Geneva Application Security Forum 2010
-
Upload
sylvain-maret -
Category
Technology
-
view
1.245 -
download
0
description
Transcript of Geneva Application Security Forum 2010
![Page 1: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/1.jpg)
Geneva Application Security Forum 2010« Vers une authentification plus forte dans les applications web »
ThinkSwiss—Anticipate the Future
Introduction Antonio Fontes - Chapter Leader OWASP Geneva
![Page 2: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/2.jpg)
Merci!
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#2
![Page 3: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/3.jpg)
OWASP
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#3
![Page 4: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/4.jpg)
Objectifs OWASP 2010
• Renforcer le pont créé avec les industries
• Atteindre les développeurs et les décideurs
• Accroitre la collaboration inter-chapitres• Continuer la mission de promotion
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#4
![Page 5: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/5.jpg)
OWASP Genève
• Structure:– 1 responsable de section– 1 membre donateur– 66 inscrits à la liste de diffusion– Situation financière: P/L: CHF 0.- (100%
sponsorings)• Activités 2009:
– Spring 2009 Meeting (90 participants)– HEIG Yverdon: séminaire top 10 intégré au
cursus master– 2ème semestre 2009: actions de promotion de
l’OWASPGeneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#5
![Page 6: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/6.jpg)
OWASP Genève
• Activités et objectifs 2010:– Geneva Application Security Forum – Accroitre la présence en conférences (Confoo
Montréal mars 2010)
– Promouvoir l’OWASP en Suisse romande:• Dépasser les 200 adhésions à la liste• >10% de membres donateurs (25 membres)
– Promouvoir la sécurité des applications web:
• Campagne d’évangélisation (blogs, conférences, etc.)
•
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#6
![Page 7: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/7.jpg)
•
qui êtes-vous?
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#7
![Page 8: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/8.jpg)
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#8
![Page 9: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/9.jpg)
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#9
![Page 10: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/10.jpg)
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#10
![Page 11: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/11.jpg)
•
« Vers une authentification plus forte dans les applications web »
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#11
![Page 12: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/12.jpg)
Le besoin d’authentification forte
• 62% des brèches: réalisées via les applications (Forrester, mai 2009)
• 88% des applications développées en interne exposent l’entreprise (Veracode, mars 2010)
• 2% des applications sous-traitées sont évaluées en matière de sécurité (Veracode, mars 2010)
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#12
![Page 13: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/13.jpg)
•
•
•
• L’analyse se base pourtant sur des logiciels de tous types! (client/serveur, web, embarqué, etc.)
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#13
![Page 14: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/14.jpg)
Le besoin d’authentification forte
• Forte croissance dans l’utilisation des applications mobiles
• Accès transparent aux services, à partir de multiples points de connexion
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#14
![Page 15: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/15.jpg)
Le besoin d’authentification forte
• Risques d’interception (en ligne ou via malware, ou keylogger)
• Attaques sociales, phishing• Risque accru d’un stockage de mot de
passes risqué• XSS + « mot de passe » = Vol
d’identité assuré!
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#15
![Page 16: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/16.jpg)
L’authentification forte
• Une combinaison: – Ce que je sais– Ce que je suis– Ce que je possède
• Des secrets uniques– Chaque session est authentifiée par un
secret différent
• Une protection accrue de l’identité
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#16
![Page 17: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/17.jpg)
Geneva Application Security Forum 2010
• Mission: – Encourager les organisations à réduire
le risque d’usurpation et de vol d’identité dans les applications web.
– Sensibiliser à la gestion des identités• Par la délégation• Par la fédération
– Faire connaître l’authentification forte•
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#17
![Page 18: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/18.jpg)
Programme
• Accueil (selon retard…)
• 18h30: Sylvain Maret (OpenID Suisse romande)
– L’intégration des technologies d’authentification forte dans les applications web
• 19h05: Philippe Leothaud (CTO, Bee Ware)
– L’authentification dans les contrôles de sécurité: les mesures proposées par l’OWASP
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#18
![Page 19: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/19.jpg)
Programme
• 19h40: Robert Ott (Président OpenID Suisse, fondateur ClavID)
– La fédération des identités
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#19
![Page 20: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/20.jpg)
Programme
• 20h15: Fête! Cocktail Offert par:
–– Kiosques:
• OWASP• OpenID, ClavID (activation de vos clés
Ubikey)• Bee Ware• MyBestID
• 21h30: Fin.Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#20
![Page 21: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/21.jpg)
Divers
• Vos clés Ubikey: activables au kiosque OpenID
• Pauses:– 5 minutes entre chaque intervention– Toilettes, distributeurs de boissons– Zone GSM de très haute qualité
(réception et résonnance) dans le hall!
• Assistance:–
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#21
![Page 22: Geneva Application Security Forum 2010](https://reader033.fdocuments.us/reader033/viewer/2022060110/555a07dbd8b42ad00a8b53e7/html5/thumbnails/22.jpg)
•
« Bonne soirée! »
Geneva Application Security Forum 2010 ThinkSwiss - Anticipate the Future
#22