Identités numériques. Techniques d anonymat sur Internet: des solutions pour la protection de la «vie privée»?

Dimension: px
Commencer à balayer dès la page:

Download "Identités numériques. Techniques d anonymat sur Internet: des solutions pour la protection de la «vie privée»?"

Transcription

1 S O M M A I R E Éditorial SÉCURITÉ par J.-P. Le Guigner Techniques d anonymat sur Internet par F. Veysset Techniques pour mettre en place un service d authentification numéro 56 mai 2006 unique et évoluer vers la fédération d identités par F. Guilleux et O. Salaün Fédération d identités: les enjeux d un contrat de confiance par B. Boute INFORMATIQUE S É C U R I T É D E S S Y S T È M E S D I N F O R M A T I O N é d i t o r i a l Identités numériques Les articles de ce numéro abordent trois problématiques majeures pour les internautes que nous sommes: 1) ne fournir les preuves de sa propre identité que très peu souvent, dans les activités professionnelles idéalement une seule fois au niveau du SI de l entreprise, de l établissement; 2) pouvoir accéder à des ressources extérieures qui requièrent un contrôle d accès, sans devoir s authentifier auprès de chacune d elles et éviter d être «suivi à la trace»; 3) enfin, protéger sa vie privée, éviter que des informations personnelles soient exploitées à mauvais escient et cela que ce soit en tant que citoyen en dehors du travail ou en tant qu employé au sein de l entreprise. Les deux premières structurent fortement l organisation du SI, tandis que la dernière exige l implication de l utilisateur. Est-il permis, sans se voir taxé de doux rêveur, de penser à un monde dans lequel je déposerais mon identité et les attributs qui font que je suis celui que je suis auprès d un tiers de confiance, seul habilité ensuite à en communiquer des sous-ensembles à qui de droit? Je vous l accorde, nous aurions chacun une idée différente de ce que devrait être ce tiers de confiance, de ce que doivent être une identité, les attributs, les droits Dans les chantiers de la «gestion des identités», trois catégories d approches sont à distinguer : 1) Les identités gérées par l entreprise dans son annuaire et propagées vers les différentes briques du SI par les technologies SSO, gestion des droits, des délégations, etc. 2) Les architectures et solutions technologiques permettant de propager des éléments d identité vers des partenaires (Shibboleth, Liberty Alliance, ADFS ) ou d établir des liens formels entre différents comptes d une même personne dans des administrations différentes (Liberty Alliance notamment). 3) Enfin, le modèle de gestion des identités à la P2P (Infocard de MicroSoft, Higgins de HP ) pour le commun des internautes et qui permet de fiabiliser un minimum les accès aux blogs notamment. Quelques questions pour prolonger le débat. Les technologies SSO et de fédération d identités sont-elles appropriées pour contrôler l accès aux ressources et informations sensibles? Si oui, ne peuvent-elles pas remplacer les certificats clients? N y a-t-il pas contradiction à filtrer les cookies pour protéger sa vie privée et cependant vouloir utiliser les technologies de SSO et de fédération d identités pour se simplifier la vie? Comment avoir l absolue garantie de remonter à la source d un acte malveillant dans un contexte d anonymisation? Dans un environnement SSO élargi, quels peuvent être les conséquences d une perte du couple login/motdepasse? Et pour finir, les personnes en charge des référentiels, clés de voûte des architectures SSO et fédération d identités, mesurent-elles bien leur responsabilité? Mais vous m en voudriez de monopoliser votre temps et de vous rendre morose alors que, finalement, les articles qui suivent laissent entrevoir des espoirs. Jean-Paul Le Guigner Responsable de la cellule technique du Comité réseau des universités (www.cru.fr) Diffusion de Sécurité Informatique Dans l objectif du «zéro papier», la diffusion sous forme papier de Sécurité Informatique, en dehors des unités du CNRS, sera dorénavant très limitée. Nous nous en excusons auprès de nos lecteurs antérieurement habitués à ce confort. Cette mesure prend effet à compter du présent numéro. Quelques demandes particulièrement argumentées pourront néanmoins être satisfaites à partir du prochain numéro ; ces demandes sont à exprimer auprès du service du fonctionnaire de sécurité de défense du CNRS (écrire à Techniques d anonymat sur Internet: des solutions pour la protection de la «vie privée»? par Franck Veysset, Expert en sécurité Internet/intranet, France Télécom Division R&D Face aux nombreuses menaces contre la vie privée qui existent du fait de l utilisation d Internet (profiling, traces électroniques ), plusieurs solutions techniques tendant à préserver l anonymat des utilisateurs, en leur permettant de ne pas dévoiler leur véritable identité, se sont développées. Qu en est-il de ces solutions? En l espace de quelques années, l Internet est devenu un immense «centre commercial», et les pratiques «classiques» du monde physique de suivi de clientèle, «profiling», programme de fidélité, connaissance des goûts et préférences des utilisateurs, se sont fortement développées. Cela a été d autant plus facile que l outil informatique est particulièrement adapté pour faciliter la collecte et le traitement de grandes quantités d information. En parallèle, d autres entités ont profité de la quantité d informations disponibles sur Internet pour constituer des fichiers marketing, à des fins commerciales (campagne d ing, Spam ), ou à des fins beaucoup plus obscures (attaque de type phishing, voire dans un autre registre intelligence économique). Si, en France, de telles pratiques sont normalement encadrées par une réglementation stricte (cf. activités de la CNIL 1 Commission nationale de l informatique et des libertés concernant notamment la gestion des informations suite page 2

2 suite de la page 1 KeyServer Alice Schéma 1 : fonctionnement de TOR à caractère personnel), cela n est pas une généralité au niveau international. L étendue des atteintes aux données privées de l utilisateur ne s arrête malheureusement pas là.ainsi, on a pu assister, au cours de ces dernières années,à une véritable explosion dans la diffusion de programmes de type «spyware» visant à mettre la main sur l ordinateur de la victime, pour collecter à son insu ses comportements (type de sites Web visités et fréquence, habitude d utilisation de son poste de travail ), et les rapporter de façon furtive à des organismes gérant d immenses bases de connaissances. Pour compléter ce sombre tableau, citons Anonym.OS: Un système d anonymat «clef en main» Anonym.os est un nouveau projet, créé par un groupe de passionnés appelé «Kaos.theory». Il s agit d un CD bootable (à base d OpenBSD 3.8) offrant un système d exploitation complet, conçu pour proposer de façon conviviale toutes les fonctions d anonymisation possibles À ce titre, Anonym.OS comprend : l accès au système TOR un proxy de «nettoyage» local, Privoxy l ensemble des applications nécessaires pour utiliser Internet (navigateur, client de messagerie, client de messagerie instantanée ) Anonym.OS est disponible à l adresse suivante: T1 T3 T2 Bob aussi les différents gouvernements qui deviennent très intéressés par la surveillance de leurs concitoyens, jusque dans leurs activités d accès à Internet (exemple: US Wiretapping laws, NSA and FISA) 2. En parallèle à ces nouvelles menaces, des solutions de protection ont fait leur apparition. Ainsi, la plupart des navigateurs Web intègrent maintenant des fonctions avancées de gestion des cookies, permettant de systématiquement refuser les cookies parfois utilisés pour assurer le suivi d un internaute lors de son parcours sur Internet. Des outils plus évolués, comme l extension «Adblock 3» de Mozilla, permettent ainsi un contrôle précis des informations soumises sur Internet. Encore plus puissant, l outil «Privoxy 4», véritable proxy d anonymat, s installe sur un poste de travail dédié, mais peut aussi fonctionner sur une passerelle dédiée afin de couvrir les besoins de plusieurs utilisateurs. Privoxy va «nettoyer» le trafic qui le traverse, et supprimer au passage toutes les informations nominatives que l utilisateur laisse généralement fuir sur Internet à son insu. Ainsi, des informations comme son type de browser Web, ou le champ Referer contenant l adresse d où l utilisateur vient, pourront être filtrées. De plus, Privoxy va aussi supprimer les contenus en apparence suspects, tels que certains cookies ou les «Webbug», images invisibles encore une fois destinées à tracer les utilisateurs de Web en Web. Cependant, cela n est pas forcement suffisant, car il est des situations où un véritable anonymat peut être requis. Dans ce cas, une autre catégorie d outils doit être utilisée: les réseaux d anonymisation. Le concept le plus simple consiste à utiliser un proxy «anonyme» sur Internet. Ce proxy effectuant une rupture de protocole (relais applicatif), l adresse source du client sera remplacée par l adresse du proxy, rendant ainsi celui-ci beaucoup plus difficile à localiser, du moins tant que le proxy anonyme remplit sa fonction Et c est bien à se niveau que la tâche sera difficile, car la localisation de proxies anonymes n est pas des plus aisées De nombreux sites sur Internet proposent ce genre de service, gratuitement ou commercialement (un site comme en propose une liste actualisée chaque jour), mais la garantie d un véritable anonymat (et pas d un service journalisant tous vos accès, ou pire utilisant des moyens informatiques incertains tels que des véritables proxies mal configurés sur Internet) est plus que douteuse. Enfin, une autre catégorie plus «radicale» repose sur l utilisation de réseaux d anonymisation dédiés, comme le propose par exemple TOR 5 (The Onion Routing). TOR est une solution basée sur une utilisation massive de la cryptographie. Plusieurs centaines de «nœuds», les routeurs «TOR», participent à la création d un réseau collaboratif d anonymisation. Un client «Alice» souhaitant dialoguer avec un serveur «Bob» va choisir aléatoirement trois nœuds TOR (T1, T2 et T3). Alice va alors récupérer les clefs publiques des routeurs T1, T2 et T3, puis élaborer des clés de chiffrement éphémères avec ces différents équipements. Le flux est chiffré de bout en bout, mais aussi entre les différents nœuds. Seuls Alice et T3 auront connaissance du contenu en clair, T3 ayant en charge l acheminement final du trafic vers Bob. Ce circuit virtuel a une durée de vie limitée et sera renégocié après une durée paramétrable. Cette architecture va offrir de très bonnes garanties de sécurité, car mis à part Alice, source du message, aucun élément de la solution ne dispose d informations concernant à la fois le contenu du paquet, la source et suite page columnists/

3 suite de la page 2 la destination du message. Le niveau d anonymat offert est très intéressant, et propose de véritables garanties au client. TOR constitue maintenant une référence dans le domaine des réseaux d anonymisation et offre des performances très honnêtes pour les protocoles TCP. L utilisation de TOR reste simple et des clients sont disponibles pour la plupart des environnements courants (systèmes Microsoft, Unix BSD et Linux ). Ce projet est financé par l EFF 6 (Electronic Frontier Fundation) et a fait l objet de plusieurs publications très sérieuses. Comme nous l avons vu dans cet article, les menaces contre la vie privée sur Internet sont de plus en plus concrètes. Un utilisateur légitime peut souhaiter, dans certaines circonstances, accéder à Internet tout en ayant des garanties sur son anonymat. Des solutions concrètes et 6. Glossaire utilisables sont maintenant disponibles et sont accessibles à des utilisateurs non avertis, via par exemple des kits tels que «Anonym.OS». Mais ces solutions d anonymat peuvent aussi être utilisées à des fins malveillantes par des utilisateurs souhaitant masquer leur identité pour commettre des méfaits et autres piratages sur Internet Bien que les motivations d anonymat soient nobles, elles peuvent servir aussi des causes moins louables Comme toujours, le juste équilibre est à trouver! Cookies: fichier texte enregistré par un site Web sur le disque dur de l internaute et permettant de l authentifier lors de futures visites. Les informations que recèle ce fichier servent généralement à personnaliser l accès au site. Phishing: en français, «hameçonnage». Ce terme désigne l obtention d informations confidentielles (comme les mots de passe ou d autres informations privées), en se faisant passer auprès des victimes pour quelqu un digne de confiance ayant un besoin légitime de l information demandée. C est une forme d attaque informatique de type ingénierie sociale. Profiling: ensemble de techniques permettant de collecter et d exploiter le «profil» (données personnelles) de visiteurs. Proxy: en français, «serveur mandataire». C est une machine faisant fonction d intermédiaire entre deux réseaux (par exemple, un réseau local et Internet). La plupart du temps, le serveur proxy est utilisé pour le Web, il s agit alors d un proxy HTTP. Toutefois, il peut exister des serveurs proxy pour chaque protocole applicatif (FTP ). Spyware: logiciel parasite, installé généralement à l insu de l utilisateur, et destiné à espionner son comportement. Techniques pour mettre en place un service d authentification unique et évoluer vers la fédération d identités Florent Guilleux et Olivier Salaün: ingénieurs au Comité réseau des universités et responsables du service de fédération d identités pour l enseignement supérieur. La multiplication des identités numériques sur le Web entraîne de nombreux problèmes, à la fois pour les utilisateurs et les gestionnaires d application. Pour les utilisateurs qui doivent manipuler de multiples comptes, avec des conséquences bien connues: l utilisateur peut difficilement mémoriser de nombreux mots de passe. Il finit donc par utiliser le même pour des applications ayant des niveaux de sécurité différents. Pour chaque gestionnaire d application, la difficulté est de maintenir à jour des comptes utilisateurs pour une population qui peut évoluer, et d administrer et sécuriser un service d authentification. Toutes ces pratiques entraînent une dégradation de la sécurité des systèmes d information. Le Single Sign-On, bénéfices et fonctionnement À l échelle d un organisme, le Single Sign- On (SSO, «authentification unique») répond à ces problématiques en offrant un service d authentification centralisé qui améliore notamment la sécurité du système d information. Les utilisateurs n ont plus qu un point unique d authentification, pour lequel un important effort de sécurisation peut être effectué. Ce point unique facilite aussi la mise en œuvre d une véritable politique de gestion des moyens d authentification des utilisateurs. On peut utiliser indifféremment un ou plusieurs niveaux d authentification (mot de passe, mot de passe à usage unique OTP, certificat personnel, etc.), en fonction de la sensibilité de chaque application. Cette modularité permet également à un organisme de faire facilement évoluer les méthodes d authentification. Les applications peuvent se reposer sur ce service standard d authentification ; elles ne manipulent plus les éléments d authentification, ce qui réduit fortement les risques de compromission de ces derniers. Les solutions actuelles de SSO sont désormais éprouvées et offrent une bonne intégration dans les systèmes d information. Le SSO permet à un utilisateur de s authentifier une seule fois par session pour accéder à un ensemble d applications Web. Il fonctionne sur un mode clients serveur. Le serveur SSO a deux rôles : 1. authentifier les utilisateurs et 2. communiquer la preuve de cette authentification aux applications. À son premier accès à une application, le navigateur de l utilisateur suite page 4 3

4 suite de la page 3 est redirigé vers le serveur SSO, où l utilisateur s authentifie, puis il est redirigé, de façon transparente, vers l application. L application ne reçoit du serveur qu une preuve (une «assertion») de l authentification : les éléments d authenfication (par exemple, les mots de passe des utilisateurs) ne sont jamais communiqués aux applications. Quand l utilisateur accède ensuite à une autre application, cette dernière interroge le serveur SSO, qui lui communique la preuve de l authentification de l utilisateur. Cet échange est transparent pour l utilisateur, il n a pas besoin de s authentifier à nouveau. Les échanges d assertions entre les applications et le serveur SSO transitent par le navigateur Web en utilisant les techniques de redirections HTTP. Les cookies HTTP sont largement employés pour maintenir les sessions avec l utilisateur. Pour s authentifier mutuellement et sécuriser leurs échanges, le serveur SSO et les applications utilisent SSL/TLS ou des clés symétriques. Les différents produits de SSO implémentent des protocoles variés, mais l architecture générale décrite reste la même. Le périmètre d un SSO est limité à un domaine de sécurité, dans lequel peuvent être établis facilement des relations de confiance entre le serveur SSO et les applications, typiquement au sein d un organisme. La fédération d identités permet de prolonger les services du SSO audelà du périmètre d un organisme. La fédération d identités, prolongement du SSO Les solutions de fédération d identités permettent à une application dans un organisme d interagir avec un système d authentification d un autre organisme. L application (appelée «fournisseur de services») délègue la phase d authentification d un utilisateur à l organisme auquel il est rattaché (appelé «fournisseur d identités»). Le fournisseur de services conserve la prérogative du contrôle d accès, mais peut pour cela utiliser des attributs de l utilisateur fournis par le fournisseur d identités. Un fournisseur de services peut être sollicité par des utilisateurs issus de différents fournisseurs d identités. Inversement, les utilisateurs rattachés à un fournisseurs d identités peuvent accéder à différents fournisseurs de services. La fédération d identités bénéficie de SAML (Security Markup Assertion Language) comme standard pour le format des assertions d authentification et d attributs entre les fournisseurs d identités et de services. Outre ces formats, la norme SAML définit des protocoles et scénarios d échanges entre les fournisseurs d identités et de services, sur lesquels s appuient les spécifications Liberty Alliance et Shibboleth. Liberty Alliance est un consortium d entreprises qui a produit des spécifications pour la gestion des identités ; elles sont implémentées dans de nombreux produits. Shibboleth est à la fois une spécification et un logiciel implémentant ces spécifications. Le logiciel Shibboleth, développé par l équipe d Internet2, est massivement utilisé par les communautés universitaires. Microsoft a développé une technologie concurrente basée sur WS- Federation. Toutes ces solutions s appuient sur les techniques de base employées par les SSO: redirections HTTP, cookies, Web services, SSL/TLS. Les relations de confiance techniques entre les différentes briques logicielles des fournisseurs s appuient sur des certificats X.509 ou des clés symétriques. La définition des relations de confiance entre les fournisseurs d identités et de services à un plus haut niveau est cruciale. Un fournisseur de services se repose sur les fournisseurs d identités pour assurer une authentification sûre de ses utilisateurs et la qualité de leurs attributs. Réciproquement, un fournisseur d identités fait confiance aux fournisseurs de services quant à leur bonne utilisation des attributs nominatifs. La formalisation de ces relations de confiance peut se faire de gré à gré entre chaque paire de fournisseurs d identités et de services. Cependant, il est naturel de vouloir formaliser la définition de ces relations de confiance pour un ensemble de fournisseurs qui forment alors un cercle de confiance. L inscription à un tel cercle de confiance engage à respecter des règles communes. Au sein d un cercle de confiance, des règles existent aussi pour assurer la protection des données personnelles des utilisateurs qui peuvent être communiquées entre fournisseurs. SAML permet de communiquer des assertions d authentification anonyme. Il existe aussi la possibilité d utiliser un identifiant persistant et opaque spécifique à un triplet fournisseur d identités fournisseur de services utilisateur final. Ainsi un fournisseur de services peut reconnaître un utilisateur d une session à l autre, sans le connaître nominativement. Des technologies promises à un bel avenir La fédération d identités est un concept récent, mais des déploiements importants ont déjà lieu, à l étranger comme en France, dans le monde industriel comme pour le secteur public. Le projet mon.service-public, de la Direction générale de la modernisation de l État, en est une illustration (voir l article de Benoît Boute). Dans le domaine de l enseignement supérieur, des cercles de confiance sont déjà opérationnels dans plusieurs pays. En France, le Comité réseau des universités opère une fédération pilote pour les établissements d enseignement supérieur. Les projets en cours s appuyant sur ce service varient en termes de types d usage et d échelle : accès à des ressources documentaires, partage de ressources pédagogiques entre établissements d une même région, extranets à l échelle nationale. La fédération d identités permet aux organismes d utiliser une technologie standard en réponse à des besoins d authentification Web et de contrôle d accès très variés. Par ailleurs, des projets sont en cours pour l étendre hors du contexte Web, par exemple pour les grilles de calcul. Références Introduction aux architectures Web de Single Sign-On, JISC Single Sign-On Report, documents/cmss- Gilmore.pdfhttp://www.jisc.ac.uk/ uploaded_documents/cmss-gilmore.pdf SAML, committees/security/ Federated Security: The Shibboleth Approach, 442.pdf Liberty Alliance, Liste de fédérations en productions dans l enseignement supérieur, html Fédération pilote du CRU, GridShib, 4

5 BRÈVES Deux types d attaques toujours d actualité, malgré les nombreuses recommandations faites: Compromission de serveurs Web dynamiques Rappel des recommandations : Appliquez tous les correctifs de sécurité que vous conseille le CERT Renater Interdisez (ou limitez) les rebonds entre votre serveur Web situé dans la zone semi-ouverte et les machines situées à l intérieur de la zone interne N installez pas vos serveurs Web permanents (par exemple, site Web institutionnel de votre laboratoire) et vos serveurs Web temporaires (par exemple, site Web pour une inscription à une école thématique) sur la même machine Définissez des méthodes de programmation strictes de vos sites web Si, malgré tout, vous avez été victime d une intrusion, ne remettez pas en service votre site Web sans avoir corrigé la/les vulnérabilité(s) Dans notre environnement, un certain nombre de sites Web étant externalisés, vous ne pourrez pas agir directement. En revanche, vous devez sensibiliser votre direction aux risques actuels très importants concernant les sites Web et relire le contrat d hébergement signé pour éventuellement le faire modifier. À ce sujet, nous vous conseillons la lecture de la note du CERTA sur les «bonnes pratiques concernant l hébergement mutualisé» (http://www.certa.ssi.gouv.fr/site/certa-2005-inf-005.pdf) Attaque par force brute de serveurs SSH Malgré tous les conseils prodigués, chaque semaine des attaques sur SSH sont couronnées de succès, ce qui est regrettable car généralement ce type de serveur est mis en place pour assurer plus de sécurité dans les accès. Rappel des recommandations : Privilégiez l authentification par clef Si ce n est pas possible, vérifiez la validité et la solidité de vos couples nom d utilisateur/mot de passe Surveillez quotidiennement votre serveur SSH, point d entrée important et cible d attaque privilégiée Réactivité aux informations de sécurité De nombreux avis de sécurité parviennent chaque jour dans nos boîtes aux lettres. Certains sont jugés «mineurs», d autres «critiques» comme ce fut le cas fin mars pour l un des logiciels de relais de messagerie le plus utilisé dans notre environnement : sendmail. Dans ce cas, il est recommandé d appliquer très rapidement le correctif diffusé ou d installer la nouvelle version. De façon générale, il est recommandé d appliquer les correctifs sur les services exposés sur Internet le plus rapidement possible, c est-à-dire dès réception (attention à l oubli des messages dans des boîtes aux lettres «annexes» alimentées par redirections automatiques) Serveur Web UREC sécurité Le serveur Web de l UREC a été basculé sous le gestionnaire de contenu SPIP, avec une réorganisation des parties sécurité publiques ou en accès restreint (http://www.urec.cnrs.fr/rubrique17.html). N hésitez pas à nous faire part de vos remarques : sécurité informatique mai n 56 Fédération d identités: les enjeux d un «contrat de confiance» Benoît Boute Responsable du projet mon.service-public.fr - MINEFI/Direction générale de la modernisation de l État Problématiques actuelles, enjeux sociétaux de la dilution de la confiance On parle beaucoup ces temps-ci d identité numérique. Et pour cause, avec le développement des services en ligne, l avènement de systèmes «live»,ou les nouveaux concepts marketing prônés par les apôtres du «Web 2.0» (sic), les internautes sont plus que jamais invités à se créer des comptes auprès de différents fournisseurs de services: portails généralistes, opérateurs de messagerie instantanée, webmails aux capacités gigantesques, services de voix sur IP, plates-formes de blogs, dispositifs de partage de documents en ligne, commerçants, listes de diffusion, et même services publics! Cette identité, ou plutôt ces identités sont autant de sésames pour accéder à une masse entropique de données personnelles et distribuées sur tout le réseau. En prenant quelques exemples, mes identités numériques me permettent d accéder à un univers d informations telles que: les différents états (coordonnées, consommations, factures), consultables en ligne, que des opérateurs de services (opérateurs télécoms, eau, électricité, FAI, banques, assurances ) possèdent sur moi; les différentes données détenues par les commerçants (systèmes de fidélisation, historisation des achats ); les informations administratives me concernant (données détenues dans les administrations d État ou les collectivités territoriales, rendues progressivement accessibles en ligne) sur le thème de l état civil, de l information fiscale, du casier judiciaire, de l enseignement ; les informations médicales détenues par l ensemble des professionnels de santé avec qui j ai des interactions (assurance maladie, mutuelles, hôpitaux, pharmacies, médecins généralistes, spécialistes, laboratoires ) et avec lesquels je vais être amené à communiquer de plus en plus via Internet; l ensemble des traces que je laisse volontairement ou non en ligne, au travers de différents comptes (messageries, forums, blogs, pages perso, sites professionnels) informations qui vont des données d état civil à des données financières (numéro de CB) ou d éléments multimédias publics ou privés (albums photos ), sans oublier les divers services des sphères Microsoft, Google ou Yahoo Le développement incessant et la dilution de ces informations posent le problème du contrôle et de la protection de ces données par leurs propriétaires, nous. En effet, l information se démultiplie. Elle est constamment parcourue et indexée par des myriades de robots (aujourd hui les crawlers de Google, demain d autres), qui la stockent, se l approprient et la restituent sans notre autorisation. Le droit à l oubli, un des piliers de la loi française sur l informatique et les libertés, est constamment bafoué par des sociétés internationales qui se placent au-dessus de nos lois nationales. Par ailleurs, nombre de dispositifs s approprient ces informations, dont on semble penser qu elles sont tombées dans le domaine public dès lors qu elles ont été mises en ligne. Perte de la propriété sur les informations personnelles, stockage et utilisation abusifs de nos données, etc. autant de dangers qui nous guettent dans la mesure où, certaines études le montrent, le volume de ces données tend actuellement à doubler quasiment tous les ans et où la tentation de s inscrire à de nouveaux services et à leur communiquer des données personnelles est permanente. suite page 6 5

6 suite de la page 5 Une identité ou une fédération d identités? Une des solutions envisagées pour permettre à chaque individu de reprendre le contrôle de ses identités et de leur utilisation passe par l émergence d opérateurs, ayant un mandat fort sur le sujet, qui définissent et opèrent un service dans lequel seront stockées ces diverses données avec des autorisations de communication à d autres entités, au coup par coup, et sous contrôle de l usager (ou au minimum sur la base d un mécanisme d habilitations). Ainsi, au sein de l État, les administrations mettent en commun leurs réflexions sur ces sujets de manière à permettre à l usager de comprendre très précisément où et comment sont gérées ses identités. Cette position est par exemple adoptée dans le projet de portail de l administration «mon.service-public.fr», pour lequel deux choix sont d ores et déjà retenus: l utilisation d un mécanisme de fédération d identités qui instaure des relations de confiance (notamment sur l authentification et l échange d attributs) entre opérateurs de services à destination des usagers dans un domaine, appelé le cercle de confiance. L objectif est notamment de proposer un mécanisme de Single Sign-On, où l utilisateur est reconnu automatiquement sur tous ses téléservices suite à une authentification unique. Cette solution de fédération permet la mise en place de ces mécanismes dans un respect total des libertés individuelles et de la loi informatique et libertés ; le stockage, sous le contrôle de l usager, de données personnelles administratives, dans un coffre-fort dont il détient la clé, et qu il peut déverrouiller au cas par cas lors de ses relations avec l administration. Ce service, intéressant en soi, n est cependant pas obligatoire dans une fédération d identités. Comment retrouver la confiance des usagers? La confiance passe par la transparence et l éducation des utilisateurs. Éduquer l usager d un service consiste tout d abord à lui montrer que la communication d une donnée personnelle n est jamais anodine. Il est important que tous les grands fournisseurs de services jouent le jeu de cette transparence en respectant le droit d accès et en affichant des règles du jeu claires aux usagers. De fait, cette éducation doit faire l objet d un effort conjoint de l État et des grands opérateurs de services, et doit débuter au plus tôt afin de porter ses fruits tant qu il en est encore temps. À l échelle des services de l État, cette réflexion se concrétise par la conception d une «charte de confiance» qui pourrait être affichée sur les téléservices qui en appliquent les termes, et qui sera rapidement identifiable par tout internaute. Cette charte détaillera les mesures appliquées en termes de gestion des identités et d échange de données personnelles. La confiance sera également véhiculée par l utilisation de processus, d éléments graphiques, mais aussi de vocables clairs et cohérents sur tous ces aspects ; l objectif étant d encourager des habitudes et des réflexes relatifs à l utilisation de ces technologies. Malheureusement, l excès de transparence, d information, et de dispositifs de contrôle sur la sécurité des données personnelles risque d avoir un effet anxiogène susceptible d effrayer plus d un usager. Dès lors, il faudra concilier les desiderata des différentes catégories d internautes, des plus avertis qui souhaitent comprendre précisément comment sont manipulées leurs données, aux plus bienveillants qui souhaitent aller rapidement à l information et font confiance, à tort ou à raison, à leur interlocuteur pour respecter les principes évidents relatifs aux libertés individuelles! Sur ces aspects, il reste à mener une importante réflexion complétée par des tests utilisateurs réguliers. Comment concrétiser la confiance entre les administrations? Du côté des administrations, la bataille pour la confiance n est pas encore gagnée. Toute entité qui essaie de fédérer autour d elle différents partenaires dans le but de constituer des cercles de confiance le sait: déléguer à un tiers ne serait-ce que l authentification des usagers relève d une gageure que les RSSI sont toujours réticents à assumer. Là encore, il s agit de convaincre et de formaliser des conventions de service instaurant les relations entre les parties (opérateurs de services et fournisseurs d identités), que ce soit sur le plan de la responsabilité ou sur celui de la qualité de service. Des normes communes doivent également être élaborées pour convaincre l opérateur d un dispositif que déléguer l authentification de ses usagers à un fournisseur d identités ne dégrade pas la sécurité de son système. Comme on le voit, les enjeux relatifs au développement d identités numériques vont bien au-delà de la «simple» dimension technique. En effet, on peut certes faire confiance aux diverses instances de normalisation et aux industriels (éditeurs, intégrateurs, opérateurs) pour mettre en place des solutions technologiques pour répondre aux problématiques évoquées précédemment. Néanmoins, la mise en place effective d un contrat de confiance, tant avec les usagers qu avec les partenaires, pour une entité se positionnant sur le terrain de l identité numérique, soulève encore de nombreuses questions aussi bien organisationnelles que sociétales. SÉCURITÉ numéro 56 mai 2006 INFORMATIQUE S É C U R I T É D E S S Y S T È M E S D I N F O R M A T I O N Sujets traités: tout ce qui concerne la sécurité informatique. Gratuit. Périodicité: 4 numéros par an. Lectorat: toutes les formations CNRS. Responsable de la publication: JOSEPH ILLAND Fonctionnaire de sécurité de défense Centre national de la recherche scientifique 3, rue Michel-Ange, Paris XVI Tél Courriel: Rédacteur en chef de ce numéro: FRANÇOIS MORRIS, CNRS/IMPMC et UREC Courriel: ISSN Commission paritaire n 1010 B La reproduction totale ou partielle des articles est autorisée sous réserve de mention d origine Conception et réalisation : La Souris

RECOMMANDATIONS DE SECURITE

RECOMMANDATIONS DE SECURITE PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information Paris, le 14 février 2013 N 524/ANSSI/SDE RECOMMANDATIONS DE SECURITE

Plus en détail

Tour d horizon des différents SSO disponibles

Tour d horizon des différents SSO disponibles Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

ENVOLE 1.5. Calendrier Envole

ENVOLE 1.5. Calendrier Envole ENVOLE 1.5 Calendrier Envole RSA FIM 1 avril 2008 V 1.13 sur EOLE V 2.0 1 septembre 2008 EOLE V 2.1 10 octobre 2008 V 1.15 RC sur EOLE V 2.0 Modification du SSO EOLE 2.2 (PAM-CAS, CT EOLE V 2.2 RC Prise

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA.

VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA. VISON Vers un Intranet Sécurisé Ouvert au Nomadisme Eric Gautrin Comité de Concertation des Moyens Informatiques INRIA 1 6 décembre 2005 2 Plan Contexte INRIA Enjeux et objectifs de VISON Service d authentification

Plus en détail

Et si l'infrastructure ENT servait à gérer le nomadisme!

Et si l'infrastructure ENT servait à gérer le nomadisme! Et si l'infrastructure ENT servait à gérer le nomadisme! Patrick PETIT (DSI Grenoble-Universités) Philippe BEUTIN (DSI Grenoble-Universités) Jean-François SCARIOT (INRIA Grenoble - Rhône-Alpes) Université

Plus en détail

Introduction. aux architectures web. de Single Sign-On

Introduction. aux architectures web. de Single Sign-On Introduction aux architectures web de Single Sign-On Single Sign-on Authentifier 1 seule fois un utilisateur pour accéder à un ensemble d applications contexte web Nombre croissant d applications ayant

Plus en détail

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Fiches micro-informatique SECURITE LOGIQUE LOGIxx Objectif Fiches micro-informatique SECURITE LOGIQUE LOGIxx Présenter des préconisations pour sécuriser le poste de travail informatique et son environnement sous forme de fiches pratiques. Public concerné

Plus en détail

Claudie Maurin GSI 09/2013 1

Claudie Maurin GSI 09/2013 1 1 2 Internet : une architecture client/serveur Le serveur : fournisseur de données Les données sont fournies par un ensemble de postes serveurs interconnectés qui abritent la base de données répartie à

Plus en détail

Maîtriser son identité numérique. Michel Futtersack, Faculté de Droit, Université Paris Descartes

Maîtriser son identité numérique. Michel Futtersack, Faculté de Droit, Université Paris Descartes Maîtriser son identité numérique Michel Futtersack, Faculté de Droit, Université Paris Descartes Au début du Web, l utilisateur était passif et se contentait de feuilleter des pages contenant du texte

Plus en détail

Ministère de l éducation nationale, de l enseignement supérieur et de la recherche 07/11/2006

Ministère de l éducation nationale, de l enseignement supérieur et de la recherche 07/11/2006 Schéma directeur des espaces numériques de travail Annexe AAS Authentification-Autorisation-SSO Version 2.0 SOMMAIRE 1. Introduction... 3 1.1 Contexte... 3 1.2 Objectifs et contenu du document... 4 1.3

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

Enjeux, menaces, vulnérabilités

Enjeux, menaces, vulnérabilités Enjeux, menaces, vulnérabilités B. Boutherin 1 Pourquoi la sécurité informatique? Enjeux * Menaces * Vulnérabilités = Risque informatique B. Boutherin 2 Enjeux Image de marque et exemplarité de l état

Plus en détail

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X

Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Groupe Eyrolles, 2006, ISBN : 2-212-11933-X Table des matières Introduction... V CHAPITRE 1 Introduction à SSL VPN... 1 Une histoire d Internet.............................................. 3 Le modèle

Plus en détail

Table des matières. Préface... 15 Mathieu JEANDRON

Table des matières. Préface... 15 Mathieu JEANDRON Table des matières Préface... 15 Mathieu JEANDRON Chapitre 1. Les identités numériques... 19 Maryline LAURENT, Julie DENOUËL, Claire LEVALLOIS-BARTH et Patrick WAELBROECK 1.1. Introduction... 19 1.2. Dimension

Plus en détail

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction

Plus en détail

FONCTIONS CLEFS. Gestion documentaire. Chaîne de validation des documents. Espaces de travail collaboratif. Gestion des accès basée sur des rôles

FONCTIONS CLEFS. Gestion documentaire. Chaîne de validation des documents. Espaces de travail collaboratif. Gestion des accès basée sur des rôles Nuxeo Collaborative Portal Server 1 FONCTIONS CLEFS Gestion documentaire Chaîne de validation des documents Espaces de travail collaboratif Gestion des accès basée sur des rôles Sécurité Suivi des versions

Plus en détail

La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès.

La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès. Etat de l art Synchronisation des identités pour un référentiel d identités multi-annuaires La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès.

Plus en détail

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014 La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014 25/09/2014 1 RENATER Opérateur du réseau enseignement et recherche Sécurité Le CERT RENATER Animation réseau des

Plus en détail

Traitement des Données Personnelles 2012

Traitement des Données Personnelles 2012 5 ème Conférence Annuelle Traitement des Données Personnelles 2012 Paris, le 18 janvier 2012 Les enjeux de protection des données dans le CLOUD COMPUTING Xavier AUGUSTIN RSSI Patrick CHAMBET Architecte

Plus en détail

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Fédération Définit un cercle de confiance constitué de Fournisseurs d'identités

Plus en détail

Profil de protection d un logiciel d ingénierie

Profil de protection d un logiciel d ingénierie Version 1.0 moyen-terme GTCSI 11 septembre 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. 1 Descriptif

Plus en détail

Formation Fonctions Collaboratives

Formation Fonctions Collaboratives 1 Formation Fonctions Collaboratives 2 Introduction Ergonomie Données initiales Messagerie Gestion de ressources Agenda partagé Disque virtuel Publication Sommaire Applications tierces 3 Introduction 4

Plus en détail

DOSSIER SPÉCIAL TRAVAIL COLLABORATIF ET GESTION DE CONTENU COMMENT AMÉLIORER LA COLLABORATION ET LA COMMUNICATION AU SEIN DE VOTRE ORGANISME?

DOSSIER SPÉCIAL TRAVAIL COLLABORATIF ET GESTION DE CONTENU COMMENT AMÉLIORER LA COLLABORATION ET LA COMMUNICATION AU SEIN DE VOTRE ORGANISME? DOSSIER SPÉCIAL TRAVAIL COLLABORATIF ET GESTION DE CONTENU COMMENT AMÉLIORER LA COLLABORATION ET LA COMMUNICATION AU SEIN DE VOTRE ORGANISME? AUTEUR : HEFAIEDH MYRIAM DOSSIER TRAVAIL COLLABORATIF ET GESTION

Plus en détail

Créer et partager des fichiers

Créer et partager des fichiers Créer et partager des fichiers Le rôle Services de fichiers... 246 Les autorisations de fichiers NTFS... 255 Recherche de comptes d utilisateurs et d ordinateurs dans Active Directory... 262 Délégation

Plus en détail

Système d information IPSL

Système d information IPSL Chères étudiantes, chers étudiants, L IPSL se joint à votre école pour vous souhaiter la bienvenue sur notre campus. L IPSL assure, en accord avec votre école, la maintenance d un ensemble de ressources,

Plus en détail

PortWise Access Management Suite

PortWise Access Management Suite Créez un bureau virtuel pour vos employés, partenaires ou prestataires depuis n importe quel endroit et n importe quel appareil avec Portwise Access Manager et Authentication Server. Fournir des accès

Plus en détail

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE MINISTÈRE DU TRAVAIL, DE l EMPLOI ET DE LA SANTÉ MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE MINISTÈRE DU BUDGET, DES COMPTES PUBLICS ET DE LA RÉFORME DE L ÉTAT Standard d'interopérabilité entre

Plus en détail

Profil de protection d un pare-feu industriel

Profil de protection d un pare-feu industriel Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant qui est l objet de l évaluation. Les passages en

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur de l Observatoire de Paris (désigné dans la suite comme l Établissement) et ceux de ses

Plus en détail

Gestion des licences électroniques avec Adobe License Manager

Gestion des licences électroniques avec Adobe License Manager Article technique Gestion des licences électroniques avec Adobe License Manager Une méthode plus efficace pour gérer vos licences logicielles Adobe Cet article technique traite des enjeux de la gestion

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

Charte pour l usage de ressources informatiques et de services Internet

Charte pour l usage de ressources informatiques et de services Internet Prénom Nom : Signature : Date : Service : Charte pour l usage de ressources informatiques et de services Internet Ce texte, associé au règlement intérieur des entités, a pour objet de préciser la responsabilité

Plus en détail

Comment assurer la gestion des identités et des accès sous forme d un service Cloud?

Comment assurer la gestion des identités et des accès sous forme d un service Cloud? FICHE DE PRÉSENTATION DE SOLUTION CA CloudMinder Comment assurer la gestion des identités et des accès sous forme d un service Cloud? agility made possible Grâce à CA CloudMinder, vous bénéficiez de fonctionnalités

Plus en détail

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés Version destinée aux enseignants qui exercent dans des établissements

Plus en détail

Gestion des comptes à privilèges

Gestion des comptes à privilèges 12 décembre 2013 Gestion des comptes à privilèges Bertrand CARLIER, Manager Sécurité de l Information bertrand.carlier@solucom.fr Solucom, conseil en management et système d information Cabinet de conseil

Plus en détail

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian Les 7 méthodes d authentification les plus utilisées Un livre blanc Evidian Appliquez votre politique d authentification grâce au SSO d entreprise. Par Stéphane Vinsot Chef de produit Version 1.0 Sommaire

Plus en détail

Solution de déploiement de certificats à grande échelle. En savoir plus...

Solution de déploiement de certificats à grande échelle. En savoir plus... Solution de déploiement de certificats à grande échelle permet un déploiement des certificats numériques à grande échelle en toute sécurité sans avoir à fournir un support physique (token, carte à puce

Plus en détail

«Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de

«Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de 1 2 «Les documents référencés ci-dessus étant protégés par les droits d auteur et soumis à la déclaration au Centre Français d exploitation du droit de Copie, seules les références bibliographiques peuvent

Plus en détail

2 PHP est-il plus dangereux que d autres langages?

2 PHP est-il plus dangereux que d autres langages? S. G. D. S. N Agence nationale de la sécurité des systèmes d information CERTA PREMIER MINISTRE Paris, le 20 mars 2007 N o CERTA-2007-INF-002 Affaire suivie par : CERTA NOTE D INFORMATION DU CERTA Objet

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants

Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants JRES 2003 Lille, 20 novembre 2003 Évolution de l architecture de réseau avec garde-barrière, VPN, accès distants Marie-Claude QUIDOZ & Catherine GRENET CNRS/UREC Évolution de l architecture de réseau /

Plus en détail

L identité numérique. Risques, protection

L identité numérique. Risques, protection L identité numérique Risques, protection Plan Communication sur l Internet Identités Traces Protection des informations Communication numérique Messages Chaque caractère d un message «texte» est codé sur

Plus en détail

Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine

Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine Charte régissant l usage des technologies de l information et de communication au sein de l Université de Lorraine La présente charte définit les règles d usages et de sécurité que l Université de Lorraine

Plus en détail

http://www.cnil.fr/en-savoir-plus/fiches-pratiques/fiche/article/ce-que-le-paquet-telecom-change-pour-les-cookies/#

http://www.cnil.fr/en-savoir-plus/fiches-pratiques/fiche/article/ce-que-le-paquet-telecom-change-pour-les-cookies/# 1 sur 7 Accueil > En savoir plus > Fiches pratiques > Fiches pratiques > Ce que le "Paquet Télécom" change pour les cookies Fiche pratique Ce que le "Paquet Télécom" change pour les cookies 26 avril 2012

Plus en détail

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012 LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL CNRS RSSIC version du 11 mai 2012 Un poste de travail mal protégé peut mettre en péril non seulement les informations qui sont traitées sur le poste

Plus en détail

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet DNS : types d attaques et techniques de sécurisation Présentation du DNS (Domain Name System) Les grands types d attaques visant le DNS et les noms de domaine Les principales techniques de sécurisation

Plus en détail

Architecture de join.me

Architecture de join.me Présentation technique de l architecture sécurisée et fiable de join.me 1 Introduction 2 Présentation de l architecture 3 Sécurité des données 4 Sécurité des sessions et du site web 5 Présentation de l

Plus en détail

Quel ENT pour Paris 5? 1er Juin 2005 (1ère présentation) 1er Juin 2006 (2ème présentation réunion migration ShareObject)

Quel ENT pour Paris 5? 1er Juin 2005 (1ère présentation) 1er Juin 2006 (2ème présentation réunion migration ShareObject) Quel ENT pour Paris 5? 1er Juin 2005 (1ère présentation) 1er Juin 2006 (2ème présentation réunion migration ShareObject) Objectifs et Enjeux Contexte et objectifs du projet Objectifs Mettre à disposition

Plus en détail

Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL

Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL Un livre blanc des L EMAIL, VECTEUR DE MENACES POUR LA SÉCURITÉ DES PME 5 RÉALITÉS QUE TOUTE PME DOIT CONNAÎTRE SUR LA SÉCURITÉ DE L EMAIL En dépit du succès grandissant des outils de communication en

Plus en détail

Environnement numérique

Environnement numérique Site: http://www.iatys.fr Contact: contact@iatys.fr Tél: +262 692 791 605 Microsoft Office LibreOffice Informatique décisionnelle Protection des données à caractère personnel Messagerie Période 2013-2014

Plus en détail

NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES

NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES SDTICE/SDITE Version : 1.0 - Date création : 09/01/09 1. Périmètre des S2i2e Les S2i2e ont pour objectif principal

Plus en détail

Politique de Sage en matière de protection de la vie privée sur le site www.linkup-sage.com

Politique de Sage en matière de protection de la vie privée sur le site www.linkup-sage.com Politique de Sage en matière de protection de la vie privée sur le site www.linkup-sage.com 1. A propos de cette politique 1.1 Ce document résume la politique de Sage en matière de protection des données

Plus en détail

Prévenir les Risques liés à l usage d Internet dans une PME-PMI

Prévenir les Risques liés à l usage d Internet dans une PME-PMI Prévenir les Risques liés à l usage d Internet dans une PME-PMI Définition protocole Un protocole est un ensemble de règles et de procédures à respecter pour émettre et recevoir des données sur un réseau

Plus en détail

Projet Sécurité des SI

Projet Sécurité des SI Projet Sécurité des SI «Groupe Défense» Auteurs Candide SA Diffusion: limitée Type de document Compte rendu Projet Sécurité Destinataires P. LATU Date 14/12/09 M2 STRI Version 1.2 Introduction Sous-traitance

Plus en détail

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required.

Option 2 and Option 5 are correct. 1 point for each correct option. 0 points if more options are selected than required. Quelles sont les deux affirmations vraies relatives à la sécurité du réseau? (Choisissez deux réponses.) Protéger un réseau contre les attaques internes constitue une priorité moins élevée car les employés

Plus en détail

quelles conséquences pour la documentation en ligne?

quelles conséquences pour la documentation en ligne? Structure et évolutions de l Internet p.1/23 Structure et évolutions de l Internet quelles conséquences pour la documentation en ligne? JOËL MARCHAND jma@math.jussieu.fr GDS 2754 Mathrice Où en est l Internet?

Plus en détail

«écosystème» TIC en EPLE

«écosystème» TIC en EPLE «écosystème» TIC en EPLE Séminaire DUNE «Numérique responsable» Académie de Créteil Février 2013 Document publié sous licence D un point de vue C2i2e Domaine A1 «Maîtrise de l'environnement numérique professionnel»

Plus en détail

«Firefox, Le navigateur Web le plus sûr»

«Firefox, Le navigateur Web le plus sûr» «Firefox, Le navigateur Web le plus sûr» Création et déploiement d un Rootkit pour Firefox 3.0 Nicolas Paglieri www.ni69.info 11 mai 2009 «Firefox, Le navigateur Web le plus sûr». Tels sont les propos

Plus en détail

Autodéfense numérique (sur Internet)

Autodéfense numérique (sur Internet) 1 Autodéfense numérique (sur Internet) Marc SCHAEFER 19 novembre 2013 Résumé Lorsque l on butine sur Internet, on laisse des traces. Cette présentation a pour objectif de sensibiliser à ce problème, puis

Plus en détail

FEDERATION DES IDENTITES

FEDERATION DES IDENTITES 1 FEDERATION DES IDENTITES Quel protocole de fédération pour quel usage? OAUTH & SAML Fabrice VAZQUEZ Consultant Sécurité du SI +331 73 54 3000 Cabinet de conseil et d expertise technique en sécurité du

Plus en détail

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP

PROBLÉMATIQUE D INTERCONNEXION DES RÉSEAUX IP PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous-direction scientifique et technique Laboratoire Technologies de l Information

Plus en détail

Guichet unique : Aperçu des nouvelles technologies au service du Citoyen (particulier et entreprise)

Guichet unique : Aperçu des nouvelles technologies au service du Citoyen (particulier et entreprise) Guichet unique : Aperçu des nouvelles technologies au service du Citoyen (particulier et entreprise) Développer la communication et le travail collaboratif pour mieux servir le citoyen Thomas Coustenoble

Plus en détail

Messagerie. Ce cours ne trace donc que les fonctionnalités les plus usitées méritant éclaircissements. Signifie : important. Aie!

Messagerie. Ce cours ne trace donc que les fonctionnalités les plus usitées méritant éclaircissements. Signifie : important. Aie! Messagerie Nous supposons, à ce stade, que les notions basiques des outils sont acquises : Ex : ouvrir, sélectionner, copier, coller, enregistrer, enregistrer sous, annuler, faire, défaire, impression

Plus en détail

WysiUpNews. Solution e-mailing. pour les fonctions marketing et communication de l entreprise V. 6.x

WysiUpNews. Solution e-mailing. pour les fonctions marketing et communication de l entreprise V. 6.x WysiUpNews Solution e-mailing pour les fonctions marketing et communication de l entreprise V. 6.x DÉMULTIPLIEZ VOTRE CAPACITÉ À PROMOUVOIR, INFORMER ET FIDÉLISER VOS CIBLES Avec WysiUpNews, vous disposez

Plus en détail

Solutions d authentification renforcée Critères d évaluation État de l art

Solutions d authentification renforcée Critères d évaluation État de l art Solutions d authentification renforcée Critères d évaluation État de l art Sommaire Rappel JRSSI 2012 : Sécurité des accès périmétriques Cas d'usage, besoins et contraintes utilisateurs Critères d évaluation

Plus en détail

Groupe de travail Gestion des identités Les usages et les services ATELIER 2

Groupe de travail Gestion des identités Les usages et les services ATELIER 2 Introduction et cadrage Jean Pierre Buthion, Pdt de la Commission Identités Commission Identité Numérique Groupe de travail Gestion des identités Les usages et les services ATELIER 2 Analyse et synthèse

Plus en détail

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information

Plus en détail

Application des Spécifications détaillées pour la Retraite, architecture portail à portail

Application des Spécifications détaillées pour la Retraite, architecture portail à portail Pour Application des Spécifications détaillées pour la Retraite, architecture portail à portail Version 1.0 ON-X S.A. est une société du Groupe ON-X 15, quai Dion Bouton 92816 PUTEAUX cedex. Tél : 01 40

Plus en détail

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Avant-propos L économie en réseau, ou la netéconomie, est au cœur des débats et des stratégies de toutes les entreprises. Les organisations, qu il s agisse de

Plus en détail

Profil de protection d un progiciel serveur applicatif MES

Profil de protection d un progiciel serveur applicatif MES Profil de protection d un progiciel serveur applicatif MES Version 1.0 court-terme GTCSI 1 er juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne

Plus en détail

Créez votre premier site web De la conception à la réalisation

Créez votre premier site web De la conception à la réalisation Chapitre 1 : Introduction A. Introduction 17 Chapitre 2 : Les langages A. L objectif 21 B. L HTML 21 1. L état des lieux 21 2. Les éléments HTML 21 3. Les attributs 22 4. Les caractères 23 5. Les espaces

Plus en détail

Mathrice et les outils de travail et développement collaboratif

Mathrice et les outils de travail et développement collaboratif Mathrice et les outils de travail et développement collaboratif Philippe Depouilly, Laurent Facq IMB UMR 5251 - Mathrice GDS 2754 21 janvier 2013 (IMB/MATHRICE) Mathrice/Envol 2013 21 janvier 2013 1 /

Plus en détail

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010 Support de SAML2 dans LemonLDAP::NG Clément OUDOT Mercredi 7 juillet 2010 SOMMAIRE Enjeux et usages du SSO Présentation de LemonLDAP::NG SAML2 et la fédération d'identités Support SAML2 dans LemonLDAP::NG

Plus en détail

Profil de protection d une passerelle VPN industrielle

Profil de protection d une passerelle VPN industrielle Profil de protection d une passerelle industrielle Version 1.0 court-terme GTCSI 13 juillet 2015 Avant-propos Dans toute la suite de ce document, l acronyme ToE (Target of Evaluation) désigne le composant

Plus en détail

Messagerie électronique SIMAP/SRELAY

Messagerie électronique SIMAP/SRELAY Messagerie électronique SIMAP/SRELAY Centre de Calcul de l IN2P3 Mai 2007 2.4. Particularités du service Du point de vue de l utilisateur, le service IMAP proposé par le Centre de Calcul de l IN2P3 présente

Plus en détail

Gestion des Incidents SSI

Gestion des Incidents SSI Gestion des Incidents SSI S. Choplin D. Lazure Architectures Sécurisées Master 2 ISRI/MIAGE/2IBS Université de Picardie J. Verne Références CLUSIF Gestion des incidents de sécurité du système d information

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

La mémorisation des mots de passe dans les navigateurs web modernes

La mémorisation des mots de passe dans les navigateurs web modernes 1 La mémorisation des mots de passe dans les navigateurs web modernes Didier Chassignol Frédéric Giquel 6 décembre 2005 - Congrès JRES 2 La problématique Multiplication des applications web nécessitant

Plus en détail

Xi Ingénierie. La performance technologique au service de votre e-commerce. Comment exploiter les cookies sur vos applications web en toute légalité?

Xi Ingénierie. La performance technologique au service de votre e-commerce. Comment exploiter les cookies sur vos applications web en toute légalité? Xi Ingénierie La performance technologique au service de votre e-commerce Comment exploiter les cookies sur vos applications web en toute légalité? Copyright 2012 Xi Ingénierie Toute reproduction ou diffusion

Plus en détail

ICP/PKI: Infrastructures à Clés Publiques

ICP/PKI: Infrastructures à Clés Publiques ICP/PKI: Infrastructures à Clés Publiques Aspects Techniques et organisationnels Dr. Y. Challal Maître de conférences Université de Technologie de Compiègne Heudiasyc UMR CNRS 6599 France Plan Rappels

Plus en détail

PCI (Payment Card Industry) DSS (Data Security Standard )

PCI (Payment Card Industry) DSS (Data Security Standard ) PCI (Payment Card Industry) DSS (Data Security Standard ) Jean-Marc Robert Génie logiciel et des TI PCI-DSS La norme PCI (Payment Card Industry) DSS (Data Security Standard) a été développée dans le but

Plus en détail

GUIDE Guide de sécurité. Déployer les médias sociaux à l échelle mondiale en toute sécurité

GUIDE Guide de sécurité. Déployer les médias sociaux à l échelle mondiale en toute sécurité GUIDE Guide de sécurité Déployer les médias sociaux à l échelle mondiale en toute sécurité Guide de sécurité Déployer les médias sociaux à l échelle mondiale en toute sécurité La sécurité des médias sociaux

Plus en détail

Microsoft Live@edu. Solution de messagerie et de travail en ligne pour les établissements

Microsoft Live@edu. Solution de messagerie et de travail en ligne pour les établissements Microsoft Live@edu Solution de messagerie et de travail en ligne pour les établissements Microsoft Live@edu est une solution de messagerie gratuite proposée aux écoles et aux universités, pour les enseignants,

Plus en détail

La sécurité des données hébergées dans le Cloud

La sécurité des données hébergées dans le Cloud Conférence IDC Cloud Computing 2012 La sécurité des données hébergées dans le Cloud 25/01/2012 Patrick CHAMBET Responsable du Centre de Sécurité C2S, Groupe Bouygues Planning Quelques rappels Vue simplifiée

Plus en détail

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique

Cisco Secure Access Control Server Solution Engine. Introduction. Fiche Technique Fiche Technique Cisco Secure Access Control Server Solution Engine Cisco Secure Access Control Server (ACS) est une solution réseau d identification complète qui offre à l utilisateur une expérience sécurisée

Plus en détail

La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts Christophe Bonenfant Cyril Gollain La GRC en période de croissance Gouvernance Gestion

Plus en détail

Cadre de gestion du portail intranet de la Régie du bâtiment

Cadre de gestion du portail intranet de la Régie du bâtiment Direction Direction des communications Cadre de gestion du portail intranet de la Régie du bâtiment Patrick Parent, édimestre intranet 9 février 2004 Introduction Le portail intranet de la Régie du bâtiment

Plus en détail

S26B. Démarche de de sécurité dans les projets

S26B. Démarche de de sécurité dans les projets S26B Démarche de de sécurité dans les projets Théorie et et réalité Patrick CHAMBET Bouygues Telecom http://www.chambet.com Eric LARCHER Banque Fédérale des Banques Populaires http://www.internet-securise.com

Plus en détail

Comment activer un accès pratique et sécurisé à Microsoft SharePoint?

Comment activer un accès pratique et sécurisé à Microsoft SharePoint? DOSSIER SOLUTIONS SharePoint Security Solution de CA Technologies Comment activer un accès pratique et sécurisé à Microsoft SharePoint? agility made possible La solution de sécurité SharePoint proposée

Plus en détail

La réponse globale aux risques numériques liés au facteur humain. Améliorez la sécurité et les performances de votre entreprise

La réponse globale aux risques numériques liés au facteur humain. Améliorez la sécurité et les performances de votre entreprise PROFIL NETW RK FILTER La réponse globale aux risques numériques liés au facteur humain Améliorez la sécurité et les performances de votre entreprise VOS PRIORITÉS Vous êtes chef d entreprise, quelle sera

Plus en détail

Sécurisation en réseau

Sécurisation en réseau Déni de services Sécurisation en réseau Utilisant des bugs exemple Ping of death (Cf. RFC IP) l exploitation des protocoles TCP SYN flooding Envoi seulement le début du 3-way handshake Saturation de la

Plus en détail

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST

TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST TOP 10 DES VULNÉRABILITÉS : RETOUR SUR 5 ANS DE PENTEST $ WHOAMI ITrust Société toulousaine Expertise en sécurité informatique Activités Service en sécurité (pentest / forensic / formation ) Editeur de

Plus en détail

Votre infrastructure est-elle? La collaboration informatique. améliore la performance globale

Votre infrastructure est-elle? La collaboration informatique. améliore la performance globale Votre infrastructure est-elle? La collaboration informatique améliore la performance globale Des processus automatisés Travail isolé ou processus de groupe : où en êtes-vous? Le travail en équipe a toujours

Plus en détail

IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr. JTO décembre 2002

IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr. JTO décembre 2002 IGC Infrastructure de gestion de la confiance. Serge.Aumont@cru.fr florent.guilleux@cru.fr JTO décembre 2002 Chiffrement asymétrique Confidentialité d un message : le chiffrer avec la clé publique du destinataire.

Plus en détail

IPS-Firewalls NETASQ SPNEGO

IPS-Firewalls NETASQ SPNEGO IPS-Firewalls NETASQ SPNEGO Introduction Un utilisateur doit gérer de nombreux mots de passe. Un mot de passe pour la connexion au poste de travail, un mot de passe pour la messagerie et n mots de passe

Plus en détail