace

� 6191 keyloggers recensés en 2008� contre 3753 en 2007 (et environ 300 en 2000),

soit une progression de 65 %

Phishing - Pharming

� Anti-Phishing Working Group recommande l’utilisation de

� l’authentification forte

http://www.antiphishing.org/Phishing-dhs-report.pdf

T-FA in an Internet Banking Environment

� 12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive

« Single Factor Authentication » n’est pas suffisant pour les

� « Single Factor Authentication » n’est pas suffisant pour les applications Web financière

� Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte

� http://www.ffiec.gov/press/pr101205.htm

� La France commence à suivre le mouvement� Banque Populaire en 2009

Liberty Alliance souhaite accélérer l'adoption de l'authentification forte

� 8 novembre 2005:

� Liberty Alliance Project forme un groupe d’expert pour l’authentification forte

l’authentification forte

� The Strong Authentication Expert Group (SAEG)

� Publication dès 2006

� spécifications ID SAFE

Les premières réactions… !

� Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité

une composante de base de la sécurité

� PCI-DSS accélère le mouvement

“Superior” user authentication

Dans le monde grand public

Les technologies d’authentification forte

� Technologies en pleine mouvance

Technologie grand public

� Technologie grand public

� Technologies en pleine mouvances

� Technologie grand public� Technologie pour les entreprises

� Tour d’horizon des solutions en 2009� (Non exhaustif)

http://www.openauthentication.org/

Modèle OATH

Client Framework « Device » Physique

Token ou AuthentifieurTechnologies

Authentication Method

� Authentication Method:

� a function for authenticating users or devices, including

� One-Time Password (OTP) algorithms

� public key certificates (PKI)

� Biometry

� and other methods� SMS� Scratch List� TAN� Etc.

Authentification Token: définition

� Composant Hardware ou Software� « Authentifieur »

� Implémente la ou les méthode(s) d’authentification

� Réalise le mécanisme d’authentification en toute sécurité

� Fournit un stockage sécurisé des « credentials » d’authentification

Quel « Authentifieur » ?

One-Time Password (OTP)

� Mot de passe à usage unique� Basé sur le partage d’un secret

� Généralement utilisation d’une fonction de hachage

� Pour� Très portable (pour le mode non connecté)

� Contre� Pas de signature� Pas de chiffrement� Peu évolutif� Pas de non répudiation!non répudiation!non répudiation!non répudiation!

« Authentifieur » OTP

Exemple: RSA SecurID

PKI: Certificat numérique (X509)

� Basé sur la possession de la clé secrète (RSA, etc.)� Mécanisme de type « Challenge Response »

� Pour� Offre plus de services:

� Authentification� Signature� Chiffrement – non répudiationnon répudiationnon répudiationnon répudiation

� Contre� Nécessite un moyen de transport sécurisé de la clé privéede la clé privéede la clé privéede la clé privée� Pas vraiment portable

« Authentifieur » PKI

Le meilleur des deux mondes:

Technologie hybride: OTP & PKI

Technologie SMS (OOB)

Etude de cas: Skyguide

�La sécurité alliée au login unique

� Firewall Web application

� Web Single Sign On

� Authentification forte via SMS

http://www.slideshare.net/smaret/etude-cas-skyguide-rsa-mobile

OTP « Bingo Card »

AnyUser

******

Les tendances 2009

Token USB multi fonction

Le monde des portables

� SIM-Based Authentication

� GemXplore 'Xpresso Java Card SIMs from Gemplus

� OTA (Over-The-Air) technology

Technologie OTA

http://www.gemplus.com/techno/ota/resources/white_paper.html

Trusted Platform Module [TPM]

https://www.trustedcomputinggroup.org/home

Exemple: Authentification forte d’un portable avec technologie VPN SSL

Multi Application Smart Card

Technologie Mifare

�Contactless technology that is owned by Philips Electronics

�De Facto Standard

�Convergence IT Security and Building Security

EMV - CAP

� Europay Mastercard Visa

� Initiative de:

� Master Card

� Visa

� Utilise la technologie CAP

� Chip Authentication Protocol

� Authentification forte et signature des transactions

Risk Based Authentication

Internet Passport: OTP & Biométrie

Démonstration: OpenID & Axsionics

OTP USB Yubico

� OTP event Based

� Pas de driver

� Très simple d’usage

� Simule un clavier

Démonstration: Yubico

La biométrie

� Système « ancien »� 1930 - carte d’identité avec photo

� Reconnaissance de la voix

� Etc.

� Deux familles :� Mesure des traits physiques uniques

� Mesure d’un comportement unique

� Composé de bio- (du grec bios - «la vie») et de - métrie(du grec metron - «mesure»)

Définition d’une identité numérique ?

Lien technologique entre une identité réelle et une identité virtuelle

Conseil en technologieswww.maret-consulting.ch Future of Identity in the Information Society

Le marché de la biométrie

Mesure des traits physiques

� Empreintes digitales

� Géométrie de la main

� Les yeux

� Les yeux� Iris

� Rétine

� Reconnaissance du visage

� Réseau veineux de la main ou du doigt

� Nouvelles voies� ADN, odeurs, oreille et « thermogram »

Mesure d’un comportement

� Reconnaissance vocale

� Signature manuscrite

� Démarche

� Dynamique de frappe� Clavier

Une technologie très prometteuse

Vascular Pattern Recognition

By SONY

Confort vs fiabilité

Fonctionnement en trois phases

Stockage des données ?

�Par serveur d’authentification� Problème de sécurité

� Problème de confidentialité

� Problème de disponibilité

�Sur un support externe� Meilleure sécurité

� Mode « offline »

� MOC = Match On card

Loi fédérale du 19 juin 1992 sur la protection des données (LPD)

Equal Error Rate (EER)

Biométrie en terme de sécurité?

� Solution Biométrique uniquement ?� Confort à l’utilisation

� Confort à l’utilisation

� N’est pas un plus en terme de sécurité (en 2009)

� Doit être couplé à un 2ème facteurs� Carte à puce par exemple

Démonstration: Signature d’un email

Matsumoto's « Gummy Fingers »

Etude Yokohama University

http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf

Questions ?

Quelques liens

� http://www.idtheftcenter.org/

� http://www.antiphishing.org/

� http://sylvain-maret.blogspot.com/

� http://fr.wikipedia.org/wiki/Authentification_forte

� http://www.openauthentication.org/

� http://www.fidis.net/

� http://idtheftblog.wordpress.com/

� http://www.regardingid.com/

Identité numérique

Identité numérique Authentification Forte [Compatibility Mode]

Documents

Transcript of Identité numérique Authentification Forte [Compatibility Mode]

Administration SNMP avancée Chapitre 7. Pourquoi authentification et confidentialité ? Authentification : —Empêche les accès non-autorisés à une administration.

Identité Numérique et Authentification Forte

Lexique des termes du monde numérique - #ClasseTICEclassetice.fr/IMG/pdf/lexique_numerique.pdf · Authentification : Action qui consiste à prouver son identité à un système informatique,

ServicesEnGares_GareduFutur SP [Compatibility Mode]

Authentification dans ISA Server 2006

EDF Presentation 25052012-Ppt Compatibility Mode -2

Authentification 802.1x V1.0

Biométrie & Authentification forte / protection des identités numériques

Authentification unique (SSO) Microsoft Office 365 avec AD ...data.vandenborre.be/manual/MS/MICROSOFT_M_FR_OFFICE 365 UNIV… · Authentification unique (SSO) Microsoft Office 365

Authentification réseau

Authentification sociale en angular 1.pptx

III- Biophysique [Compatibility Mode]

AUTHENTIFICATION FORTE

ChapitreVI_MRP-2011 [Compatibility Mode]

Authentification Forte 2

Legrafcetcoursexercicescorrigs 121007140653 Phpapp02 [Compatibility Mode]

Anatomie de l'OEIL [Compatibility Mode].pdf

Authentification et autorisation d'accès avec AWS IAM

Importations Sobel imports Inc. TERREBONNE (QC) CANADA...COMPATIBILITY COMPATIBILITY FH-X830BHS $193,00 SRP $269.99 2-DIN CD BLUETOOTH W/MIXTRAX USB PLAYBACK, PANDORA, BT HD, ANDROID

Authentification électronique Le Signing Stick LuxTrust.