sophiaconf 2010 présentation de la conférence du 30 juin - gestion des identités et sécurisation...

Ce cycle de conférence est porté par

la Commission Open Source

Telecom Valley

dont les objectifs sont le partage de

connaissances, l'échange de best practices et

l'animation de l'éco-système du logiciel libre

azuréen

Commission Open SourceSophiaConf2010

4 conférences gratuites

proposées par la commission Open Source

de Telecom Valley

Mercredi 30 Juin 17h30

Gestion des identités

et sécurisation des services web :

réalités & perspectives

par Hubert LE VAN GONGExpert en sécurisation des services web

Lundi 05 Juillet 17h30

Android :

Tout savoir sur l'évolution des 12 derniers mois

et de l'année à venir

par Arnaud FARINE

Consultant Technique, Expert Android

Jeudi 08 Juillet 14h

HTML5 :

une plateforme contemporaine pour le Web

par JULIEN QUINT

Consultant Indépendant, expert du WEB et du XML

17h30

Méthodologie de gestion de projet agile :

SCRUM

par Claude AUBRY

Consultant expert dans le génie Logiciel

Mercredi 30 Juin 17h30

Geston des identtés et sécurisaton des services web :

réalités & perspectves  

par Hubert LE VAN GONGExpert en sécurisaton des services web

IntroductionArchitecte

IntroductionArchitecte

IntroductionArchitecte

● Spécialiste de la Gestion des identités & services web

– Représentant Sun au sein d'organismes de standardisations● Liberty Alliance, Kantara Initiative, IETF etc.

● Community Leader pour OpenSSO

● Dévelopeur (OAuth) – Déploiement (openid.sun.com)

● CTO's Office (interopérabilité Sun-Microsoft)

● http://blog.levangong.com

hubertlvg at gmail.com

5 / 63

Plan● La Problématique

● Evolution des besoins

● Un cycle complet

● Technologies● Web SSO● Services Web

● Le Futur

6 / 63

Gestion Des IdentitésAudience

● Service web entre entreprises● Service web intra-entreprise● Consumer facing companies (“web 2.0”)

Problèmes & Objectifs● Une explosion de la complexité● Rationalisation des coûts● Limitation des risques

7 / 63

Évolution des BesoinsDans l'Entreprise

● Outsourcing● Intégration merger etc.

Sur le Web

● Progression des besoins // évolutions web

8 / 63

Evolution: Toujours Plus Complexe

# ApplicationsWeb

# RelationsEn Ligne

# Identités Web

9 / 63

Evolution: Toujours Plus Complexe

# ApplicationsWeb

# RelationsEn Ligne

# Identités Web

10 / 63

Evolution: Toujours Plus Complexe

# ApplicationsWeb

# RelationsEn Ligne

# Identités Web

11 / 63

Evolution: Toujours Plus Complexe

Objectif !!

# RelationsEn Ligne

# ApplicationsWeb

# Identités Web

12 / 63

Évolution des BesoinsRisques plus importants

● Vie privée● Entreprises plus exposées (risques, pénal)

13 / 63

Évolution des BesoinsRisques plus importants

● Vie privée● Entreprises plus exposées (risques, pénal)

Profile utilisateurpublic par défaut

Force le partaged'informationsadditionelles

Distribution d'applicationsnon désirées

Extension browser→ info à Google

Street View→ quand la tentation est trop grande

14 / 63

Quels Objectifs ?Limiter Les Risques● Sécuriser les services webs et leurs échanges

● Limiter le vol d'identité pour le consommateur

● Limiter l'exposition légale d'une entreprise

● Traçabilité / Audit

Autres Avantages● Meilleure interopérabilité

● Architecture plus simple, plus efficace

● Satisfaction de l'usager

15 / 63

Quels ObjectifsRationaliser Les Coûts● Réduction moyens informatiques (stockage, IT etc.)

● Eviter les duplications de BD

● Déveloper les collaborations (intra & inter entreprises)

16 / 63

Scenario – Privacy Freak● Achat matériel d'espion - http://www.LaPiscine.biz ● Paiement par carte de crédit● Livraison à mon lieu de travail

La Piscine Ma Banque

Moi

JeLivre.biz

1

3

2

4

17 / 63

Scenario – Privacy Freak● Achat matériel d'espion - http://www.LaPiscine.biz ● Paiement par carte de crédit● Livraison à mon lieu de travail

La Piscine Ma Banque

Moi

JeLivre.biz

1

3

2

4

Adresse?

Espion?

Achat?

18 / 63

Une Gestion des Identités Globale

Un cycle complet● Provisioning● Authentification / Controle d'accès / Autorisation● Logging● Audit● De-provisioning

19 / 63

Une Gestion des Identités Globale

Identités de qui ?

● Au niveau du message

● Au niveau des cibles

Emetteur

Récepteur

Commanditaire

Destinataire

Acteurs ?

identité identité

ou

20 / 63

Les Technologies

LDAP

Passport

SAML 1.0

ID-FF 1.2

SAML 2.0

InfoCardID-WSF 2.0

WS-* OpenID 2.0OpenID 1.0

OAuth 1.0

21 / 63

Fédération des Identités (1)“Partager des informations d’identité contenues dans l’annuaire des utilisateurs d’un établissement avec une institution partenaire pour leur permettre l’accès contrôlé et sécurisé aux ressources de leur établissement ou aux ressources de ce partenaire, notamment à distance.”

22 / 63

Fédération des Identités (1)“Partager des informations d’identité contenues dans l’annuaire des utilisateurs d’un établissement avec une institution partenaire pour leur permettre l’accès contrôlé et sécurisé aux ressources de leur établissement ou aux ressources de ce partenaire, notamment à distance.”

Cercle de Confiance

IdP

SP

SP

23 / 63

Fédération des Identités (1)“Partager des informations d’identité contenues dans l’annuaire des utilisateurs d’un établissement avec une institution partenaire pour leur permettre l’accès contrôlé et sécurisé aux ressources de leur établissement ou aux ressources de ce partenaire, notamment à distance.”

Single Sign-OnSingle Sign-On Partage d'AttributsPartage d'Attributs

L'usage, pas le stockage!

Délégation d'authentificationCercle de Confiance

IdP

SP

SP

24 / 63

Fédération des Identités (2)+ ● Nouvelles opportunités de business

● Délocaliser services auprès de partenaires

● Satisfaction clients/usagers

● Règles / Protocoles

● Sécurité de l'information

● Privacy

● Conformité aux lois

25 / 63

Fédération des Identités (3)Principaux Protocoles

● SAML (évolution de Liberty Alliance ID-FF)● Shibboleth● OpenID● WS-Federation

Adoption● Secteur Privé (banques, Telcos etc.)● Gouvernements: France, Nouvelle-Zélande,

Canada etc.● Education: Universités

26 / 63

SAML Security Assertion Markup Language propose:

● Single Sign-On– Browser standards– Clients HTTP qui connaissent l'IdP mais sans SOAP

● Single Log Out● Fédération d'identités

– Préserve l'anomimité– Utilise identifiant respectant la vie privée

● Échange d'attributs

27 / 63

SAML

AssertionsAuthentification

AutorisationAttributs

AssertionsAuthentification

AutorisationAttributs

28 / 63

SAML

AssertionsAuthentification

AutorisationAttributs

AssertionsAuthentification

AutorisationAttributs

ProtocolesRequêtes/Réponses pourobtenir des assertions et

gérer les identités

ProtocolesRequêtes/Réponses pourobtenir des assertions et

gérer les identités

SSO profilesArtifact resolutionNameID mappingSAML attributes

29 / 63

SAML

AssertionsAuthentification

AutorisationAttributs

AssertionsAuthentification

AutorisationAttributs

BindingsMapper les protocoles SAML

sur des protocolesde message & transport

BindingsMapper les protocoles SAML

sur des protocolesde message & transport

SOAPReverse SOAPHTTP RedirectHTTP POSTHTTP Artifact

ProtocolesRequêtes/Réponses pourobtenir des assertions et

gérer les identités

ProtocolesRequêtes/Réponses pourobtenir des assertions et

gérer les identités

SSO profilesArtifact resolutionNameID mappingSAML attributes

30 / 63

SAML

AssertionsAuthentification

AutorisationAttributs

AssertionsAuthentification

AutorisationAttributs

MetadataConfigurationdes IdP & SP

MetadataConfigurationdes IdP & SP

ProfilesCombiner protocoles,assertions et bindings

pour satisfaire uncas d'usage précis

ProfilesCombiner protocoles,assertions et bindings

pour satisfaire uncas d'usage précis

Ctxt AuthNInformation détaillée

sur type et niveaud'authentification

Ctxt AuthNInformation détaillée

sur type et niveaud'authentification

BindingsMapper les protocoles SAML

sur des protocolesde message & transport

BindingsMapper les protocoles SAML

sur des protocolesde message & transport

SOAPReverse SOAPHTTP RedirectHTTP POSTHTTP Artifact

ProtocolesRequêtes/Réponses pourobtenir des assertions et

gérer les identités

ProtocolesRequêtes/Réponses pourobtenir des assertions et

gérer les identités

SSO profilesArtifact resolutionNameID mappingSAML attributes

31 / 63

SAML

Sujet

Authentification

Autorisation

Attribut

32 / 63

SAMLAssertion<saml:Assertion

xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" Version="2.0"IssueInstant="2010-06-29T12:00:00Z"><saml:Issuer>www.MonIdP.fr</saml:Issuer><saml:Subject>

<saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">GI.Joe@MonIdP.fr</saml:NameID>

</saml:Subject><saml:Conditions

NotBefore="2010-06-29T12:00:00Z"NotOnOrAfter="2010-07-01T12:00:00Z">

</saml:Conditions>... statements ...

</saml:Assertion>

33 / 63

SAMLContexte d'Authentification

<saml:Assertion ...info générale ici ...>... et ici …<saml:AuthnStatement

AuthnInstant=”2010-06-29T12:00:00Z”SessionIndex=”12345678912”><saml:AuthnContext>

<saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport

</saml:AuthnContextClassRef></saml:AuthnContext>

</saml:AuthnStatement></saml:Assertion>

34 / 63

SAMLLes Contextes d'Authentification

Internet Protocol PasswordKerberosMobileOne Factor unregisteredInternet ProtocolMobile Two Factor UnregisteredMobile One Factor ContractMobile Two Factor ContractPasswordPassword Protected TransportPrevious SessionPublic Key – X.509Public Key - PGPPublic Key - SPKI

Public Key – XML SignatureSmartcardSmartcard PKISoftware PKITelephonyNomadic TelephonyPersonalized TelephonyAuthenticated TelephonySecure Remote PasswordSSL/TLS Cert-based Client AuthNTime Sync TokenUnspecifed

35 / 63

SAML (Protocole)Example: le Browser POST profile

36 / 63

SAMLPour en savoir plus:

● Spécification – http://saml.xml.org

● Sur le respect de la vie privée:“Achieving Privacy in a Federated Identity Management

System” - Financial Cryptography and Data Security '09

http://fc09.ifca.ai/papers/fc09-landau.pdf

37 / 63

Services WebPourquoi?

● Contourner les limitations des browsers● Permet aux interactions basées sur l'identité de se

passer même en l'absence de l'utilisateur● De “Payer mes factures automatiquement”

→ “Médecin accédant à mon dossier dans l'urgence”● Collaboration sécurisée entre plusieurs services

– Personalisation– Controle d'accès

38 / 63

Services WebObjectifs

● Permettre l'échange d'attributs

● Permettre l'accès aux ressources

Les besoins

● Sécuriser les échanges

● Méchanismes de délégation d'autorisation

39 / 63

Services WebPrincipaux Protocoles

● ID-WSF 2.0 (Liberty Alliance)● Oauth 1.0 Rev A● WS-*

Adoption● Réseaux sociaux (twitter, facebook, Yahoo! Etc.)● Le gros reste à venir

40 / 63

ID-WSF 2.0

Scenario:User's browser User's cell phone

MyID.com

DiscoveryService

BuyPuppyStuff.com

PersonalProfileService

InteractionService

1

2

34

56 11

8

9

10

7

41 / 63

ID-WSF 2.0

TCP/IP, UDP, SSL/TLS, HTTP, SOAP 1.1, SAML assertions

Description

WS-AddressingCore WS-Security

SAML Token Profile

Security MechanismsSubscription/NotificationFramework

Security MechanismsSAML Profile

DiscoveryService

Authn,SSO,

IdentityMappingServices

PeopleService

InteractionService

DataServicesTemplate

ID-SIS

SOAP Binding

WSDL

Securitypolicy URIs

SAML2Metadata

WS-AddressingSOAP Binding

TCP/IP, UDP, SSL/TLS, HTTP, SOAP 1.1, SAML assertions

Description

WS-AddressingCore WS-Security

SAML Token Profile

Security MechanismsSubscription/NotificationFramework

Security MechanismsSAML Profile

DiscoveryService

Authn,SSO,

IdentityMappingServices

PeopleService

InteractionService

DataServicesTemplate

ID-SISThird-partysvcs

SOAP Binding

WSDL

Securitypolicy URIs

Third-partysvcs

SAML2Metadata

WS-AddressingSOAP Binding

42 / 63

ID-WSF 2.0Pour en savoir plus:

http://projectliberty.org

● Spécifications

● Introduction Technique:“Liberty Alliance Web Services Framework: a technical overview”

43 / 63

OAuth● Orienté Web 2.0

● Délégation d'autorisation

● Composé de:● Protocole basé sur la redirection du browser/agent

– Utilisateur, Consumer, Service Provider

● Mécanismes de sécurisation– Authentifie toutes les parties– Remplace RFC 2617

≠ SAML ou Liberty

44 / 63

OAuth

45 / 63

Oauth - Évolutions

2007 20092008 2010

Community

Oauth 1.0

Oauth 1.0aOauth 1.0a

Oauth 2.0

46 / 63

OAuthRessources

● Spécification: http://oauth.net ● Librairies disponibles dans la plupart des langages● Librairie Java pour le frwk RESTful Jersey (JAX-RS)

– Signature des messages– Filtre Jersey côté Client (signature automatique)– Wrapper côté serveur (vérification signature)– http://wikis.sun.com/display/Jersey/OAuth

47 / 63

Oauth – Jersey FwkOAuthParameters params = new OauthParameters().realm(REALM).

consumerKey(CONSUMER_KEY).signatureMethod(RSA_SIGNATURE_METHOD).timestamp(RSA_TIMESTAMP).nonce(RSA_NONCE).version(VERSION);

OAuthSecrets secrets = new OAuthSecrets().consumerSecret(RSA_PRIVKEY);

OAuthSignature.sign(request, params, secrets);

params = new OAuthParameters();

params.readRequest(request);

secrets = new OAuthSecrets().consumerSecret(RSA_CERTIFICATE);

assertTrue(OAuthSignature.verify(request, params, secrets));

Consumer

Service Provider

48 / 63

WS-*Services Web

● Pas forcément basés sur l'identité● SOAP/XML

Approche hyper-modulaire● → hyper complexe...

49 / 63

WS-*

50 / 63

WS-*Quelques spécifications se détachent:

● WS-Adressing● WS-Security● WS-Trust (maintenant WS-SX)● WS-Policy

51 / 63

InfoCard● Initiative de Microsoft → User Centric

● Basé sur un sous-ensemble de WS-*

● Echange d'attributs

● Notions de cartes (avec attributs) pour prouver son identité digitale

● Interface graphique client● Vista / Windows 7● Linux

52 / 63

InfoCard● Infocard → en train de disparaitre?

● Dernière version du serveur de Microsoft est incompatible avec le client InfoCard

● Cycle de release tous les 2 à 3 ans...

● Reste 1 seul autre Selecteur InfoCard (Azigo) lui aussi +/-en panne.

53 / 63

RESUMONSRESUMONS

54 / 63

RESUMONSRESUMONS

AuthentificationAuthentification

Partage A

ttribu tsP

artage Attribu ts

AutorisationAutorisation

Domaines

55 / 63

...OAuth

SAML

Elus

RESUMONSRESUMONS

AuthentificationAuthentification

Partage A

ttribu tsP

artage Attribu ts

AutorisationAutorisation

Domaines

56 / 63

Web 2.0Web 2.0

EntrepriseEntreprise

Marchés

...OAuth

SAML

Elus

RESUMONSRESUMONS

AuthentificationAuthentification

Partage A

ttribu tsP

artage Attribu ts

AutorisationAutorisation

Domaines

57 / 63

Et Maintenant ?

58 / 63

Gérer l'HétérogénéitéL'existant est souvent important:

● Déploiement Annuaires● Applications avec interface non-standardisées

(et non modifiables!)

Il faut pouvoir:● Propager les sessions

Dans le futur on aimerait:● Échanger des politiques d'accès● ...

59 / 63

Accros à l'IdentitéMais de grands besoins de:

● Simplification● Diminution de l'exposition au risque● Confidentialité omni-présente dans certains

domaines● Expansion de l'utilisation

– Propagation de l'IAM à d'autre domaineex: protection des contenus: DRM

60 / 63

Améliorer la facilité de déploiements● Concept d'appliance / turn-key● Meilleure console pour l'administrateur● Écrans plus simples pour les utilisateurs

(création de comptes, provisioning etc.)

Minimiser l'intrusion pour les applications● Exemple: collectivités locales vis-à-vis MSP● Technique comme les Fedlets● Authentification transparente (différent niveaux)

Dévelopements Futurs (1)

61 / 63

Dévelopements Futurs (2)Interopérabilité entre protocoles

● Tester la conformance aux spécifications● Déveloper les passerelles entre protocoles

– Echanger assertion SAML pour un jeton OAuth...– Profiter de SAML pour insérer jeton OAuth dans

l'assertion SAML (piggybacking)– Bénéficier de la confiance déjà établie avec SAML

62 / 63

Dévelopements Futurs (3)Technologie

● Découverte / Localisation● ID-WSF → le seul découverte basée sur l'identité● Des efforts en cours

– XRD / LRD– Oauth

● Terminaux avancés● Smartphone, tablettes etc.● Advanced Clients (Liberty Alliance)

63 / 63

MERCI !

http://blog.levangong.comhubertlvg at gmail.com

Commission Open Source

Retours d’expériences

Maitre Pascal Agosti, Cabinet Caprioli&Associésauthentification et éléments de droit

Frédéric AIME, Chief Technical Officer de JANUA Exemple d'intégration d'OpenID en Php et en Java

Florent Peyraud, CEO et fondateur de TRYPHON CA Cert, une autorité de certification méconnue

Sophia Conf30 juin 2010

Gestion des identités et sécurisation des services web : réalités & perspectives

- Authentification et éléments de droit -

Pascal AGOSTIAvocat au Barreau de Nice - Docteur en droit

© CAPRIOLI & Associés – Société d’Avocats - www.caprioli-avocats.com

contact@caprioli-avocats.com / contactparis@caprioli-avocats.com

27/01/10 3

Le cabinet Caprioli & Associés est une société d’avocats en droit des affaires (privé et public) située à Paris et à Nice.

• Il est spécialisé dans :

– L’informatique, les technologies de l’information et des communications électroniques

– La sécurité des systèmes d’information et la dématérialisation

– les propriétés intellectuelles (droit d’auteur, marques, dessins, brevets, logiciels, bases de données, …)

• Adresses : 6, rue Saulnier, 75009 Paris

9, avenue Henri Matisse, 06200 Nice

• Site Web : www.caprioli-avocats.com

• Mél : contact@caprioli-avocats.com (Nice)

paris@caprioli-avocats.com (Paris)

30/06/10Authentification et éléments de droit Introduction

27/01/10 4

• Une histoire : jugement de première instance de l’Illinois « Epoux Shames-Yeakel c/ Citizens Financial Bank » du 21 août 2009 (Case 07 C 5387)

30/06/10Authentification et éléments de droit Présentation générale

Les époux Shames-Yeakel étaient les clients de Citizen Financial Bank. En février 2007, une personne nonidentifiée a accédé, à partir d’une autre adresse IP que celle utilisée par les Epoux, à l’un des comptes qu’ilspossédaient, en utilisant l’identifiant et le mot de passe de la femme. Cette personne a ensuite effectué unvirement électronique au montant de 26.500$ à partir du compte. L’argent a été alors transféré vers unebanque se situant à Hawaii pour finalement être envoyé vers une banque en Autriche. Quand le vol a étédécouvert et les fonds localisés, la banque autrichienne a refusé de retourner la somme en question.Par la suite, Citizens Financial a décidé d’engager la responsabilité des Epoux en exigeant leremboursement de sommes dues. Face à cette situation, les Epoux ont intenté un procès à CitizensFinancial Bank en alléguant que celle-ci a manqué de procéder à toutes les mesures nécessaires pourprotéger leur compte.

?Le juge américain accueille la plainte du couple à

l’encontre d’un établissement bancaire à la suite d'une fraude intervenue sur son compte bancaire en ligne.

Authentification à un facteur insuffisante

27/01/10 530/06/10Authentification et éléments de droit Présentation générale

Qui êtes vous ? Déclaration d’identité/Identification

Comment en être sûr?

Vérification d’identité/Authentification

Comment puis je accéder au SI?

Politique d’Identity and Access Management

Comment sont gérés les droits?

Quelques questions à se poser concernant l’accès au SI :

27/01/10 6

• Définition de l’authentification et de l’identification :

« L’authentification a pour but de vérifier l’identité dont une entité(personne ou machine) se réclame. Généralement, l’authentification estprécédée d’une identification qui permet à cette entité de se fairereconnaître du système par un élément dont on l’a doté. En résumé,s’identifier c’est communiquer une identité préalablement enregistrée,s’authentifier c’est apporter la preuve de cette identité ».

Référentiel Général de Sécurité,§3.2

30/06/10Authentification et éléments de droit Présentation générale

27/01/10 7

7

Objectifs de l’authentification :

30/06/10Authentification et éléments de droit Présentation générale

Authentification

Contrôle d’accès

Imputabilité

27/01/10 8

Techniques d’authentification

Elles reposent sur :

Authentification et éléments de droit Présentation générale 30/06/10

CNIL

• Un élément caractérisant personnellement l’utilisateur (ex : biométrie)

• Un élément que possède l’utilisateur (ex : carte à puce)

• Un élément que connaît l’utilisateur (ex : mot de passe)

27/01/10 9

Principaux domaines juridiques impactés :

Authentification et éléments de droit Présentation générale 30/06/10

• Objectif : fédérer les outils d'authentification émispar différents acteurs, en garantissant un niveauhomogène de sécurité et d’interopérabilité.

Droit bancaire et financier

Droit publicDroit civil

• Contractualisation en ligne(crédit à la consommation) ;

• Virement en ligne ;

• Accès aux comptes ;

Exigences authentificationnon rejouable

• Contractualisation enligne

• Accès à des téléservices ;

Exigences du RGS

Label IdéNum

27/01/10 10

Avez-vous des questions ?

Merci de votre attention !Pascal AGOSTI

Avocat au Barreau de NiceDocteur en droit

Société d’avocats9 avenue Henri Matisse, 06200 Nice / Tél. 04 93 83 31 31

6 rue Saulnier, 75009 Paris / Tél. 01 47 70 22 12

www.caprioli-avocats.commél : contact@caprioli-avocats.com

p.agosti@caprioli-avocats.com

30/06/10Authentification et éléments de droit Présentation générale

Commission Open Source

Retours d’expériences

Maitre Pascal Agosti, Cabinet Caprioli&Associésauthentification et éléments de droit

Frédéric AIME, Chief Technical Officer de JANUA Exemple d'intégration d'OpenID en Php et en Java

Florent Peyraud, CEO et fondateur de TRYPHON CA Cert, une autorité de certification méconnue

Présentation De Janua● Société de services en logiciels libres (SS2L) et éditeur

fondée en 2004 à Sophia Antipolis

● Notre métier : l'expertise

● Notre crédo : l'Open Source

● Notre force : les hommes, leur vécu et leur motivation

● Notre approche : l'Open Source et gestion des identités numériques.

● Développement au forfait à l'aide de méthodologies "agiles", les solutions packagées et les maquettes (POC).

Les compétences de Janua• Consulting, implémentations et déploiement de solutions de gestion d'identités (provisioning, workflows, synchronisation, SPML v2, audit et conformité), de contrôle d'accès et gestion des droits (SSO, CDSSO, eSSO, fédération, authentification forte, PKI, délégation d'administration).

• Expertise en annuaires LDAP (OpenLDAP, Sun DSEE, OpenDS, Red Hat directory server) et besoins connexes comme la gestion de contenu ou les interfaces d'accès aux annuaires.

• Etudes d'opportunités et accompagnement à la migration Open Source, déploiement de solutions d'infrastructures.

• Développement au forfait, assistance technique et expertise sur des composants Open Source, embarqués et temps réel, portage Android.

• Consulting Réseaux et Sécurité, expertise base de données, cluster et virtualisation.

• Editeur des logiciels LDAPTools, Jaguards, KressourcesWCAP, EZslony et CMakeBuilder

Retour d'expèrience

CAS Client 1 :

Utilisation de la couche OpenID pour l'authentification dans un logiciel de sécurisation « end-point » entrée de gamme.

* Utilisation de la stack du client pour la gestion des droits* Utilisation de OpenID pour réaliser les opérations d'authentification

CAS Client 2 :

Utilisation de OpenID pour l'authentification dans un logiciel de widgets de bureaux pour se rapprocher d'un contexte SSO.

* Utilisation de OpenID pour réaliser les opérations d'authentification.* Mutualisation de l'authentification au travers de tout le framework de widgets

Mise en œuvre de OpenID

• De nombreuses APIs Disponibles pour divers langages de programmation

• parmi lesquelles :

•JAVA : OpenID 4 Java

•PHP 4/5 : Php-OpenID

•DotNet : DotNet OpenAuth

Schéma d'authentification

OpenID « Provider »

OpenID «Client»

Request

Response

Base de donnée« Pivot »

Base de donnée « pivot »

Aucun mot de passe stocké par l'application « cliente »

Implémentation en JavaRequête D'authentification

Implémentation en JavaValidation de la réponse

Implémentation en PHPRequête d'authentification

Implémentation en PHPValidation de la réponse

Avantages et inconvénients

• Une intégration très facile dans toute application Web

•JAVA, PHP, DotNet

•Limité à l'authentification pure

•l'identité est maintenue par le client et n'est donc pas garantie

•pas de gestion de droits

•100% Web-Based

Commission Open Source

Retours d’expériences

Maitre Pascal Agosti, Cabinet Caprioli&Associésauthentification et éléments de droit

Frédéric AIME, Chief Technical Officer de JANUA Exemple d'intégration d'OpenID en Php et en Java

Florent Peyraud, CEO et fondateur de TRYPHON CA Cert, une autorité de certification méconnue

Commission Open Source

Une autorité de certification peu connue

F.Peyraud - Tryphon

Commission Open Source

Agenda

• Who am I

• PKI : What is it ? What for ?

• PKI : components

• Certification Authorities

• CAcert, charter and concept

• CAcert, Pros and Cons

• One step beyond with CAcert !

Commission Open Source

Who am I ?

• Florent Peyraud

• Co-founder of Tryphon SARL

– Appliances, training and consulting

– Web applications, RoR

– Strong focus on radio stations

• Ex-president of Linux Azur

• Engineer in Electronics and Radio Freq.

Commission Open Source

PKI : What is it ? What for ?

• Public Key Infrastructure

– Asymetrical cryptography

– Certificates

• Roles

– Confidentiality

– Authentication

– Integrity

– Non repudiation

Commission Open Source

PKI : components

• EE : End Entity, user

• RA : Registration Authority

• CA : Certification Authority

• Repository : CERTs and CRLs

• KE : Key Escrow

Commission Open Source

Certification Authorities

• Commercial

– Thawte, Verisign, Gandi...

• Free

– Gandi (1 year), Verisign (60 days)

– CAcert (community based)

– Yourself !

Commission Open Source

CAcert : charter and concept

• CAcert is a certification authority

• It has all the elements of a commercial CA

• Rely on community for :

– Spreading

– Build a web of trust

• Assurers, members

• System of assurance points

• System of assurer's experience points

Commission Open Source

CAcert, Pros and Cons

• PROS– Potentially as secure

as a commercial CA

– Freely available certificates

– Wolrdwide community makes a strong confidence

• CONS– Not integrated in

browsers' CA list by default yet

– No monetary guaranty in case if incident

Commission Open Source

One step beyond with CAcert !

• Become a member

• Get assured

• Become an assurer

• Start using CAcert signed certificates !

• Help making CAcert Root Certificate being integrated in all main browsers

www.cacert.org