Articles avec le tag ‘Sécurité’

Une backdoor dans Linux ???

Lundi 23 septembre 2013

icon_linux

 

Il faut regarder cette vidéo, à partir de la 24ème minute… soudain une question du « monsieur loyal » qui amène les « panelists » à une situation inconfortable, la gène est perceptible…. et les démentis d’après conférence n’y feront rien… Si la NSA a une backdoor côté Windows, il n’y a aucune raison qu’il n’y en est pas côté Linux, Android etc… La négation orale conjointe à l’affirmation gestuelle de Linus Torvalds ne nous rassurent guère…

UNIX toujours jeune ;-)

Mercredi 29 mai 2013

pilipili

Malgré les prévisions « alarmistes » du Gartner prévoyant la mort d’UNIX dans les prochaines années (rien que ça !), je trouve que les ventes de serveurs UNIX ne vont pas si mal que cela ! En 2012, rien qu’en zone EMEA, le marché des serveurs UNIX a représenté presque 3 millions d’unités, ce n’est tout de même pas rien… Certes une vague de renouvellement des serveurs UNIX vers des serveurs Linux sous x86 est en cours, mais les applications stratégiques des mondes bancaires et industriels sont toujours confiées à des systèmes UNIX – Dans ce cadre, au travers des projets que je mène pour la sécurisation des différents systèmes, je dois dire que je suis toujours surpris de la qualité du système IBM AIX, je pense qu’il n’y a pas d’équivalent en terme de stabilité et de sécurité. Le seul bémol vient peut être du système RBAC AIX qui est une énorme « usine à gaz » pas vraiment fonctionnelle, mais dans ce cas, Centrify Direct Authorize fait des merveille en collaboration avec IBM AIX ;-)

En conclusion, que le Gartner et les autres arrêtent de prendre leurs désirs pour des réalités, les systèmes UNIX sont bien là encore pour de nombreuses décennies – le tout est de pas avoir une approche partisane ou « religieuse », chaque systèmes possèdent ses avantages et ses inconvénient, il faut juste respecter cela et ne pas se tromper en terme de positionnement…

 

Un SSO pour les applications Cloud relié à Active Directory

Mercredi 16 janvier 2013

Planet  Centrify débarque dans le monde du SSO Cloud et de la Fédération d’Identité avec une solution assez révolutionnaire en terme d’approche: Centrify DirectControl for SaaS.

En effet, l’idée est de réaliser ici depuis votre PC sous Windows, depuis votre Mac, depuis votre station Linux, depuis votre téléphone iOS ou Android ou depuis votre tablette iOS ou Android un SSO vers les applications Cloud de l’entreprise. Ce SSO est possiblement basé sur différentes technologies (dans le backoffice), fédération d’identité, OpenID, Login/Mot de Passe, etc… Le tour de force réside dans différents aspects:

  • Le paramétrage se fait depuis Active Directory: Des GPOs et une MMC vont permettre de paramétrer les différentes options, les paramétrages peuvent aussi se réalisés coté du service Cloud et sont synchronisés entre le service Cloud et Active Directory: la désactivation d’un compte dans Active Directory désactivera l’ensemble des comptes utilisateurs dans les applications Cloud pour cette entreprise, bien utile en terme de sécurité !
  • La solution est extrêmement simple à installer: pas de serveur de fédération, pas de paramétrage complexe, pas de synchronisation d’utilisateur: il suffit d’installer un serveur Proxy dont le rôle est de synchroniser les information Active Directory vers un service Cloud Centrify basé sur Azure, le service Cloud Centrify fait le lien avec les applications SaaS – pas d’infrastructure complexe
  • Le service Cloud Centrify basé sur Azure permet de maintenir à jour les paramètres et le niveau de sécurité sur l’ensemble des devices, même si ils sont en dehors de l’entreprise, dès que ceux-ci se connectent à Internet et donc à Azure

Centrify_for_SaaS

Coté Tablette ou Téléphone, une simple application téléchargée depuis le store ou un navigateur, permettent à l’utilisateur de réaliser toutes les opérations: accès aux applications en SSO, mise à jour des informations utilisateurs, réinitialisation de mot de mot de passe, blocage d’un device perdu ou volé, etc…

Centrify propose une version gratuite de sa solution, la version DirectControl for SaaS, pleinement fonctionnelle, sans limitation dans le temps ou dans le nombre de devices gérés: certaines fonctions pour les grandes entreprise seront uniquement présentes dans la version payante qui sortira en Q2 2013.

Mes premiers tests sur la version express de la solution sont plus que concluants: ce produit est génial – De plus, il fonctionne parfaitement avec Office365, que l’instance Office365 soit paramétrée en mode Login/Password ou en mode Fédération, sauf qu’il n’y pas besoin d’ADFS ou de DirSync V2 !

Enfin, je vous conseille vivement de regarder cette vidéo de démonstration de 5 minutes qui vous donnera une meilleure idée de la solution depuis un PC ou une Tablette:

 

 

 

Méthodologie et outils d’audit des permissions d’un Active Directory par l’ANSSI

Mardi 9 octobre 2012

Retrouvez sur le site de l’ANSSI, un très bon livre blanc décrivant la méthodologie et des outils d’audit des permissions d’un Active Directory.

Rappelons que l’une des missions de l’Agence nationale de la sécurité des systèmes d’information est de fournir des informations, des recommandations et des pistes de réflexion afin d’aider les entreprises et organisations de toute taille d’améliorer leur sécurité informatique.

Cela semble peu par rapport à ce que fournissent les différentes agences américaines, mais au moins cela a le mérite d’exister – de plus, ce Livre Blanc est très bien documenté – bonne lecture !

Que les dieux du CyberEspace bénissent Patrick Pailloux !

Mardi 9 octobre 2012

  Patrick Pailloux est le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). L’ANSSI est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Elle a pour principales missions d’assurer la sécurité des systèmes d’information de l’État et de veiller à celle des opérateurs nationaux d’importance vitale, de coordonner les actions de défense des systèmes d’information, de concevoir et déployer les réseaux sécurisés répondant aux besoins des plus hautes autorités de l’État et aux besoins interministériels, et de créer les conditions d’un environnement de confiance et de sécurité propice au développement de la société de l’information en France et en Europe.

Autant dire que l’ANSSI est une organisation plus qu’importante dans le dispositif de réflexion des entreprises et organisations françaises dans le cadre de la sécurisation de leur SI et est l’auteur de nombreuses publications.

Patrick Pailloux était invité à ouvrir les Assises de la sécurité 2012 par un discours d’ouverture attendu. Les « spectateurs » n’ont pas été déçus… en effet Patrick Pailloux a réalisé un discours de TRES grande qualité, je vous invite à le lire [ ICI ]

Si je devais résumer ce discours:

  1. La DSI a le pouvoir, pardon le devoir, de dire « NON » à toutes les demandes hurluberlus
  2. Au travers de la mission d’intérêt public, l’ANSSI travaille sur un document décrivant « L’hygiène informatique en entreprise – Quelques recommandations simples » – un appel à commentaires sur cette version « draft »é est posté [ ICI ]
  3. Le BYOD est une escroquerie intellectuelle: MERCIIIIIIII !!!!!!!!!!!!!!!!!!!!!!!!! [ Voir un article précédent ]

Qu’il soit béni.

En effet, je suis jour après jour de plus en plus stupéfié par:

  1. La lâcheté des directions informatiques face aux demandes de la « Direction »
  2. Les risques induits par les « technologies » à la mode du moment: Cloud public, BYOD et autre délire des équipes dites « métier »
  3. L’impact extrêmement négatif des fameux « analystes » sur les décisions prises par les DSI

Les « analystes » et autres auteurs de « carré magique » deviennent les assurances tout risque des DSI: Les DSI ont peur de prendre une décision, donc elles s’en remettent aux « décisions » des analystes, qui sont devenus les oracles des temps modernes, ils ont la bonne parole, c’est certain ! Il est tout à fait étonnant de constater l’attrait quasi mystique qui accompagne chacune des publications réalisées par ces « analystes ».

Il est tout de même étonnant de constater que les DSI n’ont pas le courage (j’ai failli écrire autre chose…) de leur propre analyse et choix. A oui, pardon, « ce n’est pas leur métier » – ah bon ? et c’est quoi le métier d’une DSI alors ? de planter des fraises ?

Les clients finaux nourrissent les Fournisseurs de Technologies, les Fournisseurs de Technologies nourrissent les analystes, les analystes nourrissent les clients finaux: la boucle est bouclée !

Pour finir, je tire mon chapeau à Patrick Pailloux qui le courage de ses opinions et qui n’a pas cédé aux sirènes « du cocktail réputé des Assises de la sécurité » pour modifier son discours et dévier de sa vrai mission. En effet, année après année, les cocktails des Assises de la sécurité sont plus réputés que le niveau technique des sessions, c’est bien dommage….

 

Quelques mots de Frédéric Esnouf pendant les Techdays 2012…

Mardi 27 mars 2012

  Les Microsoft Techdays 2012 sont aussi l’occasion de croiser quelques personnes de référence côté Microsoft France. Frédéric est Architecte sur la partie IAM (FIM & AD RMS principalement) chez Microsoft France.

Vous retrouverez son interview sur le site de ITPro.

Vous retrouverez un article évoquant la gestion des environnements Cloud avec FIM sur le site de ITPro.

Vous retrouverez des informations techniques autour de FIM et d’AD RMS sur son blog.

Webinar sur la sécurité et l’intégrité des données dans Active Directory

Dimanche 18 septembre 2011

NetIQ a organisé avec l’aide de Darren Mar-Elia un webinar sur la sécurité et l’intégrité des données dans Active Directory. Pour ceux qui ne connaissent pas encore Darren, et bien disons que c’est le genre de personnage qui illumine les soirées par son intelligence et son agilité d’esprit. Je croise Darren tous les ans au MVP Summit, car il est lu aussi MVP sur les GPOs, et c’est franchement un réel plaisir d’échanger avec lui sur sa vision de l’IT et sur l’avenir de notre métier. En tant que ex-concepteur de Vintela, ex-CTO de Quest et actuel CEO de SDM Software, autant dire que ce sont des conversations ouvertes et intéressantes.

Vous retrouverez dans ce webinar gratuit toute la passion et intelligence de Darren, il est à voir si vous travaillez de près ou de loin avec Active Directory et la sécurité. Le webinar est accessible [ ici ]

 

Pré-requis client pour Microsoft AD RMS

Jeudi 1 septembre 2011

Vous connaissez certainement le produit Microsoft Right Management Services, autrement appelé AD RMS. Cet IRM permet de protéger l’information au travers des documents Office et des emails créés avec Outlook/Exchange. Certaines extensions fonctionnelles telles que Gigatrust permettent d’étendre ces fonctions vers les documents PDF, les Blackberry, les Iphone/Ipad, etc…

Lors de recherches rescentes, je suis re-tombé sur 2 articles fort intéressants qui présentent les préquis et les matrices fonctionelles en fonction des versions de Windows et des versions d’Office. Ces éléments sont consultables au travers de ces deux liens:

Très bonne lecture à tous ceux qui s’intéressent de près ou de loin à AD RMS !

 

 

Active Directory 2008 R2: Backup et DRP

Jeudi 16 juin 2011

Peter Van Keymeulen est un consultant infrastructure de haut niveau travaillant pour une société de consulting belge spécialisée dans le domaine des infrastructures Microsoft. Il a créé il y a peu un document vraiment complet concernant les méthodes de sauvegarde et de restauration pour un Active Directory sous Windows 2008 R2. La partie restauration traite de façon précise les éléments nécessaire à un DRP (genre, c’est vraiment la misère de la misère noire…car pour faire un vrai DRP Active Directory, il faut quand même être motivé… ou ne pas avoir le choix…) J’ai vraiment été très impressionné par la qualité et l’exhaustivité du document, je me devais de vous le faire partager.

Bon d’accord, le document est en Anglais et non en Français, mais c’est pour en faire profiter le plus grand nombre car il faut bien reconnaitre que les articles du Microsoft Technet ne sont pas toujours très précis. Et puis, cela pourrait être pire… en Néerlandais !

Bonne lecture de ce [ très bon document ]

UAG Mobile Portal: vNext sécurise l’accès UAG pour les terminaux mobiles

Lundi 6 juin 2011

Je voulais profiter de mes tests actuels autour du SP1 pour Forefront UAG 2010 pour mettre sous projecteur une solution logicielle originale créée par vNext, une jeune entreprise Française (et oui c’est possible ;-) ) basée en région parisienne.

La société vNext est une jeune société innovante proposant un positionnement bicéphale créateur de logiciels et société de services (principalement dans la sphère Microsoft) – dans le cadre de leur activité de création de logiciel, les membres de cette société ont imaginé une solution permettant de sécuriser l’accès à UAG depuis les terminaux mobiles. Globalement l’idée est d’utiliser les UUIDs des terminaux pour filtrer l’accès à UAG et définir des règles de sécurisation ou de remédiation.

Plus d’informations sur le site web de la société et au travers de cette vidéo:

metaconomy: reporting pour FIM2010 en mode SaaS

Lundi 16 mai 2011

Un nouvel éditeur, nommé metaconomy vient de sortir une solution de reporting pour FIM 2010. Ce système basé sur une technologie Azure permet d’utiliser un module externalisé pour générer des rapports dédiés à l’utilisation de FIM 2010. je n’ai pas testé par moi-même le service, mais l’idée est intéressante.

Reste à savoir si cette plate-forme ne va pas être quelque peu obsolète lorsque le Service Pack 1 pour FIM 2010 va sortir. En effet, celui-ci va inclure des améliorations significatives en ce qui concerne la gestion des logs et du reporting.

Je suis très intéressé par des retours des personnes qui testeront la solution de metaconomy. vous pouvez également utiliser les commentaires de ce blog.

Vidéo: Les basiques de l’accès fédéré à Office365 via ADFS et Microsoft Federation Gateway

Vendredi 13 mai 2011

Une des grandes nouveautés d’Office365 par rapport à BPOS réside dans le support de la fédération, via ADFS, pour accéder aux ressources Office365 hébergées par Microsoft. Cette technique permet globalement aux utilisateurs finaux de bénéficier du Single Sign On (SSO) et aux DSI de ne pas avoir à gérer les règles de gestion des identités des utilisateurs au niveau du cloud de Microsoft.

Cette vidéo présente en des termes extrêmement simples les différentes pièces techniques de la fédération et vous donne les clés pour un premier niveau de compréhension technologique:

How ADFS and the Microsoft Federation Gateway work together up in the Office 365 Cloud. from Steve Plank on Vimeo.

OCG propose un livre blanc pour évaluer le ROI d’un projet IAM

Mardi 22 février 2011

whitepaper Si vous ne connaissez pas encore Oxford Computer Group (OCG), OCG est une société anglaise spécialisée dans les problématiques IAM en général, et sur MIIS-ILM-FIM en particulier. En effet, OCG est le partenaire privilégié de Microsoft UK pour les projets FIM 2010 outre-manche. OCG possède une très forte expertise des sujets IAM, et met en ligne un livre blanc permettant d’évaluer les retours sur investissements des projets IAM. Il ne s’agit pas là d’avoir une matrice Excel complète mais plutôt de lister quels sont les objectifs à courts et moyens termes, et surtout évaluer quels peuvent être les bénéfices pour le business à mettre en œuvre ce type de projet. Même si ce livre blanc est en anglais, il présente une approche plutôt pragmatique de la problématique IAM. A télécharger [ ICI ]

Mot de passe: le maillon faible de la sécurité en ligne…

Mardi 4 janvier 2011

Multi_password_recoveryUne étude très ressente réalisée par CheckPoint-ZoneAlarm révèle des problèmes très inquiétants en ce qui concerne l’utilisation des mots de passe pour sécuriser l’accès aux applications en ligne.

Cette étude révèle par exemple que 79% des utilisateurs utilisent un mot de passe dit « faible » pour accéder aux applications hébergées (non, je n’ai pas dit le mot Cloud, je fais de la résistance…)  ou encore que 8% des utilisateurs utilisent des mots de passe qui proviennent directement des listes de références en ligne proposant une liste de mots de passe conseillés !

La lecture de cette étude est obligatoire  ;-)

Bref, « ça fait flipper » – Il y a 6 ans, Bill Gates nous promettait un monde sans mots de passe , nous en sommes loin, car les scénarios utilisateurs et business liés à l’utilisation de la SmartCard ne correspondent pas à la réalité du terrain. Et pourtant – Le mot de passe est dangereux, très dangereux.

Quand cela devient le moyen unique de gérer l’authentification des applications en ligne (non, non et non, je ne dirais pas Cloud), cela devient une espèce de suicide numérique collectif. Au delà de cette situation, ce qui est le plus troublant est que cela n’inquiète pas grand monde… jusqu’au jour où il y a un problème, bien sur.

L’industrie de la sécurité informatique ainsi que les grands acteurs du secteur, Microsoft, Oracle, IBM, Gemalto, HID, etc… doivent nous apporter une solution viable à l’utilisation des facteurs forts d’authentification. Les scénarios de recouvrement, de substitution et d’utilisation de la biométrie doivent permettre d’avancer dans cette voie, encore faut-il qu’il existe une véritable volonté de trouver cette solution universelle et intégrée. Microsoft et les acteurs Linux majeurs doivent notamment intégrer « By Design » des fonctions de recouvrements ne nécessitant pas l’installation des framework tiers pour gérer ces notions: cela est impératif.

Pour égailler votre début d’année, je vous conseille de tester le logiciel MPR ( Multi Password Recovery) afin de « vérifier » la fragilité ou non de vos propre mots de passe. Cela fait rire, ou pleurer, au choix.

Un nouveau portail de référence sur l’univers de la biométrie: www.planetbiometrics.com

Dimanche 2 janvier 2011

planet_biometricsUn nouveau portail (site en anglais) vient de se mettre en place et propose un contenu de référence sur le thème de la biométrie. Malgré les nombreux sponsors, les thèmes sont abordés avec beaucoup d’indépendance et de profondeur. L’approche à la fois technique et business permet de découvrir progressivement l’univers quelques fois abscons de la biométrie. Les WhitePaper sont particulièrement bien réussis. Bonne lecture sur www.planetbiometrics.com

ASSA ABLOY réalise l’acquisition d’ActiveIdentity

Mercredi 27 octobre 2010

ActiveIdentity_logo ASSA ABLOY, maison mère de HID Global renforce sa position dans le domaine de la gestion des identités et des accès en réalisant l’acquisition de la société ActiveIdentity. ActiveIdentity propose des solutions dans les domaines suivants:

# Strong Authentication
Prominently featured in several Gartner research reports (e.g., “MarketScope for Enterprise Broad-Portfolio Authentication Vendors,” published in April 2009; and “Market Overview: Authentication,” published in September 2008), the ActivIdentity Strong Authentication suite of products enables organizations to securely address a variety of end-user access control scenarios, ranging from remote access via virtual private networks (VPN) and secure access to Web-based applications, to secure access to data and applications from the local network.

# Credential Management
ActivIdentity Credential Management products enable organizations to securely deploy and manage smart cards and USB tokens containing a variety of credentials, including public key infrastructure (PKI) certificates, one-time passwords, static passwords, biometrics, demographic data, and virtually any other application.

# Security Clients
ActivIdentity Security Clients software extends ActivIdentity strong authentication and credential management offerings by either enabling the use of smart cards and smart USB tokens for a wide variety of desktop, network security, and productivity applications or enhancing the productivity of employees with easy single sign-on capabilities to network resources.

# Authentication Devices
Rounding out the ActivIdentity product portfolio, ActivIdentity Authentication Devices provide organizations with a one-stop shop experience. Organizations can choose from a broad range of authentication devices (e.g., smart USB tokens, one-time-password tokens in a variety of form factors, soft tokens, display cards, and smart cards) and accessories (e.g., smart card readers and hardware security modules) to complement their strong authentication and credential management solution.

Avec un tel panel de solutions, ASSA ABLOY / HID Global se positionne comme un des leaders dans le domaine de la gestion des identités et des accès, positionnement déjà amorcé avec la sortie de l’offre « HID On The Desktop«   et le développement des offres Crescendo et Fargo.

Couplage de l’accès physique et logique – l’exemple de SOCOMEC

Mercredi 27 octobre 2010

crescendo_card_2La société HID propose des solutions permettant le couplage de l’accès physique ou logique grâce à  des cartes hybrides comportant des technologies de connexion et de transmission complémentaires.

Globalement une antenne permettant la technologie RFID (Iclass, Prox ou Mifare) est au cœur de la carte et permet de communiquer avec les déclencheurs reliés aux serrures de porte gérantes l’accès aux bâtiments ou aux zones contrôlées.

La même antenne permettra de communiquer avec un lecteur RFID connecté en USB au poste de travail. Le logiciel maison, NAVIGO, permettra à l’utilisateur d’ouvrir une session en utilisant la même carte que pour l’accès physique, uniquement en posant la carte à proximité du lecteur RFID.

Enfin, si l’organisation a des besoins liés à l’utilisation de certificats stockés émis depuis une PKI, une puce permet de transformer la carte en SmartCard avec la capacité de fournir des services de type SmartCard logon, S/MIME, Encryption de disque, etc.

Une vidéo didactique explique comment la société SOCOMEC a mis en place ce type de solution:

Safran serait sur le point d’acquerir L1-identity.

Mardi 14 septembre 2010

Safran_logo La Groupe Safran présent dans les domaines de la sécurité, de la défense et de l’aéronautique serait sur le point d’acquérir la société américaine L1-identity. L1-identity produit principalement des solutions de biométrie complexes ainsi que des solutions d’accès sécurisé pour les entreprises et organisations gouvernementales. Safran souhaite très certainement renforcer son offre Morfo de gestion des empreintes digitales. L’offre Safran étant plutôt positionnée dans le domaine des sociétés privées (Aéroports notamment) , l’expérience produit de L1-identity dans le monde gouvernemental peut être un avantage concurrentiel majeur dans la course à la consolidation qui contamine les grands fournisseurs de solutions des gestion d’accès physiques et logiques cette année. Reste à savoir si le gouvernement américain, gros client de L1-identity, verra d’un œil bienveillant cette acquisition potentielle… A suivre…

IAM dans le nuage ? non, « dans ton cloud ! »

Vendredi 3 septembre 2010

ca_menerveLe cloud ? je n’en peux plus… je n’arrive même plus à supporter le mot… ca me donne des boutons… Que tous les fournisseurs IT « classiques » répondent aux sirènes du charabia marketing à la mode, pourquoi pas… mais que des fournisseurs de solutions IAM reconnus commencent eux aussi à nous bourrer le mou avec du cloud à tous les étages, et bien cela me rend fou, tout simplement.

A la vision de cet article, et là rien contre ITRmanager qui a plutôt une ligne éditoriale intéressante, je me dis que le monde IT devient fou. Et le pire dans tous cela, c’est que les DSI encouragent la mascarade afin de reporter les problèmes qu’ils n’ont pas le courage d’affronter vers des « solution externes » ; on ne sous-traite pas un service, on sous-traite « la responsabilité », et dans le cas du cloud, l’irresponsabilité.

Externaliser un service ? pourquoi pas. Sous-traiter des compétences qui ne sont pas le cœur de métier de l’entreprise ? bien sur. Mais ne faisons pas croire que tout va être gérer « in the cloud », et surtout pas la gestion des identités et des accès ! Pendant toutes les conversations que j’ai pu avoir avec des fournisseurs de solutions dans le nuage, aucun problème pour évoquer avec eux les fonctions, la roadmap, voir la stratégie, mais surtout, ne pas parler sécurité, ne pas parler d’authentification, ne pas parler de SSO, ne pas parler de mots de passe… De plus, la lecture du « contrat de service » signé avec un fournisseur du nuage laisse souvent pantois… il ne s’engage sur RIEN. Et je ne parle pas ici de pseudo SLA, qui sont généralement impossible à mesurer et à vérifier pour le client…

Bref, réfléchissons de façon intelligente à la manière de fournir un service centralisé et sécurisé aux clients, en permettant d’être certain de qui fait quoi au sein du service considéré, et arrêtons de promettre monts et merveilles, ça fera moins de PowerPoint, moins de claquettes, moins de flute… mais un peu plus de professionnalisme, et l’IT en a cruellement besoin.

Allez, c’est un copain qui gère ce service: http://danstoncloud.com/ – vous voyez, c’est contagieux.

Un nouveau blog sur l’identité numérique: your.identityeraser.com/

Lundi 21 juin 2010

empreinteBercé par le hasard d’un surf dominical, je suis tombé sur un blog qui a retenu mon attention: your.identityeraser.com

Ce blog est plus orienté « identité numérique personnelle » que professionnelle, n’espérez donc pas trouver la méthode pas à pas pour installer SUN OpenDS ou le tuto d’installation de Tivoli Identity Manager (TIM pour les intimes) – Néanmoins, l’auteur réussi, en français à poser les bases d’une réflexion sur le consommateur 2.0 et sur les nouveaux modes de gouvernance autour des identités dévoilées de chaque internaute consommateur ou producteur de contenu.

Je n’ai pas demandé l’autorisation à l’auteur, mais voici un extrait de osn blog afin de vous permette de bien cibler le type de contenu:

 » Les utilisateurs au coeur du web 2.0

Avec la prolifération des blogs et wikis, la multiplication des réseaux sociaux et l’explosion du trafic sur les plateformes d’échanges, les contenus générés par les utilisateurs prennent une place toujours plus importante dans notre consommation quotidienne de l’internet. Tous ces contenus laissent des traces sur les sites qui les hébergent et dans les index des moteurs de recherche, ils sont également systématiquement rattachés à un auteur. De plus, la notoriété numérique des individus ainsi que sa valorisation (monétisation de l’audience, de l’expertise…) va rapidement amener les internautes (consomm’auteurs et consomm’acteurs) à se soucier de leur identité numérique. « 

Bonne lecture complémentaire sur your.identityeraser.com

Sortie de Novell Identity Manager V4

Jeudi 3 juin 2010

Novell-Identity-ManagerNovell Identity Manager 4 complète les fonctionnalités de Novell Identity Manager 3.6 en proposant une intégration avec Microsoft MOSS – SharePoint, une intégration avec les ERP les plus courants du marché ainsi qu’avec les applications en mode SAAS telles que SalesForce ou Google Apps.

Novell Identity Manager 4 Advanced Edition assure une gestion précise des identités grâce à une administration des rôles plus sophistiquée, à des capacités avancées de workflow et à la création de rapports intelligents conçues pour répondre aux besoins des entreprises ou fournisseurs de services administrés les plus évolués. Cette version intègre également des fonctions de nettoyage des données, une gestion des identités et des rôles simplifiée, et la possibilité de créer des workflows personnalisés de demande d’accès en toute simplicité.

Novell Identity Manager 4 est pour l’instant disponible en version beta, le lancement officiel aura lieu au cours du troisième trimestre 2010.

European Identity Conference (EIC) du 4 au 7 mai 2010

Samedi 27 mars 2010

eic2010 La deuxième édition de « European Identity Conference » tiendra place à Munich, Allemagne du 4 au 7 mai 2010.

European Identity Conference (EIC) est vraiment l’évènement européen où l’on peut rencontrer la crème des experts dans le domaine de la gestion des identités. Cette année, l’évènement est réalisé en // d’une autre conférence dédiée au Cloud.

Voici les sujets chauds qui seront abordés pendant les conférences:

  • Lean IT: Creating more Value for less through Identity Management & GRC
  • Business / IT Alignment
  • Rising Maturity: Expansion & Replacement Best Practices
  • Finding the Best Possible Response to Top Information Security Risks
  • Extending Identity based Information Security into the Cloud
  • Solving the Identity Issues of Virtualization
  • Safely Managing Privileged Identities
  • Access Governance – Controlling access and ensuring information and system security
  • Role Based & Attribute Based Access Control (RBAC vs. ABAC)
  • Integrating Identity, Roles and Data Loss Prevention
  • Privacy & Regulation
  • Consistent Approaches for Authentication and Authorization

Plus de détails sur ce site: http://www.id-conf.com/eic2010

Vulnérabilité de Kerberos sous Windows: Bulletin de sécurité Microsoft MS10-014

Samedi 13 février 2010

skullAttention !!! Une vulnérabilité dans Kerberos due à un traitement incorrect de certaines requêtes permet à une personne mal intentionnée de provoquer un déni de service sur un contrôleur de domaine Windows. Il s’agit bien évidemment d’une faille majeure qu’il faut absolument corriger.

La faille impacte les systèmes d’exploitation suivants:

– Windows 2000 Server Service Pack 4

– Windows Server 2003 Service Pack 2

– Windows Server 2003 Édition x64 Service Pack 2

– Windows Server 2003 avec SP2 pour systèmes Itanium

– Windows Server 2008 pour systèmes 32 bits etWindows Server 2008 pour systèmes 32 bits Service Pack 2

– Windows Server 2008 pour systèmes x64 et Windows Server 2008 pour systèmes x64 Service Pack 2

Microsoft délivre le correctif de sécurité MS10-014 pour corriger le problème, à appliquer de toute urgence.

La maison blanche choisit un ex-Microsoft pour contrôler les vols de cyber-identités sur Internet

Lundi 4 janvier 2010

La maison blanche a choisi de nommer Howard Schmidt au poste de « White House Cybersecurity Coordinator », avec comme focus une action sur le vol d’identité au travers du réseau Internet. Cet ex employé de Microsoft a déjà travaillé en profondeur dans le domaine de la protection des identités numériques lors de sa mission chez l’éditeur.

Pour voir la présentation de Howard Schmidt:

{ merci à oliwek pour son commentaire ;-) }

Sortie de FreeBSD 8.0 – c’est du tout bon !

Dimanche 29 novembre 2009

FreeBSD_LOGOSortie officielle de FreeBSD 8.0.

Avec l’arrivée de Windows 7 et de FreeBSD 8.0, l’année est plutôt exceptionnelle en ce qui concerne les mises à jour des systèmes d’exploitation !!! Franchement, de la même façon que je suis vraiment épaté par Windows 7, j’avoue être super fan de FreeBSD 8.0; comme quoi, avec un peu d’ouverture d’esprit, on trouve des choses intéressante de part et d ‘autre…

Au rayon des nouveautés:

  • Support des processeurs x86, 64bits, Itanium, PowerPC et SPARC
  • Jails V2, un outil de gestion des processus en environnement multiprocesseurs
  • Système de fichiers ZFS 13
  • ULE 3.0 comme nouvelle version de l’ordonnanceur système
  • Support amélioré de NFS en ce qui concerne Kerberos

Pour télécharger cette nouvelle mouture direction le site FTP de FreeBSD.org

Les présentations de la conférence Kerberos 2009 sont disponibles

Samedi 21 novembre 2009

logo_kerberos_consortium Comme chaque année, le « Consortium Kerberos », géré en grande partie par le MIT, a organisé une grande conférence sur le protocole kerberos et ses évolutions. Des pointures mondiales telles que Kim Cameron étaient présentes et ont réalisé des démonstrations de grande qualité. Ce fut également l’occasion de révéler les nouveauté de la version 1.8 de la libraire Kerberos.  La présentation sur la cohabitation OpenLDAP/royaume Kerberos est particulièrement intérressante car elle démontre bien à quel point il est complexe d’allier les deux systèmes.

Pour visualiser ou télécharger les présentations: http://www.kerberos.org/events/2009conf/ - les nouveautés de la version 1.8 de la libraire kerberos sont présentées sur le WiKi du Kerberos consortium: http://k5wiki.kerberos.org/wiki/Release_1.8

Utilisation des SmartCard en environnement mixte Macintosh-Microsoft

Dimanche 15 novembre 2009

Cette vidéo illustre la possibilité d’utiliser Active Directory et l’autorité de certification de Microsoft en tant que briques d’infrastructure centralisatrices pour l’utilisation des carte à puces de type Gemalto .NET dans des environnements mixtes de type Macintosh ou Microsoft. Cette possibilité est fournit grâce à l’utilisation combinée des drivers PKCS#11 et de la solution Centrify DirectControl:

La CNIL met en avant la sécurité par la gestion des identités et des accès

Lundi 19 octobre 2009

cnil10 conseils de la CNIL pour sécuriser votre système d’information: La loi « informatique et libertés » impose que les organismes mettant en œuvre des fichiers garantissent la sécurité des données qui y sont traitées. Cette exigence se traduit par un ensemble de mesures que les détenteurs de fichiers doivent mettre en œuvre, essentiellement par l’intermédiaire de leur direction des systèmes d’information (DSI) ou de leur responsable informatique. Il apparait clairement que la gestion des identités et des accès est au coeur de la sécurité du système d’information. Voici la liste des 10 recommendations de la CNIL:

1. Adopter une politique de mot de passe rigoureuse

L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). Le système doit contraindre l’utilisateur à choisir un mot de passe différent des trois qu’il a utilisés précédemment. Généralement attribué par l’administrateur du système, le mot de passe doit être modifié obligatoirement par l’utilisateur dès la première connexion. Enfin, les administrateurs des systèmes et du réseau doivent veiller à modifier les mots de passe qu’ils utilisent eux-mêmes.

2. Concevoir une procédure de création et de suppression des comptes utilisateurs

L’accès aux postes de travail et aux applications doit s’effectuer à l’aide de comptes utilisateurs nominatifs, et non « génériques » (compta1, compta2…), afin de pouvoir éventuellement être capables de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l’ensemble des intervenants. En effet, les comptes « génériques » ne permettent pas d’identifier précisément une personne. Cette règle doit également s’appliquer aux comptes des administrateurs systèmes et réseaux et des autres agents chargés de l’exploitation du système d’information.

3. Sécuriser les postes de travail

Les postes des agents doivent être paramétrés afin qu’ils se verrouillent automatiquement au-delà d’une période d’inactivité (10 minutes maximum) ; les utilisateurs doivent également être incités à verrouiller systématiquement leur poste dès qu’ils s’absentent de leur bureau. Ces dispositions sont de nature à restreindre les risques d’une utilisation frauduleuse d’une application en cas d’absence momentanée de l’agent du poste concerné. Par ailleurs, le contrôle de l’usage des ports USB sur les postes « sensibles », interdisant par exemple la copie de l’ensemble des données contenues dans un fichier, est fortement recommandé.

4. Identifier précisément qui peut avoir accès aux fichiers

L’accès aux données personnelles traitées dans un fichier doit être limité aux seules personnes qui peuvent légitimement y avoir accès pour l’exécution des missions qui leur sont confiées. De cette analyse, dépend « le profil d’habilitation » de l’agent ou du salarié concerné. Pour chaque mouvement ou nouvelle affectation d’un salarié à un poste, le supérieur hiérarchique concerné doit identifier le ou les fichiers auxquels celui-ci a besoin d’accéder et faire procéder à la mise à jour de ses droits d’accès. Une vérification périodique des profils des applications et des droits d’accès aux répertoires sur les serveurs est donc nécessaire afin de s’assurer de l’adéquation des droits offerts et de la réalité des fonctions occupées par chacun.

5. Veiller à la confidentialité des données vis-à-vis des prestataires

Les interventions des divers sous-traitants du système d’information d’un responsable de traitement doivent présenter les garanties suffisantes en terme de sécurité et de confidentialité à l’égard des données auxquels ceux-ci peuvent, le cas échéant, avoir accès. La loi impose ainsi qu’une clause de confidentialité soit prévue dans les contrats de sous-traitance. Les éventuelles interventions d’un prestataire sur des bases de données doivent se dérouler en présence d’un salarié du service informatique et être consignées dans un registre. Les données qui peuvent être considérées « sensibles » au regard de la loi, par exemple des données de santé ou des données relatives à des moyens de paiement, doivent au surplus faire l’objet d’un chiffrement.

« A noter » : l’administrateur systèmes et réseau n’est pas forcément habilité à accéder à l’ensemble des données de l’organisme. Pourtant, il a besoin d’accéder aux plates-formes ou aux bases de données pour les administrer et les maintenir. En chiffrant les données avec une clé dont il n’a pas connaissance, et qui est détenue par une personne qui n’a pas accès à ces données (le responsable de la sécurité par exemple), l’administrateur peut mener à bien ses missions et la confidentialité est respectée.

6. Sécuriser le réseau local

Un système d’information doit être sécurisé vis-à-vis des attaques extérieures.

Un premier niveau de protection doit être assuré par des dispositifs de sécurité logique spécifiques tels que des routeurs filtrants (ACL), pare-feu, sonde anti intrusions, etc. Une protection fiable contre les virus et logiciels espions suppose une veille constante pour mettre à jour ces outils, tant sur le serveur que sur les postes des agents. La messagerie électronique doit évidemment faire l’objet d’une vigilance particulière. Les connexions entre les sites parfois distants d’une entreprise ou d’une collectivité locale doivent s’effectuer de manière sécurisée, par l’intermédiaire des liaisons privées ou des canaux sécurisés par technique de « tunneling » ou VPN (réseau privé virtuel). Il est également indispensable de sécuriser les réseaux sans fil compte tenu de la possibilité d’intercepter à distance les informations qui y circulent : utilisation de clés de chiffrement, contrôle des adresses physiques des postes clients autorisés, etc. Enfin, les accès distants au système d’information par les postes nomades doivent faire préalablement l’objet d’une authentification de l’utilisateur et du poste. Les accès par internet aux outils d’administration électronique nécessitent également des mesures de sécurité fortes, notamment par l’utilisation de protocoles IPsec, SSL/TLS ou encore HTTPS.

« A noter » : Un référentiel général de sécurité, relatif aux échanges électroniques entre les usagers et les autorités administratives (ordonnance 2005-1516), doit voir le jour prochainement (voir projet sur le site http://www.ssi.gouv.fr/). Il imposera à chacun des acteurs des mesures de sécurité spécifiques.

7. Sécuriser l’accès physique aux locaux

L’accès aux locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doit être limité aux personnels habilités. Ces locaux doivent faire l’objet d’une sécurisation particulière : vérification des habilitations, gardiennage, portes fermées à clé, digicode, contrôle d’accès par badge nominatifs, etc. La DSI ou le responsable informatique doit veiller à ce que les documentations techniques, plans d’adressages réseau, contrats, etc. soient eux aussi protégés.

8. Anticiper le risque de perte ou de divulgation des données

La perte ou la divulgation de données peut avoir plusieurs origines : erreur ou malveillance d’un salarié ou d’un agent, vol d’un ordinateur portable, panne matérielle, ou encore conséquence d’un dégât des eaux ou d’un incendie. Il faut veiller à stocker les données sur des espaces serveurs prévus à cet effet et faisant l’objet de sauvegardes régulières. Les supports de sauvegarde doivent être stockés dans un local distinct de celui qui héberge les serveurs, idéalement dans un coffre ignifugé. Les serveurs hébergeant des données sensibles ou capitales pour l’activité l’organisme concerné doivent être sauvegardés et pourront être dotés d’un dispositif de tolérance de panne. Il est recommandé d’écrire une procédure « urgence – secours » qui décrira comment remonter rapidement ces serveurs en cas de panne ou de sinistre majeur. Les supports nomades (ordinateurs portables, clé USB, assistants personnels etc.) doivent faire l’objet d’une sécurisation particulière, par chiffrement, au regard de la sensibilité des dossiers ou documents qu’ils peuvent stocker. Les matériels informatiques en fin de vie, tels que les ordinateurs ou les copieurs, doivent être physiquement détruits avant d’être jetés, ou expurgés de leurs disques durs avant d’être donnés à des associations. Les disques durs et les périphériques de stockage amovibles en réparation, réaffectés ou recyclés, doivent faire l’objet au préalable d’un formatage de bas niveau destiné à effacer les données qui peuvent y être stockées.

9. Anticiper et formaliser une politique de sécurité du système d’information

L’ensemble des règles relatives à la sécurité informatique doit être formalisé dans un document accessible à l’ensemble des agents ou des salariés. Sa rédaction requiert l’inventaire préalable des éventuelles menaces et vulnérabilités qui pèsent sur un système d’information. Il convient de faire évoluer régulièrement ce document, au regard des modifications des systèmes et outils informatiques utilisés par l’organisme concerné. Enfin, le paramètre « sécurité » doit être pris en compte en amont de tout projet lié au système d’information.

10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi « informatique et libertés »

Le principal risque en matière de sécurité informatique est l’erreur humaine. Les utilisateurs du système d’information doivent donc être particulièrement sensibilisés aux risques informatiques liés à l’utilisation de bases de données. Cette sensibilisation peut prendre la forme de formations, de diffusion de notes de service, ou de l’envoi périodique de fiches pratiques. Elle sera également formalisée dans un document, de type « charte informatique », qui pourra préciser les règles à respecter en matière de sécurité informatique, mais aussi celles relatives au bon usage de la téléphonie, de la messagerie électronique ou encore d’internet. Ce document devrait également rappeler les conditions dans lesquelles un salarié ou un agent peut créer un fichier contenant des données personnelles, par exemple après avoir obtenu l’accord de son responsable, du service juridique ou du CIL de l’entreprise ou de l’organisme dans lequel il travaille.

Ce document doit s’accompagner d’un engagement de responsabilité à signer par chaque utilisateur.