Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
Une conférence proposée par Clément Oudot
Le projet LDAP Tool Box (LTB project) est un ensemble d’outils Open Source simplifiant la gestion de son annuaire (LDAP standard ou AD) et offrant de multiples services aux utilisateurs.
Nous présenterons quelques-uns de ces outils :
* Self Service Password : interface de changement et réinitialisation de son mot de passe
* White Pages : annuaire d’entreprise avec répertoire, carte géographique, export vCard et CSV
* Service Desk : outil pour le support permettant de débloquer des compte et forcer des mots de passe, tableaux de bord
Plusieurs exemples de projets seront mis en avant.
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Benoit Mortier
De nos jours la gestion des identités dépasse largement son cadre initial.
Aujourd’hui on a besoin de process intégrant les base métiers RH, des processus de création de comptes, groupes, délégation de gestion et approvisionnement d’autres annuaires et autres applicatifs qui ne peuvent pas se connecter à une gestion des identités
Cette conférence basé sur des exemples réels et détailles va vous offrir un état de l’art et montrer quelles évolutions sont possibles dans le futur.
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
Une conférence proposée par Clément Oudot
Le projet LDAP Tool Box (LTB project) est un ensemble d’outils Open Source simplifiant la gestion de son annuaire (LDAP standard ou AD) et offrant de multiples services aux utilisateurs.
Nous présenterons quelques-uns de ces outils :
* Self Service Password : interface de changement et réinitialisation de son mot de passe
* White Pages : annuaire d’entreprise avec répertoire, carte géographique, export vCard et CSV
* Service Desk : outil pour le support permettant de débloquer des compte et forcer des mots de passe, tableaux de bord
Plusieurs exemples de projets seront mis en avant.
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Benoit Mortier
De nos jours la gestion des identités dépasse largement son cadre initial.
Aujourd’hui on a besoin de process intégrant les base métiers RH, des processus de création de comptes, groupes, délégation de gestion et approvisionnement d’autres annuaires et autres applicatifs qui ne peuvent pas se connecter à une gestion des identités
Cette conférence basé sur des exemples réels et détailles va vous offrir un état de l’art et montrer quelles évolutions sont possibles dans le futur.
Présentations données lors du séminaire LINAGORA, intitulé : « LinID, l'offre de gestion
et de fédération d'identité Open Source »
Intervenant : Sébastien BAHLOUL, leader de l’offre LinID et du module LinID Access Management, LINAGORA
Discovery Session France: Atelier découverte de la Data VirtualizationDenodo
Watch full webinar here: https://bit.ly/3lnhMel
Découvrez la Data Virtualization lors d'un atelier organisé à distance pour les professionnels de la donnée le 26 novembre. Quel que soit votre rôle, responsables IT, architectes, data scientists, analystes ou CDO, vous découvrirez comment la Data Virtualization permet de livrer des données en temps réel et accéder à tout type de source de données pour en tirer de la valeur.
Discovery Session France: Atelier découverte de la Data VirtualizationDenodo
Watch full webinar here: https://bit.ly/36m3hmX
Découvrez la Data Virtualization lors d'un atelier organisé à distance pour les professionnels de la donnée mardi 29 septembre. Quel que soit votre rôle, responsables IT, architectes, data scientists, analystes ou CDO, vous découvrirez comment la Data Virtualization permet de livrer des données en temps réel et accéder à tout type de source de données pour en tirer de la valeur. Découvrez l'agenda complet!
Architecture web aujourd'hui, besoin de scalabilité des bases de données relationnelles, découverte des bases de données NoSQL et des différents types de celles-ci. La vidéo de présentation peut être consultée à l'adresse suivante : http://youtu.be/oIpjcqHyx2M
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...LINAGORA
Le séminaire consacré à LinID.org, suite logicielle de gestion, fédération et contrôle des identités a eu lieu au siège de Linagora le 3 avril2014. Il a réuni prés de 15 clients et partenaires. La matinée a été animée par Clément Oudot, product owner et le retour d’expérience a été présenté par M Guillard de l'AFNIC.
Live Action : assistez à la récupération d’un AD compromisIdentity Days
Une conférence proposée par Matthieu Trivier & Pierre Normand
La remise en route d’une infrastructure saine n’est que la première étape dans la récupération après compromission d’un Active Directory.
Le traitement de l’identité en elle-même, reste le défi le plus important.
Rejoignez Matthieu et Pierre dans le cadre de cette session Live pour découvrir comment les solutions et les services Semperis peuvent vous aider dans cette situation.
Une conférence proposée par Hervé Thibault & Sylvain Cortès
Votée en novembre 2022, la directive européenne NIS2 entrera en vigueur en France au 2ème semestre 2024, avec pour objectif d’apporter davantage de protection face à des acteurs malveillants toujours plus performants et mieux outillés. Beaucoup d’entreprises (grandes, moyennes, petites) ou d’organismes publics se posent les questions suivantes : A qui s’adresse cette directive ? Quelles sont les obligations qui en résultent ? Comment satisfaire à ces obligations ? Quel impact pour mes clients, mes fournisseurs, mes partenaires ?
Dans cette session, nous décrypterons dans un premier temps le jargon de la directive et parlerons des enjeux, des critères d’application et des moyens d’accompagnement afin de se préparer à l’échéance si proche de 2024.
Dans un deuxième temps, nous vous donnerons des pistes sur les actions à entreprendre pour assurer la conformité avec la directive NIS2 sous un angle identité : Nous parlerons feuille de route, gestion des vulnérabilités, sécurisation des identités internes/externes et on-prem/Cloud.
Contenu connexe
Similaire à La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
Présentations données lors du séminaire LINAGORA, intitulé : « LinID, l'offre de gestion
et de fédération d'identité Open Source »
Intervenant : Sébastien BAHLOUL, leader de l’offre LinID et du module LinID Access Management, LINAGORA
Discovery Session France: Atelier découverte de la Data VirtualizationDenodo
Watch full webinar here: https://bit.ly/3lnhMel
Découvrez la Data Virtualization lors d'un atelier organisé à distance pour les professionnels de la donnée le 26 novembre. Quel que soit votre rôle, responsables IT, architectes, data scientists, analystes ou CDO, vous découvrirez comment la Data Virtualization permet de livrer des données en temps réel et accéder à tout type de source de données pour en tirer de la valeur.
Discovery Session France: Atelier découverte de la Data VirtualizationDenodo
Watch full webinar here: https://bit.ly/36m3hmX
Découvrez la Data Virtualization lors d'un atelier organisé à distance pour les professionnels de la donnée mardi 29 septembre. Quel que soit votre rôle, responsables IT, architectes, data scientists, analystes ou CDO, vous découvrirez comment la Data Virtualization permet de livrer des données en temps réel et accéder à tout type de source de données pour en tirer de la valeur. Découvrez l'agenda complet!
Architecture web aujourd'hui, besoin de scalabilité des bases de données relationnelles, découverte des bases de données NoSQL et des différents types de celles-ci. La vidéo de présentation peut être consultée à l'adresse suivante : http://youtu.be/oIpjcqHyx2M
Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôl...LINAGORA
Le séminaire consacré à LinID.org, suite logicielle de gestion, fédération et contrôle des identités a eu lieu au siège de Linagora le 3 avril2014. Il a réuni prés de 15 clients et partenaires. La matinée a été animée par Clément Oudot, product owner et le retour d’expérience a été présenté par M Guillard de l'AFNIC.
Similaire à La politique de mots de passe : de la théorie à la pratique avec OpenLDAP (20)
Live Action : assistez à la récupération d’un AD compromisIdentity Days
Une conférence proposée par Matthieu Trivier & Pierre Normand
La remise en route d’une infrastructure saine n’est que la première étape dans la récupération après compromission d’un Active Directory.
Le traitement de l’identité en elle-même, reste le défi le plus important.
Rejoignez Matthieu et Pierre dans le cadre de cette session Live pour découvrir comment les solutions et les services Semperis peuvent vous aider dans cette situation.
Une conférence proposée par Hervé Thibault & Sylvain Cortès
Votée en novembre 2022, la directive européenne NIS2 entrera en vigueur en France au 2ème semestre 2024, avec pour objectif d’apporter davantage de protection face à des acteurs malveillants toujours plus performants et mieux outillés. Beaucoup d’entreprises (grandes, moyennes, petites) ou d’organismes publics se posent les questions suivantes : A qui s’adresse cette directive ? Quelles sont les obligations qui en résultent ? Comment satisfaire à ces obligations ? Quel impact pour mes clients, mes fournisseurs, mes partenaires ?
Dans cette session, nous décrypterons dans un premier temps le jargon de la directive et parlerons des enjeux, des critères d’application et des moyens d’accompagnement afin de se préparer à l’échéance si proche de 2024.
Dans un deuxième temps, nous vous donnerons des pistes sur les actions à entreprendre pour assurer la conformité avec la directive NIS2 sous un angle identité : Nous parlerons feuille de route, gestion des vulnérabilités, sécurisation des identités internes/externes et on-prem/Cloud.
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
Une conférence proposée par Anne-Sophie Goeldner & Matthieu Masson
Pour gagner du temps dans l’exécution de leurs attaques, les adversaires utilisent des comptes valides depuis quelques années. Pour s’en emparer, ils exploitent notamment des mécanismes et des failles propres à l’AD. Une fois en possession d’identifiants compromis, leur objectif est toujours le même : réaliser des mouvements latéraux, obtenir plus de privilèges si nécessaire et compromettre un domaine pour en exfiltrer ses données.
Il est utopique de penser qu’on peut empêcher un adversaire avec des identifiants valides de s’introduire au sein d’un environnement. Et bien souvent, il est trop tard lorsqu’on arrive à détecter une attaque basée sur l’identité. Alors quelle approche adopter ? Nous pensons que la seule approche efficace consiste à entraver sa capacité à se déplacer latéralement dans l’environnement cible.
Passwordless – de la théorie à la pratiqueIdentity Days
Une conférence proposée par Fabrice de Vésian & Renato Antunes
Les mots de passe sont sur le déclin, car synonymes de faille de sécurité et de complexité. Pourtant, les entreprises craignent la conduite du changement et continuent à en souffrir avec le rallongement du nombre de caractères et les changements de mots de passe incessants.
Alors que le passwordless fait de plus en plus de bruit, il est important de le démystifier pour les équipes techniques et les utilisateurs, afin d’assurer l’adoption la plus efficace.
Au travers de quelques démonstrations, découvrez comment vous pouvez dès à présent proposer à vos utilisateurs une expérience passwordless disruptive, quelle que soit votre architecture en place, avec efficacité et simplicité.
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
Une conférence proposée par Emilie Bonnefoy & Xavier Domecq
L’accélération de la transformation digitale et l’augmentation et la complexification des attaques ont conduit à des changements de doctrine profond. Le concept de 0 trust s’est désormais imposé.
Sera-t-il suffisant pour faire face aux grandes ruptures technologiques auxquelles nous faisons déjà face ?
Intelligence artificielle, quantique, comment mieux les anticiper dans sa politique de gestion des identités ?
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Identity Days
Une conférence proposée par Hervé-François Le Devehat
Dans un monde hyper-connecté, cible de cyberattaques de plus en plus industrialisées, il est essentiel de trouver des approches holistiques, qui intègrent la sécurité physique et la cybersécurité, tout en préservant la confidentialité des données et la protection de la vie privée, en renforçant l’authentification grâce à la biométrie décentralisée.
Cette conférence explorera les synergies et les opportunités offertes par cette combinaison alliée au MFA, dans le but de renforcer la protection des individus, des organisations et des infrastructures critiques. Des études de cas seront présentées pour illustrer comment la convergence de ces domaines peut améliorer la résilience des systèmes de sécurité, notamment face aux attaques de phishing, d’ingénierie sociale et d’usurpation d’identité.
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...Identity Days
Une conférence proposée par Christophe Maudoux
Je commencerai par présenter comment protéger des applications avec LemonLDAP::NG en mode reverse proxy, principal mode de raccordement utilisé pour protéger les applications des FSI.
J’expliquerai ensuite le principe de fonctionnement des handlers LL::NG en général et le handler DevOps en particuliers.
Enfin, je détaillerai comment mettre en œuvre une infrastructure DevOps complète basée sur le serveur Web Nginx et comment le STSISI a déployé le « SSO as a Service » pour offrir de nouvelles fonctionnalités aux équipes de développement.
Gérer les privilèges locaux en utilisant IntuneIdentity Days
Une conférence proposée par Thierry Deman et Jean-Sébastien Duchêne
Dans cette session, nous verrons les solutions disponibles pour gérer les privilèges des utilisateurs sur les machines. Au travers de démonstrations, nous passerons en revue tous les mécanismes tels que la gestion locale des utilisateurs et des groupes, Windows LAPS, Endpoint Privilege Management, etc.
Votre sécurité dépend de vos machines et des privilèges associés !
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Identity Days
Une conférence proposée par Xuan Ahehehinnou, Nicolas Bonnet & Hakim Taoussi
Sur les ordinateurs et les serveurs, tout compte utilisateur/ système / de service, avec privilège d’administrateur local présente un très haut niveau de risque.
Ces risques de sécurité pouvant ouvrir la porte à des attaques pass-the-hash et autres vols d’informations d’identification, exécution de malware, mouvement latéral, désactivation des mécanismes de défense comme l’antivirus ou l’EDR, impersonation, chiffrement des données, etc.
Dans cette session, nous vous détaillerons donc les bonnes pratiques ainsi que des outils et fonctionnalités Microsoft comme : LAPS, Endpoint Privilege Management, Account protection
Les angles morts de la protection des identités : Les comptes de services et ...Identity Days
Une conférence proposée par Romaric Fayol
Le MFA, l’accès conditionnel et d’autres contrôles sur les identités sont très efficaces pour stopper les attaques. Ils sont largement utilisés dans des applications et infrastructures modernisées.
Cependant jusqu’à peu, ils ne pouvaient pas être facilement appliqués aux vielles applications, comptes de service, outils en ligne de commande, systèmes industriels et autres ressources reposant sur Active Directory. Ces angles morts sont ciblés dans presque toutes les attaques, et selon un nombre croissant de cyber assurances et régulations nécessitent des mesures de protections.
Rejoignez cette session et découvrez comment les solutions d’identités modernes et MFA peuvent être étendus aux assets connectés à l’Active Directory.
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
Une conférence proposée par Benoit Mortier
Les moteurs de workflow sont une partie importante de l’inscription, de l’accréditation, de l’habilitation et de la sécurité. Le problème courant est qu’il sont limités en fonctionnalités, trop complexes ou prévus pour certains usages seulement.
Un autre aspect est que cela doit rester utilisable par tout type d’utilisateur et donc être convivialNos recherches nous on donc amenés à implémenter un gestionnaire de workflow générique dans FusionDirectory. Ainsi, les utilisateurs peuvent créer leurs workflows et suivre leur exécution dans FusionDirectory de manière conviviale
Cette conférence montrera l’état de nos recherches actuelles et un cas d’usage concret du premier déploiement de cette solution
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADIdentity Days
Une conférence proposée par Clément Notin
Mon Azure AD est-il à risque si mon Active Directory est piraté ? Ou l’inverse ?
De nombreuses organisations ont désormais un environnement d’identité hybride avec leur annuaire Active Directory historique, on-prem, et plus récemment Azure AD, dans le cloud. Les attaquants connaissent et savent exploiter plusieurs failles pour compromettre Active Directory (intrusion initiale, latéralisation, élévation de privilèges, persistance…), idem côté Azure AD.
Mais quid de l’isolation de ces environnements ? Un attaquant peut-il rebondir de l’un vers l’autre ?
Le piratage de SolarWinds en 2020 a confirmé que cela était possible de plusieurs manières.
Dans cette session, nous verrons :
– un éventail des techniques permettant à un attaquant de rebondir vers Azure AD depuis un Active Directory compromis
– mais aussi l’inverse !
– des démonstrations de plusieurs de ces techniques avec des outils de piratage publics
– et bien sûr des recommandations pour s’en prémunir
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGIdentity Days
Une conférence proposée par David Coutadeur
La gestion d’identité est de plus en plus présente aujourd’hui, et les offres de SSO sont multiples.
Au coeur de ce marché, LemonLDAP::NG est une implémentation open-source robuste, complète, et adaptable de WebSSO.
Il répond aux besoins de sociétés privées et d’administrations de toutes tailles.
L’objectif de cette session est d’expliquer les concepts liés au SSO, de présenter le logiciel LemonLDAP::NG, de faire un point sur ses nouveautés, et de présenter un retour d’expérience client concret : architecture, état des lieux, difficultés rencontrées et bilan. Vous saurez tout !
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
Une conférence proposée par Loïc Veirman, Guillaume Mathieu et Jean-François Fernandez.
Au programme :
Gestion de la dette technique dans un modèle à plusieurs Tiers Active Directory
– Contextualisation : qu’est-ce que la dette technique ? Pourquoi la gestion est inévitable ?
– Deepdive : présentation des tiers legacy, isolement des DC dédiés (mnémonique, etc)
– Analyse de risque : ca ne règle pas tout !
Quand la dette technique touche le Cloud : obsolescence à grande vitesse
– Dépréciation des méthodes d’authentification héritées : Legacy MFA, Legacy SSPR
– Dépréciation des modules PowerShell AzureAD et MsOnline : présentation du module MGGraph et des outils de conversion de scripts.
– Dépréciation des API : au revoir Azure AD Graph
– Il est venu le temps de nettoyer vos applications Azure AD et supprimer les permissions API à risque
Azure AD pod Identity et son remplaçant les Azure AD Workload Identity
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
Avec l’évolution des usages et la migration vers le cloud, les systèmes d’information des entreprises sont de plus complexes et ouverts, ce qui augmente la surface d’attaque. Dans ce contexte, la gestion des identités et des accès (IAM) est essentielle pour assurer la sécurité et la conformité. En adoptant une approche Zero Trust, centrée sur les utilisateurs, les actifs et les ressources, l’IAM joue un rôle crucial en maîtrisant les identités et les autorisations pour protéger le système d’information. Dans cette présentation nous allons explorer les idées reçues, les pièges à éviter et les bonnes pratiques pour assurer le succès d’un projet IAM.
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...Horgix
This is the slide deck of a talk by Alexis "Horgix" Chotard and Laurentiu Capatina presented at the MongoDB Paris User Group in June 2024 about the feedback on how PayFit move away from a monolithic hell of a self-hosted MongoDB cluster to managed alternatives. Pitch below.
March 15, 2023, 6:59 AM: a MongoDB cluster collapses. Tough luck, this cluster contains 95% of user data and is absolutely vital for even minimal operation of our application. To worsen matters, this cluster is 7 years behind on versions, is not scalable, and barely observable. Furthermore, even the data model would quickly raise eyebrows: applications communicating with each other by reading/writing in the same MongoDB documents, documents reaching the maximum limit of 16MiB with hundreds of levels of nesting, and so forth. The incident will last several days and result in the loss of many users. We've seen better scenarios.
Let's explore how PayFit found itself in this hellish situation and, more importantly, how we managed to overcome it!
On the agenda: technical stabilization, untangling data models, breaking apart a Single Point of Failure (SPOF) into several elements with a more restricted blast radius, transitioning to managed services, improving internal accesses, regaining control over risky operations, and ultimately, approaching a technical migration when it impacts all development teams.
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
1. Merci à tous nos partenaires !
27 octobre 2022 - PARIS
@IdentityDays #identitydays2022
2. David Coutadeur
27 octobre 2022 - PARIS
Identity Days 2022
La politique de mots de passe :
de la théorie à la pratique avec
OpenLDAP
3. David Coutadeur
Architecte en gestion d’identité
~ 10 ans d’ancienneté
Expert en gestion d’identité
Passionné d’open-source
david.coutadeur@worteks.com
@dcoutadeur
Ordre du jour
27 octobre 2022 - PARIS
Identity Days 2022
1. Présentation
2. LDAP et OpenLDAP
3. Introduction aux politiques de MdP
4. Etat des lieux des politiques de MdP
5. L’overlay password policy
6. Présentation de ppm
7. Fonctionnalités de ppm
8. Conclusion
5. Identity Days 2022
27 octobre 2022 - PARIS
Identity Days 2022
27 octobre 2022 - PARIS
Service
Infrastructures hétérogènes et complexes,
cloud, authentification, securité
Etudes, audit et
consulting
Expertise technique
Support technique
Formation
R&D et innovation
Édition
Portail d'applications
collaboratif
Plateforme
mutualisée de
développement
Gestion des identités
des accès
Partenaires
7. Identity Days 2022
27 octobre 2022 - PARIS
• protocole d’annuaire
annuaire = recueil d’informations, historiquement liées à l’identité
ensemble de données
beaucoup d’enregistrements de petite taille
souvent lus, rarement mis à jour
recherches simples
« Lightweight Directory Access Protocol »
issu de X.500, apparu à la fin des années 1980
plus léger par rapport à X.500 DAP et DSP
LDAP = protocole d’annuaire électronique (1993)
standardisé dans plusieurs RFC (RFC 4511)
LDAPv3 : 1998
Qu’est-ce que le LDAP ?
8. Identity Days 2022
27 octobre 2022 - PARIS
Qu’est-ce que le LDAP ?
Identity Days 2022
la communication client serveur
au dessus de TCP / IP
l’encodage (LBER)
les mécanismes de sécurité
authentification (simple, SASL,…)
chiffrement des flux
règles d’accès aux données
les 9 opérations de base
bind, unbind, abandon, search, compare, add,
modify, delete, modrdn
le modèle d’information (schéma)
le modèle de nommage (DIT)
Client Annuaire
Connexion
Authentification
Authentification réussie
Recherche
Résultat de la recherche
Modification d'une entrée
Erreur lors de la modification
Ajout d'une entrée
Entrée ajoutée
Déconnexion
Le protocole définit :
9. Identity Days 2022
27 octobre 2022 - PARIS
Présentation d’OpenLDAP
issu du serveur LDAP de l'université du Michigan, dont dérive
également Netscape Directory Server
projet initié en 1998 (OpenLDAP v1), avec support LDAPv2
conforme LDAPv3 en 2000 (OpenLDAP v2)
version LTS actuelle : OpenLDAP 2.5.13
version « feature release » : OpenLDAP 2.6.3
3 développeurs principaux :
Howard Chu
Ondřej Kuzník
Quanah Gibson-Mount
Historique
10. Identity Days 2022
27 octobre 2022 - PARIS
Présentation d’OpenLDAP
OpenLDAP Public License, dérivée de la GNU GPL
Caractéristiques
LDAPv3
réplication multi-maître, complète et différentielle
moteur syncrepl
Content Synchronization Operation (RFC 4533)
délégation d’authentification SASL / GSSAPI
internationalisation UTF-8 via Unicode
serveur LDAP
bibliothèques de connexion
commandes LDAP
commandes de gestion du contenu
API (C, C++, TCL, Java)
contient supporte
11. Identity Days 2022
27 octobre 2022 - PARIS
Présentation d’OpenLDAP
Choix d'overlays : politique des mots de passe, listes dynamiques, intégrité référentielle
Fonctionnement
Backend = composant
qui stocke ou traite des
données en réponse à
une requête ldap
Overlay = extension pour
personnaliser le
comportement des
backends
12. Identity Days 2022
27 octobre 2022 - PARIS
Présentation de l’initiative LDAP Toolbox
projet lancée en 2009
supporté par : une association indépendante à but non lucratif visant à promouvoir une base de
logiciels d’infrastructure open-source
Community Award d’OW2 reçu en 2021 !
à l’origine :
fournir des didacticiels, des listes de diffusion et des scripts pour exploiter des annuaires LDAP
aujourd’hui :
la base de code et de tutoriels s’est étendue
LTB-project propose des logiciels complets
13. Identity Days 2022
27 octobre 2022 - PARIS
Présentation de l’initiative LDAP Toolbox
des paquets communautaires pour OpenLDAP
les paquets des principales distributions Linux sont souvent en retard dans les versions distribuées
fourniture de paquets RPM et DEB à jour
CLI pour configurer, administrer, superviser l’annuaire
extensions (overlays) supplémentaires
des scripts d’exploitation
notification d’expiration par mail, conversion LDIF, statistiques, nettoyage,...
Services proposés par LDAP-toolbox
14. Identity Days 2022
27 octobre 2022 - PARIS
Présentation de l’initiative LDAP Toolbox
une base documentaire
https://ltb-project-documentation.readthedocs.io
installation, configuration des paquets openldap-ltb
supervision, statistiques LDAP avec et
documentation des applicatifs LTB
tutoriels divers : migration d’annuaire, délégation d’authentification,...
Services proposés par LDAP-toolbox
15. Identity Days 2022
27 octobre 2022 - PARIS
Présentation de l’initiative LDAP Toolbox
une interface web de gestion dédiée aux administrateurs : Service Desk
tableaux de bord pour visualiser les comptes et leur statut (bloqués, expirés)
test d'un mot de passe
réinitialisation d'un mot de passe
blocage, déblocage d'un compte
Services proposés par LDAP-toolbox
16. Identity Days 2022
27 octobre 2022 - PARIS
Présentation de l’initiative LDAP Toolbox
une interface web de gestion pour les utilisateurs : White Pages
les informations principales sont affichées :
adresse mail
identité
téléphone
photo
récupération possible d'une identité au format vCard
Services proposés par LDAP-toolbox
17. Identity Days 2022
27 octobre 2022 - PARIS
Présentation de l’initiative LDAP Toolbox
une interface web de self-service-password
réinitialisation du mot de passe en autonomie par
l’utilisateur :
par connaissance du mot de passe actuel
par une vérification du mail
par une vérification par SMS
par une vérification par question / réponses
support des politiques de mots de passe
Services proposés par LDAP-toolbox
19. Identity Days 2022
27 octobre 2022 - PARIS
Introduction aux politiques de MdP
« ensemble de règles visant à améliorer la sécurité, en encourageant les
utilisateurs à recourir à des mots de passe relativement robustes et en les
utilisant correctement »
20. Identity Days 2022
27 octobre 2022 - PARIS
Introduction aux politiques de MdP
Pas de norme universelle
recommandations du NIST
recommandations de l’ANSSI
recommandations de la CNIL du 07/22 (tableau de correspondance / ANSSI)
Normes changeantes avec le temps
Guide NIST de 2004 : utilisation de majuscules, minuscules, chiffres, avec
obligation de changer périodiquement
Guide NIST de 2007 : 8 → 64 caractères, pas d’obligation d’imposer plusieurs
classes de caractères, pas d’obligation de changement périodique
21. Identity Days 2022
27 octobre 2022 - PARIS
Introduction aux politiques de MdP
Recommandations ANSSI :
« Recommandations relatives à l'authentification multifacteur et aux mots
de passe - v2.0 du 08/10/2021 »
longueur ≥ 9 : faible, longueur ≥ 12 : moyen, longueur ≥ 15 : fort
pas de longueur maximale
plusieurs classes de caractères (à définir suivant le contexte)
pas de délai d’expiration pour les comptes non sensibles
délai d’expiration pour les comptes sensibles
22. Identity Days 2022
27 octobre 2022 - PARIS
Introduction aux politiques de MdP
contrôle de la robustesse : règles de la politique, comparaison à une base de
mots de passe fréquemment utilisée, interdiction de la réutilisation d’un ancien
mot de passe, repérage des motifs basés sur les noms, prénoms,…
stockage avec sel, hash Argon2 ou PBKDF2 recommandé
privilégier l’authentification multi-facteurs : clé FIDO2 par exemple
Voir aussi la conférence :
« Authentification multi-facteurs et gestion du risque avec du logiciel 100 % libre »
24. Etat des lieux des politiques de MdP
Identity Days 2022
27 octobre 2022 - PARIS
25. Identity Days 2022
27 octobre 2022 - PARIS
Etat des lieux des politiques de MdP
pas de spécification universelle
AD, OpenDJ,... : implémentations spécifiques
IETF internet draft : "Password Policy for LDAP Directories"
draft-behera-ldap-password-policy (version 00 : octobre 1999, version 11 :
février 2022), implémenté dans plusieurs serveurs d’annuaire :
OpenLDAP password policy overlay
SUN Directory Server
Tivoli Directory Server
Fedora Directory Server
Red-Hat Directory Server
26. Identity Days 2022
27 octobre 2022 - PARIS
Etat des lieux des politiques de MdP
version 11, février 2022, expire le 26 août 2022
définit :
les spécifications fonctionnelles de la politique de mots de passe
le schéma LDAP et les attributs opérationnels pour supporter les politiques
le contrôle étendu « ppolicy » pour les requêtes et les réponses
la façon dont le serveur devrait / doit inclure la politique dans les opérations
LDAP (bind, modify,…)
la façon dont les clients devraient / doivent inclure la politique dans les
opérations LDAP (bind, modify,…)
27. Identity Days 2022
27 octobre 2022 - PARIS
Etat des lieux des politiques de MdP
des considérations générales pour gérer les politiques (le scope défini par
l’attribut SubtreeSpecification, la surcharge de politique)
des considérations sur la réplication et la sécurité
ne définit pas : (spécifique à chaque implémentation)
l’application des critères de politiques de mots de passe
une façon automatique de forcer la réinitialisation de mot de passe après
qu’une modification ait été faite par un administrateur
29. Identity Days 2022
27 octobre 2022 - PARIS
L’overlay password policy
OpenLDAP implémente le brouillon IETF :
le schéma LDAP et les attributs opérationnels
le contrôle étendu ppolicy pour les requêtes et réponses
l’implémentation serveur
l’implémentation cliente (ldapsearch, ldapmodify,...)
30. Identity Days 2022
27 octobre 2022 - PARIS
L’overlay password policy
Récemment implémenté (OpenLDAP ≥ 2.5) :
support de la protection contre les attaques par brute-force, basée sur les
attributs pwdMinDelay et pwdMaxDelay
support du verrouillage basé sur les attributs pwdLastSuccess et pwdMaxIdle
support de la taille maximale (attribut pwdMaxLength)
support des dates de validité (attributs pwdStartTime et pwdEndTime)
Pas encore implémenté
Politique de mots de passe gérée par « étendue » dans le DIT ou par groupe
32. Identity Days 2022
27 octobre 2022 - PARIS
L’overlay password policy
L’attribut pwdCheckModule stockant l’emplacement de la bibliothèque
complémentaire évolue en version 2.6 d’OpenLDAP : il est maintenant défini
dans la configuration et non plus dans la politique
empêche d’avoir plusieurs modules étendus de politiques
permet de meilleures performances car le module est chargé au démarrage
L’attribut pwdCheckModuleArg permettant de transmettre les paramètres de la
politique étendue est apparu avec la version 2.5 d’OpenLDAP
avant la version 2.5, ppm devait récupérer sa configuration en fichier plat
34. Identity Days 2022
27 octobre 2022 - PARIS
Présentation de ppm
Architecture de ppm
implémente les règles de robustesse intéressantes et populaires qui manquent
à slapo-ppolicy → OK
extensible → jusqu’à un certain point (plugin de 800 lignes en C)
efficace → non critique (car appelé seulement en cas de changement de MdP)
sécurisé → TODO (audit de code)
35. Identity Days 2022
27 octobre 2022 - PARIS
Présentation de ppm
ppm en bref
code en C, bibliothèque dynamique (.so), ~ 800 lignes
implémente des règles complémentaires de robustesse de mot de passe
configuration dans l’attribut pwdCheckModuleArg, transmis par l’overlay ppolicy
Code :
dépôt officiel : https://github.com/ltb-project/ppm
disponible dans les sources d’OpenLDAP (répertoire contrib/slapd-modules/ppm)
contient les sources pour compiler la librairie, l’exécutable de test vérifiant la force
des mots de passe, la documentation
36. Identity Days 2022
27 octobre 2022 - PARIS
Présentation de ppm
ppm en bref
packaging :
disponible dans les paquets openldap-ltb pour Debian, Red-Hat :
dans openldap-ltb pour les versions ≥ 2.5.13 et 2.6.3
dans openldap-ltb-contrib-overlays pour les versions inférieures
Dernière version : v2.2, 17 mai 2022
Licence : OpenLDAP Public License
38. Identity Days 2022
27 octobre 2022 - PARIS
Fonctionnalités de ppm
Paramètres des classes de caractères
définition des classes de caractères
minQuality
min (pour chaque classe)
min_for_point (pour chaque classe)
max (pour chaque classe)
minQuality 3
class-upperCase ABCDEFGHIJKLMNOPQRSTUVWXYZ 0 1 0
class-lowerCase abcdefghijklmnopqrstuvwxyz 0 1 0
Class-digit 0123456789 0 1 0
class-special <>,?;.:/!§ù%*µ^¨$£²&é~"#' 0 1 0
Exemple de politique :
39. Identity Days 2022
27 octobre 2022 - PARIS
Fonctionnalités de ppm
Autres paramètres de robustesse
checkRDN
checkAttributes
forbiddenChars
maxConsecutivePerClass
useCracklib
cracklibDict
checkRDN 1
checkAttributes mail
forbiddenChars £€
maxConsecutivePerClass 8
useCracklib 1
cracklibDict /var/cache/cracklib/cracklib_dict
dn: uid=daniel.jackson,ou=people,dc=my-domain,dc=com
nouveau mot de passe : secret → OK
nouveau mot de passe : daniel → KO
Exemple de politique :
Critère checkRDN :
41. Identity Days 2022
27 octobre 2022 - PARIS
Conclusion
Avec l’overlay ppolicy + ppm, on peut implémenter toutes les recommandations
actuelles
Rejeter les modifications de mots de passe suivant le contexte :
attributs dans l’entrée LDAP
attributs liés à l’entrée LDAP (groupe,…)
environnement : @IP du client, date de requête,...
Appliquer la politique à des groupes d’utilisateurs
fonctionnalité mentionnée dans les tickets de la 2.7
Axes d’amélioration
42. Merci à tous nos partenaires !
27 octobre 2022 - PARIS
@IdentityDays #identitydays2022