1. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Le bon sens et l’expérience | www.e-xpertsolutions.com4
Volume 2/3
Par Sylvain Maret / CTO e-Xpert Solutions SA
Genève / Juillet 2007
Tutorial
Authentification Forte
Technologie des identités numériques
2. 4
4 Le bon sens et l’expérience
“ L’art de fortifier ne consiste pas dans des règles et des systèmes
mais uniquement dans le bon sens et l’expérience ”
Sebastien le Prestre de Vauban
Ingénieur Architecte 1633-1707
3. 4
4 Le bon sens et l’expérience
Agenda
Un nouveau challenge
Protection des données
Intégration en entreprise
Une étude de cas
Sécurisation des données sensible
Projet d’authentification Forte en interne
4. 4
4 Le bon sens et l’expérience
Protection de votre système d’information
Technologie authentification forte
Protocoles d’authentification ???
Données
Source: OATH
5. 4
4 Le bon sens et l’expérience
App. Framework
Source: OATH
6. 4
4 Le bon sens et l’expérience
Situation actuelle pour l’Authentification forte
Sécurisation du ppppéééérimrimrimrimèèèètretretretre
VPN
SSL
IPSEC
Chiffrement (Laptop)
Applications Web public
Citrix
Protocole d’authentification
Ldap, Radius, SSL, SecurID,
SMS, PAM, 802.1x, etc.
7. 4
4 Le bon sens et l’expérience
La situation de demain: la dé-périmètrisation
http://www.opengroup.org/jericho/
Source: Jericho Forum
8. 4
4 Le bon sens et l’expérience
Comment sécuriser les données ?
Applications métier
ERP
Stockage
Domaine Microsoft
Main Frame
Applications Web
Services Web
Etc.
9. 4
4 Le bon sens et l’expérience
1er étape: la classification des données
Un exemple de matrice
Auth. Forte
Avec non répudiation
Auth. forte
Auth. simple
10. 4
4 Le bon sens et l’expérience
Quelques exemples ?
11. 4
4 Le bon sens et l’expérience
Syncro des « comptes » via ldap
Utilisation d’une base de référence pour le partage des
comptes utilisateur
Syncro des comptes
Pas de SSO
Pas forcément un gain en sécurité
Éventuellement l’ajout d’un méta annuaire
12. 4
4 Le bon sens et l’expérience
Schéma d’une solution ldap
13. 4
4 Le bon sens et l’expérience
Solution Single Sign On
Le rêve de toute entreprise…?
Plusieurs approches
Single Sign On
Helper
Reverse Proxy
Agent SSO
Reduce Sign On
Capture des touches
Quel niveau de sécurité ?
14. 4
4 Le bon sens et l’expérience
SSO: Helper application agent
Source: Raymond Philip Causton
HELSINKI UNIVERSITY OF TECHNOLOGY
15. 4
4 Le bon sens et l’expérience
SSO: Reverse Proxy
Source: Raymond Philip Causton
HELSINKI UNIVERSITY OF TECHNOLOGY
16. 4
4 Le bon sens et l’expérience
SSO: Native plug-in architecture
Source: Raymond Philip Causton
HELSINKI UNIVERSITY OF TECHNOLOGY
17. 4
4 Le bon sens et l’expérience
Reduce Sign On
Source: Raymond Philip Causton
HELSINKI UNIVERSITY OF TECHNOLOGY
18. 4
4 Le bon sens et l’expérience
Kerberos en deux mots
Source: Raymond Philip Causton
HELSINKI UNIVERSITY OF TECHNOLOGY
19. 4
4 Le bon sens et l’expérience
Microsoft Smart Card Logon
http://www.microsoft.com/windows2000/docs/sclogonwp.doc
http://searchwindowssecurity.techtarget.com/
searchWindowsSecurity/downloads/DeClercq05.pdf
Source: Microsoft
20. 4
4 Le bon sens et l’expérience
MS PKINIT
Source: Microsoft
21. 4
4 Le bon sens et l’expérience
Applications Web via SSL / TLS
22. 4
4 Le bon sens et l’expérience
WSSO
Source: Raymond Philip Causton
HELSINKI UNIVERSITY OF TECHNOLOGY
23. 4
4 Le bon sens et l’expérience
« Legacy » application
Que faire ?
Main Frame
Clients serveurs
Emulation
Etc.
Quelques pistes
Crypto Kit
Citrix
VPN SSL ou IPSEC
Radius, PAM
Etc.
24. 4
4 Le bon sens et l’expérience
Une tendance très claire pour l’entreprise: la carte à puces
25. 4
4 Le bon sens et l’expérience
Validation Protocols
Source: OATH
26. 4
4 Le bon sens et l’expérience
Standards existant
Certificate Based / PKI X509
CRL (Certificate Revocation
List)
SCVP
Simple Certificate Validation
Protocol
OCSP [RFC2560]
Online Certificate Status
Protocol
27. 4
4 Le bon sens et l’expérience
Architecture OCSP
Web ServerWeb ServerWeb ServerWeb Server
AliceAliceAliceAlice
ValidationValidationValidationValidation
AuthorityAuthorityAuthorityAuthority
ValideValideValideValide
Pas validePas validePas validePas valide
InconuInconuInconuInconu
OCSPOCSPOCSPOCSP requestrequestrequestrequest
28. 4
4 Le bon sens et l’expérience
Une étude de cas 2007: L’entreprise XYZ (Suisse) S.A.
29. 4
4 Le bon sens et l’expérience
Le challenge du projet
Choix d’une technologie dddd’’’’authentification forteauthentification forteauthentification forteauthentification forte
pour protéger des données hautement sensibles
Un besoin sécuritaire très élevés
Ces données doivent être accéder uniquement
par les personnes autorisées et identifiées de
manière forte et
par un procprocprocprocééééddddéééé quasi irrquasi irrquasi irrquasi irrééééfutable de lfutable de lfutable de lfutable de l’’’’identitidentitidentitidentitéééé dededede
la personnela personnela personnela personne
30. 4
4 Le bon sens et l’expérience
Les contraintes exigées et existantes
Intégration avec une application de GED
Microsoft Smart Card Logon
PKINIT
Les futures applications
Web Based (.NET)
SOAP / XML (SOA)
Évolution vers la signature
numérique
Signature de workflow
Chiffrement de fichiers
Intégration avec le bâtiment
Badge d’accès
Gestion simples des utilisateurs
31. 4
4 Le bon sens et l’expérience
Quelle technologie choisir ?
One Time Password (OTP)
Certificat numérique X509
Public Key Infrastructure
Biométrie
32. 4
4 Le bon sens et l’expérience
Quiz: quelle technologie d’authentification choisir?
Une réponse possible!
Certificat numérique
PKI X509
Support de type Carte à puce
ou Token USB
Comment être sur que c’est la
bonne personne avec la carte à
puce ?
33. 4
4 Le bon sens et l’expérience
Quelle technologie biométrique pour l’IT ?
34. 4
4 Le bon sens et l’expérience
Quelle technologie de Biométrie
35. 4
4 Le bon sens et l’expérience
Quelle technologie d’authentification choisir?
Quel niveau de sQuel niveau de sQuel niveau de sQuel niveau de séééécuritcuritcuritcuritéééé pour la biompour la biompour la biompour la bioméééétrie IT peut on esptrie IT peut on esptrie IT peut on esptrie IT peut on espéééérer ?rer ?rer ?rer ?
SSSS’’’’agit il dagit il dagit il dagit il d’’’’un confort uniquement?un confort uniquement?un confort uniquement?un confort uniquement?
Est il possible deEst il possible deEst il possible deEst il possible de «««« by passerby passerby passerby passer »»»» la techno ?la techno ?la techno ?la techno ?
Et laEt laEt laEt la «««« privacyprivacyprivacyprivacy des utilisateurs ?des utilisateurs ?des utilisateurs ?des utilisateurs ?
36. 4
4 Le bon sens et l’expérience
Une 1er réponse: Matsumoto's « Gummy Fingers »
Etude Yokohama University
http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf
37. 4
4 Le bon sens et l’expérience
Une 2ème réponse
38. 4
4 Le bon sens et l’expérience
Biométrie de confort vs Biométrie de sécurité ?
Authentification classique
1 facteur
L’empreinte
Authentification forte
2 facteurs
L’empreinte et la carte à puce
39. 4
4 Le bon sens et l’expérience
Une 3ème réponse: La Technologie Match On Card
40. 4
4 Le bon sens et l’expérience
Le choix retenu pour ce projet:
Architecture PKI
Carte à puce de type crypto processeur
Technologie biométrique de type « Fingerprinting »
En remplacement du PIN Code
Technologie Match On Card
41. 4
4 Le bon sens et l’expérience
1er Phase du projet
Intégration des composants PKI
CA, RA & VA
HSM
Révocation Online des certificats
(OCSP)
Intégration avec Microsoft Smart
Card Logon
Smart Card Logon
Intégration l’application de GED
Application .NET
Web Application Firewall / Reverse
Proxy avec SSL
Firewall
Mise en place d’un service de
gestion des identités
Le futur:
Intégration avec les SOA
SOAP / XML
Bâtiment intégration avec les
badges
Web SSO
Chiffrement de fichiers
SSO
42. 4
4 Le bon sens et l’expérience
e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité
informatique dont les fondateurs ont fait de leur passion leur métier :
La sécurité des systèmes d'information
Fort de leurs convictions et de leur expérience, nos ingénieurs conçoivent, déploient et
maintiennent au quotidien des architectures de sécurité au moyen de solutions
pragmatiques, basées sur des technologies fondamentales et novatrices, adaptées aux
exigences de la clientèle.
Cette approche, associée à des collaborateurs motivés, flexibles et au bénéfice d'une
intégrité irréprochable, nous a permis d'assurer une croissance continue et de gagner la
confiance d'une clientèle issue de tout domaine d'activité et de toute taille.
Notre siège à Bernex/Genève et notre agence de Morges/Lausanne vous garantissent un
contact de proximité.
http://www.e-xpertsolutions.com