e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Le bon sen...
4
4 Le bon sens et l’expérience
“ L’art de fortifier ne consiste pas dans des règles et des systèmes
mais uniquement dans ...
4
4 Le bon sens et l’expérience
Agenda
Identité numérique
Authentification forte
Pourquoi l’authentification forte?
Techno...
4
4 Le bon sens et l’expérience
Identité numérique ?
Beaucoup de définitions
4
4 Le bon sens et l’expérience
Un essai de définition…technique
Avatar
Bank
Mail / Achats
Entreprise
Monde réel
Monde vir...
4
4 Le bon sens et l’expérience
Identité numérique sur Internet
Identification
4
4 Le bon sens et l’expérience
Identification et authentification ?
Identification
Qui êtes vous ?
Authentification
Prouv...
4
4 Le bon sens et l’expérience
Facteurs pour l’authentification
ce que l'entité connaconnaconnaconnaîîîît (Mot de
passe)
...
4
4 Le bon sens et l’expérience
Définition de l’authentification forte
4
4 Le bon sens et l’expérience
Authentification forte
Clé de voûte de la sécurisation du système d’information
Conviction...
4
4 Le bon sens et l’expérience
Protection de votre système d’information
Technologie authentification forte
Protocoles d’...
4
4 Le bon sens et l’expérience
Pyramide de l’authentification forte
4
4 Le bon sens et l’expérience
Pourquoi l’authentification forte?
4
4 Le bon sens et l’expérience
4
4 Le bon sens et l’expérience
Keylogger: une réelle menace
6191 keyloggers recensés cette année
contre 3753 l'an passé (...
4
4 Le bon sens et l’expérience
Phishing - Pharming
Anti-Phishing Working Group recommande l’utilisation de
l’authentifica...
4
4 Le bon sens et l’expérience
T-FA in an Internet Banking Environment
12 octobre 2005: le Federal Financial Institutions...
4
4 Le bon sens et l’expérience
T-FA: An Essential Component of I&AM
4
4 Le bon sens et l’expérience
Liberty Alliance souhaite accélérer
l'adoption de l'authentification forte
8 novembre 2005...
4
4 Le bon sens et l’expérience
Les premières réactions… !
Les entreprises réalisent que l’authentification forte est
une ...
4
4 Le bon sens et l’expérience
Les technologies d’authentification forte
Technologies en pleine mouvance
Technologie gran...
4
4 Le bon sens et l’expérience
http://www.openauthentication.org/
4
4 Le bon sens et l’expérience
Modèle OATH
Source: OATH
4
4 Le bon sens et l’expérience
Client Framework
« Device » Physique
Token ou AuthentifieurTechnologies
Source: OATH
4
4 Le bon sens et l’expérience
Authentication Method
Authentication Method:
a function for authenticating users or device...
4
4 Le bon sens et l’expérience
Authentification Token: définition
Composant Hardware ou
Software
« Authentifieur »
Implém...
4
4 Le bon sens et l’expérience
Quel « Authentifieur » ?
4
4 Le bon sens et l’expérience
One-Time Password (OTP)
Mot de passe à usage unique
Basé sur le partage d’un secret
Généra...
4
4 Le bon sens et l’expérience
« Authentifieur » OTP
4
4 Le bon sens et l’expérience
Exemple: RSA SecurID
Source: RSA
4
4 Le bon sens et l’expérience
PKI: Certificat numérique (X509)
Basé sur la possession de la clé
secrète (RSA, etc.)
Méca...
4
4 Le bon sens et l’expérience
« Authentifieur » PKI
4
4 Le bon sens et l’expérience
Le meilleur des deux mondes:
Technologie hybride: OTP & PKI
4
4 Le bon sens et l’expérience
Technologie SMS (OOB)
4
4 Le bon sens et l’expérience
Etude de cas: Skyguide
La sécurité alliée au login
unique
Firewall Web application
Web Sin...
4
4 Le bon sens et l’expérience
OTP: TAN
Liste à biffer
TAN (Transaction Authentication Number)
4
4 Le bon sens et l’expérience
OTP « Bingo Card »
9 2
AnyUser
******
Source: Entrust
4
4 Le bon sens et l’expérience
Les tendances 2007
4
4 Le bon sens et l’expérience
Marché de l’authentification forte
4
4 Le bon sens et l’expérience
Token USB multi fonction
4
4 Le bon sens et l’expérience
Le monde des portables
SIM-Based Authentication
GemXplore 'Xpresso Java Card SIMs from Gem...
4
4 Le bon sens et l’expérience
Technologie OTA
http://www.gemplus.com/techno/ota/resources/white_paper.html
4
4 Le bon sens et l’expérience
Trusted Platform Module [TPM]
https://www.trustedcomputinggroup.org/home
4
4 Le bon sens et l’expérience
Multi Application Smart Card
Source: RSA
4
4 Le bon sens et l’expérience
Technologie Mifare
Contactless technology that is
owned by Philips Electronics
De Facto St...
4
4 Le bon sens et l’expérience
La biométrie
Système « ancien »
1930 - carte d’identité avec photo
Reconnaissance de la vo...
4
4 Le bon sens et l’expérience
Mesure des traits physiques
Empreintes digitales
Géométrie de la main
Les yeux
Iris
Rétine...
4
4 Le bon sens et l’expérience
Mesure d’un comportement
Reconnaissance vocale
Signature manuscrite
Dynamique de frappe
Cl...
4
4 Le bon sens et l’expérience
Confort vs fiabilité
4
4 Le bon sens et l’expérience
Fonctionnement en trois phases
4
4 Le bon sens et l’expérience
Stockage des données ?
Par serveur d’authentification
Problème de sécurité
Problème de con...
4
4 Le bon sens et l’expérience
Equal Error Rate (EER)
4
4 Le bon sens et l’expérience
Biométrie en terme de sécurité?
Solution Biométrique
uniquement ?
Confort à l’utilisation
...
4
4 Le bon sens et l’expérience
Matsumoto's « Gummy Fingers »
Etude Yokohama University
http://crypto.csail.mit.edu/classe...
4
4 Le bon sens et l’expérience
Niveau de sécurité?
OTPCert Based / PKI U&P
4
4 Le bon sens et l’expérience
Protection de votre système d’information
Technologie authentification forte
Protocoles d’...
4
4 Le bon sens et l’expérience
App. Framework
Source: OATH
4
4 Le bon sens et l’expérience
Questions ?
4
4 Le bon sens et l’expérience
e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité
informat...
Upcoming SlideShare
Loading in...5
×

Authentification Forte 1

589

Published on

Tutoriel sur l'authentification forte / identités numériques

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
589
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
31
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Authentification Forte 1

  1. 1. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Le bon sens et l’expérience | www.e-xpertsolutions.com4 Volume 1/3 Par Sylvain Maret / CTO e-Xpert Solutions SA Genève / Juillet 2007 Tutorial Authentification Forte Technologie des identités numériques
  2. 2. 4 4 Le bon sens et l’expérience “ L’art de fortifier ne consiste pas dans des règles et des systèmes mais uniquement dans le bon sens et l’expérience ” Sebastien le Prestre de Vauban Ingénieur Architecte 1633-1707
  3. 3. 4 4 Le bon sens et l’expérience Agenda Identité numérique Authentification forte Pourquoi l’authentification forte? Technologies OTP PKI Biométrie Autres Les tendances 2007 Démonstrations
  4. 4. 4 4 Le bon sens et l’expérience Identité numérique ? Beaucoup de définitions
  5. 5. 4 4 Le bon sens et l’expérience Un essai de définition…technique Avatar Bank Mail / Achats Entreprise Monde réel Monde virtuel Lien technologique entre une identité réel et une identité virtuel
  6. 6. 4 4 Le bon sens et l’expérience Identité numérique sur Internet Identification
  7. 7. 4 4 Le bon sens et l’expérience Identification et authentification ? Identification Qui êtes vous ? Authentification Prouvez le !
  8. 8. 4 4 Le bon sens et l’expérience Facteurs pour l’authentification ce que l'entité connaconnaconnaconnaîîîît (Mot de passe) ce que l'entité ddddéééétienttienttienttient (Authentifieur) ce que l'entité est ou faitest ou faitest ou faitest ou fait (Biométrie)
  9. 9. 4 4 Le bon sens et l’expérience Définition de l’authentification forte
  10. 10. 4 4 Le bon sens et l’expérience Authentification forte Clé de voûte de la sécurisation du système d’information Conviction forte de e-Xpert Solutions SA
  11. 11. 4 4 Le bon sens et l’expérience Protection de votre système d’information Technologie authentification forte Protocoles d’authentification ??? Données Source: OATH
  12. 12. 4 4 Le bon sens et l’expérience Pyramide de l’authentification forte
  13. 13. 4 4 Le bon sens et l’expérience Pourquoi l’authentification forte?
  14. 14. 4 4 Le bon sens et l’expérience
  15. 15. 4 4 Le bon sens et l’expérience Keylogger: une réelle menace 6191 keyloggers recensés cette année contre 3753 l'an passé (et environ 300 en 2000), soit une progression de 65 %
  16. 16. 4 4 Le bon sens et l’expérience Phishing - Pharming Anti-Phishing Working Group recommande l’utilisation de l’authentification forte http://www.antiphishing.org/Phishing-dhs-report.pdf
  17. 17. 4 4 Le bon sens et l’expérience T-FA in an Internet Banking Environment 12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive « Single Factor Authentication » n’est pas suffisant pour les applications Web financière Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte http://www.ffiec.gov/press/pr101205.htm
  18. 18. 4 4 Le bon sens et l’expérience T-FA: An Essential Component of I&AM
  19. 19. 4 4 Le bon sens et l’expérience Liberty Alliance souhaite accélérer l'adoption de l'authentification forte 8 novembre 2005: Liberty Alliance Project forme un groupe d’expert pour l’authentification forte The Strong Authentication Expert Group (SAEG) Publication dès 2006 spécifications ID SAFE
  20. 20. 4 4 Le bon sens et l’expérience Les premières réactions… ! Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité
  21. 21. 4 4 Le bon sens et l’expérience Les technologies d’authentification forte Technologies en pleine mouvance Technologie grand public Technologie pour les entreprises Tour d’horizon des solutions en 2007 (Non exhaustif)
  22. 22. 4 4 Le bon sens et l’expérience http://www.openauthentication.org/
  23. 23. 4 4 Le bon sens et l’expérience Modèle OATH Source: OATH
  24. 24. 4 4 Le bon sens et l’expérience Client Framework « Device » Physique Token ou AuthentifieurTechnologies Source: OATH
  25. 25. 4 4 Le bon sens et l’expérience Authentication Method Authentication Method: a function for authenticating users or devices, including One-Time Password (OTP) algorithms public key certificates (PKI) Biometry and other methods SMS Scratch List Etc.
  26. 26. 4 4 Le bon sens et l’expérience Authentification Token: définition Composant Hardware ou Software « Authentifieur » Implémente la ou les méthode(s) d’authentification Réalise le mécanisme d’authentification en toute sécurité Fournit un stockage sécurisé des « credentials » d’authentification
  27. 27. 4 4 Le bon sens et l’expérience Quel « Authentifieur » ?
  28. 28. 4 4 Le bon sens et l’expérience One-Time Password (OTP) Mot de passe à usage unique Basé sur le partage d’un secret Généralement utilisation d’une fonction de hachage Pour Très portable (pour le mode non connecté) Contre Pas de signature Pas de chiffrement Peu évolutif Pas de non rnon rnon rnon réééépudiation!pudiation!pudiation!pudiation!
  29. 29. 4 4 Le bon sens et l’expérience « Authentifieur » OTP
  30. 30. 4 4 Le bon sens et l’expérience Exemple: RSA SecurID Source: RSA
  31. 31. 4 4 Le bon sens et l’expérience PKI: Certificat numérique (X509) Basé sur la possession de la clé secrète (RSA, etc.) Mécanisme de type « Challenge Response » Pour Offre plus de services: Authentification Signature Chiffrement – non rnon rnon rnon réééépudiationpudiationpudiationpudiation Contre Nécessite un moyen de transport sécurisé de la clde la clde la clde la cléééé privprivprivprivééééeeee Pas vraiment portable
  32. 32. 4 4 Le bon sens et l’expérience « Authentifieur » PKI
  33. 33. 4 4 Le bon sens et l’expérience Le meilleur des deux mondes: Technologie hybride: OTP & PKI
  34. 34. 4 4 Le bon sens et l’expérience Technologie SMS (OOB)
  35. 35. 4 4 Le bon sens et l’expérience Etude de cas: Skyguide La sécurité alliée au login unique Firewall Web application Web Single Sign On Authentification forte via SMS
  36. 36. 4 4 Le bon sens et l’expérience OTP: TAN Liste à biffer TAN (Transaction Authentication Number)
  37. 37. 4 4 Le bon sens et l’expérience OTP « Bingo Card » 9 2 AnyUser ****** Source: Entrust
  38. 38. 4 4 Le bon sens et l’expérience Les tendances 2007
  39. 39. 4 4 Le bon sens et l’expérience Marché de l’authentification forte
  40. 40. 4 4 Le bon sens et l’expérience Token USB multi fonction
  41. 41. 4 4 Le bon sens et l’expérience Le monde des portables SIM-Based Authentication GemXplore 'Xpresso Java Card SIMs from Gemplus OTA (Over-The-Air) technology
  42. 42. 4 4 Le bon sens et l’expérience Technologie OTA http://www.gemplus.com/techno/ota/resources/white_paper.html
  43. 43. 4 4 Le bon sens et l’expérience Trusted Platform Module [TPM] https://www.trustedcomputinggroup.org/home
  44. 44. 4 4 Le bon sens et l’expérience Multi Application Smart Card Source: RSA
  45. 45. 4 4 Le bon sens et l’expérience Technologie Mifare Contactless technology that is owned by Philips Electronics De Facto Standard
  46. 46. 4 4 Le bon sens et l’expérience La biométrie Système « ancien » 1930 - carte d’identité avec photo Reconnaissance de la voix Etc. Deux familles : Mesure des traits physiques uniques Mesure d’un comportement unique
  47. 47. 4 4 Le bon sens et l’expérience Mesure des traits physiques Empreintes digitales Géométrie de la main Les yeux Iris Rétine Reconnaissance du visage Nouvelles voies ADN, odeurs, oreille et « thermogram »
  48. 48. 4 4 Le bon sens et l’expérience Mesure d’un comportement Reconnaissance vocale Signature manuscrite Dynamique de frappe Clavier
  49. 49. 4 4 Le bon sens et l’expérience Confort vs fiabilité
  50. 50. 4 4 Le bon sens et l’expérience Fonctionnement en trois phases
  51. 51. 4 4 Le bon sens et l’expérience Stockage des données ? Par serveur d’authentification Problème de sécurité Problème de confidentialité Problème de disponibilité Sur une smartcard Meilleure sécurité Mode « offline » MOC = Match On card
  52. 52. 4 4 Le bon sens et l’expérience Equal Error Rate (EER)
  53. 53. 4 4 Le bon sens et l’expérience Biométrie en terme de sécurité? Solution Biométrique uniquement ? Confort à l’utilisation N’est pas un plus en terme de sécurité (en 2007) Doit être couplé à un 2ème facteurs Carte à puce par exemple
  54. 54. 4 4 Le bon sens et l’expérience Matsumoto's « Gummy Fingers » Etude Yokohama University http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf
  55. 55. 4 4 Le bon sens et l’expérience Niveau de sécurité? OTPCert Based / PKI U&P
  56. 56. 4 4 Le bon sens et l’expérience Protection de votre système d’information Technologie authentification forte Protocoles d’authentification ??? Données Source: OATH
  57. 57. 4 4 Le bon sens et l’expérience App. Framework Source: OATH
  58. 58. 4 4 Le bon sens et l’expérience Questions ?
  59. 59. 4 4 Le bon sens et l’expérience e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et maintiennent au quotidien des architectures de sécurité au moyen de solutions pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux exigences de la clientèle. Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la confiance d'une clientèle issue de tout domaine d'activité et de toute taille. Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un contact de proximité. http://www.e-xpertsolutions.com
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×