Post on 12-Nov-2014
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch
Identité numériqueIdentité numériqueIdentité numériqueIdentité numérique&&&&
AUTHENTIFICATION AUTHENTIFICATION AUTHENTIFICATION AUTHENTIFICATION FORTEFORTEFORTEFORTE
Conseil en technologies
AUTHENTIFICATION AUTHENTIFICATION AUTHENTIFICATION AUTHENTIFICATION FORTEFORTEFORTEFORTE
25 février 2009
Sylvain Maret / MARET Consulting
Conseil en technologieswww.maret-consulting.ch
"Le conseil et l'expertise pour le choix et la mise
en oeuvre des technologies innovantes dans la sécurité
des systèmes d'information et de l'identité numérique"
Agenda
� Identité numérique� Authentification forte
Pourquoi l’authentification forte?
Conseil en technologieswww.maret-consulting.ch
� Pourquoi l’authentification forte?� Technologies
� OTP� PKI� Biométrie� Autres
� Les tendances 2009� Démonstrations
Identité numérique ?
Beaucoup de définitions
Conseil en technologieswww.maret-consulting.ch
Un essai de définition…technique
Avatar
Bank
Mail / Achats
Social networkMonde virtuel
Conseil en technologieswww.maret-consulting.ch
Monde réel
Lien technologique entre une identité réelle et une identité virtuelle
Identité numérique sur Internet
Conseil en technologieswww.maret-consulting.ch
Identification
Identification et authentification ?
� Identification� Qui êtes vous ?
Conseil en technologieswww.maret-consulting.ch
� Authentification� Prouvez le !
Facteurs pour l’authentification
� ce que l'entité connaîconnaîconnaîconnaît (Mot de passe)
Conseil en technologieswww.maret-consulting.ch
� ce que l'entité détientdétientdétientdétient (Authentifieur)
� ce que l'entité est ou fait est ou fait est ou fait est ou fait (Biométrie)
Définition de l’authentification forte
Conseil en technologieswww.maret-consulting.ch
Authentification forte
Conseil en technologieswww.maret-consulting.ch
Une des clés de voûte de la sécurisation du système d’information
Conviction forte de MARET Consulting
Protection de votre système d’information
Données
Conseil en technologieswww.maret-consulting.ch
Technologie authentification forte
Protocoles d’authentification
Identité
numérique
Pyramide de l’authentification forte
Conseil en technologieswww.maret-consulting.ch
Pourquoi l’authentification forte?
Conseil en technologieswww.maret-consulting.ch
Keylogger: une réelle menace
� 6191 keyloggers recensés en 2008� contre 3753 en 2007 (et environ 300 en 2000),
soit une progression de 65 %
Conseil en technologieswww.maret-consulting.ch
soit une progression de 65 %
Phishing - Pharming
� Anti-Phishing Working Group recommande l’utilisation de
� l’authentification forte
Conseil en technologieswww.maret-consulting.ch
http://www.antiphishing.org/Phishing-dhs-report.pdf
T-FA in an Internet Banking Environment
� 12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive
« Single Factor Authentication » n’est pas suffisant pour les
Conseil en technologieswww.maret-consulting.ch
� « Single Factor Authentication » n’est pas suffisant pour les applications Web financière
� Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte
� http://www.ffiec.gov/press/pr101205.htm
� La France commence à suivre le mouvement� Banque Populaire en 2009
Liberty Alliance souhaite accélérer l'adoption de l'authentification forte
� 8 novembre 2005:
� Liberty Alliance Project forme un groupe d’expert pour l’authentification forte
Conseil en technologieswww.maret-consulting.ch
l’authentification forte
� The Strong Authentication Expert Group (SAEG)
� Publication dès 2006
� spécifications ID SAFE
Les premières réactions… !
� Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité
Conseil en technologieswww.maret-consulting.ch
une composante de base de la sécurité
� PCI-DSS accélère le mouvement
“Superior” user authentication
Conseil en technologieswww.maret-consulting.ch
Dans le monde grand public
Conseil en technologieswww.maret-consulting.ch
Les technologies d’authentification forte
� Technologies en pleine mouvance
Technologie grand public
Conseil en technologieswww.maret-consulting.ch
� Technologie grand public
� Technologies en pleine mouvances
� Technologie grand public� Technologie pour les entreprises
� Tour d’horizon des solutions en 2009� (Non exhaustif)
http://www.openauthentication.org/
Conseil en technologieswww.maret-consulting.ch
Modèle OATH
Conseil en technologieswww.maret-consulting.ch
Client Framework « Device » Physique
Token ou AuthentifieurTechnologies
Conseil en technologieswww.maret-consulting.ch
Authentication Method
� Authentication Method:
� a function for authenticating users or devices, including
Conseil en technologieswww.maret-consulting.ch
� One-Time Password (OTP) algorithms
� public key certificates (PKI)
� Biometry
� and other methods� SMS� Scratch List� TAN� Etc.
Authentification Token: définition
� Composant Hardware ou Software� « Authentifieur »
Conseil en technologieswww.maret-consulting.ch
� Implémente la ou les méthode(s) d’authentification
� Réalise le mécanisme d’authentification en toute sécurité
� Fournit un stockage sécurisé des « credentials » d’authentification
Quel « Authentifieur » ?
Conseil en technologieswww.maret-consulting.ch
One-Time Password (OTP)
� Mot de passe à usage unique� Basé sur le partage d’un secret
� Généralement utilisation d’une fonction de hachage
Conseil en technologieswww.maret-consulting.ch
� Pour� Très portable (pour le mode non connecté)
� Contre� Pas de signature� Pas de chiffrement� Peu évolutif� Pas de non répudiation!non répudiation!non répudiation!non répudiation!
« Authentifieur » OTP
Conseil en technologieswww.maret-consulting.ch
Exemple: RSA SecurID
Conseil en technologieswww.maret-consulting.ch
PKI: Certificat numérique (X509)
� Basé sur la possession de la clé secrète (RSA, etc.)� Mécanisme de type « Challenge Response »
Pour
Conseil en technologieswww.maret-consulting.ch
� Pour� Offre plus de services:
� Authentification� Signature� Chiffrement – non répudiationnon répudiationnon répudiationnon répudiation
� Contre� Nécessite un moyen de transport sécurisé de la clé privéede la clé privéede la clé privéede la clé privée� Pas vraiment portable
« Authentifieur » PKI
Conseil en technologieswww.maret-consulting.ch
Le meilleur des deux mondes:
Conseil en technologieswww.maret-consulting.ch
Technologie hybride: OTP & PKI
Technologie SMS (OOB)
Conseil en technologieswww.maret-consulting.ch
Etude de cas: Skyguide
�La sécurité alliée au login unique
Conseil en technologieswww.maret-consulting.ch
�La sécurité alliée au login unique
� Firewall Web application
� Web Single Sign On
� Authentification forte via SMS
http://www.slideshare.net/smaret/etude-cas-skyguide-rsa-mobile
OTP « Bingo Card »
AnyUser
******
Conseil en technologieswww.maret-consulting.ch
9 2
Les tendances 2009
Conseil en technologieswww.maret-consulting.ch
Token USB multi fonction
Conseil en technologieswww.maret-consulting.ch
Le monde des portables
� SIM-Based Authentication
� GemXplore 'Xpresso Java Card SIMs from Gemplus
Conseil en technologieswww.maret-consulting.ch
� GemXplore 'Xpresso Java Card SIMs from Gemplus
� OTA (Over-The-Air) technology
Technologie OTA
Conseil en technologieswww.maret-consulting.ch
http://www.gemplus.com/techno/ota/resources/white_paper.html
Trusted Platform Module [TPM]
Conseil en technologieswww.maret-consulting.ch
https://www.trustedcomputinggroup.org/home
Exemple: Authentification forte d’un portable avec technologie VPN SSL
Multi Application Smart Card
Conseil en technologieswww.maret-consulting.ch
Technologie Mifare
�Contactless technology that is owned by Philips Electronics
Conseil en technologieswww.maret-consulting.ch
�De Facto Standard
�Convergence IT Security and Building Security
EMV - CAP
� Europay Mastercard Visa
� Initiative de:
� Master Card
Conseil en technologieswww.maret-consulting.ch
� Master Card
� Visa
� Utilise la technologie CAP
� Chip Authentication Protocol
� Authentification forte et signature des transactions
Risk Based Authentication
Conseil en technologieswww.maret-consulting.ch
Internet Passport: OTP & Biométrie
Conseil en technologieswww.maret-consulting.ch
Démonstration: OpenID & Axsionics
Conseil en technologieswww.maret-consulting.ch
OTP USB Yubico
� OTP event Based
� Pas de driver
Conseil en technologieswww.maret-consulting.ch
� Très simple d’usage
� Simule un clavier
Démonstration: Yubico
Conseil en technologieswww.maret-consulting.ch
La biométrie
� Système « ancien »� 1930 - carte d’identité avec photo
� Reconnaissance de la voix
Conseil en technologieswww.maret-consulting.ch
� Reconnaissance de la voix
� Etc.
� Deux familles :� Mesure des traits physiques uniques
� Mesure d’un comportement unique
� Composé de bio- (du grec bios - «la vie») et de - métrie(du grec metron - «mesure»)
Définition d’une identité numérique ?
Lien technologique entre une identité réelle et une identité virtuelle
Conseil en technologieswww.maret-consulting.ch Future of Identity in the Information Society
Le marché de la biométrie
Conseil en technologieswww.maret-consulting.ch
Mesure des traits physiques
� Empreintes digitales
� Géométrie de la main
� Les yeux
Conseil en technologieswww.maret-consulting.ch
� Les yeux� Iris
� Rétine
� Reconnaissance du visage
� Réseau veineux de la main ou du doigt
� Nouvelles voies� ADN, odeurs, oreille et « thermogram »
Mesure d’un comportement
� Reconnaissance vocale
� Signature manuscrite
� Démarche
Conseil en technologieswww.maret-consulting.ch
� Démarche
� Dynamique de frappe� Clavier
Une technologie très prometteuse
Vascular Pattern Recognition
Conseil en technologieswww.maret-consulting.ch
By SONY
Confort vs fiabilité
Conseil en technologieswww.maret-consulting.ch
Fonctionnement en trois phases
Conseil en technologieswww.maret-consulting.ch
Stockage des données ?
Conseil en technologieswww.maret-consulting.ch
�Par serveur d’authentification� Problème de sécurité
� Problème de confidentialité
� Problème de disponibilité
�Sur un support externe� Meilleure sécurité
� Mode « offline »
� MOC = Match On card
Loi fédérale du 19 juin 1992 sur la protection des données (LPD)
Equal Error Rate (EER)
Conseil en technologieswww.maret-consulting.ch
Biométrie en terme de sécurité?
� Solution Biométrique uniquement ?� Confort à l’utilisation
Conseil en technologieswww.maret-consulting.ch
� Confort à l’utilisation
� N’est pas un plus en terme de sécurité (en 2009)
� Doit être couplé à un 2ème facteurs� Carte à puce par exemple
Démonstration: Signature d’un email
Conseil en technologieswww.maret-consulting.ch
Matsumoto's « Gummy Fingers »
Conseil en technologieswww.maret-consulting.ch
Etude Yokohama University
http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf
Questions ?
Conseil en technologieswww.maret-consulting.ch
Quelques liens
� http://www.idtheftcenter.org/
� http://www.antiphishing.org/
� http://sylvain-maret.blogspot.com/
Conseil en technologieswww.maret-consulting.ch
� http://sylvain-maret.blogspot.com/
� http://fr.wikipedia.org/wiki/Authentification_forte
� http://www.openauthentication.org/
� http://www.fidis.net/
� http://idtheftblog.wordpress.com/
� http://www.regardingid.com/
Identité numérique
Conseil en technologieswww.maret-consulting.ch