Usurpation de votre identité ! Réalité ou fiction ?Identité numérique et authentification forte
Utilisation de SeatBelt de Verisign
Protection de vos comptes Linkedin, Facebook et Google
Sylvain Maret 7 juin 20009
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Comment Sécurisé son Identité Numérique
1. MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch
Usurpation de votre identité ! Réalité ou fiction ?
Identité numérique et authentification forte
Utilisation de SeatBelt de Verisign
Protection de vos comptes Linkedin, Facebook et Google
Sylvain Maret 7 juin 20009
Conseil en technologies
2. Usurpation de votre identité ! Réalité ou fiction ?
www.maret-consulting.ch Conseil en technologies
3. Imaginez que quelqu’un modifie votre profil LinkedIn ?
www.maret-consulting.ch Conseil en technologies
5. 25 mai 2009: Vol de 4’000 couple username / password sur Facebook….
www.maret-consulting.ch Conseil en technologies
6. Et si il y avait le votre ?
Utilisez vous le même pour
Linkedin ?
www.maret-consulting.ch Conseil en technologies
7. Pour éviter cela utilisez une authentification forte
www.maret-consulting.ch Conseil en technologies
8. Un exemple de solution: SeatBelt de Verisign
Utilisation de l’IDP OpenID de Verisign
Ou un autre IDP OpenID
Installation d’un Plugin dans votre navigateur
Permet de se connecter avec des mots de passe fort
sur un ensemble de site internet
Permet l’utilisation de certificat digital pour avoir une
authentification forte
Certificat software ou hardware
Est en fin de compte un Secure SSO
www.maret-consulting.ch Conseil en technologies
9. Authentification sur l’IDP de Verisign: avec votre mot de passe (1er facteur)
www.maret-consulting.ch Conseil en technologies
10. L’IDP va maintenant vérifier votre certificat numérique
www.maret-consulting.ch Conseil en technologies
11. Authentification mutuelle TLS/SSL avec un certificat numérique X509: 2ème
facteur (Certificat Sofware ou Hardware)
www.maret-consulting.ch Conseil en technologies
12. Authentification OK. Je suis connecté sur le « Personal Identity Portal »
(PIP)
www.maret-consulting.ch Conseil en technologies
13. Installation d’un simple bookmark dans votre navigateur
www.maret-consulting.ch Conseil en technologies
15. Installation du PlugIn dans votre navigateur
www.maret-consulting.ch Conseil en technologies
16. Ajout du couple « username password » pour Linkedin
www.maret-consulting.ch Conseil en technologies
17. Choix d’un mot de passe de type: 36kknvzgJPb26nQD
www.maret-consulting.ch Conseil en technologies
18. Création de mes trois compte pour une authentification automatique (SSO)
www.maret-consulting.ch Conseil en technologies
19. Mise à jour des mots de passe (10 min)
Changement des trois mots de passe
Linkedin
FaceBook
Google
Utilisation d’un coffre fort électronique pour stocker mes mots
de passes
Password Safe
KeePass Password Safe
www.maret-consulting.ch Conseil en technologies
20. Un exemple avec KeePass Pasword Safe
www.maret-consulting.ch Conseil en technologies
21. Je vais maintenant sur LinkedIn pour m’identifier
www.maret-consulting.ch Conseil en technologies
22. Je click maintenant sur mon PIP « One-Click » Bookmark
www.maret-consulting.ch Conseil en technologies
23. Et je suis connecter sur mon profil
www.maret-consulting.ch Conseil en technologies
24. Même chose pour Facebook avec du Single Sign On (trop cool)
www.maret-consulting.ch Conseil en technologies
26. Pour plus de sécurité
Utilisation d’un Token Hardware pour le stockage du certificat
Comme par exemple un Token Aladdin
Changer tous les mois vos mots de passe
Utilisation d’un coffre fort électronique
Génération de mots de passes aléatoire
Min 16 caractères
Utilisez un mot de passe différent pour chaque site
www.maret-consulting.ch Conseil en technologies
27. Une dernière recommandation: ne pas mémoriser votre mot de passe
www.maret-consulting.ch Conseil en technologies
28. Quelques liens
MARET Consulting
http://maret-consulting.ch/
La Citadelle Electronique (mon blog)
http://sylvain-maret.blogspot.com/
Article banque et finance: Usurper une identité? Impossible avec
la biométrie!
http://www.banque-finance.ch/numeros/88/59.pdf
www.maret-consulting.ch Conseil en technologies
29. quot;Le conseil et l'expertise pour le choix et la mise
en oeuvre des technologies innovantes dans la sécurité
des systèmes d'information et de l'identité numériquequot;
www.maret-consulting.ch Conseil en technologies