SlideShare ist ein Scribd-Unternehmen logo

L'authentification forte ou vers la mort du mot de passe

Alice and Bob
Alice and Bob

Authentification forte

Internet
1 von 26
Downloaden Sie, um offline zu lesen
L’authentification forte ou Vers la fin du mot de passe ? 26/06/2014 www.aliceandbob.fr 1
De trop nombreux mots de passe • Nous avons tous maintenant des dizaines de mots de passe et code PIN. Pour: – nos ordinateurs et nos Smartphones, – accéder à nos résidences, – les différents sites web, – nos comptes de messageries électroniques, – nos comptes bancaires, – accéder à différentes applications Cloud, – nos réseaux d’entreprises, etc. 26/06/2014 www.aliceandbob.fr 2
Un mot de passe par site 26/06/2014 www.aliceandbob.fr 3
Des règles difficiles à suivre • Les spécialistes de la sécurité nous recommandent : – d’utiliser des mots de passe complexes avec des chiffres, des lettres et des caractères spéciaux – de les changer régulièrement – d’utiliser des mots de passes différents pour chaque usage 26/06/2014 www.aliceandbob.fr 4
Sommes-nous si loin de la réalité? "Sorry, your password has been in use for 30 days and has expired - you must register a new one." "New password:" roses "Sorry, too few characters." pretty roses "Sorry, you must use at least one numerical character." 1 pretty rose "Sorry, you cannot use blank spaces." 1prettyrose "Sorry, you must use at least 10 different characters." 1fuckingprettyrose "Sorry, you must use at least one upper case character." 1FUCKINGprettyrose "Sorry, you cannot use more than one upper case character consecutively." 1FuckingPrettyRose "Sorry, you must use no fewer than 20 total characters." 1FuckingPrettyRoseShovedUpYourAssIfYouDon'tGiveMeAccessRightFuckingNow! "Sorry, you cannot use punctuation." 1FuckingPrettyRoseShovedUpYourAssIfYouDontGiveMeAccessRightFuckingNow "Sorry, that password is already in use." 26/06/2014 www.aliceandbob.fr 5
Une solution peu satisfaisante • Malgré toutes ces contraintes impossibles à appliquer le mot de passe reste une solution d’authentification faible facilement “craquable”. • Des outils de récupération de mots de passe surgissent. • Des listes de mots de passe sont souvent volées. • Les personnes comme vous et moi utilisons plusieurs fois le même mot de passe. • Nous les notons quelque part. • Le banditisme utilise aujourd’hui des techniques de plus en plus sophistiquées pour vous voler vos données personnelles telles que le Phishing. • Netcraft par exemple a déjà recensé plus de 7 millions sites de phishing. 26/06/2014 www.aliceandbob.fr 6
Pas très sécurisé tout ça … 26/06/2014 www.aliceandbob.fr 7
Vraiment pas très sécurisé … 26/06/2014 www.aliceandbob.fr 8
La technique du phishing 26/06/2014 www.aliceandbob.fr 9
Authentification forte • Authentification à 2 ou 3 facteurs – Ce que je sais (un mot de passe, un code PIN) – Ce que je possède (un Token, une carte, un SmartPhone, etc.) – Ce que je suis (mon empreinte digitale, ma rétine, etc.) 26/06/2014 www.aliceandbob.fr 10
L’authentification forte • Le SMS One Time Password Un code SMS vous est envoyé sur votre téléphone portable. Ce code n’est utilisable qu’une seule fois dans un délai très court. Vous entrez ce code via votre écran de saisie pour vous authentifier. • Le certificat électronique installé sur votre ordinateur ou smartphone Un certificat électronique et sa clé privée sont installés sur votre machine. Ce certificat électronique et sa clé privée ne peuvent être interrogés que sur votre machine. Ils sont accessibles via un code PIN. • Le certificat électronique sur Token, carte à puce ou clé USB à puce Un certificat électronique et sa clé privée sont installés dans une puce. Ils ne sont pas extractibles de la puce. Il faut posséder la puce pour y accéder. Ils sont accessibles via un code PIN. • Les Token One Time Password Ces solutions génèrent un mot de passe utilisable une fois dans un délai limité. Le Token le génère en fonction d’un secret partagé avec le serveur d’authentification et de l’heure / date. Il faut posséder le Token pour pouvoir entrer le bon code, en plus de votre mot de passe. Attention néanmoins, le Token de l’entreprise RSA s’est avéré moins solide qu’espéré comme le montre par exemple l’article de ZDNet ci-dessous. • Les solutions d’identification biométriques Les 4 grandes catégories d’identification biométriques sont: la reconnaissance digitale, la reconnaissance d'iris, la reconnaissance faciale et la reconnaissance vocale. Ces systèmes sont souvent coûteux, pas encore 100% fiables, et posent des problèmes juridiques face au stockage de bases de données d’informations biométriques. Enfin dans le cas de l’empreinte digitale, il est possible de reconstituer une empreinte trouvée par exemple sur un verre et de s’authentifier avec. 26/06/2014 www.aliceandbob.fr 11
De nombreuses solutions 26/06/2014 www.aliceandbob.fr 12
La perspective de l’utilisateur • L’authentification forte est une contrainte • Les opérations supplémentaires et les objets à porter sur soi complexifient les usages • Le certificat électronique est une solution élégante car elle ne requiert rien et est transparente pour les utilisateurs 26/06/2014 www.aliceandbob.fr 13
Le SMS OTP* *SMS OTP : SMS One Time Password Code valable une fois pendant une durée limitée 26/06/2014 www.aliceandbob.fr 14
Authentification par certificat électronique • Un certificat électronique est votre « carte d’identité numérique ». • Il est ouvert grâce à un code PIN • Lorsque vous vous authentifiez sur un réseau, un site web, etc. ce certificat permet de vérifier qui vous êtes avant de vous laisser entrer Code PIN OK 26/06/2014 www.aliceandbob.fr 15
Clé USB cryptographique La USB cryptographique contient un puce exactement comme une carte de crédit. Cette puce contient un certificat électronique et la clé privée. Il est possible d’utiliser la clé privée mais pas de l’extraire. Un code PIN est demandé, comme pour une carte de crédit. 26/06/2014 www.aliceandbob.fr 16
Certificat électronique Michael Jackson DigiCert CA Nom Autorité ayant délivré le certificat Dates de validité 26/06/2014 www.aliceandbob.fr 17
Différents niveaux de validité Installé sur votre machine. Vérification uniquement de votre adresse email Installé sur une clé USB cryptographique. Vérification de votre carte d’identité, etc. Remise en face à face. Validation faible Moins de valeur légale Validation forte Plus de valeur légale 26/06/2014 www.aliceandbob.fr 18
Que choisir ? Toutes ces solutions sont plus coûteuses que le login / mot de passe, mais contribuent à accroître la sécurité. Les critères dans le choix des solutions sont : – le prix certes, – mais aussi le niveau de sécurité, – et surtout la facilité de mise en œuvre et d’usage. 26/06/2014 www.aliceandbob.fr 19
Des standards et initiatives Kerberos 26/06/2014 www.aliceandbob.fr 20
Attention aux Tokens RSA 26/06/2014 www.aliceandbob.fr 21
L’authentification forte en croissance 26/06/2014 www.aliceandbob.fr 22
Un marché en expansion Frost & Sullivan's new Analysis of the Strong Authentication and One-Time Password (OTP) Market finds the market earned revenue of $1.52 billion in 2013 and estimates this to reach $2.16 billion in 2018 at a compound annual growth rate of nearly 7 percent. The research notes new strong authentication methods are less expensive than the dominant hardware OTP method, fueling adoption. The analysis also finds RSA remains the largest vendor in the industry, with about one-fifth of the market revenue; however, the breadth of strong authentication methods creates a market for many players. Note: Le marché français correspond à 3,5% du marché mondial soit $53,2M soit 38,8M€ 26/06/2014 www.aliceandbob.fr 23
Un poisson d’Avril amusant Authentification forte : une lutte fratricide au sommet de l’Etat profite à Google Interrogé quant à la solidité de sa solution par rapport à celle, largement plus mûre, de RSA, Paul McHire semble confiant : « nous utilisons beaucoup plus de chiffres. Beaucoup, beaucoup, plus de chiffres« , révèle McHire. Et à voir le token qui sera fourni aux collaborateurs des Ministères, on veut bien le croire. 26/06/2014 www.aliceandbob.fr 24
Conclusion • Le mot de passe est très loin d’être parfait • Il perd du terrain mais a encore quelques beaux jours devant lui • Les solutions d’authentification commencent à sérieusement émerger 26/06/2014 www.aliceandbob.fr 25
Merci ! Voir toutes nos présentations et documents sur Slideshare: • L’avènement de la signature électronique : en 2014 • La cryptographie et la PKI enfin expliquées simplement • Comment bien choisir ses certificats SSL • L’authentification forte ou vers la fin du mot de passe • Pourquoi migrer ses certificats de Symantec vers une autre Autorité de Certification • Accroitre la confiance dans les personnes et les machines qui se connectent à votre réseau d’entreprise • Les solutions SaaS permettent l’avènement des usages des certificats électroniques • La vérité sur HeartBleed • La NSA et les Autorités de Certification : Mythe ou réalité ? contact@aliceandbob.fr 26/06/2014 www.AliceAndBob.fr 26

Empfohlen

Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Biométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesBiométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesSylvain Maret
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteNis
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordPRONETIS
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Sylvain Maret
 
Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 

Empfohlen

Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Identité Numérique et Authentification Forte
Identité Numérique et Authentification ForteIdentité Numérique et Authentification Forte
Identité Numérique et Authentification ForteSylvain Maret
 
Biométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesBiométrie & Authentification forte / protection des identités numériques
Biométrie & Authentification forte / protection des identités numériquesSylvain Maret
 
Guide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteGuide de mise en oeuvre de l'authentification forte
Guide de mise en oeuvre de l'authentification forteNis
 
Livre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordLivre blanc sur l'authentification forte OTP - One Time Password
Livre blanc sur l'authentification forte OTP - One Time PasswordPRONETIS
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Sylvain Maret
 
Authentification Forte 1
Authentification Forte 1Authentification Forte 1
Authentification Forte 1Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Sylvain Maret
 
Authentification Forte 2
Authentification Forte 2Authentification Forte 2
Authentification Forte 2Sylvain Maret
 
Mise en œuvre d’une solution biométrique d’authentification forte
Mise en œuvre d’une solution biométrique d’authentification forteMise en œuvre d’une solution biométrique d’authentification forte
Mise en œuvre d’une solution biométrique d’authentification forteSylvain Maret
 
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebDÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebThawte
 
Cci octobre 2014
Cci octobre 2014Cci octobre 2014
Cci octobre 2014Jean-Robert Bos
 
Protection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardProtection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardSylvain Maret
 
Solution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSolution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSylvain Maret
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Sylvain Maret
 
Xplor France Document sécuritaire 13 07 02
Xplor France Document sécuritaire 13 07 02Xplor France Document sécuritaire 13 07 02
Xplor France Document sécuritaire 13 07 02Xplor France
 
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...ITrust - Cybersecurity as a Service
 
Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!Sylvain Maret
 
Mobilegov Février 09
Mobilegov Février 09Mobilegov Février 09
Mobilegov Février 09FinancialVideo
 
Net Rep Id
Net Rep IdNet Rep Id
Net Rep IdEric Herschkorn
 
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...SOCIALware Benelux
 
Conférence SFM Technologies ACSS 2018
Conférence SFM Technologies ACSS 2018Conférence SFM Technologies ACSS 2018
Conférence SFM Technologies ACSS 2018African Cyber Security Summit
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
Welcome in the World Wild Web
Welcome in the World Wild WebWelcome in the World Wild Web
Welcome in the World Wild WebHigh-Tech Bridge SA (HTBridge)
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueAntoine Vigneron
 
Cyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeCyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeGerard Konan
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017NRC
 
Webschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entrepriseWebschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entreprisemariejura
 
L\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et TechnologiesL\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et TechnologiesIbrahima FALL
 
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2 L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2Alice and Bob
 

Weitere ähnliche Inhalte

Was ist angesagt?

Authentification Forte 2
Authentification Forte 2Authentification Forte 2
Authentification Forte 2Sylvain Maret
 
Mise en œuvre d’une solution biométrique d’authentification forte
Mise en œuvre d’une solution biométrique d’authentification forteMise en œuvre d’une solution biométrique d’authentification forte
Mise en œuvre d’une solution biométrique d’authentification forteSylvain Maret
 
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebDÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebThawte
 
Protection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardProtection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardSylvain Maret
 
Solution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSolution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSylvain Maret
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Sylvain Maret
 
Xplor France Document sécuritaire 13 07 02
Xplor France Document sécuritaire 13 07 02Xplor France Document sécuritaire 13 07 02
Xplor France Document sécuritaire 13 07 02Xplor France
 
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...ITrust - Cybersecurity as a Service
 
Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!Sylvain Maret
 
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...SOCIALware Benelux
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueAntoine Vigneron
 
Cyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeCyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeGerard Konan
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017NRC
 
Webschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entrepriseWebschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entreprisemariejura
 

Was ist angesagt? (20)

Authentification Forte 2
Authentification Forte 2Authentification Forte 2
Authentification Forte 2
 
Mise en œuvre d’une solution biométrique d’authentification forte
Mise en œuvre d’une solution biométrique d’authentification forteMise en œuvre d’une solution biométrique d’authentification forte
Mise en œuvre d’une solution biométrique d’authentification forte
 
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebDÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites Web
 
Cci octobre 2014
Cci octobre 2014Cci octobre 2014
Cci octobre 2014
 
Protection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardProtection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On Card
 
Solution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’ITSolution Biométrique pour le monde de l’IT
Solution Biométrique pour le monde de l’IT
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
 
Xplor France Document sécuritaire 13 07 02
Xplor France Document sécuritaire 13 07 02Xplor France Document sécuritaire 13 07 02
Xplor France Document sécuritaire 13 07 02
 
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
Le secteur financier assiégé par un vicieux logiciel bancaire malveillant @...
 
Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!Usurper une identité? Impossible avec la biométrie!
Usurper une identité? Impossible avec la biométrie!
 
Mobilegov Février 09
Mobilegov Février 09Mobilegov Février 09
Mobilegov Février 09
 
Net Rep Id
Net Rep IdNet Rep Id
Net Rep Id
 
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
 
Conférence SFM Technologies ACSS 2018
Conférence SFM Technologies ACSS 2018Conférence SFM Technologies ACSS 2018
Conférence SFM Technologies ACSS 2018
 
Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?Cybersécurité en 2018 : quelles sont les tendances ?
Cybersécurité en 2018 : quelles sont les tendances ?
 
Welcome in the World Wild Web
Welcome in the World Wild WebWelcome in the World Wild Web
Welcome in the World Wild Web
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridique
 
Cyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pmeCyber mois 2021 comment eviter les cyber risques pour les pme
Cyber mois 2021 comment eviter les cyber risques pour les pme
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 
Webschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entrepriseWebschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entreprise
 

Andere mochten auch

L\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et TechnologiesL\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et TechnologiesIbrahima FALL
 
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2 L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2Alice and Bob
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Microsoft Technet France
 
2010 - Les technologies d'authentification forte dans les applications web: c...
2010 - Les technologies d'authentification forte dans les applications web: c...2010 - Les technologies d'authentification forte dans les applications web: c...
2010 - Les technologies d'authentification forte dans les applications web: c...Cyber Security Alliance
 
Advanced Web Services Hacking (AusCERT 06)
Advanced Web Services Hacking (AusCERT 06)Advanced Web Services Hacking (AusCERT 06)
Advanced Web Services Hacking (AusCERT 06)Shreeraj Shah
 
JDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAPJDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAPClément OUDOT
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
PHP and Web Services
PHP and Web ServicesPHP and Web Services
PHP and Web ServicesBruno Pedro
 
Lachrtientenglobetouteslesreligionssoitdisantchrtienneetquipourtantnesuiventp...
Lachrtientenglobetouteslesreligionssoitdisantchrtienneetquipourtantnesuiventp...Lachrtientenglobetouteslesreligionssoitdisantchrtienneetquipourtantnesuiventp...
Lachrtientenglobetouteslesreligionssoitdisantchrtienneetquipourtantnesuiventp...daniellamy
 
MEL delegación Bolivia Perú MISAMI
MEL delegación Bolivia Perú MISAMIMEL delegación Bolivia Perú MISAMI
MEL delegación Bolivia Perú MISAMIMISSAMICBBA
 
La ballade des gens heureux gerard lenorman
La ballade des gens heureux gerard lenormanLa ballade des gens heureux gerard lenorman
La ballade des gens heureux gerard lenormandaniellamy
 

Andere mochten auch (17)

L\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et TechnologiesL\'authentification forte : Concept et Technologies
L\'authentification forte : Concept et Technologies
 
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2 L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2
 
gestion des profils
gestion des profilsgestion des profils
gestion des profils
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
2010 - Les technologies d'authentification forte dans les applications web: c...
2010 - Les technologies d'authentification forte dans les applications web: c...2010 - Les technologies d'authentification forte dans les applications web: c...
2010 - Les technologies d'authentification forte dans les applications web: c...
 
Advanced Web Services Hacking (AusCERT 06)
Advanced Web Services Hacking (AusCERT 06)Advanced Web Services Hacking (AusCERT 06)
Advanced Web Services Hacking (AusCERT 06)
 
JDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAPJDLL 2014 - Introduction aux annuaires LDAP
JDLL 2014 - Introduction aux annuaires LDAP
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatique
 
PHP and Web Services
PHP and Web ServicesPHP and Web Services
PHP and Web Services
 
Authentification
AuthentificationAuthentification
Authentification
 
Sécurité-Wifi
Sécurité-WifiSécurité-Wifi
Sécurité-Wifi
 
Laura villamayor2
Laura villamayor2Laura villamayor2
Laura villamayor2
 
Lachrtientenglobetouteslesreligionssoitdisantchrtienneetquipourtantnesuiventp...
Lachrtientenglobetouteslesreligionssoitdisantchrtienneetquipourtantnesuiventp...Lachrtientenglobetouteslesreligionssoitdisantchrtienneetquipourtantnesuiventp...
Lachrtientenglobetouteslesreligionssoitdisantchrtienneetquipourtantnesuiventp...
 
12
1212
12
 
Recommendation Letter 1-
Recommendation Letter 1-Recommendation Letter 1-
Recommendation Letter 1-
 
MEL delegación Bolivia Perú MISAMI
MEL delegación Bolivia Perú MISAMIMEL delegación Bolivia Perú MISAMI
MEL delegación Bolivia Perú MISAMI
 
La ballade des gens heureux gerard lenorman
La ballade des gens heureux gerard lenormanLa ballade des gens heureux gerard lenorman
La ballade des gens heureux gerard lenorman
 

Ähnlich wie L'authentification forte ou vers la mort du mot de passe

La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)Alice and Bob
 
Csc kit-strong-password-ppt-fr
Csc kit-strong-password-ppt-frCsc kit-strong-password-ppt-fr
Csc kit-strong-password-ppt-frJulien Marteel
 
La cryptographie asymétrique enfin expliquée simplement
La cryptographie asymétrique enfin expliquée simplementLa cryptographie asymétrique enfin expliquée simplement
La cryptographie asymétrique enfin expliquée simplementAlice and Bob
 
Comment bien choisir ses certificats ssl
Comment bien choisir ses certificats sslComment bien choisir ses certificats ssl
Comment bien choisir ses certificats sslAlice and Bob
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passePatrick Leclerc
 
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?Jean-Philippe Simonnet
 
Sécurité et Moyens de Paiements
Sécurité et Moyens de PaiementsSécurité et Moyens de Paiements
Sécurité et Moyens de PaiementsDarkmira
 
La signature de code - Code signing
La signature de code - Code signingLa signature de code - Code signing
La signature de code - Code signingAlice and Bob
 
L’hygiène informatique des réseaux sociaux : bilan catastrophique
L’hygiène informatique des réseaux sociaux : bilan catastrophiqueL’hygiène informatique des réseaux sociaux : bilan catastrophique
L’hygiène informatique des réseaux sociaux : bilan catastrophiqueITrust - Cybersecurity as a Service
 
"Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité "Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité Geeks Anonymes
 
Étude de cas eCRM : devenir client de la banque N26
Étude de cas eCRM : devenir client de la banque N26Étude de cas eCRM : devenir client de la banque N26
Étude de cas eCRM : devenir client de la banque N26Jonathan Loriaux
 
Étude de cas eCRM : devenir client de la banque N26
Étude de cas eCRM : devenir client de la banque N26Étude de cas eCRM : devenir client de la banque N26
Étude de cas eCRM : devenir client de la banque N26Jonathan Loriaux
 
Comment obtenir un certificat SSL pour sécuriser son site internet?
Comment obtenir un certificat SSL pour sécuriser son site internet? Comment obtenir un certificat SSL pour sécuriser son site internet?
Comment obtenir un certificat SSL pour sécuriser son site internet? ssleuropa
 
Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...Alice and Bob
 
Comment choisir son certificat ssl fr v01
Comment choisir son certificat ssl fr v01Comment choisir son certificat ssl fr v01
Comment choisir son certificat ssl fr v01ssleuropa
 
Le chiffrement en 2019 - Lybero.net - Arnaud Laprévote
Le chiffrement en 2019 - Lybero.net - Arnaud LaprévoteLe chiffrement en 2019 - Lybero.net - Arnaud Laprévote
Le chiffrement en 2019 - Lybero.net - Arnaud Laprévotealaprevote
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésNRC
 

Ähnlich wie L'authentification forte ou vers la mort du mot de passe (20)

La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
 
Csc kit-strong-password-ppt-fr
Csc kit-strong-password-ppt-frCsc kit-strong-password-ppt-fr
Csc kit-strong-password-ppt-fr
 
La cryptographie asymétrique enfin expliquée simplement
La cryptographie asymétrique enfin expliquée simplementLa cryptographie asymétrique enfin expliquée simplement
La cryptographie asymétrique enfin expliquée simplement
 
Comment bien choisir ses certificats ssl
Comment bien choisir ses certificats sslComment bien choisir ses certificats ssl
Comment bien choisir ses certificats ssl
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passe
 
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
 
Sécurité et Moyens de Paiements
Sécurité et Moyens de PaiementsSécurité et Moyens de Paiements
Sécurité et Moyens de Paiements
 
La signature de code - Code signing
La signature de code - Code signingLa signature de code - Code signing
La signature de code - Code signing
 
L’hygiène informatique des réseaux sociaux : bilan catastrophique
L’hygiène informatique des réseaux sociaux : bilan catastrophiqueL’hygiène informatique des réseaux sociaux : bilan catastrophique
L’hygiène informatique des réseaux sociaux : bilan catastrophique
 
"Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité "Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité
 
MOTS DE PASSE
MOTS DE PASSEMOTS DE PASSE
MOTS DE PASSE
 
Étude de cas eCRM : devenir client de la banque N26
Étude de cas eCRM : devenir client de la banque N26Étude de cas eCRM : devenir client de la banque N26
Étude de cas eCRM : devenir client de la banque N26
 
Étude de cas eCRM : devenir client de la banque N26
Étude de cas eCRM : devenir client de la banque N26Étude de cas eCRM : devenir client de la banque N26
Étude de cas eCRM : devenir client de la banque N26
 
Genma petit guide_d_hygiene_numerique
Genma petit guide_d_hygiene_numeriqueGenma petit guide_d_hygiene_numerique
Genma petit guide_d_hygiene_numerique
 
Comment obtenir un certificat SSL pour sécuriser son site internet?
Comment obtenir un certificat SSL pour sécuriser son site internet? Comment obtenir un certificat SSL pour sécuriser son site internet?
Comment obtenir un certificat SSL pour sécuriser son site internet?
 
Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...Accroitre la confiance dans les personnes et les machines qui se connectent à...
Accroitre la confiance dans les personnes et les machines qui se connectent à...
 
Comment choisir son certificat ssl fr v01
Comment choisir son certificat ssl fr v01Comment choisir son certificat ssl fr v01
Comment choisir son certificat ssl fr v01
 
Le chiffrement en 2019 - Lybero.net - Arnaud Laprévote
Le chiffrement en 2019 - Lybero.net - Arnaud LaprévoteLe chiffrement en 2019 - Lybero.net - Arnaud Laprévote
Le chiffrement en 2019 - Lybero.net - Arnaud Laprévote
 
Paiement en ligne
Paiement en lignePaiement en ligne
Paiement en ligne
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
 

L'authentification forte ou vers la mort du mot de passe

  • 1. L’authentification forte ou Vers la fin du mot de passe ? 26/06/2014 www.aliceandbob.fr 1
  • 2. De trop nombreux mots de passe • Nous avons tous maintenant des dizaines de mots de passe et code PIN. Pour: – nos ordinateurs et nos Smartphones, – accéder à nos résidences, – les différents sites web, – nos comptes de messageries électroniques, – nos comptes bancaires, – accéder à différentes applications Cloud, – nos réseaux d’entreprises, etc. 26/06/2014 www.aliceandbob.fr 2
  • 3. Un mot de passe par site 26/06/2014 www.aliceandbob.fr 3
  • 4. Des règles difficiles à suivre • Les spécialistes de la sécurité nous recommandent : – d’utiliser des mots de passe complexes avec des chiffres, des lettres et des caractères spéciaux – de les changer régulièrement – d’utiliser des mots de passes différents pour chaque usage 26/06/2014 www.aliceandbob.fr 4
  • 5. Sommes-nous si loin de la réalité? "Sorry, your password has been in use for 30 days and has expired - you must register a new one." "New password:" roses "Sorry, too few characters." pretty roses "Sorry, you must use at least one numerical character." 1 pretty rose "Sorry, you cannot use blank spaces." 1prettyrose "Sorry, you must use at least 10 different characters." 1fuckingprettyrose "Sorry, you must use at least one upper case character." 1FUCKINGprettyrose "Sorry, you cannot use more than one upper case character consecutively." 1FuckingPrettyRose "Sorry, you must use no fewer than 20 total characters." 1FuckingPrettyRoseShovedUpYourAssIfYouDon'tGiveMeAccessRightFuckingNow! "Sorry, you cannot use punctuation." 1FuckingPrettyRoseShovedUpYourAssIfYouDontGiveMeAccessRightFuckingNow "Sorry, that password is already in use." 26/06/2014 www.aliceandbob.fr 5
  • 6. Une solution peu satisfaisante • Malgré toutes ces contraintes impossibles à appliquer le mot de passe reste une solution d’authentification faible facilement “craquable”. • Des outils de récupération de mots de passe surgissent. • Des listes de mots de passe sont souvent volées. • Les personnes comme vous et moi utilisons plusieurs fois le même mot de passe. • Nous les notons quelque part. • Le banditisme utilise aujourd’hui des techniques de plus en plus sophistiquées pour vous voler vos données personnelles telles que le Phishing. • Netcraft par exemple a déjà recensé plus de 7 millions sites de phishing. 26/06/2014 www.aliceandbob.fr 6
  • 7. Pas très sécurisé tout ça … 26/06/2014 www.aliceandbob.fr 7
  • 8. Vraiment pas très sécurisé … 26/06/2014 www.aliceandbob.fr 8
  • 9. La technique du phishing 26/06/2014 www.aliceandbob.fr 9
  • 10. Authentification forte • Authentification à 2 ou 3 facteurs – Ce que je sais (un mot de passe, un code PIN) – Ce que je possède (un Token, une carte, un SmartPhone, etc.) – Ce que je suis (mon empreinte digitale, ma rétine, etc.) 26/06/2014 www.aliceandbob.fr 10
  • 11. L’authentification forte • Le SMS One Time Password Un code SMS vous est envoyé sur votre téléphone portable. Ce code n’est utilisable qu’une seule fois dans un délai très court. Vous entrez ce code via votre écran de saisie pour vous authentifier. • Le certificat électronique installé sur votre ordinateur ou smartphone Un certificat électronique et sa clé privée sont installés sur votre machine. Ce certificat électronique et sa clé privée ne peuvent être interrogés que sur votre machine. Ils sont accessibles via un code PIN. • Le certificat électronique sur Token, carte à puce ou clé USB à puce Un certificat électronique et sa clé privée sont installés dans une puce. Ils ne sont pas extractibles de la puce. Il faut posséder la puce pour y accéder. Ils sont accessibles via un code PIN. • Les Token One Time Password Ces solutions génèrent un mot de passe utilisable une fois dans un délai limité. Le Token le génère en fonction d’un secret partagé avec le serveur d’authentification et de l’heure / date. Il faut posséder le Token pour pouvoir entrer le bon code, en plus de votre mot de passe. Attention néanmoins, le Token de l’entreprise RSA s’est avéré moins solide qu’espéré comme le montre par exemple l’article de ZDNet ci-dessous. • Les solutions d’identification biométriques Les 4 grandes catégories d’identification biométriques sont: la reconnaissance digitale, la reconnaissance d'iris, la reconnaissance faciale et la reconnaissance vocale. Ces systèmes sont souvent coûteux, pas encore 100% fiables, et posent des problèmes juridiques face au stockage de bases de données d’informations biométriques. Enfin dans le cas de l’empreinte digitale, il est possible de reconstituer une empreinte trouvée par exemple sur un verre et de s’authentifier avec. 26/06/2014 www.aliceandbob.fr 11
  • 12. De nombreuses solutions 26/06/2014 www.aliceandbob.fr 12
  • 13. La perspective de l’utilisateur • L’authentification forte est une contrainte • Les opérations supplémentaires et les objets à porter sur soi complexifient les usages • Le certificat électronique est une solution élégante car elle ne requiert rien et est transparente pour les utilisateurs 26/06/2014 www.aliceandbob.fr 13
  • 14. Le SMS OTP* *SMS OTP : SMS One Time Password Code valable une fois pendant une durée limitée 26/06/2014 www.aliceandbob.fr 14
  • 15. Authentification par certificat électronique • Un certificat électronique est votre « carte d’identité numérique ». • Il est ouvert grâce à un code PIN • Lorsque vous vous authentifiez sur un réseau, un site web, etc. ce certificat permet de vérifier qui vous êtes avant de vous laisser entrer Code PIN OK 26/06/2014 www.aliceandbob.fr 15
  • 16. Clé USB cryptographique La USB cryptographique contient un puce exactement comme une carte de crédit. Cette puce contient un certificat électronique et la clé privée. Il est possible d’utiliser la clé privée mais pas de l’extraire. Un code PIN est demandé, comme pour une carte de crédit. 26/06/2014 www.aliceandbob.fr 16
  • 17. Certificat électronique Michael Jackson DigiCert CA Nom Autorité ayant délivré le certificat Dates de validité 26/06/2014 www.aliceandbob.fr 17
  • 18. Différents niveaux de validité Installé sur votre machine. Vérification uniquement de votre adresse email Installé sur une clé USB cryptographique. Vérification de votre carte d’identité, etc. Remise en face à face. Validation faible Moins de valeur légale Validation forte Plus de valeur légale 26/06/2014 www.aliceandbob.fr 18
  • 19. Que choisir ? Toutes ces solutions sont plus coûteuses que le login / mot de passe, mais contribuent à accroître la sécurité. Les critères dans le choix des solutions sont : – le prix certes, – mais aussi le niveau de sécurité, – et surtout la facilité de mise en œuvre et d’usage. 26/06/2014 www.aliceandbob.fr 19
  • 20. Des standards et initiatives Kerberos 26/06/2014 www.aliceandbob.fr 20
  • 21. Attention aux Tokens RSA 26/06/2014 www.aliceandbob.fr 21
  • 22. L’authentification forte en croissance 26/06/2014 www.aliceandbob.fr 22
  • 23. Un marché en expansion Frost & Sullivan's new Analysis of the Strong Authentication and One-Time Password (OTP) Market finds the market earned revenue of $1.52 billion in 2013 and estimates this to reach $2.16 billion in 2018 at a compound annual growth rate of nearly 7 percent. The research notes new strong authentication methods are less expensive than the dominant hardware OTP method, fueling adoption. The analysis also finds RSA remains the largest vendor in the industry, with about one-fifth of the market revenue; however, the breadth of strong authentication methods creates a market for many players. Note: Le marché français correspond à 3,5% du marché mondial soit $53,2M soit 38,8M€ 26/06/2014 www.aliceandbob.fr 23
  • 24. Un poisson d’Avril amusant Authentification forte : une lutte fratricide au sommet de l’Etat profite à Google Interrogé quant à la solidité de sa solution par rapport à celle, largement plus mûre, de RSA, Paul McHire semble confiant : « nous utilisons beaucoup plus de chiffres. Beaucoup, beaucoup, plus de chiffres« , révèle McHire. Et à voir le token qui sera fourni aux collaborateurs des Ministères, on veut bien le croire. 26/06/2014 www.aliceandbob.fr 24
  • 25. Conclusion • Le mot de passe est très loin d’être parfait • Il perd du terrain mais a encore quelques beaux jours devant lui • Les solutions d’authentification commencent à sérieusement émerger 26/06/2014 www.aliceandbob.fr 25
  • 26. Merci ! Voir toutes nos présentations et documents sur Slideshare: • L’avènement de la signature électronique : en 2014 • La cryptographie et la PKI enfin expliquées simplement • Comment bien choisir ses certificats SSL • L’authentification forte ou vers la fin du mot de passe • Pourquoi migrer ses certificats de Symantec vers une autre Autorité de Certification • Accroitre la confiance dans les personnes et les machines qui se connectent à votre réseau d’entreprise • Les solutions SaaS permettent l’avènement des usages des certificats électroniques • La vérité sur HeartBleed • La NSA et les Autorités de Certification : Mythe ou réalité ? contact@aliceandbob.fr 26/06/2014 www.AliceAndBob.fr 26