Vous êtes sur la page 1sur 22

Geneva Application Security Forum 2010

« Vers une authentification plus forte dans les applications web »

Introduction
Antonio Fontes
Chapter Leader - OWASP Geneva

ThinkSwiss—Anticipate the Future


 Merci!

#2

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future


OWASP

#3

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future


Objectifs OWASP 2010
• Renforcer le pont créé avec les
industries
• Atteindre les développeurs et les
décideurs
• Accroitre la collaboration inter-chapitres
• Continuer la mission de promotion

#4

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future


OWASP Genève

• Structure:
– 1 responsable de section
– 1 membre donateur
– 66 inscrits à la liste de diffusion
– Situation financière: P/L: CHF 0.- (100%
sponsorings)
• Activités 2009:
– Spring 2009 Meeting (90 participants)
– HEIG Yverdon: séminaire top 10 intégré au
#5 cursus master
– 2 ème semestre 2009: actions de promotion de
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
l’OWASP
OWASP Genève

• Activités et objectifs 2010:


– Geneva Application Security Forum
– Accroitre la présence en conférences (Confoo
Montréal mars 2010)
– Promouvoir l’OWASP en Suisse romande:
• Dépasser les 200 adhésions à la liste
• >10% de membres donateurs (25 membres)
– Promouvoir la sécurité des applications
#6 web:
• Campagne d’évangélisation (blogs,
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
conférences, etc.)

 qui êtes-vous?

#7

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future


#8

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future


#9

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future


#10

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future



 « Vers une authentification plus


forte dans les applications web »

#11

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future


Le besoin d’authentification
forte
• 62% des brèches: réalisées via les
applications
 (Forrester, mai 2009)

• 88% des applications développées en


interne exposent l’entreprise (Veracode,
mars 2010)

• 2% des applications sous-traitées


sont évaluées en matière de
sécurité (Veracode, mars 2010)
#12 

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future





• L’analyse se base pourtant sur des
logiciels de tous types!
(client/serveur, web, embarqué,
etc.)

#13

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future


Le besoin d’authentification
forte
• Forte croissance dans l’utilisation des
applications mobiles
• Accès transparent aux services, à
partir de multiples points de
connexion

#14

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future


Le besoin d’authentification forte

• Risques d’interception (en ligne ou via


malware, ou keylogger)
• Attaques sociales, phishing
• Risque accru d’un stockage de mot de
passes risqué
• XSS + « mot de passe » = Vol
d’identité assuré!

#15

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future


L’authentification forte

• Une combinaison:
– Ce que je sais
– Ce que je suis
– Ce que je possède
• Des secrets uniques
– Chaque session est authentifiée par un
secret différent
• Une protection accrue de l’identité
#16

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future


Geneva Application Security
Forum 2010
• Mission:
– Encourager les organisations à réduire
le risque d’usurpation et de vol
d’identité dans les applications web.
– Sensibiliser à la gestion des identités
• Par la délégation
• Par la fédération
– Faire connaître l’authentification forte

#17 

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future


Programme
• Accueil (selon retard…)
• 18h30: Sylvain Maret (OpenID Suisse
romande)
– L’intégration des technologies
d’authentification forte dans les
applications web

• 19h05: Philippe Leothaud (CTO, Bee


Ware)
#18

– L’authentification dans les contrôles de


Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
sécurité: les mesures proposées par
Programme
• 19h40: Robert Ott (Président OpenID
Suisse, fondateur ClavID)
– La fédération des identités

#19

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future


Programme
• 20h15: Fête! Cocktail
 Offert par:


– Kiosques:
• OWASP
• OpenID, ClavID (activation de vos clés
Ubikey)
• Bee Ware
• MyBestID

#20 • 21h30: Fin.


Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
Divers
• Vos clés Ubikey: activables au kiosque
OpenID
• Pauses:
– 5 minutes entre chaque intervention
– Toilettes, distributeurs de boissons
– Zone GSM de très haute qualité
(réception et résonnance) dans le
hall!
#21
• Assistance:

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

 « Bonne soirée! »

#22

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future