110 likes | 239 Views
Sécurité et confiance : De la gestion des droits d’accès à la gestion des droits d’usage. Le constat. Les échanges électroniques explosent : Plus d’un milliard d’internautes, 3 milliards d’abonnés mobile en 2007 La fraude à l’identité numérique se développe et se professionnalise…
E N D
Sécurité et confiance :De la gestion des droits d’accès à la gestion des droits d’usage
Le constat Les échanges électroniques explosent : Plus d’un milliard d’internautes, 3 milliards d’abonnés mobile en 2007 La fraude à l’identité numérique se développe et se professionnalise… Une fraude multiforme: phishing, farming, trojan, spyware, keylogging, man in the middle L’usurpation d’identité: une vulnérabilité majeure … Avec des conséquences désastreuses: préjudice financier multiplication des litiges perte d’image des entreprises perte de confiance des utilisateurs La confiance dans l’identité numérique: une condition nécessaire au développement des échanges dématérialisés
L’authentification forte S’authentifier = prouver que je suis bien celui que je prétend être Trois moyens : Ce que l’utilisateur connait: mot de passe, code PIN, question « secrète » Ce que l’utilisateur détient: cartes, authentificateurs, certificats… Ce que l’utilisateur « est »: élément biométrique Authentification forte: recours à au moins deux de ces facteurs
Le choix d’une solution d’authentification forte, un défi complexe Arbitrer entre niveau de sécurité et simplicité d’utilisation Prendre en compte la nature des opérations effectuées Répondre aux besoins de la mobilité Proposer une réponse multicanal Favoriser l’appropriation par l’utilisateur final Conjuguer authentification et nouveaux services à l’utilisateur Vers un « authentificateur universel? »
+ Certificat Puce EMV Authentificateur SMS Niveau de sécurité Grille Clavier virtuel + - Ergonomie Identifiant statique Quelques réponses existantes • Biométrie • Coûts élevés • Requiert lecteur et programme de reconnaissance • Smart card • Requiert lecteur et programme d’utilisation • Coûts de déploiement hardware élevés • Programmes software • Vulnérable au piratage • Tokens (mot de passe unique) • Facile à utiliser: ni lecteur, ni programme • Encombrant • Coût de déploiement élevé
OTP et Pin code, une solution d’authentification forte • Le mot de passe dynamique (OTP) • Issu d’un objet que l’utilisateur est le seul à posséder • Généré par un calcul cryptographique complexe • Non rejouable • Algorithme à sens unique • Algorithme « customisable » • Le Pin code • Deuxième facteur de l’authentification forte • Différents modes d’utilisations envisageables OTP (ce que j’ai) + Pin code (ce que je sais)= Authentification forte à double facteur
Le Serveur d’Authentification Pierre angulaire du cercle de confiance • Administrer et délivrer les droits d’accès • Guichet unique pour gérer les moyens d’authentification, via tous les canaux de contact • Interopérable avec les solutions « standard » du marché (OATH) • Assurer la cohérence de la politique de sécurité et la flexibilité face aux évolutions organisationnelles
Les atouts de la carte • Format • Portabilité • Logistique de distribution • Personnalisation marketing • Appropriation par les consommateurs • Contrefaçon difficile si la carte intègre des composants électroniques • Et, avec le concept de carte « de 4ème génération », ouverture à des utilisations multiservices
La carte de 4ème génération • Embarque une source d’énergie • Possède une autonomie de fonctionnement • Ne nécessite pas de lecteur spécifique • Intègre de multiples composants • S’utilise de manière simple • Conjugue haut niveau de sécurité et ouverture à des applications multiples • paiement, • virement, • services pré-payés, • badge d’entreprise, • … Ex 1 : nC AudioCard Ex 2 : nC DisplayCard
Merci de votre attentionPour toute information complémentaire:p.lombardy@ncryptone.comwww.ncryptone.com