Télécharger la présentation de Mauro Israël
Transcription
Télécharger la présentation de Mauro Israël
Atelier BNP-Paribas 16 Juin 2011 La problematique du commerce et du paiement sur Internet La proposition GenMsecure Technologie et points clés Facteurs différenciants du m-market Enrôlement Authentification Caractéristiques securité Enjeux sécurité Par Mauro ISRAEL – Expert Sécurité genMsecure 6/17/2011 1 In the news… e-mail insecurity: attached files infected with malwares virus…) (malicious codes: worm, trojan, Identity thefts: used to rip off individuals but also to steal and use data bases, confidential information of companies, .. : in 2010, more than 136 426 phishing attacks, which represents an increase of 66 % compared to 2009. Frauds on e-transactions : e-transactions represent 5 % of transactions but 32 % of bank card fraud, which increases by more than 40 % per year. Phishing… news.cnet.com 55 000 victimes du phishing chaque mois ! 1 26/08/09, micro.lemondeinformatique.fr RSA « In Internet we trust » ? Le paradoxe de l’usage d’internet: Les utilisateurs sont concernés par la protection de leur vie privée Pourtant ils insèrent des données privées dans les réseaux sociaux: Facebook, Twitter... Phishing issues, trojans, spywares, ? Le “login-passoire” Le “mot de passe perdu” “Social engineering bypasses all technologies, including firewalls.” — Kevin Mitnick Internet est un “nuage”… Tout dispositif connecté à Internet peut-être atteint en moins d’une demi-seconde ! Les nouveaux hackers Virus Worm Botnet Trojan Backdoor Rootkit Spyware Keylogger Phishing Social Engineering 6 Mots de passe mieux sécurisés ?? « Les Etats-Unis ont besoin d’une nouvelle approche pour sécuriser le cyberespace et ainsi éviter un Pearl Harbor ou un 9-sept numérique, … telle que l’emploi de mots de passe plus sécurisés » !!! (source Cyber Secure Institute) … Un pirate français de 25 ans, dénommé "Hacker-Croll,” a réussi à récupérer les « codes administrateur » de Twitter et à naviguer selon son bon vouloir, modifiant et effaçant des comptes. Parmi plusieurs milliers de comptes, il a notamment piraté celui de Barack Obama. « Traitez votre mot de passe comme votre brosse à dents. Ne laissez personne d’autre l’utiliser et changez-en tous les six mois. » (Clifford Stoll) L’authentification forte est la solution ! 1°) Couple Identifiant/Mot de passe : « ce que je sais » - Obsolète et dangereux - Expérience utilisateur penible 2°) L’authentification forte avec un équipement physique : « ce que je possède » -tokens USB – cartes à puces – tokens OTP (Mot de passe à usage unique) – PKI : lourds, inadaptés aux applications web - Utilisation d’un canal distinct (téléphone) 3°) Biométrie : « qui je suis » - Problème de protection de la vie privée - Possibilité d’effacer les empreintes digitales La proposition de genMsecure genMsecure fournit une technologie d’authentification forte, dans laquelle le téléphone portable sert de clavier utilisateur de saisie de PIN CODE. L’utilisateur du téléphone s’enrôle une seule fois par échange de SMS, télécharge l’appliquette genMsecure, choisit son code secret personnel (e-PIN). Pour toute transaction ultérieure; il aura juste à saisir ce code personnel sur son téléphone pour s’authentifier. authentifier Tous les achats et les paiements sur Internet, les accès aux systèmes et aux applicatifs, les transferts et retraits d’argent, les réservations et la billetterie électronique deviennent des opérations simples et sécurisées. 6/17/2011 9 genMsecure phase d’enrolement: principes de base Une seule opération au moment de l’inscription de l’utilisateur Lors de ce processus où l’utilisateur choisit son code personnel, on utilise deux canaux indépendants: Le web (soit par un agent du fournisseur, soit par Internet) et le téléphone mobile. Ce processus relie de manière sécurisée 3 éléments clés: Le MS-ISDN du téléphone de l’utilisateur (son numéro de téléphone) Le code secret personnel choisi par l’utilisateur L’identifiant de l’utilisateur au sein du système du fournisseur (numéro de compte ou identifiant Internet) 6/17/2011 Le code secret de l’utilisateur n’est jamais stocké dans le téléphone. Il est toujours transmis par des canaux cryptés.. 10 Enrôlement – comment ça marche… 6/17/2011 11 Enrôlement – Comment ça marche… Une seule fois… “Je souhaite m’inscrire dans le système sécurisé genMsecure, voici mon identifiant” “Voici un code à usage unique pour télécharger notre application : 54321. Envoyez ce code par SMS depuis votre téléphone mobile à ce numéro: “1033” (non surtaxé)” To: 1033 SMS text : 54321 Reçu de 1033: « Cliquez sur ce lien pour télécharger l’application genMsecure « 1 click “Application téléchargée, voici votre code d’activation à saisir une fois lors du premier lancement : 567890” 567890 “OK, choisissez maintenant votre code secret personnel “ 4522 “Vous êtes inscrit félicitations !” genMsecure authentification: principes de base Pour valider une transaction, notre processus d’authentification requiert simultanément : • La carte SIM du téléphone Le téléphone lui même muni de l’appliquette genMsecure et des ses clés cryptographiques Le code secret de l’utilisateur (e-PIN) • • De même que l’enrôlement, l’authentification résulte de l’utilisation de deux canaux distincts: le web et le téléphone mobile (SMS et GPRS/3G, WIFI data) Pour l’utilisateur, c’est simple et transparent: tout ce dont il a besoin c’est d’entrer son e-PIN au moment de la validation de la transaction Lors de la saisie du code, celui-ci est immédiatement transmis au serveur de manière cryptée 6/17/2011 13 Authentification – comment ça marche 1 Le client effectue une transaction qui nécessite une authentification Site XYZ 2 Une requête est envoyée au serveur genMs 6 2 3 Le serveur genMs active l’appliquette sur le téléphone de l’utilisateur et requiert une action de sa part 4 L’utilisateur accepte et tape son code secret personnel dans son téléphone mobile Serveur genMs 5 La réponse est envoyée au serveur genMs 6 Après vérification le serveur genMsecure valide (ou non) la transaction Démonstrations Accès à la partie privée d’un site web Paiement d’un achat sur ce site web avec fonction 3D secure Accès à une chambre d’hôtel réservée par Internet Retrait d’argent dans un distributeur sans carte 6/17/2011 15 La technologie genMsecure en quelques mots Technologie d’authentification forte à deux canaux séparés et à deux facteurs Technologie “3 en 1”: Identification+authentification+validation de transactions Intégrable facilement dans les architectures web 3D secure compatible. Hautement sécurisée et intuitive: Pas de nouvelle technologie, pas de technologie propriétaire, pas de dispositif supplémentaire à transporter: tout pour une expérience utilisateur optimale. 6/17/2011 16 Fonctions sécurisées Threat Intrusion attack on the server Phone theft Impact User data Phone data Protection System hardening Strong admin authentication User Database encryption Anti-reverse Remote data Phone applet spoofing User data Sandbox devlopment Anti-reverse Double challenge Web Client hacking User data System protection Sandbox devlopment Anti-reverse Packet sniffing User data Encryption Double challenge Replay User data Double challenge Certifications & Compliance • CSPN certification then EAL 3 + for common criteria ANSSI Scope: full client / server system Terms: documentation + penetration test preparation • PCI PA-DSS Certification – Compliance with PCI PA-DSS requirements • OATH Membership & Certification – Compliance with OATH requirements Confidential 18 PCI PA-DSS 1. Do not retain full magnetic stripe, card validation, code or value, or PIN block data. 2. Protect stored cardholder data. 3. Provide secure authentication features. 4. Log payment application activity. 5. Develop secure payment applications. 6. Protect wireless transmissions. 7. Test payment applications to address vulnerabilities. 8. Facilitate secure network implementation. 9. Cardholder data must never be stored on a server connected to the internet. 10. Facilitate secure remote software updates. 11. Facilitate secure remote access to payment application. 12. Encrypt sensitive traffic over public networks. 13. Encrypt all non-console administrative access. 14. Maintain instructional documentation and training programs for customers, resellers, and integrators. Confidential 19 Pen tests • Penetration testing induced the Security Target: Scenario 1: "Brute Force". A hacker attacks directly the authentication server to access the database, to change the security policy or to manipulate the log file. Scenario 2: "Phreaking". An attacker steals or finds the hardware component of the user (e.g. phone) and tries to authenticate to the server. Scenario 3: "Spoofing. " An attacker attempts to authenticate with the server without having the hardware of the user (trying to simulate this one for example by testing different combinations) • Pen tests • (continued) Scenario 4: "Spyware" An attacker tries to capture sensitive data on the client or the phone • Scenario 5: "Trojan". An attacker applet loads a "hostile" to capture the data user authentication • Scenario 6: "Man in the Middle". An attacker intercepts frames exchanged between the client and the server (during enrollment or authentication) to know the data user authentication • Scenario 7: "Replay" An attacker replays authentication frames exchanged between the client and the server to attempt to authenticate as the legitimate user Action plan 1 - Strong authentication on the web console 2 - OTP dual challenge verification 3 - Implementation following good practices SAMLv2/OATH (Security Assertion Markup Language) 4 - AES encryption regardless of https through HSM 5 - Encrypted database server side 6 - Linux server hardening 7 - Phone applet with sandbox development 8 - Implementation of anti-reverse engineering specialized for phones 9 - Penetration testing of application and system (reducing vulnerabilities) 10 - Compliance logs (admin-user separation and timestamps, readonly archive) 11 - For “Cloud” offer: check procedures for help desk and social engineering, phishing) Security Road Map – 06/2011 client/server operative with security features: 2,3,4,7 – 10/2011 implementation of features: 1,5,6,8,11 – 12/2011 end of pentesting and vuln corrections – 03/2012 to 12/2012 certification processes En résumé: la sécurité démontrée est notre facteur différenciant Les deux fonctions d’enrôlement et d’authentification utilisent des canaux indépendants Les dialogues entre le téléphone et le serveur sont totalement chiffrés Pas d’OTP à saisir pour s’authentifier Aucun code secret n’est stocké dans le téléphone Indépendance d’un opérateur télécoms Pas de token propriétaire Certification & Conformité démontrent la sécurité et créent la confiance dans le système 6/17/2011 24 Conclusion “You don't concentrate on risks. You concentrate on results.” - Chuck Yeager