You are on page 1of 41
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22

MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch

Les technologies d'authentification forte dans les applications web: comment les intégrer ?

forte dans les applications web: comment les intégrer ? Sylvain Maret / Digital Identity Security Expert

Sylvain Maret / Digital Identity Security Expert

Geneva Application Security Forum 4 mars 2010

Expert Geneva Application Security Forum 4 mars 2010 http://www.citadelle-electronique.net/ Conseil en
Expert Geneva Application Security Forum 4 mars 2010 http://www.citadelle-electronique.net/ Conseil en

http://www.citadelle-electronique.net/

Expert Geneva Application Security Forum 4 mars 2010 http://www.citadelle-electronique.net/ Conseil en technologies
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch
Geneva Application Security Forum 2010
« Vers une authentification plus forte dans les applications web »
Conseil en technologies
Application Security Verification Standard OWASP et Authentication www.maret-consulting.ch Conseil en technologies

Application Security Verification Standard OWASP et Authentication

Application Security Verification Standard OWASP et Authentication www.maret-consulting.ch Conseil en technologies
Application Security Verification Standard OWASP et Authentication www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

Application Security Verification Standard OWASP et Authentication www.maret-consulting.ch Conseil en technologies

Conseil en technologies

Usurpation de votre identité ! Réalité ou fiction ?

Usurpation de votre identité ! Réalité ou fiction ? www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

Usurpation de votre identité ! Réalité ou fiction ? www.maret-consulting.ch Conseil en technologies

Conseil en technologies

Authentification Forte:

Des technologies en pleine mouvance

Authentification Forte: Des technologies en pleine mouvance Entreprises   eBanking VPN Web Applications

Entreprises

 

eBanking

VPN

Web Applications

Mobilité

GED

Projet PIV FIPS-201

 

SAML

Adoption de OpenID

Strong Authentication as a Service

 

AaaS

Grand public

Authentication as a Service   AaaS Grand public Réseaux sociaux Facebook Virtual World Cloud

Réseaux sociaux

Facebook

Virtual World

Cloud Computing

Google docs

Sales Forces

www.maret-consulting.ch

Virtual World Cloud Computing Google docs Sales Forces www.maret-consulting.ch Conseil en technologies

Conseil en technologies

Technologie accessible à tout un chacun

Technologie accessible à tout un chacun Des standards Solution Open Source www.maret-consulting.ch Open Authentication

Des standards

Solution Open Source

www.maret-consulting.ch

Open Authentication (OATH)

Mobile One Time Passwords

strong, two-factor authentication with mobile phones

OATH authentication algorithms

with mobile phones OATH authentication algorithms Conseil en technologies HOTP (HMAC Event Based) OCRA
with mobile phones OATH authentication algorithms Conseil en technologies HOTP (HMAC Event Based) OCRA

Conseil en technologies

HOTP (HMAC Event

Based) OCRA

(Challenge/Response) TOTP (Time Based)

OATH Token Identifier Specification

MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch
Technologies
authentification forte
Conseil en technologies

Quelle technologie d’authentification forte ?

Quelle technologie d’authentification forte ? www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

Quelle technologie d’authentification forte ? www.maret-consulting.ch Conseil en technologies

Conseil en technologies

OTP PKI (HW) Biométrie Authentification Forte * Chiffrement Signature numérique Non répudiation Lien fort avec
OTP PKI (HW) Biométrie Authentification Forte * Chiffrement Signature numérique Non répudiation Lien fort avec
OTP PKI (HW) Biométrie Authentification Forte * Chiffrement Signature numérique Non répudiation Lien fort avec

OTP

PKI (HW)

Biométrie

Authentification

Forte

OTP PKI (HW) Biométrie Authentification Forte * Chiffrement Signature numérique Non répudiation Lien fort avec
OTP PKI (HW) Biométrie Authentification Forte * Chiffrement Signature numérique Non répudiation Lien fort avec
OTP PKI (HW) Biométrie Authentification Forte * Chiffrement Signature numérique Non répudiation Lien fort avec

*

Chiffrement

OTP PKI (HW) Biométrie Authentification Forte * Chiffrement Signature numérique Non répudiation Lien fort avec
OTP PKI (HW) Biométrie Authentification Forte * Chiffrement Signature numérique Non répudiation Lien fort avec
OTP PKI (HW) Biométrie Authentification Forte * Chiffrement Signature numérique Non répudiation Lien fort avec

Signature

numérique

Authentification Forte * Chiffrement Signature numérique Non répudiation Lien fort avec l’utilisateur
Authentification Forte * Chiffrement Signature numérique Non répudiation Lien fort avec l’utilisateur
Authentification Forte * Chiffrement Signature numérique Non répudiation Lien fort avec l’utilisateur

Non répudiation

Forte * Chiffrement Signature numérique Non répudiation Lien fort avec l’utilisateur www.maret-consulting.ch *
Forte * Chiffrement Signature numérique Non répudiation Lien fort avec l’utilisateur www.maret-consulting.ch *
Forte * Chiffrement Signature numérique Non répudiation Lien fort avec l’utilisateur www.maret-consulting.ch *

Lien fort avec l’utilisateur

numérique Non répudiation Lien fort avec l’utilisateur www.maret-consulting.ch * Biométrie type Fingerprinting
numérique Non répudiation Lien fort avec l’utilisateur www.maret-consulting.ch * Biométrie type Fingerprinting
numérique Non répudiation Lien fort avec l’utilisateur www.maret-consulting.ch * Biométrie type Fingerprinting

www.maret-consulting.ch

* Biométrie type Fingerprinting

Lien fort avec l’utilisateur www.maret-consulting.ch * Biométrie type Fingerprinting Conseil en technologies

Conseil en technologies

Les authentifieurs P rocessus Humain en 2010 www.maret-consulting.ch Conseil en technologies
Les authentifieurs
P
rocessus
Humain
en 2010
www.maret-consulting.ch
Conseil en technologies

OTP Software SmartPhone

OTP Software SmartPhone OTP pour Iphone: un retour d'expérience Software OTP pour l'Iphone Mobile One Time
OTP Software SmartPhone OTP pour Iphone: un retour d'expérience Software OTP pour l'Iphone Mobile One Time
OTP Software SmartPhone OTP pour Iphone: un retour d'expérience Software OTP pour l'Iphone Mobile One Time
OTP Software SmartPhone OTP pour Iphone: un retour d'expérience Software OTP pour l'Iphone Mobile One Time

OTP pour Iphone: un retour d'expérience Software OTP pour l'Iphone Mobile One Time Passwords

www.maret-consulting.ch

d'expérience Software OTP pour l'Iphone Mobile One Time Passwords www.maret-consulting.ch Conseil en technologies

Conseil en technologies

Biométrie Match on Card

Biométrie Match on Card Retour d'expérience sur le déploiement de biométrie à grande échelle

Retour d'expérience sur le déploiement de biométrie à grande échelle

www.maret-consulting.ch

d'expérience sur le déploiement de biométrie à grande échelle www.maret-consulting.ch Conseil en technologies

Conseil en technologies

La mire d’authentification biométrique

La mire d’authentification biométrique www.maret-consulting.ch Conseil en technologies
La mire d’authentification biométrique www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

La mire d’authentification biométrique www.maret-consulting.ch Conseil en technologies

Conseil en technologies

USB Token

USB Token www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

USB Token www.maret-consulting.ch Conseil en technologies
USB Token www.maret-consulting.ch Conseil en technologies

Conseil en technologies

Passeport Internet

Passeport Internet www.maret-consulting.ch Conseil en technologies
Passeport Internet www.maret-consulting.ch Conseil en technologies
Passeport Internet www.maret-consulting.ch Conseil en technologies
Passeport Internet www.maret-consulting.ch Conseil en technologies
Passeport Internet www.maret-consulting.ch Conseil en technologies
Passeport Internet www.maret-consulting.ch Conseil en technologies
Passeport Internet www.maret-consulting.ch Conseil en technologies
Passeport Internet www.maret-consulting.ch Conseil en technologies
Passeport Internet www.maret-consulting.ch Conseil en technologies
Passeport Internet www.maret-consulting.ch Conseil en technologies
Passeport Internet www.maret-consulting.ch Conseil en technologies
Passeport Internet www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

Conseil en technologies

Cryptographie matricielle

Cryptographie matricielle www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

Cryptographie matricielle www.maret-consulting.ch Conseil en technologies
Cryptographie matricielle www.maret-consulting.ch Conseil en technologies

Conseil en technologies

PKI: Certificat numérique X509

Software Certificate

Hardware Certificate

PKI: Certificat numérique X509 Software Certificate Hardware Certificate www.maret-consulting.ch Conseil en technologies
PKI: Certificat numérique X509 Software Certificate Hardware Certificate www.maret-consulting.ch Conseil en technologies
PKI: Certificat numérique X509 Software Certificate Hardware Certificate www.maret-consulting.ch Conseil en technologies
PKI: Certificat numérique X509 Software Certificate Hardware Certificate www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

Conseil en technologies

OTP via SMS

www.maret-consulting.ch

OTP via SMS www.maret-consulting.ch Enter OTP OTP via SMS Conseil en technologies
OTP via SMS www.maret-consulting.ch Enter OTP OTP via SMS Conseil en technologies

Enter OTP

OTP via SMS

OTP via SMS www.maret-consulting.ch Enter OTP OTP via SMS Conseil en technologies
OTP via SMS www.maret-consulting.ch Enter OTP OTP via SMS Conseil en technologies
OTP via SMS www.maret-consulting.ch Enter OTP OTP via SMS Conseil en technologies

Conseil en technologies

Etat de l’art en 2010 des authentifieurs: Synthèse

TechnologiesTechnologiesTechnologiesTechnologies

 

ExplicationsExplicationsExplicationsExplications

 

OTP Software SmartPhone

One

Time Password software

 

Event, Time ou mode défi réponse Mode non connecté

 

Biométrie Match on Card

Biométrie et Carte à puce Certificat numérique

S

k

toc age

d

l

e a pattern

Bi

é

i

om tr que

 

USB Token

One

Time Password en mode connecté

 

Event, Time ou mode défi réponse

Passeport Internet

Biométrie One Time Password Mode non connecté Mode défi réponse

 

Cryptographie

One

Time Password

 

matricielle

Mode défi réponse

PKI

Certificat software Certificat Hardware

 

OTP SMS

One

Time Password par SMS

 
OTP SMS One Time Password par SMS  

www.maret-consulting.ch

 

Conseil en technologies

Mode de fonctionemen P rocessus nouveauté Humain www.maret-consulting.ch Conseil en technologies
Mode de fonctionemen
P
rocessus
nouveauté
Humain
www.maret-consulting.ch
Conseil en technologies

Risk Based Authentication

Risk Based Authentication www.maret-consulting.ch Conseil en technologies
Risk Based Authentication www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

Risk Based Authentication www.maret-consulting.ch Conseil en technologies

Conseil en technologies

lìí=çÑ=_~åÇ=^ìíÜÉåíáÅ~íáçå

lìí=çÑ=_~åÇ=^ìíÜÉåíáÅ~íáçå www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

lìí=çÑ=_~åÇ=^ìíÜÉåíáÅ~íáçå www.maret-consulting.ch Conseil en technologies

Conseil en technologies

Etat de l’art en 2010: Mode de fonctionnement

Technologies

Explications

Risk Based Authentication

Analyse comportementale des utilisateurs

Technologie Out of Band

Transmission des données par un canal tiers Comme par exemple le GSM (Data)

www.maret-consulting.ch

des données par un canal tiers Comme par exemple le GSM (Data) www.maret-consulting.ch Conseil en technologies

Conseil en technologies

Intégration avec P rocessus les applications Web Humain www.maret-consulting.ch Conseil en technologies
Intégration avec
P
rocessus
les applications Web
Humain
www.maret-consulting.ch
Conseil en technologies

Application Web avec une authentification basique

Application Web avec une authentification basique www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

Application Web avec une authentification basique www.maret-consulting.ch Conseil en technologies

Conseil en technologies

Application Web vers une authentification forte ?

Application Web vers une authentification forte ? www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

Application Web vers une authentification forte ? www.maret-consulting.ch Conseil en technologies

Conseil en technologies

Approche “Shielding” - (Perimetric Auth)

Approche “Shielding” - (Perimetric Auth) www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

Approche “Shielding” - (Perimetric Auth) www.maret-consulting.ch Conseil en technologies

Conseil en technologies

Approche par Module ou Agents

Approche par Module ou Agents www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

Approche par Module ou Agents www.maret-consulting.ch Conseil en technologies

Conseil en technologies

Approche API / SDK

Approche API / SDK www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

Approche API / SDK www.maret-consulting.ch Conseil en technologies

Conseil en technologies

SSL PKI: comment ca fonctionne ?

Validation

Authority

SSL PKI: comment ca fonctionne ? Validation Authority OCSP request Valide Pas valide Inconu SSL /
SSL PKI: comment ca fonctionne ? Validation Authority OCSP request Valide Pas valide Inconu SSL /

OCSP request

comment ca fonctionne ? Validation Authority OCSP request Valide Pas valide Inconu SSL / TLS Mutual

Valide

Pas valide

Inconu

? Validation Authority OCSP request Valide Pas valide Inconu SSL / TLS Mutual Authentication Web Server
? Validation Authority OCSP request Valide Pas valide Inconu SSL / TLS Mutual Authentication Web Server
? Validation Authority OCSP request Valide Pas valide Inconu SSL / TLS Mutual Authentication Web Server
? Validation Authority OCSP request Valide Pas valide Inconu SSL / TLS Mutual Authentication Web Server

SSL / TLS Mutual Authentication

Web Server

www.maret-consulting.ch

Valide Pas valide Inconu SSL / TLS Mutual Authentication Web Server www.maret-consulting.ch Alice Conseil en technologies
Valide Pas valide Inconu SSL / TLS Mutual Authentication Web Server www.maret-consulting.ch Alice Conseil en technologies
Valide Pas valide Inconu SSL / TLS Mutual Authentication Web Server www.maret-consulting.ch Alice Conseil en technologies

Alice

Valide Pas valide Inconu SSL / TLS Mutual Authentication Web Server www.maret-consulting.ch Alice Conseil en technologies

Conseil en technologies

Approche Fédération d’identité changement de paradigme

Approche Fédération d’identité changement de paradigme www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

Approche Fédération d’identité changement de paradigme www.maret-consulting.ch Conseil en technologies
Approche Fédération d’identité changement de paradigme www.maret-consulting.ch Conseil en technologies

Conseil en technologies

Approche Fédération d’identité changement de paradigme

Approche Fédération d’identité changement de paradigme www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

Approche Fédération d’identité changement de paradigme www.maret-consulting.ch Conseil en technologies
Approche Fédération d’identité changement de paradigme www.maret-consulting.ch Conseil en technologies

Conseil en technologies

Approche Fédération d’identité

Approche Fédération d’identité www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

Conseil en technologies

Approches pour une intégration de l’authentification forte

Approches

Examples

Shielding (Perimetric Auth)

Utilisation d’un composants tiers de protection Comme un Reverse Proxy (Web Application Firewall)

Module

(Agents)

Utilisation d’un module software Comme par exemple un module Apache, un agent SecurID, etc. Utilisation d’un protocole comme Radius

API

(SDK)

Développement via une API Par exemple en utilisant les Web Services (SOAP)

SSL PKI

Utilisation d’un certificat X509 Utilisation des fonctionnalités de SSL/TLS PKI Ready

Identity Federation

Utilisation d’un protocole de fédération comme SAML, OpenID,

Autres

PKI applicatif, etc.

www.maret-consulting.ch

Autres PKI applicatif, etc. www.maret-consulting.ch

Conseil en technologies

Tendances ? www.maret-consulting.ch Conseil en technologies
Tendances ?
www.maret-consulting.ch
Conseil en technologies

Quelques tendances !

Quelques tendances ! Personal Portable Security Device (PPSD) Vascular Pattern Recognition EMC CAP www.maret-consulting.ch

Personal Portable Security Device (PPSD)

Quelques tendances ! Personal Portable Security Device (PPSD) Vascular Pattern Recognition EMC CAP www.maret-consulting.ch

Vascular Pattern Recognition

Portable Security Device (PPSD) Vascular Pattern Recognition EMC CAP www.maret-consulting.ch Conseil en technologies

EMC CAP

Portable Security Device (PPSD) Vascular Pattern Recognition EMC CAP www.maret-consulting.ch Conseil en technologies
Portable Security Device (PPSD) Vascular Pattern Recognition EMC CAP www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

Portable Security Device (PPSD) Vascular Pattern Recognition EMC CAP www.maret-consulting.ch Conseil en technologies

Conseil en technologies

A quand la convergence ?

A quand la convergence ? Une convergence difficile ! Sécurité physique et sécurité logique www.maret-consulting.ch
A quand la convergence ? Une convergence difficile ! Sécurité physique et sécurité logique www.maret-consulting.ch

Une convergence difficile ! Sécurité physique et sécurité logique

www.maret-consulting.ch

? Une convergence difficile ! Sécurité physique et sécurité logique www.maret-consulting.ch Conseil en technologies
? Une convergence difficile ! Sécurité physique et sécurité logique www.maret-consulting.ch Conseil en technologies

Conseil en technologies

Get an OpenID

Get an OpenID 2 Factors Authentication www.maret-consulting.ch Conseil en technologies
Get an OpenID 2 Factors Authentication www.maret-consulting.ch Conseil en technologies
Get an OpenID 2 Factors Authentication www.maret-consulting.ch Conseil en technologies
2 Factors Authentication
2 Factors Authentication
Get an OpenID 2 Factors Authentication www.maret-consulting.ch Conseil en technologies
Get an OpenID 2 Factors Authentication www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch

Get an OpenID 2 Factors Authentication www.maret-consulting.ch Conseil en technologies

Conseil en technologies

Qui suis-je ?

Qui suis-je ? Expert en Sécurité   15 ans d’expérience en Sécurité des Systèmes d’Information CEO

Expert en Sécurité

 

15 ans d’expérience en Sécurité des Systèmes d’Information

CEO et Founder MARET Consulting

Expert école ingénieur Yverdon & Université de Genève

Swiss French Area delegate at OpenID Switzerland

Co Founder Geneva Application Security Forum

Auteur Blog: la Citadelle Electronique

Domaine de prédilection

www.maret-consulting.ch

Digital Identity Security

Electronique Domaine de prédilection www.maret-consulting.ch Digital Identity Security Conseil en technologies

Conseil en technologies

Quelques liens pour aller approfondir le sujet

MARET Consulting

http://maret-consulting.ch/

La Citadelle Electronique (le blog sur les identités numériques)

http://www.citadelle-electronique.net/

Article banque et finance:

Usurper une identité? Impossible avec la biométrie!

 

http://www.banque-finance.ch/numeros/88/59.pdf

 

Biométrie et Mobilité

 

http://www.banque-finance.ch/numeros/97/62.pdf

Présentation public

Présentation public OSSIR Paris 2009: Retour d'expérience sur le

OSSIR Paris 2009: Retour d'expérience sur le déploiement de biométrie à grande échelle

http://www.ossir.org/paris/supports/2009/2009-10-13/Sylvain_Maret_Biometrie.pdf

ISACA, Clusis: Accès à l’information : Rôles et responsabilités

www.maret-consulting.ch

http://blog.b3b.ch/wp-content/uploads/mise-en-oeuvre-de28099une-solution-biometrique-

de28099authentification-forte.pdf

de28099authentification-forte.pdf Conseil en technologies

Conseil en technologies

"Le conseil et l'expertise pour le choix et la mise en oeuvre des technologies innovantes

"Le conseil et l'expertise pour le choix et la mise

en oeuvre des technologies innovantes dans la sécurité

des systèmes d'information et de l'identité numérique"

www.maret-consulting.ch

des systèmes d'information et de l'identité numérique" www.maret-consulting.ch Conseil en technologies

Conseil en technologies