Le web après les mots de passe

La présentation

Vidéo

Diaporama

Télécharger

PDF

Le sujet

Cette présentation s'adresse aux concepteurs d'applications web, afin de leur donner des pistes pour rendre leurs applications plus sûres.
Les défauts des mots de passe pour s'authentifier auprès des applications web sont bien connus: les utilisa-teurs-trices doivent choisir entre un mot de passe sûr (complexe et différent pour chaque application) ou facile à retenir (simple, utilisé sur plusieurs applications). Le résultat est un véritable casse tête dans le premier cas, ou l'usurpation d'identité pour ceux qui choisissent la facilité. L'année 2012 a vu 12 million de comptes piratés (1 toutes les 3 secondes), entraînant des vols pour un montant estimé à 26 milliards de dollars.
Pourtant des solutions existent, et nous présenterons leurs principales caractéristiques :


  • Délégation de l'authentification auprès de serveurs d'identités, offrant la possibilité d'une authentification unique (Social Sign-In à travers Facebook, Google, Twitter et autres).

  • Authentification forte à l'aide de multiples facteurs ou canaux de communications (PC + mobile, empreintes digitales, token OTP, cartes à puce…)


Nous ferons un rapide panorama des protocoles disponibles ou en cours de spécification permettant ce type d'authentification: OpenID [Connect], SAML, BrowserID, OAuth, FIDO Alliance.

Pour illustrer concrètement la mise en oeuvre de ces techniques, nous présenterons un code simple (javascript) réalisant une délégation d'authentification à l'aide d'une solution open source (par ex. Mozilla Persona), et nous montrerons un exemple de mise oeuvre d'authentification à multiple facteurs (carte à puce et empreinte digitale) dans une application web.

Présenté par Olivier Potonniée

Olivier Potonniée

Olivier Potonniée est ingénieur de recherche dans l'équipe Innovation et Technologie de Gemalto, basé à La Ciotat (France). Il conçoit et réalise des solutions pour sécuriser les applications web, notamment à l'aide de carte à puce. Il a rejoint Gemalto (précédemment Gemplus) en 1999, et avant ça a travaillé chez Alcatel et France Telecom R&D. Il possède une thèse en Informatique de l'université Paris VI.