Upload
microsoft-technet-france
View
83
Download
1
Embed Size (px)
Citation preview
Vous avez dit Authentification sans mot de passe, une illustration avec FranceConnect
N N
1
Philippe Beraud@philberd
Charles de Vandire@cdevandiere
N N
2
Vous avez dit Authentification sans mot de passe, une illustration avec FranceConnect
N N
3
A propos des mots de passe76%des intrusions rseau peuvent tre attribues la base des mots de passe faibles ou voles*Les mots de passe sont faciles cloner et volerYahoo! pour ne citer quun exemple rcent :-(
Lutilisateur peut les recycler, les partager, les crire, etc.Des politiques plus strictes ne sont pas suffisantesLauthentification multifacteur attnue de nombreux dfis poss par les mots de passe mais :Limplmentation peut savrer couteuse et complexe...Lexprience utilisateur fatigante
* 2014 NIST Roadmap for Improving Critical Infrastructure CybersecurityLes mots de passe sont pratiques mais pas srsDes alternatives sont sres mais pas pratiques
N Nhttp://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks
81% des rpondants selon une enqute Sophos - utilisent les mmes mots de passe travers plusieurs sites Web (Sophos Online Password Survey)
65 est le cot moyen de main de uvre de Help Desk pour une rinitialisation de mot de passe et cela constitue jusqu' 50 % des appels Help Desk appels (estimation du Gartner)
4
Hello MS Experience16
N N
5
Windows HelloUne alternative deux facteurs native dans Windows 10Pour remplacer les mots de passe avec une cl prive accessible uniquement via un code PIN ou un geste utilisateur Empreinte digitale, iris, reconnaissance facialeExtensible avec le Framework biomtrique Windows
Conue pour tre facile utiliser tout en tant scuriseDes crdentits rsistantes lhameonnage, au vol, aux brches de scurits ET facile utiliser avec une exprience unifieAvec une exprience unifie qui prend en charge Azure AD, AD/Azure AD en hybride et MSA, mais pas seulement ! :-)
* Windows 10 Anniversary Update
N N
6
Windows HelloPrincipesUne combinaison de PIN ou biomtrie et une authentification cls publique/priveLes facteurs biomtriques utilisent la mme "syntaxe" pour lenrlement et leur utilisation
Windows Hello
Taper unPINRegarder la webcamPrsence utilisateurPrsence utilisateur
DEVERROUILLER
CONTENEUR Windows Hello
VERIFIER
Cls Entreprise
Cls Consommateur
TPM
Service Web, AD, Azure AD, etc.
APP avec Windows Hello
Authentification sur la base dune signature numriqueCls prives protgs avec le TPM
Windows Hello
Taper unPINRegarder la webcamPrsence utilisateurPrsence utilisateur
N NPIN: Quelque chose que vous possdez + quelque chose que vous connaissezBiomtrie : Quelque chose que vous possdez + quelque chose que vous tes
7
2nd Facteur dans Windows 10
Second facteur
PIN
Windows HelloBiomtrieou
Cls prives scurises dans le TPM
Premier facteur
TPM
N N
8
2nd Facteur dans Windows 10 Anniversary Update
Cls prives scurises dans le TPM
Premier facteur
TPM
Second facteur
PIN
Windows HelloBiomtrieou
ouAppareils compagnon
Phone
Smartphone
Band 2
Wearable
USB
USB
RFID
Carte
Phone
Smartphone
Band 2
Wearable
USB
USB
N N
9
Connexion avec un smartphone
Second facteur
PIN
Windows HelloBiomtrieou
PIN
Windows HelloBiomtrieou
Second facteur
ouAppareils compagnon
Cls prives scurises dans le TPM
Premier facteur
TPM
N NAlliance FIDO (Fast IDentity Online)
Quelques membres du conseil dadministrationfidoalliance.org/membership/members/
N NLalliance FIDO est un consortium industriel lanc en fvrier 2013 pour remdier au manque dinteroprabilit entre les divers dispositifs dauthentification forte et les problmes auxquels sont confronts les utilisateurs pour crer er retenir de multiples mots de passe.11
Vous avez dit FIDO 2.0 ? De quoi sagit-il ?Dfinir des APIs clients destination des plateformes web pour construire une authentification scurise, non ameonnable et facile dutilisationPour aller au-del des mots de passe : Plutt que dutiliser un mot de passe ou un code usage unique, lutilisateur est authentifi avec des cls de chiffrement qui sont soit crs sur leur appareil client (p. ex. un ordinateur) ou un dispositif authentificateur externe (p. ex. un tlphone mobile) qui parle leur appareil client
Dfinir des entres et des messages cryptographiques pour le web
Alliance FIDO
Groupe de travail Authentification Web
N NFIDO Authentication Poised for Continued Growth as Alliance Submits FIDO 2.0 Web API to W3C: https://fidoalliance.org/fido-alliance-announces-fido-authentication-poised-for-continued-growth-as-alliance-submits-fido-2-0-web-api-to-w3c/Submission Request to W3C: FIDO 2.0 Platform Specifications 1.0: http://www.w3.org/Submission/2015/02/New public working draft of the W3C Web Authentication Specification : https://www.w3.org/blog/webauthn/
FIDO 2.0: Web API for accessing FIDO 2.0 credentials: http://www.w3.org/Submission/fido-web-api/FIDO 2.0: Key attestation format. URL: http://www.w3.org/Submission/2015/SUBM-fido-key-attestation-20151120/ FIDO 2.0: Signature format. URL: http://www.w3.org/Submission/2015/SUBM-fido-signature-format-20151120/ 12
Une illustration de lAPI JS Web Authentication dans Microsoft EdgePremire implmentation de FIDO 2.0 pour utiliser Windows Hello ou des appareils compagnon
Dmo
N Nhttps://testdrive-fido.azurewebsites.net/13
Authentification web (FIDO 2.0) avec Windows HelloEnregistrementService
Cl prive
Cl publique
makeCredentialClient
App avec Windows HelloSassurer que lutilisateur peut utiliser Windows Hello (for Business) Sassurer de lidentit de la personneGnrer une paire de cl et enregistrer la cl publique au niveau du serviceOptionnellement vrifier la cl via une attestation de cl TPMlie avec lutilisateur courant dans la base de compte
N Nhttps://github.com/Microsoft/Windows-universal-samples/tree/master/Samples/MicrosoftPassport
14
ServiceAuthentification web (FIDO 2.0) avec Windows Hello (suite)EnregistrementEnregistrement de la cl publique (et de lattestation) avec linformation utilisateur au niveau du serviceGestion de plusieurs cls par utilisateur au niveau du rpertoire de compteGestion de plusieurs comptes par cl utilisateur en ajoutant un attribut didentification de compte
N Nhttps://github.com/Microsoft/Windows-universal-samples/tree/master/Samples/MicrosoftPassport
15
Service
ClientAuthentification web (FIDO 2.0) avec Windows Hello (suite)Authentification
Cl prive"challenge"+
"challenge" signgetAssertion + challenge
Cl publiquechallenge = +Lapplication accde au serviceLe service requiert que lutilisateur sauthentifie et envoie un challengeLutilisateur est invit saisir son PIN ou utilise Windows Hello pour la biomtrieLapplication signe le challenge avec la cl priveLe challenge est transmis au service qui valide la signature avec la cl publique enregistre pour lutilisateurSi valide, lutilisateur est authentifi et le flux continue
N Nhttps://github.com/Microsoft/Windows-universal-samples/tree/master/Samples/MicrosoftPassport
16
Un mot sur la conception du challenge-rponseUn challenge-rponse scuris doit permettre de se prmunir des rejeux ainsi que des attaques de type MAM (man-in-the-middle)Propre limplmentation
N Nhttps://github.com/Microsoft/Windows-universal-samples/tree/master/Samples/MicrosoftPassport
17
Une illustration avec FranceConnect ;-)
N N
18
Vous avez dit FranceConnect ? Quesaquo !?
N N
19
Vous avez dit FranceConnect ?Le systme didentification et dauthentification en ligne de ltatUn dispositif amen rconcilier les citoyens avec la chose publiquePermet daccder a lensemble des services publics en ligne sans devoir ncessairement disposer de comptes auprs deuxvite de jongler avec autant didentifiants et de mots de passe quil existe dorganismes en ligne !Un dispositif qui concerne les mairies, les dpartements, les ministres, les oprateurs publics, etc.
N NUne identit pivot est transmises aux services publicsIdentit pivot = identit vrifie6 informations : nom, prnom, sexe, date, lieu et pays de naissance
https://tele7.interieur.gouv.fr/tlp/20
Vous avez dit FranceConnect ? (suite)Un composant de lEtat Plateformeetatplateforme.modernisation.gouv.fr/identite-numerique
Une logique dchange qui repose sur lide que lEtat, et plus gnralement lensemble des services publics, gagnerait a exposer ses ressources sous forme dAPI ouvertesvite de fournir a une administration des justificatifs dj dtenus par une autre administration... Cas du revenu fiscal de rfrence dtenu par les Impts et demande dans de trs nombreuses dmarches administratives
Une stratgie technologie porte par le SGMAP pour faciliter la rutilisation et crer un cosystme de consommateurs de donnesAvec api.gouv.fr, le catalogue qui rfrence toutes les API des services publicsN 21
franceconnect.gouv.fr/partenaires
N NP. ex. API particulier. Couvre 4 domaines :Donnes confidentiellesDonnes de rfrence : saisie et contrle de cohrenceDroits exploitables : ligibilit et calculs fiscaux et sociauxBig Data
DGFIP : avis dimposition, adresse fiscaleCAF : quotient familial, composition familiale, adresse
https://api.gouv.fr/api/api-particulier.html
2 types dAPIs:OuvertOuvert sous contrleX-API-KEYX-USER
http://www.modernisation.gouv.fr/ladministration-change-avec-le-numerique/par-son-systeme-dinformation/etat-plateforme-tribune-marzinhttp://etatplateforme.modernisation.gouv.fr/identite-numeriquehttps://api.gouv.fr/
21
Vous avez dit FranceConnect ?Les diffrents types de fournisseurs
Fournisseur de serviceProposer des services en ligne aux usagers
Fournisseur didentitGarantir lidentification et lauthentification dun usager
Fournisseur de donnesTransmettre des donnes aux fournisseurs de service suite au consentement de lusager
N N
22
Vous avez dit FranceConnect ?Principe de fonctionnement
Processus dauthentification
Fournisseur de service (FS)App mobileFournisseur didentit (FI)2. Dlgation de lauthentification et rcupration de lidentit (pivot)Systme didentification FranceConnect1. Demande De lidentit de lusager USAGER
Fournisseur didentits (FI)
N NUne illustration de lusage de Windows HelloUne mise en uvre avec un canevas de fournisseur didentit FranceConnect
Dmo
N Nhttps://testdrive-fido.azurewebsites.net/24
Une illustration de lusage de Windows Hello for BusinessUtilisation de lAPI JavaScript pour Microsoft EdgePremire implmentation de FIDO 2.0 (Web Authentication) pour utiliser Windows Hello ou des appareils compagnonDisponible dans le Kit de dveloppement (SDK) Windows 10
Prt lusage dans un canevas technique de fournisseur didentit FranceConnectUne des composantes du kit de dmarrage propos en Open Source par Microsoft France pour FranceConnectSouche ASP.NET Core et Identity Server 4, deux projets Open Source de la fondation .NETFondation multiplateforme Linux, OSX et Windows (Server)
Illustration dune approche standardise* pour rpondre au niveau Substantiel didentification lectronique du rglement eIDAS
* En cours au W3C
N N
25
Vous avez dit FranceConnect ? (suite)Principe de fonctionnementProcessus complet des processus de mise en relation usagers et autorits administratives
Fournisseur de donnes (FD)Fournisseur de service (FS)App mobile
Fournisseur didentit (FI)1. Demande De lidentit de lusager et de lautorisation daccs a ses donnes complmentaires2. Dlgation de lauthentification et rcupration de lidentit (pivot)3. Demande De laccs aux donnes complmentaires de lusager 4. Vrification de lautorisation daccs aux donnes complmentaires de lusagerSystme didentification FranceConnect
Fournisseur didentits (FI)USAGER
N NFranceConnect aujourdhuiUn jeune cosystme pour la conception de nouveaux services publics numriques qui deviendront prochainement la normeFranceConnect : dj 100 000 utilisateurs et une vingtaine de servicesDes collectivits territorialesNmes, Montpellier Mditerrane Mtropole, Oloron Sainte-Marie, le Bourget ou Saint-Pierre Martinique, etc.Dpartement des Alpes-Maritimes, Dpartement des Hautes-Alpes
LAdministration centraleAmeli.fr (le service en ligne de lAssurance Maladie), ANTS (agence nationale des titres scuriss), Impots.gouv.fr (DGFiP), Ministre de lintrieur (Service-public.fr), CNAV (caisse nationale dassurances vieillesse)
Et sur les rangs des administrations FranceConnectesVille de Paris, Banque de France, Gendarmerie Nationale (service de dpt de plaintes en ligne propos par la Gendarmerie)
franceconnect.gouv.fr/partenaires
N NFranceConnect : dj 100 000 utilisateurs et une vingtaine de services : http://www.modernisation.gouv.fr/ladministration-change-avec-le-numerique/par-son-systeme-dinformation/franceconnect-deja-100-000-utilisateurs-vingtaine-servicesNmes, premire ville intgrer France Connect : http://etatplateforme.modernisation.gouv.fr/actualite/nimes-premiere-ville-a-integrer-france-connectLes Finances Publiques, premier fournisseur didentit de France Connect : http://etatplateforme.modernisation.gouv.fr/actualite/les-finances-publiques-premier-fournisseur-didentite-de-france-connectANTS, Consulter ses points de permis de conduire en quelques clics : http://etatplateforme.modernisation.gouv.fr/actualite/consulter-ses-points-de-permis-de-conduire-en-quelques-clicsService-public.fr avec 150 dmarches en ligneCNAV, Consulter ses points de retraites
27
Pour aller plus loin avecFranceConnectfranceconnect.gouv.fr o vous pourrez retrouver les pointeurs sur les diffrents canevas du kit de dmarrage FranceConnect propos en Open Source par Microsoft FranceFournisseur de service, fournisseur didentit, fournisseur de donnes, applications mobiles Android, iOS et Windows 10 (UWP)
Tlcharger directement le Kit de dmarrage FranceConnect de Microsoft France sur la forge GitHubaka.ms/FranceConnect (github.com/FranceConnectSamples)Code source complet des canevas, documentation de mise en uvre, etc.
Avec :Visual Studio 2015 Community Edition et un abonnement dessai Microsoft AzureUn jeu didentifiants FranceConnect
N N
28
Pour aller plus loinWindows Hello for Business (anciennement Microsoft Passport)Manage identity verification using Windows Hello for Business sur Microsoft TechNetBillet de blog Convenient two-factor authentication with Microsoft Passport and Windows HelloWeb authentication and Windows Hello sur Microsoft MSDNMicrosoft Passport and Windows Hello sur Microsoft MSDNExemple de code ponyme sur la forge GitHubWebinaire Moving beyond passwords and credential theft with Microsoft Passport and WindowsHelloEtc.
Mais aussi un webinaire retrouver sur ;-)Windows 10 : vers un monde sans mot de passe !
N NManage identity verification using Windows Hello for Business : https://technet.microsoft.com/en-us/itpro/windows/keep-secure/manage-identity-verification-using-microsoft-passportConvenient two-factor authentication with Microsoft Passport and Windows Hello : https://blogs.windows.com/buildingapps/2016/01/26/convenient-two-factor-authentication-with-microsoft-passport-and-windows-hello/#X3QpQKPvM7iUz78S.99Web authentication and Windows Hello : https://developer.microsoft.com/en-us/microsoft-edge/platform/documentation/dev-guide/device/web-authentication/Microsoft Passport and Windows Hello : https://msdn.microsoft.com/windows/uwp/security/microsoft-passportMicrosoft Passport and Windows Hello sample : https://github.com/Microsoft/Windows-universal-samples/tree/master/Samples/MicrosoftPassportMoving beyond passwords and credential theft with Microsoft Passport and WindowsHello : https://channel9.msdn.com/Events/Windows/Developers-Guide-to-Windows-10-Version-1511/Moving-beyond-passwords-and-credential-theft-with-Microsoft-Passport-and-Windows-HelloWindows 10 : vers un monde sans mot de passe ! : https://experiences.microsoft.fr/channel/windows-10-vers-un-monde-sans-mots-de-passe/04bd0fe2-8468-4618-92cf-226506f64bb8#gTlU36QW7eIZh4VG.9729
N 30
N N
30
@philberd | @cdevandiereN 31
@microsoftfrance @Technet_France @msdev_fr
N N
31
N 32
N N
32