e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Protection du système d’information

Authentification forte / identité numérique

Présentation du 31 mai 2007

Par Sylvain Maret / CTO e-Xpert Solutions

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
 4

“ L’art de fortifier ne consiste pas dans des règles et des systèmes

mais uniquement dans le bon sens et l’expérience ”

Sebastien le Prestre de Vauban

Ingénieur Architecte 1633-1707
4 Solutions à la clef
4 Agenda

Présentation e-Xpert Solutions

Authentification forte & identité numérique

Études de cas

Discussion ouverte

4 Solutions à la clef
4 e-Xpert Solutions

Société fondée en février 2001

Société anonyme (capital en main de fondateurs)

Siège à Bernex / Genève

Ouverture d’une agence à Lausanne en novembre
2004

Domaine d’activité: la sécurité informatique

4 Solutions à la clef
4 Nos références

Banques
Industrie

Institutions financiers
Alimentation

Assurances
Gouvernement

Aéronautique
Instituts de recherche

Média
Organisations Internationales

Immobilier

4 Solutions à la clef
4 Extrait de nos références

4 Solutions à la clef
4 Deux études de cas

La sécurité alliée au login
La technologie au service des

unique journalistes

Firewall Web application
VPN SSL

Web Single Sign On
Redondance des

Authentification forte via SMS équipements

Authentification forte SecurID

4 Solutions à la clef
4

4 Solutions à la clef
 4 Sécurité informatique: histoire et futur…
Collaboration par Internet
(Complète)

“Consumerisation”
[Cheap IP based devices]
Connectivité

Today
Collaboration par Internet
(Encore limitée)

Travail externe
VPN based

Fin de la protection
Périmétrique seulement
Collaboration externe
[connexions privées]

Internet Connectivité
Web, e-Mail, Telnet, FTP

Connectivité
Internet & e-Mail Temps

1994 2007

4 Solutions à la clef
4 Comment répondre aux futurs challenges ?

Le niveau de protection doit être
Les « devices » et les

adapté à la valeur de applications doivent
l’information et au risque communiquer en utilisant des
protocoles sécurisés

Les mécanismes de sécurité
Intégrité
doivent être:
Confidentialité

Efficace

Simple
L’accès aux données doit être

Facile à gérer contrôlé

Cohérent
Protection proche de la source

Évolutif
Authentification forte (Identity

Robuste Management)

Autorisation

Confidentialité
4 Solutions à la clef
4 Protection du système d’information

Audit, gestion des événements

« End Point » « Infrastructure » « Application »

Haute disponibilité

Authentification forte
Gestion des identités numériques

4 Solutions à la clef
 e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Authentification forte

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
4 Identité numérique ?

Beaucoup de définitions

4 Solutions à la clef
Un essai de définition…technique
4

Monde virtuel
Entreprise
Bank

Avatar
Mail / Achats
Lien technologique entre une identité réel et une identité virtuel

Monde réel

4 Solutions à la clef
4 Identité numérique sur Internet

Identification

4 Solutions à la clef
4 Identification et authentification ?

Identification

Qui êtes vous ?

Authentification

Prouvez le !

4 Solutions à la clef
4 Facteurs pour l’authentification

ce que l'entité connaît (Mot de passe)

ce que l'entité détient (Authentifieur)

ce que l'entité est ou fait (Biométrie)

4 Solutions à la clef
4 Définition de l’authentification forte

4 Solutions à la clef
4 Authentification forte

Clé de voûte de la sécurisation du système d’information

Conviction forte de e-Xpert Solutions SA

4 Solutions à la clef
Protection de votre système d’information
4

Données

Protocoles d’authentification
Technologie authentification forte

4 Solutions à la clef
4 Pyramide de l’authentification forte

4 Solutions à la clef
4 Pourquoi l’authentification forte?

4 Solutions à la clef
4

4 Solutions à la clef
4 Keylogger: une réelle menace

6191 keyloggers recensés cette année

contre 3753 l'an passé (et environ 300 en 2000), soit une
progression de 65 %

4 Solutions à la clef
4 Phishing - Pharming

Anti-Phishing Working Group recommande l’utilisation

de l’authentification forte

http://www.antiphishing.org/Phishing-dhs-report.pdf

4 Solutions à la clef
4 T-FA in an Internet Banking Environment

12 octobre 2005: le Federal Financial Institutions

Examination Council (FFIEC) émet une directive

« Single Factor Authentication » n’est pas suffisant pour les

applications Web financière

Avant la fin 2006 il est obligatoire de mettre en place un

système d’authentification forte

http://www.ffiec.gov/press/pr101205.htm

4 Solutions à la clef
4 T-FA: An Essential Component of I&AM

4 Solutions à la clef
 Liberty Alliance souhaite accélérer
4
l'adoption de l'authentification forte

8 novembre 2005:

Liberty Alliance Project forme un groupe d’expert pour
l’authentification forte

The Strong Authentication Expert Group (SAEG)

Publication dès 2006

spécifications ID SAFE

4 Solutions à la clef
4 Les premières réactions… !

Les entreprises réalisent que l’authentification forte est

une composante de base de la sécurité

4 Solutions à la clef
4 Les technologies d’authentification forte

Technologies en pleine mouvance

Technologie grand public

Technologie pour les entreprises

Tour d’horizon des solutions en 2007

(Non exhaustif)

4 Solutions à la clef
 4 Client Framework
« Device » Physique
Technologies Token ou Authentifieur

4 Solutions à la clef
4 Authentication Method

Authentication Method:

a function for authenticating users or devices, including

One-Time Password (OTP) algorithms

public key certificates (PKI)

Biometry

and other methods

SMS

Scratch List

Etc.

4 Solutions à la clef
4 Quel « Authentifieur » ?

4 Solutions à la clef
4 One-Time Password (OTP)

Mot de passe à usage unique

Basé sur le partage d’un secret

Généralement utilisation d’une fonction de hachage

Pour

Très portable (pour le mode non connecté)

Contre

Pas de signature

Pas de chiffrement

Peu évolutif

Pas de non répudiation!

4 Solutions à la clef
4 « Authentifieur » OTP

4 Solutions à la clef
4 PKI: Certificat numérique (X509)

Basé sur la possession de la clé secrète (RSA, etc.)

Mécanisme de type « Challenge Response »

Pour

Offre plus de services:

Authentification

Signature

Chiffrement – non répudiation

Contre

Nécessite un moyen de transport sécurisé de la clé privée

Pas vraiment portable

4 Solutions à la clef
4 « Authentifieur » PKI

4 Solutions à la clef
4 Le meilleur des deux mondes:

Technologie hybride: OTP & PKI

4 Solutions à la clef
4 Technologie SMS (OOB)

4 Solutions à la clef
4 Etude de cas: Skyguide

La sécurité alliée au login

unique

Firewall Web application

Web Single Sign On

Authentification forte via SMS

4 Solutions à la clef
4 Une tendance très claire

4 Solutions à la clef
4 La biométrie

Système « ancien »

1930 - carte d’identité avec photo

Reconnaissance de la voix

Etc.

Deux familles :

Mesure des traits physiques uniques

Mesure d’un comportement unique

4 Solutions à la clef
4 Confort vs fiabilité

4 Solutions à la clef
4 Fonctionnement en trois phases

4 Solutions à la clef
 4 Stockage des données ?

Par serveur d’authentification
Sur une smartcard

Problème de sécurité
Meilleure sécurité

Problème de confidentialité
Mode « offline »

Problème de disponibilité
MOC = Match On card

4 Solutions à la clef
4 Equal Error Rate (EER)

4 Solutions à la clef
4 Biométrie en terme de sécurité?

Solution Biométrique uniquement ?

Confort à l’utilisation

N’est pas un plus en terme de sécurité (en 2007)

Doit être couplé à un 2ème facteurs

Carte à puce par exemple

4 Solutions à la clef
4 Matsumoto's « Gummy Fingers »

Etude Yokohama University

http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf

4 Solutions à la clef
4 Niveau de sécurité?

4 Cert Based / PKI OTP U&P Solutions à la clef

4 Situation actuelle pour l’Authentification forte

Sécurisation du périmètre

VPN

SSL

IPSEC

Chiffrement (Laptop)

Applications Web public

Citrix

Protocole d’authentification

Ldap, Radius, SSL, SecurID,

SMS, PAM, 802.1x, etc.

4 Solutions à la clef
 4 La situation de demain: la dé-périmètrisation

http://www.opengroup.org/jericho/
4 Solutions à la clef
Protection de votre système d’information
4

Données

Protocoles d’authentification
Technologie authentification forte

4 Solutions à la clef
4 Comment sécuriser les données ?

Applications métier

ERP

Stockage

Domaine Microsoft

Main Frame

Applications Web

Services Web

Signature, chiffrement

IRM

Etc.

4 Solutions à la clef
4 1er étape: la classification des données

Un exemple de matrice

Auth. Forte
Avec non répudiation

Auth. forte

Auth. simple

4 Solutions à la clef
4 Quelques exemples

4 Solutions à la clef
4 Les opportunités / Identité numérique

VPN (Accès distants)

VPN SSL

VPN IPSEC

Citrix

Applications web

Interne, externe

Projet SSO, WSSO

Chiffrement des données

Web Services (WS Security)

Microsoft Smart Card Logon

Signature

PDF

Mail

Etc.

4 Solutions à la clef
4 EMC Documentum

4 Solutions à la clef
4 IRM

4 Solutions à la clef
4 Etude de cas: Une entreprise X

4 Solutions à la clef
4 Le projet authentification forte

Mise en place d’une application de type GED pour la

consultation de documents très sensibles

Les besoins en terme de sécurité

Protection du système d’information

Doit être accéder uniquement par les personnes

autorisées et identifiées de manière forte

par un procédé quasi irréfutable

4 Solutions à la clef
4 Les contraintes

Intégration avec les futures applications

Web Based (.NET)

Évolution vers la signature

Intégration avec le bâtiment

Simple, facile à gérer

Coûts

4 Solutions à la clef
4 Choix de la technologie ?

One Time Password (OTP)

Certificat numérique X509

Public Key Infrastructure

Biométrie

4 Solutions à la clef
4 Quelle technologie biométrique pour l’IT ?

4 Solutions à la clef
4 Technologie MOC

4 Solutions à la clef
4 Biométrie pour l’IT ?

Technologie nouvelle pour l’IT

Technologie mature depuis peu de temps

Nécessite de faire un Proof of Concept

Très bon résultat

e-Xpert Solutions est très optimiste sur cette techno

Projet PIV

Personal Identity Verification (PIV) for Federal Employees /
Contractors

Norme FIPS 201 USA

4 Solutions à la clef
4 Le choix retenu

Technologie PKI avec certificat X509

Carte à puce de type crypto processeur

Technologie biométrique de type « Fingerprinting »

En remplacement du PIN Code

Technologie Match On Card

Precise Match-on-CardTM

4 Solutions à la clef
4 1er Phase

Intégration avec Microsoft Smart Card Logon

Intégration avec deux applications très sensible

Web App avec SSL

Révocation Online des certificats (OCSP)

Mise en place d’un service de gestion des identités

Le futur:

Bâtiment

Web SSO

4 Solutions à la clef
4 Questions ?

Discussion ouverte

4 Solutions à la clef
 4

e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité
informatique dont les fondateurs ont fait de leur passion leur métier :

La sécurité des systèmes d'information

Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient

et maintiennent au quotidien des architectures de sécurité au moyen de solutions
pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées
aux exigences de la clientèle.
Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice
d'une intégrité irréprochable, nous a permis d'assurer une croissance continue et de
gagner la confiance d'une clientèle issue de tout domaine d'activité et de toute taille.
Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous
garantissent un contact de proximité.

http://www.e-xpertsolutions.com
4 Solutions à la clef