MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www

.maret-consulting.ch

Identité numérique & AUTHENTIFICATION FORTE

25 février 2009 Sylvain Maret / MARET Consulting

Conseil en technologies

"Le conseil et l'expertise pour le choix et la mise en oeuvre des technologies innovantes dans la sécurité des systèmes d'information et de l'identité numérique"

www.maret-consulting.ch

Conseil en technologies

Agenda

Identité numérique Authentification forte Pourquoi l’authentification forte? Technologies
OTP PKI Biométrie Autres

Les tendances 2009 Démonstrations
www.maret-consulting.ch Conseil en technologies

Identité numérique ?

Beaucoup de définitions

www.maret-consulting.ch

Conseil en technologies

Monde virtuel

Un essai de définition…technique Bank

Social network

Avatar

Mail / Achats
Lien technologique entre une identité réelle et une identité virtuelle

Monde réel

www.maret-consulting.ch

Conseil en technologies

Identité numérique sur Internet

Identification

www.maret-consulting.ch

Conseil en technologies

Identification et authentification ?

Identification
Qui êtes vous ?

Authentification
Prouvez le !

www.maret-consulting.ch

Conseil en technologies

Facteurs pour l’authentification

ce que l'entité connaî (Mot de passe) connaît

ce que l'entité détient (Authentifieur)

ce que l'entité est ou fait (Biométrie)

www.maret-consulting.ch

Conseil en technologies

Définition de l’authentification forte

www.maret-consulting.ch

Conseil en technologies

Authentification forte

Une des clés de voûte de la sécurisation du système d’information Conviction forte de MARET Consulting

www.maret-consulting.ch

Conseil en technologies

Protection de votre système d’information

Données

Protocoles d’authentification

Technologie authentification forte

Identité numérique

www.maret-consulting.ch

Conseil en technologies

Pyramide de l’authentification forte

www.maret-consulting.ch

Conseil en technologies

Pourquoi l’authentification forte?

www.maret-consulting.ch

Conseil en technologies

Keylogger: une réelle menace

6191 keyloggers recensés en 2008
contre 3753 en 2007 (et environ 300 en 2000), soit une progression de 65 %

www.maret-consulting.ch

Conseil en technologies

Phishing - Pharming

Anti-Phishing Working Group recommande l’utilisation de l’authentification forte

http://www.antiphishing.org/Phishing-dhs-report.pdf

www.maret-consulting.ch

Conseil en technologies

T-FA in an Internet Banking Environment

12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive
« Single Factor Authentication » n’est pas suffisant pour les applications Web financière Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte http://www.ffiec.gov/press/pr101205.htm La France commence à suivre le mouvement
Banque Populaire en 2009
www.maret-consulting.ch Conseil en technologies

Liberty Alliance souhaite accélérer l'adoption de l'authentification forte

8 novembre 2005: Liberty Alliance Project forme un groupe d’expert pour l’authentification forte
The Strong Authentication Expert Group (SAEG) Publication dès 2006 spécifications ID SAFE

www.maret-consulting.ch

Conseil en technologies

Les premières réactions… !

Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité PCI-DSS accélère le mouvement

www.maret-consulting.ch

Conseil en technologies

“Superior” user authentication

www.maret-consulting.ch

Conseil en technologies

Dans le monde grand public

www.maret-consulting.ch

Conseil en technologies

Les technologies d’authentification forte

Technologies en pleine mouvance
Technologie grand public

Technologies en pleine mouvances
Technologie grand public Technologie pour les entreprises

Tour d’horizon des solutions en 2009
(Non exhaustif)
www.maret-consulting.ch Conseil en technologies

http://www.openauthentication.org/

www.maret-consulting.ch

Conseil en technologies

Modèle OATH

www.maret-consulting.ch

Conseil en technologies

Client Framework
Technologies

« Device » Physique Token ou Authentifieur

www.maret-consulting.ch

Conseil en technologies

Authentication Method

Authentication Method:
a function for authenticating users or devices, including
One-Time Password (OTP) algorithms public key certificates (PKI) Biometry and other methods
SMS Scratch List TAN Etc.

www.maret-consulting.ch

Conseil en technologies

Authentification Token: définition

Composant Hardware ou Software
« Authentifieur »

Implémente la ou les méthode(s) d’authentification Réalise le mécanisme d’authentification en toute sécurité Fournit un stockage sécurisé des « credentials » d’authentification
www.maret-consulting.ch Conseil en technologies

Quel « Authentifieur » ?

www.maret-consulting.ch

Conseil en technologies

One-Time Password (OTP)

Mot de passe à usage unique Basé sur le partage d’un secret
Généralement utilisation d’une fonction de hachage

Pour
Très portable (pour le mode non connecté)

Contre
Pas de signature Pas de chiffrement Peu évolutif Pas de non répudiation!
www.maret-consulting.ch Conseil en technologies

« Authentifieur » OTP

www.maret-consulting.ch

Conseil en technologies

Exemple: RSA SecurID

www.maret-consulting.ch

Conseil en technologies

PKI: Certificat numérique (X509)

Basé sur la possession de la clé secrète (RSA, etc.)
Mécanisme de type « Challenge Response »

Pour
Offre plus de services:
Authentification Signature Chiffrement – non répudiation

Contre
Nécessite un moyen de transport sécurisé de la clé privée Pas vraiment portable

www.maret-consulting.ch

Conseil en technologies

« Authentifieur » PKI

www.maret-consulting.ch

Conseil en technologies

Le meilleur des deux mondes:

Technologie hybride: OTP & PKI
www.maret-consulting.ch Conseil en technologies

Technologie SMS (OOB)

www.maret-consulting.ch

Conseil en technologies

Etude de cas: Skyguide

La sécurité alliée au login unique
Firewall Web application Web Single Sign On Authentification forte via SMS

www.maret-consulting.ch

http://www.slideshare.net/smaret/etude-cas-skyguide-rsa-mobile

Conseil en technologies

OTP « Bingo Card »

AnyUser ******

9

2

www.maret-consulting.ch

Conseil en technologies

Les tendances 2009

www.maret-consulting.ch

Conseil en technologies

Token USB multi fonction

www.maret-consulting.ch

Conseil en technologies

Le monde des portables

SIM-Based Authentication
GemXplore 'Xpresso Java Card SIMs from Gemplus OTA (Over-The-Air) technology

www.maret-consulting.ch

Conseil en technologies

Technologie OTA

http://www.gemplus.com/techno/ota/resources/white_paper.html
www.maret-consulting.ch Conseil en technologies

Trusted Platform Module [TPM]

https://www.trustedcomputinggroup.org/home Exemple: Authentification forte d’un portable avec technologie VPN SSL
www.maret-consulting.ch Conseil en technologies

Multi Application Smart Card

www.maret-consulting.ch

Conseil en technologies

Technologie Mifare

Contactless technology that is owned by Philips Electronics De Facto Standard Convergence IT Security and Building Security

www.maret-consulting.ch

Conseil en technologies

EMV - CAP

Europay Mastercard Visa Initiative de: Master Card Visa Utilise la technologie CAP Chip Authentication Protocol Authentification forte et signature des transactions
www.maret-consulting.ch Conseil en technologies

Risk Based Authentication

www.maret-consulting.ch

Conseil en technologies

Internet Passport: OTP & Biométrie

www.maret-consulting.ch

Conseil en technologies

Démonstration: OpenID & Axsionics

www.maret-consulting.ch

Conseil en technologies

OTP USB Yubico

OTP event Based Pas de driver Très simple d’usage Simule un clavier

www.maret-consulting.ch

Conseil en technologies

Démonstration: Yubico

www.maret-consulting.ch

Conseil en technologies

La biométrie

Système « ancien »
1930 - carte d’identité avec photo Reconnaissance de la voix Etc.

Deux familles :
Mesure des traits physiques uniques Mesure d’un comportement unique

Composé de bio- (du grec bios - «la vie») et de - métrie (du grec metron - «mesure»)
www.maret-consulting.ch Conseil en technologies

Définition d’une identité numérique ?
Lien technologique entre une identité réelle et une identité virtuelle

www.maret-consulting.ch

Future of Identity in the Information Society

Conseil en technologies

Le marché de la biométrie

www.maret-consulting.ch

Conseil en technologies

Mesure des traits physiques

Empreintes digitales Géométrie de la main Les yeux
Iris Rétine

Reconnaissance du visage Réseau veineux de la main ou du doigt Nouvelles voies
ADN, odeurs, oreille et « thermogram »
www.maret-consulting.ch Conseil en technologies

Mesure d’un comportement

Reconnaissance vocale Signature manuscrite Démarche Dynamique de frappe
Clavier

www.maret-consulting.ch

Conseil en technologies

Une technologie très prometteuse

Vascular Pattern Recognition

By SONY

www.maret-consulting.ch

Conseil en technologies

Confort vs fiabilité

www.maret-consulting.ch

Conseil en technologies

Fonctionnement en trois phases

www.maret-consulting.ch

Conseil en technologies

Stockage des données ?

Loi fédérale du 19 juin 1992 sur la protection des données (LPD)

Par serveur d’authentification
Problème de sécurité Problème de confidentialité Problème de disponibilité
www.maret-consulting.ch

Sur un support externe
Meilleure sécurité Mode « offline » MOC = Match On card
Conseil en technologies

Equal Error Rate (EER)

www.maret-consulting.ch

Conseil en technologies

Biométrie en terme de sécurité?

Solution Biométrique uniquement ?
Confort à l’utilisation N’est pas un plus en terme de sécurité (en 2009)

Doit être couplé à un 2ème facteurs
Carte à puce par exemple

www.maret-consulting.ch

Conseil en technologies

Démonstration: Signature d’un email

www.maret-consulting.ch

Conseil en technologies

Matsumoto's « Gummy Fingers »

Etude Yokohama University

http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf
www.maret-consulting.ch Conseil en technologies

Questions ?

www.maret-consulting.ch

Conseil en technologies

Quelques liens

http://www.idtheftcenter.org/ http://www.antiphishing.org/ http://sylvain-maret.blogspot.com/ http://fr.wikipedia.org/wiki/Authentification_forte http://www.openauthentication.org/ http://www.fidis.net/ http://idtheftblog.wordpress.com/ http://www.regardingid.com/
www.maret-consulting.ch Conseil en technologies

Identité numérique

www.maret-consulting.ch

Conseil en technologies

Sign up to vote on this title
UsefulNot useful