Bienvenue et merci d'être revenu sur notre site! Vous pouvez souscrire à notre flux RSS RSS feed. Merci de votre visite!

Je ne suis pas le premier à tenter de vulgariser le concept d’identité numérique, Leafar (Raphaël pour les intimes) a ainsi déjà proposé une représentation de l’identité numérique (voir son billet : U.lik unleash Identity 0.2), j’avais également déjà abordé la question dans un précédent billet. Je souhaite avec cet article compléter cette vision et y apporter ma touche personnelle.
Les utilisateurs au coeur du web 2.0

Avec la prolifération des blogs et wikis, la multiplication des réseaux sociaux et l’explosion du trafic sur les plateformes d’échanges, les contenus générés par les utilisateurs prennent une place toujours plus importante dans notre consommation quotidienne de l’internet. Tous ces contenus laissent des traces sur les sites qui les hébergent et dans les index des moteurs de recherche, ils sont également systématiquement rattachés à un auteur. De plus, la notoriété numérique des individus ainsi que sa valorisation (monétisation de l’audience, de l’expertise…) va rapidement amener les internautes (consomm’auteurs et consomm’acteurs) à se soucier de leur identité numérique.
De la volatilité de l’identité numérique

L’identité numérique d’un individu est composée de données formelles (coordonnées, certificats…) et informelles (commentaires, notes, billets, photos…). Toutes ces bribes d’information composent une identité numérique plus globale qui caractérise un individu, sa personnalité, son entourage et ses habitudes. Ces petits bouts d’identité fonctionnent comme des gènes : ils composent l’ADN numérique d’un individu.

identitenumeriquesimple

Gérer son identité numérique veut dire surveiller l’utilisation de chacune des ces bribes d’information, cette tâche est complexe surtout pour un individu qui souhaite exploiter l’internet comme une vitrine. Nous allons donc progressivement devoir acquérir une vision à 360° de toutes les traces que nous laissons au quotidien de manière à maitriser l’image que l’on donne de nous même.

Les différentes facettes de l’identité numérique

Comme nous venons de le voir, notre identité numérique est composée de nombreuses informations (ou traces) qui peuvent être regroupées en facettes :

* Les coordonnées, c’est à dire tous les moyens numériques qui permettent de joindre un individu (email, messagerie instantanée, N° de téléphone), de l’identifier (fichier FOAF ou hCard) ou de le localiser (Adresse IP) ;
* Les certificats qui sont délivrés par des organismes ( Certinomis, Thawte…), des services ( OpenID, ClaimID, Naimz ou des logiciels ( CardSpace) afin d’authentifier un utilisateur ;
* Les contenus publiés à partir d’outils d’expression qui permettent de prendre la parole : blog, podcast, videocast, portail de journalisme citoyen ( Agoravox, Wikio…) ;
* Les contenus partagés à l’aide d’outils de publication : photos ( FlickR), vidéos ( YouTube, Dailymotion…), musique ( Radio.blog.Club) ou liens ( del.icio.us) ;
* Les avis sur des produits ( U.lik, CrowdStorm, iNods…), des services, des prestations (ex. voyages avec TravelPost) ou même information ( Digg) ;
* Les hobbies qui sont partagés par les passionnés sur des réseaux sociaux de niche ( Boompa pour l’automobile, Cork’d pour le vin, BakeSpace pour la cuisine…).
* Les achats réalisés chez des meta-marchands (comme Amazon ou eBay), avec des systèmes de paiement (comme Paypal ou Google Checkout) ou de programmes de points de fidélité (comme S’Miles ou Maximiles) qui permettent de modéliser les habitudes de consommation ;
* La connaissance diffusée au travers d’encyclopédies collaboratives ( Wikipedia), de plateforme de FAQ collaborative (comme Yahoo! Answers ou Google Answers) ou de sites de bricoleurs ( Instructables) ;
* Les portails ( Monster, WetFeet…) et réseaux sociaux ( LinkedIn, Xing…) qui servent à donner de la visibilité à sa profession ;
* Les services qui gèrent la notoriété d’un individu ( Technorati, Cymfony…), sa fiabilité ( Biz360) et sa réputation ( RapLeaf, iKarma, ReputationDefender…) ;
* Les services de rencontre ( Meetic, Friendster…) et de fédération d’individus en audiences homogènes ( MySpace, MyBlogLog…) ;
* Les jeux en ligne ( World of Warcraft, Everquest…), les univers virtuels ( SecondLife, There, Habbo Hotel…) et les services en ligne ( SitePal, Gravatar) qui permettent d’afficher un avatar.

Le schéma suivant synthétise les différentes facettes de l’identité numérique :

identitenumeriquecomplete

Pour un schéma de plus grande taille, je vous recommande la version publiée sur FlickR : Cartographie de l’identité numérique (et il y a même une version en anglais : Digital Identity Mapping)

C’est en participant à tous ces services et outils qu’un individu alimente petit à petit toutes les facettes de son identité numérique. La majeure partie des utilisateurs ne mesure pas encore la complexité de la gestion de l’identité numérique, et ceci pour deux raisons :

* les occasions de laisser des traces sont de plus en plus nombreuses ;
* les moteurs de recherche conservent chacune des ces traces pendant de nombreuses années.

Voilà donc très certainement quel sera le prochain défi à relever pour les utilisateurs de l’internet : prendre toutes les précautions nécessaires pour ne pas ternir l’image d’eux-mêmes (leur identité, leur double numérique) qu’ils sont progressivement en train de construire.

Les nouvelles pratiques du marketing Internet sont directement issue du changement de paradigme provoqué par la tournure “sociale” qu’a pris le web grâce à l’évolution des technologies vers une grande interactivité.
Vous allez pouvoir apprendre à appliquer le Marketing 2.0 (Social Media Marketing ou Marketing de Médias Sociaux) à votre business quel qu’il soit.

Combiné avec les « nouvelles stratégies » SEO ou SEO 2.0 (Search Engine Optimization ou Optimisation des moteurs de recherche) dans le but de développer du trafic, des actions et des ventes qui ne s’appuient pas du tout sur des méthodes traditionnelles d’Internet Marketing (SEO traditionnel)
Vous avez besoin d’un plan d’action qui va vous permettre d’améliorer grandement votre business en ligne et qui va vous aider à lancer un nouveau commerce.

La puissance des Médias Sociaux est indéniable, alors allons-y sans plus attendre.

Pas une semaine ne se passe sans qu’une alerte de type « Phishing » ne soit relayée par la presse. Tous les jours, des centaines d’informations privées et identités numériques sont dérobées par des individus peu scrupuleux qui s’empressent de les revendre à de véritables malfaiteurs. Qu’en est-il de cette menace grandissante et des contre-mesures possibles ‘
Le vol d’identité numérique est sans conteste le grand champion des menaces s’étant développées ces dernières années. Les constatations sont éloquentes : l’APWG recense un doublement des sites de phishing entre mi 2005 et mi 2006, les malware dédiés au vol d’identité sont de plus en plus répandus de même que les sites qui hébergent ces programmes malicieux dixit Websense, Gartner compte les points et comptabilise les pertes américaines liées au phishing en 2006… L’estimation est de 2,8 milliards de dollars.

En effet, entre le vol d’identité numérique et la fraude en ligne, il n’y a qu’un pas – que les « pirates » ne se privent pas de faire. À une époque où les systèmes d’exploitation grand public n’ont jamais inclus autant de fonctionnalités sécurité, comment ce phénomène peut-il s’expliquer ‘ Par un manque de réactivité des éditeurs ‘ par le laxisme des utilisateurs ‘ par des erreurs d’implémentation dans les applications en ligne ou bien encore par une trop grande difficulté à lutter contre cette fraude invisible mais bien réelle ‘

Comme souvent, la réponse est nuancée. Tous les facteurs énoncés peuvent en effet tenir une part de responsabilité dans le développement du vol d’identités et du cyber-crime. Mais de fait, la faute n’est réellement imputable à personne.

Ainsi pour reprendre les points énoncés, jamais les éditeurs n’ont été aussi rapides à sortir leurs correctifs et à communiquer (même s’il reste encore du chemin pour certains). Les utilisateurs, quant à eux, essayent autant qu’il le peuvent de répondre au mieux aux problématiques de sécurité qui se posent à eux. Antivirus installé et pare-feu activé, ils se croient parés pour affronter Internet en toute sécurité. Au niveau des entreprises, les portails en ligne et plus particulièrement les portails bancaires s’équipent de moyens pour assurer l’authentification mutuelle entre le client et le site. Pour finir, même si la complexité du droit international et le manque de coopération de certains états rendent les investigations et les poursuites contre les réseaux de fraude particulièrement complexes, des initiatives existent néanmoins.

Les menaces liées au vol d’identité numérique sont nombreuses, tachons de détailler les principales :

Le phishing simple
Technique maintenant parfaitement connue, le phishing a acquis ses lettres de « noblesse » courant 2004. Le principe est simple : un site reproduit un contenu légitime (le plus souvent une institution financière) dans le but de capturer les identifiants du client. Pour faire en sorte que la victime parvienne sur le site contrefait, la technique la plus répandue consiste à diffuser massivement des mails via une campagne de spam. Ces mails utilisent une raison quelconque pour prétexter que l’utilisateur doit se connecter au plus tôt sur le portail de sa banque. Bien évidemment, un lien corrompu est proposé se présentant sous la forme de l’URL légitime de la banque mais menant réellement sur le site contrefait. Certains sites de phishing prennent grand soin à paraître légitime. Pour ce faire, des techniques de typosquatting sont utilisées. Plus traitres encore, des phishing simples peuvent utiliser des vulnérabilités de Cross Site Scripting (XSS) pour laisser croire à l’utilisateur qu’il se trouve sur le site de sa banque alors qu’il est en réalité sur une page affichée en superposition du site légitime. Lorsque le site en question met en place une identification du client en utilisant un couple login / mot de passe, le site de phishing n’a aucune difficulté à récupérer ces informations.

Le phishing en Man in the Middle
Voici une évolution particulièrement intéressante du phishing puisqu’elle met en place une rupture protocolaire pour parvenir à son objectif. Dans ce cas, la victime est redirigée sur un faux site qui se chargera de faire le mandataire entre elle et le portail bancaire. Les données qui sont alors transmises par la victime sont immédiatement re-transférées sur le site réel. Dans cette attaque, le contenu affiché est toujours légitime puisqu’il provient du vrai site. Le pirate aura alors la possibilité de reprendre l’initiative de l’échange dès lors que le client se sera authentifié ou qu’un cookie de session sans restriction aura été échangé. Le premier cas de phishing MITM est apparu courant 2006, réduisant à néant les efforts d’une banque dans l’implémentation d’une solution d’authentification à deux facteurs.

Le pharming
Entendons nous bien, pharming est un mot récent et à la mode, mais les concepts n’ont rien de nouveaux. Le pharming consiste à détourner une résolution de nom. Par ce biais, un utilisateur croyant se connecter sur un site avec l’URL www.site.com sera en réalité renvoyé vers un autre endroit. Cela peut s’opérer classiquement en deux endroits distincts : localement sur le poste d’une victime (on préférera alors parler de trojan redirecteur) ou sur un serveur DNS. C’est ce dernier cas qui va nous intéresser ici. En toute logique, les serveurs cibles du pharming sont des serveurs DNS à haute fréquentation comme un serveur DNS cache d’un fournisseur d’accès Internet. La plupart du temps, le pharming se concrétise par un empoisonnement du cache DNS. Cependant, cette technique est de moins en moins utilisable dans la mesure où seuls les vieux serveurs DNS sont vulnérables à cette attaque (due à une entropie trop faible dans la génération des identifiants des requêtes DNS). D’autres variantes existent permettant de jouer avec des effets de statistiques pour corrompre un cache DNS.

Le trojan
De plus en plus complexe, les trojan s’installent souvent via la consultation d’une page web malicieuse. Bien souvent, l’utilisateur n’y voit que du feu, et pourtant… Généralement, un premier trojan (appelé downloader) va être exécuté pour récupérer un ensemble d’autres composants qui seront activés dans la foulée. Ces composants vont venir s’installer au sein d’Internet Explorer (ce seront les Browser Helper Object) ou directement au cœur du système (ce seront alors des trojan résidents avec des fonctionnalités de rootkit). Les fonctionnalités de ces codes sont impressionnantes. Les plus simples se contentent de capturer les touches tapées lorsque l’utilisateur se situe sur un site web ciblé (portail bancaire dans plus de 90% des cas). Les plus complexes peuvent supprimer la fenêtre de présentation de danger SSL (via l’utilisation de hooking d’API), modifier les résolutions DNS (pharming local), capturer les formulaires émis (formgrabbing) même géolocaliser les victimes. Autant dire que l’utilisateur lambda ne peut pas grand-chose contre ces « merveilles » de sophistication.

Toutes ces techniques ne sont motivées que par un seul objectif : retirer du profit en accédant au compte bancaire d’une victime.

Plusieurs pistes de réflexion se dessinent lorsque l’on essaye de dresser le panorama des solutions permettant de répondre aux enjeux de sécurité. Ce dossier met en relation des propositions techniques et les protections couvertes par celles-ci. Le site dresse un panorama relativement exhaustif des briques logicielles pouvant être utilisées gratuitement. Au programme, on y retrouve des mesures permettant de détecter l’apparition d’un site de phishing, des moyens pour une utilisation simple de l’authentification deux facteurs via l’utilisation d’un second canal de communication, etc. Les équipes techniques y trouveront probablement des éléments d’inspiration et les RSSI pourront orienter leurs réflexions sur des solutions adaptées. Toutes les protections sont mesurées suivant la robustesse face aux menaces liées au vol d’identité numérique et la facilité que l’utilisateur en aura.
Source : Par David Bizeul pour Vulnerabilite.com