• Protection des données : le chiffrement ne suffit pas
    https://lejournal.cnrs.fr/billets/protection-des-donnees-le-chiffrement-ne-suffit-pas

    Dans les protocoles de protection des données, même le plus robuste des chiffrements devient une ligne Maginot si les autres éléments du protocole sont faibles. C’est une des questions à l’ordre du jour du colloque « Sécurité informatique : mythes et réalité », organisé par le CNRS les 8 et 9 décembre à Paris.


  • Les serveurs mail de Microsoft n’acceptent pas d’emails envoyés par de nouveaux serveurs.
    https://mail.live.com/mail/troubleshooting.aspx#errors
    Il ne suffit plus de configurer correctement son serveur mail, il faut en plus l’inscrire chez MS.

    Senden Sie E-Mails über eine neue IP-Adresse?
    IP-Adressen, die bisher noch nicht für das Senden von E-Mails verwendet wurden, verfügen in unserem System noch über keinerlei Eintragungen zur Zuverlässigkeit. Daher können bei E-Mails, die von neuen IP-Adressen gesendet werden, mit höherer Wahrscheinlichkeit Zustellbarkeitsprobleme auftreten. Nachdem sich die IP-Adresse durch das Nichtversenden von Spam als zuverlässig erwiesen hat, wird in Outlook.com in der Regel eine bessere Zustellbarkeit für E-Mails erreicht.
    Neue IP-Adressen, die für Domänen hinzugefügt werden, die über vorhandene SPF-Einträge authentifiziert wurden, übernehmen in der Regel einen Teil der Sendezuverlässigkeit der Domäne. Wenn die Domäne über eine gute Sendezuverlässigkeit verfügt, ist für neue IP-Adressen möglicherweise eine schnellere Anlaufzeit festzustellen. Eine neue IP-Adresse wird spätestens nach einigen Wochen vollständig akzeptiert. Ausschlaggebend sind hierbei jeweils das Volumen und die Listengenauigkeit – vorausgesetzt, es liegen möglichst wenig Junk-E-Mail-Beschwerden vor.
    Hinweis: Denken Sie daran, Ihr JMRP-Konto (Junk E-Mail Reporting Program, Junk-E-Mail-Meldeprogramm) mit den neuen IP-Adressen zu aktualisieren. Wenn Sie ein JMRP-Konto aktualisieren oder einrichten möchten, klicken Sie auf hier

    Dienste für Absender und Internetdienstanbieter
    https://mail.live.com/mail/services.aspx
    Comme tout est payant chez MS ils conseillent de souscrire un abonnemenet chez un service de maintien de réputation. Pourtant on peut effectivement s’en passer sauf si on est en train de monter un service de mailings commerciaux.

    Return Path-Zertifizierung
    Ein Akkreditierungs-/Reputationsdienst eines Drittanbieters mit dem Zweck, Absendern den Status eines sicheren Absenders zu verleihen
    Weitere Informationen finden Sie unter http://g.live.com/9wc9en-us/senderscore

    Wenn Hotmail Deine Mailserver abweist
    https://www.hagen-bauer.de/2015/10/hotmail-block.html
    Comment j’ai appris cette « nouvelle » ? Notre fournisseur de serveurs héberge des serveurs piratés et MS a mis sur ses blocklists de réseaux IP entiers.

    In unsere “Nachbarschaft” bei Hetzner gab es wohl einige SPAM Schleudern so das Hotmail ganze Netzsegmente auf eine “schwarze Liste” gestellt hat. Unsere Server selbst ist sauber.

    Nach etwas Suchen bin ich auf diese Seite gestoßen. Hier kann man beantragen das eine IP Adresse wieder freigeschaltet wird.

    La solution
    https://support.microsoft.com/en-us/getsupport?oaspworkflow=start_1.0.0.0&wfname=capsub&productkey=ed
    Il faut demander gentiment qu’ils vérifient un peu, et hop, quelques heures plus tard ca roule. MS réagit nettement plus vite et mieux que Google.

    Après (enfin, de préférance préalablement) il faut toujours installer les protocoles de vérification qui améliorent la fiabilité de la communication avec les grands fournisseurs de services email.

    RFC 7208 - Sender Policy Framework (SPF) for Authorizing Use of Domains in Email, Version 1
    https://tools.ietf.org/html/rfc7208#page-23

    SPF : FAQ/Examples
    http://www.openspf.org/FAQ/Examples

    Ubuntu+ISPConfig+DKIM | Howtoforge - Linux Howtos and Tutorials
    https://www.howtoforge.com/community/threads/ubuntu-ispconfig-dkim.72473

    DKIM-Patch 1.1.9
    https://blog.schaal-24.de/ispconfig/dkim-patch-1-1-9

    How Senders Deploy DMARC in 5-Easy Steps
    https://dmarc.org/overview
    Cette liste décrit les étapes essentielles pour transformer un serveur mail traditionnel en machine acceptée par la majorité de ses interlocutrices. Il ne faut jamais oublier que ce sont des conventions qui évoluent et ne sont pas parfaites du tout.

    DMARC has been designed based on real-world experience by some of the world’s largest email senders and receivers deploying SPF and DKIM. The specification takes into account the fact that it is nearly impossible for an organization to flip a switch to production. There are a number of built-in methods for “throttling” the DMARC processing so that all parties can ease into full deployment over time.

    1. Deploy DKIM & SPF. You have to cover the basics, first.
    2. Ensure that your mailers are correctly aligning the appropriate identifiers.
    3. Publish a DMARC record with the “none” flag set for the policies, which requests data reports.
    4. Analyze the data and modify your mail streams as appropriate.
    5. Modify your DMARC policy flags from “none” to “quarantine” to “reject” as you gain experience.

    dmarcian - SPF Surveyor
    https://dmarcian.com/spf-survey/rezo.net
    Pour finir on peut vérifier si on a tout fait dans les normes.

    rezo.net
    Warning present!
    A DMARC record was detected while looking for an SPF record. DMARC records must be located at “_dmarc.rezo.net”, and not directly at “rezo.net”.

    Record analysis:
    DNS-querying mechanisms/modifiers:

    The SPF record authorizes 8 individual netblocks using 3 DNS-querying mechanisms/modifiers. The maximum number of DNS-querying mechanisms/modifiers is 10.

    This record utilizes a small number of DNS-querying mechanisms/modifiers. No fixing is required. If this record is meant to be included by other records, consider reducing the number of DNS-querying mechanisms/modifiers (if possible) to keep total resource consumption low.

    Duplicate netblock authorization:

    The following netblocks have been authorized more than once. Duplicates usually indicate inefficient records or redundant “include:” mechanisms, and should be removed:
    netblock # of occurrences
    193.56.58.14/32 2

    Record flattening (experimental!):

    The dmarcian SPF Record Flattener (experimental!) rewrites this record by removing duplicate netblocks, collapsing any overlapping netblocks, and using 0 DNS-querying mechanisms/modifiers. Each SPF record is kept to less than 512 bytes to fit into a single UDP packet (assuming no other TXT records are sharing the DNS label).

    NOTE: this approach does not take into account administrative or domain boundaries, and is meant to show that “minified” SPF records are possible. The presence of unusual qualifiers, macros, and creative semantics will likely yield less than optimal results.
    domain record
    rezo.net v=spf1 ip4:91.194.60.0/23 ip4:185.34.32.0/22 ip4:193.56.58.0/24 ip6:2001:67c:288::/48 ip6:2a00:99a0::/128 ~all

    #internet #email #SPAM #authentification


    • Si je ne me trompe pas, c’est un peu le même concept que feu #persona qui se basait sur l’e-mail. Bien que le projet n’ai pas eu le succès escompté, il avait le mérite de se reposer sur un outil universel, l’e-mail. XMPP étant très peu répandu, je doute du succès d’un outil d’authentification qui se baserait sur lui. Mais je suis ravi de voir que des alternatives tentent de casser les Facebook et Google sign on.
      https://en.wikipedia.org/wiki/Mozilla_Persona

    • Oui l’email est beaucoup (vraiment beaucoup) plus utilisé. Après c’est bien que ça existe aussi pour XMPP ce système, mais la première étape serait donc évidemment d’abord de le remettre sur le devant et qu’il soit beaucoup plus utilisé (mais bon, c’est pas une mince affaire, tant que des gros acteurs ne s’y remettent pas activement et publiquement, sans le cacher, avec interopérabilité partout).

    • XMPP est loin d’être « très peu répandu », il n’est peut-être pas connu du grand public (qui peut l’utiliser ou une de ses variantes indirectement, mais c’est une autre histoire), mais il est très utilisé que ce soit dans le monde des jeux, en entreprise, en moyen de contrôle, etc. Il suffit de voir le nombre de gens qui en vivent pour s’en convaincre.

      L’authentification par XMPP est simple et efficace, je vous invite à lire ce commentaire de Jehan qui fait une comparaison par rapport à Persona : https://linuxfr.org/news/authentifiez-vous-sans-mot-de-passe-grace-a-xmpp#comment-1666371

      mais la première étape serait donc évidemment d’abord de le remettre sur le devant et qu’il soit beaucoup plus utilisé

      Non ! La première étape (déjà passée depuis belle lurette soit dit en passant) c’est de l’utiliser.
      C’est un des reproches que je fais à la communauté libriste actuelle : il faut pour pouvoir utiliser quelque chose qu’il y ait déjà une communauté, un beau site web, beaucoup d’utilisateurs, un logiciel parfaitement fini et léché, un nom connu, voire une grosse boîte derrière (commerciale il va sans dire) pour du support.

      Si ça avait toujours été comme ça, il y a un paquet de logiciels qui n’auraient jamais atteint leur niveau actuel.

    • J’utilise XMPP tous les jours depuis plus de 15 ans, donc ça devrait aller… :D

      Et il fut une époque où j’avais réussi à convaincre un nombre non négligeable de proches, soit carrément à avoir une adresse sur un serveur plus petit, soit au moins à savoir qu’avec leurs adresses Gmail et quelques autres, il pouvait dialoguer avec n’importe qui ayant une adresse XMPP (dont moi, puisque je n’ai pas d’adresse Gmail !). Et ça marchait très bien.

      Mais vraiment : ceci est (pour le moment) révolu. Le fait que les gros acteurs aient virés tout ça + toutes les applis mobiles de discussions instantanées non-interopérables qui sont apparues (et que les gens au quotidien utilisent MILLE FOIS PLUS que les anciens MSN Messenger, ou même le chat Gmail du temps où il était interopérable), ça a vraiment tout pété pour le commun des mortels. Donc le fait qu’on continue à l’utiliser pour le boulot, les collègues, entre libristes, ou pour des jeux, ça ne change rien au fait que la diffusion massive pour l’utilisation au quotidien de tout le monde, ça a bien pris un très méchant coup dans l’aile par rapport l’état de l’art il y a 10 ans.

      À cette époque j’arrivais à discuter avec environ la moitié de mes contacts uniquement par XMPP. Actuellement pour les contacts hors travail/libristes c’est 0, littéralement 0. Et ce n’est pas de ma faute.

    • Et ça marchait très bien.

      Ça marche toujours, j’ai des contacts chez google (qui ne sont peut-être pas passé à hangout j’en sais rien, mais toujours est-il que ça fonctionne).
      Ceci dit je pense que c’est une très mauvaise chose de s’appuyer sur ces « gros ». Si on veut des outils et réseaux libres et indépendants et qu’ils n’existent pas encore, il faut les fabriquer !

      Le fait que les gros acteurs aient virés tout ça + toutes les applis mobiles de discussions instantanées non-interopérables qui sont apparues

      preuve de la non pérennité et de l’incohérence de leurs solutions.

      À cette époque j’arrivais à discuter avec environ la moitié de mes contacts uniquement par XMPP. Actuellement pour les contacts hors travail/libristes c’est 0, littéralement 0. Et ce n’est pas de ma faute.

      Justement, le but ici est de montrer que c’est utile bien au delà de la messagerie. Par exemple mon blog est entièrement basé sur XMPP, même si j’étais le dernier utilisateur de XMPP au monde ça me serait utile. L’authentification ici c’est pareil, c’est plus sûr, plus simple, et évite d’avoir 10 000 mots de passe à retenir. Si c’est dispo sur SeenThis par exemple, et même s’il n’y avait que toi et moi sur XMPP, ça ferait au moins 2 heureux. Développer ces utilisations, c’est développer le réseau, que plus de monde utilise la messagerie par la suite est un effet de bord.


  • #Authentification du site web de la #CAF

    Ce que je trouve bizarre ici, c’est la [nouvelle] procédure de récupération du mot de passe par #SMS en cas de perte, et l’appel de la CAF à relier les comptes en ligne personnels des bénéficiaires à leur numéro de portable.

    http://www.caf.fr/vies-de-famille/changement-de-situation/changement-familial/du-nouveau-dans-votre-espace-mon-compte

    La nouveauté concerne la procédure d’#authentification. Celle-ci est simplifiée. Désormais, vous devez modifier le mot de passe initial, car il n’est valide que deux mois. Comme le choix vous appartient, vous avez plus de chances de le retenir et donc de gagner du temps. Ce code est strictement personnel. Il ne vous est jamais demandé par votre caisse. Celle-ci a uniquement besoin de votre numéro d’allocataire pour vous identifier. Et si vous l’oubliez, vous pourrez désormais recevoir un code temporaire par #SMS ; plus rapide et plus pratique que d’attendre un courrier ! Pensez donc à renseigner votre numéro de portable dans « Mon Compte ».

    http://www.caf.fr/ma-caf/caf-de-la-reunion/actualites

    - je crée mon mot de passe
    C’est vous qui créez et décidez de votre mot de passe et de ses 8 chiffres . Mais pour des raisons de sécurité, il ne peut pas être composé de 8 chiffres identiques ou successifs , de 8 chiffres correspondant à une date de naissance ou un téléphone figurant dans votre dossier, les 8 premiers chiffres de votre NIR, de votre numéro allocataire...

    j’indique mon numéro de portable
    En cas de perte ou d’oubli de votre mot de passe, plus besoin d’attendre de le recevoir par courrier : un #SMS vous est envoyé immédiatement et vous permet de poursuivre vos démarches en ligne ! Voilà pourquoi il est important de renseigner votre numéro de portable sur www.caf.fr et de le mettre à jour à chaque changement.

    • La CAf, comme Pôle, fait tout pour disposer du numéro de tel de ses ayants droits.
      Si on essaie de se connecter à « son » compte :

      Connexion
      Vous allez accéder à votre espace personnel
      Nous n’avons pas connaissance de vos coordonnées téléphoniques. Sachez que pour vous joindre rapidement, vous devez nécessairement nous fournir vos coordonnées de contact mel et/ou téléphone portable.
      Voulez-vous nous communiquer votre numéro de téléphone portable ?
      Oui (case précochée)
      Non
      (case à cocher si on veut pas augmenter les possibilités d’emmerdes)

      Pourquoi ? C’est difficile de le dire autrement que partiellement et sous forme d’hypothèse, en partant de ce qui existe déjà.
      On nous dit que c’est pour notre bien, et, comme ci-dessus, que c’est pour éviter de faire la queue au guichet, ou de devoir attendre un moment d’accueil qui, désormais, dans de nombreuses CAF, n’aura lieu qu’à la condition d’avoir pris rdv au préalable .
      En se rapprochant des prérequis d’une banque ou d’une entreprise (celle où l’on est employé, celle auprès de laquelle on se fournit, achète), on accélére la #dématérialisation de la relation entamée à la CAF en 2012, ce qui permet d’accroître/améliorer la productivité de la CAF (soumise à une forte demande y compris "extra familiale, cf RSA, réglée pour un traitement de masse mais avec des moyens constants ou en baisse, cf antennes fermées chroniquement pour rattraper le retard, etc) et par là, la productivité du #contrôle (le croisement de fichiers devant plus effectif et on lui adjoint une utilisation des datas pour profiler des figures de fauteurs potentiels).

      Par exemple, ce n’est pas toujours respecté auprès d’allocataires qui ne le savent pas mais lorsque agent contrôleur CAF effectue une visite domiciliaire, il doit prévenir par courrier (en général déposé dans la boite par ses soins lors de ses enquêtes, et parfois « gentiment » apporté directement au « chez soi » par un agent qui propose de gagner du temps en faisant le contrôle de suite, ce qui permet à l’enquête de s’appuyer sur une première impression in situ : qui ouvre ? combien de monde, etc.).
      Avec le tel toutes les « prises par surprise » seront possible, par exemple en posant des questions qui vont conduire à des réponses qui n’auront pas été mûrement pesées et pourront être utilisées contre l’allocataire.

      Rien de démontré dans ce que je dis, et il y a bien sûr des possibilités ainsi ouvertes à la CAF auxquelles je ne pense pas. Il n’y a que la confrontation des expériences des premier.e.s concerné.e.s qui peut permettre, si elle est mise au jour, ici, ailleurs, dans le peu de permanences de précaires qui existent, de piger ce que chaque « modernisation » implique...

      Comme à Pôle emploi, deux dynamiques modifient « en toute discrétion » le fonctionnement de ces #institutions bureaucratiques : d’une part un #évitement et une #mise_à_distance des #ayants_droits, d’autre part, un progrès continu (les pratiques, les procédures, les décrets d’application) et par bonds (la loi, la circulaire), de la capacité de ces institutions à faire #intrusion dans la vie de leurs administrés, par tous les moyens nécessaires.

      Un exemple parlant il me semble, lors de contrôle à domicile, l’agent vérifie les histogrammes de conso EDF sur des factures qu’on doit lui montrer (qui paye quoi ?) et il pourra utiliser des mois sans conso afin de poser des questions sur la durée passée hors domicile, sachant que c’est un critère de coupure du revenu (RSA ou APL). Ça ne tiendrait pas la route légalement, mais c’est une bonne manière de déstabiliser l’ayant droit et de l’amener à se justifier, voire à dire des choses contradictoires, et/ou qui peuvent ensuite être utilisées contre lui/elle.

      Mais tout ça est supposé être des histoires de pauvres et de pauvres histoire, des questions annexes, subalternes, un problème de démerde et de faute à pas-de-chance. C’est tellement moins important que l’emploi, le vote, ces trucs de « dépendants » et d’assistés que le champ est laissé quasi libre.

    • Ouais, excuse @la_taupe , le post ci-dessus est trop long et absolument imprécis sur l’impact pratique de cette modification. La logique générale suffit pas à une analyse concrète, et actuellement je ne fréquente pas d’endroit où se confrontent les avis, lectures, expériences à propos de telles procédures, alors que c’est sans doute la meilleure manière qui soi de creuser.

      Le travail et l’emploi permet pas/plus de contrôler tout le monde tout le temps, faut projeter au-delà du temps et des lieux de l’emploi la dicsipline. On modernise et raffine le contrôle du halo du chômage. Pas évident d’avoir prise collectivement sur ces enjeux.

      Sur la géolocalisation, ça risque d’être très sélectif (que les plus équipés et eux seuls puissent ruser). Sans solidarité (copains pour faire les démarches d’un bon endroit) ou sans une forte qualif (tout faire en .onion, ce qui empêchait pas d’être accusé mais supprimerait une preuve positive), ça va devenir très dur de ne pas être coupable à tel ou tel moment. Par exemple coupable de plus de 4 mois hors du territoire national, ce qui permet de couper l’APL. Ce contrôle des durées de séjour sur le territoire national montre (à nouveau) l’importance du contentieux des caisses sociales avec les Chibanis (qui sans doute vont se régler, mal, pour une partie de cette catégorie), largement au delà de ce « cas ».

    • http://www.lefigaro.fr/emploi/2014/02/24/09005-20140224ARTFIG00216-comment-pole-emploi-tente-de-detecter-les-fraudes

      Pister les demandeurs d’emploi à l’étranger

      Peut mieux faire, dit toutefois la Cour des comptes dans son rapport annuel publié début février. Pôle emploi étudie donc de nouvelles pistes anti-fraude. Un dispositif de pistage des internautes via leur adresse IP est actuellement testé dans plusieurs régions de l’Hexagone. Cet outil permet entre autres d’identifier des demandeurs d’emploi qui auraient durablement quitter le pays tout en continuant à percevoir leurs allocations. Selon le réglement de Pôle emploi, toute absence de plus de sept jours doit être déclarée et un demandeur d’emploi ne peut déposer plus de 35 jours de congés par an.

      Autre piste envisagée, le « dataming » (Comprendre « exploration des données »). Déjà utilisé par la Caf, ce procédé qui permet de détecter automatiquement des profils de chômeurs les plus susceptibles de frauder grâce à des modèles statistiques. Alors que les contrôles s’appuient actuellement sur des dossiers choisis de façon aléatoire, cette technique permettrait de scanner ceux qui présentent le plus de risque.
      Collaborer avec des opérateurs téléphoniques

      Enfin, l’opérateur réfléchit aussi à l’une des recommandations de la Cour des comptes : avoir accès aux données personnelles des abonnés EDF et des opérateurs téléphoniques. « Ça serait un bon moyen de vérifier une adresse postale », laisse-t-on entendre au siège.

    • Il n’y a que la confrontation des expériences des premier.e.s concerné.e.s qui peut permettre, si elle est mise au jour, ici, ailleurs, dans le peu de permanences de précaires qui existent, de piger ce que chaque « modernisation » implique...

      La logique générale suffit pas à une analyse concrète, et actuellement je ne fréquente pas d’endroit où se confrontent les avis, lectures, expériences à propos de telles procédures, alors que c’est sans doute la meilleure manière qui soi de creuser.

      @colporteur, tu as raison en disant que c’est à partir du partage et de la confrontation d’expériences personnelles diverses, qu’on pourra saisir ce que ces mesures vont impliquer concrètement. Je pense que le rapporchement futur possible entre les opérateurs téléphoniques et les services de prestations, à des fin de surveillance et de tracking, est illégal. Comme tu l’as dit, l’idée intéressante me semble celle selon laquelle les institutions bureaucratiques tendent à être davantage intrusive dans la vie de leurs « administrés », pour ne pas dire qu’elles ambitionnent de fouiner dans leurs vies. Et à chercher les #fraudeurs, c’est au mauvais endroit que ces institutions le font, sachant que l’#évasion_fiscale coûte des centaines de milliards à l’Etat versus quelques milliards de « soi-disant fraudeurs » des allocations familiales...

      Merci aussi @monolecte pour cette référence qui manquait.

    • Publireportage dans le 93 : La CAF mise sur Internet pour diminuer les files d’attente (et booster la productivité des #contrôles, ndc)
      http://www.leparisien.fr/aulnay-sous-bois-93600/la-caf-mise-sur-internet-pour-diminuer-les-files-d-attente-18-10-2015-519

      « Allez-y, il faut cliquer là et entrer votre salaire. » Mama, médiatrice sociale à la Caisse d’allocations familiales (CAF) d’Aulnay-sous-Bois est en train de guider Rahima derrière un écran d’ordinateur. L’allocataire est venue savoir si elle pouvait toucher le revenu de solidarité active (RSA) et à quelle aide personnalisée au logement (APL) elle avait droit.

      Mama explique, étape par étape, comment procéder à une simulation sur le site Internet de la CAF. Elle reprend les explications mais laisse Rahima autonome, souris à la main.

      Cette nouvelle formule d’accueil a été mise en place en février dernier dans l’agence d’Aulnay et s’installe progressivement dans tout le département. Le dernier site à l’adopter sera celui de Rosny-sous-Bois, à partir du 3 novembre prochain. La CAF offre désormais au public l’accès à un « espace multiservices », équipé d’ordinateurs, qui complète l’accueil en rendez-vous. L’enjeu : faciliter les démarches, et réduire l’attente.

      « Nous avons mis en place cet espace, dans lequel les allocataires sont autonomes ou accompagnés par un professionnel, explique Julia Colombat, sous-directrice en charge du développement territorial. Il y a également un accueil sur rendez-vous, qui peut être pris par téléphone ou directement à l’agence. Et pour les cas les plus urgents, il existe un bureau qui prend en charge les demandes qui ne peuvent attendre. »

      Cette forme d’accueil donne un air de cybercafé aux agences de la CAF, mais présente d’autres avantages : « Notre projet est de garantir aux habitants un accès au droit plus simple et rapide, confie la responsable. À terme, ils pourront faire leurs démarches directement de chez eux ou sur leur smartphone, et les grandes files d’attentes disparaîtront. »

      Rahima quitte l’agence avec une date de rendez-vous pour discuter avec un conseiller. « C’est vraiment mieux qu’avant, se réjouit la quinquagénaire. Maintenant que l’on m’explique tout j’essaye de refaire sur Internet quand je rentre chez moi et c’est plus rapide. »

      #demandeurs_de_revenu


  • SeenThis ne l’utilise pas pour la connexion au site Web mais l’API, elle, s’en sert :

    RFC 7617 : The ’Basic’ HTTP Authentication Scheme

    Ce court #RFC (re-)définit le mécanisme d’authentification « de base » (basic authentication scheme) de #HTTP : un mécanisme trivial, où un nom d’utilisateur et un mot de passe sont transmis en Base64 au serveur HTTP. Ce RFC (et ses copains) annule et remplace l’ancien RFC 2617.

    http://www.bortzmeyer.org/7617.html

    #authentification #sécurité_informatique


  • Votre manière de taper sur un clavier vous trahira bientôt sur Internet
    https://www.slate.fr/story/105009/taper-clavier-trahir-internet

    Votre manière d’utiliser un clavier d’ordinateur constitue une signature unique : promue pour renforcer la sécurité en ligne, cette « biométrie comportementale » risque de menacer la préservation de l’anonymat sur Internet.

    "L’anonymat sur Internet" (web), aujourd’hui c’est déjà une blague pour la plupart des internautes.

    Ceci étant dit, pour ce qui est du sujet, c’est effectivement sans doute à relativiser encore, mais c’est clair qu’on arrivera sans doute à des modèles puissants. Mais alors que faire des faux-positifs qui seront nécessairement plus nombreux ? Est-ce finalement si viable ?

    D’abord, pour ce qui est des activités sensibles, sur Tor (selon son utilisation), pour lutter contre une surveillance ciblée ou simplement contre la traque marketing de manière efficace, il faut bien évidement commencer par désactiver JavaScript. Ce qui devrait pour le moment encore régler le problème.

    1/ Ensuite, en terme d’identification, il y a un potentiel certain (marketing en particulier). Cependant, la plus-value sur le bon vieux cookie ne m’apparaît pas évidente... Et encore moins sur l’empreinte navigateur (cf. https://panopticlick.eff.org ).

    Pour autant on peut par exemple facilement supposer Facebook ou Google créer pour chacun de ses utilisateurs une signature (plus ou moins) unique de frappologie (et autre : mouvement du curseurs de la souris, etc.). Ensuite, via un script et une API ils proposent à n’importe qui d’identifier automatiquement leurs utilisateurs.
    L’internaute gagne du temps, obtient du contenu personnalisé et il est supposé être content. Le site identifie son utilisateur et peut même récupérer le profil marketing complet de son utilisateur sans lui avoir rien demandé. Et Facebook ou Google se goinfrent de données, as usual.
    Et le tout sans cookie.

    À ce propos, le nouveau captcha de Google (cocher "je ne suis pas un robot") fonctionne d’ailleurs déjà de cette manière, par l’analyse des mouvements du curseurs. Combiné aux cookies, ils ont donc probablement déjà une signature de chacun de leurs utilisateurs.

    2/ Pour ce qui est de l’authentification (à ne pas confondre avec l’identification), avant d’arriver à des modèles 100% fiables (et en supposant cela possible), on risque d’arriver à des méthodes hyper contraignantes (ne pas pouvoir céder l’accès à un tiers, ne pas réussir à s’authentifier parce qu’on utilise un clavier différent ou qu’on a changé les paramètres de sa souris...) qui obligeront à des solutions de secours. Et donc probablement au rejet des utilisateurs (le "ça marche pas"). En production, ça peut à mon avis au mieux fonctionner comme un avertisseur pour demander une authentification supplémentaire (comme c’est le cas aujourd’hui quand on se connecte avec une IP "exotique" par exemple).

    3/ Mais dans l’article il y aussi en filigrane (et de façon explicite en suivant les liens) cette idée que l’analyse comportementale (ou "biométrie douce") pourrait conduire à la projection de caractères sur l’individu :

    « En France, le professeur Christophe Rosenberg, professeur à l’Ecole nationale supérieur d’ingénieurs (ENSI) de Caen s’intéresse à la « biométrie douce » pour connaître certains traits de personnalités. « Dans les prochaines années, il sera possible d’analyser la personnalité d’un individu, comme le font les graphologue. Ce n’est pas de la science-fiction », explique-t-il au quotidien du soir. Preuve de l’engouement pour ce nouveau domaine d’études, la Commission nationale de l’informatique et des libertés (CNIL) a autorisé en juillet 2011 un avis autorisant la « reconnaissance de la frappe au clavier ». »
    Source : http://www.blog-emploi.com/recrutement-apres-la-graphologie-la-frappologie

    Ce qui pose un problème sans doute bien supérieur (et ce sans même avoir à se prononcer sur la fiabilité : l’utilisation de ses méthodes, efficaces ou non, sont de toutes manières délicates voire dangereuse). On pourra alors parler, avec Cathy O’Neil, de "nouvelle phrénologie" :
    http://alireailleurs.tumblr.com/post/112768514361/les-big-data-sont-elles-la-nouvelle-phr%C3%A9nologie

    #Analyse_comportementale #Analyse_de_données #Anonymat_sur_Internet #Authentification #Biométrie_douce #Frappologie #Marketing #Numérique #Phrénologie #Vie_privée



  • OpenID Connect : un nouveau standard de SSO - RMLL 2015
    https://2015.rmll.info/openid-connect-un-nouveau-standard-de-sso?lang=fr

    OpenID Connect est un protocole d’authentification unique (SSO - Single Sign On) bâti au-dessus du framework OAuth 2.0. Porté par la fondation OpenID, il est toute fois très différent des protocoles OpenID 1.0 et OpenID 2.0, désormais considérés comme obsolètes.

    Cette conférence vous fera découvrir ce nouveau standard, et fera quelques comparaisons avec d’autres comme SAML ou CAS.

    #openid


  • Votre activité en ligne sera-t-elle votre prochain mot de passe ? - Technology Review
    http://alireailleurs.tumblr.com/post/118347152427

    On sait combien il est difficile de se souvenir de ses mots de passe et ce d’autant qu’il faudrait les démultiplier par le nombre d’applications et services qu’on utilise. Et si notre activité en ligne permettait de générer de meilleurs mots de passe ? Quel est le dernier film que vous avez visionné sur Netflix ? Avec qui avez-vous échangé un SMS hier ?… Des questions de ce type pourraient permettre de remplacer très simplement la plupart des mots de passe, rapporte la Technology Review. Tel est l’enjeu d’ActivPass : créer des mots de passe selon le journal d’activité des utilisateurs. Les chercheurs qui s’intéressent à ce sujet ont noté qu’on se souvient assez bien des événements rares de nos activités numériques et que ceux-ci ne sont connus que de nos machines et de nous. L’authentification basée sur nos (...)

    #sécurité #authentification


  • Playing with two-factor authentication in Linux using Google Authenticator
    http://blog.remibergsma.com/2013/06/08/playing-with-two-facor-authentication-in-linux-using-google-authen

    The Google Authenticator project provides a PAM module than can be integrated with your Linux server or desktop.

    #Authentification_forte #Cryptographie #Google_Authenticator #Pluggable_Authentication_Modules #Sécurité_informatique


  • RFC 7435 : Opportunistic Security : Some Protection Most of the Time

    Les révélations de Snowden ont sérieusement relancé l’intérêt pour la sécurité informatique, et notamment sur les risques d’espionnage. Mais, en sécurité, le mieux est parfois l’ennemi du bien. Certaines exigences de sécurité peuvent mener à des solutions techniquement parfaites mais tellement compliquées à utiliser qu’elles ne seront que peu ou pas déployées. C’est par exemple le cas de l’#authentification pour utiliser le #chiffrement. Si on impose l’authentification forte du pair avant de chiffrer, on risque de ne pas pouvoir chiffrer, dans des cas où ce serait pourtant bien utile. Ce nouveau #RFC, par le mainteneur de Postfix, définit un concept utile, cela de #sécurité_opportuniste (opportunistic security) : on chiffre quand on peut, même sans authentification, et on authentifie si c’est possible. L’idée est d’augmenter sérieusement la part de trafic chiffré dans l’Internet.

    http://www.bortzmeyer.org/7435.html


  • Démonstration d’une attaque par login social
    http://korben.info/social-login-attaque.html

    D’un côté, il y a vous... Vous avez, par exemple, un compte sur Slashdot (comme dans la démo ci-dessous) ou un autre site et vous êtes bien inscrit avec votre email toto@gmail.com. De l’autre côté, il y a l’affreux script kiddy qui se rend sur Linkedin, site sur lequel vous n’êtes pas inscrit. Il se crée alors un compte avec VOTRE adresse email (toto@gmail.com). Linkedin vous envoie un email de confirmation, mais même si l’email n’est pas vérifié, le hacker est bien authentifié sous Linkedin.

    L’attaquant peut alors se rendre sur Slashdot, et demander à se logger avec le compte Linkedin qu’il a créé avec votre email. Et paf, il accède à votre compte sans avoir besoin de quoi que ce soit.

    Putain c’est tellement trivial...

    #Authentification_unique #Faille_de_sécurité #Piratage_informatique

    • Toujours attendre la vérification email avant de connecter le compte.

      Pas d’accord, ça dépend à quoi se connectera le compte et évidemment quels sont alors ses droits.
      @b_b pareil Moi qui bataille et même fâche parfois les amis pour leur faire comprendre de pas utiliser cette daube de linkedin qui sniffe toutes leurs adresses, ça me fait bien rire de voir qu’ils ne protègent même pas leurs propres utilisateurs. Mais d’ailleurs, pourquoi le feraient -ils ? c’est comme hotmail, c’est leur fond de commerce. Les banquiers se foutent bien d’où vient l’argent, d’une arnaque linkedin orange ou hotmail, les banques raffolent des failles de sécu.

      Tiens, je viens de recevoir un mail d’urgence d’une amie (qui vient de se faire pirater vous aurez compris) « surtout ne m’appelle pas » j’ai quand même répondu pour rire …


  • France Connect, nouveau cheval de bataille de l’administration numérique - Localtis.info
    http://alireailleurs.tumblr.com/post/100650898651

    Philippe Parmantier pour Localtis.info revient sur le développement de France Connect, le projet de service d’identification et d’authentification des usagers des services de l’administration mené par la Direction de l’information légale et administrative (Dila). Le dispositif, développé par le Secrétariat général pour la modernisation de l’action publique (SGMAP), cible les services publics de l’Etat, les administrations et les collectivités locales qui bénéficieront à court terme d’un support d’identification unifié, bon marché et relativement facile à implémenter dans leur propre système d’information, un peu à l’image des systèmes d’authentification sociaux que nous utilisons tous et trop. L’idée, proposer aux administrés un système d’authentification unique pour tous les sites publics avec lesquels il est (...)

    #administration #politiques_publiques #authentification #identifiant_unique


  • Comment Facebook et Google prennent en charge votre identité ? - Quartz
    http://alireailleurs.tumblr.com/post/99551832913

    La bataille du marché des services d’authentification sociaux fait rage entre Facebook Google, Yahoo, Twitter et Linked-in, signalait déjà ArobaseNet en février. Nous sommes de moins en moins anonymes en ligne, rapporte Quartz, identifiés en permanence par les services d’authentification des grands acteurs du net. 

    "Vos comptes Facebook ou Google sont peu à peu devenus des passeports, donnant accès à tous les territoires du Net. 

    Les fournisseurs d’identité que sont Facebook et Google permettent à votre identité et à votre réseau relationnel de vous accompagner partout. Facebook et Google représentent plus de 80% des moyens d’authentification sociaux en ligne.

    Chassés dans les bras de ces 2 grands fournisseurs d’identité par le volume de mots de passe et d’identifiant dont il nous fallait nous souvenir (un (...)

    #authentification #identification


  • Excellent article sur les mots de passe, tordant le cou à pas mal d’idées reçues, notamment aux ridicules conseils de sécurité culpabilisants qu’on donne trop souvent à M. Michu (le tweet de la Gendarmerie cité en exemple dans l’article est particulièrement mauvais)

    http://www.cyber-securite.fr/2014/06/15/et-si-on-disait-stop-a-lhypocrisie-autour-des-mots-de-passe

    À noter que SeenThis n’a qu’un seul mécanisme d’authentification, les mots de passe. Raison de plus de seener cet article :-)

    #mot_de_passe #sécurité_informatique #authentification #keepass


  • SuperGenPass : A Free Bookmarklet Password Generator
    http://supergenpass.com

    SuperGenPass is a different kind of password solution. Instead of storing your passwords on your hard disk or online—where they are vulnerable to theft and data loss—SuperGenPass uses a hash algorithm to transform a master password into unique, complex passwords for the Web sites you visit.SuperGenPass is a bookmarklet and runs right in your Web browser. It never stores or transmits your passwords, so it’s ideal for use on multiple and public computers. It’s also completely free and open-sourced on GitHub.

    Voilà une solution bien intégrée, user friendly, KISS, configurable, etc. de la méthode de hash (MD5 ou SHA) d’un mot de passe + nom de domaine par le client. Cela permet d’avoir des mots de passe forts (plus ou moins car uniquement alphanumériques...) et surtout uniques et ce très simplement. Le bookmarklet permet d’être multi-plateformes (dont mobile -pas testé-), multi-navigateurs, pérenne et facilement personnalisable.

    À noter que le hash (par javascript) n’est pas exécuté sur la page d’authentification afin d’éviter qu’une éventuelle page hostile puisse récupérer votre mot de passe maître, mais sur une page dédiée accessible en https. Il doit donc être simple de l’auto-héberger.

    Le code sur GitHub :
    https://github.com/chriszarate/supergenpass

    La FAQ :
    https://github.com/chriszarate/supergenpass/wiki/FAQ

    Bien sûr ça ne résout pas tout, mais ça me semble une implémentation intéressante. Qu’en pensez-vous ?

    #password #mot_de_passe #authentification


  • Les mots de passe sont obsolètes - Medium
    http://alireailleurs.tumblr.com/post/84215863684

    Justin Balthrop (@ninjudd) a 268 mots de passe sur 268 sites web différents, d’après son gestionnaire de mot de passe. Et encore a-t-il arrêté d’y stocker ses nouveaux mots de passe depuis un certain temps. Maintenant que la faille Heartbleed a été révélée, il devrait les changer… explique-t-il sur Medium. Mais combien de ces mots de passe changera-t-il vraiment ? Il lui a fallu 10 minutes pour changer celui de sa banque… Quid de l’utilisateur lambda qui utilise le plus souvent un mot de passe unique pour tous les sites qu’il utilise ? Les services en ligne peuvent envoyer des e-mails aux utilisateurs pour qu’ils changent leur mot de passe, ils savent bien que bien peut le feront. En fait, ils auraient du effacer les mots de passe de leur base, cela aurait été une meilleure solution. A l’heure des (...)

    #sécurité #authentification


  • Classement des systèmes d’authentification (social login) - #Arobasenet
    http://www.arobasenet.com/2014/02/classement-systeme-authentification-social-598.html

    La bataille du marché des services d’authentification sociaux fait rage entre Facebook (51%), Google+ (28%), Yahoo ! (15%), Twitter (4%), Linked-in (1%). Partout (mobile, sites d’ecommerce, sites de médias, sites de marques...), Facebook est majoritairement utilisé. Dommage que l’étude ne parle pas de l’authentification unique (non sociale) pour en montrer la part sur l’ensemble des formes d’authentification... Pas sûr que l’authentification sociale soit tant la règle que cela. La majorité des sites proposant encore (heureusement), leurs propres solutions d’authentification... Tags : internetactu2net fing internetactu #ecommerce mesinfos (...)

    #authentification #confiance


  • Réparer l’enregistrement - Liminal Existence
    http://blog.romeda.org/2013/06/thoughts-on-signin.html

    Blaine Cook de Poetica, estime que l’enregistrement sur un site est une affaire délicate à laquelle on ne porte pas assez d’attention. Alors pour sa nouvelle start-up, Poetica, il a décidé de faire autrement. Le site ne vous demande qu’un e-mail, aucun mot de passe. La solution, utiliser un fournisseur d’#authentification utilisant déjà leur adresse e-mail et en leur demandant une seule authentification à l’inscription. Tags : internetactu2net (...)

    #identification #vieprivee




  • Google Authenticator - #Android Apps on #Google Play
    https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en

    Enable 2-step verification to protect your account from hijacking.
    Google Authenticator generates 2-step verification codes on your phone.

    Une appli android (mais ça existe aussi pour iOS apparemment) qui permet de faire de l’#authentification multifacteur. Pour se connecter à son compte Google, on doit saisir son identifiant et son mot de passe comme d’habitude, mais on doit également renseigner un code personnalisé qui apparaît sur l’appli de son téléphone et qui change toutes les 30 secondes.

    Le code de l’application est disponible :
    https://code.google.com/p/google-authenticator

    Ça repose sur un standard nommé TOTP :
    http://tools.ietf.org/html/rfc6238

    Et du coup ça peut s’utiliser à différents endroits : pour l’instant j’ai pu tester Google et AWS (Amazon Web Services). Le même type de système existe pour ebay et Paypal par exemple, mais avec une appli à part nommée VIP Access, et qui m’inspire moins, l’app de Google ayant l’avantage d’être open source et de ne demander aucune permission particulière.

    https://play.google.com/store/apps/details?id=com.verisign.mvip.main
    https://vipmobile.verisign.com/home.v

    Enfin, il existe même un module PAM :

    http://code.google.com/p/google-authenticator/wiki/PamModuleInstructions

    ce qui permet de l’utiliser pour de l’authentification utilisateur sous #Linux (en #SSH par exemple) :

    http://www.mnxsolutions.com/security/two-factor-ssh-with-google-authenticator.html

    Pour ceux qui auraient peur d’être bloqué en cas de perte ou d’indisponibilité de son téléphone, plusieurs mécanismes permettent d’éviter ce genre de désagréments :
    – sauvegarde de la clé permettant de générer les codes temporaires
    – génération de plusieurs « scratch-codes », mots de passe fixes à usage unique pouvant être utilisés en cas d’urgence
    – sélection de certains ordinateurs comme étant « de confiance » pour les comptes Google, et donc avec une authentification « simple » pendant trenete jours

    #sécurité


  • RFC 6541 : DKIM Authorized Third-Party Signers

    Depuis la sortie de la norme #DKIM d’#authentification du #courrier_électronique, il y a des incompréhensions sur ce que DKIM garantit réellement. Beaucoup d’utilisateurs croient que, lorsqu’un message prétend venir de joe@example.net et qu’il est signé par DKIM, on peut être sûr que le message vient de joe@example.net. Rien n’est plus faux. DKIM garantit tout autre chose. Il dit juste que l’identité du domaine signeur, dans le champ DKIM-Signature :, est correcte. Résultat, il y a un fossé entre ce qu’espère l’utilisateur et ce que DKIM livre effectivement. Ce #RFC expérimental propose une solution pour combler ce fossé.

    http://www.bortzmeyer.org/6541.html