2010 - les technologies d'authentification forte dans les applications web: comment les...
DESCRIPTION
a) L'état de l'art 2010 sur les technologies d'authentification forte: Out of Band Authentication Risk Based Authentication Biométrie Match on Card OTP pour les smartphones notamment l'Iphone PKI Soft Token Passeport Internet Cryptographie matricielle Les tendances... b) Les approches pour l'intégration avec vos applications Web: OpenID, SAML, Liberty Alliance / Kantara API, Agents, Web Services, Modules PAM, Radius, JAAS, SecurID, Kerberos, GSSAPI Approche authentification périmétrique / Reverse Proxy (WAF) et WebSSO Par Sylvain MARETTRANSCRIPT
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch
Conseil en technologies
Sylvain Maret / Digital Identity Security Expert
Geneva Application Security Forum 4 mars 2010
Les technologies d'authentification forte dans les applications web: comment les intégrer ?
http://www.citadelle-electronique.net/
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch
Conseil en technologies
Geneva Application Security Forum 2010
« Vers une authentification plus forte dans les applications web »
Conseil en technologieswww.maret-consulting.ch
Application Security Verification Standard OWASP et Authentication
?
Conseil en technologieswww.maret-consulting.ch
Usurpation de votre identité ! Réalité ou fiction ?
Conseil en technologieswww.maret-consulting.ch
Authentification Forte: Des technologies en pleine mouvance
Entreprises
eBanking VPN Web Applications Mobilité GED
Projet PIV FIPS-201 SAML Adoption de OpenID
Strong Authentication as a Service
AaaS
Grand public
Réseaux sociaux Facebook
Virtual World
Cloud Computing Google docs Sales Forces
Conseil en technologieswww.maret-consulting.ch
Technologie accessible à tout un chacun
Des standards
Open Authentication (OATH)
OATH authentication algorithms
HOTP (HMAC Event Based)
OCRA (Challenge/Response)
TOTP (Time Based) OATH Token Identifier
Specification
Solution Open Source
Mobile One Time Passwords strong, two-factor authentication
with mobile phones
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch
Conseil en technologies
Technologiesauthentification forte
Conseil en technologieswww.maret-consulting.ch
Quelle technologie d’authentification forte ?
Conseil en technologieswww.maret-consulting.ch
OTP PKI (HW) Biométrie
AuthentificationForte
Chiffrement
Signature numérique
Non répudiation
Lien fort avec l’utilisateur
*
* Biométrie type Fingerprinting
Conseil en technologieswww.maret-consulting.ch
Processus
HumainLes authentifieurs
en 2010
Conseil en technologieswww.maret-consulting.ch
OTP Software SmartPhone
OTP pour Iphone: un retour d'expérienceSoftware OTP pour l'IphoneMobile One Time Passwords
Conseil en technologieswww.maret-consulting.ch
Biométrie Match on Card
Retour d'expérience sur le déploiement de biométrie à grande échelle
Conseil en technologieswww.maret-consulting.ch
La mire d’authentification biométrique
Conseil en technologieswww.maret-consulting.ch
USB Token
Conseil en technologieswww.maret-consulting.ch
Passeport Internet
Conseil en technologieswww.maret-consulting.ch
Cryptographie matricielle
Conseil en technologieswww.maret-consulting.ch
PKI: Certificat numérique X509
Software Certificate Hardware Certificate
Conseil en technologieswww.maret-consulting.ch
OTP via SMS
OTP via SMS
Enter OTP
Conseil en technologieswww.maret-consulting.ch
Etat de l’art en 2010 des authentifieurs: Synthèse
Technologies Explications
OTP SoftwareSmartPhone
One Time Password softwareEvent, Time ou mode défi réponseMode non connecté
Biométrie Match on Card
Biométrie et Carte à puceCertificat numériqueStockage de la pattern Biométrique
USB Token One Time Password en mode connectéEvent, Time ou mode défi réponse
Passeport Internet Biométrie One Time PasswordMode non connectéMode défi réponse
Cryptographie matricielle
One Time PasswordMode défi réponse
PKI Certificat softwareCertificat Hardware
OTP SMS One Time Password par SMS
Conseil en technologieswww.maret-consulting.ch
Processus
HumainMode de fonctionement
nouveauté
Conseil en technologieswww.maret-consulting.ch
Risk Based Authentication
Conseil en technologieswww.maret-consulting.ch
Out of Band Authentication
Conseil en technologieswww.maret-consulting.ch
Etat de l’art en 2010: Mode de fonctionnement
Technologies Explications
Risk Based Authentication
Analyse comportementale des utilisateurs
Technologie Out of Band
Transmission des données par un canal tiersComme par exemple le GSM (Data)
Conseil en technologieswww.maret-consulting.ch
Processus
HumainIntégration avec
les applications Web
Conseil en technologieswww.maret-consulting.ch
Application Web avec une authentification basique
Conseil en technologieswww.maret-consulting.ch
Application Web vers une authentification forte ?
Conseil en technologieswww.maret-consulting.ch
Approche “Shielding” - (Perimetric Auth)
Conseil en technologieswww.maret-consulting.ch
Approche par Module ou Agents
Conseil en technologieswww.maret-consulting.ch
Approche API / SDK
Conseil en technologieswww.maret-consulting.ch
SSL PKI: comment ca fonctionne ?
Web ServerAlice
ValidationAuthority
ValidePas valideInconu
OCSP request
SSL / TLS Mutual Authentication
Conseil en technologieswww.maret-consulting.ch
Approche Fédération d’identitéchangement de paradigme
Conseil en technologieswww.maret-consulting.ch
Approche Fédération d’identitéchangement de paradigme
Conseil en technologieswww.maret-consulting.ch
Approche Fédération d’identité
Conseil en technologieswww.maret-consulting.ch
Approches pour une intégration de l’authentification forte
Approches Examples
Shielding (Perimetric Auth)
Utilisation d’un composants tiers de protectionComme un Reverse Proxy (Web Application Firewall)
Module (Agents)
Utilisation d’un module software Comme par exemple un module Apache, un agent SecurID, etc.Utilisation d’un protocole comme Radius
API (SDK)
Développement via une APIPar exemple en utilisant les Web Services (SOAP)
SSL PKI Utilisation d’un certificat X509Utilisation des fonctionnalités de SSL/TLSPKI Ready
Identity Federation Utilisation d’un protocole de fédération comme SAML, OpenID,
Autres PKI applicatif, etc.
Conseil en technologieswww.maret-consulting.ch
Tendances ?
Conseil en technologieswww.maret-consulting.ch
Quelques tendances !
Personal Portable Security Device (PPSD)
EMC CAP
Vascular Pattern Recognition
Conseil en technologieswww.maret-consulting.ch
A quand la convergence ?
Une convergence difficile ! Sécurité physique et sécurité logique
Conseil en technologieswww.maret-consulting.ch
Get an OpenID
2 Factors Authentication
Conseil en technologieswww.maret-consulting.ch
Qui suis-je ?
Expert en Sécurité 15 ans d’expérience en Sécurité des Systèmes d’Information CEO et Founder MARET Consulting Expert école ingénieur Yverdon & Université de Genève Swiss French Area delegate at OpenID Switzerland Co Founder Geneva Application Security Forum Auteur Blog: la Citadelle Electronique
Domaine de prédilection Digital Identity Security
Conseil en technologieswww.maret-consulting.ch
Quelques liens pour aller approfondir le sujet
MARET Consulting http://maret-consulting.ch/
La Citadelle Electronique (le blog sur les identités numériques) http://www.citadelle-electronique.net/
Article banque et finance: Usurper une identité? Impossible avec la biométrie!
http://www.banque-finance.ch/numeros/88/59.pdf Biométrie et Mobilité
http://www.banque-finance.ch/numeros/97/62.pdf
Présentation public OSSIR Paris 2009: Retour d'expérience sur le déploiement de biométrie à grande
échelle http://www.ossir.org/paris/supports/2009/2009-10-13/Sylvain_Maret_Biometrie.pdf
ISACA, Clusis: Accès à l’information : Rôles et responsabilités http://blog.b3b.ch/wp-content/uploads/mise-en-oeuvre-de28099une-solution-biometrique-de2809
9authentification-forte.pdf
Conseil en technologieswww.maret-consulting.ch
"Le conseil et l'expertise pour le choix et la mise
en oeuvre des technologies innovantes dans la sécurité
des systèmes d'information et de l'identité numérique"