Geneva Application Security Meeting 2010

Le jeudi 4 mars 2010 à 18h00 University of Geneva

En collaboration avec l'Université de Genève Diplôme en Sécurité des Systèmes d'Information (DSSI)

Nous avons le plaisir de vous annoncer un événement sur la sécurité des applications Web par l'authentification forte. Certes il y a beaucoup de points à traiter pour sécuriser les applications Web mais l'authentification forte est une des briques importantes de la sécurité. Bien évidemment ce n'est pas la seule.

L'OWASP fournit un excellent travail traitant de la sécurité des applications. Je vous encourage à consulter le site. Il y a énormément de documentation et outils. Pour le moment, il n'y a pas tellement de travaux sur les applications Web et l'authentification forte.

Dans ce sens nous avons avec Antonio Fontes (Responsable OWASP Geneva Local Chapter) et moi même (Swiss French Area delegate at OpenID Switzerland) décidé d'organiser un 1er meeting sur ce sujet à Genève.

L'idée est de traiter les différents aspects de sécurité pour intégrer les technologies d'authentification forte dans une application Web.

Pour cela nous aurons le plaisir d'accueillir Philippe Leothaud, expert reconnu en sécurité Web / Jee2 / authentification / SAML et SSO, qui nous parlera des mesures de sécurité pour une intégration robuste des technologies d'authentification fortes.

• gestion des sessions et sécurité des cookies
• sessions time out
• brute force
• autorisation
• replay attack

Monsieur Robert Ott, Fondateur de OpenID Suisse nous parlera de SAML vs OpenID, fédération des identités et comment intégrer OpenID dans une application Web


Un grand merci à l'Université de Genève et en particulier au DSSI de nous mettre à disposition une salle.



Le programme:

0 - Café de bienvenue 18h00


1 - Introduction OWASP et Authentification forte - 18h10
Par Antonio Fontes / Swiss French Area delegate at OWASP Switzerland

* Présentation de l'OWASP
* Pourquoi OWASP et l'authentification forte ?
* Les nouveautés et news de l'OWASP


2 - Les technologies d'authentification forte pour vos applications Web et comment les intégrer ?
Par Sylvain Maret / Swiss French Area delegate at OpenID Switzerland


a) L'état de l'art 2009 sur les technologies d'authentification forte:
* Out of Band Authentication
* Risk Based Authentication
* Biométrie Match on Card
* OTP pour les smartphones notamment l'Iphone
* PKI
* Soft Token
* Passeport Internet
* Cryptographie matricielle
* Les tendances 2010...

b) Les approches pour l'intégration avec vos applications Web:
* OpenID, SAML, Liberty Alliance
* API, Agents, Web Services, Modules
* PAM, Radius, JAAS, SecurID, Kerberos, GSSAPI
* Approche authentification périmétrique / Reverse Proxy (WAF) et WebSSO
* PKI / SSL client Authentication / Authentification PKI applicative

3 - Pause café 10 min

4 - Les mesures de sécurité OWASP pour l'intégration de l'authentification
Par Philippe Leothaud / CTO Bee Ware et expert en sécurité des applications web


* OWASP Application Security Verification Standard (ASVS)
* Authentication Verification Requirements
* Session Management Verification Requirements
* Access Control Verification Requirements
* Retour d'expérience



5 - Fédération des identités et OpenID / présentation en anglais
Par Robert Ott, Swiss founder OpenID and Swiss German Area delegate for OpenID / Founder Clavid

* Fédération d'identités
* SAML, OpenID
* OpenID: comment ça marche ?
* Comment intégrer votre application Web avec OpenID
* Protocole PAPE
* Infocard and OpenID
* OpenID en Suisse avec l'IDP Clavid
* Cloud Application (Googles Docs, Sales Forces)
* Le point sur le projet de la confédération SuisseID


6 - Networking et Cocktail dînatoire dès 20h30

Un moment de partage, d'échange et discussions

Et pour ceux qui veulent aller plus loin, un laboratoire sur les identités numériques.

Vous pourrez créer un compte OpenID avec votre Authentifieur Yubikey

Des démonstrations:

- OpenID et Authentification forte
- Yubikey
- Passeport Internet
- Cryptographie matricielle
- Sélecteur d'identité InfoCard

et les Kiosques d'information:

- OWASP Suisse
- Université de Genève / DSSI
- OpenID
- MyBestID
- Bee Ware

---------------------------------------------------------------------
En collaboration avec nos partenaires et sponsors:

* L'université de Genève, formation DSSI et Master / Prof. Jean-Paul De Blasis
* Clavid
* Bee Ware
* Yubico
* MyBestID
* Axsionics
* NTX Research
* La Citadelle Electronique
* OpenID Switzerland
* OWASP

A la fin du meeting chaque participant, dans la limite des stocks, repartira avec un Authentifieur Yubikey
pour protéger ces identités numériques.

Le Yubikey utra portable USB / OTP event Based (sans driver et OpenSouce)

Plus d'information sur http://yubico.com

Une technologie pragmatique pour protéger votre identité numérique sur les réseaux sociaux et plus encore, comme par exemple:

* TrueCrypt open source disk encryption
* Lastpass single sign-on service
* VPN Ipsec, SSL, Citrix, SSH, etc. via le protocole Radius
* Plugin for Wordpress open source blog tool
* SUN OpenSSO identity and access management server
* Plugin for Wordpress open source blog tool
* Joomla
* Logon to Google Apps
* OpenID & SAML service and software at Clavid
* Keypass
* and more

Yubikey's are sponsored by Yubico and Clavid

Inscription:

Attention places limitées. Il y aura une confirmation de votre inscription.

Pour le moment sur les inscriptions sont sur Facebook ou LinkedIn

Vous pouvez aussi rejoindre les deux groupes OpenID Switzerland pour de l'information sur OpenID.

OpenID Switzerland sur Facebook
OpenID Switzerland sur LinkedIn

Cordialement

Antonio Fontes & Sylvain Maret