UAG Mobile Portal: vNext sécurise l’accès UAG pour les terminaux mobiles

Je voulais profiter de mes tests actuels autour du SP1 pour Forefront UAG 2010 pour mettre sous projecteur une solution logicielle originale créée par vNext, une jeune entreprise Française (et oui c’est possible 😉 ) basée en région parisienne.

La société vNext est une jeune société innovante proposant un positionnement bicéphale créateur de logiciels et société de services (principalement dans la sphère Microsoft) – dans le cadre de leur activité de création de logiciel, les membres de cette société ont imaginé une solution permettant de sécuriser l’accès à UAG depuis les terminaux mobiles. Globalement l’idée est d’utiliser les UUIDs des terminaux pour filtrer l’accès à UAG et définir des règles de sécurisation ou de remédiation.

Plus d’informations sur le site web de la société et au travers de cette vidéo:

metaconomy: reporting pour FIM2010 en mode SaaS

Un nouvel éditeur, nommé metaconomy vient de sortir une solution de reporting pour FIM 2010. Ce système basé sur une technologie Azure permet d’utiliser un module externalisé pour générer des rapports dédiés à l’utilisation de FIM 2010. je n’ai pas testé par moi-même le service, mais l’idée est intéressante.

Reste à savoir si cette plate-forme ne va pas être quelque peu obsolète lorsque le Service Pack 1 pour FIM 2010 va sortir. En effet, celui-ci va inclure des améliorations significatives en ce qui concerne la gestion des logs et du reporting.

Je suis très intéressé par des retours des personnes qui testeront la solution de metaconomy. vous pouvez également utiliser les commentaires de ce blog.

Vidéo: Les basiques de l’accès fédéré à Office365 via ADFS et Microsoft Federation Gateway

Une des grandes nouveautés d’Office365 par rapport à BPOS réside dans le support de la fédération, via ADFS, pour accéder aux ressources Office365 hébergées par Microsoft. Cette technique permet globalement aux utilisateurs finaux de bénéficier du Single Sign On (SSO) et aux DSI de ne pas avoir à gérer les règles de gestion des identités des utilisateurs au niveau du cloud de Microsoft.

Cette vidéo présente en des termes extrêmement simples les différentes pièces techniques de la fédération et vous donne les clés pour un premier niveau de compréhension technologique:

How ADFS and the Microsoft Federation Gateway work together up in the Office 365 Cloud. from Steve Plank on Vimeo.

OCG propose un livre blanc pour évaluer le ROI d’un projet IAM

whitepaper Si vous ne connaissez pas encore Oxford Computer Group (OCG), OCG est une société anglaise spécialisée dans les problématiques IAM en général, et sur MIIS-ILM-FIM en particulier. En effet, OCG est le partenaire privilégié de Microsoft UK pour les projets FIM 2010 outre-manche. OCG possède une très forte expertise des sujets IAM, et met en ligne un livre blanc permettant d’évaluer les retours sur investissements des projets IAM. Il ne s’agit pas là d’avoir une matrice Excel complète mais plutôt de lister quels sont les objectifs à courts et moyens termes, et surtout évaluer quels peuvent être les bénéfices pour le business à mettre en œuvre ce type de projet. Même si ce livre blanc est en anglais, il présente une approche plutôt pragmatique de la problématique IAM. A télécharger [ ICI ]

Mot de passe: le maillon faible de la sécurité en ligne…

Multi_password_recoveryUne étude très ressente réalisée par CheckPoint-ZoneAlarm révèle des problèmes très inquiétants en ce qui concerne l’utilisation des mots de passe pour sécuriser l’accès aux applications en ligne.

Cette étude révèle par exemple que 79% des utilisateurs utilisent un mot de passe dit “faible” pour accéder aux applications hébergées (non, je n’ai pas dit le mot Cloud, je fais de la résistance…)  ou encore que 8% des utilisateurs utilisent des mots de passe qui proviennent directement des listes de références en ligne proposant une liste de mots de passe conseillés !

La lecture de cette étude est obligatoire  😉

Bref, “ça fait flipper” – Il y a 6 ans, Bill Gates nous promettait un monde sans mots de passe , nous en sommes loin, car les scénarios utilisateurs et business liés à l’utilisation de la SmartCard ne correspondent pas à la réalité du terrain. Et pourtant – Le mot de passe est dangereux, très dangereux.

Quand cela devient le moyen unique de gérer l’authentification des applications en ligne (non, non et non, je ne dirais pas Cloud), cela devient une espèce de suicide numérique collectif. Au delà de cette situation, ce qui est le plus troublant est que cela n’inquiète pas grand monde… jusqu’au jour où il y a un problème, bien sur.

L’industrie de la sécurité informatique ainsi que les grands acteurs du secteur, Microsoft, Oracle, IBM, Gemalto, HID, etc… doivent nous apporter une solution viable à l’utilisation des facteurs forts d’authentification. Les scénarios de recouvrement, de substitution et d’utilisation de la biométrie doivent permettre d’avancer dans cette voie, encore faut-il qu’il existe une véritable volonté de trouver cette solution universelle et intégrée. Microsoft et les acteurs Linux majeurs doivent notamment intégrer “By Design” des fonctions de recouvrements ne nécessitant pas l’installation des framework tiers pour gérer ces notions: cela est impératif.

Pour égailler votre début d’année, je vous conseille de tester le logiciel MPR ( Multi Password Recovery) afin de “vérifier” la fragilité ou non de vos propre mots de passe. Cela fait rire, ou pleurer, au choix.

Un nouveau portail de référence sur l’univers de la biométrie: www.planetbiometrics.com

planet_biometricsUn nouveau portail (site en anglais) vient de se mettre en place et propose un contenu de référence sur le thème de la biométrie. Malgré les nombreux sponsors, les thèmes sont abordés avec beaucoup d’indépendance et de profondeur. L’approche à la fois technique et business permet de découvrir progressivement l’univers quelques fois abscons de la biométrie. Les WhitePaper sont particulièrement bien réussis. Bonne lecture sur www.planetbiometrics.com

ASSA ABLOY réalise l’acquisition d’ActiveIdentity

ActiveIdentity_logo ASSA ABLOY, maison mère de HID Global renforce sa position dans le domaine de la gestion des identités et des accès en réalisant l’acquisition de la société ActiveIdentity. ActiveIdentity propose des solutions dans les domaines suivants:

# Strong Authentication
Prominently featured in several Gartner research reports (e.g., “MarketScope for Enterprise Broad-Portfolio Authentication Vendors,” published in April 2009; and “Market Overview: Authentication,” published in September 2008), the ActivIdentity Strong Authentication suite of products enables organizations to securely address a variety of end-user access control scenarios, ranging from remote access via virtual private networks (VPN) and secure access to Web-based applications, to secure access to data and applications from the local network.

# Credential Management
ActivIdentity Credential Management products enable organizations to securely deploy and manage smart cards and USB tokens containing a variety of credentials, including public key infrastructure (PKI) certificates, one-time passwords, static passwords, biometrics, demographic data, and virtually any other application.

# Security Clients
ActivIdentity Security Clients software extends ActivIdentity strong authentication and credential management offerings by either enabling the use of smart cards and smart USB tokens for a wide variety of desktop, network security, and productivity applications or enhancing the productivity of employees with easy single sign-on capabilities to network resources.

# Authentication Devices
Rounding out the ActivIdentity product portfolio, ActivIdentity Authentication Devices provide organizations with a one-stop shop experience. Organizations can choose from a broad range of authentication devices (e.g., smart USB tokens, one-time-password tokens in a variety of form factors, soft tokens, display cards, and smart cards) and accessories (e.g., smart card readers and hardware security modules) to complement their strong authentication and credential management solution.

Avec un tel panel de solutions, ASSA ABLOY / HID Global se positionne comme un des leaders dans le domaine de la gestion des identités et des accès, positionnement déjà amorcé avec la sortie de l’offre “HID On The Desktop”  et le développement des offres Crescendo et Fargo.

Couplage de l’accès physique et logique – l’exemple de SOCOMEC

crescendo_card_2La société HID propose des solutions permettant le couplage de l’accès physique ou logique grâce à  des cartes hybrides comportant des technologies de connexion et de transmission complémentaires.

Globalement une antenne permettant la technologie RFID (Iclass, Prox ou Mifare) est au cœur de la carte et permet de communiquer avec les déclencheurs reliés aux serrures de porte gérantes l’accès aux bâtiments ou aux zones contrôlées.

La même antenne permettra de communiquer avec un lecteur RFID connecté en USB au poste de travail. Le logiciel maison, NAVIGO, permettra à l’utilisateur d’ouvrir une session en utilisant la même carte que pour l’accès physique, uniquement en posant la carte à proximité du lecteur RFID.

Enfin, si l’organisation a des besoins liés à l’utilisation de certificats stockés émis depuis une PKI, une puce permet de transformer la carte en SmartCard avec la capacité de fournir des services de type SmartCard logon, S/MIME, Encryption de disque, etc.

Une vidéo didactique explique comment la société SOCOMEC a mis en place ce type de solution:

Safran serait sur le point d’acquerir L1-identity.

Safran_logo La Groupe Safran présent dans les domaines de la sécurité, de la défense et de l’aéronautique serait sur le point d’acquérir la société américaine L1-identity. L1-identity produit principalement des solutions de biométrie complexes ainsi que des solutions d’accès sécurisé pour les entreprises et organisations gouvernementales. Safran souhaite très certainement renforcer son offre Morfo de gestion des empreintes digitales. L’offre Safran étant plutôt positionnée dans le domaine des sociétés privées (Aéroports notamment) , l’expérience produit de L1-identity dans le monde gouvernemental peut être un avantage concurrentiel majeur dans la course à la consolidation qui contamine les grands fournisseurs de solutions des gestion d’accès physiques et logiques cette année. Reste à savoir si le gouvernement américain, gros client de L1-identity, verra d’un œil bienveillant cette acquisition potentielle… A suivre…

IAM dans le nuage ? non, “dans ton cloud !”

ca_menerveLe cloud ? je n’en peux plus… je n’arrive même plus à supporter le mot… ca me donne des boutons… Que tous les fournisseurs IT “classiques” répondent aux sirènes du charabia marketing à la mode, pourquoi pas… mais que des fournisseurs de solutions IAM reconnus commencent eux aussi à nous bourrer le mou avec du cloud à tous les étages, et bien cela me rend fou, tout simplement.

A la vision de cet article, et là rien contre ITRmanager qui a plutôt une ligne éditoriale intéressante, je me dis que le monde IT devient fou. Et le pire dans tous cela, c’est que les DSI encouragent la mascarade afin de reporter les problèmes qu’ils n’ont pas le courage d’affronter vers des “solution externes” ; on ne sous-traite pas un service, on sous-traite “la responsabilité”, et dans le cas du cloud, l’irresponsabilité.

Externaliser un service ? pourquoi pas. Sous-traiter des compétences qui ne sont pas le cœur de métier de l’entreprise ? bien sur. Mais ne faisons pas croire que tout va être gérer “in the cloud”, et surtout pas la gestion des identités et des accès ! Pendant toutes les conversations que j’ai pu avoir avec des fournisseurs de solutions dans le nuage, aucun problème pour évoquer avec eux les fonctions, la roadmap, voir la stratégie, mais surtout, ne pas parler sécurité, ne pas parler d’authentification, ne pas parler de SSO, ne pas parler de mots de passe… De plus, la lecture du “contrat de service” signé avec un fournisseur du nuage laisse souvent pantois… il ne s’engage sur RIEN. Et je ne parle pas ici de pseudo SLA, qui sont généralement impossible à mesurer et à vérifier pour le client…

Bref, réfléchissons de façon intelligente à la manière de fournir un service centralisé et sécurisé aux clients, en permettant d’être certain de qui fait quoi au sein du service considéré, et arrêtons de promettre monts et merveilles, ça fera moins de PowerPoint, moins de claquettes, moins de flute… mais un peu plus de professionnalisme, et l’IT en a cruellement besoin.

Allez, c’est un copain qui gère ce service: http://danstoncloud.com/ – vous voyez, c’est contagieux.