42
e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Le bon sens et l’expérience | www.e-xpertsolutions.com 4 Volume 2/3 Par Sylvain Maret / CTO e-Xpert Solutions SA Genève / Juillet 2007 Tutorial Authentification Forte Technologie des identités numériques

Authentification Forte 2

Embed Size (px)

Citation preview

Page 1: Authentification Forte 2

e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Le bon sens et l’expérience | www.e-xpertsolutions.com 4

Volume 2/3

Par Sylvain Maret / CTO e-Xpert Solutions SA

Genève / Juillet 2007

TutorialAuthentification Forte

Technologie des identités numériques

Page 2: Authentification Forte 2

4

4 Le bon sens et l’expérience

“ L’art de fortifier ne consiste pas dans des règles et des systèmesmais uniquement dans le bon sens et l’expérience ”

Sebastien le Prestre de VaubanIngénieur Architecte 1633-1707

Page 3: Authentification Forte 2

4

4 Le bon sens et l’expérience

Agenda

� Un nouveau challenge� Protection des données

� Intégration en entreprise

� Une étude de cas� Sécurisation des données sensible

� Projet d’authentification Forte en interne

Page 4: Authentification Forte 2

4

4 Le bon sens et l’expérience

Protection de votre système d’information

Technologie authentification forte

Protocoles d’authentification ???

Données

Source: OATH

Page 5: Authentification Forte 2

4

4 Le bon sens et l’expérience

App. Framework

Source: OATH

Page 6: Authentification Forte 2

4

4 Le bon sens et l’expérience

Situation actuelle pour l’Authentification forte

� Sécurisation du ppppéééérimrimrimrimèèèètretretretre� VPN

� SSL� IPSEC

� Chiffrement (Laptop)� Applications Web public� Citrix

� Protocole d’authentification� Ldap, Radius, SSL, SecurID, � SMS, PAM, 802.1x, etc.

Page 7: Authentification Forte 2

4

4 Le bon sens et l’expérience

La situation de demain: la dé-périmètrisation

http://www.opengroup.org/jericho/

Source: Jericho Forum

Page 8: Authentification Forte 2

4

4 Le bon sens et l’expérience

Comment sécuriser les données ?

� Applications métier

� ERP

� Stockage

� Domaine Microsoft

� Main Frame

� Applications Web

� Services Web

� Etc.

Page 9: Authentification Forte 2

4

4 Le bon sens et l’expérience

1er étape: la classification des données

Un exemple de matrice

Auth. ForteAvec non répudiation

Auth. forte

Auth. simple

Page 10: Authentification Forte 2

4

4 Le bon sens et l’expérience

Quelques exemples ?

Page 11: Authentification Forte 2

4

4 Le bon sens et l’expérience

Syncro des « comptes » via ldap

� Utilisation d’une base de référence pour le partage des comptes utilisateur� Syncro des comptes

� Pas de SSO

� Pas forcément un gain en sécurité

� Éventuellement l’ajout d’un méta annuaire

Page 12: Authentification Forte 2

4

4 Le bon sens et l’expérience

Schéma d’une solution ldap

Page 13: Authentification Forte 2

4

4 Le bon sens et l’expérience

Solution Single Sign On

� Le rêve de toute entreprise…?� Plusieurs approches

� Single Sign On� Helper� Reverse Proxy� Agent SSO

� Reduce Sign On� Capture des touches

� Quel niveau de sécurité ?

Page 14: Authentification Forte 2

4

4 Le bon sens et l’expérience

SSO: Helper application agent

Source: Raymond Philip CaustonHELSINKI UNIVERSITY OF TECHNOLOGY

Page 15: Authentification Forte 2

4

4 Le bon sens et l’expérience

SSO: Reverse Proxy

Source: Raymond Philip CaustonHELSINKI UNIVERSITY OF TECHNOLOGY

Page 16: Authentification Forte 2

4

4 Le bon sens et l’expérience

SSO: Native plug-in architecture

Source: Raymond Philip CaustonHELSINKI UNIVERSITY OF TECHNOLOGY

Page 17: Authentification Forte 2

4

4 Le bon sens et l’expérience

Reduce Sign On

Source: Raymond Philip CaustonHELSINKI UNIVERSITY OF TECHNOLOGY

Page 18: Authentification Forte 2

4

4 Le bon sens et l’expérience

Kerberos en deux mots

Source: Raymond Philip CaustonHELSINKI UNIVERSITY OF TECHNOLOGY

Page 19: Authentification Forte 2

4

4 Le bon sens et l’expérience

Microsoft Smart Card Logon

http://www.microsoft.com/windows2000/docs/sclogonwp.dochttp://searchwindowssecurity.techtarget.com/searchWindowsSecurity/downloads/DeClercq05.pdf

Source: Microsoft

Page 20: Authentification Forte 2

4

4 Le bon sens et l’expérience

MS PKINIT

Source: Microsoft

Page 21: Authentification Forte 2

4

4 Le bon sens et l’expérience

Applications Web via SSL / TLS

Page 22: Authentification Forte 2

4

4 Le bon sens et l’expérience

WSSO

Source: Raymond Philip CaustonHELSINKI UNIVERSITY OF TECHNOLOGY

Page 23: Authentification Forte 2

4

4 Le bon sens et l’expérience

« Legacy » application

� Que faire ?� Main Frame� Clients serveurs� Emulation� Etc.

� Quelques pistes� Crypto Kit� Citrix� VPN SSL ou IPSEC� Radius, PAM� Etc.

Page 24: Authentification Forte 2

4

4 Le bon sens et l’expérience

Une tendance très claire pour l’entreprise: la carte à puces

Page 25: Authentification Forte 2

4

4 Le bon sens et l’expérience

Validation Protocols

Source: OATH

Page 26: Authentification Forte 2

4

4 Le bon sens et l’expérience

Standards existant

� Certificate Based / PKI X509� CRL (Certificate Revocation

List)

� SCVP� Simple Certificate Validation

Protocol

� OCSP [RFC2560]� Online Certificate Status

Protocol

Page 27: Authentification Forte 2

4

4 Le bon sens et l’expérience

Architecture OCSP

Web ServerWeb ServerWeb ServerWeb ServerAliceAliceAliceAlice

ValidationValidationValidationValidationAuthorityAuthorityAuthorityAuthority

ValideValideValideValidePas validePas validePas validePas valideInconuInconuInconuInconu

OCSP OCSP OCSP OCSP requestrequestrequestrequest

Page 28: Authentification Forte 2

4

4 Le bon sens et l’expérience

Une étude de cas 2007: L’entreprise XYZ (Suisse) S.A.

Page 29: Authentification Forte 2

4

4 Le bon sens et l’expérience

Le challenge du projet

� Choix d’une technologie dddd’’’’authentification forteauthentification forteauthentification forteauthentification fortepour protéger des données hautement sensibles

� Un besoin sécuritaire très élevés

� Ces données doivent être accéder uniquement par les personnes autorisées et identifiées de manière forte et

par un procprocprocprocééééddddéééé quasi irrquasi irrquasi irrquasi irrééééfutable de lfutable de lfutable de lfutable de l’’’’identitidentitidentitidentitéééé de de de de la personnela personnela personnela personne

Page 30: Authentification Forte 2

4

4 Le bon sens et l’expérience

Les contraintes exigées et existantes

� Intégration avec une application de GED

� Microsoft Smart Card Logon� PKINIT

� Les futures applications� Web Based (.NET)� SOAP / XML (SOA)

� Évolution vers la signature numérique

� Signature de workflow

� Chiffrement de fichiers

� Intégration avec le bâtiment� Badge d’accès

� Gestion simples des utilisateurs

Page 31: Authentification Forte 2

4

4 Le bon sens et l’expérience

Quelle technologie choisir ?

� One Time Password (OTP)

� Certificat numérique X509� Public Key Infrastructure

� Biométrie

Page 32: Authentification Forte 2

4

4 Le bon sens et l’expérience

Quiz: quelle technologie d’authentification choisir?

� Une réponse possible!

� Certificat numérique� PKI X509

� Support de type Carte à puce ou Token USB

� Comment être sur que c’est la bonne personne avec la carte àpuce ?

Page 33: Authentification Forte 2

4

4 Le bon sens et l’expérience

Quelle technologie biométrique pour l’IT ?

Page 34: Authentification Forte 2

4

4 Le bon sens et l’expérience

Quelle technologie de Biométrie

Page 35: Authentification Forte 2

4

4 Le bon sens et l’expérience

Quelle technologie d’authentification choisir?

Quel niveau de sQuel niveau de sQuel niveau de sQuel niveau de séééécuritcuritcuritcuritéééé pour la biompour la biompour la biompour la bioméééétrie IT peut on esptrie IT peut on esptrie IT peut on esptrie IT peut on espéééérer ?rer ?rer ?rer ?

SSSS’’’’agit il dagit il dagit il dagit il d’’’’un confort uniquement?un confort uniquement?un confort uniquement?un confort uniquement?

Est il possible de Est il possible de Est il possible de Est il possible de «««« by passer by passer by passer by passer »»»» la techno ?la techno ?la techno ?la techno ?

Et la Et la Et la Et la «««« privacyprivacyprivacyprivacy des utilisateurs ?des utilisateurs ?des utilisateurs ?des utilisateurs ?

Page 36: Authentification Forte 2

4

4 Le bon sens et l’expérience

Une 1er réponse: Matsumoto's « Gummy Fingers »

Etude Yokohama University

http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf

Page 37: Authentification Forte 2

4

4 Le bon sens et l’expérience

Une 2ème réponse

Page 38: Authentification Forte 2

4

4 Le bon sens et l’expérience

Biométrie de confort vs Biométrie de sécurité ?

Authentification classique

1 facteur

L’empreinte

Authentification forte

2 facteurs

L’empreinte et la carte à puce

Page 39: Authentification Forte 2

4

4 Le bon sens et l’expérience

Une 3ème réponse: La Technologie Match On Card

Page 40: Authentification Forte 2

4

4 Le bon sens et l’expérience

Le choix retenu pour ce projet:

� Architecture PKI

� Carte à puce de type crypto processeur

� Technologie biométrique de type « Fingerprinting »� En remplacement du PIN Code

� Technologie Match On Card

Page 41: Authentification Forte 2

4

4 Le bon sens et l’expérience

1er Phase du projet

� Intégration des composants PKI� CA, RA & VA� HSM

� Révocation Online des certificats (OCSP)

� Intégration avec Microsoft Smart Card Logon

� Smart Card Logon

� Intégration l’application de GED� Application .NET� Web Application Firewall / Reverse

Proxy avec SSL� Firewall

� Mise en place d’un service de gestion des identités

� Le futur:� Intégration avec les SOA

� SOAP / XML� Bâtiment intégration avec les

badges� Web SSO� Chiffrement de fichiers� SSO

Page 42: Authentification Forte 2

4

4 Le bon sens et l’expérience

e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécuritéinformatique dont les fondateurs ont fait de leur passion leur métier :

La sécurité des systèmes d'information

Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et maintiennent au quotidien des architectures de sécurité au moyen de solutions pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux exigences de la clientèle.

Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la confiance d'une clientèle issue de tout domaine d'activité et de toute taille.

Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un contact de proximité.

http://www.e-xpertsolutions.com