Identité numérique Authentification Forte [Compatibility Mode]

65
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch Identité numérique Identité numérique Identité numérique Identité numérique & & & AUTHENTIFICATION AUTHENTIFICATION AUTHENTIFICATION AUTHENTIFICATION FORTE FORTE FORTE FORTE Conseil en technologies 25 février 2009 Sylvain Maret / MARET Consulting

Transcript of Identité numérique Authentification Forte [Compatibility Mode]

Page 1: Identité numérique Authentification Forte [Compatibility Mode]

MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch

Identité numériqueIdentité numériqueIdentité numériqueIdentité numérique&&&&

AUTHENTIFICATION AUTHENTIFICATION AUTHENTIFICATION AUTHENTIFICATION FORTEFORTEFORTEFORTE

Conseil en technologies

AUTHENTIFICATION AUTHENTIFICATION AUTHENTIFICATION AUTHENTIFICATION FORTEFORTEFORTEFORTE

25 février 2009

Sylvain Maret / MARET Consulting

Page 2: Identité numérique Authentification Forte [Compatibility Mode]

Conseil en technologieswww.maret-consulting.ch

"Le conseil et l'expertise pour le choix et la mise

en oeuvre des technologies innovantes dans la sécurité

des systèmes d'information et de l'identité numérique"

Page 3: Identité numérique Authentification Forte [Compatibility Mode]

Agenda

� Identité numérique� Authentification forte

Pourquoi l’authentification forte?

Conseil en technologieswww.maret-consulting.ch

� Pourquoi l’authentification forte?� Technologies

� OTP� PKI� Biométrie� Autres

� Les tendances 2009� Démonstrations

Page 4: Identité numérique Authentification Forte [Compatibility Mode]

Identité numérique ?

Beaucoup de définitions

Conseil en technologieswww.maret-consulting.ch

Page 5: Identité numérique Authentification Forte [Compatibility Mode]

Un essai de définition…technique

Avatar

Bank

Mail / Achats

Social networkMonde virtuel

Conseil en technologieswww.maret-consulting.ch

Monde réel

Lien technologique entre une identité réelle et une identité virtuelle

Page 6: Identité numérique Authentification Forte [Compatibility Mode]

Identité numérique sur Internet

Conseil en technologieswww.maret-consulting.ch

Identification

Page 7: Identité numérique Authentification Forte [Compatibility Mode]

Identification et authentification ?

� Identification� Qui êtes vous ?

Conseil en technologieswww.maret-consulting.ch

� Authentification� Prouvez le !

Page 8: Identité numérique Authentification Forte [Compatibility Mode]

Facteurs pour l’authentification

� ce que l'entité connaîconnaîconnaîconnaît (Mot de passe)

Conseil en technologieswww.maret-consulting.ch

� ce que l'entité détientdétientdétientdétient (Authentifieur)

� ce que l'entité est ou fait est ou fait est ou fait est ou fait (Biométrie)

Page 9: Identité numérique Authentification Forte [Compatibility Mode]

Définition de l’authentification forte

Conseil en technologieswww.maret-consulting.ch

Page 10: Identité numérique Authentification Forte [Compatibility Mode]

Authentification forte

Conseil en technologieswww.maret-consulting.ch

Une des clés de voûte de la sécurisation du système d’information

Conviction forte de MARET Consulting

Page 11: Identité numérique Authentification Forte [Compatibility Mode]

Protection de votre système d’information

Données

Conseil en technologieswww.maret-consulting.ch

Technologie authentification forte

Protocoles d’authentification

Identité

numérique

Page 12: Identité numérique Authentification Forte [Compatibility Mode]

Pyramide de l’authentification forte

Conseil en technologieswww.maret-consulting.ch

Page 13: Identité numérique Authentification Forte [Compatibility Mode]

Pourquoi l’authentification forte?

Conseil en technologieswww.maret-consulting.ch

Page 14: Identité numérique Authentification Forte [Compatibility Mode]

Keylogger: une réelle menace

� 6191 keyloggers recensés en 2008� contre 3753 en 2007 (et environ 300 en 2000),

soit une progression de 65 %

Conseil en technologieswww.maret-consulting.ch

soit une progression de 65 %

Page 15: Identité numérique Authentification Forte [Compatibility Mode]

Phishing - Pharming

� Anti-Phishing Working Group recommande l’utilisation de

� l’authentification forte

Conseil en technologieswww.maret-consulting.ch

http://www.antiphishing.org/Phishing-dhs-report.pdf

Page 16: Identité numérique Authentification Forte [Compatibility Mode]

T-FA in an Internet Banking Environment

� 12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive

« Single Factor Authentication » n’est pas suffisant pour les

Conseil en technologieswww.maret-consulting.ch

� « Single Factor Authentication » n’est pas suffisant pour les applications Web financière

� Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte

� http://www.ffiec.gov/press/pr101205.htm

� La France commence à suivre le mouvement� Banque Populaire en 2009

Page 17: Identité numérique Authentification Forte [Compatibility Mode]

Liberty Alliance souhaite accélérer l'adoption de l'authentification forte

� 8 novembre 2005:

� Liberty Alliance Project forme un groupe d’expert pour l’authentification forte

Conseil en technologieswww.maret-consulting.ch

l’authentification forte

� The Strong Authentication Expert Group (SAEG)

� Publication dès 2006

� spécifications ID SAFE

Page 18: Identité numérique Authentification Forte [Compatibility Mode]

Les premières réactions… !

� Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité

Conseil en technologieswww.maret-consulting.ch

une composante de base de la sécurité

� PCI-DSS accélère le mouvement

Page 19: Identité numérique Authentification Forte [Compatibility Mode]

“Superior” user authentication

Conseil en technologieswww.maret-consulting.ch

Page 20: Identité numérique Authentification Forte [Compatibility Mode]

Dans le monde grand public

Conseil en technologieswww.maret-consulting.ch

Page 21: Identité numérique Authentification Forte [Compatibility Mode]

Les technologies d’authentification forte

� Technologies en pleine mouvance

Technologie grand public

Conseil en technologieswww.maret-consulting.ch

� Technologie grand public

� Technologies en pleine mouvances

� Technologie grand public� Technologie pour les entreprises

� Tour d’horizon des solutions en 2009� (Non exhaustif)

Page 22: Identité numérique Authentification Forte [Compatibility Mode]

http://www.openauthentication.org/

Conseil en technologieswww.maret-consulting.ch

Page 23: Identité numérique Authentification Forte [Compatibility Mode]

Modèle OATH

Conseil en technologieswww.maret-consulting.ch

Page 24: Identité numérique Authentification Forte [Compatibility Mode]

Client Framework « Device » Physique

Token ou AuthentifieurTechnologies

Conseil en technologieswww.maret-consulting.ch

Page 25: Identité numérique Authentification Forte [Compatibility Mode]

Authentication Method

� Authentication Method:

� a function for authenticating users or devices, including

Conseil en technologieswww.maret-consulting.ch

� One-Time Password (OTP) algorithms

� public key certificates (PKI)

� Biometry

� and other methods� SMS� Scratch List� TAN� Etc.

Page 26: Identité numérique Authentification Forte [Compatibility Mode]

Authentification Token: définition

� Composant Hardware ou Software� « Authentifieur »

Conseil en technologieswww.maret-consulting.ch

� Implémente la ou les méthode(s) d’authentification

� Réalise le mécanisme d’authentification en toute sécurité

� Fournit un stockage sécurisé des « credentials » d’authentification

Page 27: Identité numérique Authentification Forte [Compatibility Mode]

Quel « Authentifieur » ?

Conseil en technologieswww.maret-consulting.ch

Page 28: Identité numérique Authentification Forte [Compatibility Mode]

One-Time Password (OTP)

� Mot de passe à usage unique� Basé sur le partage d’un secret

� Généralement utilisation d’une fonction de hachage

Conseil en technologieswww.maret-consulting.ch

� Pour� Très portable (pour le mode non connecté)

� Contre� Pas de signature� Pas de chiffrement� Peu évolutif� Pas de non répudiation!non répudiation!non répudiation!non répudiation!

Page 29: Identité numérique Authentification Forte [Compatibility Mode]

« Authentifieur » OTP

Conseil en technologieswww.maret-consulting.ch

Page 30: Identité numérique Authentification Forte [Compatibility Mode]

Exemple: RSA SecurID

Conseil en technologieswww.maret-consulting.ch

Page 31: Identité numérique Authentification Forte [Compatibility Mode]

PKI: Certificat numérique (X509)

� Basé sur la possession de la clé secrète (RSA, etc.)� Mécanisme de type « Challenge Response »

Pour

Conseil en technologieswww.maret-consulting.ch

� Pour� Offre plus de services:

� Authentification� Signature� Chiffrement – non répudiationnon répudiationnon répudiationnon répudiation

� Contre� Nécessite un moyen de transport sécurisé de la clé privéede la clé privéede la clé privéede la clé privée� Pas vraiment portable

Page 32: Identité numérique Authentification Forte [Compatibility Mode]

« Authentifieur » PKI

Conseil en technologieswww.maret-consulting.ch

Page 33: Identité numérique Authentification Forte [Compatibility Mode]

Le meilleur des deux mondes:

Conseil en technologieswww.maret-consulting.ch

Technologie hybride: OTP & PKI

Page 34: Identité numérique Authentification Forte [Compatibility Mode]

Technologie SMS (OOB)

Conseil en technologieswww.maret-consulting.ch

Page 35: Identité numérique Authentification Forte [Compatibility Mode]

Etude de cas: Skyguide

�La sécurité alliée au login unique

Conseil en technologieswww.maret-consulting.ch

�La sécurité alliée au login unique

� Firewall Web application

� Web Single Sign On

� Authentification forte via SMS

http://www.slideshare.net/smaret/etude-cas-skyguide-rsa-mobile

Page 36: Identité numérique Authentification Forte [Compatibility Mode]

OTP « Bingo Card »

AnyUser

******

Conseil en technologieswww.maret-consulting.ch

9 2

Page 37: Identité numérique Authentification Forte [Compatibility Mode]

Les tendances 2009

Conseil en technologieswww.maret-consulting.ch

Page 38: Identité numérique Authentification Forte [Compatibility Mode]

Token USB multi fonction

Conseil en technologieswww.maret-consulting.ch

Page 39: Identité numérique Authentification Forte [Compatibility Mode]

Le monde des portables

� SIM-Based Authentication

� GemXplore 'Xpresso Java Card SIMs from Gemplus

Conseil en technologieswww.maret-consulting.ch

� GemXplore 'Xpresso Java Card SIMs from Gemplus

� OTA (Over-The-Air) technology

Page 40: Identité numérique Authentification Forte [Compatibility Mode]

Technologie OTA

Conseil en technologieswww.maret-consulting.ch

http://www.gemplus.com/techno/ota/resources/white_paper.html

Page 41: Identité numérique Authentification Forte [Compatibility Mode]

Trusted Platform Module [TPM]

Conseil en technologieswww.maret-consulting.ch

https://www.trustedcomputinggroup.org/home

Exemple: Authentification forte d’un portable avec technologie VPN SSL

Page 42: Identité numérique Authentification Forte [Compatibility Mode]

Multi Application Smart Card

Conseil en technologieswww.maret-consulting.ch

Page 43: Identité numérique Authentification Forte [Compatibility Mode]

Technologie Mifare

�Contactless technology that is owned by Philips Electronics

Conseil en technologieswww.maret-consulting.ch

�De Facto Standard

�Convergence IT Security and Building Security

Page 44: Identité numérique Authentification Forte [Compatibility Mode]

EMV - CAP

� Europay Mastercard Visa

� Initiative de:

� Master Card

Conseil en technologieswww.maret-consulting.ch

� Master Card

� Visa

� Utilise la technologie CAP

� Chip Authentication Protocol

� Authentification forte et signature des transactions

Page 45: Identité numérique Authentification Forte [Compatibility Mode]

Risk Based Authentication

Conseil en technologieswww.maret-consulting.ch

Page 46: Identité numérique Authentification Forte [Compatibility Mode]

Internet Passport: OTP & Biométrie

Conseil en technologieswww.maret-consulting.ch

Page 47: Identité numérique Authentification Forte [Compatibility Mode]

Démonstration: OpenID & Axsionics

Conseil en technologieswww.maret-consulting.ch

Page 48: Identité numérique Authentification Forte [Compatibility Mode]

OTP USB Yubico

� OTP event Based

� Pas de driver

Conseil en technologieswww.maret-consulting.ch

� Très simple d’usage

� Simule un clavier

Page 49: Identité numérique Authentification Forte [Compatibility Mode]

Démonstration: Yubico

Conseil en technologieswww.maret-consulting.ch

Page 50: Identité numérique Authentification Forte [Compatibility Mode]

La biométrie

� Système « ancien »� 1930 - carte d’identité avec photo

� Reconnaissance de la voix

Conseil en technologieswww.maret-consulting.ch

� Reconnaissance de la voix

� Etc.

� Deux familles :� Mesure des traits physiques uniques

� Mesure d’un comportement unique

� Composé de bio- (du grec bios - «la vie») et de - métrie(du grec metron - «mesure»)

Page 51: Identité numérique Authentification Forte [Compatibility Mode]

Définition d’une identité numérique ?

Lien technologique entre une identité réelle et une identité virtuelle

Conseil en technologieswww.maret-consulting.ch Future of Identity in the Information Society

Page 52: Identité numérique Authentification Forte [Compatibility Mode]

Le marché de la biométrie

Conseil en technologieswww.maret-consulting.ch

Page 53: Identité numérique Authentification Forte [Compatibility Mode]

Mesure des traits physiques

� Empreintes digitales

� Géométrie de la main

� Les yeux

Conseil en technologieswww.maret-consulting.ch

� Les yeux� Iris

� Rétine

� Reconnaissance du visage

� Réseau veineux de la main ou du doigt

� Nouvelles voies� ADN, odeurs, oreille et « thermogram »

Page 54: Identité numérique Authentification Forte [Compatibility Mode]

Mesure d’un comportement

� Reconnaissance vocale

� Signature manuscrite

� Démarche

Conseil en technologieswww.maret-consulting.ch

� Démarche

� Dynamique de frappe� Clavier

Page 55: Identité numérique Authentification Forte [Compatibility Mode]

Une technologie très prometteuse

Vascular Pattern Recognition

Conseil en technologieswww.maret-consulting.ch

By SONY

Page 56: Identité numérique Authentification Forte [Compatibility Mode]

Confort vs fiabilité

Conseil en technologieswww.maret-consulting.ch

Page 57: Identité numérique Authentification Forte [Compatibility Mode]

Fonctionnement en trois phases

Conseil en technologieswww.maret-consulting.ch

Page 58: Identité numérique Authentification Forte [Compatibility Mode]

Stockage des données ?

Conseil en technologieswww.maret-consulting.ch

�Par serveur d’authentification� Problème de sécurité

� Problème de confidentialité

� Problème de disponibilité

�Sur un support externe� Meilleure sécurité

� Mode « offline »

� MOC = Match On card

Loi fédérale du 19 juin 1992 sur la protection des données (LPD)

Page 59: Identité numérique Authentification Forte [Compatibility Mode]

Equal Error Rate (EER)

Conseil en technologieswww.maret-consulting.ch

Page 60: Identité numérique Authentification Forte [Compatibility Mode]

Biométrie en terme de sécurité?

� Solution Biométrique uniquement ?� Confort à l’utilisation

Conseil en technologieswww.maret-consulting.ch

� Confort à l’utilisation

� N’est pas un plus en terme de sécurité (en 2009)

� Doit être couplé à un 2ème facteurs� Carte à puce par exemple

Page 61: Identité numérique Authentification Forte [Compatibility Mode]

Démonstration: Signature d’un email

Conseil en technologieswww.maret-consulting.ch

Page 62: Identité numérique Authentification Forte [Compatibility Mode]

Matsumoto's « Gummy Fingers »

Conseil en technologieswww.maret-consulting.ch

Etude Yokohama University

http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf

Page 63: Identité numérique Authentification Forte [Compatibility Mode]

Questions ?

Conseil en technologieswww.maret-consulting.ch

Page 64: Identité numérique Authentification Forte [Compatibility Mode]

Quelques liens

� http://www.idtheftcenter.org/

� http://www.antiphishing.org/

� http://sylvain-maret.blogspot.com/

Conseil en technologieswww.maret-consulting.ch

� http://sylvain-maret.blogspot.com/

� http://fr.wikipedia.org/wiki/Authentification_forte

� http://www.openauthentication.org/

� http://www.fidis.net/

� http://idtheftblog.wordpress.com/

� http://www.regardingid.com/

Page 65: Identité numérique Authentification Forte [Compatibility Mode]

Identité numérique

Conseil en technologieswww.maret-consulting.ch