1/ Utilisation malveillante des suivis de connexions - Eric Leblond
Pour pallier à la défection de Werner Koch qui devait effectuer une
présentation de Steed, le futur (ou le remplaçant) de PGP, Eric Leblond
redonne la conférence donnée au SSTIC 2012.
Ayant déjà été couvert par des live blogging du SSTIC, je repose
la clavier pour celle-ci.
La conférence est très intéressante, mais le projet STEED m'intéresse énormément. Dommage que Werner Koch n'ait pu se libérer.
2/ Browser ID - Jean-Yves Perrier
Cette conférence va traiter de Persona ou BrowserId et est présentée par un développeur mozilla. Mozilla n'est pas que Firefox, et est une fondation qui oeuvre à un web ouvert.
Il est de plus en plus obligatoire de posséder un login/pass pour pouvoir se connecter sur des sites webs. Ceci pose des problèmes de sécurité et quelques problématiques pratiques, browserId se propose de répondre à ces deux points.
Les pirates savent que les utilisateurs réemploient toujours le même mot de passe car il est difficile de mémoriser au delà de 4-5 mots de passes. Les campagnes de sensibilisation existent, mais ces méthodes continuent de prospérer.
Des modes centralisés existent, mais restent cantonnées à un navigateur alors qu'on surfe aujourd'hui depuis des navigateurs et devices différents (android, puis tablet, puis PC fixe, etc..). Persona essaye aussi de répondre à ce problème.
Facebook propose un système centralisé. De plus en plus de sites acceptent le login facebook par exemple. Toutefois cela permet à des sociétés de profiler très simplement les internautes. Persona essaye donc de proposer un login unique sans possibilité de traçabilité. OpenID répond à cette problématique de traçabilité, toutefois l'usage ne se répand pas en raison de son absence d'ergonomie, l'id ressemble pour l'utilisateur à un nom de domaine et pas vraiment à une identité. Persona va encore répondre à ce point.
Persona va donc essayer d'être bien évidemment sécurisé, simple, SSO, et lié à une identité. Mais la gestion des identités est également un procédé compliqué à mettre en oeuvre pour les sites webs. Dans toutes les bonnes pratiques il est indiqué que les mdp doivent être salés puis hachés, mais tous les sites ne le font pas. Et les sites doivent également protéger les utilisateurs contre eux mêmes (mdp trivial) ce qui est difficile à gérer techniquement. Un développeur de site web souhaite donc lui aussi un système simple sûr, respectant la vie privée, et compatible de partout.
La solution s'appelle Persona et se base sur le protocole BrowserID. BrowserID authentifie un utilisateur de manière sure et ne fait fuiter aucune information à des tiers. L'identité primaire se fait sur l'adresse e-mail en raison de la personnification de celle-ci, les utilisateurs savent généralement que l'adresse les représente. Les e-mails ont aussi l'avantage du pseudonymat :)
Trois acteurs sont au centre du système. Tout d'abord, l'utilisateur, puis le "relying party" (le site web sur lequel on se connecte par exemple), puis le provider qui va authentifier/identifier l'adresse mail. Tout d'abord, l'adresse mail doit avoir été enregistrée avec le provider d'identité (cette étape n'est à faire qu'une fois). Ensuite, une mécanique crypto se met en place pour identifier temporairement l'utilisateur sur le site.
Pour les développeurs, une effort de simplicité est fait puisqu'il faut ajouter une ligne d'include dans le code, un bouton (juste une image) et une fonction qui réagisse au clic sur le bouton. Côté code client, cela représente moins d'une quinzaine de ligne en jquery par exemple. Côté serveur il suffit d'une dizaine de lignes. L'avantage c'est surtout qu'en compromission du site web, aucun mot de passe ne peut être divulgué.
Pour la roadmap une beta va bientôt sortir. Tous les produits mozilla vont se mettre progressivement à l'utiliser (mozilla developper, bugzilla, etc..).La prochaine étape consiste à décentraliser le provider qui est browserid.org, afin d'autoriser n'importe quel serveur de mail à devenir provider. Toutefois un provider d'email ne pourra identifier que les mails de son domaine, seul browserid peut identifier n'importe quel domaine.
3/ Elections HELIOS - Stéphane Glondu
Je ne suivrai pas cette conférence, mettant les dernières modifications sur mes slides.
4/ L'accès à internet est un sport de combat - Kevin DENIS
Aucun commentaire:
Enregistrer un commentaire