IDENTIFICATION SUR INTERNET –
LOGIN SOCIAL
Thierry Brisset 29 septembre 2015
SYMPOSIUM GIA
Objectif
2
Sites Web
Culture Divertissement
Sports et loisirs
…
Univers
social
Univers
professionnel
Biens et services
• A...
Agenda
• Le contexte du login social
• Les risques
• Les mesures de contrôle
3
Forme d’authentification utilisant les informations de connexion existantes d'un réseau
social pour connecter l'utilisateu...
5
Les motivations
La multiplication des identifiants
• Les utilisateurs ont en moyenne 26 identifiants sur Internet pour
seu...
Les motivations
Processus d’enregistrement sur les sites Web est perçu comme un obstacle
Le login social représente un pot...
Les principaux acteurs
8
Source : http://janrain.com/blog/social-login-trends-q3-2014/
.
D’ici 2018, 40% des identités éle...
Comment ça fonctionne ?
9
Courriel : ________
Mot de passe: _____
Fournisseurs d’identité
2
Services en ligne
1. L’utilisa...
Quels sont les
risques?
10
Risque #1 – Identification non validée
Vulnérabilités
• Fournisseur d’identité : identifiant (courriel) non vérifié
• Site...
Scénario d’attaque
12
Courriel : ________
Mot de passe: _____
Fournisseurs d’identité en ligne
Services en ligne
Accède au...
Risque #2 – la communication d’information
Le contrôle d’accès au contenu du profil par les sites Web est-il
réellement éc...
Quelles sont les
mesures de contrôle
possibles ?
14
Mesures de contrôle
Fournisseur d’identité
• Vérifier l’identité
• Vérifier l’adresse courriel (toutes les adresses)
• Vér...
Mesures de contrôle
Site Web
• Utiliser uniquement des données vérifiées pour identifier l’utilisateur
• Utiliser l’inform...
Qu’est-ce qu’une identification vérifiée ?
Corroborer l’information à différentes sources
• Comparer avec d’autres profils...
Enjeux pour des services sensibles
Pour le gouvernement
• Cohérence du message à l’égard de la protection des
renseignemen...
Conclusion
Le bénéfice de l’expérience utilisateur semble l’emporter sur la
crainte de la communication des informations d...
Merci
Thierry.Brisset@vision-information.ca
http://ca.linkedin.com/in/ThierryBrisset
20
Prochain SlideShare
Chargement dans…5
×

Identification sur Internet - Login social - Thierry Brisset

244 vues

Publié le

Analyse d'un cas mettant en évidence les particularités d'Internet dans la gestion de l'identité

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
244
Sur SlideShare
0
Issues des intégrations
0
Intégrations
7
Actions
Partages
0
Téléchargements
14
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Identification sur Internet - Login social - Thierry Brisset

  1. 1. IDENTIFICATION SUR INTERNET – LOGIN SOCIAL Thierry Brisset 29 septembre 2015 SYMPOSIUM GIA
  2. 2. Objectif 2 Sites Web Culture Divertissement Sports et loisirs … Univers social Univers professionnel Biens et services • Analyser un cas mettant en évidence les particularités d’Internet dans la gestion de l’identité • Identités multiples, id/mdp, réseaux sociaux, profilage, vie privée/professionnelle,… Réseau sociaux Finances personnelles Taxes – impôts …
  3. 3. Agenda • Le contexte du login social • Les risques • Les mesures de contrôle 3
  4. 4. Forme d’authentification utilisant les informations de connexion existantes d'un réseau social pour connecter l'utilisateur à un site web Internet Définition du login social 4 Source : https://en.wikipedia.org/wiki/Social_login Sites Web marchand Fournisseur d’identité 1 - Je veux … 2 – Qui êtes-vous ? 3– authentification 4 – Je suis … et je veux … Lien de confiance
  5. 5. 5
  6. 6. Les motivations La multiplication des identifiants • Les utilisateurs ont en moyenne 26 identifiants sur Internet pour seulement 5 mots de passe Les mots de passe sont trop vulnérables • 90 % des mots de passe Internet peuvent être craqués • « 123456 » ou « password » sont encore les plus populaires ! 6 Source : http://www2.deloitte.com/content/dam/Deloitte/global/Documents/Technology-Media-Telecommunications/dttl_TMT_Predictions2013_Password.pdf
  7. 7. Les motivations Processus d’enregistrement sur les sites Web est perçu comme un obstacle Le login social représente un potentiel d’affaires pour les sites marchand • Le réseau social est un vecteur d’influence positive • L’information accessible est à jour (permet un meilleur ciblage de la clientèle) 7 Source : http://sherpablog.marketingsherpa.com/social-networking-evangelism-community/social-login-registration/ 25 % compléteront l’enregistrement 54 % ne retourneront pas sur le site 17 % vont sur un autre site 4 % quittent le site
  8. 8. Les principaux acteurs 8 Source : http://janrain.com/blog/social-login-trends-q3-2014/ . D’ici 2018, 40% des identités électroniques qui interagiront avec les entreprises viendront d’un fournisseur d’identité externe Source : Future Proofing Consumer Identity (Gartner)
  9. 9. Comment ça fonctionne ? 9 Courriel : ________ Mot de passe: _____ Fournisseurs d’identité 2 Services en ligne 1. L’utilisateur désire consommer un des services offerts par le site Web qui nécessite d’avoir un compte local 2. L’utilisateur choisit d’utiliser son identification sociale 3. Le site Web utilise l’adresse courriel pour associer la personne au compte local 1. Lors du premier login : L’utilisateur autorise le transfert des informations de son profil au site Web 4. L’utilisateur profite d’une expérience de navigation personnalisée Autorisation d’accès au profil 1 Courriel, nom, prénom,… Premier login Accès au compte local (crée) 3 4 Démonstration >>
  10. 10. Quels sont les risques? 10
  11. 11. Risque #1 – Identification non validée Vulnérabilités • Fournisseur d’identité : identifiant (courriel) non vérifié • Site Web : méthode d’appariement avec le compte local Impacts • Une tierce personne peut accéder au compte local d’un site Web en utilisant le login de LinkedIn (IBM déc. 2014) 11 Source : http://www.csoonline.com/article/2855731/social-networking-security/spoofedme-attacks-exploited-linkedin-amazon-social-login-flaws.html
  12. 12. Scénario d’attaque 12 Courriel : ________ Mot de passe: _____ Fournisseurs d’identité en ligne Services en ligne Accède au compte local de la cible S’authentifie avec son nouveau compte 3 Crée un compte avec le courriel de la cible cible@courriel.com Nom, prénom cible@courriel.com 2 1 0 cible Vidéo de l’attaque: https://www.youtube.com/watch?v=kC0s3S00Dmk
  13. 13. Risque #2 – la communication d’information Le contrôle d’accès au contenu du profil par les sites Web est-il réellement éclairé ? • Le site Web impose ses contraintes pour l’autorisation d’accès aux données du profil • L’autorisation d’accès aux données du profil est presque « irréversible » • Le recours à différents fournisseurs d’identité décloisonne les univers sociaux de l’utilisateur 13 Source http://sherpablog.marketingsherpa.com/social-networking-evangelism-community/social-login-registration/ Gestion des accès >>
  14. 14. Quelles sont les mesures de contrôle possibles ? 14
  15. 15. Mesures de contrôle Fournisseur d’identité • Vérifier l’identité • Vérifier l’adresse courriel (toutes les adresses) • Vérifier les autres attributs (ex: âge, adresse) • Contrôler les informations qui seront transmises au site Web • Empêcher le site Web de pouvoir modifier le contenu du profil (ex: publié sur le mur) 15
  16. 16. Mesures de contrôle Site Web • Utiliser uniquement des données vérifiées pour identifier l’utilisateur • Utiliser l’information obtenue uniquement pour améliorer l’expérience utilisateur • Offrir les deux méthodes d’identification à l’utilisateur Utilisateur • Utiliser un fournisseur d’identité qui conserve peu d’information • Gérer les liens de confiance établis avec le fournisseur d’identité • Être rigoureux sur la gestion du mot de passe utilisé pour l’authentification chez les fournisseurs d’identité 16
  17. 17. Qu’est-ce qu’une identification vérifiée ? Corroborer l’information à différentes sources • Comparer avec d’autres profils (ex: nom, adresse, âge,..) • Valider que la personne est bien propriétaire de l’adresse courriel ou du dispositif mobile • Valider des pièces émises par une entité de confiance (ex: un gouvernement) Services disponibles en ligne • http://www.callcredit.co.uk/products-and-services/fraud-and-id/callvalidate • https://www.infodirect.ca/Welcome • http://www.idchecker.com/ • https://www.idology.com/id-verification/id-verification/ 17 Gestion de l’identité 2.0
  18. 18. Enjeux pour des services sensibles Pour le gouvernement • Cohérence du message à l’égard de la protection des renseignements personnels et de la vie privée Pour les institutions financières • Intérêt pour l’attrait de nouveau client • Nécessité de renforcement pour délivrer les services sensibles 18
  19. 19. Conclusion Le bénéfice de l’expérience utilisateur semble l’emporter sur la crainte de la communication des informations du profil utilisateur • Les institutions délivrant des services sensibles (institution financière et gouvernement) devront faire face à cet engouement Le choix doit être donné aux utilisateurs d’évaluer si la sensibilité de leur information est plus importante que l’inconvénient de compléter les étapes de création d’un compte 19
  20. 20. Merci Thierry.Brisset@vision-information.ca http://ca.linkedin.com/in/ThierryBrisset 20

×