Bienvenue et merci d'être revenu sur notre site! Vous pouvez souscrire à notre flux RSS RSS feed. Merci de votre visite!

Je ne suis pas le premier à tenter de vulgariser le concept d’identité numérique, Leafar (Raphaël pour les intimes) a ainsi déjà proposé une représentation de l’identité numérique (voir son billet : U.lik unleash Identity 0.2), j’avais également déjà abordé la question dans un précédent billet. Je souhaite avec cet article compléter cette vision et y apporter ma touche personnelle.
Les utilisateurs au coeur du web 2.0

Avec la prolifération des blogs et wikis, la multiplication des réseaux sociaux et l’explosion du trafic sur les plateformes d’échanges, les contenus générés par les utilisateurs prennent une place toujours plus importante dans notre consommation quotidienne de l’internet. Tous ces contenus laissent des traces sur les sites qui les hébergent et dans les index des moteurs de recherche, ils sont également systématiquement rattachés à un auteur. De plus, la notoriété numérique des individus ainsi que sa valorisation (monétisation de l’audience, de l’expertise…) va rapidement amener les internautes (consomm’auteurs et consomm’acteurs) à se soucier de leur identité numérique.
De la volatilité de l’identité numérique

L’identité numérique d’un individu est composée de données formelles (coordonnées, certificats…) et informelles (commentaires, notes, billets, photos…). Toutes ces bribes d’information composent une identité numérique plus globale qui caractérise un individu, sa personnalité, son entourage et ses habitudes. Ces petits bouts d’identité fonctionnent comme des gènes : ils composent l’ADN numérique d’un individu.

identitenumeriquesimple

Gérer son identité numérique veut dire surveiller l’utilisation de chacune des ces bribes d’information, cette tâche est complexe surtout pour un individu qui souhaite exploiter l’internet comme une vitrine. Nous allons donc progressivement devoir acquérir une vision à 360° de toutes les traces que nous laissons au quotidien de manière à maitriser l’image que l’on donne de nous même.

Les différentes facettes de l’identité numérique

Comme nous venons de le voir, notre identité numérique est composée de nombreuses informations (ou traces) qui peuvent être regroupées en facettes :

* Les coordonnées, c’est à dire tous les moyens numériques qui permettent de joindre un individu (email, messagerie instantanée, N° de téléphone), de l’identifier (fichier FOAF ou hCard) ou de le localiser (Adresse IP) ;
* Les certificats qui sont délivrés par des organismes ( Certinomis, Thawte…), des services ( OpenID, ClaimID, Naimz ou des logiciels ( CardSpace) afin d’authentifier un utilisateur ;
* Les contenus publiés à partir d’outils d’expression qui permettent de prendre la parole : blog, podcast, videocast, portail de journalisme citoyen ( Agoravox, Wikio…) ;
* Les contenus partagés à l’aide d’outils de publication : photos ( FlickR), vidéos ( YouTube, Dailymotion…), musique ( Radio.blog.Club) ou liens ( del.icio.us) ;
* Les avis sur des produits ( U.lik, CrowdStorm, iNods…), des services, des prestations (ex. voyages avec TravelPost) ou même information ( Digg) ;
* Les hobbies qui sont partagés par les passionnés sur des réseaux sociaux de niche ( Boompa pour l’automobile, Cork’d pour le vin, BakeSpace pour la cuisine…).
* Les achats réalisés chez des meta-marchands (comme Amazon ou eBay), avec des systèmes de paiement (comme Paypal ou Google Checkout) ou de programmes de points de fidélité (comme S’Miles ou Maximiles) qui permettent de modéliser les habitudes de consommation ;
* La connaissance diffusée au travers d’encyclopédies collaboratives ( Wikipedia), de plateforme de FAQ collaborative (comme Yahoo! Answers ou Google Answers) ou de sites de bricoleurs ( Instructables) ;
* Les portails ( Monster, WetFeet…) et réseaux sociaux ( LinkedIn, Xing…) qui servent à donner de la visibilité à sa profession ;
* Les services qui gèrent la notoriété d’un individu ( Technorati, Cymfony…), sa fiabilité ( Biz360) et sa réputation ( RapLeaf, iKarma, ReputationDefender…) ;
* Les services de rencontre ( Meetic, Friendster…) et de fédération d’individus en audiences homogènes ( MySpace, MyBlogLog…) ;
* Les jeux en ligne ( World of Warcraft, Everquest…), les univers virtuels ( SecondLife, There, Habbo Hotel…) et les services en ligne ( SitePal, Gravatar) qui permettent d’afficher un avatar.

Le schéma suivant synthétise les différentes facettes de l’identité numérique :

identitenumeriquecomplete

Pour un schéma de plus grande taille, je vous recommande la version publiée sur FlickR : Cartographie de l’identité numérique (et il y a même une version en anglais : Digital Identity Mapping)

C’est en participant à tous ces services et outils qu’un individu alimente petit à petit toutes les facettes de son identité numérique. La majeure partie des utilisateurs ne mesure pas encore la complexité de la gestion de l’identité numérique, et ceci pour deux raisons :

* les occasions de laisser des traces sont de plus en plus nombreuses ;
* les moteurs de recherche conservent chacune des ces traces pendant de nombreuses années.

Voilà donc très certainement quel sera le prochain défi à relever pour les utilisateurs de l’internet : prendre toutes les précautions nécessaires pour ne pas ternir l’image d’eux-mêmes (leur identité, leur double numérique) qu’ils sont progressivement en train de construire.

Les nouvelles pratiques du marketing Internet sont directement issue du changement de paradigme provoqué par la tournure “sociale” qu’a pris le web grâce à l’évolution des technologies vers une grande interactivité.
Vous allez pouvoir apprendre à appliquer le Marketing 2.0 (Social Media Marketing ou Marketing de Médias Sociaux) à votre business quel qu’il soit.

Combiné avec les « nouvelles stratégies » SEO ou SEO 2.0 (Search Engine Optimization ou Optimisation des moteurs de recherche) dans le but de développer du trafic, des actions et des ventes qui ne s’appuient pas du tout sur des méthodes traditionnelles d’Internet Marketing (SEO traditionnel)
Vous avez besoin d’un plan d’action qui va vous permettre d’améliorer grandement votre business en ligne et qui va vous aider à lancer un nouveau commerce.

La puissance des Médias Sociaux est indéniable, alors allons-y sans plus attendre.

Pas une semaine ne se passe sans qu’une alerte de type « Phishing » ne soit relayée par la presse. Tous les jours, des centaines d’informations privées et identités numériques sont dérobées par des individus peu scrupuleux qui s’empressent de les revendre à de véritables malfaiteurs. Qu’en est-il de cette menace grandissante et des contre-mesures possibles ‘
Le vol d’identité numérique est sans conteste le grand champion des menaces s’étant développées ces dernières années. Les constatations sont éloquentes : l’APWG recense un doublement des sites de phishing entre mi 2005 et mi 2006, les malware dédiés au vol d’identité sont de plus en plus répandus de même que les sites qui hébergent ces programmes malicieux dixit Websense, Gartner compte les points et comptabilise les pertes américaines liées au phishing en 2006… L’estimation est de 2,8 milliards de dollars.

En effet, entre le vol d’identité numérique et la fraude en ligne, il n’y a qu’un pas – que les « pirates » ne se privent pas de faire. À une époque où les systèmes d’exploitation grand public n’ont jamais inclus autant de fonctionnalités sécurité, comment ce phénomène peut-il s’expliquer ‘ Par un manque de réactivité des éditeurs ‘ par le laxisme des utilisateurs ‘ par des erreurs d’implémentation dans les applications en ligne ou bien encore par une trop grande difficulté à lutter contre cette fraude invisible mais bien réelle ‘

Comme souvent, la réponse est nuancée. Tous les facteurs énoncés peuvent en effet tenir une part de responsabilité dans le développement du vol d’identités et du cyber-crime. Mais de fait, la faute n’est réellement imputable à personne.

Ainsi pour reprendre les points énoncés, jamais les éditeurs n’ont été aussi rapides à sortir leurs correctifs et à communiquer (même s’il reste encore du chemin pour certains). Les utilisateurs, quant à eux, essayent autant qu’il le peuvent de répondre au mieux aux problématiques de sécurité qui se posent à eux. Antivirus installé et pare-feu activé, ils se croient parés pour affronter Internet en toute sécurité. Au niveau des entreprises, les portails en ligne et plus particulièrement les portails bancaires s’équipent de moyens pour assurer l’authentification mutuelle entre le client et le site. Pour finir, même si la complexité du droit international et le manque de coopération de certains états rendent les investigations et les poursuites contre les réseaux de fraude particulièrement complexes, des initiatives existent néanmoins.

Les menaces liées au vol d’identité numérique sont nombreuses, tachons de détailler les principales :

Le phishing simple
Technique maintenant parfaitement connue, le phishing a acquis ses lettres de « noblesse » courant 2004. Le principe est simple : un site reproduit un contenu légitime (le plus souvent une institution financière) dans le but de capturer les identifiants du client. Pour faire en sorte que la victime parvienne sur le site contrefait, la technique la plus répandue consiste à diffuser massivement des mails via une campagne de spam. Ces mails utilisent une raison quelconque pour prétexter que l’utilisateur doit se connecter au plus tôt sur le portail de sa banque. Bien évidemment, un lien corrompu est proposé se présentant sous la forme de l’URL légitime de la banque mais menant réellement sur le site contrefait. Certains sites de phishing prennent grand soin à paraître légitime. Pour ce faire, des techniques de typosquatting sont utilisées. Plus traitres encore, des phishing simples peuvent utiliser des vulnérabilités de Cross Site Scripting (XSS) pour laisser croire à l’utilisateur qu’il se trouve sur le site de sa banque alors qu’il est en réalité sur une page affichée en superposition du site légitime. Lorsque le site en question met en place une identification du client en utilisant un couple login / mot de passe, le site de phishing n’a aucune difficulté à récupérer ces informations.

Le phishing en Man in the Middle
Voici une évolution particulièrement intéressante du phishing puisqu’elle met en place une rupture protocolaire pour parvenir à son objectif. Dans ce cas, la victime est redirigée sur un faux site qui se chargera de faire le mandataire entre elle et le portail bancaire. Les données qui sont alors transmises par la victime sont immédiatement re-transférées sur le site réel. Dans cette attaque, le contenu affiché est toujours légitime puisqu’il provient du vrai site. Le pirate aura alors la possibilité de reprendre l’initiative de l’échange dès lors que le client se sera authentifié ou qu’un cookie de session sans restriction aura été échangé. Le premier cas de phishing MITM est apparu courant 2006, réduisant à néant les efforts d’une banque dans l’implémentation d’une solution d’authentification à deux facteurs.

Le pharming
Entendons nous bien, pharming est un mot récent et à la mode, mais les concepts n’ont rien de nouveaux. Le pharming consiste à détourner une résolution de nom. Par ce biais, un utilisateur croyant se connecter sur un site avec l’URL www.site.com sera en réalité renvoyé vers un autre endroit. Cela peut s’opérer classiquement en deux endroits distincts : localement sur le poste d’une victime (on préférera alors parler de trojan redirecteur) ou sur un serveur DNS. C’est ce dernier cas qui va nous intéresser ici. En toute logique, les serveurs cibles du pharming sont des serveurs DNS à haute fréquentation comme un serveur DNS cache d’un fournisseur d’accès Internet. La plupart du temps, le pharming se concrétise par un empoisonnement du cache DNS. Cependant, cette technique est de moins en moins utilisable dans la mesure où seuls les vieux serveurs DNS sont vulnérables à cette attaque (due à une entropie trop faible dans la génération des identifiants des requêtes DNS). D’autres variantes existent permettant de jouer avec des effets de statistiques pour corrompre un cache DNS.

Le trojan
De plus en plus complexe, les trojan s’installent souvent via la consultation d’une page web malicieuse. Bien souvent, l’utilisateur n’y voit que du feu, et pourtant… Généralement, un premier trojan (appelé downloader) va être exécuté pour récupérer un ensemble d’autres composants qui seront activés dans la foulée. Ces composants vont venir s’installer au sein d’Internet Explorer (ce seront les Browser Helper Object) ou directement au cœur du système (ce seront alors des trojan résidents avec des fonctionnalités de rootkit). Les fonctionnalités de ces codes sont impressionnantes. Les plus simples se contentent de capturer les touches tapées lorsque l’utilisateur se situe sur un site web ciblé (portail bancaire dans plus de 90% des cas). Les plus complexes peuvent supprimer la fenêtre de présentation de danger SSL (via l’utilisation de hooking d’API), modifier les résolutions DNS (pharming local), capturer les formulaires émis (formgrabbing) même géolocaliser les victimes. Autant dire que l’utilisateur lambda ne peut pas grand-chose contre ces « merveilles » de sophistication.

Toutes ces techniques ne sont motivées que par un seul objectif : retirer du profit en accédant au compte bancaire d’une victime.

Plusieurs pistes de réflexion se dessinent lorsque l’on essaye de dresser le panorama des solutions permettant de répondre aux enjeux de sécurité. Ce dossier met en relation des propositions techniques et les protections couvertes par celles-ci. Le site dresse un panorama relativement exhaustif des briques logicielles pouvant être utilisées gratuitement. Au programme, on y retrouve des mesures permettant de détecter l’apparition d’un site de phishing, des moyens pour une utilisation simple de l’authentification deux facteurs via l’utilisation d’un second canal de communication, etc. Les équipes techniques y trouveront probablement des éléments d’inspiration et les RSSI pourront orienter leurs réflexions sur des solutions adaptées. Toutes les protections sont mesurées suivant la robustesse face aux menaces liées au vol d’identité numérique et la facilité que l’utilisateur en aura.
Source : Par David Bizeul pour Vulnerabilite.com

On entend généralement par dématérialisation le fait de transformer un flux de documents, ainsi que les traitements qui lui sont appliqués, en flux et traitements numériques. En vue d’atteindre cet objectif, la dématérialisation cherche à traduire électroniquement la valeur juridique des documents.
Exemples :
• dématérialisation des factures (invoice processing) ;
• dématérialisation des flux monétaires (exemple pour les chèques dont la formule papier ne circule entre les banques mais seulement l’image chèque (image numérique). la dématérialisation est intervenue en 2002 avec la mise en place de l’EIC (Echange d’Image Chèque)) ;
• dématérialisation des marchés publics ;
• dématérialisation des valeurs mobilières (compte titres).
Les étapes de la transformation
1. Numérisation des documents,
2. Archivage des documents numérisés,
3. Intégration des étapes de l’évolution du document,
4. Notarisation : certification des étapes de l’évolution du document.
Le vocabulaire courant
• un certificat d’identité numérique permet d’identifier les intervenants au cours du processus (cf. signature numérique),
• un horodatage, timestamp, garantit l’heure et la date à chaque étape du traitement.
Dématérialisation
• L’espace de confiance distant : les documents et les étapes de leur traitement sont centralisés sur un serveur tiers
• L’enveloppe numérique : l’utilisateur conserve ses documents au sein d’une enveloppe numérique qui intègre une fiche de suivi dont chaque étape est certifiée par un tiers.
Qu’est-ce qu’une facture fiscale dématérialisée ?
La facture est un document établi par le vendeur et adressé au client à la suite d’une vente. Elle est obligatoire dans le cas d’une vente entre entreprises et déclenche le règlement des biens et des services objets de la transaction.
Quelle que soit sa forme, la facture doit au moins comprendre les informations suivantes relatives aux acteurs et à la nature de la transaction:
• Nom, adresse et numéro de TVA de l’émetteur et du client
• La date de délivrance
• Un numéro unique, séquentiel et continu
• La quantité, la dénomination et le prix unitaire hors taxe des biens livrés ou des services rendus, ainsi que le taux de TVA correspondant
• Les rabais, remises, ristournes ou escomptes acquis et directement liés à l’opération
• Les montants totaux hors taxe, TTC et de TVA
Pour l’administration, la facture sert de preuve à la transaction et permet de contrôler le montant de la TVA à acquitter et les prix pratiqués. D’un point de vue juridique, elle constitue une preuve de la transaction commerciale. C’est pourquoi elle doit être conservée 6 ans (contrôle fiscal) et 10 ans (litiges commerciaux).
Dans les secteurs habitués à utiliser les échanges de données informatisés (EDI), tels que l’automobile, la banque ou la grande distribution, il est courant, en parallèle du flux papier, d’envoyer une facture électronique. Toutefois, seul le flux papier a ici valeur probante aux yeux de l’administration et de la justice.
Depuis juillet 2003, l’admission d’un écrit sous forme électronique au même titre qu’un écrit classique est consacré à la double condition que son auteur puisse être identifié et que l’intégralité de son contenu soit garantie lors de sa rédaction et pérennisée dans sa conservation. Cette facture électronique fiscale peut être un document non structuré, tel qu’un PDF signé, ou un message structuré.
Dans le cas de transactions intra-communautaires, c’est la législation du pays d’origine du fournisseur qui s’applique. Un fournisseur de fleurs des Pays-Bas peut donc dématérialiser la facture selon la législation néerlandaise, alors que son confrère niçois doit le faire selon la législation française. À cela s’ajoute la négociation commerciale entre les parties qui peut aboutir à définir un flux basé sur la législation la plus contraignante des deux, sous réserve qu’elle reste compatible avec celle du fournisseur.
Comportement des fournisseurs vis-à-vis de la dématérialisation de factures fiscales
En tant qu’émetteurs de factures, les fournisseurs sont l’élément clé du processus de dématérialisation de factures dans le cadre déterminé par la législation. Or, en 2007, MARKESS International constate que dans la majorité des cas, le principal élément qui pousse les fournisseurs à dématérialiser fiscalement leurs factures est lié aux demandes formulées par les clients dans ce sens, voire aux pressions exercées par eux. Pourtant, d’autres catalyseurs pourraient favoriser une adoption plus massive de la dématérialisation fiscale par les fournisseurs, comme le citent les principaux intéressés :
• Une plus grande clarté des législations en vigueur, au niveau français, mais également dans le cadre de factures sortantes ou émises vers des clients basés en Europe, voire dans d’autres pays du Monde. Les fournisseurs demandent à mieux connaître les règles définies par l’administration fiscale (en matière de formats, d’archivage, etc.) afin d’être sûrs de les respecter ;
• Une véritable standardisation des formats de dématérialisation de factures, étendue au niveau européen, voire la mise en place d’un format universel de factures reconnu par tous ;
• Des solutions moins coûteuses, notamment dans leur mise en oeuvre.
De leur côté, les entreprises en position de clients rejoignent leurs fournisseurs sur la standardisation des formats et le coût des solutions. Elles estiment également que d’autres facteurs pourraient pousser les fournisseurs à dématérialiser fiscalement leurs factures sortantes :
• La mise en place d’une incitation fiscale, voire d’une législation obligeant les entreprises à dématérialiser fiscalement les factures ;
• Une plus grande simplicité tant en amont dans les règles, les procédures à suivre que lors de l’installation et l’utilisation des solutions de dématérialisation ;
• La fourniture de contreparties aux fournisseurs par les clients eux mêmes, telles que le respect ou le raccourcissement des délais contractuels de paiement.
Dans son étude sur le sujet datant de 2007, MARKESS International remarque qu’aucun fournisseur n’a spontanément cité l’accompagnement et la formation comme des éléments accélérateurs d’un projet de dématérialisation fiscale de factures. Pourtant, en fonction du comportement adopté par les fournisseurs vis-à vis de la dématérialisation fiscale de factures, la mise en place d’actions favorisant leur adhésion à de tels projets s’avère fréquemment indispensable. Ainsi, près d’un tiers des entreprises interrogées précisent en effet avoir mis en place ou bénéficié, selon qu’elles sont en situation de clients ou de fournisseurs, de telles actions. L’accompagnement au projet de dématérialisation, la formation des fournisseurs, le conseil, l’aide à la mise en place de la dématérialisation arrivent en bonne place de ces actions. Il n’en reste pas moins que certains clients ont recours à des moyens plus coercitifs tels que l’inscription de la dématérialisation fiscale dans les conditions générales associées aux processus achats, la dématérialisation devenant une condition sine qua non pour travailler avec certains clients, voire les garder en tant que clients.