Posts Tagged ‘msn’

Authentification et certification pour les newbies

Posted in bazar on avril 16th, 2009 by Julien PIERRE – 4 Comments

Article initialement prévu pour l’ebook « Cultivez votre identité numérique », mais trop long :-(

Petit billet sans prétention technique qui vise uniquement à vulgariser et clarifier les questions d’identification et authentification sur Internet. Certains puristes pourraient avoir les cheveux qui se dressent sur la  tête à la lecture de ce qui va suivre : qu’ils ne m’en tiennent pas rigueur, cet article ne leur est pas destiné ;-)

Pourquoi s’identifier ?

Sur le web, je mène des transactions très variées : j’achète et je vends sur des sites marchands, je consulte mes comptes bancaires, je télé déclare mon statut auprès de l’administration (impôts, pôle emploi). Au travail, je m’identifie pour ouvrir une session et avoir accès aux applications et aux bases de données. Le reste du temps, il faut encore que je m’identifie pour les mails, les forums, les commentaires et tous les services web que j’utilise (YouTube, Facebook, etc..).

De l’autre côté, j’ai parfois besoin d’avoir une garantie sur l’identité de mon interlocuteur : ce vendeur est-il un escroc, un marchand professionnel ? Qui est ce lecteur qui m’a laissé des commentaires ? Est-ce bien cet homme politique ou cette star de la chanson dont je suis en train de lire la page perso ? S’agit-il d’un fake (faux profil) ou d’un robot ?

Les risques

Préserver son identité, c’est se prémunir contre l’usurpation. Si quelqu’un dispose des informations nécessaires pour se connecter à vos outils, il peut avoir accès à votre boite mail, votre compte en banque, il peut faire de fausses déclarations au fisc, insulter n’importe qui dans des forums ou sur des blogs, et tout ça en votre nom. Il peut vous dépouiller de votre identité, de vos finances et de votre réputation. La sécurisation de l’identification est donc vitale dans une société où de plus en plus d’interactions ou transactions se font par Internet.

Nous allons voir qu’il existe finalement plusieurs façons de se connecter à une application web, avec pour chacune des avantages et des inconvénients. Mais d’abord, un peu de définition…

  • Identification : je dis qui je suis
  • Authentification : je prouve être celui que je prétends
  • Certification : un tiers prouve qui je prétends être
  • Autorisation : si l’authentification ou la certification sont valides, je dispose des droits pour pénétrer le système et en exploiter les ressources

Commet s’identifier ?

La façon la plus fréquente de s’identifier sur un site web (authentification simple) est encore de saisir le couple identifiant / mot de passe. Le premier m’identifie, le second m’authentifie : je prouve être le propriétaire de l’identifiant. Je suis moi !

  • Evitez les dates de naissance, surnom ou diminutifs ainsi que toute donnée personnelle pour construire vos mots de passe. Au contraire, choisissez un ensemble de lettres, caractères spéciaux et chiffres sans signification. Testez-le ici par exemple !

One password to rule them all

Ensuite la question est de savoir si ce couple sera le même sur tous les sites web auxquels on se connecte.

  • Si vous avez la certitude que votre mot de passe est suffisamment complexe, pourquoi pas. Mais gardez à l’esprit que vous mettez tous vos œufs dans le même panier (dans le jargon, on dit ‘donner les clefs du château’). Il existe aujourd’hui des outils en ligne (passpack.com ou clipperz.com) et des logiciels (KeePass) qui vous aident à mémoriser vos mots de passe. Ils sont d’autant plus utiles si vous êtes nomade et que vous vous connectés depuis différents ordinateurs.
  • Si ce sont des ordinateurs à accès public (plusieurs personnes peuvent l’utiliser : cybercafé, entreprise, réseau familial), n’oubliez pas d’effacer vos  traces après votre session de navigation (pour que le petit dernier n’aille pas jouer en bourse à votre place, ou que votre collègue n’aille pas draguer vos copines sur MSN).
  • Si vous utilisez un seul ordinateur, les navigateurs peuvent mémoriser tous vos mots de passe, avec l’aide d’extension par exemple (Sxipper). Ca n’évite pas de saisir à répétition les identifiants requis par chaque site web que vous visitez.

Aujourd’hui, beaucoup d’organismes (entreprises, associations) proposent ce qu’on appelle l’authentification unique. Avec un couple unique, et saisi qu’une seule fois (Single Sign-On, SSO), vous avez accès à tous services web, sans avoir à vous connecter sur chaque d’entre eux.

  • Fédération d’ID centralisée et localisée : Microsoft utilise et installe CardSpace dans Windows Vista. Vous saisissez votre Windows Live ID (adresse mail + mot de passe). Celle-ci est ensuite conservée sur votre ordinateur. A chaque sollicitation de la part d’un service web, CardSpace crypte votre identifiant et vous ouvre les portes du service. Mais peu de sites web ont adopté CardSpace (eBay l’a même abandonné). En guise de réponse, Microsoft va lancer Geneva, qui reposera sur OpenID.
  • Fédération d’ID décentralisée : OpenID. Il n’y a plus une entreprise seule qui vous authentifie (comme Microsoft) en lisant un fichier sur votre ordi, mais plusieurs qui partagent (plus ou moins) les informations que vous avez saisies sur leurs sites web.
    • Vous utilisez un couple de connexion (identifiant/mot de passe) sur un fournisseur d’identité (OpenID provider : orange.fr, claimID, MyOpenID).
    • Vous obtenez alors une URI, une adresse web (moi.openid.net).
    • Après, chez un fournisseur de service, un site web reconnaissant OpenID, vous tapez comme identifiant cette URI.
    • Vous êtes redirigé vers le fournisseur d’identité qui vous authentifie auprès du site web, le fournisseur de service.
    • Vous pouvez désormais surfez librement.
  • OpenID est de plus en plus reconnu par les grands acteurs du web d’aujourd’hui (IBM, Verisign, Google, Yahoo!, Microsoft, MySpace, Facebook, DailyMotion, etc..). Mais cette acceptation d’OpenID n’est pas suivie de contrepartie.Prenons un exemple avec Yahoo! (mais ça marche aussi avec les autres) :
    • vous pouvez créer un compte Yahoo! qui vous servira d’OpenID chez d’autres fournisseurs de service (principalement ceux de la galaxie Y!), mais vous ne serez pas autorisé à vous connecter avec une OpenID qui ne provient pas de chez Yahoo!
    • En échange, chaque grand acteur déploie sa plateforme d’authentification propriétaire, avec notamment le match entre Google Friend Connect et Facebook Connect (et MyBlogLog de Yahoo! en outsider). Ca veut dire que l’identité d’un commentateur est certifiée par Facebook, par exemple. Ca aide aussi à construire une communauté ‘certifiée’ et plus dynamique. Mais ça reste très compliqué techniquement, et encore un peu jeune…
    • Notez aussi qu’avec un peu de technique, et un serveur web, vous pouvez devenir votre propre fournisseur d’identité ! Et ça, ça élimine au moins plusieurs risques.

Les nouveaux risques

  • La confiance dans le tiers qui certifie votre identité : ce n’est pas parce qu’une identité est certifiée par un organisme dont j’ignore tout que cette identité est réelle. Le fournisseur doit donc adopter des méthodes de certification de mon identité réelle (par Carte bleue comme MyID.is ou en face à face comme Certinomis). De plus, il faut s’interroger sur l’utilisation de données personnelles par une entreprise commerciale, et sur leur devenir en cas de faillite.
  • Le phishing consiste à vous présenter la copie identique d’une page web à laquelle vous avez l’habitude de vous connecter. Quand vous saisissez vos identifiants, ils sont enregistrés dans la base de données pirate. Il n’y a plus qu’à les réutiliser sur le vrai site web pour avoir accès à votre compte en banque, etc..
  • Des keyloggers (installés par des virus ou des chevaux de Troie) peuvent enregistrer vos identifiants au moment où vous les saisissez au clavier. Ils sont transmis ensuite au pirate qui s’en servira allègrement.

Il est donc nécessaire de déployer de nouvelles règles d’authentification, ce qu’on appelle l’authentification forte. Il s’agit en fait de rajouter un moyen de certifier l’identité.

  • Ce que je sais: un mot de passe, la réponse à une question secrète; ou ce que je sais faire: lire un texte (captcha), une série de geste (ma signature), etc..
  • Ce que je suis(biométrie): photo, fréquence de la voix, lecture de l’iris, empreinte digitale ou palmaire, ADN
  • Ce que j’ai: une clé, un objet (un token) qui peut aussi me délivrer un mot de passe renouvelé toutes les heures, ou un mot de passe à usage unique One Time Password), une carte à puce (avec code PIN comme la carte bleue; Match on Card, qui dit oui un non sans envoyer d’autre information), un mobile sur lequel je reçois le mot en passe via SMS, etc..

C’est pourquoi, bientôt, peut-être, on se connectera avec des lecteurs de carte à puces, ou après s’être fait scanné les empreintes digitales. Une fois que nous serons authentifiés, le système nous laissera entrer sur le Web et nous pourrons surfer en toute liberté. Savoir si cette liberté sera effective, si ce scénario se réalisera ou si d’autres techniques d’usurpation apparaitront sont autant de questions intéressantes sur lesquelles il faudra débattre ailleurs ;-)

Liens du 25/12/2008

Posted in veille on décembre 25th, 2008 by Julien PIERRE – Commentaires fermés
Premier passeport biométrique – 1984 ANTI-BIOMETRIE
idnum passeport_biometrique
Biométrie:entre nouveau projet pédagogique & idéologie – 1984 ANTI-BIOMETRIE
idnum cnil biometrie affaire:clermont_herault
Power.com – All your friends in just one place.
idnum hi5 orkut myspace facebook msn socialnetwork
Yahoo! OpenID limited testing for Simple Registration support (Yahoo! Developer Network Blog)
yahoo! openid test idnum
PeopleBrowsr
lifestreaming idnum
egoblog.net » Blog Archive » Les dangers de la géolocalisation sur Twitter
idnum geolocalisation twitter
: Bank security news
BANQUE>D'après une enquête anglaise, l'employé standard dispose de 15 mots de passe, et passe 15 minutes par jour à s'authentifier auprès des diverses applications logicielles. Soit 65 heures dans l'année.
A peu près 30% des appels à la hotline concernent un oubli de mot de passe (coût d'un appel : £20).
pour éviter ces dérives, l'utilisateur a tendance à simplifier et réduire ses mots de passe : d'où un risque majeur pour la sécurité de l'entreprise.
Ainsi, il est nécessaire pour les organisations de mettre en place des procédures encadrant les procédures d'authentification (par exemple, voir les dispositifs COSO1 et 2 faisant suite aux lois SOX). Encore mieux, d'après l'article, il est temps d'adopter une stratégie basée sur du SSO (Single Sign-On) : on parle même de ESSO (Entreprise SSO). A quand un OpenID Pro ?
password idnum entreprise authentification identification SSO
Lindsay Lohan a la rage contre Facebook
USURPATION>Lindsay Lohan est une actrice, célèbre pour ses déboires de jeune starlette. A ce titre, elle est souvent victime de fake. Facebook a une politique de suppression pour les faux profils. Lindsay Lohan devrait donc être confiante envers Facebook. Cependant, pour préserver pleinement son intimité, elle est présente sur le site mais sous couvert d'un faux nom. En suivant la logique de FB, son profil a été -logiquement- supprimé. D'où colère de la starlette !
idnum facebook people usurpation-d-identite
Vidéo-surveillance : « Mains en l’air, vous allez commettre un crime », actualité Tech & Net : Le Point
idnum videosurveillance
Facebook, vide d’absence et différenciations générationnelles – Jean-Luc Raymond
idnum facebook
Association Française des Correspondants aux Données Personnelles
idnum afcdp cil cnil
Forum Atena : l’identité numérique fait débat – Global Security Mag Online
FORUM ATENA>Compte-rendu de la conférence sur l'identité numérique. Rien de neuf du fait d'intervenants déjà connus (Olivier Iteanu, approche juridique). Quelques énormités :
- "plus vous créez des avatars, plus vous mentez sur votre identité". Je ne suis pas sûr qu'un seul puisse contenir toutes les facettes de mon identité.
- "de nos jours, notre vie privée peut être divulguée par n'importe qui, sans autorisation". Grosse parano sans fondement.
- hypothèses autour d'une fédération d'identités, et des token associés.
- rôle de la CNIL et des CIL dans l'entreprise
idnum olivier-iteanu thierry-rudowsky cnil afcfp carte-d-identite-numerique conference cil
Question: Identité numérique et Hellotipi | Hellotipi votre site de famille
DEBAT>François, aka MrBoo, fondateur de Hellotipi (plateforme de blogs familiaux) a été abordé par 123people pour avoir accès aux données du site. François demande aux hellotipistes, qui à plus de 55% votent non. Nombreux commentaires sur l'intimité et la confidentialité des données, dont hellotipi semble le dernier bastion aux yeux des membres, rétifs à toute diffusion de leur vie privée en direction de BigBrother.
idnum blogosphere hellotipi debat donnees-personnelles
Home: Future of IDentity in the Information Society
idnum europe

L’avatar

Posted in vu sur le web on novembre 23rd, 2008 by Julien PIERRE – 2 Comments
NYC - Metropolitan Museum of Art - Stela of a Four-Armed Vishnu
Creative Commons License photo credit : wallyg

L’avatar, c’est cette image qui nous représente sur le web.

  1. Définitions
  2. Typologie
  3. Services dédiés aux avatars
  4. Croissance de l’avatar
  5. Vers un format standard ?
  6. Conclusion

Définitions

Étymologiquement, avatar vient du sanscrit, langue indienne : ça désigne une incarnation divine sur Terre. Le plus friand de ce genre de transformation était Vishnu : il compte notamment 10 avatars successifs (les derniers sont Rama, Krishna et Bouddha) dont la mission est de faire respecter le Dharma(1).

Zeus, en s’incarnant sous forme de cygne ou de taureau, utilise lui aussi l’avatar, mais dans un but de séduction.

L’avatar est donc une forme parmi d’autres d’un principe divin : on peut lier cette singularité à l’idée d’identité multiple, ou fragmentée.

Sur Internet et dans les mondes numériques, l’avatar est une représentation (re-présentation) graphique, un pictogramme, un signe.

Avatar = alter ego numérique ?

Fanny Georges a rédigé une thèse sur le sujet (soutenue en décembre 2007 à la Sorbonne) : Sémiotique de la représentation de soi dans les dispositifs interactifs – 9Mo, 467 pages (voir la prise de notes).

Elle précise que l’avatar divin est une forme agissante au milieu des humains ; pour l’avatar numérique, on peut parler aussi d’identité active. Mais cette descente du divin chez l’humain, ou de l’internaute dans le virtuel peut ressembler à une immersion, voire une désorientation.

A travers des enquêtes, observations, des recueils de témoignages, Fanny Georges aborde l’avatar à la fois comme un processus identitaire (ontique, création de soi) et comme un rapport à l’altérité : comment me montrer aux autres ? Que voient-ils de moi ? Qu’attendent-ils de moi et vais-je satisfaire cette attente ?

Il y a donc un affect dans le choix de l’avatar : nous le chargeons de symbolique au-delà de sa dimension purement technique. Et cet affect facilite l’immersion, l’hexis (grosso modo : occuper le terrain).

L’avatar est donc à la fois un discours énonciatif (descriptif : je suis comme ça) et performatif (déclaratif : je suis, j’existe, j’agis, je me crée). Mieux : le support prévaut sur l’individu, le remplace en son absence. Même sans son maître, la marionnette continue de bouger.

Il y a donc tout intérêt à privilégier le choix de son avatar.

Notes

  1. la Loi, mot dont la racine va donner firmus en latin, forme, qui donnera information : action de donner une forme à quelque chose. L’avatar donne une forme, une image, à quelqu’un.