Authentification Forte 1

e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Le bon sens et l’expérience | www.e-xpertsolutions.com 4

Volume 1/3

Par Sylvain Maret / CTO e-Xpert Solutions SA

Genève / Juillet 2007

TutorialAuthentification Forte

Technologie des identités numériques

4 Le bon sens et l’expérience

“ L’art de fortifier ne consiste pas dans des règles et des systèmesmais uniquement dans le bon sens et l’expérience ”

Sebastien le Prestre de VaubanIngénieur Architecte 1633-1707

Agenda

� Identité numérique� Authentification forte� Pourquoi l’authentification forte?� Technologies

� OTP� PKI� Biométrie� Autres

� Les tendances 2007� Démonstrations

Identité numérique ?

Beaucoup de définitions

Un essai de définition…technique

Avatar

Mail / Achats

Entreprise

Monde réel

Monde virtuel

Lien technologique entre une identité réel et une identité virtuel

Identité numérique sur Internet

Identification

Identification et authentification ?

� Identification� Qui êtes vous ?

� Authentification� Prouvez le !

Facteurs pour l’authentification

� ce que l'entité connaconnaconnaconnaîîîît (Mot de passe)

� ce que l'entité ddddéééétienttienttienttient(Authentifieur)

� ce que l'entité est ou fait est ou fait est ou fait est ou fait (Biométrie)

Définition de l’authentification forte

Authentification forte

Clé de voûte de la sécurisation du système d’information

Conviction forte de e-Xpert Solutions SA

Protection de votre système d’information

Technologie authentification forte

Protocoles d’authentification ???

Données

Source: OATH

Pyramide de l’authentification forte

Pourquoi l’authentification forte?

Keylogger: une réelle menace

� 6191 keyloggers recensés cette année� contre 3753 l'an passé (et environ 300 en 2000), soit une

progression de 65 %

Phishing - Pharming

� Anti-Phishing Working Group recommande l’utilisation de l’authentification forte

http://www.antiphishing.org/Phishing-dhs-report.pdf

T-FA in an Internet Banking Environment

� 12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive

� « Single Factor Authentication » n’est pas suffisant pour les applications Web financière

� Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte

� http://www.ffiec.gov/press/pr101205.htm

T-FA: An Essential Component of I&AM

Liberty Alliance souhaite accélérer l'adoption de l'authentification forte

� 8 novembre 2005:

� Liberty Alliance Project forme un groupe d’expert pour l’authentification forte

� The Strong Authentication Expert Group (SAEG)

� Publication dès 2006

� spécifications ID SAFE

Les premières réactions… !

� Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité

Les technologies d’authentification forte

� Technologies en pleine mouvance

� Technologie grand public

� Technologie pour les entreprises

� Tour d’horizon des solutions en 2007� (Non exhaustif)

http://www.openauthentication.org/

Modèle OATH

Source: OATH

Client Framework« Device » PhysiqueToken ou AuthentifieurTechnologies

Source: OATH

Authentication Method

� Authentication Method:

� a function for authenticating users or devices, including

� One-Time Password (OTP) algorithms

� public key certificates (PKI)

� Biometry

� and other methods� SMS� Scratch List� Etc.

Authentification Token: définition

� Composant Hardware ou Software

� « Authentifieur »

� Implémente la ou les méthode(s) d’authentification

� Réalise le mécanisme d’authentification en toute sécurité

� Fournit un stockage sécurisédes « credentials »d’authentification

Quel « Authentifieur » ?

One-Time Password (OTP)

� Mot de passe à usage unique� Basé sur le partage d’un secret

� Généralement utilisation d’une fonction de hachage

� Pour� Très portable (pour le mode non

connecté)

� Contre� Pas de signature� Pas de chiffrement� Peu évolutif� Pas de non rnon rnon rnon réééépudiation!pudiation!pudiation!pudiation!

« Authentifieur » OTP

Exemple: RSA SecurID

Source: RSA

PKI: Certificat numérique (X509)

� Basé sur la possession de la clésecrète (RSA, etc.)

� Mécanisme de type « Challenge Response »

� Pour� Offre plus de services:

� Authentification� Signature� Chiffrement – non rnon rnon rnon réééépudiationpudiationpudiationpudiation

� Contre� Nécessite un moyen de transport

sécurisé de la clde la clde la clde la cléééé privprivprivprivééééeeee� Pas vraiment portable

« Authentifieur » PKI

Le meilleur des deux mondes:

Technologie hybride: OTP & PKI

Technologie SMS (OOB)

Etude de cas: Skyguide

� La sécurité alliée au login unique

� Firewall Web application

� Web Single Sign On

� Authentification forte via SMS

OTP: TAN

� Liste à biffer� TAN (Transaction Authentication Number)

OTP « Bingo Card »

AnyUser

******

Source: Entrust

Les tendances 2007

Marché de l’authentification forte

Token USB multi fonction

Le monde des portables

� SIM-Based Authentication

� GemXplore 'Xpresso Java Card SIMs from Gemplus

� OTA (Over-The-Air) technology

Technologie OTA

http://www.gemplus.com/techno/ota/resources/white_paper.html

Trusted Platform Module [TPM]

https://www.trustedcomputinggroup.org/home

Multi Application Smart Card

Source: RSA

Technologie Mifare

� Contactless technology that is owned by Philips Electronics

� De Facto Standard

La biométrie

� Système « ancien »� 1930 - carte d’identité avec photo

� Reconnaissance de la voix

� Etc.

� Deux familles :� Mesure des traits physiques uniques

� Mesure d’un comportement unique

Mesure des traits physiques

� Empreintes digitales

� Géométrie de la main

� Les yeux

� Iris

� Rétine

� Reconnaissance du visage

� Nouvelles voies

� ADN, odeurs, oreille et « thermogram »

Mesure d’un comportement

� Reconnaissance vocale

� Signature manuscrite

� Dynamique de frappe

� Clavier

Confort vs fiabilité

Fonctionnement en trois phases

Stockage des données ?

� Par serveur d’authentification

� Problème de sécurité

� Problème de confidentialité

� Problème de disponibilité

� Sur une smartcard

� Meilleure sécurité

� Mode « offline »

� MOC = Match On card

Equal Error Rate (EER)

Biométrie en terme de sécurité?

� Solution Biométrique uniquement ?

� Confort à l’utilisation

� N’est pas un plus en terme de sécurité (en 2007)

� Doit être couplé à un 2ème facteurs

� Carte à puce par exemple

Matsumoto's « Gummy Fingers »

Etude Yokohama Universityhttp://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf

Niveau de sécurité?

OTPCert Based / PKI U&P

Protection de votre système d’information

Technologie authentification forte

Protocoles d’authentification ???

Données

Source: OATH

App. Framework

Source: OATH

Questions ?

e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécuritéinformatique dont les fondateurs ont fait de leur passion leur métier :

La sécurité des systèmes d'information

Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et maintiennent au quotidien des architectures de sécurité au moyen de solutions pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux exigences de la clientèle.

Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la confiance d'une clientèle issue de tout domaine d'activité et de toute taille.

Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un contact de proximité.

http://www.e-xpertsolutions.com

Authentification Forte 1

Technology

EBOOK Règlement Général sur la Protection des …abbakan.com/wp-content/uploads/2017/04/Gemalto-RGDP_2017_doc-… · vulnérabilités en établissant une authentification forte

Biométrie & Authentification forte / protection des identités numériques

PKI Mecanisme d Authentification Fort PKI

Implementation d’une authentification LDAP dans SAS · Septembre 2016 - 1 - Support Clients SAS France IMPLEMENTATION D’UNE AUTHENTIFICATION LDAP DANS SAS Par défaut, le serveur

Authentification réseau avec Radius

Le futur est déjà présent - Lexing Alain Bensoussan … de preuve Code PIN Authentification forte SMS Usurpation d’identité CRL Horodatage OCSP X.509 V3 Autorité d’Enregistrement

Présentation de Microsoft Office 365 et des briques de sécurité Fédération, Protection documentaire et Authentification Forte

II. 2 Les protocoles simples Sommaire 1.Authentification 2.Signature électronique 3.Certification

RECOMMANDATIONS à la ministre de la Santé, de la … · Rapport de la mission de relance du DMP – 23 avril 2008 Page 8 / 118 4. Une authentification forte du patient

11-Protocoles Authentification 2

LE GUIDE D’ATTRIBUTION DES CLÉS OTPcecoiawiki.ac-creteil.fr/wiki/telechargement/OTP/guide_OTP_2013.pdf · CLÉ OTP = AUTHENTIFICATION FORTE Pourquoi une authentification forte

COMPTA - CAPICOM - Authentification Par Certificat (MinFin.be)

Authentification dans ISA Server 2006

Authentification électronique Le Signing Stick LuxTrust

SECTEURS D’ACTIVITÉ - UCOPIAucopia.com/wp-content/uploads/2016/06/UCOPIA_Industries... · 2019-03-01 · allouée à chaque utilisateur • Authentification forte du personnel

Authentification Forte 2

Authentification contre Masquarade Mots de Passe ?

Authentification réseau avec Radiusformationgratuit.yolasite.com/resources/Authentification réseau...Le réseau informatique de l’entreprise est le premier maillon rencontré par

GUIDE ’UTILISATEUR « SCAD COVID · Saisir le code dans la case « code CPS » Cliquer sur Par authentification forte : Saisir l’identifiant et le mot de passe Sélectionner le

ADFS Authentification Pour Apache 2.0 Avec SourceID WSFedAuth