MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www

.maret-consulting.ch

Protection des données avec la biométrie Match-on-Card

Sylvain Maret / Security Architect MARET Consulting 10 novembre 2009
citadellecitadelle-electronique.net
Conseil en technologies

Agenda du Webcast

Identité numérique et authentification forte
Authentification forte ?

Technologie d’authentification forte Biométrie et Match on Card
Certificat numérique / PKI

Applications pour la technologie Match on Card Illustration avec un projet dans le monde bancaire Tendances

www.maret-consulting.ch

Conseil en technologies

nìá=ëìáëJàÉ=\

Architecte Sécurité
15 ans d’expérience en Sécurité des Systèmes d’Information CEO et Founder MARET Consulting Expert école ingénieur Yverdon & Université de Genève Swiss French Area delegate at OpenID Switzerland Auteur Blog: la Citadelle Electronique

Domaine de prédilection
Digital Identity Security

www.maret-consulting.ch

Conseil en technologies

mêçíÉÅíáçå=ÇÉ=äÛáÇÉåíáí¨=åìã¨êáèìÉW=ìå=ëìàÉí=ÇÛ~Åíì~äáí¨=ÁK

Identification Identificati n

www.maret-consulting.ch

Conseil en technologies

mçìêèìçá=äÛ~ìíÜÉåíáÑáÅ~íáçå=ÑçêíÉ=\

Keylogger (hard and Soft) Malware Man in the Middle Browser in the Midle Password Sniffer Social Engineering Phishing / Pharming Le nombre de vol d’identités explose !

www.maret-consulting.ch

Conseil en technologies

rå=¨î¨åÉãÉåí=ã~àÉìê=Ç~åë=äÉ=ãçåÇÉ=ÇÉ=äÛ~ìíÜÉåíáÑáÅ~íáçå=ÑçêíÉ

12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive
« Single Factor Authentication » n’est pas suffisant pour les applications Web financière Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte http://www.ffiec.gov/press/pr101205.htm

Et la norme PCI DSS
Authentification forte obligatoire pour les accès distants

Et maintenant des régulations Européennes
Services de Paiement (2007/64/CE) pour les banques.
www.maret-consulting.ch Conseil en technologies

fÇÉåíáÑáÅ~íáçå=Éí=~ìíÜÉåíáÑáÅ~íáçå=\

Identification
Qui êtes vous ?

Authentification
Prouvez le !

www.maret-consulting.ch

Conseil en technologies

a¨Ñáåáíáçå=~ìíÜÉåíáÑáÅ~íáçå=ÑçêíÉ

Authentification Forte sur Wikipédia
www.maret-consulting.ch Conseil en technologies

m~ëÅ~ä=qÜçåáÉä=kqu=oÉëÉ~êÅÜW= iDáÇÉåíáí¨=åìã¨êáèìÉ=Éëí=ä~=éáÉêêÉ=~åÖìä~áêÉ=ÇÉ= ä~=ÅçåÑá~åÅÉ Ê

Plus d’information sur le sujet
www.maret-consulting.ch Conseil en technologies

MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch

Biométrie et Match on Card
Conseil en technologies

Quelle technologie d’authentification forte ?

www.maret-consulting.ch

Conseil en technologies

råÉ=íÉÅÜåçäçÖáÉ=Éå=éäÉáåÉ=ãçìî~åÅÉ

Entreprises
eBanking VPN Web Applications Mobilité GED Projet PIV FIPS-201 SAML
www.maret-consulting.ch

Grand public

Réseaux sociaux Google docs etc.

Conseil en technologies

OTP Authentification forte Chiffrement Signature numérique Non répudiation Lien fort avec l’utilisateur
* Biométrie type Fingerprinting
www.maret-consulting.ch

PKI (HW)

Biométrie
*

Conseil en technologies

Quelle technologie biométrique pour l’IT ?

www.maret-consulting.ch

Conseil en technologies

_áçã¨íêáÉZ=^ìíÜÉåíáÑáÅ~íáçå=ÑçêíÉ=\

La réponse est clairement non
Nécessite un deuxième facteur Problème de sécurité (usurpation) Uniquement un confort à l’utilisateur

Plus d’information l’usurpation
Etude Yokohama University
www.maret-consulting.ch Conseil en technologies

qÉÅÜåçäçÖáÉ=j~íÅÜ=çå=`~êÇW=éäìë=ÇÉ=mfk=`çÇÉ

www.maret-consulting.ch

Conseil en technologies

Exemple de technologie Match on Card pour l’IT

Un lecteur
Biométrie SmartCard

Une carte à puce
Technologie MOC Crypto processeur
PC/SC PKCS#11 Certificat numérique X509
www.maret-consulting.ch Conseil en technologies

píçÅâ~ÖÉ=ÇÉë=Ççåå¨Éë=\

Sur un support externe
Meilleure sécurité Mode « offline » MOC = Match On card

Par serveur d’authentification
Problème de sécurité Problème de confidentialité Problème de disponibilité

Loi fédérale du 19 juin 1992 sur la protection des données (LPD)

www.maret-consulting.ch

Conseil en technologies

bñÉãéäÉ=ÇÛìíáäáë~íáçå=ÇÉ=ä~=íÉÅÜåçäçÖáÉ=j~íÅÜ=çå=`~êÇ

Smart Card Logon de Microsoft
PK-Init

Solution Web SSO SAML

Applications Web très sensibles
GED eBanking

Citrix Remote acces
VPN SSL VPN IPSEC Etc.
Conseil en technologies

Chiffrement des données
Laptop Chiffrement des share
www.maret-consulting.ch

p¨Åìêáí¨=éçìê=ä~=ãçÄáäáí¨

www.maret-consulting.ch

Conseil en technologies

Authentification d’un utilisateur avec PKINIT (Smart Card Logon)

1

U_Cert U Cert

2

2

Logean, Schéma de Philippe Logean, e-Xpert Solutions SA

www.maret-consulting.ch

Conseil en technologies

Retour d’expérience dans le monde bancaire
www.maret-consulting.ch Conseil en technologies

Le projet de gestion électronique des documents

Mise en place d’une solution de GED
Accès à des informations très sensibles Classification de l’information: Secret Chiffrement des données Contrôle des accès

Projet pour une banque privée
Début du projet: 2005

Population concernée
500 personnes (Phase I) A termes: 3000 personnes (Phase II)
www.maret-consulting.ch Conseil en technologies

(Classification Data: Secret) Mise en place d’une technologie permettant d’identifier de façon forte – via un mécanisme de preuve irréfutable – les utilisateurs accédant au système d’information de la banque Qui accède à quoi, quand et comment !
www.maret-consulting.ch Conseil en technologies

Les contraintes techniques du projet d’authentification forte

Obligatoires
Intégration avec les applications existantes
Web Microsoft Smart Card Logon Laptop

souhaitées
Intégration avec sécurité des bâtiments Chiffrement des données Postes nomades Applications futures
Réseau et systèmes Authentification forte

Séparation des rôles
Quatre yeux

Signature numérique Auditing, Preuve Gestion des preuves

www.maret-consulting.ch

Conseil en technologies

Concept de base: un lien unique
Gestion des identités Gestion des accès

Issuer App A cert

Lien: cn
User

PHASE 1 Authentification forte

PHASE 2 Autorisation

www.maret-consulting.ch

Conseil en technologies

Composants de l’architecture technique

Mise en place d’une PKI « intra muros »
Non Microsoft (Séparation des pouvoirs)

Mise en place de la révocation Online
Protocole OCSP

Utilisation d’un Hardware Security Module Sécurisation de l’architecture PKI
OS « Hardening » Firewall interne IDS
www.maret-consulting.ch Conseil en technologies

Concept pour la sécurisation de l’application GED

www.maret-consulting.ch

Conseil en technologies

La mire d’authentification biométrique

www.maret-consulting.ch

Conseil en technologies

Processus Processus Humain Humain
www.maret-consulting.ch Conseil en technologies

Le maillon faible ? Plus important que la technique…

Définition des rôles
Tâches et responsabilités Objectif: séparation des pouvoirs
Quatre yeux

Mise en place des processus pour la gestion des identités Mise en place des procédures d’exploitation

www.maret-consulting.ch

Conseil en technologies

Mise en place des processus pour la gestion des identités

Processus pour le team gestion des identités
Enrôlement des utilisateurs Révocation Gestion des incidents
Perte, vol, oublie de la carte

Renouvellement

Processus pour le Help Desk Processus pour les Auditeurs Processus pour le RSSI Et les procédures d’exploitation !
www.maret-consulting.ch Conseil en technologies

Le résultat

Une série de documents pour la banque
Procédures d’exploitation Description des processus Charte d’utilisation Définition des rôles et responsabilités CP /CPS pour la PKI « in house »

www.maret-consulting.ch

Conseil en technologies

Formation
www.maret-consulting.ch Conseil en technologies

Un élément très important !
Formation du team gestion des identités Formation des utilisateurs Formation Help Desk Formation aux technologies
PKI Biométrie
www.maret-consulting.ch Conseil en technologies

Retour d’expérience ?
www.maret-consulting.ch Conseil en technologies

Conclusion du projet

La technique est un aspect mineur pour la réussite d’un projet de cette ampleur Ne pas sous estimer la partie organisationnelle
CP / CPS pour la PKI Processus de gestion

La Biométrie est une technologie mature Technologie PKI
Offre un noyau de sécurité pour le futur Chiffrement, signature Information Rights Management Sécurité de la donnée

Demander un appuis de la direction
www.maret-consulting.ch

Un pas vers la convergence
Sécurité physique et logique

Conseil en technologies

qÉåÇ~åÅÉ=OMNM=ÁKK

Le projet PIV Fips-201 est un moteur ! Convergence
Sécurité physique et Sécurité logique

Capteur Biométrique pour les portables
UPEK (Solution FIPS-201)

Nouvelles technologies biométrique Full Disk Encryption (Laptop)
Support de la technologie Match on Card McAfee Endpoint Encryption™ (formerly SafeBoot® Encryption) Win Magic SecureDoc Disk Encryption
www.maret-consulting.ch Conseil en technologies

råÉ=íÉÅÜåçäçÖáÉ=íê≠ë=éêçãÉííÉìëÉ

Vascular Pattern Recognition

By SONY

www.maret-consulting.ch

Conseil en technologies

A quand la convergence ?

Une convergence difficile ! Sécurité physique et sécurité logique
www.maret-consulting.ch Conseil en technologies

Quelques liens pour aller approfondir le sujet

MARET Consulting
http://maret-consulting.ch/

La Citadelle Electronique (le blog sur les identités numériques)
http://www.citadelle-electronique.net/

Article banque et finance:
Usurper une identité? Impossible avec la biométrie!
http://www.banque-finance.ch/numeros/88/59.pdf

Biométrie et Mobilité
http://www.banque-finance.ch/numeros/97/62.pdf

Présentation public
OSSIR Paris 2009: Retour d'expérience sur le déploiement de biométrie à grande échelle
http://www.ossir.org/paris/supports/2009/2009-10-13/Sylvain_Maret_Biometrie.pdf

ISACA, Clusis: Accès à l’information : Rôles et responsabilités
http://blog.b3b.ch/wp-content/uploads/mise-en-oeuvre-de28099une-solution-biometriquede28099authentification-forte.pdf

www.maret-consulting.ch

Conseil en technologies

www.maret-consulting.ch

Conseil en technologies

"Le conseil et l'expertise pour le choix et la mise en oeuvre des technologies innovantes dans la sécurité des systèmes d'information et de l'identité numérique"

www.maret-consulting.ch

Conseil en technologies

Sign up to vote on this title
UsefulNot useful