Identité Numérique et Authentification Forte

3,418 views

Published on

Un tutoriel sur le protection des identités numériques par l'authentification forte.

-- One Time Password
-- PKI certificat numérique
-- Biométrie

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,418
On SlideShare
0
From Embeds
0
Number of Embeds
22
Actions
Shares
0
Downloads
188
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Identité Numérique et Authentification Forte

  1. 1. Identité numérique & AUTHENTIFICATION FORTE 25 février 2009 Sylvain Maret / MARET Consulting
  2. 2. "Le conseil et l'expertise pour le choix et la mise en oeuvre des technologies innovantes dans la sécurité des systèmes d'information et de l'identité numérique"
  3. 3. Agenda <ul><li>Identité numérique </li></ul><ul><li>Authentification forte </li></ul><ul><li>Pourquoi l’authentification forte? </li></ul><ul><li>Technologies </li></ul><ul><ul><li>OTP </li></ul></ul><ul><ul><li>PKI </li></ul></ul><ul><ul><li>Biométrie </li></ul></ul><ul><ul><li>Autres </li></ul></ul><ul><li>Les tendances 2009 </li></ul><ul><li>Démonstrations </li></ul>
  4. 4. Identité numérique ? Beaucoup de définitions
  5. 5. Un essai de définition…technique Avatar Bank Mail / Achats Social network Monde réel Monde virtuel Lien technologique entre une identité réelle et une identité virtuelle
  6. 6. Identité numérique sur Internet Identification
  7. 7. Identification et authentification ? <ul><li>Identification </li></ul><ul><ul><li>Qui êtes vous ? </li></ul></ul><ul><li>Authentification </li></ul><ul><ul><li>Prouvez le ! </li></ul></ul>
  8. 8. Facteurs pour l’authentification <ul><li>ce que l'entité connaî t (Mot de passe) </li></ul><ul><li>ce que l'entité détient (Authentifieur) </li></ul><ul><li>ce que l'entité est ou fait (Biométrie) </li></ul>
  9. 9. Définition de l’authentification forte
  10. 10. Authentification forte <ul><li>Une des clés de voûte de la sécurisation du système d’information </li></ul><ul><ul><ul><li>Conviction forte de MARET Consulting </li></ul></ul></ul>
  11. 11. Protection de votre système d’information Technologie authentification forte Protocoles d’authentification Données Identité numérique
  12. 12. Pyramide de l’authentification forte
  13. 13. Pourquoi l’authentification forte?
  14. 14. Keylogger: une réelle menace <ul><li>6191 keyloggers recensés en 2008 </li></ul><ul><ul><li>contre 3753 en 2007 (et environ 300 en 2000), </li></ul></ul><ul><ul><li>soit une progression de 65 % </li></ul></ul>
  15. 15. Phishing - Pharming <ul><li>Anti-Phishing Working Group recommande l’utilisation de </li></ul><ul><li>l’authentification forte </li></ul>http://www.antiphishing.org/Phishing-dhs-report.pdf
  16. 16. T-FA in an Internet Banking Environment <ul><li>12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive </li></ul><ul><ul><li>« Single Factor Authentication » n’est pas suffisant pour les applications Web financière </li></ul></ul><ul><ul><li>Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte </li></ul></ul><ul><ul><li>http://www.ffiec.gov/press/pr101205.htm </li></ul></ul><ul><ul><li>La France commence à suivre le mouvement </li></ul></ul><ul><ul><ul><li>Banque Populaire en 2009 </li></ul></ul></ul>
  17. 17. Liberty Alliance souhaite accélérer l'adoption de l'authentification forte <ul><li>8 novembre 2005: </li></ul><ul><li>Liberty Alliance Project forme un groupe d’expert pour l’authentification forte </li></ul><ul><ul><li>The Strong Authentication Expert Group (SAEG) </li></ul></ul><ul><ul><li>Publication dès 2006 </li></ul></ul><ul><ul><li>spécifications ID SAFE </li></ul></ul>
  18. 18. Les premières réactions… ! <ul><li>Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité </li></ul><ul><li>PCI-DSS accélère le mouvement </li></ul>
  19. 19. “ Superior” user authentication
  20. 20. Dans le monde grand public
  21. 21. Les technologies d’authentification forte <ul><li>Technologies en pleine mouvance </li></ul><ul><ul><li>Technologie grand public </li></ul></ul><ul><li>Technologies en pleine mouvances </li></ul><ul><ul><li>Technologie grand public </li></ul></ul><ul><ul><li>Technologie pour les entreprises </li></ul></ul><ul><li>Tour d’horizon des solutions en 2009 </li></ul><ul><ul><li>(Non exhaustif) </li></ul></ul>
  22. 22. http://www.openauthentication.org/
  23. 23. Modèle OATH
  24. 24. Client Framework « Device » Physique Token ou Authentifieur Technologies
  25. 25. Authentication Method <ul><li>Authentication Method: </li></ul><ul><ul><li>a function for authenticating users or devices, including </li></ul></ul><ul><ul><ul><li>One-Time Password (OTP) algorithms </li></ul></ul></ul><ul><ul><ul><li>public key certificates (PKI) </li></ul></ul></ul><ul><ul><ul><li>Biometry </li></ul></ul></ul><ul><ul><ul><li>and other methods </li></ul></ul></ul><ul><ul><ul><ul><li>SMS </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Scratch List </li></ul></ul></ul></ul><ul><ul><ul><ul><li>TAN </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Etc. </li></ul></ul></ul></ul>
  26. 26. Authentification Token: définition <ul><li>Composant Hardware ou Software </li></ul><ul><ul><li>« Authentifieur » </li></ul></ul><ul><li>Implémente la ou les méthode(s) d’authentification </li></ul><ul><li>Réalise le mécanisme d’authentification en toute sécurité </li></ul><ul><li>Fournit un stockage sécurisé des « credentials » d’authentification </li></ul>
  27. 27. Quel « Authentifieur » ?
  28. 28. One-Time Password (OTP) <ul><li>Mot de passe à usage unique </li></ul><ul><li>Basé sur le partage d’un secret </li></ul><ul><ul><li>Généralement utilisation d’une fonction de hachage </li></ul></ul><ul><li>Pour </li></ul><ul><ul><li>Très portable (pour le mode non connecté) </li></ul></ul><ul><li>Contre </li></ul><ul><ul><li>Pas de signature </li></ul></ul><ul><ul><li>Pas de chiffrement </li></ul></ul><ul><ul><li>Peu évolutif </li></ul></ul><ul><ul><li>Pas de non répudiation! </li></ul></ul>
  29. 29. « Authentifieur » OTP
  30. 30. Exemple: RSA SecurID
  31. 31. PKI: Certificat numérique (X509) <ul><li>Basé sur la possession de la clé secrète (RSA, etc.) </li></ul><ul><ul><li>Mécanisme de type « Challenge Response » </li></ul></ul><ul><li>Pour </li></ul><ul><ul><li>Offre plus de services: </li></ul></ul><ul><ul><ul><li>Authentification </li></ul></ul></ul><ul><ul><ul><li>Signature </li></ul></ul></ul><ul><ul><ul><li>Chiffrement – non répudiation </li></ul></ul></ul><ul><li>Contre </li></ul><ul><ul><li>Nécessite un moyen de transport sécurisé de la clé privée </li></ul></ul><ul><ul><li>Pas vraiment portable </li></ul></ul>
  32. 32. « Authentifieur » PKI
  33. 33. Le meilleur des deux mondes: Technologie hybride: OTP & PKI
  34. 34. Technologie SMS (OOB)
  35. 35. Etude de cas: Skyguide <ul><li>La sécurité alliée au login unique </li></ul><ul><ul><li>Firewall Web application </li></ul></ul><ul><ul><li>Web Single Sign On </li></ul></ul><ul><ul><li>Authentification forte via SMS </li></ul></ul>http:// www.slideshare.net/smaret/etude-cas-skyguide-rsa-mobile
  36. 36. OTP «  Bingo Card » 9 2 AnyUser ******
  37. 37. Les tendances 2009
  38. 38. Token USB multi fonction
  39. 39. Le monde des portables <ul><li>SIM-Based Authentication </li></ul><ul><ul><li>GemXplore 'Xpresso Java Card SIMs from Gemplus </li></ul></ul><ul><ul><li>OTA (Over-The-Air) technology </li></ul></ul>
  40. 40. Technologie OTA http://www.gemplus.com/techno/ota/resources/white_paper.html
  41. 41. Trusted Platform Module [TPM] <ul><ul><li>https://www.trustedcomputinggroup.org/home </li></ul></ul><ul><ul><li>Exemple: Authentification forte d’un portable avec technologie VPN SSL </li></ul></ul>
  42. 42. Multi Application Smart Card
  43. 43. Technologie Mifare <ul><li>Contactless technology that is owned by Philips Electronics </li></ul><ul><li>De Facto Standard </li></ul><ul><li>Convergence IT Security and Building Security </li></ul>
  44. 44. EMV - CAP <ul><li>Europay Mastercard Visa </li></ul><ul><li>Initiative de: </li></ul><ul><li>Master Card </li></ul><ul><li>Visa </li></ul><ul><li>Utilise la technologie CAP </li></ul><ul><li>Chip Authentication Protocol </li></ul><ul><li>Authentification forte et signature des transactions </li></ul>
  45. 45. Risk Based Authentication
  46. 46. Internet Passport: OTP & Biométrie
  47. 47. Démonstration: OpenID & Axsionics
  48. 48. OTP USB Yubico <ul><li>OTP event Based </li></ul><ul><li>Pas de driver </li></ul><ul><li>Très simple d’usage </li></ul><ul><li>Simule un clavier </li></ul>
  49. 49. Démonstration: Yubico
  50. 50. La biométrie <ul><li>Système « ancien » </li></ul><ul><ul><li>1930 - carte d’identité avec photo </li></ul></ul><ul><ul><li>Reconnaissance de la voix </li></ul></ul><ul><ul><li>Etc. </li></ul></ul><ul><li>Deux familles : </li></ul><ul><ul><li>Mesure des traits physiques uniques </li></ul></ul><ul><ul><li>Mesure d’un comportement unique </li></ul></ul><ul><li>Composé de bio- (du grec bios - «la vie») et de - métrie (du grec metron - «mesure») </li></ul>
  51. 51. Définition d’une identité numérique ? Future of Identity in the Information Society Lien technologique entre une identité réelle et une identité virtuelle
  52. 52. Le marché de la biométrie
  53. 53. Mesure des traits physiques <ul><li>Empreintes digitales </li></ul><ul><li>Géométrie de la main </li></ul><ul><li>Les yeux </li></ul><ul><ul><li>Iris </li></ul></ul><ul><ul><li>Rétine </li></ul></ul><ul><li>Reconnaissance du visage </li></ul><ul><li>Réseau veineux de la main ou du doigt </li></ul><ul><li>Nouvelles voies </li></ul><ul><ul><li>ADN, odeurs, oreille et « thermogram » </li></ul></ul>
  54. 54. Mesure d’un comportement <ul><li>Reconnaissance vocale </li></ul><ul><li>Signature manuscrite </li></ul><ul><li>Démarche </li></ul><ul><li>Dynamique de frappe </li></ul><ul><ul><li>Clavier </li></ul></ul>
  55. 55. Une technologie très prometteuse Vascular Pattern Recognition By SONY
  56. 56. Confort vs fiabilité
  57. 57. Fonctionnement en trois phases
  58. 58. Stockage des données ? <ul><li>Par serveur d’authentification </li></ul><ul><ul><li>Problème de sécurité </li></ul></ul><ul><ul><li>Problème de confidentialité </li></ul></ul><ul><ul><li>Problème de disponibilité </li></ul></ul><ul><li>Sur un support externe </li></ul><ul><ul><li>Meilleure sécurité </li></ul></ul><ul><ul><li>Mode « offline » </li></ul></ul><ul><ul><li>MOC = Match On card </li></ul></ul>Loi fédérale du 19 juin 1992 sur la protection des données (LPD)
  59. 59. Equal Error Rate (EER)
  60. 60. Biométrie en terme de sécurité? <ul><li>Solution Biométrique uniquement ? </li></ul><ul><ul><li>Confort à l’utilisation </li></ul></ul><ul><ul><li>N’est pas un plus en terme de sécurité (en 2009) </li></ul></ul><ul><li>Doit être couplé à un 2ème facteurs </li></ul><ul><ul><li>Carte à puce par exemple </li></ul></ul>
  61. 61. Démonstration: Signature d’un email
  62. 62. Matsumoto's « Gummy Fingers » Etude Yokohama University http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf
  63. 63. Questions ?
  64. 64. Quelques liens <ul><li>http://www.idtheftcenter.org/ </li></ul><ul><li>http://www.antiphishing.org/ </li></ul><ul><li>http://sylvain-maret.blogspot.com/ </li></ul><ul><li>http://fr.wikipedia.org/wiki/Authentification_forte </li></ul><ul><li>http://www.openauthentication.org/ </li></ul><ul><li>http://www.fidis.net/ </li></ul><ul><li>http://idtheftblog.wordpress.com/ </li></ul><ul><li>http://www.regardingid.com/ </li></ul>
  65. 65. Identité numérique

×