SlideShare une entreprise Scribd logo
IDENTIFICATION SUR INTERNET –
LOGIN SOCIAL
Thierry Brisset 29 septembre 2015
SYMPOSIUM GIA
Objectif
2
Sites Web
Culture Divertissement
Sports et loisirs
…
Univers
social
Univers
professionnel
Biens et services
• Analyser un cas mettant en
évidence les particularités
d’Internet dans la gestion de
l’identité
• Identités multiples, id/mdp,
réseaux sociaux, profilage, vie
privée/professionnelle,…
Réseau
sociaux
Finances
personnelles
Taxes –
impôts
…
Agenda
• Le contexte du login social
• Les risques
• Les mesures de contrôle
3
Forme d’authentification utilisant les informations de connexion existantes d'un réseau
social pour connecter l'utilisateur à un site web Internet
Définition du login social
4
Source : https://en.wikipedia.org/wiki/Social_login
Sites Web
marchand
Fournisseur
d’identité
1 - Je veux …
2 – Qui êtes-vous ?
3– authentification
4 – Je suis … et je veux …
Lien de
confiance
5
Les motivations
La multiplication des identifiants
• Les utilisateurs ont en moyenne 26 identifiants sur Internet pour
seulement 5 mots de passe
Les mots de passe sont trop vulnérables
• 90 % des mots de passe Internet peuvent être craqués
• « 123456 » ou « password » sont encore les plus populaires !
6
Source : http://www2.deloitte.com/content/dam/Deloitte/global/Documents/Technology-Media-Telecommunications/dttl_TMT_Predictions2013_Password.pdf
Les motivations
Processus d’enregistrement sur les sites Web est perçu comme un obstacle
Le login social représente un potentiel d’affaires pour les sites marchand
• Le réseau social est un vecteur d’influence positive
• L’information accessible est à jour (permet un meilleur ciblage de la clientèle)
7
Source : http://sherpablog.marketingsherpa.com/social-networking-evangelism-community/social-login-registration/
25 % compléteront
l’enregistrement
54 % ne retourneront
pas sur le site
17 % vont sur
un autre site
4 % quittent le site
Les principaux acteurs
8
Source : http://janrain.com/blog/social-login-trends-q3-2014/
.
D’ici 2018, 40% des identités électroniques qui
interagiront avec les entreprises viendront d’un
fournisseur d’identité externe
Source : Future Proofing Consumer Identity (Gartner)
Comment ça fonctionne ?
9
Courriel : ________
Mot de passe: _____
Fournisseurs d’identité
2
Services en ligne
1. L’utilisateur désire consommer un des services offerts par le site Web qui nécessite d’avoir un compte local
2. L’utilisateur choisit d’utiliser son identification sociale
3. Le site Web utilise l’adresse courriel pour associer la personne au compte local
1. Lors du premier login : L’utilisateur autorise le transfert des informations de son profil au site Web
4. L’utilisateur profite d’une expérience de navigation personnalisée
Autorisation d’accès
au profil
1
Courriel, nom, prénom,…
Premier login
Accès au compte
local
(crée)
3
4
Démonstration >>
Quels sont les
risques?
10
Risque #1 – Identification non validée
Vulnérabilités
• Fournisseur d’identité : identifiant (courriel) non vérifié
• Site Web : méthode d’appariement avec le compte local
Impacts
• Une tierce personne peut accéder au compte local d’un site Web en
utilisant le login de LinkedIn (IBM déc. 2014)
11
Source : http://www.csoonline.com/article/2855731/social-networking-security/spoofedme-attacks-exploited-linkedin-amazon-social-login-flaws.html
Scénario d’attaque
12
Courriel : ________
Mot de passe: _____
Fournisseurs d’identité en ligne
Services en ligne
Accède au compte
local de la cible
S’authentifie avec son nouveau
compte
3
Crée un compte avec le courriel
de la cible cible@courriel.com
Nom, prénom
cible@courriel.com
2
1
0
cible
Vidéo de l’attaque: https://www.youtube.com/watch?v=kC0s3S00Dmk
Risque #2 – la communication d’information
Le contrôle d’accès au contenu du profil par les sites Web est-il
réellement éclairé ?
• Le site Web impose ses contraintes pour l’autorisation d’accès aux
données du profil
• L’autorisation d’accès aux données du profil est presque « irréversible »
• Le recours à différents fournisseurs d’identité décloisonne les univers
sociaux de l’utilisateur
13
Source http://sherpablog.marketingsherpa.com/social-networking-evangelism-community/social-login-registration/
Gestion des accès >>
Quelles sont les
mesures de contrôle
possibles ?
14
Mesures de contrôle
Fournisseur d’identité
• Vérifier l’identité
• Vérifier l’adresse courriel (toutes les adresses)
• Vérifier les autres attributs (ex: âge, adresse)
• Contrôler les informations qui seront transmises au site Web
• Empêcher le site Web de pouvoir modifier le contenu du profil (ex: publié sur le mur)
15
Mesures de contrôle
Site Web
• Utiliser uniquement des données vérifiées pour identifier l’utilisateur
• Utiliser l’information obtenue uniquement pour améliorer l’expérience utilisateur
• Offrir les deux méthodes d’identification à l’utilisateur
Utilisateur
• Utiliser un fournisseur d’identité qui conserve peu d’information
• Gérer les liens de confiance établis avec le fournisseur d’identité
• Être rigoureux sur la gestion du mot de passe utilisé pour l’authentification chez
les fournisseurs d’identité
16
Qu’est-ce qu’une identification vérifiée ?
Corroborer l’information à différentes sources
• Comparer avec d’autres profils (ex: nom, adresse, âge,..)
• Valider que la personne est bien propriétaire de l’adresse courriel ou du
dispositif mobile
• Valider des pièces émises par une entité de confiance (ex: un gouvernement)
Services disponibles en ligne
• http://www.callcredit.co.uk/products-and-services/fraud-and-id/callvalidate
• https://www.infodirect.ca/Welcome
• http://www.idchecker.com/
• https://www.idology.com/id-verification/id-verification/
17
Gestion de l’identité 2.0
Enjeux pour des services sensibles
Pour le gouvernement
• Cohérence du message à l’égard de la protection des
renseignements personnels et de la vie privée
Pour les institutions financières
• Intérêt pour l’attrait de nouveau client
• Nécessité de renforcement pour délivrer les services sensibles
18
Conclusion
Le bénéfice de l’expérience utilisateur semble l’emporter sur la
crainte de la communication des informations du profil utilisateur
• Les institutions délivrant des services sensibles (institution
financière et gouvernement) devront faire face à cet engouement
Le choix doit être donné aux utilisateurs d’évaluer si la sensibilité de
leur information est plus importante que l’inconvénient de
compléter les étapes de création d’un compte
19
Merci
Thierry.Brisset@vision-information.ca
http://ca.linkedin.com/in/ThierryBrisset
20

Contenu connexe

En vedette

Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...
Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...
Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...
Brussels Heart Center
 
3euro acrostico
3euro acrostico3euro acrostico
3euro acrostico
adbespagnol
 
TIC's y Scrum
TIC's y ScrumTIC's y Scrum
TIC's y Scrum
Cota Ferrada Guzmán
 
Offre de sauvegarde externalisée
Offre de sauvegarde externaliséeOffre de sauvegarde externalisée
Offre de sauvegarde externalisée
Platine
 
Binder1
Binder1Binder1
Binder1
tuquedises
 
Rapport d'activité SoFAB 2014-2015
Rapport d'activité SoFAB 2014-2015Rapport d'activité SoFAB 2014-2015
Rapport d'activité SoFAB 2014-2015
Pascal Flamand
 
Des chaussures de mariées personnalisées
Des chaussures de mariées personnaliséesDes chaussures de mariées personnalisées
Des chaussures de mariées personnaliséespersonalcare
 
07 hollande-au-mali
07 hollande-au-mali07 hollande-au-mali
07 hollande-au-malididierp
 
Presentación1
Presentación1Presentación1
Presentación1
Ivan2510
 
Susana
SusanaSusana
La démocratie locale à défendre
La démocratie locale à défendreLa démocratie locale à défendre
La démocratie locale à défendre
ecolosenat
 
Review acheter robes de mariée
Review acheter robes de mariéeReview acheter robes de mariée
Review acheter robes de mariéepersonalcare
 
Cours professionnels langues
Cours professionnels languesCours professionnels langues
Cours professionnels languesLaurent Cheret
 
#4. Soure
#4. Soure#4. Soure
#4. Soure
Alexandra Duarte
 
Remplacement professeurs absents
Remplacement professeurs absentsRemplacement professeurs absents
Remplacement professeurs absentsLaurent Cheret
 
Y el silencio
Y el silencioY el silencio
La Mémoire du Journalisme Vénézuélien
La Mémoire du Journalisme VénézuélienLa Mémoire du Journalisme Vénézuélien
La Mémoire du Journalisme Vénézuélien
CarolinedeO
 

En vedette (20)

Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...
Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...
Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...
 
3euro acrostico
3euro acrostico3euro acrostico
3euro acrostico
 
TIC's y Scrum
TIC's y ScrumTIC's y Scrum
TIC's y Scrum
 
Offre de sauvegarde externalisée
Offre de sauvegarde externaliséeOffre de sauvegarde externalisée
Offre de sauvegarde externalisée
 
Binder1
Binder1Binder1
Binder1
 
Rapport d'activité SoFAB 2014-2015
Rapport d'activité SoFAB 2014-2015Rapport d'activité SoFAB 2014-2015
Rapport d'activité SoFAB 2014-2015
 
Google Earth. Tutorial
Google Earth. TutorialGoogle Earth. Tutorial
Google Earth. Tutorial
 
Des chaussures de mariées personnalisées
Des chaussures de mariées personnaliséesDes chaussures de mariées personnalisées
Des chaussures de mariées personnalisées
 
07 hollande-au-mali
07 hollande-au-mali07 hollande-au-mali
07 hollande-au-mali
 
Presentación1
Presentación1Presentación1
Presentación1
 
Susana
SusanaSusana
Susana
 
La démocratie locale à défendre
La démocratie locale à défendreLa démocratie locale à défendre
La démocratie locale à défendre
 
Monde
MondeMonde
Monde
 
Review acheter robes de mariée
Review acheter robes de mariéeReview acheter robes de mariée
Review acheter robes de mariée
 
Cours professionnels langues
Cours professionnels languesCours professionnels langues
Cours professionnels langues
 
#4. Soure
#4. Soure#4. Soure
#4. Soure
 
Remplacement professeurs absents
Remplacement professeurs absentsRemplacement professeurs absents
Remplacement professeurs absents
 
Y el silencio
Y el silencioY el silencio
Y el silencio
 
2015
20152015
2015
 
La Mémoire du Journalisme Vénézuélien
La Mémoire du Journalisme VénézuélienLa Mémoire du Journalisme Vénézuélien
La Mémoire du Journalisme Vénézuélien
 

Similaire à Identification sur Internet - Login social - Thierry Brisset

Maîtriser son identité numérique
Maîtriser son identité numériqueMaîtriser son identité numérique
Maîtriser son identité numérique
TiceVesoulSud
 
Certifier l'identité enjeux
Certifier l'identité   enjeuxCertifier l'identité   enjeux
Certifier l'identité enjeuxrichard peirano
 
Comment approcherlecloud
Comment approcherlecloudComment approcherlecloud
Comment approcherlecloudLeTesteur
 
Sécurité et Moyens de Paiements
Sécurité et Moyens de PaiementsSécurité et Moyens de Paiements
Sécurité et Moyens de Paiements
Darkmira
 
Identités, traces et interactions numériques l'apport du renseignement inte...
Identités, traces et interactions numériques   l'apport du renseignement inte...Identités, traces et interactions numériques   l'apport du renseignement inte...
Identités, traces et interactions numériques l'apport du renseignement inte...Terry ZIMMER
 
Identité numérique
Identité  numériqueIdentité  numérique
Identité numérique
ahmedmejri3
 
Authentification - Sécurité des SI
Authentification - Sécurité des SIAuthentification - Sécurité des SI
Authentification - Sécurité des SI
Mélody Durand
 
LTO Auth
LTO AuthLTO Auth
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Jean-Philippe Simonnet
 
Présentation d'OpenID
Présentation d'OpenIDPrésentation d'OpenID
Présentation d'OpenID
mmti2008
 
OpenID Presentation
OpenID PresentationOpenID Presentation
OpenID Presentation
mathieuthouvenin
 
Sites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugleSites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugle
ISACA Chapitre de Québec
 
Comment gerer votre identite numerique
Comment gerer votre identite numeriqueComment gerer votre identite numerique
Comment gerer votre identite numerique
Wiki Info Systeme
 
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud   exemple de wikimedia (wikipedia)La fin du mot de passe pour accèder au cloud   exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
Alice and Bob
 
10 règles du moi pour l'identité numérique.
10 règles du moi pour l'identité numérique. 10 règles du moi pour l'identité numérique.
10 règles du moi pour l'identité numérique.
Marina Calif
 
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
SOCIALware Benelux
 
Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009
Prof. Jacques Folon (Ph.D)
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
depinfo
 
Les données post-mortem - Rochwerg, Joly, Monier
Les données post-mortem - Rochwerg, Joly, MonierLes données post-mortem - Rochwerg, Joly, Monier
Les données post-mortem - Rochwerg, Joly, Monier
Hugo Monier
 
Michel Arnaud
Michel ArnaudMichel Arnaud
Michel Arnaud
Master MOI
 

Similaire à Identification sur Internet - Login social - Thierry Brisset (20)

Maîtriser son identité numérique
Maîtriser son identité numériqueMaîtriser son identité numérique
Maîtriser son identité numérique
 
Certifier l'identité enjeux
Certifier l'identité   enjeuxCertifier l'identité   enjeux
Certifier l'identité enjeux
 
Comment approcherlecloud
Comment approcherlecloudComment approcherlecloud
Comment approcherlecloud
 
Sécurité et Moyens de Paiements
Sécurité et Moyens de PaiementsSécurité et Moyens de Paiements
Sécurité et Moyens de Paiements
 
Identités, traces et interactions numériques l'apport du renseignement inte...
Identités, traces et interactions numériques   l'apport du renseignement inte...Identités, traces et interactions numériques   l'apport du renseignement inte...
Identités, traces et interactions numériques l'apport du renseignement inte...
 
Identité numérique
Identité  numériqueIdentité  numérique
Identité numérique
 
Authentification - Sécurité des SI
Authentification - Sécurité des SIAuthentification - Sécurité des SI
Authentification - Sécurité des SI
 
LTO Auth
LTO AuthLTO Auth
LTO Auth
 
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
 
Présentation d'OpenID
Présentation d'OpenIDPrésentation d'OpenID
Présentation d'OpenID
 
OpenID Presentation
OpenID PresentationOpenID Presentation
OpenID Presentation
 
Sites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugleSites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugle
 
Comment gerer votre identite numerique
Comment gerer votre identite numeriqueComment gerer votre identite numerique
Comment gerer votre identite numerique
 
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud   exemple de wikimedia (wikipedia)La fin du mot de passe pour accèder au cloud   exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
 
10 règles du moi pour l'identité numérique.
10 règles du moi pour l'identité numérique. 10 règles du moi pour l'identité numérique.
10 règles du moi pour l'identité numérique.
 
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
 
Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
 
Les données post-mortem - Rochwerg, Joly, Monier
Les données post-mortem - Rochwerg, Joly, MonierLes données post-mortem - Rochwerg, Joly, Monier
Les données post-mortem - Rochwerg, Joly, Monier
 
Michel Arnaud
Michel ArnaudMichel Arnaud
Michel Arnaud
 

Plus de ISACA Chapitre de Québec

ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
ISACA Chapitre de Québec
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
ISACA Chapitre de Québec
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
ISACA Chapitre de Québec
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
ISACA Chapitre de Québec
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
ISACA Chapitre de Québec
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
ISACA Chapitre de Québec
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
ISACA Chapitre de Québec
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
ISACA Chapitre de Québec
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
ISACA Chapitre de Québec
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
ISACA Chapitre de Québec
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
ISACA Chapitre de Québec
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
ISACA Chapitre de Québec
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
ISACA Chapitre de Québec
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
ISACA Chapitre de Québec
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
ISACA Chapitre de Québec
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
ISACA Chapitre de Québec
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauISACA Chapitre de Québec
 

Plus de ISACA Chapitre de Québec (20)

ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
 

Identification sur Internet - Login social - Thierry Brisset

  • 1. IDENTIFICATION SUR INTERNET – LOGIN SOCIAL Thierry Brisset 29 septembre 2015 SYMPOSIUM GIA
  • 2. Objectif 2 Sites Web Culture Divertissement Sports et loisirs … Univers social Univers professionnel Biens et services • Analyser un cas mettant en évidence les particularités d’Internet dans la gestion de l’identité • Identités multiples, id/mdp, réseaux sociaux, profilage, vie privée/professionnelle,… Réseau sociaux Finances personnelles Taxes – impôts …
  • 3. Agenda • Le contexte du login social • Les risques • Les mesures de contrôle 3
  • 4. Forme d’authentification utilisant les informations de connexion existantes d'un réseau social pour connecter l'utilisateur à un site web Internet Définition du login social 4 Source : https://en.wikipedia.org/wiki/Social_login Sites Web marchand Fournisseur d’identité 1 - Je veux … 2 – Qui êtes-vous ? 3– authentification 4 – Je suis … et je veux … Lien de confiance
  • 5. 5
  • 6. Les motivations La multiplication des identifiants • Les utilisateurs ont en moyenne 26 identifiants sur Internet pour seulement 5 mots de passe Les mots de passe sont trop vulnérables • 90 % des mots de passe Internet peuvent être craqués • « 123456 » ou « password » sont encore les plus populaires ! 6 Source : http://www2.deloitte.com/content/dam/Deloitte/global/Documents/Technology-Media-Telecommunications/dttl_TMT_Predictions2013_Password.pdf
  • 7. Les motivations Processus d’enregistrement sur les sites Web est perçu comme un obstacle Le login social représente un potentiel d’affaires pour les sites marchand • Le réseau social est un vecteur d’influence positive • L’information accessible est à jour (permet un meilleur ciblage de la clientèle) 7 Source : http://sherpablog.marketingsherpa.com/social-networking-evangelism-community/social-login-registration/ 25 % compléteront l’enregistrement 54 % ne retourneront pas sur le site 17 % vont sur un autre site 4 % quittent le site
  • 8. Les principaux acteurs 8 Source : http://janrain.com/blog/social-login-trends-q3-2014/ . D’ici 2018, 40% des identités électroniques qui interagiront avec les entreprises viendront d’un fournisseur d’identité externe Source : Future Proofing Consumer Identity (Gartner)
  • 9. Comment ça fonctionne ? 9 Courriel : ________ Mot de passe: _____ Fournisseurs d’identité 2 Services en ligne 1. L’utilisateur désire consommer un des services offerts par le site Web qui nécessite d’avoir un compte local 2. L’utilisateur choisit d’utiliser son identification sociale 3. Le site Web utilise l’adresse courriel pour associer la personne au compte local 1. Lors du premier login : L’utilisateur autorise le transfert des informations de son profil au site Web 4. L’utilisateur profite d’une expérience de navigation personnalisée Autorisation d’accès au profil 1 Courriel, nom, prénom,… Premier login Accès au compte local (crée) 3 4 Démonstration >>
  • 11. Risque #1 – Identification non validée Vulnérabilités • Fournisseur d’identité : identifiant (courriel) non vérifié • Site Web : méthode d’appariement avec le compte local Impacts • Une tierce personne peut accéder au compte local d’un site Web en utilisant le login de LinkedIn (IBM déc. 2014) 11 Source : http://www.csoonline.com/article/2855731/social-networking-security/spoofedme-attacks-exploited-linkedin-amazon-social-login-flaws.html
  • 12. Scénario d’attaque 12 Courriel : ________ Mot de passe: _____ Fournisseurs d’identité en ligne Services en ligne Accède au compte local de la cible S’authentifie avec son nouveau compte 3 Crée un compte avec le courriel de la cible cible@courriel.com Nom, prénom cible@courriel.com 2 1 0 cible Vidéo de l’attaque: https://www.youtube.com/watch?v=kC0s3S00Dmk
  • 13. Risque #2 – la communication d’information Le contrôle d’accès au contenu du profil par les sites Web est-il réellement éclairé ? • Le site Web impose ses contraintes pour l’autorisation d’accès aux données du profil • L’autorisation d’accès aux données du profil est presque « irréversible » • Le recours à différents fournisseurs d’identité décloisonne les univers sociaux de l’utilisateur 13 Source http://sherpablog.marketingsherpa.com/social-networking-evangelism-community/social-login-registration/ Gestion des accès >>
  • 14. Quelles sont les mesures de contrôle possibles ? 14
  • 15. Mesures de contrôle Fournisseur d’identité • Vérifier l’identité • Vérifier l’adresse courriel (toutes les adresses) • Vérifier les autres attributs (ex: âge, adresse) • Contrôler les informations qui seront transmises au site Web • Empêcher le site Web de pouvoir modifier le contenu du profil (ex: publié sur le mur) 15
  • 16. Mesures de contrôle Site Web • Utiliser uniquement des données vérifiées pour identifier l’utilisateur • Utiliser l’information obtenue uniquement pour améliorer l’expérience utilisateur • Offrir les deux méthodes d’identification à l’utilisateur Utilisateur • Utiliser un fournisseur d’identité qui conserve peu d’information • Gérer les liens de confiance établis avec le fournisseur d’identité • Être rigoureux sur la gestion du mot de passe utilisé pour l’authentification chez les fournisseurs d’identité 16
  • 17. Qu’est-ce qu’une identification vérifiée ? Corroborer l’information à différentes sources • Comparer avec d’autres profils (ex: nom, adresse, âge,..) • Valider que la personne est bien propriétaire de l’adresse courriel ou du dispositif mobile • Valider des pièces émises par une entité de confiance (ex: un gouvernement) Services disponibles en ligne • http://www.callcredit.co.uk/products-and-services/fraud-and-id/callvalidate • https://www.infodirect.ca/Welcome • http://www.idchecker.com/ • https://www.idology.com/id-verification/id-verification/ 17 Gestion de l’identité 2.0
  • 18. Enjeux pour des services sensibles Pour le gouvernement • Cohérence du message à l’égard de la protection des renseignements personnels et de la vie privée Pour les institutions financières • Intérêt pour l’attrait de nouveau client • Nécessité de renforcement pour délivrer les services sensibles 18
  • 19. Conclusion Le bénéfice de l’expérience utilisateur semble l’emporter sur la crainte de la communication des informations du profil utilisateur • Les institutions délivrant des services sensibles (institution financière et gouvernement) devront faire face à cet engouement Le choix doit être donné aux utilisateurs d’évaluer si la sensibilité de leur information est plus importante que l’inconvénient de compléter les étapes de création d’un compte 19