You are on page 1of 22

Geneva Application Security Forum 2010

« Vers une authentification plus forte dans les applications web »

Introduction

Antonio Fontes Chapter Leader - OWASP Geneva

ThinkSwiss—Anticipate the Future

Merci!

#2

Geneva Application Security Forum 2010

ThinkSwiss - Anticipate the Future

OWASP

#3

Geneva Application Security Forum 2010

ThinkSwiss - Anticipate the Future

Objectifs OWASP 2010
• Renforcer le pont créé avec les industries • Atteindre les développeurs et les décideurs • Accroitre la collaboration inter-chapitres • Continuer la mission de promotion

#4

Geneva Application Security Forum 2010

ThinkSwiss - Anticipate the Future

OWASP Genève
 

• Structure:
– – – – 1 responsable de section 1 membre donateur 66 inscrits à la liste de diffusion Situation financière: P/L: CHF 0.- (100% sponsorings)

• Activités 2009:
– Spring 2009 Meeting (90 participants) – HEIG Yverdon: séminaire top 10 intégré au #5 cursus master e – 2èm semestre 2009: actions de promotion de Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future l’OWASP

OWASP Genève
 

• Activités et objectifs 2010:
– Geneva Application Security Forum – Accroitre la présence en conférences
Montréal mars 2010) (Confoo

– Promouvoir l’OWASP en Suisse romande:
• Dépasser les 200 adhésions à la liste • >10% de membres donateurs (25 membres)
#6

– Promouvoir la sécurité des applications web:
• Campagne d’évangélisation (blogs, ThinkSwiss - Anticipate the Future conférences, etc.)

Geneva Application Security Forum 2010


 

qui êtes-vous?

#7

Geneva Application Security Forum 2010

ThinkSwiss - Anticipate the Future

#8

Geneva Application Security Forum 2010

ThinkSwiss - Anticipate the Future

#9

Geneva Application Security Forum 2010

ThinkSwiss - Anticipate the Future

#10

Geneva Application Security Forum 2010

ThinkSwiss - Anticipate the Future


 

« Vers une authentification plus forte dans les applications web »

#11

Geneva Application Security Forum 2010

ThinkSwiss - Anticipate the Future

Le besoin d’authentification forte
• 62% des brèches: réalisées via les applications

(Forrester, mai 2009)

• 88% des applications développées en interne exposent l’entreprise (Veracode,
mars 2010)

• 2% des applications sous-traitées sont évaluées en matière de sécurité (Veracode, mars 2010)
#12

Geneva Application Security Forum 2010

ThinkSwiss - Anticipate the Future

• • • • L’analyse se base pourtant sur des logiciels de tous types! (client/serveur, web, embarqué, etc.)
#13

Geneva Application Security Forum 2010

ThinkSwiss - Anticipate the Future

Le besoin d’authentification forte
• Forte croissance dans l’utilisation des applications mobiles • Accès transparent aux services, à partir de multiples points de connexion

#14

Geneva Application Security Forum 2010

ThinkSwiss - Anticipate the Future

Le besoin d’authentification forte
• Risques d’interception (en ligne ou via malware, ou keylogger) • Attaques sociales, phishing • Risque accru d’un stockage de mot de passes risqué • XSS + « mot de passe » = Vol d’identité assuré!
#15

Geneva Application Security Forum 2010

ThinkSwiss - Anticipate the Future

L’authentification forte
• Une combinaison:
– Ce que je sais – Ce que je suis – Ce que je possède

• Des secrets uniques
– Chaque session est authentifiée par un secret différent

• Une protection accrue de l’identité
#16

Geneva Application Security Forum 2010

ThinkSwiss - Anticipate the Future

Geneva Application Security Forum 2010
• Mission:
– Encourager les organisations à réduire le risque d’usurpation et de vol d’identité dans les applications web. – Sensibiliser à la gestion des identités
• Par la délégation • Par la fédération

– Faire connaître l’authentification forte

#17

Geneva Application Security Forum 2010

ThinkSwiss - Anticipate the Future

Programme
• Accueil (selon retard…) • 18h30: Sylvain Maret (OpenID Suisse romande)
– L’intégration des technologies d’authentification forte dans les applications web

• 19h05: Philippe Leothaud (CTO, Bee Ware)
– L’authentification dans les contrôles de Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future sécurité: les mesures proposées par
#18

Programme
• 19h40: Robert Ott (Président OpenID Suisse, fondateur ClavID)
– La fédération des identités

#19

Geneva Application Security Forum 2010

ThinkSwiss - Anticipate the Future

Programme
• 20h15: Fête! Cocktail

Offert par:


– Kiosques:
• OWASP • OpenID, ClavID (activation de vos clés Ubikey) • Bee Ware • MyBestID

#20

• 21h30: Fin.
ThinkSwiss - Anticipate the Future

Geneva Application Security Forum 2010

Divers
• Vos clés Ubikey: activables au kiosque OpenID • Pauses:
– 5 minutes entre chaque intervention – Toilettes, distributeurs de boissons – Zone GSM de très haute qualité (réception et résonnance) dans le hall!
#21

• Assistance:

ThinkSwiss - Anticipate the Future

Geneva Application Security Forum 2010


 

« Bonne soirée! »

#22

Geneva Application Security Forum 2010

ThinkSwiss - Anticipate the Future