SlideShare ist ein Scribd-Unternehmen logo

Identification sur Internet - Login social - Thierry Brisset

ISACA Chapitre de Québec
ISACA Chapitre de Québec

Analyse d'un cas mettant en évidence les particularités d'Internet dans la gestion de l'identité

Technologie
1 von 20
Downloaden Sie, um offline zu lesen
IDENTIFICATION SUR INTERNET – LOGIN SOCIAL Thierry Brisset 29 septembre 2015 SYMPOSIUM GIA
Objectif 2 Sites Web Culture Divertissement Sports et loisirs … Univers social Univers professionnel Biens et services • Analyser un cas mettant en évidence les particularités d’Internet dans la gestion de l’identité • Identités multiples, id/mdp, réseaux sociaux, profilage, vie privée/professionnelle,… Réseau sociaux Finances personnelles Taxes – impôts …
Agenda • Le contexte du login social • Les risques • Les mesures de contrôle 3
Forme d’authentification utilisant les informations de connexion existantes d'un réseau social pour connecter l'utilisateur à un site web Internet Définition du login social 4 Source : https://en.wikipedia.org/wiki/Social_login Sites Web marchand Fournisseur d’identité 1 - Je veux … 2 – Qui êtes-vous ? 3– authentification 4 – Je suis … et je veux … Lien de confiance
5
Les motivations La multiplication des identifiants • Les utilisateurs ont en moyenne 26 identifiants sur Internet pour seulement 5 mots de passe Les mots de passe sont trop vulnérables • 90 % des mots de passe Internet peuvent être craqués • « 123456 » ou « password » sont encore les plus populaires ! 6 Source : http://www2.deloitte.com/content/dam/Deloitte/global/Documents/Technology-Media-Telecommunications/dttl_TMT_Predictions2013_Password.pdf
Les motivations Processus d’enregistrement sur les sites Web est perçu comme un obstacle Le login social représente un potentiel d’affaires pour les sites marchand • Le réseau social est un vecteur d’influence positive • L’information accessible est à jour (permet un meilleur ciblage de la clientèle) 7 Source : http://sherpablog.marketingsherpa.com/social-networking-evangelism-community/social-login-registration/ 25 % compléteront l’enregistrement 54 % ne retourneront pas sur le site 17 % vont sur un autre site 4 % quittent le site
Les principaux acteurs 8 Source : http://janrain.com/blog/social-login-trends-q3-2014/ . D’ici 2018, 40% des identités électroniques qui interagiront avec les entreprises viendront d’un fournisseur d’identité externe Source : Future Proofing Consumer Identity (Gartner)
Comment ça fonctionne ? 9 Courriel : ________ Mot de passe: _____ Fournisseurs d’identité 2 Services en ligne 1. L’utilisateur désire consommer un des services offerts par le site Web qui nécessite d’avoir un compte local 2. L’utilisateur choisit d’utiliser son identification sociale 3. Le site Web utilise l’adresse courriel pour associer la personne au compte local 1. Lors du premier login : L’utilisateur autorise le transfert des informations de son profil au site Web 4. L’utilisateur profite d’une expérience de navigation personnalisée Autorisation d’accès au profil 1 Courriel, nom, prénom,… Premier login Accès au compte local (crée) 3 4 Démonstration >>
Quels sont les risques? 10
Risque #1 – Identification non validée Vulnérabilités • Fournisseur d’identité : identifiant (courriel) non vérifié • Site Web : méthode d’appariement avec le compte local Impacts • Une tierce personne peut accéder au compte local d’un site Web en utilisant le login de LinkedIn (IBM déc. 2014) 11 Source : http://www.csoonline.com/article/2855731/social-networking-security/spoofedme-attacks-exploited-linkedin-amazon-social-login-flaws.html
Scénario d’attaque 12 Courriel : ________ Mot de passe: _____ Fournisseurs d’identité en ligne Services en ligne Accède au compte local de la cible S’authentifie avec son nouveau compte 3 Crée un compte avec le courriel de la cible cible@courriel.com Nom, prénom cible@courriel.com 2 1 0 cible Vidéo de l’attaque: https://www.youtube.com/watch?v=kC0s3S00Dmk
Risque #2 – la communication d’information Le contrôle d’accès au contenu du profil par les sites Web est-il réellement éclairé ? • Le site Web impose ses contraintes pour l’autorisation d’accès aux données du profil • L’autorisation d’accès aux données du profil est presque « irréversible » • Le recours à différents fournisseurs d’identité décloisonne les univers sociaux de l’utilisateur 13 Source http://sherpablog.marketingsherpa.com/social-networking-evangelism-community/social-login-registration/ Gestion des accès >>
Quelles sont les mesures de contrôle possibles ? 14
Mesures de contrôle Fournisseur d’identité • Vérifier l’identité • Vérifier l’adresse courriel (toutes les adresses) • Vérifier les autres attributs (ex: âge, adresse) • Contrôler les informations qui seront transmises au site Web • Empêcher le site Web de pouvoir modifier le contenu du profil (ex: publié sur le mur) 15
Mesures de contrôle Site Web • Utiliser uniquement des données vérifiées pour identifier l’utilisateur • Utiliser l’information obtenue uniquement pour améliorer l’expérience utilisateur • Offrir les deux méthodes d’identification à l’utilisateur Utilisateur • Utiliser un fournisseur d’identité qui conserve peu d’information • Gérer les liens de confiance établis avec le fournisseur d’identité • Être rigoureux sur la gestion du mot de passe utilisé pour l’authentification chez les fournisseurs d’identité 16
Qu’est-ce qu’une identification vérifiée ? Corroborer l’information à différentes sources • Comparer avec d’autres profils (ex: nom, adresse, âge,..) • Valider que la personne est bien propriétaire de l’adresse courriel ou du dispositif mobile • Valider des pièces émises par une entité de confiance (ex: un gouvernement) Services disponibles en ligne • http://www.callcredit.co.uk/products-and-services/fraud-and-id/callvalidate • https://www.infodirect.ca/Welcome • http://www.idchecker.com/ • https://www.idology.com/id-verification/id-verification/ 17 Gestion de l’identité 2.0
Enjeux pour des services sensibles Pour le gouvernement • Cohérence du message à l’égard de la protection des renseignements personnels et de la vie privée Pour les institutions financières • Intérêt pour l’attrait de nouveau client • Nécessité de renforcement pour délivrer les services sensibles 18
Conclusion Le bénéfice de l’expérience utilisateur semble l’emporter sur la crainte de la communication des informations du profil utilisateur • Les institutions délivrant des services sensibles (institution financière et gouvernement) devront faire face à cet engouement Le choix doit être donné aux utilisateurs d’évaluer si la sensibilité de leur information est plus importante que l’inconvénient de compléter les étapes de création d’un compte 19
Merci Thierry.Brisset@vision-information.ca http://ca.linkedin.com/in/ThierryBrisset 20

Empfohlen

Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...Microsoft
 
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...Cyber Security Alliance
 
26687 fermier australien6
26687 fermier australien626687 fermier australien6
26687 fermier australien6Sofija J.
 
Réflexion sur l'argent
Réflexion sur l'argentRéflexion sur l'argent
Réflexion sur l'argentNoémi Dequan
 
Charte de la communauté viatorienne, 2012
Charte de la communauté viatorienne, 2012Charte de la communauté viatorienne, 2012
Charte de la communauté viatorienne, 2012SERSO San Viator
 
Synthèse des clubs utilisateurs ENT l'Educ de Normandie - 2015
Synthèse des clubs utilisateurs ENT l'Educ de Normandie - 2015Synthèse des clubs utilisateurs ENT l'Educ de Normandie - 2015
Synthèse des clubs utilisateurs ENT l'Educ de Normandie - 2015Jean-Baptiste Lesaulnier
 
New rich text document
New rich text documentNew rich text document
New rich text documentcatalina5983
 
13 balafon novembre 2012
13 balafon novembre 201213 balafon novembre 2012
13 balafon novembre 2012SERSO San Viator
 

Empfohlen

Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...
Vous avez dit protocoles Web d’authentification et d’autorisation ! De quoi p...Microsoft
 
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...
ASFWS 2012 - OAuth : un protocole d’autorisation qui authentifie ? par Maxime...Cyber Security Alliance
 
26687 fermier australien6
26687 fermier australien626687 fermier australien6
26687 fermier australien6Sofija J.
 
Réflexion sur l'argent
Réflexion sur l'argentRéflexion sur l'argent
Réflexion sur l'argentNoémi Dequan
 
Charte de la communauté viatorienne, 2012
Charte de la communauté viatorienne, 2012Charte de la communauté viatorienne, 2012
Charte de la communauté viatorienne, 2012SERSO San Viator
 
Synthèse des clubs utilisateurs ENT l'Educ de Normandie - 2015
Synthèse des clubs utilisateurs ENT l'Educ de Normandie - 2015Synthèse des clubs utilisateurs ENT l'Educ de Normandie - 2015
Synthèse des clubs utilisateurs ENT l'Educ de Normandie - 2015Jean-Baptiste Lesaulnier
 
New rich text document
New rich text documentNew rich text document
New rich text documentcatalina5983
 
13 balafon novembre 2012
13 balafon novembre 201213 balafon novembre 2012
13 balafon novembre 2012SERSO San Viator
 
Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...
Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...
Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...Brussels Heart Center
 
3euro acrostico
3euro acrostico3euro acrostico
3euro acrosticoadbespagnol
 
TIC's y Scrum
TIC's y ScrumTIC's y Scrum
TIC's y ScrumCota Ferrada Guzmán
 
Offre de sauvegarde externalisée
Offre de sauvegarde externaliséeOffre de sauvegarde externalisée
Offre de sauvegarde externaliséePlatine
 
Binder1
Binder1Binder1
Binder1tuquedises
 
Rapport d'activité SoFAB 2014-2015
Rapport d'activité SoFAB 2014-2015Rapport d'activité SoFAB 2014-2015
Rapport d'activité SoFAB 2014-2015Pascal Flamand
 
Google Earth. Tutorial
Google Earth. TutorialGoogle Earth. Tutorial
Google Earth. TutorialJose Mari Blanco
 
Des chaussures de mariées personnalisées
Des chaussures de mariées personnaliséesDes chaussures de mariées personnalisées
Des chaussures de mariées personnaliséespersonalcare
 
07 hollande-au-mali
07 hollande-au-mali07 hollande-au-mali
07 hollande-au-malididierp
 
Presentación1
Presentación1Presentación1
Presentación1Ivan2510
 
Susana
SusanaSusana
SusanaSusana Cordoba
 
La démocratie locale à défendre
La démocratie locale à défendreLa démocratie locale à défendre
La démocratie locale à défendreecolosenat
 
Monde
MondeMonde
Mondenadia-vraie Nom de famille
 
Review acheter robes de mariée
Review acheter robes de mariéeReview acheter robes de mariée
Review acheter robes de mariéepersonalcare
 
Cours professionnels langues
Cours professionnels languesCours professionnels langues
Cours professionnels languesLaurent Cheret
 
#4. Soure
#4. Soure#4. Soure
#4. SoureAlexandra Duarte
 
Remplacement professeurs absents
Remplacement professeurs absentsRemplacement professeurs absents
Remplacement professeurs absentsLaurent Cheret
 
Y el silencio
Y el silencioY el silencio
Y el silencioJosé Alfonso Pérez Martínez
 
2015
20152015
2015scatavrio
 
La Mémoire du Journalisme Vénézuélien
La Mémoire du Journalisme VénézuélienLa Mémoire du Journalisme Vénézuélien
La Mémoire du Journalisme VénézuélienCarolinedeO
 
Maîtriser son identité numérique
Maîtriser son identité numériqueMaîtriser son identité numérique
Maîtriser son identité numériqueTiceVesoulSud
 
Certifier l'identité enjeux
Certifier l'identité enjeuxCertifier l'identité enjeux
Certifier l'identité enjeuxrichard peirano
 

Weitere ähnliche Inhalte

Andere mochten auch

Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...
Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...
Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...Brussels Heart Center
 
Offre de sauvegarde externalisée
Offre de sauvegarde externaliséeOffre de sauvegarde externalisée
Offre de sauvegarde externaliséePlatine
 
Rapport d'activité SoFAB 2014-2015
Rapport d'activité SoFAB 2014-2015Rapport d'activité SoFAB 2014-2015
Rapport d'activité SoFAB 2014-2015Pascal Flamand
 
Des chaussures de mariées personnalisées
Des chaussures de mariées personnaliséesDes chaussures de mariées personnalisées
Des chaussures de mariées personnaliséespersonalcare
 
07 hollande-au-mali
07 hollande-au-mali07 hollande-au-mali
07 hollande-au-malididierp
 
Presentación1
Presentación1Presentación1
Presentación1Ivan2510
 
La démocratie locale à défendre
La démocratie locale à défendreLa démocratie locale à défendre
La démocratie locale à défendreecolosenat
 
Review acheter robes de mariée
Review acheter robes de mariéeReview acheter robes de mariée
Review acheter robes de mariéepersonalcare
 
Cours professionnels langues
Cours professionnels languesCours professionnels langues
Cours professionnels languesLaurent Cheret
 
Remplacement professeurs absents
Remplacement professeurs absentsRemplacement professeurs absents
Remplacement professeurs absentsLaurent Cheret
 
La Mémoire du Journalisme Vénézuélien
La Mémoire du Journalisme VénézuélienLa Mémoire du Journalisme Vénézuélien
La Mémoire du Journalisme VénézuélienCarolinedeO
 

Andere mochten auch (20)

Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...
Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...
Dr Jan Remes: Pour quel patient peut-on prévoir un remplacement aortique chir...
 
3euro acrostico
3euro acrostico3euro acrostico
3euro acrostico
 
TIC's y Scrum
TIC's y ScrumTIC's y Scrum
TIC's y Scrum
 
Offre de sauvegarde externalisée
Offre de sauvegarde externaliséeOffre de sauvegarde externalisée
Offre de sauvegarde externalisée
 
Binder1
Binder1Binder1
Binder1
 
Rapport d'activité SoFAB 2014-2015
Rapport d'activité SoFAB 2014-2015Rapport d'activité SoFAB 2014-2015
Rapport d'activité SoFAB 2014-2015
 
Google Earth. Tutorial
Google Earth. TutorialGoogle Earth. Tutorial
Google Earth. Tutorial
 
Des chaussures de mariées personnalisées
Des chaussures de mariées personnaliséesDes chaussures de mariées personnalisées
Des chaussures de mariées personnalisées
 
07 hollande-au-mali
07 hollande-au-mali07 hollande-au-mali
07 hollande-au-mali
 
Presentación1
Presentación1Presentación1
Presentación1
 
Susana
SusanaSusana
Susana
 
La démocratie locale à défendre
La démocratie locale à défendreLa démocratie locale à défendre
La démocratie locale à défendre
 
Monde
MondeMonde
Monde
 
Review acheter robes de mariée
Review acheter robes de mariéeReview acheter robes de mariée
Review acheter robes de mariée
 
Cours professionnels langues
Cours professionnels languesCours professionnels langues
Cours professionnels langues
 
#4. Soure
#4. Soure#4. Soure
#4. Soure
 
Remplacement professeurs absents
Remplacement professeurs absentsRemplacement professeurs absents
Remplacement professeurs absents
 
Y el silencio
Y el silencioY el silencio
Y el silencio
 
2015
20152015
2015
 
La Mémoire du Journalisme Vénézuélien
La Mémoire du Journalisme VénézuélienLa Mémoire du Journalisme Vénézuélien
La Mémoire du Journalisme Vénézuélien
 

Ähnlich wie Identification sur Internet - Login social - Thierry Brisset

Maîtriser son identité numérique
Maîtriser son identité numériqueMaîtriser son identité numérique
Maîtriser son identité numériqueTiceVesoulSud
 
Certifier l'identité enjeux
Certifier l'identité enjeuxCertifier l'identité enjeux
Certifier l'identité enjeuxrichard peirano
 
Comment approcherlecloud
Comment approcherlecloudComment approcherlecloud
Comment approcherlecloudLeTesteur
 
Sécurité et Moyens de Paiements
Sécurité et Moyens de PaiementsSécurité et Moyens de Paiements
Sécurité et Moyens de PaiementsDarkmira
 
Identités, traces et interactions numériques l'apport du renseignement inte...
Identités, traces et interactions numériques l'apport du renseignement inte...Identités, traces et interactions numériques l'apport du renseignement inte...
Identités, traces et interactions numériques l'apport du renseignement inte...Terry ZIMMER
 
Identité numérique
Identité numériqueIdentité numérique
Identité numériqueahmedmejri3
 
Authentification - Sécurité des SI
Authentification - Sécurité des SIAuthentification - Sécurité des SI
Authentification - Sécurité des SIMélody Durand
 
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?Jean-Philippe Simonnet
 
Présentation d'OpenID
Présentation d'OpenIDPrésentation d'OpenID
Présentation d'OpenIDmmti2008
 
Sites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugleSites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugleISACA Chapitre de Québec
 
Comment gerer votre identite numerique
Comment gerer votre identite numeriqueComment gerer votre identite numerique
Comment gerer votre identite numeriqueWiki Info Systeme
 
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)Alice and Bob
 
10 règles du moi pour l'identité numérique.
10 règles du moi pour l'identité numérique. 10 règles du moi pour l'identité numérique.
10 règles du moi pour l'identité numérique. Marina Calif
 
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...SOCIALware Benelux
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfdepinfo
 
Les données post-mortem - Rochwerg, Joly, Monier
Les données post-mortem - Rochwerg, Joly, MonierLes données post-mortem - Rochwerg, Joly, Monier
Les données post-mortem - Rochwerg, Joly, MonierHugo Monier
 

Ähnlich wie Identification sur Internet - Login social - Thierry Brisset (20)

Maîtriser son identité numérique
Maîtriser son identité numériqueMaîtriser son identité numérique
Maîtriser son identité numérique
 
Certifier l'identité enjeux
Certifier l'identité enjeuxCertifier l'identité enjeux
Certifier l'identité enjeux
 
Comment approcherlecloud
Comment approcherlecloudComment approcherlecloud
Comment approcherlecloud
 
Sécurité et Moyens de Paiements
Sécurité et Moyens de PaiementsSécurité et Moyens de Paiements
Sécurité et Moyens de Paiements
 
Identités, traces et interactions numériques l'apport du renseignement inte...
Identités, traces et interactions numériques l'apport du renseignement inte...Identités, traces et interactions numériques l'apport du renseignement inte...
Identités, traces et interactions numériques l'apport du renseignement inte...
 
Identité numérique
Identité numériqueIdentité numérique
Identité numérique
 
Authentification - Sécurité des SI
Authentification - Sécurité des SIAuthentification - Sécurité des SI
Authentification - Sécurité des SI
 
LTO Auth
LTO AuthLTO Auth
LTO Auth
 
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?
 
Présentation d'OpenID
Présentation d'OpenIDPrésentation d'OpenID
Présentation d'OpenID
 
OpenID Presentation
OpenID PresentationOpenID Presentation
OpenID Presentation
 
Sites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugleSites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugle
 
Comment gerer votre identite numerique
Comment gerer votre identite numeriqueComment gerer votre identite numerique
Comment gerer votre identite numerique
 
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
 
10 règles du moi pour l'identité numérique.
10 règles du moi pour l'identité numérique. 10 règles du moi pour l'identité numérique.
10 règles du moi pour l'identité numérique.
 
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
 
Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009Droit Et Deontologie Partie 1 Isfsc Sept 2009
Droit Et Deontologie Partie 1 Isfsc Sept 2009
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
 
Les données post-mortem - Rochwerg, Joly, Monier
Les données post-mortem - Rochwerg, Joly, MonierLes données post-mortem - Rochwerg, Joly, Monier
Les données post-mortem - Rochwerg, Joly, Monier
 
Michel Arnaud
Michel ArnaudMichel Arnaud
Michel Arnaud
 

Mehr von ISACA Chapitre de Québec

Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...ISACA Chapitre de Québec
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonISACA Chapitre de Québec
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdISACA Chapitre de Québec
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantISACA Chapitre de Québec
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardISACA Chapitre de Québec
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeISACA Chapitre de Québec
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantISACA Chapitre de Québec
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015ISACA Chapitre de Québec
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIIISACA Chapitre de Québec
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2ISACA Chapitre de Québec
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationISACA Chapitre de Québec
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauISACA Chapitre de Québec
 

Mehr von ISACA Chapitre de Québec (20)

ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
 

Identification sur Internet - Login social - Thierry Brisset

  • 1. IDENTIFICATION SUR INTERNET – LOGIN SOCIAL Thierry Brisset 29 septembre 2015 SYMPOSIUM GIA
  • 2. Objectif 2 Sites Web Culture Divertissement Sports et loisirs … Univers social Univers professionnel Biens et services • Analyser un cas mettant en évidence les particularités d’Internet dans la gestion de l’identité • Identités multiples, id/mdp, réseaux sociaux, profilage, vie privée/professionnelle,… Réseau sociaux Finances personnelles Taxes – impôts …
  • 3. Agenda • Le contexte du login social • Les risques • Les mesures de contrôle 3
  • 4. Forme d’authentification utilisant les informations de connexion existantes d'un réseau social pour connecter l'utilisateur à un site web Internet Définition du login social 4 Source : https://en.wikipedia.org/wiki/Social_login Sites Web marchand Fournisseur d’identité 1 - Je veux … 2 – Qui êtes-vous ? 3– authentification 4 – Je suis … et je veux … Lien de confiance
  • 5. 5
  • 6. Les motivations La multiplication des identifiants • Les utilisateurs ont en moyenne 26 identifiants sur Internet pour seulement 5 mots de passe Les mots de passe sont trop vulnérables • 90 % des mots de passe Internet peuvent être craqués • « 123456 » ou « password » sont encore les plus populaires ! 6 Source : http://www2.deloitte.com/content/dam/Deloitte/global/Documents/Technology-Media-Telecommunications/dttl_TMT_Predictions2013_Password.pdf
  • 7. Les motivations Processus d’enregistrement sur les sites Web est perçu comme un obstacle Le login social représente un potentiel d’affaires pour les sites marchand • Le réseau social est un vecteur d’influence positive • L’information accessible est à jour (permet un meilleur ciblage de la clientèle) 7 Source : http://sherpablog.marketingsherpa.com/social-networking-evangelism-community/social-login-registration/ 25 % compléteront l’enregistrement 54 % ne retourneront pas sur le site 17 % vont sur un autre site 4 % quittent le site
  • 8. Les principaux acteurs 8 Source : http://janrain.com/blog/social-login-trends-q3-2014/ . D’ici 2018, 40% des identités électroniques qui interagiront avec les entreprises viendront d’un fournisseur d’identité externe Source : Future Proofing Consumer Identity (Gartner)
  • 9. Comment ça fonctionne ? 9 Courriel : ________ Mot de passe: _____ Fournisseurs d’identité 2 Services en ligne 1. L’utilisateur désire consommer un des services offerts par le site Web qui nécessite d’avoir un compte local 2. L’utilisateur choisit d’utiliser son identification sociale 3. Le site Web utilise l’adresse courriel pour associer la personne au compte local 1. Lors du premier login : L’utilisateur autorise le transfert des informations de son profil au site Web 4. L’utilisateur profite d’une expérience de navigation personnalisée Autorisation d’accès au profil 1 Courriel, nom, prénom,… Premier login Accès au compte local (crée) 3 4 Démonstration >>
  • 11. Risque #1 – Identification non validée Vulnérabilités • Fournisseur d’identité : identifiant (courriel) non vérifié • Site Web : méthode d’appariement avec le compte local Impacts • Une tierce personne peut accéder au compte local d’un site Web en utilisant le login de LinkedIn (IBM déc. 2014) 11 Source : http://www.csoonline.com/article/2855731/social-networking-security/spoofedme-attacks-exploited-linkedin-amazon-social-login-flaws.html
  • 12. Scénario d’attaque 12 Courriel : ________ Mot de passe: _____ Fournisseurs d’identité en ligne Services en ligne Accède au compte local de la cible S’authentifie avec son nouveau compte 3 Crée un compte avec le courriel de la cible cible@courriel.com Nom, prénom cible@courriel.com 2 1 0 cible Vidéo de l’attaque: https://www.youtube.com/watch?v=kC0s3S00Dmk
  • 13. Risque #2 – la communication d’information Le contrôle d’accès au contenu du profil par les sites Web est-il réellement éclairé ? • Le site Web impose ses contraintes pour l’autorisation d’accès aux données du profil • L’autorisation d’accès aux données du profil est presque « irréversible » • Le recours à différents fournisseurs d’identité décloisonne les univers sociaux de l’utilisateur 13 Source http://sherpablog.marketingsherpa.com/social-networking-evangelism-community/social-login-registration/ Gestion des accès >>
  • 14. Quelles sont les mesures de contrôle possibles ? 14
  • 15. Mesures de contrôle Fournisseur d’identité • Vérifier l’identité • Vérifier l’adresse courriel (toutes les adresses) • Vérifier les autres attributs (ex: âge, adresse) • Contrôler les informations qui seront transmises au site Web • Empêcher le site Web de pouvoir modifier le contenu du profil (ex: publié sur le mur) 15
  • 16. Mesures de contrôle Site Web • Utiliser uniquement des données vérifiées pour identifier l’utilisateur • Utiliser l’information obtenue uniquement pour améliorer l’expérience utilisateur • Offrir les deux méthodes d’identification à l’utilisateur Utilisateur • Utiliser un fournisseur d’identité qui conserve peu d’information • Gérer les liens de confiance établis avec le fournisseur d’identité • Être rigoureux sur la gestion du mot de passe utilisé pour l’authentification chez les fournisseurs d’identité 16
  • 17. Qu’est-ce qu’une identification vérifiée ? Corroborer l’information à différentes sources • Comparer avec d’autres profils (ex: nom, adresse, âge,..) • Valider que la personne est bien propriétaire de l’adresse courriel ou du dispositif mobile • Valider des pièces émises par une entité de confiance (ex: un gouvernement) Services disponibles en ligne • http://www.callcredit.co.uk/products-and-services/fraud-and-id/callvalidate • https://www.infodirect.ca/Welcome • http://www.idchecker.com/ • https://www.idology.com/id-verification/id-verification/ 17 Gestion de l’identité 2.0
  • 18. Enjeux pour des services sensibles Pour le gouvernement • Cohérence du message à l’égard de la protection des renseignements personnels et de la vie privée Pour les institutions financières • Intérêt pour l’attrait de nouveau client • Nécessité de renforcement pour délivrer les services sensibles 18
  • 19. Conclusion Le bénéfice de l’expérience utilisateur semble l’emporter sur la crainte de la communication des informations du profil utilisateur • Les institutions délivrant des services sensibles (institution financière et gouvernement) devront faire face à cet engouement Le choix doit être donné aux utilisateurs d’évaluer si la sensibilité de leur information est plus importante que l’inconvénient de compléter les étapes de création d’un compte 19