MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.

ch

Protection des données avec la biométrie

Match-on-Card

Sylvain Maret / Security Architect MARET Consulting

10 novembre 2009
citadelle-
citadelle-electronique.net

Conseil en technologies
 Agenda du Webcast

Identité numérique et
authentification forte

Authentification forte ?

Applications pour la
technologie Match on Card

Technologie d’authentification
forte

Illustration avec un projet

Biométrie et Match on Card dans le monde bancaire

Certificat numérique / PKI

Tendances

www.maret-consulting.ch Conseil en technologies

 nìá=ëìáëJàÉ=\

Architecte Sécurité

15 ans d’expérience en Sécurité des Systèmes d’Information

CEO et Founder MARET Consulting

Expert école ingénieur Yverdon & Université de Genève

Swiss French Area delegate at OpenID Switzerland

Auteur Blog: la Citadelle Electronique

Domaine de prédilection

Digital Identity Security

www.maret-consulting.ch Conseil en technologies

 mêçíÉÅíáçå=ÇÉ=äÛáÇÉåíáí¨=åìã¨êáèìÉW=ìå=ëìàÉí=ÇÛ~Åíì~äáí¨=ÁK

Identification
Identificati n

www.maret-consulting.ch Conseil en technologies

 mçìêèìçá=äÛ~ìíÜÉåíáÑáÅ~íáçå=ÑçêíÉ=\

Keylogger (hard and Soft)

Malware

Man in the Middle

Browser in the Midle

Password Sniffer

Social Engineering

Phishing / Pharming

Le nombre de vol d’identités explose !

www.maret-consulting.ch Conseil en technologies

 rå=¨î¨åÉãÉåí=ã~àÉìê=Ç~åë=äÉ=ãçåÇÉ=ÇÉ=äÛ~ìíÜÉåíáÑáÅ~íáçå=ÑçêíÉ

12 octobre 2005: le Federal Financial Institutions Examination Council

(FFIEC) émet une directive

« Single Factor Authentication » n’est pas suffisant pour les applications

Web financière

Avant la fin 2006 il est obligatoire de mettre en place un système
d’authentification forte

http://www.ffiec.gov/press/pr101205.htm

Et la norme PCI DSS

Authentification forte obligatoire pour les accès distants

Et maintenant des régulations Européennes

Services de Paiement (2007/64/CE) pour les banques.

www.maret-consulting.ch Conseil en technologies

 fÇÉåíáÑáÅ~íáçå=Éí=~ìíÜÉåíáÑáÅ~íáçå=\

Identification

Qui êtes vous ?

Authentification

Prouvez le !

www.maret-consulting.ch Conseil en technologies

 a¨Ñáåáíáçå=~ìíÜÉåíáÑáÅ~íáçå=ÑçêíÉ

Authentification Forte sur Wikipédia

www.maret-consulting.ch Conseil en technologies
 m~ëÅ~ä=qÜçåáÉä=kqu=oÉëÉ~êÅÜW= iDáÇÉåíáí¨=åìã¨êáèìÉ=Éëí=ä~=éáÉêêÉ=~åÖìä~áêÉ=ÇÉ=
ä~=ÅçåÑá~åÅÉ Ê

Plus d’information sur le sujet

www.maret-consulting.ch Conseil en technologies

MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch

Biométrie
et
Match on Card

Conseil en technologies
 Quelle technologie d’authentification forte ?

www.maret-consulting.ch Conseil en technologies

 råÉ=íÉÅÜåçäçÖáÉ=Éå=éäÉáåÉ=ãçìî~åÅÉ

Entreprises
Grand public

eBanking

VPN

Web Applications

Mobilité
Réseaux sociaux

GED

Google docs

Projet PIV FIPS-201
etc.

SAML

www.maret-consulting.ch Conseil en technologies

 OTP PKI (HW) Biométrie
Authentification *
forte
Chiffrement

Signature
numérique
Non répudiation

Lien fort avec

l’utilisateur

* Biométrie type Fingerprinting

www.maret-consulting.ch Conseil en technologies
 Quelle technologie biométrique pour l’IT ?

www.maret-consulting.ch Conseil en technologies

 _áçã¨íêáÉZ=^ìíÜÉåíáÑáÅ~íáçå=ÑçêíÉ=\

La réponse est clairement non

Nécessite un deuxième facteur

Problème de sécurité (usurpation)

Uniquement un confort à l’utilisateur

Plus d’information l’usurpation

Etude Yokohama University
www.maret-consulting.ch Conseil en technologies
 qÉÅÜåçäçÖáÉ=j~íÅÜ=çå=`~êÇW=éäìë=ÇÉ=mfk=`çÇÉ

www.maret-consulting.ch Conseil en technologies

 Exemple de technologie Match on Card pour l’IT

Un lecteur

Biométrie

SmartCard

Une carte à puce

Technologie MOC

Crypto processeur

PC/SC

PKCS#11

Certificat numérique X509

www.maret-consulting.ch Conseil en technologies

 píçÅâ~ÖÉ=ÇÉë=Ççåå¨Éë=\

Sur un support externe
Par serveur

Meilleure sécurité d’authentification

Mode « offline »
Problème de sécurité

MOC = Match On card
Problème de confidentialité

Problème de disponibilité

Loi fédérale du 19 juin 1992

sur la
protection des données (LPD)

www.maret-consulting.ch Conseil en technologies

 bñÉãéäÉ=ÇÛìíáäáë~íáçå=ÇÉ=ä~=íÉÅÜåçäçÖáÉ=j~íÅÜ=çå=`~êÇ

Smart Card Logon de Microsoft
Solution Web SSO

PK-Init
SAML

Applications Web très
Citrix

sensibles

GED

eBanking
Remote acces

VPN SSL

Chiffrement des données
VPN IPSEC

Laptop

Chiffrement des share
Etc.

www.maret-consulting.ch Conseil en technologies

 p¨Åìêáí¨=éçìê=ä~=ãçÄáäáí¨

www.maret-consulting.ch Conseil en technologies

 Authentification d’un utilisateur avec PKINIT (Smart Card Logon)

U Cert
U_Cert

Schéma de Philippe Logean,

Logean, e-Xpert Solutions SA

www.maret-consulting.ch Conseil en technologies

Retour d’expérience
dans le monde
bancaire
www.maret-consulting.ch Conseil en technologies
 Le projet de gestion électronique des documents

Mise en place d’une solution de GED

Accès à des informations très sensibles

Classification de l’information: Secret

Chiffrement des données

Contrôle des accès

Projet pour une banque privée

Début du projet: 2005

Population concernée

500 personnes (Phase I)

A termes: 3000 personnes (Phase II)
www.maret-consulting.ch Conseil en technologies
 (Classification Data: Secret)

Mise en place d’une technologie permettant

d’identifier de façon forte
– via un mécanisme de preuve irréfutable –
les utilisateurs accédant au système
d’information de la banque

Qui accède à quoi, quand et comment !

www.maret-consulting.ch Conseil en technologies

Les contraintes techniques du projet d’authentification forte

Obligatoires souhaitées

Intégration avec les applications
Intégration avec sécurité des

existantes bâtiments

Web
Chiffrement des données

Microsoft Smart Card Logon
Postes nomades
Laptop



Applications futures

Séparation des rôles
Réseau et systèmes

Quatre yeux
Authentification forte

Signature numérique

Auditing, Preuve

Gestion des preuves

www.maret-consulting.ch Conseil en technologies

 Concept de base: un lien unique

Gestion des identités Gestion des accès

Issuer
App A cert

Lien: cn
User

PHASE 1 PHASE 2
Authentification Autorisation
forte

www.maret-consulting.ch Conseil en technologies

 Composants de l’architecture technique

Mise en place d’une PKI « intra muros »

Non Microsoft (Séparation des pouvoirs)

Mise en place de la révocation Online

Protocole OCSP

Utilisation d’un Hardware Security Module

Sécurisation de l’architecture PKI

OS « Hardening »

Firewall interne

IDS

www.maret-consulting.ch Conseil en technologies

 Concept pour la sécurisation de l’application GED

www.maret-consulting.ch Conseil en technologies

 La mire d’authentification biométrique

www.maret-consulting.ch Conseil en technologies

 Processus
Processus Humain
Humain
www.maret-consulting.ch Conseil en technologies
 Le maillon faible ? Plus important que la technique…

Définition des rôles

Tâches et responsabilités

Objectif: séparation des pouvoirs

Quatre yeux

Mise en place des processus pour la gestion des identités

Mise en place des procédures d’exploitation

www.maret-consulting.ch Conseil en technologies

 Mise en place des processus pour la gestion des identités

Processus pour le team gestion des identités

Enrôlement des utilisateurs

Révocation

Gestion des incidents

Perte, vol, oublie de la carte

Renouvellement

Processus pour le Help Desk

Processus pour les Auditeurs

Processus pour le RSSI

Et les procédures d’exploitation !

www.maret-consulting.ch Conseil en technologies
 Le résultat

Une série de documents pour la banque

Procédures d’exploitation

Description des processus

Charte d’utilisation

Définition des rôles et responsabilités

CP /CPS pour la PKI « in house »

www.maret-consulting.ch Conseil en technologies

 Formation

www.maret-consulting.ch Conseil en technologies


Un élément très important !

Formation du team gestion des identités

Formation des utilisateurs

Formation Help Desk

Formation aux technologies

PKI

Biométrie
www.maret-consulting.ch Conseil en technologies
 Retour
d’expérience ?
www.maret-consulting.ch Conseil en technologies
 Conclusion du projet

La technique est un aspect
La Biométrie est une technologie

mineur pour la réussite d’un mature
projet de cette ampleur

Technologie PKI

Offre un noyau de sécurité pour le

Ne pas sous estimer la partie futur
organisationnelle
Chiffrement, signature

CP / CPS pour la PKI
Information Rights Management

Processus de gestion
Sécurité de la donnée

Demander un appuis de la
Un pas vers la convergence

direction
Sécurité physique et logique

www.maret-consulting.ch Conseil en technologies

 qÉåÇ~åÅÉ=OMNM=ÁKK

Le projet PIV Fips-201 est un moteur !

Convergence

Sécurité physique et Sécurité logique

Capteur Biométrique pour les portables

UPEK (Solution FIPS-201)

Nouvelles technologies biométrique

Full Disk Encryption (Laptop)

Support de la technologie Match on Card

McAfee Endpoint Encryption™ (formerly SafeBoot® Encryption)

Win Magic SecureDoc Disk Encryption

www.maret-consulting.ch Conseil en technologies

 råÉ=íÉÅÜåçäçÖáÉ=íê≠ë=éêçãÉííÉìëÉ

Vascular Pattern Recognition

By SONY

www.maret-consulting.ch Conseil en technologies

 A quand la convergence ?

Une convergence difficile ! Sécurité physique et sécurité logique

www.maret-consulting.ch Conseil en technologies
 Quelques liens pour aller approfondir le sujet

MARET Consulting

http://maret-consulting.ch/

La Citadelle Electronique (le blog sur les identités numériques)

http://www.citadelle-electronique.net/

Article banque et finance:

Usurper une identité? Impossible avec la biométrie!

http://www.banque-finance.ch/numeros/88/59.pdf

Biométrie et Mobilité

http://www.banque-finance.ch/numeros/97/62.pdf

Présentation public

OSSIR Paris 2009: Retour d'expérience sur le déploiement de biométrie à grande échelle

http://www.ossir.org/paris/supports/2009/2009-10-13/Sylvain_Maret_Biometrie.pdf

ISACA, Clusis: Accès à l’information : Rôles et responsabilités

http://blog.b3b.ch/wp-content/uploads/mise-en-oeuvre-de28099une-solution-biometrique-
de28099authentification-forte.pdf

www.maret-consulting.ch Conseil en technologies

www.maret-consulting.ch Conseil en technologies
 "Le conseil et l'expertise pour le choix et la mise

en oeuvre des technologies innovantes dans la sécurité

des systèmes d'information et de l'identité numérique"

www.maret-consulting.ch Conseil en technologies