Télécharger la présentation de Mauro Israël

Atelier BNP-Paribas 16 Juin 2011
La problematique du commerce et du paiement sur Internet
La proposition GenMsecure
Technologie et points clés
Facteurs différenciants du m-market
Enrôlement
Authentification
Caractéristiques securité
Enjeux sécurité
Par Mauro ISRAEL – Expert Sécurité genMsecure
6/17/2011
1
In the news…
e-mail insecurity: attached files infected with
malwares
virus…)
(malicious
codes:
worm,
trojan,
Identity thefts: used to rip off individuals but
also to steal and use data bases, confidential
information of companies, .. : in 2010, more
than 136 426 phishing attacks, which represents
an increase of 66 % compared to 2009.
Frauds on e-transactions : e-transactions
represent 5 % of transactions but 32 % of bank
card fraud, which increases by more than 40
% per year.
Phishing…
news.cnet.com
55 000 victimes du
phishing
chaque mois !
1 26/08/09,
micro.lemondeinformatique.fr
RSA
« In Internet we trust » ?
Le paradoxe de l’usage d’internet:
Les utilisateurs sont concernés par la protection de leur vie privée
Pourtant ils insèrent des données privées dans les réseaux
sociaux: Facebook, Twitter...
Phishing issues, trojans, spywares, ?
Le “login-passoire”
Le “mot de passe perdu”
“Social engineering bypasses
all
technologies,
including
firewalls.” — Kevin Mitnick
Internet est un “nuage”…
Tout dispositif connecté à Internet peut-être atteint en moins
d’une demi-seconde !
Les nouveaux hackers
Virus
Worm
Botnet
Trojan
Backdoor
Rootkit
Spyware
Keylogger
Phishing
Social
Engineering
6
Mots de passe mieux
sécurisés ??
« Les Etats-Unis ont besoin d’une nouvelle
approche pour sécuriser le cyberespace et ainsi
éviter un Pearl Harbor ou un 9-sept numérique, …
telle que l’emploi de mots de passe plus
sécurisés » !!!
(source Cyber Secure Institute)
… Un pirate français de 25 ans, dénommé
"Hacker-Croll,” a réussi à récupérer les
« codes administrateur » de Twitter et à
naviguer selon son bon vouloir, modifiant et
effaçant des comptes. Parmi plusieurs milliers
de comptes, il a notamment piraté celui de
Barack Obama.
« Traitez votre mot de passe comme votre
brosse à dents. Ne laissez personne d’autre
l’utiliser et changez-en tous les six mois. »
(Clifford Stoll)
L’authentification forte est
la solution !
1°) Couple Identifiant/Mot de passe : « ce que je sais »
- Obsolète et dangereux
- Expérience utilisateur penible
2°) L’authentification forte avec un équipement physique : « ce que je possède »
-tokens USB – cartes à puces – tokens OTP (Mot de
passe à usage unique)
– PKI : lourds, inadaptés aux applications web
- Utilisation d’un canal distinct (téléphone)
3°) Biométrie : « qui je suis »
- Problème de protection de la vie privée
- Possibilité d’effacer les empreintes digitales
La proposition de genMsecure
genMsecure fournit une technologie d’authentification forte, dans
laquelle le téléphone portable sert de clavier utilisateur de saisie de
PIN CODE.
L’utilisateur du téléphone s’enrôle une seule fois par échange de
SMS, télécharge l’appliquette genMsecure, choisit son code secret
personnel (e-PIN). Pour toute transaction ultérieure; il aura juste à
saisir ce code personnel sur son téléphone pour s’authentifier.
authentifier
Tous les achats et les paiements sur Internet, les accès aux
systèmes et aux applicatifs, les transferts et retraits d’argent, les
réservations et la billetterie électronique deviennent des opérations
simples et sécurisées.
6/17/2011
9
genMsecure phase d’enrolement: principes de base
Une seule opération au moment de l’inscription de l’utilisateur
Lors de ce processus où l’utilisateur choisit son code personnel, on
utilise deux canaux indépendants: Le web (soit par un agent du
fournisseur, soit par Internet) et le téléphone mobile.
Ce processus relie de manière sécurisée 3 éléments clés:
Le MS-ISDN du téléphone de l’utilisateur (son numéro de téléphone)
Le code secret personnel choisi par l’utilisateur
L’identifiant de l’utilisateur au sein du système du fournisseur (numéro de compte ou
identifiant Internet)
6/17/2011
Le code secret de l’utilisateur n’est jamais stocké dans le
téléphone. Il est toujours transmis par des canaux cryptés..
10
Enrôlement – comment ça marche…
6/17/2011
11
Enrôlement – Comment ça marche…
Une seule fois…
“Je souhaite m’inscrire dans le système sécurisé genMsecure, voici mon identifiant”
“Voici un code à usage unique pour télécharger notre application :
54321. Envoyez ce code par SMS depuis votre téléphone mobile à ce
numéro: “1033” (non surtaxé)”
To: 1033
SMS text : 54321
Reçu de 1033: « Cliquez sur ce lien pour télécharger l’application genMsecure «
1 click
“Application téléchargée, voici votre code d’activation à saisir une fois
lors du premier lancement : 567890”
567890
“OK, choisissez maintenant votre code secret
personnel “
4522
“Vous êtes inscrit félicitations !”
genMsecure authentification: principes de base
Pour valider une transaction, notre processus d’authentification requiert
simultanément :
•
La carte SIM du téléphone
Le téléphone lui même muni de l’appliquette genMsecure et des ses clés
cryptographiques
Le code secret de l’utilisateur (e-PIN)
•
•
De même que l’enrôlement, l’authentification résulte de l’utilisation de
deux canaux distincts: le web et le téléphone mobile (SMS et GPRS/3G,
WIFI data)
Pour l’utilisateur, c’est simple et transparent: tout ce dont il a besoin
c’est d’entrer son e-PIN au moment de la validation de la transaction
Lors de la saisie du code, celui-ci est immédiatement transmis au serveur
de manière cryptée
6/17/2011
13
Authentification – comment ça marche
1 Le client effectue une transaction qui nécessite une authentification
Site XYZ
2 Une requête est envoyée au
serveur genMs
6
2
3 Le serveur genMs active l’appliquette sur le téléphone de
l’utilisateur et requiert une action de sa part
4 L’utilisateur accepte et tape son code
secret personnel dans son téléphone
mobile
Serveur genMs
5 La réponse est envoyée au serveur genMs
6 Après vérification le serveur
genMsecure valide (ou non) la
transaction
Démonstrations
Accès à la partie privée d’un site web
Paiement d’un achat sur ce site web avec
fonction 3D secure
Accès à une chambre d’hôtel réservée par
Internet
Retrait d’argent dans un distributeur sans
carte
6/17/2011
15
La technologie genMsecure en
quelques mots
Technologie d’authentification forte à deux canaux séparés et à
deux facteurs
Technologie “3 en 1”:
Identification+authentification+validation de transactions
Intégrable facilement dans les architectures web
3D secure compatible.
Hautement sécurisée et intuitive: Pas de nouvelle technologie,
pas de technologie propriétaire, pas de dispositif supplémentaire
à transporter: tout pour une expérience utilisateur optimale.
6/17/2011
16
Fonctions sécurisées
Threat
Intrusion attack on the
server
Phone theft
Impact
User data
Phone data
Protection
System hardening
Strong admin authentication
User Database encryption
Anti-reverse
Remote data
Phone applet spoofing
User data
Sandbox devlopment
Anti-reverse
Double challenge
Web Client hacking
User data
System protection
Sandbox devlopment
Anti-reverse
Packet sniffing
User data
Encryption
Double challenge
Replay
User data
Double challenge
Certifications & Compliance
• CSPN certification then EAL 3 + for common criteria ANSSI
Scope: full client / server system
Terms: documentation + penetration test preparation
• PCI PA-DSS Certification
– Compliance with PCI PA-DSS requirements
• OATH Membership & Certification
– Compliance with OATH requirements
Confidential
18
PCI PA-DSS
1. Do not retain full magnetic stripe, card validation, code or value, or PIN block
data.
2. Protect stored cardholder data.
3. Provide secure authentication features.
4. Log payment application activity.
5. Develop secure payment applications.
6. Protect wireless transmissions.
7. Test payment applications to address vulnerabilities.
8. Facilitate secure network implementation.
9. Cardholder data must never be stored on a server connected to the internet.
10. Facilitate secure remote software updates.
11. Facilitate secure remote access to payment application.
12. Encrypt sensitive traffic over public networks.
13. Encrypt all non-console administrative access.
14. Maintain instructional documentation and training programs for customers,
resellers, and integrators.
Confidential
19
Pen tests
• Penetration testing induced the Security Target:
Scenario 1: "Brute Force". A hacker attacks directly the
authentication server to access the database, to change
the security policy or to manipulate the log file.
Scenario 2: "Phreaking". An attacker steals or finds the hardware
component of the user (e.g. phone) and tries to authenticate to
the server.
Scenario 3: "Spoofing. " An attacker attempts to authenticate with
the server without having the hardware of
the user (trying to simulate this one for example by testing
different combinations)
•
Pen tests
• (continued) Scenario 4: "Spyware" An attacker tries to capture sensitive
data on the client or the phone
• Scenario 5: "Trojan". An attacker applet loads
a "hostile" to capture the data user authentication
• Scenario 6: "Man in the Middle". An attacker intercepts frames
exchanged between the client and the
server (during enrollment or authentication) to know the data user
authentication
• Scenario 7: "Replay" An attacker replays authentication
frames exchanged between the client
and the server to attempt to authenticate as the legitimate user
Action plan
1 - Strong authentication on the web console
2 - OTP dual challenge verification
3 - Implementation following good practices SAMLv2/OATH
(Security Assertion Markup Language)
4 - AES encryption regardless of https through HSM
5 - Encrypted database server side
6 - Linux server hardening
7 - Phone applet with sandbox development
8 - Implementation of anti-reverse engineering specialized for phones
9 - Penetration testing of application and system (reducing vulnerabilities)
10 - Compliance logs (admin-user separation and timestamps, readonly archive)
11 - For “Cloud” offer: check procedures for help
desk and social engineering, phishing)
Security Road Map
– 06/2011 client/server operative with
security features: 2,3,4,7
– 10/2011 implementation of features:
1,5,6,8,11
– 12/2011 end of pentesting and vuln
corrections
– 03/2012 to 12/2012 certification processes
En résumé: la sécurité démontrée est notre facteur
différenciant
Les deux fonctions d’enrôlement et d’authentification utilisent des
canaux indépendants
Les dialogues entre le téléphone et le serveur sont totalement chiffrés
Pas d’OTP à saisir pour s’authentifier
Aucun code secret n’est stocké dans le téléphone
Indépendance d’un opérateur télécoms
Pas de token propriétaire
Certification & Conformité démontrent la sécurité et créent la
confiance dans le système
6/17/2011
24
Conclusion
“You don't concentrate on risks.
You concentrate on results.”
- Chuck Yeager