Séminaire Sécurité 2009 Michel Maudet – Directeur Générale Adjoint Yannick Quenec'hdu – Responsable pôle sécurité

Qui sommes nous ? LINAGORA, société spécialisée en Logiciel Libre, est le leader français de ce marché Leader dans l'édition de logiciels Open Source Plus de 160 experts à votre service Leader dans l'édition de logiciels Open Source Plus de 500 clients dont plus de 60% de très grands comptes Un réseau important de partenaires Un fort soutien au Libre

Leader dans l'édition de logiciels Open Source

Plus de 160 experts à votre service

Leader dans l'édition de logiciels Open Source

Plus de 500 clients dont plus de 60% de très grands comptes

Un réseau important de partenaires

Un fort soutien au Libre

Implantation San Francisco Bruxelles Paris Toulouse Lyon Marseille Une couverture nationale (Paris, Lyon, Toulouse, Marseille) et des implantations internationales (Belgique et USA – San Francisco)

Nos produits LINAGORA édite ses propres logiciels Open Source et propose une gamme de services professionnels pour réussir les grands projets du Libre L'activité d'édition Open Source s'articule autour de 4 offres innovantes : LinPKI : Suite applicative de sécurité OBM : Outils de messagerie et de gestion collaborative LinID : Gestion et de Fédération des identités LinSM : Solution de service de Management

L'activité d'édition Open Source s'articule autour de 4 offres innovantes :

LinPKI : Suite applicative de sécurité

OBM : Outils de messagerie et de gestion collaborative

LinID : Gestion et de Fédération des identités

LinSM : Solution de service de Management

L'OSSA, l'offre logicielle propre au libre U ne gamme de services complète à partir d'un guichet unique pour sécuriser votre SI à composantes Open Source. La mission de l'OSSA est de vous fournir une expertise personnalisée sur vos logiciels libres. Avec un engagement de résultats, une équipe d'experts vous assiste pour : La résolution des anomalies rencontrées L'intégration des correctifs aux communautés concernées des paramétrages complexes L'administration des logiciels supportés Leur intégration dans votre SI

La résolution des anomalies rencontrées

L'intégration des correctifs aux communautés concernées des paramétrages complexes

L'administration des logiciels supportés

Leur intégration dans votre SI

Services professionnels Cette offre produit est complétée par une gamme de services professionnels et de formations visant à accompagner les grands utilisateurs de logiciels libres dans le projet de transformation de leur SI. Service management / Supervision / Gestion de parc BI/ PGI Web/ portail/ Ged/ Gestion de contenus Sécurité / Identité Embarqué Poste de travail Infrastructure / Base de données Travail collaboratif

Chiffres clés LINAGORA SA au capital social de 2.257.140 Euros

Chiffres clés

Quelques références

Sommaire de notre séminaire La suite applicative de sécurité du groupe LINAGORA Certificat Présentation de l'offre de gestion des certificats numériques Signature Présentation des composants de signature Partage LinShare, l'application de partage de fichiers Retours d'expériences La PKI en self service à la Société Générale Le projet de signature de la région de Wallonie : EsignBox

La suite applicative de sécurité du groupe LINAGORA

Certificat

Présentation de l'offre de gestion des certificats numériques

Signature

Présentation des composants de signature

Partage

LinShare, l'application de partage de fichiers

Retours d'expériences

La PKI en self service à la Société Générale

Le projet de signature de la région de Wallonie : EsignBox

L'offre LinPKI

Les certificats

L'écosystème LinPKI

LinRA – Présentation LinRA est une autorité d'enregistrement (Registration Authority) Elle permet de gérer le cycle de vie des certificats Elle est accessible aux utilisateurs, en version Self-service de certificat Elle est accessible aux administrateurs pour des opérations simples d'administrations (Reporting, révocation, recouvrement de clefs) Elle est conçue de manière générique pour évoluer selon les besoins en terme de sécurité, de cinématique, de gestion de formulaire, d'intégration graphique Elle intègre un composant de séquestre et de recouvrement

LinRA est une autorité d'enregistrement (Registration Authority)

Elle permet de gérer le cycle de vie des certificats

Elle est accessible aux utilisateurs, en version Self-service de certificat

Elle est accessible aux administrateurs pour des opérations simples d'administrations (Reporting, révocation, recouvrement de clefs)

Elle est conçue de manière générique pour évoluer selon les besoins en terme de sécurité, de cinématique, de gestion de formulaire, d'intégration graphique

Elle intègre un composant de séquestre et de recouvrement

Les différences LinRA se différencie des autres solutions de PKI sur les points suivants : Solution distribuée en Open Source Processus automatique d’identification des utilisateurs dans l’environnement de la PKI Simplicité des interfaces et des fonctions pour les utilisateurs non initiés au PKI Refonte des composants Windows pour faciliter l’intégration des certificats dans les environnements Microsoft Moteur de cinématique graphique pour adapter les cinématiques aux besoins des entreprises Outils d’intégration des gestionnaires d’identités pour la gestion des droits sur l’entité d’enrôlement (SSO, IAM, etc.) Provisonning d’identités depuis des référentiels de données Interface personnalisable (texte, feuille de style, images, etc.)

LinRA se différencie des autres solutions de PKI sur les points suivants :

Solution distribuée en Open Source

Processus automatique d’identification des utilisateurs dans l’environnement de la PKI

Simplicité des interfaces et des fonctions pour les utilisateurs non initiés au PKI

Refonte des composants Windows pour faciliter l’intégration des certificats dans les environnements Microsoft

Moteur de cinématique graphique pour adapter les cinématiques aux besoins des entreprises

Outils d’intégration des gestionnaires d’identités pour la gestion des droits sur l’entité d’enrôlement (SSO, IAM, etc.)

Provisonning d’identités depuis des référentiels de données

Interface personnalisable (texte, feuille de style, images, etc.)

LinRA en action

EJBCA EJBCA c'est quoi ? EJBCA est une PKI (Public Key infrastructure) ou IGC (Infrastructure de gestion de clés) sous licence OpenSource (LGPL) développée en Java/J2EE. Développée par la société PrimeKey et rejoint en 2005 par Linagora. EJBCA bien plus qu'une PKI EJBCA fournit à la fois les fonctions classiques que l’on retrouve dans la plupart des PKI du marché. En supplément, elle fournit également un serveur OCSP, un serveur d’horodatage et un serveur de signature. Chaque composant peut être déployé de manière autonome ou intégrée dans EJBCA. EJBCA un générateur de vos besoins EJBCA a été construit comme un générateur, pour permettre de répondre rapidement et sans développement complémentaire aux contraintes liées aux certificats ou au SI de l’entreprise. Le générateur permet de créer des profils de certificat, des formats de requête, de personnaliser des cartes à puce ou de dongle USB.

Architecture fonctionnelle

La différence Première solution de PKI au monde en terme de diffusion Plus de 45 000 téléchargements annuels Plus de 6000 références connues Permet de s'adapter sans développement complémentaire à tous les contextes fonctionnels Via ses profils de certificats, d'entités et de Token Le moteur de Workflow de LinRA Respect des standards et des normes X509v3 et CRL IETF : CMP (Certificate Management Protocol) – Interopérabilité entre PKI W3C : Web Service et XKMS (XML Key Management Service) Indépendance en terme de systèmes d'exploitation, Support des plus grandes bases de données et des serveurs d'applications

Première solution de PKI au monde en terme de diffusion

Plus de 45 000 téléchargements annuels

Plus de 6000 références connues

Permet de s'adapter sans développement complémentaire à tous les contextes fonctionnels

Via ses profils de certificats, d'entités et de Token

Le moteur de Workflow de LinRA

Respect des standards et des normes

X509v3 et CRL

IETF : CMP (Certificate Management Protocol) – Interopérabilité entre PKI

W3C : Web Service et XKMS (XML Key Management Service)

Indépendance en terme de systèmes d'exploitation,

Support des plus grandes bases de données et des serveurs d'applications

HTMF Le gestionnaire de support cryptographique permet de gérer le cycle de vie complet de cartes à puces ou Token dans une société ou organisation. ToLiMA est la première application composée de modules qui utilise le standard HTMF – Hard Token Management FrameWork pour la gestion des imprimantes de cartes à puces. Les fonctionnalités non exhaustives de la suite applicative ToLiMa sont : Émission de carte : temporaire, ordinaire, projet Déblocage de code PIN sans exposer le code PUK pour les utilisateurs et les administrateurs Révocation de carte Renouvellement de carte Activation et désactivation de carte Il est aussi possible d’émettre et de bloquer des cartes sur la base d’un système d’approbation. Personnalisation graphique et électronique

Le gestionnaire de support cryptographique permet de gérer le cycle de vie complet de cartes à puces ou Token dans une société ou organisation.

ToLiMA est la première application composée de modules qui utilise le standard HTMF – Hard Token Management FrameWork pour la gestion des imprimantes de cartes à puces.

Les fonctionnalités non exhaustives de la suite applicative ToLiMa sont :

Émission de carte : temporaire, ordinaire, projet

Déblocage de code PIN sans exposer le code PUK pour les utilisateurs et les administrateurs

Révocation de carte

Renouvellement de carte

Activation et désactivation de carte

Il est aussi possible d’émettre et de bloquer des cartes sur la base d’un système d’approbation.

Personnalisation graphique et électronique

Architecture

Les différences Analyseur automatique de carte, permet d’enclencher automatiquement des scénarios lors de l’insertion de carte à puce. Les différences essentiellement entre ToLIMa et les autres CMS du marché, porte sur 5 grands aspects : Solution totalement Open Source ; Respect des standards HTMF ; Gestion automatisée du cycle de vie des certificats ; Gestionnaire de Workflow ; Indépendant des systèmes d’exploitation ; Ne nécessite aucun déploiement sur les postes des usagers.

Analyseur automatique de carte, permet d’enclencher automatiquement des scénarios lors de l’insertion de carte à puce. Les différences essentiellement entre ToLIMa et les autres CMS du marché, porte sur 5 grands aspects :

Solution totalement Open Source ;

Respect des standards HTMF ;

Gestion automatisée du cycle de vie des certificats ;

Gestionnaire de Workflow ;

Indépendant des systèmes d’exploitation ;

Ne nécessite aucun déploiement sur les postes des usagers.

? Vous avez des Questions ? ? ?

Notre offre Signature

Notre offre de signature Archivage

LinSign Le client de signature a pour objectif de permettre la signature depuis le poste du client Ce composant est conçu dans un esprit de généricité et de modularité vis-à-vis des applications. il peut-être mis en œuvre de 3 façons différentes Service : Il s’agit de mettre en place ce composant en tant que service commun exploité et autonome. Ce composant est alors vu comme un service global défini par ses interfaces publiques (WebService) Produit : ce composant est utilisé comme un produit prêt à l'emploi. Boîte à outils : Il s’agit pour un projet applicatif de pouvoir s’approprier ce composant en intégrant, voire en les adaptant à ses propres besoins dans le cadre du développement d’une l’application. Ce dispositif de signature fonctionne selon plusieurs modes : En mode connecté sur les navigateurs standards du marché. En mode autonome sur un système d’exploitation ou des clients lourds, tels que OpenOffice. En mode service embarqué dans des applications métiers.

Le client de signature a pour objectif de permettre la signature depuis le poste du client

Ce composant est conçu dans un esprit de généricité et de modularité vis-à-vis des applications. il peut-être mis en œuvre de 3 façons différentes

Service : Il s’agit de mettre en place ce composant en tant que service commun exploité et autonome. Ce composant est alors vu comme un service global défini par ses interfaces publiques (WebService)

Produit : ce composant est utilisé comme un produit prêt à l'emploi.

Boîte à outils : Il s’agit pour un projet applicatif de pouvoir s’approprier ce composant en intégrant, voire en les adaptant à ses propres besoins dans le cadre du développement d’une l’application.

Ce dispositif de signature fonctionne selon plusieurs modes :

En mode connecté sur les navigateurs standards du marché.

En mode autonome sur un système d’exploitation ou des clients lourds, tels que OpenOffice.

En mode service embarqué dans des applications métiers.

Architecture Les modules de LinSign Le coeur de LinSign

Les différences Solution Open Source Support de la signature Xades (Signature légale) et XML-Dsign , prochainement CADES Développement par composant (Pas de modification du coeur) Permet d'ajouter de nouveaux formats de signature Permet le support de nouveaux navigateurs Permet d'ajouter de nouvelles fonctionnalités Indépendant des systèmes d'exploitation Intégration dans les clients lourds, en mode autonome ou dans des applications Web

Solution Open Source

Support de la signature Xades (Signature légale) et XML-Dsign , prochainement CADES

Développement par composant (Pas de modification du coeur)

Permet d'ajouter de nouveaux formats de signature

Permet le support de nouveaux navigateurs

Permet d'ajouter de nouvelles fonctionnalités

Indépendant des systèmes d'exploitation

Intégration dans les clients lourds, en mode autonome ou dans des applications Web

LinCheck Application de vérification de signature Permet de vérifier : la conformité d'une signature La validité d'un certificat Sémantique Statut Usage Dialogue en mode REST et Web Service Vérification des formats : Xades T, C, X, X-L et XMLDsign) PDF Horodatage

Application de vérification de signature

Permet de vérifier :

la conformité d'une signature

La validité d'un certificat

Sémantique

Statut

Usage

Dialogue en mode REST et Web Service

Vérification des formats :

Xades T, C, X, X-L et XMLDsign)

PDF

Horodatage

SignServer SignServer est un serveur de signature modulaire distribué sous licence OpenSource. Il est développé en Java/J2EE. SignServer est le premier serveur de signature industriel distribué sous licence OpenSource Il permet de gérer la signature par lot, pour apposer par exemple, un cachet serveur sur la signature d'un utilisateur SignerServer est un serveur de signature multi-protocoles, c’est-à-dire qu’il peut-être utilisé comme : Serveur d’horodatage (RFC3161), Serveur de signature XML (Xades T, C, X, X-L et XMLDsign), Serveur pour la signature des passeports de nouvelle génération (MRTD – Machine Readable Travel Documents), Pour la signature de document OpenOffice et PDF. En complément du serveur de signature, SignServer offre les fonctionnalités : Service de validation des certificats numériques Moteur pour créer des scénarios d’autorisation et de validation Gestion de groupe de clefs symétriques et asymétriques

SignServer est un serveur de signature modulaire distribué sous licence OpenSource. Il est développé en Java/J2EE. SignServer est le premier serveur de signature industriel distribué sous licence OpenSource

Il permet de gérer la signature par lot, pour apposer par exemple, un cachet serveur sur la signature d'un utilisateur

SignerServer est un serveur de signature multi-protocoles, c’est-à-dire qu’il peut-être utilisé comme :

Serveur d’horodatage (RFC3161),

Serveur de signature XML (Xades T, C, X, X-L et XMLDsign),

Serveur pour la signature des passeports de nouvelle génération (MRTD – Machine Readable Travel Documents),

Pour la signature de document OpenOffice et PDF.

En complément du serveur de signature, SignServer offre les fonctionnalités :

Service de validation des certificats numériques

Moteur pour créer des scénarios d’autorisation et de validation

Gestion de groupe de clefs symétriques et asymétriques

? Vous avez des Questions ? ? ?

Partage Notre offre de partage sécurisé

Partage LinShare Use&Share Application de partage De fichiers orientés web Spécialement conçue pour faciliter l'intégration au sein des entreprises par une interface intuitive, zéro formation et une ergonomie simple à prendre en main Client LinShare pour l'intégration sur les postes clients Permet une intégration avec LinShare via des applications lourdes telles qu’Outlook et Thunderbird.

LinShare LinShare permet de : Déposer des fichiers dans son espace (coffre fort) Partager de fichiers avec des collaborateurs internes ou externes Gérer les partages Sécuriser les échanges Assurer la traçabilité des échanges De fournir un historique et un reporting des actions Et plus encore....

Déposer des fichiers dans son espace (coffre fort)

Partager de fichiers avec des collaborateurs internes ou externes

Gérer les partages

Sécuriser les échanges

Assurer la traçabilité des échanges

De fournir un historique et un reporting des actions

Et plus encore....

Les différences Solution en mode OnSite et Online Ergonomie très simple ne nécessite pas de formation Cinématique de partage simple et rapide Conduite de changement réduite au minimum Permet la signature légale de document Chiffrement des fichiers Intégration avec les anti-virus Partage avec des utilisateurs sans compte sur l'application Solution Open Source Et encore plein de surprises...

Solution en mode OnSite et Online

Ergonomie très simple ne nécessite pas de formation

Cinématique de partage simple et rapide

Conduite de changement réduite au minimum

Permet la signature légale de document

Chiffrement des fichiers

Intégration avec les anti-virus

Partage avec des utilisateurs sans compte sur l'application

Solution Open Source

Et encore plein de surprises...

LinShare en action

Use&Share Use&Share est le client LinShare pour les postes de travail Peut-être déployé de manière transparente via un navigateur Web Dialogue avec LinShare en mode REST Support des systèmes d'exploitation : Linux, Apple, Windows S'intègre de manière transparente dans les clients lourds tels qu’Outlook et ThunderBird Bientôt dans OpenOffice et Word.

Use&Share est le client LinShare pour les postes de travail

Peut-être déployé de manière transparente via un navigateur Web

Dialogue avec LinShare en mode REST

Support des systèmes d'exploitation : Linux, Apple, Windows

S'intègre de manière transparente dans les clients lourds tels qu’Outlook et ThunderBird

Bientôt dans OpenOffice et Word.

? Vous avez des Questions ? ? ?

Projet client Retour d'expérience

Société Générale Le projet : Phase 1 : Internalisation des PKI du groupe sur une seule instance Phase 2 : Délivrance de 120 000 certificats de chiffrement Distribution en mode guichet (self-service) Authentification des utilisateurs par rapport à un annuaire LDAP Récupération des informations utilisateurs lors de l'identification en mode SSO (Société Générale) sur le guichet Simplification de l'intégration des certificats dans l'environnement Windows

Le projet :

Phase 1 :

Internalisation des PKI du groupe sur une seule instance

Phase 2 :

Délivrance de 120 000 certificats de chiffrement

Distribution en mode guichet (self-service)

Authentification des utilisateurs par rapport à un annuaire LDAP

Récupération des informations utilisateurs lors de l'identification en mode SSO (Société Générale) sur le guichet

Simplification de l'intégration des certificats dans l'environnement Windows

Le projet Activité : Phase 1 : Définition de l'architecture technique de la nouvelle infrastructure de PKI Migration des PKI existantes vers la PKI EJBCA Script d'intégration des certificats existants Phase 2 : Spécifications fonctionnelles et techniques du projet de développement Développement d'un self service de certificat Intégration SSO Société Générale dans le self-service Intégration annuaire LDAP Société Générale dans le self-service Forte contrainte concernant l'ergonomie de l'application Méthodes Projet en méthode Agile : SCRUM Spécifications UML Charge 1200 jours de projet

Activité :

Phase 1 :

Définition de l'architecture technique de la nouvelle infrastructure de PKI

Migration des PKI existantes vers la PKI EJBCA

Script d'intégration des certificats existants

Phase 2 :

Spécifications fonctionnelles et techniques du projet de développement

Développement d'un self service de certificat

Intégration SSO Société Générale dans le self-service

Intégration annuaire LDAP Société Générale dans le self-service

Forte contrainte concernant l'ergonomie de l'application

Méthodes

Projet en méthode Agile : SCRUM

Spécifications UML

Charge

1200 jours de projet

Architecture fonctionnelle du guichet

Architecture technique du projet

Résultat Projet réalisé selon le planning prévisionnel Très bon retour sur la méthode de projet Agile, Scrum Recette client à chaque itération Travail important sur l'ergonomie de l'application Développement du projet LinRA et mise en Open Source du résultat Développement de composant d'intégration de certificat dans l'environnement Windows, Outlook et carte à puce avec une ergonomie simplifiée. Mise en Open Source du développement Migration de deux produits de PKI vers EJBCA Activité de 20 jours

Projet réalisé selon le planning prévisionnel

Très bon retour sur la méthode de projet Agile, Scrum

Recette client à chaque itération

Travail important sur l'ergonomie de l'application

Développement du projet LinRA et mise en Open Source du résultat

Développement de composant d'intégration de certificat dans l'environnement Windows, Outlook et carte à puce avec une ergonomie simplifiée.

Mise en Open Source du développement

Migration de deux produits de PKI vers EJBCA

Activité de 20 jours

? Vous avez des Questions ? ? ?

Nous contacter : Yannick Quenec'hdu et Michel Maudet [email_address] Nos sites : www.linagora.com www.linpki.org www.linshare.org Merci de votre attention