Geneva Application Security Forum 2010
22
Geneva Application Security Forum 2010 « Vers une authentification plus forte dans les applications web » ThinkSwiss—Anticipate the Future Introduction Antonio Fontes - Chapter Leader OWASP Geneva
-
Upload
sylvain-maret -
Category
Technology
-
view
1.245 -
download
0
description
« Vers une authentification plus forte dans les applications web » OWASP / OpenID
Transcript of Geneva Application Security Forum 2010
Geneva Application Security Forum 2010« Vers une authentification plus forte dans les applications web »
ThinkSwiss—Anticipate the Future
Introduction Antonio Fontes - Chapter Leader OWASP Geneva
Merci!
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#2
OWASP
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#3
Objectifs OWASP 2010
• Renforcer le pont créé avec les industries
• Atteindre les développeurs et les décideurs
• Accroitre la collaboration inter-chapitres• Continuer la mission de promotion
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#4
OWASP Genève
• Structure:– 1 responsable de section– 1 membre donateur– 66 inscrits à la liste de diffusion– Situation financière: P/L: CHF 0.- (100%
sponsorings)• Activités 2009:
– Spring 2009 Meeting (90 participants)– HEIG Yverdon: séminaire top 10 intégré au
cursus master– 2ème semestre 2009: actions de promotion de
l’OWASPGeneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#5
OWASP Genève
• Activités et objectifs 2010:– Geneva Application Security Forum – Accroitre la présence en conférences (Confoo
Montréal mars 2010)
– Promouvoir l’OWASP en Suisse romande:• Dépasser les 200 adhésions à la liste• >10% de membres donateurs (25 membres)
– Promouvoir la sécurité des applications web:
• Campagne d’évangélisation (blogs, conférences, etc.)
•
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#6
•
qui êtes-vous?
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#7
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#8
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#9
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#10
•
« Vers une authentification plus forte dans les applications web »
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#11
Le besoin d’authentification forte
• 62% des brèches: réalisées via les applications (Forrester, mai 2009)
• 88% des applications développées en interne exposent l’entreprise (Veracode, mars 2010)
• 2% des applications sous-traitées sont évaluées en matière de sécurité (Veracode, mars 2010)
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#12
•
•
•
• L’analyse se base pourtant sur des logiciels de tous types! (client/serveur, web, embarqué, etc.)
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#13
Le besoin d’authentification forte
• Forte croissance dans l’utilisation des applications mobiles
• Accès transparent aux services, à partir de multiples points de connexion
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#14
Le besoin d’authentification forte
• Risques d’interception (en ligne ou via malware, ou keylogger)
• Attaques sociales, phishing• Risque accru d’un stockage de mot de
passes risqué• XSS + « mot de passe » = Vol
d’identité assuré!
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#15
L’authentification forte
• Une combinaison: – Ce que je sais– Ce que je suis– Ce que je possède
• Des secrets uniques– Chaque session est authentifiée par un
secret différent
• Une protection accrue de l’identité
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#16
Geneva Application Security Forum 2010
• Mission: – Encourager les organisations à réduire
le risque d’usurpation et de vol d’identité dans les applications web.
– Sensibiliser à la gestion des identités• Par la délégation• Par la fédération
– Faire connaître l’authentification forte•
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#17
Programme
• Accueil (selon retard…)
• 18h30: Sylvain Maret (OpenID Suisse romande)
– L’intégration des technologies d’authentification forte dans les applications web
• 19h05: Philippe Leothaud (CTO, Bee Ware)
– L’authentification dans les contrôles de sécurité: les mesures proposées par l’OWASP
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#18
Programme
• 19h40: Robert Ott (Président OpenID Suisse, fondateur ClavID)
– La fédération des identités
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#19
Programme
• 20h15: Fête! Cocktail Offert par:
–– Kiosques:
• OWASP• OpenID, ClavID (activation de vos clés
Ubikey)• Bee Ware• MyBestID
• 21h30: Fin.Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#20
Divers
• Vos clés Ubikey: activables au kiosque OpenID
• Pauses:– 5 minutes entre chaque intervention– Toilettes, distributeurs de boissons– Zone GSM de très haute qualité
(réception et résonnance) dans le hall!
• Assistance:–
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#21
•
« Bonne soirée! »
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#22
