Sylvain Maret / Security Architect @ MARET Consulting10 novembre 2009Protection des données avec la biométrie Match-on-CardMARET Consulting 2009

Agenda du Webcast « StrongAuthenticationSummit »Identité numérique et authentification forteAuthentification forte ?Technologie d’authentification forteBiométrie et Match on CardCertificat numérique / PKIApplications pour la technologie Match on CardIllustration avec un projet dans le monde bancaireTendances

Qui suis-je ?Architecte Sécurité15 ans d’expérience en Sécurité des Systèmes d’InformationCEO et Founder MARET ConsultingExpert école ingénieur Yverdon & Université de GenèveSwiss French Area delegate at OpenID SwitzerlandAuteur Blog: la Citadelle ElectroniqueDomaine de prédilectionDigital Identity Security

Protection de l’identité numérique: un sujet d’actualité ….Identification

Pourquoi l’authentification forte ?Keylogger (hard and Soft)MalwareMan in the MiddleBrowser in the MidlePassword SnifferSocial EngineeringPhishing / PharmingLe nombre de vol d’identités explose !

Un événement majeur dans le monde de l’authentification forte12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive« Single Factor Authentication » n’est pas suffisant pour les applications Web financièreAvant la fin 2006 il est obligatoire de mettre en place un système d’authentification fortehttp://www.ffiec.gov/press/pr101205.htmEt la norme PCI DSSAuthentification forte obligatoire pour les accès distantsEt maintenant des régulations EuropéennesServices de Paiement (2007/64/CE) pour les banques.

Identification et authentification ?IdentificationQui êtes vous ?AuthentificationProuvez le !

Définition authentification forteAuthentification Forte sur Wikipédia

Pascal Thoniel NTX Research: « L'identité numérique est la pierre angulaire de la confiance »Plus d’information sur le sujet

Biométrie etMatch on Card

Quelle technologie d’authentification forte ?

** Biométrie type Fingerprinting

Une technologie en pleine mouvanceEntrepriseseBankingVPNWeb ApplicationsMobilitéGEDProjet PIV FIPS-201SAMLGrand publicRéseaux sociauxGoogle docsetc.

Quelle technologie biométrique pour l’IT ?

Biométrie= Authentification forte ?La réponse est clairement nonNécessite un deuxième facteurProblème de sécurité (usurpation)Uniquement un confort à l’utilisateurPlus d’information l’usurpationEtude Yokohama University

Technologie Match on Card: votre PIN Code est votre doigt

Exemple de technologie Match on Card pour l’ITUn lecteurBiométrieSmartCardUne carte à puceTechnologie MOCCrypto processeurPC/SCPKCS#11Certificat numérique X509

Stockage des données ? Sur un support externeMeilleure sécuritéMode « offline »MOC = Match On card Par serveur d’authentificationProblème de sécuritéProblème de confidentialitéProblème de disponibilitéLoi fédérale du 19 juin 1992 sur la protection des données (LPD)

Exemple d’utilisation de la technologie Match on CardSmart Card Logon de MicrosoftPK-InitApplications Web très sensiblesGEDeBankingChiffrement des donnéesLaptopChiffrement des shareSolution Web SSOSAMLCitrixRemoteaccesVPN SSLVPN IPSECEtc.

Sécurité mobilité avec la technologie MOCAuthentification forte biométrique Lecteur de type « swipe »ApplicationsSmart Card LogonVPN (SSL, IPSEC)CitrixCertificat X509 machineUtilisation TPMAuthentification de la machinePre Boot AuthenticationFull DiskEncryption

Authentification d’un utilisateur avec PKINIT (Smart Card Logon)Schéma de Philippe Logeane-XpertSolutions SA

Retour d’expérience dans le mondebancaire

Le projet de gestion électronique des documentsMise en place d’une solution de GEDAccès à des informations très sensiblesClassification de l’information: SecretChiffrement des donnéesContrôle des accèsProjet pour une banque privéeDébut du projet: 2005Population concernée500 personnes (Phase I)A termes: 3000 personnes (Phase II)

(Classification Data: Secret)Mise en place d’une technologie permettant d’identifier de façon forte – via un mécanisme de preuve irréfutable – les utilisateurs accédant au système d’information de la banqueQui accède à quoi, quand et comment !

Les contraintes techniques du projet d’authentification forteObligatoiresIntégration avec les applications existantesWebMicrosoft Smart Card LogonLaptopSéparation des rôlesQuatre yeuxSignature numériqueAuditing, PreuveGestion des preuvessouhaitéesIntégration avec sécurité des bâtimentsChiffrement des donnéesPostes nomadesApplications futuresRéseau et systèmesAuthentification forte

Gestion des accèsGestion des identitésLien: cnPHASE 1AuthentificationfortePHASE 2AutorisationConcept de base: un lien unique

Composants de l’architecture techniqueMise en place d’une PKI « intra muros »Non Microsoft (Séparation des pouvoirs)Mise en place de la révocation OnlineProtocole OCSPUtilisation d’un Hardware Security ModuleSécurisation de l’architecture PKIOS « Hardening »Firewall interneIDS

Concept pour la sécurisation de l’application GED

La mire d’authentification biométrique

ProcessusHumainProcessus Humain

Le maillon faible ? Plus important que la technique…Définition des rôlesTâches et responsabilitésObjectif: séparation des pouvoirsQuatre yeuxMise en place des processus pour la gestion des identitésMise en place des procédures d’exploitation

Mise en place des processusProcessus pour le team gestion des identitésEnrôlement des utilisateursRévocationGestion des incidentsPerte, vol, oublie de la carteRenouvellementProcessus pour le Help DeskProcessus pour les AuditeursProcessus pour le RSSIEt les procédures d’exploitation !

Le résultatUne série de documents pour la banqueProcédures d’exploitationDescription des processusCharte d’utilisationDéfinition des rôles et responsabilitésCP /CPS pour la PKI « in house »

Formation

Un élément très important !Formation du team gestion des identitésFormation des utilisateursFormation Help DeskFormation aux technologiesPKIBiométrie

Retourd’expérience ?

Conclusion du projetLa technique est un aspect mineur pour la réussite d’un projet de cette ampleurNe pas sous estimer la partie organisationnelleCP / CPS pour la PKIProcessus de gestionDemander un appuis de la directionLa Biométrie est une technologie matureTechnologie PKIOffre un noyau de sécurité pour le futurChiffrement, signatureInformation Rights ManagementSécurité de la donnéeUn pas vers la convergenceSécurité physique et logique

Tendance Biométrie Match on CardLe projet PIV Fips-201 est un moteur !ConvergenceSécurité physique et Sécurité logiqueCapteur Biométrique pour les portablesUPEK (Solution FIPS-201)Nouvelles technologies biométriqueFull DiskEncryption (Laptop)Support de la technologie Match on CardMcAfee EndpointEncryption™ (formerlySafeBoot® Encryption)Win MagicSecureDocDiskEncryption

Une technologie très prometteuse: Vascular Pattern Recognition By SONY

A quand la convergence ?Une convergence difficile ! Sécurité physique et sécurité logique

Merci pour votre présence sur ce WebcastPour plus d’informationsylvain@maret-consulting.chhttp://www.maret-consulting.chVos feedback sont les bienvenuesMerci à Bright Talk de m’avoir invitéPlus particulièrement à Sophie Lam / Marketing Program Manager EMEA

Quelques liens pour aller approfondir le sujetMARET Consultinghttp://maret-consulting.ch/La Citadelle Electronique (le blog sur les identités numériques)http://www.citadelle-electronique.net/Article banque et finance: Usurper une identité? Impossible avec la biométrie!http://www.banque-finance.ch/numeros/88/59.pdfBiométrie et Mobilitéhttp://www.banque-finance.ch/numeros/97/62.pdfPrésentation publicOSSIR Paris 2009: Retour d'expérience sur le déploiement de biométrie à grande échellehttp://www.ossir.org/paris/supports/2009/2009-10-13/Sylvain_Maret_Biometrie.pdfISACA, Clusis: Accès à l’information : Rôles et responsabilitéshttp://blog.b3b.ch/wp-content/uploads/mise-en-oeuvre-de28099une-solution-biometrique-de28099authentification-forte.pdf

"Le conseil et l'expertise pour le choix et la miseen oeuvre des technologies innovantesdans la sécuritédes systèmesd'information et de l'identiténumérique"