Identité Numérique et Authentification Forte

Conseil en technologies

Id e n t it é n u m é r iq u e&

AU TH EN TIF IC ATIO N FO R TE

25 février 2009Sylvain Maret / MARET Consulting

Conseil en technologieswww.maret-consulting.ch

"Le conseil et l'expertise pour le choix et la mise

en oeuvre des technologies innovantes dans la sécurité

des systèmes d'information et de l'identité numérique"

Agenda

Identité numérique Authentification forte Pourquoi l’authentification forte? Technologies

OTP PKI Biométrie Autres

Les tendances 2009 Démonstrations

Identité numérique ?

Beaucoup de définitions

Un essai de définition…technique

Avatar

Mail / Achats

Social network

Monde réel

Monde virtuel

Lien technologique entre une identité réelle et une identité virtuelle

Identité numérique sur Internet

Identification

Identification et authentification ?

Identification Qui êtes vous ?

Authentification Prouvez le !

Facteurs pour l’authentification

ce que l'entité c o n n a î t (Mot de passe)

ce que l'entité d é t ie n t (Authentifieur)

ce que l'entité e s t o u f a it (Biométrie)

Définition de l’authentification forte

Authentification forte

Une des clés de voûte de la sécurisation du système d’information

Conviction forte de MARET Consulting

Protection de votre système d’information

Technologie authentification forte

Protocoles d’authentification

Données

Identiténumérique

Pyramide de l’authentification forte

Pourquoi l’authentification forte?

Keylogger: une réelle menace

6191 keyloggers recensés en 2008 contre 3753 en 2007 (et environ 300 en 2000), soit une progression de 65 %

Phishing - Pharming

Anti-Phishing Working Group recommande l’utilisation de

l’authentification forte

http://www.antiphishing.org/Phishing-dhs-report.pdf

T-FA in an Internet Banking Environment

12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive

« Single Factor Authentication » n’est pas suffisant pour les applications Web financière

Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte

http://www.ffiec.gov/press/pr101205.htm

La France commence à suivre le mouvement Banque Populaire en 2009

Liberty Alliance souhaite accélérer l'adoption de l'authentification forte

8 novembre 2005: Liberty Alliance Project forme un groupe d’expert pour

l’authentification forte

The Strong Authentication Expert Group (SAEG)

Publication dès 2006 spécifications ID SAFE

Les premières réactions… !

Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité

PCI-DSS accélère le mouvement

“Superior” user authentication

Dans le monde grand public

Les technologies d’authentification forte

Technologies en pleine mouvance

Technologie grand public

Technologies en pleine mouvances

Technologie grand public Technologie pour les entreprises

Tour d’horizon des solutions en 2009 (Non exhaustif)

http://www.openauthentication.org/

Modèle OATH

Client Framework « Device » PhysiqueToken ou AuthentifieurTechnologies

Authentication Method

Authentication Method:

a function for authenticating users or devices, including

One-Time Password (OTP) algorithms

public key certificates (PKI)

Biometry

and other methods SMS Scratch List TAN Etc.

Authentification Token: définition

Composant Hardware ou Software « Authentifieur »

Implémente la ou les méthode(s) d’authentification

Réalise le mécanisme d’authentification en toute sécurité

Fournit un stockage sécurisé des « credentials » d’authentification

Quel « Authentifieur » ?

One-Time Password (OTP)

Mot de passe à usage unique Basé sur le partage d’un secret

Généralement utilisation d’une fonction de hachage

Pour Très portable (pour le mode non connecté)

Contre Pas de signature Pas de chiffrement Peu évolutif Pas de !n o n r é p u d ia t io n

« Authentifieur » OTP

Exemple: RSA SecurID

PKI: Certificat numérique (X509)

Basé sur la possession de la clé secrète (RSA, etc.) Mécanisme de type « Challenge Response »

Pour Offre plus de services:

Authentification Signature Chiffrement – n o n r é p u d ia t io n

Contre Nécessite un moyen de transport sécurisé d e la c lép r iv é e

Pas vraiment portable

« Authentifieur » PKI

Le meilleur des deux mondes:

Technologie hybride: OTP & PKI

Technologie SMS (OOB)

Etude de cas: Skyguide

La sécurité alliée au login unique

Firewall Web application Web Single Sign On

Authentification forte via SMS

http://www.slideshare.net/smaret/etude-cas-skyguide-rsa-mobile

OTP « Bingo Card »

AnyUser

******

Les tendances 2009

Token USB multi fonction

Le monde des portables

SIM-Based Authentication

GemXplore 'Xpresso Java Card SIMs from Gemplus

OTA (Over-The-Air) technology

Technologie OTA

http://www.gemplus.com/techno/ota/resources/white_paper.html

Trusted Platform Module [TPM]

https://www.trustedcomputinggroup.org/home

Exemple: Authentification forte d’un portable avec technologie VPN SSL

Multi Application Smart Card

Technologie Mifare

Contactless technology that is owned by Philips Electronics

De Facto Standard

Convergence IT Security and Building Security

EMV - CAP

Europay Mastercard Visa Initiative de: Master Card Visa

Utilise la technologie CAP Chip Authentication Protocol

Authentification forte et signature des transactions

Risk Based Authentication

Internet Passport: OTP & Biométrie

Démonstration: OpenID & Axsionics

OTP USB Yubico

OTP event Based

Pas de driver

Très simple d’usage

Simule un clavier

Démonstration: Yubico

La biométrie

Système « ancien » 1930 - carte d’identité avec photo Reconnaissance de la voix Etc.

Deux familles : Mesure des traits physiques uniques Mesure d’un comportement unique

Composé de bio- (du grec bios - «la vie») et de - métrie (du grec metron - «mesure»)

Définition d’une identité numérique ?

Future of Ide ntity in the Information S ocie ty

Lien technologique entre une identité réelle et une identité virtuelle

Le marché de la biométrie

Mesure des traits physiques

Empreintes digitales Géométrie de la main Les yeux

Iris Rétine

Reconnaissance du visage Réseau veineux de la main ou du doigt Nouvelles voies

ADN, odeurs, oreille et « thermogram »

Mesure d’un comportement

Reconnaissance vocale Signature manuscrite Démarche Dynamique de frappe

Clavier

Une technologie très prometteuse

Vascular Pattern Recognition

By SONY

Confort vs fiabilité

Fonctionnement en trois phases

Stockage des données ?

Par serveur d’authentification Problème de sécurité Problème de confidentialité Problème de disponibilité

Sur un support externe Meilleure sécurité Mode « offline » MOC = Match On card

Loi fédérale du 19 juin 1992 sur la protection des données (LPD)

Equal Error Rate (EER)

Biométrie en terme de sécurité?

Solution Biométrique uniquement ? Confort à l’utilisation N’est pas un plus en terme de sécurité (en 2009)

Doit être couplé à un 2ème facteurs Carte à puce par exemple

Démonstration: Signature d’un email

Matsumoto's « Gummy Fingers »

Etude Yokohama University

http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf

Questions ?

Quelques liens

http://www.idtheftcenter.org/ http://www.antiphishing.org/ http://sylvain-maret.blogspot.com/ http://fr.wikipedia.org/wiki/Authentification_forte http://www.openauthentication.org/ http://www.fidis.net/ http://idtheftblog.wordpress.com/ http://www.regardingid.com/

Identité numérique

Identité Numérique et Authentification Forte

Technology

Développement dapplications web Authentification, session

Authentification TLS/SSL sous OpenVPN

Guide de mise en oeuvre d'une authentification forte avec une cps

Authentification contre Masquarade Mots de Passe ?

Authentification électronique Le Signing Stick LuxTrust

Un label, une voie davenir. Une identité forte Auxerre – lycée Vauban métiers de la table Varzy – lycée Le Mont Châtelet ferronnerie dart Château-Chinon

Authentification des protocoles de routage

Identité numérique Authentification Forte [Compatibility Mode]

Synthèse du rapport d'activité 2019 | France Éducation ... · internationale, le CIEP devient en 2019 France Éducation international et adopte une nouvelle identité forte, en

PKI Mecanisme d Authentification Fort PKI

Authentification Forte 1

Authentification réseau avec Radiusformationgratuit.yolasite.com/resources/Authentification réseau...Le réseau informatique de l’entreprise est le premier maillon rencontré par

L\'authentification forte : Concept et Technologies

RECOMMANDATIONS à la ministre de la Santé, de la … · Rapport de la mission de relance du DMP – 23 avril 2008 Page 8 / 118 4. Une authentification forte du patient

Authentification hybride

SPLA Panorama, SPLA Panorama - CHARTE ESTHÉTIQUE & … · 2020-05-20 · PRÉAMBULE L e quartier du Panorama dispose d’une identité architecturale forte et assumée. Les balcons,

Authentification 802.1x V1.0

Le Conservatoire de Poissy a une identité forte, héritage ...cmdpoissy.com/wordpress/wp-content/uploads/BROCHURE-2015-201… · Le Conservatoire de Poissy a une identité forte,

Comment protéger de façon efficace son/ses identité(s ...innovbfa.viabloga.com/...proteger_de_facon_efficace...s_sur_le_Web…numérique(s) sur le Web 2.0? ... Authentification

Biométrie & Authentification forte / protection des identités numériques