e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Protection du système d’information Authentification forte / identité numérique

Présentation du 31 mai 2007 Par Sylvain Maret / CTO e-Xpert Solutions

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

4

“ L’art de fortifier ne consiste pas dans des règles et des systèmes mais uniquement dans le bon sens et l’expérience ” Sebastien le Prestre de Vauban Ingénieur Architecte 1633-1707
4
Solutions à la clef

4

Agenda

Présentation e-Xpert Solutions Authentification forte & identité numérique Études de cas Discussion ouverte

4

Solutions à la clef

4

e-Xpert Solutions

Société fondée en février 2001 Société anonyme (capital en main de fondateurs) Siège à Bernex / Genève Ouverture d’une agence à Lausanne en novembre 2004 Domaine d’activité: la sécurité informatique

4

Solutions à la clef

4

Nos références

Banques Institutions financiers Assurances Aéronautique Média Immobilier

Industrie Alimentation Gouvernement Instituts de recherche Organisations Internationales

4

Solutions à la clef

4

Extrait de nos références

4

Solutions à la clef

4

Deux études de cas

La sécurité alliée au login unique
Firewall Web application Web Single Sign On Authentification forte via SMS

La technologie au service des journalistes
VPN SSL Redondance des équipements Authentification forte SecurID

4

Solutions à la clef

4

4

Solutions à la clef

4

Sécurité informatique: histoire et futur…
Collaboration par Internet (Complète) “Consumerisation” [Cheap IP based devices]

Connectivité
Internet Connectivité Web, e-Mail, Telnet, FTP Connectivité Internet & e-Mail

Today Collaboration par Internet (Encore limitée) Travail externe VPN based Fin de la protection Périmétrique seulement Collaboration externe [connexions privées]

Temps 2007
Solutions à la clef

1994
4

4

Comment répondre aux futurs challenges ?

Le niveau de protection doit être adapté à la valeur de l’information et au risque Les mécanismes de sécurité doivent être:
Efficace Simple Facile à gérer Cohérent Évolutif Robuste

Les « devices » et les applications doivent communiquer en utilisant des protocoles sécurisés
Intégrité Confidentialité

L’accès aux données doit être contrôlé
Protection proche de la source Authentification forte (Identity Management) Autorisation Confidentialité
Solutions à la clef

4

4

Protection du système d’information

Audit, gestion des événements

« End Point »

« Infrastructure » « Application »

Haute disponibilité

Authentification forte Gestion des identités numériques
4
Solutions à la clef

e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Authentification forte

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

4

Identité numérique ?

Beaucoup de définitions

4

Solutions à la clef

Un essai de définition…technique

Monde virtuel
Entreprise Bank

4

Avatar

Mail / Achats

Lien technologique entre une identité réel et une identité virtuel

Monde réel

4

Solutions à la clef

4

Identité numérique sur Internet

Identification

4

Solutions à la clef

4

Identification et authentification ?

Identification
Qui êtes vous ?

Authentification
Prouvez le !

4

Solutions à la clef

4

Facteurs pour l’authentification

ce que l'entité connaît (Mot de passe)

ce que l'entité détient (Authentifieur)

ce que l'entité est ou fait (Biométrie)

4

Solutions à la clef

4

Définition de l’authentification forte

4

Solutions à la clef

4

Authentification forte

Clé de voûte de la sécurisation du système d’information Conviction forte de e-Xpert Solutions SA

4

Solutions à la clef

Protection de votre système d’information
4

Données

Protocoles d’authentification Technologie authentification forte

4

Solutions à la clef

4

Pyramide de l’authentification forte

4

Solutions à la clef

4

Pourquoi l’authentification forte?

4

Solutions à la clef

4

4

Solutions à la clef

4

Keylogger: une réelle menace

6191 keyloggers recensés cette année
contre 3753 l'an passé (et environ 300 en 2000), soit une progression de 65 %

4

Solutions à la clef

4

Phishing - Pharming

Anti-Phishing Working Group recommande l’utilisation de l’authentification forte

http://www.antiphishing.org/Phishing-dhs-report.pdf

4

Solutions à la clef

4

T-FA in an Internet Banking Environment

12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive
« Single Factor Authentication » n’est pas suffisant pour les applications Web financière Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte http://www.ffiec.gov/press/pr101205.htm

4

Solutions à la clef

4

T-FA: An Essential Component of I&AM

4

Solutions à la clef

4

Liberty Alliance souhaite accélérer l'adoption de l'authentification forte

8 novembre 2005: Liberty Alliance Project forme un groupe d’expert pour l’authentification forte
The Strong Authentication Expert Group (SAEG) Publication dès 2006 spécifications ID SAFE

4

Solutions à la clef

4

Les premières réactions… !

Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité
4
Solutions à la clef

4

Les technologies d’authentification forte

Technologies en pleine mouvance
Technologie grand public Technologie pour les entreprises

Tour d’horizon des solutions en 2007
(Non exhaustif)

4

Solutions à la clef

4

Client Framework

Technologies

« Device » Physique Token ou Authentifieur

4

Solutions à la clef

4

Authentication Method

Authentication Method:
a function for authenticating users or devices, including
One-Time Password (OTP) algorithms public key certificates (PKI) Biometry and other methods
SMS Scratch List Etc.

4

Solutions à la clef

4

Quel « Authentifieur » ?

4

Solutions à la clef

4

One-Time Password (OTP)

Mot de passe à usage unique Basé sur le partage d’un secret
Généralement utilisation d’une fonction de hachage

Pour
Très portable (pour le mode non connecté)

Contre
Pas de signature Pas de chiffrement Peu évolutif Pas de non répudiation!

4

Solutions à la clef

4

« Authentifieur » OTP

4

Solutions à la clef

4

PKI: Certificat numérique (X509)

Basé sur la possession de la clé secrète (RSA, etc.)
Mécanisme de type « Challenge Response »

Pour
Offre plus de services:
Authentification Signature Chiffrement – non répudiation

Contre
Nécessite un moyen de transport sécurisé de la clé privée Pas vraiment portable

4

Solutions à la clef

4

« Authentifieur » PKI

4

Solutions à la clef

4

Le meilleur des deux mondes:

Technologie hybride: OTP & PKI
4
Solutions à la clef

4

Technologie SMS (OOB)

4

Solutions à la clef

4

Etude de cas: Skyguide

La sécurité alliée au login unique
Firewall Web application Web Single Sign On Authentification forte via SMS

4

Solutions à la clef

4

Une tendance très claire

4

Solutions à la clef

4

La biométrie

Système « ancien »
1930 - carte d’identité avec photo Reconnaissance de la voix Etc.

Deux familles :
Mesure des traits physiques uniques Mesure d’un comportement unique

4

Solutions à la clef

4

Confort vs fiabilité

4

Solutions à la clef

4

Fonctionnement en trois phases

4

Solutions à la clef

4

Stockage des données ?

Par serveur d’authentification
Problème de sécurité Problème de confidentialité Problème de disponibilité

Sur une smartcard
Meilleure sécurité Mode « offline » MOC = Match On card

4

Solutions à la clef

4

Equal Error Rate (EER)

4

Solutions à la clef

4

Biométrie en terme de sécurité?

Solution Biométrique uniquement ?
Confort à l’utilisation N’est pas un plus en terme de sécurité (en 2007)

Doit être couplé à un 2ème facteurs
Carte à puce par exemple

4

Solutions à la clef

4

Matsumoto's « Gummy Fingers »

Etude Yokohama University
http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf
4
Solutions à la clef

4

Niveau de sécurité?

4

Cert Based / PKI

OTP

U&P

Solutions à la clef

4

Situation actuelle pour l’Authentification forte

Sécurisation du périmètre
VPN
SSL IPSEC

Chiffrement (Laptop) Applications Web public Citrix

Protocole d’authentification
Ldap, Radius, SSL, SecurID, SMS, PAM, 802.1x, etc.
4
Solutions à la clef

4

La situation de demain: la dé-périmètrisation

http://www.opengroup.org/jericho/
4
Solutions à la clef

Protection de votre système d’information
4

Données

Protocoles d’authentification Technologie authentification forte

4

Solutions à la clef

4

Comment sécuriser les données ?

Applications métier ERP Stockage Domaine Microsoft Main Frame Applications Web Services Web Signature, chiffrement IRM Etc.
4
Solutions à la clef

4

1er étape: la classification des données

Un exemple de matrice Auth. Forte Avec non répudiation

Auth. forte

Auth. simple

4

Solutions à la clef

4

Quelques exemples

4

Solutions à la clef

4

Les opportunités / Identité numérique

VPN (Accès distants)
VPN SSL VPN IPSEC Citrix

Applications web
Interne, externe

Projet SSO, WSSO Chiffrement des données Web Services (WS Security) Microsoft Smart Card Logon Signature
PDF Mail

Etc.
4
Solutions à la clef

4

EMC Documentum

4

Solutions à la clef

4

IRM

4

Solutions à la clef

4

Etude de cas: Une entreprise X

4

Solutions à la clef

4

Le projet authentification forte

Mise en place d’une application de type GED pour la consultation de documents très sensibles Les besoins en terme de sécurité
Protection du système d’information Doit être accéder uniquement par les personnes autorisées et identifiées de manière forte
par un procédé quasi irréfutable

4

Solutions à la clef

4

Les contraintes

Intégration avec les futures applications
Web Based (.NET)

Évolution vers la signature Intégration avec le bâtiment Simple, facile à gérer Coûts

4

Solutions à la clef

4

Choix de la technologie ?

One Time Password (OTP)

Certificat numérique X509
Public Key Infrastructure

Biométrie

4

Solutions à la clef

4

Quelle technologie biométrique pour l’IT ?

4

Solutions à la clef

4

Technologie MOC

4

Solutions à la clef

4

Biométrie pour l’IT ?

Technologie nouvelle pour l’IT
Technologie mature depuis peu de temps

Nécessite de faire un Proof of Concept
Très bon résultat

e-Xpert Solutions est très optimiste sur cette techno
Projet PIV Personal Identity Verification (PIV) for Federal Employees / Contractors Norme FIPS 201 USA
4
Solutions à la clef

4

Le choix retenu

Technologie PKI avec certificat X509 Carte à puce de type crypto processeur Technologie biométrique de type « Fingerprinting » En remplacement du PIN Code Technologie Match On Card
Precise Match-on-CardTM

4

Solutions à la clef

4

1er Phase

Intégration avec Microsoft Smart Card Logon Intégration avec deux applications très sensible
Web App avec SSL

Révocation Online des certificats (OCSP) Mise en place d’un service de gestion des identités Le futur:
Bâtiment Web SSO

4

Solutions à la clef

4

Questions ?

Discussion ouverte

4

Solutions à la clef

4

e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et maintiennent au quotidien des architectures de sécurité au moyen de solutions pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux exigences de la clientèle. Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la confiance d'une clientèle issue de tout domaine d'activité et de toute taille. Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un contact de proximité.
http://www.e-xpertsolutions.com
4
Solutions à la clef