protection des données avec la biométrie match on card
DESCRIPTION
Un Webcast sur l'utilisation de la technologie Biométrique Match on Card pour la protection des données.PKI, Smart Card Logon, FDE, Web ApplicationTRANSCRIPT
MARET Consulting | Boulevard Georges Favon 43 | CH 1204 Geneva | Tél +41 22 575 30 35 | [email protected] | www.maret-consulting.ch
Conseil en technologies
Sylvain Maret / Security Architect @ MARET Consulting
10 novembre 2009
Protection des données avec la biométrie Match-on-Card
MARET Consulting 2009
Conseil en technologieswww.maret-consulting.ch
Agenda du Webcast « Strong Authentication Summit »
Identité numérique et authentification forte
Authentification forte ?
Technologie d’authentification forte
Biométrie et Match on Card Certificat numérique / PKI
Applications pour la technologie Match on Card
Illustration avec un projet dans le monde bancaire
Tendances
Conseil en technologieswww.maret-consulting.ch
Qui suis-je ?
Architecte Sécurité 15 ans d’expérience en Sécurité des Systèmes d’Information CEO et Founder MARET Consulting Expert école ingénieur Yverdon & Université de Genève Swiss French Area delegate at OpenID Switzerland Auteur Blog: la Citadelle Electronique
Domaine de prédilection Digital Identity Security
Conseil en technologieswww.maret-consulting.ch
Protection de l’identité numérique: un sujet d’actualité ….
Identification
Conseil en technologieswww.maret-consulting.ch
Pourquoi l’authentification forte ?
Keylogger (hard and Soft) Malware Man in the Middle Browser in the Midle Password Sniffer Social Engineering Phishing / Pharming
Le nombre de vol d’identités explose !
Conseil en technologieswww.maret-consulting.ch
Un événement majeur dans le monde de l’authentification forte
12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive
« Single Factor Authentication » n’est pas suffisant pour les applications Web financière
Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte
http://www.ffiec.gov/press/pr101205.htm
Et la norme PCI DSS Authentification forte obligatoire pour les accès distants
Et maintenant des régulations Européennes Services de Paiement (2007/64/CE) pour les banques.
Conseil en technologieswww.maret-consulting.ch
Identification et authentification ?
Identification Qui êtes vous ?
Authentification Prouvez le !
Conseil en technologieswww.maret-consulting.ch
Définition authentification forte
Authentification Forte sur Wikipédia
Conseil en technologieswww.maret-consulting.ch
Pascal Thoniel NTX Research: « L'identité numérique est la pierre angulaire de la confiance »
Plus d’information sur le sujet
MARET Consulting | Boulevard Georges Favon 43 | CH 1204 Geneva | Tél +41 22 575 30 35 | [email protected] | www.maret-consulting.ch
Conseil en technologies
Biométrie et
Match on Card
Conseil en technologieswww.maret-consulting.ch
Quelle technologie d’authentification forte ?
Conseil en technologieswww.maret-consulting.ch
OTP PKI (HW) Biométrie
Authentificationforte
Chiffrement
Signature numérique
Non répudiation
Lien fort avec l’utilisateur
*
* Biométrie type Fingerprinting
Conseil en technologieswww.maret-consulting.ch
Une technologie en pleine mouvance
Entreprises
eBanking VPN Web Applications Mobilité GED
Projet PIV FIPS-201 SAML
Grand public
Réseaux sociaux Google docs etc.
Conseil en technologieswww.maret-consulting.ch
Quelle technologie biométrique pour l’IT ?
Conseil en technologieswww.maret-consulting.ch
Biométrie= Authentification forte ?
La réponse est clairement non
Nécessite un deuxième facteur
Problème de sécurité (usurpation)
Uniquement un confort à l’utilisateur
Plus d’information l’usurpation Etude Yokohama University
Conseil en technologieswww.maret-consulting.ch
Technologie Match on Card: votre PIN Code est votre doigt
Conseil en technologieswww.maret-consulting.ch
Exemple de technologie Match on Card pour l’IT
Un lecteur Biométrie SmartCard
Une carte à puce Technologie MOC Crypto processeur
PC/SC PKCS#11 Certificat numérique
X509
Conseil en technologieswww.maret-consulting.ch
Stockage des données ?
Sur un support externe Meilleure sécurité Mode « offline » MOC = Match On card
Par serveur d’authentification
Problème de sécurité Problème de confidentialité Problème de disponibilité
Loi fédérale du 19 juin 1992
sur la
protection des données (LPD)
Conseil en technologieswww.maret-consulting.ch
Exemple d’utilisation de la technologie Match on Card
Smart Card Logon de Microsoft
PK-Init
Applications Web très sensibles
GED eBanking
Chiffrement des données Laptop Chiffrement des share
Solution Web SSO SAML
Citrix
Remote acces VPN SSL VPN IPSEC
Etc.
Conseil en technologieswww.maret-consulting.ch
Sécurité mobilité avec la technologie MOC
Authentification forte biométrique
Lecteur de type « swipe »
Applications Smart Card Logon VPN (SSL, IPSEC) Citrix
Certificat X509 machine Utilisation TPM Authentification de la
machine
Pre Boot Authentication Full Disk Encryption
Conseil en technologieswww.maret-consulting.ch
Authentification d’un utilisateur avec PKINIT (Smart Card Logon)
Poste Client DC (KCA)
Active Directory
AS
TGS
GINA
SSP Kerberos
Driver Athena
CSP
U_Cert
KCA_Cert
U_Cert
1
2
2
Sing_U_priv_key4
5
5
6
AS Req: U_Cert + [Authenticator]Sing_U_priv_key7
AS Res: [ ( (TGT)TGS_key + C-T_key + KCA_Cert )Rdm_key+ (Rdm_key)U_pub_key ]Sign_KCA_priv_key(TGT)TGS_key
C-T_key
TGS_keyC-T_key
8 9
10
3
Schéma de Philippe Logean
e-Xpert Solutions SA
Conseil en technologieswww.maret-consulting.ch
Retour d’expérience
dans le monde
bancaire
Conseil en technologieswww.maret-consulting.ch
Le projet de gestion électronique des documents
Mise en place d’une solution de GED Accès à des informations très sensibles Classification de l’information: Secret Chiffrement des données Contrôle des accès
Projet pour une banque privée Début du projet: 2005
Population concernée 500 personnes (Phase I) A termes: 3000 personnes (Phase II)
Conseil en technologieswww.maret-consulting.ch
(Classification Data: Secret)
Mise en place d’une technologie permettant d’identifier de façon forte
– via un mécanisme de preuve irréfutable –
les utilisateurs accédant au système d’information de la banque
Qui accède à quoi, quand et comment !
Conseil en technologieswww.maret-consulting.ch
Les contraintes techniques du projet d’authentification forte
Obligatoires
Intégration avec les applications existantes
Web Microsoft Smart Card Logon Laptop
Séparation des rôles Quatre yeux
Signature numérique Auditing, Preuve Gestion des preuves
souhaitées
Intégration avec sécurité des bâtiments
Chiffrement des données Postes nomades Applications futures
Réseau et systèmes Authentification forte
Conseil en technologieswww.maret-consulting.ch
User
IssuerIT cert
User
IssuerApp A cert
Gestion des identités Gestion des accès
Database
PHASE 1Authentification
forte
PHASE 2Autorisation
Lien: cn
Concept de base: un lien unique
Conseil en technologieswww.maret-consulting.ch
Composants de l’architecture technique
Mise en place d’une PKI « intra muros » Non Microsoft (Séparation des pouvoirs)
Mise en place de la révocation Online Protocole OCSP
Utilisation d’un Hardware Security Module Sécurisation de l’architecture PKI
OS « Hardening » Firewall interne IDS
Conseil en technologieswww.maret-consulting.ch
Concept pour la sécurisation de l’application GED
Conseil en technologieswww.maret-consulting.ch
La mire d’authentification biométrique
Conseil en technologieswww.maret-consulting.ch
ProcessusHumain
Processus Humain
Conseil en technologieswww.maret-consulting.ch
Le maillon faible ? Plus important que la technique…
Définition des rôles Tâches et responsabilités Objectif: séparation des pouvoirs
Quatre yeux
Mise en place des processus pour la gestion des identités
Mise en place des procédures d’exploitation
Conseil en technologieswww.maret-consulting.ch
Mise en place des processus
Processus pour le team gestion des identités Enrôlement des utilisateurs Révocation Gestion des incidents
Perte, vol, oublie de la carte Renouvellement
Processus pour le Help Desk Processus pour les Auditeurs Processus pour le RSSI
Et les procédures d’exploitation !
Conseil en technologieswww.maret-consulting.ch
Le résultat
Une série de documents pour la banque
Procédures d’exploitation Description des processus Charte d’utilisation Définition des rôles et responsabilités CP /CPS pour la PKI « in house »
Conseil en technologieswww.maret-consulting.ch
Formation
Conseil en technologieswww.maret-consulting.ch
Un élément très important !
Formation du team gestion des identités Formation des utilisateurs Formation Help Desk Formation aux technologies
PKI Biométrie
Conseil en technologieswww.maret-consulting.ch
Retour
d’expérience ?
Conseil en technologieswww.maret-consulting.ch
Conclusion du projet
La technique est un aspect mineur pour la réussite d’un projet de cette ampleur
Ne pas sous estimer la partie organisationnelle
CP / CPS pour la PKI Processus de gestion
Demander un appuis de la direction
La Biométrie est une technologie mature
Technologie PKI Offre un noyau de sécurité pour
le futur Chiffrement, signature Information Rights Management Sécurité de la donnée
Un pas vers la convergence Sécurité physique et logique
Conseil en technologieswww.maret-consulting.ch
Tendance Biométrie Match on Card
Le projet PIV Fips-201 est un moteur !
Convergence Sécurité physique et Sécurité logique
Capteur Biométrique pour les portables UPEK (Solution FIPS-201)
Nouvelles technologies biométrique
Full Disk Encryption (Laptop) Support de la technologie Match on Card McAfee Endpoint Encryption™ (formerly SafeBoot® Encryption) Win Magic SecureDoc Disk Encryption
Conseil en technologieswww.maret-consulting.ch
Une technologie très prometteuse: Vascular Pattern Recognition
By SONY
Conseil en technologieswww.maret-consulting.ch
A quand la convergence ?
Une convergence difficile ! Sécurité physique et sécurité logique
Conseil en technologieswww.maret-consulting.ch
Merci pour votre présence sur ce Webcast
Pour plus d’information [email protected] http://www.maret-consulting.ch
Vos feedback sont les bienvenues
Merci à Bright Talk de m’avoir invité Plus particulièrement à Sophie Lam / Marketing Program
Manager EMEA
Conseil en technologieswww.maret-consulting.ch
Quelques liens pour aller approfondir le sujet
MARET Consulting http://maret-consulting.ch/
La Citadelle Electronique (le blog sur les identités numériques) http://www.citadelle-electronique.net/
Article banque et finance: Usurper une identité? Impossible avec la biométrie!
http://www.banque-finance.ch/numeros/88/59.pdf Biométrie et Mobilité
http://www.banque-finance.ch/numeros/97/62.pdf
Présentation public OSSIR Paris 2009: Retour d'expérience sur le déploiement de biométrie à grande
échelle http://www.ossir.org/paris/supports/2009/2009-10-13/Sylvain_Maret_Biometrie.pdf
ISACA, Clusis: Accès à l’information : Rôles et responsabilités http://blog.b3b.ch/wp-content/uploads/mise-en-oeuvre-de28099une-solution-biometrique-de2809
9authentification-forte.pdf
Conseil en technologieswww.maret-consulting.ch
"Le conseil et l'expertise pour le choix et la mise
en oeuvre des technologies innovantes dans la sécurité
des systèmes d'information et de l'identité numérique"