Sécurité et confiance : De la gestion des droits d’accès à la gestion des droits d’usage

1

nCryptone – Pierre LOMBARDY ADIJ – 22 mai 2007

2


Sécurité et confiance :

De la gestion des droits d’accès à la gestion des droits d’usage

3


Les échanges électroniques explosent :Plus d’un milliard d’internautes, 3 milliards d’abonnés mobile en 2007

La fraude à l’identité numérique se développe et se professionnalise… Une fraude multiforme: phishing, farming, trojan, spyware, keylogging, man in the middle L’usurpation d’identité: une vulnérabilité majeure

… Avec des conséquences désastreuses: préjudice financier multiplication des litiges perte d’image des entreprises perte de confiance des utilisateurs

La confiance dans l’identité numérique: une condition nécessaire au développement des échanges dématérialisés

Le constat

4


S’authentifier = prouver que je suis bien celui que je prétend être

Trois moyens :

Ce que l’utilisateur connait: mot de passe, code PIN, question « secrète » Ce que l’utilisateur détient: cartes, authentificateurs, certificats… Ce que l’utilisateur « est »: élément biométrique

Authentification forte: recours à au moins deux de ces facteurs

L’authentification forte

5


Arbitrer entre niveau de sécurité et simplicité d’utilisation

Prendre en compte la nature des opérations effectuées

Répondre aux besoins de la mobilité

Proposer une réponse multicanal

Favoriser l’appropriation par l’utilisateur final

Conjuguer authentification et nouveaux services à l’utilisateur

Vers un « authentificateur universel? »

Le choix d’une solution d’authentification forte, un défi complexe

6


Quelques réponses existantes

+

Niv

ea

u d

e s

éc

uri

té

Ergonomie +-

Clavier virtuel

SMSGrille

Puce EMVCertificat

Identifiant statique

Authentificateur

Biométrie Coûts élevés Requiert lecteur et programme de reconnaissance

Smart card Requiert lecteur et programme d’utilisation Coûts de déploiement hardware élevés

Programmes software Vulnérable au piratage

Tokens (mot de passe unique)

Facile à utiliser: ni lecteur, ni programme Encombrant Coût de déploiement élevé

7


OTP et Pin code, une solution d’authentification forte

Le mot de passe dynamique (OTP) Issu d’un objet que l’utilisateur est le seul à posséder Généré par un calcul cryptographique complexe Non rejouable Algorithme à sens unique Algorithme « customisable »

Le Pin code Deuxième facteur de l’authentification forte Différents modes d’utilisations envisageables

OTP (ce que j’ai)+

Pin code (ce que je sais)=

Authentification forte à double facteur

8


Média

Utilisateur AAA Server

Service

Le Serveur d’AuthentificationPierre angulaire du cercle de confiance

Administrer et délivrer les droits d’accès

Guichet unique pour gérer les moyens d’authentification, via tous les canaux de contact

Interopérable avec les solutions « standard » du marché (OATH)

Assurer la cohérence de la politique de sécurité et la flexibilité face aux évolutions organisationnelles

9


Les atouts de la carte

Format

Portabilité

Logistique de distribution

Personnalisation marketing

Appropriation par les consommateurs

Contrefaçon difficile si la carte intègre des composants électroniques

Et, avec le concept de carte « de 4ème génération », ouverture à des utilisations multiservices

10


La carte de 4ème génération

Embarque une source d’énergie

Possède une autonomie de fonctionnement

Ne nécessite pas de lecteur spécifique

Intègre de multiples composants

S’utilise de manière simple

Conjugue haut niveau de sécurité et ouverture à des applications multiples paiement, virement, services pré-payés, badge d’entreprise, …

Ex 1 : nC AudioCard

Ex 2 : nC DisplayCard

11


Merci de votre attention

Pour toute information complémentaire:

[email protected]

Sécurité et confiance : De la gestion des droits d’accès à la gestion des droits d’usage

Documents

Transcript of Sécurité et confiance : De la gestion des droits d’accès à la gestion des droits d’usage