0
Identité numérique & AUTHENTIFICATION FORTE 25 février 2009 Sylvain Maret / MARET Consulting
"Le conseil et l'expertise pour le choix et la mise  en oeuvre des technologies innovantes dans la sécurité des systè...
Agenda <ul><li>Identité numérique </li></ul><ul><li>Authentification forte </li></ul><ul><li>Pourquoi l’authentification f...
Identité numérique ? Beaucoup de définitions
Un essai de définition…technique Avatar Bank Mail / Achats Social network Monde réel Monde virtuel Lien technologique entr...
Identité numérique sur Internet Identification
Identification et authentification ? <ul><li>Identification </li></ul><ul><ul><li>Qui êtes vous ? </li></ul></ul><ul><li>A...
Facteurs pour l’authentification <ul><li>ce que l'entité  connaî t (Mot de passe) </li></ul><ul><li>ce que l'entité  détie...
Définition de l’authentification forte
Authentification forte <ul><li>Une des clés de voûte de la sécurisation du système d’information </li></ul><ul><ul><ul><li...
Protection de votre système d’information Technologie authentification forte Protocoles d’authentification Données Identit...
Pyramide de l’authentification forte
Pourquoi l’authentification forte?
Keylogger: une réelle menace <ul><li>6191 keyloggers recensés en 2008 </li></ul><ul><ul><li>contre 3753 en 2007 (et enviro...
Phishing - Pharming <ul><li>Anti-Phishing Working Group recommande l’utilisation de  </li></ul><ul><li>l’authentification ...
T-FA in an Internet Banking Environment <ul><li>12 octobre 2005: le  Federal Financial Institutions Examination Council (F...
Liberty Alliance souhaite accélérer  l'adoption de l'authentification forte <ul><li>8 novembre 2005: </li></ul><ul><li>Lib...
Les premières réactions… ! <ul><li>Les entreprises réalisent que l’authentification forte est une composante de base de la...
“ Superior” user authentication
Dans le monde grand public
Les technologies d’authentification forte <ul><li>Technologies en pleine mouvance </li></ul><ul><ul><li>Technologie grand ...
http://www.openauthentication.org/
Modèle OATH
Client Framework « Device » Physique Token ou Authentifieur Technologies
Authentication Method <ul><li>Authentication Method: </li></ul><ul><ul><li>a function for authenticating users or devices,...
Authentification Token: définition <ul><li>Composant Hardware ou Software </li></ul><ul><ul><li>« Authentifieur » </li></u...
Quel « Authentifieur » ?
One-Time Password (OTP) <ul><li>Mot de passe à usage unique </li></ul><ul><li>Basé sur le partage d’un secret </li></ul><u...
« Authentifieur » OTP
Exemple: RSA SecurID
PKI: Certificat numérique (X509) <ul><li>Basé sur la possession de la clé secrète (RSA, etc.) </li></ul><ul><ul><li>Mécani...
« Authentifieur » PKI
Le meilleur des deux mondes: Technologie hybride: OTP & PKI
Technologie SMS (OOB)
Etude de cas: Skyguide <ul><li>La sécurité alliée au login unique </li></ul><ul><ul><li>Firewall Web application </li></ul...
OTP «  Bingo Card » 9 2 AnyUser ******
Les tendances 2009
Token USB multi fonction
Le monde des portables <ul><li>SIM-Based Authentication </li></ul><ul><ul><li>GemXplore 'Xpresso Java Card SIMs from Gempl...
Technologie OTA http://www.gemplus.com/techno/ota/resources/white_paper.html
Trusted Platform Module [TPM] <ul><ul><li>https://www.trustedcomputinggroup.org/home </li></ul></ul><ul><ul><li>Exemple: A...
Multi Application Smart Card
Technologie Mifare <ul><li>Contactless technology that is owned by Philips Electronics </li></ul><ul><li>De Facto Standard...
EMV - CAP <ul><li>Europay Mastercard Visa </li></ul><ul><li>Initiative de: </li></ul><ul><li>Master Card </li></ul><ul><li...
Risk Based Authentication
Internet Passport: OTP & Biométrie
Démonstration: OpenID & Axsionics
OTP USB Yubico <ul><li>OTP event Based </li></ul><ul><li>Pas de driver </li></ul><ul><li>Très simple d’usage </li></ul><ul...
Démonstration: Yubico
La biométrie <ul><li>Système « ancien » </li></ul><ul><ul><li>1930 - carte d’identité avec photo </li></ul></ul><ul><ul><l...
Définition d’une identité numérique ? Future of Identity in the Information Society Lien technologique entre une identité ...
Le marché de la biométrie
Mesure des traits physiques <ul><li>Empreintes digitales </li></ul><ul><li>Géométrie de la main </li></ul><ul><li>Les yeux...
Mesure d’un comportement <ul><li>Reconnaissance vocale </li></ul><ul><li>Signature manuscrite </li></ul><ul><li>Démarche <...
Une technologie très prometteuse Vascular Pattern Recognition  By SONY
Confort vs fiabilité
Fonctionnement en trois phases
Stockage des données ? <ul><li>Par serveur d’authentification </li></ul><ul><ul><li>Problème de sécurité </li></ul></ul><u...
Equal Error Rate (EER)
Biométrie en terme de sécurité? <ul><li>Solution Biométrique uniquement ? </li></ul><ul><ul><li>Confort à l’utilisation </...
Démonstration: Signature d’un email
Matsumoto's « Gummy Fingers » Etude Yokohama University http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf
Questions ?
Quelques liens <ul><li>http://www.idtheftcenter.org/ </li></ul><ul><li>http://www.antiphishing.org/ </li></ul><ul><li>http...
Identité numérique
Upcoming SlideShare
Loading in...5
×

Identité Numérique et Authentification Forte

2,638

Published on

Un tutoriel sur le protection des identités numériques par l'authentification forte.

-- One Time Password
-- PKI certificat numérique
-- Biométrie

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,638
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
171
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "Identité Numérique et Authentification Forte"

  1. 1. Identité numérique & AUTHENTIFICATION FORTE 25 février 2009 Sylvain Maret / MARET Consulting
  2. 2. &quot;Le conseil et l'expertise pour le choix et la mise en oeuvre des technologies innovantes dans la sécurité des systèmes d'information et de l'identité numérique&quot;
  3. 3. Agenda <ul><li>Identité numérique </li></ul><ul><li>Authentification forte </li></ul><ul><li>Pourquoi l’authentification forte? </li></ul><ul><li>Technologies </li></ul><ul><ul><li>OTP </li></ul></ul><ul><ul><li>PKI </li></ul></ul><ul><ul><li>Biométrie </li></ul></ul><ul><ul><li>Autres </li></ul></ul><ul><li>Les tendances 2009 </li></ul><ul><li>Démonstrations </li></ul>
  4. 4. Identité numérique ? Beaucoup de définitions
  5. 5. Un essai de définition…technique Avatar Bank Mail / Achats Social network Monde réel Monde virtuel Lien technologique entre une identité réelle et une identité virtuelle
  6. 6. Identité numérique sur Internet Identification
  7. 7. Identification et authentification ? <ul><li>Identification </li></ul><ul><ul><li>Qui êtes vous ? </li></ul></ul><ul><li>Authentification </li></ul><ul><ul><li>Prouvez le ! </li></ul></ul>
  8. 8. Facteurs pour l’authentification <ul><li>ce que l'entité connaî t (Mot de passe) </li></ul><ul><li>ce que l'entité détient (Authentifieur) </li></ul><ul><li>ce que l'entité est ou fait (Biométrie) </li></ul>
  9. 9. Définition de l’authentification forte
  10. 10. Authentification forte <ul><li>Une des clés de voûte de la sécurisation du système d’information </li></ul><ul><ul><ul><li>Conviction forte de MARET Consulting </li></ul></ul></ul>
  11. 11. Protection de votre système d’information Technologie authentification forte Protocoles d’authentification Données Identité numérique
  12. 12. Pyramide de l’authentification forte
  13. 13. Pourquoi l’authentification forte?
  14. 14. Keylogger: une réelle menace <ul><li>6191 keyloggers recensés en 2008 </li></ul><ul><ul><li>contre 3753 en 2007 (et environ 300 en 2000), </li></ul></ul><ul><ul><li>soit une progression de 65 % </li></ul></ul>
  15. 15. Phishing - Pharming <ul><li>Anti-Phishing Working Group recommande l’utilisation de </li></ul><ul><li>l’authentification forte </li></ul>http://www.antiphishing.org/Phishing-dhs-report.pdf
  16. 16. T-FA in an Internet Banking Environment <ul><li>12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive </li></ul><ul><ul><li>« Single Factor Authentication » n’est pas suffisant pour les applications Web financière </li></ul></ul><ul><ul><li>Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte </li></ul></ul><ul><ul><li>http://www.ffiec.gov/press/pr101205.htm </li></ul></ul><ul><ul><li>La France commence à suivre le mouvement </li></ul></ul><ul><ul><ul><li>Banque Populaire en 2009 </li></ul></ul></ul>
  17. 17. Liberty Alliance souhaite accélérer l'adoption de l'authentification forte <ul><li>8 novembre 2005: </li></ul><ul><li>Liberty Alliance Project forme un groupe d’expert pour l’authentification forte </li></ul><ul><ul><li>The Strong Authentication Expert Group (SAEG) </li></ul></ul><ul><ul><li>Publication dès 2006 </li></ul></ul><ul><ul><li>spécifications ID SAFE </li></ul></ul>
  18. 18. Les premières réactions… ! <ul><li>Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité </li></ul><ul><li>PCI-DSS accélère le mouvement </li></ul>
  19. 19. “ Superior” user authentication
  20. 20. Dans le monde grand public
  21. 21. Les technologies d’authentification forte <ul><li>Technologies en pleine mouvance </li></ul><ul><ul><li>Technologie grand public </li></ul></ul><ul><li>Technologies en pleine mouvances </li></ul><ul><ul><li>Technologie grand public </li></ul></ul><ul><ul><li>Technologie pour les entreprises </li></ul></ul><ul><li>Tour d’horizon des solutions en 2009 </li></ul><ul><ul><li>(Non exhaustif) </li></ul></ul>
  22. 22. http://www.openauthentication.org/
  23. 23. Modèle OATH
  24. 24. Client Framework « Device » Physique Token ou Authentifieur Technologies
  25. 25. Authentication Method <ul><li>Authentication Method: </li></ul><ul><ul><li>a function for authenticating users or devices, including </li></ul></ul><ul><ul><ul><li>One-Time Password (OTP) algorithms </li></ul></ul></ul><ul><ul><ul><li>public key certificates (PKI) </li></ul></ul></ul><ul><ul><ul><li>Biometry </li></ul></ul></ul><ul><ul><ul><li>and other methods </li></ul></ul></ul><ul><ul><ul><ul><li>SMS </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Scratch List </li></ul></ul></ul></ul><ul><ul><ul><ul><li>TAN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Etc. </li></ul></ul></ul></ul>
  26. 26. Authentification Token: définition <ul><li>Composant Hardware ou Software </li></ul><ul><ul><li>« Authentifieur » </li></ul></ul><ul><li>Implémente la ou les méthode(s) d’authentification </li></ul><ul><li>Réalise le mécanisme d’authentification en toute sécurité </li></ul><ul><li>Fournit un stockage sécurisé des « credentials » d’authentification </li></ul>
  27. 27. Quel « Authentifieur » ?
  28. 28. One-Time Password (OTP) <ul><li>Mot de passe à usage unique </li></ul><ul><li>Basé sur le partage d’un secret </li></ul><ul><ul><li>Généralement utilisation d’une fonction de hachage </li></ul></ul><ul><li>Pour </li></ul><ul><ul><li>Très portable (pour le mode non connecté) </li></ul></ul><ul><li>Contre </li></ul><ul><ul><li>Pas de signature </li></ul></ul><ul><ul><li>Pas de chiffrement </li></ul></ul><ul><ul><li>Peu évolutif </li></ul></ul><ul><ul><li>Pas de non répudiation! </li></ul></ul>
  29. 29. « Authentifieur » OTP
  30. 30. Exemple: RSA SecurID
  31. 31. PKI: Certificat numérique (X509) <ul><li>Basé sur la possession de la clé secrète (RSA, etc.) </li></ul><ul><ul><li>Mécanisme de type « Challenge Response » </li></ul></ul><ul><li>Pour </li></ul><ul><ul><li>Offre plus de services: </li></ul></ul><ul><ul><ul><li>Authentification </li></ul></ul></ul><ul><ul><ul><li>Signature </li></ul></ul></ul><ul><ul><ul><li>Chiffrement – non répudiation </li></ul></ul></ul><ul><li>Contre </li></ul><ul><ul><li>Nécessite un moyen de transport sécurisé de la clé privée </li></ul></ul><ul><ul><li>Pas vraiment portable </li></ul></ul>
  32. 32. « Authentifieur » PKI
  33. 33. Le meilleur des deux mondes: Technologie hybride: OTP & PKI
  34. 34. Technologie SMS (OOB)
  35. 35. Etude de cas: Skyguide <ul><li>La sécurité alliée au login unique </li></ul><ul><ul><li>Firewall Web application </li></ul></ul><ul><ul><li>Web Single Sign On </li></ul></ul><ul><ul><li>Authentification forte via SMS </li></ul></ul>http:// www.slideshare.net/smaret/etude-cas-skyguide-rsa-mobile
  36. 36. OTP «  Bingo Card » 9 2 AnyUser ******
  37. 37. Les tendances 2009
  38. 38. Token USB multi fonction
  39. 39. Le monde des portables <ul><li>SIM-Based Authentication </li></ul><ul><ul><li>GemXplore 'Xpresso Java Card SIMs from Gemplus </li></ul></ul><ul><ul><li>OTA (Over-The-Air) technology </li></ul></ul>
  40. 40. Technologie OTA http://www.gemplus.com/techno/ota/resources/white_paper.html
  41. 41. Trusted Platform Module [TPM] <ul><ul><li>https://www.trustedcomputinggroup.org/home </li></ul></ul><ul><ul><li>Exemple: Authentification forte d’un portable avec technologie VPN SSL </li></ul></ul>
  42. 42. Multi Application Smart Card
  43. 43. Technologie Mifare <ul><li>Contactless technology that is owned by Philips Electronics </li></ul><ul><li>De Facto Standard </li></ul><ul><li>Convergence IT Security and Building Security </li></ul>
  44. 44. EMV - CAP <ul><li>Europay Mastercard Visa </li></ul><ul><li>Initiative de: </li></ul><ul><li>Master Card </li></ul><ul><li>Visa </li></ul><ul><li>Utilise la technologie CAP </li></ul><ul><li>Chip Authentication Protocol </li></ul><ul><li>Authentification forte et signature des transactions </li></ul>
  45. 45. Risk Based Authentication
  46. 46. Internet Passport: OTP & Biométrie
  47. 47. Démonstration: OpenID & Axsionics
  48. 48. OTP USB Yubico <ul><li>OTP event Based </li></ul><ul><li>Pas de driver </li></ul><ul><li>Très simple d’usage </li></ul><ul><li>Simule un clavier </li></ul>
  49. 49. Démonstration: Yubico
  50. 50. La biométrie <ul><li>Système « ancien » </li></ul><ul><ul><li>1930 - carte d’identité avec photo </li></ul></ul><ul><ul><li>Reconnaissance de la voix </li></ul></ul><ul><ul><li>Etc. </li></ul></ul><ul><li>Deux familles : </li></ul><ul><ul><li>Mesure des traits physiques uniques </li></ul></ul><ul><ul><li>Mesure d’un comportement unique </li></ul></ul><ul><li>Composé de bio- (du grec bios - «la vie») et de - métrie (du grec metron - «mesure») </li></ul>
  51. 51. Définition d’une identité numérique ? Future of Identity in the Information Society Lien technologique entre une identité réelle et une identité virtuelle
  52. 52. Le marché de la biométrie
  53. 53. Mesure des traits physiques <ul><li>Empreintes digitales </li></ul><ul><li>Géométrie de la main </li></ul><ul><li>Les yeux </li></ul><ul><ul><li>Iris </li></ul></ul><ul><ul><li>Rétine </li></ul></ul><ul><li>Reconnaissance du visage </li></ul><ul><li>Réseau veineux de la main ou du doigt </li></ul><ul><li>Nouvelles voies </li></ul><ul><ul><li>ADN, odeurs, oreille et « thermogram » </li></ul></ul>
  54. 54. Mesure d’un comportement <ul><li>Reconnaissance vocale </li></ul><ul><li>Signature manuscrite </li></ul><ul><li>Démarche </li></ul><ul><li>Dynamique de frappe </li></ul><ul><ul><li>Clavier </li></ul></ul>
  55. 55. Une technologie très prometteuse Vascular Pattern Recognition By SONY
  56. 56. Confort vs fiabilité
  57. 57. Fonctionnement en trois phases
  58. 58. Stockage des données ? <ul><li>Par serveur d’authentification </li></ul><ul><ul><li>Problème de sécurité </li></ul></ul><ul><ul><li>Problème de confidentialité </li></ul></ul><ul><ul><li>Problème de disponibilité </li></ul></ul><ul><li>Sur un support externe </li></ul><ul><ul><li>Meilleure sécurité </li></ul></ul><ul><ul><li>Mode « offline » </li></ul></ul><ul><ul><li>MOC = Match On card </li></ul></ul>Loi fédérale du 19 juin 1992 sur la protection des données (LPD)
  59. 59. Equal Error Rate (EER)
  60. 60. Biométrie en terme de sécurité? <ul><li>Solution Biométrique uniquement ? </li></ul><ul><ul><li>Confort à l’utilisation </li></ul></ul><ul><ul><li>N’est pas un plus en terme de sécurité (en 2009) </li></ul></ul><ul><li>Doit être couplé à un 2ème facteurs </li></ul><ul><ul><li>Carte à puce par exemple </li></ul></ul>
  61. 61. Démonstration: Signature d’un email
  62. 62. Matsumoto's « Gummy Fingers » Etude Yokohama University http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf
  63. 63. Questions ?
  64. 64. Quelques liens <ul><li>http://www.idtheftcenter.org/ </li></ul><ul><li>http://www.antiphishing.org/ </li></ul><ul><li>http://sylvain-maret.blogspot.com/ </li></ul><ul><li>http://fr.wikipedia.org/wiki/Authentification_forte </li></ul><ul><li>http://www.openauthentication.org/ </li></ul><ul><li>http://www.fidis.net/ </li></ul><ul><li>http://idtheftblog.wordpress.com/ </li></ul><ul><li>http://www.regardingid.com/ </li></ul>
  65. 65. Identité numérique
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×