Page 1
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch
Conseil en technologies
Id e n t it é n u m é r iq u e&
AU TH EN TIF IC ATIO N FO R TE
25 février 2009Sylvain Maret / MARET Consulting
Page 2
Conseil en technologieswww.maret-consulting.ch
"Le conseil et l'expertise pour le choix et la mise
en oeuvre des technologies innovantes dans la sécurité
des systèmes d'information et de l'identité numérique"
Page 3
Conseil en technologieswww.maret-consulting.ch
Agenda
Identité numérique Authentification forte Pourquoi l’authentification forte? Technologies
OTP PKI Biométrie Autres
Les tendances 2009 Démonstrations
Page 4
Conseil en technologieswww.maret-consulting.ch
Identité numérique ?
Beaucoup de définitions
Page 5
Conseil en technologieswww.maret-consulting.ch
Un essai de définition…technique
Avatar
Bank
Mail / Achats
Social network
Monde réel
Monde virtuel
Lien technologique entre une identité réelle et une identité virtuelle
Page 6
Conseil en technologieswww.maret-consulting.ch
Identité numérique sur Internet
Identification
Page 7
Conseil en technologieswww.maret-consulting.ch
Identification et authentification ?
Identification Qui êtes vous ?
Authentification Prouvez le !
Page 8
Conseil en technologieswww.maret-consulting.ch
Facteurs pour l’authentification
ce que l'entité c o n n a î t (Mot de passe)
ce que l'entité d é t ie n t (Authentifieur)
ce que l'entité e s t o u f a it (Biométrie)
Page 9
Conseil en technologieswww.maret-consulting.ch
Définition de l’authentification forte
Page 10
Conseil en technologieswww.maret-consulting.ch
Authentification forte
Une des clés de voûte de la sécurisation du système d’information
Conviction forte de MARET Consulting
Page 11
Conseil en technologieswww.maret-consulting.ch
Protection de votre système d’information
Technologie authentification forte
Protocoles d’authentification
Données
Identiténumérique
Page 12
Conseil en technologieswww.maret-consulting.ch
Pyramide de l’authentification forte
Page 13
Conseil en technologieswww.maret-consulting.ch
Pourquoi l’authentification forte?
Page 14
Conseil en technologieswww.maret-consulting.ch
Keylogger: une réelle menace
6191 keyloggers recensés en 2008 contre 3753 en 2007 (et environ 300 en 2000), soit une progression de 65 %
Page 15
Conseil en technologieswww.maret-consulting.ch
Phishing - Pharming
Anti-Phishing Working Group recommande l’utilisation de
l’authentification forte
http://www.antiphishing.org/Phishing-dhs-report.pdf
Page 16
Conseil en technologieswww.maret-consulting.ch
T-FA in an Internet Banking Environment
12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive
« Single Factor Authentication » n’est pas suffisant pour les applications Web financière
Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte
http://www.ffiec.gov/press/pr101205.htm
La France commence à suivre le mouvement Banque Populaire en 2009
Page 17
Conseil en technologieswww.maret-consulting.ch
Liberty Alliance souhaite accélérer l'adoption de l'authentification forte
8 novembre 2005: Liberty Alliance Project forme un groupe d’expert pour
l’authentification forte
The Strong Authentication Expert Group (SAEG)
Publication dès 2006 spécifications ID SAFE
Page 18
Conseil en technologieswww.maret-consulting.ch
Les premières réactions… !
Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité
PCI-DSS accélère le mouvement
Page 19
Conseil en technologieswww.maret-consulting.ch
“Superior” user authentication
Page 20
Conseil en technologieswww.maret-consulting.ch
Dans le monde grand public
Page 21
Conseil en technologieswww.maret-consulting.ch
Les technologies d’authentification forte
Technologies en pleine mouvance
Technologie grand public
Technologies en pleine mouvances
Technologie grand public Technologie pour les entreprises
Tour d’horizon des solutions en 2009 (Non exhaustif)
Page 22
Conseil en technologieswww.maret-consulting.ch
http://www.openauthentication.org/
Page 23
Conseil en technologieswww.maret-consulting.ch
Modèle OATH
Page 24
Conseil en technologieswww.maret-consulting.ch
Client Framework « Device » PhysiqueToken ou AuthentifieurTechnologies
Page 25
Conseil en technologieswww.maret-consulting.ch
Authentication Method
Authentication Method:
a function for authenticating users or devices, including
One-Time Password (OTP) algorithms
public key certificates (PKI)
Biometry
and other methods SMS Scratch List TAN Etc.
Page 26
Conseil en technologieswww.maret-consulting.ch
Authentification Token: définition
Composant Hardware ou Software « Authentifieur »
Implémente la ou les méthode(s) d’authentification
Réalise le mécanisme d’authentification en toute sécurité
Fournit un stockage sécurisé des « credentials » d’authentification
Page 27
Conseil en technologieswww.maret-consulting.ch
Quel « Authentifieur » ?
Page 28
Conseil en technologieswww.maret-consulting.ch
One-Time Password (OTP)
Mot de passe à usage unique Basé sur le partage d’un secret
Généralement utilisation d’une fonction de hachage
Pour Très portable (pour le mode non connecté)
Contre Pas de signature Pas de chiffrement Peu évolutif Pas de !n o n r é p u d ia t io n
Page 29
Conseil en technologieswww.maret-consulting.ch
« Authentifieur » OTP
Page 30
Conseil en technologieswww.maret-consulting.ch
Exemple: RSA SecurID
Page 31
Conseil en technologieswww.maret-consulting.ch
PKI: Certificat numérique (X509)
Basé sur la possession de la clé secrète (RSA, etc.) Mécanisme de type « Challenge Response »
Pour Offre plus de services:
Authentification Signature Chiffrement – n o n r é p u d ia t io n
Contre Nécessite un moyen de transport sécurisé d e la c lép r iv é e
Pas vraiment portable
Page 32
Conseil en technologieswww.maret-consulting.ch
« Authentifieur » PKI
Page 33
Conseil en technologieswww.maret-consulting.ch
Le meilleur des deux mondes:
Technologie hybride: OTP & PKI
Page 34
Conseil en technologieswww.maret-consulting.ch
Technologie SMS (OOB)
Page 35
Conseil en technologieswww.maret-consulting.ch
Etude de cas: Skyguide
La sécurité alliée au login unique
Firewall Web application Web Single Sign On
Authentification forte via SMS
http://www.slideshare.net/smaret/etude-cas-skyguide-rsa-mobile
Page 36
Conseil en technologieswww.maret-consulting.ch
OTP « Bingo Card »
9 2
AnyUser
******
Page 37
Conseil en technologieswww.maret-consulting.ch
Les tendances 2009
Page 38
Conseil en technologieswww.maret-consulting.ch
Token USB multi fonction
Page 39
Conseil en technologieswww.maret-consulting.ch
Le monde des portables
SIM-Based Authentication
GemXplore 'Xpresso Java Card SIMs from Gemplus
OTA (Over-The-Air) technology
Page 40
Conseil en technologieswww.maret-consulting.ch
Technologie OTA
http://www.gemplus.com/techno/ota/resources/white_paper.html
Page 41
Conseil en technologieswww.maret-consulting.ch
Trusted Platform Module [TPM]
https://www.trustedcomputinggroup.org/home
Exemple: Authentification forte d’un portable avec technologie VPN SSL
Page 42
Conseil en technologieswww.maret-consulting.ch
Multi Application Smart Card
Page 43
Conseil en technologieswww.maret-consulting.ch
Technologie Mifare
Contactless technology that is owned by Philips Electronics
De Facto Standard
Convergence IT Security and Building Security
Page 44
Conseil en technologieswww.maret-consulting.ch
EMV - CAP
Europay Mastercard Visa Initiative de: Master Card Visa
Utilise la technologie CAP Chip Authentication Protocol
Authentification forte et signature des transactions
Page 45
Conseil en technologieswww.maret-consulting.ch
Risk Based Authentication
Page 46
Conseil en technologieswww.maret-consulting.ch
Internet Passport: OTP & Biométrie
Page 47
Conseil en technologieswww.maret-consulting.ch
Démonstration: OpenID & Axsionics
Page 48
Conseil en technologieswww.maret-consulting.ch
OTP USB Yubico
OTP event Based
Pas de driver
Très simple d’usage
Simule un clavier
Page 49
Conseil en technologieswww.maret-consulting.ch
Démonstration: Yubico
Page 50
Conseil en technologieswww.maret-consulting.ch
La biométrie
Système « ancien » 1930 - carte d’identité avec photo Reconnaissance de la voix Etc.
Deux familles : Mesure des traits physiques uniques Mesure d’un comportement unique
Composé de bio- (du grec bios - «la vie») et de - métrie (du grec metron - «mesure»)
Page 51
Conseil en technologieswww.maret-consulting.ch
Définition d’une identité numérique ?
Future of Ide ntity in the Information S ocie ty
Lien technologique entre une identité réelle et une identité virtuelle
Page 52
Conseil en technologieswww.maret-consulting.ch
Le marché de la biométrie
Page 53
Conseil en technologieswww.maret-consulting.ch
Mesure des traits physiques
Empreintes digitales Géométrie de la main Les yeux
Iris Rétine
Reconnaissance du visage Réseau veineux de la main ou du doigt Nouvelles voies
ADN, odeurs, oreille et « thermogram »
Page 54
Conseil en technologieswww.maret-consulting.ch
Mesure d’un comportement
Reconnaissance vocale Signature manuscrite Démarche Dynamique de frappe
Clavier
Page 55
Conseil en technologieswww.maret-consulting.ch
Une technologie très prometteuse
Vascular Pattern Recognition
By SONY
Page 56
Conseil en technologieswww.maret-consulting.ch
Confort vs fiabilité
Page 57
Conseil en technologieswww.maret-consulting.ch
Fonctionnement en trois phases
Page 58
Conseil en technologieswww.maret-consulting.ch
Stockage des données ?
Par serveur d’authentification Problème de sécurité Problème de confidentialité Problème de disponibilité
Sur un support externe Meilleure sécurité Mode « offline » MOC = Match On card
Loi fédérale du 19 juin 1992 sur la protection des données (LPD)
Page 59
Conseil en technologieswww.maret-consulting.ch
Equal Error Rate (EER)
Page 60
Conseil en technologieswww.maret-consulting.ch
Biométrie en terme de sécurité?
Solution Biométrique uniquement ? Confort à l’utilisation N’est pas un plus en terme de sécurité (en 2009)
Doit être couplé à un 2ème facteurs Carte à puce par exemple
Page 61
Conseil en technologieswww.maret-consulting.ch
Démonstration: Signature d’un email
Page 62
Conseil en technologieswww.maret-consulting.ch
Matsumoto's « Gummy Fingers »
Etude Yokohama University
http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf
Page 63
Conseil en technologieswww.maret-consulting.ch
Questions ?
Page 64
Conseil en technologieswww.maret-consulting.ch
Quelques liens
http://www.idtheftcenter.org/ http://www.antiphishing.org/ http://sylvain-maret.blogspot.com/ http://fr.wikipedia.org/wiki/Authentification_forte http://www.openauthentication.org/ http://www.fidis.net/ http://idtheftblog.wordpress.com/ http://www.regardingid.com/
Page 65
Conseil en technologieswww.maret-consulting.ch
Identité numérique