30 janvier 2010

La Citadelle Electronique s'offre un nouveau logo


2010 s'annonce riche pour les identités numériques. Le 4 mars nous aurons le 1er Geneva Application Security Forum. Le site est en construction et sera très prochainement en ligne.

A l'occasion de ce forum, les sections respectivement genevoise et romande de OpenID et OWASP organiseront un cycle de conférences sur l'authentification forte dans les applications web. Au programme, un état de l'art des technologies d'authentification forte disponibles pour le web et accessibles aux entreprises quels que soient leurs besoins et leur budget.

Probablement que la Citadelle va aussi changer de "moteur de blog". Je suis en train de regarder pour migrer sur Wordpress.

Bref les choses bougent et c'est vraiment bien. Dans ce sens la Citadelle s'offre un logo tout beau tout neuf.

Sylvain Maret

Publié par Sylvain Maret à l'adresse 1/30/2010 06:40:00 PM 0 commentaires

21 janvier 2010

Actualité OWASP Genève et OpenID Switzerland premier trimestre 2010

L’année 2010 démarre rapidement avec deux événements importants dédiés à la sécurité logicielle, pour lesquels la Citadelle Électronique, Owasp Genève et OpenID Switzerland joueront les rôle de partenaire et d’organisateur.


== Insomni’hack 2010

Pour la troisième année consécutive, la société SCRT réédite un concept qui a permis à plus d’une centaines de passionnés de sécurité de l’information, amateurs ou professionnels, venus de Suisse et France voisine, de mettre en application leurs connaissances dans le cadre d’une compétition.

En tant que partenaire de l’événement, OpenID Switzerland tiendra un stand d’information auprès duquel vous pourrez venir vous informer sur les projets actuels et les futures activités d'OpenID 2010.

Que vous soyez visiteur ou participant, n’hésitez donc pas à passer au stand OpenID Switzerland si vous souhaitez en savoir plus sur la fondation!

Insomni’hack 2010 aura lieu le 22 janvier prochain, à la Haute Ecole du Paysage d'Ingénierie et d'Architecture, à Genève.
La participation à la compétition est gratuite et ouverte à tous, sur simple inscription via la page officielle de l’événement: SCRT


== Geneva Application Security Meeting (OWASP Geneve chapter meeting and OpenID Switzerland)


Première édition d’une manifestation organisée conjointement par OWASP Genève et OpenID Suisse romande, la conférence Geneva Application Security Meeting accueillera des intervenants venus présenter l’état des connaissances en matière d’intégration de l’authentification forte dans les applications web. Une occasion unique de découvrir et comprendre des solutions d’authentification forte aujourd’hui proposées aux grandes et moins grandes entreprises, quels que soient leurs budgets.


Ce sera également l’occasion pour les plus curieux de participer en exclusivité à un laboratoire "authentification forte", où les participants pourront mettre en œuvre le dispositif d’authentification forte conçu par la société Yubico. Les participants se verront ainsi offrir une clé d’authentification forte YubiKey qu’ils activeront pour leur usage personnel (ou professionnel) et avec laquelle ils pourront repartir dès la fin de la manifestation.


Geneva Application Security Meeting aura lieu le 4 mars prochain, à Genève.

Des informations détaillées quant aux lieu, site officiel et formalités d’inscription (inscription gratuite) vous seront communiquées très prochainement sur le site OWASP Genève et OpenID Switzerland

Vous pouvez toutefois déjà trouver un agenda détaillé de la manifestation sur Citadelle électronique.


Sur ces bonnes nouvelles, je conclus ce message en vous invitant chaleureusement à réserver dans votre agenda les soirées des 22 janvier et 4 mars prochains, tout en vous présentant mes meilleurs voeux pour cette nouvelle année 2010.

Meilleures salutations,

Sylvain Maret / Responsable OpenID Suisse Romande

Publié par Sylvain Maret à l'adresse 1/21/2010 08:58:00 PM 0 commentaires

20 décembre 2009

Dernier billet pour l'année 2009: Réflexion .....


Voilà la fin de 2009... Une année riche en découvertes et exploration !

L'aventure de la sécurité des identités numériques avec OpenID continue. Pour 2010 il y aura probablement le lancement d'une thèse de Master sur OpenID et l'authentification forte. Je vous tiendrai au courant. Et surtout notre événement le 4 mars à Genève avec OWASP:

Geneva Application Security Meeting 2010

2010 s'annonce aussi riche pour OpenID !

Plus le temps passe et plus je suis convaincu que la sécurité des identités est un enjeux important pour nos enfants (Génération Y / Digital Native Generation)

On verra si OpenID est peut être une solution pour la protection de nos identités numérique ??? Je pense que c'est une approche pragmatique....



La Citadelle Électronique vous souhaite de joyeuses fêtes de fin d’année et ses meilleurs vœux pour 2010 !


Publié par Sylvain Maret à l'adresse 12/20/2009 01:09:00 AM 0 commentaires

10 décembre 2009

Un grand pas pour OpenID: OpenID got into ICAM for LOA 1

OpenID est maintenant une technologie adaptée par les Etats Unis pour les services eGouvernement ICAM :

Un grand moment pour OpenID. Un pas de plus pour la sécurité de nos identités numériques sur le net. That Cool ......

Et aussi un pas vers l'évolution des techniques de sécurité pour l'authentification ..... et l'authentification forte !

En complément la réponse de Robert Ott, Founder OpenID Switzerland, suite à cette question:

Sylvain: Do you agree with the ICAM position ?


OpenID 2.0 can be used to conduct low-risk transactions with the

Federal Government. At this time, OpenID 2.0 is suitable for LOA 1

authentication only


Robert Ott: Hi Sylvain,

I agree to some extend because it says 'At this time...'. If we consider the requirements to be fulfilled even only for LOA 1, I believe most of the current OpenID IDP's have not reached that level of maturity to fulfill levels higher the LOA 1 yet. While some of the provider fulfill many of the points what would allow them to claim LOA higher than 1, but a real claim for LOA > 1 would mean to fulfill ALL of the requirements. Thus, I think it is a valid and important statement that OpenID got into ICAM for LOA 1. As soon as the trust framework has evolved and we have whitelisted OpenID IDP's that fulfill all points of LOA 1, we will be able to try to go a step forward for higher LOA levels. On the other hand as soon as we look at the requirements for LOA > 1, the assurance level for the identities increases dramatically and might need to base on trust frameworks such as eGovernment issued / controlled ID's (e.g. eID Estonia, SuisseID etc.). To conclude, I'm very pleased that the OIDF has made it that OpenID got part of ICAM, great work!

Regards

Robert



Plus d'information: Open Identity Solutions for Open Government

Et un très bon doc: Open Solutions for Open GovernmentOpen GovernmentPortable IdentityPortable IdentityTechnical ApproachTechnical Approach

-------------------------------------------------------------------------------------


Towards Stronger Authentication in Web Applications...

in partnership with OWASP and OpenID

and get one Yubikey for free to protect your digital identity



Join us :-)



Publié par Sylvain Maret à l'adresse 12/10/2009 09:38:00 PM 0 commentaires

OpenID 2.0 and Strong Authentication ? so 2FA is 'wasted'...

Et pourquoi pas ?

Le point de vue de la FICAM sur OpenID et l'authentification forte ! Je suis pas convaincu pour le moment.... A méditer !

OpenID ne permet pas d'être LOA3 ?

Extrait du document ICAM OpenID 2.0 Profile:

"OpenID 2.0 as described in this document has completed the scheme adoption process and has been adopted by Federal Identity, Credential, and Access Management (ICAM) for the purpose of Level of Assurance (LOA) 1 identity authentication (i.e., conducting low risk transactions with the Federal government). Proper use of this Profile ensures that implementations:

• Meet Federal standards, regulations, and laws;
• Minimize risk to the Federal government;
• Maximize interoperability; and
• Provide end users (e.g., citizens) with a consistent context or user experience at a Federal Government site.

This Profile does not alter the OpenID 2.0 standard, but rather specifies which areas of the standard can be used for technical interoperability of government applications, and how they will be used.

The OpenID 2.0 protocol facilitates exchange of OpenID messages (requests and/or responses) between endpoints. For this adopted scheme, messages pertain primarily to the exchange of an identity assertion that includes authentication and attribute information. In ICAM, the endpoints are typically the Relying Party (RP) and the Identity Provider (IdP).

OpenId 2.0 defined herein includes the following features: single sign-on, session reset, attribute exchange, pseudonymous identifiers, and authentication policy. In addition, this Profile defines two main OpenID 2.0 use cases: the end user starting at the RP and the end user starting at the IdP. Use case diagrams and sequence diagrams are provided to illustrate the use cases. Privacy, security, and activation are also discussed. Programmed trust (a mechanism to indicate to RPs which IdPs are approved for use within ICAM) is also discussed, and a high-level process flow diagram is provided.

The Profile concludes with detailed technical guidance that scopes OpenID 2.0 for ICAM purposes. Like most specifications, OpenID 2.0 provides options. Where necessary, ICAM specify or removes options in order to achieve better security, privacy, or interoperability."


Plus d'info: ICAM OpenID 2.0 Profile

@smaret yes, but pairing 2FA with OpenID could be incongruous. ICAM says OpenID tops out at LOA1, so 2FA is 'wasted'...

Publié par Sylvain Maret à l'adresse 12/10/2009 12:00:00 AM 0 commentaires

Inscription à : Messages (Atom)