Geneva Application Security Forum 2010 Vers Une Authentification Plus Forte Dans Les Applications Web"

Geneva Application Security Forum 2010
« Vers une authentification plus forte dans les applications web »
Introduction
Antonio Fontes
Chapter Leader - OWASP Geneva
ThinkSwiss—Anticipate the Future

 Merci!
#2
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

OWASP
#3

Objectifs OWASP 2010
• Renforcer le pont créé avec les
industries
• Atteindre les développeurs et les
décideurs
• Accroitre la collaboration inter-chapitres
• Continuer la mission de promotion
#4

OWASP Genève

• Structure:
– 1 responsable de section
– 1 membre donateur
– 66 inscrits à la liste de diffusion
– Situation financière: P/L: CHF 0.- (100%
sponsorings)
• Activités 2009:
– Spring 2009 Meeting (90 participants)
– HEIG Yverdon: séminaire top 10 intégré au
#5 cursus master
– 2 ème semestre 2009: actions de promotion de
l’OWASP
OWASP Genève

• Activités et objectifs 2010:

– Geneva Application Security Forum
– Accroitre la présence en conférences (Confoo
Montréal mars 2010)
– Promouvoir l’OWASP en Suisse romande:
• Dépasser les 200 adhésions à la liste
• >10% de membres donateurs (25 membres)
– Promouvoir la sécurité des applications
#6 web:
• Campagne d’évangélisation (blogs,
conférences, etc.)
•

 qui êtes-vous?
#7

#8

#9

#10

•

 « Vers une authentification plus

forte dans les applications web »
#11

Le besoin d’authentification
forte
• 62% des brèches: réalisées via les
applications
 (Forrester, mai 2009)
• 88% des applications développées en

interne exposent l’entreprise (Veracode,
mars 2010)
• 2% des applications sous-traitées

sont évaluées en matière de
sécurité (Veracode, mars 2010)
#12 

•
•
•
• L’analyse se base pourtant sur des
logiciels de tous types!
(client/serveur, web, embarqué,
etc.)
#13

Le besoin d’authentification
forte
• Forte croissance dans l’utilisation des
applications mobiles
• Accès transparent aux services, à
partir de multiples points de
connexion

#14

Le besoin d’authentification forte
• Risques d’interception (en ligne ou via

malware, ou keylogger)
• Attaques sociales, phishing
• Risque accru d’un stockage de mot de
passes risqué
• XSS + « mot de passe » = Vol
d’identité assuré!
#15

L’authentification forte
• Une combinaison:
– Ce que je sais
– Ce que je suis
– Ce que je possède
• Des secrets uniques
– Chaque session est authentifiée par un
secret différent
• Une protection accrue de l’identité
#16

Geneva Application Security
Forum 2010
• Mission:
– Encourager les organisations à réduire
le risque d’usurpation et de vol
d’identité dans les applications web.
– Sensibiliser à la gestion des identités
• Par la délégation
• Par la fédération
– Faire connaître l’authentification forte
•
#17 

Programme
• Accueil (selon retard…)
• 18h30: Sylvain Maret (OpenID Suisse
romande)
– L’intégration des technologies
d’authentification forte dans les
applications web
• 19h05: Philippe Leothaud (CTO, Bee

Ware)
#18
– L’authentification dans les contrôles de

sécurité: les mesures proposées par
Programme
• 19h40: Robert Ott (Président OpenID
Suisse, fondateur ClavID)
– La fédération des identités
#19

Programme
• 20h15: Fête! Cocktail
 Offert par:
–
– Kiosques:
• OWASP
• OpenID, ClavID (activation de vos clés
Ubikey)
• Bee Ware
• MyBestID

#20 • 21h30: Fin.

Divers
• Vos clés Ubikey: activables au kiosque
OpenID
• Pauses:
– 5 minutes entre chaque intervention
– Toilettes, distributeurs de boissons
– Zone GSM de très haute qualité
(réception et résonnance) dans le
hall!
#21
• Assistance:
–
•

 « Bonne soirée! »
#22

Geneva Application Security Forum 2010 Vers Une Authentification Plus Forte Dans Les Applications Web"

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Geneva Application Security Forum 2010 Vers Une Authentification Plus Forte Dans Les Applications Web"

Uploaded by

Copyright:

Available Formats

Geneva Application Security Forum 2010

« Vers une authentification plus forte dans les applications web »

ThinkSwiss—Anticipate the Future

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

• Activités et objectifs 2010:

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

 « Vers une authentification plus

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

• 88% des applications développées en

• 2% des applications sous-traitées

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

• Risques d’interception (en ligne ou via

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

• 19h05: Philippe Leothaud (CTO, Bee

– L’authentification dans les contrôles de

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

#20 • 21h30: Fin.

Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future

You might also like