2010 - les technologies d'authentification forte dans les applications web: comment les...

MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch

Conseil en technologies

Sylvain Maret / Digital Identity Security Expert

Geneva Application Security Forum 4 mars 2010

Les technologies d'authentification forte dans les applications web: comment les intégrer ?

http://www.citadelle-electronique.net/

MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch

Conseil en technologies

Geneva Application Security Forum 2010

« Vers une authentification plus forte dans les applications web »

Conseil en technologieswww.maret-consulting.ch

Application Security Verification Standard OWASP et Authentication

?

Conseil en technologieswww.maret-consulting.ch

Usurpation de votre identité ! Réalité ou fiction ?

Conseil en technologieswww.maret-consulting.ch

Authentification Forte: Des technologies en pleine mouvance

Entreprises

eBanking VPN Web Applications Mobilité GED

Projet PIV FIPS-201 SAML Adoption de OpenID

Strong Authentication as a Service

AaaS

Grand public

Réseaux sociaux Facebook

Virtual World

Cloud Computing Google docs Sales Forces

Conseil en technologieswww.maret-consulting.ch

Technologie accessible à tout un chacun

Des standards

Open Authentication (OATH)

OATH authentication algorithms

HOTP (HMAC Event Based)

OCRA (Challenge/Response)

TOTP (Time Based) OATH Token Identifier

Specification

Solution Open Source

Mobile One Time Passwords strong, two-factor authentication

with mobile phones

MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch

Conseil en technologies

Technologiesauthentification forte

Conseil en technologieswww.maret-consulting.ch

Quelle technologie d’authentification forte ?

Conseil en technologieswww.maret-consulting.ch

OTP PKI (HW) Biométrie

AuthentificationForte

Chiffrement

Signature numérique

Non répudiation

Lien fort avec l’utilisateur

*

* Biométrie type Fingerprinting

Conseil en technologieswww.maret-consulting.ch

Processus

HumainLes authentifieurs

en 2010

Conseil en technologieswww.maret-consulting.ch

OTP Software SmartPhone

OTP pour Iphone: un retour d'expérienceSoftware OTP pour l'IphoneMobile One Time Passwords

Conseil en technologieswww.maret-consulting.ch

Biométrie Match on Card

Retour d'expérience sur le déploiement de biométrie à grande échelle

Conseil en technologieswww.maret-consulting.ch

La mire d’authentification biométrique

Conseil en technologieswww.maret-consulting.ch

USB Token

Conseil en technologieswww.maret-consulting.ch

Passeport Internet

Conseil en technologieswww.maret-consulting.ch

Cryptographie matricielle

Conseil en technologieswww.maret-consulting.ch

PKI: Certificat numérique X509

Software Certificate Hardware Certificate

Conseil en technologieswww.maret-consulting.ch

OTP via SMS

OTP via SMS

Enter OTP

Conseil en technologieswww.maret-consulting.ch

Etat de l’art en 2010 des authentifieurs: Synthèse

Technologies Explications

OTP SoftwareSmartPhone

One Time Password softwareEvent, Time ou mode défi réponseMode non connecté

Biométrie Match on Card

Biométrie et Carte à puceCertificat numériqueStockage de la pattern Biométrique

USB Token One Time Password en mode connectéEvent, Time ou mode défi réponse

Passeport Internet Biométrie One Time PasswordMode non connectéMode défi réponse

Cryptographie matricielle

One Time PasswordMode défi réponse

PKI Certificat softwareCertificat Hardware

OTP SMS One Time Password par SMS

Conseil en technologieswww.maret-consulting.ch

Processus

HumainMode de fonctionement

nouveauté

Conseil en technologieswww.maret-consulting.ch

Risk Based Authentication

Conseil en technologieswww.maret-consulting.ch

Out of Band Authentication

Conseil en technologieswww.maret-consulting.ch

Etat de l’art en 2010: Mode de fonctionnement

Technologies Explications

Risk Based Authentication

Analyse comportementale des utilisateurs

Technologie Out of Band

Transmission des données par un canal tiersComme par exemple le GSM (Data)

Conseil en technologieswww.maret-consulting.ch

Processus

HumainIntégration avec

les applications Web

Conseil en technologieswww.maret-consulting.ch

Application Web avec une authentification basique

Conseil en technologieswww.maret-consulting.ch

Application Web vers une authentification forte ?

Conseil en technologieswww.maret-consulting.ch

Approche “Shielding” - (Perimetric Auth)

Conseil en technologieswww.maret-consulting.ch

Approche par Module ou Agents

Conseil en technologieswww.maret-consulting.ch

Approche API / SDK

Conseil en technologieswww.maret-consulting.ch

SSL PKI: comment ca fonctionne ?

Web ServerAlice

ValidationAuthority

ValidePas valideInconu

OCSP request

SSL / TLS Mutual Authentication

Conseil en technologieswww.maret-consulting.ch

Approche Fédération d’identitéchangement de paradigme

Conseil en technologieswww.maret-consulting.ch

Approche Fédération d’identitéchangement de paradigme

Conseil en technologieswww.maret-consulting.ch

Approche Fédération d’identité

Conseil en technologieswww.maret-consulting.ch

Approches pour une intégration de l’authentification forte

Approches Examples

Shielding (Perimetric Auth)

Utilisation d’un composants tiers de protectionComme un Reverse Proxy (Web Application Firewall)

Module (Agents)

Utilisation d’un module software Comme par exemple un module Apache, un agent SecurID, etc.Utilisation d’un protocole comme Radius

API (SDK)

Développement via une APIPar exemple en utilisant les Web Services (SOAP)

SSL PKI Utilisation d’un certificat X509Utilisation des fonctionnalités de SSL/TLSPKI Ready

Identity Federation Utilisation d’un protocole de fédération comme SAML, OpenID,

Autres PKI applicatif, etc.

Conseil en technologieswww.maret-consulting.ch

Tendances ?

Conseil en technologieswww.maret-consulting.ch

Quelques tendances !

Personal Portable Security Device (PPSD)

EMC CAP

Vascular Pattern Recognition

Conseil en technologieswww.maret-consulting.ch

A quand la convergence ?

Une convergence difficile ! Sécurité physique et sécurité logique

Conseil en technologieswww.maret-consulting.ch

Get an OpenID

2 Factors Authentication

Conseil en technologieswww.maret-consulting.ch

Qui suis-je ?

Expert en Sécurité 15 ans d’expérience en Sécurité des Systèmes d’Information CEO et Founder MARET Consulting Expert école ingénieur Yverdon & Université de Genève Swiss French Area delegate at OpenID Switzerland Co Founder Geneva Application Security Forum Auteur Blog: la Citadelle Electronique

Domaine de prédilection Digital Identity Security

Conseil en technologieswww.maret-consulting.ch

Quelques liens pour aller approfondir le sujet

MARET Consulting http://maret-consulting.ch/

La Citadelle Electronique (le blog sur les identités numériques) http://www.citadelle-electronique.net/

Article banque et finance: Usurper une identité? Impossible avec la biométrie!

http://www.banque-finance.ch/numeros/88/59.pdf Biométrie et Mobilité

http://www.banque-finance.ch/numeros/97/62.pdf

Présentation public OSSIR Paris 2009: Retour d'expérience sur le déploiement de biométrie à grande

échelle http://www.ossir.org/paris/supports/2009/2009-10-13/Sylvain_Maret_Biometrie.pdf

ISACA, Clusis: Accès à l’information : Rôles et responsabilités http://blog.b3b.ch/wp-content/uploads/mise-en-oeuvre-de28099une-solution-biometrique-de2809

9authentification-forte.pdf

Conseil en technologieswww.maret-consulting.ch

"Le conseil et l'expertise pour le choix et la mise

en oeuvre des technologies innovantes dans la sécurité

des systèmes d'information et de l'identité numérique"