Bienvenue et merci d'être revenu sur notre site! Vous pouvez souscrire à notre flux RSS RSS feed. Merci de votre visite!

Jadis les grandes entreprises utilisaient le Telex, puis chacun devint l’adepte du fax (dont la valeur juridique est très faible: facilement contestable), pour finir par tomber dans la facilité de l’email (et du document PDF en pièce jointe) SANS grande valeur probante.

En fait, nous évoluons au ralenti dans un monde où les hommes devaient passer devant Notaire pour protéger leurs droits.

Puis est apparue la technologie des certificats digitaux qui représentèrent un progrès. Mais leur coût relativement élevé, leurs contraintes et le manque d’interoprabilité en rebutèrent un grand nombre.

Puis vint la technologie “de la boucle SMS”, un système breveté qui assure l’authentification électronique des parties en combinant: login (adresse email) + mot de passe + code confidentiel à durée de vie éphémère de 30 secondes envoyé par SMS crypté sur le téléphone mobile.

Désormais, grâce à cette méthode universelle et instantanée d’identification simple et ludique, vous pouvez envoyer des “documents tout électroniques recommandés avec accusé de réception et valeur probante”. L’archivage des preuves légales est sécurisé dans un coffre fort électronique nominatif communicant dont les données sont chiffrées 4096 bits. Ces coffres forts nominatifs sont protégés dans l’un des data centres les plus sécurisés au monde. Et partout où vous trouvez dans le monde, même si vous n’êtes pas devant votre ordinateur, vous pouvez envoyer/recevoir/avoir accès à votre bureau virtuel.

Votre manière de faire des affaires, de même que votre vie, ne seraient-elles pas plus simples, rapides et sécurisées ?

Imaginez la vie qui serait la vôtre:

* sans contrainte,
* sans risquer de perdre vos preuves légales (en cas de vol de votre ordinateur, de crash de votre disque dur, ou de perte de vos documents papiers),
* sans avoir à dépenser de l’argent et à perdre un temps précieux pour signer physiquement vos documents face à face avec vos concontractants.

Le fait est que:

1. Vous conférerez une valeur probante à TOUS TYPES DE DOCUMENTS envoyés via cette solution en ligne. Toutes les professions et les entreprises sont concernées: mais surtout celles qui désirent gagner en compétitivité et sécuriser leurs preuves légales.
2. Vous pouvez vous engager juridiquement à partir de votre ordinateur (bientôt aussi de votre PDA ou Smartphone) et obtenir la preuve légale que vos correspondants ont pris connaissance, approuvé ou refusé vos documents.

Ce sont quelques exemples des changements importants que ce nouveau système de notarisation et d’archivage sécurisé des documents électroniques apporte dans votre vie.

Grâce à EREGEX, le rêve devient réalité ! Il ne s’agit pas d’emails avec accusé de réception, mais bel et bien de documents tout électroniques recommandés avec accusé de réception et valeur probante (le contenu est scellé et certifié par le Tiers de Confiance).

Désormais, cette technologie déjà utilisée en mode CRN par les plus grandes entreprises mondiales pour traiter leurs factures électroniques, est accessible à tous grâce à une interface Internet.

EREGEX crée le marché…

Si votre soucis est la qualité; elle est notre obsession!

Nous sommes engagés à ne jamais cesser d’élever le standard de qualité: pour atteindre le défaut zéro, afin de vous permettre de dématérialiser vos échanges en confiance par l’intermédiaire.

Vous êtes parmi les tous premiers à découvrir cette révolution de l’Internet. Serez-vous parmi les tous premiers à gagner en productivité et à bénéficier d’un avantage concurrentiel face à la concurrence ?

Le changement est bon…
Vous assistez à la naissance d’un nouvel outil d’échanges électroniques plus sûr, plus rapide, plus agréable, plus écologique (sans papier). Il s’agit là d’un véritable changement de paradigme en affaires ! Pourquoi ne pas écrire l’histoire en devenant l’un des tous premiers à utiliser un EREGEX ?

Je ne suis pas le premier à tenter de vulgariser le concept d’identité numérique, Leafar (Raphaël pour les intimes) a ainsi déjà proposé une représentation de l’identité numérique (voir son billet : U.lik unleash Identity 0.2), j’avais également déjà abordé la question dans un précédent billet. Je souhaite avec cet article compléter cette vision et y apporter ma touche personnelle.
Les utilisateurs au coeur du web 2.0

Avec la prolifération des blogs et wikis, la multiplication des réseaux sociaux et l’explosion du trafic sur les plateformes d’échanges, les contenus générés par les utilisateurs prennent une place toujours plus importante dans notre consommation quotidienne de l’internet. Tous ces contenus laissent des traces sur les sites qui les hébergent et dans les index des moteurs de recherche, ils sont également systématiquement rattachés à un auteur. De plus, la notoriété numérique des individus ainsi que sa valorisation (monétisation de l’audience, de l’expertise…) va rapidement amener les internautes (consomm’auteurs et consomm’acteurs) à se soucier de leur identité numérique.
De la volatilité de l’identité numérique

L’identité numérique d’un individu est composée de données formelles (coordonnées, certificats…) et informelles (commentaires, notes, billets, photos…). Toutes ces bribes d’information composent une identité numérique plus globale qui caractérise un individu, sa personnalité, son entourage et ses habitudes. Ces petits bouts d’identité fonctionnent comme des gènes : ils composent l’ADN numérique d’un individu.

identitenumeriquesimple

Gérer son identité numérique veut dire surveiller l’utilisation de chacune des ces bribes d’information, cette tâche est complexe surtout pour un individu qui souhaite exploiter l’internet comme une vitrine. Nous allons donc progressivement devoir acquérir une vision à 360° de toutes les traces que nous laissons au quotidien de manière à maitriser l’image que l’on donne de nous même.

Les différentes facettes de l’identité numérique

Comme nous venons de le voir, notre identité numérique est composée de nombreuses informations (ou traces) qui peuvent être regroupées en facettes :

* Les coordonnées, c’est à dire tous les moyens numériques qui permettent de joindre un individu (email, messagerie instantanée, N° de téléphone), de l’identifier (fichier FOAF ou hCard) ou de le localiser (Adresse IP) ;
* Les certificats qui sont délivrés par des organismes ( Certinomis, Thawte…), des services ( OpenID, ClaimID, Naimz ou des logiciels ( CardSpace) afin d’authentifier un utilisateur ;
* Les contenus publiés à partir d’outils d’expression qui permettent de prendre la parole : blog, podcast, videocast, portail de journalisme citoyen ( Agoravox, Wikio…) ;
* Les contenus partagés à l’aide d’outils de publication : photos ( FlickR), vidéos ( YouTube, Dailymotion…), musique ( Radio.blog.Club) ou liens ( del.icio.us) ;
* Les avis sur des produits ( U.lik, CrowdStorm, iNods…), des services, des prestations (ex. voyages avec TravelPost) ou même information ( Digg) ;
* Les hobbies qui sont partagés par les passionnés sur des réseaux sociaux de niche ( Boompa pour l’automobile, Cork’d pour le vin, BakeSpace pour la cuisine…).
* Les achats réalisés chez des meta-marchands (comme Amazon ou eBay), avec des systèmes de paiement (comme Paypal ou Google Checkout) ou de programmes de points de fidélité (comme S’Miles ou Maximiles) qui permettent de modéliser les habitudes de consommation ;
* La connaissance diffusée au travers d’encyclopédies collaboratives ( Wikipedia), de plateforme de FAQ collaborative (comme Yahoo! Answers ou Google Answers) ou de sites de bricoleurs ( Instructables) ;
* Les portails ( Monster, WetFeet…) et réseaux sociaux ( LinkedIn, Xing…) qui servent à donner de la visibilité à sa profession ;
* Les services qui gèrent la notoriété d’un individu ( Technorati, Cymfony…), sa fiabilité ( Biz360) et sa réputation ( RapLeaf, iKarma, ReputationDefender…) ;
* Les services de rencontre ( Meetic, Friendster…) et de fédération d’individus en audiences homogènes ( MySpace, MyBlogLog…) ;
* Les jeux en ligne ( World of Warcraft, Everquest…), les univers virtuels ( SecondLife, There, Habbo Hotel…) et les services en ligne ( SitePal, Gravatar) qui permettent d’afficher un avatar.

Le schéma suivant synthétise les différentes facettes de l’identité numérique :

identitenumeriquecomplete

Pour un schéma de plus grande taille, je vous recommande la version publiée sur FlickR : Cartographie de l’identité numérique (et il y a même une version en anglais : Digital Identity Mapping)

C’est en participant à tous ces services et outils qu’un individu alimente petit à petit toutes les facettes de son identité numérique. La majeure partie des utilisateurs ne mesure pas encore la complexité de la gestion de l’identité numérique, et ceci pour deux raisons :

* les occasions de laisser des traces sont de plus en plus nombreuses ;
* les moteurs de recherche conservent chacune des ces traces pendant de nombreuses années.

Voilà donc très certainement quel sera le prochain défi à relever pour les utilisateurs de l’internet : prendre toutes les précautions nécessaires pour ne pas ternir l’image d’eux-mêmes (leur identité, leur double numérique) qu’ils sont progressivement en train de construire.

Pour la première fois, un acte authentique peut être réalisé sous forme entièrement numérique. C’est un exemple fort du rôle des nouvelles technologies au service des citoyens, avec des garanties de sécurité et d’efficacité auxquelles le gouvernement est particulièrement attentif. Rachida Dati, Garde des Sceaux et Eric Besson, Secrétaire d’Etat en charge du développement numérique, ont soutenu cette démarche.

Intervention d’Eric Besson
Conseil Supérieur du Notariat, 28 octobre 2008

Seul le prononcé fait foi

Madame le Ministre, Chère Rachida, Mesdames et Messieurs les Parlementaires, Monsieur le Président Reynis, Mesdames et Messieurs les magistrats, Mesdames et Messieurs les notaires, Mesdames et Messieurs,
La technologie au service de la confiance

Comme vient de l’exposer la Garde des Sceaux, l’administration de la Justice connaît aujourd’hui un jour historique.

L’acte authentique électronique dont nous célébrons la naissance officielle, va révolutionner la pratique du droit et instaurer un degré supérieur de confiance sur les nouveaux réseaux.

Cette transposition de l’acte authentique dans sa version numérique n’a rien d’anodin, car un jeu de contraintes très rigoureux donne à cet acte toute sa puissance : une date certaine, sa force probante qui donne un caractère incontestable à son contenu, et sa force exécutoire qui permet son application immédiate sans procédure judiciaire.

Le Conseil Supérieur du Notariat a mené en ce sens un travail exemplaire, et je voudrais saluer son président, Me Bernard Reynis, qui a fait de ce projet l’un des engagements de ce mandat. La technologie semble avancer toute seule : rien n’est plus trompeur, elle repose toujours sur l’engagement et la détermination des hommes pour ne pas remettre le progrès à plus tard.

J’ai eu l’occasion de présenter le 20 octobre dernier le Plan France Numérique 2012, issu de la collaboration interministérielle.

Ce Plan, dont l’ambition se décline en quatre priorités, va :
- permettre à tous les Français d’accéder aux réseaux et aux services numériques ;
- développer la production et l’offre de contenus numériques ;
- accroître et diversifier les usages et les services numériques dans les entreprises, les administrations, et chez les particuliers ;
- moderniser notre gouvernance de l’économie numérique.

Le plan a permis de formaliser plusieurs objectifs pour notre administration en matière de numérique :
- poursuivre et amplifier la numérisation des procédures, avec l’objectif de dématérialiser les échanges ;
- aller vers plus de simplicité et d’efficacité au service des administrés ;
- doter l’administration des structures d’accompagnement sur le numérique qui lui permettront de pousser plus loin ses ambitions.

Nous avons aussi voulu, par les mesures prises au sein de l’administration, augmenter sensiblement chez nos administrés la confiance dans les outils numériques.

Ainsi, l’authentification sur Internet et la carte nationale d’identité électronique, dont la généralisation doit fortement renforcer la sécurité des échanges entre citoyens et administration, devraient servir de tête de pont à une nouvelle politique de confiance sur les nouveaux réseaux.
Authentification sur Internet

L’Etat doit être pilote dans la définition des standards de sécurité utilisés par l’ensemble des acteurs publics et privés. La signature électronique, qui a vocation à se généraliser, doit être portée par un mouvement collectif que seul l’Etat peut coordonner.

Aussi, le plan France numérique 2012 propose que l’envoi d’accusés de réception soit généralisé pour les services en ligne. A partir de 2009, les services publics de l’administration mettront à la disposition des usagers des solutions de signature électronique simples et gratuites pour l’ensemble des services qui le nécessitent.

Le mouvement ne s’arrête pas là. Dans un souci d’homogénéité, l’Etat pourra également faire reconnaître par certains secteurs exigeant une signature manuscrite, comme par exemple dans celui de la banque et de l’assurance en ligne, des standards accordés avec ceux de l’administration. A ce titre, l’ensemble des règles édictées par le référentiel général de sécurité (RGS) devra dans un souci de transparence et de confiance faire l’objet d’une publication.
La Carte nationale d’identité électronique (CNIE)

La Carte nationale d’identité électronique, dont le projet est porté par le ministère de l’Intérieur, doit devenir un « exhausteur de démocratie ». L’ambition est de lancer la première carte européenne, c’est-à-dire interopérable selon la norme européenne.

Au printemps 2009, un projet de loi « identité » devra être adopté pour la mise en place des bases de fonctionnement de la carte, notamment pour autoriser la création d’un fichier biométrique, la CNIL ayant rendu son avis et ses recommandations : cette carte, comparable à celles qui existent aujourd’hui sur les réseaux de transports, munies de deux puces dont une puce dite « sans contact », transportera plusieurs informations d’identité (une photo, des empreintes posées, et plusieurs informations d’état civil).

4000 mairies seront bientôt équipées d’un dispositif pour créer et numériser les justificatifs d’identité des citoyens, comme les extraits d’acte de naissance, avant généralisation. La carte servira dans un premier temps à décliner son identité et à payer ses impôts. Mais elle ouvre la voie à de nombreuses applications au service du citoyen et de la démocratie, comme la consultation en ligne des citoyens.

La technologie nous permet aujourd’hui d’aller plus loin dans l’efficacité de nos procédures. Toutefois, ce progrès ne nous servirait de rien s’il ne se doublait pas d’une vigilance accrue en termes de protection des données personnelles. Aussi, les actions portées par le plan se doublent d’un effort soutenu pour garantir la protection des données individuelles et des libertés publiques. Nous avons, dans l’élaboration et la rédaction du plan, manifesté tout l’attachement du Gouvernement à cette question essentielle.

Ainsi, dans le plan France numérique 2012, j’ai souhaité à ce titre que la CNIL soit renforcée dans ses missions.

La question de la protection des données personnelles repose sur une approche globale : nous allons promouvoir une convention internationale de la protection des données personnelles, qui devra établir les standards partagés par tous. En parallèle, tous nos efforts en matière d’élaboration de standards internationaux de sécurité et d’identité numérique se doubleront d’un traitement spécifique des questions de protection des données personnelles.

Comme vous le voyez, la question posée de la confiance et de la sécurisation, incarnée aujourd’hui dans votre profession par l’acte authentique numérique, est bien transverse à notre administration.

Aussi, je souhaite que la mise en place de l’acte authentique numérique puisse profiter à toutes les autres démarches analogues entreprises par l’Etat. Votre exemple pourra éclairer très utilement les initiatives en cours de lancement, et je propose que les éléments de suivi dans la mise en oeuvre de ce projet puissent être partagés, avec le ministère de la Justice et mon Secrétariat d’Etat.

Je vous remercie de votre attention.

Pas une semaine ne se passe sans qu’une alerte de type « Phishing » ne soit relayée par la presse. Tous les jours, des centaines d’informations privées et identités numériques sont dérobées par des individus peu scrupuleux qui s’empressent de les revendre à de véritables malfaiteurs. Qu’en est-il de cette menace grandissante et des contre-mesures possibles ‘
Le vol d’identité numérique est sans conteste le grand champion des menaces s’étant développées ces dernières années. Les constatations sont éloquentes : l’APWG recense un doublement des sites de phishing entre mi 2005 et mi 2006, les malware dédiés au vol d’identité sont de plus en plus répandus de même que les sites qui hébergent ces programmes malicieux dixit Websense, Gartner compte les points et comptabilise les pertes américaines liées au phishing en 2006… L’estimation est de 2,8 milliards de dollars.

En effet, entre le vol d’identité numérique et la fraude en ligne, il n’y a qu’un pas – que les « pirates » ne se privent pas de faire. À une époque où les systèmes d’exploitation grand public n’ont jamais inclus autant de fonctionnalités sécurité, comment ce phénomène peut-il s’expliquer ‘ Par un manque de réactivité des éditeurs ‘ par le laxisme des utilisateurs ‘ par des erreurs d’implémentation dans les applications en ligne ou bien encore par une trop grande difficulté à lutter contre cette fraude invisible mais bien réelle ‘

Comme souvent, la réponse est nuancée. Tous les facteurs énoncés peuvent en effet tenir une part de responsabilité dans le développement du vol d’identités et du cyber-crime. Mais de fait, la faute n’est réellement imputable à personne.

Ainsi pour reprendre les points énoncés, jamais les éditeurs n’ont été aussi rapides à sortir leurs correctifs et à communiquer (même s’il reste encore du chemin pour certains). Les utilisateurs, quant à eux, essayent autant qu’il le peuvent de répondre au mieux aux problématiques de sécurité qui se posent à eux. Antivirus installé et pare-feu activé, ils se croient parés pour affronter Internet en toute sécurité. Au niveau des entreprises, les portails en ligne et plus particulièrement les portails bancaires s’équipent de moyens pour assurer l’authentification mutuelle entre le client et le site. Pour finir, même si la complexité du droit international et le manque de coopération de certains états rendent les investigations et les poursuites contre les réseaux de fraude particulièrement complexes, des initiatives existent néanmoins.

Les menaces liées au vol d’identité numérique sont nombreuses, tachons de détailler les principales :

Le phishing simple
Technique maintenant parfaitement connue, le phishing a acquis ses lettres de « noblesse » courant 2004. Le principe est simple : un site reproduit un contenu légitime (le plus souvent une institution financière) dans le but de capturer les identifiants du client. Pour faire en sorte que la victime parvienne sur le site contrefait, la technique la plus répandue consiste à diffuser massivement des mails via une campagne de spam. Ces mails utilisent une raison quelconque pour prétexter que l’utilisateur doit se connecter au plus tôt sur le portail de sa banque. Bien évidemment, un lien corrompu est proposé se présentant sous la forme de l’URL légitime de la banque mais menant réellement sur le site contrefait. Certains sites de phishing prennent grand soin à paraître légitime. Pour ce faire, des techniques de typosquatting sont utilisées. Plus traitres encore, des phishing simples peuvent utiliser des vulnérabilités de Cross Site Scripting (XSS) pour laisser croire à l’utilisateur qu’il se trouve sur le site de sa banque alors qu’il est en réalité sur une page affichée en superposition du site légitime. Lorsque le site en question met en place une identification du client en utilisant un couple login / mot de passe, le site de phishing n’a aucune difficulté à récupérer ces informations.

Le phishing en Man in the Middle
Voici une évolution particulièrement intéressante du phishing puisqu’elle met en place une rupture protocolaire pour parvenir à son objectif. Dans ce cas, la victime est redirigée sur un faux site qui se chargera de faire le mandataire entre elle et le portail bancaire. Les données qui sont alors transmises par la victime sont immédiatement re-transférées sur le site réel. Dans cette attaque, le contenu affiché est toujours légitime puisqu’il provient du vrai site. Le pirate aura alors la possibilité de reprendre l’initiative de l’échange dès lors que le client se sera authentifié ou qu’un cookie de session sans restriction aura été échangé. Le premier cas de phishing MITM est apparu courant 2006, réduisant à néant les efforts d’une banque dans l’implémentation d’une solution d’authentification à deux facteurs.

Le pharming
Entendons nous bien, pharming est un mot récent et à la mode, mais les concepts n’ont rien de nouveaux. Le pharming consiste à détourner une résolution de nom. Par ce biais, un utilisateur croyant se connecter sur un site avec l’URL www.site.com sera en réalité renvoyé vers un autre endroit. Cela peut s’opérer classiquement en deux endroits distincts : localement sur le poste d’une victime (on préférera alors parler de trojan redirecteur) ou sur un serveur DNS. C’est ce dernier cas qui va nous intéresser ici. En toute logique, les serveurs cibles du pharming sont des serveurs DNS à haute fréquentation comme un serveur DNS cache d’un fournisseur d’accès Internet. La plupart du temps, le pharming se concrétise par un empoisonnement du cache DNS. Cependant, cette technique est de moins en moins utilisable dans la mesure où seuls les vieux serveurs DNS sont vulnérables à cette attaque (due à une entropie trop faible dans la génération des identifiants des requêtes DNS). D’autres variantes existent permettant de jouer avec des effets de statistiques pour corrompre un cache DNS.

Le trojan
De plus en plus complexe, les trojan s’installent souvent via la consultation d’une page web malicieuse. Bien souvent, l’utilisateur n’y voit que du feu, et pourtant… Généralement, un premier trojan (appelé downloader) va être exécuté pour récupérer un ensemble d’autres composants qui seront activés dans la foulée. Ces composants vont venir s’installer au sein d’Internet Explorer (ce seront les Browser Helper Object) ou directement au cœur du système (ce seront alors des trojan résidents avec des fonctionnalités de rootkit). Les fonctionnalités de ces codes sont impressionnantes. Les plus simples se contentent de capturer les touches tapées lorsque l’utilisateur se situe sur un site web ciblé (portail bancaire dans plus de 90% des cas). Les plus complexes peuvent supprimer la fenêtre de présentation de danger SSL (via l’utilisation de hooking d’API), modifier les résolutions DNS (pharming local), capturer les formulaires émis (formgrabbing) même géolocaliser les victimes. Autant dire que l’utilisateur lambda ne peut pas grand-chose contre ces « merveilles » de sophistication.

Toutes ces techniques ne sont motivées que par un seul objectif : retirer du profit en accédant au compte bancaire d’une victime.

Plusieurs pistes de réflexion se dessinent lorsque l’on essaye de dresser le panorama des solutions permettant de répondre aux enjeux de sécurité. Ce dossier met en relation des propositions techniques et les protections couvertes par celles-ci. Le site dresse un panorama relativement exhaustif des briques logicielles pouvant être utilisées gratuitement. Au programme, on y retrouve des mesures permettant de détecter l’apparition d’un site de phishing, des moyens pour une utilisation simple de l’authentification deux facteurs via l’utilisation d’un second canal de communication, etc. Les équipes techniques y trouveront probablement des éléments d’inspiration et les RSSI pourront orienter leurs réflexions sur des solutions adaptées. Toutes les protections sont mesurées suivant la robustesse face aux menaces liées au vol d’identité numérique et la facilité que l’utilisateur en aura.
Source : Par David Bizeul pour Vulnerabilite.com