Biométrie & Protection des données en entreprise 22 mai 2008 e-Xpert Solutions S.A.

“ L’art de fortifier ne consiste pas dans des règles et des systèmes mais uniquement dans le bon sens et l’expérience ” Sebastien le Prestre de Vauban Ingénieur Architecte 1633-1707

Biométrie dans un environnement Microsoft Philippe Logean / Sylvain Maret e-Xpert Solutions SA

Pourquoi mettre en œuvre la biométrie avec Microsoft ? Intégration de PKINIT et de l’utilisation des certificats numérique couplée à la biométrique Bref rappel sur le protocole Kerberos Crack d’un mot de passe Kerberos Protocole PKINIT (Smart Card Logon) Validation Online d’une identité numérique Protocole OCSP

Intégration de PKINIT et de l’utilisation des certificats numérique couplée à la biométrique

Bref rappel sur le protocole Kerberos

Crack d’un mot de passe Kerberos

Protocole PKINIT (Smart Card Logon)

Validation Online d’une identité numérique

Protocole OCSP

Authentification d’un utilisateur avec Kerberos

Principe de l’attaque avec ARP Spoofing Réseau « switché » KDC Client Microsoft Attaque ARP Attaque ARP Kerberos Kerberos Routage Renifleur

Démonstration: Crack d’un mot de passe Microsoft Kerberos

Exemple d’architecture avec RSA Security

Authentification d’un utilisateur avec PKINIT

Authentification d’un utilisateur avec PKINIT (suite) 1. Saisie des empreintes dans Winlogon lors de l’insertion de la carte à puce dans le lecteur . Transmis au SSP Kerberos 2. Appel au driver d’ Athena . Envoi des minutie biométrique pour accéder aux données contenues dans la carte à puce 3. Récupération du certificat utilisateur par le SSP 4. Génération, par le SSP, d’un authentifieur contenant un Timestamp . Transmis au CSP 5. Signature de l’authentifieur par le CSP (réalisé dans la carte à puce)

1. Saisie des empreintes dans Winlogon lors de l’insertion de la carte à puce dans le lecteur . Transmis au SSP Kerberos

2. Appel au driver d’ Athena . Envoi des minutie biométrique pour accéder aux données contenues dans la carte à puce

3. Récupération du certificat utilisateur par le SSP

4. Génération, par le SSP, d’un authentifieur contenant un Timestamp . Transmis au CSP

5. Signature de l’authentifieur par le CSP (réalisé dans la carte à puce)

Authentification d’un utilisateur avec PKINIT (suite) 6. Signature retournée au SSP 7. Requête AS ( Authentication Service ) au KDC pour obtenir le TGT. Contient : certificat, authentifieur et signature 8. Vérification de la validité du certificat ( Certification Path , CRL, trust CA). Vérification de la signature. Recherche des informations de l’utilisateur (user@domain) 9. Récupération des informations utilisateur (user SID ( Security Identifier ), group SID) pour construire le TGT 10. Réponse AS contenant le TGT. Chiffré avec la clé publique du client et signée par le KDC [ ( ( TGT )TGS_key + C-T_key + KCA_Cert )Rdm_key + ( Rdm_key )U_pub_key ]Sign_KCA_priv_key

6. Signature retournée au SSP

7. Requête AS ( Authentication Service ) au KDC pour obtenir le TGT. Contient : certificat, authentifieur et signature

8. Vérification de la validité du certificat ( Certification Path , CRL, trust CA). Vérification de la signature. Recherche des informations de l’utilisateur (user@domain)

9. Récupération des informations utilisateur (user SID ( Security Identifier ), group SID) pour construire le TGT

10. Réponse AS contenant le TGT. Chiffré avec la clé publique du client et signée par le KDC

[ ( ( TGT )TGS_key + C-T_key + KCA_Cert )Rdm_key + ( Rdm_key )U_pub_key ]Sign_KCA_priv_key

Démonstration: Microsoft Smart Card Logon (PKINIT)

Validation online d’une identité numérique (OCSP) KDC / AD Microsoft RSA® Validation Manager OCSP request Valide Pas valide Inconnu Client OCSP

Démonstration OCSP

e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et maintiennent au quotidien des architectures de sécurité au moyen de solutions pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux exigences de la clientèle. Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la confiance d'une clientèle issue de tout domaine d'activité et de toute taille. Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un contact de proximité.