Identité numérique & AUTHENTIFICATION FORTE 25 février 2009 Sylvain Maret / MARET Consulting

"Le conseil et l'expertise pour le choix et la mise en oeuvre des technologies innovantes dans la sécurité des systèmes d'information et de l'identité numérique"

Agenda Identité numérique Authentification forte Pourquoi l’authentification forte? Technologies OTP PKI Biométrie Autres Les tendances 2009 Démonstrations

Identité numérique

Authentification forte

Pourquoi l’authentification forte?

Technologies

OTP

PKI

Biométrie

Autres

Les tendances 2009

Démonstrations

Identité numérique ? Beaucoup de définitions

Un essai de définition…technique Avatar Bank Mail / Achats Social network Monde réel Monde virtuel Lien technologique entre une identité réelle et une identité virtuelle

Identité numérique sur Internet Identification

Identification et authentification ? Identification Qui êtes vous ? Authentification Prouvez le !

Identification

Qui êtes vous ?

Authentification

Prouvez le !

Facteurs pour l’authentification ce que l'entité connaî t (Mot de passe) ce que l'entité détient (Authentifieur) ce que l'entité est ou fait (Biométrie)

ce que l'entité connaî t (Mot de passe)

ce que l'entité détient (Authentifieur)

ce que l'entité est ou fait (Biométrie)

Définition de l’authentification forte

Authentification forte Une des clés de voûte de la sécurisation du système d’information Conviction forte de MARET Consulting

Une des clés de voûte de la sécurisation du système d’information

Conviction forte de MARET Consulting

Protection de votre système d’information Technologie authentification forte Protocoles d’authentification Données Identité numérique

Pyramide de l’authentification forte

Pourquoi l’authentification forte?

Keylogger: une réelle menace 6191 keyloggers recensés en 2008 contre 3753 en 2007 (et environ 300 en 2000), soit une progression de 65 %

6191 keyloggers recensés en 2008

contre 3753 en 2007 (et environ 300 en 2000),

soit une progression de 65 %

Phishing - Pharming Anti-Phishing Working Group recommande l’utilisation de l’authentification forte http://www.antiphishing.org/Phishing-dhs-report.pdf

Anti-Phishing Working Group recommande l’utilisation de

l’authentification forte

T-FA in an Internet Banking Environment 12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive « Single Factor Authentication » n’est pas suffisant pour les applications Web financière Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte http://www.ffiec.gov/press/pr101205.htm La France commence à suivre le mouvement Banque Populaire en 2009

12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive

« Single Factor Authentication » n’est pas suffisant pour les applications Web financière

Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte

http://www.ffiec.gov/press/pr101205.htm

La France commence à suivre le mouvement

Banque Populaire en 2009

Liberty Alliance souhaite accélérer l'adoption de l'authentification forte 8 novembre 2005: Liberty Alliance Project forme un groupe d’expert pour l’authentification forte The Strong Authentication Expert Group (SAEG) Publication dès 2006 spécifications ID SAFE

8 novembre 2005:

Liberty Alliance Project forme un groupe d’expert pour l’authentification forte

The Strong Authentication Expert Group (SAEG)

Publication dès 2006

spécifications ID SAFE

Les premières réactions… ! Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité PCI-DSS accélère le mouvement

Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité

PCI-DSS accélère le mouvement

“ Superior” user authentication

Dans le monde grand public

Les technologies d’authentification forte Technologies en pleine mouvance Technologie grand public Technologies en pleine mouvances Technologie grand public Technologie pour les entreprises Tour d’horizon des solutions en 2009 (Non exhaustif)

Technologies en pleine mouvance

Technologie grand public

Technologies en pleine mouvances

Technologie grand public

Technologie pour les entreprises

Tour d’horizon des solutions en 2009

(Non exhaustif)

http://www.openauthentication.org/

Modèle OATH

Client Framework « Device » Physique Token ou Authentifieur Technologies

Authentication Method Authentication Method: a function for authenticating users or devices, including One-Time Password (OTP) algorithms public key certificates (PKI) Biometry and other methods SMS Scratch List TAN Etc.

Authentication Method:

a function for authenticating users or devices, including

One-Time Password (OTP) algorithms

public key certificates (PKI)

Biometry

and other methods

SMS

Scratch List

TAN

Etc.

Authentification Token: définition Composant Hardware ou Software « Authentifieur » Implémente la ou les méthode(s) d’authentification Réalise le mécanisme d’authentification en toute sécurité Fournit un stockage sécurisé des « credentials » d’authentification

Composant Hardware ou Software

« Authentifieur »

Implémente la ou les méthode(s) d’authentification

Réalise le mécanisme d’authentification en toute sécurité

Fournit un stockage sécurisé des « credentials » d’authentification

Quel « Authentifieur » ?

One-Time Password (OTP) Mot de passe à usage unique Basé sur le partage d’un secret Généralement utilisation d’une fonction de hachage Pour Très portable (pour le mode non connecté) Contre Pas de signature Pas de chiffrement Peu évolutif Pas de non répudiation!

Mot de passe à usage unique

Basé sur le partage d’un secret

Généralement utilisation d’une fonction de hachage

Pour

Très portable (pour le mode non connecté)

Contre

Pas de signature

Pas de chiffrement

Peu évolutif

Pas de non répudiation!

« Authentifieur » OTP

Exemple: RSA SecurID

PKI: Certificat numérique (X509) Basé sur la possession de la clé secrète (RSA, etc.) Mécanisme de type « Challenge Response » Pour Offre plus de services: Authentification Signature Chiffrement – non répudiation Contre Nécessite un moyen de transport sécurisé de la clé privée Pas vraiment portable

Basé sur la possession de la clé secrète (RSA, etc.)

Mécanisme de type « Challenge Response »

Pour

Offre plus de services:

Authentification

Signature

Chiffrement – non répudiation

Contre

Nécessite un moyen de transport sécurisé de la clé privée

Pas vraiment portable

« Authentifieur » PKI

Le meilleur des deux mondes: Technologie hybride: OTP & PKI

Technologie SMS (OOB)

Etude de cas: Skyguide La sécurité alliée au login unique Firewall Web application Web Single Sign On Authentification forte via SMS http:// www.slideshare.net/smaret/etude-cas-skyguide-rsa-mobile

La sécurité alliée au login unique

Firewall Web application

Web Single Sign On

Authentification forte via SMS

OTP « Bingo Card » 9 2 AnyUser ******

Les tendances 2009

Token USB multi fonction

Le monde des portables SIM-Based Authentication GemXplore 'Xpresso Java Card SIMs from Gemplus OTA (Over-The-Air) technology

SIM-Based Authentication

GemXplore 'Xpresso Java Card SIMs from Gemplus

OTA (Over-The-Air) technology

Technologie OTA http://www.gemplus.com/techno/ota/resources/white_paper.html

Trusted Platform Module [TPM] https://www.trustedcomputinggroup.org/home Exemple: Authentification forte d’un portable avec technologie VPN SSL

https://www.trustedcomputinggroup.org/home

Exemple: Authentification forte d’un portable avec technologie VPN SSL

Multi Application Smart Card

Technologie Mifare Contactless technology that is owned by Philips Electronics De Facto Standard Convergence IT Security and Building Security

Contactless technology that is owned by Philips Electronics

De Facto Standard

Convergence IT Security and Building Security

EMV - CAP Europay Mastercard Visa Initiative de: Master Card Visa Utilise la technologie CAP Chip Authentication Protocol Authentification forte et signature des transactions

Europay Mastercard Visa

Initiative de:

Master Card

Visa

Utilise la technologie CAP

Chip Authentication Protocol

Authentification forte et signature des transactions

Risk Based Authentication

Internet Passport: OTP & Biométrie

Démonstration: OpenID & Axsionics

OTP USB Yubico OTP event Based Pas de driver Très simple d’usage Simule un clavier

OTP event Based

Pas de driver

Très simple d’usage

Simule un clavier

Démonstration: Yubico

La biométrie Système « ancien » 1930 - carte d’identité avec photo Reconnaissance de la voix Etc. Deux familles : Mesure des traits physiques uniques Mesure d’un comportement unique Composé de bio- (du grec bios - «la vie») et de - métrie (du grec metron - «mesure»)

Système « ancien »

1930 - carte d’identité avec photo

Reconnaissance de la voix

Etc.

Deux familles :

Mesure des traits physiques uniques

Mesure d’un comportement unique

Composé de bio- (du grec bios - «la vie») et de - métrie (du grec metron - «mesure»)

Définition d’une identité numérique ? Future of Identity in the Information Society Lien technologique entre une identité réelle et une identité virtuelle

Le marché de la biométrie

Mesure des traits physiques Empreintes digitales Géométrie de la main Les yeux Iris Rétine Reconnaissance du visage Réseau veineux de la main ou du doigt Nouvelles voies ADN, odeurs, oreille et « thermogram »

Empreintes digitales

Géométrie de la main

Les yeux

Iris

Rétine

Reconnaissance du visage

Réseau veineux de la main ou du doigt

Nouvelles voies

ADN, odeurs, oreille et « thermogram »

Mesure d’un comportement Reconnaissance vocale Signature manuscrite Démarche Dynamique de frappe Clavier

Reconnaissance vocale

Signature manuscrite

Démarche

Dynamique de frappe

Clavier

Une technologie très prometteuse Vascular Pattern Recognition By SONY

Confort vs fiabilité

Fonctionnement en trois phases

Stockage des données ? Par serveur d’authentification Problème de sécurité Problème de confidentialité Problème de disponibilité Sur un support externe Meilleure sécurité Mode « offline » MOC = Match On card Loi fédérale du 19 juin 1992 sur la protection des données (LPD)

Par serveur d’authentification

Problème de sécurité

Problème de confidentialité

Problème de disponibilité

Sur un support externe

Meilleure sécurité

Mode « offline »

MOC = Match On card

Equal Error Rate (EER)

Biométrie en terme de sécurité? Solution Biométrique uniquement ? Confort à l’utilisation N’est pas un plus en terme de sécurité (en 2009) Doit être couplé à un 2ème facteurs Carte à puce par exemple

Solution Biométrique uniquement ?

Confort à l’utilisation

N’est pas un plus en terme de sécurité (en 2009)

Doit être couplé à un 2ème facteurs

Carte à puce par exemple

Démonstration: Signature d’un email

Matsumoto's « Gummy Fingers » Etude Yokohama University http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf

Questions ?

Quelques liens http://www.idtheftcenter.org/ http://www.antiphishing.org/ http://sylvain-maret.blogspot.com/ http://fr.wikipedia.org/wiki/Authentification_forte http://www.openauthentication.org/ http://www.fidis.net/ http://idtheftblog.wordpress.com/ http://www.regardingid.com/

http://www.idtheftcenter.org/

http://www.antiphishing.org/

http://sylvain-maret.blogspot.com/

http://fr.wikipedia.org/wiki/Authentification_forte

http://www.openauthentication.org/

http://www.fidis.net/

http://idtheftblog.wordpress.com/

http://www.regardingid.com/

Identité numérique