La Citadelle Electronique: Identité Numérique et Authentification Forte

Protéger vos développements et vos logiciels des cyber-attaques

2011-10-20T00:47:00.003+02:00

C’est pour sensibiliser les développeurs mais également les décideurs que l’APSEL (Association pour la Promotion de la Sécurité Logicielle en suisse) et une équipe d’experts en sécurité logicielle dont Antonio Fontes membre de la section Suisse OWASP et co-auteur de « Top 25 most dangerous programing errors » ont décidé de mettre sur pied, en collaboration avec de nombreux partenaires, dont l’HEIG-VD, un cycle de conférences et de formations sur le thème de la sécurité logicielle.

Selon les chiffres de 54% à 68% des applications utilisées dans les entreprises présentent des failles de sécurité considérées comme critiques pour leur business.

Avec le nombre grandissant d’applications et de terminaux permettant d’être connecté à internet en permanence, il est vital de mettre en œuvre des stratégies d’atténuation des risques.

Si le sujet peut faire peur, force est de constater que les remèdes sont en réalité assez simples. En adoptant des méthodologies de développement sécurisé, en mettant en place des procédures d’audit de code et en adoptant quelques best practices, il est au final possible de parer à la plupart de ces vulnérabilités.

Si vous développez des applications mobiles (iPhone, Android), des logiciels embarqués, des applications ou sites web ou souhaitez lancer votre startup sur le Cloud, ces deux jours de conférences et de formation sont pour vous.

Accessibles à tous les niveaux, les conférences permettront aussi bien aux décideurs qu’aux personnes très techniques de repartir avec des informations utiles mais aussi et surtout un networking de qualité composé d’experts qui pourront vous aider dans l’atténuation de vos risques logiciels.

Plus d'information sur le Forum.

Mise en place d'une authentification forte pour SVN

2011-09-16T09:35:00.011+02:00

Application SVN & OTP

Ce billet vise à renforcer l'authentification fournie par l'http authentification d'Apache. Nous prendrons comme exemple d'application Subversion installé par l'intermédiaire du module Apache : mod_dav_svn.

Introduction

En guise de rappel, Subversion est un système permettant de gérer les différentes versions de fichiers. A l'origine utilisé par les développeurs, il peut être utilisé à des fins de partage, stockage de fichiers pour les particuliers. Il peut être utilisé de deux manières :

par un serveur SVN. Cette méthode est plus rapide que la deuxième car moins lourde cependant elle contient uniquement les éléments nécessaires au fonctionnement. Ce mode est déconseillé.
par un module Apache. Cette méthode vous donne accès à l'http authentication et autres configurations d'Apache (SSL, traçabilité des connexions,...).

Voici un schéma décrivant le fonctionnement de SVN :

Les fichiers se trouvent sur le serveur Apache (ou le serveur SVN, suivant le mode choisi) ainsi que sur tous les pc en local de chaque individu ayant accès au repository et les synchronisant.

Pré-requis : Le module Subversion d'Apache est installé. Ce billet étant sous centos, vous pouvez trouver un tutoriel, pour l'installer et importer quelques fichiers pour l'exemple, sur ce site : http://wiki.centos.org/HowTos/Subversion

1. Installer le module otp pour Apache

Le module s'occupant de la vérification du bon otp pour Apache est téléchargeable sur le site : http://code.google.com/p/mod-authn-otp/downloads/list

Ce module a été utilisé car il est écrit en langage C, ce qui facilite son utilisation avec d'autres composants.

Une fois téléchargé, installez le suivant la procédure habituelle :

dézipez/tarez le
./configure dans le répertoire ainsi créé
make install
make
make clean

Ce dossier contient otptool qui sert au calcul et à la vérification des différents otp. A l'issue de l'installation, un fichier « mod_authn_otp.so » avec les autres modules Apache.

2. Charger le module dans le fichier de configuration de Subversion

cd httpd/conf.d           (dav_svn.conf sous debian)
vi subversion.conf

Ajoutez la ligne suivante en tête du fichier, à la suite des autres chargements de modules :

LoadModule authn_otp_module   modules/mod_authn_otp.so

3. Créer un ficher otp-utilisateur

Ce fichier contient le nom utilisateur, la seed, le type d'algorithme utilisé. Un exemple type ; intitulé users.sample, est présent dans le répertoire mod_authn_otp.

 vi votre_fichier_otp_utilisateurs

Editez votre fichier avec les informations nécessaires.

Exemple :

HOTP/T60       toto      1234    0123456789abcdef0123456789abcdef01234567   1  0
type token     name  pin  seed         décalage nombre de raté permis

Au vu des informations sensibles contenues dans ce fichier, il est nécessaire d'effectuer quelques modifications dessus :

chown apache.apache votre_fichier_otp_utilisateurs
chmod 700 votre_fichier_otp_utilisateurs

L'exemple d'application étant Subversion, on considérera que le fichier de contrôle d'accès et utilisateurs classique sont créés (cf. premier lien pour l'installation de Subversion).

On rappelle que le fichier utilisateurs classique comprendra le code pin de l'utilisateur associé.

Il se créé bien comme le login/password habituel :

htpasswd -cm /etc/votre_fichier_de_pin   votre_login
New password : 1234
Re-type new password : 1234

De même pour le fichier de contrôle d'accès, par exemple :

vi votre_fichier_d_acl
[votre_repo:/votre/path/vers/le/repo]
votre_login=rw

Même modifications sur ces deux fichiers en ce qui concerne le propriétaire et les permissions :

chown apache.apache vos_deux_fichiers
chmod 700 vos_deux_fichiers

4. Configurer Subversion

Editez le fichier subversion.conf :

AuthUserFile "/etc/votre_fichier_de_pin"
OTPAuthUsersFile "/etc/votre_fichier_otp_utilisateurs"
OTPAuthLogoutOnIPChange On
OTPAuthPINAuthProvider votre_prov
OTPAuthMaxOTPFailure 5
DAV svn
SSLRequireSSL
SVNPath /var/www/svn/votre_repo
AuthzSVNAccessFile /etc/votre_fichier_d_acl
AuthType basic
AuthName "My otp authentication"
AuthBasicProvider votre_alias
AuthName "Subversion repo"
Require valid-user

Pour mémoire, l'http authentication peut se faire de deux manières :

La Basic. Elle transmet le couple (login ; password) en clair, codé en Base64.
La Digest. Elle transmet le hash MD5 du password.

Actuellement la version du module otp pour Apache ne permet pas d'utiliser un code pin pour la méthode Digest. La procédure consiste à conserver l'http authentification basic mais de forcer l'utilisation du protocole https, d'où l'utilisation de SSLRequireSSL.

Redémarrer ensuite le service Apache puis accéder à votre repo en https pour profiter de votre nouvelle authentification forte.

Ainsi, vous envoyez votre couple (login ; pincode+tokencode) par https. Est vérifié que le login soit bien autorisé ainsi que les permissions associées, votre tokencode, ensuite votre pincode.

5. SVN côté client

Vous pouvez désormais consulter vos fichiers situés dans votre repository SVN via :

votre browser par l’url http://ip_server/repo_name avec une authentification forte par OTP.

un client quelconque comme TortoiseSVN.

Voici des tutoriels pour :

l’utilisation de TortoiseSVN sous windows http://www.cent20.net/spip.php?article155.

l’utilisation de RabbitVCS sous ubuntu http://blog.nicolargo.com/2010/04/rabbitvcs-le-tortoisesvn-pour-linux.html

Application Security Forum 2011 – Western Switzerland

2011-08-23T22:38:00.002+02:00

Présentation du Forum

L’Application Security Forum – Western Switzerland (ASF-WS) est une conférence annuelle dédiée à la sécurité et protection des données dans les logiciels informatiques. L’ASF-WS se tiendra à Yverdon-les-Bains, en Suisse, les 26 et 27 octobre 2011 à La Haute Ecole de Gestion et d’Ingénierie du Canton de Vaud (HEIG-VD).

L’ASF-WS se déroulera sur deux jours. Le premier jour sera constitué d’un programme de formations intensives, chacune se déroulant sur une demi-journée (workshops) ou une journée (trainings). Un programme de dix-huit conférences réparties sur trois pistes simultanées (tracks) sera proposé le second jour de la manifestation.

Audience cible

L’Application Security Forum – Western Switzerland (ASF-WS) aura pour audience cible:

Les professionnels de l’industrie du développement, souhaitant approfondir leurs connaissances en matière de sécurité logicielle

Les chefs de projets et décideurs provenant d’organisations pour lesquelles la sécurité des applications représente un enjeu majeur: réputation, continuité des activités, données confidentielles et/ou stratégiques, infrastructures critiques, etc.

Retrouvez toutes les informations utiles via les liens suivants :

Application Security Forum 2011 – Western Switzerland | Yverdon-les-Bains le 26 et 27 octobre 2011
Application Security Forum 2011 – Western Switzerland (pré inscriptions sur Facebook)
Application Security Forum – Western Switzerland | LinkedIn

Authentification forte par la technologie DNA ! Par François-Pierre Le Page

2011-07-28T00:46:00.007+02:00

Piratage RSA, pourquoi les organisations doivent se tourner vers des solutions évolutives d’authentification fortes et simplifier la vie de leurs collaborateurs ?
Le piratage de haut niveau de RSA, la division d'EMC, a sérieusement remis en cause le niveau de sécurité du système d'authentification matérielle SecurID et entraîne le remplacement de quelques 40 millions de tokens. Ce remplacement a commencé en Juin et va continuer pendant plusieurs mois.

Cette situation entraîne désormais un travail de réflexion en amont pour la plupart des responsables de sécurité informatique, qui doivent maintenant investir à nouveaux en temps, argent et efforts dans le déploiement de nouveaux tokens matériels.

Il est difficile de quantifier les coûts directs et indirects associés au déploiement d'un token SecurID, mais les chiffres du marché parlent d’environ 100 €. Cependant du point de vue d'un dirigeant, c'est un coût qui aurait pu être évité. Dans ce contexte, nous pensons que les dirigeants de la plupart des organisations qui utilisent des tokens RSA doivent maintenant débattre de la pertinence et de l’avenir des tokens matériels au sein de leur entreprise, mais aussi poser un certain nombre de questions sur le bien fondé de telles solutions en matière de remplacement.

Ces questions amènent surtout à réfléchir sur des solutions alternatives d’authentification forte, plus simple à déployer, moins coûteuses et qui permettent aux organisations de faire des économies significatives sur les charges d'exploitation sans compromettre la sécurité globale.

Tout en gardant en tête le piratage de RSA, c’est le moment pour les responsables de sécurité informatique d’examiner les systèmes et procédures de sécurité mis en place, mais surtout de tenir compte de la pertinence de solutions adaptées aux usages actuels, utilisant des équipements matériels que les collaborateurs de l’entreprise possèdent déjà pour éviter de déployer d’autres équipements, et de préférence moins chers, plus intelligents et plus souples.

Les technologie d'authentification de type ADN, consistant à ajouter l’authentification d’un équipement que l’internaute possède déjà, c'est-à-dire ce que vous possédez (un équipement de votre choix) à ce que vous savez (votre mot de passe ou code PIN par exemple), permet d’offrir une alternative à la sécurité des accès distants mais vue du côté de l’usager. En effet, les technologies de l’ADN permetent de simplifier la vie de l’usager tout en sécurisant ses accès.

Comment fonctionne cette technologie ? L’usager qui accède à un site web ou un Extranet ou un réseau d’entreprise équipé de cette technologie choisit d’ajouter l’ADN numérique d’un équipement de son choix (son ordinateur ou son smartphone ou sa clé USB, etc.. voire même plusieurs équipements.) à son compte existant. La technologie va alors créer et enregistrer l’ADN de cet équipement qui sera utilisé avec un code PIN pour toutes ses connexions.
L’équipement est connecté, l’internaute accède à son compte en ligne, il est déconnecté, l’internaute ne peut plus y accéder.
Facile à expliquer, présenter et utiliser, cette technologie est mieux adaptée aux collaborateurs des entreprises comme au grand public qui peut d’ailleurs utiliser le même équipement sur plusieurs réseaux ou sites web.

Ainsi, cette technologie apporte une nouvelle offre d’authentification forte plus évolutive et mieux adaptée aux usages d’aujourd’hui dans les organisations ou pour le grand public. Les mots clés sont la simplicité, la sécurité car une technologie innovante ne vaut que lorsque celle-ci se fait oublier dans les usages du quotidien.

François-Pierre Le Page

Quand la télé se lance dans l’audit sécurité !

2011-07-20T13:33:00.012+02:00

La Télévision Suisse (Schweizer Fernsehen) s’est récemment penchée, dans son émission Kassenstrurz , sur la sécurité des systèmes e-banking proposés par plusieurs banques suisses. Ce test comparatif, dans la présentation des résultats obtenus, est particulièrement représentatif de la confusion qui règne dans les esprits (y compris parmi les décideurs du monde professionnel) par rapport au rôle et à la portée des systèmes d’authentification forte.

Durant ce test, une seule et unique technique est mise en œuvre pour mettre à l’épreuve les systèmes e-banking . Dans un premier temps, les chercheurs installent un cheval de Troie sur un poste de travail. Ils se connectent ensuite aux différents systèmes e-banking, simulant ainsi le comportement d’une innocente victime potentielle désireuse d’administrer ses finances. Une fois la victime connectée, le cheval de Troie peut initier aisément une transaction frauduleuse, puisqu’elle semble provenir, aux yeux du serveur e-banking, d’un poste préalablement authentifié. A plusieurs reprises dans le cadre du test, l’opération échoue cependant. Toujours pour la même raison, simplement car certains établissements proposent une option de sécurité sous la forme d’une validation par l’utilisateur de la transaction: « Souhaitez-vous vraiment effectuer un transfert de x $ vers les compte y ? ». A ce stade, l’utilisateur se rend compte (généralement) que quelque chose d’anormal se trame et annule la transaction.

Ce qui porte à confusion dans cette étude, c’est le tableau de présentation des résultats. Sous l’intitulé «Quels systèmes E-banking sont sûrs ? » (Welche E-Banking Système sind sicher ?), figure une photo des systèmes d’authentification forte proposés par les différentes institutions. En dessous, la ligne « Sécurité » (Sicherheit) comporte la mention « hacké » (gehackt) ou « non hacké » (nicht gehackt) selon que les transactions ont été validées ou non.

Ce document peut donc laisser penser que ce sont les systèmes d’authentification forte qui sont comparés ici et que la calculette UBS (Access Key) est plus sûre que la solution SMS de Raiffeisen par exemple. Or l’attaque n’a en rien visé les systèmes d’authentification forte ! Encore une fois, elle consiste à prendre le contrôle d’un poste de travail via un cheval de Troie, d’attendre patiemment que l’utilisateur légitime du compte se soit authentifié, indépendamment du mécanisme utilisé, pour ensuite injecter sa session en cours. La mesure de sécurité qui fait la différence entre les bons et les mauvais élèves dans ce test, c’est l’existence ou non d’une fonctionnalité de validation de transaction. Rien à voir, là encore, avec la nature du mécanisme d’authentification elle-même !

Le pire dans cette histoire est que la présentation trompeuse des résultats n’est probablement pas le fait d’une quelconque malhonnêteté intellectuelle, mais bel et bien d’une mauvaise appréhension des enjeux sécuritaires liés à une plateforme transactionnelle de la part des journalistes.

Quelques éclaircissements sont donc plus que bienvenus !

Penser que la sécurité d’un système e-banking dépend en priorité du type de mécanisme d’authentification forte choisi, c’est commettre une erreur. La sécurité se gère en traitant les risques (1) de façon homogène et (2) les plus importants de façon prioritaire. Dans le cadre d’une plateforme e-banking protégée par authentification forte, les attaques les plus aisées (et par voie directe de conséquence le plus souvent mises en œuvre) sont les suivantes:

Attaque par ingénierie sociale visant les utilisateurs de la plateforme. Les formes classiques incluent la soumission d’un mail contenant un malware en pièce jointe (un exemple récent ayant frappé la Suisse est celui du faux mail UPS (#1) , d’ailleurs mentionné dans le reportage de la SF), ou encore un lien de phishing. Dans ce second cas, plusieurs variantes sont envisageables : soit le site pirate présente une copie conforme du site original, et lorsque l’utilisateur leurré se connecte, on rejoue ses authentifiants à la volée sur le vrai site, soit le site tente d’exploiter une vulnérabilité dans le navigateur de la victime pour installer silencieusement un malware (attaque dite de drive by download).

Exploitation d’une faille affectant la plateforme elle-même.

Un système e-banking sûr implique donc d’abord des utilisateurs sensibilisés aux risques d’attaque, des postes clients sûrs (#2) et une plateforme e-banking sûre côté serveur. Pour réduire le risque de détournement frauduleux, la plateforme doit également implémenter la validation de transaction. Le choix du mécanisme d’authentification forte n’influence finalement pas le niveau de risque de façon conséquente (#3).

Pour être plus précis, le rôle de l’authentification forte est de réduire le risque d’usurpation d’identité par vol, divulgation ou prédiction des authentifiants classiques (login + mot de passe). En d’autres termes, l’authentification forte permet de renforcer le contrôle d’accès. Elle peut être également utilisée comme élément d’un système visant à garantir l'authenticité.

Typiquement, lorsqu’une transaction e-banking est soumise, la banque demande à son client de valider la transaction en se réauthentifiant de façon forte. Mais là encore, l'authenticité est envisageable uniquement à la condition que le poste client ne soit pas infecté par un malware capable de modifier à la volée les échanges client-serveur par une attaque de type Man-in-the-browser. Une façon de contourner ce mécanisme de sécurité est généralement d’intercepter le code d’authentification fourni par l’utilisateur en lui indiquant que sa transaction n’est pas valable. L’attaquant dispose alors d’un code valide pour confirmer sa transaction frauduleuse.

Au final, le reportage de Kassensturz laisse les spécialistes sur leur faim. Non seulement, il induit les téléspectateurs en erreur en leur faisant croire que le mécanisme d’authentification forte joue un rôle dans les résultats des tests pratiqués alors qu’il n’en est rien, mais en plus il n’indique pas les limites de ce test qui consiste à évaluer la résistance des divers systèmes e-banking face à un cheval de Troie peu sophistiqué. Quels auraient été les résultats si le malware avait été assez évolué pour prendre en compte les fonctionnalités de validation de transaction ?

Ce dernier scénario de menace représente, depuis l’avènement des chevaux de Troie bancaires du type Zeus et consorts, un risque prévalent et mériterait d’être investigué plus en détails.

Un billet de Stéphane Adamiste / Information Security Consultant - ELCA

#1 http://www.melani.admin.ch/dienstleistungen/archiv/01125/index.html?lang=fr

#2 Notons que dans le cadre de l’étude en question, le poste de travail est infecté dès le départ.

#3 Cette affirmation est à reconsidérer lorsqu’il est avéré que la technologie est faillible, comme dans le cas récent de RSA Security. Voir : http://www.journaldunet.com/solutions/securite/piratage-tokens-rsa-securid-0611.shtml

OpenSSH: Furtivité et Hardening avec une authentification forte OTP (OATH - TOTP)

2011-06-17T00:07:00.015+02:00

Ce billet vise à obscurcir les informations liées au protocole SSH ainsi que renforcer le "login" au serveur SSH par l’utilisation d’une authentification forte de type One Time Password. Ces informations ne se substituent pas à une procédure de hardening de l’OS et du service SSH (cf. Hardening OpenSSH Guide).

1. Cacher la version de SSH

Offusquer la version du protocole SSH utilisée force l’attaquant à effectuer des analyses plus poussées pour déterminer la version, élément important pour construire une attaque contre ce protocole.

Editer le fichier version.h du répertoire ssh :

#define SSH_VERSION     "ce que vous voulez"

Ensuite, il est nécessaire de recompiler SSH pour que la modification soit prise en compte.

2. Offuscation Handshake

Le handshake entre le client et le serveur étant en clair, un attaquant observant le handshake peut en déduire la version du protocole SSH et ainsi l’attaquer. Le but de ce module est de chiffrer le handshake via un secret partagé.

Attention : ce mode est fortement déconseillé pour les réseaux devant être hautement performant et le tunneling.

Vous pouvez télécharger le module sur le site https://github.com/brl/obfuscated-openssh.

Suivez la procédure habituelle :

dézip/tarez le
configure
make
make install
make clean

Editez le fichier sshd_config :

ObfuscatedPort 35003
ObfuscateKeyword ‘mon_password_pour_obfusquer’

Du côté client, il faudra alors ajouter l’option -z et -Z lors de la connexion :

ssh -z -Z mon_password_pour_obfusquer -p 35003 toto@monhost

3. Chiffrement / Hardening

Il est conseillé de ne pas utiliser le mode d’opération ECB. En effet, ce mode est à bannir en sécurité informatique car deux blocs de contenus identiques sont chiffrés de la même manière. De plus, il est souhaitable de ne garder que les chiffrements symétriques dits “sûrs” couplés avec une "grosse" taille de clé.
Editez le fichier sshd_config :

Ciphers aes256-cbc, aes256-ctr, blowfish-cbc

3. Authentification forte OTP / Time Based (TOTP)

La mise en place d’une authentification forte pour SSH requiert plusieurs éléments :

Un serveur Radius. Il s’occupera de vérifier la validité des OTPs des utilisateurs en exécutant l’application de calcul des OTPs.

PAM. Il s’occupera de faire appel au serveur Radius lorsque le protocole SSH est utilisé.

La bibliothèque pam_radius_auth.so. Elle s’occupera de faire le lien entre PAM et le serveur Radius.

Une application qui calcule les OTPs côté serveur pour comparer l’OTP entré par l’utilisateur. Nous avons choisi une classe PHP, celle de M. André Liechti.

Figure 1 : Fonctionnement authentification OTP pour SSH

3.1 Création des utilisateurs côté serveur pour l’OTP

Il s’agit de créer des utilisateurs pour votre application personnelle de calcul de l’OTP à partir d’une graine partagée avec votre token. Elle contient le même algorithme de calcul de l’OTP que votre token. Il est plus simple d’utiliser les mêmes noms utilisateurs OTP et SSH. Pour notre classe, nous vous invitons à consulter l’annexe pour la création des utilisateurs.

3.2 Installation et configuration du serveur Radius

Freeradius est disponible dans les repositories habituels.

yum install Freeradius2 Freeradius2-utils

Modifier le secret_radius dans le fichier/etc/raddb/clients.conf

client     ip{
secret =  votre_secret_radius
shortname= server_name
nastype=other
}

Si vous utiliser le mode proxy, le secret_radius est à mettre dans le fichier /etc/raddb/proxy.conf

realm NULL{
type= radius
authhost=ip_server :port
secret= secret_radius
}

Modifier les droits sur les fichiers suivants :

chmod a-rwx,u+r /etc/raddb/proxy.conf
chmod a-rwx,u+r /etc/raddb/clients.conf

3.3 Configuration pour faire le lien avec l’application OTP

Freeradius va appeler notre application de la manière suivante :

vi /etc/raddb/users
DEFAULT    Auth-Type := Accept
Exec-Program-Wait = "/usr/bin/php  ${PATH}/multiotp.php %{User-Name} %{User-Password}",
Fall-Through = Yes,
Reply-Message = "Hello, %{User-Name}"

Nous pouvons tester la configuration avec la commande radtest :

cd /etc/raddb/
radiusd –X  (debug mod)
radtest username pincode+tokencode   ip_server_radius   port   radius_secret

Le signe + correspond à l’opérateur de concaténation.

3.4 Installation et construction de la librairie pam_radius_auth

Pam_radius_auth est une librairie dynamique, utilisée par pam, qui permet de faire appel au serveur radius pour la phase d’authentification d’un service donné, ici sshd.

yum install pam-devel
wget ftp://ftp.freeradius.org/pub/radius/pam_radius-1.3.17.tar.gz
tar –zxvf pam_radius-1.3.17.tar.gz
make
cp pam_radius_auth.so /lib/security
cp pam_radius_auth.conf /etc/raddb/server

vi /etc/raddb/server
ip_server         secret_radius        3

3.5 Installation et configuration de pam

yum install pam
cd /etc/pam.d/
vi sshd

Ajouter en première ligne le chemin de la bibliothèque et désactiver la seconde ligne :

auth        required     /lib/security/pam_radius_auth.so
#auth        include    system-auth

Ainsi, lorsque le service sshd est appelé, pam authentifie l’utilisateur via le mode d’authentification spécifié, soit le serveur radius (appel au serveur radius réalisé par la librairie pam_radius_auth.so). Le serveur radius fait appel à notre application qui indique si l’otp entré par l’utilisateur est correcte.

Activer pam dans SSH :

vi /etc/ssh/sshd_conf
UsePAM yes
service /etc/init.d/sshd restart

Dès lors, vous pouvez vous authentifier fortement par OTP pour le protocole SSH.

Anne Gosselin (Msc Cryptograpie et Sécurité - MARET Consulting) , smaret

HOW TO : Intégrer une authentification forte par OTP dans PhpMyAdmin

2011-05-25T04:37:00.009+02:00

Ce billet vise à expliquer comment personnaliser la phase d’authentification de PhpMyAdmin. Pour cela, il décrit brièvement les modes d’authentification actuels disponibles ainsi que comment intégrer sa propre solution. Ceci est illustré par l’implémentation d’une authentification par OTP via la classe PHP de M. André Liechti.

Rappel sur les modes d’authentification existants

PhpMyAdmin met à disposition quatre modes d’authentification : config, cookie, http, signon. Le mode choisi est transmis via la ligne :

$cfg['Servers'][$i]['auth_type']=’modechoisi’;

du fichier config.inc.php

Ensuite, pour réaliser l’authentification correspondante, le fichier nommé modechoisi.auth.lib.php sera chargé.
Vous trouverez ci-après un bref récapitulatif des différents modes d’authentification fournis par PhpMyAdmin.

- Le mode config

Il consiste à entrer le login et mot de passe pour se connecter à la base de données en clair dans le fichier config.inc.php. Autrement dit, il faut éditer le fichier de la façon suivante :

$cfg['Servers'][$i]['auth_type'] = 'config';
$cfg['Servers'][$i]['user'] = 'root';
$cfg['Servers'][$i]['password'] = 'root_password';

Ce mode permet de se passer d’authentification puisque les informations sont disponibles dans le fichier config.inc.php. D’un point de vue sécurité, ce mode est déconseillé sauf si vous faites intervenir une solide couche de sécurité annexe. A titre d’exemple, on peut citer le module d’authentification forte OpenID. Pour d'avantage d’information sur l’intégration de la solution OpenID : http://wiki.openid.net/w/page/12995176/Libraries.

- Le mode cookie

Il consiste en l’affichage d’une mire de login sur le navigateur de l’utilisateur. Celle–ci demande le login/password de l’utilisateur enregistré dans la base de données. Les données sont chiffrées dans un cookie par l’algorithme Blowfish. La clé de chiffrement est fournie par l’utilisateur par la ligne :
$cfg[‘blowfish_secret’]=’your_blowfish_secret’;
Il s’agit du mode le plus sécurisé fourni par PhpMyAdmin.

- Le mode http

Il est semblable au mode cookie dans le sens ou une authentification par login/mdp est demandée. Par contre, les données sont demandées à l’utilisateur par l’intermédiaire d’un pop-up.

- Le mode Signon

Ce mode permet de faire du SSO. Il récupère les identifiants utilisés lors de l’authentification effectuée par une autre application. Un exemple classique est l’utilisation jumelée MySQL-LDAP.

Créer votre propre mode d’authentification forte

- Pré-requis

Dans un premier temps, vous devez récupérer une version de votre mode d’authentification exploitable par PhpMyAdmin, classiquement du php/javascript ou encore développer à la main votre propre mode d’authentification.

- Structure

Dans un deuxième temps, vous devez créer un fichier nommé votre_mode_dauthentification.auth.lib.php (situé dans le répertoire libraries/auth de PhpMyAdmin) dans lequel figureront les fonctions nécessaires à la connexion avec la base de données.

PMA_auth() : elle gère l’affichage du formulaire d’authentification.
PMA_auth_check() : elle gère les options d’authentifications avancées.
PMA_auth_set_user() : elle envoie les données entrées par l’utilisateur après vérification de la bonne forme de celles-ci.
PMA_auth_fails() : elle gère le message d’affichage lors de l’échec de l’authentification.

Pour la bonne continuité du processus, ces fonctions étant booléennes, elles doivent au minimum contenir l’instruction return true;

- Contenu

Dans un troisième temps, vous allez déterminer quel mode déjà existant se rapproche le plus de votre projet. Concrètement, posez-vous des questions du type :
-Vais-je demander des informations à l’utilisateur ? (mode http ou cookie)
-Délayais-je l’authentification à un module annexe ? (mode config/signon suivant la nature du module)
Etc
Dans le cadre d’une authentification forte, il y a de grandes chances que ce soit le mode cookie que vous adoptiez, de ce fait, nous allons nous pencher sur cet exemple.

Exemple : Authentification forte par One Time Password

- Pré-requis OTP

Pour réaliser cette authentification forte, nous avons utilisé la classe Open Source motp de André Liechti (téléchargement et informations complémentaires sur le site : http://developer.sysco.ch/multiotp/) ainsi que le mode d’authentification cookie.
Pour plus de convivialité, nous avons ajouté un champ à la mire de login, afin d’obtenir trois champs : Username/PinCode/TokenCode.

Résultat

Si vous ajoutez un champ comme ci-dessus, rendez-vous dans le fichier common.inc.php à la ligne concernant le tableau $allow_list et ajoutez le nom de votre champs.
Dans notre cas, cela donnera :
$allow_list = array(
/* needed for direct access, see FAQ 1.34
* also, server needed for cookie login screen (multi-server)
*/
'server', 'db', 'table', 'target',
/* to change the language on login screen or main page */
'lang',
/* Session ID */
'phpMyAdmin',
/* Cookie preferences */
'pma_lang', 'pma_charset', 'pma_collation_connection',
/* Possible login form */
'pma_servername', 'pma_username', 'pma_password', ‘pma_otp’,
);

Si le champ n’est pas ajouté comme si dessus, le contenu de la variable sera effacée et donc inutilisable.

Ensuite, nous allons apposer notre condition : le PinCode et le TokenCode entrés par l’utilisateur doivent correspondre avec les données (PinCode + Seed du token) enregistrées. Pour cela, nous appelons une fonction booléenne, contenue dans la classe motp utilisée, qui vérifiera cela pour nous. L’endroit de vérification de notre condition est juste après la vérification que le mot de passe n’est pas vide (correspondant à notre deuxième champs : le PinCode).

if (! empty($_REQUEST['pma_username'])) {
// The user just logged in
$GLOBALS['PHP_AUTH_USER'] = $_REQUEST['pma_username'];
// we combine both OTP + PIN code for the token verification
$GLOBALS['PHP_AUTH_PW']= empty($_REQUEST['pma_password']) ? '' :
$_REQUEST['pma _password'];
$fooOtp= empty($_REQUEST['pma_otp']) ? '' : $_REQUEST['pma_otp'];

// OTP CHECK
require_once('./libraries/multiotp.class.php');
$multiotp= new Multiotp();
$multiotp->SetUser($GLOBALS['PHP_AUTH_USER']);
$multiotp->SetEncryptionKey ('DefaultCli EncryptionKey');
$multiotp->SetUsersFolder('./libraries/users/');
$multiotp->SetLogFolder('./libraries/log/');
$multiotp->EnableVerboseLog();
$otpCheckResult=$multiotp->CheckToken($GLOBALS ['PHP_AUTH_PW'].''
.$fooOtp);

if($otpCheckResult== 0)
return true;
else
die("auth failed.");
}

Le code source de PhpMyAdmin étant désormais modifié, il convient de créer un compte MySQL basic de type Username/Password qui correspondra au Username/Pincode de notre exemple avec les droits que vous souhaitez lui octroyer.
Toujours dans notre exemple, nous importons les utilisateurs associés au mode d’authentification forte motp (cf. HOW TO motp).

Dès lors, vous pouvez tester votre magnifique authentification forte de PhpMyAdmin, enjoy ;) .

Anne Gosselin / MARET Consulting

Anexe:

HOW TO : Utiliser la classe MOTP.php

Ce tutorial explique comment utiliser la classe MOTP.php de M. André Liechti. En effet, après avoir téléchargé les différents fichiers disponibles sur le site : http://developer.sysco.ch/multiotp/, et s’être procuré un token (Hardware ou Software), voici la marche à suivre pour pouvoir l’utiliser. Il faut tout d’abord importer le "seed", créer son utilisateur et synchroniser le token afin de pouvoir s’authentifier fortement avec.

1 Importer le seed à partir d’un fichier .xml

multiotp –log –debug –import-xml filename.xml

2 Créer un utilisateur

2.1 par rapport au token-id

multiotp –debug –create –token-id –prefix-pin username tokenid pincode

2.2 par rapport au seed

multiotp -log -create -prefix-pin username OTPtype seed pincode D I

OTPType : HOTP, TOTP,…
D: nombre de digit (par défaut et habituellement 6)
I : Pour motp, TOTP : intervalle de temps séparant deux tokencodes (en secondes).
Pour HOTP : position du prochain évènement attendu.

3 Synchronisation du token (nécessaire après l’enregistrement de l’utilisateur)

multiotp –log –resync username pincode+tokencoden°1 pincode+tokencoden°2

4 Test de l'Authentification forte par OTP

multiotp -debug username pincode+tokencode

Swiss Cyber Storm 3 Security Conference: RSA Failed ?

2011-05-15T18:32:00.002+02:00

Significant discoveries about cyber underground, Advanced Persistent Threat (APT) including computer network hack attacks and defenses, and pragmatic real world security experience will be presented in a series of well chosen talks. Swiss Cyber Storm provides European and international researchers a relaxed, comfortable environment to learn from key developments in security technology, and collaborate and socialize with their peers in one of Switzerland's most visited towns with an exceptionally wonderful view to the snowy Alps.

Voir les slides: Strong Authentication in Web Application / RSA Failed ?

La Citadelle s'offre un nouveau look :-)

2011-04-02T02:26:00.002+02:00

Une envie de changement, bientôt citadelle-electronique.ch, et peut être une migration sur Wordress :-)

Hack RSA SecurID : l'histoire n'est pas terminée !

2011-03-30T15:56:00.029+02:00

Beaucoup de personnes dans la communauté de la sécurité informatique se demandent pourquoi tant de silence de la part de RSA SecurID. La phrase qui ressort le plus est : « RSA Silent About Compromise For 7 Days – Assume SecurID Is Broken ». Effectivement, le doute n’est pas bon en sécurité des systèmes d’information. Mais que fait donc RSA ?

Selon moi, comme mentionné dans mon 1er billet, cette histoire est un évènement marquant de la sécurité informatique.

Actuellement les hypothèses fusent sur la nature du Hack de RSA SecurID, plusieurs d’entre elles semblent finalement se confirmer. La question est de savoir si l’algorithme propriétaire de RSA SecurID est cassé ou simplement si les « Seeds » sont dans la nature. Les dernières informations vont plus dans le sens d’un vol des « Seeds » . D’après le dernier article de SecurityVibes, un des membres affirme que les « Seeds » sont volés. Cette information n’est pas encore confirmée. En supposant que cette hypothèse est vérifiée, on peut se demander ce que l’on peut faire avec ces « Seeds » ? Afin de mieux comprendre, voici un petit « training 101 » sur le fonctionnent de RSA SecurID.

RSA SecurID est un One Time Password (OTP) de type « time based ». Dans chaque Token ou Authentifieur, il y a un secret d’une longueur de 128 bits (le fameux « Seed » - AES-128 block cipher). Ceci est valable uniquement pour la nouvelle génération des Tokens (SID700, SID800, etc). Nous appellerons ce « Seed », le secret partagé. Afin de générer le Tokencode sur l’authentifieur (normalement 6 digits chaque minute), l’idée est d’utiliser le secret partagé et le temps (Time UTC) comme paramètres dans une simple fonction de hachage cryptographique. Cette fonction de hachage est propriétaire pour les OTP RSA SecurID. Chacun est libre de penser ce qu’il veut sur cette approche ! Personnellement, je préfère le principe de Kerckhoffs.

Ce que je viens d’apprendre, et cela est surprenant, c’est que RSA SecurID utilise aussi le numéro de série comme paramètre dans la fonction de hash. Ce numéro est unique par Token. Il est inscrit au dos des Token Hardware. D’après les quelques essais que j’ai fait, je pense que l’on peut utiliser directement ce numéro de série.

D'après l'article de SecurityVibes citant l'opinion de Paul C Dwyer de la International Cyber Threat Task Force JS pose la question si le numéro de série est ensuite encodé pour fabriquer un Serial Number Interne au Token sur une longueur de 64 bits.

Mais cela reste à vérifier formellement !

Le shéma suivant illustre le calcul présumé du TokenCode selon l'hypothèse qu'il n'y a pas de chiffrement du serial nunber:

Pour résumer, afin de générer le TokenCode, il nous faut 3 paramètres:

• Le numéro de série du Token
• Le secret partagé (« Seed ») (128 bits ou 64 bits pour les anciens Authentifieur)
• Le temps (Time UTC)

Pour le moment, et partant du principe que l'hypothèse est juste, cela ne nous donne qu’un seul facteur du mécanisme d’authentification, et par définition, si l’on veut avoir une authentification forte, il nous faut au minimum un deuxième facteur. Dans le cas de RSA SecurID, il s’agit d’un Pin Code. Généralement celui-ci est numérique, voire alpha numérique, et d’une longueur de 4 à 8 caractères. Pour bénéficier d’une authentification forte, on combine alors le PinCode et le Tokencode. Selon la terminologie RSA, cela s’appelle le PASSCODE.

Ainsi, on a : PASSCODE = PinCode + TokenCode.

Revenons à notre hypothèse. Soit les « Seeds » sont dans la nature. Quelques questions se posent :

qui détient ces « Seeds » ?
peut-on les trouver facilement dans la nature ?
peut-on les acheter pour quelques Dollars ?
et si la réponse était oui… ?

Comment ensuite attaquer une entité qui utilise RSA SecurID comme moyen de défense ? La réponse n’est pas simple ! Si l’hypothèse est qu’il suffit de lire le numéro de série gravé sur un Token Hardware et de posséder le « Seed » correspondant au Token alors il faut ensuite connaitre le PinCode et le Username. Comment s'y prendre ? Je vous laisse imager....

Les scénarii sont multiples. Peut être un modèle de menace peut aider.

Peut être un autre article ? Si vous avez envie :-) Je suis preneur !

Après un moment de réflexion, une analyse de menace, des recherches, des échanges, il n’est pas facile aujourd’hui de se faire une idée précise du risque encouru par les entités qui utilisent SecurID. Mais comme mentionné au début de ce billet, le doute est le pire ennemi de la sécurité des systèmes d’information. Enfin si j'ai bien compris !

vos commentaires sont les bienvenus !

Note: Merci à Anne Gosselin (Stagiare chez MARET Consulting - Master in cryptography) et JS, newsoft, Antonio pour votre aide à la rédaction de ce billet.

SMA, le 2011-04-01

Infos récentes:

Par le SANS:

The Recent RSA Breach - Imagining the Worst Case, And Why it Isn't Time to Panic (Yet)

Zataz:
SecurID de RSA compromis ?

APT envers RSA's SecurID ! Peut être un changement de paradigme ?

2011-03-21T22:02:00.036+01:00

- March 17, 2011-

Un moment marquant de l'histoire de la sécurité des systèmes d'information!

Peut être aussi un changement de paradigme pour la protection de notre identité numérique ?

Question simple: Pourquoi ne pas inverser l'approche? L'utilisateur est propriétaire de son Token ! En d'autre termes il possède son "Seed" et le partage uniquement avec le serveur d'authentification de son choix. Juste une idée !

Cf présentation du 16 mars 2011 au IT Security Days - Heig-VD Yverdon

A méditer

Source Wikipédia / 21.03.2011

"On March 17, 2011, RSA announced that they had been victims of "an extremely sophisticated cyber attack"^[5]. Concerns were raised specifically in reference to the SecurID system, saying that "this information could potentially be used to reduce the effectiveness of a current two-factor authentication implementation." However, their formal SEC 8K submission^[6] indicates that they don't believe the breach will have a "material impact on its financial results." The extent of the compromise and the associated risk to customers will not be known until further details have been released.

There are some hints that the breach involved the theft of RSA's database mapping token serial numbers to the secret token "seeds" that were injected to make each one unique. Reports of RSA executives telling customers to "ensure that they protect the serial numbers on their tokens" lend credibility to this hypothesis."

Mesures "simples" pour limiter les risques ! Juste des pistes de brain storming:

Mettre en place une politique de sécurité plus forte pour les PIN Code
Activer le "lockout PIN Code" pour tous les utilisateurs
Changer les PIN Code de tous les Tokens
Sensibiliser les utilisateurs aux bonnes pratiques de sécurité
Surveillance des logs (Brute Force, failed authentications, next token) - intégration avec un SIEM ?
Hardening de la DD du serveur d'authentification - Segmentation par Firewall, Hardening system, Admin nominatif
Contactez le Support RSA Security via Secure Care Online
Prendre contact avec son intégrateur ou RSA Security pour avoir plus d'information

Autres idées, en vrac

Passer en mode OTP via SMS (Authentication Manager Only) ?
Passer en mode Lost Token avec une liste à biffer (Ace Server)
Changer tous les Tokens SecurID?
Demander des nouveaux Seeds ?
Demander un Technical Risk Assessment ?
Un Pentest ?
Changer de système d'authentification ?
Une modélisation des menaces ?
Mesuser le risque technique ?
SuisseID ?
Standards Open OATH (HOTP, TOTP, OCRA) ?
Une Bingo Card ?
etc,

Plus d'information sur le sujet:

Sample SecurID Token Emulator with Token Secret Import

Testing Multiple Factors Authentication (OWASP-AT-009)

20/03/11: Understanding the Impact of the RSA SecurID Breach

http://en.wikipedia.org/wiki/SecurID

Cryptanalysis of the Alleged SecurID Hash Function

Open Letter to RSA Customers

EX-99.2 3 dex992.htm RSA SECURCARE ONLINE NOTE

Déclaration 8-K 1 d8k.htm FORM 8-K au March 17, 2011

Attaque APT chez RSA : des millions de clients vulnérables ?

Compromission de RSA : Kerckhoffs #FAIL ? par SID

Schneier on Security RSA Security, Inc Hacked

The RSA/SecurID Compromise: What is my risk?

The RSA SecurID Problem

RSA SecurID Compromised – The End of One-Time-Passwords (OTP) ?

RSA SecurID Token Calculator by http://www.oxid.it (Software OTP)

Some new Information by Scott Crawford / design could enable others to try to compromise our customers’ RSA SecurID

Android Enabled As SecurID Authentication Device

RSA SecurID incident should serve as a wake up call on strong OTP user authentication / Gartner Blog

RSA compromise: Impacts on SecurID / Jeff Jarmoc, Dell SecureWorks' Counter Threat Unit Intelligence Services

RSA SecurID Hack - My Opinion by Paul C Dwyer (ICTTF - International Cyber Threat Task Force)

Hack RSA : la suite de l'histoire / SecurityVibes

-----------------------------------------------------------------------------------
Exemple de RSA SecurID Token Calculator by oxid.it

Quelles sont les motivations de l'attaque ?
Essayer de comprendre par la modélisation des menaces: et une piste après plus de 6 ans: La fameuse directive FFIEC ! Un marché énorme.

2005 the FFIEC issued guidelines for online user authentication

Get Ready for new U.S. bank IT Security Guidance from the FFIEC / January 12, 2011 Gartner

RSA Security to enable ubiquitous authentication as RSA SecurID(r) technology reaches everyday devices and software / Article du February 15, 2006

RSA breach leaks data for hacking SecurID tokens / 'Extremely sophisicated' attack targets 2-factor auth / The Register 18th March 2011 00:39 GMT

A méditer: "If the cryptographic algorithm must remain secret in order for the system to be secure, then the system is less secure." cf Kerckhoffs's Principle

Thanks to starbuck3000 / SID / Spoint / JS / Nick / Hervé for your help

Note: ma 1ere hypothèse est que les seeds sont dans la nature ? Mais cela reflète que mon avis.

SMA le 23.03.2011

Dernière mise à jour: le 30 avril 2011

HEIG-VD IT Security Days / Présentation en ligne

2011-03-19T21:11:00.002+01:00

HEIG-VD IT Security Days Web Applications (In-)Security

Sylvain Maret, Maret Consulting, principal consultant, "Strong Authentication in Web Applications: State of the Art 2011": Sylvain’s talk will focus on risk based authentication, biometry, OTP for smartphones, PKIs, Mobile-OTP, OATH-HOTP, TOTP and the open-source approach to this subjet.

Get slides

ConFoo.ca 2011 / Strong Athentication in Web Application

2011-03-10T16:21:00.004+01:00

La présentation de ConFoo.ca 2011 est maintenant online. Merci à Anne Gosselin, Antonio Fontes et André Liechti pour leur soutien. La démo phpmyadmin et OTP à été parfaite.

Télécharcher les slides ici.

Le code sera bientôt disponible sur la Citadelle et sur http://www.multiotp.net/

A bientôt.

Sylvain

PS: Merci aussi au soutien de OWASP: Sébastien Giora et Philippe Gamache

Phpmyadmin and Strong Authentication

2011-03-06T22:36:00.003+01:00

Le code source sera bientôt disponible. En attendant plus d'information sur multiotp, the free PHP library and command line tool to check a token.

HOTP/OATH one-time password token for iPhone

2011-03-05T13:21:00.003+01:00

OATH Token is a free and open-source software token for two-factor authentication on the iPhone. OATH Token implements the RFC 4226 HOTP/OATH algorithm standard and is not tied to any proprietary server software.

Multiple tokens are supported and may be fully configured as event-based or time-based. Tokens can be fully edited at any time, until if and when put in "lockdown" mode, after which editing is permanently disabled.

Simple web-based provisioning is supported using custom oathtoken:// URLs.

OATH Token is compatible with the mod-authn-otp Apache authentication module.

View OATH Token in the App store by clicking here.

Have fun

Strong Authentication in Web Application: State of the Art 2011

2011-01-16T20:25:00.004+01:00

ConFoo.ca 2011 Conference

PHP Québec, Montréal-Python, Montreal.rb, W3Qc and OWASP Montréal are proud to announce the second edition of the ConFoo Conference. From March 9th to 11th 2011, international experts in Java, .Net, PHP, Python and Ruby will present solutions for developers and project managers the prestigious Hilton Bonaventure Hotel, located in downtown Montréal.

J'ai l'honneur d'avoir été sélectionné pour la conférence:

Strong Authentication in Web Application: State of the Art 2011

* Risk Based Authentication
* Biometry - Match on Card
* OTP for Smartphones
* PKI
* Mobile-OTP
* OATH-HOTP
* TOTP
* Open Source approach

How to integrate Strong Authentication in Web Application

* OpenID, SAML, Liberty Alliance / Kantara
* API, Agents, Web Services, Modules
* PAM, Radius, JAAS
* Reverse Proxy (WAF) and WebSSO
* PKI / SSL client authentication

* PHP example with Multi-OTP PHP class

HEIG-VD Security Days

2011-01-16T20:03:00.005+01:00

Almost every day, the media contains news reports about security issues in the cyberspace, electronic attacks against individuals, or even government infrastructure. With the aim of disseminating high-quality knowledge in this field to help people and companies better handle and understand those issues, the HEIG-VD is organizing three "Security Days" in Yverdon-les-Bains.

The HEIG-VD Security Days take place on three separate days, covering different areas of the IT Security world.

The first day targets the topic of "Ethical Hacking", the second one the specific subject of "Web Application Security", and the third day is dedicated to cyber-war, information warfare and other related areas.

Widely recognized experts in their fields will give interesting, informative and entertaining talks to attending IT professionals and anyone concerned by the growing insecurity of our e-world.

DAY 1, FEBRUARY 9, 2011
Ethical Hacking

DAY 2, MARCH 16, 2011
Web Applications (In-)Security

DAY 3, APRIL 7, 2011
Security In The Cyberspace

Online Registration

Get the Flyer (PDF)

La Citadelle Electronique: Identité numérique et Authentification forte: Workshop on «Digital Identity, Trust & Confidence», au château de Münchenwiler.

2010-09-24T03:15:00.001+02:00

Workshop on «Digital Identity, Trust & Confidence», au château de Münchenwiler.

2010-06-28T18:10:00.012+02:00

Voilà maintenant plus d’un mois que je n’ai rien écrit sur la Citadelle. Pourtant beaucoup de choses se sont déroulées depuis le succès du Geneva Application Security Forum 2010 du mois de mars…

J’ai eu l’occasion de participer en tant qu'expert et représentant d'OpenID Suisse romande à des réunions organisées dans le cadre de l’ICT Commission Workgroup sur le thème : «E-Society» - Workshop on «Digital Identity, Trust & Confidence», les 21 et 22 mai 2010 au château de Münchenwiler.

J’ai eu la chance d’y donner une présentation et de participer à des débats fort animés mais très intéressants. Cela a été l’occasion de côtoyer d’autres participants provenant de milieux divers et d’échanger nos idées.

Le résultat de cette rencontre est une recommandation pour différentes parties : universités, EPF, hautes écoles spécialisées, entreprises techniques suisses, administration publique et autres organisations scientifiques.

Le sujet de ma présentation était : « Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le Web 2.0? » Vous pouvez la télécharger ici.

Les conclusions des quatre groupes de travail sont disponibles ici et en particulier le Working Group III auquel j'ai participé.

Bonne lecture

"L'identité numérique est un lien technologique entre une entité réelle et une entité virtuelle."

2010-06-23T19:50:00.013+02:00

Visualisation de votre lien d'authentification entre vos identités numériques et votre identité physique....

Si vous utilisez un mot de passe comme moyen d'authentification

le principe du maillon faible de la chaîne s'applique.....

Le risque d'usurpation est très fort

Une définition ou essai technique de l'Identité numérique pourrait s'écrire ainsi:

"L'identité numérique est un lien technologique entre une entité réelle et une entité virtuelle."

Source: Wikipédia

A méditer ....

Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le Web 2.0?

2010-05-04T22:44:00.005+02:00

Swiss Academy of Engineering Sciences ICT Commission
Worksgroup «E-Society»

J'ai l'honneur d'avoir été sélectionné pour la conférence:

Workshop on «Digital Identity, Trust & Confidence» May 20/21, 2010,
Parkhotel Schloss Münchenwiler

Le thème de ma présentation:

Comment protéger de façon efficace son/ses identité(s) numérique(s)
sur le Web 2.0?

“Personal data is the new oil of the Internet and the new currency of the digital world … The Government considers issues of Online Safety and Security to be of the utmost importance and a continuing and informed debate is needed to ensure that as a society we make the right choices in the future. As we move toward a world of ubiquitous broadband, governments around the world will need to be increasingly engaged and open about the right mix of approaches to these issues.“ [DIGITAL BRITAIN Final Report, June 2009]

Following the successful workshop on «Identity Management & Trust» (November 2/3, 2006) the ICT Commission will conduct another workshop on «Digital Identity, Trust and Confidence» May 20/21, 2010. «Digital Economies», «E-Societies» in terms of modern Information & Knowledge Societies are emerging around the globe and have rapidly developed since 2006, together with new technologies, devices, procedures and standards.

Leaders from politics, authorities, economy, society, education & research, media and experts of various areas & disciplines are invited to contribute and to provide current information on this topic which affects almost every online interaction in multiple context. Discussions, working sequences and presentations will reveal interdisciplinary aspects and need for action.

Démocratisation de l'authentification forte

2010-04-15T20:50:00.010+02:00

Voilà maintenant plus d’un mois que le Geneva Application Security Forum s’est déroulé. Ce fut un événement riche en rencontres, réflexions, idées et points ouverts. Notamment sur la sécurité des IDP OpenID ..... Un futur sujet à traiter :-)

Je trouve enfin un peu de temps pour écrire un billet sur la Citadelle. Ce ne sont pas les sujets qui manquent mais simplement le temps…

Depuis quelque temps, les technologies d’authentification forte se démocratisent et c’est une bonne nouvelle pour les utilisateurs du Web 2.0. Encore réservé aux entreprises ou aux geeks, ces technologies sont désormais disponibles gratuitement pour les utilisateurs soucieux de sécuriser leurs identités numériques dans le monde digital.

Oui, c’est une bonne nouvelle ! Mais comment profiter de celle-ci ?

Tout simplement en utilisant le protocole OpenID. Le fournisseur d'identités Clavid, basé en Suisse, offre maintenant la possibilité de protéger son identifiant OpenID avec une authentification forte. Je vous encourage donc vivement à créer, si ne n’est déjà fait, un compte OpenID et de l’associer à un authentifieur.

Vous avez désormais la possibilité d’utiliser un authentifieur de type One Time Password (OTP) sur votre smartphone, de recevoir un OTP par sms ou d’utiliser un authentifieur hardware (comme par exemple Ubikey) ou encore un certificat digital X509.

Cette approche vous permettra, de façon gratuite ou avec un investissement minimum, de bénéficier d’une technologie d’authentification forte au même titre que les entreprise les plus soucieuses de leur sécurité.

Je me réjouis de suivre cette évolution pour que l’accès au monde numérique soit de plus en plus sûr et que OpenID ouvre la porte à une protection plus efficace de ses identités numériques.

Je vous souhaite une exploration pleine de découvertes dans le monde de la sécurité des identités numériques.

Sylvain Maret

-------------------------------------
Plus d'informations

Solution Open Source pour l'authentification forte:

Mobile-OTP
Mobile‐OTP is an open source project that provides source code, links and information on the Source‐Forge project site: http://motp.sourceforge.net/

Mobile-OTP is a time based OTP method taking a timestamp, a shared secret as well as a PIN as foundation to generate OTP. Most of the following OTP client software for mobile phones is available for free or at very low cost:

«mOTP» for iPhone available at: http://itunes.apple.com/ch/app/motp‐mobile‐onetimepasswords/id318414073?mt=8

«iOTP» for iPhone available at: http://itunes.apple.com/ch/app/iotp/id328973960?mt=8

«mobile otp» for iPhone available at: http://itunes.apple.com/ch/app/mobile‐otp/id353429059?mt=8

«CitrusOTP» for iPhone available at: http://itunes.apple.com/app/citrusotp/id320530967?mt=8

«Mobile‐OTP» for Android available at: http://www.androlib.com/android.application.org‐cry‐otp‐pxEE.aspx

«mOTP+» MIDlet for mobile phones supporting Java. Info available at: http://www.freeauth.org/

Challenge / Response OTP based on RFC 2289
RFC 2289 is a one time password systems specified back in 1998. The standard is still in use and supported by various clients. Additional information on RFC 2289 is available at the IETF web site: http://tools.ietf.org/html/rfc2289

OATH-HOTP (RFC 4226) specified by the Initiative for Open Authentication
The «Initiative for Open Authentication» is a working group which is well known as OATH. The working group does standardize strong authentication methods such as OATH HOTP and publishes its information at their web site: http://www.openauthentication.org/

Additional information on RFC 4226 is available at the IETF web site: http://tools.ietf.org/html/rfc4226

Draft TOTP - Time-based One-time Password Algorithm

As defined in [RFC4226] the HOTP algorithm is based on the HMAC-SHA-1
algorithm, as specified in [RFC2104] applied to an increasing counter
value representing the message in the HMAC computation.

Basically, the output of the HMAC-SHA-1 calculation is truncated to
obtain user-friendly values:

HOTP(K,C) = Truncate(HMAC-SHA-1(K,C))

where Truncate represents the function that can convert an HMAC-SHA-1
value into an HOTP value.

TOTP is the time-based variant of this algorithm where a value T
derived from a time reference and a time step replaces the counter C
in the HOTP computation.

The default HMAC-SHA-1 function could be replaced by HMAC-SHA-256 or
HMAC-SHA-512 to leverage HMAC implementations based on SHA-256 or
SHA-512 hash functions.

Draft OCRA - OATH Challenge/Response Algorithms Specification

OATH [OATH] has identified several use cases and scenarios that
require an asynchronous variant to accommodate users who do not want
to maintain a synchronized authentication system. A commonly
accepted method for this is to use a challenge-response scheme.

Such challenge response mode of authentication is widely adopted in
the industry. Several vendors already offer software applications
and hardware devices implementing challenge-response - but each of
those uses vendor-specific proprietary algorithms. For the benefits
of users there is a need for a standardized challenge-response
algorithm which allows multi-sourcing of token purchases and
validation systems to facilitate the democratization of strong
authentication. Additionally, this specification describes the means
to create symmetric key based digital signatures. Such signatures
are variants of challenge-response mode where the data to be signed
becomes the challenge.

Geneva Application Security Forum 2010: les présentations sont Online

2010-03-12T07:47:00.006+01:00

Présentation du Geneva Application Security Forum 2010
(Antonio Fontes / Responsable OWASP Genève)
langue parlée: français

Les technologies d'authentification forte dans les applications web: comment les intégrer ?
(Sylvain Maret / Responsable OpenID Suisse romande / Auteur Blog La Citadelle Électronique)
langue parlée: français

Intégration de l'authentification: les mesures proposées par OWASP
(Philippe Leothaud / CTO Bee Ware et expert en sécurité des applications web)
langue parlée: français

Fédération des identités et OpenID (présentation en anglais)
(Robert Ott / Responsable OpenID Suisse, Fondateur Clavid)
langue parlée: anglais

Bonne lecture

Geneva Application Security Forum: un grand succès et merci

2010-03-09T21:56:00.002+01:00

Antonio et moi lorgnons sur les stations de ski et les sentiers de VTT avec impatience et il n'est à présent question qu'une question de minutes avant de pouvoir nous annoncer officiellement "en weekend." Toutefois, nous ne partirons pas sans exprimer nos remerciements !

En premier lieu, nous remercions chacun de nos sponsors : BeeWare, ClavID, HEC Genève, MyBestID, NTX Research, RSA et Yubico, en particulier de nous avoir accordé leur confiance, leurs ressources, leur image ainsi que pour leur soutien continu face aux multiples redimensionnements du Geneva Application Security Forum.

A toute l'équipe "staff", Anne, Brigitte, Fabienne, Martine, Victoria, Jean-Luc, Michael et Zvonomir: vous nous avez accordé votre confiance, votre expérience, votre professionnalisme et votre disponibilité, avec la "cool-attitude" en bonus. Bien entendu, nous ne t'oublions pas Gilles: nous t'avons délégué l'orchestration complète de l'événement et tu as parfaitement su piloter et coordonner chacun de nos efforts, sans faute, de la première à la dernière minute.

Cela a été un grand plaisir pour nous de travailler avec vous tout au long de ce projet et nous vous en remercions chaleureusement!

Nous remercions aussi tout particulièrement les intervenants, Philippe Leothaud (BeeWare) et Robert Ott (OpenID Suisse), de nous avoir accordé leur confiance, s'être déplacés jusqu'à Genève pour nous faire part de leur expérience et leur savoir-faire. Il fallait du courage pour venir affronter une audience de presque 200 participants munis de projectiles en mousse prêts à être lancés au moindre dérapage, vous vous en êtes extrêmement bien sortis !

Merci Philippe! Thank you Robert!

Cette première édition du Geneva Application Security Forum a été consacrée au thème de l'intégration des technologies d'authentification forte au sein des applications web. Une thématique d'actualité, sur laquelle nous avons souhaité sensibiliser et informer les participants. Vous êtes venus en nombre, vous avez activement participé aux interventions et aux animations proposées tout au long de la soirée et nous recevons actuellement vos nombreux feedbacks, positifs pour la majorité.

Pour nous, la mission est accomplie et nous espérons avoir pu contribuer à l'atteinte d'une meilleure sécurité du web dans notre région, qu'il s'agisse du web professionnel ou des loisirs.

Au nom d'OpenID et d'OWASP, nous vous remercions toutes et tous de votre participation et espérons d'ores-vous retrouver lors d'une prochaine édition du Geneva Application Security Forum.

Antonio Fontes / OWASP Geneva Chapter Leader

Sylvain Maret /OpenID French Switzerland Chapter Leader

Trivia: de nombreux curieux n'ont pas manqué de remarquer les magnifiques sculptures de ballons représentant les logos OWASP et OpenID. Les deux pièces ont été conçues par Fabienne Antoine et Denis Montagnol, deux ballonistes locaux reconnus (Denis Montagnol à été sacré par ses pairs meilleur balloniste européen à Bruxelles en 2006).

Security Summit / MILANO 16,17,18 mars 2010

2010-02-26T11:50:00.012+01:00

J'ai l'honneur d'avoir été sélectionné pour la conférence

Security Summit MILANO

les 16,17,18 mars pour une présentation:

"Implementation of a biometric solution providing strong authentication to gain access to confidential data"

Plus d'informations sur le talk: https://www.securitysummit.it/eventi/view/81

Communiqué de Paolo Giudice 26 février 2010 / Président du Security Summit

Chers amis du Security Summit,

Les inscriptions au Summit de Milan sont ouvertes, qui se tiendra du 16 au 18 mars. La participation à toutes les sessions est gratuite, avec la seule obligation de s’inscrire sur le site de la manifestation https://www.securitysummit.it/

Le programme du Summit est en ligne, mis à jour continuellement.

Il y aura aussi cette année le l'Hacking Film Festival, plus d’informations à suivre.

Finalement, nous vous rappelons que vous pouvez demander aux responsables le droit d’utiliser les pages de notre groupe sur Facebook . Comme nous l’avons déjà fait dans nos éditions précédentes, les demandes seront postées et nous publierons les réponses.

Cordialement

Paolo Giudice

Geneva Application Security Forum 2010: plus de 250 participants enregistrés et les inscriptions continuent!

2010-02-25T23:37:00.005+01:00

25 février 2010: Communiqué de presse du Geneva Application Security Forum 2010 par Antonio Fontes

La réunion J-10 a constitué pour nous une occasion importante de faire un bilan des préparatifs du Geneva Application Security Forum.

Pour en savoir plus sur l'avancée du projet, je vous propose de cliquer sur le lien ci-après.

http://www.geneva-appsec-forum.ch/

250 participants et une nouvelle salle

En premier lieu, nous avons eu le plaisir de confirmer une liste de participation au Geneva Application Security Forum contenant plus de 250 inscriptions.

La salle initialement prévue aurait largement été saturée à cette heure si notre sponsor ne nous avait pas récemment confirmé la mise à disposition d'une nouvelle salle d'une capacité de 400 places assises et mieux équipée pour la conférence. Je profite donc de cet espace pour vivement remercier HEC Genève de leur soutien et leur réactivité!
Team d'encadrement et pilotage du projet

Ceux et celles qui nous connaissent, Sylvain et moi-même, ont très certainement déjà constaté que nous courons même sans cet événement. Inutile de préciser que l'engouement généré pour cette soirée a déclenché une longue série de nouvelles préoccupations logistiques que nous prenons un malin plaisir à résoudre! Heureusement pour nous, plusieurs personnes ont craqué devant notre charme irrésistible et ont ainsi accepté de nous aider.

Cette nouvelle équipe d'encadrement, dont je me réjouis de vous présenter très prochainement les membres, nous soutient désormais dans l'organisation de cet événement. Il y aura donc un vrai accueil, un vrai service et même un vrai photographe pour immortaliser les meilleurs moments de la soirée!

Finalement, Sylvain a eu l'excellent réflexe de proposer suffisamment tôt la délégation des efforts de coordination. Ainsi, Monsieur Gilles Dufour a accepté de se joindre à l'équipe. Nous bénéficions désormais de son expérience et lui avons délégué le pilotage du projet ainsi que la coordination de nos efforts. A ce titre, et au nom de Sylvain également, je me permets donc déjà de lui exprimer nos plus chaleureux remerciements pour une aide précieuse qui a déjà fait ses preuves dès les premières minutes!

Pour conclure

Succès ou catastrophe, une chose est déjà sûre, le Geneva Application Security Forum sera bien plus important que nous l'avions imaginé à l'origine. Les échos que nous recevons au jour le jour, tant par les participants que par nos sponsors, indiquent un grand intérêt pour cette soirée, que nous accueillons comme de grands encouragements!

Soyez assurés que Sylvain et moi-même mettons le maximum en oeuvre pour que cet événement puisse se conclure par une expérience enrichissante et positive pour le plus grand nombre de participants!

Au nom de toute l'équipe organisatrice, je remercie tous les inscrits-es de leur confiance et souhaite d'ores-et-déjà la bienvenue aux nouvelles personnes qui s'inscrivent encore maintenant.

Antonio, co-fondateur Geneva Application Security Forum

La HEG de Genève se dote d’un nouveau Centre de Compétence pour la Sécurité de l’Information des Entreprises (CCSIE)

2010-02-16T18:36:00.002+01:00

La Citadelle Electronique vous annonce le lancement d’un nouveau centre de compétence dans le domaine de la sécurité à la Haute école de Gestion de Genève.

A noter que le nouveau module de formation démarrera le 25 mars prochain. Une formation à découvrir ici : PME-RISC S1 – Evaluer la sécurité

La HEG de Genève se dote d’un nouveau Centre de Compétence pour la Sécurité de l’Information des Entreprises (CCSIE) créé grâce à l'impulsion de Messieurs Jim Herbeck, Christophe Nemeth et Rolf Hauri.

L’objectif du centre est de proposer une plateforme unique afin de partager les résultats des projets de recherche appliqués aux entreprises, d’offrir son catalogue de formations pour les professionnels de la sécurité et de favoriser la synergie entre les différents acteurs.

L’offre de formation de pointe offerte déjà à la HEG au travers du CCSIE, comme les formations du SANS Institute et le MBA MSSI, se voit aggrandie avec une toute nouvelle formation en 3 modules d’un jour, PME-RISC.

En effet, cette nouvelle formation dont le premier module se tiendra le 25 mars 2010 à Genève, aborde le processus de gestion de la sécurité de manière innovante et pragmatique.

Destinée aux PME, elle permet d’assimiler une démarche d’implémentation de la sécurité par les risques. Dans cette méthodologie, les risques sont traités dans le contexte métier de la PME et priorisés selon leur impact sur les processus métiers stratégiques. Le cours utilise une technique innovante d’appromixation des risques, optmisée pour les PME afin d’identifier et de prioriser rapidement et concrètement les risques informationnels. En effet, au lieu de passer la plus grande partie du projet à identifier les risques avec des méthodes lourdes et complexes, mieux vaut adopter une approche simple et efficace, et mettre l’effort sur le traitement des risques.

Ensuite, lors des 2 modules suivants les processus d’implémentation des mesures de protection et de revue régulière de la gestion de la sécurité sont également abordés.

Retrouvez tous les détails utiles ici : http://www.hesge.ch/heg/ccsie/

Solution d’authentification forte pour Internet et utilisateurs mobiles

2010-02-15T18:08:00.003+01:00

Innovation dans le monde de l'authentification forte

Le marché dispose maintenant d’une solution de très haute sécurité pour authentifier tant les utilisateurs en ligne que les équipements:

Authentification et accès sécurisés aux informations et services privées, la banque en ligne, les Intranet corporate, contenus à valeur ajoutée par abonnement...
Paiement en ligne avec le standard 3-D Secure (Verifié par Visa, MasterCard SecureCode)
Tirer au mieux parti des derniers mobiles et smartphones. Transformez les en dispositifs d’authentification.
Rétablissez la confiance lors d’une communication distante avec des terminaux Embarqués.

Tout cela dans une architecture Unifiée et de faible coût. Que ce soit par Internet ou avec un Mobile. Accéder à des informations privées, à la banque en ligne, au paiement en ligne par carte bancaire, à l’Intranet d’entreprise, à des services privés et aux services abonnés payant de toute nature devient maintenant sûr et abordable.

XCA de la société NTX Research est une solution 100% dématérialisée et entièrement paramétrable aux besoins et aux usages des clients et des fournisseurs de services. Aucun matériel supplémentaire à acheter. Sur les mobiles, XCA peut utiliser les liens Internet, GSM (par SMS) aussi que le mode « off-line » (le mobile se comporte alors comme un token-calculette OTP).

Un système de très haute sécurité (Breveté et audité au niveau International).

Mot de passe à usage unique (OTP) en protocole défi-réponse
Table de codage pseudo aléatoire matricielle
Code secret utilisateur inviolable

Nous avons reproduit sur les terminaux distants (Ordinateurs et mobiles), l’usage et le niveau de sécurité disponible sur les cartes bancaires.

Très haute protection contre l’écoute de ligne (principale menace sur les réseaux), mot de passe à usage unique non rejouable, cryptanalyse extrêmement difficile sur les matrices.

A la différence des autres systèmes d’authentification l’emprunt ou le vol du terminal (PC ou mobile) ne permet pas au pirate de s’authentifier à la place de l’utilisateur légitime. En effet l’utilisateur est sollicité pour taper son code secret comme pour un paiement de proximité carte bancaire «code secret» qui n’est stocké nulle part dans le système (ni sur le mobile ni coté serveur).

Retrouvez NTX Research au Mobile World Congress 2010 à Barcelone du 15 au 18 février, Pavillon France, Hall 2, stand 2E60.

NTX est aussi partenaire du Geneva Application Security Forum le 4 mars à Genève.

OWASP Genève – Communiqué

2010-02-10T21:42:00.008+01:00

Geneva Application Security Forum 2010

« Vers l’authentification forte dans les applications web… »

Bonjour à tous, ci joint le communiqué du Local Chapter OWASP Genève.

Je me réjouis de vous rencontrer le 4 mars lors de notre event.

Sylvain Maret / Swiss French Area Delegate at OpenID Switzerland

Lire le communiqué de presse: Official communications: (English version) - (French version)

==========================

GENEVE, 9 février 2010 - Le grand public ne côtoie généralement l’authentification forte, ou authentification multi-facteurs, que lors de connexions aux services financiers ou aux environnements de travail à distance, particulièrement réputés grands consommateurs des fameuses calculettes ou authentifieurs SecurID. Pourquoi pas ailleurs ?

Le besoin existe pourtant: de plus en plus de services en ligne collectent et exposent de grandes quantités de données personnelles, souvent perçues comme hautement sécurisées par leurs
utilisateurs. Le constat est évident : l’actualité démontre quotidiennement que le simple couple « nom d’utilisateur/mot de passe » ou le chiffrement du trafic par « SSL » n’offrent aujourd’hui plus une sécurité suffisante contre l’astuce dont font preuve les pirates informatiques, la criminalité organisée ou encore, des éventuels collaborateurs nourrissant secrètement un désir de nuire.

L’authentification forte reste encore souvent perçue comme une option coûteuse et complexe à mettre en oeuvre dans les applications web. Une perception aujourd’hui de plus en plus erronée : de nombreuses technologies d’authentification forte sont disponibles, pouvant être déployées à moindre coût et moindre effort pour autant que l’on s’entoure des bonnes compétences.

La promotion de la sécurité dans les applications web s’inscrivant au coeur de la mission fixée par l’OWASP, la section genevoise de l’OWASP s’est ainsi associée avec OpenID Suisse afin de mettre sur pied le Geneva Application Security Forum 2010, le 4 mars prochain, à Genève.

Cette manifestation sera une occasion exceptionnelle pour tous les participants d’améliorer leur
compréhension des technologies d’authentification forte sur le web, d’en tester certaines et d’échanger leurs expériences.

La participation est ouverte à tous et gratuite sur simple inscription. En cliquant sur le lien ci-après, découvrez le programme détaillé de la soirée et, si vous en êtes convaincu-e, remplissez le formulaire d’inscription !

http://www.geneva-appsec-forum.ch

(attention : le nombre de participants est limité à 250)

Antonio Fontes

OWASP Genève - http://www.owasp.org/index.php/Geneva
Contact: Antonio Fontes / antonio.fontes@owasp.org / M: +41-76-418-3343

La Citadelle Electronique s'offre un nouveau logo

2010-01-30T18:40:00.005+01:00

2010 s'annonce riche pour les identités numériques. Le 4 mars nous aurons le 1er Geneva Application Security Forum. Le site est en construction et sera très prochainement en ligne.

A l'occasion de ce forum, les sections respectivement genevoise et romande de OpenID et OWASP organiseront un cycle de conférences sur l'authentification forte dans les applications web. Au programme, un état de l'art des technologies d'authentification forte disponibles pour le web et accessibles aux entreprises quels que soient leurs besoins et leur budget.

Probablement que la Citadelle va aussi changer de "moteur de blog". Je suis en train de regarder pour migrer sur Wordpress.

Bref les choses bougent et c'est vraiment bien. Dans ce sens la Citadelle s'offre un logo tout beau tout neuf.

Sylvain Maret

Actualité OWASP Genève et OpenID Switzerland premier trimestre 2010

2010-01-21T20:58:00.008+01:00

L’année 2010 démarre rapidement avec deux événements importants dédiés à la sécurité logicielle, pour lesquels la Citadelle Électronique, Owasp Genève et OpenID Switzerland joueront les rôle de partenaire et d’organisateur.

== Insomni’hack 2010

Pour la troisième année consécutive, la société SCRT réédite un concept qui a permis à plus d’une centaines de passionnés de sécurité de l’information, amateurs ou professionnels, venus de Suisse et France voisine, de mettre en application leurs connaissances dans le cadre d’une compétition.

En tant que partenaire de l’événement, OpenID Switzerland tiendra un stand d’information auprès duquel vous pourrez venir vous informer sur les projets actuels et les futures activités d'OpenID 2010.

Que vous soyez visiteur ou participant, n’hésitez donc pas à passer au stand OpenID Switzerland si vous souhaitez en savoir plus sur la fondation!

Insomni’hack 2010 aura lieu le 22 janvier prochain, à la Haute Ecole du Paysage d'Ingénierie et d'Architecture, à Genève.
La participation à la compétition est gratuite et ouverte à tous, sur simple inscription via la page officielle de l’événement: SCRT

== Geneva Application Security Meeting (OWASP Geneve chapter meeting and OpenID Switzerland)

Première édition d’une manifestation organisée conjointement par OWASP Genève et OpenID Suisse romande, la conférence Geneva Application Security Meeting accueillera des intervenants venus présenter l’état des connaissances en matière d’intégration de l’authentification forte dans les applications web. Une occasion unique de découvrir et comprendre des solutions d’authentification forte aujourd’hui proposées aux grandes et moins grandes entreprises, quels que soient leurs budgets.

Ce sera également l’occasion pour les plus curieux de participer en exclusivité à un laboratoire "authentification forte", où les participants pourront mettre en œuvre le dispositif d’authentification forte conçu par la société Yubico. Les participants se verront ainsi offrir une clé d’authentification forte YubiKey qu’ils activeront pour leur usage personnel (ou professionnel) et avec laquelle ils pourront repartir dès la fin de la manifestation.

Geneva Application Security Meeting aura lieu le 4 mars prochain, à Genève.

Des informations détaillées quant aux lieu, site officiel et formalités d’inscription (inscription gratuite) vous seront communiquées très prochainement sur le site OWASP Genève et OpenID Switzerland

Vous pouvez toutefois déjà trouver un agenda détaillé de la manifestation sur Citadelle électronique.

Sur ces bonnes nouvelles, je conclus ce message en vous invitant chaleureusement à réserver dans votre agenda les soirées des 22 janvier et 4 mars prochains, tout en vous présentant mes meilleurs voeux pour cette nouvelle année 2010.

Meilleures salutations,

Sylvain Maret / Responsable OpenID Suisse Romande

Dernier billet pour l'année 2009: Réflexion .....

2009-12-20T01:09:00.009+01:00

Voilà la fin de 2009... Une année riche en découvertes et exploration !

L'aventure de la sécurité des identités numériques avec OpenID continue. Pour 2010 il y aura probablement le lancement d'une thèse de Master sur OpenID et l'authentification forte. Je vous tiendrai au courant. Et surtout notre événement le 4 mars à Genève avec OWASP:

Geneva Application Security Meeting 2010

2010 s'annonce aussi riche pour OpenID !

Plus le temps passe et plus je suis convaincu que la sécurité des identités est un enjeux important pour nos enfants (Génération Y / Digital Native Generation)

On verra si OpenID est peut être une solution pour la protection de nos identités numérique ??? Je pense que c'est une approche pragmatique....

La Citadelle Électronique vous souhaite de joyeuses fêtes de fin d’année et ses meilleurs vœux pour 2010 !

Un grand pas pour OpenID: OpenID got into ICAM for LOA 1

2009-12-10T21:38:00.005+01:00

OpenID est maintenant une technologie adaptée par les Etats Unis pour les services eGouvernement ICAM :

Un grand moment pour OpenID. Un pas de plus pour la sécurité de nos identités numériques sur le net. That Cool ......

Et aussi un pas vers l'évolution des techniques de sécurité pour l'authentification ..... et l'authentification forte !

En complément la réponse de Robert Ott, Founder OpenID Switzerland, suite à cette question:

Sylvain: Do you agree with the ICAM position ?

OpenID 2.0 can be used to conduct low-risk transactions with the

Federal Government. At this time, OpenID 2.0 is suitable for LOA 1

authentication only

Robert Ott: Hi Sylvain,

I agree to some extend because it says 'At this time...'. If we consider the requirements to be fulfilled even only for LOA 1, I believe most of the current OpenID IDP's have not reached that level of maturity to fulfill levels higher the LOA 1 yet. While some of the provider fulfill many of the points what would allow them to claim LOA higher than 1, but a real claim for LOA > 1 would mean to fulfill ALL of the requirements. Thus, I think it is a valid and important statement that OpenID got into ICAM for LOA 1. As soon as the trust framework has evolved and we have whitelisted OpenID IDP's that fulfill all points of LOA 1, we will be able to try to go a step forward for higher LOA levels. On the other hand as soon as we look at the requirements for LOA > 1, the assurance level for the identities increases dramatically and might need to base on trust frameworks such as eGovernment issued / controlled ID's (e.g. eID Estonia, SuisseID etc.). To conclude, I'm very pleased that the OIDF has made it that OpenID got part of ICAM, great work!

Regards

Robert

Plus d'information: Open Identity Solutions for Open Government

Et un très bon doc: Open Solutions for Open GovernmentOpen GovernmentPortable IdentityPortable IdentityTechnical ApproachTechnical Approach

-------------------------------------------------------------------------------------

Join us for

Geneva Application Security Meeting 2010

Towards Stronger Authentication in Web Applications...

in partnership with OWASP and OpenID

and get one Yubikey for free to protect your digital identity

Join us :-)

OpenID 2.0 and Strong Authentication ? so 2FA is 'wasted'...

2009-12-10T00:00:00.007+01:00

Et pourquoi pas ?

Le point de vue de la FICAM sur OpenID et l'authentification forte ! Je suis pas convaincu pour le moment.... A méditer !

OpenID ne permet pas d'être LOA3 ?

Extrait du document ICAM OpenID 2.0 Profile:

"OpenID 2.0 as described in this document has completed the scheme adoption process and has been adopted by Federal Identity, Credential, and Access Management (ICAM) for the purpose of Level of Assurance (LOA) 1 identity authentication (i.e., conducting low risk transactions with the Federal government). Proper use of this Profile ensures that implementations:

• Meet Federal standards, regulations, and laws;
• Minimize risk to the Federal government;
• Maximize interoperability; and
• Provide end users (e.g., citizens) with a consistent context or user experience at a Federal Government site.

This Profile does not alter the OpenID 2.0 standard, but rather specifies which areas of the standard can be used for technical interoperability of government applications, and how they will be used.

The OpenID 2.0 protocol facilitates exchange of OpenID messages (requests and/or responses) between endpoints. For this adopted scheme, messages pertain primarily to the exchange of an identity assertion that includes authentication and attribute information. In ICAM, the endpoints are typically the Relying Party (RP) and the Identity Provider (IdP).

OpenId 2.0 defined herein includes the following features: single sign-on, session reset, attribute exchange, pseudonymous identifiers, and authentication policy. In addition, this Profile defines two main OpenID 2.0 use cases: the end user starting at the RP and the end user starting at the IdP. Use case diagrams and sequence diagrams are provided to illustrate the use cases. Privacy, security, and activation are also discussed. Programmed trust (a mechanism to indicate to RPs which IdPs are approved for use within ICAM) is also discussed, and a high-level process flow diagram is provided.

The Profile concludes with detailed technical guidance that scopes OpenID 2.0 for ICAM purposes. Like most specifications, OpenID 2.0 provides options. Where necessary, ICAM specify or removes options in order to achieve better security, privacy, or interoperability."

Plus d'info: ICAM OpenID 2.0 Profile

@smaret yes, but pairing 2FA with OpenID could be incongruous. ICAM says OpenID tops out at LOA1, so 2FA is 'wasted'...

OTP pour Iphone: un retour d'expérience

2009-12-06T21:26:00.010+01:00

Après avoir publié plusieurs billets sur les technologies d’authentification forte pour les smartphones et notamment pour l’iPhone, je suis maintenant en mesure de vous parler d’un retour d’expérience.

En effet, je viens de finaliser un projet d’authentification forte pour une entreprise du secteur de l'industrie.

Objectif du projet
L'objectif du projet était de remplacer les « bon vieux » authentifieurs hardware, de type SecurID ou similaire, par une technologie utilisant les téléphones portables et smartphones comme authentifieur physique.
Cela pour sécuriser une solution d’accès distants pour une population d'environ 2'000 collaborateurs.

Le déclencheur de ce projet est la mise en place de mesures nécessaires en prévision de la grippe A et, cerise sur le gâteau, l'optimisation d es coûts de la technologie d’authentification forte. Le choix technologique pour les accès distants s'est porté sur l'utilisation d'un VPN de type SSL.

Déroulement du projet de sécurité des identités numériques

- Définition des contraintes et objectifs techniques.
- Analyse marché des solutions d’authentification forte pour les smartphones et téléphones portables.
- Proof of Concept avec les deux finalistes.
- Choix final de la solution. Dans ce cas particulier: la société Suisse Cidway.
- Définition de l'architecture de sécurité pour la solution d'authentification forte
- Mise en place de la politique de sécurité pour la solution d'authentification forte.
- Définitions des rôles.
- Mise en place des processus de gestion des identités: Perte, Vol, Casse d’un authentifieur, Identification des utilisateurs, Révocation, etc.
- Mise en place des procédures d’exploitation pour les différents rôles : Help Desk, Security Officer, etc.

Authentification forte par smartphone ou téléphone portable
La technologie d’authentification forte mise en place utilise deux approches :

- Un OTP envoyé par SMS
- Un Soft Token OTP pour smartphone et notamment l’iPhone

OTP pour l'iPhone
Cette dernière technologie est très intéressante. Facilité d’installation via l’Apple Store et convivialité pour les utilisateurs. Basée sur un secret partagé, ce Soft Token OTP "timed based" (Cidway SESAMI Mobile) offre un très bon niveau de sécurité.

En effet le PIN Code n’est pas stocké sur l’iPhone contrairement à d’autres solutions du marché. L’avantage est qu’il n’est pas possible de bloquer le Soft Token et "cracker" le PIN Code.
Si l’on entre un mauvais PIN Code, l’application affiche un OTP, mais qui n'est pas valide.

Provisioning de l'authentifieur
En termes de "provisioning" il est possible de l’effectuer directement par Internet. Le principe est le suivant:

- L’utilisateur reçoit un code secret (de manière Out of Band) pour initialiser son authentifieur iPhone.
- Durant cette phase le serveur de "provisioning" transmet le secret partagé via une connexion réseau.
- L’authentifieur est dès lors initialisé et prêt à l'usage.

Le seul bémol, pour le moment, est que la connexion d’initialisation utilise le protocole http. Il est alors potentiellement possible de "sniffer" la connexion d'authentification et la transmission du secret partagé. Le risque est très faible car cette connexion n'a lieu qu’une seule fois.
Ensuite le Soft Token est autonome, il n’y a plus de connexion avec le serveur de "provisioning".

Mais selon l’éditeur Cidway, il est prévu dans les prochaines versions d’utiliser SSL ou un autre mécanisme de sécurité.

Conclusion
En conclusion, cette solution est très intéressante, fournit un haut niveau de sécurité et offre une réelle alternative aux authentifieurs hardware. Surtout en termes de coûts.

De plus, cette solution offre aussi la possibilité d'effectuer la validation des transactions. Elle supporte aussi le protocole Radius ce qui offre une grande facilité d'intégration avec les technologies classiques de type VPN IPSEC, SSL, SSH, Citrix, etc.

Geneva Application Security Meeting 2010

2009-11-29T16:39:00.046+01:00

Le jeudi 4 mars 2010 à 18h00 University of Geneva

En collaboration avec l'Université de Genève Diplôme en Sécurité des Systèmes d'Information (DSSI)

Nous avons le plaisir de vous annoncer un événement sur la sécurité des applications Web par l'authentification forte. Certes il y a beaucoup de points à traiter pour sécuriser les applications Web mais l'authentification forte est une des briques importantes de la sécurité. Bien évidemment ce n'est pas la seule.

L'OWASP fournit un excellent travail traitant de la sécurité des applications. Je vous encourage à consulter le site. Il y a énormément de documentation et outils. Pour le moment, il n'y a pas tellement de travaux sur les applications Web et l'authentification forte.

Dans ce sens nous avons avec Antonio Fontes (Responsable OWASP Geneva Local Chapter) et moi même (Swiss French Area delegate at OpenID Switzerland) décidé d'organiser un 1er meeting sur ce sujet à Genève.

L'idée est de traiter les différents aspects de sécurité pour intégrer les technologies d'authentification forte dans une application Web.

Pour cela nous aurons le plaisir d'accueillir Philippe Leothaud, expert reconnu en sécurité Web / Jee2 / authentification / SAML et SSO, qui nous parlera des mesures de sécurité pour une intégration robuste des technologies d'authentification fortes.

gestion des sessions et sécurité des cookies
sessions time out
brute force
autorisation
replay attack

Monsieur Robert Ott, Fondateur de OpenID Suisse nous parlera de SAML vs OpenID, fédération des identités et comment intégrer OpenID dans une application Web

Un grand merci à l'Université de Genève et en particulier au DSSI de nous mettre à disposition une salle.

Le programme:

0 - Café de bienvenue 18h00

1 - Introduction OWASP et Authentification forte - 18h10
Par Antonio Fontes / Swiss French Area delegate at OWASP Switzerland

* Présentation de l'OWASP
* Pourquoi OWASP et l'authentification forte ?
* Les nouveautés et news de l'OWASP

2 - Les technologies d'authentification forte pour vos applications Web et comment les intégrer ?
Par Sylvain Maret / Swiss French Area delegate at OpenID Switzerland

a) L'état de l'art 2009 sur les technologies d'authentification forte:
* Out of Band Authentication
* Risk Based Authentication
* Biométrie Match on Card
* OTP pour les smartphones notamment l'Iphone
* PKI
* Soft Token
* Passeport Internet
* Cryptographie matricielle
* Les tendances 2010...

b) Les approches pour l'intégration avec vos applications Web:
* OpenID, SAML, Liberty Alliance
* API, Agents, Web Services, Modules
* PAM, Radius, JAAS, SecurID, Kerberos, GSSAPI
* Approche authentification périmétrique / Reverse Proxy (WAF) et WebSSO
* PKI / SSL client Authentication / Authentification PKI applicative

3 - Pause café 10 min

4 - Les mesures de sécurité OWASP pour l'intégration de l'authentification
Par Philippe Leothaud / CTO Bee Ware et expert en sécurité des applications web

* OWASP Application Security Verification Standard (ASVS)
* Authentication Verification Requirements
* Session Management Verification Requirements
* Access Control Verification Requirements
* Retour d'expérience

5 - Fédération des identités et OpenID / présentation en anglais
Par Robert Ott, Swiss founder OpenID and Swiss German Area delegate for OpenID / Founder Clavid

* Fédération d'identités
* SAML, OpenID
* OpenID: comment ça marche ?
* Comment intégrer votre application Web avec OpenID
* Protocole PAPE
* Infocard and OpenID
* OpenID en Suisse avec l'IDP Clavid
* Cloud Application (Googles Docs, Sales Forces)
* Le point sur le projet de la confédération SuisseID

6 - Networking et Cocktail dînatoire dès 20h30

Un moment de partage, d'échange et discussions

Et pour ceux qui veulent aller plus loin, un laboratoire sur les identités numériques.

Vous pourrez créer un compte OpenID avec votre Authentifieur Yubikey

Des démonstrations:

- OpenID et Authentification forte
- Yubikey
- Passeport Internet
- Cryptographie matricielle
- Sélecteur d'identité InfoCard

et les Kiosques d'information:

- OWASP Suisse
- Université de Genève / DSSI
- OpenID
- MyBestID
- Bee Ware

---------------------------------------------------------------------
En collaboration avec nos partenaires et sponsors:

* L'université de Genève, formation DSSI et Master / Prof. Jean-Paul De Blasis
* Clavid
* Bee Ware
* Yubico
* MyBestID
* Axsionics
* NTX Research
* La Citadelle Electronique
* OpenID Switzerland
* OWASP

A la fin du meeting chaque participant, dans la limite des stocks, repartira avec un Authentifieur Yubikey
pour protéger ces identités numériques.

Le Yubikey utra portable USB / OTP event Based (sans driver et OpenSouce)

Plus d'information sur http://yubico.com

Une technologie pragmatique pour protéger votre identité numérique sur les réseaux sociaux et plus encore, comme par exemple:

* TrueCrypt open source disk encryption
* Lastpass single sign-on service
* VPN Ipsec, SSL, Citrix, SSH, etc. via le protocole Radius
* Plugin for Wordpress open source blog tool
* SUN OpenSSO identity and access management server
* Plugin for Wordpress open source blog tool
* Joomla
* Logon to Google Apps
* OpenID & SAML service and software at Clavid
* Keypass
* and more

Yubikey's are sponsored by Yubico and Clavid

Inscription:

Attention places limitées. Il y aura une confirmation de votre inscription.

Pour le moment sur les inscriptions sont sur Facebook ou LinkedIn

Vous pouvez aussi rejoindre les deux groupes OpenID Switzerland pour de l'information sur OpenID.

OpenID Switzerland sur Facebook
OpenID Switzerland sur LinkedIn

Cordialement

Antonio Fontes & Sylvain Maret

Révolution pour les cartes de crédit !

2009-11-22T16:22:00.002+01:00

La carte de crédit à encre électronique: Le nouveau système anti-fraude

La compagnie Emue Technologies a dévoilé un nouveau système anti-fraude pour les cartes de crédit de nouvelle génération: l'encre électronique.

Les cartes de crédit seront équipées d'un Pin Pad numérique qui permet de s'authentifier et de faire apparaître un code en encre électronique. Les dernières inventions en matière d'authentification électronique ont été exposées à Paris lors de la foire internationale cartes.

Plus d'information: Emue Technologies Launches Next Generation Payment Card

SAML vs OpenID: soyons pragmatique et non dogmatique!

2009-11-15T22:26:00.007+01:00

OpenID ou SAML ?

Après réflexion, soyons pragmatique et non dogmatique!

Comme le dit Pascal Thoniel:

"Pour moi ce sera OpenID et SAML. J’ai tout simplement besoin des deux pour mener une vie épanouie sur Internet ..."

Effectivement les systèmes d'authentification doivent être agnostique. Ils doivent supporter les deux approches. C'est aussi l'avis de Jason Hart (Senior Vice President CRYPTOCard).

Dans ce sens je vous recommande cet article de Jason sur la fédération des identités.

Jason propose aussi un Blog sur l'authentification forte. Très bonne source d'information.

Bonne lecture

Federated Identity by Jason Hart

There is an increasing buzz around federated ID, specifically if it will really work, and what benefits it will bring. Let’s start by defining what federated ID is. Essentially it is single sign-on, creating a digital identity for one person that replicates across, and is recognised by, multiple domains. This provides the ability for an individual to sign on once and access a smorgasbord of tools across multiple parties – internally and externally.

Benefits of federated ID

We each have numerous logins and passwords for various corporate, personal and third party domains. The increasing number of domains we access is compounding the problem of time spent logging in, forgotten passwords and the risk of hacking. When do we reach login-point saturation? Some would say several years ago. Federated ID takes multiple user authentication points away from the user and manages these electronically behind the scenes, requiring just one login point for the user. Specifically, the advent of cloud based solutions has brought the potential for federated ID to the forefront in terms of readiness, cost and accessibility.

SAML-enabled federation

Federated ID is made possible with SAML (Security Assertion Markup Language) which offers a way of communicating identity, attributes and entitlements of an individual to multiple parties, internally and externally, based upon agreements between these parties. Crucially, each party’s identity management process is hidden from the others, thereby ensuring confidentiality at each point. For example a corporate user could access their VPN and Salesforce.com with one login.

Securing federated identities

It is commonly recognised that passwords are the weakest link in IT security systems and policies – guess or hack the password and you’re in, without detection as you appear to be a known, trusted individual. Federated ID reduces this risk by eliminating the need for multiple passwords. However, if one password grants access to multiple applications the damage from hacking that one password is significant. The obvious way to mitigate this risk is to implement two-factor authentication providing a one time password for optimum security. With this level of security, federated ID not only increases ease of access, but cross-party security and adherence to compliance too.

Cloud based solutions - extending federated ID to consumers

Cloud based solutions enable an open platform for federated ID across not just corporate domains, but personal domains too. But again, this is where the risk of hacking increases – with users recycling the same password across corporate and personal domains. With an open platform, authentication can also be applied across personal domains. Whilst employers probably don’t care if their employee’s personal web and transactional accounts are hacked, the employee certainly does. Federated ID in the cloud enables a user to either take their company issued authentication token, or purchase their own token from personal domains such as Hotmail, PayPal, Amazon or their bank, and map it across all of these domains, and/or their corporate domain.

Will federated ID ever take off?

The benefits of federated ID are obvious, and will be implemented, indeed the technology is already exists to enable it, but to what extent and pace it is implemented remains to be seen. The key is not to be confused by complexity of implementation and costs, which can be kept to a minimum when employing cloud based solutions.

Jason Hart

--------------------------------
Jason Hart Bio:

As a former ethical hacker with seventeen years experience in the Information Security industry, Jason has used his knowledge and expertise to create technologies that ensure organisations stay one step ahead of the security game. Jason continues to raise the profile of Information Security risks and solutions, including the introduction of the term CSO (Chef Security Officer) within business.

Jason has published articles and white papers and has appeared on BBC, ITV, CNN, and CNBC as well as Radio 5 and BBC World News. His expertise has been cited in Time, SC, InfoSec, Computing and Computer Weekly magazines and in the FT, Guardian, Times and Evening Standard.

Prior to CRYPTOCard, Jason held senior positions within a number of organizations, including Ernst & Young's Information Security Assurance and Advisory Services practice. Jason has created and developed entire security frameworks as well as Information Security Assessment Methodology. Clients have included NHS, Government, as well as a large number of FTSE 100 organizations.

Preuve d'identité électronique SuisseID: un pas de géant !

2009-11-15T12:54:00.005+01:00

Dans le cadre de la troisième phase des mesures de stabilisation conjoncturelle, le Conseil fédéral a décidé d'accélérer la mise en place de la SuisseID, premier produit standardisé en Suisse destiné à servir de preuve d'identité électronique sécurisée. Grâce à elle, des transactions peuvent être conclues en ligne entre des particuliers et des entreprises, entre entreprises et entre les citoyens et l'administration.

Il s'agit d'une carte à puces ou un Token USB pour sécurisé son certificat numérique. Vous pouvez obtenir un certificat officiel auprès de:

Note: Liste des fournisseurs de services de certification reconnus selon la loi sur la signature électronique (SCSE)

Il sera possible pour les entreprises et particuliers d'utiliser cet authentifieur SuisseID pour avoir un OpenID ou utiliser la technologie SAML pour les entreprises.

Le système SuisseID est constitué de trois éléments :

la preuve d'identité électronique,
la signature électronique qualifiée,
le certificat électronique de fonction.

Ils permettent à l'utilisateur de s'authentifier de manière sécurisée pour accéder à un service en ligne et de signer, par la voie électronique, un document contraignant sur le plan juridique. Si nécessaire, les registres de fonction apportent la transparente requise entre les participants, p. ex. sur les mandataires commerciaux, l'appartenance à des associations, etc. Le gain de temps élevé et la sécurité des transactions sont les principaux avantages qu'en retirent les acteurs économiques.

A partir de mai 2010, les personnes physiques pourront se procurer une SuisseID auprès des prestataires de signature bénéficiant d'une subvention fédérale jusqu'à concurrence de 80% du prix d'achat. Une enveloppe de 17 millions de francs est disponible à cet effet.

A suivre

Présentation du Webcast sur la biométrie

2009-11-12T07:24:00.006+01:00

Bonjour,

La présentation du Webcast sur la biométrie est disponible.

Et bientôt sur Youtube !

Bonne lecture

Strong Authentication Summit: les dernières tendances

2009-11-08T17:44:00.007+01:00

Si vous voulez en savoir plus sur les dernières tendances des technologies de l'authentification forte alors ne rater pas le "Strong Authentication Summit" mardi 10 novembre à partir de 15h00.

Il s'agit de plusieurs Webcast sur les sujets suivants:

Reducing Strong Authentication Costs By 60 Percent par Phil D'Angio, Head of Business Development at VeriSign EMEA

Protection des données avec la biométrie Match-on-Card par Sylvain Maret, CEO MARET Consulting, Lecturer University of Geneva

Role of Strong Authentication in the Identity Assurance Ecosystem par Dan Schutzer, President of Financial Services Technology Consortium

The Role of Biometrics in Strong Authentication par Walter Hamilton, Sr. Consultant at Identification Technology Partners

After the Smartcard, What's Next? par Dean Lindstrom, Cyberstrom, LLC; Principal, Strategic IT Architect

Assessing Identity Data Management and Credentialing par Rebecca Nielsen, Senior Associate at Booz Allen Hamilton

Role of Biometrics in Healthcare Identity Authentication par Walter Hamilton, Sr. Consultant at Identification Technology Partners

Chaque Webcast dure 45 min. Vous avez la possibilité de poser des question. J'aurai le plaisir de présenter la technologie biométrie Match on Card pour la protection des données sensibles.

Pour vous inscrire clickez sur ce lien: Strong Authentication Summit

L'identité numérique est la pierre angulaire de la confiance

2009-11-06T22:47:00.028+01:00

Voilà maintenant environ 1 année que j'ai la chance d'échanger et de partager mes réflexions sur la sécurité des identités numérique avec Pascal Pascal Thoniel (CEO et responsable R&D de la société NTX Research - France). Nos échanges sont toujours très enrichissants et permettent chaque fois d'amener un nouveau morceau du puzzle sur ce sujet complexe.

En effet il n'est pas toujours simple de "naviguer" dans le monde des identités numériques et ces technologies associées tel que Liberty Alliance, OpenID, SAML, Infocard, fédération, IDP, etc.

Dans ce sens, je vous propose aujourd'hui un billet très intéressant, écrit par Pascal Thoniel, sur les identités numériques et l'authentification forte pour amener de la confiance dans nos activités sur Internet.

J'ajouterais à cette article que je pense que l'on peut mettre OpenID comme candidat supplémentaire:

"A l'échelle d'un pays, il existe deux approches principales :

- la fédération d'identité de type « Liberty Alliance »

- le sélecteur d'identité de type « InfoCard »

- OpenID (cf OpenID and Open Government)"

Bonne lecture

L'identité numérique est la pierre angulaire de la confiance

Par Pascal Thoniel

Avant-propos

L'identité numérique n'est pas une mais multiple. L'identité caractérise et représente aussi bien une personne, un professionnel, une entreprise, une administration, un groupe, une organisation, une marque...

En tant qu'individu, vous êtes unique au monde. Et votre identité est le nombre de signes nécessaires et suffisants pour vous distinguer des autres dans un environnement et/ou un contexte donné. Selon vos activités sur Internet, vous serez successivement : le citoyen de la confédération, du canton, de la commune ; l'administré ; l'élève, l'étudiant, le professionnel, ou le retraité ; le consommateur ; l'assuré social ; le patient ; le membre d’une association, d'une communauté, de votre famille ; l’ami ; l'automobiliste ; etc.

Le développement considérable de nos activités numériques sur Internet et l’augmentation de leurs enjeux doivent faire prendre conscience à chacun de l’importance de ses identités numériques et de celles des autres.

1. L'identité numérique est universelle

L’identité numérique concerne tout et tout le monde. L’identité concerne les personnes et les organisations humaines mais pas seulement. Elle s’applique aussi aux animaux, aux plantes et aux autres organismes vivants.

Par exemple, un animal de compagnie est tatoué et ce numéro est enregistré dans une base de données accessible sur Internet. Grâce à la gestion de son identité, il pourra être soigné ou restitué à ses maîtres en cas de disparition. Un animal d’élevage est également tatoué pour assurer informatiquement sa traçabilité alimentaire.

Elle s’applique également aux objets lorsqu’ils sont sérialisés, aux systèmes, aux programmes, aux processus, aux procédures, etc.

Par exemple, l’identité d’un véhicule est composé du type (marque, modèle, année) et de son numéro de série (unique dans le type considéré). Sa plaque minéralogique suppose sa mise en circulation. Le marquage des produits et la gestion informatique de leur identité permet de lutter contre le vol. Un produit de luxe doit être identifié pour éviter la contrefaçon. Le suivi numérique des lots de médicaments est indispensable. Les versions de Windows ont un certificat d'authenticité...

L'identité numérique est plus complexe pour une personne. Elle a pour but de relier un individu, personne physique, à ses actions de nature multiple sur Internet. L'identité numérique est tout aussi complexe lorsqu'il s'agit d'une entreprise, d'une administration ou d'une organisation car les droits d'accès, d'action et de communication sont directement liés aux fonctions, aux rôles et aux habilitations des personnels. La gestion des identités et des accès ou IAM (Identity and Access Management) devient incontournable dans le monde professionnel. Elle correspond à l'ensemble des politiques, des procédures, des processus et des applications qui aident une organisation à gérer l'accès à l'information.

2. L'identité numérique est la pierre angulaire de la confiance

Les identités numériques sont au centre de la vie moderne où les liens numériques prennent tant d’importance : pour accomplir des transactions bancaires, faire des achats, payer en ligne, obtenir des traitements médicaux, s’inscrire à des clubs ou à des événements, souscrire à des services, faire des déclarations administratives, publier des informations, envoyer et consulter son courrier électronique, construire et maintenir sa réputation personnelle ou celle de son entreprise. Dans ce contexte, il est fondamental de se demander qui détient quelles informations sur l’identité de qui ; et qui a besoin de placer sa confiance et dans quelles informations d’identité pour permettre l’accès à des ressources ?

Le vol d'identité est devenu une menace sérieuse sur Internet : pillage des données contenues sur les serveurs, écoute de ligne, logiciels espion, récupération des données dans les ordinateurs volés, ingénierie sociale, etc. Protéger l’identité numérique de l’entreprise, de l’employé, du consommateur, de l’administré, du citoyen et de la personne est devenu critique.

Ces identités doivent être protégées et on ne protège bien que ce que l'on connaît bien. La première action consiste donc à classifier les données de l'identité numérique, à savoir :

- les identités elles-mêmes

- les crédentiels (éléments de preuve de son identité)

- les attributs (informations liées aux caractéristiques de sa vie)

Pour gérer les identités, il faut ensuite déterminer à qui appartiennent ces données :

- qui en est le propriétaire légitime

- qui en sont les détenteurs autorisés

- qui peut certifier ces données (une adresse, un numéro de sécurité sociale, une date de naissance, le numéro d'immatriculation de votre véhicule, votre numéro de téléphone, de carte bancaire...)

- qui peut y accéder et pour quoi faire.

La troisième action concerne la diffusion contrôlée de ces données. Enfin, la quatrième action consiste à occuper le terrain numérique car la pire erreur serait de ne pas s'occuper de ses identités numériques. Si vous n'avez pas d'identité numérique dans un compartiment de votre vie, alors un usurpateur peut occuper la place et se faire passer pour vous.

3. Les quatre piliers de la gestion de l'identité numérique

Ainsi, les quatre piliers de la gestion de l'identité numérique sont :

- la classification de vos données d’identité numérique

- la diffusion de vos données d’identité numérique

- l'accès à vos données d'identité numérique

- la lutte contre la création de fausses données vous concernant

3.1 La classification de vos données d’identité numérique

Ces données doivent être classifiées selon leur sensibilité. Données peu sensibles : pseudonyme, prénom, âge, adresse de courriel non nominative… Données sensibles : nom, adresse de courriel, situation familiale, situation professionnelle, adresse, coordonnées professionnelles, date de naissance, liste de contacts, centres d'intérêt, localisation géographique présente… Données très sensibles : numéro de carte bancaire, dossier médical personnalisé (DMP), numéros de téléphone, informations de l'agenda, présence sur le réseau, appartenance à un groupe, contenus confidentiels, crédentiels…

Cette sensibilité dépend également du contexte et de la situation :

- ma date de naissance n’est pas confidentielle pour mes amis (anniversaire) mais le devient quand elle sert de crédentiel pour un paiement en ligne par carte bancaire ;

- mes coordonnées professionnelles sont indispensables dans un réseau de relations professionnelles mais doivent être divulguées avec précaution par ailleurs ;

- mon anonymat doit être préservé lorsque je surfe sur le Web ;

- mon pseudonymat est utile pour me faire reconnaître sans me dévoiler dans des groupes ou des communautés virtuelles ainsi que pour la personnalisation de services en ligne ;

- mon identité et la preuve de cette identité est indispensable pour faire valoir mes droits ;

- le prénom, la date de naissance de mes enfants et les coordonnées de leur école ne sont pertinent que dans le cadre de la vie familiale, scolaire ou de mes droits sociaux…

3.2 La diffusion de vos données d’identité numérique

Si vous devez communiquer des informations sur le Web, interrogez-vous sur :

- la légitimité et la proportionnalité de la demande d'information par rapport à la nature de la transaction effectuée

- le stockage et la durée de conservation de vos données personnelles

- la capacité du destinataire à garder ces informations confidentielles

- le rapport entre le coût de cette divulgation et les bénéfices que vous pouvez en attendre

A l'échelle d'un pays, il existe deux approches principales :

- la fédération d'identité de type « Liberty Alliance »

- le sélecteur d'identité de type « InfoCard »

La fédération d'identité organise la structuration des données d’identité, leur stockage et leurs échanges sécurisés au niveau des acteurs centraux, côté serveur, avec le consentement initial de l'utilisateur. Le sélecteur d'identité, centré sur l'utilisateur (user centric) permet leur gestion directe par l'utilisateur (stockage et consentement à l'utilisation) depuis son terminal. Ces deux concepts semblent antagonistes.

Une approche originale consiste à expérimenter un mixte des deux. C'est l'objectif du projet FC² (Fédération des Cercles de Confiance) mené en France dans le cadre des pôles de compétitivité System@tic et TES (Transactions Electroniques Sécurisées).

Les fournisseurs d'identité appelés IDP (ID Providers) ou IP/STS (Identity Provider/Security Token Service) centralisent les demandes d'identification, d'authentification et d'informations (attributs) sur les utilisateurs qui émanent des fournisseurs de services appelés SP (Service Providers) ou RP (Relying Parties). Ils agissent comme tiers de confiance pour prouver qui l'utilisateur prétend être et communiquent les informations personnelles nécessaires aux transactions numériques (fournisseurs d'attributs). Les tiers de confiance sur des réseaux comme Internet sont aujourd'hui indispensables pour valider et prouver les échanges électroniques. Mais ce rôle ne peut en aucun être confié à un seul organisme, y compris et surtout à un organisme central d’Etat.

3.3 L'accès à vos données d'identité numérique

Le plus grand danger en matière d'identité numérique reste l'usurpation d'identité (impersonation). C'est-à-dire qu'un individu malveillant est en mesure de se faire passer pour vous sur Internet et les réseaux de communication. Dans certains domaines d’application comme la banque, la santé, le caractère privé de la correspondance, le vote, les responsabilités professionnelles, les conséquences peuvent être dramatiques : infractions pénales, blocage aux frontières, interdiction bancaire, licenciement, privation de droits sociaux...

« L'usurpation d'identité touche 210 000 personnes en France chaque année. Les victimes mettent parfois des années à prouver qu'elles sont elles-mêmes, et sortir du labyrinthe des administrations. »

L'authentification (authentication) est la fonction de sécurité qui permet de lutter contre l'usurpation d'identité. L'authentification consiste à apporter ou vérifier la preuve de l'identité d'un individu. C'est donc une brique essentielle de la protection de l'identité numérique. Une fois authentifié, les droits d’accès sur les ressources du système d’information sont délivrés à l'utilisateur légitime.

3.4 La lutte contre la création de fausses données vous concernant

Occuper avec discernement le terrain numérique est le meilleur moyen de protéger votre réputation.

Sinon, vous arriverez un jour sur "Facebook" et vous constaterez qu'un profil portant votre nom existe déjà... et qu'il a déjà mauvaise réputation.

Votre CV "officiel" en ligne est le meilleur moyen de prouver la véracité des informations professionnelles vous concernant. Il servira de référence unique difficile à contourner. Ne rendez pas accessible à tous des données personnelles inappropriées à votre contexte professionnel. Votre vie privée ne regarde que vous. Attachez-vous toujours au principe strict du « besoin d’en connaître » de vos interlocuteurs.

4. Rôle et responsabilité de l’Administration publique

La responsabilité de l'Administration publique est de renforcer la confiance globale dans le monde numérique du citoyen, de l'administré, du consommateur et du professionnel.

Le rôle de l’Administration publique est d’améliorer la gestion des identités numériques :

a) Informer les personnes sur les lois et les règlements en matière d'identité numérique et de droit d'accès, de traitement, de diffusion et de protection des données personnelles.

La loi française précise que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles ne soient déformées, endommagées ou que des tiers non autorisés y aient accès. » L'article 7 de la convention du Conseil de l'Europe du 28 janvier 1981 engage quant à lui à prendre des « mesures appropriées » pour protéger les données à caractère personnel contre la destruction, accidentelle ou non, ou la perte.

b) Informer et sensibiliser les personnes sur l'enjeu et l'usage sûr de leur identité, à contrario les dangers qu'ils courent (la pire erreur est de ne pas s'occuper de ses identités numériques).

c) Promouvoir l'usage raisonné et maîtrisé des réseaux sociaux personnels (Facebook, MySpace…) et professionnels (LinkedIn, Viadeo…).

d) Inciter les fournisseurs de solutions Web à mixer les approches fédération d'identité et sélecteur d'identité afin de garder le meilleur des deux mondes.

e) Fournir aux utilisateurs des outils de sécurité compréhensibles et à usage facile : sélecteur d'identité, systèmes d'authentification, de chiffrement et de signature numérique.

6. Les trois fonctions de sécurité essentielles de l'identité numérique

L'identité numérique cristallise les cinq fonctions de sécurité définies par l’ISO :

Authentification, Contrôle d’accès, Confidentialité, Intégrité et Non-répudiation. Plus particulièrement, l'identification, l'authentification et la signature numérique constituent le socle sécuritaire de l'identité numérique.

La signature numérique est une technique cryptographique qui permet d’assurer l’intégrité d’un message et l’authentification de l’émetteur de ce message. L’identification consiste à reconnaître un utilisateur par la récupération de données qui lui sont propres.

S'identifier : délivrer son identité

Identifier : recueillir l'identité de quelqu'un

L’authentification assure la preuve de l’identité d’un utilisateur.

S'authentifier : apporter la preuve de son identité

Authentifier : vérifier la preuve d'une identité

Il existe quatre facteurs d'authentification :

- ce que je suis (biométrie)

- ce que je sais (mot de passe, code secret...)

- ce que je sais faire (signature manuscrite, CAPTCHA...)

- ce que je possède (un authentifieur physique ou authentication device)

Une solution sûre, c'est-à-dire une authentification forte (strong authentication) implique en général deux facteurs (2-factor authentication). Or, il semble impossible d'imposer à tous, et pour toutes leurs identités, le même authentifieur ou support physique d'authentification.

Dans une grande entreprise, une grande organisation ou une administration, des populations hétérogènes impliquent des comportements et des usages différents. Ce phénomène est encore accentué sur Internet pour le citoyen/consommateur/professionnel où cohabitent des groupes très diversifiés (âge, culture, CSP...)

Pour satisfaire les besoins de protection de l’identité numérique, les solutions d’authentification proposées doivent être 100 % logiciel pour s’embarquer sur tout type de supports physiques : soit des supports peu chers comme les cédécartes ou les clés USB, soit des supports chers mais déjà payés par le citoyen/consommateur/professionnel comme les téléphones mobiles et les smartphones.

Pascal Thoniel - NTX Research

Smartphone: le maillon faible des entreprises ?

2009-10-27T16:38:00.010+01:00

En complément du dernier billet de la Citadelle Électronique sur la protection des données sensibles pour les smartphones (Smartphone: Une startup Suisse assure la protection des données sensibles) je vous propose un article écrit par Alain Ceccato, consultant sécurité, traitant de la sécurité de ceux ci. Cet article très intéressant traite des menaces et donne des pistes technologiques et organisationnelles pour diminuer les risques liés à l'utilisation de ces "compagnons" que sont les smartphones.

Bonne lecture.
Sylvain Maret

Smartphones: «Le maillon faible !»

Dès sa prise de fonction, le 44ème président des Etats-Unis a mis ses services de sécurité sous pression en insistant pour conserver son smartphone au doux nom de baie noire, basé sur une technologie et une infrastructure sous influence étrangère... Serait-il en effet admissible que l’homme à la tête du plus puissant des états ait ses communications espionnées ou puisse être facilement géo-localisé par la faute d’un appareil aujourd’hui si banal?

Cet événement parait certes anecdotique en regard d’une élection jugée historique, mais il doit néanmoins rappeler à tous ceux qui traitent de la sécurité des Systèmes d’Information (SI) que l’usage de ces téléphones «intelligents» au sein de leur entreprise n’est pas dénué de risques, au contraire... En effet, la multiplication de fonctionnalités tant réclamées par les utilisateurs crée tout autant de vulnérabilités qui, sans les protections adéquates, s’en viennent menacer sournoisement mais surement les SI.

Des menaces bien identifiées
Pour s’en convaincre, passons en revue quelques classiques du genre:

- Avec leur grande capacité mémoire interne accessible par port USB ou cartes SD, les smartphones sont devenus une solution de stockage très attractive, notamment parce qu’ils sont toujours à portée de main. En cas de vol ou de perte, nul ne peut prédire ce qu’il adviendra des données confidentielles qui s’y trouvent.

- La diversité des moyens de communication intégrés, tant matériels (GPRS, Wifi, Bluetooth, Infrarouge, Modem PC, etc.) que logiciels (navigateur internet, messagerie instantanée, accès distant, VoIP, etc.), permet également l’évasion consciente ou non de données d’entreprises mais aussi la propagation de virus et autres malware, des connexions systèmes non autorisées (data ou voix), des possibilités de téléchargements illégaux, tout cela en contournant simplement les dispositifs habituels de protection réseau de l’entreprise.

- Les fonctions multimédias dont nous sommes tous si friands (dictaphone, appareil photo/vidéo, scanner code-barres, GPS) offrent une panoplie impressionnante d’outils pour capter des informations environnementales et mener des activités d’espionnage en toute simplicité (enregistrement de conversations secrètes, photos non autorisées de documents, vidéos clandestines, positionnement géographique, etc.).

Une situation propice
Sans être devin, on peut présumer que les futures évolutions techniques des smartphones augmenteront les risques qu’ils font peser sur la sécurité des SI d’entreprise à cause, par exemple, de capacités accrues de traitement de l’information (processeurs plus performants) ou de nouveaux éléments d’interactivité (détection et tracking par puce RFID).
Malgré leur potentiel élevé de nuisances pour les SI, force est de constater que les entreprises négligent encore trop souvent de protéger les smartphones de manière appropriée, peut-être parce que l’achat et la gestion de ces appareils se font sans réelle concertation avec les départements informatiques.

Réagir pour ne pas subir
Pourtant, on l’a vu, les smartphones représentent un défi sécuritaire comparable aux PC portables, nécessitant d’appliquer des recettes quasiment identiques pour garantir un niveau de sécurité des SI acceptable.

Notamment:

- Sur un plan technique: Implémenter les moyens de protection requis tels que contrôle d’accès, antivirus, pare-feu, chiffrement des données locales ou client VPN (oui, tout cela existe!) et appliquer régulièrement les mises à jour de sécurité (antivirus, firmware, logiciels).

- Sur un plan organisationnel: Homogénéiser le parc de smartphones pour réduire le nombre de vulnérabilités à traiter, établir une politique de sécurité claire (responsabilité de l’utilisateur, usages autorisés, applications standards supportées, etc.) et, bien sûr, sensibiliser les utilisateurs.

Évidemment, ces moyens de protection doivent être revus et adaptés en fonction des caractéristiques des appareils fournis pour chaque type d’utilisateurs et des risques qui leurs sont associés.

L’exemple vient aussi d’en haut
En dépit de son statut et du caractère passionnel de l’histoire, le locataire de la Maison Blanche a finalement choisit de se conformer aux règles de sécurité justifiées, auxquelles sa fonction l’astreint, et employer l’appareil validé par ses services de sécurité. N’est-ce pas là une belle leçon de pragmatisme qu’il nous faudrait aussi appliquer dans nos entreprises?

Alain Ceccato / Consultant sécurité - ICBO Sàrl

Smartphone: Une startup Suisse assure la protection des données sensibles

2009-10-20T18:43:00.011+02:00

Voilà longtemps que je cherche une réponse technologique pour la sécurisation des données confidentielles sur les smartphones. En effet, beaucoup d’entreprises sont à la recherche de la solution « miracle » pour transporter en toute sécurité des informations sensibles, voir très sensibles, sur les téléphones portables (ou plutôt smartphone). Certes les solutions existent pour les laptops. Pour ces derniers la réponse technologique est simple : chiffrement du disque et authentification forte. Par contre pour les « devices » de type Iphone, Symbian, Windows Mobile il n’est pas évident de trouver une bonne technologie.

La semaine dernière lors de ma visite à Telecom 2009, j’ai eu l’agréable surprise de rencontrer une jeune startup Suisse (Osmosys) qui propose une approche très intéressante. L’idée de base est de créer un bac à sable chiffré en AES 256. Lui-même étant protégé par un « compagnon » ou « Token » Bluetooth. Sans ce dernier il est impossible d’ouvrir le bac à sable. Ce système fourni une authentification forte et assure une protection efficace contre le vol et la perte.

Voilà je laisse la parole à Julien Probst, fondateur de Sysmosoft, pour qu’il nous parle plus en détail de l’approche.

Bonne lecture.

Téléphone mobiles
Les téléphones mobiles sont des outils de travail fort pratiques qui permettent aux collaborateurs d’une entreprise d’accéder à de nombreuses données professionnelles. Malheureusement, ces appareils sont rarement sécurisés et ne sont donc pas conseillés pour accéder à des données confidentielles. Afin de répondre à cette problématique, nous avons créé Osmosys (Open Secure Mobile System), qui se présente comme une solution client-serveur complète, non-intrusive et reposant sur des technologies éprouvées, permettant aux entreprises d’ouvrir un accès sécurisé à l’ensemble de leurs données confidentielles. Grâce à notre produit, entièrement géré par le RSSI de l’entreprise, les collaborateurs vont ainsi pouvoir accéder en toute sécurité à leurs données professionnelles depuis leur appareil mobile préféré, que se soit un iPhone, un HTC, un Nokia et même un laptop.

Un compagnon Bluetooth pour une sécurité optimal

En plus d’offrir une sécurité de bout en bout et un mécanisme d’authentification forte, notre plateforme va également assurer de manière transparente la protection des données contre le vol ou la perte de l’appareil grâce à un « compagnon » Bluetooth.

Authentification forte
Généralement, une authentification forte se fait au détriment du confort d’utilisation. En effet, l’utilisateur va devoir s’authentifier via plusieurs méthodes, telles qu’un mot de passe, un token OTP de type SecurID ou une vérification biométrique.
De plus, même si l’authentification est dite « forte », elle ne va pas protéger les données en cas de vol ou de perte de l’appareil, ce qui arrive malheureusement fréquemment.

Vol ou de perte de l’appareil

Partant de ce constat, notre objectif est d’offrir un mécanisme d’authentification forte qui soit convivial tout en offrant une protection efficace contre la perte ou le vol. Pour ce faire, l’utilisateur recevra un petit « compagnon Bluetooth » simple à transporter et pouvant se présenter sous la forme d’un porte-clés, d’une carte de crédit ou d’un stylo qu’il devra avoir en sa possession lorsqu’il souhaitera accéder à ses données.
Ce mécanisme offre ainsi deux avantages très intéressants : premièrement, l’authentification du collaborateur grâce à son compagnon qui contient une clé privée unique et deuxièmement, la détection automatique du vol ou de la perte de l’appareil.

Effacement des données sensibles ?
En effet, si la liaison entre le compagnon et le téléphone est rompue, Osmosys va entreprendre une action définie l'entreprise, tel que l’effacement des données sensibles, la remise à zéro de l’appareil ou encore le verrouillage de l’appareil tant que le compagnon n’est pas à portée.

Une bulle de sécurité
Un autre élément important de notre plateforme est le fait de séparer l’environnement personnel de l’environnement professionnel. En effet, Osmosys peut être illustré comme une « bulle de sécurité » applicative, totalement indépendante de l’environnement privé, dans laquelle toutes les données professionnelles de l’utilisateur vont être protégées.
Ceci offre la possibilité aux collaborateurs d’une entreprise de conserver leur appareil privé et d’accéder tout naturellement à leurs messageries, leurs contacts et leurs applications privées. Dès qu’ils souhaitent accéder à leur environnement professionnel, il leur suffit de démarrer l’application Osmosys, qui sera conforme aux exigences de sécurité définies par la politique de sécurité de l'entreprise.

Création d'applications sécurisées

Osmosys offre également la possibilité de créer de nouvelles applications métiers permettant d’accéder à des données bien spécifiques. Actuellement, nous avons développé le PIM (Personal Information Manager) qui permet aux collaborateurs d’accéder à leurs emails, contacts et rendez-vous d’un serveur Microsoft Exchange. Bien entendu, chaque entreprise a la possibilité de créer ses propres applications en respectant les standards (API) définie par Osmosys.
Toutes les applications développées ont l’avantage de bénéficier automatiquement des mécanismes de sécurité de la plateforme. Le développeur ne va donc pas avoir besoin de se soucier de ces différents aspects, car ils seront automatiquement gérés.

Julien Probst / Fondateur Sysmosoft

OpenID Suisse Romande

2009-10-19T18:14:00.007+02:00

Afin de promouvoir OpenID en Suisse et plus particulièrement en Suisse Romande, je viens de prendre une nouvelle fonction au sein de l'association OpenID Switzerland. Dès maintenant je suis l'ambassadeur pour la Suisse Romande. Ma mission sera de promouvoir l'utilisation d'OpenID et plus particulièrement la mise en œuvre des technologies d'authentification forte avec OpenID. Si comme moi, vous êtes convaincu de cette technologie, je vous encourage à nous rejoindre.

Plus d'information: sylvain.maret@openid.ch ou www.openid.ch

OpenID vs SAML

2009-10-16T16:49:00.006+02:00

Vaste débat dans la communauté. Faut-il utiliser SAML pour les architectures IT dans le monde de l'entreprise et OpenID uniquement pour les applications 2.0 (grand public) ? Je ne suis pas convaincu par cette affirmation....

Si l'on est puriste alors SAML est le bon choix pour les applications qui nécessite un haut niveau de sécurité. Mais une approche plus pragmatique est souvent plus efficace.

Cela me rappelle un débat en 1993 entre ATM et Ethernet. Vous allez me dire quelle est le lien ?
La réponse est simple: En 1993 la communauté des ingénieurs réseaux était convaincue de la technologie ATM. On a vu le résultat quelques années plus tard. Plus aucune entreprise n’utilise ATM sur le réseau interne. Pourtant la techno était bien meilleure.....

Alors même phénomène pour la technologie OpenID ? Probablement! L'avenir nous le dira.

En attendant, je vous propose de lire l’excellente présentation de Robert Ott, responsable OpenID Suisse et cofondateur de ClavID, sur SAML et OpenID: "Inexpensive Strong Authentication applying OpenID & SAML for Cloud Computing"

Bonne lecture

Retour d'expérience sur le déploiement de biométrie à grande échelle

2009-10-14T12:13:00.020+02:00

AUTHENTIFICATION FORTE
Usurper une identité!
Impossible avec la biométrie?

Un retour d'expérience présenté le mardi 13 octobre à l'OSSIR Mines ParisTech / Télécharger la présentation

Confidentialité et sécurité
Pour les banques, il ne s’agit pas là de vains mots. Mais bien des fondements de leur réputation, de la confiance que leur accordent leurs clients et, partant, de leur croissance. Reste que la sécurité et la confidentialité ne doivent pas empêcher l’efficacité, la compétitivité. Bien au contraire. Plongée au cœur du système mis sur pied par un établissement bancaire.

Comment concilier qualité des prestations et intégrité d’informations généralement très sensibles? Comment améliorer la rapidité de certaines tâches grâce à l’informatique, sans risquer de voir des données, relatives aussi bien à la clientèle qu’aux différentes activités de la société, tomber entre de «mauvaises » mains?

Objectif du projet
Pour offrir des services toujours plus performants à une clientèle exigeante et, partant, renforcer sa position face à la concurrence, une banque privée s’est intéressée à la manière qu’elle avait de garantir un accès hautement sécurisé à ses données sensibles.
De s’assurer que seules les personnes autorisées puissent les consulter. Si l’authentification forte s’est rapidement imposée comme la solution à retenir, restait encore à définir le système le plus approprié. A déterminer le dispositif à même d’apporter la preuve irréfutable que l’utilisateur est bien le «bon», qu’il est celui habilité à connaître et manier les informations concernées. En d’autres termes, qu’il n’utilise pas le moyen d’authentification d’un autre ou qu’il ne prête pas le sien à un collègue.

Qu’est-ce que l’authentification forte?
Les méthodes classiques pour identifier une personne physique sont au nombre de
trois:

1. Quelque chose que l’on connaît: un mot de passe ou un PIN code;

2. Quelque chose que l’on possède: un «token», une carte à puce, etc.;

3. Quelque chose que l’on est ou fait : un attribut biométrique, tel qu’une empreinte digitale; une action comme la parole ou une signature manuscrite.

On parle d’authentification forte dès que deux de ces méthodes sont utilisées ensemble. Par exemple une carte à puce avec un PIN code.

Pourquoi cette méthode plutôt qu’une autre?
Le mot de passe? Il s’agit là du système le plus couramment retenu pour reconnaître un utilisateur. Il s’avère toutefois que celui ci n’offre pas un niveau de sécurité optimal. Qu’il ne permet pas d’assurer une protection efficace de biens informatiques sensibles. Sa principale faiblesse réside dans la facilité avec laquelle il peut être identifié. Au nombre des techniques d’attaques destinées à briser un mot de passe, on peut citer l’écoute du clavier par le biais d’un logiciel malveillant (Key Logger) ou plus simplement encore, un Key Logger Hardware, phishing, etc.

Quelle technologie choisir?
Un grand nombre de technologies d’authentification forte sont disponibles sur le marché. Celles de type «One Time Password» (Style SecurID), les cartes à puces et «token» USB cryptographiques ou encore la biométrie. C’est cette dernière qui a été retenue dans le cas qui nous intéresse. Avant tout pour répondre à une exigence fondamentale posée par le client. A savoir, garantir, de manière irréfutable, l’identité de l’utilisateur et rendre le système impossible à manipuler par une tierce personne.

Quel système de biométrie pour le monde IT?
Lecture de l’iris, de la rétine, reconnaissance faciale ou vocale, empreinte digitale, lecture des veines. Quand on parle de biométrie, différentes options sont envisageables. Le choix final a été guidé par le souci de trouver un compromis entre le niveau de sécurité (fiabilité) de la solution, son prix et sa facilité d’utilisation. Cette dernière contrainte était d’ailleurs une des principales clés du succès. L’adhésion des utilisateurs était, en effet, indispensable. Et celle ci passait par la simplicité de fonctionnement, par la convivialité du dispositif. Le lecteur d’empreinte digitale s’est alors imposé assez naturellement.

Qu’en est-il de la sécurité?
La biométrie peut-elle être considérée comme un moyen d’authentification forte? La réponse est clairement non. Le recours à cette technique comme seul facteur d’authentification constitue certes une solution «confortable» pour les utilisateurs. Il n’en demeure pas moins qu’elle n’offre pas des garanties de sécurité suffisamment solides. Diverses études ont en effet montré qu’il est possible de falsifier assez aisément les systèmes biométriques actuels. Leur utilisation croissante par les entreprises et les gouvernements, notamment aux Etats-Unis, ne fait en outre que renforcer la détermination des hackers à en identifier les failles. C’est un des paradoxes de la biométrie. Dès lors, il est judicieux de la coupler à un second dispositif d’authentification forte. Dans le cadre de ce projet, un support de type carte à puce a été retenu. Concrètement, l’utilisateur est identifié aussi bien par sa carte que par ses caractéristiques physiques (empreinte digitale, en l’occurrence). La première ne fonctionne que si elle est combinée aux secondes. L’ensemble offre ainsi une preuve quasi irréfutable de l’identité de la personne.

Pourquoi une carte à puce?
La carte à puce présente l’avantage d’être une solution dynamique, évolutive. Elle permet en effet de stocker des identités numériques (certificat digital). Ce qui ouvre la porte à un grand nombre d’applications comme la signature électronique de documents, l’intégrité des transactions, le chiffrement de données, la sécurisation de la messagerie et bien évidemment, l’authentification forte des utilisateurs. Le recours aux certificats digitaux constitue dès lors une base très solide pour construire la sécurité d’un système d’information. Par ailleurs, la carte à puce pave la voie vers d’autres utilisations potentielles, telles que le contrôle d’accès aux bâtiments (badge de proximité – RFID), le porte-monnaie électronique, etc.

Biométrie: où stocker les données?
La biométrie pose la question du stockage des informations relatives aux utilisateurs. Il s’agit là d’une question extrêmement sensible. Nombreux sont en effet ceux qui, à juste titre, s’interrogent sur l’usage qui est fait des données les concernant. Où celles-ci vont-elles être conservées? Qui y aura accès? L’information numérique permet-elle de reconstituer une empreinte digitale? Les réticences face à ce procédé sont réelles. Pour surmonter cet obstacle non négligeable à l’acceptation d’une telle solution par les utilisateurs, la formule choisie consiste à stocker les informations directe directement sur la carte à puce. A recourir à une technologie qui rend le détenteur de la carte seul propriétaire de ses données biométriques.

Technologie Match On Card
La technologie Match On Card répond parfaitement à la problématique posée. Non seulement, elle permet le stockage d’informations biométriques sur la carte à puce mais elle assure aussi la vérification de l’empreinte digitale, directement sur cette dernière. Donnant ainsi aux utilisateurs un contrôle total sur les données les concernant. Cette approche a le mérite de susciter la confiance des personnes amenées à avoir recours au système. Elle répond, de plus, aux recommandations de Loi fédérale sur la protection des données (LPD 235.1) et de la CNIL (Commission nationale de l’informatique et des libertés) en France.

Retour d’expérience
Les technologies biométriques, à commencer par Match On Card, ont clairement un aspect avant gardiste. Le développement, mené dans cette banque privée, a toutefois démontré qu’il est technologiquement possible de mettre en œuvre un système d’authentification forte basé sur la biométrie pour assurer une protection optimale de l’accès à des données extrêmement sensibles.

Reste que la technologie ne fait pas tout
La structure organisationnelle à mettre en place pour soutenir la technologie, pour assurer la gestion des identités, s’est ainsi révélée être un des défis majeurs posés par le projet. Le résultat, c’est une entité spécifique, dont la mission est de gérer l’ensemble des processus qui gravitent autour du système biométrique: enregistrement des utilisateurs, gestion de l’oubli ou de la perte de la carte à puce, formation des utilisateurs, etc. Cette entité constitue un des piliers de la réussite du projet. L’authentification forte n’aurait, en effet, pas pu déployer tous ses effets sans la mise en place, en interne, de cette nouvelle structure.

Authentification Out of Band: Une illustration avec la technologie de NTX Research

2009-10-07T15:32:00.013+02:00

L’authentification forte est la clé de voûte pour la sécurité du système d’information.

Le défi pour s’assurer une authentification sûre est de plus en plus pressant compte tenu de l’accroissement continu des activités en ligne dans le monde et notamment avec l’émergence des solutions « Software as a Service » et du Web 2.0.

Dans le but d’éliminer la fraude et le vol d’identité, il y a grand besoin d’accroitre très significativement le degré de confiance au niveau de l’authentification des utilisateurs en ligne.

Les menaces sont de plus en plus présentes et les techniques d’attaques évoluent très rapidement. Je pense principalement au phishing et aux malwares. Ces derniers sont maintenant capable de voler très facilement votre identité numérique et même dans certains cas de briser les systèmes d’authentification forte « classique » de type One Time Password (comme par exemple SecurID).

Une des illustrations du vol d’identité de ces derniers jours est la publication de plus de 10'000 comptes hotmail sur la toile….. Cela fait froid dans le dos !

Dans ce sens cet article se penche sur une technologie d’authentification forte très intéressante en termes de sécurité. Cette technologie est appelée authentification forte Out of Band.

Pourquoi Out of Band ?
La réponse est simple. Un des facteurs d’authentification passe par un autre canal de transmission que l’internet. Comme par exemple par le réseau GSM. Cette technologie rend très difficile les attaques de type Man in the Middle ou Man in the Browser.

Dans ce sens la société française NTX Research offre une approche très intéressante. Elle propose une solution d’authentification forte basée sur le principe d’un défi-réponse. Le principe est très simple. L’utilisateur possède un élément physique (comme par exemple un smartphone) et un élément qu’il connaît : son PIN Code.

Au moment ou l’utilisateur veut s’authentifier, le système lui propose un défi. Pour assurer un confort maximum à l’utilisation (côté user friendly) le système calcul automatiquement la réponse au défi. Pas besoins d’entrer à la main le défi sur l’authentifieur. La seule information que le système demande est le PIN Code.

La grande force de ce système est que la réponse au défi est envoyée au serveur d’authentification par un autre canal que l’Internet. Il s’agit donc bien d’un système de type Out of Band et cela offre vraiment un plus en termes de sécurité.

A suivre...

En savoir plus sur la technologie Our of Band: Lire le billet de la Citadelle Électronique:

Software OTP pour l'Iphone

2009-09-17T16:46:00.006+02:00

Dans un précédent billet je vous parlais de la montée en puissance des solutions d’authentification forte sur les Smartphones et notamment sur l’Iphone.

Une de mes convictions est que notre « compagnon » de tous les jours servira de plus en plus à nos activités dans le monde numérique et plus particulièrement en ce qui concerne la sécurité des transactions…

Ce billet se concentre aujourd’hui sur les solutions de type One Time Password (OTP) pour l’Iphone. Le concept de base est très simple. Au lieu de se promener avec son Token Hardware OTP (Style SecurID) dans la poche on utilise l’Iphone comme support hardware et software pour embarquer le Token d’authentification. On appelle cela un Soft Token.

En termes de technologie le principe est simple. On installe une application sur le téléphone. Cette application permet de générer le One Time Password. Pour que cela fonctionne il est nécessaire d’avoir un secret (ou seed) stocké sur le téléphone. On peut alors se poser la question légitime de la sécurité concernant le stockage de ce secret. Pour le moment je n’ai pas encore trop étudié cela sur l’Iphone. Cela viendra dans un prochain billet.

Dès lors que l’application est installée il est possible de générer le mot de passe à usage unique. Bien souvent l’application vous demande un PIN code avant la génération du OTP. Concernant le type de technologie OTP, on trouve sur le marché soit des Soft Token dit « time-based » ou « event-based ».

Si vous désirez aller plus loin et faire des tests voici la liste des Soft Tokens que j’ai trouvé sur l’Apple Store (septembre 2009). Cette liste n'est sûrement pas exhaustive...

Les liens sur l'Apple Store:

RSA SecurID Software Token
mOTP
WiKID Strong Authentication Software Token
EzSoftToken
iOATH Lite

A ma connaissance et d'ici très bientôt il y aura d'autres Soft Token. Notamment un client Iphone de la société Cidway, et de la société CryptoCard.

A suivre...

Authentification forte pour le eBanking en France: pas trop tôt !

2009-09-13T18:30:00.006+02:00

Voilà plusieurs années que je suis surpris que nos amis les banquiers Français n’utilisent pas une authentification forte pour l’accès aux applications eBanking.

Et bien voilà cela est en train de changer…. Pas trop tôt.

Fini le bon vieux couple username et password. Enfin un système qui protège l’accès à vos comptes !

En effet la situation devrait évoluer en 2010. Au 1er novembre 2009, la Directive de l'Union Européenne sur les Services de Paiement (2007/64/CE) entre en vigueur. Elle vise, entre autres, à renforcer la sécurité des transactions effectuées par carte en ligne. "L'obligation de recourir à l'authentification forte est implicite dans cette directive. Les banques doivent y répondre et avoir mis en place les systèmes adéquats en juin 2010".

Je me réjouis de voir quelle technologie va être implémentée ? En effet les contraintes ne sont pas les mêmes que pour le marché Suisse. On parle de plusieurs millions d’utilisateurs.

De mon côté je pense que les solutions utilisant le téléphone portable vont être largement utilisées.

Bonne nouvelles pour les consommateurs Français.

A suivre….

Vacances pour la Citadelle Electronique

2009-07-30T21:17:00.007+02:00

De bonnes vacances... ... pour une belle rentrée !

Une petite pause bien méritée pour la Citadelle. Je part me ressourcer à la montagne.

J'ai mis quelques liens sur des anciens articles du Blog.

Bonne lecture. On se retrouve début septembre avec des surprises sur la Citadelle Électronique...

Les articles pour les vacances

Pandémi : quelles répercutions dans le monde de l'entreprise ?

Grippe A H1N1 et authentification forte ?

Cookbook: Facebook et OpenID pour la protection de votre identité numérique !

Nouvelles technologies : Le téléphone mobile pour l'authentification forte !

Mise en œuvre d’une solution biométrique d’authentification forte pour l’accès aux données sensibles

Tutoriel sur les technologies d'authentification forte

Une convergence difficile ! Sécurité physique et sécurité logique

eBanking: menace réelle ou fiction...

Man-in-the-Browser Attacks: la nouvelle menace

Comment gérer vos mots de passe en toute sécurité ?

2009-07-29T13:37:00.014+02:00

Comment gérer vos mots de passe ?
La plupart des utilisateurs utilisent le même mot de passe pour leurs applications Internet. C’est tellement plus simple. Est ce vraiment une bonne idée ? Je ne pense pas.

Mais alors comment faire ?
Il existe plusieurs solutions. Une des solutions idéale serait d’utiliser OpenID avec une authentification forte. Par exemple avec un certificat numérique ou un Token Hardware. Malheureusement un certains nombre de site ne supportent pas encore OpenID.

Alors comment faire ?
Dans ce sens je propose dans un 1er temps d’utiliser un mot de passe dit « fort ». Par « fort » j’entends un minimum de 12 caractères avec minuscules, majuscules et caractères spéciaux. Par exemple : w9jtppZ!e:Iy*hC . Voilà un bon mot de passe!

Mais comment s’en souvenir ?
Et bien ce n’est pas possible pour un humain normalement constitué. Surtout si pour chaque site vous avez un autre mot de passe…. Alors je propose une solution. Utilisez un logiciel pour gérer cela. Le logiciel KeePass Password Safe remplit parfaitement ce rôle.

KeePass Password Safe
Ce logiciel est un Open Source. Il est très utilisé dans la communauté des professionnels en sécurité informatique. Le principe est simple. Vous installez le logiciel, créez une base de donnée que vous protégez avec une passphrase ou par exemple un Token Yubico. Ensuite vous créez vos mots de passe pour toutes vos applications. Par exemple Linkedin, Google, etc.

Comment l’utiliser ?
C’est tout simple. Une fois sur la mire de login de votre application, il vous suffit de lancer KeePass et de double cliquer sur votre mot de passe puis de coller celui-ci dans votre application. Vous pouvez même programmer la fonction Auto Type. Cette fonction permet d’automatiser la procédure de login. C’est un peu un Simple Sign On.

Si vous désirez allez plus loin en termes de facilité de gestion, je vous recommande le logiciel lastpass. C’est un plugin pour votre navigateur.

PS: Ne pas oublié de faire un backup de la base de donnée.... C'est plus sage !

L'aventure continue !

2009-07-23T21:39:00.005+02:00

Après 4 ans d'existence le blog de la Citadelle électronique est tout content d'avoir un nouveau nom de domaine:

http://citadelle-electronique.net

N'oubliez pas de mettre à jours votre bookmark

A bientôt pour de nouveaux billets

Authentification forte & PCI-DSS

2009-07-20T23:30:00.020+02:00

J'ai été très surpris l'autre jours en lisant la norme PCI-DSS!
Celle ci n'impose pas l'authentification forte pour la sécurisation du système d'information gérant les cartes de crédits.

La seule obligation, pour l'authentification forte, est pour la télé maintenance. Par exemple les connections VPN SSL ou IPSEC ou Citrix. C'est le minimum!

"The PCI DSS requirements explicitly require two-factor authentication for remote access to the merchant’s network as defined in requirement 8.3. The requirement states that merchants must implement two-factor authentication for remote access to the network by employees, administrators, and third parties."

Mais pourquoi n'est-il pas obligatoire d'utiliser un mécanisme d'authentification forte pour sécuriser le système de gestion pour les cartes de paiement? Pour moi l'authentification à deux facteurs (authentification forte) est un des piliers de base à mettre en œuvre pour diminuer fortement les risques.

Pourtant la norme PCI-DSS donne des consignes très intéressantes et pragmatiques pour sécuriser le système d'information. Les nombreux points à respecter donnent beaucoup de sens. J'adhère fortement - pour la plupart des points - à cette norme.

Mais peut être le DCI-DSS estime que ces exigences sont suffisantes. Après tout ce n'est qu'une question de risque que l'on accepte ou pas.

Personnellement je ne pourrais pas mettre en place une infrastructure IT qui gère des milliers de cartes de paiement sans sécuriser l'infrastructure via un mécanisme d'authentification forte.

Pour moi le risque est trop grand!

Alors à quand l'authentification forte obligatoire dans la norme PCI-DSS ? Peut être dans 2 ans ?

Quand pensez-vous ?

Pandémi : quelles répercutions dans le monde de l'entreprise ?

2009-07-17T13:52:00.017+02:00

Voici maintenant plus de 4 ans que je publie des billets sur la Citadelle Électronique. Ce blog a bien évolué. Au départ, il s'agissait plutôt d'un outils type base documentaire pour mon propre usage.

4 ans plus tard, les billets sont plus orientés article de fond sur les technologies de sécurité informatique et plus particulièrement l'authentification forte.

Et pour la 1ere fois je publie un article écrit par un tiers (Emmanuel Forgues).

Pourquoi ? La réponse est simple: je trouve la technologie intéressante et la problématique des accès distants sécurisés très actuelle, surtout avec le virus H1N1.

Note: J'ajouterai à cette article l'importance de mettre en ouvre une authentification forte. Voir un mon billet sur le sujet

Très bonne lecture. Vos remarques sont les bienvenues !

PANDÉMIE : QUELLES RÉPERCUTIONS DANS LE MONDE DE L’ENTREPRISE ?

Alors que l’actualité évoque une pandémie possible du virus H1N1 avec une progression à la vitesse des mouvements migratoires des populations, quelles sont les conséquences pour les entreprises? Depuis le 12 juin, l'Organisation Mondiale de la Santé a relevé le niveau d'alerte à la phase 6 indiquant de fait la présence d'une pandémie grippale.

Par Emmanuel Forgues, Chef produit globull

Les conséquences d’une pandémie peuvent être majeures et déterminantes pour l’avenir des entreprises. On estime que durant une vague pandémique, 25% des collaborateurs seront malades et donc absents de leur poste de travail, en moyenne 5 à 8 jours. Cette étude ne prend pas en compte le télétravail des personnes qui restent chez elles pour s’occuper de leurs familles, par exemple. Donc, sur les deux semaines de pic de la vague, 40% des employés seront probablement absents. C’est avec soin que l’entreprise doit dès à présent se préoccuper d’un tel événement. A titre d’exemple, les autorités Américaines demandent aux entreprises de préparer leur plan sur la base d’un taux d’absentéisme de 40% pendant deux semaines.

La préparation des entreprises à une pandémie, en diminuant le risque d’infection sur le lieu de travail, a un double objectif. Il faut ainsi tenir compte de deux modes de propagation :

contact direct : par le contact entre les personnes : toux, éternuements, etc.)
contact indirect : par contact avec des surfaces contaminées (courrier, poignées de porte, etc.)

Dans le même temps, l’entreprise doit assurer son fonctionnement avec un personnel réduit. L'entreprise doit être en mesure d'identifier les définitions de postes de tous les employés ainsi que les répercussions pour l’entreprise en fonction des facteurs suivants :

Activité possible uniquement dans les locaux de l’entreprise
Contact direct avec d’autres personnes : est-ce qu’une population de l’entreprise doit rencontrer des personnes extérieures (commerciaux, achats, …)
Fonctions clés : Il n’est pas possible de renoncer à ces fonctions pour le bien être de l’entreprise et Fonctions auxquelles il est possible de renoncer :
Travail à domicile possible : Si cette option est possible pour certaines fonctions, il faut vérifier si les conditions techniques sont réunies pour la bonne réalisation du travail.

Dans le cas contraire la mise en place des outils nécessaires sans sacrifier le niveau de sécurité garante de la sauvegarde du patrimoine.

La mise en place d’un environnement de travail dans le respect des droits de l’employé (temps de travail, etc) doit passer par un investissement supplémentaire : Téléphone fixe, Téléphone portable, PC, Liaison internet, Licences pour les logiciels spécifiques, adaptation de la sécurité IT et identification d’une ou deux personnes pouvant remplacer l’employé.

La solution la plus simple et certainement la plus onéreuse est de mettre à disposition la solution suivante :

un ordinateur : portable de l’employé après désinfection ou un nouvel ordinateur pour les employés ne possédant pas de portable dans le cadre de son travail, doublant au passage le nombre d’ordinateur.
toutes les applications nécessaires : pouvant doubler au passage le nombre de licences utilisées et nécessitant un référencement des applications nécessaires par métiers.
un accès 3G pour les employés ne disposant pas d’un abonnement Internet personnel: remboursement de l’abonnement pendant la durée de l’isolation ou acquisition du matériel, achat de l’abonnement, paiement de la consommation et installation du périphérique par les services de l’IT.
Installation d’un accès VPN, configuration, création du compte, activation et formation de l’utilisateur.
Configuration des règles de sécurité pour accéder au système d’information pour ces nouveaux profils d’utilisateurs. Cela peut revenir à dupliquer toutes les règles pour autoriser un même employé à accéder aux mêmes ressources à partir de deux accès différents.

Ces investissements peuvent engager des frais conséquents et supplémentaires dépassant rapidement les budgets IT originaux.

En cas de pandémie, la baisse des effectifs pèsera sur la productivité de l’entreprise. Évidemment, il peut être nécessaire de sacrifier les activités les moins importantes en redéployant les employés d’un secteur vers un autre plus critique. L’isolation des employés chez eux pendant la durée de la pandémie peut aussi être une solution à condition de s’assurer que tous les moyens nécessaires sont disponibles pour la continuité du travail.

Ce type d’isolation permet d’éviter la propagation du virus lors d’un des cas suivants :

Les entretiens et les réunions : Si nécessaire la mise en place d’une ligne téléphonique ou centre de travail collaboratif doit être fait, afin d’éviter le contact des employés pouvant provoquer une propagation plus rapide.

Transports publics : L’utilisation des transports en commun pouvant provoquer la propagation virus, l’accélérer ou la diversifier.

Distribution du courrier interne : La propagation indirecte par le contact peut aussi être un vecteur participant à la propagation.

Cet article n’a pas pour vocation de faire une liste exhaustive de ce que l’entreprise doit mettre en œuvre pour sa sauvegarde pendant une pandémie. Néanmoins, la complexité est évidente et la nécessité de s’y prendre à l’avance comme primordial.

Alors que nous constatons depuis quelques années une mobilité accrue de la donnée, du type de cette donnée et des moyens pour y accéder, avec un état de crise de type pandémique, la donnée ne suit plus l’employé mais l’employé doit avoir accès aux mêmes outils depuis un lieu d’isolement.

Après un rapide référencement du matériel disponible chez l’employé (BIOS et boot USB respectant la norme) ainsi qu’une connexion internet disponible, le responsable informatique peut concentrer toutes les contraintes énumérées précédemment dans un seul périphérique bootable et confier à l’employé, le temps de son isolement un simili-poste de travail en parfait accord avec les règles de sécurité tout en bénéficiant du confort et de la puissance de son ordinateur personnel. Toute la problématique est de pouvoir transporter ces informations et accès en toute sécurité.

Concentré dans 122 grammes, globull assure la continuité des règles de sécurité de l’entreprise à l’extérieur. En permettant le suivi de travail de l’employé à son domicile, le globull sert de relais de sécurité à l’entreprise pour l’employé placé en quarantaine à son domicile.

Avec sa capacité de stockage des certificats de l’entreprise (24 certificats de 1600 octets + clés privées) il peut contenir les clés d’accès à l’infrastructure (certificats de chiffrement, de signature ou d’authentification). Associé à tous les mécanismes de chiffrement (AES-256, SHA-1, H-MAC en mode bloc) il est la ressource de cryptographie la plus sure au monde.

Avec cette solution, le responsable informatique peut laisser sortir des données hors de la société en toute quiétude mais dans le même temps assurer à son entreprise une totale continuité de travail. L’employé se déplace, son globull en poche, de la façon la plus naturelle possible, et une fois que le globull a démarré sur l’ordinateur personnel le même employé est directement relié à la société en toute sécurité. Dans le cas d’une pandémie, l’envoi du globull par la poste est entièrement possible sans crainte que les informations ne puissent être interceptées.

Flash produit: Ironkey comme support d'authentification forte

2009-07-15T00:23:00.004+02:00

Un produit qui semble très bien comme support d'un Token software pour l'authentification forte.

Le principe est simple. Installer un Token Software sur la clé USB.

Résultat: Un token d'authentification forte par cher avec en plus un espace de stockage sécurisé. Chiffrement des données. le Top.

Plus d'information sur le Blog de James Knudson: The Second Factor - Engineering Authentication

A suivre.....

Prédiction du Gartner sur l'authentification forte....

2009-07-12T12:59:00.004+02:00

Un nouveau billet sur les 4 prédictions du Gartner en matière d'identité et d'authentification. C'est toujours une réflexion intéressante. Cela offre un autre point de vue sur le futur proche.

Mais leur prédictions me semble assez juste. Au programme pour 2010-2011:

Out of Band Authentication et Risk Based Authentication.

So wait and see...

Les 4 prédictions

1) Hosted IAM and IAM as a service will account for twenty per cent of IAM revenue by 2011

2) Twenty per cent of smart-card authentication projects will be abandoned and thirty per cent scaled back in favour of lower-cost, lower-assurance authentication methods.

(Key comment: "Gartner recommends that organizations with a free choice of authentication methods for local access should take a scenario-based approach to selecting new authentication methods, based on risk, end-user needs and total cost of ownership (TCO). ")

3) Thirty per cent of large corporate networks will become ‘identity aware' by controlling access to some resources via user-based policies by 2011

4) Approximately fifteen per cent of global organizations storing or processing sensitive customer data will use out-of-band OOB authentication for high-risk transactions by 2010.

(Key quote: "Organizations that need to safeguard customer accounts should implement a three-pronged security strategy that includes risk-appropriate user authentication, fraud detection, and transaction verification for high-risk transactions." - Ant Allan, VP, Research at Gartner)

Lire l'article complet

Grippe A H1N1 et authentification forte ?

2009-07-11T13:33:00.005+02:00

Quel est le rapport entre la grippe A et l’authentification forte ?

Un début de réponse est : le télétravail.

Ou traduit en jargon informatique la mise en œuvre d’accès distants! Si l’on suit les recommandations de l’office fédéral de la santé publique Suisse toutes entreprises doit mettre en œuvre un certains nombre de mesures.

Ces mesures sont décrites dans un guide. Je vous encourage à le lire (Plan de pandémie – Manuel pour la préparation des entreprises).

Dans ces mesures, au chapitre 2.2, ce trouve la mise en œuvre d’une solution informatique pour pouvoir travailler à la maison. Le document mentionne aussi l’aspect sécurité informatique. Mais il reste très flou. Alors voici une clarification.

Il existe aujourd’hui beaucoup de technologie d’accès distants. Comme les VPN SSL, VPN IPSEC, Citrix, etc…

Mais quand est-il de l’authentification des utilisateurs ? Peut on utiliser simplement un couple username et password. Techniquement oui ! Mais je ne pense pas que cela soit une bonne idée. Les risques sont trop grands. Il est tellement facile de voler ou deviner ce fameux couple username et password.

Alors que faire ? Tout simplement utiliser une technologie d’authentification forte. Et voilà la réponse plus précise à la question du début.

Je ne souhaite pas que nous arrivions dans un scénario ou nous serons tous cloîtré à la maison, mais je pense que ces prochains temps la mise en œuvre de solution d’accès distants et d’authentification forte va s’accélérer.

A suivre

La mort des Token Hardware pour l’authentification forte ?

2009-07-08T18:20:00.004+02:00

La mort des Token Hardware pour l’authentification forte ?

Il ne fait plus aucun doute que l’authentification forte est nécessaire à la sécurisation des transactions électronique. Les chiffres le prouvent. Selon une étude de Javelin Strategy & Research (Identity Fraud Survey Report 2009) il y a eu pendant l’année 2008 9.9 millions de personnes victimes d’un vol d’identité. Et ce chiffre ne fait qu’augmenter !

Mais comment sécuriser les plate-formes électroniques quand on parle de plusieurs milliers d’utilisateurs. Peut-on distribuer des Token Hardware aux consommateurs ? Je ne crois pas.

Les Token Hardware, de type RSA SecurID, sont une très bonne solution pour les entreprises. Par exemple pour la sécurisation des accès VPN (SSL, IPSEC, etc.) ou encore d’un portail web ou Citrix. Mais dans ce cas on parle de quelques dizaines ou centaines d'utilisateurs, voir dans de rare cas quelques milliers ! Le problème de l'utilisation de ces Tokens est principalement lié aux coûts, à la difficulté de gestion, et la réticence des utilisateurs.

Mais les temps changent. Le nombre d’utilisateurs utilisant une authentification forte augmente. On le voit très bien aux US, ou encore en France. Les banques mettent en œuvre de l’authentification forte pour leurs clients. Depuis 2005, aux US il est obligatoire pour les banques de mettre en œuvre une authentification forte (FFIEC – Authentication in an internet Banking Environment : Aug 8th 2005). Cela à pour effet de « doper » l’émergence de nouvelles technologies.

Dans ce sens, une forte tendance va pour l’utilisation de son smartphone comme moyen d’authentification fort. Les technologies sont prêtes et les utilisateurs possèdent pratiquement tous un téléphone portable ou un smartphone. De plus le smartphone est un objet que l’on oublie pas, que l’on ne prête pas. C’est quelque sorte notre compagnon !

Alors il ne fait plus aucun doute que de plus en plus d’entreprises vont utiliser ce « compagnon » pour remplacer les bons vieux Token Hardware….

A suivre.

Fuite d'information par clé usb

2009-07-05T14:27:00.003+02:00

Périphériques de stockage amovibles : une menace réelle pour la sécurité des informations en entreprises. Une tribune d´Alexei Lesnykh, Responsable du Développement International et de la Stratégie Produit de DeviceLock.

À vingt-neuf ans, Daniel Harrington, analyste dans une société internationale de services et d’ingénierie informatique, n’aurait jamais imaginé se retrouver au cœur d’un scandale qui retentirait jusqu’au gouvernement britannique. Fin octobre dernier, une unité de stockage amovible lui appartenant était retrouvée dans un parking public à proximité d’un pub dans la ville anglaise de Cannock. Cette affaire serait passée inaperçue si l’objet en question n’avait été utilisé pour stocker les mots de passe ultra-secrets permettant d’accéder à la base de données de services en ligne du gouvernement britannique...

Lire la suite sur Zataz !

Ou installer le logiciel TRUE CRYPT et chiffré votre clé USB. Par cher est très efficasse...

Protection des données en transit !

2009-06-30T14:01:00.004+02:00

Il ne se passe pas une seule semaine dans la presse sans que l’on lise que telle société perde des données sensibles. Dans la majorité des cas cela est dû à un vol ou une perte du Laptop ou une clé USB…

Une des solutions pour éviter cela est bien évidement le chiffrement du disque (Comme les technologies de type Full Disk Encryption - FDE).

Une autre solution est de transporter les données sur un disque externe. Dans ce sens, la société Data Locker propose une technologie très intéressante : le disque dur DATA LOCKER TM ENTERPRISE.

Il s’agit d’un "device" externe avec chiffrement hardware AES 256. Pour l’accéder depuis son ordinateur il suffit de rentrer un PIN Code sur le boîtier de celui-ci (up-to 18 digit).

Pour les plus parano ce disque supporte la fonction «Self Destruct»….

Cet équipement est certifié FIPS-140 et offre un mécanisme de défense contre les attaques de type brute force.

Pas très discret comme disque mais très efficace. On attend la même chose avec un lecteur biométrique pour avoir une authentification forte !

Cookbook: Facebook et OpenID pour la protection de votre identité numérique

2009-06-16T02:13:00.007+02:00

Protection de votre identité numérique sur Facebook

Ce petit Cookbook pour intégrer Facebook avec son OpenID.

Authentification forte avec OpenID: une façon efficace pour diminuer les risques d'une usurpation de votre identité.

En utilisant une technologie d'authentification forte avec un simple certificat digital et OpenID vous diminuer fortement ces risques:

Malware / Vol de votre identifiant facebook
Sniffer
Keylogger
etc.

Bon début avec OpenID.

Guide: comment protéger vos identifiants Facebook, Linkedin et Google ?

2009-06-09T22:43:00.010+02:00

Usurpation de votre identité: réalité ou fiction ?

Dans la série CookBook, voici un guide qui vous explique comment protéger l'accès à vos réseaux sociaux en sécurisant son couple "username password".

L'idée est de mettre en œuvre la solution SeatBelt de Verisign. Ce logiciel est capable de faire du Secure SSO. Il est basé sur une authentification forte pas certificat numérique X509. Ce certificat peut être stocké soit sur votre ordinateur ou sur un support hadware (Token Cryptographique).

Le protocole utilisé pour l'authentification forte est OpenID. Une fois authentifié de manière forte sur l'IDP de Verisign, il est ensuite possible de se connecter sur ces sites, comme Google, Facebook, Linkedin, etc...

Si vous aussi, vous ne voulez pas que quelqu'un usurpe votre identité cette solution est un 1er pas dans le sens de la sécurité.

Bonne lecture de ce guide

COMPROMISING ELECTROMAGNETIC EMANATIONS OF WIRED AND WIRELESS KEYBOARDS

2009-06-05T15:14:00.007+02:00

"Émanation compromettantes électromagnétiques des claviers filaires et sans-fil"

Re-publication d'un billet sur une étude de l'EPFL de Sylvain Pasini et Martin Vuagnoux . Possibilité d'écouter à distance les touches du clavier. Une approche pour les espions et hackers... Un des points de la conclusion de Martin est l'utilisation dune technologie l'authentification forte pour éviter le vol de son couple username/password.

Comme par exemple la sécurisation de son domaine Microsoft avec Kerberos et PKINIT (Smartcard Logon) avec une PKI "intra murus".

Utilisation d'un Token Cryptrographique (Smartcard ou USB) ou avec l'utilisation de la biométrie et la technologie Match on Card.

Le site du laboratoire Lasec sur le projet

Texte du projet:

Computer keyboards are often used to transmit sensitive information such as username/password (e.g. to log into computers, to do e-banking money transfer, etc.). A vulnerability on these devices will definitely kill the security of any computer or ATM.

Wired and wireless keyboards emit electromagnetic waves, because they contain electronic components. These electromagnetic radiation could reveal sensitive information such as keystrokes. Although Kuhn already tagged keyboards as risky, we did not find any experiment or evidence proving or refuting the practical feasibility to remotely eavesdrop keystrokes, especially on modern keyboards.

To determine if wired and wireless keyboards generate compromising emanations, we measured the electromagnetic radiations emitted when keys are pressed. To analyze compromising radiations, we generally use a receiver tuned on a specific frequency. However, this method may not be optimal: the signal does not contain the maximal entropy since a significant amount of information is lost.

Our approach was to acquire the signal directly from the antenna and to work on the whole captured electromagnetic spectrum.

We found 4 different ways (including the Kuhn attack) to fully or partially recover keystrokes from wired keyboards at a distance up to 20 meters, even through walls. We tested 12 different wired and wireless keyboard models bought between 2001 and 2008 (PS/2, USB and laptop). They are all vulnerable to at least one of our 4 attacks.

We conclude that wired and wireless computer keyboards sold in the stores generate compromising emanations (mainly because of the cost pressures in the design). Hence they are not safe to transmit sensitive information. No doubt that our attacks can be significantly improved, since we used relatively inexpensive equipments.

2ème jours SSTIC à Rennes

2009-06-04T09:35:00.020+02:00

Bonjour de Rennes,

Deuxième jours. J'ai loupé la 1ere moitié de la conf. Cette conf est en anglais, ce qui est rare au SSTIC. Le sujet est sur le Fuzzing.

FUZZING : LE PASSÉ, LE PRÉSENT ET L’AVENIR par Ari TAKANEN

Les standards de fiabilité et de sécurité en matière de communication nécessitent de faire appel à des nouvelles techniques de test automatisé. Le Fuzzing est une méthode de test « négative ». Il s’agit d’alimenter un programme, un matériel ou un système avec des données d’entrées malformées ou inattendues pour provoquer des défauts critiques, des crashs… Les tests envoyés sur les interfaces externes peuvent contenir des données incorrectes, des erreurs de syntaxe, mais aussi des séquences de messages incorrectes. Dans cette présentation je parlerais des derniers progrès des fuzzers « model-based », en particulier concernant le fuzzing de XML. XML est aujourd’hui omniprésent, aussi bien dans les applications Web que dans des systèmes critiques SCADA et Télécom. Malheureusement, les recherches conduites au CodeLabs montrent que la complexité d’XML engendre de nombreuses erreurs…

Texte officiel du programme SSTIC

FUZZGRIND : UN OUTIL DE FUZZING AUTOMATIQUE par Gabriel CAMPANA (Sogeti ESEC)

Présentation sur fuzzing. L'idée est de tester du logiciel pour trouver des bugs ou vulnérabilités (Bof ou autre). Généralement les outils sont automatique. Il existe passablement de solution comme Autodafé, Flayer, etc...

Le speaker nous démontre un exemple de Fuzzing sur du code source en C puis nous présente sa solution "Fuzzgrind" qui est un outil qui repose sur un plugin spécifique pour Valgrind et STP, outil de résolution de contraintes.

Valgrind analyse le programme et génère un rapport. Nous avons droit à une démo. Impressionnant pour trouver des trous de sécurité...

SÉCURITÉ DES ARCHITECTURES DE CONVERGENCE FIXE-MOBILE par Laurent BUTTI (Orange Labs)

3ème conf ce matin. Le rythme est soutenue et les sujets assez complexe mais très intéressant.

La présentation se concentre sur la convergence des équipements: PDA, Téléphone, MP3, Console de jeux, etc.
Aujourd'hui la plupart de ces "devices" supporte la connectivité réseau (3G, Wifi, etc.). Une tendance est maintenant le UMA. UMA permet d'encapsuler les protocoles 3G sur IP. Cela pose des fortes contraintes de sécurité. UMA support l'authentification par certificat X509, EAP par exemple et le protocole IPSEC. Cela ouvre des portes intéressantes pour les applications du futur.
Encore une fois cela confirme aussi que les équipements mobiles seront un support parfait pour l'authentification forte. Voir mon billet sur ce sujet.

1ere pause pour un café

Sécurité des smartphones par Romain Raboin, Atlab

Présentation sur la sécurité du smartphone Windows mobile (Windows Mobile OS version 6.0).

Marché en forte croissance.

Brève présentation des 4 systèmes du marché:

Symbian OS (représente environ 42% du marché)
Iphone OS (13%)
Windows Mobile OS (27%)
RIM Blackberry OS (15%)

Romain fait un bref survol sur la sécurité des 4 OS. Il explique ensuite les menaces:

Vol de données
Géo-Localisation
Malware de type espions, Rootkit, Trojan
Vulnérabilité connue (CVE)
Vol de SMS, MMS (On trouve même des logiciels officiel de type "Keylogger"....)
Bof
etc.

La fin de la présentation nous montre un exploit sur Windows Mobile.

En conclusion (selon mon avis) Blackberry reste encore la meilleure approche en termes de sécurité. Pour le moment....

Je pense que l'Iphone va très rapidement évoluer sur ce terrain. Il y a déjà un client IPSEC pour l'Iphone.

Cool: un petit soft pour espionner sa femme.... :-)
Merci les USA ! spyware commercial disponible sur l'ensemble de ces plate-formes, FlexiSPY.

A suivre...

LE TRAÇAGE DE TRAÎTRES EN MULTIMEDIA par Teddy FURON INRIA - Thomson.

Pour faire face au piratage sur Internet de ses contenus, l'industrie de l' "entertainment" a promulgué un ensemble de mesures techniques de protection, plus connues sous le nom de DRM. Limitant l'accès des contenus dûment achetés, les DRM ont créé une énorme frustration chez les utilisateurs et sont devenus très controversés. Le traçage des traîtres fait partie des techniques alternatives moins intrusives en développement à l'heure actuelle. L'objectif est de s'attaquer à la source de la redistribution illégale en identifiant qui possédait à l'origine les contenus. La présentation a pour but de décrire le problème du traçage de traîtres, d'en établir un rapide historique (de Magaret Thatcher au disque Blu-Ray) et de décrire de manière simple les principes soutenant les solutions actuelles. Les ingrédients de base seront les suivants : une pincée de théorie des codes, un peu de statistique et beaucoup de tatouage numérique.

Source pour ce chapitre : le site du SSTIC
Ou le site de SID.

Une fois de plus cela confirme fortement la mouvance vers le DRM et l'utilisation de la technologie PKI.

Super présentation.

LE VOL D'INFORMATIONS N'EXISTE PAS... par Marie BAREL Orange Consulting Services.

Une super présentation juridique comme quoi, au sens de la loi, le vol de l'information n'existe pas. L'information n'est pas considéré comme un bien matériel...

Mais les choses sont entrain de changer. Il y a une jurisprudence en 1998. Un petit pas en avant.

Plus d'info du SSTIC:

Face à la crise, l’intelligence économique est une stratégie à développer et la maîtrise de l’information une nécessité impérieuse. Alors que, contrairement aux idées reçues, le vol d’informations n’est pas reconnu par le code pénal français, il convient de comprendre comment le droit protège le patrimoine informationnel de l’entreprise. Or, sauf le cas particulier de certaines données (données à caractère personnel, données couvertes par le secret, …) pour lesquelles le législateur a organisé une protection légale, il incombe en définitive aux responsables de mettre en œuvre au sein de l’entreprise des solutions, réponses contractuelles ou normatives, susceptibles de répondre efficacement à la problématique de la protection de l’information.

Pause de midi. On a faim...

POURQUOI LA SÉCURITÉ EST UN ÉCHEC (ET COMMENT Y REMÉDIER) par Nicolas RUFF (EADS)

Une présentation très sympa de Nicolas Ruff qui part du constat que les solutions techniques de sécurisation ne sont pas forcément très efficace. Un speech très pragmatique et beaucoup de retour d'expérience. Bravo Nicolas.

Exemple pratique sur les mots de passe Windows. Conclusion qui me plaît beaucoup. Ne plus utiliser les mots de passe.

Donc Smartcard Logon est une bonne approche.

Bientôt il y aura les slides sur le site du SSTIC (les actes)

Fin des conférences.

Ce soir Social Event SSTIC

Un autre point de vue sur le SSTIC Day1 Day2 par Cédric Blancher (SID) et son super Blog SID

Jour 1 au SSTIC à Rennes

2009-06-03T10:09:00.029+02:00

Un peu de changement sur mon Blog cette semaine. Je suis au SSTIC à Rennes. C'est une super conférence sur la sécurité du système d'information. C'est un peu le Blackhat Français, mais moins commerciale. On est arrivé hier soir de Nantes en passant par Baule pour voir la mer.

Comme d'habitude, il y a 45 min de queue pour avoir le badge pour entrer dans l'amphi.... Et comme d'hab, j'essaye de trouver du 220 Volt pour mon laptop. Opération réussi ! Très important.

Je vais essayer de faire une petite synthèse de la conf en direct. Ceci représente un point de vue plutôt sous l'angle de la sécurisation des identités numériques (Authentification Forte)

Il y a aussi le Blog de SID qui commente le SSTIC 2009 en live ou presque.... (beaucoup plus complet)

Keynote d'ouverture par Pascal Andrei, Airbus.

Il nous parle de sûreté, safety dans le jargon, et de sécurité, la différence entre ces deux concepts, comment ils interagissent voire se contredisent, etc. De l'organisation de la sûreté et de la sécurité. Et surtout, pour en revenir à ce qui intéresse énormément, du développement, de l'intégration et de la sécurisation des moyens de communication et de l'informatique de bord, toujours plus riche, et de leurs interactions avec l'environnement de l'avion.

Extrait du Blog de SID

Pas mal de référence à l'identification des personnes, notamment la biométrie...

Et un hommage au victime du crash du Vol Airbus.

Évaluation de l'injection de code malicieux dans une Java Card par Jean-Louis Lanet, Institut de recherche XLIM - Université de Limoges

Début de la 2ème session. Un sujet cool...

Démonstration d'une attaque sur une carte à puce Java. 1er étape: récupération du fichier Cap. Ensuite écriture dans la mémoire de la carte. Injection de micro code dans la carte (like a BoF): le Trojan.... Le résultat est de casser le PIN Code de la carte. Voilà pourquoi la technologie Match on Card Biométrique est, d'après moi, plus sure ! En conclusion cette attaque est très complexe, donc pas trop de panique...

Un sujet un peu trop complexe pour moi !

Data "tainting" pour l'analyse de logiciels malveillants (Bankers) par Florent Marceau, CERT LEXSI.

Un talk sur les malwares bancaires. Soit les Bankers. Explosion des trojans bancaires en 2009. De plus en plus complexe et efficace... voir indétectable.
Le risque est principalement pour les systèmes eBanking peu sécurisés. Je pense au site sans technologie de lutte contre le Man in the Browser (Authentification Forte et signature des transactions)

Encore une fois cela nous montres que les menaces sont vraiment présentes pour les applications eBanking. Cela me rappelle une démo du SSTIC 2008.

Désobfuscation automatique de binaire par Alexandre Gazet et Yoann Guillot, SOGETI ESEC.

Un sujet assez technique pour moi. Tout ce passe en assembleur... Je vous laisse voir le billet de SID

Pause pour manger !

Le point d'un WOMBAT sur les attaques Internet par Marc Dacier, Symantec.

Speak sur le projet WOMBAT par Symantec. Rare pour le SSTIC une présentation par un éditeur.... Le but de ce projet est de collecter des informations World Wide sur les malwares mais aussi d'apprendre le comportement de ceux-ci. Un peu comme le concept de Honeypot mais nouvelle génération: le SGNET.

SGNET: a worldwide deployable frameworkto support the analysis of malware threat models

Une fois les données collectées, l'idée est de les modéliser pour mieux les comprendre afin d'identifier la source ou un mode opératoire commun. Le résultat semble très prometteur.

Le but est d'être pro actif. Leur philosophie est « connais ton ennemi » en référence à l'Art de la guerre.

Très bonne présentation

Un projet à suivre....

L'informatique de confiance par Loïc Duflot, DCSSI

Une démo de folie ! Passer en root (sur linux) en débranchant 2 à 3 fois l'alimentation de son laptop. Ça part fort....

L'idée de base de segmenter le "socle de confiance" des applications -une sorte de firewall - Comme par exemple le BIOS, l'OS (Kernel) et le matériel (USB, CDROM, Alimentation, etc.). L'approche ressemble fortement a l'approche TPM ou Intel TxT

Dans le cadre de ce projet, il y a eu un développement d'un System Management Mode (SMM) pour amener plus de confiance sur la machine. Très beau projet. Super technique

Plus d'information: présentation au Cansecwest 2009 et Joanna Rutkowska

Compromission physique par le bus PCI" par Christophe Devine et Guillaume Vissian, Thales

Une démo impressionnante. Compromission d'un WinLogon via une PC Card. Un sujet un peu complexe pour moi. Mais dans le même style que la présentation de Loïc Duflot, DCSSI

Une contre mesure: mettre de la colle sur les bus PCI.......

Cinq questions sur la vraie utilité de l'ISO 27001" par Alexandre Fernandez-Toro, HSC

Une super présentation. Très pragmatique et beaucoup de retour d'expérience. Il y aura bientôt les slides sur le site du SSTIC. Bravo cela sent le vécu.

Plus d'info chez SID

Bonne soirée. Il reste encore une conf mais plus d'énergie pour le Blog.

A demain, il est temps de préparer la soirée. Bon repas avec fruits de mer.

Nouvelles technologies : Le téléphone mobile pour l'authentification forte

2009-06-02T23:55:00.006+02:00

Le téléphone, la solution pour l'authentification forte

Il supporte d'or et déjà les technologies suivantes:

OTP SMS
OTP Software Time or Event based or challenge response
TAN
Biométrie
PKI / Certificat numérique
SIM
etc....

Cette article pourquoi le téléphone sera utilisé de façon massive pour la mise en place de système d'authentification forte. Comme le eBanking par exemple.

Bonne lecture

Assurer sa voiture, consulter le solde de son compte bancaire, connaître l’horaire du prochain bus…De plus en plus de services sont accessibles sur téléphone mobile. Reste à savoir si et quand le mobile deviendra un portefeuille numérique.

Les barrières tombent, les unes après les autres. Aujourd’hui, de plus en plus de services sont accessibles via le téléphone mobile. Plusieurs facteurs favorisent cette prolifération. Tout d’abord, le taux d’équipement des Français. Actuellement, 56 millions d’entre eux disposent d’un téléphone portable. Et il est de plus en plus facile d’accéder à Internet par ce moyen, y compris dans le métro. De plus, le coût de ces connexions a baissé, puisque les opérateurs proposent des forfaits illimités. Une mesure qui permet d’élargir la gamme des services accessibles, au delà de ceux proposés par l’opérateur auprès duquel l’utilisateur a souscrit un abonnement. Par ailleurs, l’ergonomie des sites s’améliore, et leur consultation est rendue plus intuitive par les interfaces tactiles des téléphones, sur le modèle de l’Iphone de Apple. Dernier point : en plus d’Internet, d’autres voies, gratuites, se développent. Résultat, de plus en plus de consommateurs adoptent ces services.

Services en balade

C’est souvent le cas de ceux proposés par les entreprises liées à la mobilité, comme la RATP, Air France ou Mappy. Fort logiquement, leurs usagers sont preneurs de services accessibles pendant les déplacements. Réunies par l’Acsel, l’Association de l’économie numérique, le 21 avril dernier, à Paris, ces sociétés ont fait le point sur ces nouvelles pratiques. Le site mobile de la RATP, par exemple, est consulté au rythme d’un million de pages par mois. Il est possible d’y préparer son itinéraire, de connaître l’actualité du trafic ou les horaires des bus. « 40% de nos clients sont des occasionnels. Ils ont besoin d’informations pour maitriser leur parcours : connaître le trafic et organiser leurs trajets », précise Virginie Hermel, chef de projet à la RATP. Et la Régie de transports a d’autres projets dans ses cartons, comme celui d’intégrer dans le site des plans de quartier basés sur Google Maps. Mais elle envisage également de développer d’autres formes d’accès (gratuit) à l’information : des « flash codes », sorte de petits codes barre, disposés dans les stations de bus, et de tramway. Lorsque l’utilisateur « flashe » le code avec son téléphone portable, ce dernier télécharge les informations liées au lieu. C’est depuis 2001, déjà, que la Ratp a commencé à se servir du téléphone mobile pour communiquer avec ses clients, en leur envoyant des SMS d’alerte sur le trafic, notamment. « Cela nous évite de mettre en place des panneaux qui sont dispendieux, et qu’il faut entretenir. Et nous pouvons ainsi fournir une information plus personnalisée et fidéliser les passagers », commente Virginie Hermel.

Services de proximité et couplage avec les sites Internet

Autre exemple de services fournis via mobile : Mappy, le site Internet d’itinéraires, a développé une version pour le mobile. Cette dernière reçoit « 800 000 visiteurs uniques par mois », estime Fréderic Campart, directeur marketing chez Mappy. Les services sont fournis gratuitement à l’utilisateur. Ce sont les annonceurs, notamment séduits par les publicités géolocalisées, qui payent. Sont disponibles des plans, des itinéraires, des services de proximité et des informations en temps réel, comme la météo liée à la destination choisie. Dans les mois qui viennent, le site devrait s’enrichir encore d’autres services complémentaires, plus personnalisés, et conçus selon une logique communautaire. Du coté d’ Air France, il est possible de connaître les horaires de vols par SMS. Mais « ces services sont peu utilisés », regrette Laurent Petitmangin, responsable marketing mobile de la société, qui cite le chiffre de 50 000 utilisateurs par mois. Néanmoins, la société continue ses expérimentations, avec la carte d’embarquement sur mobile : A Nice, les passagers embarquent en présentant leur téléphone portable (et une carte d’identité). Et, à l’été, les passagers de la compagnie qui font émettre leur carte d’embarquement électronique sur le site Internet de la société pourront, au lieu de l’imprimer, la recevoir directement sur leur téléphone mobile. Les entreprises liées à la mobilité ne sont pas les seules à proposer des services accessibles sur les téléphones de leurs clients. Banques et assurance, par exemple, ont également investi ce créneau, qui leur permet de personnaliser leur relation avec leurs clients.

Une banque dans la poche

Néanmoins, tous les services ne sont pas adaptés au mobile. Inutile, par exemple, d’y proposer de souscrire un prêt sur vingt ans pour financer l’achat d’une maison. Plus basiquement, la plupart des banques proposent aujourd’hui des alertes par SMS, par exemple en cas de dépassement d’un certain seuil de dépenses, ou bien la possibilité de consulter le solde de ses comptes. Mais d’autres vont beaucoup plus loin. Ainsi, Ineas, un assureur en ligne, propose de souscrire à une assurance automobile via son téléphone mobile. Le contrat, d’une durée de cinq jours, vise à faciliter le moment de la transaction d’un véhicule. Avec ce système, l’acheteur repart immédiatement au volant de sa nouvelle voiture, dument assurée.

Un article de Anne d’AUBREE