authentification forte 1
TRANSCRIPT
![Page 1: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/1.jpg)
e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Le bon sens et l’expérience | www.e-xpertsolutions.com 4
Volume 1/3
Par Sylvain Maret / CTO e-Xpert Solutions SA
Genève / Juillet 2007
TutorialAuthentification Forte
Technologie des identités numériques
![Page 2: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/2.jpg)
4
4 Le bon sens et l’expérience
“ L’art de fortifier ne consiste pas dans des règles et des systèmesmais uniquement dans le bon sens et l’expérience ”
Sebastien le Prestre de VaubanIngénieur Architecte 1633-1707
![Page 3: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/3.jpg)
4
4 Le bon sens et l’expérience
Agenda
� Identité numérique� Authentification forte� Pourquoi l’authentification forte?� Technologies
� OTP� PKI� Biométrie� Autres
� Les tendances 2007� Démonstrations
![Page 4: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/4.jpg)
4
4 Le bon sens et l’expérience
Identité numérique ?
Beaucoup de définitions
![Page 5: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/5.jpg)
4
4 Le bon sens et l’expérience
Un essai de définition…technique
Avatar
Bank
Mail / Achats
Entreprise
Monde réel
Monde virtuel
Lien technologique entre une identité réel et une identité virtuel
![Page 6: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/6.jpg)
4
4 Le bon sens et l’expérience
Identité numérique sur Internet
Identification
![Page 7: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/7.jpg)
4
4 Le bon sens et l’expérience
Identification et authentification ?
� Identification� Qui êtes vous ?
� Authentification� Prouvez le !
![Page 8: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/8.jpg)
4
4 Le bon sens et l’expérience
Facteurs pour l’authentification
� ce que l'entité connaconnaconnaconnaîîîît (Mot de passe)
� ce que l'entité ddddéééétienttienttienttient(Authentifieur)
� ce que l'entité est ou fait est ou fait est ou fait est ou fait (Biométrie)
![Page 9: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/9.jpg)
4
4 Le bon sens et l’expérience
Définition de l’authentification forte
![Page 10: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/10.jpg)
4
4 Le bon sens et l’expérience
Authentification forte
Clé de voûte de la sécurisation du système d’information
Conviction forte de e-Xpert Solutions SA
![Page 11: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/11.jpg)
4
4 Le bon sens et l’expérience
Protection de votre système d’information
Technologie authentification forte
Protocoles d’authentification ???
Données
Source: OATH
![Page 12: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/12.jpg)
4
4 Le bon sens et l’expérience
Pyramide de l’authentification forte
![Page 13: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/13.jpg)
4
4 Le bon sens et l’expérience
Pourquoi l’authentification forte?
![Page 14: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/14.jpg)
4
4 Le bon sens et l’expérience
![Page 15: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/15.jpg)
4
4 Le bon sens et l’expérience
Keylogger: une réelle menace
� 6191 keyloggers recensés cette année� contre 3753 l'an passé (et environ 300 en 2000), soit une
progression de 65 %
![Page 16: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/16.jpg)
4
4 Le bon sens et l’expérience
Phishing - Pharming
� Anti-Phishing Working Group recommande l’utilisation de l’authentification forte
http://www.antiphishing.org/Phishing-dhs-report.pdf
![Page 17: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/17.jpg)
4
4 Le bon sens et l’expérience
T-FA in an Internet Banking Environment
� 12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive
� « Single Factor Authentication » n’est pas suffisant pour les applications Web financière
� Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte
� http://www.ffiec.gov/press/pr101205.htm
![Page 18: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/18.jpg)
4
4 Le bon sens et l’expérience
T-FA: An Essential Component of I&AM
![Page 19: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/19.jpg)
4
4 Le bon sens et l’expérience
Liberty Alliance souhaite accélérer l'adoption de l'authentification forte
� 8 novembre 2005:
� Liberty Alliance Project forme un groupe d’expert pour l’authentification forte
� The Strong Authentication Expert Group (SAEG)
� Publication dès 2006
� spécifications ID SAFE
![Page 20: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/20.jpg)
4
4 Le bon sens et l’expérience
Les premières réactions… !
� Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité
![Page 21: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/21.jpg)
4
4 Le bon sens et l’expérience
Les technologies d’authentification forte
� Technologies en pleine mouvance
� Technologie grand public
� Technologie pour les entreprises
� Tour d’horizon des solutions en 2007� (Non exhaustif)
![Page 22: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/22.jpg)
4
4 Le bon sens et l’expérience
http://www.openauthentication.org/
![Page 23: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/23.jpg)
4
4 Le bon sens et l’expérience
Modèle OATH
Source: OATH
![Page 24: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/24.jpg)
4
4 Le bon sens et l’expérience
Client Framework« Device » PhysiqueToken ou AuthentifieurTechnologies
Source: OATH
![Page 25: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/25.jpg)
4
4 Le bon sens et l’expérience
Authentication Method
� Authentication Method:
� a function for authenticating users or devices, including
� One-Time Password (OTP) algorithms
� public key certificates (PKI)
� Biometry
� and other methods� SMS� Scratch List� Etc.
![Page 26: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/26.jpg)
4
4 Le bon sens et l’expérience
Authentification Token: définition
� Composant Hardware ou Software
� « Authentifieur »
� Implémente la ou les méthode(s) d’authentification
� Réalise le mécanisme d’authentification en toute sécurité
� Fournit un stockage sécurisédes « credentials »d’authentification
![Page 27: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/27.jpg)
4
4 Le bon sens et l’expérience
Quel « Authentifieur » ?
![Page 28: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/28.jpg)
4
4 Le bon sens et l’expérience
One-Time Password (OTP)
� Mot de passe à usage unique� Basé sur le partage d’un secret
� Généralement utilisation d’une fonction de hachage
� Pour� Très portable (pour le mode non
connecté)
� Contre� Pas de signature� Pas de chiffrement� Peu évolutif� Pas de non rnon rnon rnon réééépudiation!pudiation!pudiation!pudiation!
![Page 29: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/29.jpg)
4
4 Le bon sens et l’expérience
« Authentifieur » OTP
![Page 30: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/30.jpg)
4
4 Le bon sens et l’expérience
Exemple: RSA SecurID
Source: RSA
![Page 31: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/31.jpg)
4
4 Le bon sens et l’expérience
PKI: Certificat numérique (X509)
� Basé sur la possession de la clésecrète (RSA, etc.)
� Mécanisme de type « Challenge Response »
� Pour� Offre plus de services:
� Authentification� Signature� Chiffrement – non rnon rnon rnon réééépudiationpudiationpudiationpudiation
� Contre� Nécessite un moyen de transport
sécurisé de la clde la clde la clde la cléééé privprivprivprivééééeeee� Pas vraiment portable
![Page 32: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/32.jpg)
4
4 Le bon sens et l’expérience
« Authentifieur » PKI
![Page 33: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/33.jpg)
4
4 Le bon sens et l’expérience
Le meilleur des deux mondes:
Technologie hybride: OTP & PKI
![Page 34: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/34.jpg)
4
4 Le bon sens et l’expérience
Technologie SMS (OOB)
![Page 35: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/35.jpg)
4
4 Le bon sens et l’expérience
Etude de cas: Skyguide
� La sécurité alliée au login unique
� Firewall Web application
� Web Single Sign On
� Authentification forte via SMS
![Page 36: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/36.jpg)
4
4 Le bon sens et l’expérience
OTP: TAN
� Liste à biffer� TAN (Transaction Authentication Number)
![Page 37: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/37.jpg)
4
4 Le bon sens et l’expérience
OTP « Bingo Card »
9 2
AnyUser
******
Source: Entrust
![Page 38: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/38.jpg)
4
4 Le bon sens et l’expérience
Les tendances 2007
![Page 39: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/39.jpg)
4
4 Le bon sens et l’expérience
Marché de l’authentification forte
![Page 40: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/40.jpg)
4
4 Le bon sens et l’expérience
Token USB multi fonction
![Page 41: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/41.jpg)
4
4 Le bon sens et l’expérience
Le monde des portables
� SIM-Based Authentication
� GemXplore 'Xpresso Java Card SIMs from Gemplus
� OTA (Over-The-Air) technology
![Page 42: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/42.jpg)
4
4 Le bon sens et l’expérience
Technologie OTA
http://www.gemplus.com/techno/ota/resources/white_paper.html
![Page 43: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/43.jpg)
4
4 Le bon sens et l’expérience
Trusted Platform Module [TPM]
https://www.trustedcomputinggroup.org/home
![Page 44: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/44.jpg)
4
4 Le bon sens et l’expérience
Multi Application Smart Card
Source: RSA
![Page 45: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/45.jpg)
4
4 Le bon sens et l’expérience
Technologie Mifare
� Contactless technology that is owned by Philips Electronics
� De Facto Standard
![Page 46: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/46.jpg)
4
4 Le bon sens et l’expérience
La biométrie
� Système « ancien »� 1930 - carte d’identité avec photo
� Reconnaissance de la voix
� Etc.
� Deux familles :� Mesure des traits physiques uniques
� Mesure d’un comportement unique
![Page 47: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/47.jpg)
4
4 Le bon sens et l’expérience
Mesure des traits physiques
� Empreintes digitales
� Géométrie de la main
� Les yeux
� Iris
� Rétine
� Reconnaissance du visage
� Nouvelles voies
� ADN, odeurs, oreille et « thermogram »
![Page 48: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/48.jpg)
4
4 Le bon sens et l’expérience
Mesure d’un comportement
� Reconnaissance vocale
� Signature manuscrite
� Dynamique de frappe
� Clavier
![Page 49: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/49.jpg)
4
4 Le bon sens et l’expérience
Confort vs fiabilité
![Page 50: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/50.jpg)
4
4 Le bon sens et l’expérience
Fonctionnement en trois phases
![Page 51: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/51.jpg)
4
4 Le bon sens et l’expérience
Stockage des données ?
� Par serveur d’authentification
� Problème de sécurité
� Problème de confidentialité
� Problème de disponibilité
� Sur une smartcard
� Meilleure sécurité
� Mode « offline »
� MOC = Match On card
![Page 52: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/52.jpg)
4
4 Le bon sens et l’expérience
Equal Error Rate (EER)
![Page 53: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/53.jpg)
4
4 Le bon sens et l’expérience
Biométrie en terme de sécurité?
� Solution Biométrique uniquement ?
� Confort à l’utilisation
� N’est pas un plus en terme de sécurité (en 2007)
� Doit être couplé à un 2ème facteurs
� Carte à puce par exemple
![Page 54: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/54.jpg)
4
4 Le bon sens et l’expérience
Matsumoto's « Gummy Fingers »
Etude Yokohama Universityhttp://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf
![Page 55: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/55.jpg)
4
4 Le bon sens et l’expérience
Niveau de sécurité?
OTPCert Based / PKI U&P
![Page 56: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/56.jpg)
4
4 Le bon sens et l’expérience
Protection de votre système d’information
Technologie authentification forte
Protocoles d’authentification ???
Données
Source: OATH
![Page 57: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/57.jpg)
4
4 Le bon sens et l’expérience
App. Framework
Source: OATH
![Page 58: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/58.jpg)
4
4 Le bon sens et l’expérience
Questions ?
![Page 59: Authentification Forte 1](https://reader038.vdocuments.net/reader038/viewer/2022102712/55a5ad1b1a28abc3238b463b/html5/thumbnails/59.jpg)
4
4 Le bon sens et l’expérience
e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécuritéinformatique dont les fondateurs ont fait de leur passion leur métier :
La sécurité des systèmes d'information
Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et maintiennent au quotidien des architectures de sécurité au moyen de solutions pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux exigences de la clientèle.
Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la confiance d'une clientèle issue de tout domaine d'activité et de toute taille.
Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un contact de proximité.
http://www.e-xpertsolutions.com