Vous avez dit Authentification sans mot de passe, une illustration avec FranceConnect

N N

1

Philippe Beraud@philberd

Charles de Vandire@cdevandiere

N N

2

Vous avez dit Authentification sans mot de passe, une illustration avec FranceConnect

N N

3

A propos des mots de passe76%des intrusions rseau peuvent tre attribues la base des mots de passe faibles ou voles*Les mots de passe sont faciles cloner et volerYahoo! pour ne citer quun exemple rcent :-(

Lutilisateur peut les recycler, les partager, les crire, etc.Des politiques plus strictes ne sont pas suffisantesLauthentification multifacteur attnue de nombreux dfis poss par les mots de passe mais :Limplmentation peut savrer couteuse et complexe...Lexprience utilisateur fatigante

* 2014 NIST Roadmap for Improving Critical Infrastructure CybersecurityLes mots de passe sont pratiques mais pas srsDes alternatives sont sres mais pas pratiques

N Nhttp://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks

81% des rpondants selon une enqute Sophos - utilisent les mmes mots de passe travers plusieurs sites Web (Sophos Online Password Survey)

65 est le cot moyen de main de uvre de Help Desk pour une rinitialisation de mot de passe et cela constitue jusqu' 50 % des appels Help Desk appels (estimation du Gartner)

4

Hello MS Experience16

N N

5

Windows HelloUne alternative deux facteurs native dans Windows 10Pour remplacer les mots de passe avec une cl prive accessible uniquement via un code PIN ou un geste utilisateur Empreinte digitale, iris, reconnaissance facialeExtensible avec le Framework biomtrique Windows

Conue pour tre facile utiliser tout en tant scuriseDes crdentits rsistantes lhameonnage, au vol, aux brches de scurits ET facile utiliser avec une exprience unifieAvec une exprience unifie qui prend en charge Azure AD, AD/Azure AD en hybride et MSA, mais pas seulement ! :-)

* Windows 10 Anniversary Update

N N

6

Windows HelloPrincipesUne combinaison de PIN ou biomtrie et une authentification cls publique/priveLes facteurs biomtriques utilisent la mme "syntaxe" pour lenrlement et leur utilisation

Windows Hello

Taper unPINRegarder la webcamPrsence utilisateurPrsence utilisateur

DEVERROUILLER

CONTENEUR Windows Hello

VERIFIER

Cls Entreprise

Cls Consommateur

TPM

Service Web, AD, Azure AD, etc.

APP avec Windows Hello

Authentification sur la base dune signature numriqueCls prives protgs avec le TPM

Windows Hello

Taper unPINRegarder la webcamPrsence utilisateurPrsence utilisateur

N NPIN: Quelque chose que vous possdez + quelque chose que vous connaissezBiomtrie : Quelque chose que vous possdez + quelque chose que vous tes

7

2nd Facteur dans Windows 10

Second facteur

PIN

Windows HelloBiomtrieou

Cls prives scurises dans le TPM

Premier facteur

TPM

N N

8

2nd Facteur dans Windows 10 Anniversary Update

Cls prives scurises dans le TPM

Premier facteur

TPM

Second facteur

PIN

Windows HelloBiomtrieou

ouAppareils compagnon

Phone

Smartphone

Band 2

Wearable

USB

USB

RFID

Carte

Phone

Smartphone

Band 2

Wearable

USB

USB

N N

9

Connexion avec un smartphone

Second facteur

PIN

Windows HelloBiomtrieou

PIN

Windows HelloBiomtrieou

Second facteur

ouAppareils compagnon

Cls prives scurises dans le TPM

Premier facteur

TPM

N NAlliance FIDO (Fast IDentity Online)

Quelques membres du conseil dadministrationfidoalliance.org/membership/members/

N NLalliance FIDO est un consortium industriel lanc en fvrier 2013 pour remdier au manque dinteroprabilit entre les divers dispositifs dauthentification forte et les problmes auxquels sont confronts les utilisateurs pour crer er retenir de multiples mots de passe.11

Vous avez dit FIDO 2.0 ? De quoi sagit-il ?Dfinir des APIs clients destination des plateformes web pour construire une authentification scurise, non ameonnable et facile dutilisationPour aller au-del des mots de passe : Plutt que dutiliser un mot de passe ou un code usage unique, lutilisateur est authentifi avec des cls de chiffrement qui sont soit crs sur leur appareil client (p. ex. un ordinateur) ou un dispositif authentificateur externe (p. ex. un tlphone mobile) qui parle leur appareil client

Dfinir des entres et des messages cryptographiques pour le web

Alliance FIDO

Groupe de travail Authentification Web

N NFIDO Authentication Poised for Continued Growth as Alliance Submits FIDO 2.0 Web API to W3C: https://fidoalliance.org/fido-alliance-announces-fido-authentication-poised-for-continued-growth-as-alliance-submits-fido-2-0-web-api-to-w3c/Submission Request to W3C: FIDO 2.0 Platform Specifications 1.0: http://www.w3.org/Submission/2015/02/New public working draft of the W3C Web Authentication Specification : https://www.w3.org/blog/webauthn/

FIDO 2.0: Web API for accessing FIDO 2.0 credentials: http://www.w3.org/Submission/fido-web-api/FIDO 2.0: Key attestation format. URL: http://www.w3.org/Submission/2015/SUBM-fido-key-attestation-20151120/ FIDO 2.0: Signature format. URL: http://www.w3.org/Submission/2015/SUBM-fido-signature-format-20151120/ 12

Une illustration de lAPI JS Web Authentication dans Microsoft EdgePremire implmentation de FIDO 2.0 pour utiliser Windows Hello ou des appareils compagnon

Dmo

N Nhttps://testdrive-fido.azurewebsites.net/13

Authentification web (FIDO 2.0) avec Windows HelloEnregistrementService

Cl prive

Cl publique

makeCredentialClient

App avec Windows HelloSassurer que lutilisateur peut utiliser Windows Hello (for Business) Sassurer de lidentit de la personneGnrer une paire de cl et enregistrer la cl publique au niveau du serviceOptionnellement vrifier la cl via une attestation de cl TPMlie avec lutilisateur courant dans la base de compte

N Nhttps://github.com/Microsoft/Windows-universal-samples/tree/master/Samples/MicrosoftPassport

14

ServiceAuthentification web (FIDO 2.0) avec Windows Hello (suite)EnregistrementEnregistrement de la cl publique (et de lattestation) avec linformation utilisateur au niveau du serviceGestion de plusieurs cls par utilisateur au niveau du rpertoire de compteGestion de plusieurs comptes par cl utilisateur en ajoutant un attribut didentification de compte

N Nhttps://github.com/Microsoft/Windows-universal-samples/tree/master/Samples/MicrosoftPassport

15

Service

ClientAuthentification web (FIDO 2.0) avec Windows Hello (suite)Authentification

Cl prive"challenge"+

"challenge" signgetAssertion + challenge

Cl publiquechallenge = +Lapplication accde au serviceLe service requiert que lutilisateur sauthentifie et envoie un challengeLutilisateur est invit saisir son PIN ou utilise Windows Hello pour la biomtrieLapplication signe le challenge avec la cl priveLe challenge est transmis au service qui valide la signature avec la cl publique enregistre pour lutilisateurSi valide, lutilisateur est authentifi et le flux continue

N Nhttps://github.com/Microsoft/Windows-universal-samples/tree/master/Samples/MicrosoftPassport

16

Un mot sur la conception du challenge-rponseUn challenge-rponse scuris doit permettre de se prmunir des rejeux ainsi que des attaques de type MAM (man-in-the-middle)Propre limplmentation

N Nhttps://github.com/Microsoft/Windows-universal-samples/tree/master/Samples/MicrosoftPassport

17

Une illustration avec FranceConnect ;-)

N N

18

Vous avez dit FranceConnect ? Quesaquo !?

N N

19

Vous avez dit FranceConnect ?Le systme didentification et dauthentification en ligne de ltatUn dispositif amen rconcilier les citoyens avec la chose publiquePermet daccder a lensemble des services publics en ligne sans devoir ncessairement disposer de comptes auprs deuxvite de jongler avec autant didentifiants et de mots de passe quil existe dorganismes en ligne !Un dispositif qui concerne les mairies, les dpartements, les ministres, les oprateurs publics, etc.

N NUne identit pivot est transmises aux services publicsIdentit pivot = identit vrifie6 informations : nom, prnom, sexe, date, lieu et pays de naissance

https://tele7.interieur.gouv.fr/tlp/20

Vous avez dit FranceConnect ? (suite)Un composant de lEtat Plateformeetatplateforme.modernisation.gouv.fr/identite-numerique

Une logique dchange qui repose sur lide que lEtat, et plus gnralement lensemble des services publics, gagnerait a exposer ses ressources sous forme dAPI ouvertesvite de fournir a une administration des justificatifs dj dtenus par une autre administration... Cas du revenu fiscal de rfrence dtenu par les Impts et demande dans de trs nombreuses dmarches administratives

Une stratgie technologie porte par le SGMAP pour faciliter la rutilisation et crer un cosystme de consommateurs de donnesAvec api.gouv.fr, le catalogue qui rfrence toutes les API des services publicsN 21

franceconnect.gouv.fr/partenaires

N NP. ex. API particulier. Couvre 4 domaines :Donnes confidentiellesDonnes de rfrence : saisie et contrle de cohrenceDroits exploitables : ligibilit et calculs fiscaux et sociauxBig Data

DGFIP : avis dimposition, adresse fiscaleCAF : quotient familial, composition familiale, adresse

https://api.gouv.fr/api/api-particulier.html

2 types dAPIs:OuvertOuvert sous contrleX-API-KEYX-USER

http://www.modernisation.gouv.fr/ladministration-change-avec-le-numerique/par-son-systeme-dinformation/etat-plateforme-tribune-marzinhttp://etatplateforme.modernisation.gouv.fr/identite-numeriquehttps://api.gouv.fr/

21

Vous avez dit FranceConnect ?Les diffrents types de fournisseurs

Fournisseur de serviceProposer des services en ligne aux usagers

Fournisseur didentitGarantir lidentification et lauthentification dun usager

Fournisseur de donnesTransmettre des donnes aux fournisseurs de service suite au consentement de lusager

N N

22

Vous avez dit FranceConnect ?Principe de fonctionnement

Processus dauthentification

Fournisseur de service (FS)App mobileFournisseur didentit (FI)2. Dlgation de lauthentification et rcupration de lidentit (pivot)Systme didentification FranceConnect1. Demande De lidentit de lusager USAGER

Fournisseur didentits (FI)

N NUne illustration de lusage de Windows HelloUne mise en uvre avec un canevas de fournisseur didentit FranceConnect

Dmo

N Nhttps://testdrive-fido.azurewebsites.net/24

Une illustration de lusage de Windows Hello for BusinessUtilisation de lAPI JavaScript pour Microsoft EdgePremire implmentation de FIDO 2.0 (Web Authentication) pour utiliser Windows Hello ou des appareils compagnonDisponible dans le Kit de dveloppement (SDK) Windows 10

Prt lusage dans un canevas technique de fournisseur didentit FranceConnectUne des composantes du kit de dmarrage propos en Open Source par Microsoft France pour FranceConnectSouche ASP.NET Core et Identity Server 4, deux projets Open Source de la fondation .NETFondation multiplateforme Linux, OSX et Windows (Server)

Illustration dune approche standardise* pour rpondre au niveau Substantiel didentification lectronique du rglement eIDAS

* En cours au W3C

N N

25

Vous avez dit FranceConnect ? (suite)Principe de fonctionnementProcessus complet des processus de mise en relation usagers et autorits administratives

Fournisseur de donnes (FD)Fournisseur de service (FS)App mobile

Fournisseur didentit (FI)1. Demande De lidentit de lusager et de lautorisation daccs a ses donnes complmentaires2. Dlgation de lauthentification et rcupration de lidentit (pivot)3. Demande De laccs aux donnes complmentaires de lusager 4. Vrification de lautorisation daccs aux donnes complmentaires de lusagerSystme didentification FranceConnect

Fournisseur didentits (FI)USAGER

N NFranceConnect aujourdhuiUn jeune cosystme pour la conception de nouveaux services publics numriques qui deviendront prochainement la normeFranceConnect : dj 100 000 utilisateurs et une vingtaine de servicesDes collectivits territorialesNmes, Montpellier Mditerrane Mtropole, Oloron Sainte-Marie, le Bourget ou Saint-Pierre Martinique, etc.Dpartement des Alpes-Maritimes, Dpartement des Hautes-Alpes

LAdministration centraleAmeli.fr (le service en ligne de lAssurance Maladie), ANTS (agence nationale des titres scuriss), Impots.gouv.fr (DGFiP), Ministre de lintrieur (Service-public.fr), CNAV (caisse nationale dassurances vieillesse)

Et sur les rangs des administrations FranceConnectesVille de Paris, Banque de France, Gendarmerie Nationale (service de dpt de plaintes en ligne propos par la Gendarmerie)

franceconnect.gouv.fr/partenaires

N NFranceConnect : dj 100 000 utilisateurs et une vingtaine de services : http://www.modernisation.gouv.fr/ladministration-change-avec-le-numerique/par-son-systeme-dinformation/franceconnect-deja-100-000-utilisateurs-vingtaine-servicesNmes, premire ville intgrer France Connect : http://etatplateforme.modernisation.gouv.fr/actualite/nimes-premiere-ville-a-integrer-france-connectLes Finances Publiques, premier fournisseur didentit de France Connect : http://etatplateforme.modernisation.gouv.fr/actualite/les-finances-publiques-premier-fournisseur-didentite-de-france-connectANTS, Consulter ses points de permis de conduire en quelques clics : http://etatplateforme.modernisation.gouv.fr/actualite/consulter-ses-points-de-permis-de-conduire-en-quelques-clicsService-public.fr avec 150 dmarches en ligneCNAV, Consulter ses points de retraites

27

Pour aller plus loin avecFranceConnectfranceconnect.gouv.fr o vous pourrez retrouver les pointeurs sur les diffrents canevas du kit de dmarrage FranceConnect propos en Open Source par Microsoft FranceFournisseur de service, fournisseur didentit, fournisseur de donnes, applications mobiles Android, iOS et Windows 10 (UWP)

Tlcharger directement le Kit de dmarrage FranceConnect de Microsoft France sur la forge GitHubaka.ms/FranceConnect (github.com/FranceConnectSamples)Code source complet des canevas, documentation de mise en uvre, etc.

Avec :Visual Studio 2015 Community Edition et un abonnement dessai Microsoft AzureUn jeu didentifiants FranceConnect

N N

28

Pour aller plus loinWindows Hello for Business (anciennement Microsoft Passport)Manage identity verification using Windows Hello for Business sur Microsoft TechNetBillet de blog Convenient two-factor authentication with Microsoft Passport and Windows HelloWeb authentication and Windows Hello sur Microsoft MSDNMicrosoft Passport and Windows Hello sur Microsoft MSDNExemple de code ponyme sur la forge GitHubWebinaire Moving beyond passwords and credential theft with Microsoft Passport and WindowsHelloEtc.

Mais aussi un webinaire retrouver sur ;-)Windows 10 : vers un monde sans mot de passe !

N NManage identity verification using Windows Hello for Business : https://technet.microsoft.com/en-us/itpro/windows/keep-secure/manage-identity-verification-using-microsoft-passportConvenient two-factor authentication with Microsoft Passport and Windows Hello : https://blogs.windows.com/buildingapps/2016/01/26/convenient-two-factor-authentication-with-microsoft-passport-and-windows-hello/#X3QpQKPvM7iUz78S.99Web authentication and Windows Hello : https://developer.microsoft.com/en-us/microsoft-edge/platform/documentation/dev-guide/device/web-authentication/Microsoft Passport and Windows Hello : https://msdn.microsoft.com/windows/uwp/security/microsoft-passportMicrosoft Passport and Windows Hello sample : https://github.com/Microsoft/Windows-universal-samples/tree/master/Samples/MicrosoftPassportMoving beyond passwords and credential theft with Microsoft Passport and WindowsHello : https://channel9.msdn.com/Events/Windows/Developers-Guide-to-Windows-10-Version-1511/Moving-beyond-passwords-and-credential-theft-with-Microsoft-Passport-and-Windows-HelloWindows 10 : vers un monde sans mot de passe ! : https://experiences.microsoft.fr/channel/windows-10-vers-un-monde-sans-mots-de-passe/04bd0fe2-8468-4618-92cf-226506f64bb8#gTlU36QW7eIZh4VG.9729

N 30

N N

30

@philberd | @cdevandiereN 31

@microsoftfrance @Technet_France @msdev_fr

N N

31

N 32

N N

32