Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...Microsoft
L'authentification unique (fédérée), l’autorisation (déléguée), le « provisioning » sont autant de services devenus essentiels pour l’entreprise désormais étendue à la fois en local et à travers le Cloud (hybride). Avec la souscription croissante d’abonnements à des applications SaaS (Software-as-a-Service), l’utilisation du Cloud (hybride) pour des applications cœur de métier, l’utilisation d’APIs Web RESTful spécialisées avec ce qu’il convient désormais d’appeler l’économie des APIs, le désir de mieux collaborer en interne « à la » Facebook et/ou d’interagir directement avec les réseaux sociaux, les protocoles liés à la gestion des identités et des accès constituent la pierre angulaire de ces dynamiques pour « parler » et établir des « ponts » d’identité et d’accès au-delà des frontières de l’organisation. Cette session vise à démystifier certains de ces protocoles (modernes) fondés sur HTTP. Parmi le choix des possibles en termes de protocoles et de standards, cette session s’intéressera plus particulièrement à des protocoles comme SAML 2.0, WS-Federation et OAuth 2.0, qui sont aujourd'hui très largement répandues voir incontournables avec les applications Web et mobile ainsi qu’avec les APIs Web. La session couvrira également OpenID Connect et effleura également SCIM, deux protocoles qui deviendront à n’en point douter des plus importants dans les prochains mois. Si certains de ces protocoles ont déjà été une source de confusion pour vous ou si vous voulez juste comprendre ce qu'ils font et ce qu’ils peuvent apporter dans vos projets ou pas, alors ne manquez pas cette session.
Speakers : Philippe Beraud (Microsoft), Arnaud Jumelet (Microsoft France), Jean-Yves Grasset (Microsoft)
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...Cyber Security Alliance
“Sign-in using your facebook, google, linked-in or twitter account…”
Porté notamment par les grands acteurs des réseaux sociaux, Oauth est devenu un standard difficilement contournable dans le paysage de la fédération d’identité.
Authentifier c’est s’assurer qu’une entité est bien celle qu’elle prétend être. Oauth, quant à lui, se définit comme un “framework” d’autorisation permettant à des applications d’accéder aux données d’un utilisateur en lui demandant sa permission.
Pourtant un usage important (Sign-in) semble être l’authentification…
Simple question de sémantique ? Ou réelle subtilité, qui mal comprise, pourrait nous conduire à de mauvaises implémentations ?
En ayant a cœur de répondre à cette question, cette présentation propose de regarder “sous le capot” de ce protocole. De Oauth 1.0 a Oauth 2.0 comment est-ce que cela fonctionne ? est-ce vrai qu’un token d’accès Oauth peut être réutilisé pour “usurper une identité” ? Et par rapport à SAML & OpenId : est-ce différent ou complémentaire ?
Synthèse des clubs utilisateurs ENT :
Club Orne - vendredi 27 mars à l’Hôtel du Département à Alençon
Club Manche - vendredi 3 avril à la Maison du Département à Saint-Lô
Club Calvados - vendredi 29 mai au Conseil départemental à Caen
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...Microsoft
L'authentification unique (fédérée), l’autorisation (déléguée), le « provisioning » sont autant de services devenus essentiels pour l’entreprise désormais étendue à la fois en local et à travers le Cloud (hybride). Avec la souscription croissante d’abonnements à des applications SaaS (Software-as-a-Service), l’utilisation du Cloud (hybride) pour des applications cœur de métier, l’utilisation d’APIs Web RESTful spécialisées avec ce qu’il convient désormais d’appeler l’économie des APIs, le désir de mieux collaborer en interne « à la » Facebook et/ou d’interagir directement avec les réseaux sociaux, les protocoles liés à la gestion des identités et des accès constituent la pierre angulaire de ces dynamiques pour « parler » et établir des « ponts » d’identité et d’accès au-delà des frontières de l’organisation. Cette session vise à démystifier certains de ces protocoles (modernes) fondés sur HTTP. Parmi le choix des possibles en termes de protocoles et de standards, cette session s’intéressera plus particulièrement à des protocoles comme SAML 2.0, WS-Federation et OAuth 2.0, qui sont aujourd'hui très largement répandues voir incontournables avec les applications Web et mobile ainsi qu’avec les APIs Web. La session couvrira également OpenID Connect et effleura également SCIM, deux protocoles qui deviendront à n’en point douter des plus importants dans les prochains mois. Si certains de ces protocoles ont déjà été une source de confusion pour vous ou si vous voulez juste comprendre ce qu'ils font et ce qu’ils peuvent apporter dans vos projets ou pas, alors ne manquez pas cette session.
Speakers : Philippe Beraud (Microsoft), Arnaud Jumelet (Microsoft France), Jean-Yves Grasset (Microsoft)
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...Cyber Security Alliance
“Sign-in using your facebook, google, linked-in or twitter account…”
Porté notamment par les grands acteurs des réseaux sociaux, Oauth est devenu un standard difficilement contournable dans le paysage de la fédération d’identité.
Authentifier c’est s’assurer qu’une entité est bien celle qu’elle prétend être. Oauth, quant à lui, se définit comme un “framework” d’autorisation permettant à des applications d’accéder aux données d’un utilisateur en lui demandant sa permission.
Pourtant un usage important (Sign-in) semble être l’authentification…
Simple question de sémantique ? Ou réelle subtilité, qui mal comprise, pourrait nous conduire à de mauvaises implémentations ?
En ayant a cœur de répondre à cette question, cette présentation propose de regarder “sous le capot” de ce protocole. De Oauth 1.0 a Oauth 2.0 comment est-ce que cela fonctionne ? est-ce vrai qu’un token d’accès Oauth peut être réutilisé pour “usurper une identité” ? Et par rapport à SAML & OpenId : est-ce différent ou complémentaire ?
Synthèse des clubs utilisateurs ENT :
Club Orne - vendredi 27 mars à l’Hôtel du Département à Alençon
Club Manche - vendredi 3 avril à la Maison du Département à Saint-Lô
Club Calvados - vendredi 29 mai au Conseil départemental à Caen
Cette offre est destinée à assurer une sauvegarde différentielle externalisée des fichiers présents sur vos serveurs dédiés ou semi-virtuels sur nos serveurs de sauvegarde locaux (c’est-à-dire situés dans le même datacenter). Ces sauvegardes différentielles vous permettent par exemple de récupérer des fichiers à une version antérieure en cas de problème de perte de données suite à un effacement accidentel ou des modifications non maitrisées. Notre système de sauvegarde différentiel est une garantie contre toute perte de données sur vos serveurs en production.
Integrado no projeto "Dinâmicas InterculturÁrias", a quarta apresentação em Língua Francesa relativa ao Castelo de Soure e ao período governado por D. Sesnando Davides.
Cette offre est destinée à assurer une sauvegarde différentielle externalisée des fichiers présents sur vos serveurs dédiés ou semi-virtuels sur nos serveurs de sauvegarde locaux (c’est-à-dire situés dans le même datacenter). Ces sauvegardes différentielles vous permettent par exemple de récupérer des fichiers à une version antérieure en cas de problème de perte de données suite à un effacement accidentel ou des modifications non maitrisées. Notre système de sauvegarde différentiel est une garantie contre toute perte de données sur vos serveurs en production.
Integrado no projeto "Dinâmicas InterculturÁrias", a quarta apresentação em Língua Francesa relativa ao Castelo de Soure e ao período governado por D. Sesnando Davides.
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?Jean-Philippe Simonnet
webmaster, chef de projets, développeurs, intégrateurs, administrateur réseau… Nous avons tous entre les mains des mots de passe de nos collègues, amis, responsables, voire de nos sociétés, certains de nos clients.
Pourtant combien d’entre nous ont une clause de confidentialité dans leurs contrats ? À l’heure de la tentation sécuritaire, de l’envie de légiférer des politiciens sur les droits et les devoirs des internautes, de la peur de ne pas savoir gérer nos identités numériques, que penser de ces mots de passe qui nous sont confiés du fait de notre compétence professionnelle ? Serons-nous, un jour, comme les médecins, avocats obligés de prêter serment ? Pourrons-nous invoquer la protection de nos sources, comme les journalistes, pour les données qui nous sont confiées ?
Il n'y a pas de formule magique pour gérer votre identité numérique mais nous vous apportons quelques conseils pratique en vue de vous aidez a mieux gérer votre identité qui représente votre avenir.
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...SOCIALware Benelux
Ce slideshow est rendu public dans le cadre de l'initiative Space Shelter! 2021 à destination du secteur associatif - en partenariat avec Google, Test-Achats/Aankoop, Euroconsumers et SOCIALware (TechSoup Global Network).
La cybercriminalité, qui consiste à utiliser un ordinateur comme outil pour poursuivre des objectifs illégaux, tels que la fraude, le trafic de pédopornographie et de propriété intellectuelle, l’usurpation d’identité ou l’atteinte à la vie privée, est en augmentation.
Vous apprendrez comment vous protéger lorsqu’un pirate, déguisé en entité de confiance, peut vous inciter à ouvrir un e-mail, un message instantané ou un message texte pour voler des données d’utilisateur, notamment des identifiants de connexion et des numéros de carte de crédit.
Découvrez également comment ces fraudes sont perpétrées et apprenez comment protéger votre organisation à but non lucratif et les personnes concernées.
Colloque Reconnaissance et Marketing - Technologie, privacy et Relation client
Master Marketing Opérationnel International - Université Paris Ouest
http://msmoi.wordpress.com/2010/04/02/colloque-onoff-reconnaissance-et-marketing-1er-avril-2010/
Similaire à Identification sur Internet - Login social - Thierry Brisset (20)
Le concept d’innovation systématique développé à l’origine pour les produits est aussi pertinent pour l’industrie des services.
Les innovations récemment observées dans le domaine de la GIA cadrent parfaitement avec les principes innovants de TRIZ.
Les incidents coûtent de plus en plus chers à traiter. Les organisations répondent souvent à cela par une augmentation des solutions technologiques (Cloud, Big Data, externalisation, outil de balayage, etc.) sans forcement mettre l’emphase sur le volet processus et le volet humain. Le résultat, on le connaît : beaucoup de technologies avec peu de résultat en cas d’incident, délai de traitement des incidents défoncés (SLA), etc.
Le but cette présentation est de comprendre le processus de gestion des incidents selon COBIT5 de l’ISACA. La présentation consistera à regarder la gestion des incidents de long en large (vision 365º) – volet conceptuel et volet opérationnel.
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIIISACA Chapitre de Québec
Les audits des contrôles de sociétés de services
SOC I – SOC II – SOC III
Par M. David Liberatore – Directeur vérification TI, Deloitte
le 31 mars 2015, ISACA-Québec
LA GESTION DES RISQUES EN SÉCURITÉ DE L’INFORMATION À L’UNIVERSITÉ LAVAL : UNE HISTOIRE ÉVOLUTIVE!
PATRICK MAROIS, M. SC., DOCTORANT SC. ADM.
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
GUILLAUME DUBÉ, CISA CRISC
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
31 MARS 2015 - ISACA-Québec
Déploiement d'une infrastructure à clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
MISE EN PLACE D’UNE INFRASTRUCTURE À CLÉS PUBLIQUES (ICP) ENJEUX ET CONFORMITÉ
UNE VISION PRATIQUE
par HECTOR SZABO et THOMAS PORNIN
le 31 mars 2015, ISACA-Québec
ISACA Québec : Conférence
Nous présenterons un aperçu des dix principes qui sont énoncés dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Nous discuterons ensuite de certaines sources d’information intéressantes ainsi que de certaines observations faites dans le cadre de vérifications et d’enquêtes du Commissariat à la protection de la vie privée du Canada reliées à la protection des renseignements personnels.
Nouveau cadre de gouvernance de la sécurité de l’information.
Présenté à ISACA-Québec par Mohamed Darabid du Sous-secrétariat du dirigeant principal de l’information,
Direction de l’encadrement de la sécurité de l’information.
Nouveau cadre de gouvernance de la sécurité de l'information présenté par Mohamed Darabid du Sous-secrétariat du dirigeant principal de l’information, Direction de l’encadrement de la sécurité de l’information.
2. Objectif
2
Sites Web
Culture Divertissement
Sports et loisirs
…
Univers
social
Univers
professionnel
Biens et services
• Analyser un cas mettant en
évidence les particularités
d’Internet dans la gestion de
l’identité
• Identités multiples, id/mdp,
réseaux sociaux, profilage, vie
privée/professionnelle,…
Réseau
sociaux
Finances
personnelles
Taxes –
impôts
…
4. Forme d’authentification utilisant les informations de connexion existantes d'un réseau
social pour connecter l'utilisateur à un site web Internet
Définition du login social
4
Source : https://en.wikipedia.org/wiki/Social_login
Sites Web
marchand
Fournisseur
d’identité
1 - Je veux …
2 – Qui êtes-vous ?
3– authentification
4 – Je suis … et je veux …
Lien de
confiance
6. Les motivations
La multiplication des identifiants
• Les utilisateurs ont en moyenne 26 identifiants sur Internet pour
seulement 5 mots de passe
Les mots de passe sont trop vulnérables
• 90 % des mots de passe Internet peuvent être craqués
• « 123456 » ou « password » sont encore les plus populaires !
6
Source : http://www2.deloitte.com/content/dam/Deloitte/global/Documents/Technology-Media-Telecommunications/dttl_TMT_Predictions2013_Password.pdf
7. Les motivations
Processus d’enregistrement sur les sites Web est perçu comme un obstacle
Le login social représente un potentiel d’affaires pour les sites marchand
• Le réseau social est un vecteur d’influence positive
• L’information accessible est à jour (permet un meilleur ciblage de la clientèle)
7
Source : http://sherpablog.marketingsherpa.com/social-networking-evangelism-community/social-login-registration/
25 % compléteront
l’enregistrement
54 % ne retourneront
pas sur le site
17 % vont sur
un autre site
4 % quittent le site
8. Les principaux acteurs
8
Source : http://janrain.com/blog/social-login-trends-q3-2014/
.
D’ici 2018, 40% des identités électroniques qui
interagiront avec les entreprises viendront d’un
fournisseur d’identité externe
Source : Future Proofing Consumer Identity (Gartner)
9. Comment ça fonctionne ?
9
Courriel : ________
Mot de passe: _____
Fournisseurs d’identité
2
Services en ligne
1. L’utilisateur désire consommer un des services offerts par le site Web qui nécessite d’avoir un compte local
2. L’utilisateur choisit d’utiliser son identification sociale
3. Le site Web utilise l’adresse courriel pour associer la personne au compte local
1. Lors du premier login : L’utilisateur autorise le transfert des informations de son profil au site Web
4. L’utilisateur profite d’une expérience de navigation personnalisée
Autorisation d’accès
au profil
1
Courriel, nom, prénom,…
Premier login
Accès au compte
local
(crée)
3
4
Démonstration >>
11. Risque #1 – Identification non validée
Vulnérabilités
• Fournisseur d’identité : identifiant (courriel) non vérifié
• Site Web : méthode d’appariement avec le compte local
Impacts
• Une tierce personne peut accéder au compte local d’un site Web en
utilisant le login de LinkedIn (IBM déc. 2014)
11
Source : http://www.csoonline.com/article/2855731/social-networking-security/spoofedme-attacks-exploited-linkedin-amazon-social-login-flaws.html
12. Scénario d’attaque
12
Courriel : ________
Mot de passe: _____
Fournisseurs d’identité en ligne
Services en ligne
Accède au compte
local de la cible
S’authentifie avec son nouveau
compte
3
Crée un compte avec le courriel
de la cible cible@courriel.com
Nom, prénom
cible@courriel.com
2
1
0
cible
Vidéo de l’attaque: https://www.youtube.com/watch?v=kC0s3S00Dmk
13. Risque #2 – la communication d’information
Le contrôle d’accès au contenu du profil par les sites Web est-il
réellement éclairé ?
• Le site Web impose ses contraintes pour l’autorisation d’accès aux
données du profil
• L’autorisation d’accès aux données du profil est presque « irréversible »
• Le recours à différents fournisseurs d’identité décloisonne les univers
sociaux de l’utilisateur
13
Source http://sherpablog.marketingsherpa.com/social-networking-evangelism-community/social-login-registration/
Gestion des accès >>
15. Mesures de contrôle
Fournisseur d’identité
• Vérifier l’identité
• Vérifier l’adresse courriel (toutes les adresses)
• Vérifier les autres attributs (ex: âge, adresse)
• Contrôler les informations qui seront transmises au site Web
• Empêcher le site Web de pouvoir modifier le contenu du profil (ex: publié sur le mur)
15
16. Mesures de contrôle
Site Web
• Utiliser uniquement des données vérifiées pour identifier l’utilisateur
• Utiliser l’information obtenue uniquement pour améliorer l’expérience utilisateur
• Offrir les deux méthodes d’identification à l’utilisateur
Utilisateur
• Utiliser un fournisseur d’identité qui conserve peu d’information
• Gérer les liens de confiance établis avec le fournisseur d’identité
• Être rigoureux sur la gestion du mot de passe utilisé pour l’authentification chez
les fournisseurs d’identité
16
17. Qu’est-ce qu’une identification vérifiée ?
Corroborer l’information à différentes sources
• Comparer avec d’autres profils (ex: nom, adresse, âge,..)
• Valider que la personne est bien propriétaire de l’adresse courriel ou du
dispositif mobile
• Valider des pièces émises par une entité de confiance (ex: un gouvernement)
Services disponibles en ligne
• http://www.callcredit.co.uk/products-and-services/fraud-and-id/callvalidate
• https://www.infodirect.ca/Welcome
• http://www.idchecker.com/
• https://www.idology.com/id-verification/id-verification/
17
Gestion de l’identité 2.0
18. Enjeux pour des services sensibles
Pour le gouvernement
• Cohérence du message à l’égard de la protection des
renseignements personnels et de la vie privée
Pour les institutions financières
• Intérêt pour l’attrait de nouveau client
• Nécessité de renforcement pour délivrer les services sensibles
18
19. Conclusion
Le bénéfice de l’expérience utilisateur semble l’emporter sur la
crainte de la communication des informations du profil utilisateur
• Les institutions délivrant des services sensibles (institution
financière et gouvernement) devront faire face à cet engouement
Le choix doit être donné aux utilisateurs d’évaluer si la sensibilité de
leur information est plus importante que l’inconvénient de
compléter les étapes de création d’un compte
19