Posts Tagged 'identité'

Une protection efficace de nos mots de passe

Un article vient de paraître mentionnant que le célèbre site de réseau social professionnel LinkedIn ainsi qu’un site de rencontre viennent de se faire dérober un nombre important de mots de passe de leurs utilisateurs.

Les spécialistes qui ont examiné les fichiers de mots de passe ont affirmé que « le réseau social n’avait pas utilisé les techniques les plus sûres en matière de protection de données » et que « Selon eux, LinkedIn s’en est tenu à des techniques de base pour l’encodage des mots de passe donnant la possibilité aux hackers de décoder l’ensemble des mots de passe une fois cassé le cryptage de l’un d’entre eux. » (cf. l’article)

Lire la suite ‘Une protection efficace de nos mots de passe’

SSO et contrôle d’accès

Le SSO doit-il faire du contrôle d’accès ?

Introduction

Sur un projet de gestion d’identité, lors de la configuration de la solution SSO, j’ai été confronté au besoin fonctionnel de refuser l’accès aux applications, par le serveur de sécurité, des utilisateurs qui ne remplissent pas certains critères techniques, bien qu’authentifiés.

Mon, client considère, contrairement à moi, que ces critères techniques qui correspondent fonctionnellement à une habilitation doivent être pris en compte dans le processus d’accès aux applications, au même titre que l’authentification. Lire la suite ‘SSO et contrôle d’accès’

L’insuffisance du modèle RBAC

Le modèle d’habilitation RBAC (« Role Based Access Control » en anglais), encore appelé modèle de sécurité RBAC, a commencé à être évoqué en 1992. Il permet d’établir, au sein du système d’information d’une entreprise, un contrôle d’accès efficace sur les applications et les services de ce SI pour ses utilisateurs. Il repose essentiellement sur la définition des rôles à attribuer aux utilisateurs et aux ressources.

Afin de bien comprendre son utilité, partons du modèle d’habilitation IBAC (Identity Based Access Control) qui est moins évolué mais dont RBAC tire son origine. Lire la suite ‘L’insuffisance du modèle RBAC’

Shibboleth – un SSO ++

Nous avons évoqué, lors de précédents billets, le fonctionnement de Shibboleth basé sur la norme SAML 2.0.

La norme décrit les échanges entre le Service Provider (SP), qui protège les services, le Discovery Service (DS) qui permet à l’utilisateur d’indiquer son fournisseur d’identités et l’Identity Provider (IdP), qui assure l’authentification des utilisateurs.

Au sein d’une même entreprise, le déploiement d’une telle solution est comparable aux solutions de SSO standard, avec toutefois des avantages non négligeables.

Lire la suite ‘Shibboleth – un SSO ++’

Une application IAM réussie

Nous avons déjà évoqué la possibilité de valoriser le contenu de l’annuaire d’entreprise en créant un portail d’identité efficient. C’est-à-dire que le portail soit efficace, en termes de présentation de son contenu, mais en plus qu’il suscite l’intérêt de tous les collaborateurs de l’entreprise.
Pour réussir ce pari, l’application IAM doit suivre certaines règles.

Intégration

L’application d’identité doit être complètement intégrée au portail d’entreprise. Il ne faut pas que l’utilisateur ait l’impression de changer de contexte quand il navigue sur son portail. Les couleurs, les fontes, le logo de l’entreprise, le format des cadres, tout cela doit être respecté. De plus en plus de portails, comme Liferay proposent l’intégration par portlets, ce serait un plus que l’application d’identité respecte cette compatibilité. L’application d’identité doit être protégée pour ne pas que quiconque voit n’importe quelle donnée sur autrui. En revanche, si elle fait apparaître une page d’authentification, nous pouvons considérer que l’intégration au portail n’est pas terminée.

Orientation métier

L’application doit présenter des données métier. Les données présentes dans l’annuaire d’entreprise sont techniques. Seuls quelques élus se plaisent à parcourir les arbres LDAP et font mine de tout comprendre. Tous les autres employés doivent avoir accès à cet annuaire, mais par des vues adaptées à leur métier et à leur besoin et dont les données brutes sont traduites.

Reflet organisationnel

L’application doit refléter l’organisation de l’entreprise. La particularité de l’annuaire LDAP est qu’il peut être construit selon le modèle organisationnel de l’entreprise et présenter les directions, les départements, les agences… Tout collaborateur, surtout s’il est nouveau dans l’entreprise, peut alors consulter l’organigramme, visualiser précisément la structure dans laquelle il travaille et se situer par rapport au reste de l’organisation.

Rapidité

Combien d’applications de gestion d’identité sont lentes ! Ce constat est alarmant. Les utilisateurs finissent par délaisser l’application. Les deux principales raisons sont que l’application a été mal programmée et/ou que le référentiel d’identité a été mal conçu. Une mission de conseil permettra alors de déterminer la cause et améliorer la performance de la solution.

Technique

Pour éviter le côté statique d’une application IAM, qui ne fait que présenter des informations d’identité, il est intéressant de pouvoir y adjoindre un moteur de workflow. L’application peut alors permettre à chacun de proposer des modifications qui seront validées par un manager ou une équipe RH. L’application peut même devenir une interface de gestion de certificat dans une PKI. Intégrer un outil de provisioning apporte la dimension horizontale qui manquait à l’application pour les administrateurs du SI. À partir du portail d’entreprise, il est alors possible d’administrer tous les référentiels du SI et de limiter les saisies répétitives sur chacun d’entre eux.

Pour conclure

Réaliser une application de gestion de contenu d’annuaire utile à tous les profils de l’entreprise n’est pas trivial. La réalisation peut être un échec si les éléments cités précédemment sont omis, même partiellement.

Thierry ALBAIN

Quel avenir pour le SSO ?

Le SSO est l’acronyme anglais pour Single Sign-on : on s’authentifie une fois et on accède à toutes les applications autorisées par notre profil. Le concept est intéressant. Combien de responsables informatiques se plaignent, encore aujourd’hui, de l’échange de mots de passe entre utilisateurs ? C’est à se demander à quoi cela sert de mettre des mots de passe. Il faut pourtant bien être crédible, et ne pas négliger la sécurité ! C’est là le paradoxe, on sécurise parce qu’on a peur des attaques extérieures et on oublie celles venant de l’intérieur. On les ignore parfois tout en connaissant les risques potentiels.

Aujourd’hui, les éditeurs et les intégrateurs proposent un projet de signature unique, dit de SSO. Cela implique d’installer un serveur de sécurité, de configurer des règles très compliquées et d’ajouter des connecteurs spécifiques aux serveurs Web et serveurs d’applications existants. Inutile de dire que la solution est entièrement propriétaire et qu’elle ne correspond pas à l’évolution qu’on veut donner aux SI de demain.

Les SI de demain

Certaines entreprises ont déjà pris le tournant de l’urbanisation. Elles ont entrepris de rendre leur SI agile, pour casser les barrières de communication entre silos. Ainsi, elles sont souvent amenées à mettre en place une architecture orientée services (SOA). « – Vous avez dit « services », vous voulez dire comme les « Webservices » ? – Absolument ! »

Les Webservices sont les messages utilisés par la fédération d’identité.

Nous savons que la fédération d’identité sert à ouvrir son SI aux partenaires, pour leur permettre d’accéder aux informations de l’entreprise sans qu’ils aient à se ré-authentifier, mais pas seulement. Ce qu’il faut retenir dans la Fédération, c’est le principe d’échange et de communication. Utiliser des services pour répondre aux questions d’identité et pour autoriser les accès me parait aujourd’hui une solution d’avenir.

Le seul frein à cette solution c’est peut-être le manque de maturité des techniques sous-jacentes et le manque de normalisation. Sur un terrain où la règle veut que la loi du plus fort gagne, Microsoft essaie d’imposer son WS-Federation face au SAML V2. On peut dire ce qu’on veut de ce géant de l’informatique, mais dans sa plateforme Windows, Microsoft, a parfaitement intégré la signature unique (SSO) en utilisant le standard Kerberos.

Ce protocole étant ouvert, il peut être utilisé par d’autres et surtout par des services, ou Webservices d’authentification. Aujourd’hui on peut faire du SSO avec Kerberos en déployant les Webservices d’authentification tout en étant conforme aux principes SOA.

Thierry ALBAIN

IAM – 4. Éducation à la sécurité du SI

Que cela soit à la maison ou au travail, nous sommes confrontés à l’inévitable sujet de la sécurité. J’ai perdu le contact avec des amis, avec lesquels je conversais par mail, parce que leur ordinateur est devenu inutilisable suite à la présence de virus. Et quand, l’informatique se résume à Internet, le mail et le traitement de texte, il est inconcevable de se dire qu’on va pouvoir, tout seul, réinstaller son ordinateur « proprement ».

On fait souvent l’analogie entre un ordinateur sans protection sur Internet et un piéton sur une voie d’autoroute. L’estimation de sa durée de vie est très courte.

Le service de sécurité du SI.

En entreprise, un service spécialisé s’occupe pour nous des affaires de sécurité. C’est bien mais est-ce suffisant ?

Mettriez-vous votre sécurité entre les mains d’un service quelconque ?
Faites-vous plus confiance à des hommes ou à des machines ?
Les machines ne sont-elles pas assemblées et programmées par des hommes ?

On pourrait presque dire que l’informatique est le seul domaine où la paranoïa est normale. La menace est tellement présente que certains qualifient de fou celui qui n’est pas protégé.

J’entends jusqu’ici des collègues dire qu’ils ne font pas confiance au service spécialisé de leur entreprise et qu’ils préfèrent gérer eux même la sécurité de leur poste de travail. le service spécialisé en question n’est peut-être pas si spécialisé qu’il n’y parait. Est-ce par manque de moyen ou d’expertise ?

Chaque entreprise a sa propre politique concernant ce service « spécialisé » dans la sécurité du SI.

Une chose est certaine, le service sécurité d’une entreprise peut être performant, il ne remplacera jamais la vigilance de l’utilisateur final.

Éducation.

Nous voilà au coeur de notre sujet. L’éducation à la sécurité !

Un enfant ne devient pas autonome sans éducation. Il fait des erreurs et apprend à les corriger. Il va à l’école, étudie et se construit un savoir et une culture générale.

Face à une agression physique, que peut-on faire, fuir, se défendre, crier… Comment obtenir les bons réflexes d’auto-défense ?

Nous ne sommes pas tous autodidactes mais nous avons tous le désir d’être formé sur le sujet, complexe, de la sécurité informatique.
Par où commencer ?
Ai-je les compétences pour comprendre le jargon informatique ?

Il est pourtant important que chacun sache se protéger contre les attaques informatiques. Dans l’entreprise, la sécurité passe par l’interdiction. Interdiction d’aller sur tel site, interdiction de brancher une clé USB, interdiction de consulter ses mails personnels…

Responsabilité ou interdiction.

Ce qui est certain, c’est que responsabiliser est préférable à interdire, qui reste toutefois nécessaire.

La responsabilité passe par de la sensibilisation des utilisateurs aux enjeux de la sécurité du SI. Il est nécessaire que chacun apprenne à se protéger pour protéger le SI.

La maladresse ou l’inconscience des utilisateurs est la principale cause d’infection. Et parfois, lorsque nous sommes trop confiant, les gens malveillants en profitent.

Chaque entreprise devrait sensibiliser ses employés sur la sécurité du SI, les risques encourus et les effets de l’infection. Un programme d’une journée, un investissement qui peut, non pas rapporter gros, mais éviter de tout perdre.

Thierry ALBAIN


Mises à jour Twitter

Entrer votre adresse e-mail pour vous inscrire a ce blog et recevoir les notifications des nouveaux articles par e-mail.

Rejoignez 29 autres abonnés

Catégories

Statistiques

  • 64,079 hits