Protection Des Données avec la Biométrie Match On Card

Sylvain Maret / Security Architect @ MARET Consulting
10 novembre 2009
Protection des données avec la biométrie Match-on-Card
MARET Consulting 2009

Agenda du Webcast « StrongAuthenticationSummit »
Identité numérique et authentification forte
Authentification forte ?
Technologie d’authentification forte
Biométrie et Match on Card
Certificat numérique / PKI
Applications pour la technologie Match on Card
Illustration avec un projet dans le monde bancaire
Tendances

Qui suis-je ?
Architecte Sécurité
15 ans d’expérience en Sécurité des Systèmes d’Information
CEO et Founder MARET Consulting
Expert école ingénieur Yverdon & Université de Genève
Swiss French Area delegate at OpenID Switzerland
Auteur Blog: la Citadelle Electronique
Domaine de prédilection
Digital Identity Security

Protection de l’identité numérique: un sujet d’actualité ….
Identification

Pourquoi l’authentification forte ?
Keylogger (hard and Soft)
Malware
Man in the Middle
Browser in the Midle
Password Sniffer
Social Engineering
Phishing / Pharming
Le nombre de vol d’identités explose !

Un événement majeur dans le monde de l’authentification forte
12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive
« Single Factor Authentication » n’est pas suffisant pour les applications Web financière
Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte
http://www.ffiec.gov/press/pr101205.htm
Et la norme PCI DSS
Authentification forte obligatoire pour les accès distants
Et maintenant des régulations Européennes
Services de Paiement (2007/64/CE) pour les banques.

Identification et authentification ?
Identification
Qui êtes vous ?
Authentification
Prouvez le !

Définition authentification forte
Authentification Forte sur Wikipédia

Pascal Thoniel NTX Research: « L'identité numérique est la pierre angulaire de la confiance »
Plus d’information sur le sujet

Biométrie etMatch on Card

Quelle technologie d’authentification forte ?

*
* Biométrie type Fingerprinting

Une technologie en pleine mouvance
Entreprises
eBanking
VPN
Web Applications
Mobilité
GED
Projet PIV FIPS-201
SAML
Grand public
Réseaux sociaux
Google docs
etc.

Quelle technologie biométrique pour l’IT ?

Biométrie= Authentification forte ?
La réponse est clairement non
Nécessite un deuxième facteur
Problème de sécurité (usurpation)
Uniquement un confort à l’utilisateur
Plus d’information l’usurpation
Etude Yokohama University

Technologie Match on Card: votre PIN Code est votre doigt

Exemple de technologie Match on Card pour l’IT
Un lecteur
Biométrie
SmartCard
Une carte à puce
Technologie MOC
Crypto processeur
PC/SC
PKCS#11
Certificat numérique X509

Stockage des données ?
Sur un support externe
Meilleure sécurité
Mode « offline »
MOC = Match On card
Par serveur d’authentification
Problème de sécurité
Problème de confidentialité
Problème de disponibilité
Loi fédérale du 19 juin 1992
sur la
protection des données (LPD)

Exemple d’utilisation de la technologie Match on Card
Smart Card Logon de Microsoft
PK-Init
Applications Web très sensibles
GED
eBanking
Chiffrement des données
Laptop
Chiffrement des share
Solution Web SSO
SAML
Citrix
Remoteacces
VPN SSL
VPN IPSEC
Etc.

Sécurité mobilité avec la technologie MOC
Authentification forte biométrique
Lecteur de type « swipe »
Applications
Smart Card Logon
VPN (SSL, IPSEC)
Citrix
Certificat X509 machine
Utilisation TPM
Authentification de la machine
Pre Boot Authentication
Full DiskEncryption

Authentification d’un utilisateur avec PKINIT (Smart Card Logon)
Schéma de Philippe Logean
e-XpertSolutions SA

Retour d’expérience
dans le monde
bancaire

Le projet de gestion électronique des documents
Mise en place d’une solution de GED
Accès à des informations très sensibles
Classification de l’information: Secret
Contrôle des accès
Projet pour une banque privée
Début du projet: 2005
Population concernée
500 personnes (Phase I)
A termes: 3000 personnes (Phase II)

(Classification Data: Secret)
Mise en place d’une technologie permettant d’identifier de façon forte
– via un mécanisme de preuve irréfutable –
les utilisateurs accédant au système d’information de la banque
Qui accède à quoi, quand et comment !

Les contraintes techniques du projet d’authentification forte
Obligatoires
Intégration avec les applications existantes
Web
Microsoft Smart Card Logon
Laptop
Séparation des rôles
Quatre yeux
Signature numérique
Auditing, Preuve
Gestion des preuves
souhaitées
Intégration avec sécurité des bâtiments
Postes nomades
Applications futures
Réseau et systèmes
Authentification forte

Gestion des accès
Gestion des identités
Lien: cn
PHASE 1
Authentification
forte
PHASE 2
Autorisation
Concept de base: un lien unique

Composants de l’architecture technique
Mise en place d’une PKI « intra muros »
Non Microsoft (Séparation des pouvoirs)
Mise en place de la révocation Online
Protocole OCSP
Utilisation d’un Hardware Security Module
Sécurisation de l’architecture PKI
OS « Hardening »
Firewall interne
IDS

Concept pour la sécurisation de l’application GED

La mire d’authentification biométrique

Processus
Humain
Processus Humain

Le maillon faible ? Plus important que la technique…
Définition des rôles
Tâches et responsabilités
Objectif: séparation des pouvoirs
Quatre yeux
Mise en place des processus pour la gestion des identités
Mise en place des procédures d’exploitation

Mise en place des processus
Processus pour le team gestion des identités
Enrôlement des utilisateurs
Révocation
Gestion des incidents
Perte, vol, oublie de la carte
Renouvellement
Processus pour le Help Desk
Processus pour les Auditeurs
Processus pour le RSSI
Et les procédures d’exploitation !

Le résultat
Une série de documents pour la banque
Procédures d’exploitation
Description des processus
Charte d’utilisation
Définition des rôles et responsabilités
CP /CPS pour la PKI « in house »

Formation

Un élément très important !
Formation du team gestion des identités
Formation des utilisateurs
Formation Help Desk
Formation aux technologies
PKI
Biométrie

Retour
d’expérience ?

Conclusion du projet
La technique est un aspect mineur pour la réussite d’un projet de cette ampleur
Ne pas sous estimer la partie organisationnelle
CP / CPS pour la PKI
Processus de gestion
Demander un appuis de la direction
La Biométrie est une technologie mature
Technologie PKI
Offre un noyau de sécurité pour le futur
Chiffrement, signature
Information Rights Management
Sécurité de la donnée
Un pas vers la convergence
Sécurité physique et logique

Tendance Biométrie Match on Card
Le projet PIV Fips-201 est un moteur !
Convergence
Sécurité physique et Sécurité logique
Capteur Biométrique pour les portables
UPEK (Solution FIPS-201)
Nouvelles technologies biométrique
Full DiskEncryption (Laptop)
Support de la technologie Match on Card
McAfee EndpointEncryption™ (formerlySafeBoot® Encryption)
Win MagicSecureDocDiskEncryption

Une technologie très prometteuse: Vascular Pattern Recognition
By SONY

A quand la convergence ?
Une convergence difficile ! Sécurité physique et sécurité logique

Merci pour votre présence sur ce Webcast
Pour plus d’information
sylvain@maret-consulting.ch
http://www.maret-consulting.ch
Vos feedback sont les bienvenues
Merci à Bright Talk de m’avoir invité
Plus particulièrement à Sophie Lam / Marketing Program Manager EMEA

Quelques liens pour aller approfondir le sujet
MARET Consulting
http://maret-consulting.ch/
La Citadelle Electronique (le blog sur les identités numériques)
http://www.citadelle-electronique.net/
Article banque et finance:
Usurper une identité? Impossible avec la biométrie!
http://www.banque-finance.ch/numeros/88/59.pdf
Biométrie et Mobilité
http://www.banque-finance.ch/numeros/97/62.pdf
Présentation public
OSSIR Paris 2009: Retour d'expérience sur le déploiement de biométrie à grande échelle
http://www.ossir.org/paris/supports/2009/2009-10-13/Sylvain_Maret_Biometrie.pdf
ISACA, Clusis: Accès à l’information : Rôles et responsabilités
http://blog.b3b.ch/wp-content/uploads/mise-en-oeuvre-de28099une-solution-biometrique-de28099authentification-forte.pdf

"Le conseil et l'expertise pour le choix et la mise
en oeuvre des technologies innovantesdans la sécurité
des systèmesd'information et de l'identiténumérique"

Protection Des Données avec la Biométrie Match On Card

by Sylvain Maret on Nov 11, 2009

Accessibility

Categories

Tags

Upload Details

Usage Rights

2 Embeds 22

Statistics

Protection Des Données avec la Biométrie Match On Card — Presentation Transcript

https://beeware.bluekiwi.net	11
http://www.slideshare.net	11