La technologie BlockChain est-elle le futur standard de la gestion des identités ?

Depuis quelques mois, je suis de façon très proche l’évolution de la technologie BlockChain et les implications de cette technologie sur la gestion des identités. Il est clair que de manière structurelle, cette technologie est parfaite pour gérer des identités. En effet, cela permet un système à la fois centralisé et décentralisé, un contrôle fiable des identités et une certitude sur la fiabilité des données (au sens où ces données ne sont pas falsifiables) – il reste néanmoins à faire des progrès en terme de performance, la gestion des identités devant s’appuyer sur des modifications visibles « en presque temps réel ».

Il est donc important dès maintenant pour les spécialistes de la gestion des identités de se pencher sur ce sujet. Dans cet article, je vais donc mettre quelques liens et pistes pour que vous puissiez explorer vous-même ce nouveau paradigme.

D’abord, un super site pour « tester » la technologie BlockChain et surtout comprendre son fonctionnement de manière visuelle : https://blockchaindemo.io/

Un article expliquant le concept de BaaS (Blockchain as a Service), vous remarquerez que tous les grands noms sont sur le pont et proposent un service BaaS: https://www.lebigdata.fr/baas-blockchain-as-a-service-definition

Ensuite deux articles de vulgarisation permettant de comprendre en quoi la technologie BlockChain est parfaitement adaptée à la gestion des identités : https://www.devteam.space/blog/how-to-use-blockchain-technology-for-identity/ & https://www.forbes.com/sites/forbestechcouncil/2018/07/27/how-blockchain-can-solve-identity-management-problems/

Le site web de la DIF, soit la Decentralized Identity Foundation, organisation visant à définir les nouveaux standards en termes de gestion des identités, en adoptant un modèle basé sur la BlockChain (même si cela n’est pas clairement exprimé sur leur site) : https://identity.foundation/

De plus, Microsoft travaille sur le sujet de façon très très forte ! Tout d’abord un article sur Github présentant le projet Bletchley, qui est le projet de support de la technologie Blockchain made in Microsoft: https://github.com/Azure/azure-blockchain-projects/blob/master/bletchley/bletchley-whitepaper.md

Ensuite un article expliquant que Microsoft travaille sur une gestion des identités basée sur la BlockChain : https://thenextweb.com/hardfork/2018/02/12/microsoft-digital-identity-blockchain/

Un autre article présentant le Framework « Coco Framework »: https://ulvbjornsson.com/2018/02/05/microsofts-coco-framework-enhancing-cybersecurity-on-the-blockchain/ – extrêmement intéressant, car visant à résoudre les problèmes de la technologie Blockchain appliquée à la gestion des identités (comme la performance par exemple).

Puis un article nous indiquant que Microsoft vient de délivrer un kit de développement Cloud pour développer des technologies BlockChain : https://thenextweb.com/hardfork/2018/11/15/microsoft-blockchain-cloud-azure/

Un hasard ? Je ne crois pas… Microsoft ne fait pas les choses au hasard…

Pour finir, il reste à noter un ensemble foisonnant d’initiatives plus ou moins variées, proposant des « frameworks » permettant l’usage de la BlockChain dans le cadre de la gestion des identités – par exemple [ LifeID ] dont la promesse est de proposer un framework Open Source intégrant BlockChain + Identity. La plupart de ces solutions n’ont pas de business model vraiment avéré et la liste des futurs survivants dans ce nouveau monde reste complexe à réaliser…

Une URL à conserver ! La liste des services Azure qui supportent une authentification sur Azure Active Directory

A l’heure de la promesse du 100% cloud (bon, je sais, c’est pas encore pour demain…) beaucoup de client espèrent s’affranchir de leur annuaire local, Active Directory dans 99% des cas.

La méthode remplacement semble être Azure Active Directory, voir Azure Active Directory + Azure Active Directory Domain Services. C’est un début. On s’attend naturellement à ce que l’ensemble des services Azure soient capables de consommer ce type de source d’identification / authentification. Ce n’est pas le cas…

Microsoft propose sur ce lien, mis à jour régulièrement: https://docs.microsoft.com/en-us/azure/active-directory/managed-service-identity/services-support-msi#azure-services-that-support-managed-service-identity la liste des services Azure compatibles avec une authentification sur Azure Active Directory, un lien à conserver dans sa besace !

Pour finir, si les problématique de remplacement d’Active Directory par un service DIRaaS vous intéressent, je vous conseille de lire cet article: https://jumpcloud.com/solutions/replace-active-directory/

bonne lecture.

Sécurité Active Directory, les 10 questions à se poser immédiatement : Toutes les organisations pensent avoir un très bon niveau de sécurité de leur Active Directory…avant…de discuter avec moi !

 Chaque semaine, je discute avec des dizaines d’organisations, des très grandes, des moyennes, des gigantesques… c’est assez varié. Le point commun de l’ensemble de ces organisations, c’est leur certitude d’avoir un environnement Active Directory extrêmement sécurisé, c’est assez amusant.

J’insiste, mes contacts ne veulent pas « m’abuser » ou me « faire croire »… ils sont vraiment persuadés de maintenir un environnement Active Directory sécurisé… Quand je leur demande de fournir une note entre 1 et 10 sur l’estimation du niveau de sécurité de leur Active Directory, la plupart des réponses sont positionnées entre 7 et 9 – ils sont malheureusement très loin de la réalité…plus précisément de leur réalité…

Evidemment, le nouveau paradigme IT fait que la sécurité périmétrique disparait petit à petit au profit de la sécurité de la données et de la sécurité de l’identité – Même à l’heure du Cloud public, l’Active Directory se trouve au centre de cette stratégie Data+Identity – mais – ce qui est paradoxal, c’est que la plupart des designs et infrastructures Active Directory ont été implémentés il y a une dizaine d’années, à une époque où la sécurité périmétrique été reine et le Cloud public s’appelait encore ASP… Il y a donc beaucoup de chose à revoir, quitte à bousculer les certitudes…

Il est au final assez simple de mesurer le niveau de sécurité d’un environnement Active Directory, j’utilise généralement 10 questions assez simples me permettant d’évaluer le niveau de maturité du client sur la partie Active Directory :

Lire la suite

Microsoft Advanced Threat Analytics (ATA) : La cybersécurité made-in Microsoft pour protéger Active Directory [1/5]

Je commence ici une série d’articles sur Microsoft ATA. Nous allons découvrir ensemble rapidement quels sont les objectifs de Microsoft ATA, décrire l’installation et le paramétrage de base. Nous verrons ensuite comment paramétrer certaines fonctions plus avancées puis nous réaliserons des attaques de tests pour vérifier le bon fonctionnement.

Présentation de Microsoft Advanced Threat Analytics (ATA)

Microsoft Advanced Threat Analytics (ATA) est une plateforme locale qui aide à protéger votre entreprise contre plusieurs types d’attaques informatiques ciblées et de menaces internes avancées.

Microsoft ATA fournit des fonctionnalités de détection pour les différentes phases d’une attaque avancée : reconnaissance, compromission des informations d’authentification, mouvement latéral, élévation des privilèges, contrôle du domaine, etc. Les attaques avancées et les menaces internes peuvent ainsi être détectées avant de pouvoir causer des dommages dans l’organisation. Chaque type de détection correspond à un ensemble d’activités suspectes liées à la phase en question, chacune de ces activités correspondant elle-même à différents types d’attaques possibles. Les phases de la « kill-chain » où ATA fournit une détection sont mises en surbrillance dans l’image suivante :

Lire la suite

Fournir un véritable service d’annuaire pour les organisations utilisant Google G Suite

La solution de Google, Google G-Suite est une solution très utilisée aux USA, notamment pour son coût extrêmement faible à destination des petites organisations par rapport à la concurrence. Ensuite, c’est une affaire de goût et d’habitude, personnellement, j’ai toujours eu des « difficultés » avec les interfaces proposées par Google, mais c’est un autre débat !

Un des problèmes majeurs que rencontrent les clients Google G-Suite provient du manque de fonctionnalités autour de la gestion des identités, en effet, Google ne propose pas un véritable service d’annuaire en mode SaaS, on sent bien que les fonctions sont uniquement là pour supporter l’usage de G-Suite et point. Il est donc très compliqué pour une organisation de se passer d’un Active Directory local, et généralement les organisations synchronisent leurs informations provenant de l’annuaire Active Directory vers le Google Directory via les outils Google Cloud Directory Sync et G Suite Password Sync. Cette approche ne convient pas aux organisations désirant justement éliminer l’usage d’Active Directory et s’affranchir des frais de gestion et d’administration des serveurs locaux.

Spécialement conçu pour les organisation ayant besoin de beaucoup d’agilité au niveau de la gestion de leur annuaire, JumpCloud propose via un partenariat avec Google de fournir un véritable service d’annuaire pour les client Google G-Suite et propose donc la brique manquante aux clients Google. Lire la suite

Active Directory Replication Status Tool: Back to the Future !

A l’heure d’AWS, d’Azure AD, de l’IDaaS & autre joyeuseté « Cloudifiante », il est totalement incongru de voir à quel point l’IT interne des entreprises est pauvrement géré, c’est même terrifiant… Surtout quand nous parlons d’Active Directory !

Je viens de finir une mission chez un grand compte (bien sur je garderais pour moi le nom du coupable par charité intellectuelle et conscience professionnelle…) sur la gouvernance et la sécurisation de leur annuaire Active Directory: et oui ! je fais encore de l’Active Directory ! J’en fais même encore beaucoup, mais disons que je sélectionne les missions.

Le pauvre responsable Active Directory n’en peut plus, je dois dire qu’il a fort à faire… vous vous voyez jongler avec 3 parpaings en équilibre sur un château de cartes avec un bandeau sur les yeux ? vous voyez l’idée ? c’est son pain quotidien… Je ne suis pas sur que la direction générale est bien conscience du danger, mais bon c’est un autre problème, moi perso, j’ai présenté mes recommandations au CTO, il en fera bien ce qu’il veut.

Pendant cette mission, il a fallut comprendre pourquoi la réplication AD ne fonctionnait pas, ou peu… Alors oui, on peut faire du « repadmin /showrepl * /csv > replsd.csv » à tour de bras et s’amuser avec Excel pour filtrer tout cela; oui, il y a plein de moyens de superviser la chose; oui. Mais le pauvre responsable Active Directory voulait juste un tool tout simple qui le sauve de la bankrupt les soirs de pleine lune…

C’est alors que je me suis rappelé d’un tool Microsoft, et il se trouve que ce software a été mis à jour il y a quelques mois: Active Directory Replication Status Tool (ADREPLSTATUS) – téléchargeable [ ICI ]

Il s’agit d’un outil vraiment sympa, avec une interface graphique remaniée qui permet d’analyser de façon très précise les réplications AD – les options de filtre sont vraiment très nombreuses et les résultats exportables dans un fichier CSV (pour les fans d’Excel 😉

La barre de menu est très claire:

Les options permettent de lancer un scan ciblé:

et de visualiser très simplement les résultats afin de permettre un diagnostic:

Bref, un outil vraiment sympa, mis à jour pour Windows Server 2016, et bien sur, plus le modèle de réplication est complexe, plus il est utile !

Bons tests de votre côté !

Retrouvez mes présentations lors de l’évènement aOS Grenoble !

Le 22 mai 2017, de nombreux experts IT se sont réunis sur Grenoble afin de présenter différents concepts autour des nouvelles technologies et des tendances informatiques actuelles. Cet évènement était organisé par la communauté aOS. Les sessions couvraient des sujets aussi variés que le développement dans Azure, la téléphonie sur IP ou les infrastructures Cloud. Pour ma part, j’ai réalisé une première présentation sur la Digitalisation des environnements de travail (Workplace Digitalization) et une deuxième sur la gestion des identités dans le cloud.

Vous pouvez retrouvez ces deux présentations sur ce lien docs.com:

 

Azure Information Protection: ce n’est pas encore très clair pour tout le monde !

En début de semaine, j’ai longuement échangé avec un client à propos des solution de chiffrement de documents disponibles sur le marché. Il m’est apparu que les choses étaient très confuses dans son esprit (désolé Olivier 😉 ).

Il y a beaucoup de confusion entre les différentes possibilités offertes par les multiples fournisseurs qui se sont positionnés sur ce marché. Bien évidemment, l’utilisation de plus en plus massive des solutions Cloud, que ce soit au niveau de l’email, des intranets ou du stockage de documents rend cette approche quasi obligatoire, car la sécurité périmétrique ne sert plus à rien en terme de protection de la donnée ou de protection de la propriété intellectuelle.

Dans l’ancien monde, le monde « on-premises », Microsoft fournissait déjà une solution nommée « Active Directory RMS », permettant de protéger (chiffrer) les documents Office et les emails Outlook produits par l’entreprise. Cette solution était assez efficace techniquement mais rendait les échanges inter-entreprises (avec un partenaire commercial par exemple) assez complexes à réaliser.

L’arrivée de Azure Information Protection (ex Azure RMS) a ouvert de nouveaux horizons en termes de protection des données et de l’information, mais il s’avère que nombre de clients ne comprennent pas bien certains aspects. L’objectif de ce post est de rapidement fournir quelques pistes afin de mieux comprendre les aspects AIP côté client (=device).

Petit rappel, la fonction AIP peut s’acquérir via les plans EMS 3 & 5 de Microsoft:

Le plan EMS E3 propose globalement (je fais simple…) les fonctions qui étaient anciennement portées par Azure RMS, à savoir la technologie de chiffrement elle-même – le plan EMS E5 rajoute globalement (je fais simple à nouveau…) les fonctions de classification – Ici, le challenge de Microsoft sera de lier au maximum ces deux technologies, permettant à l’utilisateur de choisir une classification, qui protégera automatiquement (en fonction de cette classification) les documents ou emails.

Rappelons également que la technologies AIP/RMS permet de protéger du contenu produit dans des technologies Microsoft (docx, pptx, email, etc.) mais aussi de protéger des documents qui ne sont pas produits avec des outils Microsoft (txt, PDF ou Autocad par exemple). Ce lien très utile décrit les différents formats pris en compte par AIP, que ce soit au niveau du module de protection ou au niveau du module de classification.

Lorsque d’un destinataire va recevoir un contenu protégé par AIP, il devra utiliser un « client » AIP/RMS lui permettant de faire le lien entre une authentification (=son identité) et l’application des règles d’accès au contenu décidées par le créateur du contenu (accès en lecture, en écriture, possibilité de copier/coller ou pas, etc.).

La technologie AIP/RMS nécessite donc un « client » côté device afin de déchiffrer un contenu. A ce niveau il y a globalement deux cas possibles pour déchiffrer et accéder au contenu selon les règles d’accès décidées par l’auteur du contenu:

Ce lien décrit les différentes possibilités en croisant les différents formats de fichiers avec la plateforme du device (=son OS) – ici par exemple, les différents clients AIP/RMS utilisables sur sur plateforme Windows en fonction des formats de fichiers:

De plus, vous retrouverez sur ce lien, la possibilité de télécharger Microsoft Azure Information Protection Viewer ( AZInfoProtectionViewer.exe ) pour Windows qui permettra a un client de consommer (=ouvrir) un contenu protégé par AIP/RMS même si il ne possède pas lui même une application intégrant un client AIP/RMS natif:

En conclusion, il faut bien assimiler plusieurs éléments:

  • AIP permet de protéger du contenu « Microsoft » mais aussi des documents hors format Microsoft (PDF, txt, etc.)
  • AIP fonctionne sur Windows, Mac, Android & iOS (avec quelque différences subtiles entre ces différents OS) – à noter aucun fournisseur tiers ne s’est lancé dans une aventure AIP sur Blackberry, mais il exite des possibilité pour supporter des clients AD RMS sur Blackberry
  • AIP intègre des fonctions de chiffrement & classification mais aussi d’autres fonctions extrêmement intéressantes comme le tracking des documents protégés par exemple
  • AIP permet d’échanger assez simplement du contenu protégé avec des personnes en dehors de l’organisation (au contraire de AD RMS)
  • La personne qui consomme le contenu, c’est à dire la personne qui accède au document/email protégé n’a pas besoin de licence AIP ni besoin d’avoir une application native AIP/RMS, elle peut télécharger le client AIP Viewer pour accéder au contenu protégé

Enfin, cette technologie évolue très très rapidement côté Microsoft, en effet, il s’agit d’une technologie clé pour permettre l’adoption des solutions Cloud tout en protégeant l’accès à l’information de l’organisation.

Si vous avez des questions ou des besoins sur AIP, n’hésitez pas à me contacter. J’ai créé dernièrement un nouveau Workshop d’une demi-journée ou une journée dédié à AIP et qui permet de comprendre comment fonctionne cette technologie et les différentes possibilités offertes pour une organisation.

Annonce de la fusion des portails d’administration pour les fonctions AIP (Azure RMS & Labeling)

Une annonce majeure de la part de Microsoft, attendue depuis longtemps !

Microsoft va proposer une interface de gestion commune des fonctions de protections (ex Azure RMS) et des fonctions de Labeling (ex Secure Island) ainsi qu’un client unifié pour les postes et périphériques mobiles.

Bien sur, cette nouvelle interface de gestion sera disponible depuis la version V2 du portail d’administration Azure: https://portal.azure.com

La stratégie est maintenant de considérer la protection comme une option de la fonction de classification. Je milite pour cette approche depuis longtemps, car c’est la seule possible d’un point de vue structurel & organisationnel – il faut comprendre que la protection RMS n’a pas de sens sans la fonction de classification, car l’utilisateur créateur de contenu est le seul chaînon capable de « définir » la protection via le choix d’une classification (classification au sens large du terme).

Les fonctions de classification et de protection des données non structurées sont absolument essentielles dans le cadre de l’adoption des technologies de Cloud Public. Il s’agit donc de se préparer au déploiement de ce type de fonction, c’est absolument essentiel.

Plus d’information sur le blog EMS: https://blogs.technet.microsoft.com/enterprisemobility/2017/04/26/azure-information-protection-unified-administration-now-in-preview/

Et sur ce lien: https://aka.ms/DanPlastina

 

Le National Institute of Standards and Technology (NIST) met à jour ses recommandations sur « Digital Identity Guidelines »

Le National Institute of Standards and Technology (NIST) est un institut américain délivrant régulièrement des documents de spécifications et des recommandations à l’attention de l’ensemble des autres organisations gouvernementales américaines. Même si les documents publiés ne sont pas exclusivement orientés sur les aspects sécurité (comme par l’exemple l’ANSSI en France) de nombreuses recommandations traitent de ces sujets, et de nombreux documents sont publiés pour aider les organismes américains à l’implémentation de solutions fiables et standardisées.

Le NIST a récemment publié un brouillon (Draft) de trois documents importants traitant de Digital Identity:

Document SP 800-63A: Digital Identity Guidelines – Enrollment and Identity Proofing Requirements

 

 

Document SP 800-63B: Digital Identity Guidelines – Authentication and Lifecycle Management

 

 

Document SP 800-63C: Digital Identity Guidelines – Federation and Assertions

 

 

Ces trois documents, même à l’état de brouillon, sont une véritable mine d’or (et je pèse mes mots…) pour toute personne travaillant dans la sécurité informatique et dans le domaine de la gestion des identités. Le premier document donne par exemple les grandes lignes en ce qui concerne la gestion des identités de façon globale, le deuxième réalise un focus sur les méthodologies d’authentification et fournit des conseils sur les règles de sécurité liées aux mots de passe alors que le troisième traite particulièrement des technologies de Fédération d’Identité.

Ce que j’apprécie particulièrement dans ces documents, c’est qu’ils ne sont pas uniquement un recueil bête et méchant de bonnes pratiques mais liste de façon exhaustives les technologies associées et les standards du moment – par exemple le document traitant de la fédération d’identité ne se contente pas de recenser les bonnes pratiques à suivre autour de la fédération mais liste l’intégralité des termes à connaître et à utiliser – le grand intérêt est que du coup on peut choisir de considérer le document du NIST comme document de référence sur les termes à employer, et dans un monde aussi confus que la Fédération d’Identité par exemple, cela ne fait pas de mal de s’appuyer sur un lexique de référence…

Bref, c’est un peu long, mais c’est à lire absolument…