"L’actualité ne cesse de se faire l’écho de cas de vols de mots de passe toujours plus nombreux vis-à-vis de services en ligne. Pour répondre à cette situation, les travaux de l’alliance FIDO (Fast IDentity Online) offrent une authentification sans mot de passe fondée sur la cryptographie asymétrique.
Cette session introduit les spécifications FIDO 2 implémentées dans Windows 10 au travers de Microsoft Hello et de Microsoft Passport, et illustre l’utilisation de ces mécanismes avec la plateforme FranceConnect.
FranceConnect est un nouveau système d’identification à l’initiative de la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC). FranceConnect vise à faciliter l’accès des usagers aux services numériques de l’administration en ligne."
3. N° 3
Vous avez dit Authentification sans mot
de passe,
une illustration avec
FranceConnect
4. N° 4
intrusions réseau
* 2014 NIST Roadmap for Improving Critical Infrastructure Cybersecurity
LES MOTS DE PASSE SONT PRATIQUES MAIS PAS SÛRS DES ALTERNATIVES SONT SÛRES MAIS PAS PRATIQUES
7. N° 7
Windows Hello
WINDOWS HELLO
Taper un
PIN
Regarder
la webcam
PrésenceutilisateurPRÉSENCE UTILISATEUR
DEVERROUILLER CONTENEUR
WINDOWS HELLO
VERIFIER
Clés Entreprise
Clés Consommateur
TPM
Service Web, AD,
Azure AD, etc.
APP AVEC
WINDOWS HELLO
Authentification
sur la base d’une
signature numérique
Clés privées
protégés avec
le TPM
WINDOWS HELLO
Taper un
PIN
Regarder
la webcam
PrésenceutilisateurPRÉSENCE UTILISATEUR
9. N° 9
Clés privées
sécurisées dans
le TPM
Premier facteur
TPM
Second facteur
PIN
Windows Hello
Biométrie
ou
ou
Appareils
compagnon
PhoneSmartphone Band 2Wearable USBUSB RFIDCartePhoneSmartphone Band 2Wearable USBUSB
10. N° 10
Second facteur
PIN
Windows Hello
Biométrie
ou
PIN
Windows Hello
Biométrie
ou
Second facteur
ou
Appareils
compagnon
Clés privées
sécurisées dans
le TPM
Premier facteur
TPM
14. N° 14
Authentification web (FIDO 2.0) avec Windows Hello
SERVICE
makeCredential
CLIENT
APP AVEC
WINDOWS HELLO
1. S’ASSURER QUE L’UTILISATEUR PEUT UTILISER WINDOWS
HELLO (FOR BUSINESS)
2. S’ASSURER DE L’IDENTITÉ DE LA PERSONNE
3. GÉNÉRER UNE PAIRE DE CLÉ ET ENREGISTRER LA CLÉ
PUBLIQUE AU NIVEAU DU SERVICE
4. OPTIONNELLEMENT VÉRIFIER LA CLÉ VIA UNE
ATTESTATION DE CLÉ TPM
16. N° 16
SERVICE
CLIENT
Authentification web (FIDO 2.0) avec Windows Hello (suite)
getAssertion + “challenge”
1. L’APPLICATION ACCÈDE AU SERVICE
2. LE SERVICE REQUIERT QUE L’UTILISATEUR
S’AUTHENTIFIE ET ENVOIE UN CHALLENGE
3. L’UTILISATEUR EST INVITÉ À SAISIR SON PIN
OU UTILISE WINDOWS HELLO POUR LA
BIOMÉTRIE
4. L’APPLICATION SIGNE LE CHALLENGE AVEC LA
CLÉ PRIVÉE
5. LE CHALLENGE EST TRANSMIS AU SERVICE QUI
VALIDE LA SIGNATURE AVEC LA CLÉ PUBLIQUE
ENREGISTRÉE POUR L’UTILISATEUR
6. SI VALIDE, L’UTILISATEUR EST AUTHENTIFIÉ ET
LE FLUX CONTINUE
17. N° 17
Un mot sur la conception du challenge-réponse
22. N° 22
Vous avez dit FranceConnect ?
Les différents types de fournisseurs
23. N° 23
Vous avez dit FranceConnect ?
Principe de fonctionnement
Fournisseur
de service
(FS)
App mobile
Fournisseur
d’identité
(FI)
2. DÉLÉGATION DE
L’AUTHENTIFICATION ET
RÉCUPÉRATION DE L’IDENTITÉ
(PIVOT)
SYSTÈME
D’IDENTIFICATION
FRANCECONNECT
1. DEMANDE DE
L’IDENTITÉ DE L’USAGER
USAGER
Fournisseur
d’identités
(FI)
26. N° 26
Vous avez dit FranceConnect ?(suite)
Principe de fonctionnement
Fournisseur
de données
(FD)
Fournisseur
de service
(FS)
App mobile
Fournisseur
d’identité
(FI)
1. DEMANDE DE
L’IDENTITÉ DE L’USAGER
ET DE L’AUTORISATION
D’ACCÈS A SES DONNÉES
COMPLÉMENTAIRES
2. DÉLÉGATION DE
L’AUTHENTIFICATION ET
RÉCUPÉRATION DE L’IDENTITÉ (PIVOT)
3. DEMANDE DE L’ACCÈS AUX DONNÉES
COMPLÉMENTAIRES DE L’USAGER
4. VÉRIFICATION DE
L’AUTORISATION D’ACCÈS
AUX DONNÉES
COMPLÉMENTAIRES DE
L’USAGER
SYSTÈME
D’IDENTIFICATION
FRANCECONNECT
Fournisseur
d’identités
(FI)
USAGER
28. N° 28
Pour aller plus loin avec
franceconnect.gouv.fr
aka.ms/FranceConnect github.com/FranceConnectSamples
Visual Studio 2015 Community Edition abonnement d’essai Microsoft Azure
jeu d’identifiants FranceConnect
29. N° 29
Pour aller plus loin
Manage identity verification using Windows Hello for Business
Convenient two-factor authentication with Microsoft Passport and Windows Hello
Web authentication and Windows Hello
Microsoft Passport and Windows Hello
forge GitHub
Moving beyond passwords and credential theft with Microsoft Passport and Windows Hello
Windows 10 : vers un monde sans mot de passe !
http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks
81% des répondants – selon une enquête Sophos - utilisent les mêmes mots de passe à travers plusieurs sites Web (Sophos Online Password Survey)
65€ est le coût moyen de main de œuvre de Help Desk pour une réinitialisation de mot de passe et cela constitue jusqu'à 50 % des appels Help Desk appels (estimation du Gartner)
PIN: Quelque chose que vous possédez + quelque chose que vous connaissez
Biométrie : Quelque chose que vous possédez + quelque chose que vous êtes
L’alliance FIDO est un consortium industriel lancé en février 2013 pour remédier au manque d’interopérabilité entre les divers dispositifs d’authentification forte et les problèmes auxquels sont confrontés les utilisateurs pour créer er retenir de multiples mots de passe.
FIDO Authentication Poised for Continued Growth as Alliance Submits FIDO 2.0 Web API to W3C: https://fidoalliance.org/fido-alliance-announces-fido-authentication-poised-for-continued-growth-as-alliance-submits-fido-2-0-web-api-to-w3c/
Submission Request to W3C: FIDO 2.0 Platform Specifications 1.0: http://www.w3.org/Submission/2015/02/
New public working draft of the W3C Web Authentication Specification : https://www.w3.org/blog/webauthn/
FIDO 2.0: Web API for accessing FIDO 2.0 credentials: http://www.w3.org/Submission/fido-web-api/
FIDO 2.0: Key attestation format. URL: http://www.w3.org/Submission/2015/SUBM-fido-key-attestation-20151120/
FIDO 2.0: Signature format. URL: http://www.w3.org/Submission/2015/SUBM-fido-signature-format-20151120/
Une identité « pivot » est transmises aux services publics
Identité pivot = identité vérifiée
6 informations : nom, prénom, sexe, date, lieu et pays de naissance
https://tele7.interieur.gouv.fr/tlp/
P. ex. API particulier. Couvre 4 domaines :
Données confidentielles
Données de référence : saisie et contrôle de cohérence
Droits exploitables : éligibilité et calculs fiscaux et sociaux
Big Data
DGFIP : avis d’imposition, adresse fiscale
CAF : quotient familial, composition familiale, adresse
https://api.gouv.fr/api/api-particulier.html
2 types d’APIs:
Ouvert
Ouvert sous contrôle
X-API-KEY
X-USER
http://www.modernisation.gouv.fr/ladministration-change-avec-le-numerique/par-son-systeme-dinformation/etat-plateforme-tribune-marzin
http://etatplateforme.modernisation.gouv.fr/identite-numerique
https://api.gouv.fr/
https://testdrive-fido.azurewebsites.net/
FranceConnect : déjà 100 000 utilisateurs et une vingtaine de services : http://www.modernisation.gouv.fr/ladministration-change-avec-le-numerique/par-son-systeme-dinformation/franceconnect-deja-100-000-utilisateurs-vingtaine-services
Nîmes, première ville à intégrer France Connect : http://etatplateforme.modernisation.gouv.fr/actualite/nimes-premiere-ville-a-integrer-france-connect
Les Finances Publiques, premier fournisseur d’identité de France Connect : http://etatplateforme.modernisation.gouv.fr/actualite/les-finances-publiques-premier-fournisseur-didentite-de-france-connect
ANTS, Consulter ses points de permis de conduire en quelques clics : http://etatplateforme.modernisation.gouv.fr/actualite/consulter-ses-points-de-permis-de-conduire-en-quelques-clics
Service-public.fr avec 150 démarches en ligne
CNAV, Consulter ses points de retraites
Manage identity verification using Windows Hello for Business : https://technet.microsoft.com/en-us/itpro/windows/keep-secure/manage-identity-verification-using-microsoft-passport
Convenient two-factor authentication with Microsoft Passport and Windows Hello : https://blogs.windows.com/buildingapps/2016/01/26/convenient-two-factor-authentication-with-microsoft-passport-and-windows-hello/#X3QpQKPvM7iUz78S.99
Web authentication and Windows Hello : https://developer.microsoft.com/en-us/microsoft-edge/platform/documentation/dev-guide/device/web-authentication/
Microsoft Passport and Windows Hello : https://msdn.microsoft.com/windows/uwp/security/microsoft-passport
Microsoft Passport and Windows Hello sample : https://github.com/Microsoft/Windows-universal-samples/tree/master/Samples/MicrosoftPassport
Moving beyond passwords and credential theft with Microsoft Passport and Windows Hello : https://channel9.msdn.com/Events/Windows/Developers-Guide-to-Windows-10-Version-1511/Moving-beyond-passwords-and-credential-theft-with-Microsoft-Passport-and-Windows-Hello
Windows 10 : vers un monde sans mot de passe ! : https://experiences.microsoft.fr/channel/windows-10-vers-un-monde-sans-mots-de-passe/04bd0fe2-8468-4618-92cf-226506f64bb8#gTlU36QW7eIZh4VG.97