Geneva Application Security Forum 2010« Vers une authentification plus forte dans les applications web »

ThinkSwiss—Anticipate the Future

Introduction Antonio Fontes - Chapter Leader OWASP Geneva

Merci!

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#2

OWASP

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#3

Objectifs OWASP 2010

• Renforcer le pont créé avec les industries

• Atteindre les développeurs et les décideurs

• Accroitre la collaboration inter-chapitres• Continuer la mission de promotion

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#4

OWASP Genève

• Structure:– 1 responsable de section– 1 membre donateur– 66 inscrits à la liste de diffusion– Situation financière: P/L: CHF 0.- (100%

sponsorings)• Activités 2009:

– Spring 2009 Meeting (90 participants)– HEIG Yverdon: séminaire top 10 intégré au

cursus master– 2ème semestre 2009: actions de promotion de

l’OWASPGeneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#5

OWASP Genève

• Activités et objectifs 2010:– Geneva Application Security Forum – Accroitre la présence en conférences (Confoo

Montréal mars 2010)

– Promouvoir l’OWASP en Suisse romande:• Dépasser les 200 adhésions à la liste• >10% de membres donateurs (25 membres)

– Promouvoir la sécurité des applications web:

• Campagne d’évangélisation (blogs, conférences, etc.)

•

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#6

•

qui êtes-vous?

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#7

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#8

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#9

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#10

•

« Vers une authentification plus forte dans les applications web »

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#11

Le besoin d’authentification forte

• 62% des brèches: réalisées via les applications (Forrester, mai 2009)

• 88% des applications développées en interne exposent l’entreprise (Veracode, mars 2010)

• 2% des applications sous-traitées sont évaluées en matière de sécurité (Veracode, mars 2010)

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#12

•

•

•

• L’analyse se base pourtant sur des logiciels de tous types! (client/serveur, web, embarqué, etc.)

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#13

Le besoin d’authentification forte

• Forte croissance dans l’utilisation des applications mobiles

• Accès transparent aux services, à partir de multiples points de connexion

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#14

Le besoin d’authentification forte

• Risques d’interception (en ligne ou via malware, ou keylogger)

• Attaques sociales, phishing• Risque accru d’un stockage de mot de

passes risqué• XSS + « mot de passe » = Vol

d’identité assuré!

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#15

L’authentification forte

• Une combinaison: – Ce que je sais– Ce que je suis– Ce que je possède

• Des secrets uniques– Chaque session est authentifiée par un

secret différent

• Une protection accrue de l’identité

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#16

Geneva Application Security Forum 2010

• Mission: – Encourager les organisations à réduire

le risque d’usurpation et de vol d’identité dans les applications web.

– Sensibiliser à la gestion des identités• Par la délégation• Par la fédération

– Faire connaître l’authentification forte•

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#17

Programme

• Accueil (selon retard…)

• 18h30: Sylvain Maret (OpenID Suisse romande)

– L’intégration des technologies d’authentification forte dans les applications web

• 19h05: Philippe Leothaud (CTO, Bee Ware)

– L’authentification dans les contrôles de sécurité: les mesures proposées par l’OWASP

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#18

Programme

• 19h40: Robert Ott (Président OpenID Suisse, fondateur ClavID)

– La fédération des identités

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#19

Programme

• 20h15: Fête! Cocktail Offert par:

–– Kiosques:

• OWASP• OpenID, ClavID (activation de vos clés

Ubikey)• Bee Ware• MyBestID

• 21h30: Fin.Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#20

Divers

• Vos clés Ubikey: activables au kiosque OpenID

• Pauses:– 5 minutes entre chaque intervention– Toilettes, distributeurs de boissons– Zone GSM de très haute qualité

(réception et résonnance) dans le hall!

• Assistance:–

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#21

•

« Bonne soirée! »

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#22