MARET Consulting | Boulevard Georges Favon 43 | CH 1204 Geneva | Tél +41 22 575 30 35 | info@maret-consulting.ch | www.maret-consulting.ch

Conseil en technologies

Sylvain Maret / Security Architect @ MARET Consulting

10 novembre 2009

Protection des données avec la biométrie Match-on-Card

MARET Consulting 2009

Conseil en technologieswww.maret-consulting.ch

Agenda du Webcast « Strong Authentication Summit »

Identité numérique et authentification forte

Authentification forte ?

Technologie d’authentification forte

Biométrie et Match on Card Certificat numérique / PKI

Applications pour la technologie Match on Card

Illustration avec un projet dans le monde bancaire

Tendances

Conseil en technologieswww.maret-consulting.ch

Qui suis-je ?

Architecte Sécurité 15 ans d’expérience en Sécurité des Systèmes d’Information CEO et Founder MARET Consulting Expert école ingénieur Yverdon & Université de Genève Swiss French Area delegate at OpenID Switzerland Auteur Blog: la Citadelle Electronique

Domaine de prédilection Digital Identity Security

Conseil en technologieswww.maret-consulting.ch

Protection de l’identité numérique: un sujet d’actualité ….

Identification

Conseil en technologieswww.maret-consulting.ch

Pourquoi l’authentification forte ?

Keylogger (hard and Soft) Malware Man in the Middle Browser in the Midle Password Sniffer Social Engineering Phishing / Pharming

Le nombre de vol d’identités explose !

Conseil en technologieswww.maret-consulting.ch

Un événement majeur dans le monde de l’authentification forte

12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive

« Single Factor Authentication » n’est pas suffisant pour les applications Web financière

Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte

http://www.ffiec.gov/press/pr101205.htm

Et la norme PCI DSS Authentification forte obligatoire pour les accès distants

Et maintenant des régulations Européennes Services de Paiement (2007/64/CE) pour les banques.

Conseil en technologieswww.maret-consulting.ch

Identification et authentification ?

Identification Qui êtes vous ?

Authentification Prouvez le !

Conseil en technologieswww.maret-consulting.ch

Définition authentification forte

Authentification Forte sur Wikipédia

Conseil en technologieswww.maret-consulting.ch

Pascal Thoniel NTX Research: « L'identité numérique est la pierre angulaire de la confiance »

Plus d’information sur le sujet

MARET Consulting | Boulevard Georges Favon 43 | CH 1204 Geneva | Tél +41 22 575 30 35 | info@maret-consulting.ch | www.maret-consulting.ch

Conseil en technologies

Biométrie et

Match on Card

Conseil en technologieswww.maret-consulting.ch

Quelle technologie d’authentification forte ?

Conseil en technologieswww.maret-consulting.ch

OTP PKI (HW) Biométrie

Authentificationforte

Chiffrement

Signature numérique

Non répudiation

Lien fort avec l’utilisateur

*

* Biométrie type Fingerprinting

Conseil en technologieswww.maret-consulting.ch

Une technologie en pleine mouvance

Entreprises

eBanking VPN Web Applications Mobilité GED

Projet PIV FIPS-201 SAML

Grand public

Réseaux sociaux Google docs etc.

Conseil en technologieswww.maret-consulting.ch

Quelle technologie biométrique pour l’IT ?

Conseil en technologieswww.maret-consulting.ch

Biométrie= Authentification forte ?

La réponse est clairement non

Nécessite un deuxième facteur

Problème de sécurité (usurpation)

Uniquement un confort à l’utilisateur

Plus d’information l’usurpation Etude Yokohama University

Conseil en technologieswww.maret-consulting.ch

Technologie Match on Card: votre PIN Code est votre doigt

Conseil en technologieswww.maret-consulting.ch

Exemple de technologie Match on Card pour l’IT

Un lecteur Biométrie SmartCard

Une carte à puce Technologie MOC Crypto processeur

PC/SC PKCS#11 Certificat numérique

X509

Conseil en technologieswww.maret-consulting.ch

Stockage des données ?

Sur un support externe Meilleure sécurité Mode « offline » MOC = Match On card

Par serveur d’authentification

Problème de sécurité Problème de confidentialité Problème de disponibilité

Loi fédérale du 19 juin 1992

sur la

protection des données (LPD)

Conseil en technologieswww.maret-consulting.ch

Exemple d’utilisation de la technologie Match on Card

Smart Card Logon de Microsoft

PK-Init

Applications Web très sensibles

GED eBanking

Chiffrement des données Laptop Chiffrement des share

Solution Web SSO SAML

Citrix

Remote acces VPN SSL VPN IPSEC

Etc.

Conseil en technologieswww.maret-consulting.ch

Sécurité mobilité avec la technologie MOC

Authentification forte biométrique

Lecteur de type « swipe »

Applications Smart Card Logon VPN (SSL, IPSEC) Citrix

Certificat X509 machine Utilisation TPM Authentification de la

machine

Pre Boot Authentication Full Disk Encryption

Conseil en technologieswww.maret-consulting.ch

Authentification d’un utilisateur avec PKINIT (Smart Card Logon)

Poste Client DC (KCA)

Active Directory

AS

TGS

GINA

SSP Kerberos

Driver Athena

CSP

U_Cert

KCA_Cert

U_Cert

1

2

2

Sing_U_priv_key4

5

5

6

AS Req: U_Cert + [Authenticator]Sing_U_priv_key7

AS Res: [ ( (TGT)TGS_key + C-T_key + KCA_Cert )Rdm_key+ (Rdm_key)U_pub_key ]Sign_KCA_priv_key(TGT)TGS_key

C-T_key

TGS_keyC-T_key

8 9

10

3

Schéma de Philippe Logean

e-Xpert Solutions SA

Conseil en technologieswww.maret-consulting.ch

Retour d’expérience

dans le monde

bancaire

Conseil en technologieswww.maret-consulting.ch

Le projet de gestion électronique des documents

Mise en place d’une solution de GED Accès à des informations très sensibles Classification de l’information: Secret Chiffrement des données Contrôle des accès

Projet pour une banque privée Début du projet: 2005

Population concernée 500 personnes (Phase I) A termes: 3000 personnes (Phase II)

Conseil en technologieswww.maret-consulting.ch

(Classification Data: Secret)

Mise en place d’une technologie permettant d’identifier de façon forte

– via un mécanisme de preuve irréfutable –

les utilisateurs accédant au système d’information de la banque

Qui accède à quoi, quand et comment !

Conseil en technologieswww.maret-consulting.ch

Les contraintes techniques du projet d’authentification forte

Obligatoires

Intégration avec les applications existantes

Web Microsoft Smart Card Logon Laptop

Séparation des rôles Quatre yeux

Signature numérique Auditing, Preuve Gestion des preuves

souhaitées

Intégration avec sécurité des bâtiments

Chiffrement des données Postes nomades Applications futures

Réseau et systèmes Authentification forte

Conseil en technologieswww.maret-consulting.ch

User

IssuerIT cert

User

IssuerApp A cert

Gestion des identités Gestion des accès

Database

PHASE 1Authentification

forte

PHASE 2Autorisation

Lien: cn

Concept de base: un lien unique

Conseil en technologieswww.maret-consulting.ch

Composants de l’architecture technique

Mise en place d’une PKI « intra muros » Non Microsoft (Séparation des pouvoirs)

Mise en place de la révocation Online Protocole OCSP

Utilisation d’un Hardware Security Module Sécurisation de l’architecture PKI

OS « Hardening » Firewall interne IDS

Conseil en technologieswww.maret-consulting.ch

Concept pour la sécurisation de l’application GED

Conseil en technologieswww.maret-consulting.ch

La mire d’authentification biométrique

Conseil en technologieswww.maret-consulting.ch

ProcessusHumain

Processus Humain

Conseil en technologieswww.maret-consulting.ch

Le maillon faible ? Plus important que la technique…

Définition des rôles Tâches et responsabilités Objectif: séparation des pouvoirs

Quatre yeux

Mise en place des processus pour la gestion des identités

Mise en place des procédures d’exploitation

Conseil en technologieswww.maret-consulting.ch

Mise en place des processus

Processus pour le team gestion des identités Enrôlement des utilisateurs Révocation Gestion des incidents

Perte, vol, oublie de la carte Renouvellement

Processus pour le Help Desk Processus pour les Auditeurs Processus pour le RSSI

Et les procédures d’exploitation !

Conseil en technologieswww.maret-consulting.ch

Le résultat

Une série de documents pour la banque

Procédures d’exploitation Description des processus Charte d’utilisation Définition des rôles et responsabilités CP /CPS pour la PKI « in house »

Conseil en technologieswww.maret-consulting.ch

Formation

Conseil en technologieswww.maret-consulting.ch

Un élément très important !

Formation du team gestion des identités Formation des utilisateurs Formation Help Desk Formation aux technologies

PKI Biométrie

Conseil en technologieswww.maret-consulting.ch

Retour

d’expérience ?

Conseil en technologieswww.maret-consulting.ch

Conclusion du projet

La technique est un aspect mineur pour la réussite d’un projet de cette ampleur

Ne pas sous estimer la partie organisationnelle

CP / CPS pour la PKI Processus de gestion

Demander un appuis de la direction

La Biométrie est une technologie mature

Technologie PKI Offre un noyau de sécurité pour

le futur Chiffrement, signature Information Rights Management Sécurité de la donnée

Un pas vers la convergence Sécurité physique et logique

Conseil en technologieswww.maret-consulting.ch

Tendance Biométrie Match on Card

Le projet PIV Fips-201 est un moteur !

Convergence Sécurité physique et Sécurité logique

Capteur Biométrique pour les portables UPEK (Solution FIPS-201)

Nouvelles technologies biométrique

Full Disk Encryption (Laptop) Support de la technologie Match on Card McAfee Endpoint Encryption™ (formerly SafeBoot® Encryption) Win Magic SecureDoc Disk Encryption

Conseil en technologieswww.maret-consulting.ch

Une technologie très prometteuse: Vascular Pattern Recognition

By SONY

Conseil en technologieswww.maret-consulting.ch

A quand la convergence ?

Une convergence difficile ! Sécurité physique et sécurité logique

Conseil en technologieswww.maret-consulting.ch

Merci pour votre présence sur ce Webcast

Pour plus d’information sylvain@maret-consulting.ch http://www.maret-consulting.ch

Vos feedback sont les bienvenues

Merci à Bright Talk de m’avoir invité Plus particulièrement à Sophie Lam / Marketing Program

Manager EMEA

Conseil en technologieswww.maret-consulting.ch

Quelques liens pour aller approfondir le sujet

MARET Consulting http://maret-consulting.ch/

La Citadelle Electronique (le blog sur les identités numériques) http://www.citadelle-electronique.net/

Article banque et finance: Usurper une identité? Impossible avec la biométrie!

http://www.banque-finance.ch/numeros/88/59.pdf Biométrie et Mobilité

http://www.banque-finance.ch/numeros/97/62.pdf

Présentation public OSSIR Paris 2009: Retour d'expérience sur le déploiement de biométrie à grande

échelle http://www.ossir.org/paris/supports/2009/2009-10-13/Sylvain_Maret_Biometrie.pdf

ISACA, Clusis: Accès à l’information : Rôles et responsabilités http://blog.b3b.ch/wp-content/uploads/mise-en-oeuvre-de28099une-solution-biometrique-de2809

9authentification-forte.pdf

Conseil en technologieswww.maret-consulting.ch

"Le conseil et l'expertise pour le choix et la mise

en oeuvre des technologies innovantes dans la sécurité

des systèmes d'information et de l'identité numérique"