Identités numériques. Techniques d anonymat sur Internet: des solutions pour la protection de la «vie privée»?

Dimension: px
Commencer à balayer dès la page:

Download "Identités numériques. Techniques d anonymat sur Internet: des solutions pour la protection de la «vie privée»?"

Transcription

1 S O M M A I R E Éditorial SÉCURITÉ par J.-P. Le Guigner Techniques d anonymat sur Internet par F. Veysset Techniques pour mettre en place un service d authentification numéro 56 mai 2006 unique et évoluer vers la fédération d identités par F. Guilleux et O. Salaün Fédération d identités: les enjeux d un contrat de confiance par B. Boute INFORMATIQUE S É C U R I T É D E S S Y S T È M E S D I N F O R M A T I O N é d i t o r i a l Identités numériques Les articles de ce numéro abordent trois problématiques majeures pour les internautes que nous sommes: 1) ne fournir les preuves de sa propre identité que très peu souvent, dans les activités professionnelles idéalement une seule fois au niveau du SI de l entreprise, de l établissement; 2) pouvoir accéder à des ressources extérieures qui requièrent un contrôle d accès, sans devoir s authentifier auprès de chacune d elles et éviter d être «suivi à la trace»; 3) enfin, protéger sa vie privée, éviter que des informations personnelles soient exploitées à mauvais escient et cela que ce soit en tant que citoyen en dehors du travail ou en tant qu employé au sein de l entreprise. Les deux premières structurent fortement l organisation du SI, tandis que la dernière exige l implication de l utilisateur. Est-il permis, sans se voir taxé de doux rêveur, de penser à un monde dans lequel je déposerais mon identité et les attributs qui font que je suis celui que je suis auprès d un tiers de confiance, seul habilité ensuite à en communiquer des sous-ensembles à qui de droit? Je vous l accorde, nous aurions chacun une idée différente de ce que devrait être ce tiers de confiance, de ce que doivent être une identité, les attributs, les droits Dans les chantiers de la «gestion des identités», trois catégories d approches sont à distinguer : 1) Les identités gérées par l entreprise dans son annuaire et propagées vers les différentes briques du SI par les technologies SSO, gestion des droits, des délégations, etc. 2) Les architectures et solutions technologiques permettant de propager des éléments d identité vers des partenaires (Shibboleth, Liberty Alliance, ADFS ) ou d établir des liens formels entre différents comptes d une même personne dans des administrations différentes (Liberty Alliance notamment). 3) Enfin, le modèle de gestion des identités à la P2P (Infocard de MicroSoft, Higgins de HP ) pour le commun des internautes et qui permet de fiabiliser un minimum les accès aux blogs notamment. Quelques questions pour prolonger le débat. Les technologies SSO et de fédération d identités sont-elles appropriées pour contrôler l accès aux ressources et informations sensibles? Si oui, ne peuvent-elles pas remplacer les certificats clients? N y a-t-il pas contradiction à filtrer les cookies pour protéger sa vie privée et cependant vouloir utiliser les technologies de SSO et de fédération d identités pour se simplifier la vie? Comment avoir l absolue garantie de remonter à la source d un acte malveillant dans un contexte d anonymisation? Dans un environnement SSO élargi, quels peuvent être les conséquences d une perte du couple login/motdepasse? Et pour finir, les personnes en charge des référentiels, clés de voûte des architectures SSO et fédération d identités, mesurent-elles bien leur responsabilité? Mais vous m en voudriez de monopoliser votre temps et de vous rendre morose alors que, finalement, les articles qui suivent laissent entrevoir des espoirs. Jean-Paul Le Guigner Responsable de la cellule technique du Comité réseau des universités (www.cru.fr) Diffusion de Sécurité Informatique Dans l objectif du «zéro papier», la diffusion sous forme papier de Sécurité Informatique, en dehors des unités du CNRS, sera dorénavant très limitée. Nous nous en excusons auprès de nos lecteurs antérieurement habitués à ce confort. Cette mesure prend effet à compter du présent numéro. Quelques demandes particulièrement argumentées pourront néanmoins être satisfaites à partir du prochain numéro ; ces demandes sont à exprimer auprès du service du fonctionnaire de sécurité de défense du CNRS (écrire à Techniques d anonymat sur Internet: des solutions pour la protection de la «vie privée»? par Franck Veysset, Expert en sécurité Internet/intranet, France Télécom Division R&D Face aux nombreuses menaces contre la vie privée qui existent du fait de l utilisation d Internet (profiling, traces électroniques ), plusieurs solutions techniques tendant à préserver l anonymat des utilisateurs, en leur permettant de ne pas dévoiler leur véritable identité, se sont développées. Qu en est-il de ces solutions? En l espace de quelques années, l Internet est devenu un immense «centre commercial», et les pratiques «classiques» du monde physique de suivi de clientèle, «profiling», programme de fidélité, connaissance des goûts et préférences des utilisateurs, se sont fortement développées. Cela a été d autant plus facile que l outil informatique est particulièrement adapté pour faciliter la collecte et le traitement de grandes quantités d information. En parallèle, d autres entités ont profité de la quantité d informations disponibles sur Internet pour constituer des fichiers marketing, à des fins commerciales (campagne d ing, Spam ), ou à des fins beaucoup plus obscures (attaque de type phishing, voire dans un autre registre intelligence économique). Si, en France, de telles pratiques sont normalement encadrées par une réglementation stricte (cf. activités de la CNIL 1 Commission nationale de l informatique et des libertés concernant notamment la gestion des informations suite page 2

2 suite de la page 1 KeyServer Alice Schéma 1 : fonctionnement de TOR à caractère personnel), cela n est pas une généralité au niveau international. L étendue des atteintes aux données privées de l utilisateur ne s arrête malheureusement pas là.ainsi, on a pu assister, au cours de ces dernières années,à une véritable explosion dans la diffusion de programmes de type «spyware» visant à mettre la main sur l ordinateur de la victime, pour collecter à son insu ses comportements (type de sites Web visités et fréquence, habitude d utilisation de son poste de travail ), et les rapporter de façon furtive à des organismes gérant d immenses bases de connaissances. Pour compléter ce sombre tableau, citons Anonym.OS: Un système d anonymat «clef en main» Anonym.os est un nouveau projet, créé par un groupe de passionnés appelé «Kaos.theory». Il s agit d un CD bootable (à base d OpenBSD 3.8) offrant un système d exploitation complet, conçu pour proposer de façon conviviale toutes les fonctions d anonymisation possibles À ce titre, Anonym.OS comprend : l accès au système TOR un proxy de «nettoyage» local, Privoxy l ensemble des applications nécessaires pour utiliser Internet (navigateur, client de messagerie, client de messagerie instantanée ) Anonym.OS est disponible à l adresse suivante: T1 T3 T2 Bob aussi les différents gouvernements qui deviennent très intéressés par la surveillance de leurs concitoyens, jusque dans leurs activités d accès à Internet (exemple: US Wiretapping laws, NSA and FISA) 2. En parallèle à ces nouvelles menaces, des solutions de protection ont fait leur apparition. Ainsi, la plupart des navigateurs Web intègrent maintenant des fonctions avancées de gestion des cookies, permettant de systématiquement refuser les cookies parfois utilisés pour assurer le suivi d un internaute lors de son parcours sur Internet. Des outils plus évolués, comme l extension «Adblock 3» de Mozilla, permettent ainsi un contrôle précis des informations soumises sur Internet. Encore plus puissant, l outil «Privoxy 4», véritable proxy d anonymat, s installe sur un poste de travail dédié, mais peut aussi fonctionner sur une passerelle dédiée afin de couvrir les besoins de plusieurs utilisateurs. Privoxy va «nettoyer» le trafic qui le traverse, et supprimer au passage toutes les informations nominatives que l utilisateur laisse généralement fuir sur Internet à son insu. Ainsi, des informations comme son type de browser Web, ou le champ Referer contenant l adresse d où l utilisateur vient, pourront être filtrées. De plus, Privoxy va aussi supprimer les contenus en apparence suspects, tels que certains cookies ou les «Webbug», images invisibles encore une fois destinées à tracer les utilisateurs de Web en Web. Cependant, cela n est pas forcement suffisant, car il est des situations où un véritable anonymat peut être requis. Dans ce cas, une autre catégorie d outils doit être utilisée: les réseaux d anonymisation. Le concept le plus simple consiste à utiliser un proxy «anonyme» sur Internet. Ce proxy effectuant une rupture de protocole (relais applicatif), l adresse source du client sera remplacée par l adresse du proxy, rendant ainsi celui-ci beaucoup plus difficile à localiser, du moins tant que le proxy anonyme remplit sa fonction Et c est bien à se niveau que la tâche sera difficile, car la localisation de proxies anonymes n est pas des plus aisées De nombreux sites sur Internet proposent ce genre de service, gratuitement ou commercialement (un site comme en propose une liste actualisée chaque jour), mais la garantie d un véritable anonymat (et pas d un service journalisant tous vos accès, ou pire utilisant des moyens informatiques incertains tels que des véritables proxies mal configurés sur Internet) est plus que douteuse. Enfin, une autre catégorie plus «radicale» repose sur l utilisation de réseaux d anonymisation dédiés, comme le propose par exemple TOR 5 (The Onion Routing). TOR est une solution basée sur une utilisation massive de la cryptographie. Plusieurs centaines de «nœuds», les routeurs «TOR», participent à la création d un réseau collaboratif d anonymisation. Un client «Alice» souhaitant dialoguer avec un serveur «Bob» va choisir aléatoirement trois nœuds TOR (T1, T2 et T3). Alice va alors récupérer les clefs publiques des routeurs T1, T2 et T3, puis élaborer des clés de chiffrement éphémères avec ces différents équipements. Le flux est chiffré de bout en bout, mais aussi entre les différents nœuds. Seuls Alice et T3 auront connaissance du contenu en clair, T3 ayant en charge l acheminement final du trafic vers Bob. Ce circuit virtuel a une durée de vie limitée et sera renégocié après une durée paramétrable. Cette architecture va offrir de très bonnes garanties de sécurité, car mis à part Alice, source du message, aucun élément de la solution ne dispose d informations concernant à la fois le contenu du paquet, la source et suite page columnists/

3 suite de la page 2 la destination du message. Le niveau d anonymat offert est très intéressant, et propose de véritables garanties au client. TOR constitue maintenant une référence dans le domaine des réseaux d anonymisation et offre des performances très honnêtes pour les protocoles TCP. L utilisation de TOR reste simple et des clients sont disponibles pour la plupart des environnements courants (systèmes Microsoft, Unix BSD et Linux ). Ce projet est financé par l EFF 6 (Electronic Frontier Fundation) et a fait l objet de plusieurs publications très sérieuses. Comme nous l avons vu dans cet article, les menaces contre la vie privée sur Internet sont de plus en plus concrètes. Un utilisateur légitime peut souhaiter, dans certaines circonstances, accéder à Internet tout en ayant des garanties sur son anonymat. Des solutions concrètes et 6. Glossaire utilisables sont maintenant disponibles et sont accessibles à des utilisateurs non avertis, via par exemple des kits tels que «Anonym.OS». Mais ces solutions d anonymat peuvent aussi être utilisées à des fins malveillantes par des utilisateurs souhaitant masquer leur identité pour commettre des méfaits et autres piratages sur Internet Bien que les motivations d anonymat soient nobles, elles peuvent servir aussi des causes moins louables Comme toujours, le juste équilibre est à trouver! Cookies: fichier texte enregistré par un site Web sur le disque dur de l internaute et permettant de l authentifier lors de futures visites. Les informations que recèle ce fichier servent généralement à personnaliser l accès au site. Phishing: en français, «hameçonnage». Ce terme désigne l obtention d informations confidentielles (comme les mots de passe ou d autres informations privées), en se faisant passer auprès des victimes pour quelqu un digne de confiance ayant un besoin légitime de l information demandée. C est une forme d attaque informatique de type ingénierie sociale. Profiling: ensemble de techniques permettant de collecter et d exploiter le «profil» (données personnelles) de visiteurs. Proxy: en français, «serveur mandataire». C est une machine faisant fonction d intermédiaire entre deux réseaux (par exemple, un réseau local et Internet). La plupart du temps, le serveur proxy est utilisé pour le Web, il s agit alors d un proxy HTTP. Toutefois, il peut exister des serveurs proxy pour chaque protocole applicatif (FTP ). Spyware: logiciel parasite, installé généralement à l insu de l utilisateur, et destiné à espionner son comportement. Techniques pour mettre en place un service d authentification unique et évoluer vers la fédération d identités Florent Guilleux et Olivier Salaün: ingénieurs au Comité réseau des universités et responsables du service de fédération d identités pour l enseignement supérieur. La multiplication des identités numériques sur le Web entraîne de nombreux problèmes, à la fois pour les utilisateurs et les gestionnaires d application. Pour les utilisateurs qui doivent manipuler de multiples comptes, avec des conséquences bien connues: l utilisateur peut difficilement mémoriser de nombreux mots de passe. Il finit donc par utiliser le même pour des applications ayant des niveaux de sécurité différents. Pour chaque gestionnaire d application, la difficulté est de maintenir à jour des comptes utilisateurs pour une population qui peut évoluer, et d administrer et sécuriser un service d authentification. Toutes ces pratiques entraînent une dégradation de la sécurité des systèmes d information. Le Single Sign-On, bénéfices et fonctionnement À l échelle d un organisme, le Single Sign- On (SSO, «authentification unique») répond à ces problématiques en offrant un service d authentification centralisé qui améliore notamment la sécurité du système d information. Les utilisateurs n ont plus qu un point unique d authentification, pour lequel un important effort de sécurisation peut être effectué. Ce point unique facilite aussi la mise en œuvre d une véritable politique de gestion des moyens d authentification des utilisateurs. On peut utiliser indifféremment un ou plusieurs niveaux d authentification (mot de passe, mot de passe à usage unique OTP, certificat personnel, etc.), en fonction de la sensibilité de chaque application. Cette modularité permet également à un organisme de faire facilement évoluer les méthodes d authentification. Les applications peuvent se reposer sur ce service standard d authentification ; elles ne manipulent plus les éléments d authentification, ce qui réduit fortement les risques de compromission de ces derniers. Les solutions actuelles de SSO sont désormais éprouvées et offrent une bonne intégration dans les systèmes d information. Le SSO permet à un utilisateur de s authentifier une seule fois par session pour accéder à un ensemble d applications Web. Il fonctionne sur un mode clients serveur. Le serveur SSO a deux rôles : 1. authentifier les utilisateurs et 2. communiquer la preuve de cette authentification aux applications. À son premier accès à une application, le navigateur de l utilisateur suite page 4 3

4 suite de la page 3 est redirigé vers le serveur SSO, où l utilisateur s authentifie, puis il est redirigé, de façon transparente, vers l application. L application ne reçoit du serveur qu une preuve (une «assertion») de l authentification : les éléments d authenfication (par exemple, les mots de passe des utilisateurs) ne sont jamais communiqués aux applications. Quand l utilisateur accède ensuite à une autre application, cette dernière interroge le serveur SSO, qui lui communique la preuve de l authentification de l utilisateur. Cet échange est transparent pour l utilisateur, il n a pas besoin de s authentifier à nouveau. Les échanges d assertions entre les applications et le serveur SSO transitent par le navigateur Web en utilisant les techniques de redirections HTTP. Les cookies HTTP sont largement employés pour maintenir les sessions avec l utilisateur. Pour s authentifier mutuellement et sécuriser leurs échanges, le serveur SSO et les applications utilisent SSL/TLS ou des clés symétriques. Les différents produits de SSO implémentent des protocoles variés, mais l architecture générale décrite reste la même. Le périmètre d un SSO est limité à un domaine de sécurité, dans lequel peuvent être établis facilement des relations de confiance entre le serveur SSO et les applications, typiquement au sein d un organisme. La fédération d identités permet de prolonger les services du SSO audelà du périmètre d un organisme. La fédération d identités, prolongement du SSO Les solutions de fédération d identités permettent à une application dans un organisme d interagir avec un système d authentification d un autre organisme. L application (appelée «fournisseur de services») délègue la phase d authentification d un utilisateur à l organisme auquel il est rattaché (appelé «fournisseur d identités»). Le fournisseur de services conserve la prérogative du contrôle d accès, mais peut pour cela utiliser des attributs de l utilisateur fournis par le fournisseur d identités. Un fournisseur de services peut être sollicité par des utilisateurs issus de différents fournisseurs d identités. Inversement, les utilisateurs rattachés à un fournisseurs d identités peuvent accéder à différents fournisseurs de services. La fédération d identités bénéficie de SAML (Security Markup Assertion Language) comme standard pour le format des assertions d authentification et d attributs entre les fournisseurs d identités et de services. Outre ces formats, la norme SAML définit des protocoles et scénarios d échanges entre les fournisseurs d identités et de services, sur lesquels s appuient les spécifications Liberty Alliance et Shibboleth. Liberty Alliance est un consortium d entreprises qui a produit des spécifications pour la gestion des identités ; elles sont implémentées dans de nombreux produits. Shibboleth est à la fois une spécification et un logiciel implémentant ces spécifications. Le logiciel Shibboleth, développé par l équipe d Internet2, est massivement utilisé par les communautés universitaires. Microsoft a développé une technologie concurrente basée sur WS- Federation. Toutes ces solutions s appuient sur les techniques de base employées par les SSO: redirections HTTP, cookies, Web services, SSL/TLS. Les relations de confiance techniques entre les différentes briques logicielles des fournisseurs s appuient sur des certificats X.509 ou des clés symétriques. La définition des relations de confiance entre les fournisseurs d identités et de services à un plus haut niveau est cruciale. Un fournisseur de services se repose sur les fournisseurs d identités pour assurer une authentification sûre de ses utilisateurs et la qualité de leurs attributs. Réciproquement, un fournisseur d identités fait confiance aux fournisseurs de services quant à leur bonne utilisation des attributs nominatifs. La formalisation de ces relations de confiance peut se faire de gré à gré entre chaque paire de fournisseurs d identités et de services. Cependant, il est naturel de vouloir formaliser la définition de ces relations de confiance pour un ensemble de fournisseurs qui forment alors un cercle de confiance. L inscription à un tel cercle de confiance engage à respecter des règles communes. Au sein d un cercle de confiance, des règles existent aussi pour assurer la protection des données personnelles des utilisateurs qui peuvent être communiquées entre fournisseurs. SAML permet de communiquer des assertions d authentification anonyme. Il existe aussi la possibilité d utiliser un identifiant persistant et opaque spécifique à un triplet fournisseur d identités fournisseur de services utilisateur final. Ainsi un fournisseur de services peut reconnaître un utilisateur d une session à l autre, sans le connaître nominativement. Des technologies promises à un bel avenir La fédération d identités est un concept récent, mais des déploiements importants ont déjà lieu, à l étranger comme en France, dans le monde industriel comme pour le secteur public. Le projet mon.service-public, de la Direction générale de la modernisation de l État, en est une illustration (voir l article de Benoît Boute). Dans le domaine de l enseignement supérieur, des cercles de confiance sont déjà opérationnels dans plusieurs pays. En France, le Comité réseau des universités opère une fédération pilote pour les établissements d enseignement supérieur. Les projets en cours s appuyant sur ce service varient en termes de types d usage et d échelle : accès à des ressources documentaires, partage de ressources pédagogiques entre établissements d une même région, extranets à l échelle nationale. La fédération d identités permet aux organismes d utiliser une technologie standard en réponse à des besoins d authentification Web et de contrôle d accès très variés. Par ailleurs, des projets sont en cours pour l étendre hors du contexte Web, par exemple pour les grilles de calcul. Références Introduction aux architectures Web de Single Sign-On, JISC Single Sign-On Report, documents/cmss- Gilmore.pdfhttp://www.jisc.ac.uk/ uploaded_documents/cmss-gilmore.pdf SAML, committees/security/ Federated Security: The Shibboleth Approach, 442.pdf Liberty Alliance, Liste de fédérations en productions dans l enseignement supérieur, html Fédération pilote du CRU, GridShib, 4

5 BRÈVES Deux types d attaques toujours d actualité, malgré les nombreuses recommandations faites: Compromission de serveurs Web dynamiques Rappel des recommandations : Appliquez tous les correctifs de sécurité que vous conseille le CERT Renater Interdisez (ou limitez) les rebonds entre votre serveur Web situé dans la zone semi-ouverte et les machines situées à l intérieur de la zone interne N installez pas vos serveurs Web permanents (par exemple, site Web institutionnel de votre laboratoire) et vos serveurs Web temporaires (par exemple, site Web pour une inscription à une école thématique) sur la même machine Définissez des méthodes de programmation strictes de vos sites web Si, malgré tout, vous avez été victime d une intrusion, ne remettez pas en service votre site Web sans avoir corrigé la/les vulnérabilité(s) Dans notre environnement, un certain nombre de sites Web étant externalisés, vous ne pourrez pas agir directement. En revanche, vous devez sensibiliser votre direction aux risques actuels très importants concernant les sites Web et relire le contrat d hébergement signé pour éventuellement le faire modifier. À ce sujet, nous vous conseillons la lecture de la note du CERTA sur les «bonnes pratiques concernant l hébergement mutualisé» (http://www.certa.ssi.gouv.fr/site/certa-2005-inf-005.pdf) Attaque par force brute de serveurs SSH Malgré tous les conseils prodigués, chaque semaine des attaques sur SSH sont couronnées de succès, ce qui est regrettable car généralement ce type de serveur est mis en place pour assurer plus de sécurité dans les accès. Rappel des recommandations : Privilégiez l authentification par clef Si ce n est pas possible, vérifiez la validité et la solidité de vos couples nom d utilisateur/mot de passe Surveillez quotidiennement votre serveur SSH, point d entrée important et cible d attaque privilégiée Réactivité aux informations de sécurité De nombreux avis de sécurité parviennent chaque jour dans nos boîtes aux lettres. Certains sont jugés «mineurs», d autres «critiques» comme ce fut le cas fin mars pour l un des logiciels de relais de messagerie le plus utilisé dans notre environnement : sendmail. Dans ce cas, il est recommandé d appliquer très rapidement le correctif diffusé ou d installer la nouvelle version. De façon générale, il est recommandé d appliquer les correctifs sur les services exposés sur Internet le plus rapidement possible, c est-à-dire dès réception (attention à l oubli des messages dans des boîtes aux lettres «annexes» alimentées par redirections automatiques) Serveur Web UREC sécurité Le serveur Web de l UREC a été basculé sous le gestionnaire de contenu SPIP, avec une réorganisation des parties sécurité publiques ou en accès restreint (http://www.urec.cnrs.fr/rubrique17.html). N hésitez pas à nous faire part de vos remarques : sécurité informatique mai n 56 Fédération d identités: les enjeux d un «contrat de confiance» Benoît Boute Responsable du projet mon.service-public.fr - MINEFI/Direction générale de la modernisation de l État Problématiques actuelles, enjeux sociétaux de la dilution de la confiance On parle beaucoup ces temps-ci d identité numérique. Et pour cause, avec le développement des services en ligne, l avènement de systèmes «live»,ou les nouveaux concepts marketing prônés par les apôtres du «Web 2.0» (sic), les internautes sont plus que jamais invités à se créer des comptes auprès de différents fournisseurs de services: portails généralistes, opérateurs de messagerie instantanée, webmails aux capacités gigantesques, services de voix sur IP, plates-formes de blogs, dispositifs de partage de documents en ligne, commerçants, listes de diffusion, et même services publics! Cette identité, ou plutôt ces identités sont autant de sésames pour accéder à une masse entropique de données personnelles et distribuées sur tout le réseau. En prenant quelques exemples, mes identités numériques me permettent d accéder à un univers d informations telles que: les différents états (coordonnées, consommations, factures), consultables en ligne, que des opérateurs de services (opérateurs télécoms, eau, électricité, FAI, banques, assurances ) possèdent sur moi; les différentes données détenues par les commerçants (systèmes de fidélisation, historisation des achats ); les informations administratives me concernant (données détenues dans les administrations d État ou les collectivités territoriales, rendues progressivement accessibles en ligne) sur le thème de l état civil, de l information fiscale, du casier judiciaire, de l enseignement ; les informations médicales détenues par l ensemble des professionnels de santé avec qui j ai des interactions (assurance maladie, mutuelles, hôpitaux, pharmacies, médecins généralistes, spécialistes, laboratoires ) et avec lesquels je vais être amené à communiquer de plus en plus via Internet; l ensemble des traces que je laisse volontairement ou non en ligne, au travers de différents comptes (messageries, forums, blogs, pages perso, sites professionnels) informations qui vont des données d état civil à des données financières (numéro de CB) ou d éléments multimédias publics ou privés (albums photos ), sans oublier les divers services des sphères Microsoft, Google ou Yahoo Le développement incessant et la dilution de ces informations posent le problème du contrôle et de la protection de ces données par leurs propriétaires, nous. En effet, l information se démultiplie. Elle est constamment parcourue et indexée par des myriades de robots (aujourd hui les crawlers de Google, demain d autres), qui la stockent, se l approprient et la restituent sans notre autorisation. Le droit à l oubli, un des piliers de la loi française sur l informatique et les libertés, est constamment bafoué par des sociétés internationales qui se placent au-dessus de nos lois nationales. Par ailleurs, nombre de dispositifs s approprient ces informations, dont on semble penser qu elles sont tombées dans le domaine public dès lors qu elles ont été mises en ligne. Perte de la propriété sur les informations personnelles, stockage et utilisation abusifs de nos données, etc. autant de dangers qui nous guettent dans la mesure où, certaines études le montrent, le volume de ces données tend actuellement à doubler quasiment tous les ans et où la tentation de s inscrire à de nouveaux services et à leur communiquer des données personnelles est permanente. suite page 6 5

6 suite de la page 5 Une identité ou une fédération d identités? Une des solutions envisagées pour permettre à chaque individu de reprendre le contrôle de ses identités et de leur utilisation passe par l émergence d opérateurs, ayant un mandat fort sur le sujet, qui définissent et opèrent un service dans lequel seront stockées ces diverses données avec des autorisations de communication à d autres entités, au coup par coup, et sous contrôle de l usager (ou au minimum sur la base d un mécanisme d habilitations). Ainsi, au sein de l État, les administrations mettent en commun leurs réflexions sur ces sujets de manière à permettre à l usager de comprendre très précisément où et comment sont gérées ses identités. Cette position est par exemple adoptée dans le projet de portail de l administration «mon.service-public.fr», pour lequel deux choix sont d ores et déjà retenus: l utilisation d un mécanisme de fédération d identités qui instaure des relations de confiance (notamment sur l authentification et l échange d attributs) entre opérateurs de services à destination des usagers dans un domaine, appelé le cercle de confiance. L objectif est notamment de proposer un mécanisme de Single Sign-On, où l utilisateur est reconnu automatiquement sur tous ses téléservices suite à une authentification unique. Cette solution de fédération permet la mise en place de ces mécanismes dans un respect total des libertés individuelles et de la loi informatique et libertés ; le stockage, sous le contrôle de l usager, de données personnelles administratives, dans un coffre-fort dont il détient la clé, et qu il peut déverrouiller au cas par cas lors de ses relations avec l administration. Ce service, intéressant en soi, n est cependant pas obligatoire dans une fédération d identités. Comment retrouver la confiance des usagers? La confiance passe par la transparence et l éducation des utilisateurs. Éduquer l usager d un service consiste tout d abord à lui montrer que la communication d une donnée personnelle n est jamais anodine. Il est important que tous les grands fournisseurs de services jouent le jeu de cette transparence en respectant le droit d accès et en affichant des règles du jeu claires aux usagers. De fait, cette éducation doit faire l objet d un effort conjoint de l État et des grands opérateurs de services, et doit débuter au plus tôt afin de porter ses fruits tant qu il en est encore temps. À l échelle des services de l État, cette réflexion se concrétise par la conception d une «charte de confiance» qui pourrait être affichée sur les téléservices qui en appliquent les termes, et qui sera rapidement identifiable par tout internaute. Cette charte détaillera les mesures appliquées en termes de gestion des identités et d échange de données personnelles. La confiance sera également véhiculée par l utilisation de processus, d éléments graphiques, mais aussi de vocables clairs et cohérents sur tous ces aspects ; l objectif étant d encourager des habitudes et des réflexes relatifs à l utilisation de ces technologies. Malheureusement, l excès de transparence, d information, et de dispositifs de contrôle sur la sécurité des données personnelles risque d avoir un effet anxiogène susceptible d effrayer plus d un usager. Dès lors, il faudra concilier les desiderata des différentes catégories d internautes, des plus avertis qui souhaitent comprendre précisément comment sont manipulées leurs données, aux plus bienveillants qui souhaitent aller rapidement à l information et font confiance, à tort ou à raison, à leur interlocuteur pour respecter les principes évidents relatifs aux libertés individuelles! Sur ces aspects, il reste à mener une importante réflexion complétée par des tests utilisateurs réguliers. Comment concrétiser la confiance entre les administrations? Du côté des administrations, la bataille pour la confiance n est pas encore gagnée. Toute entité qui essaie de fédérer autour d elle différents partenaires dans le but de constituer des cercles de confiance le sait: déléguer à un tiers ne serait-ce que l authentification des usagers relève d une gageure que les RSSI sont toujours réticents à assumer. Là encore, il s agit de convaincre et de formaliser des conventions de service instaurant les relations entre les parties (opérateurs de services et fournisseurs d identités), que ce soit sur le plan de la responsabilité ou sur celui de la qualité de service. Des normes communes doivent également être élaborées pour convaincre l opérateur d un dispositif que déléguer l authentification de ses usagers à un fournisseur d identités ne dégrade pas la sécurité de son système. Comme on le voit, les enjeux relatifs au développement d identités numériques vont bien au-delà de la «simple» dimension technique. En effet, on peut certes faire confiance aux diverses instances de normalisation et aux industriels (éditeurs, intégrateurs, opérateurs) pour mettre en place des solutions technologiques pour répondre aux problématiques évoquées précédemment. Néanmoins, la mise en place effective d un contrat de confiance, tant avec les usagers qu avec les partenaires, pour une entité se positionnant sur le terrain de l identité numérique, soulève encore de nombreuses questions aussi bien organisationnelles que sociétales. SÉCURITÉ numéro 56 mai 2006 INFORMATIQUE S É C U R I T É D E S S Y S T È M E S D I N F O R M A T I O N Sujets traités: tout ce qui concerne la sécurité informatique. Gratuit. Périodicité: 4 numéros par an. Lectorat: toutes les formations CNRS. Responsable de la publication: JOSEPH ILLAND Fonctionnaire de sécurité de défense Centre national de la recherche scientifique 3, rue Michel-Ange, Paris XVI Tél Courriel: Rédacteur en chef de ce numéro: FRANÇOIS MORRIS, CNRS/IMPMC et UREC Courriel: ISSN Commission paritaire n 1010 B La reproduction totale ou partielle des articles est autorisée sous réserve de mention d origine Conception et réalisation : La Souris

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

Tour d horizon des différents SSO disponibles

Tour d horizon des différents SSO disponibles Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire

Plus en détail

Maîtriser son identité numérique. Michel Futtersack, Faculté de Droit, Université Paris Descartes

Maîtriser son identité numérique. Michel Futtersack, Faculté de Droit, Université Paris Descartes Maîtriser son identité numérique Michel Futtersack, Faculté de Droit, Université Paris Descartes Au début du Web, l utilisateur était passif et se contentait de feuilleter des pages contenant du texte

Plus en détail

Ministère de l éducation nationale, de l enseignement supérieur et de la recherche 07/11/2006

Ministère de l éducation nationale, de l enseignement supérieur et de la recherche 07/11/2006 Schéma directeur des espaces numériques de travail Annexe AAS Authentification-Autorisation-SSO Version 2.0 SOMMAIRE 1. Introduction... 3 1.1 Contexte... 3 1.2 Objectifs et contenu du document... 4 1.3

Plus en détail

Introduction. aux architectures web. de Single Sign-On

Introduction. aux architectures web. de Single Sign-On Introduction aux architectures web de Single Sign-On Single Sign-on Authentifier 1 seule fois un utilisateur pour accéder à un ensemble d applications contexte web Nombre croissant d applications ayant

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

ENVOLE 1.5. Calendrier Envole

ENVOLE 1.5. Calendrier Envole ENVOLE 1.5 Calendrier Envole RSA FIM 1 avril 2008 V 1.13 sur EOLE V 2.0 1 septembre 2008 EOLE V 2.1 10 octobre 2008 V 1.15 RC sur EOLE V 2.0 Modification du SSO EOLE 2.2 (PAM-CAS, CT EOLE V 2.2 RC Prise

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE MINISTÈRE DU TRAVAIL, DE l EMPLOI ET DE LA SANTÉ MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE MINISTÈRE DU BUDGET, DES COMPTES PUBLICS ET DE LA RÉFORME DE L ÉTAT Standard d'interopérabilité entre

Plus en détail

Table des matières. Préface... 15 Mathieu JEANDRON

Table des matières. Préface... 15 Mathieu JEANDRON Table des matières Préface... 15 Mathieu JEANDRON Chapitre 1. Les identités numériques... 19 Maryline LAURENT, Julie DENOUËL, Claire LEVALLOIS-BARTH et Patrick WAELBROECK 1.1. Introduction... 19 1.2. Dimension

Plus en détail

VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA.

VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA. VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA 1 6 décembre 2005 2 Plan Contexte INRIA Enjeux et objectifs de VISON Service d authentification

Plus en détail

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Avant-propos L économie en réseau, ou la netéconomie, est au cœur des débats et des stratégies de toutes les entreprises. Les organisations, qu il s agisse de

Plus en détail

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction

Plus en détail

Comment assurer la gestion des identités et des accès sous forme d un service Cloud?

Comment assurer la gestion des identités et des accès sous forme d un service Cloud? FICHE DE PRÉSENTATION DE SOLUTION CA CloudMinder Comment assurer la gestion des identités et des accès sous forme d un service Cloud? agility made possible Grâce à CA CloudMinder, vous bénéficiez de fonctionnalités

Plus en détail

Xi Ingénierie. La performance technologique au service de votre e-commerce. Comment exploiter les cookies sur vos applications web en toute légalité?

Xi Ingénierie. La performance technologique au service de votre e-commerce. Comment exploiter les cookies sur vos applications web en toute légalité? Xi Ingénierie La performance technologique au service de votre e-commerce Comment exploiter les cookies sur vos applications web en toute légalité? Copyright 2012 Xi Ingénierie Toute reproduction ou diffusion

Plus en détail

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible les activités en ligne évoluent rapidement... Il y a quelques années, les clients entraient timidement

Plus en détail

Enjeux, menaces, vulnérabilités

Enjeux, menaces, vulnérabilités Enjeux, menaces, vulnérabilités B. Boutherin 1 Pourquoi la sécurité informatique? Enjeux * Menaces * Vulnérabilités = Risque informatique B. Boutherin 2 Enjeux Image de marque et exemplarité de l état

Plus en détail

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012 LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL CNRS RSSIC version du 11 mai 2012 Un poste de travail mal protégé peut mettre en péril non seulement les informations qui sont traitées sur le poste

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian Les 7 méthodes d authentification les plus utilisées Un livre blanc Evidian Appliquez votre politique d authentification grâce au SSO d entreprise. Par Stéphane Vinsot Chef de produit Version 1.0 Sommaire

Plus en détail

Prévenir les Risques liés à l usage d Internet dans une PME-PMI

Prévenir les Risques liés à l usage d Internet dans une PME-PMI Prévenir les Risques liés à l usage d Internet dans une PME-PMI Définition protocole Un protocole est un ensemble de règles et de procédures à respecter pour émettre et recevoir des données sur un réseau

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet DNS : types d attaques et techniques de sécurisation Présentation du DNS (Domain Name System) Les grands types d attaques visant le DNS et les noms de domaine Les principales techniques de sécurisation

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle

Plus en détail

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014 La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014 25/09/2014 1 RENATER Opérateur du réseau enseignement et recherche Sécurité Le CERT RENATER Animation réseau des

Plus en détail

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Fédération Définit un cercle de confiance constitué de Fournisseurs d'identités

Plus en détail

CATALOGUE DE SERVICES DE LA DIRECTION DU SYSTEME D INFORMATION DE L UNIVERSITE DE LIMOGES

CATALOGUE DE SERVICES DE LA DIRECTION DU SYSTEME D INFORMATION DE L UNIVERSITE DE LIMOGES CATALOGUE DE SERVICES DE LA DIRECTION DU SYSTEME D INFORMATION DE L UNIVERSITE DE LIMOGES Sommaire Fiche 1 : Gestion des identités : annuaires et authentification Fiche 2 : Connectez-vous en toute sécurité

Plus en détail

Formation Fonctions Collaboratives

Formation Fonctions Collaboratives 1 Formation Fonctions Collaboratives 2 Introduction Ergonomie Données initiales Messagerie Gestion de ressources Agenda partagé Disque virtuel Publication Sommaire Applications tierces 3 Introduction 4

Plus en détail

Règles pour les interventions à distance sur les systèmes d information de santé

Règles pour les interventions à distance sur les systèmes d information de santé VERSION V0.3 Règles pour les interventions à distance sur les systèmes d information de santé Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Avril 2014 MINISTÈRE DES AFFAIRES

Plus en détail

quelles conséquences pour la documentation en ligne?

quelles conséquences pour la documentation en ligne? Structure et évolutions de l Internet p.1/23 Structure et évolutions de l Internet quelles conséquences pour la documentation en ligne? JOËL MARCHAND jma@math.jussieu.fr GDS 2754 Mathrice Où en est l Internet?

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés Version destinée aux enseignants qui exercent dans des établissements

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

Mathrice et les outils de travail et développement collaboratif

Mathrice et les outils de travail et développement collaboratif Mathrice et les outils de travail et développement collaboratif Philippe Depouilly, Laurent Facq IMB UMR 5251 - Mathrice GDS 2754 21 janvier 2013 (IMB/MATHRICE) Mathrice/Envol 2013 21 janvier 2013 1 /

Plus en détail

IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr. JTO décembre 2002

IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr. JTO décembre 2002 IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr JTO décembre 2002 Chiffrement asymétrique Confidentialité d un message : le chiffrer avec la clé publique du destinataire.

Plus en détail

La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts Christophe Bonenfant Cyril Gollain La GRC en période de croissance Gouvernance Gestion

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

L identité numérique. Risques, protection

L identité numérique. Risques, protection L identité numérique Risques, protection Plan Communication sur l Internet Identités Traces Protection des informations Communication numérique Messages Chaque caractère d un message «texte» est codé sur

Plus en détail

La mémorisation des mots de passe dans les navigateurs web modernes

La mémorisation des mots de passe dans les navigateurs web modernes 1 La mémorisation des mots de passe dans les navigateurs web modernes Didier Chassignol Frédéric Giquel 6 décembre 2005 - Congrès JRES 2 La problématique Multiplication des applications web nécessitant

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

Comment activer un accès pratique et sécurisé à Microsoft SharePoint?

Comment activer un accès pratique et sécurisé à Microsoft SharePoint? DOSSIER SOLUTIONS SharePoint Security Solution de CA Technologies Comment activer un accès pratique et sécurisé à Microsoft SharePoint? agility made possible La solution de sécurité SharePoint proposée

Plus en détail

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN 5.2.4 build 8069 PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Rapport de certification ANSSI-CSPN-2011/14 Fonctionnalités

Plus en détail

Groupe de travail Gestion des identités Les usages et les services ATELIER 2

Groupe de travail Gestion des identités Les usages et les services ATELIER 2 Introduction et cadrage Jean Pierre Buthion, Pdt de la Commission Identités Commission Identité Numérique Groupe de travail Gestion des identités Les usages et les services ATELIER 2 Analyse et synthèse

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE PUBLICATION CPA-2011-102-R1 - Mai 2011 SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE Par : François Tremblay, chargé de projet au Centre de production automatisée Introduction À l

Plus en détail

«Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de

«Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de 1 2 «Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de Copie, seules les références bibliographiques peuvent

Plus en détail

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique Sommaire Fondements d une politique de sécurité Les 9 axes parallèles d une politique

Plus en détail

Contributions françaises à la problématique internationale de la protection sociale des travailleurs informels et de leurs familles.

Contributions françaises à la problématique internationale de la protection sociale des travailleurs informels et de leurs familles. Contributions françaises à la problématique internationale de la protection sociale des travailleurs informels et de leurs familles. Un groupe de travail se réunit sous la Présidence de Pierre BURBAN au

Plus en détail

Conseil économique et social

Conseil économique et social NATIONS UNIES E Conseil économique et social Distr. GÉNÉRALE ECE/TRANS/WP.30/AC.2/2008/2 21 novembre 2007 FRANÇAIS Original: ANGLAIS COMMISSION ÉCONOMIQUE POUR L EUROPE Comité de gestion de la Convention

Plus en détail

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet REALSENTRY TM Gestion, Performance et Sécurité des infrastructures Web La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet L authentification

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

Application des Spécifications détaillées pour la Retraite, architecture portail à portail

Application des Spécifications détaillées pour la Retraite, architecture portail à portail Pour Application des Spécifications détaillées pour la Retraite, architecture portail à portail Version 1.0 ON-X S.A. est une société du Groupe ON-X 15, quai Dion Bouton 92816 PUTEAUX cedex. Tél : 01 40

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

CHARTE D HEBERGEMENT DES SITES INTERNET SUR LA PLATE-FORME DE L ACADEMIE DE STRASBOURG

CHARTE D HEBERGEMENT DES SITES INTERNET SUR LA PLATE-FORME DE L ACADEMIE DE STRASBOURG CHARTE D HEBERGEMENT DES SITES INTERNET SUR LA PLATE-FORME DE L ACADEMIE DE STRASBOURG Version Octobre 2014 Rectorat de l académie de Strasbourg 6 Rue de la Toussaint 67975 Strasbourg cedex 9 1 Page 1/14

Plus en détail

PortWise Access Management Suite

PortWise Access Management Suite Créez un bureau virtuel pour vos employés, partenaires ou prestataires depuis n importe quel endroit et n importe quel appareil avec Portwise Access Manager et Authentication Server. Fournir des accès

Plus en détail

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES informatiques d Inria CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES Table des matières 1. Préambule...3 2. Définitions...3 3. Domaine d application...4 4. Autorisation d accès aux ressources informatiques...5

Plus en détail

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de la PCI (PCI DSS) Version : 1.2 Date : Octobre 2008

Plus en détail

Solutions de sécurité des données Websense. Sécurité des données

Solutions de sécurité des données Websense. Sécurité des données Sécurité des données Data Security Suite Data Discover Data Monitor Data Protect Data Endpoint Solutions de sécurité des données Sécurité des Données: l approche de permet d assurer l activité de l entreprise

Plus en détail

Les technologies de gestion de l identité

Les technologies de gestion de l identité Commission Identité Numérique Groupe de travail Gestion des identités Les technologies de gestion de l identité ATELIER 1 Paul TREVITHICK, CEO de Parity Responsable projet Higgins Président Fondation Infocard

Plus en détail

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ

VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ VIGIPIRATE PARTIE PUBLIQUE OBJECTIFS DE CYBERSÉCURITÉ Édition du 27 février 2014 INTRODUCTION 5 1 / PILOTER LA GOUVERNANCE DE LA CYBERSÉCURITÉ 7 1.1 / Définir une stratégie de la cybersécurité 8 1.1.1

Plus en détail

Annuaire LDAP, SSO-CAS, ESUP Portail...

Annuaire LDAP, SSO-CAS, ESUP Portail... Annuaire LDAP, SSO-CAS, ESUP Portail... Patrick DECLERCQ CRI Lille 1 Octobre 2006 Plan Annuaire LDAP : - Présentation - Recommandations (SUPANN) - Architecture - Alimentation, mises à jour - Consultation

Plus en détail

ANNEXE IDéNum - Foire aux questions

ANNEXE IDéNum - Foire aux questions ANNEXE IDéNum - Foire aux questions Le label et les certificats labellisés A quoi le label IDéNum est-il destiné? - Le label IDéNum sert à remplacer les mots de passe et autres moyens utilisés par l internaute

Plus en détail

Introduction aux architectures web de Single Sign-on

Introduction aux architectures web de Single Sign-on Olivier Salaün Comité Réseau des Universités Campus de Beaulieu - Rennes Olivier.salaun@cru.fr 15 Octobre 2003 Résumé Introduction aux architectures web de Single Sign-on L'article aborde la problématique

Plus en détail

d authentification SSO et Shibboleth

d authentification SSO et Shibboleth SSO et Shibboleth 1 1 Université Bordeaux 1 Mathrice GDS 2754 : la RNBM, 13 octobre 2010 Sur Internet, les usagers utilisent un grand nombre de services web A chaque service : un identifiant et un mot

Plus en détail

CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes.

CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes. Infos sécurité Charte d usage des TIC au sein de l Université de Bourgogne CHARTE DU BON USAGE DES RESSOURCES INFORMATIQUES et NOTE «INFOS SECURITE» Les informations qui suivent sont très importantes.

Plus en détail

Administration de systèmes

Administration de systèmes Administration de systèmes Windows NT.2000.XP.2003 Copyright IDEC 2002-2004. Reproduction interdite. Sommaire... 2 Eléments logiques et physiques du réseau... 5 Annuaire et domaine... 6 Les utilisateurs

Plus en détail

Traitement des Données Personnelles 2012

Traitement des Données Personnelles 2012 5 ème Conférence Annuelle Traitement des Données Personnelles 2012 Paris, le 18 janvier 2012 Les enjeux de protection des données dans le CLOUD COMPUTING Xavier AUGUSTIN RSSI Patrick CHAMBET Architecte

Plus en détail

Chapitre 01 Généralités

Chapitre 01 Généralités Chapitre 01 Généralités I- Introduction II- Windows Server 2008 R2 1. Historique 2. Caractéristiques 3. Les différentes éditions 4. Outils d administration 4.1. Gestionnaire de serveur 4.2. Utilisateurs

Plus en détail

Espace de stockage intermédiaire. Compte de Messagerie. Communication «Asynchrone» «Compte de Messagerie»

Espace de stockage intermédiaire. Compte de Messagerie. Communication «Asynchrone» «Compte de Messagerie» Messagerie Principes de Base Communication «Asynchrone» La messagerie permet d échanger des informations sans se préoccuper de la disponibilité du/des correspondants Ceci nécessite l utilisation d un espace

Plus en détail

WysiUpNews. Solution e-mailing. pour les fonctions marketing et communication de l entreprise V. 6.x

WysiUpNews. Solution e-mailing. pour les fonctions marketing et communication de l entreprise V. 6.x WysiUpNews Solution e-mailing pour les fonctions marketing et communication de l entreprise V. 6.x DÉMULTIPLIEZ VOTRE CAPACITÉ À PROMOUVOIR, INFORMER ET FIDÉLISER VOS CIBLES Avec WysiUpNews, vous disposez

Plus en détail

Concilier mobilité et sécurité pour les postes nomades

Concilier mobilité et sécurité pour les postes nomades Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de

Plus en détail

JOSY. Paris - 4 février 2010

JOSY. Paris - 4 février 2010 JOSY «Authentification centralisée pour les applications web» Paris - 4 février 2010 Sommaire de la journée Présentations de quelques technologies OpenId CAS Shibboleth Retour d expériences Contexte :

Plus en détail

Solutions d authentification renforcée Critères d évaluation État de l art

Solutions d authentification renforcée Critères d évaluation État de l art Solutions d authentification renforcée Critères d évaluation État de l art Sommaire Rappel JRSSI 2012 : Sécurité des accès périmétriques Cas d'usage, besoins et contraintes utilisateurs Critères d évaluation

Plus en détail

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement

FICHE PRODUIT COREYE CACHE Architecture technique En bref Plateforme Clients Web Coreye Cache applicative Références Principe de fonctionnement COREYE CACHE Solution d absorption de charge pour une disponibilité et une performance optimales des applications Web En bref Architecture technique La plateforme Coreye Cache délivre la majeure partie

Plus en détail

Intranet, ENT, ENS, Systèmes d information Quelles définitions, quels usages, quelles mises en place?

Intranet, ENT, ENS, Systèmes d information Quelles définitions, quels usages, quelles mises en place? Intranet, ENT, ENS, Systèmes d information Quelles définitions, quels usages, quelles mises en place? A l heure de la généralisation de l informatisation de notre société, notre école subit cette montée

Plus en détail

Lexique informatique. De l ordinateur :

Lexique informatique. De l ordinateur : De l ordinateur : Lexique informatique CD / Cédérom : CD (Compact Disc) contient des logiciels (dictionnaire, jeux, ) Clavier : permet de taper du texte, de la ponctuation, des chiffres et des symboles.

Plus en détail

Meilleures pratiques de l authentification:

Meilleures pratiques de l authentification: Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données

Plus en détail

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS Les dossiers thématiques de l AFNIC DNSSEC les extensions de sécurité du DNS 1 - Organisation et fonctionnement du DNS 2 - Les attaques par empoisonnement de cache 3 - Qu est-ce que DNSSEC? 4 - Ce que

Plus en détail

Campagne de Communication Prévisionnelle. Web Intelligence & Réputation Internet

Campagne de Communication Prévisionnelle. Web Intelligence & Réputation Internet Campagne de Communication Prévisionnelle Web Intelligence & Réputation Internet 1 Sommaire 1. Introduction... 3 2. Détail de la prestation de gestion de réputation online... 5 2.1 Sélection des mots, thématiques

Plus en détail

Présentation de Shibboleth

Présentation de Shibboleth Présentation de Shibboleth Journée d information sur la fédération du CRU, 25 Janvier 2007 Présentation de Shibboleth - journée fédération, 25 Janvier 2007 1 Intérêt Présentation de Shibboleth - journée

Plus en détail

Retour sur les déploiements eduroam et Fédération Éducation/Recherche

Retour sur les déploiements eduroam et Fédération Éducation/Recherche Séminaire Aristote Sécurité et Mobilité Retour sur les déploiements eduroam et Fédération Éducation/Recherche 7 février2013 Agenda La communauté RENATER L offre de service La mobilité numérique avec la

Plus en détail

Microsoft Live@edu. Solution de messagerie et de travail en ligne pour les établissements

Microsoft Live@edu. Solution de messagerie et de travail en ligne pour les établissements Microsoft Live@edu Solution de messagerie et de travail en ligne pour les établissements Microsoft Live@edu est une solution de messagerie gratuite proposée aux écoles et aux universités, pour les enseignants,

Plus en détail

DESCRIPTION DU COMPOSANT

DESCRIPTION DU COMPOSANT Gestion des utilisateurs et des accès Composant pour un Egov intégré Qu'est-ce qu'un composant? C est un élément indispensable à l intégration des systèmes e-gov des différents niveaux politiques. Cet

Plus en détail

Guide pratique spécifique pour la mise en place d un accès Wifi

Guide pratique spécifique pour la mise en place d un accès Wifi MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ Guide pratique spécifique pour la mise en place d un accès Wifi Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S)- Mai 2014 - V1.0

Plus en détail

Présentation CERT IST. 9 Juin 2009. Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.

Présentation CERT IST. 9 Juin 2009. Enjeux et Mise en Œuvre du DLP. Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos. Présentation CERT IST 9 Juin 2009 Enjeux et Mise en Œuvre du DLP Alexandre GARRET Directeur des Opérations ATHEOS agarret@atheos.fr Sommaire Constats, Riques & Enjeux Qu'est ce que le DLP? Quelle Démarche

Plus en détail

SOMMAIRE. Savoir utiliser les services de l'ent Outils collaboratifs

SOMMAIRE. Savoir utiliser les services de l'ent Outils collaboratifs Savoir utiliser les services de l'ent Outils collaboratifs Outils collaboratifs. Gérer les groupes 2. Gérer les espaces collaboratifs de travail (rubriques) 3. Connaître les droits assignés aux différents

Plus en détail

Charte d installation des réseaux sans-fils à l INSA de Lyon

Charte d installation des réseaux sans-fils à l INSA de Lyon Charte d installation des réseaux sans-fils à l INSA de Lyon Toute installation d un point d accès est soumise à autorisation auprès du Responsable Sécurité des Systèmes d Information (RSSI) de l INSA

Plus en détail

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ?

Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? Transformation IT de l entreprise COMMENT PROTÉGER VOS DONNÉES ET APPLICATIONS À L ÈRE DE LA MOBILITÉ? L a montée en puissance des fuites de données en tout genre et l explosion des volumes de données

Plus en détail

Politique de Sage en matière de protection de la vie privée sur le site www.linkup-sage.com

Politique de Sage en matière de protection de la vie privée sur le site www.linkup-sage.com Politique de Sage en matière de protection de la vie privée sur le site www.linkup-sage.com 1. A propos de cette politique 1.1 Ce document résume la politique de Sage en matière de protection des données

Plus en détail

IPS-Firewalls NETASQ SPNEGO

IPS-Firewalls NETASQ SPNEGO IPS-Firewalls NETASQ SPNEGO Introduction Un utilisateur doit gérer de nombreux mots de passe. Un mot de passe pour la connexion au poste de travail, un mot de passe pour la messagerie et n mots de passe

Plus en détail

2. Quel est le problème? 3. Que dit la loi? 4. Qu est ce que le droit à l oubli? 5. Contacts utiles 6. À retenir

2. Quel est le problème? 3. Que dit la loi? 4. Qu est ce que le droit à l oubli? 5. Contacts utiles 6. À retenir Fiche informative SOMMAIRE 1. Qu est ce qu un réseau social? 2. Quel est le problème? 3. Que dit la loi? 4. Qu est ce que le droit à l oubli? 5. Contacts utiles 6. À retenir 1. Qu est-ce qu un réseau social?

Plus en détail

Cédric Ouvry Bibliothèque nationale de France Liberty Alliance Deployment Workshop Paris December 7, 2005

Cédric Ouvry Bibliothèque nationale de France Liberty Alliance Deployment Workshop Paris December 7, 2005 Web SSO SAML Liberty Cédric Ouvry Bibliothèque nationale de France Liberty Alliance Deployment Workshop Paris December 7, 2005 PLAN Cas d utilisation Déploiement du toolkit Introduction Production depuis

Plus en détail

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Table des matières Avant-propos................................................ 1 Quel est l objectif de cet ouvrage?............................. 4 La structure

Plus en détail

Sécurisation en réseau

Sécurisation en réseau Déni de services Sécurisation en réseau Utilisant des bugs exemple Ping of death (Cf. RFC IP) l exploitation des protocoles TCP SYN flooding Envoi seulement le début du 3-way handshake Saturation de la

Plus en détail

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Guide Share France. Web Single Sign On. Panorama des solutions SSO Web Single Sign On Panorama des solutions SSO Agenda Concepts généraux Quelques solutions de Web SSO Questions & Réponses Définition Qu est-ce que le Single Sign-On? Solution visant à minimiser le nombre

Plus en détail

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés Version destinée aux enseignants qui exercent dans des établissements

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN Dropbear 2012.55 Ref 12-06-037-CSPN-cible-dropbear Version 1.0 Date June 01, 2012 Quarkslab SARL 71 73 avenue des Ternes 75017 Paris France Table des matières 1 Identification 3

Plus en détail

Communiquer avec un ou plusieurs interlocuteurs. Michel Futtersack, Faculté de Droit, Université Paris Descartes, Sorbonne Paris Cité

Communiquer avec un ou plusieurs interlocuteurs. Michel Futtersack, Faculté de Droit, Université Paris Descartes, Sorbonne Paris Cité Communiquer avec un ou plusieurs interlocuteurs Michel Futtersack, Faculté de Droit, Université Paris Descartes, Sorbonne Paris Cité Dimensions de la communication inter-humaine Synchrone ou asynchrone

Plus en détail